Пиджаки vs джинсы. В ИБ стало много посторонних...

Описанные в заметке рассуждения давно витали в моей голове, но только на прошедшем в пятницу BIS Summit оформились в некий набор тезисов, который я и хотел выплеснуть на страницы блога. Я прекрасно понимаю, что за данные мысли, возможно, на меня обидятся некоторые мои коллеги и друзья, но в последнее время я уже и так наговорил столько всего и наступил на мозоли стольким людям и организациям, что одной заметкой больше, одной меньше, не критично. Итак, мой тезис простой - в профессии ИБ стало слишком много посторонних!

Несмотря на то, что у нас (и в России, и в мире) ощущается явная нехватка специалистов по информационной безопасности, а Наталья Касперская даже предлагает вводить специальный реестр выпускников ИБ-специальностей и не выпускать их за границу, чтобы не утекали мозги, я вижу, что попадание сторонних людей в профессию только вредит ей. На BIS Summit Рустем Хайретдинов поделился наблюдением, что раньше в отрасли были преимущественно выходцы из спецслужб и иные "погонщики" (от слова "погоны"), которых многие молодые специалисты называют "пиджаками". Молодежь же Рустем назвал "джинсами" и отметил, что их в отрасли становится все больше и больше, сменяя "пиджаков". Это те люди, которые вышли из программеров, пентестеров, хакеров. И вот они начинают превалировать над теми, кто понятие "безопасность" впитывал со скамьи в Высшей школе КГБ, ИКСИ или ином каком закрытом ВУЗе. А еще в ИБ идут люди из ИТ, которые узнали, что в ИБ нехватка людей или что в ИБ много платят.

И вот именно эта тенденция лично меня и пугает. Обе эти категории специалистов (и "джинсы" и айтишники) не имеют сознания безопасников. У них могут быть знания и навыки, но не сознание, которое должно формироваться с самого начала профессионального образования. Как думает "айтишник" в ИБ? Я защитю (защищу) внедрю систему защиты ИТ-активов согласно лучшим практикам, подчерпнутым в ISO 27001, СТО БР, 31-м приказе ФСТЭК, и наступит мне счастье. Как думает "джинса"? Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.

Также как Роскомнадзор подменил термин "защита прав субъектов персональных данных" "защитой персональных данных", так и в нашей отрасли ИБ ее заменили "ИТ-безопасностью". Мы концентрируемся на защите информации и информационных систем, забывая про субъектов, которые эту информацию обрабатывают, создают, хранят, передают. Мы много говорим о культуре ИБ, не предпринимая усилий по ее формированию. Надо признать, что и регуляторы тоже не сильно напрягаются в этом направлении, только постулируя необходимость заниматься этим вопросом. Основы госполитики в области формирования культуры ИБ в СовБезе так и канули в Лету. Уровень высшего ИБ-образования уже стал притчей воязыцех. Вот и получается, что основа, фундамент ИБ разрушен, а соответствующие навыки практически утеряны. Вендорам, в целом, тоже не до формирования культуры - за нее не платят миллионов и сотен миллионов (статьи затрат по программе "Цифровой экономики" говорят именно об этом, хотя про культуру и образование эта программа и говорит очень активно).

Сюда же относится и нежелание/неумение работы с людьми. Иногда гораздо проще и дешевле поговорить с сотрудниками, чем долго и безуспешно внедрять дорогостоящие защитные технологии (они, конечно, тоже нужны, но не стоит преувеличивать их важность). Но у нас этому ИБшников не учат (ФГОСы не содержат таких дисциплин). Хотя по правде тут нужны не знания, а навыки, которые надо не преподавать, а прививать. Но кто это будет делать? Если безопасник попросится на тренинги по управлению конфликтами или на управление коммуникациями, то на него посмотрят как на сумасшедшего. Зачем тебе это? Что за чушь? В лучшем случае пошлют в Информзащиту учиться Контитенту или SecretNet'у.

И эта тенденция только нарастает, последствия чего мы и наблюдаем в последнее время. На ИБ тратятся колоссальные бюджеты, вендора разрабатывают мыслимые и немыслимые технологии искусственного интеллекта, а хакеры на порядки более дешевыми методами продолжают ломать рядовых граждан, малые и крупные компании. Больше денег на ИБ, больше взломов. Такой вот парадокс. А все потому, что сознание у современных ИБшников уже не "безопасное", а "айтишное" или "хакерское". Мы (и я не исключение) не думаем о причинах многих вещей. Мы латаем дыры, не понимая, почему они появились. Чисто айтишный подход - пропатчиться по быстрому. Мы ищем дыры и кричим о них на конференциях, забывая рассказать о том, как их закрыть (и это почему-то называют security research). Это уже хакерский подход. А где подход безопасника? А его-то и нет...

ЗЫ. Предвидя комментарий "а ты сам кто такой?", отвечу: "Не знаю". Я гражданский, хотя мне преподавали преподы из Вышки. Но я и не айтишник и не хакер. Просто 25 лет в информационной (кибер)безопасности немного дают мне права надеяться, что я все-таки больше безопасник, чем...

Статья с сайта http://www.securitylab.ru/blog/personal/Business_without_danger/342632.php Автор: Алексей Лукацкий.

Материал опубликован 23 сентября 2017

в разделе: "Статьи".


Team PERMSITE
develop, support and security of your site.

Команда ПЕРМСАЙТ
© 2009-2017, автор: Юрий Токарев.