04.06.2021
ИБ-директора финансовых компаний обсудили вопросы защиты ПДн клиентов и борьбы с инсайдерскими рисками
Особенность конференции – акцент на неформальное общение. Специально для этого организован отдельный блок мероприятия в конце дня – ужин с экспертным ИБ-клубом для живого обмена опытом и знаниями между участниками.
На конференции выступила вице-президент Ассоциации банков России (АБР) Яна Епифанова. Спикер рассказала о приоритетных направлениях деятельности Ассоциации по вопросам обеспечения информационной безопасности в кредитных организациях. В частности, о подготовленных АБР законодательных инициативах для повышения эффективности противодействия кибермошенничеству, а также ужесточения наказания за противоправные действия с банковской тайной. Эксперт рассказала о предложении Правительству РФ организовать федеральное статистическое наблюдение на базе единых подходов. Инициативу поддержали, сейчас она на проработке Генеральной прокуратуры, МВД, ФСБ, Следственного комитета, ФТС и ФСИН России.
Организаторы мероприятия делают упор на доклады от практиков – руководителей по безопасности крупнейших компаний финсектора. В частности, Андрей Панфилов из компании «Росагролизинг» рассказал о поиске баланса между удобством и безопасностью бизнес-процессов, разработке моделей угроз, индивидуальных профилях доступа и ИБ-ликбезе для удаленных сотрудников.
Вячеслав Касимов, директор департамента ИБ Московского кредитного банка поделился лайфхаками по выделению наиболее чувствительных данных и построению разных уровней защиты. Александр Леонов, ведущий аналитик по ИБ банка «Тинькофф» рассказал о способах быстрой приоритизации уязвимостей и угроз.
Деловая программа завершилась круглым столом. Дискуссия развернулась вокруг вопроса о защите персональных данных клиентов. В случае их утечки главные упреки клиентов и СМИ обращены к финансовым организациям. Однако ИБ-директора банков настаивают, что защищены от утечек хорошо и подчинены строгим регламентам, в первую очередь PCI DSS. По их мнению, главные источники утечек – это онлайн-ритейл, где требования к безопасности ниже. Представители финсектора сходятся во мнении, что в такой ситуации клиенты банков и онлайн-сервисов должны демонстрировать большую ответственность. Например, один из способов обезопасить свои средства при онлайн-покупках – заводить для этих целей специальную виртуальную карту. Но только единицы пользователей готовы это делать, а у банков нет законных ресурсов, чтобы требовать обеспечить такие меры защиты.
Еще одним из поводов для дискуссии стал доклад о санкциях в отношении нарушителей-инсайдеров. Сергей Матвеев, руководитель службы безопасности «Инфотекс Интернет Траст» один из немногих, кто предпочитает доводить расследования преступлений до суда, чтобы создавать в компании правильную культуру работы с информацией и создавать прецедент для других потенциальных нарушителей. Оппоненты считают, что обращение в суд не гарантирует защиты интересов компании и отнимает слишком много времени. Напомним, что только в 10% российских компаний готовы инициировать расследование против сотрудников-нарушителей с привлечением правоохранительных органов.
Участники круглого стола сошлись на том, что в работе с человеческим фактором уже невозможно обойтись без обучения, чтобы повысить общую культуру работы с данными и защититься от случайных ИБ-инцидентов. ИБ-специалисты отмечают, что все теснее сотрудничают с креативными подразделениями внутри компаний, чтобы разрабатывать наглядные и вовлекающие курсы, тестовые «фишинговые» рассылки. Они следят за просмотрами обучающих видео, вместе с другими линейными руководителями и HR-службами разрабатывают KPI на основе того, насколько успешно сотрудники справляются с испытаниями по итогам обучения.
Это третье мероприятие в серии отраслевых конференций, организатором которых выступила компания «СёрчИнформ», ведущий российский разработчик решений для информационной безопасности.
«Угрозы кибербезопасности в разных сферах отличаются, поэтому важно разбирать именно отраслевую практику, ведь взгляд изнутри всегда более близок к реальности. Кроме того, мы хотим организовать отраслевые сообщества профессионалов, где можно было бы открыто обмениваться опытом, обсуждать насущные задачи. Судя по числу участников, докладчиков и отзывам на наших мероприятиях, это удается», – говорит Лев Матвеев, председатель совета директоров «СёрчИнформ».