Головна Блог Враження від відвідування конференції FinTech Moldova
Враження від відвідування конференції FinTech Moldova

Враження від відвідування конференції FinTech Moldova

Враження від відвідування конференції FinTech Moldova, Кишинів, Молдова, 28/02/2020.

Для початку що таке взагалі FinTech (фінтех, фінтек).
Це такий собі місток між світом банків та фінансів (важким та неповоротким) та світом технологій (сучасним та динамічним). Грубо кажучи, фінтек – це розробники та інтегратори технологій для банкінгу та фінансів. Банківський додаток маєте у телефоні? Ось це воно.
Я ж туди потрапив за запрошенням організаторів у якості учасника дискусії про кібербезпеку світу фінтек.
Це була моя перша поїздка до Кишиніва та Молдови, тому спочатку кілька слів про міста та країну.
Кишинів нагадує український не дуже великий обласний центр, типу Черкас чи Сум, десь схоже на київський Поділ. Мешканці розмовляють між собою румунською (молдавської мови як такої не існує), по місту вовсю їздять йандекс-таксі, купа росіянських телеканалів, соцмереж-фкантактів, мову совка розуміють майже усі, хіба що крім зовсім молодих людей. У той день, коли вдалося погуляти по місту, світило сонце, був вихідний день, тому виглядало все чудово; але насправді цікавого у місті мало (мабуть). Поклав під постом пару фоточок зацінити.

Тепер про саму конференцію.
Я туди поїхав щоб скласти для себе враження чим зараз живе така цікава індустрія як фінтех в плані кіберзахисту. Адже такі надкритичні технології повинні приділяти кібербезпеці просто екстраординарну увагу, інакше таким технологіям не будуть довіряти, та, відповідно, користуватися. І ніхто на цьому нічого не заробить. Але ж заробляють, тому, напевно шо, кібербезпека там має бути на висоті. Я так вважав.
Але реальність виявилася дещо цікавішою.
Так ось, про конференцію.
Вона була повністю англомовна, хоча дехто виступав румунською, а хтось – росіянською. Переклад через навушники забезпечувався. Але основна мова – англійська. Хоча хз чи усі в залі її розуміли, зворотній зв’язок між сценою та аудиторією був настільки слабий, що майже непомітний.
Сесія питань-відповідей була взагалі відсутня як клас, і це виглядало дивно. Наче 400 людей зібралися послухати радіо, але наживо.
Так само була досить низька активність у спілкуванні зі спікерами після виступів. І це було дивно. Організатори хвалилися солд-аутом у 300 проданих квитків, але публіка була якась мовчазна та пасивна. Дивно то все.
Цікавий лайф-хак від організаторів: коли спікер затягує виступ та не реагує на знаки завершувати, у залі поступово посилюється світло, як у кінотеатрі наприкінці фільму.

Про що говорили на конференції: переважно на нову модну течію у фінтек під назвою Open Banking (весь день намагався зрозуміли що це, і, думаю, зрозумів); також про Consent Management (це ще майже кібербезпека, принаймні точно стосується Privacy); майже кожен спікер згадував PSD2 (ЕС-івська регуляція платіжних сервісів, хоча Молдова не є членом ЄС і начебто не повинна виконувати вимоги директиви).
Але то таке. Що цікавого я виніс для себе і для своєї професії?

По-перше, виявляється, ще з 2018 року і Молдові запроваджені спеціальні умови для ІТ-компаній: єдиний податок 7%. Для цього створено віртуальний Moldova IT Park, до якого може приєднатися будь-яка компанія, яка працює по одному з восьми ІТ-шних видів діяльності. Наскільки я зрозумів, це було зроблено для того, щоб ІТ-компанії вийшли з тіні та платили б хоча б якісь податки (близько 100 тисяч людей працює у цій індустрії в Молдові, на хвилиночку). Тобто поки наші пришелепкуваті жижиталізатори бігають як дурнуваті зі своїми «унікальними ідеями», але все ніяк не можуть їх втілити у життя (щоб не влупитися мордою в двері), у Молдові, про яку в Україні взагалі мало хто що знає, вже давно, біля двох років, успішно існує система заохочення ІТ-бізнесу. В Молдові, Карл. У совкові часи про молдаван анекдоти розказували, а вони он які просунуті.

Ще цікавим були виступи представників міжнародної організації FDATA Global Gavin Littlejohn та Ghela Boskovich. Обидва, і Гейвін, і Гела – надзвичайно яскраві особистості, крім того, що круті у своїй справі та взагалі умнічки.
Так ось, над чим вони там в FDATA працюють. Вони розробляють фреймворк, згідно якого будь-яка організація, яка торкається будь-яких даних клієнта (отримання, збір, передача – будь-що), повинна: щороку проводити аудити на відповідність стандарту з кібербезпеки типу PCI DSS; щорічно проводити пентести своєї компанії та подавати відповідні звіти; мати кібер-страховку на випадок витоку даних; само собою, повинна відповідати вимогам GDPR, і все таке подібне.
Тобто здорова логіка здорової людини. Мені концепція дуже сподобалася. Представники FDATA наразі активно зустрічаються з представниками вищої влади багатьох країн про проговорюють з ними свою ініціативу, зокрема, розуміння є в Японії, Новій Зеландії, деяких штатах США, та ще в кількох країнах.
Гівен ще розказав смішний випадок у Японії. Одна фінтек-компанія звернулася до одного японського банку «а давайте співпрацювати». Ті кажуть – «а давайте, тільки покладіть ось сюди 5 млн. доларів у якості страховочки». Ну ті включили задню, звісно. Але ідея досить перспективна, як на мене.

Серед спікерів було досить багато українців, і майже усі хоча б раз згадували Монобанк, при чому у якості позитивного прикладу. Я не знаю у чому там фішка Монобанку, але прізвище Ду-Бі-Лєт миттєво анігілює бажання взнавати такий банк поближче. Молдаванам я цього, звісно, не розказував, воно їм треба? У них своїх дубілетів вистачає, я думаю.

Виступала на заході і гусня, куди ж без них. Загалом, сучасна Молдова нагадує Україну до війни: запорєбріки присутні скрізь, ставлення до них в цілому лояльне, але насторожене, адже Придністров’я залишається окупованою територією, а Уряд Молдови навіть має офіційні стосунки з тамтешніми кремлівськими маріонетками.
Так от, рузькемір безбожно брехав у своїх презентаціях, як у них там, власне, прийнято. Не буду повторювати ту маячню, але велич «рюзьземір» просто капала кислотними краплями з екрану на подіум.
Ладно, розкажу лише один приклад з виступу хлопчика з такої собі Group IB (відома у колах кібер-фахівців). З пафосним обличчям чувак віщав банальщину з тупими та старезними прикладами з соціальної інженерії і про такі самі банальні методи протидії, наводим якісь дебільні приклади. З серйозним обличчям заявляв, що найбільше досягнення мордорської фінансової системи – стабільність. О да, це єдина, чим імперці можуть похвалилится. Зате у наступному реченні таварісч визнає, що у них головна проблема – гроші. Ну так да, санкції ж нікого не лякають, іскандери сміються, тополі ржуть. А ще розсмішив щирою фразою «нам на росії дуже потрібні регулювання». Чи то інший порєбрік сказав – не пам’ятаю. Та вони там практично усі такі, власне. Дуже люблять, коли барін лупить їх по спині нагайкою.

Перед панельною дискусією, де я брав участь, усі її учасники зібралися у окремому приміщенні та близько години обговорювали про що будемо говорити на панелі.
Звісно, по факту говорили зовсім про інше, я так і знав. Мені модератор поставив два чи три питання. Я ж для початку запитав у аудиторії: шановні, ось тут у залі конференції Wi-Fi безпарольний, ви, мабуть, усі його юзаєте, а хто зараз (крім мене) користується VPN? Дві руки, у тому числі росіянин з одіозної Group IB, тобто всього нас троє на 400 людей. «А ви знаєте, наскільки легко хакеру через безпарольний вайфай взяти під контроль ваші телефони, просто тут і просто зараз, з усіма вашими другими-третіми факторами, інтимними фоточками, банківськими картками та модними фінансовими інструментами?
Мовчать.
А ви знаєте, що усіх і усе можна зламати, було б бажання, час та ресурси? Так я вам це говорю. Ваша задача – лише підвищити для хакера складність такої задачі та знизити ризик зламу. Злочинні хакери –нарід лінивий і не люблять складні цілі.
Гівен ще спитав “Якщо з групи компаній, які працюють разом, витекла інформація чи дані клієнтів – наскільки вірогідно визначити яка сама компанія відповідальна за це?”
– “Якщо компанії передбачали кібер-ризики, готувалися до таких сценаріїв, вели логування, мали системи захисту, то, за умови задіяння професійної компанії для розслідування та форенсіку, вірогідність встановити хто винен у витоку десь 80% – 90%”
Одна маленька, але важлива ремарка: в дискусії брали участь двоє людей з України, один з Росії, один з Молдови і модератор – шотландець. Усі говорили англійською, а лише один росіянин – росіянською, оскільки погано вмів а англійську. І чому я не здивований?

Ще був цікавий виступ нашого земляка пана Ростислава Дюка про українську фінтек-асоціацію (майже 60 компаній-мемберів, ого). Під час дискусії за участі Ростислава, росіянин щось ляпнув про обов’язковість участі держави у фінтек-асоціаціях, «інакше то все не працюватиме». Ростислав розмазав дурника миттєво: «Ми вважаємо, що якраз у таких випадках треба триматися від держави якомога далі, наскільки це взагалі можливо». Різні Світи, різні цивілізації, що сказати. Різні віка, б сказав.

Більше нічого цікавого про кібер на конференції начебто не було. Переказувати про сесію з інвесторами, які розповідали як вони відбирають стартапи, – думаю, немає сенсу.
Після урочистого завершення одного запорєбріка зловили на тому, що він заховав перекладацькі навушники у сумку. Я стояв в метрі біля нього, коли його примусили їх повернути. В душІ я ржав як кінь. Аааа.

Ще організатори наступного дня возили усіх спікерів по місцевим винокурням, які, нібито, найбільші у Світі. Точно можу сказати, що вино тамтешнє смачне, їжа гарна, таксі дешеве (якщо не наламують), люди гостинні (принаймні організатори конференції Stefan, Lisa, Dmitry, Vasilie з компаній SaltEdge та навчального центру TekWill).

Коли мене запитували « а шо там у вас в Україні буде найближчим часом цікавого в плані кібербезпеки» – усіх, і наших, і молдаван – запрошував на NoNameCon 21-22 травня. Щоб приїхали принюхатися чим живе світ кібербезпеки, що цікавить місцеве ком’юніті, оскільки кібер-ком’юніті як такої в Молдові начебто «не існує». Сумніваюся я, що зовсям не існує, не може такого бути щоб не існувало, мабуть, просто не дуже шукали. Але менше з тим: українську молдавани розуміють десь наполовину, англійська у них чудова, тому нехай приїжджають, буду радий ще раз побачити цих приємних людей.

Загальне ж враження про FinTech Moldova 2020 під кутом кібербезпеки: здається, під терміном cybersecurity, фінтек-спільнота та ми, кібер-спільнота, розуміє не зовсім одне й те саме. Не те щоб різні речі, але не одні й ті самі. Для них перші дев’ять місць з десяти займають функціональність, зручність, швидкість, рентабельність, тощо. КБ десь дев’ята-десята, хоча на словах усі кажуть «так, це важливо, і по дефолту має бути безпечно, звісно». Але по факту якось ні. Якось не розуміють чому не можна натягувати кібербезпеку на готовий продукт і чому це завжди погано закінчується. Тобто типові проблеми ІТ vs CyberSec.

Але в цілому конфа була чудово організовано, атмосфера була якась розслаблена і дружня, хоча трохи натягнута. Спишу це на малий досвід IT-конференц-руху у Молдові та специфічеу утаємниченість галузі фінтек. Але мені усе сподобалося.
Дякую усім, хто дочитав цей пост, який стосується КБ досить опосередковано.
Але я його все одно написав, а Ви – прочитали. За що і дякую.
Все не дарма.

UPD: короткий офіційний звіт від організаторів: https://www.linkedin.com/…/urn:li:activity:663990680602401…/

 

 

 

 

 

 

 

 

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.