Отрасль информационной безопасности или информационная безопасность отрасли? Чья боль горше?

26 июня, 2021

Отрасль информационной безопасности или информационная безопасность отрасли? Чья боль горше?

Круглые столы «Реальность российского кибербеза» (на конференции Positive Hack Days 10) и «Криптография для граждан и государства» (на симпозиуме СТCRYPT 2021) в очередной раз подняли тему консолидации сил в отрасли ИБ.

Трудно не согласиться с мнением, что в нашей стране (как, впрочем, и во многих странах зарубежья) не всё благополучно в сфере ИБ. И, конечно же, выявляемые проблемы в сферах технического оснащения и нормативно-правового регулирования требуют безусловного решения.

Но нельзя согласиться с попытками нахождения таких решений на основе далеко не бесспорных «аксиом» и гипотез. Тогда как корректировка или отказ от сомнительных «постулатов» и предположений позволят скорректировать и подходы к обеспечению информационной безопасности в условиях массового внедрения компьютерной автоматизации/автоматики.

В этом материале использованы цитаты, почерпнутые автором из ряда публикаций на тему отрасли ИБ и принципов управления ею.

 

«Отрасль живёт своей жизнью»

Вызывает сомнение обоснованность наименования сферы ИБ отраслью. Ведь не являются же «отраслями» строительная, авиационная или ядерная безопасности. «Безопасности» гармонично развиваются внутри соответствующих отраслей и живут интересами их развития. А отрасли за это отвечают своим «безопасностям» взаимностью, выделяя необходимые ресурсы на формирование, развитие и выполнение требований безопасности.

При таком порядке дел (безопасность живёт внутри отрасли, а не в виде «факультативной» надстройки к ней) даже отрасли, которые с обывательской точки зрения выглядят чрезвычайно опасными (например, авиатранспорт) оказываются с точки зрения статистики менее опасными, чем, например, автомобильные перевозки.

И только ИБ пытаются официально именовать «отраслью» и утверждать, что она «живёт своей жизнью».

Уместно заметить, что до некоторого времени эти утверждения были вполне обоснованными: нередко представители ИБ-вендоров и их партнёров напоминали «коробейников» и коммивояжёров, назойливо стучащихся со своим экзотическим товаром в закрытые двери потенциальных потребителей, которые до некоторых времён не понимали ценности ИБ.

Ситуацию с пониманием ценности ИБ несколько улучшили коммерциализация вирусов-вымогателей и организаторы проводимых в коммерческих целях DDoS-атак.

Кардинально же изменил ситуацию с пониманием ценности ИБ 187-ФЗ. Ведь сегодня «при целевой атаке даже низкого уровня сложности 93% систем будут взломаны в первые полчаса…».

 

«Как управлять, не зная чем?»

Переход от «идеологии» отрасли ИБ к представлениям о безопасности ИКТ сразу снимает озабоченность проблемой «статистического учёта рынка продуктов и услуг в области ИБ», которая сама по себе выглядит надуманной.

Чем отличается компания, ныне работающая в «отрасли ИБ» от ИТ-компании? Те же разработки или «софта», или «железа», или программно-аппаратных комплексов!

Особая специфика этих продуктов с точки зрения средств разработки или реализуемых алгоритмов? А разве нет «особой специфики» в разработке любого другого ПО, системного или прикладного, для телекома или для управления высокопроизводительными вычислительными кластерами, для офисных или встроенных систем?

То же можно сказать и о разработке аппаратных платформ.

 

О «дорогих» специалистах

Один из истоков проблем ИБ напрямую связан с «постулатом» о том, что «содержать дорогих квалифицированных специалистов сложно».

Но ничего сложного в содержании дорогих квалифицированных специалистов нет. Платишь им зарплату, и они работают.

«Труднее» содержать дорогих неквалифицированных специалистов.

Во-первых, после них всё приходится переделывать, теряя при этом время, а то и возмещая нанесённый некомпетентностью ущерб.

Во-вторых, своими амбициями, которые поощряются «дороговизной», «дорогие неквалифицированные специалисты» мешают специалистам просто квалифицированным.

Именно поэтому происходит «перетекание специалистов в благополучные фирмы» (читай, в компании, где ценят квалификацию, используя и материальные и моральные механизмы для оценки).

Но стоит ли при этом переживать, что это «просто убивает конкуренцию, создаёт монополизм и крайне негативно сказывается на качестве выполняемых работ и поддержке уже поставленных заказчику продуктов. Фирмы начинают «сжиматься», причём процесс этот носит массовый характер», стоит ли опасаться того, что «что десяток оставшихся крупных корпораций и фирм не решат задачу»?

 

О монополизме и конкуренции

Как раз «десяток оставшихся», сконцентрировав у себя дорогих квалифицированных специалистов, которые уже не будут «перетекать в благополучные фирмы», станут конкурировать за заказы, повышая качество выполняемых работ и обеспечивая поддержку поставленных заказчику продуктов.

В зарубежном мире техники просто сложной и тем более сложной техники для т.н. ответственных применений это называется «mature market» или, по-русски говоря, «зрелый рынок».

На зрелом рынке либо несколько игроков-вендоров выстраиваются «в круг», имея за собой почти равные доли рынка, или эти несколько игроков образуют иерархию с долями различающими в разы при измерении этих долей в относительных единицах. При этом некоторая часть рынка остаётся для динамично возникающих стартапов и стабильных небольших компаний с уникальными предложениями для узко специализированных ниш или для удовлетворения вновь возникающих задач.

На зрелом рынке для компаний-вендоров, не испытывающих фатальных проблем с хаотичным перетеканием специалистов «в благополучные фирмы»,
не оказываются непреодолимыми и проблемы:

  • «повышения производительность для обработки больших потоков данных»;
  • «реализации новых функций».

Тем более, что ключевые заказчики на том же зрелом рынке в отличие от рынка потребительского чаще всего сохраняют верность выбранному бренду или набору брендов исходя из технической целесообразности стабильности эксплуатации, а не «мечутся» между «палатками» «рынка выходного дня» в поисках самого дешёвого товара. И как следствие, у вендоров реже возникают проблемы «с оборотными средствами», «с кредиторами и налоговой».

 

Так ли уж объективно выстраивается иерархия бизнес – информатизация – безопасность

187-ФЗ, нормативные документов отраслей и ведомств и правоприменительная практика по ним должны сломать ещё пару сомнительных стереотипов:

  • «информационная безопасность… наряду с информатизацией относится к категории обеспечивающих видов деятельности. В отличие от бизнес-направлений…»;
  • «объективно выстраивается следующая иерархия видов интересующей нас деятельности: бизнес – информатизация – безопасность…».

На примере событий, связанных с бизнесом «Норникеля», видно к сколь ВНЕЗАПНО КАТАСТРОФИЧЕСКИМ последствиям приводит бизнес-идеология выделения т.н. «обеспечивающих видов деятельности».

И тем более, отнесение к ним вопросов безопасности, внимание к которой уделяется по остаточному принципу, а управление осуществляется на основе т.н. риск-менеджмента и страхования рисков.

Уверен, что многие лица, ныне принимающие решения, просто не способны оценить все аспекты ущерба, нанесённого природе и людям региона разливом нефтепродуктов из хозяйства «Норникеля», «оценить» нравственные страдания тех, для кого Родина – это не просто слово.

Но вот 146 млрд. денег, в которые был оценён ущерб «versus» тех 10 млрд. тех же денег, которые было готово «с ходу» отстегнуть с барского плеча лицо, принимающее решение, в качестве компенсации за «рисковые» взгляды менеджмента компании на управление безопасностью – это неплохое начало для отрезвления апологетов и последователей управления безопасностью по остаточному принципу. И отличный пример для того, чтобы задуматься о надёжности оценок рисков.

Одним из следствий поднятой сначала ИТ-бизнесом, а потом и политиками, маркетинговой «мути» вокруг цифровизации стала постановка т.н. «информатизации» на второе место в якобы «объективно» выстраивающейся иерархии «бизнес – информатизация – безопасность».

 

От вертикали «иерархии» к горизонталям здравого смысла

На самом деле «информатизация» и «безопасность» – это не элементы иерархии.

Мы же не выстраиваем иерархию столяр – столярные инструменты – техника безопасности!

Как столяр-краснодеревщик-реставратор вряд ли будет в первую очередь вкладываться в дисковые пилы и электрорубанки, в отличие от столяра, занятого поточным изготовлением оконных рам и табуреток, так и характер «информатизации» и затраты на неё со стороны бизнеса должны управляться НЕ ТЕНДЕНЦИЯМИ «моды», предложениями «ИТ-коммивояжёров» и принципом «информатизация уступает только расходам на капстроительство» при формировании бюджета.

Информатизация – это не этап, по «завершении» которого можно будет «из прибыли, по остаточному принципу, в размере от 5 до 20 % от расходов на информатизацию» заняться безопасностью в рамках представлений об «объективно» выстраивающейся иерархии «бизнес – информатизация – безопасность».

Бизнес, госуправление, медицина, образование должны признать, что ИНФОРМАТИЗАЦИЯ – ЭТО САМА ПО СЕБЕ НОВАЯ УГРОЗА БЕЗОПАСНОСТИ, и не только информационной, но и классическим «безопасностям», тем, что кроются за понятиями «техника безопасности», «электробезопасность», «пожарная безопасность», «СКУД».

А также, то, что ИНФОРМАТИЗАЦИЯ – это катализатор угроз и роста материальных и политических потерь, примеры которых дают воспоминания об утечках информации из-за предательств высокопоставленных и не самых высокопоставленных военно- и просто служащих.

«Утечка» информации из современных информационных систем вследствие того, что «информационная безопасность… относится к категории обеспечивающих видов деятельности» и «объективно выстраивается следующая иерархия видов интересующей нас деятельности: бизнес – информатизация – безопасность», не столь оперативно визуально заметна, как утечка дизтоплива в количестве десятков тысяч тонн.

Однако нынешние «цифровизация» и «цифровая трансформация» на базе техники и технологий в коммерческом исполнении или, того хуже, в коммерческом исполнении потребительского уровня (т.н. COTS или Commercial Of The Shelf), позволяют даже без поиска предателей получать несанкционированный доступ к информации для её кражи или манипулирования ею.

Нынешние «цифровизация» и «цифровая трансформация» на базе COTS продуктов и технологий позволяют не только удобно и централизованно накапливать интересную и ценную информацию, но и позволяют удобно и централизованно её изымать.

 

О консолидации отрасли, в которой информационной безопасности будет комфортно

На Круглом столе «Криптография для граждан и государства» на симпозиуме СТCRYPT 2021 тема консолидации отрасли была поднята в контексте внедрения отечественной (читай доверенной) криптографической защиты в системах т.н. Интернета вещей (IoT) и мобильных технологий коммуникаций.

Эксперты компаний «Инфотекс» и «Актив» весьма детально описали инженерно-технические проблемы, возникающие в ходе внедрения криптографии на этот относительно новом «поле» ИТ, прямое перенесение в которое наработок, накопленных при криптографической защите информационных систем корпоративного уровня невозможно из-за различий в элементной базе оборудования и средств и приёмов / методологии разработок.

Уместно отметить, что проблемы эти являются таковыми лишь отчасти и лишь потому, что уже 30 лет разорвано некогда единое пространство отечественной микроэлектроники и радиоэлектроники; и разобщены коллективы разработчиков, работающих на рынках т.н. «встраиваемых» компьютерных технологий и т.н. «корпоративных» ИТ.

Эта ситуация сегодня создаёт большую проблему в сфере промышленной кибербезопасности.

На этот «рынок» ринулись, слегка подправив слайды презентаций, «айтишники» с шаблонами и стереотипами ведения разработок и бизнеса, сформировавшимися и сохранившимися ещё со времён «пузыря доткомов». Этакий своеобразный набег «ИТ-туристов» из «инновационного» мира микросервисов на заповедник материального производства со своей сложившейся экосистемой взглядов и требований к надёжности и безопасности.

И очень важно, чем закончится встреча этих двух миров, в одном из которых системного администратора «просят», а в другом системный администратор, если таковой появится на производстве, будет «должен» и «обязан».

Некогда разобщение миров корпоративных ИТ и «встраиваемых» компьютерных технологий не противоречило интересам бизнеса, выстроенного на основе идеализированной идеологии ВТО и т.н. «мирового разделения труда».

Но сегодня это разобщение негативно влияет на возможность создания единого пространства кибербезопасности и информационной безопасности в экономических и политических реалиях нынешнего времени.

В связи с этим настало время отказаться от представления об ИБ как об «отрасли» и заставить заинтересованные стороны рассуждать об ИБ в рамках представлений об «общей» безопасности отрасли ИКТ (БИКТ).

И «бесшовно» и «прозрачно» включить информационную безопасность в продукты отрасли ИКТ и ИКТ-решения для РЕАЛЬНЫХ ОТРАСЛЕЙ и системы ГОСУПРАВЛЕНИЯ.

При этом разделяя угрозы БИКТ на внутренние технологические угрозы «детских болезней» техники, и внешние угрозы со стороны злоумышленников или вследствие некомпетентности эксплуатантов ИКТ-решений (под термином «киберугрозы» чаще всего подразумевают именно эти «вызовы» БИКТ).

И тогда задачи борьбы с внутренними технологическими угрозами БИКТ можно будет вывести за рамки ИБ и решать их в рамках методов ТЕОРИИ НАДЁЖНОСТИ, а также совершенствования и внедрения ТЕХНОЛОГИЙ ОТКАЗОУСТОЙЧИВОСТИ, методик испытаний и сертификации, адаптированных к особенностям ИТ-техники для отраслевых применений.

А вот для борьбы с киберугрозами придётся продолжать разрабатывать новые подходы, учитывающие особенности регионального и отраслевого внедрения ИКТ-оборудования и ИКТ-решений.

Смотрите также