Сохранить и защитить данные на всем жизненном цикле

Конференцию открыла превью-дискуссия с участием модераторов всех треков. Ведущий, директор по продуктам группы компаний «Гарда» Павел Кузнецов, посвятил ее глобальным трендам в части защиты приватности. По мнению Руслана Юсуфова, футуролога, основателя и управляющего партнера компании MINDSMITH, эксперта в области технологических трендов и информационной безопасности, мы превращаемся в шахты по добыче данных. Тогда как корпорации стремятся к монетизации информационного актива, государство стоит на стороне граждан в вопросах защиты персданных. Эксперты обсудили, как найти баланс между безопасностью и удобством для бизнеса.

В первой секции в центре внимания были типы решений для защиты данных в цифровых сервисах. Модератор, эксперт в области информационной безопасности Алексей Волков, поднял тему актуальности технологии SIEM. Решения этого класса долгое время рассматривались как технологическое ядро для построения системы информационной безопасности. Однако со временем ИТ-инфраструктура стала масштабироваться динамичнее, атаки стали сложнее и длительнее, событий и инцидентов стало больше, а штат сотрудников и бюджеты на ИБ отстали в темпах роста. О том, способен ли традиционный подход решать современные задачи по кибербезопасности или пора отправлять SIEM «на пенсию» участники дискутировали в треке «Негартнер».

«Утечки, как и любые другие ИБ- и ИТ-инциденты — это прежде всего человеческий фактор. Уязвимости в ПО создают люди, находят и „ломают“ такое ПО тоже люди, равно как и пытаются его защитить. У каждого участника этого процесса есть свои мотивы, условия и обстоятельства, которые в совокупности с уровнем знаний и возможностей могут создать инцидент. Поэтому необходимо строить безопасность, отталкиваясь не от инфраструктуры, данных или продукта, но от человека, будь то клиент, сотрудник или подрядчик», — говорит Алексей Волков.

О новых технологиях в защите данных эксперты говорили в секции конференции, которую курировал Андрей Арефьев, директор по инновационным проектам InfoWatch. В вопросы токенизации слушателей погрузил директор проектов Банк ВТБ (ПАО) Ян Коршунов: «Метод подходит для защиты данных (номера банковских карт, страховых полисов и др.), за которыми регулярно охотятся мошенники с целью материальной наживы. Если преступники не справляются с системой защиты сервера токенизации, чтобы получить связанные с токенами реальные данные, то похищенные токены не дают никаких возможностей использовать украденный массив данных».

Заместитель руководителя лаборатории криптографии компании «Криптонит» Иван Чижов в своем докладе отметил, что, например, такое распространенное сегодня средство защиты, как электронная подпись, в ближайшем будущем будет легко ломаться квантовым компьютером.

«Бастион», Makves, Skillbox и Weblock руководящим составом обсудили подходы к расследованию инцидентов с утечками данных. Эксперты начали с основ: вопросов о том, как крадут данные и чем мотивируются похитители, базовых подходов к расследованию инцидентов. Вторую часть дискуссии построили вокруг выбора способов обезопасить предоставление данных подрядчикам и в целом их хранение. В этом блоке не обошли стороной системы маскирования, тему регуляции требований к подрядчику в части обеспечения безопасности передаваемых данных. Логичным продолжением беседы стало обсуждение законодательных вопросов: оборотных штрафов, групповых исков, компенсаций жертвам утечек и др.

О чем никто не хочет думать, занимаясь защитой данных, говорили в секции Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies. Анастасия Гайнетдинова, IT Security Analyst компании Whoosh сфокусировала внимание коллег на областях, которые часто забывают при защите данных. Во-первых, это ошибки при разработке. «Код нужно написать быстро, потому что фича нужна еще вчера. Зачастую проблема утечек может скрываться в том, что разработчики утаскивают код на свой GitHub, чтобы доделать в свободное от работы время, забывая о настройках видимости, либо для быстрых тестов зашивают в рабочий код токены доступа», — поделилась Анастасия. Так же следует учитывать киберустойчивость подрядчиков, документационные аспекты и оснащаться проактивными мерами защиты.

В секции Андрея Вишнякова, пресейл-директора группы компаний «Гарда» эксперты обсудили, как строить эффективную экосистему защиты данных. Дискуссия затронула вопросы необходимости разделения вопросов защиты от внешних атак и злонамеренных сотрудников и приватности данных, приоритизацию обеспечения конфиденциальности, целостности и доступности данных, обговорили возможность создания единого решения, которое защитит данные на всем их жизненном цикле и многое другое.

Ключевую дискуссию о регуляторном аспекте защиты данных открыл Дмитрий Шевцов, начальник управления ФСТЭК России. Спикер подчеркнул, что основная цель государства состоит в повышении уровня защиты информации. В частности, ФСТЭК отвечает за четко очерченную область: это госсектор, государственные информационные ресурсы, объекты КИИ, состав и содержание мер и способов защиты персональных данных (ПДн). Дмитрий подчеркнул необходимость наличия нормативно-правовой базы, которая бы отвечала на каждый вопрос информационной безопасности, и отметил, что база эта должна быть доступной и прозрачной. При этом, спикер напомнил, что в Службе всегда открыты для взаимодействия, готовы выслушать экспертов для эффективной корректировки документов на основе практики их применения.

Директор Департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин вынес на обсуждение вопрос целесообразности хранения избыточного количества данных в цифровых системах. Спикер считает, что для обеспечения безопасности необходимо повышать значимость хранимой информации, а значит, в том числе и сокращать объемы собираемой и хранимой информации.

В процессе обсуждения вопроса об оборотных штрафах директор Департамента цифровых технологий Торгово-промышленной палаты РФ Владимир Маслов отметил, что риски, связанные с ответственностью за утечки, могут привести к банкротству малых и средних предприятий.

Виталий Терентьев, CSO и GR HeadHunter прокомментировал, что в случае введения оборотных штрафов в нынешних условиях компании будут вынуждены тратить колоссальные ресурсы на то, чтобы доказать, что данные утекли не из их баз, вместо того, чтобы фокусироваться на усилении защиты.

Александр Кириллов, советник генерального директора по информации «Северсталь-групп» акцентировал внимание на необходимости понимания стоимости информации для целесообразности распределения бюджетов на ее защиту. Спикер отметил важность неведения порядка в собственных IT-системах и ограничения доступов к защищаемой информации. Кроме того, он отметил что современный российский рынок не в состоянии предложить заказчикам эффективный инструмент аудита СУБД.

В заключение, Борис Мирошников, вице-президент группы компаний «Гарда» подчеркнул, что невозможно игнорировать открытость современной цифровой реальности. Как следствие, что доказывает статистика сбора ПДн и утечек, очевидна заинтересованность преступников в каждом гражданине. Борис Николаевич лишний раз подсветил опасности, которым подвергаются люди в следствие небрежного отношения бизнеса к вопросам защиты данных на всем их жизненном цикле.

По итогам конференции заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов отметил: «У конференций по информационной безопасности есть только один недостаток — их количество. При этом большинство мероприятий строятся вокруг защиты инфраструктуры, регулирования, импортозамещения, лоббирования интересов отрасли. Увы, только по касательной, проходит вопрос защиты данные. Мы вывели его в приоритет. На конференции мы рассмотрели все аспекты защиты данных: технические, организационные, продуктово-экосистемные, регуляторные, экономические, юридические и даже PR-аспекты. Мы планируем углубляться и расширяться, возвращаясь к теме, как минимум раз в год».
Секцией по экономике защиты данных управлял Дмитрий Шепелявый, исполнительный директор технологической практики компании «Технологии Доверия» и обсудил с экспертами финансовую сторону вопроса защиты данных.

Александр Кондратенко, заместитель директора департамента, начальник управления рисками и развития процессов информационной безопасности Росбанка, отметил, что следование регуляторной модели существенно снижает риски утечек информации, как следствие, экономический ущерб.

Эксперты Ростелеком и VK выразили единое мнение о том, что расходы на ИБ вполне поддаются расчетам. Михаил Савельев, директор департамента методологии ИБ блока ИБ ПАО «Ростелеком»: «Я к чему клоню, независимо от того, что вы выберете недопустимым событием безопасности, защищаться вам всë равно нужно на все 100%». Михаил Толчельников, руководитель группы управления киберрисками, VK: «Никаких несчётных вещей в бизнесе нет. Всë моделируется и считается, в том числе и репутация.»

Модератором секции «Кризисные коммуникации: обвиняют в потере данных, что делать?» выступила Арина Пазушко, директор по маркетингу компании BI.ZONE. Она представила гайд по реагированию на инциденты ИБ в информационном поле. В дискуссии приняла участие директор по маркетингу группы компаний «Гарда» Анна Кирсанова и представила результаты исследования аналитического центра об отношении граждан к утечкам персональных данных. Исследование позволило доказать, что граждане не обращают внимание на сохранность ПДн — это миф. 81% россиян обеспокоены вопросом, более того, 63% готовы отказываться от услуг компаний, допустивших утечку. Таким образом, исследование показало важность и актуальность всех вопросов, поднятых на конференции.

Скачать фото

Скачать презентации