BIS Journal №4(35)/2019

21 января, 2020

Бритва Оккама и ИБ

Дежурный тезис ИБ-евангелистов в последние год-два – утверждение о том, что отрасль ИБ должна черпать свои кадровые резервы из сферы ИТ, а путь специализированного ИБ-образования – путь ложный. Удивительно, однако, что эта истина часто подаётся как откровение. Ведь подобный подход соответствует и здравому смыслу, и традициям инженерной культуры.

 

ИСТОРИЧЕСКИЙ ЭКСКУРС

Продукты ИТ – данные, информация, знания (далее ИНФОРМАЦИЯ) – появился намного раньше, чем ИТ в их нынешнем «цифровом» виде.

И уже работа с ИНФОРМАЦИЕЙ в «аналоговом» виде (на бумаге и фото-, видео- и аудиоплёнках), потребовала для обеспечения ИБ помимо использования приёмов физической безопасности для поддержания должных уровней конфиденциальности и целостности (замки на дверях, сейфы и т.п.) создания целого пласта культуры соблюдения целостности и доступности («аналоговое» администрирование документооборота и архивирования); конфиденциальности (соблюдения режимов служебной и государственной тайны).

Но создание культуры «аналоговой» ИБ обошлось, выражаясь современным языком, без «хайпа» вокруг специализированных образовательных и проф. стандартов.

Носителями «аналоговой» культуры ИБ внашей стране, например, были архивариусы и библиотекари, кадровики и сотрудники Первых отделов. В основе их работы лежали как технологии (административные и технические), так и черты характера – добросовестность, аккуратность, внимательность, честность и преданность Родине (особенно в случаях гостайны). Надлежащий уровень фундаментального образования и общей культуры вкупе с определённым психологическим складом позволял этим людям добросовестно выполнять инструкции, за строками которых фактически стояли метрики целостности-доступности-конфиденциальности.

И задолго до цифровой эпохи сформировались три эшелона защиты ИНФОРМАЦИИ, существующие и поныне: оргмероприятия по классификации уровней доступа к информации; развитие у людей, работающих с информацией, чувства ответственности и понимания своей роли в системе ИБ; учёт юридических аспектов при работе с ИНФОРМАЦИЕЙ.

Но в чем тогда причина появления «профстандартов» и специальных программ обучения для сферы ИБ эпохи цифровых ИТ? Похоже, что в появлении специфической сложной технической инфраструктуры для работы с ИНФОРМАЦИЕЙ.

Да, инфраструктура новая. Но базовые принципы обеспечения ИБ не изменились! Их только необходимо адаптировать к новой ИКТ-реальности и контролировать надлежащее исполнение этих принципов в новой ИКТ-инфраструктуре. И кто, как не специалисты в сфере ИКТ, в первую очередь могут сделать это наилучшим образом! Если, конечно, не загонять их образование в узкие рамки «компетенций» бережливого болонского образования, а работу системы кибербезопасности не заменять «покером» риск-менеджмента, ломающего традиционные представления об инженерной культуре.

 

ИСТОЧНИКИ ЦИФРОВЫХ УГРОЗ ИБ

Пришедшие на смену «аналоговым» цифровые ИТ – это сложная техника, в которой манипуляции с ИНФОРМАЦИЕЙ скрыты от человеческого взора, а работа самой техники описывается такими характеристиками, как вероятность отказа, среднее время наработки на отказ, требования к условиям окружающей среды, требования к электропитанию и т.п. Сложность «железа» сама по себе – это уже фактор негативного влияния на метрики ИБ.

Далее, цифровая техника ИТ – это, как правило, программируемое оборудование. Программное обеспечение ИТ – также источник негативного влияния на метрики ИБ. Причинами проблем может быть некорректный алгоритм работы с ИНФОРМАЦИЕЙ, некорректная реализация корректного алгоритма, некорректная работа вполне корректной программы вследствие сбоя в питании «железа» и т.д. и т.п.

Сложная цифровая техника стала широко внедряться в специфических рыночных условиях, которые и поныне характеризуются глобализацией рынков и, как следствие, конфликтами технического мультикультурализма и общим падением культуры технических разработок в угоду таким требованиям бизнеса, как «бухгалтерская» эффективность и скорость выхода на рынок.

Внешние проявления этих конфликтов – снижение качества разработок (для «боевой» эксплуатации предлагаются продукты, фактически не прошедшие стадию опытной эксплуатации), снижение качества документации (в части полноты и актуальности) и техподдержки (языковые барьеры, перекладывание поддержки на региональные представительства, укомплектованные «ускоренно сертифицированными» специалистами). ПО до сих пор предлагается фактически на условиях согласия пользователя не предъявлять претензий к производителю в обмен на «своевременную» установку «заплаток».

При этом соблюдение «бухгалтерской» эффективности заставляет массу потребителей использовать в своей ИТ-инфраструктуре так называемые COTS-продукты и технологии. COTS – это англоязычная аббревиатура, обозначающая «коммерческие, с полки» предложения. Т.е. не разработанные под конкретные потребности заказчика, а отвечающие усреднённым требованиям. Среди проблем эксплуатации такого оборудования и ПО – повышенная вероятность ошибок, как следствие огрехов технической документации и низкой квалификации персонала, так и функциональных особенностей, выявленных лишь на этапе «боевой» эксплуатации.

Таким образом, в ходе начавшейся цифровизации ИТ возникли принципиально новые источники нарушения целостности и доступности ИНФОРМАЦИИ вследствие:

  • объективной технической сложности и новизны цифровых ИТ вкупе с субъективной природой недостатков большинства ИТ-разработок, прикрываемых флёром ссылок на технологии tick-tock, Copy Exactly!, Agile, Waterfall и подобные;
  • необоснованной поспешности в проведении цифровой трансформации бизнеса в условиях объективного дефицита квалифицированных кадров, в том числе и ИТ-кадров.

 

«БУМАЖНАЯ» ИБ ЭПОХИ «БОЛЬШОГО ХАПКА»

Цифровая трансформация на этапе второго пришествия капитализма в Россию была и данью моде, и попыткой минимизировать влияние человеческого фактора на то, что теперь известно, как «бизнес по-русски». В контексте же нашей темы следует отметить, что особенностью очередного прихода капитализма в России стал кадровый состав бизнеса, его специфическая психология и квалификация «лиц, принимающих решения» и лиц, эти решения исполняющих. При этом изменились взгляды на ценность и структуру разного рода ИНФОРМАЦИИ. Вспомним принципиально новые понятия «чёрной» и «белой» бухгалтерии, клиентские базы данных, получившие фактически гриф «Секретно» и т.п.

Бороться с новыми угрозами для ИНФОРМАЦИИ в эпоху «приходящих сисадминов» и серверов с висящими «соплями» кабелей стали в первую очередь «бумажными» мерами – регламентами, инструкциями, политиками и проверками исполнения этой «нормативки». Что было не лишено смысла, ибо иных способов воздействия на ситуацию на тот момент просто не было:

  • отсутствовали инструменты для влияния на технологии ИТ и техническую политику формирования ИТ-инфраструктуры;
  • «логистика» вороватой экономики предлагала и без того «сырое» ИТ-оборудование фактически без квалифицированной технической поддержки.

«Бумажные» технологии ИБ позволили не только «латать дыры» угроз ИБ «по месту», но и сформировали, в конце концов, фундамент нынешней нормативной базы в сфере ИБ, а также элементы «общей гигиены» ИБ в виде технологий и регламентов резервного копирования, обеспечения бесперебойного питания, резервирования критических элементов ИТ-инфраструктуры и т.п.

 

ИТ В ИБ

Кроме угроз ИБ, связанных с качеством «волатильной» ИТ-инфраструктуры на основе COTS-технологий и качеством её «школярской» эксплуатации и техподдержки в обособленных офисах, ситуация с ИБ стала раскачиваться в 21 веке из-за выхода цифровой трансформации на активный этап – формируется Интернет-экономика и соответственно возникают киберугрозы со стороны Всемирной Паутины.

Наиболее яркие моменты провалов в сфере ИБ по этой причине регулярно освещаются в деловых СМИ и инженерном «глянце». Поэтому имеет смысл обратить внимание лишь на то, что ныне инструментарий для кибератак всё чаще предлагается в «коробочном» варианте – сложились подходы к технической поддержке этого нового класса COTS-продуктов. Это, безусловно, огромная угроза для ИБ.

С началом активного внедрения Интернета в экономику совпало и появление «ИБ-специальностей» в программах вузов. Это было «в тренде» и потому стало одним из «плюсов» в конкурентной борьбе вузов.

Однако подобная отстройка ИБ от ИТ более чем сомнительна, ведь за каждой ИБ-угрозой стоит конкретный просчёт в ИТ-разработке и/или недостатки в эксплуатации ИТ-инфраструктуры. Даже негативное влияние на ИБ «человеческого фактора» можно демпфировать инженерно-административными методами «айтишной» природы.

«Светлой» стороной ситуации стало то обстоятельство, что становление хакерства способствовало приходу на рынок ИБ специализированных компаний, в штате которых значительную часть составляли «айтишники» – специалисты профессионально и системно знающие и исследующие ПО (операционные системы, инструментарий разработчиков приложений, популярные приложения классов COTS и OpenSource, специализированный инструментарий хакеров) и (реже) аппаратные платформы ИТ.

 

COPY EXACTLY!

Тут уместно напомнить, что цифровые информационные технологии – это не единственная область техники, которая озабочена безопасностью своих продуктов и работы с ними, надёжностью своей инфраструктуры. И метрики безопасности вне ИТ до смешения похожи на те, которые стали привычными в ИБ.

Например, строительство или транспорт, имеющие гораздо более «древнюю» историю, нежели ИТ, также обладают опытом и технологиями для успешного управления процессами для поддержания всей своей «кухни» в надлежащем состоянии («целостность») для её бесперебойной работы («доступность»/с «точностью» до погодных условий и факторов непреодолимой силы), а также обеспечения квалифицированного допуска персонала к производству работ или управления объектами («конфиденциальность»).

Для этого в строительстве и на транспорте выстроены чёткие вертикали и горизонтали управления безопасностью (в нынешней России – с некоторыми особенностями, которые следует отнести на счёт факторов пока ещё непреодолимой силы). Эти вертикали и горизонтали комплектуются специалистами с разными функциональными обязанностями (руководители, инспекторы-контролёры, аналитики, врачи, метрологи и прочие). Однако при этом в системе подготовки кадров нет специальных образовательных и «проф»стандартов для специалистов, занимающихся «Безопасностью».

Имеющийся и нарабатываемый опыт работы, знание и выполнение требований актуальных законов и нормативной документации вкупе с системной базовой образовательной подготовкой, профессиональные «лифты» и разумная ротация кадров – вот залог успешной работы людей в системе обеспечения безопасности в сфере техники и технологий. Безопасность в значительной степени не результат воплощения в жизнь специализированных теоретических исследований (хотя и этому есть место), а накапливаемый и осмысливаемый опыт, а также здравый смысл, базирующийся на образовании и снова на опыте.

И это справедливо не только для авиации с космонавтикой, но и для ИБ эры цифровых ИТ. Вполне логично формировать кадры ИБ эры цифровых ИТ (обозначим их «нестандартной» аббревиатурой ИБ&ИТ) из «культурных айтишников», сложный ИТ-образовательный фундамент которых дополнен представлениями об «общечеловеческих ИБ-ценностях», к которым относятся (1) классификация информации; (2) «социальная инженерия»; (3) «культура» НТД&НПД.

То, что «классический айтишник» вполне успешно способен впитать эти дополнительные культурные ценности свидетельствует опыт «Лаборатории Касперского», Positive Technology, InfoWatch, Qrator Labs идр. Созданные в массе своей «железными» и «софтверными» айтишниками эти компании обладают и компетенциями в «бумажной» ИБ, часто выступая в качестве соавторов или экспертов при разработке нормативно-технической документации в сфере ИБ.

Совместная работа специализированных ИБ & ИТ-компаний и «бумажных ибэшников» из отраслевых и госрегуляторов, а также выросшая культура «чистых» ИТ-компаний, предлагающих рынку аппаратно-программные платформы и отдельные «хардверные» и «софтверные» ИТ-продукты со встроенными технологиями ИБ-защит (например, SE Linux, сопроцессоры криптографической защиты информации и т.п.), позволяют сегодня говорить о возможности и необходимости создания ИТ с «врождённым ИБ-иммунитетом».При этом складывается понимание того, что ИТ – это та сфера, откуда службы ИБ должны черпать свои основные кадровые силы. Что весьма логично вытекает из предыдущего опыта развития техники.

Смотрите также