Мой доклад (а уже выложены все презентации) был посвящен фантазиям на тему, как стоило бы развиваться законодательству по безопасности критической инфраструктуры. Выделено мне было 10-15 минут, а я, как многие знают, сегда выступаю против таких коротких выступлений. Считаю, что за такой интервал времени очень сложно донести что-то практически полезное до аудитории. Хотя в последнее время меня часто просят именно в сжатом виде рассказать непрофильной аудитории про ИБ. Приходится потеть, чтобы это сделать — все-таки это не презентацию на 500 слайдов в течение 8 часов читать — тут приходится приоритезировать и выделять самое главное. Так было и в этот раз. Утешало одно — на моем выстулпении сидел заместитель министра связи, который внимательно слушал то, что я говорил и местами удивленно поднимал брови, впервые услышав об отдельных положениях законопроекта по безопасности КИИ. Надеюсь, что его внимание поможет повлиять на благоприятное развитие ситуации с активно обсуждаемым законопроектом последнего времени.
Презентация удивительно коротка для меня 🙂 но ключевые моменты в ней я отразил. По сути я повторил ключевые положения заключения кластера по ИБК на тройку законопроектов по безопасности КИИ.
В финальной части CSF я модерировал секцию по персональным данным, которая для меня оказалась неожиданно интересной. За последние годы тема эта поутихла, а когда всплывает, то говорят про нее преимущестенно в контексте ожидаемых штрафов (а Президент подписал во вторник поправки в КоАП, но об этом я напишу отдельно). В этот же раз все было совсем по другому. Дмитрий Сидорин из одноименной лаборатории рассказывал прикольнейшие кейсы про утечки в соцсетях, про то, как распространяется информация в Интернете и т.п. Я же смотрел на его доклад с точки зрения ИБ — как публикация селфи на фоне экранов с паролями или планов перспективного развития может навредить компании. Очень живая презентация от человека, который раньше работал в Инфовотч и Крибрум.
В докладе Дмитрия Малышева из MADCRUSH говорилось о другой проблеме со стороны сотрудников — об инсайдерах, которые торгуют персональными данными (и иной информацией компании) на специализированных биржах, готовых покупать инсайд, нанося тем самым ущерб компаниям. Тоже нечасто об этом говорят, преимущественно концентрируясь на теме соответствия требованиям регулятора, а не реальной необходимости защищать информацию.
Финальным аккордом стало выступление Максима Лагутина из Б-152 (не путать с популярным коктейлем), который систематизировал свой опыт участия в трех десятках проверок РКН за прошедший год. Очень отрезвляющее выступление с конкретными примерами, что и как смотрит РКН во время проверок операторов ПДн. Учитывая, что я схожую информацию слышал еще из нескольких источников я склонен ей верить и рассматривать ее как сложившуюся практику. Но про эту тему я хотел написать отдельную заметку на следующей неделе.
