Always Wanted
Ускоренная, или, как ее еще называют, авральная, цифровизация в эпоху пандемии не создала новых инструментов, но существенно перераспределила нагрузку на уже имеющиеся информационные ресурсы.
Работа с собственных компьютеров
Если до пандемии возможность иметь доступ к корпоративным данным со своего компьютера была скорее привилегией, даже исключением, для особо ценных сотрудников, то в пандемию вопрос обеспечения удаленными компьютерами всех сотрудников поголовно встал в полный рост. Все его решали по-своему – кто-то развозил офисные компьютеры по домам сотрудников, кто-то срочно закупал ноутбуки (не зря они очень быстро закончились на складах ретейлеров), но большинство разрешило сотрудникам работать дома на своих компьютерах. Последнее сильно меняет парадигму безопасности – корпоративные данные приходится отдавать на неконтролируемые или не полностью контролируемые устройства, работать с которыми может несколько пользователей, их учетные записи содержат слабые пароли, они могут быть заражены вредоносным программным обеспечением и т. п.
Конечно, хорошо известны способы защиты данных на таких устройствах – это и виртуальные рабочие столы, и терминальный доступ к приложениям, при котором данные обрабатываются на сервере, отдельные учетные записи для рабочих задач и т. п. Опустим юридическую сторону вопроса, не обсуждая, где граница между контролем чужого устройства и вмешательством в личную жизнь, но и с технической реализацией подхода Bring Your Own Everything не все так просто. Почему Everything? В решении рабочих задач участвует не только компьютер, но и принтер, на котором иногда надо распечатать документ, расписаться на нем, отсканировать и послать обратно, – так автор, например, закрывал акты об оказании услуг. В решении задач, скорее всего, участвует и роутер, вероятно – беспроводной. И роутер, и принтер тоже хорошо бы контролировать, а идеально – защищать. То есть забот айтишникам и безопасникам прибавилось, причем штат не увеличился.
Веб-приложения, обслуживающие клиентов
До пандемии многие компании держали веб-приложения «чтобы были», например, у крупных офлайн-ретейлеров объем продаж через сайт составлял единицы процентов от общего оборота. Но во время пандемии большинство офлайновых магазинов закрылось, а в действующих драматически уменьшилась посещаемость. В результате Интернет оказался основным, а то и единственным каналом обслуживания клиентов и способом заработать деньги. Веб-приложения в авральном порядке стали расширять функционал, автоматизировать процессы обслуживания. К тому же трафик на этих ресурсах существенно вырос, что приводило к заметным сбоям, а тут еще активизировались хакеры – часто за счет школьников, которых на каникулы не выпускали из дома, да и серьезные нарушители повысили свою активность. Мы заметили рост атак на школьные онлайн-дневники, но это и понятно: мы в детстве подчищали плохие оценки в дневнике лезвием от безопасной бритвы, новые времена – новые решения. Компании расширили лицензии продуктов, обеспечивающих работоспособность и защиту веб-приложений, но людей для этого не набрали.
Системы групповой работы
Прежде довольно вялые системы онлайн-видеоконференций и других систем поддержки групповой работы (трекеры, порталы) также подверглись существенной модернизации в связи с переходом на «удаленку». Попробовав льготные месяцы по использованию облачных сервисов, компании определились с платформами для групповой работы. Часто применение коммерческих лицензий подразумевает разворачивание части серверов внутри периметра предприятия, а некоторые организации развернули в своей инфраструктуре решения, распространяемые по opensource-лицензиям. Это тоже повысило нагрузку на сотрудников служб ИТ и ИБ.
Традиционные внутренние приложения
Ну и внутрикорпоративные приложения, которые раньше никогда или крайне редко использовались с компьютеров вне периметра компании, теперь тоже стали смотреть «наружу». Это особенно чувствительно в бухгалтерских, финансовых, складских приложениях – до пандемии мало кому могло прийти в голову, что главный бухгалтер будет проводить миллионные платежи с компьютера на даче.
Лицензии расширили, штат – нет
То есть в пандемию нагрузка на сотрудников ИТ и ИБ существенно возросла. Как долго они еще проработают в авральном режиме? Многие из них, в отличие от сослуживцев, провели период принудительной изоляции в офисах, поближе к серверам, обеспечивая компании бесперебойное и безопасное функционирование на «удаленке».
Недостаток кадров для цифровизации – одна из самых обсуждаемых проблем отрасли. В период карантина потребность в специалистах выросла еще, но их не прибавилось. Особенно это заметно в подразделениях безопасности – в среднем сотрудники таких отделов получают меньше коллег-айтишников равнозначной квалификации, но при этом испытывают гораздо больше стресса, поскольку живут постоянно в ожидании атаки, трактуют любые сомнения в негативную сторону, что ведет их к более быстрому выгоранию.
В триаде «инструменты-процессы-люди» бизнес пока более или менее решил проблему только с инструментами – закуплены (или выпрошены у производителей под обещание заплатить, как только кризис закончится) лицензии на программное обеспечение и приобретены или арендованы необходимые серверные мощности. Со временем устаканятся и новые процессы – либо они сложатся «как есть» из ежедневной рутины, либо кто-то изнутри или снаружи опишет их, проанализирует и оптимизирует. И только с людьми мало что изменится. Точнее, специалисты уверены, что с людьми будет только хуже. Брать их сегодня негде: для того чтобы сотрудник выбрал для себя направление, в котором и требования высоки, и ответственность за ошибку ничуть не меньше, а компенсация не самая заманчивая, у него должна быть тяга именно к подобной работе. Но и тяги одной недостаточно – нужно иметь много специфических навыков, таких как усидчивость, любовь к поиску ошибок. В университетах айтишников учат в основном строить, поэтому в поисках человека, который с удовольствием будет скрупулезно выискивать ошибки в сложных системах или детектировать атаки в массиве легитимных запросов, преподавателям приходится просеивать огромное количество кандидатов.
Что делать?
Компании уже смирились с тем, что людей в самых востребованных специальностях – построении высоконагруженных систем и защите сложных информационных систем – не будет хватать. Атаки стали такими, что просто установить программное обеспечение недостаточно – к любому средству защиты сегодня требуется квалифицированный аналитик. Сложные информационные системы с постоянными изменениями и сложными взаимосвязями между подсистемами требуют постоянного мониторинга и аналитики. И таких людей постоянно не хватает. Компании не могут уже набирать сотрудников самым простым способом – увеличивая ставку кандидатам, эти ставки и так завышены до предела. Выхода из такой ситуации, в сущности, всего два: роботизация и аутсорсинг.
Роботизация
Сегодня многие компании пытаются автоматизировать аналитику мониторинга больших информационных систем для раннего обнаружения компьютерных сбоев, ошибок операторов, инсайдерских мошеннических действий и кибератак. Идея сделать робота, способного заменить администратора средства безопасности, аналитика центра реагирования, оператора систем мониторинга и других специалистов, завладела умами. В этом направлении уже есть успехи, которые хотя и не полностью заменяют специалиста, но существенно облегчают ему процесс работы, например, подсказывая решение. Полная автоматизация некоторых ответственных позиций невозможна без юридического решения главного вопроса роботизации: кто будет в ответе, если произойдет ошибка? Производитель робота? Тот, кто его обучал? Тот, кто готовил для него данные? И т. п. Эта юридическая проблема до сих пор не решена во многих сферах, например, в области полностью беспилотных автомобилей, где уже не один десяток лет задаются этические вопросы типа: «Кого надо спасать – пассажира или пешехода?» При защите критических объектов, где сбой или атака могут привести к человеческим жертвам, вопросы роботизации рано или поздно тоже упрутся в этику.
Аутсорсинг
Аутсорсинг безопасности и мониторинга высоконагруженных систем имеет своих почитателей. Аргументы в этом случае мало отличаются от принципов аутсорсинга вообще: мы не ИТ/ИБ-компания, поэтому не хотим бесконечно раздувать штат ИТ/ИБ-специалистов. Мы хотим заниматься своим основным бизнесом – выращивать хлеб, добывать и перерабатывать полезные ископаемые, доставлять людям грузы и т.д. Мы также хотим заниматься цифровизацией – находить в цифровых системах новую пользу для нашего основного бизнеса. Мы понимаем, что новые возможности несут с собой и новые риски и готовы делегировать кому-то их уменьшение.
Аутсорсинг помогает концентрировать дефицитных специалистов в компаниях, которые могут их развивать, платить достаточно много и загружать интересной работой. Очевидно, что первыми заказчиками роботизированных систем, а иногда и их разработчиками становятся компании-аутсорсеры: у них экономия от роботизации считается очень легко – у них уже отстроены процессы, понятны направления масштабирования и хорошо налажен учет. К тому же иногда постепенно, а иногда, как в пандемию, и довольно резко меняется отношение к передаче данных и рычагов управления своей инфраструктурой на сторону: когда вопрос стоит ребром – или не работать вообще, или быстро заткнуть проблему аутсорсером – обычно выбирают второе.
Заключение
Цифровизация вкупе с пандемией расширили количество задач по противодействию любым типам сбоев в цифровых системах. Решение этих задач требует большего количества специалистов, чем мы способны сегодня подготовить. Недостаток профессионалов будет восполняться двумя способами – либо через роботизацию, замену человека программным роботом, либо через аутсорсинг – замену сотрудника сервисом сторонней компании. Очевидно, что большинство компаний будет использовать оба способа в разных пропорциях и именно этот опыт станет определяющим в том, как будет развиваться рынок труда в ИТ и ИБ.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 02.09.2020