BIS Summit 2019 о социальной инженерии в арсенале инструментов ИБ-руководителя
Как оказывается, проблема позиционирования службы ИБ в социальной иерархии компании до сих пор не решена однозначно. Эпидемии WannaCry и NotPetya приходят и уходят, а выступающие на BIS Summit год за годом продолжают жаловаться на прижимистость руководства и непонимание со стороны массы «рядового состава» при реализации мер по надлежащей защите данных.
Похоже, устроители мероприятия нынешнего года, хоть сами и из числа счастливчиков («счастье – это когда тебя понимают» (с)), в курсе этой застарелой проблемы, поскольку срежессировали в рамках Саммита 2019 года практическую секцию «Точки опоры современного управления в ИБ». В рамках этого раздела мероприятия были рассмотрены психологические аспекты наведения мостов между службой ИБ и вертикалью остальных подразделений в компаниях и организациях.
Секция «Точки опоры современного управления в ИБ» была артистически проведена Львом Палеем, название должности которого – начальник отдела ИТ-обеспечения защиты информации АО «СО ЕЭС» – указывает на то, что в его организации понимают, как должна быть устроена ИБ.
Временами гравюрно шаржируя взошедшую звезду ютьюба, Лев Палей представил своих соучастников психологического тренинга, заставив их на первых порах собственноручно расстегнуть по паре пуговичек на тугих воротничках своих форменных гимнастёрок. И далее Андрей Бешков (независимый эксперт), Денис Горчаков (директор по кибербезопасности), Виталий Терентьев (директор департамента специальных проектов) и Сергей Рысин (эксперт BISA) провели мастер-класс в области того, что они, как и было задано Львом Палеем, называли «soft skills». За этим англицизмом, как оказалось, скрывался набор приёмов выстраивания человечных отношений между людьми. Отношений, альтернативных казарменной дедовщине или формализму должностных инструкций.
В ходе мастер-класса упоминался широкий спектр приёмов – от эффективного применения инфографики и графики комиксов для скорейшего и безошибочного донесения мыслей до «собеседников», навыков извлечения знаний («hard skills») из сторонних экспертов (ибо всё знать самому невозможно) и приобретения тех же «hard skills», обучая других, и до совместного проведения свободного времени в спортзале или бане, посиделок за «чаем» с грибами.
В качестве негативных примеров внутрикорпоративной социальной инженерии назывались методы, «а-ля» социальные технологии 90-х, пусть и не связанные с «волынами» и «стрелками», но отличающиеся прямолинейностью донесения мыслей и жёсткостью формулировок.
В ходе секции Льва Палея был проведён эксперимент на живом человеке, которому было разрешено сначала презентовать антифродовский продукт некоего стартапа, призванный обуздать недобросовестных финансовых трейдеров, а потом выслушать то, что о его выступлении думают присутствующие, включая примкнувшую к «президиуму» Мону Архипову, представителя бизнеса и в своей нынешней ипостаси и по роли в тренинге. В ходе эксперимента ни один человек не пострадал физически, хотя ему и пришлось кое-что выслушать.
Секция «Точки опоры современного управления в ИБ» точно была полезна в контексте общей темы BIS Summit 2019 «Кибербезопасность в эпоху стратегической неопределённости», ибо напомнила о важности оставаться людьми в любых условиях, пусть ты даже руководитель службы ИБ. Однако по окончании мероприятия нельзя было отделаться от крутящегося в сознании начала известной стихотворной строчки «Если бы молодость знала…», ибо в истории нашей страны были не только 90-е с их грубой социальной инженерии, но и 70-е - 80-е прошлого века, элементы социальной инженерии которых сегодня оказываются, похоже, откровениями.
.jpg)
.jpg)
.gif)