10.11.2016

Почему на российских мероприятиях по ИБ мало выступлений от заказчиков?

Сегодня я решил сделать передышку от SOC'овской темы и написать немного про другое. Тем более, что и повод для этого есть. Во-первых, я сейчас нахожусь в США в качестве наблюдателя на выборах Трампа на конференции по безопасности. А во-вторых, я участвую в программных комитетах ряда российских конференций по ИБ. И вот на фоне этих двух явлений и родилось наблюдение, которым я хочу поделиться.

Очень часто от участников отечественных мероприятий по ИБ приходится слышать негативные отзывы о посещаемых семинарах и конференциях, которые изобилуют рекламой вендоров и почти не избалованы практическими выступлениями заказчиков. Что забавно, жалуются как заказчики, которые сами не выступают, так и вендоры, которые при этом гонят голимую рекламу в своих докладах. При этом на западных мероприятиях заказчики выступают очень активно и очень достойно. Почему так? Почему там потребитель не является пассивным слушателем вендорской рекламы, а у нас является? Я, наблюдая эту картину уже несколько лет, для себя выделил три основных причины происходящего (в порядке возрастания важности):

  1. Технологическая отсталость. Не секрет, что Россия, до недавнего времени активно строящая свои системы защиты опираясь на compliance, а не на требования реальной безопасности, была достаточно отсталой в технологическом плане. Завися от требований ФСТЭК, заказчики использовали антивирусы, межсетевые экраны, шифраторы, средства защиты от НСД и системы идентификации и аутентификации пользователей. Вот и весь джентльменский набор. С выходом 17/21-го приказов ФСТЭК ситуация сдвинулась с мертвой точки и в арсенале отдельных заказчиков стали появляться WAFы, SAST/DAST-сканеры, SIEMы и другие нишевые продукты. Но произошло это не так давно и называть это мейнстримом пока нельзя. Не знаю, насколько я прав, но думаю, что 80% компаний до сих пор используют вышеупомянутый джентльменский набор, а то и еще меньший состав решений по ИБ. В такой ситуации докладчик боится выглядеть глупо и архаично на фоне таких монстров как Qiwi, Вымпелком или Газпромбанк, которые не стесняются рассказывать о своем богатом опыте применения различных, в том числе и новомодных технологий. 
  2. Неумение говорить. Об этой причине я уже высказывался не раз, но повторюсь. Очень мало кто из потенциальных спикеров когда-либо проходил курсы по так называемым presentation skills. Даже у вендоров докладчики не всегда умеют говорить красиво и доходчиво. А уж со стороны потребителей умение выступать - это еще большая редкость. На Западе же ситуация иная - искусству презентовать учат в университетах и почти каждый выпускник умеет это делать, продолжая оттачивать свое мастерство на работе (без этого сложно двигаться по карьерной лестнице). Вот сегодня я слушал представителей разных внутренних подразделений Cisco (разработчики, ИТ, ИБ, тестировщики, CSIRT и т.п.), которые не ориентированы на общение с заказчиками. Они выступали для своих, таких же как они. Но при этом они все умеют выступать. Не сбиваются, не мямлят, не бурчат себе под нос, соблюдают временные рамки, делают сбалансированные презентации. Их слушать не только интересно, но и приятно. У нас такое редкость и потенциально интересные спикеры боятся выходить на публику, даже если им есть, что сказать.
  3. Нежелание говорить. Основной же проблемой российского рынка ИБ-мероприятий является низкая зрелость докладчиков со стороны заказчиков, которые не считают необходимым делиться своим опытом и знаниями с коллегами. Дело тут не в принципе security through obscurity, которым можно было бы обосновать нежелание выносить на публику аспекты построения систем защиты на своих предприятиях (хотя и это тоже присутствует), а именно в непонимании того факта, что отдавая что-то (знания, опыт), можно получить еще больше. Почему-то у нас часто грамотные ИБшники, которым есть, чем делиться, и которые знают, как это все донести до аудитории, не хотят выступать, отвечая на предложение программных комитетов классическим "А зачем мне это надо?" или "Я занят; мне некогда". На Западе такое тоже присутствует (а где этого нет?), но уровень зрелости европейских и американских спикеров "от сохи" все-таки гораздо выше российского. У нас спикер после доклада часто сваливает "на работу", а на той же RSA Conference или SANS или иных западных мероприятиях, докладчики остаются и с охотой отвечают на вопросы слушателей. И это еще хорошо, если "наш" просто торопится на работу; бывают и просто вопиющие случаи. Например, "и швец, и жнец, и на дуде игрец" в своем выступлении говорить полную банальщину, а на просьбу все-таки рассказать чуть подробнее отказывается, ссылаясь на коммерческую тайну, ноу-хау и нежелание делиться тем, что самостоятельно изучал в течение нескольких лет. Так какого хрена ты тогда вообще выступал? Поторговать лицом? Или другой случай. Выступает, допустим чудак на букву "М" с по своему интересным докладом, после которого к нему подходят люди и спрашивают конкретные вопросы по существу. А докладчик от всех отмахивается, заявляя, чтобы ответы на эти вопросы стоят денег и за просто так он свое время тратить не готов. И снова вопрос, какую цель преследует докладчик, отшивая слушателей и вызывая у них стойкий негатив к себе, который транслируется и на компанию, в которой работает спикер?
Вроде как по всем трем причинам и их источник понятен, и способы решения тоже. Но все-таки ситуация не очень приятная и в обозримом будущем врядли решаемая. Как у участника нескольких программных комитетов регулярно возникает вопрос: "А кого из заказчиков можно пригласить на эту темы? А на эту? А вот на эту?" И ответа на него нет - приходится ограничиваться спикерами от интеграторов и вендоров, которые может быть и умеют говорить, но не всегда умеют дистанцироваться от своего работодателя и не гнать одну рекламу (даже если за их выступление заплачен спонсорский взнос). А потом приходится вновь слушать, что мероприятие было скучным и спасло только общение в кулуарах...

ЗЫ. Понятно, что описанные наблюдения - это скорее средняя температура по больнице и бывают счастливые исключения из описанной ситуации, но это именно исключения.

7 коммент.:

Kirill Rrr комментирует...

Алексей, как по-вашему будет кому-нибудь интересен рассказ про опыт применения опенсорсных продуктов в ИБ? А организаторы как отнесутся к тому что среди коммерческих докладов появится доклад про опенсорс с моралью "не ждите бюджета, не уповайте на вендора, а делайте хоть что-нибудь прямо сейчас"?

Александр Бодрик комментирует...

Кирилл, а напишите мне на alex.bodryk@gmail.com. У меня как раз есть друзья которым на концеренции нужен такой доклад

Алексей Лукацкий комментирует...

Kirill, у вас очень специфическое мнение об организаторах. Правда, не у вас одного. В ФБ в обсуждении этой заметки у многих тоже впечатление, что именно спонсоры заказывают музыку и определяют, о чем говорить, а о чем нет заказчикам. Поверьте мне, организаторы заинтересованы в отличном контенте, так как на него придет аудитория, которая интересна спонсорам. Именно в такой последовательности. Хотя бывают и исключения, когда именно спонсоры "танцуют девушку", но такие мероприятия долго не живут.

Александр Бодрик комментирует...

У Кирилла и правда есть некий перекос, но у меня был реальный кейс когда я предложил обсудить контент и организатор сразу (sic!) начала требовать деньги - мол, если я работаю в большом богатом потенциальном спонсоре то надо делиться. Только после нескольких раундов переговоров мой доклад попал на экспертный совет, от которого никакой обратной связи так и не поступило:) А пару лет назад тот же организатор сам просил выступить, и контент у меня был менее релевантен проблемам большинства служб ИБ - и ничего, все прошло как по маслу, и даже экспертный совет проходить не пришлось вроде бы.

Алексей Лукацкий комментирует...

Поэтому заметка про выступления ЗАКАЗЧИКОВ. К выступениям вендоров/интеграторов отношение совсем другое. Либо спикер должен быть хорошо известен и должен себ зарекомендовать как умеющий говорить независимо от своей компании, либо он должен платить деньги как спонсор

Александр Бодрик комментирует...

Так любой игрок индустрии тоже заказчик, а если это большой богатый игрок - то он больше заказчик чем 90% заказчиков, просто потому что у него выручка в десятках миллиардах рублей, люди в тысячах, и ИБ в подразделениях считается. А через годик на меня сама вышла другая конференция федерального масштаба, сама предложила выступить - и ее ничуть не смутило мое тогдашнее место работы и денег с меня она не требовала))

Алексей Лукацкий комментирует...

А это другой вопрос. Я тоже постоянно говорю оргам, что опыт Cisco по защите своей инфраструктуры гораздо интереснее опыта сотни "Рогов и копыт", но это не часто воспринимают. И не забывай, что продукт-менеджер или маркетолог не в состоянии рассказать о том, как защищается его компания