ХроникаНападение на Crocus City HallОбновлено в 16:09

ИБ-директора финансовых компаний обсудили вопросы защиты ПДн клиентов и борьбы с инсайдерскими рисками

ИБ-директора финансовых компаний обсудили вопросы защиты ПДн клиентов и борьбы с инсайдерскими рисками
ИБ-директора финансовых компаний обсудили вопросы защиты ПДн клиентов и борьбы с инсайдерскими рисками
Фото: "СёрчИнформ"

1 июня в Москве состоялась конференция "Безопасность в финансовой сфере". В мероприятии приняли участие 122 руководителя ИБ-служб кредитных учреждений, страховых и лизинговых компаний. С докладами выступили директора по безопасности "Московского кредитного банка", "Тинькофф Банка", "Банка Зенит", "Генбанка", компаний "Ингосстрах", "НРК – Р.О.С.Т.", "Инфотекс Интернет Траст" и других финансовых организаций.

Особенность конференции – акцент на неформальное общение. Специально для этого организован отдельный блок мероприятия в конце дня – ужин с экспертным ИБ-клубом для живого обмена опытом и знаниями между участниками.

На конференции выступила вице-президент Ассоциации банков России (АБР) Яна Епифанова. Спикер рассказала о приоритетных направлениях деятельности Ассоциации по вопросам обеспечения информационной безопасности в кредитных организациях. В частности, о подготовленных АБР законодательных инициативах для повышения эффективности противодействия кибермошенничеству, а также ужесточения наказания за противоправные действия с банковской тайной. Эксперт рассказала о предложении Правительству РФ организовать федеральное статистическое наблюдение на базе единых подходов. Инициативу поддержали, сейчас она на проработке Генеральной прокуратуры, МВД, ФСБ, Следственного комитета, ФТС и ФСИН России.

Организаторы мероприятия делают упор на доклады от практиков – руководителей по безопасности крупнейших компаний финсектора. В частности, Андрей Панфилов из компании "Росагролизинг" рассказал о поиске баланса между удобством и безопасностью бизнес-процессов, разработке моделей угроз, индивидуальных профилях доступа и ИБ-ликбезе для удаленных сотрудников. Вячеслав Касимов, директор департамента ИБ Московского кредитного банка поделился лайфхаками по выделению наиболее чувствительных данных и построению разных уровней защиты. Александр Леонов, ведущий аналитик по ИБ банка "Тинькофф" рассказал о способах быстрой приоритизации уязвимостей и угроз.

Фото: "СёрчИнформ"

Деловая программа завершилась круглым столом. Дискуссия развернулась вокруг вопроса о защите персональных данных клиентов. В случае их утечки главные упреки клиентов и СМИ обращены к финансовым организациям. Однако ИБ-директора банков настаивают, что защищены от утечек хорошо и подчинены строгим регламентам, в первую очередь PCIDSS. По их мнению, главные источники утечек – это онлайн-ритейл, где требования к безопасности ниже. Представители финсектора сходятся во мнении, что в такой ситуации клиенты банков и онлайн-сервисов должны демонстрировать большую ответственность. Например, один из способов обезопасить свои средства при онлайн-покупках – заводить для этих целей специальную виртуальную карту. Но только единицы пользователей готовы это делать, а у банков нет законных ресурсов, чтобы требовать обеспечить такие меры защиты.

Еще одним из поводов для дискуссии стал доклад о санкциях в отношении нарушителей-инсайдеров. Сергей Матвеев, руководитель службы безопасности "Инфотекс Интернет Траст" один из немногих, кто предпочитает доводить расследования преступлений до суда, чтобы создавать в компании правильную культуру работы с информацией и создавать прецедент для других потенциальных нарушителей. Оппоненты считают, что обращение в суд не гарантирует защиты интересов компании и отнимает слишком много времени. Напомним, что только в 10% российских компаний готовы инициировать расследование против сотрудников-нарушителей с привлечением правоохранительных органов.

Участники круглого стола сошлись на том, что в работе с человеческим фактором уже невозможно обойтись без обучения, чтобы повысить общую культуру работы с данными и защититься от случайных ИБ-инцидентов. ИБ-специалисты отмечают, что все теснее сотрудничают с креативными подразделениями внутри компаний, чтобы разрабатывать наглядные и вовлекающие курсы, тестовые "фишинговые" рассылки. Они следят за просмотрами обучающих видео, вместе с другими линейными руководителями и HR-службами разрабатывают KPI на основе того, насколько успешно сотрудники справляются с испытаниями по итогам обучения.

Фото: "СёрчИнформ"

Это третье мероприятие в серии отраслевых конференций, организатором которых выступила компания "СёрчИнформ", ведущий российский разработчик решений для информационной безопасности.

"Угрозы кибербезопасности в разных сферах отличаются, поэтому важно разбирать именно отраслевую практику, ведь взгляд изнутри всегда более близок к реальности. Кроме того, мы хотим организовать отраслевые сообщества профессионалов, где можно было бы открыто обмениваться опытом, обсуждать насущные задачи. Судя по числу участников, докладчиков и отзывам на наших мероприятиях, это удается", – говорит председатель совета директоров "СёрчИнформ" Лев Матвеев.

Компания "СёрчИнформ" – ведущий российский разработчик средств информационной безопасности. Резидент Инновационного центра "Сколково", входит в АРПП "Отечественный софт" и НП "Руссофт". Клиенты – более 3000 компаний по всей России и еще 22 странах мира.

Фотогалереи