Бывает ли кибербезопасность с десяти до шести?

Рефлексия
Незапланированная заметка, навеянная тремя событиями. Началось все позавчера, когда Дима Мананников опубликовал в Фейсбуке заметку про безопасность смарт-контрактов, ICO и всего такого и, не увидя бурной дискуссии от коллег, высказал удивление сему факту. Мол, задача безопасника — отслеживать все новые бизнес-технологии и искать способы их безопасного внедрения/использования в бизнесе. Я ему возразил и в итоге завязалась дискуссия, в которой я высказал следующую мысль: «Безопасник в массе свой рядовой сотрудник, выполняющий трудовые обязанности с 10 до 6. Он ничем не отличается об уборщицы или бухгалтера. Им всем комфортно в своем болотце и менять что-то они будут только в экстренных ситуациях. Плюс образование, которое учит compliance и борьбе мо старыми угрозами. Отсюда все. Исключения бывают, но только подтверждают общее правило«.

Подтверждение моему высказыванию я получил относительно недавно на одном крупном предприятии, которое любит выпячивать свою экспертизу в области ИБ. В рамках очередного моего приезда к ним и рассказа о том, как у нас в компании выстроен процесс реагирования на инциденты, я рассказал о сервисе Cisco Umbrella Investigate, позволяющего оперативно и без установки какого-либо железа и софта у заказчика (и даже без какой-либо их перенастройки и перенаправления трафика) проводить анализ инцидентов, связанных с Интернет-активностью. Решение заинтересовало заказчика, тем более, что он запустил свой SOC, в рамках которой работала группа по расследованию инцидентов и Threat Intelligence. От нас оперативно потребовали триальный доступ для тестирования, что мы и сделали. Прошел месяц. На очередной встрече у этого заказчика представитель группы реагирования на инциденты в присутствии большого руководства отчитался о завершении тестировании Investigate и нахождении ряда интересных кейсов. Руководство заинтересовалось и попросило показать систему в действии… И вот тут случился казус. Я с ноутбука зашел в панель аналитика и предложил представителю incident response team показать, что он обнаружил. Но в глазах его я увидел, что он в первый раз видит панель аналитика Investigate. Заподозрив неладное, я хотел спустить дело на тормозах, но большое руководство заказчика потребовало «красивых картинок и схем», за которыми последовал ужасный вывод — выяснилось, что IRT заказчика даже не активировало предоставленный им временный доступ и он, разумеется, уже «протух». Оставлю за рамками произошедший после этого разбор полетов, но меня неприятно поразило отношение некоторых безопасников к своим обязанностям. Чем-то это напомнило Советский Союз с его победными реляциями, отчетами о деятельности для галочки и очковтирательством 🙁

Финальным аккордом стали комментарии Михаила Никишина к моей заметке про семинар Gartner, который высказал (да уже и не первый раз) мысль, что в нашей отрасли ИБ вообще нет безопасников (вспоминаем сентябрьский чеклист «настоящий ли ты безопасник?»), а только одни айтишники с их специфическим мышлением и способом решения задач. Не совсем я согласен с Михаилом, но доля истины в его словах есть. Кибербезопасность превратилась в обычную деятельность, как и сотни других профессий. И многие специалисты действительно работают с 10 утра и до 6 вечера, напрочь забывая про ИБ за пределами времени, установленного Трудовым Кодексом.

По сути, большинство «безопасников» действительно погрязли в своей зоне комфорта и выйти из нее зачастую не могут или не хотят. Лет 10 назад я приехал к одному знакомому, руководившему сектором ИБ в одной организации. Мы поговорили о том, о сем, и я предложил ему рассмотреть несколько технологий и решений, которые могли бы помочь ему в озвученных им проблемах. И что же вы думаете? Он отказался, сославшись на то, что его все и так устраивает, а новые решения — это новая головная боль, а ему хотелось бы сидеть на попе ровно и не напрягаться по поводу чего-то нового. Он до сих пор сидит на своей должности, не выходя из зоны комфорта, не занимаясь развитием. Хотя я и встречаю его регулярно на различных ИБ-тусовках, где он задает якобы каверзные вопросы, но в своей практике затем полученные знания никак не использует. Грустно это…

Дмитрий удивляется, почему безопасники не занимаются бизнес-стороной своей деятельности. Я же удивляюсь, почему они не занимаются даже просто новыми технологиями ИБ. NTA, EDR,  UEBA, IAG/IGA, PAM, CASB, SDS, SDP, SOAR, DDP, SIG, RASP, SAT, NFT и др. Нет денег? Не смешите. Бюджеты у многих заказчиков измеряются сотнями миллионов, а то и миллиардами рублей. Они могут себе позволить эти решения и они им зачастую нужны. Но не используют. Потому что надо въезжать во все эти новомодные аббревиатуры, внедрять их, учиться им, объяснять руководству результаты и т.п. А зачем? Нормативка не требует, за инциденты не наказывают, эффективность никого не волнует. «И так сойдет», как говорилось в известном советском мультфильме.

Грустные размышления какие-то получились. Может я не прав? Может жду от безопасников чего-то чего не стоило бы? Фиг знает.

ЗЫ. Оказывается я про это два месяца назад писал, но другими словами 🙂 Наболело, значит. Ну да ничего. Повторенье — мать ученья.

ЗЗЫ. Дальше вернусь к темеSOCов.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Александр Германович

    Так у нас инициатива всегда наказуема. Чего ради кто-то станет вылезать из зоны комфорта?

    Ответить
  2. Алексей Лукацкий

    Об этом и заметка 🙁

    Ответить
  3. Unknown

    Верно и печально. На уровне наблюдений причин видится три: 1. Общая "мертвость" ряда организаций — декларируемые цели существования не соответствуют реальным. Отсюда нет требований к реальным результатам, но есть требования к победным реляциям, которые помогают "изобразить жизнь". 2. Страх "как бы что не вышло" и опасения лишний раз обратить на себя внимание своим предложением что-то новое внедрить. Из разряда плаката "деньги любят тишину" :). 3. Общая лень 🙁

    Ответить