Главной темой конференции Busines Information Security Summit 2016 стало обеспечение безопасности информационных систем в условиях постоянного изменения объектов защиты. Как отметил Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, все чаще бизнес-приложения разрабатываются и модернизируются по методологии Agile, а изменения в них, пусть и небольшие, вносятся едва ли не ежедневно.
Информационная система предприятия состоит из множества в разной степени интегрированных подсистем, за их совершенствование и эксплуатацию отвечают разные подразделения. Уследить за всеми изменениями в приложениях и в их взаимодействии между собой невозможно, а между тем до 40% атак используют уязвимости в бизнес-логике корпоративных решений, традиционные средства защиты их вообще не замечают. Растут ресурсы атакующих, а если учитывать появление на поле кибервойн государственных структур, они фактически неограниченны.
Рустэм Хайретдинов полагает, что разработка системы корпоративной безопасности должна происходить по методологии Agile |
Как полагает Хайретдинов, в этих условиях традиционная служба информационной безопасности, будучи не в силах разобраться в происходящем «на лету», фактически переходит в режим расследования произошедшего, да и расследования эти требуют все больше средств и все меньше помогают бизнесу решать проблемы «здесь и сейчас».
Поскольку обеспечить безопасное функционирование корпоративных решений по старой схеме «сначала создаем систему, потом боремся за ее защищенность» невозможно, то нужно и совершенствование средств информационной безопасности перевести на методологию Agile, сделать этот процесс непрерывным, интегрировать средства с объектами защиты.
От лица практиков, приверженных методологии Agile, выступил Райнхольд Вохнер, руководитель cлужбы информационной безопасности Raiffeisen Bank, рассказавший, как новый подход меняет взаимодействие структур банка друг с другом и с внешним миром. Два новых «вызова» системам безопасности, по его словам, — финтех-компании и Интернет вещей.
Несколько скептичнее по отношению к Agile оказался Станислав Витечек, исполнительный консультант по архитектуре и интеграции умного автомобиля и мобильных онлайн-сервисов в SkodaAutomotive. Он полагает, что применение скоростных методов к критически важным инфраструктуре и приложениям породит больше проблем, чем решит: слишком сложно отследить в них все взаимодействия, которые могут быть затронуты быстрым обновлением, в том числе средств информационной безопасности. А вот работу с пользовательскими приложениями и встроенными в автомобиль системами перевести на Agile можно. Как заметил Витечек, уязвимости будут всегда, идеальную систему безопасности не построишь. Главное — минимизировать ущерб.