15 Июля, 2019

Петербург. Конференция по безопасности финансовой отрасли #PaymentSecurity.

Роман Жуков

4-5 июля 2019 в городе культурном Санкт-Петербурге состоялась #PaymentSecurity. За свою многолетнюю история она превратилась из довольно нишевого мероприятие по стандартам безопасности карточных данных PCI SSC в традиционную конференцию, освещающую вопросы безопасности всей финансовой отрасли. Собралось более 200 чел., что довольно нехило для регионального тематического события.

Keynote.
Традиционно keynote-спикером выступал Jeremy King, International Director of the PCI Security Standards Council. Рассказывал про актуальные тренды и про будущее серии стандартов, которых суммарно уже более десятка. Самое интересное, что зацепило меня, как разработчика софта - это разработка требований Software Security Framework. Они будут так или иначе настоятельно рекомендованы разработчикам, участвующим своими продуктами в индустрии обработки данных платежных карт. При этом, много говорилось про flexibility и широкие возможности адаптации стандартов под реалии каждой компании... но. Количество требований и рекомендаций растет, а их детализация - настораживает.

Общение с J. King.
После пленарной части я пообщался с Mr. King в кулуарах и высказал свои опасения по этом поводу. Ведь мы в России привыкли, что отечественный подход к регулированию крайне прост и детализирован: делайте "раз, два, три" и между строк покупайте "раз, два три". Вот теперь и ГОСТ 56939-2016 по безопасной разработке стал обязательным для нас, лицензиатов ФСТЭК. Не говоря уже о проверке на НДВ, соответствие УД и прочее для софта во многих организациях в стране, в том числе для банков. Так вот, нашему законодательству часто противопоставляли "западное", мол, у них там свобода действий, риск-ориентированный подход. В ответ на мой вопрос, Jeremy ответил, что так-то оно так, но мы ведь должны убедиться, что у вас patch-менеджмент, что у вас цикл безопасной разработки, что у вас обученные люди...Буквально, один раз посмотрим одним глазком и все. Мораль в том, что с какой стороны не посмотри, а регулирование начинает детализироваться, в том числе международное. Может, это и хорошо? Выполнил все гранулированные требования - ответственности меньше. "У меня все сертифицировано, какой ущерб?".

Секции.
Кроме пленарного доклада, были крайне интересные секции. Все посетить не смог, было аж три потока. Отмечу, что вендорских докладов не было от слова СОВСЕМ, что очень круто! Только полезности, практика, личный опыт, живые обсуждения, истории из жизни. Я, кстати, рассказывал о том, как подружить безопасников из разных подразделений во имя одной цели - борьбы с мошенничеством. Организаторы обещали выложить все презентации.

О полезных инициативах.
Есть еще одно наблюдение. Я вижу большой спрос со стороны аудитории на простые вещи. Мы с коллегами частенько грешим тем, что хотим скорее поделиться новыми технологиями, зрелыми подходами, чем-то "космическим". Но гораздо более востребованы темы: ПДн, автоматизация очевидных вещей, разбор какой-то простой истории, "разжевывание" и раскладка по полочкам. В этом смысле инициатива Льва Палей "Посиделки по ИБ" и идея грядущего "Код ИБ: Профи" - учения в каждом выступлении.

Давайте не будем бояться говорить о простых вещах и разбирать будничные кейсы! Шаринг опыта и демонстрация на примере живой боли. Я - за. А вы?

Оставайтесь на светлой стороне.