Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Цифровая трансформация требует цифровой гигиены

Аватар пользователя Lelikpr
Автор: Горшкова Ольга, BISA
(0)
()

7 июня в замечательном солнечном городе Баку наша ассоциация провела интересное со многих точек зрения мероприятие – BIS Summit Baku 2018, который на сей раз стал площадкой для обмена по-настоящему интернациональным опытом. На пленарной секции впервые на одной сцене собрались люди, которые являются ведущими специалистами в области информационной безопасности в своих странах – Азербайджане, Киргизии, Узбекистане, Казахстане, Белоруссии и России. И самым интересным для собравшихся, конечно, было узнать особенности и различия их национального ИБ-опыта, сравнить и открыть для себя что-то новое.

Впрочем, по мнению Рустэма Хайретдинова, президента ассоциации BISA, несколько некорректно в сфере информационной безопасности делить рынки на национальные, поскольку злоумышленники, по сути, не имеют национальности, они никогда не мыслят локально. Поэтому и «безопасники» должны думать глобально. «Очень хорошо, что мы собираемся здесь интернационально, чтобы интернационализировать нашу защиту. Только в кооперации и в обмене опытом можно преуспеть», - отметил Рустэм.

О том, что такое информационная безопасность Азербайджана, присутствующим обзорно рассказал Александр Тварадзе, директор по информационной безопасность Axoft Aserbaijan. В стране есть много клиентов, которые начали осознавать, что информационная безопасность важна и нужна. Ещё несколько лет назад бюджетирование ИБ шло по остаточному принципу. Сейчас многие начали понимать, что отсутствие ИБ при водит к отсутствию денег. На рынке много вендоров и дистрибьюторов решений данного класса. Но существует другая проблема – сложно, купив решение, сделать так, чтобы оно работало правильно. У клиентов не хватает хорошо обученных ИБ-специалистов. В этом видится первый вектор роста – развитие образования в сфере информационной безопасности. Вторым вектором является консалтинг в области грамотной эксплуатации в компаниях вендорских решений и развертывания комплексных, надёжных и эффективных систем защиты.

За последние три года в Азербайджане серьёзно выросло количество ИБ инцидентов, начиная с мелких (от 500 до 1000 евро) до средних и крупных (30-50 тысяч евро) – фишинг, хакерские атаки, угрозы со стороны инсайдеров. При этом с конца 2017 года государство серьёзно озаботилось проблемой информационной безопасности, в связи с чем был запущен ряд проектов, в частности по централизации защиты рабочих станций на предприятиях государственного сектора. Это один из первых подобных проектов в СНГ.

Олег Биль, и. о. директора департамента R&D РГП «Государственная техническая служба» республики Казахстан, представил обзор ландшафта ИБ-угроз предприятиям в стране. Год назад эксперты его ведомства прогнозировали рост атак на банки по всем векторам – клиенты, внутренние процессы, банкоматы, POS терминалы и т.п. Все сбылось, начался и рост атак на объекты, ранее на являвшиеся целью злоумышленников, - биржи, депозитарии, брокеры, сейчас уже взламываются даже криптобиржи. Изменилась тактика атак на объекты критической инфраструктуры – стал использоваться активный обход изоляции сети и учёт альтернативных операционных систем. Правда, рост последних ограничен требованиями к высокой квалификации атакующих и слабой изученностью скрытых систем предприятий (SCADA и др.) Очень перспективным вектором атак является использование легитимных, функционирующих в компаниях утилит. А открытая публикация исследователями разного рода уязвимостей приводит к драматическому снижению порога входа для злоумышленников в хакерский бизнес.

Чтобы противостоять этому многообразию угроз, по мнению Олега Биля, необходимо правильно выбирать и настраивать ИБ-решения (блокировать неиспользуемые функции), изучать современные методы борьбы с шифровальщиками и развивать критическое мышление, обучать основам информационной безопасности ВЕСЬ офисный персонал.

Батырбек Абдрашитов, начальник Службы информационной безопасности ОАО «Коммерческий банк КЫРГЫЗСТАН», обозначил основной проблемой рынка информационной безопасности своей страны острую нехватку квалифицированных технических ИБ-кадров – вирусных аналитиков. Уровень кибербезопасности в республике, по мнению спикера, чуть ниже среднего по сравнению с РФ и Казахстаном, поэтому рынку ИБ здесь необходимо развиваться утроенными темпами, чтобы догнать соседей.

Вторая половина пленарной части форума была посвящена дискуссии о том, что следует понимать под цифровой трансформацией. Олег Бакшинский, ведущий советник по вопросам информационной безопасности IBM в Россия и СНГ, считает цифровую трансформацию немного условным термином, ведь вся ИТ-сфера уже давно в цифре работает. Однако меняются инструменты, которые мы как обычные граждане используем в своей жизни, и эти инструменты как раз и меняют подход к бизнесу – мобильные, облачные технологии и т.п. Они очень сильно трансформируют бизнес, выводят на рынок новые компании, которые раньше не могли ничего сделать из-за отсутствия собственных ресурсов. Соответственно компании, не использующие цифровые технологии, рискуют остаться за бортом экономики.

Александр Тварадзе же считает, что основное преимущество цифровых технологий состоит в том, что они т помогли бизнесу максимально приблизиться к своему клиенту, избежав огромного количества посредников. Сегодня 90% коммуникаций бизнеса приходятся на прямые с клиентами. И в условиях подобной цифровой близости очень остро встаёт вопрос безопасности личных данных граждан. Мы все привыкли соблюдать меры физической гигиены – мыть руки пред едой и т.п.; скорость же развития современных технологий привела к тому, что уже пора вводить меры цифровой гигиены, когда люди сами отвечают за информацию, которую они предоставляют компаниям.

По мнению Елены Сучковой, директора по работе со стратегическими клиентами InfoWatch, бизнес не только максимально приблизился к клиенту, но сейчас зачастую уже робот вместо бизнеса доносит определенную информацию до потребителя. Деньги мы уже используем в виртуальном виде. Большинство услуг переведено в электронный вид. Живя в рынке цифровой экономики, мы понимаем, что основа всего этого – данные. В сумасшедшем ритме мы не успеваем за гигиеной этих данных. Безопасность данных пока является догоняющей, навесной, а должна быть встроенной.

В результате обмена мнениями участники дискуссии пришли к выводу, что цифровая экономика помогает бизнесу быстрее накапливать некие эфемерные ресурсы (деньги, биты и т.п.), но этими ресурсами, в отличие от реальных (еда и т.п.) сыт не будешь. Мир сейчас такой, что надо увлекаться цифровыми вещами, но патроны и воду при этом держать где-то недалеко. А цифровая трансформация в спешке показывает худшие примеры отсутствия информационной безопасности, которые только можно представить.

По мнению Александра Тварадзе, современный специалист по информационной безопасности должен быть универсалом – разбираться в ИТ, понимать основы безопасности и, кроме того, основы бизнеса, который он защищает. Этот требуемый набор навыков и знаний пугает, но одновременно подталкивает современных CISO к освоению новых тем и направлений.

Модератор дискуссии Олег Седов поинтересовался у спикеров, как, на их взгляд, выглядит уровень зрелости информационной безопасности сейчас. Илья Борисов, менеджер по ИБ регионального кластера СНГ компании thyssenkrupp Industrial Solutions, отметил, что сейчас от ИБ требуется помогать бизнесу развиваться, обеспечивать возможности работы на новых рынках и в новых областях. Иначе бизнес начинает стагнировать и терять деньги. Надо идти в ногу с бизнесом.

В заключение пленарной части Рустэм Хайретдинов отметил, что мы как взрослые люди, имеющие отношение к ИБ, должны понимать стоимость каждого шага на пути к цифровизации, чтобы не убежать слишком далеко и не потерять всё, что у нас есть.

Продолжение следует…

Ольга Горшкова
Руководитель по продвижению
BISA

Оцените материал:
Total votes: 74
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.