09.02.2017

Cyber Security Forum: КИИ и ПДн в моем фокусе

Если вы ждали сегодня обзора вчерашней конференции ФСТЭК, то вы ошиблись - сегодня будет обзор позавчерашнего Cyber Security Forum, на котором мне довелось выступить в секции про "Эпоху 4.0", а также помодерировать секцию по персональным данным. Вообще это мероприятие у меня всегда вызывает определенный диссонанс. В его названии встречается слово "кибербезопасность", но вот про классическую кибербезопасность на мероприятии практически ничего нет (за редкими вкраплениями). CSF посвящен тому, что на Западе вкладывают в термины "Governance" и "Policy", то есть обсуждению государственных, окологосударственных, юридических вопросов. Большое внимание уделяется вопросам защиты детей, контентной безопасности и блокировкам в сети Интернет, культуре и т.п. Отсюда совершенно иная аудитория, отсутствующая на "наших" привычных поибшных тусовках.


Мой доклад (а уже выложены все презентации) был посвящен фантазиям на тему, как стоило бы развиваться законодательству по безопасности критической инфраструктуры.  Выделено мне было 10-15 минут, а я, как многие знают, сегда выступаю против таких коротких выступлений. Считаю, что за такой интервал времени очень сложно донести что-то практически полезное до аудитории. Хотя в последнее время меня часто просят именно в сжатом виде рассказать непрофильной аудитории про ИБ. Приходится потеть, чтобы это сделать - все-таки это не презентацию на 500 слайдов в течение 8 часов читать - тут приходится приоритезировать и выделять самое главное. Так было и в этот раз. Утешало одно - на моем выстулпении сидел заместитель министра связи, который внимательно слушал то, что я говорил и местами удивленно поднимал брови, впервые услышав об отдельных положениях законопроекта по безопасности КИИ. Надеюсь, что его внимание поможет повлиять на благоприятное развитие ситуации с активно обсуждаемым законопроектом последнего времени.



Презентация удивительно коротка для меня :-) но ключевые моменты в ней я отразил. По сути я повторил ключевые положения заключения кластера по ИБК на тройку законопроектов по безопасности КИИ.

В финальной части CSF я модерировал секцию по персональным данным, которая для меня оказалась неожиданно интересной. За последние годы тема эта поутихла, а когда всплывает, то говорят про нее преимущестенно в контексте ожидаемых штрафов (а Президент подписал во вторник поправки в КоАП, но об этом я напишу отдельно). В этот же раз все было совсем по другому. Дмитрий Сидорин из одноименной лаборатории рассказывал прикольнейшие кейсы про утечки в соцсетях, про то, как распространяется информация в Интернете и т.п. Я же смотрел на его доклад с точки зрения ИБ - как публикация селфи на фоне экранов с паролями или планов перспективного развития может навредить компании. Очень живая презентация от человека, который раньше работал в Инфовотч и Крибрум.

В докладе Дмитрия Малышева из MADCRUSH говорилось о другой проблеме со стороны сотрудников - об инсайдерах, которые торгуют персональными данными (и иной информацией компании) на специализированных биржах, готовых покупать инсайд, нанося тем самым ущерб компаниям. Тоже нечасто об этом говорят, преимущественно концентрируясь на теме соответствия требованиям регулятора, а не реальной необходимости защищать информацию.

Финальным аккордом стало выступление Максима Лагутина из Б-152 (не путать с популярным коктейлем), который систематизировал свой опыт участия в трех десятках проверок РКН за прошедший год. Очень отрезвляющее выступление с конкретными примерами, что и как смотрит РКН во время проверок операторов ПДн. Учитывая, что я схожую информацию слышал еще из нескольких источников я склонен ей верить и рассматривать ее как сложившуюся практику. Но про эту тему я хотел написать отдельную заметку на следующей неделе.