Які з публічних подій індустрії кібербезпеки варто відвідувати
Конспективно про подію - для тих, хто не зміг прийти
В Україні протягом року небагато публічних подій індустрії кібербезпеки, які неодмінно треба відвідати професійним кібербезпечникам.
IDC Security Roadshow є саме однією з таких подій.
Для розуміння спрямованості конференції одразу скажу, що захід сильно орієнтований на вендорів/провайдерів товарів та послуг з кібербезпеки та їх (потенційних)
споживачів.
Тобто те, що заборонено на, скажімо, UISGCON або BSides - пряма реклама/промоушн вендорів та їх рішень - тут навпаки, тільки вітається.
Але ж і відвідувачі IDC Security Roadshow прийшли саме за цим: поцікавитися які вендори пропонують рішення для вирішення конкретних проблем кібербезпеки для бізнесу. Грубо кажучи, це місце, де сходяться попит і пропозиція: одні люди прийшли шось продати, а інші - купити, або ж, скоріше, прицінитися, підшукати достойних постачальників.
І заодно взнати що новенького у світі загроз, ризиків, теорії та практики інформаційної безпеки.
А оскільки індустрія кібербезпеки працює за ринковими принципами, то такий формат конференції є доволі затребуваним.
B2B, як то кажуть, бізнес - для бізнесу.
Загалом організатори оголосили про
+ 16 експертів на сцені
+ 40 експертів у залі
+ 400 участників рівня CISO/CIO/Seniors SA/Head of
Насправді у залі постійно було приблизно 200-250 людей, але серед них було дійсно багато ІБшників з банків, корпорацій, великих підприємств. Це відчувалося по характеру питань спікерам.
Поки не забув, одразу скажу про локацію та організаційні моменти.
Якщо коротко - відмінно, організатори молодці, усе було комфортно.
Захід проводився в один потік, зате ніхто не "розривався" між потоками.
Саме розташування місця проведення - супер, у центральній частині міста, зручно добиратися, є місця паркуватися, всередині площа виявилася більшою, ніж очікувалося.
Ще була комфортна зона для стендів партнерів та окреме велике приміщення для кейтерінгу.
Їжа була наче смачна, але я рідко щось їм крім кави на таких заходах, тому не можу сказати точно.
А тепер - до найбільш цікавих моментів з виступів деяких спікерів.
Володимир Ілібман, як справжній хедлайнер, одразу підняв планку максимально високо - провів коротких огляд найсвіжішого, ще гарячого (буквально вчорашнього) щорічного звіту Cisco з кібербезпеки, який є чи не найвагомішим та найцитованішим документом у Світі з аналітики подій та тенденцій кібербезпеки за минулий рік.
Олександр Чубарук: один з небегатьох, хто виступав та спілкувався українською мовою, респерт.
Розповів про цікаву концепцію Infinity та теорію п'яти поколінь кібербезпеки.
Але після виступу було цікаве питання від одного з користувачів тієї самої Infinity, що через моновендорність рішення виникають неприємні ситуації, наприклад, малварь не детектується по кілька годин, або ж бот стукає на легітимний ІР, а система через це блокує усю мережу великої організації.
Інший слухач сказав, що НБУ категорично проти моновендорності рішень та вимагає застосовувати рішення від мінімув двох незалежних вендорів.
Ще був цікавий хлопець Маріс Сперга з латвійського оператору зв'язку Lattelecom.
Сам факт, що оператор зв'язку, телебачення, хмарних сервісів та багато чого іншого, не пов'язаного з кібербезпекою, надає безпекові послуги зовнішнім користувачам - само по собі дуже не звично.
В Україні оператори такого масштабу ще тільки збираються це робити для внутрішніх клієнтів, а Латтелеком вже давно займається Security-as-a-Service і планує пропонувати цю послугу в Україні.
Кажуть, що і пентести роблять, але про якість нічого не знаю, не в курсі.
Ще Маріс розповів таку цікаву штуку: їх власний персонал після проходження тренінгу має здати тест, три рази не здав - на повторний тренінг.
Оце круть, оце я розумію хардкор.
Олексій Янковський з ISACA дуже детально розповів яким має бути ідеальний SOC, згідно баченню університету Карнегі-Меллона та ISACA.
Насправді, у реальному життю такого не буває, але корисно знати як воно має бути у ідеальному світі.
Міхал Ярськи розповідав про таку болючу для ІБшніка проблему як привелігійовані користувачі та як з ними боротися, наводив практичні приклади та рішення.
У кінці виступу сказав, що "Сноуден не був хакером".
Показово.
Володимир Стиран про економіку кібербезпеки.
Одна з головних зірок конференції.
Як завжди, завів зал з перших хвилин спічу.
"..Яку суму треба витратити на кібербезпеку, якщо вартість активу $1 млн?"
Багато хто запропнував "до 10%", хтось сказав - 1 млн, чи півмільйона, була навіть екстремістська цифра 2 млн доларів. (удвічі дорожче самого активу, ха-ха-ха)
Але подальша презентація привела до доволі неоічкуваного результату, причому на основі цілком наукового підходу. Хто заінтригувався - гоу ту Стиран'с презентейшн.
Олександа Гладишевська часто виступає на різних заходах по темі кібер-страхування.
Вона дійсно є крутим експертом по цій темі, можливо, найкращим в Україні.
Перш за все, звернув на себе увагу незвичний формат виступу - публічне інтерв'ю. Це коли у тебе беруть інтерв'ю у присутності ще 200 людей, які потім можуть щось запитати. Дуже цікаво.
Під час обговорення потенційних ризиків, які покриває страхова компанія, було наведено такий гіпотетичний приклад: "якщо, скажімо, Нова Пошта буде вимушена по суду виплачувати компенсації за витік бази даних клієнтів…". Малоймовірно в Україні 2018 року, але не виключено.
Відповідаючи на питання "Скільки було виплат по кібер-ризикам і чи вони взагалі були", Олександра відповіла, що на жаль і на щастя, виплат поки що не було.
А ще добавила таке, що довелося записати дослівно: "Ми нікому не бажаємо збитку, але це було б непогано".Ггг.
Хто не вірить - можна пошукати відеозапис виступу (якщо він вівся).
Ця обмовка була найприкольнішою фразою дня, як на мене. It's made my day.
Ще була цікава дискусія між CISO та CIO - Андрієм Чигаркіним та Едуардом Савушкіним за класної модерації Віктора Жори.
Усі учасники, включаючи модератора, - супер-профі своєї справи, досвідчені та кваліфіковані.
Звісно, проблема "кому повинен звітувати CISO" - стара як проблема курки та яйця і принципових проривів у цій теорії не відбулося.
Усі учасники так чи інакше наголошували, що "усі залежить від характеру діяльності бізнесу, підходу власників, стосунків між безпекою, ІТ та кібербезпекою, красномовства CISO та його здатності достукатися до верховного менеджменту чи власників бізнесу"
Записав собі кілька цікавих висловлювань пана Савушкіна:
"Завдання CISO - проконтролювати, а завдання CIO - проконтролювати, що це проконтрольовано" - йдеться про випадок, коли CISO підпорядкований CIO;
"…хотіли купити сховище, але прийшов CISO і вирішили витратити гроші на щось корисне";
"…ми працюємо проти організованої злочинності, тому треба створювати організовану злочинність всередині..";
Під час дискусії кілька разів використовувався термін "інвестиції у кібербезпеку".
Якщо так казати керівнику бізнесу, то він, як бізнесмен, зрозуміє слово "інвестиції" так: "спочатку витрачаєш, а потім воно приносить прибуток".
Насправді ж безпека є суто витратною частиною бюджету, і не може приносити прибутку.
Як на мене, кібербезпека захищає бізнес від збитків або ж мінімізує їх, але жодним чином не бере участь у прибутках.
І це треба чітко артикулювати топ-менеджменту, щоб у нього не виникало помилкових ілюзій.
А замість терміну "інвестиції у кібербезпеку" було б коректніше використовувати більш чесний "витрати на кібербезпеку", а ще краще "необхідні витрати на кібербезпеку".
Хотів закинути це провокаційно-філософське питання спікерам, але часу вже не було, тому вирішив вже не дратувати аудиторію, яка під кінець дня вже стомилася.
Також, як завжди на подібних заходах, було багато спілкування зі старими та новими друзями та колегами, забагато випитої кави та перекурів (і ніякого алкоголю, до речі). Бо ж спілкування - головна мета нормальних конференцій.
А ще це був нечастий шанс "вживу" побачитися з усіма (!) власними партнерами по нашому кібер-бутіку.
В цілому враження від конференції приємне і позитивне, незважаючи на відверто вендорський характер заходу. Бо ж знав куди йду і навіщо.
Ну, і наша компанія була одним з тих самих вендорів - партнерів заходу.
Підсумовуючи, ще раз повторюся - за теперішінього складу організаторів IDC Security Roadshow - це must have для тих, хто так чи інакше пов'язаний з професійною кібербезпекою.
Захід класу UISGCON, форум Cisco, BSides, OWASP Kyiv, OWASP Lviv, тощо.
Годно, коротше, зараховано.
Бажаю заходу подальших успіхів та таких самих задоволених партнерів та відвідувачів.
Бережімося.
Костянтин Корсун
FB
реклама