Битва Сухих Листьев

Как вы думаете, что делает фильмы Mortal Combat или Кровавый спорт культовыми? Можно сказать просто — присутствие культовых персонажей. Но не это, на мой взгляд, самое главное. Куда важнее умение режиссера заставить актеров сражаться не за страх или за зарплату, а за совесть.

Биться на сцене так, чтобы у зрителя не возникло ни капли сомнения в реальности происходящего и в искренности чувств героев. Виктор Минин, сопредседатель комитета по информационной безопасности и член Правления СоДИТ собрал на импровизированном брейн-ринге, организованном в рамках выставки-конференции: по информационной безопасности «INFOBEZ-EXPO/ ИнфоБезопасность» сливки ИТ- и ИБ-сообществ. Сливки продемонстрировали все хитрости панкратиона — от осторожной разведки боем до демонстрации ложной слабости и, наконец, финального рукопожатия, когда бойцы отдают дань уважения друг другу просто потому, что выстояли, продержались все чемпионские раунды и даже после нокдаунов остались на ногах и встретили финальный гонг в боевой стойке.
Чтобы завести спокойных и уравновешенных в принципе людей Виктор Минин, как и полагается коварному устроителю смертельных поединков, пошел на хитрость. Он предложил участникам доказать, что же главнее в компании — информационная безопасность или информационные технологии. ИБ или ИТ?

То, что произошло после, напоминало одновременно фильм «Кровавый спорт» и телепроект «Битва экстрасенсов». Помните, во время отбора  на телепроект, чтобы доказать свои экстрасенсорные способности, участникам необходимо угадать, что находится за ширмой? Оптимален ответ одновременно двусмысленный и неоспоримый. Предварительно придав своему лицу максимально одухотворенное выражение, потомственные ведьмы, колдуны и маги, те, что помудрее, изрекают обычно следующее: «то, что находится за ширмой одновременно и манит, и пугает». И вот как хочешь их, так и понимай. И телезрители именно так их и понимают. Те, кто ничего не понял, переключают канал и смотрят бокс или футбол.

Маги и маглы

Команда безопасников ответила совершенно в духе экстрасенсов. По очереди Сергей Котов (независимый эксперт по ИБ, заслуженный пенсионер МВД), Михаил Левашов (советник председателя правления по информационной безопасности банка «Открытие») и Дмитрий Костров (директор по проектам отдела управления ИБ департамента технологической безопасности МТС) заявили, что во главе всего… бизнес. И ему решать, кто стоит на втором месте. А если не досуг будет бизнесу разбираться в том, кто там главнее — ИБ или ИТ, то сведущие люди посоветуют. Кто? Да вот хотя бы те же самые сотрудники службы безопасности.  Со стороны все это выглядело как абсолютно мирный жест, как январский прогноз Гидрометцентра на лето, из которого следует, что с большой долей вероятности в июне будет теплее, чем в середине зимы. Казалось бы, как тут поспоришь?

Но не тут-то было. Борис Славин, председатель правления российского Союза ИТ-директоров, достаточно быстро расставил колючие точки над «И». В аббревиатурах ИБ и ИТ, а также в сладких речах экспертов по безопасности. Словно заправский адвокат, он объяснил «наивным слушателям», что «хитрые люди в погонах» пытаются навязать уважаемой публике мысль о том, что именно ИБ находится ближе всех к бизнесу, и понятно, что именно всегда советует. Забывая, что бизнес, как человек из воды, состоит главным образом из ИТ. И если бы не «неправильное» слово «технологии», прицепившееся к «И», всем сразу было бы понятно, кто главный. Тот, кто владеет информацией! И уж конечно никак не тот, кто информацию охраняет. Тот, кто охраняет, объяснил Славин, понятия может не иметь о том, что именно находится под охраной. И нередко происходит так, что многочисленные охранные рубежи строятся вокруг пустоты. Защитой окружают то, что реальной ценности для бизнеса не представляет. Так, например, было в советские времена, когда запрещали выносить с предприятий бумажные документы, а на бобины с информацией никто внимания не обращал. А кто владел бобинами? Вот-вот. Так что с главенством вопрос, можно сказать, решено.

Лежачего не бьют

Словно Жан Клод Ван Дамм от удара кулака Боло Йонга информационная безопасность рухнула на помост. Казалось, что дипломатических выражений в ответ на высказывание Славина уже не подобрать, а не дипломатически безопасники высказываться никак не хотели. Поскольку понимали, что именно этого и ждут оппоненты от брутальных «людей в погонах». И вот здесь была допущена ошибка. Казалось бы, айтишникам известно, что лежачего не бьют. Но не удержались.

«С каким словом ассоциируется ИБ? — весело воскликнул Кирилл Алифанов, ИТ-директор компании Атомэнергомаш. — Бюрократия! Везде циркуляры и какие-то вечные тормоза, которые существенно ограничивают то развитие, которое дает бизнесу ИТ».  От этой фразы в затуманившемся взгляде бойцов-безопасников проскочила обида. И желание подняться и продолжать проигранный, как могло показаться в самом начале, бой. «Нам сказали, что ИБ – тормоз. Это дикий миф. Когда ИБ говорит «давайте развивать такой сервис», ИТ отвечает – «нет, это риск». Кто здесь тормоз – большой вопрос!» — переходя из дипломатической в боевую форму, парировал Сергей Котов.

«Сейчас мы узнаем, кто в первом раунде сходил пешкой, а кто конем», — торжественно произнес рефери Виктор Минин. Попытка установить истину по аплодисментам не выявила явного победителя. Зрители, сделавшие ставку на ИБ и уже приготовившиеся расстаться со своими «деньгами», воспряли духом и постарались поддержать «своего». Минин задумался: «А по хлопкам-то вышла ничья». Борис Славин попытался апеллировать к рефери: «Я задам вопрос». Но получил жесткий ответ: «Вопросы здесь задаю я».

Болевой на руку

Начался следующий раунд. Если бы его, как боксерский поединок, объявляла стройная девушка в бикини, то вместо таблички с цифрой «2» она несла бы плакат  с надписью «Может ли бизнес обойтись без ИБ?». Вопрос, очевидно, с подвохом. Если его задают, значит, сомнения все-таки есть. С другой стороны, если будет доказано, что бизнес без ИБ немыслим, то снова становится непонятно, кто же главнее — ИБ или ИТ?

На лицах противников перед вторым раундом уже не было того сонного благодушия, что наблюдалось в раунде первом. И даже улыбки представителей ИБ и ИТ подразделений не предвещали противнику ничего хорошего. Борис Славин первым нанес серию ударов, одновременно пытаясь выкрутить противнику в лице ИБ руку. Непонятно, правда, какую именно. «Информация — это актуальность, прозрачность и безопасность в том числе. Без этого она не может таким словом называться. Безопасность — одна из неотъемлемых черт информации, но лишь один из кусочков. Я не выступаю против нее. Это как против руки выступить. Если человек — это информация, то безопасность — его рука. И без руки он жить не может. Она ему нужна» — вот так, не оставив от безопасности камня на камне, а только руку, Борис Славин закончил свою речь. «Кто учит пользоваться информацией?» – спросил Максим Белоусов, президент Санкт-Петербургского клуба ИТ-директоров. И сам ответил: «Айтишники! Мы вполне можем справиться и без службы безопасности. Сама безопасность нужна. Но зачем нам служба?»

Бытие мое

Сергей Котов, очевидно, во время перерыва между раундами думал об основах бытия. Высказанная Борисом Славиным крамольная мысль о том, что ИТ является основой бизнеса, явно не давала ему покоя.  Он не мог не высказаться по этому поводу. И высказался, подогнав свое мнение под ответ на вопрос второго раунда: «ИТ — это основа бизнеса. Но технологическая. То есть одна из основ. Утверждение, что бизнес без ИТ не может существовать, несколько натянутое. Киоски союзпечати же существуют... Айтишники всегда говорят о том, что они в своем деле разбираются лучше всех и сами знают, что и как защитить. Но это неправда. Иначе в крупных банках, которые доверяют айтишникам, не воровали бы много денег». Эта глубоко философская речь, да еще снабженная таким неоспоримым аргументом, как кража, ввела публику в легкий транс. Мне лично отчего-то вспомнился диспут Паниковского и Балаганова:
— Только кража, Шура!
— Только ограбление!
Финал речи Котова также напомнил взаимоотношения Балаганова и Паниковского: «Айтишник воспринимает безопасника как своего друга и соратника… которого в любой момент можно подставить вместо себя» – укоризненно произнес Котов. После того как айтишники пожаловались, что в случае краж, а также ограблений, достается именно им, а безопасников никогда не трогают, захотелось назвать наблюдавшего за поединком Виктора Минина «товарищ Бендер».

Не в деньгах счастье

Тему денег, но уже не в контексте незапланированного убывания, а в плане запланированных поступлений, продолжил Кирилл Алифанов: «По поводу денег я скажу. Мы зарабатываем деньги. Оптимизируем человеческие ресурсы, внедряем технологии, которые помогают бизнесу. А что делает ИБ?» Коллегу поддержал Максим Белоусов: «Информационные технологии не просто смысл моей жизни, но и тот инструмент, который позволяет бизнесу добиваться результатов. Все знают, что за счет ИТ мы можем снижать затраты и так далее. А чего такого вы можете дать бизнесу?»

Михаил Левашов не стал отвечать на эти риторические вопросы. Ибо понятно, что на работе сотрудники службы информационной безопасности делают то же, что и айтишники — работают. Он объяснил, что безопасникам работать не в пример сложнее, поскольку объяснить (бизнесу) для чего нужна информационная безопасность, также не в пример сложнее, чем то, для чего нужны информационные технологии. Специалисты в области безопасности подтвердили, что если обсуждается вопрос о том, что купить, фаервол или сервер для биллинга, покупают всегда (!) последний.

Мягкое место

Виктор Минин объявил еще один раунд. И снова тема нетривиальна: «Где место ИБ?» Не подумайте, фильм «Джентельмены удачи» здесь не при чем. Обсуждается не только то, может ли подразделение по информационной безопасности входить в состав департамента информационных технологий, но и обратное.

Безопасники говорят, что если им отведут место внутри ИТ-отдела, все шишки повалятся на них. Это станет лишним способом для айтишников избежать ответственности. ИТ-специалисты не согласились, парировав, что и так отвечают, можно сказать, за все. Ну, или за очень многое. В принципе, могут и еще одну «каплю» ответственности на себя взять. В лице интегрированного подразделения ИБ. Но хотели бы видеть в подразделении ИБ такого же «заказчика», какими для ИТ являются все остальные отделы: бухгалтерия, транспорт и прочие. Все они заказывают необходимые ИТ-решения, айтишники их подбирают и внедряют.

«Мы даем инструмент. Сотрудники служб безопасности используют его», – резюмировал Максим Белоусов. И снова поднял вопрос об ответственности. – «Но кто отвечает? В случае инцидентов службу безопасности редко наказывают, а айтишников – часто. Потому, что проблема видится в том, что рухнул сервер. Но ведь айтишники предупреждали – дайте нам два новых сервера. А ИБ ответила – нет, они должны быть сначала сертифицированы в ФСБ!»
Безопасникам, в свою очередь, хотелось бы независимости, в том числе и от руководителя по безопасности «обычной», неинформационной. То есть прямого подчинения кому-то из первых лиц в компании. Объясняется это просто. Стандартный «безопасник» — это человек, который носил погоны. И мыслит он абсолютно неинформационными категориями. Поэтому информационная безопасность всегда будет для него чем-то непонятным, вторичным. ИБ начнет хиреть и умирать «как класс». Если же интегрировать службу ИБ в ИТ-департамент, будет еще хуже. Люди склонны к воровству. Такова жизнь. И если замкнуть безопасность и информационные технологии, то в компании не будет контроля. Сколько бы людей ни было в объединенном подразделении, рано или поздно они смогут договориться о том, как украсть и замести следы. И никто им для этого более и не понадобится. И никто не сможет их остановить.

Ценные бумажки

Раунд шел за раундом. Удар — за ударом. Безопасники и айтишники по-очереди наотмашь говорили друг другу о том, что им не повезло. ИТ с ИБ, и наоборот. Поэтому и нет взаимного уважения. Котов признал, что в информационную безопасность порой приходят люди некомпетентные. Просто потому, что людей в этой области не хватает. От айтишников, к слову, подобной откровенности не слышно уже давно. Во всяком случае, на профильных мероприятиях никто уже не говорит о том, сколько бродит по земле русской, точнее, по ИТ-проектам, некомпетентных специалистов. Хотя про кадровый голод до сих пор вспоминают.

Ближе к концу боя сквозь кровавый туман участники разглядели общего врага — регуляторов. Не переставая обмениваться ударами и колкостями, эксперты в области ИТ и ИБ яростно критиковали органы, которые заставляют компании защищаться «как положено». То есть сертифицированными средствами. На эти самые средства безопасникам вечно не дают денег. Потому что сертификаты — это безумно дорого в первую очередь, а безопасно – в последнюю.
Борис Славин подтвердил, что из-за требований регуляторов и российских законов (о защите персональных данных, в частности) приходится устанавливать заведомо плохо работающие решения. Только потому, что они снабжены необходимыми бумажками.

В итоге вопрос о том, кто матери-истории более ценен —  ИБ или ИТ — так и остался без однозначного ответа. Перефразируя Бориса Славина, можно сказать, что речь шла о том, что лучше, быть человеку без рук или без ног? И выживет ли он без них? И без чего проще обойтись? Без чего жить веселее, не выяснили. А вот выживет или нет — в итоге прояснилось. Все сошлись на том, что в России с бизнесом может произойти все что угодно. Он у нас может быть и без одной руки, и без двух. А может быть с тремя руками и пятью ногами. Короче, как регуляторы скажут — таким и будет. Выяснив этот момент, специалисты по информационной безопасности и информационным технологиям поняли, что у них гораздо больше общего, чем могло показаться в начале битвы. И радеют они за одно и то же. За развитие и сохранение бизнеса. А по поводу места на бизнес-пъедестале... его достаточно для тех и для других.