Словарь магических слов: Agile, компетенции и информбезопасность
На конференции Profit Finance Day 2017 развернулись нешуточные баталии, а градус дискуссий порой был на грани дозволенного.
Главный топик второй части конференции Profit Finance Day 2017 (о том, что происходило в первой — читайте здесь) — информбезопасность. И это вполне объяснимо — еще не зажили раны от WannaCry, который оказался «самым-самым» за всю историю человечества. Анатолий Пудель, заместитель директора департамента безопасности и защиты информации АО ДБ «Сбербанк», считает, что в ИБ одно из самых важных качеств — видеть уязвимые точки, чтобы устранить их. «И еще важно понимать уровень подготовленности пользователей, ведь WannaCry и ему подобные могут распространяться и по электронной переписке, нужно научить сотрудников соблюдать кибергигиену», — говорит он. Еще на старте было ясно, что сессия, модерируемая Евгением Питолиным, управляющим директором KasperskyLab в Центральной Азии, будет особенной. Но в реальности откровения участников панельной дискуссии превзошли все ожидания.
Макс Таксер, руководитель управления финансовых технологий Евразийского Банка, говорит, что главная причина победоносного «шествия» WannaCry по стране — отсутствие реально работающего CERT. «Если бы это работало, то можно было бы отразить большее количество атак. Такие вещи нужно решать превентивно. Нам нужна единая база знаний по миру, по СНГ, нужна контрразведка».
Асем Нургалиева, директор по развитию бизнеса «Первого кредитного бюро», говорит о проблеме с точки зрения бизнеса: «Нам кажется, что с нами ничего не произойдет, все обойдется. Но когда происходит подобный инцидент, мало у кого есть проверенные сценарии».
Влад Ткачев, директор по ИТ-аудиту компании «Бейкер Тилли», поднимает очень важную тему: между банками отсутствуют каналы коммуникаций на случай киберинцидентов. «Я отчасти понимаю, почему так происходит — это вопрос репутации. Возможно, для того, чтобы как-то решить эту проблему, потребуется создание третьей стороны», — замечает он. И еще Влад говорит об обучении: «Краеугольный камень — это подготовка сотрудников. Они просто не готовы к подобным инцидентам».
Евгений Питолин предлагает выйти на новый уровень обсуждения. И тут вопрос «Что делать?» оказывается весьма кстати. Итак, что делать? Может, аутсорсинг?
По мнению Макса Таксера, в Казахстане это не так развито, недостаточно компетенций. Лучшая модель, по его словам — это собственная команда плюс компетенции партнеров. «Впрочем, кое-какие задачи можно смело отдавать на аутсорсинг», — говорит он. Влад Ткачев дополняет: «Нельзя купить дорогую железку и сказать, что ты защищен. Ключевые процессы должны остаться в компании». Асем Нургалиева поддерживает коллегу: «Эту работу я никому отдать не могу. Если мы говорим, что часть работы отдаем на аутсорсинг, то мы ведь несем ответственность за эту работу в любом случае. То есть, в финале результат все равно будет зависеть от сотрудника банка».
Поговорили и о регуляторе. «Должен ли регулятор быть эталоном для бизнес-процессов? Должны ли компании публиковать информацию об инцидентах?», — задает вопрос Евгений Питолин. Влад Ткачев считает, что регулятор не должен быть эталоном, он отвечает за развитие отрасли, задает векторы для участников рынка. «Его задача — выставлять адекватные требования. Но риски в итоге все равно несут БВУ», — добавляет он. Макс Таксер конкретизирует, соглашаясь с новыми предложениями Минфина о стандартах в области информбезопасности. И еще он считает, что публикация информации о киберинцидентах — это пиар вендоров, и никак не идет на пользу банкам.
Влад Ткачев оппонирует руководителю управления финансовых технологий Евразийского Банка: «Отказ от публикации — это путь в никуда. В информационной безопасности есть такое понятие „безопасность через неизведанность“. Для повышения доверия клиентов это стоит делать», — говорит он. Анатолий Пудель говорит так: «Раскрывать все детали не нужно, но и полностью закрываться не стоит. Тут нужен компромисс». По мнению Асем Нургалиевой, если банк будет слишком транспарентен — это вряд ли будет оценено его клиентами, они просто не поймут такой открытости.
Сессия завершилась коротким опросом участников дискуссии о том, что такое банк в экосистеме 3.0, что требуется от банков, чтобы приблизиться к этой заветной цели. Анатолий Пудель считает, что банки должны предугадывать желания. Макс Таксер уверен, что нужно двигаться в онлайн — банк в экосистеме 3.0 — это полноценная онлайн-платформа. Влад Ткачев, считает, что идеальный банк — это банк без сотрудников, а Асем Нургалиева, что банк будущего — это «безопасный, умный, дружелюбный банк». Евгений Питолин резюмирует свою сессию: «Идеальный банк — это что-то вроде Скайнета из „Терминатора“».
Буква закона об «облаках»
Крайне интересной для делегатов Profit Finance Day оказалась презентация Виталия Казанцева, кандидата юридических наук, директора юридической компании «IT-Law», о национальном законодательстве в области «облаков», и о том, что можно там делать и чего нельзя.
«В условиях, когда отсутствует отдельный профильный закон, который регулировал бы „облака“, мы применяем либо части отдельных правовых актов, регулирующих „облака“ в той или иной мере, а в случае отсутствия прямого регулирования этой части — аналогию закона или аналогию права. Особенностью „облаков“ в данном случае является их сущность — это, в большинстве случаев, услуга виртуального хранения информации третьими лицами, то есть, кроме собственно хранения речь идет еще и о передаче/получении такой информации к/от третьего лица», — говорит Виталий.
В то же время, несмотря на то, что в Казахстане отсутствует самостоятельный отдельный профильный правовой акт, это не означает, что у нас вообще нет правовой базы, регламентирующей эту деятельность. Задача государства в этой части, по словам Виталия, обеспечить безопасное функционирование финансовой системы, в том числе, правовым регулированием отдельных частей данной деятельности, например, тех же «облаков».
«Есть норма об обязательности хранения персональных данных в базе на территории Республики Казахстан. Но и прямого запрета в этом законе на хранение резервной/дублирующей базы данных за пределами Казахстана тоже нет. Но дьявол кроется в деталях — от того, как организована сеть, до того, для каких целей и как получено согласие от клиента на обработку и хранение его персональных данных. Вопросов сразу возникает очень много. В каждой ситуации необходим хороший юридический анализ», — поясняет директор юридической компании.
Тема оказалась настолько обширной, что мы взяли отдельное интервью у Виталия Казанцева, с которым можно ознакомиться чуть позже на сайте Profit.kz.
Биометрия и Agile
Нариман Мукушев, управляющий директор по инновациям и ИТ АО «Казпочта», рассказал на конференции об уникальном проекте верификации. Ядро этого проекта — фото, отпечатки пальцев, сканирование удостоверения личности. «Скоро будет установлено оборудование для верификации в 800 отделениях „Казпочты“, а потом этот кейс мы распространим на всю нашу сеть», — рассказывает он. Основные цели проекта — автоматизация, ускорение обслуживания клиентов. «Это откроет для нас необыкновенные бизнес-модели, это настоящий трипл-вин — клиент, „Казпочта“, партнер», — делится планами управляющий директор по инновациям и ИТ.
Модератор конференции — Алексей Евтушенко — поддерживает коллегу, говоря об «атомарных», быстро подключаемых сервисах.
Эмоциональным и очень кейсовым получился доклад об опыте работы в философии Agile Алексея Воронцова, ИТ-директора «Альфа Банк Казахстан». «Agile — это микросенсация, здесь есть очень рациональные вещи. И эта методология должна быть Must Have», — интригует он. Agile, по его словам, это не технология, — это философия, образ мышления. И она очень плохо приживается на людях, которые являются приверженцами «ватерфола». «Общепринятой концепции Agile не существует — это просто свод рекомендаций. Единственный документ — это манифест. И это „ломает“ голову тем, кто долго прожил в другой парадигме», — рассказывает Алексей. Он считает, что готовность к внутренним изменениям — это самое важное, но нужно понять еще и то, что самый важный документ — это код. «В этой философии возникают новые роли для участников процесса. И все они находятся в одном информационном поле. Для меня основные постулаты Agile оказались удивительными, но если ты не проникся этой философией, то этот самолет не полетит», — делится он.
Алексей Евтушенко добавляет, что Agile хорош для канальных решений, но для определенного класса задач — сложных, и где есть требования регуляторов, ватерфол все еще остается предпочтительным. «В остальных проектах Agile очень эффективен. Бизнесу не нужна документация, нужен продукт», — аргументирует он.
Снежный ком
Из года в год, из конференции в конференцию меня не покидает ощущение, что ассортимент задач для финансового сектора становится все сложнее. Регуляторы, мир, социум, угрозы как бы специально сошлись в одной точке — в банках. Отрасль претерпевает самую невероятную трансформацию за сотни лет. По сути, все эти выражения стали штампами. Но стали таковыми именно потому, что масштаб задач, который стоит перед БВУ, регуляторами, действительно ошеломляющий.
В кулуарах конференции было много откровений. Например, один собеседник сказал, что та трансформация, которую мы видим сейчас, — это всего лишь прелюдия. К чему-то большему, к тому, что пока и описать-то невозможно. Прав ли он? Время покажет.
Видеозапись основной сессии конференции:
Видеозапись воркшопа «Кибербезопасность в эпоху цифровизации»: