Начался день с выступления преставителя ФСБ, который рассказывал про облака и виртуализацию. Ничего нового в докладе не было — видимо ФСБ делилась результатами каких-то своих исследований, а точнее сделанного по материалам открытой прессы обзора угроз и механизмов защиты облаков и виртуализации. Никакой позиции ФСБ в докладе высказано не было. Более того, коллега из ФСБ видимо сознательно уходил от термина «публичные облака», концентрируясь на облаках частных. Но я человек дотошный и на правах ведущего задал несколько вопросов о том, как нейтрализовывать описанные угрозы при отсутствии адекватных сертифицированных СКЗИ. Что было сказано в ответ?.. Частично конфиденциальность частного облака можно решить и сейчас — на базе сертифицированных СКЗИ придется применять разные СКЗИ с разными ключевыми системами, что усложняет решение и создает дополнительные проблемы. На вопрос, планирует ли ФСБ разрабатывать нормативную базу для облаков и виртуализации последовал ответ, что такие работы на 2012-й год не запланированы.
Вообще с представителями ФСБ на конференции я общался не раз. В кулуарах была поднята тема отсутствия сертифицированных СКЗИ для мобильных устройств, на что представитель ФСБ ответил, что это не совсем так и такие решения есть. Правда, называть их не стал. Возможно он имел ввиду решения «Кода безопасности», «Инфотекса» и С-Терры? Но они еще не сертифицированы. А для работы отечественных СКЗИ на iOS потребуется делать jailbreak, что вызывает вопросы в законности таких действий. На такое замечание, представитель ФСБ ответил: «А мы-то тут причем?» Действительно ни причем. Это проблема потребителя, который будет вынужден либо нарушать требования по криптографической защите, используя несертифицированные решения, либо нарушать лицензионные условия на мобильную платформу (причем после обновления iOS приходится вновь ее ломать, что не всегда происходит оперативно). Кстати, о требовании использования сертифицированной СКЗИ для мобильных платформ. На мой вопрос к сотруднику ФСБ о том, что по идее надо исходить из рисков и применять сертифицированные СКЗИ только там, где надо, последовал ответ, что ФСБ думает также и что у ФСБ нет документов, требующих использования сертифицированных СКЗИ на мобильных устройствах. Правда, когда я уточнил, что есть методичка ФСБ по персданным, где говорится только о сертифицированных СКЗИ, представитель ФСБ ответил: «Ну по персданным да, так оно и есть». И почти каждый ответ со стороны ФСБ завершался комментарием «А мы-то тут причем? Это вопрос к разработчикам, если они не могут разработать такое решение». В итоге четкого мнения регулятора по вопросу применения сертифицированных средств защиты так получить и не удалось. Но позиция их была озвучена четко — ФСБ не доверяет ни публичным облакам, ни мобильным устройствам.
Кстати, после выступления ФСБ я провел блиц-опрос на тему «Кто из присутствующих использует или планирует использовать облака в своей практике?» Из 60 человек утвердительно ответили только 5 слушателей! После этого можно было бы и завершать тему облачных вычислений в банковской отрасли. Все последующие выступления если и касались облаков, то преимущественно частных. Мне понравились комментарии Oracle и IBM относитель применения публичных облаков у их клиентов. Oracle заявил, что публичные облака спросом у заказчиков из банковской сферы не пользуются; если не сказать больше. Максимум, на что готовы клиенты Oracle — облака частные. А IBM пошла еще дальше. Она и про частные облака сказала, что клиенты пока не готовы и большинство потребителей продукции голубого гиганта обращает внимание лишь на виртуализацию и консолидацию ресурсов. После выступления Андрея Степаненко о защите облаков, я задал ему провокационный вопрос, не планирует ли сама Информзащита перейти в облаков. Ответ был предсказуем — Информзащита не доверяет публичным облакам и не планирует туда переходить. Собственно, эта позиция была у всех выступающих. Висящий на языке вопрос, зачем предлагать защиту того, во что интегратор не верит и не рекомендует, я так и оставил незаданным 😉 Также как я не стал задавать всем вопрос о том, чем частное облако отличается от обычного ЦОДа, который есть у всех компаний. Мы бы погрузились в дебри терминологии, но судя по докладам далеко не все понимали, что же это за фрукт такой — облако.
Андрей Бажин из Абсолютбанка, регулярно задававший неудобные вопросы выступающим, задал одному из докладчиков, представляющих очередное несертифицированное решение для защиты мобильной платформы, вопрос: «Почему интегратор продает решение по endpoint security, а не по терминальному доступу?» Последнее решение должно быть не менее (а может и более) эффективным с точки зрения защиты, а по цене в разы дешевле лицензии на каждое мобильное рабочее место. Внятного ответа не последовало, но ответ был очевиден — прибыль для интегратора выше 😉
Доклад IBM был достаточно стандартным, но они единственные, кто упомянул среди угроз виртуализации аппаратные руткиты. Правда, на мой вопрос, как они борятся с этой угрозой, ответить не смогли. Также IBM была единственной компанией, кто сказала про риски использования социальных сетей и необходимость наличия политики их использования в корпоративной среде.
Собственно на этом рассказ о деловой программе заканчивается. Описал я не все доклады — голую рекламу или прописные истины выкинул из повествования. Кому они интересны, милости прошу на сайт конференции, где уже выложили все презентации.
ЗЫ. Завтра попробую сформулировать впечатления от культурной и спортивной программы, которые стали неотъемлемой частью форума по банковской безопасности, организованном компанией Авангард-Центр.