Учения-свет или Профи в Сочи-2

image

В преддверии “Кода ИБ ПРОФИ” в Сочи (26-29 июля) традиционно беседуем с его куратором Алексеем Лукацким.

-”Код ИБ ПРОФИ” начнется с погружения в мир 2024 года, как Вы думаете, смогут ли к этому времени безопасники сохранять контроль над ситуацией? Или же это будет время хаоса и войны всех против всех в киберпространстве?Каков Ваш прогноз?

-Мы в рамках этой дискуссии будем, наверное, больше говорить про изменение роли безопасника в современном мире, про то, что ему надо быть более бизнес-ориентированным, учитывать бизнес-потребности, прорывные технологии, которые появляются. Это и блокчейн, и квантовые вычисления, и машинное обучение, и VR/AR, и финтех в разных его проявлениях (если организация финансовая). Именно они будут определять, каким будет безопасник и сама безопасность через несколько лет. Таким образом, наша дискуссия должна дать некий толчок безопасникам, чтобы они ушли от классического рассмотрения своей деятельности только как борьбы с угрозами или исполнения требований законодательства в сторону бизнес-ориентированности и лучшего понимания того, чего от них ждет бизнес.

-Кто целевые участники нынешнего Кода ИБ ПРОФИ в Сочи? Есть ли те, кто участвует в ПРОФИ повторно?

-ЦА - здесь ничего не поменялось: руководители, заместители, ведущие специалисты по ИБ и ИТ, то есть те, кто обеспечивает безопасность на своих предприятиях. Насколько мне известно, порядка 10% из общего списка-участники прошлых ПРОФИ в Москве и Сочи.

-Как видно из программы, этот ПРОФИ уделит больше внимания, чем предыдущие, технологиям ИБ, а не только управлению, с чем это связано?

-Это наша боль ☹ Чисто управленческая тема не так сильно взлетела, как предполагалось изначально. К сожалению, в практике основная масса безопасников делает акцент именно на применении технических средств, и поэтому нам пришлось учесть те запросы, которые были с их стороны и чуть расширить технологический стек наших докладов, рассказывая о том, как решать достаточно приземленные задачи, связанные с расследованием инцидентов, с реализацией требований регуляторов на различных технологических платформах, как строить центры мониторинга безопасности, опять же, с применением различных технологий, как выстраивать программу Threat Intelligence и т.д. То есть мы следуем в данном случае за потребностью аудитории, хотя по-прежнему добавляем ряд докладов организационно-управленческого характера для того, чтобы дать некий взгляд вперед, в будущее.

-На волне GDPR отдельный мастер-класс посвящен законам. Должен ли безопасник разбираться в праве? Могут ли безопасники сейчас обойтись без юристов или консультация последних обязательна? Могут ли быть полезны штатные юристы или им не хватает компетенции консультировать безопасников?

-Как раз в текущий момент то, что безопасники начинают интересоваться правом, юридическим аспектами, говорит о том, что штатных юристов категорически не хватает, они заняты в основном частным правом, вопросами собственности, правильным оформлением различных договоров и совершенно упускают из вида те моменты, которые связаны с деятельностью безопасника и от которых, в частности зависит, насколько серьезны могут быть юридические риски для бизнеса. Это и выполнение требований законов о персональных данных и GDPR, и вопрос о лицензировании, вопрос сертификации и оценки соответствия средств защиты. Поэтому безопаснику эти знания необходимы и поэтому у нас, собственно, появился такой мастер-класс, который посвящен тому, как соотнести требования российского и зарубежного законодательства по персональным данным. Удивительно, но тема новой европейской директивы очень востребована у российских специалистов, которые уже инвестировали в выполнение требований ФЗ-152, и которые хотели бы понять, как им оптимально реализовать еще и требования GDPR.

-То есть, по факту, сейчас безопасникам самим нужно расширять юридические компетенции, уже не надеясь ни на каких юристов?

-Надеяться, но не забывать про то, что им самим необходимо знать ключевые моменты, связанные с выполнением законодательства. Связано это с тем, что есть немалое количество тем, в которых юристы вообще плавают, а их неисполнение может привести к уголовной ответственности для руководства организации. Поэтому безопасники, как минимум, должны понимать ключевые нормативные акты, которые регулируют их деятельность, и, как следствие, оценивать риски от их выполнения/невыполнения.

-Если бы вы были гидом по “Коду ИБ ПРОФИ”, какие доклады Вы бы назвали must visit для разных групп участников? Для CISO? Для CSO? Для CTO? И других

-Точно обязательных докладов у нас в программе нет, но мы специально старались, чтобы все доклады были интересными для всех участников, поэтому мы рассчитываем, что, если на какой-то поток или какие-то доклады участник не попадет, то чтобы он посмотрел его в записи, тем более, что записи будут доступны для участников. Поэтому мы стремимся, чтобы участник, который посетил ПРОФИ, просмотрел все без исключения доклады, поучаствовал в мастер-классах и киберучениях. Это и теоретическая составляющая и практическая и все они пригодятся в профессиональной деятельности.

-Что бы вы назвали главной фишкой нынешнего ПРОФИ в Сочи?

-Добавились киберучения. Если раньше на мероприятии ведущие преимущественно делились опытом и отвечали на задаваемые участниками вопросы, то сейчас мы добавили интерактива и уже сами участники будут полноправными членами нескольких команд, перед которыми будут поставлены неожиданные задачи, моделирующие реальные ситуации в деятельности ИБ службы. А дальше все будет зависеть от того, насколько оперативно и эффективно участники смогут среагировать на них. Мы хотим понять, готовы ли они к этому, как они будут действовать в нештатных ситуациях, как они будут коммуницировать между подразделениями или с внешним миром. То есть попробовать, не доводя до реального инцидента, выработать ряд конкретных мероприятий по реагированию.

-Как возникла идея киберучений?

-Достаточно просто. Это моделирование ситуаций, которые могут произойти на любом предприятии. В реальной жизни далеко не у всех есть опыт (к счастью) реагирования на инциденты. Например, вирус шифрует важные файлы, причем, в тот момент, когда это очень неудобно для бизнеса. Например, сдается финансовая отчетность, либо готовятся документы для процесса слияния/ поглощения компаний, когда каждый час на счету и бизнесу (именно бизнесу, не безопаснику) надо принимать решение, что делать. Или мы пытаемся вернуть данные из резервной копии, если она есть, или мы должны обратиться в правоохранительные органы или в специализированные компании, которые будут проводить расследование и попытаются вернуть доступ к файлам. Или мы просто заплатим выкуп мошенникам. Если платим выкуп (а бизнес часто принимает именно такое решение), мы тоже должны быть к этому готовы. Есть ли у нас биткойн-кошелек? Не будет ли это воспринято уполномоченными органами как отмывание денег, полученных незаконным путем? Все эти вопросы могут возникнуть в реальной жизни, и не каждый безопасник знает, как на них оперативно реагировать. В условиях инцидента каждая минута на счету, поэтому в рамках таких учений, когда мы моделируем реальные ситуации, мы даем человеку как будто прожить реальный инцидент, пропустить это через себя и без нанесения реального ущерба компании просто подготовиться к тому, что может произойти в реальности.

На московском Коде ИБ ПРОФИ как раз был мастер-класс, посвященный тому, как проводить киберучения для руководства. Сейчас мы от рассказа о том, как это сделать, переходим непосредственно к практике. Мы посмотрим, как это делается, каковы роли участников, насколько серьезный нужен инструментарий, сколько они длятся, какой выхлоп из этого. То есть они смогут скомбинировать знания, полученные на московском Код ИБ, с практикой.

-У каждого участника будет индивидуальное задание или же будет общая легенда?

-Будет несколько команд. Всем будет дана одинаковая легенда, а дальше они будут готовить варианты действий в рамках этой легенды, это будет задача, предполагающая несколько решений. Соответственно, каждый сможет подготовить свой вариант действий в рамках команды, потом что обеспечение ИБ - это всегда командная работа. У кого-то из участников есть практический опыт борьбы с инцидентами, у кого-то нет, они в рамках небольших команд по 4-5 человек смогут обмениваться опытом, делиться какими-то идеями и потом уже выступать от имени команды, представляя свое решение, которое и будет оцениваться. При

этом главное понимать, что нет неправильных решений и ответов. Каждая озвученная мера или мероприятие ценны и важны. Самое главное не бездействовать, чтобы не наносить ущерб своей компании.

-Мастер-классы дадут “готовые рецепты” ИБ или же это будет информация, к которой нужно отнестись творчески?

-Будут разные мастер-классы, потому что в безопасности обычно не бывает совсем уж готовых рецептов. Где-то будут даны чек-листы и наборы конкретных действий по тому, что и как делать. Где-то - мысли к размышлению о том, как бы действовал человек в той или иной ситуации. Где-то те или иные материалы заставят человека задуматься, например, о психологии, связанной с ИБ, если специалист раньше в эту сторону не смотрел, а специализировался на технологических аспектах либо на соблюдении законодательства. То есть наша задача - показать безопасность с разных сторон, в том числе, не совсем традиционных.

-Программа, пожалуй, включает все, что нужно, чтобы прокачаться современному ИБ-директору, а что осталось неохваченным и почему?

-На самом деле, неохваченных тем очень много, потому что у нас всего два потока и всего два дня. На той же RSAC в США, а она является крупнейшим мероприятием по ИБ в мире, проводится до 30 параллельных потоков в течение 5 дней. И то все темы не удается рассмотреть. Поэтому мы не ставили себе задачи подготовить за два дня практикующего руководителя или ведущего специалиста по ИБ; но многие темы от специалистов практиков будут интересны и полезны. Вряд ли кто-то скажет, что он бесполезно провел два дня на конференции. Но все-таки не на все вопросы будут даны ответы.

Отчасти потому, что у нас недостаточно спикеров для этого, отчасти из-за нехватки времени в программе, отчасти потому, что со стороны аудитории нет востребованности этих тем и как бы нам ни хотелось рассказывать о каком-то будущем, каких-то бизнес-ориентированных практиках, надо понимать, что если эта практика не ложится на опыт специалиста по ИБ, она не будет воспринята. Поэтому мы старались найти некий компромисс между тем, как должно быть и тем, что хочет непосредственно специалист по безопасности в данный момент времени. В любом случае у нас будет возможность общаться в свободное от мастер-классов время – тогда можно будет поговорить и о том, что не вошло в основную программу.

Беседовала Вера Архангельская

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.