Попытка негодными средствами
Люди, выбравшие информационную безопасность своей профессией, последние десятилетия находились в тени, практически незаметно делая свою работу. Однако успехи цифровизации, которые перевели в онлайн многие важные сервисы, включая государственные, не оставив аналоговой альтернативы, сделали инциденты довольно чувствительными, поэтому последние несколько лет сначала СМИ, а затем и государство стали обращать пристальное внимание на сбои цифровых систем, утечки данных и мошенничество в киберпространстве. Последний же год, ставший мощнейшим испытанием цифровых систем страны, вывел вопросы кибербезопасности на первый план.
Итак, на нас обратили внимание, нам дали слово и нас слушают. О важности защиты цифровых активов говорят первые лица государства и бизнеса, регуляторы ужесточают требования по защищенности цифровых систем и ответственность за инциденты. Разве не этого мы добивались долгие годы? Журналы и блоги переполнены советами, как ИБ надо разговаривать с бизнесом: избегать технического сленга; говорить не о функциях, а о ценностях, которые они несут; измерять инциденты в убытках и упущенной выгоде — короче, говорить с бизнесом на языке бизнеса.
Правильно ли мы используем предоставленную трибуну? Надолго ли она нам предоставлена? Свой взгляд на поставленные вопросы я постараюсь осветить в этой статье.
Цели у нас у всех благие: сохранить работоспособность цифровых систем, ставших, не побоюсь этого слова, основой современной экономики страны. Кажется, что мы знаем, что именно надо сделать, чтобы разрушительные инциденты не повторялись, а доверенные цифровым системам клиентские данные не утекали. Серьезно?
1. Мы много о себе думаем
У бизнеса много других рисков — это и курсовые разницы, и разрыв логистических цепочек, и внезапные аресты зарубежных счетов, и нехватка квалифицированных работников... Продолжать можно бесконечно. Да, сегодня многочисленные просчеты в построении цифровых систем видны невооруженным глазом, и на их исправление придется потратить какое-то количество ресурсов. Но это похоже на проблему с сантехникой в крупном офисе — после крупного засора канализации, вызвавшего невозможность несколько дней работать в офисе, проблема будет эскалирована до первого лица, какое-то время эта проблема станет для руководителей первоочередной и будет решена. При этом придется потратиться на устранение засора сверх запланированного бюджета, а потом и на выработку и внедрение процессов, которые позволят избегать засоров в будущем. Но это вовсе не означает, что после одного и даже нескольких инцидентов сантехников введут в совет директоров и они будут писать стратегию компании.
2. Разный уровень общения
Разговаривать с бизнесом берутся люди, никогда своего бизнеса не имевшие, видящие в бизнесе только один, технологический слой. Очевидно, что ценность этого слоя, как наиболее известного переговорщику, им преувеличивается. Чем ближе бизнес собеседника к технологиям (финтех, телеком, электронная коммерция, убер-подобные сервисы), тем ближе к слушающему технологические аргументы. Скорее всего, и собеседник имеет техническое образование, поэтому маркер «свой-чужой» срабатывает. Но если бизнесмен далек от технологий (а основные бизнесы в стране все же ближе к материальному производству), технические аргументы перестают работать, а авторитет говорящего, никогда не рисковавшим по-крупному, но объясняющего бизнесу «что на самом деле нужно бизнесу», стремительно падает.
3. Мы не умеем упрощать
Мы избалованы десятилетиями работы с профессионалами, понимающими нас с полуслова. Но бизнесмен или высокий руководитель не мыслит нашими категориями, условно — уязвимостями и эксплойтами, векторами атак и т. п. Он мыслит ресурсами и полученными от их использования результатами, а наши презентации и речи говорят о чем угодно, только не о результатах. Любимые фразы «никто вам ничего не гарантирует» не повышают доверия, а те редкие случаи, когда исполнитель несет финансовую ответственность за работу средств защиты, настолько обложены юридическими оговорками и ограничениями суммы, что вызывают больше раздражение, чем понимание. Успешные кейсы общения с бизнесом связаны с посредничеством в виде цифровых директоров, то есть кто-то делает нашу работу за нас, мы же продолжаем «торговать страхом» в стиле «плати, а не то зашифруют».
4. Мы не понимаем их отношения к риску
В прошлом году после разрушительного инцидента, остановившего работу компании на несколько недель, и многомесячного восстановления инфраструктуры, в ответ на «давайте сделаем так, чтобы такое не повторилось», владелец компании ответил нам «мы и так потеряли много денег, давайте решать проблемы по мере поступления». Риск — привычное дело для предпринимателя, если бы у него была повышенная чувствительность к риску, он бы никогда предпринимателем и не стал. Риски с вероятностью меньше 100% они часто воспринимают как приемлемые, то есть сознательно предпочитают их учитывать в модели бизнеса (включить возможные потери в цену, например), а не вкладываться в их уменьшение. Тем более в нашем случае, когда мы не можем гарантировать уменьшение риска до нуля.
5. Мы не видим цифровой системы целиком
Современные цифровые системы состоят из десятков и сотен взаимосвязанных подсистем, постоянно изменяющихся и обменивающихся данными. Для ее владельца — это единый организм, обеспечивающий конкретные бизнес-процессы. Для нас — набор серверов, компьютеров и программного обеспечения. Поэтому рекомендации большинства профессионалов довольно банальны: для обеспечения защиты нужно регулярно, а лучше непрерывно сканировать и пентестить инфраструктуру, вовремя ставить обновления, использовать средства защиты, внедрять методики безопасной разработки. Достаточно ли это для того, чтобы избежать инцидентов? Конечно, нет. И на прямой вопрос бизнеса «а это поможет?» — мы можем ответить лишь «ну, лишним не будет».
6. Мы пропагандируем продуктовое мышление
Производители считают, что наличие их уникальных продуктов убережет заказчиков. Это связано с тем, что основными маркетинговыми бюджетами обладают именно производители продуктов, а не консультанты. Как и в современной медицине, где основную партию ведут фармкомпании, поэтому заболев, люди под влиянием рекламы идут не к врачам, а в аптеки, покупать рекламируемые лекарства. Но инструменты кибербезопасности сегодня только один из элементов защиты. Да, экспертиза в области кибербезопасности сейчас сосредоточена в компаниях, производящих инструменты кибербезопасности, но одной покупкой продуктов нынче проблему не решить. Хуже того, сегодняшние продукты — однонаправленные, разработанные для того, чтобы нивелировать одну из угроз, недаром часто они несут в названии anti- или prevention. Утечка — надо ставить DLP, сайт ломают — ставьте WAF, накосячил админ — добавьте PAM, и т. п. Но продукт без настройки и регулярных обновлений, обучения движка ИИ при его наличии, интеграции с другими продуктами, подготовки пользователей и специалистов, включая не только инструктаж, но и тренировки, и учения — не решит своих задач.
7. Мы не хотим и не умеем разбираться в бизнесе заказчика
Большинство наших решений и услуг «горизонтальны», а не «вертикальны». ИТ-инфраструктура у многих компаний похожа — значит, защита ИТ-инфраструктуры лучше масштабируется, и вот мы защищаем серверы, каналы связи, телеком-оборудование, а не бизнес-процессы и данные. Даже специализируясь на защите какой-то программной платформы, скажем, 1С или SAP, защитники больше концентрируются на защите собственно платформы (шифрование, контроль доступа), а не процессов, реализованных в них. Мы не можем декомпозировать понятные бизнесу критические риски (известные в России как «недопустимые события») до событий в цифровой системе, потому что не понимаем, как она у заказчика устроена.
8. Мы говорим о софте и железе, а не о бизнесе
Бизнесу интересны деньги, в меньшей степени — данные, но точно не серверы, операционные системы и телекоммуникационное оборудование. Да, защитив, например, удаленный доступ, мы можем помочь избежать злоупотреблений, но от взлома учетной записи, например, до похищения денег лежит довольно нетривиальный путь, поэтому объяснить бизнесу, как защита учетных записей поможет избежать хищения средств — непросто. К тому же только одной этой мерой невозможно полностью исключить вероятность хищения, не сказать об этом бизнесу — значит соврать, а сказать — можно нарваться на вопрос «а зачем же ты тогда пришел, если не можешь меня полностью защитить?».
9. Мы уповаем на ужесточение регулирования
Но требования государства — суть налог, которых бизнес и так платит достаточно. Налоги бизнес обычно минимизирует, с чем не раз сталкивались регуляторы даже в нашей отрасли — скажем, вместо защиты персональных данных через закупку средств безопасности данные обезличивались, обработка их выводилась на небольшие юрлица, что, скорее всего, и будет сделано при обещанном введении оборотных штрафов за утечку персданных. В конце концов, штраф — такой же риск, поэтому его потенциальный размер может быть внесен в цену, и как всегда при наложении дополнительных налогов на бизнес за все заплатит покупатель.
***
Этот список можно продолжать, но уже и описанных ошибок достаточно для того, чтобы понять, что мы используем предоставленную трибуну и временное, я уверен, внимание бизнеса, мягко говоря, не на сто процентов. Да, мы искренни в своих заблуждениях, мы хотим как лучше и уверены, что знаем, как сделать это лучше. Но мы стоим в позиции преподавателя: «слушайте, не перебивайте, сейчас я вам расскажу, как надо». Такая позиция во многом оправдана и обеспечена нашей экспертизой, но мы не учитываем, что слушающий не всегда слышит то, что говорит.
Ситуация, в которой мы сегодня находимся, не продлится долго — человек привыкает ко всему и перестает бояться, особенно человек в России, где фатализм вперемешку с пофигизмом — черта национального характера. И такая ситуация, боюсь, больше никогда не повторится, лишь будет кратковременно возникать при особо масштабных сбоях. Заметьте, противопожарная безопасность или безопасность полетов выходит на первый план только при катастрофических масштабах инцидентов и через несколько дней забывается.
Поэтому если мы хотим достичь долгосрочного эффекта в это ненадолго открывшееся окно возможностей, нам стоит перестать думать о сиюминутных выгодах, и сосредоточиться на том, что от нас хотят услышать: что делать, чтобы цифровые системы продолжали работать, делая то, для чего они создавались, и не делая ничего другого. А для этого придется посмотреть на нашу отрасль глазами потребителя, по большому счету довольно далекого от технологий.
Опубликовано 25.05.2023
