Круглые столы «Реальность российского кибербеза» (на конференции Positive Hack Days 10) и «Криптография для граждан и государства» (на симпозиуме СТCRYPT 2021) в очередной раз подняли тему консолидации сил в отрасли ИБ.
Трудно не согласиться с мнением, что в нашей стране (как, впрочем, и во многих странах зарубежья) не всё благополучно в сфере ИБ. И, конечно же, выявляемые проблемы в сферах технического оснащения и нормативно-правового регулирования требуют безусловного решения.
Но нельзя согласиться с попытками нахождения таких решений на основе далеко не бесспорных «аксиом» и гипотез. Тогда как корректировка или отказ от сомнительных «постулатов» и предположений позволят скорректировать и подходы к обеспечению информационной безопасности в условиях массового внедрения компьютерной автоматизации/автоматики.
В этом материале использованы цитаты, почерпнутые автором из ряда публикаций на тему отрасли ИБ и принципов управления ею.
«Отрасль живёт своей жизнью»
Вызывает сомнение обоснованность наименования сферы ИБ отраслью. Ведь не являются же «отраслями» строительная, авиационная или ядерная безопасности. «Безопасности» гармонично развиваются внутри соответствующих отраслей и живут интересами их развития. А отрасли за это отвечают своим «безопасностям» взаимностью, выделяя необходимые ресурсы на формирование, развитие и выполнение требований безопасности.
При таком порядке дел (безопасность живёт внутри отрасли, а не в виде «факультативной» надстройки к ней) даже отрасли, которые с обывательской точки зрения выглядят чрезвычайно опасными (например, авиатранспорт) оказываются с точки зрения статистики менее опасными, чем, например, автомобильные перевозки.
И только ИБ пытаются официально именовать «отраслью» и утверждать, что она «живёт своей жизнью».
Уместно заметить, что до некоторого времени эти утверждения были вполне обоснованными: нередко представители ИБ-вендоров и их партнёров напоминали «коробейников» и коммивояжёров, назойливо стучащихся со своим экзотическим товаром в закрытые двери потенциальных потребителей, которые до некоторых времён не понимали ценности ИБ.
Ситуацию с пониманием ценности ИБ несколько улучшили коммерциализация вирусов-вымогателей и организаторы проводимых в коммерческих целях DDoS-атак.
Кардинально же изменил ситуацию с пониманием ценности ИБ 187-ФЗ. Ведь сегодня «при целевой атаке даже низкого уровня сложности 93% систем будут взломаны в первые полчаса…».
«Как управлять, не зная чем?»
Переход от «идеологии» отрасли ИБ к представлениям о безопасности ИКТ сразу снимает озабоченность проблемой «статистического учёта рынка продуктов и услуг в области ИБ», которая сама по себе выглядит надуманной.
Чем отличается компания, ныне работающая в «отрасли ИБ» от ИТ-компании? Те же разработки или «софта», или «железа», или программно-аппаратных комплексов!
Особая специфика этих продуктов с точки зрения средств разработки или реализуемых алгоритмов? А разве нет «особой специфики» в разработке любого другого ПО, системного или прикладного, для телекома или для управления высокопроизводительными вычислительными кластерами, для офисных или встроенных систем?
То же можно сказать и о разработке аппаратных платформ.
О «дорогих» специалистах
Один из истоков проблем ИБ напрямую связан с «постулатом» о том, что «содержать дорогих квалифицированных специалистов сложно».
Но ничего сложного в содержании дорогих квалифицированных специалистов нет. Платишь им зарплату, и они работают.
«Труднее» содержать дорогих неквалифицированных специалистов.
Во-первых, после них всё приходится переделывать, теряя при этом время, а то и возмещая нанесённый некомпетентностью ущерб.
Во-вторых, своими амбициями, которые поощряются «дороговизной», «дорогие неквалифицированные специалисты» мешают специалистам просто квалифицированным.
Именно поэтому происходит «перетекание специалистов в благополучные фирмы» (читай, в компании, где ценят квалификацию, используя и материальные и моральные механизмы для оценки).
Но стоит ли при этом переживать, что это «просто убивает конкуренцию, создаёт монополизм и крайне негативно сказывается на качестве выполняемых работ и поддержке уже поставленных заказчику продуктов. Фирмы начинают «сжиматься», причём процесс этот носит массовый характер», стоит ли опасаться того, что «что десяток оставшихся крупных корпораций и фирм не решат задачу»?
О монополизме и конкуренции
Как раз «десяток оставшихся», сконцентрировав у себя дорогих квалифицированных специалистов, которые уже не будут «перетекать в благополучные фирмы», станут конкурировать за заказы, повышая качество выполняемых работ и обеспечивая поддержку поставленных заказчику продуктов.
В зарубежном мире техники просто сложной и тем более сложной техники для т.н. ответственных применений это называется «mature market» или, по-русски говоря, «зрелый рынок».
На зрелом рынке либо несколько игроков-вендоров выстраиваются «в круг», имея за собой почти равные доли рынка, или эти несколько игроков образуют иерархию с долями различающими в разы при измерении этих долей в относительных единицах. При этом некоторая часть рынка остаётся для динамично возникающих стартапов и стабильных небольших компаний с уникальными предложениями для узко специализированных ниш или для удовлетворения вновь возникающих задач.
На зрелом рынке для компаний-вендоров, не испытывающих фатальных проблем с хаотичным перетеканием специалистов «в благополучные фирмы»,
не оказываются непреодолимыми и проблемы:
Тем более, что ключевые заказчики на том же зрелом рынке в отличие от рынка потребительского чаще всего сохраняют верность выбранному бренду или набору брендов исходя из технической целесообразности стабильности эксплуатации, а не «мечутся» между «палатками» «рынка выходного дня» в поисках самого дешёвого товара. И как следствие, у вендоров реже возникают проблемы «с оборотными средствами», «с кредиторами и налоговой».
Так ли уж объективно выстраивается иерархия бизнес – информатизация – безопасность
187-ФЗ, нормативные документов отраслей и ведомств и правоприменительная практика по ним должны сломать ещё пару сомнительных стереотипов:
На примере событий, связанных с бизнесом «Норникеля», видно к сколь ВНЕЗАПНО КАТАСТРОФИЧЕСКИМ последствиям приводит бизнес-идеология выделения т.н. «обеспечивающих видов деятельности».
И тем более, отнесение к ним вопросов безопасности, внимание к которой уделяется по остаточному принципу, а управление осуществляется на основе т.н. риск-менеджмента и страхования рисков.
Уверен, что многие лица, ныне принимающие решения, просто не способны оценить все аспекты ущерба, нанесённого природе и людям региона разливом нефтепродуктов из хозяйства «Норникеля», «оценить» нравственные страдания тех, для кого Родина – это не просто слово.
Но вот 146 млрд. денег, в которые был оценён ущерб «versus» тех 10 млрд. тех же денег, которые было готово «с ходу» отстегнуть с барского плеча лицо, принимающее решение, в качестве компенсации за «рисковые» взгляды менеджмента компании на управление безопасностью – это неплохое начало для отрезвления апологетов и последователей управления безопасностью по остаточному принципу. И отличный пример для того, чтобы задуматься о надёжности оценок рисков.
Одним из следствий поднятой сначала ИТ-бизнесом, а потом и политиками, маркетинговой «мути» вокруг цифровизации стала постановка т.н. «информатизации» на второе место в якобы «объективно» выстраивающейся иерархии «бизнес – информатизация – безопасность».
От вертикали «иерархии» к горизонталям здравого смысла
На самом деле «информатизация» и «безопасность» – это не элементы иерархии.
Мы же не выстраиваем иерархию столяр – столярные инструменты – техника безопасности!
Как столяр-краснодеревщик-реставратор вряд ли будет в первую очередь вкладываться в дисковые пилы и электрорубанки, в отличие от столяра, занятого поточным изготовлением оконных рам и табуреток, так и характер «информатизации» и затраты на неё со стороны бизнеса должны управляться НЕ ТЕНДЕНЦИЯМИ «моды», предложениями «ИТ-коммивояжёров» и принципом «информатизация уступает только расходам на капстроительство» при формировании бюджета.
Информатизация – это не этап, по «завершении» которого можно будет «из прибыли, по остаточному принципу, в размере от 5 до 20 % от расходов на информатизацию» заняться безопасностью в рамках представлений об «объективно» выстраивающейся иерархии «бизнес – информатизация – безопасность».
Бизнес, госуправление, медицина, образование должны признать, что ИНФОРМАТИЗАЦИЯ – ЭТО САМА ПО СЕБЕ НОВАЯ УГРОЗА БЕЗОПАСНОСТИ, и не только информационной, но и классическим «безопасностям», тем, что кроются за понятиями «техника безопасности», «электробезопасность», «пожарная безопасность», «СКУД».
А также, то, что ИНФОРМАТИЗАЦИЯ – это катализатор угроз и роста материальных и политических потерь, примеры которых дают воспоминания об утечках информации из-за предательств высокопоставленных и не самых высокопоставленных военно- и просто служащих.
«Утечка» информации из современных информационных систем вследствие того, что «информационная безопасность… относится к категории обеспечивающих видов деятельности» и «объективно выстраивается следующая иерархия видов интересующей нас деятельности: бизнес – информатизация – безопасность», не столь оперативно визуально заметна, как утечка дизтоплива в количестве десятков тысяч тонн.
Однако нынешние «цифровизация» и «цифровая трансформация» на базе техники и технологий в коммерческом исполнении или, того хуже, в коммерческом исполнении потребительского уровня (т.н. COTS или Commercial Of The Shelf), позволяют даже без поиска предателей получать несанкционированный доступ к информации для её кражи или манипулирования ею.
Нынешние «цифровизация» и «цифровая трансформация» на базе COTS продуктов и технологий позволяют не только удобно и централизованно накапливать интересную и ценную информацию, но и позволяют удобно и централизованно её изымать.
О консолидации отрасли, в которой информационной безопасности будет комфортно
На Круглом столе «Криптография для граждан и государства» на симпозиуме СТCRYPT 2021 тема консолидации отрасли была поднята в контексте внедрения отечественной (читай доверенной) криптографической защиты в системах т.н. Интернета вещей (IoT) и мобильных технологий коммуникаций.
Эксперты компаний «Инфотекс» и «Актив» весьма детально описали инженерно-технические проблемы, возникающие в ходе внедрения криптографии на этот относительно новом «поле» ИТ, прямое перенесение в которое наработок, накопленных при криптографической защите информационных систем корпоративного уровня невозможно из-за различий в элементной базе оборудования и средств и приёмов / методологии разработок.
Уместно отметить, что проблемы эти являются таковыми лишь отчасти и лишь потому, что уже 30 лет разорвано некогда единое пространство отечественной микроэлектроники и радиоэлектроники; и разобщены коллективы разработчиков, работающих на рынках т.н. «встраиваемых» компьютерных технологий и т.н. «корпоративных» ИТ.
Эта ситуация сегодня создаёт большую проблему в сфере промышленной кибербезопасности.
На этот «рынок» ринулись, слегка подправив слайды презентаций, «айтишники» с шаблонами и стереотипами ведения разработок и бизнеса, сформировавшимися и сохранившимися ещё со времён «пузыря доткомов». Этакий своеобразный набег «ИТ-туристов» из «инновационного» мира микросервисов на заповедник материального производства со своей сложившейся экосистемой взглядов и требований к надёжности и безопасности.
И очень важно, чем закончится встреча этих двух миров, в одном из которых системного администратора «просят», а в другом системный администратор, если таковой появится на производстве, будет «должен» и «обязан».
Некогда разобщение миров корпоративных ИТ и «встраиваемых» компьютерных технологий не противоречило интересам бизнеса, выстроенного на основе идеализированной идеологии ВТО и т.н. «мирового разделения труда».
Но сегодня это разобщение негативно влияет на возможность создания единого пространства кибербезопасности и информационной безопасности в экономических и политических реалиях нынешнего времени.
В связи с этим настало время отказаться от представления об ИБ как об «отрасли» и заставить заинтересованные стороны рассуждать об ИБ в рамках представлений об «общей» безопасности отрасли ИКТ (БИКТ).
И «бесшовно» и «прозрачно» включить информационную безопасность в продукты отрасли ИКТ и ИКТ-решения для РЕАЛЬНЫХ ОТРАСЛЕЙ и системы ГОСУПРАВЛЕНИЯ.
При этом разделяя угрозы БИКТ на внутренние технологические угрозы «детских болезней» техники, и внешние угрозы со стороны злоумышленников или вследствие некомпетентности эксплуатантов ИКТ-решений (под термином «киберугрозы» чаще всего подразумевают именно эти «вызовы» БИКТ).
И тогда задачи борьбы с внутренними технологическими угрозами БИКТ можно будет вывести за рамки ИБ и решать их в рамках методов ТЕОРИИ НАДЁЖНОСТИ, а также совершенствования и внедрения ТЕХНОЛОГИЙ ОТКАЗОУСТОЙЧИВОСТИ, методик испытаний и сертификации, адаптированных к особенностям ИТ-техники для отраслевых применений.
А вот для борьбы с киберугрозами придётся продолжать разрабатывать новые подходы, учитывающие особенности регионального и отраслевого внедрения ИКТ-оборудования и ИКТ-решений.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)