Вопрос применения концепции Zero Trust по отношению к людям вызвал оживленное обсуждение среди участников ключевой дискуссии «Человек для бизнеса: главная ценность или основная угроза?», состоявшейся в рамках Форума DLP+.
Первым свою точку зрения по теме высказал управляющий директор, начальник Центра киберзащиты Департамента кибербезопасности СберБанка Сергей Валуйских, отметив, что немного Zero Trust при общении человека с человеком все же не хватает.
«Применительно к людям, наверно, здесь есть два момента. Когда мы говорим о людях и о доступе в автоматизированную систему, «человек-машина» комплекс, здесь мы все равно упираемся в историю с Zero Trust классическую, все равно придем к технике, в которой мы делаем Zero Trust. Если мы говорим об отношении людей друг с другом, мне кажется, здесь людям иногда не хватает Zero Trust немножко», — сказал он.
Вместе с тем он отметил, что говорит именно о небольшой доле Zero Trust, кибергигиене, а не о тотальной паранойе, когда человек не верит абсолютно всем и во всем. «Какая-то элементарная история недоверия в нашем цифровом мире точно должна быть. Сейчас дипфейки, сейчас очень легко подделать номер телефона и позвонить от имени любого человека. И мне кажется, что эту практику все таки на людей применять нужно. Нужно с детства детей готовить к тому, что интернет — это не совсем то, что там показывают, техника может быть не совсем тем, чем кажется. И мне кажется, здесь Zero Trust даже в чем-то бы помог», — поделился Сергей Валуйских.
Идею обучения киберграмотности поддержал и начальник Управления развития новых технологий в обучении Университета Банка России Тимур Гареев. Он рассказал, что у них есть уже программы по финансовой грамотности, охватывающие все категории граждан от детей до пожилых людей. В скором времени они хотят расширить программу, добавив обучение киберграмотности и инвестиционной грамотности.
Абсолютно не согласились с применением по отношению к людям технологии Zero Trust директор департамента специальных проектов hh.ru Виталий Терентьев и вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов.
Так, Виталий Терентьев сказал, что для него немного утопично применение Zero Trust к людям. «Технологически абсолютно коллегу [Сергея Валуйских — ред.] поддержу — то, что в технологиях, в ПО, в железе должен быть Zero Trust — там доказано, понятно, как исполнить, понятно зачем, понятно почему. А с людьми эту технологию — я не понимаю, как это использовать. Потому что если будет достигнут zero trust в технологиях, нет необходимости проверять, кто тебе звонит», — заявил он.
Спикер также отметил, что если заморачиваться на тему «не доверять всем», «не доверять каждому звонку» — психологически очень сильно изменит людей, потеряется динамика общения и бесспорно скажется на всем обществе и коммуникациях.
Игорь Ляпунов на 200% подписался под словами Виталия Терентьева. «Потому что доверие между людьми, доверие компании к своим сотрудникам или по крайней мере демонстрация этого доверия — это ключевое. Как только возникает недоверие между людьми и сотрудники начинают чувствовать, что компания им не доверяет — это яд, проникающий внутрь компании, это разрушение всех внутренних связей, всех внутренних коммуникаций и это разрушение того климата: креатива, драйва, развития», — заявил он.
Также Игорь Ляпунов добавил, что здесь тонкая грань: как обеспечить свою безопасность в мире, но при этом не разрушить связи? И, как он отметил, очень важна именно демонстрация доверия, возможность людям делать ошибки, возможность им экспериментировать, ошибаться, но при этом не убивать в них творческий потенциал.
«И конечно, доверие между людьми и некоторая милитаризация, к которой мы вынуждены были прийти с учетом пандемии в ИБ — это еще одна тонкая грань, на которой нужно умело балансировать и ни в коем случае не свалиться в zero trust уже на уровне людей», — сказал Игорь Ляпунов.
Вместе с тем, главный редактор «Ростелеком-Солар» Олег Седов в конце заявил, что ему «больно слышать этих людей, которые которые рассуждают про абсурдность нулевого доверия к людям, находясь в общем-то в экономике недоверия».
«Потому что мы в ней живем, у нас очень много проверяющих, контролирующих, разрешающих. Это наносит огромный вред для эффективности экономики: решения принимаются не быстро и согласовываются очень долго в этих условиях, непозволительно долго. А во-вторых, это очень большая финансовая нагрузка на налоговый орган. Вот уж это экономика недоверия», — закрыл дискуссию по этому вопросу Олег Седов.
BIS Journal — инфопартнер форума DLP+