Алексей Лукацкий: “КОД ИБ ПРОФИ - это русский RSA”


В преддверии главного ИБ-события лета “Код ИБ ПРОФИ” (Сочи, 27-30 июля) его куратор Алексей Лукацкий делится инсайдом о подготовке программы и мыслями об управлении ИБ

Алексей Лукацкий: “КОД ИБ ПРОФИ - это русский RSA”

- В Вашем блоге  Вы уже писали о концепции “Кода ИБ ПРОФИ”, а как она появилась?

- Концепция появилась достаточно легко, потому что когда Ольга Поздняк (продюсер конференции - прим. ред.) попросила поучаствовать в формировании программы, у меня уже было некое видение того, какого мероприятия у нас не хватает.

Это мероприятие, которое, во-первых, вообще не содержит рекламных докладов, во-вторых,  позволяет услышать достаточно известных людей в отрасли, которые готовы поделиться своим практическим опытом, и, в-третьих, проходит в месте, не допускающем возможности быстро убежать на работу (как на городских конференциях). “Код ИБ ПРОФИ” объединяет все три условия и даже больше. Это попытка сделать по-настоящему высокоуровневое мероприятие.

Важный момент: на мастер-класс в программе ПРОФИ каждому спикеру дается 1,5 часа (против 20-30 минут на большинстве отечественных форумов) и этого достаточно, чтобы раскрыть любую, даже самую сложную тему. Кроме того,  у нас не будет каких-то технических докладов, которые часто можно услышать на других мероприятиях, в том числе, на региональном “Коде ИБ”.

- Есть ли у мероприятия зарубежные аналоги?

- Похожих конференций за рубежом много. Я бы “Код ИБ ПРОФИ” назвал неким мини-RSA (крупнейшая конференция в мире, которая проходит в США -прим. ред.). Там, как раз, достаточно длительные нерекламные доклады от признанных мастеров в отрасли ИБ, но разница в том, что RSA - это далеко, порядка $3000 за участие, 5 дней, огромный объем контента и до 30 параллельных потоков, что в России пока сложно повторить. Но общая идеология похожа на RSA: интересные некоммерческие доклады от практиков.

- Применимы ли, на Ваш взгляд, западные подходы к управлению ИБ у нас в России?

- Все зависит о того, о какой организации-заказчике идет речь. Например, госзаказчики в большинстве своем пока не готовы ко многим западным подходам, а иностранные представительства, напротив, достаточно неплохо их используют. Крупные корпоративные заказчики в той или иной степени ориентируются на западные подходы, если не впрямую, то через их переложение в российских НПА. Ведь когда мы смотрим на документы Центробанка, ФСТЭК и других отраслевых регуляторов, видим, что они во многом списаны, в хорошем смысле этого слова, с западной практики.

Скажем так, в них много общего с  международным стандартом ISO 27001 (и в целом -всей  27-я серией), американским NIST Cybersecurity Framework и, частично, международными стандартами по безопасности АСУ ТП. С определенными оговорками на российскую специфику, историю становления отрасли ИБ в стране, засилье спецслужб, которые накладывают свой отпечаток на применяемые подходы, западные практики управления ИБ у нас применяются. В целом, наша практика ИБ очень сильно похожа на западную, и мы выглядим на фоне других стран очень даже неплохо.

- Почему Вы стали куратором мероприятия и были ли уже на Вашей памяти прецеденты, когда известный эксперт выступал в подобной роли на крупных событиях?

- Все просто: меня пригласила выступить в этой роли Ольга Поздняк. Вообще, подобная практика приглашения экспертов не нова, достаточно часто организаторы создают программные комитеты, в которые включаются различные эксперты (известные и не очень), которые формируют не то чтобы всю программу, но активно участвуют в ее наполнении, приглашают докладчиков или предлагают те или иные темы, увязанные общей нитью.

Из отечественных мероприятий на ум приходит “Positive Hack Days”, программным директором которого выступает Алексей Качалин, кстати, один из приглашенных мной спикеров “Кода ИБ ПРОФИ”.

- СМИ пишут о “Коде ИБ ПРОФИ” как о беспрецедентном событии в отечественной отрасли, а что в нем, на Ваш взгляд, действительно уникального  - в сравнении с уже известными форумами?

- Надо понимать, что Код ИБ - это не только мероприятие, которое пройдет в Сочи. Код ИБ -  это международная площадка для обмена опытом, которая действует в формате регионального роад-шоу. Такого больше нет в России и даже за рубежом. Это первый и единственный случай, когда уже почти в трех десятках городов  проводятся мероприятия по инфобезопасности, объединенные некой общей концепцией. По сути,раз в неделю-две где-то в России или за рубежом проводится мероприятие из серии Код ИБ. Второй оригинальный формат - когда проводятся в течение двух-трех дней вебинары под брендом Код ИБ ОНЛАЙН на определенную тему. И, наконец, Код ИБ ПРОФИ - мероприятие, ориентированное на руководителей служб ИБ и ИТ, где обсуждают нечасто озвучиваемые темы. Это возможность в хорошем месте с хорошими докладчиками пообщаться в кулуарах, узнать какие-то вещи, которые с трибуны мало кто будет рассказывать. А потом еще и отдохнуть на регате и трофи.

Все это создает уникальную экосистему, на базе которой можно развивать направление мероприятий по ИБ, в том числе, продолжать запускать новые форматы.

- Первые два дня ПРОФИ представляют собой практически нон-стоп из мастер-классов 10-ти спикеров. Участники по завершении программы будут утомленные солнцем или программой?

- Скорее, первое. Если мы посмотрим на большинство мероприятий по ИБ, даже на тот же самый региональный “Код ИБ” - это тоже 8-часовой нон-стоп в рамках одного дня. Многие городские мероприятия, проходящие в Москве, Казани и других крупных городах длятся два дня, причем, доклады идут таким же нон-стопом, зачастую в два-три потока.

Учитывая возможность выбора мастер-классов,само место проведения “Кода ИБ ПРОФИ” и возможность отлично отдохнуть, у участника будет возможность переварить информацию, пообщаться с докладчиками после основной программы в конце каждого дня. Тем самым - получить гораздо больший эффект, чем посещая 20-минутные доклады на мероприятии “традиционного” формата.

- Как участникам подготовиться к общению с экспертами и в каком формате оно будет происходить на мероприятии?

- Это уже зависит от множества условий и, в первую очередь, самих участников. В зависимости от того, едет ли человек просто узнать что-то новое или целенаправленно едет на какую-то тему, которая заявлена в программе. Если это первый вариант, то человек вряд ли приедет с готовыми вопросами, скорее, они у него появятся в процессе. Если это второй вариант - человек интересующийся определенным направлением - у него есть наверняка уже готовые вопросы, которые он собирается задать спикеру.

Ну а формат сессии вопросов-ответов может быть совершенно различный (в соответствии с местом действия)  - вечером у бассейна, стойки бара или сидя в фойе на мягких диванах. Варианты могут быть разные.

Я участвовал в схожих выездных мероприятиях, они обычно ценны, в первую очередь,  таким вот общением, когда докладчик не убегает после своего доклада, а слушатель не убегает на работу, и есть возможность спокойно переварить, задать свои вопросы, вовлечь в дискуссию коллег. Обычно такие, крайне плодотворные, дискуссии затягиваются до глубокой ночи. Из них извлекаются ценнейшие инсайты, порой более ценные, чем прослушанный мастер-класс. Мастер-класс, кроме прямой образовательной функции, служит отправной точкой дискуссии в кругу коллег.

Подчас удается узнать инсайды, о которых докладчик, по тем или иным причинам, не захотел говорить публично, а если в дискуссии участвуют и другие коллеги, то начинается обмен опытом уже между многими людьми,появляются разные точки зрения на один и тот же вопрос, и это еще более ценно, чем выслушать только одного докладчика.

- Хотелось бы коснуться тем программы. По какому принципу шел их отбор?

- Темы отбирались по результатам блиц-анализа программ российских мероприятий по ИБ, которые изобилуют достаточно интересными, но, все-таки по преимуществу, техническими темами, такими, как защита веб-сайтов, защита от фишинга, защита периметра и т.п., а на ПРОФИ мы попробовали собрать темы достаточно высокого уровня, которые интересны руководителям или заместителям руководителей, отвечающих за ИБ.

Это темы, которые они вряд ли услышат где-то на обычных мероприятиях, а если услышат, то, то это будут очень короткие выступления. Это то, что в России обычно не читается, учитывая даже дорогие 8-16-часовые курсы в учебных центрах. Это квинтэссенция опыта и знаний профессионалов, которые готовы поделиться своей экспертизой.

- В программе есть пункт “Управление угрозами и хакерами”, о чем пойдет речь?

- Это не слишком удачная калька с термина “threat manаgement”, который подразумевает, что прежде, чем с кем-то или с чем-то бороться, надо понять с кем или с чем мы боремся. В этом докладе планируется рассказать о текущем уровне и портрете современного нарушителя, который может быть представителем кибер-криминалитета, инсайдером, работать на спецслужбы, выступать хактивистом, который по идеологическим причинам пытается напакостить компании.

Соответственно, в зависимости от его профиля меняются возможности нарушителя и средства, которыми он может нанести ущерб компании. Либо это свободно скачиваемый из Интернет хакерский инструментарий, либо продукция, которую можно купить в даркнете, либо это какие-то уникальные разработки, доступные единицам, а то и вообще одной какой-нибудь спецслужбе. И вот, в зависимости от этого, специалист по управлению ИБ должен формировать защитный арсенал. То есть прежде чем бороться надо узнать, с кем или с чем мы боремся, этому и посвящен доклад моего коллеги Алексея Качалина.

- Вы часто бываете на зарубежных мероприятиях по ИБ, часто ли их темой становится именно управление ИБ?

- Это зависит от мероприятия. Если мероприятие высокого уровня, нетехническое, то да, это частая тема.

- Почему темой Вашего выступления на ПРОФИ будет законодательство в сфере ИБ и правда ли, что на мероприятии Вы впервые представите Вашу книгу на эту тему?

- Правда. Только я  представлю, скорее всего, не книгу, а отдельные ее главы и концепцию.

Что касается темы моего мастер-класса, так уж сложилось, что я активно вовлечен именно в экспертизу и разработку нормативной базы. Учитывая ее объемы, у многих руководителей ИБ и ИТ-служб возникает вопрос, как, с одной стороны, соблюдать законодательство, а,  с другой, сделать это самым оптимальным образом. Я постараюсь дать некую стратегию того, как можно выполнить большинство требований нормативных документов, выпущенных в России и за рубежом, минимальными усилиями.

Записала Вера Архангельская.

Источник: Securitylab



Возврат к списку

Актуальные темы