Вчера прошел пятнадцатый CISO Forum 2022, который, как и все прошлые форумы, прошел на очень хорошем уровне. Вообще, я люблю это мероприятие, которое не только собирает, но и дает возможность выступить действительно CISO, поделиться им своим опытом и наболевшим. А еще это прекрасная возможность для общения. Чтобы там не говорили, а онлайн-мероприятия не дают нетворкинга в отличие от оффлайна и на CISO Forum 2022 этой возможностью воспользовались многие — все столики в баре были заняты на протяжении всего мероприятия.
Мне довелось вести пленарку, в которой на мои насущные и наболевшие вопросы отвечало девять руководителей ИБ российских компаний, представляющих разные сферы экономики — авиацию, банки, госорганы, энергетику и диджитал. Но как это часто бывает, времени не хватило на то, чтобы ответить на все подготовленные вопросы. Но часть тем мы все-таки обсудили и они стоят того, чтобы о них рассказать.
Начали мы с разминки — я решил узнать, как изменился сон CISO после 24-го февраля. Думаю все помнят, смешную картинку, которая несколько лет назад бродила по просторам Интернет, о том, в какой позиции спит CISO 🙂 Так вот хотя нашим руководителям по ИБ и приходится спать, но меньше, чем в прошлом году. Если раньше считалось «нормальным» для CISO иметь 12-тичасовой рабочий день (почти как у аналитика SOC), то весна 2022-го года внесла коррективы в этот распорядок и на работе главные ИБшники стали проводить 14+ часов, а в отдельные дни это время стало достигать 25-ти часов, то есть коллеги признавались, что иногда они ночевали на работе, а то и вовсе не ночевали, решая возникшие проблемы (хорошо хоть не спиваются, как раньше).
Причем проблемы эти больше касались не кибератак, число которых пусть и возросло, но это не явилось чем-то значимым и сильно изменившим жизнь ИБ. А вот приостановление деятельности многих (даже на форуме среди спонсоров было всего три «иностранца» — две израильских и одна бразильская компании) иностранных вендоров сильно подпортило сон и бодрствование CISO, которым в экстренном порядке пришлось решать множество новых, ранее непланировавшихся задач. Кстати, блиц-опрос нескольких сотен участников форума, сидевших в зале, показал, что от силы процента 3-5% кто имел в своей модели угроз/рисков это негативное событие. Это вполне объяснимо — в психологии восприятия рисков это называется предубеждение оптимизма или «со мной этого не случится». Даже если вокруг нас это происходит со всеми нашими коллегами, то мы по-прежнему будем считать, что нас это не коснется. И даже события 2014-го года, когда ряд компаний в России и все крымские предприятия столкнулись с отключением приобретенных ИТ- и ИБ-решений, не заставили большинство из нас заложиться на эти риски. И только ИБ-регуляторы, которые на протяжении последних лет 40 говорили про врагов в лице американских, европейских и азиатских компаний, сейчас могут бить себя пяткой в грудь, ухмыляясь «А мы же говорили!»
Надо признаться, что и я, хотя и в курсе по моделированию угроз, а также в своих презентациях, стал включать упоминание этой угрозы чуть менее 10 лет назад, до конца не верил, что этот риск реализуется. С другой стороны, еще 10-го января я написал про это заметку, задав риторический вопрос про план Б. Вопрос оказался пророческим 🙁
На мой закономерный вопрос, а на что менять иностранцев в такой ситуации, жаловались, что выбор сегодня не богат. Да, у нас почти по каждой продуктовой нише в сегменте ИБ есть один или два отечественных решения, но их качество, управляемость, производительность, масштабируемость оставляет желать лучшего. Если для малого и среднего бизнеса эти решения еще как-то можно использовать, то крупный бизнес, увы, не может на них рассчитывать. В кулуарах упоминались даже анекдотичные случаи, когда вместо одного иностранного решения приходилось ставить целый кластер из 5-10 отечественных продуктов, чтобы достигнуть хотя бы той же производительности. А это в свою очередь многократно увеличивало стоимость всего решения, что в условиях и нехватки денежных средств, и нежелания признавать свою «ошибку» в покупке «иностранцев», могло сказаться на карьере CISO не лучшим образом.
Многие участники дискуссии считали, что пройдет не менее полутора лет, прежде чем отечественные игроки смогут удовлетворить текущие задачи российских компаний (которые к тому моменту могут уйти дальше в своих хотелках).
При этом моя попытка вытащить на свет те направления российского ИБ-рынка, за которые CISO не стыдно, показал, что таких не так чтобы и много, — упомянуты были антивирус да SIEM. Я бы, может добавил сюда еще DLP. Решений класса NAC, защиты контейнеров, VDI, систем хранения, облачных сред у нас и вовсе нет. Многие жаловались на отсутствие адекватных MDM-решений. Отдельные CISO, преимущественно из банковского сектора, могут себе позволить писать свои собственные средства защиты, вплоть до МСЭ. И это тоже показательно — для вендоров заказная разработка не так интересна, так как отжирает ресурсы без серьезного масштабирования доходов, а вот у потребителей иногда просто нет альтернативы — купить иностранное они не могут или им запрещают (запретят в скором времени), а имеющееся отечественное не подходит под стоящие задачи.
Отдельно мы коснулись темы кадров и их образования. Было упомянуто, что несмотря на заявления в СМИ, реальная статистика не подтверждает массового отъезда специалистов даже ИТ, не говоря уже про ИБ, за границу, Более того, многие CISO предвидят рост своего влияния и оценки бизнесом важности ИБ на предприятии, за которым последует и рост ценности и зарплат для ибешников. Но проблема квалификации кадров стоит очень остро и как ее решать пока не очень понятно. Очередные разговоры о том, что «ВУЗы должны» — на мой взгляд это попытка переложить проблему на тех, кто ее решить не способен.
Ни УМО, ни ВУЗы, ни МинОбр, ни даже ФСТЭК с ЦБ и ФСБ не могут сегодня ни разработать нормальные программы обучения, адекватные задачам отрасли, ни выделить на это средства, ни даже поставить соответствующую задачу 🙁
Но зато в кулуарах я слышал и о планах разработать отечественный SANS (а многие CISO говорили, что они не могут уже больше года обучить своих сотрудников в SANS и тот даже учетки блочит россиянам), и о желании помочь в практическом преподавании, и о формировании неформального комьюнити, которое будет продвигать это начинание. Повторюсь, что CISO Forum силен своим нетворкингом и возможностью обменяться инсайдами, получить инсайты и вообще за несколько часов узнать то, на что обычно уходит не одна неделя.
Завершали мы дискуссию темой, которая неожиданно хорошо зашла аудитории и про нее потом говорили и на других секциях. Речь идет о виртуальном CISO (vCISO), человеке, которого не нанимают в штат как обычного руководителя ИБ, а который, как кризисный менеджер, приходит на решение краткосрочных задач, готовит планы действий, чеклисты, и потом контролирует их исполнение, тратя по 2-3 часа своего времени в неделю на одну компанию. Это востребованная модель аутстаффинга CISO, который выстраивает процессы и приглядывает за их функционированием обычно в небольших или средних компаниях, которые не готовы платить большие зарплаты ибешникам, но при этом готовы превращать это в проект. Хотя может ли ИБ быть проектом, а не процессом, — это отдельная тема для дискуссии. Как и тема ответственности виртуального CISO за результаты своей работы.
Не во всех организациях концепция vCISO зайдет (например, для госорганов это малореально), но там, где это возможно, то она может решить многие проблемы с низким уровнем защищенности российских предприятий. Особенно если появятся не редкие и скрываемые предложения от российских ИБ-интеграторов, а целая биржа труда для vCISO, где их смогут как на биржах фриланса нанимать, ставить задачи, оценивать их труд, рекомендовать другим и т.п. Возможно, за этой сервисной моделью будущее?!
На этом пленарка была завершена, а я пошел готовиться к своему выступлению, посвященному стратегии современной аутентификации пользователей и устройств, презентацию которой можно найти в моем Telegram-канале.
Подтверждаем, тема vCISO (CISO as a Service) давно актуальна в других странах, особенно в США. Мы (vCISO.ru) уже не один год успешно работаем по этой модели с нашими клиентами.
Я бы не стал доверять вопросы по ИБ организации, которая даже в политике обработки ПДн на своем сайте не указывает наименование и адрес лица, осуществляющего обработку персональных данных. Хотя обязана по закону.
Ну вопрос реальной и бумажной ИБ всегда конфликтуют между собой. Если у компании есть лицензия ФСТЭК на ТЗКИ — это еще не значит, что она разбирается в современной ИБ