Информационная служба Хабра посетила конференцию SOC‑Forum 2023, проходившую 14–15 ноября 2023 года в Москве. SOC‑Forum — это ещё одно крупное ежегодное мероприятие в сфере информационной безопасности, наравне с Positive Hack Day и OFFZone. В отличие от двух последних мероприятий этот форум, на мой взгляд, более формализован, потому что организован ФСТЭК России и ФСБ России. На входе охранник даже спросил, не перепутал ли я мероприятия. По словам организаторов, мероприятие очно посетили 1,4 тысячи организаций, людей было больше — 5,3 тысячи, онлайн‑трансляцию форума смотрели 24 тысячи человек.

В этот раз почти не буду обозревать стенды, потому что мне было интереснее смотреть доклады, сессии и представления данных по кибератакам. Поэтому даже на пару стендов времени не было, хоть форум и шёл два дня. Кроме стендов, обсуждений и докладов на SOC‑Forum 2023 проходила кибербитва и экспериментальный формат — ИБ‑стендап. Последний я не смотрел, я не большой поклонник вообще формата стендап, а тем более когда шутят не профессиональные комики, пусть, возможно, и смешно. Ознакомиться самостоятельно с записями можно тут.

Открылся SOC‑Forum пленарной сессией «Устойчивость в BANI‑мире: преграды, стратегии и возможности». BANI (акроним от англ. Brittle (хрупкий), Anxious (тревожный), Nonlinear (нелинейный), Incomprehensible (непостижимый)) — концепция, описывающая изменения в мире через характеристики хрупкости, тревожности, нелинейности и непостижимости. На Хабре есть статья, рассказывающая об этой концепции. Представители ГК «Солар», ГК YADRO, Холдинг Т1, страховой компании «СОГАЗ», «Альфа‑банка» и органов государственного регулирования в сфере ИБ обсудили подходы к управлению бизнесом с учётом непрерывных изменений.

В рамках сессии генеральный директор ГК «Солар» Игорь Ляпунов обозначил два тренда развития российской отрасли кибербезопасности. Первый — кратное уменьшение дефицита на рынке труда, второй — попытки сократить дисбаланс между высоким спросом и недостаточным предложением качественных технологий.

В рамках сессии директор по персоналу кластера Т1, Холдинг Т1, Екатерина Мелентьева рассказала, что количество высококвалифицированных кадров сократится на 30% в ближайшие 5–10 лет, а IT‑кадров — на 50%. Кроме льгот IT‑специалистам и мер поддержки отрасли важна коммуникация внутри компаний, заявила Мелентьева. Например, достоверная информация об изменениях у всех сотрудников, очные встречи и гибкость — возможность гибридной или удалённой работы и другие вещи.

Управляющий директор и партнер группы компаний YADRO Алексей Шелобков на сессии заявил, что в эпоху кризиса сотрудников удерживают не только условия труда, но и в первую очередь доверие к компании. Ещё одной мотивацией для IT‑кадров Шелобков назвал высокий темп выхода новых российских продуктов. По словам управляющего директора YADRO, у специалистов появилась возможность уже через один‑два года увидеть своё решение в деле.

Руководитель Tinkoff Security Operations Center Игорь Кубышко в ходе дискуссии отметил важную роль свободы самореализации и интересных задач, мотивирующих специалистов интеллектуальных профессий лучше и сильнее, чем финансовый фактор.

Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC Алексей Павлов поддержал Кубышко и отметил, что сотрудникам необходимы прозрачные треки профессионального развития и выделенное время на эти цели, не менее одного дня в неделю.

Директор департамента информационной безопасности «Интер РАО» Дмитрий Васильев возразил Павлову и Кубышко. Он сказал, что идейность команды не менее важна для создания собственных разработок, чем квалификация.

Вот тут я бы хотел немного возразить нескольким предыдущим ораторам. Всё‑таки для всех специалистов играет роль финансовый вопрос — то есть сколько будут платить и за какую работу. Естественно, микроклимат в коллективе и сложная интересная работа играют существенную роль, но финансовый вопрос остаётся основным.

Директор по информационным технологиям и старший вице‑президент «Альфа‑Банка» Виталий Задорожный отметил, что в современных ужесточившихся условиях кибербезопасности её основы должен знать каждый рядовой специалист в компании, а рядовой IT‑специалист — обязан.

Директор по цифровой трансформации «СОГАЗ» Павел Бутенко подчеркнул, что в связи с развитием технологий мы наблюдаем максимальное сближение бизнеса и кибербезопасности. По словам Бутенко, многие из этих технологий сложно было даже представить десять лет назад.

В рамках сессии все участники подчёркивали важность развития культуры кибербезопасности, а также построения зрелых и консистентных процессов. Эту тему, среди прочих, не раз в ходе форума затрагивали все присутствующие: ИБ‑специалисты, регуляторы и представители крупного бизнеса. По оценке ФСТЭК, одной из главных проблем наряду с DDoS‑атаками и архитектурными уязвимостями остаются событийность рынка и низкая вовлечённость персонала в процессы ИБ.

Было интересно послушать доклады регуляторов: НКЦКИ, Минцифры РФ, ФСТЭК России, Банка России. Также представители ведомств ответили на вопросы посетителей форума. Представители госструктур рассказали о планируемых и недавно произошедших изменениях в регуляторике, планах по стандартизации конкретных направлений кибербезопасности, официальных рекомендациях по защите от самых распространённых угроз и построению процессов ИБ, представили результаты масштабных киберучений и исследований.

Например, ФСТЭК России занят разработкой законопроекта о введении обязательных требований по ИБ для подрядчиков, оказывающих услуги IT‑разработки в госсекторе. Об этом рассказал заместитель директора федеральной службы Виталий Лютиков. Он заявил, что большинство взломов и утечек данных из ГИС происходит через подрядчиков‑разработчиков и такие требования нужны. Кстати, атаки на подрядчиков — это распространённая мировая практика. В то же время никаких нормативов по обеспечению ИБ, обязательных для подобных исполнителей, в России не существует. Озвученную инициативу ФСТЭК поддержал Роскомнадзор. Минцифры РФ заявили, что поддерживают мероприятия, направленные на повышение уровня ИБ, и готовы помочь в разработке законопроекта, но озвученный документ пока не поступал на рассмотрение в министерство.

В рамках регуляторного трека ФСТЭК рассказала о проверке 40 тысяч систем критической информационной инфраструктуры (КИИ) и треть из них была отправлена на доработку. Почти каждая вторая система содержала критические уязвимости. По словам заместителя директора ФСТЭК России, проблема в том, что операторы и владельцы объектов КИИ занижают ущерб, пытаются минимизировать или показать при определении объекта, что никаких последствий, никакого ущерба не произойдёт. Однако произошедшие за последние два года инциденты свидетельствуют об обратном.

По данным ФСТЭК, в ноябре 2023 года в реестре объектов КИИ числилось около 19% проверенных информационных систем (ИС) — в 50% заявок они не получили категорию значимости, в 31% заявок о присвоении ИС той или иной категории возвращены. Всего владельцам объектов КИИ было направлено 1,6 тысячи требований о выполнении закона.

Кстати, на конференции ГК «Солар» представила исследования о топ-10 самых атакуемых отраслей в 2023 году, а Positive Technologies представила итоги расследований киберинцидентов, найденных в 2021–2023 годах.

Далее я хотел бы рассказать о питч‑сессиях с участием представителей семи молодых ИБ‑компаний: Cloud Advisor, Securitm, Multifactor, Metascan, Captcha, Avsof Kairos, и Ctrl Hack. Многие из этих стартапов уже имеют опыт взаимодействия с крупными компаниями из разных отраслей: финтех, ретейл и так далее.

Компании представляли свои решения, среди которых были:

• система двухфакторной аутентификации и контроля доступа удалённого подключения;

• почтовый шлюз для защиты от спама и фишинга;

• облачный сканер уязвимостей;

• платформа симуляции кибератак;

• решение нового поколения персонализированной проверки.

Далее хочу рассказать о сессии «Try to hack me: Как подготовить компанию к Bug Bounty». В ней принимали участие представители «Лаборатории Касперского», Innostage, Positive Technologies, BI.ZONE, VK, Tinkoff. Эта была очередная дискуссия о плюсах и минусах Bug Bounty, основных рисках, экономической выгоде и взаимодействия с багхантерами. Тут хочу отметить важный нюанс, что, если участники Bug Bounty хоть как‑то защищены законодательством, то всё хорошо. Однако багхантер может получить проблемы, если нашёл уязвимость и показал компании вне рамок Bug Bounty‑платформ и программ. И такие случаи были, вплоть до уголовного преследования. Вот тут возникла интересная мысль, что надо менять законодательство, чтобы были хоть какие‑то легальные методы защиты у багхантера.

Ну и совсем коротко хотел бы рассказать о кибербитве в формате Red vs Blue. Red атаковали, а Blue защищали цифровую инфраструктуру типовых офисов, в рамках киберполигона. Защитники победили с большим перевесом: у Blue Team — 117 868 баллов, у Red Team — 8 633 баллов. Мне удалось поговорить с одним из пентестеров в рамках форума о пентесте и немного о самой кибербитве. Об этом будет отдельный материал.

Ну и перед форумом в сети появилась информация, что Владимир Бенгин ушёл с поста директора по ИБ в Минцифры РФ, а на самом мероприятии во второй день объявили его новую должность — директор по продуктовому развитию ГК «Солар».  С ним тоже будет отдельный материал. 

По итогу,  в этот раз  я решил посмотреть больше на сессии, нежели на доклады. Ну что же, я убедился, что есть интересные обсуждения, есть интересные дискуссии, но технические доклады мне ближе. Поэтому практику освещения докладов я оставлю. Что же до самого мероприятия, как и в случае с Positive Hack Day и OFFZone, его постигла та же проблема — много людей. Например, на первую и самую главную панельную сессию было не протолкнуться. Да, во второй день, как и случае с озвученными мероприятиями, народ поразбежался, но в первый было очень людно. Второй момент — часть докладов и треков была под эскалатором, там была сделана зона для выступлений, но она была на проходе и под лестницей. На мой взгляд, это немного сбивает, тем более, что там были хорошие доклады. Например, питч-сессия ИБ-стартапов проходила там. В остальном каких-то существенных минусов ещё я не нашёл. Был даже специальный ИБ-бар, куда можно было заглянуть и выпить чего-нибудь освежающего или, если замёрз, согревающего, что несомненно плюс.