22.9.17

Пиджаки vs джинсы. В ИБ стало много посторонних...

Описанные в заметке рассуждения давно витали в моей голове, но только на прошедшем в пятницу BIS Summit оформились в некий набор тезисов, который я и хотел выплеснуть на страницы блога. Я прекрасно понимаю, что за данные мысли, возможно, на меня обидятся некоторые мои коллеги и друзья, но в последнее время я уже и так наговорил столько всего и наступил на мозоли стольким людям и организациям, что одной заметкой больше, одной меньше, не критично. Итак, мой тезис простой - в профессии ИБ стало слишком много посторонних!

Несмотря на то, что у нас (и в России, и в мире) ощущается явная нехватка специалистов по информационной безопасности, а Наталья Касперская даже предлагает вводить специальный реестр выпускников ИБ-специальностей и не выпускать их за границу, чтобы не утекали мозги, я вижу, что попадание сторонних людей в профессию только вредит ей. На BIS Summit Рустем Хайретдинов поделился наблюдением, что раньше в отрасли были преимущественно выходцы из спецслужб и иные "погонщики" (от слова "погоны"), которых многие молодые специалисты называют "пиджаками". Молодежь же Рустем назвал "джинсами" и отметил, что их в отрасли становится все больше и больше, сменяя "пиджаков". Это те люди, которые вышли из программеров, пентестеров, хакеров. И вот они начинают превалировать над теми, кто понятие "безопасность" впитывал с молоком отца со скамьи в Высшей школе КГБ, ИКСИ или ином каком закрытом ВУЗе. А еще в ИБ идут люди из ИТ, которые узнали, что в ИБ нехватка людей или что в ИБ много платят.

И вот именно эта тенденция лично меня и пугает. Обе эти категории специалистов (и "джинсы" и айтишники) не имеют сознания безопасников. У них могут быть знания и навыки, но не сознание, которое должно формироваться с самого начала профессионального образования. Как думает "айтишник" в ИБ? Я защитю (защищу) внедрю систему защиты ИТ-активов согласно лучшим практикам, подчерпнутым в ISO 27001, СТО БР, 31-м приказе ФСТЭК, и наступит мне счастье. Как думает "джинса"? Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.

Также как Роскомнадзор подменил термин "защита прав субъектов персональных данных" "защитой персональных данных", так и в нашей отрасли ИБ ее заменили "ИТ-безопасностью". Мы концентрируемся на защите информации и информационных систем, забывая про субъектов, которую эту информацию обрабатывают, сохдают, хранят, передают. Мы много говорим о культуре ИБ, не предпринимая усилий по ее формирования. Надо признать, что и регуляторы тоже не сильно напрягаются в этом направлении, только постулируя необходимость заниматься этим вопросом. Основы госполитики в области формирования культуры ИБ в СовБезе так и канули в Лету. Уровень высшего ИБ-образования уже стал притчей воязыцех. Вот и получается, что основа, фундамент ИБ разрушен, а соответствующие навыки практически утеряны. Вендорам, в целом, тоже не до формирования культуры - за нее не платят миллионов и сотен миллионов (статьи затрат по программе "Цифровой экономики" говорят именно об этом, хотя про культуру и образование эта программа и говорит очень активно).

Сюда же относится и нежелание/неумение работы с людьми. Иногда гораздо проще и дешевле поговорить с сотрудниками, чем долго и безуспешно внедрять дорогостоящие защитные технологии (они, конечно, тоже нужны, но не стоит преувеличивать их важность). Но у нас этому ИБшников не учат (ФГОСы не содержат таких дисциплин). Хотя по правде тут нужны не знания, а навыки, которые надо не преподавать, а прививать. Но кто это будет делать? Если безопасник попросится на тренинги по управлению конфликтами или на управление коммуникациями, то на него посмотрят как на сумасшедшего. Зачем тебе это? Что за чушь? В лучшем случае пошлют в Информзащиту учиться Контитенту или SecretNet'у.

И эта тенденция только нарастает, последствия чего мы и наблюдаем в последнее время. На ИБ тратяся колоссальные бюджеты, вендора разрабатывают мыслимые и немыслимые технологии искусственного интеллекта, а хакеры на порядки более дешевыми методами продолжают ломать рядовых граждан, малые и крупные компании. Больше денег на ИБ, больше взломов. Такой вот парадокс. А все потому, что сознание у современных ИБшников уже не "безопасное", а "айтишное" или "хакерское". Мы (и я не исключение) не думаем о причинах многих вещей. Мы латаем дыры, не понимая, почему они появились. Чисто айтишный подход - пропатчиться по быстрому. Мы ищем дыры и кричим о них на конференциях, забывая рассказать о том, как их закрыть (и это почему-то называют security research). Это уже хакерский подход. А где подход безопасника? А его-то и нет...

ЗЫ. Предвидя комментарий "а ты сам кто такой?", отвечу: "Не знаю". Я гражданский, хотя мне преподавали преподы из Вышки. Но я и не айтишник и не хакер. Просто 25 лет в информационной (кибер)безопасности немного дают мне права надеяться, что я все-таки больше безопасник, чем...  

14 коммент.:

asdsadasd комментирует...

Согласен. Как безопасник по специальности (хоть и гражданский -
МИФИ), тоже не раз отмечал, когда коллеги порой забывают, что мы защищаем ИНФОРМАЦИЮ, а не систему.

SnowyOwl комментирует...

[обращаясь к Р.Н.] Верните мудреца Инь Фу Во и выведите его в соцсети. Нужен диалог двух не поколений, но партий.
И без пиджака и без джинсов - король останется полуголым, неважно где сраму больше.

Unknown комментирует...

Увы, но такая ситуация характерна не только для ИБ. Тоже самое наблюдается и в области бизнес- и системном анализе в ИТ. Вот эти две цитаты полностью соответствуют ситуации в области проектирования: "Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices..." "Сюда же относится и нежелание/неумение работы с людьми".

Анонимный комментирует...

Может быть, изменения следствия вызваны именно изменением причины? ИБ-специалисты работают с ИТ-инфраструктурой, созданной для чьих-то нужд. Если специалисты становятся ненужны, то и те, кого нанимают на их место, тоже будут иметь в головах другой подход. Второе предположение, это процесс автоматизации всех рутинных процедур, выполняемых людьми. Глубоко знающий специалист становится ненужным. И ненужен он объективно. Ведь при необходимости в таких людях, за ними бы стояла очередь и это направление развивали, как в Китае (к 2025 году - 7 учебных заведений по кибербезопасности). Может быть, просто в России становится всё меньше объектов для защиты? Или защита осуществляется совсем другим способом?

Valery Estekhin комментирует...

Мой опыт работы в банке подсказывает другой водораздел в среде безопасников: “ковбои” (внутренняя/экономическая безопасность-ЭБ) и "инноваторы" (информационная безопасность-ИБ). ЭБ слишком ориентирована на краткосрочную перспективу и функционально ориентирована. Ей не хватает интеллектуальной ориентированности Она пытается браться за то, что будет работать сразу без проволочек и лишних рассуждений. Такие сотрудники эффективны в краткосрочной перспективе и абсолютно не результативны в долглосрочной перспективе. ИБ старается вдаваться в детали. У ИБ есть преимущество в степени понимания и обдуманности той или иной ситуации. Методы ИБ не всегда являются эффективными, но они, как правило, результативны. Методы ЭБ напротив эффективны, но никто не знает, что они принесут компании пользу или вред в долгосрочной перспективе. А соотношение ЭБ/ИБ в банках в эпоху "цифровой трансформации бизнеса": на 60 бывших следователей (ЭБ) приходиться 6 ИБ-специалистов...


Алексей Лукацкий комментирует...

Антон: безопасники не защищают информацию, они должны работать с людьми, как первопричиной всех проблем в ИБ. Работа с информацией и информационными системами (равнозначные сущности) - это последствия неумения работать с людьми.

Unknown комментирует...

По делу.
Только отмечу, что "пиджак" - это офицер, закончивший гражданский ВУЗ ;)

Алексей Лукацкий комментирует...

Да, я соглашусь, что погонщики, сапоги и пиджаки тут смешаны в одну кучу

Unknown комментирует...

4 года назад сделал довольно большую презентацию про взаимодействие ИТ, ИБ и СБ, используя свой опыт работы / службы, в том числе в должностях начальника СБ, ИТ-директора и т.д. Вижу, что до сих пор тема актуальна.

Ржавский Константин комментирует...

И все-таки речь идет о ТЗИшниках, полагаю.
Думаю первопричиной является именно преемственность поколений (вернее её отсутствие), т.е. осмысление выбранной специальности происходит в ВУЗе и кем ты вышел после его окончания, тем ты и стал, дальнейшая перекройка сознания болезненна и занимает гораздо большего времени.
Хороший преподаватель просто «обязан» не только преподавать дисциплины, быть креативным (этаким генератором идей), но и прививать менталитет поведения, подходов, «духа» безопасника.
Только в этом случае, на выходе из ВУЗа, мы получим то, что хотим.
Наверное, в современном мире все решает прагматизм, поэтому найти таких «преподавателей-альтруистов» все сложнее. Степени они, в большинстве своем, не имеют, гранты пилить не умеют (не научили).

Unknown комментирует...

Доброго дня! Согласен с автором в наблюдениях. При этом, мой жизненный и профессиональный опыт (так случилось, что наблюдаю специалистов от школьной скамьи до профессии) заставляет провести несколько иной водораздел: на тех, кто профессионально и вдумчиво относится к своей деятельности и тех, кто просто занимает ту или иную должность. К сожалению, многим все равно что продавать/развивать/проектировать/осваивать. Сегодня он "проектирует" ИБ, завтра - IT, послезавтра - "инновации". Эта категория работников ни в институте не вникала в предмет, ни на работе в суть своей профессии. Силовики (военные/разведчики, которые не бывают бывшими) отличаются в целом значительно более высоким уровнем ответственности, что находит свое отражение и в их отношении к профессии. Далее по тексту автора...

Unknown комментирует...

)))Всяк кулик свое болото...
Первопричины каковы? Откуда начало?
Какие требования предъявляет рынок?
Какие дыры бизнесу необходимо закрывать?
Нужна ли бизнесу в России та безопасность о которой говорит Лукацкий?
Вот ответы на эти простые вопросы и формирует среду в которой мы существуем.
Я айтишнеГ. Опыт и в ЭБ был(реальный опыт, не просиживание штанов). Состояние ИБ в в своем городе знаю досконально.
Единственно жесткие ИБшники работают только в одной организации(на всю область наверно их не больше десятка) которая занимается практически только одним-гостайной. Руководитель там бывший ФСБшник.
Свой опыт и знания оцениваю очень критично, но я это продукт рынка который меня сформировал.
И да в целом, я, как говорит Лукацкий -лишний, но ...

Unknown комментирует...

Леш, да проблема, имхо, не только и не столько в погонах/пиджаках, сколько в определенной системной ошибке: ни в одном известнм мне крупном сотовом операторе(не готов за ростелек сказать) нет на данном этапе достаточного финансирования подразделений ИБ, и как следствие - нет в принципе понятия "кадровый резерв". Негде выпускникам учиться и расти. А в самих компаниях вечные муки - человек забил, или демотивирован, или еще что, надо бы поменять - а некем. Поэтому и ситуация такая. Бизнес воспринимает ИБ как средство страховки от регуляторных рисков, и не заинтересован в системном подходе, вендоры/интеграторы, а зачастую вместе с "генералами" от заказчика заинтересованы спулить бюджет и поставить галку "система внедрена". Кто и как ее потом эксплуатирует - вообще не парит.
Пока это не изменится - и качество ИБ не изменится тоже.

С уважением.

Алексей Лукацкий комментирует...

Константин: да, все верно

Дмитрий: да, соглашусь с наблюдениями

Сергей: менталитет безопасника закладывается в выпускника еще в ВУЗе; на работе и в жизни он только укрепляется. Не заложено - дальше либо самостоятельное движение в нужном направлении, либо тупик