Этот отчасти парадоксальный вопрос обсудили в Алматы в ходе сессии «Cybersecurity банкинга и платежного бизнеса. Социальная инженерия, киберугрозы и другие вызовы. Готовимся к эре постквантовых вычислений и постквантовой криптографии (PQC)» 5-го Международного ПЛАС-Форума Digital Kazakhstan.

Модератором выступил Аркадий Прокудин, коммерческий директор, международная консалтинговая группа Compliance Сontrol & Rakasta, который отметил прогноз Gartner на 2026 год о двузначном росте инвестиций в информационную и кибербезопасность, а также платформы искусственного интеллекта. Эксперт выступил с презентацией «Автоматизация функции внутреннего аудита от бизнеса до специалиста Compliance APP».

Compliance Control – международная консалтинговая компания в сфере информационной безопасности с 13-летним опытом работы на международном рынке. Компания реализует проекты в 50+ странах мира, проводит сертификационные аудиты, экспертную оценку ИБ-инфраструктуры и помогает соответствовать ключевым стандартам: PCI DSS, SWIFT CSP, ISO 27001 и др. Compliance Control обладает статусами QSA и ASV и аккредитована ведущими платежными системами.

В свою очередь, Rakasta – сервисное направление группы, реализующее модель Security as a Service (Безопасность как сервис). Команда Rakasta обеспечивает непрерывный мониторинг, пен-тесты, управление уязвимостями, SOC as a Service, сопровождение безопасной разработки (Secure SDLC) и услуги виртуального CISO, помогая бизнесу оставаться на шаг впереди киберугроз.

Евгения Володикова (Умен), главный архитектор, Национальный межбанковский процессинговый центр HUMO, Узбекистан, поделилась новым структурным взглядом на технологическое будущее HUMO. Как отметил эксперт, с точки зрения обеспечения безопасности морально устаревшую «архитектуру надзора» должна сменить концепция «архитектура как стратегический ИТ-актив компании». В качестве примера она привела опыт цифровой трансформации HUMO.

Полат Тохтахунов, руководитель коммерческого департамента, TSARKA GROUP (Казахстан), дал своей презентации достаточно провокационное название: «Вы создали монстра: Как гонка за цифровой трансформацией породила идеальную среду для преступности». По словам спикера, он собрал и проанализировал те проблемные вопросы, с которыми столкнулся в ходе своей работы с инфраструктурой заказчиков. Главным моментом остается тот факт, что несмотря на привлечение лучших специалистов и огромные инвестиции, количество кибератак все растет. Ответ эксперт видит в следующем – «мы стоили некую иллюзию крепости, внутри которой видели себя, а преступников – снаружи. Однако этот периметр уже давно размыт и практически не существует». В ходе выступления он назвал три типичные управленческие ошибки:

«Поклонение скорости» – желание обогнать конкурентов любой ценой, включая безопасность; «Облачная шизофрения» и «Культурный коллапс». Для каждого из этих моментов Полат Тохтахунов предложил свой вариант реализации правильного подхода.

Дамир Еркин, руководитель направления кибербезопасности KPMG Caucasus and Central Asia, поделился опытом управление ИТ- и киберрисками в эпоху цифровизации банков и госсектора. По словам спикера, по итогам недавно проведенного компанией опроса более 50% респондентов признались, что в их структурах отсутствует какая-либо оценка уровня внедрения ИИ, несмотря на интерес к этой технологии. Особое внимание он уделил взаимосвязи рисков ИБ и ИТ со всеми остальными рисками и необходимость ими эффективно управлять.

Евгений Герцен, директор департамента цифровой трансформации, Отбасы банк, поделился опытом построения эффективного CI/CD и DevSecOps в условиях квазигоссектора. Он сделал акцент на таких ключевых моментах, как культура разработки, безопасность на уровне пайплайна и внедрение ИИ-кодревью. По его словам, основными вызовами, с которыми банку пришлось столкнуться на этом пути, оказалась сложная, но продуманная регулятивная политика и многоуровневые согласования. При этом банком была поставлена задача сделать процесс быстрым, но управляемым. Использование автоматизированных релизов и многих других решений позволило добиться желаемого результата. А переход на режим обновлений раз в несколько часов позволил в разы сократить количество ошибок.

В свою очередь, Артем Саидов, заместитель директора, Технологическая практика KPMG Caucasus and Central Asia, поделился опытом эффективного подхода к организации и оценке DevSecOps. Эксперт рассмотрел топ-10 ведущих практик в этой сфере. В частности, по его словам, оценка ключевых доменов по пяти уровням зрелости позволяет не только оценить текущую ситуацию, но и понимать, куда мы идем в будущем.