BIS SUMMIT. Послевкусие.

Вот теперь, в спокойной домашней обстановке или, что называется, в тапочках у камина, можно подвести итоги Московского BIS SUMMIT. И сейчас настало время того самого послевкусия, которое обретаешь исключительно по итогам правильно продегустированного дежистива.

После того, когда, как говориться, отстрелялись, можно немного приоткрыть карты о подготовке к самой конференции. За вывеской «никакой джинсы, только хардкор» и в итоге интереснейшими выступлениями скрывается просто титанический объем работы, который проделали модераторы во главе с неподражаемым Олегом Седовым. Как непосредственный участник подготовительного процесса, могу авторитетно заявить: ребята просто нереальные молодцы. Лично я раньше никогда не встречал, чтобы модераторы и спикеры так мучали друг друга J. Когда еще «за месяц до» мне позвонил Олег и сказал, что даже маркетинговая микро-мышь не проскочит ни в одном докладе, я прямо скажем был скептичен, ибо сам лично этику всегда соблюдаю, но видел не очень чистые контрпримеры со стороны. Отнюдь, в итоге – почти месяц напряженной работы в связке с коллегами, разбор порой до самых косточек тезисов и тайминга, обязательная для всех (без всяких VIP) премодерация самих презентаций. Стоила ли «овчинка»? Однозначно, да. Ведь за любым безупречным результатом кроется кропотливый труд, это – без вариантов. Давайте попробуем пробежаться кратенько и по порядку.

Поступим нестандартно, скажу сперва о том, о чем НЕ говорили. Тони Роббинс. Обсуждая подготовку к мероприятию с коллегами в соцсетях, все заявляли слайды с этим товарищем в своих презентациях. По факту – лично я заметил только 1 фото. Может плохо смотрел, но уж точно в каждом выступлении его не было.

От заглавной пленарной дискуссии всегда ожидаешь большего. И дело не в крутости спикеров или пиковой актуальности выбранных тем. Все банально: мало времени. Причем, если бы организаторы выделили целый день только на нее, все равно было бы недостаточно. Слушать умных людей и общаться с ними, впитывать знания и кусочки бесценного опыта – дорогого стоит, и это хочется продлевать до бесконечности. Главный вопрос, мучавший абсолютно всех коллег, с которыми я общался до мероприятия, заключался в том, что такое конвергенция и причем здесь ИБ. Думаю, что как бы странно это не звучало, ответ на него мы получили, но каждый под своим углом. Особенно интересной была точка зрения отдельных спикеров, об этом я писал ранее.

Культурная тематика всегда самая дискуссионная и от этого такая многогранная. «Чтобы был должный уровень культуры ИБ в компании, необходимо наличие культуры и ИБ» - таким был самый классный тезис во всей дискуссии, озвученный А. Лукацким. Говорили много и о том, что формирование культуры – это формирование ежедневного нормального поведения, из под палки такое не работает. Некоторые международные вендоры привели примеры, как ИБ устроена у них внутри, что оказалось весьма занимательно. Показательно, что прогрессивный запад долго шел к желаемому результату и заметному увеличению показателя кибергигиены внутри компании, что должно настраивать нас на упорный труд.

Про секцию, в которой выступал я, очень сложно рассуждать объективно. Последняя линия защиты теперь не выражается в виде «колпака» над периметром или устройствами, она должна проходить красной нитью сквозь бизнес-процессы компании. Крайне интересно было послушать взгляд заказчиков на проблематику и отрадно слышать в их выступлениях ровно те идеи, которые и самому приходят в голову, исходя из практики. Когда же стык таких идей выразится в виде конкретных проектов и решений, как раз и наступит то самое счастье в виде конвергенции ИБ и бизнеса. В целом сессия получилось очень живой, насыщенной и самой четко выстроенной, спасибо модераторам!

Тема регулирования почти всегда бьет рекорды по популярности. Отсюда, секция, посвященная Compliance, была для меня крайне интересная. Буду до конца честен. Здесь мои ожидания, увы, не оправдались. Ответа на самый провокационный вопрос: «как забить на регуляторов и жить бизнес-задачами?» я не получил. «Да не него не бывает правильного ответа!» - скажете вы, но я все же мечтал его получить. В сухом остатке – есть регуляторы, от них никуда не денешься. И если хочется, чтобы что-то реально работало, нужно либо закрыть бизнес, либо следовать принципам «строгость законов компенсируется…» и «все равны, но есть ровнее…». Я вынес для себя тот факт, что государства стараются, регулируют, но все еще безнадежно отстали от реальности. Однако, от них никуда не денешься, как ни крути.

Спасибо большое коллегам за приглашение поучаствовать, было безумно приятно приобщиться к такому крутому и хорошо организованному мероприятию. Это завершающий пост большой серии заметок про большое событие в мире ИБ. Не говорю пока, но до новой приятной встречи – это уж гарантированно!

Оставайтесь на светлой стороне.

О чем говорили на заглавной пленарке BIS SUMMIT.

В преддверии BIS SUMMIT интрига меня не отпускала последние несколько дней, когда программа и все спикеры уже стали известны, а то, о чем они реально будут говорить – еще нет. Поскольку машину времени пока не изобрели (ну или просто мне не попадался образец), пришлось пускать слюнки и ждать наступления самого события. И вот – этот день наконец-то настал. По еще не остывшим следам и не осевшей дорожной пыли, не в качестве благородного послевкусия, но еще практически в процессе самого действия, пару слов о том, что уже совершенно точно запомнится нам с этой конференции.

И. Массух, как модератор заглавной пленарки, начал рассуждать о цифровой экономике: «Меняется структура экономики, уберизация поникает во все сферы. Но без данных - она не экономика вовсе, поэтому очень многое должно быть завязано на процессы получения этих данных и обеспечения их безопасности». Н. Касперская говорила о роли безопасности в бизнесе: «Как пример, мы продаем безопасность в крупный корпоративный сегмент, т.е. продаем уже не продукт, а некую среду, окружение. Как более консервативный, b2b рынок пока не очень готов к эффекту уберизации. Однако, что будет происходить в b2c – пока вопрос, возможно, именно с этого сегмента начнется продажа ИБ не как софт или сервис за деньги, но будет встроена в другие сервисы и продаваться за персональные данные или иную неденежную компенсацию». Д. Красюков заявил: «Мы готовы к сервисной модели и вообще все вендоры давно созрели, но клиент не всегда готов все ещё платить за неосязаемое. Современное и будущее поколение тем более живет в виртуальной реальности и не сильно хочет возвращаться в реальный мир. Вместе с тем, определению термина «большие данные» уже более 10 лет, но это от них бизнесу никакого прока, важны умные данные - для поддержки управленческих решений и формирования прогнозов». С. Лебедь: «Мы убеждены, что будут развиваться комплексные платформы безопасности. Уже сейчас можно управлять предпочтениями людей и давать им то, что они хотят, даже если они об этом ещё не знают. ИБ - неотъемлема часть любых технологий, ее развитие как услуги - неизбежный факт». Г. Грицай: «Госпрограмма Цифровая экономика - это про эффективность. Есть те, кто дают цифровой продукты (банки, Яндекс), но у нас 2/3 экономики - это промышленность и госсектор и если им внедрить технологии у себя, то сам бизнес будет эффективнее, поэтому сейчас Цифровая экономика идёт в конкретные отрасли».

На сладкое я специально оставил тезисы эксперта, которого ждали больше всего, экономиста А. Аузана: «Товары не так важны, как услуги, это уже стало известно 15 лет назад. Сегодня же продают кастомизированные эффекты, а не услуги. Продается мечта, цена которой - зависимость. Технологии не решают ничего. Все решает культура и уровень зрелости для них. Попробуйте представить уберизация Роскосмоса, Ростатома и т.п. - это похоже на социальную революцию, чем на реальное увеличение эффективности».

В итоге - есть о чем подумать. Очень много высказывалось реально интересных вещей и взглядов под разным углом, чего нам в тесной ИБ катастрофически не хватает.

Совсем на самое-самое сладкое, не удержался J Р. Хайретдинов: «Если сегодня безопасник не будет интегрироваться в бизнес-процессы, он станет сантехником».

Оставайтесь на светлой стороне.

Сегодня стартовал BIS SUMMIT.

Мы этого дождались. И не говорите, что не предупреждали. В одной из самых красивых построек старой Москвы – гостинице «Украина», начал свою работу 11-й BIS SUMMIT. Можно с легкостью констатировать: здесь все. Уже ни раз с коллегами обсуждали конспирологические истории на тему того, что можно сделать с кибербезопасностью страны, учитывая количество топовых экспертов по теме географически в одном месте. Рассуждая о самом мероприятии в предыдущих заметках, я совершенно незаслуженно обошел стороной очень важный аспект – выставочную часть. Позвольте исправиться.

Очень многие считают, что выставочные стенды компаний бесполезны, на них не стоит тратить ни время, ни ресурсы. Однако, по моему мнению, это далеко не так. Пусть мы и на лихом коне ворвались в цифровую эпоху, пока что значение «аналоговых витрин» по-прежнему велико. Здесь можно отметить несколько важных моментов. Один из них – демонстрация товара лицом. За что мы так любим яблочные продукты? Кроме технологий, качества и удобства работы, Стиву Джобсу невозможно было бы собрать такую армию поклонников без знаменитых демонстраций, модных презентаций, безупречной и приятной упаковки, наконец. Так вот, посмотреть на красивые картинки, пощупать руками, послушать ушами (что еще из чувств забыл?) – это, как ни крути, пока еще неотъемлемая часть восприятия того или иного товара, равно как и оценки самой компании. Второе и даже и не менее важное – возможность продегустировать и пообщаться вживую с коллегами. Ведь самое важное для обеих сторон при выборе продукта – интерактивный диалог. Да, повод найти можно и без выставки, но задумайтесь, так ли это просто сделать в реалиях нашей бешеной жизни.

Вот так выглядит сама площадка, можно легко сделать вывод о масштабах события.

Мы тоже здесь, заходите обязательно на огонек!

На вот этой главной и единственной сцене выступают абсолютно все спикеры.

Еще раз подчеркну, что данная трибуна является не просто главной, но единственной, что само по себе добавляет статуса каждому выступающему.

Оставайтесь на светлой стороне.

BIS SUMMIT уже завтра.

Итак, всего ничего осталось до старта первого в этом осеннем деловом сезоне события класса «must visit» по информационной безопасности – BIS SUMMIT 2018. Деловая повестка события укомплектована на 100% и призвана никого не оставить равнодушным.

Мы просто не смогли пройти мимо такого мероприятия, Гарда Технологии будет на нем со стендом, на котором, как и всегда, можно отлично и с пользой провести время: самостоятельно «потыкать» новейшие функции в продуктах, выиграть ценные призы и, самое главное, зарядиться позитивом от живого общения J. Обязательно заходите в гости!

Судите сами, так ли много на конференциях по нашей теме выступают спикеры, с головой не погруженные в ИБ в своей повседневной работе. На панельной дискуссии выступят, в том числе, замминистра Минцифраз А. Соколов, исполнительный директор SAP CIS Д. Красюков, зампред правления Сбербанка С. Кузнецов, президент Infowatch Н. Касперская, генеральный директор АНО «Цифровая экономика» Е. Ковнир, и, как вишенка на торте, известный экономист А. Аузан. Я полностью разделяю мнение многих авторитетных коллег о том, что вопросы безопасности теперь настолько интегрированы в бизнес, что без предметного диалога с ним ИБ не выживет в современной компании. А чтобы завязать этот самый диалог, нужно с чего-то начинать. Самое просто – это хотя бы начать слушать бизнес. Тем и ценны всегда мнения уважаемых экспертов «не совсем из ИБ-тусовки», которые позволяют, во-первых, взглянуть на поднятую нами проблематику их глазами (а вдруг вообще все не так?). Во-вторых, обсуждая тихо мирно между собой задачи по обеспечению кибербезопасности бизнеса мы нередко забываем спросить: «а что действительно важно для вас?». Полученные на такой вопрос ответы не только помогают расширить восприятие и, чего уж греха таить, иногда полностью пересмотреть свои подходы к ИБ, но и приблизить то самое взаимопонимание, которое мы так упорно ищем через конвергенцию.

Кроме того, я участвую в самой интересной секции с самыми наикрутейшими модераторами (никакой рекламы, все совпадения случайны), поговорим на вообще ни разу не очевидную тему «Конвергенция последней линии защиты или единственно нужная защита?». Даже сама постановка вопроса и проблематика уже порождает мнения класса «WTF? о_О», что уж там говорить про решение.

Словом, в начале этой осени в Москве будет жарче, чем на пляже, до скорой встречи на BIS SUMMIT!

Оставайтесь на светлой стороне.

Долгожданные приказы ФСБ по теме ГосСПОКА. Хотя нет, только лишь касаемо КИИ.

  

Мы так долго ждали появления хоть какой-то ясности на поле официального нормативного регулирования со стороны одного из главных игрок по теме критической информационной инфраструктуры (КИИ) – ФСБ России, что некоторые даже ведут отсчет в днях, сколько же воды утекло с момента принятия самого пакета федеральных законов о безопасности КИИ. Сейчас же мы наблюдаем включение рога изобилия и на момент написания этой заметки он, похоже, не собирается сбавлять обороты. Пока за один день опубликованы аж 3 штуки, за номерами: 366, 367, 368, все от 24.07.2018. Подробно до самых мельчайших косточек каждый из приказов, без сомнения, разберут уважаемые коллеги-признанные «рупоры» по этой непростой теме, за что им заранее спасибо. Я же хотел бы остановиться на паре моментов, которые лично для меня кажутся весьма занятными.

Во-первых, посмотрим на первые страницы каждого из трех упомянутых приказов: «... в соответствии с пунктом…ФЗ-187…». Как мы знаем, понятие ГосСОПКА, равно как и НКЦКИ (по крайней мере, мне это казалось всегда логичным), а также область их применения несколько шире, нежели законодательство о бКИИ, ведь согласно первоначальной концепции она (ГосСОПКА) должна отвечать за кибербезопасность страны в целом, не ограничиваясь только объектами КИИ. Да и посмотрим на практику: к ней еще задолго до 187-ФЗ с разной степени активности подключались органы власти разного уровня, ведомства и даже частные компании. Так вот, ладно бы в 367, 368 приказах говорилось о перечне и порядке в отношении объектов КИИ, но в таком базовом приказе, как 366 «О создании НКЦКИ» заявляются цели исключительно в рамках 187-ФЗ. Таким образом, остается вопрос, что делать остальным участникам информационного обмена с ГосСОПКОЙ, да и статус самого НКЦКИ оказался несколько суженным.

Во-вторых, снова не появилось ясности по поводу правовых статусов так называемых корпоративных и ведомственных центров ГосСОПКА. Причем ни в отношении КИИ, ни в более широком смысле. По-прежнему, в каждом конкретном случае ведомство, государственный орган или организация согласовывают такой непрямой порядок взаимодействия индивидуально, что мягко скажем не добавляет системности подходу.

Само собой, нужно дождаться выпуска всех так давно ожидаемых приказов по теме от ФСБ, чтобы делать окончательные выводы. Но совершенно очевидно, что плодить две или более ветки нормативного регулирования по одной по сути общей теме (борьба с компьютерными атаками в России), не имеет большого смысла. Может, законодательство о бКИИ просто стало обязательным драйвером и в последствии область действия приказов будет расширена или каким-либо иным образом уточнена.

Оставайтесь на светлой стороне.

Что из самого интересного нас ждет на BIS SUMMIT.

Если отвечать коротко на вопрос – все или близко к тому. На официальном сайте опубликована практически целиком программа мероприятия, которая, по сообщениям авторитетных источников, весьма близка к итоговой.

Лично мне интересно в первую очередь послушать тех именитых экспертов, которые либо мало выступают в последнее время, либо я просто не попадаю в категорию их публики. Это позволит несколько раздвинуть зашоренный взгляд и получить альтернативное мнение, что само по себе уже ценно.

Во-вторых, в программе заявлены представитель разных уровней так называемых «баррикад»: вендоры, заказчики, консалтеры, причем, их состав очень точно сбалансирован, что намекает на активный диалог и настраивает на качественный голливудский «попкорн».

В-третьих, поставленные в каждой секции вопросы очень неочевидно получают в реальной жизни свои ответа и от этого максимально актуальны. Особенно, когда на них должен отвечать вроде бы непрофильный эксперт, в этой связи ожидаю ярких баталий в стиле «А как тебе такое, Илон Маск?».

Отдельно хочу выделить Панельную сессию IV: «Конвергенция COMPLIANCE или можно ли забыть про регуляторов и начать жить бизнесом?» Даже сама постановка вопроса настолько смелая, что из нее становится понятно, почему из всех регуляторов в программе заявлен только ЦБ J. Кстати, до сих пор (на момент публикации заметки) организаторы оставляют в качестве интриги спикеров топика, что дополнительно подогревает интерес. Значение регуляторов в реалиях отечественного бизнеса всегда было велико. Больше того, понятия «развитие рынка ИБ» и «генеральная линия регуляторики» часто отождествляются, особенно, когда речь заходит про государственные и около-государственные структуры. Нередко сегодня, в 2018 году, мне в практике встречаются примеры подписания большими боссами компаний стратегии и верхнеуровневой политики безопасности, которые полностью и исключительно базируются на соответствии требованиям законодательства. Исторически так сложилось, что на безусловном первом месте для наших организаций – боязнь не попасть «под раздачу» государственной машины, в этой связи руководство вникает в нюансы обеспечения соответствия законам куда охотнее, нежели в так называемую «реальную» безопасность. Именно поэтому так ценны будут кейсы из практики, когда практические цели по обеспечению ИБ достигаются не вместо, но вместе с выполнением требований регуляторов, а то и вовсе, как гласит заголовок, забывши об оных.

До встречи на BIS SUMMIT!

Оставайтесь на светлой стороне.