Эксперты АО «ГТС» приняли участие в конференции AppSecFest
3 апреля в городе Алматы состоялась конференция, посвященная Application Security и DevSecOps в Казахстане, где АО «Государственная техническая служба» выступило информационным партнером.
Мероприятие было организовано для специалистов в сфере ИБ, разработчиков приложений и всех, кто заинтересован в защите цифрового мира. В конференции приняли участие эксперты 30 компаний. Спикеры представили широкий спектр тем: от разработки дизайна безопасных приложений до анализа безопасности кода и многое другое. В докладах были озвучены лучшие практики в разработке безопасных приложений, а также результаты анализов последних угроз и уязвимостей.
В свою очередь, на конференции выступил Заместитель Председателя Правления АО «Государственная Техническая Служба» Улыкбек Шамбулов с докладом на тему «Безопасная разработка как защита от актуальных угроз на критические информационные системы». В ходе выступления спикер обратил внимание на важность соблюдения политик devsecops при разработке, так как это минимизирует риски компрометации систем в дальнейшем.
– С ускоряющимся темпом цифровизации в стране информационная безопасность становится неотъемлемой частью успешного функционирования промышленных систем в условиях боевых сред. Как мы знаем, не существует стопроцентной безопасной системы, однако строгое соблюдение политик ИБ при разработке и регулярное обновление позволит минимизировать данные риски, – отметил Шамбулов.
Также спикер рассказал о деятельности ГТС и о текущих задачах для отрасли ИБ в Казахстане. В частности, Заместитель Председателя Правления поведал об основных функциях НКЦИБ и текущем взаимодействии в обеспечении ИБ.
Он отметил, что именующиеся в стране критически важные объекты информационно-коммуникационной инфраструктуры (КВОИКИ) по закону должны иметь у себя в штате оперативные центры информационной безопасности или приобретать услуги у лицензированных поставщиков (ОЦИБ). Он подчеркнул, что, в свою очередь, ОЦИБ должны направлять информацию в НКЦИБ для совместного регулирования и решения инцидентов, связанных с ИБ.
Также в его выступлении была затронута тема киберстрахования. Спикер отметил, что с учетом увеличения количества инцидентов, связанных с утечкой персональных данных, обязательное страхование может стать необходимым инструментом для соблюдения нормативных требований.
– Во многих отраслях существуют нормативные требования к защите данных и кибербезопасности. Киберстрахование может помочь компаниям соответствовать этим требованиям. Принцип работы страхования такой же, как и, к примеру, страхование авто. Чем чаще собственник базы данных допускает инцидент информационной безопасности, тем с каждым разом сумма страховки увеличивается, таким образом это мотивирует его акцентировать внимание на ИБ, – подчеркнул Улыкбек Шамбулов.
Заместитель Председателя Правления отметил, что тема развития киберстрахования становится все более важной в условиях растущей сложности киберугроз и увеличения числа кибератак на компании любого уровня.
В завершение Шамбулов обратил внимание на то, что разработчики, имеющие излишние права доступа к промышленным системам, могут представлять дополнительные угрозы информационной безопасности, внося уязвимости или осуществляя мошеннические действия, затем пытаясь стереть следы. По мнению Заместителя Председателя Правления в контексте критически важных информационных систем каждое изменение должно строго логироваться, обеспечивая прозрачность и возможность быстрого реагирования на возможные инциденты.
Он также отметил, что внедрение практики безопасной разработки и использование пайплайнов позволят контролировать каждый этап изменений, гарантируя их проверку и согласование. Таким образом снижая риски и обеспечивая целостность и надежность работы системы.
– Даже при введении дополнительной ответственности для суперадминистраторов, практика безопасной разработки становится в первую очередь гарантией для добросовестных разработчиков. Они смогут предоставить доказательства того, что данные в боевых средах не подвергались никаким модификациям со стороны их учетных записей, – заключил он.
Отметим, что в рамках мероприятия были записаны видеоподкасты и интервью с участниками конференции, которые можно просмотреть на нашем официальном Youtube-канале ГТС по ссылке: https://www.youtube.com/@state_technical_service/videos.