«Цепочка поставок» или всё же supply chain? О новом формате и многоязычии PHDays 12

23 мая, 2023

«Цепочка поставок» или всё же supply chain? О новом формате и многоязычии PHDays 12

Устроители некоторых мероприятий с недавних пор стали ещё более экономными и это проявляется с первых же мгновений погружения в атмосферу действа в виде малоформатности и блеклости бейджей, в снижении длины и ширины тесьмы для крепежа этих идентификаторов на шеях участников.

Устроители PHDays этого года не только не изменили себе в таких мелочах, но и увеличили геометрический размах самого мероприятия практически до размеров Парка культуры и отдыха им. М. А. Горького.

Изменился и формат мероприятия, впрочем, вполне себе в рамках современных мировых тенденций к деглобализации и регионализации.

Давние поклонники PHDays, прошедшего в этом году в 12-й раз, по традиции в анонсах своего участия в PHDays 2023 именовали это событие кто Международным форумом по кибербезопасности, кто Международным форумом по практической кибербезопасности. Сами же устроители использовали термин «масштабный городской киберфестиваль».

Язык, относительно которого пока ещё достаточно популярен нарратив о его статусе в качестве инструмента международного общения, был широко представлен на слайдах докладов PHDays 12, а некоторые докладчики, русскоязычные по рождению, базовому воспитанию и обучению, даже предпочли доносить свои мысли до аудитории на языке Шекспира. Разрешая, впрочем, задавать вопросы на языке Гоголя и Салтыкова-Щедрина.

И уж коли мы коснулись вопросов прикладной лингвистики, то уместно обратить внимание на недостатки неконтролируемой билингвальности в инженерии и, в частности, в практической кибербезопасности. Недостатки, проявившиеся в ходе некоторых мероприятий PHDays 12, и очевидно вредные в более общем контексте.

Для примера возьмём термин «supply chain» (цепочка поставок), с относительно недавних времён перекочевавший из логистическо-складской сферы деятельности в области производства (1) в информационную безопасность (2).

В сфере (1) «цепочка поставок» – это совокупность процессов перемещений материальных ресурсов на основе договоров продажи-покупки, договоров перевозки и, возможно, договоров промежуточного хранения. Эти договора описывают в т. ч. и условия компенсации убытков в случае нарушения договорных условий на разных этапах цепочки поставки по разным причинам (от недобросовестности отдельных участников процесса до форс-мажорных обстоятельств). Т. е. этакой атаки на правильное (безопасное для бизнеса) функционирование цепочки поставки («supply chain»).

В понятие же «атака на цепочку поставок» в сфере (2), как выяснилось в ходе одного из мероприятий PHDays 12, «ибэшники» могут включать, например, непреднамеренное использование кода с вредоносным ПО, взятого из репозиториев Open Source. Но уместно ли называть эту ситуацию «атакой» на «supply chain»? Просто разгильдяйство программиста, нарушавшего внутренние регламенты системы управления качеством (DevSecOps по ихнему) или разгильдяйство компании в целом, не имеющей системы управления качеством.

Нечто больше похожее на атаку – проникновение в информационную инфраструктуру организации с помощью украденных у как бы доверенного партнёра этой организации «кодов доступа» в её инфраструктуру. Но и тут не идёт речь о нарушении какого-либо договора на поставку.

Необоснованное «дословное» использование правильного перевода иностранного термина, используемого в некой сфере деятельности, в иной сфере лишь на том основании, что в иностранном языке это своеобразный омоним, недопустимо и с точки зрения общей языковой культуры, и с точки зрения выстраивания коммуникаций ИБ с бизнесом.

Тема одного из конкретных докладов на PHDays 12 – «Как донести ценности ИБ до владельцев бизнеса» – может рассматриваться как «зонтичная» для ряда выступлений на майском мероприятии Positive Technologies и Innostage.

И первая рекомендация на тему «Как донести…?» – это говорить на правильном русском языке. Ведь начало диалога со слова «хуэмай», прозвучавшего при зачине беседы об измерениях пользы, причиняемой SOC'ом бизнесу, может заставить насторожиться собеседника, а слово «деминглайксайкл» – вызвать, когнитивный, как принято говорить, диссонанс.

Ответственность за адекватную техническому содержанию темы и штатным нормам русского языка терминологию лежит в первую очередь на «ибэшниках» возраста 30–40 лет.

Как в очередной раз продемонстрировал нынешний PHDays, именно к этому возрасту формируется тот кругозор, о важности которого упоминалось в докладе о реверс-инжиниринге embedded systems (это тот случай ИМХО, когда английский термин позволяет избежать ассоциаций со встраиваемой мебелью) и наличие которого позволяло докладчикам логически правильно выстроить канву докладов, начиная с постановки задачи («Нам не всё нравилось в ASM и мы решили запилить что-то своё») и к промежуточному резюме («Мы молодцы, собрали информацию. Теперь надо понять, что с этим делать»).

Эти фразы вырваны из контекста доклада про «картографию Интернета», и справедливости ради надо сказать, что докладчики с собранной информацией неплохо поработали. Принеся, в числе прочего, пользу государству, собрав сведения о наиболее уязвимых организациях и отраслях, составив рейтинг уязвимых «технологий» и обратив внимание регуляторов на то, что около трети «торчащих» в Интернет входов на сервера уязвимы для атак.

Что же касается общечеловеческой копилки знаний, то в неё уже помещена информация о достоинствах и недостатках наиболее популярных сканеров уязвимости и в открытом формате развивается проект сканера, призванного вплотную приблизиться к идеалу.

Доклады относительно молодых спикеров не отличались ясностью поставленных целей общественного масштаба и более напоминали исследования, которые гуру зарубежного розлива называют «инновационными событиями, где члены команд могут работать над тем, над чем они сами хотят, с кем они хотят, пока эта работа соответствует миссии компании и они демонстрируют результаты своего труда другим в конце Хакатона».

Но упрекнуть молодёжь в таком подходе трудно.

Во-первых, потому, что формат «хакатона» на официальном уровне рекомендован для вовлечения молодёжи в профессию. И во-вторых, как оказывается, и в масштабах страны управление информационной безопасностью пока осуществляется по индивидуальным траекториям на основе совершаемых отдельными игроками ошибок.

Отвечая на PHDays 12 на вопрос Юрия Максимова из Positive Technologies о том, можно ли перед страной поставить задачу, чтобы компаний с результативной безопасностью стало больше, глава Минцифры сказал: «Несмотря на то, что я драматически смотрю на эту историю, всё-таки считаю, что многие компании у нас, видя, как пострадали их коллеги, или столкнувшись непосредственно с проблемами, уже начали перестраиваться. До тех, до кого это ещё не дошло, скоро дойдёт, и другого варианта здесь нет».

Более конкретные обязывающие шаги предлагает замглавы Минцифры по информационной безопасности Александр Шойтов, заявляя: «появился новый подход — Zero Trust ("нулевое доверие"). Я не говорю, что это идеальный подход, но это подход государства, которое … больше продвинулось [в плане защиты информации – прим. ред.], чем мы. Давайте изолируем сети, они должны быть принципиально изолированы, доверия нет ни к кому, мы сегментируемся».

Уместно заметить, что о необходимости отраслевого сегментирования сетей говорилось ещё на конференции «Лаборатория Касперского» KICC 2020, посвящённой проблематике защиты промышленной инфраструктуры от киберугроз, на которой Евгений Грабчак из  Минэнерго России обратил внимание собравшихся на такие проблемы отраслевой цифровой трансформации, как необходимость заниматься «собственным» телекомом и собственными ЦОДами для реализации требований к киберзащите на должном уровне.

Но сдвинулся ли этот «воз» хоть на вершок? Ответа нет. И хочется верить, что потому, что решение подобных вопросов не терпит рекламной шумихи.

С этой точки зрения хочется верить, что доклады технических треков – это лишь парадная и представительская верхушка айсберга PHDays 2023. А более значимые вопросы решались в неприметных переговорных «масштабного городского киберфестиваля» как продолжение тех наладившихся оперативных контактов «в два клика» между CISO крупнейших компаний, о которых было упомянуто на одной из пресс-конференций PHDays 12.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.05.2024
Хакеры из Head Mare утверждают, что «положили» системы СДЭК
28.05.2024
СПЧ и МВД — о масштабах потерь от действий скамеров
28.05.2024
Узбекистан откалывается от «Мира»?
28.05.2024
«Росатом»: Регуляторика ИИ с чёткой логикой сегодня отсутствует
28.05.2024
В ходе дискуссии может появиться многогранная программа ИИ
28.05.2024
Существует неопределённость в толковании и применении правовых норм использования ИИ
28.05.2024
«РУССОФТ»: В ИИ-гонке выигрывает не тот, кто придумал, а тот, кто внедрил
28.05.2024
Хакеры грозят опубликовать ПДн клиентов аукционного дома Christie’s
27.05.2024
НКЦКИ запустит сервис бесплатной «скорой помощи» пострадавшим от киберинцидентов
27.05.2024
Банкиры спасли от скамеров два триллиона рублей своих клиентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных