В Москве прошел международный форум по практической безопасности Positive Hack Days IV. На мероприятии присутствовало более 2000 специалистов в области ИБ, государственные деятели, представители интернет-сообщества, хакеры, ученые, писатели. Ключевая тема форума была посвящена защищенности критической инфраструктуры.

Одним из первых прозвучало выступление Роберта Гриффина, главного архитектора безопасности в RSA (подразделение корпорации EMC). «Будущее безопасности – в аналитике. Мы должны дополнять использование файерволов, антивирусных программ постоянным контролем информации и экспертизами безопасности», – отметил эксперт.

Заместитель генерального директора компании Positive Technologies Борис Симис сделал акцент на правовом регулировании в области безопасности: «К сожалению, в России не действуют законы, обязывающие компании отчитываться в инцидентах, связанных с информационной безопасностью, поэтому многие считают, что у них нет проблем. Между тем, опрос, проведенный Positive Technologies, показал: абсолютно каждая компания на деле сталкивалась с угрозой утери данных. Наиболее уязвимыми на сегодняшний день являются государственные структуры и промышленность». Специалист отметил, что на банки чаще всего совершаются DDoS-атаки, нередко потеря информации происходит из-за случайных ошибок людей. «По данным 2012 года, 82% успешных атак было связано с низкой квалификацией атакуемого», – прокомментировал Борис Симис.

Сессию «Безопасность критической инфраструктуры» продолжил Ахмад Хассан, директор по управлению рисками и обеспечению соответствия стандартам компании du Telecom. «Даже профессионалы нередко забывают о ликбезе, необходимо, чтобы абсолютно все сотрудники компании имели представление о правилах информационной безопасности. Служащим du Telecom регулярно приходит почтовая рассылка, SMS-сообщения, имеют место социальные эксперименты – мы наглядно показываем, как может выглядеть социальный инжиниринг», – рассказал об опыте du Telecom Ахмад Хассан.

Аналогичную мысль озвучил Андрей Курило, заместитель начальника ГУБЗИ Банка России: «Сегодня мы имеем дело с барьером ментальности, который не дает многим людям, особенно старших поколений, адаптироваться к новым технологиям, позволяющим общаться через электронные каналы, производить те или иные операции онлайн. Требуется воспитание населения в массовом порядке».

Секция «Перспективы инвестиций в области информационной безопасности в России» началась с выступления Сергея Ходакова, руководителя направления Безопасные информационные технологии кластера информационных технологий Фонда «Сколково»: «Что движет рынком информационной безопасности? В первую очередь, финансовые потери компаний, исчисляемые миллиардами долларов. Роль фонда “Сколково” – в поддержке проектов с высокой технологической составляющей, направленных на укрепление информационной безопасности. За минувшие три года мы создали рабочую экосистему, включающую более 300 стартапов». В ходе сессии было презентовано несколько разработок молодых предпринимателей.

Игорь Ашманов, специалист в области искусственного интеллекта, генеральный директор компании «Ашманов и партнёры», напомнил слушателям о невозможности сохранения какой-либо конфиденциальной информации в соцсетях. Современные системы, обрабатывающие большие данные, дают возможность выяснить подробности личной жизни человека, ознакомиться с его политической позицией. Персональная информация миллионов людей наиболее активно используется не разведслужбами, а большими корпорациями с положительным имиджем. По словам эксперта, Фейсбук хранит и анализирует даже те комментарии пользователей, которые не были опубликованы.

Второй день форума начался с секции Алексея Андреева «Государство и информационная безопасность», в время которой обсуждали возможность сохранения традиционных гражданских свобод в современном цифровом мире. В остальных четырех залах говорили об эксплуатации уязвимостей ARM, управлении доступом, ботнетах и криптографически защищенных групповых коммуникациях.

В рамках форума Positive Hack Days IV прошли битва хакеров CTF международного уровня, соревнование молодых ученых в области информационной безопасности Young School, конкурсы (по взлому хэшей и системы ДБО, атаке веб-приложения, анализу защищенности АСУ), многочисленные мастер-классы и дискуссии.

Текст: Анна Кислицына, Национальный банковский журнал