Этот и другие актуальные вопросы рассмотрели участники дискуссии "Защита информации в новых архитектурах", состоявшейся в первый день работы Уральского Форума «Кибербезопасность в финансах» в Екатеринбурге.
Модератором сессии выступил Дмитрий Гадарь, вице-президент – директор Департамента информационной безопасности, Т-Банк.
По его словам, в эпоху микросервисов, облаков и развития искусственного интеллекта наложенные СЗИ становятся неэффективными. Информационная безопасность закладывается еще до появления клиентских данных, транзакций и инфраструктуры — как неотключаемая и неотъемлемая часть архитектуры.
В фокусе дискуссии — ключевые подходы: Zero Trust как основа, Security by Design как принцип, платформизация ИТ как стратегия. Участники обсудили внедрение риск-ориентированного подхода к мерам защиты информации на основе актуальных угроз — с возможностью отказа от предписанных инструментов при создании безопасной архитектуры, но при этом не снижая, а повышая защищенность. Ключевой вопрос: выдержит ли архитектура безопасности удар будущих угроз, когда приоритет смещается с жестких требований на фундамент адаптивных стандартов?
Вячеслав Касимов, CISO, Точка Банк, отметил, что механизмы безопасности нужно закладывать уже на стадии расчета NVP. Другой вопрос - как реализовать такой подход на практике? Для этого разработчику понадобится своя собственная платформа, на базе которой будут разрабатываться различные элементы обеспечения безопасности, что снизит себестоимость ИБ и гарантирует независимость от сторонних вендоров.
Евгений Сидоров, директор по информационной безопасности Yandex Cloud, подчеркнул, что есть целый ряд моментов, от которых для обеспечения безопасности отказаться по-прежнему нельзя (бэкапы и т. п.), при этом нет возможности и полностью оградить пользователя системы от необходимости самостоятельного принятия решений, связанных с ИБ.
Сергей Лебедь, вице-президент по кибербезопасности, Сбер, сделал исторический экскурс в эволюцию построения информационных систем. Эксперт выделил скорость как определяющий фактор любого инфраструктурного процесса. В качестве примера он привел архитектуру развертывания ИИ-агентов в общей ИТ-инфраструктуре банка.
Рустэм Хайретдинов, директор по росту компании Гарда по управлению цифровыми рисками, отвечая на вопрос модератора про растущую конкуренцию со стороны ИТ-подразделений, отметил: "ИТ пытается съесть все, до чего сможет дотянуться", и еще не ясно, чем кончится этот процесс. Все-таки "безопасность - про то, что не происходит, а ИТ - про то, что имеет место".
Валерий Богдашов, генеральный директор R-Vision, напомнил, что "безопасность нужна для того, чтобы бизнес делал свое дело". Крупнейшие банки находятся на передовой цифровизации, начиная позиционировать себя как ИТ-компании, для чего у них есть все основания. Все будет решать то, насколько конкретный участник рынка более других адаптирован к долгосрочным трансформациям.
Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, Positive Technologies, отвечая на вопрос модератора, как объективно оценивать Security by Design, отметил, что компания, которая сумела построить такую концепцию внутри лучше других и теперь выносит ее наружу, в значительной степени также становится вендором. При этом задача измеримости, отметил эксперт, конечно же, никуда не пропадает.
Фото: ПЛАС
