InfoSecurity 2009 Russia Moscow — отчет

infosecurityПубликую ранее обещанный отчет о посещении выставки-конференции InfoSecurity Russia 2009, которая проводилась в Москве, в ЦВК “Экспоцентр” с 29.09.2009 по 01.10.2009 г.

Интересовало пленарное заседание по вопросам, связанным с законом о защите персональных данных (29 сентября) и круглый стол по основным проблемам безопасности бизнес-приложений и ERP-систем, где организаторами планировалось обозначить “Проблемы безопасности SAP и Oracle с примерами типовых уязвимостей” (1 октября).

29.09.2009 г.

Достаточно плотно потолкались на входе и регистрации. Зарегистрировались, получили карточки. Простим девушку, которая оформляла наши бэджи и с легкой руки превратила нас в сотрудников компании Oral CLE. С такой срамотой ходить не хотелось, поэтому бэджи были убраны куда подальше.

IS0

Забегая вперед, скажу, что полезным оказалось только пленарное заседание. До него представлялось, что вопросы защиты персональных данных мне более менее понятны. Но, как оказалось, все значительно запутаннее и сложнее. Как это обычно и бывает. Интересно было послушать вопросы из зала, касающиеся конкретных проблем у компаний и организаций. В общем, мне есть теперь над чем поработать и подумать, чтобы быть готовым отвечать на подобные вопросы нашим Партнерам и Заказчикам.

IS1

Повеселил выступающий из президиума представитель компании ОАО “ЭЛВИС-ПЛЮС”. ФИО неизвестно (вообще конечно безобразие, что для председательствующих организаторы изготовили таблички вида “СБ России” и в том же духе. А выступающие не представлялись). Он рассказал присутствующим, что в соответствии с законом о паспорте, его надо предъявлять, а следовательно этот документ является открытым и общедоступным. Над товарищем дружно посмеялись и поаплодировали.

Апофеозом заседания можно считать фразу ведущего Кузнецова А.С. (зам. начальника Управления ФСБ России), который на очередную реплику из зала заявил. Могу ошибаться в порядке слов, но прозвучало так, “Выполнение требований закона теперь не наша задача, а Ваша проблема”. Все снова посмеялись и поаплодировали.

Теперь про саму выставку. Буду краток — бедновато. Некоторые павильоны были оформлены табличкой с названием компании, ее представителем и стулом. Жировали только антивирусные компании, пригнавшие броневик, Ленина и Крупскую с бодиартом.

01.10.2009 г.

Круглый стол. Небольшая предыстория. К нам пришел запрос господина Медведовского И, директора DIGITAL SECURITY, с предложением выступить на этом столе и рассказать про безопасность приложений Oracle. На что мы согласились и подготовили некоторые материалы. Затем нам предложили оплатить участие, сославшись на подобное требование организаторов. С учетом, что параллельно к выставке готовились наши сотрудники (совершенно безвозмездно) по GRC и безопасности, данное предложение показалось более чем странным. Но не суть. Хотелось послушать про проблемы с безопасностью ERP систем Oracle. Тем более были заявлены как участники наши Клиенты, компании МТС и ВымпелКом.

IS2

Круглый стол оказался ни о чем. Единственное, что прозвучало от представителей компаний, что их системы очень сложные и что они нуждаются в комплексной защите. С учетом, что информационные системы постоянно развиваются, защитой нужно заниматься тщательно и постоянно. Все верно, но не интересно. Хотелось задать вопрос представителю МТС, как же случилось, что диск с клиентами МТС оказался на базаре и на нем записаны лично мои персональные данные, включая паспортные и дана характеристика, какой я плательщик? Но. Не успел. Завершив показывать убийственную по цветовой гамме презентацию (с крутящимися и вылетающими со всех сторон картинками и фотокарточками), представитель МТС покинул мероприятие.

Скажу честно, что просто устал от часового выступления господина Полякова А., которое носило технический уклон и было направлено на недостатки SAP ERP. Кто-то из зала пытался робко вставить, что большинство описанных т.н. уязвимостей описаны в Security Guide для системы и закрываются стандартными настройками, а значит уязвимостями не являются. Трудно не согласиться, что ненастроенная система – и есть главная дыра в безопасности. Но. Хотелось услышать что-то более серьезное. С некоторым удивлением узнал, что для SAP ERP является проблемой то, что клиентское программное обеспечение не обновляется и им нельзя управлять. А как же SAPadmin Server, центральная консоль, через которую можно отслеживать версионность клиентов, устанавливать обновления? Почему об этом знаю я, сотрудник Oracle, но не знает аудитор SAP? Или рекомендовать залу использовать для шифрования SNC, который на территорию РФ SAP AG не поставляет?

Относительно продуктов Oracle была озвучена только одна проблема. После установки системы забывают сменить пароли по умолчанию. И снова это человеческая проблема, а не проблема системы.

К большому сожалению,  жаль потраченного на круглый стол времени.