8 декабря состоялась Ежегодная аналитическая конференция для профессионалов сферы ИБ «КОД ИБ | ИТОГИ 2022». От «Антифишинга» с двумя докладами выступил директор компании Сергей Волдохин.

1. Культура безопасности: ожидания и реальность. Как перейти от слов к делу

Первый доклад был посвящён культуре безопасности. Сергей пояснил, что культура безопасности — это то, как люди принимают решения, когда рядом нет специалистов по ИБ, то, как они ведут себя, когда никто не смотрит. Он отметил, что если не строить культуру безопасности компании скрупулёзно и методично, две трети её будут случайным явлением, а оставшаяся треть — чудовищной ошибкой. И именно эта ошибка будет фактором, который сделает возможным инциденты ИБ.

В качестве ключевой компетенции безопасности Сергей выделил коммуникацию — способность ИБ-подразделения быть бизнес-партнёром, который помогает, а не запрещает. Это также включает в себя открытость для диалога с бизнесом, умение объяснять и вовлекать людей так, чтобы сотрудники осознали, что выполнять свои служебные обязанности безопасно — часть работы и ответственность каждого из них.

Видео: первый доклад Сергея

2. Shift-Left Security: как подружить безопасность и продуктовые команды

Второе выступление Сергея было посвящено безопасной разработке приложений и понятию Shift-Left Security, важности которого он уделил особое внимание.

Главные тезисы доклада:

1. Современные программы содержат значительное количество уязвимостей, эксплуатация которых приводит к утечкам данных и другим проблемам безопасности.
2. Устранение уязвимостей на ранних стадиях разработки программ обходится значительно дешевле, чем поиск и устранение ошибок в готовом продукте.

3. Практику как можно более раннего поиска и устранения ошибок в программах называют Shift-Left Security. Смысл термина в том, чтобы максимально снизить количество уязвимостей с самого начала создания автоматизированной системы или приложения.

4. Инструменты проверки кода не делают продукт безопасным. Эту задачу могут выполнить только люди — разработчики софта.
5. Чтобы программисты писали безопасный код, нужна совокупность трех факторов:

• требования по безопасности, сформулированные так, чтобы их понимали и разработчики и безопасники;
• знания — четкое понимание того, как написать безопасный код;
• мотивация — заинтересованность в том, чтобы код продукта был безопасным.

Эти задачи решают продукты Антифишинга:

• START. REQ — решение класса ASRTM для управления требованиями и знаниями по безопасности приложений;
• START. EDU — интерактивный модуль обучения для продуктовых команд;
• START. CTF — тренажёр по практической безопасности в формате действующего интернет-банка с типовыми уязвимостями.

Видео: второй доклад Сергея

Помимо докладов Сергей в качестве эксперта принял участие в трёх дискуссиях, проходивших на мероприятии:

• обсуждение ключевых тем ИБ — уход западных вендоров с российского рынка, Россия как полигон для хакерских атак, блокировки, VPN и отток ИТ-специалистов;
• культура кибербезопасности и работа с персоналом;
• защита программных продуктов от уязвимостей.