ISC2 проводит раз в год региональные конгрессы по информационной безопасности. В регионе EMEA такой конгресс в 2015 году проходит в Мюнхене с 19 по 21 октября. Официальная странице находится здесь.
День 0
0-й день называется pre-conference workshops и в этот раз их два: cloud security и digital forensics. Про безопасность в облаках рассказывал Tim Sandage, главный стратег Amazon Web Services по рискам. Единственное, что я вынес с этого семинара, - это то, что AWS действительно очень продвинуты в планах информационной безопасности своих облачных решений и очень серьезно относятся к этой теме. Их решения сертифицированы по PCI DSS, ISO 27001. Были заданы вопросы про то, как сам AWS борется с внутренними угрозами , т.к. участников очень волновала тема защищенности своих данных в облаке, учитывая, наверное, отмену Safe Harbour. К моему удивлению, четкого ответа на вопрос о защите клиентских данных от внутреннего нарушителя мы не получили.
Второй мини-семинар был про цифровую экспертизу (digital forensics) от Lorenz Kuhlee, старшего следователя и консультанта подразделения по рискам Verizon. Lorenz несколько лет работал на полицию, написал книгу по теме digital forensics и провел очень интересный семинар на конкретном примере. Было интересно. Главные выводы - компании в Европе в целом слабо подготовлены к правильному реагированию на инциденты информационной безопасности, в отличии от США, где ситуацию по подготовке выглядит лучше. Вообщем, нужно готовиться к инцидентам и к цифровой экспертизе заранее, иначе будет поздно. А если нужна помощь в расследовании или подготовке, то Verizon с удовольствием поможет за 350 Евро в час. При этом расследование простого инцидента занимает от 3-х дней. Также, еще раз обратили внимание на важность быстрой установки обновлений, т.к. 99% компроментаций связаны с уязвимостями, которые известны более одного года.
День 1
Это официальный 1-й день начала конгресса. Официальное открытие и все-такое. В целом, как и везде, большинство презентаций очень общие и очень скучные. Но было несколько интересных.
David Jacobi, Kaspersky, показал очень интересную и веселую презентацию про безопасность домашних устройств. А, если быть точнее, про практически отсутствие безопасности у домашних устройств. На реальном примере (!) он показал как взломать сетевое хранилище, Smart TV. Все эти уязвимости Дейвид сообщает вендорам. Что печально, реакция от вендоров отсутствует практически полностью. Очень грустно. Основная мысль заключается в том, что серьезным компаниям нужно знать свои уязвимости. Сложно не согласиться.
Следующее интересное выступление было от Ciaran McMahon по теме CyberPsycology (киберпсихологии). Лично я в первый раз столкнулся с этим направлением. Вкратце, человек является самым слабым звеном в практике информационной безопасности и никакие технические мероприятия не спасут. Например, 35% сотрудников продадут данные своего работодателя при условии подходящей цены. Были даны некоторые рекомендации по убеждению сотрудников в части выполнения требований информационной безопасности
Было отмечено, что тренинги лишены эффективности по причине того, что они способствуют бессмысленному изучению материала.
Интересно было узнать как Эстония, после кибератаки несколько лет назад, повысила защищенность правительственным данных. Речь идет, как я понял, об атаках 2007 года со стороны, якобы, России. Учитывая то, что Эстония граничит с РФ, является очень маленькой и побаивается огромного соседа, то вопросом доступности и защищенности правительственным данных и данных граждан занялись серьезно. В итоге, была реализована концепция посольств данных: Эстония хранит персональные и правительственные данные в 5 странах. А учитывая, что данные своих граждан нельзя хранить на территории других государств, то дата центры организованы на территории посольств.
День 2
Заключительный день. Особенных выступлений выделить не могу, но понравилось групповое соревнование на знание информациооной безопасности и трендов этого года. Победителям был вручен приз.
Краткие итоги конгерсса по информационной безопасности:
И в завершение...
"Безопасность - это путь, а не точка назначения"
День 0
0-й день называется pre-conference workshops и в этот раз их два: cloud security и digital forensics. Про безопасность в облаках рассказывал Tim Sandage, главный стратег Amazon Web Services по рискам. Единственное, что я вынес с этого семинара, - это то, что AWS действительно очень продвинуты в планах информационной безопасности своих облачных решений и очень серьезно относятся к этой теме. Их решения сертифицированы по PCI DSS, ISO 27001. Были заданы вопросы про то, как сам AWS борется с внутренними угрозами , т.к. участников очень волновала тема защищенности своих данных в облаке, учитывая, наверное, отмену Safe Harbour. К моему удивлению, четкого ответа на вопрос о защите клиентских данных от внутреннего нарушителя мы не получили.
Второй мини-семинар был про цифровую экспертизу (digital forensics) от Lorenz Kuhlee, старшего следователя и консультанта подразделения по рискам Verizon. Lorenz несколько лет работал на полицию, написал книгу по теме digital forensics и провел очень интересный семинар на конкретном примере. Было интересно. Главные выводы - компании в Европе в целом слабо подготовлены к правильному реагированию на инциденты информационной безопасности, в отличии от США, где ситуацию по подготовке выглядит лучше. Вообщем, нужно готовиться к инцидентам и к цифровой экспертизе заранее, иначе будет поздно. А если нужна помощь в расследовании или подготовке, то Verizon с удовольствием поможет за 350 Евро в час. При этом расследование простого инцидента занимает от 3-х дней. Также, еще раз обратили внимание на важность быстрой установки обновлений, т.к. 99% компроментаций связаны с уязвимостями, которые известны более одного года.
День 1
Это официальный 1-й день начала конгресса. Официальное открытие и все-такое. В целом, как и везде, большинство презентаций очень общие и очень скучные. Но было несколько интересных.
David Jacobi, Kaspersky, показал очень интересную и веселую презентацию про безопасность домашних устройств. А, если быть точнее, про практически отсутствие безопасности у домашних устройств. На реальном примере (!) он показал как взломать сетевое хранилище, Smart TV. Все эти уязвимости Дейвид сообщает вендорам. Что печально, реакция от вендоров отсутствует практически полностью. Очень грустно. Основная мысль заключается в том, что серьезным компаниям нужно знать свои уязвимости. Сложно не согласиться.
Следующее интересное выступление было от Ciaran McMahon по теме CyberPsycology (киберпсихологии). Лично я в первый раз столкнулся с этим направлением. Вкратце, человек является самым слабым звеном в практике информационной безопасности и никакие технические мероприятия не спасут. Например, 35% сотрудников продадут данные своего работодателя при условии подходящей цены. Были даны некоторые рекомендации по убеждению сотрудников в части выполнения требований информационной безопасности
- не стоит запугивать последствиями несоблюдения правил
- необходимо использовать инструменты пропаганды - взывать к идеологии, ответственности, эмоциям, культуре.
Было отмечено, что тренинги лишены эффективности по причине того, что они способствуют бессмысленному изучению материала.
Интересно было узнать как Эстония, после кибератаки несколько лет назад, повысила защищенность правительственным данных. Речь идет, как я понял, об атаках 2007 года со стороны, якобы, России. Учитывая то, что Эстония граничит с РФ, является очень маленькой и побаивается огромного соседа, то вопросом доступности и защищенности правительственным данных и данных граждан занялись серьезно. В итоге, была реализована концепция посольств данных: Эстония хранит персональные и правительственные данные в 5 странах. А учитывая, что данные своих граждан нельзя хранить на территории других государств, то дата центры организованы на территории посольств.
День 2
Заключительный день. Особенных выступлений выделить не могу, но понравилось групповое соревнование на знание информациооной безопасности и трендов этого года. Победителям был вручен приз.
Краткие итоги конгерсса по информационной безопасности:
- Самое слабое звено - это человек.
- Актуальны угрозы из-за активного использование персональных устройств. Android - сплошные уязвимости.
- Internet of things несет нам новые огромные проблемы.
- Большие данные нам помогут.
- Бизнес руководители не очень пониманиют что такое ИБ и какие могут быть последствия. Их нужно учить (или менять?).
- Ускорьте свой Patch Management!
И в завершение...
"Безопасность - это путь, а не точка назначения"
Comments
Post a Comment