Блок-конференция

Безопасность для параноиков

White hall
1 ноября в 11:00
Кибербезопасность, Аналитика и данные
11:00
Специалист
К программе

Безопасность для параноиков

Киберугрозы — страшный сон разработчика. Чтобы пользователи безопасно путешествовали по сети, а разработчики спали спокойно, внедряют сканеры безопасности и стандарты OWASP, мониторят изменения в коде и проводят защиту от неконтролируемых изменений. Как использовать WALLARM? Какие существуют подводные камни двухфакторной авторизации? Что такое и как проводить penetration-тестирование? В общем, приготовьтесь к двум часам полезной информации о том, как защитить себя и всех своих пользователей.

Модераторы

Иван Михеев

AGIMA
Deputy CTO

Докладчики

Ermakov Kirill

QIWI
CTO

Тема: Как сканировать 10,000 серверов за 10 минут и 0 рублей

Vulnerability Assessment это классика процессов информационной безопасности. С нее все начинается и она дает действительно неплохие результаты по увеличению защищенности.

Все мы знаем про Nessus, Max Patrol, OpenVAS и кучу других сканеров безопасности. И все было бы отлично, но что делать когда речь идет о тысячах серверов?

Платить сотни тысяч долларов за лицензии и ждать по 3 дня завершения сканирования? Есть альтернатива - немножко "автоматизации на коленке", Python и бесплатных сервисов.

Тема: Краткий курс того, почему интернет устроен именно так и как с этим жить дальше

Как создавался интернет и почему он похож на один большой костыль?
Как развитие интернета способствовало развитию уязвимостей и как это в спешке пытаются (но это не точно) все исправить.
Почему попытки классификации уязвимостей выглядят смешно?
Почему практически все, что нас окружает - плохо и как с этим жить дальше?

Олег Михальский

SiteSecure, Б-152
Сооснователь

Тема: Безопасность веб-приложений и данных

Практические аспекты безопасности веб-приложений с технической и юридической точек зрения:
1. взлом сайта;
2. перенаправление трафика;
3. утечка данных;
4. безопасность инфраструктуры;
5. соответствие ФЗ-152 и персональные данные;
6; проверки Роскомнадзора
Что делать и на что обращать внимание в первую очередь?

Андрей Рыжкин

ООО «АГИМА»
CTO

Тема: Безопасность в заказной разработке

Один из самых серьезных рисков, которые есть у компании, занимающейся заказной веб­ разработкой ­ это компрометация данных своих клиентов. Это репутационный риск для самой компании­разработчика и для клиента, часто это могут быть и прямые финансовые потери для обеих сторон. Мы в AGIMA работаем в основном с крупными заказчиками, которые могут понести серьезные потери в случае, если их подрядчик не удосужился обезопасить свою инфраструктуру. А компания подрядчик в случае подобных инцидентов может существенно ухудшить свой имидж и надолго распрощаться с серьезной разработкой. В своем докладе я постараюсь рассказать, как можно минимизировать эти риски. Практически все советы ­ это так или иначе наши реальные кейсы или проблемы, с которыми мы сталкивались на этапах своего роста.
Я постараюсь рассказать про: ­
-          какие риски часто все забывают, и какой ущерб они могут нанести ­ автоматизированные скрипты проверок площадок dev и prod на примере нашего самописного решения по безопасности
-          ­в каких случаях можно исключить возможность человеческого фактора,
-          какие вещи хорошо поддаются контролю автоматизированными средствами ­
-           регламенты, ­ что делать с тем, что нельзя автоматизировать и как добиться соблюдения этих правил ­ как добиться, чтобы сотрудники внутри вашей компании осознавали эти риски, не манкировали своими обязанностями и умели выявлять новые риски
-          ­ как минимизировать риски утечки sensetive информации со своих серверов ­
-          какие автоматизированные решения существуют на рынке для минимизации рисков (статические и динамические анализаторы кода, соответствие OWASP и другие требования по безопасности) и какие из них мы применяем на практике

Антон Бутивщенко

SafeCrow
Исполнительный директор

Тема: Как выявить и избежать мошенничества при сделках купли-продажи в Интернете

1. Основные схемы мошенничества.
2. Наиболее уязвимые сегменты еcommerce.
3. Безопасные способы денежных переводов.
4. Эффективная защита от недобросовестного покупателя.

Алексей Лукацкий

Cisco Systems
Бизнес-консультант по безопасности

Тема: DNS как улика. Применение DNS для расследования инцидентов, защиты бренда, поиска сайтов клонов

1. DNS - основа интернета.
2. К DNS настолько все привыкли, что забывают защищать и мониторить.
3. Если внешнюю инфраструктуру DNS пусть защищают ICANN, регистраторы и т.п., то на корпоративных заказчиках лежит задача защиты и мониторинга внутренней DNS-инфраструктуры.
4. Угрозы DNS - typosquatting, редиректы, утечки, вредоносный код, клоны, fast flux.
5. Варианты защиты DNS - МСЭ, SIG, защищенные DNS-сервисы, специализированные сервисы защиты DNS.
6. DNS для расследования инцидентов ИБ, защиты репутации и др.

13:30
Гуру
К программе

Информационная безопасность: перспектива 2018

2017 - год серьёзных изменений регулирования в области информационной безопасности. Многие нововведения касаются гражданского сектора и накладывают серьёзные обязательства. Среди них - Закон «О критической информационной инфраструктуре», новые требования к финансовой отрасли, корректировка регулирования и ответственности в сфере защиты персональных данных. Помимо указанного, существуют новые инициативы по регулированию инфраструктуры Рунета, потенциально накладывающие на бизнес серьёзные ограничения, вплоть до необходимости пересмотра бизнес-моделей. 
Кратко осветят данные вопросы в рамках секции ведущие эксперты в области информационной безопасности, а также представители регуляторов.
Также мы коснёмся отдельных аспектов международного сотрудничества в области информационной безопасности, перспектив и возможных последствий такого сотрудничества.

Ведущие

Ирина Левова

Институт исследований интернета
Директор по стратегическим проектам

Модераторы

Георгий Грицай

Ассоциация «Открытая Сеть»
эксперт

Докладчики

Алексей Лукацкий

Cisco Systems
Бизнес-консультант по безопасности

Тема: Закон о безопасности критической информационной инфраструктуры: что это, на кого распространяется, что делать и что будет, если не делать ничего

С 1-го января вступает в полную силу новый закон о безопасности критической инфраструктуры, а также наступает уголовная ответственность за его несоблюдение. Это первый случай в российской истории, когда за несоблюдение требований по кибербезопасности можно лишиться свободы на 10 лет. В условиях цейтнота необходимо не только понять, на кого будут распространяться требования нового закона, но и понять, что необходимо сделать в первую очередь, как и кем это будет проверяться? Ответу на эти вопросы и посвящен доклад Алексея Лукацкого.

Олег Демидов

ПИР-Центр
Консультант

Тема: Регулирование критической инфраструктуры Рунета: развитие подхода регулятора и влияние на отрасль

Описание: За прошедшие 2 года инициатива Минкомсвязи по разработке серии поправок в ФЗ "О связи" для обеспечения стабильности, целостности и устойчивости функционирования критической инфраструктуры Рунета претерпела ряд изменений, затрагивающих различных игроков в отрасли. Предлагаемый законопроект ставит новые задачи и требования не только к операторам связи, но и точкам обмена трафиком и техническим организациям, обеспечивающим работу российского сегмента DNS. Дополнительную сложность создает частичное пересечение предлагаемого предмета регулирования с уже принятым 187-ФЗ "О безопасности КИИ РФ". В рамках доклада планируется проследить развитие инициативы Минкомсвязи - от идеи системы, позволяющей оптимизировать маршрутизацию трафика через участие государства, к попытке комплексного регулирования критической инфраструктуры Рунета. Также мы попытаемся оценить, поможет ли идея регулятора в случае принятия действительно повысить стабильность и отказоустойчивость Рунета, и как ее принятие может сказаться на отраслевых игроках.

Мадина Касенова

Дипломатическая Академия МИД РФ
заведующий кафедрой МЧП, профессор

Тема: Международно-правовое измерение обеспечения международной информационной безопасности

Двустороннее измерение». Российской Федерацией подписано ряд межправительственных билатеральных международных договоров о сотрудничестве в сфере обеспечения международной информационной безопасности (Белоруссия, Китай, Куба) и безопасности информационно-коммуникационных технологий (Малайзия, Индия). Именно билатеральный уровень позволяет достичь согласования относительно общих принципов регулирования, применяемый понятийно-терминологический аппарат, что принципиально важно для сферы международных отношений. «Региональное измерение». Российская  Федерация развивает региональные основы обеспечения международной информационной безопасности, заложенные в «Соглашении между Правительствами государств-членов Шанхайской организации сотрудничества о сотрудничестве в области обеспечения международной информационной безопасности» 2009 г.  («Екатеринбургское Соглашение ШОС»). «Универсальное измерение». Формирование универсального международно-правового регулирования в области международной информационной безопасности сопряжено с необходимостью согласования различных (нередко противоположных) позиций государств, подходов, формирующихся в рамках международных межправительственных организаций, т.е. субъектов международного права, а также организаций, не являющихся таковыми.

Виктор Лебедев

Банк России
Главный инженер ГУБиЗИ

Тема: Новые требования по безопасности в финансовой отрасли

16:00
Начальный
К программе

Персональные данные – интернет и закон.

Защита персональных данных в интернете набирает популярность и все больше привлекает внимание регулятора. Штрафы за некорректную обработку персональных данных увеличились в  разы, и полномочия регулятора существенно расширились. Какие риски таит в себе форма сбора контактных данных и отправка письма о незавершенной покупке в интернет-магазине? Кому в первую очередь следует задуматься о последствиях увеличения штрафов и вида нарушений за неправильную обработку персональных данных. Исследование сайтов в зоне .ru на предмет исполнение требований закона №152-ФЗ «О персональных данных». Взгляд со стороны бизнеса, разработчиков интернет-ресурсов и провайдеров. Какие шаги нужно предпринять уже сейчас, чтобы обезопасить свой бизнес и своих клиентов от санкций регулятора.

Модераторы

Докладчики

Алексей Бородкин

Notamedia
Директор по продуктам

Тема: Персональные данные. Код безопасности для разработчика

1. ФЗ-152. Начало: Как мы жили до 2017 года, что считали персональными данными, с каких историй начался весь сыр-бор - и почему мы начали нервничать.
2. Береженого Бог бережет: какие изменения мы внесли сразу же.
3. Чем чревато: какие опасности для разработки цифровых продуктов (и разработчиков) таит в себе ФЗ-152.
4. Уголок параноика: несколько страшных сказок, что может произойти дальше, и надежда, что сказки останутся сказками.

Максим Лагутин

Б-152
Основатель и руководитель отдела консалтинга

Тема: ФЗ-152 для сайтов и интернет-магазинов. Правда и вымыслы

1. Как привести процессы и документацию в соответствие, ключевые требования.
2. Какие санкции может применить Роскомнадзор в случае найденных нарушений.
3. На что они смотрят при проверке. Кто может инициировать проверку и как следует.
4. Работать со своими клиентами-физическими лицами.

Олег Михальский

SiteSecure, Б-152
Сооснователь

Тема: Отчет об исследовании исполнения закона 152 –ФЗ в российском интернете

Модель оценки исполнения закона «152-ФЗ «О персональных данных» на веб-сайте. Результаты обследования сайтов в зоне .ru. Усилия рынка и старания Роскомнадзора превращают безопасность и корректную обработку персональных данных в базовую гигиену наравне с антивирусами.

Наджиб Муаббат

Hot-WiFi
Директор по продукту

Тема: Защита персональных данных пользователя WiFi

1. ФЗ-152 в операторской деятельности.
2. Защита персональных данных клиента в ситуации, когда бизнес знает о клиенте слишком много. Этика работы с персональными данными: клиент должен знать, что, когда и с какой целью сохраняет и обрабатывает оператор.
3. Какими правами обладает пользователь сервиса в такой ситуации.

Организаторы и партнеры

Организаторы

Официальные партнеры

Отраслевые партнеры

Партнеры

Партнеры профессиональной программы

Организационные партнеры