04.02.2015

Чего я жду от магнитогорского форума #ibbank?

16-го февраля, всего через 2 недели, начнется очередное знаковое событие в банковской ИБ - Уральский форум "Информационная безопасность банков". Я туда езжу уже много лет и это одно из четырех региональных событий общероссийского масштаба, которые мне нравится посещать (еще IT & Security Forum, "Код безопасности" и ИнфоБЕРЕГ, если последний вернется из Крыма в Сочи :-) Еду я и в этот раз; причем от текущего мероприятия у меня особые ожидания.

И дело тут не только в том, что в Магнитогорске в этом время нормальная зима. Скрипучий снег, морозец, солнце, свежий воздух... В Москвы мы этого всего лишены большую часть зимних месяцев и поэтому хоть ненадолго прильнуть к лону природы дорогого стоит.

И дело не в том, что в Магнитогорске удается встретиться и нормально пообщаться с друзьями и коллегами, которых в Москве, с нашим ритмом, трудно вытащить на встречу. А на Урале для этого все условия - деревянные бани с морозными купальнями на улице, соленые груздочки в сметане, пельмешки, травяной чай с медом и другие напитки, которые так хорошо идут под гитару или караоке в 3 часа ночи. Есть и иные, более рабочие мотивы.

В первую очередь, это мероприятие задает тон на ближайший год в части ИБ банковской сферы. Именно на нем озвучиваются различные инициативы, которые затем, в течение года претворяются в жизнь. В частности в этот раз я жду ответа на следующие вопросы:
  1. Противостояние ГУБиЗИ и ДНПС. После того, как в ЦБ произошла очередная реорганизация и ДНПС покинули ключевые сотрудники, занимавшиеся ИБ, в ДНПС не осталось никого, кто обладал бы политическим влиянием продвигать какие-то изменения в области информационной безопасности Национальной платежной системы. И методологическая основа оттуда тоже исчезла. В итоге ДНПС сейчас собирает сейчас 202-ю и 203-ю формы отчетности, но никакой публичной аналитики по ним нет уже полтора года. Последний отчет об инцидентах был за первое полугодие 2013-го года. Возникает закономерный вопрос - зачем нужен ДНПС, если за ИБ в кредитных организациях он отвечает лишь формально? Не вернуть ли эту тему обратно в ГУБЗИ, в единые руки, которые писали и СТО БР ИББС и первую редакцию 382-П? Тогда развитие нормативной базы ЦБ в области ИБ станет более понятным и предсказуемым. Да и к мнению отрасли станут больше прислушиваться - в последних двух редакциях 382-П мнение экспертов, высказанных на разных рабочих группах почти не было услышано. Есть шанс, что в Магнитогорске может появиться ясность в этом вопросе.
  2. FinCERT. 30-го января "Ведомости" опубликовали статью про FinCERT, которая сразу вызвала споры в узком кругу специалистов. Статья утверждала, что из ряда источников стало известно, что центр реагирования на инциденты безопасности в кредитных организациях будет создан не при ЦБ, как говорилось ранее, включая и прошлогодний Уральский форум, а при ООО НСПК (его представители, кстати, тоже будут на форуме в Магнитогорске); и заниматься, якобы, этот центр будет не всеми инцидентами в кредитных организациях, а только связанными с карточным мошенничеством в НСПК. Со стороны ряда экспертов, приближенных к ЦБ, был высказан тезис, что все не так, как написано в статье. На форуме обещали раскрыть все карты и рассказать, что все-таки будет делать FinCERT? Меня лично интересует два вопроса, с ним связанных. Первый - что станется с 203-й и 258-й формами отчетности? Куда они будут направляться после запуска FinCERT'а - по-прежнему в ДНПС (и там они пропадают, как в бездне) или в FinCERT? А второй вопрос связан со сферой деятельности FinCERT - ограничится ли он только аналитической и методологической составляющей (что врядли, учитывая, что очень активную роль в процессе создания играет Совет Безопасности и ФСБ) или будет заниматься расследованием инцидентов? Но тогда встает вопрос о внесении изменений в законодательстве об ОРД. На форуме должны дать ответ и на эти вопросы.
  3. ИБ в НСПК. С НСПК связана и другая тема. С 1-го апреля она должна быть запущена в промышленную эксплуатацию. НСПК, как платежная система, является частью НПС и обязана соблюдать ее правила. В том числе правила и по информационной безопасности, описанные в 382-П. Но там про безопасность карточек нет ни слова (кроме поправок в новую редакцию 382-П, вступающие силу с 16-го марта, о том, что надо переходить на чиповые карты). Как выполнять требования по ИБ применительно к картам, выданным НСПК? Тему "легализации" PCI DSS прикрыли; да и в текущей геополитической ситуации ее врядли кто поднимет на древко (тут самому бы на это древко не быть поднятым). Тоже тема с множеством вопросов, на которые хотелось бы получить ответы; особенно учитывая, присутствие на форуме всех ключевых игроков.
  4. ФЗ-242 и перевод денежных средств. Учитывая присутствие на форуме представителей РКН, я предвижу, что им может быть задан вопрос о том, как осуществлять денежные переводы из России (в которых фигурируют ПДн плательщика - гражданина РФ) в другие государства; особенно в рамках заработавшего с 1-го января ЕАЭС? Запрещает ФЗ-242 хранить ПДн российских плательщиков в АБС иностранных банков-получателей или нет? Кто-то говорит, что нет. Кто-то, что да. А хотелось бы иметь четкий ответ. Может быть такой запрос уже сделал ЦБ в сторону РКН?.. 
Я назвал четыре темы, которые вызывают мой искренний интерес, и которые должны быть освещены в рамках форума (может быть и непублично - не зря многие вопросы на форуме обсуждаются кулуарно). Но это не все, что представляет интерес.

Лютиков Виталий Сергеевич будет говорить о подходах к безопасности ПО, что, учитывая подготовку нормативки по данной теме, говорит о том, что нас ждет скоро новая тема, курируемая ФСТЭК - SDLC и все с ней связанное. Судя по тому, что на конференции ФСТЭК "Актуальные вопросы защиты информации" этой теме должного внимания не уделено, то на Урале будет премьера. Будут выступления про проверки со стороны ЦБ и ИБ в некредитных организациях. МВД расскажет про противодействие мошенничеству, а 8-ка про использование отечественных HSM при создании НСПК. Кстати, со стороны органов власти будет очень представительная делегация - ЦБ (все ключевые департаменты), ФСБ, ФСТЭК, РКН, Совет Федерации, заместитель губернатора Челябинской области (Руслан Гаттаров).

Еще мне интересен формат, который был опробован в прошлом году - вечерние посиделки "на тему". В прошлом году очень удачно подискутировали "под пиво" про FinCERT. В этом году было решено поговорить на животрепещущую тему санкций. И дело тут не только в части поставок ИБ/ИТ-решений в банки, но и в части осуществления деятельности по переводу денежных средств. Например, "Золотая корона" не осуществляет с 20-го ноября платежей в Крым и Севастополь. Почему? Российская платежная система и не переводит в регион РФ... Странно. Тема для обсуждения.

Будет несколько круглых столов; интересных мне два. Один ведет Наташа Касперская - про авторитет ИБ в условиях кризиса. Второй - про ожидания банков от ИБ-вендоров и интеграторов. Думаю будет много неудобных вопросов про повышение цен на отечественные продукты, непрозрачность ценообразования, нежелание кредитования и т.п. Будут и специальные воркшопы от вендоров - полуторачасовые демонстрации продуктов и решений с вопросами и ответами (этого в прошлом году не было).

Впервые будет закрытая секция, на которую будут допущены только банки, которые смогут пообщаться с ЦБ, ФСБ и МВД. Что там будет - можно предположить, но доподлинно неизвестно. В контексте создания FinCERT секция будет более чем интересная.

А на закуску - день практической безопасности. Последний день форума. Будет 3 мастер-класса - от Касперского, Positive Technologies и CTI... 2 выступления от "банкиров" - Фарит Музипов поделится опытом прохождения различных международных ИБшных сертификаций, а Андрей Коротков расскажет о том, как он "переметнулся" из ИБ в ИТ и как у него поменялось мировозрение :-)

И, наконец, в этом году родилась идея попробовать провести киберучения по информационной безопасности. Это не будет аналогом CTF, направленного на технических специалистов. Хочется попробовать провернуть что-то для руководителей ИБ, которые в режиме мозгового штурма (пока детали раскрывать не буду) попробуют отражать атаки на несуществующий, но похожий на реальный банк, а жюри и аудитория в зале будет оценивать действия нападающей и защищающейся сторон.

Также из новинок хотел бы отметить:

  • Бесплатное обучение по вопросам безопасности от ряда ведущих учебных центров России (очень удачно можно совместить командировку с обучением, что в условиях урезания бюджетов будет очень и очень актуально).
  • Мобильное приложение "Уральский форум", которое содержит программу конференции с возможностью составить собственное расписание, список участников (теперь можно не тупить "а ты кто такой", а глянуть в приложение) и спикеров, партнеров и организаторов. Для тех кто любит ночами блудить между катком, караоке, банями, бильярдом и баром, в приложении будет карта места проведения конференции с указанием всех злачных мест :-) Ну и самое интересное - голосование. В прошлом году мы голосовали карточками (как судьи на футбольном поле) - в этот раз инновации достигли Урала и свою оценку можно будет поставить любому спикеру. При этом он вас не видит и вы можете разгуляться по полной :-) 

  • Книжная ярмарка с новинками ИБ-литературы. Кстати, на форуме будет представлена книжка Артема Сычева и Сергея Вихорева "Диалоги о безопасности информации". Кто хочет получить книгу с автографами авторов? :-)


    Насыщенная программа, интересные темы... Присоединяйтесь :-)



    ЗЫ. Мне тут дали понять, что мой репортаж в прямом эфире с конференции - не самая лучшая идея, которая приводит к потере на склоне или в баре части аудитории, следящей за происходящем в зале по моим твитам. Так что в этом году прямого репортажа может и не состояться :-(

    9 коммент.:

    Евгений Толстов комментирует...

    А как можно книгу получить? Не нашел где ее приобрести.

    Алексей Лукацкий комментирует...

    В Магнитогорске можно будет приобрести. Как показывает опыт, такие книги печатаются небольшим тиражом и расходятся быстро и по своим

    Сергей Борисов комментирует...

    Если не будет онлайн трансляции, то интерес к мероприятию у не поехавших будет гораздо ниже. Не читать же потом официальные пресс релизы по итогам !!

    Если не хочешь вести репортаж сам, передай эстафету какому-то другому блогеру :)

    Алексей Лукацкий комментирует...

    Сергей: так я не против, если кто-то будет постить. Никто ж не хочет - все либо на склоне, либо спят после ночного, либо пальцами по кнопкам не попадают

    Сергей Борисов комментирует...

    Надо проявить инициативу, назначить кого-то из присутствующих в зале в первый день, пообещать какие-то ништячки, типа упоминания в блоге Лукацкого

    Алексей Лукацкий комментирует...

    Ну у нас все люди взрослые - сами могут инициативу проявить

    Александр Хонин комментирует...

    Алексей, надеюсь что вы все-таки будете вести онлайн трансляцию с этого мероприятия. Мероприятие по своему содержанию очень интересное (а посетить его нет возможности).

    hunter3b hunter3b комментирует...

    > ИнфоБЕРЕГ, если последний вернется из Крыма в Сочи
    А причем тут Крым/Сочи?

    Алексей Лукацкий комментирует...

    Последний ИнфоБЕРЕГ проходил в Крыму; до этого в Сочи. В Крым ездят не все