Пиджаки vs джинсы. В ИБ стало много посторонних...

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(14)
()
Описанные в заметке рассуждения давно витали в моей голове, но только на прошедшем в пятницу BIS Summit оформились в некий набор тезисов, который я и хотел выплеснуть на страницы блога. Я прекрасно понимаю, что за данные мысли, возможно, на меня обидятся некоторые мои коллеги и друзья, но в последнее время я уже и так наговорил столько всего и наступил на мозоли стольким людям и организациям, что одной заметкой больше, одной меньше, не критично. Итак, мой тезис простой - в профессии ИБ стало слишком много посторонних!

Несмотря на то, что у нас (и в России, и в мире) ощущается явная нехватка специалистов по информационной безопасности, а Наталья Касперская даже предлагает вводить специальный реестр выпускников ИБ-специальностей и не выпускать их за границу, чтобы не утекали мозги, я вижу, что попадание сторонних людей в профессию только вредит ей. На BIS Summit Рустем Хайретдинов поделился наблюдением, что раньше в отрасли были преимущественно выходцы из спецслужб и иные "погонщики" (от слова "погоны"), которых многие молодые специалисты называют "пиджаками". Молодежь же Рустем назвал "джинсами" и отметил, что их в отрасли становится все больше и больше, сменяя "пиджаков". Это те люди, которые вышли из программеров, пентестеров, хакеров. И вот они начинают превалировать над теми, кто понятие "безопасность" впитывал с молоком отца со скамьи в Высшей школе КГБ, ИКСИ или ином каком закрытом ВУЗе. А еще в ИБ идут люди из ИТ, которые узнали, что в ИБ нехватка людей или что в ИБ много платят.

И вот именно эта тенденция лично меня и пугает. Обе эти категории специалистов (и "джинсы" и айтишники) не имеют сознания безопасников. У них могут быть знания и навыки, но не сознание, которое должно формироваться с самого начала профессионального образования. Как думает "айтишник" в ИБ? Я защитю (защищу) внедрю систему защиты ИТ-активов согласно лучшим практикам, подчерпнутым в ISO 27001, СТО БР, 31-м приказе ФСТЭК, и наступит мне счастье. Как думает "джинса"? Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.

Также как Роскомнадзор подменил термин "защита прав субъектов персональных данных" "защитой персональных данных", так и в нашей отрасли ИБ ее заменили "ИТ-безопасностью". Мы концентрируемся на защите информации и информационных систем, забывая про субъектов, которую эту информацию обрабатывают, создают, хранят, передают. Мы много говорим о культуре ИБ, не предпринимая усилий по ее формирования. Надо признать, что и регуляторы тоже не сильно напрягаются в этом направлении, только постулируя необходимость заниматься этим вопросом. Основы госполитики в области формирования культуры ИБ в СовБезе так и канули в Лету. Уровень высшего ИБ-образования уже стал притчей воязыцех. Вот и получается, что основа, фундамент ИБ разрушен, а соответствующие навыки практически утеряны. Вендорам, в целом, тоже не до формирования культуры - за нее не платят миллионов и сотен миллионов (статьи затрат по программе "Цифровой экономики" говорят именно об этом, хотя про культуру и образование эта программа и говорит очень активно).

Сюда же относится и нежелание/неумение работы с людьми. Иногда гораздо проще и дешевле поговорить с сотрудниками, чем долго и безуспешно внедрять дорогостоящие защитные технологии (они, конечно, тоже нужны, но не стоит преувеличивать их важность). Но у нас этому ИБшников не учат (ФГОСы не содержат таких дисциплин). Хотя по правде тут нужны не знания, а навыки, которые надо не преподавать, а прививать. Но кто это будет делать? Если безопасник попросится на тренинги по управлению конфликтами или на управление коммуникациями, то на него посмотрят как на сумасшедшего. Зачем тебе это? Что за чушь? В лучшем случае пошлют в Информзащиту учиться Контитенту или SecretNet'у.

И эта тенденция только нарастает, последствия чего мы и наблюдаем в последнее время. На ИБ тратяся колоссальные бюджеты, вендора разрабатывают мыслимые и немыслимые технологии искусственного интеллекта, а хакеры на порядки более дешевыми методами продолжают ломать рядовых граждан, малые и крупные компании. Больше денег на ИБ, больше взломов. Такой вот парадокс. А все потому, что сознание у современных ИБшников уже не "безопасное", а "айтишное" или "хакерское". Мы (и я не исключение) не думаем о причинах многих вещей. Мы латаем дыры, не понимая, почему они появились. Чисто айтишный подход - пропатчиться по быстрому. Мы ищем дыры и кричим о них на конференциях, забывая рассказать о том, как их закрыть (и это почему-то называют security research). Это уже хакерский подход. А где подход безопасника? А его-то и нет...

ЗЫ. Предвидя комментарий "а ты сам кто такой?", отвечу: "Не знаю". Я гражданский, хотя мне преподавали преподы из Вышки. Но я и не айтишник и не хакер. Просто 25 лет в информационной (кибер)безопасности немного дают мне права надеяться, что я все-таки больше безопасник, чем...  
Оцените материал:
Total votes: 88
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Верно сказал. Понятно, что здесь чтецы из этого "болота от ИБ". Жди "комплиментов".

А если сммотреть в будущее - может с этой статьи и начнется "просыпание" от угара.

Самое смешное, что разгрести все это не сильно большая проблема (это даже не четверть беды). Просто тех, кто может хоть что-то толковое сказать просто не слышат и  не понимают - а, посему бояться - и начинают "забалштывать и отвлекать" на другие темы.

Худо другое - ни один из спикеров так к этому и не подошел((((("Взрослее" всех выглядела Касперская. За крайние 15 лет она сильно продвинулась, но что она сможет сделать одна??? Она тоже не Мастер из ИБ и не понимает отраль "кончиками пальцев" - это очень жаль.

Я поговорил на нескольких стендах в "Технопарке" - КАЖДЫЙ - подтверждения сказанному в статье. Ужас в том, что они, как фанатики, ничего дркгого не слышат - уперты в своей правоте. А на простейшие вопросы - никто ответов не знает!  Я первый раз вижу, когда представители точных наук ведут себя как "ботаники" - вот что править предется в первую голову.....

Впечатлений много - но все они ..............

 

up
4 users have voted.
Аватар пользователя riskmn

Вот над чем подумай - "пиджаки" джинсы оденут легко, а вот "джинсы" надеть пиджаки не смогут никогда))) Парадокс. От перемены мест "слагаемых" - "сумма" оказывается меняется!!!

О как!

up
4 users have voted.
Аватар пользователя riskmn

Ну, Алексей, хорошую тему поднял - не отпускает.

В продолжение над чем подумать".

Природа процесса такова, что за "джинсами" стоит только форма, а за "пиджаками" - содержание. Вот и причина конфликта появилась. 

Еще наблюдение. Не каждый "пиджак" является "мундиром", но самое важное, что не каждый "мундир" подходит к нашей теме! А для "джинсы" все "пиджаки" (без разбору) одним миром мазаны))) Это проблема для всех.

up
4 users have voted.
Аватар пользователя alukatsk

Ну есть примеры, когда джинсы надевают мундиры или уходят в пиджаки. И на самом деле их не так уж и мало

up
3 users have voted.
Аватар пользователя riskmn

Это скорее исключение. Такие переходы становятся реально эффективными через 10 лет упорного труда.

Важно другое - не каждый пиджак - это Пиджак))) и не каждый мундир - это Мундир:-))). Посему и говорю, что в близкой перспективе ничего из такого перехода толкового не выйдет.

Это к сожалению многие не учитывают. Можно перейти в любую контору, только реальная отдача наступает через много лет!!!! И еще - у нас много контор под ТЗИ (от ГТК до МВД и гражданских) и мало реальных по ИБ (Вышка тоже не из них):_(((((

up
3 users have voted.
Аватар пользователя e.v.rodygin

Я писал об этом еще пару лет назад но в другом ключе. Лешик по обыкновению отталкивается от раздутой своей эгоцентричности на фоне угасающей рукопожатности...

up
6 users have voted.
Аватар пользователя riskmn

Вы так хорошо знаете Алексея? Скорлько лет Вы с ним знакомы?

up
3 users have voted.
Аватар пользователя e.v.rodygin

О Касперской. Она вовсе не ИБшник - она БизнесВумен и она в этом хороша. Поэтому любые притягивания только ошибка притягивателей.

up
8 users have voted.
Аватар пользователя riskmn

Вы слышали ее реплики в пятницу? Так вот, из всех вытупающих она больше понимает в ИБ и выгодно от большинства отличается. У нее нет зашоренности "бумажников" и наивности ит-ников. Она понимает суть (глубину), а на заклепки есть множество пехоты. 

up
4 users have voted.
Аватар пользователя e.v.rodygin

Тема с разделением на П и Д - задумайтесь... всякая профессия при высокой зрелости проходит этап специализации. Так вот поймите, что разделение на П и Д это ни что иное как уродливая форма восприятия на этапе становления специализации... Педалирование именно этой уродливой формы очень показательно для заблудившихся теоретиков и публицистов. Именно публицистов отрасли хоть и ведущих в этом вопросе.

up
7 users have voted.
Аватар пользователя riskmn

Это условное разделение глупость, но коль она есть каждый может к ней отношение высказать. Может авторы одумаются и им станет совестно....

Сколько может профессия проходить становление? Уже более 20 лет, а все подобная "пена" лезет. Педалирование...? Ну-ну. Если вы живете в отрыве от реального общения - тогда не подозреваете, как это лезет изо всех щелей. От Москвы и до Урала (дальше не в курсе - не выбираюсь) это есть и это проблема огромной важности. Как это искоренить - вот вопррос, а не стыдливо замалчивать....

up
3 users have voted.
Аватар пользователя e.v.rodygin

Не "профессия проходить становление" а процесс специализации...

По аналогии с автогонками или самолетами... Кто то гоняет, кто то заправляет, кто то строит, кто то обслуживает. В начале 20 века началась специализация между пилотами и механиками. А ведь по началу это были одни люди... Сейчас сфера ИБ перезрела уже в части специализации, но публика продолжает мечтать о том, что вон тот парень в коженке и белом шарфе и есть герой... Да и героям это нравится ;) Что в общем то и характеризует этот слой общества.

up
3 users have voted.
Аватар пользователя riskmn

На мой взгляд ы сфере ИБ (на сейчас) не видно спенциализации (исключение составляет только крипто и все что вокруг). Остальное, что "подразумевается" как ИБ к ней отношения не имеет. Это одина из проблем сферы ИБ. Все, что сейчас "притягивают" к ИБ это: либо ИТ, либо RM, ибо HR, либо букет АСУ / АСУП / АСУТП, либо СМК. Как только это безумие пройдет - все изменится. Это если коротко.

Про пилотов и механиков. Хорошая алегория. Тогда у нас сейчас пилотов просто нет (величина настоль прнебрежирельно мала, что...), а море пилотов бегают в крагах и шлемах, но за руль авто не стремятся - разбиться не хотят на вираже. А живо это тотому, что они ("механики" - отличное сранение - емкое и по сути) друг дружку поддерживают и поощряют - в кодле не так страшно.

 

up
3 users have voted.
Аватар пользователя e.v.rodygin

Это "безумие" только в части отдельных голов - и именно этим головам и стоит заняться самоанализом :)

up
3 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.