Бывает ли кибербезопасность с десяти до шести?

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(1)
()
Незапланированная заметка, навеянная тремя событиями. Началось все позавчера, когда Дима Мананников опубликовал в Фейсбуке заметку про безопасность смарт-контрактов, ICO и всего такого и, не увидя бурной дискуссии от коллег, высказал удивление сему факту. Мол, задача безопасника - отслеживать все новые бизнес-технологии и искать способы их безопасного внедрения/использования в бизнесе. Я ему возразил и в итоге завязалась дискуссия, в которой я высказал следующую мысль: "Безопасник в массе свой рядовой сотрудник, выполняющий трудовые обязанности с 10 до 6. Он ничем не отличается об уборщицы или бухгалтера. Им всем комфортно в своем болотце и менять что-то они будут только в экстренных ситуациях. Плюс образование, которое учит compliance и борьбе мо старыми угрозами. Отсюда все. Исключения бывают, но только подтверждают общее правило".

Подтверждение моему высказыванию я получил относительно недавно на одном крупном предприятии, которое любит выпячивать свою экспертизу в области ИБ. В рамках очередного моего приезда к ним и рассказа о том, как у нас в компании выстроен процесс реагирования на инциденты, я рассказал о сервисе Cisco Umbrella Investigate, позволяющего оперативно и без установки какого-либо железа и софта у заказчика (и даже без какой-либо их перенастройки и перенаправления трафика) проводить анализ инцидентов, связанных с Интернет-активностью. Решение заинтересовало заказчика, тем более, что он запустил свой SOC, в рамках которой работала группа по расследованию инцидентов и Threat Intelligence. От нас оперативно потребовали триальный доступ для тестирования, что мы и сделали. Прошел месяц. На очередной встрече у этого заказчика представитель группы реагирования на инциденты в присутствии большого руководства отчитался о завершении тестировании Investigate и нахождении ряда интересных кейсов. Руководство заинтересовалось и попросило показать систему в действии... И вот тут случился казус. Я с ноутбука зашел в панель аналитика и предложил представителю incident response team показать, что он обнаружил. Но в глазах его я увидел, что он в первый раз видит панель аналитика Investigate. Заподозрив неладное, я хотел спустить дело на тормозах, но большое руководство заказчика потребовало "красивых картинок и схем", за которыми последовал ужасный вывод - выяснилось, что IRT заказчика даже не активировало предоставленный им временный доступ и он, разумеется, уже "протух". Оставлю за рамками произошедший после этого разбор полетов, но меня неприятно поразило отношение некоторых безопасников к своим обязанностям. Чем-то это напомнило Советский Союз с его победными реляциями, отчетами о деятельности для галочки и очковтирательством :-(

Финальным аккордом стали комментарии Михаила Никишина к моей заметке про семинар Gartner, который высказал (да уже и не первый раз) мысль, что в нашей отрасли ИБ вообще нет безопасников (вспоминаем сентябрьский чеклист "настоящий ли ты безопасник?"), а только одни айтишники с их специфическим мышлением и способом решения задач. Не совсем я согласен с Михаилом, но доля истины в его словах есть. Кибербезопасность превратилась в обычную деятельность, как и сотни других профессий. И многие специалисты действительно работают с 10 утра и до 6 вечера, напрочь забывая про ИБ за пределами времени, установленного Трудовым Кодексом.


По сути, большинство "безопасников" действительно погрязли в своей зоне комфорта и выйти из нее зачастую не могут или не хотят. Лет 10 назад я приехал к одному знакомому, руководившему сектором ИБ в одной организации. Мы поговорили о том, о сем, и я предложил ему рассмотреть несколько технологий и решений, которые могли бы помочь ему в озвученных им проблемах. И что же вы думаете? Он отказался, сославшись на то, что его все и так устраивает, а новые решения - это новая головная боль, а ему хотелось бы сидеть на попе ровно и не напрягаться по поводу чего-то нового. Он до сих пор сидит на своей должности, не выходя из зоны комфорта, не занимаясь развитием. Хотя я и встречаю его регулярно на различных ИБ-тусовках, где он задает якобы каверзные вопросы, но в своей практике затем полученные знания никак не использует. Грустно это...

Дмитрий удивляется, почему безопасники не занимаются бизнес-стороной своей деятельности. Я же удивляюсь, почему они не занимаются даже просто новыми технологиями ИБ. NTA, EDR,  UEBA, IAG/IGA, PAM, CASB, SDS, SDP, SOAR, DDP, SIG, RASP, SAT, NFT и др. Нет денег? Не смешите. Бюджеты у многих заказчиков измеряются сотнями миллионов, а то и миллиардами рублей. Они могут себе позволить эти решения и они им зачастую нужны. Но не используют. Потому что надо въезжать во все эти новомодные аббревиатуры, внедрять их, учиться им, объяснять руководству результаты и т.п. А зачем? Нормативка не требует, за инциденты не наказывают, эффективность никого не волнует. "И так сойдет", как говорилось в известном советском мультфильме.


Грустные размышления какие-то получились. Может я не прав? Может жду от безопасников чего-то чего не стоило бы? Фиг знает.

ЗЫ. Оказывается я про это два месяца назад писал, но другими словами :-) Наболело, значит. Ну да ничего. Повторенье - мать ученья.

ЗЗЫ. Дальше вернусь к темеSOCов.
Оцените материал:
Total votes: 1
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Хорошая тема+++++

Коль скоро я был помянут... не могу не прокомметировать:

1. В одном фильме слышал отличную фразу :"Дружба - понятие круглосуточное". Так и безопасность и кто этого не принимает - тот наивный ботаник или как было в ссылках "джинса".7 * 24 * 365 и еще немного - вот график нормальной системы ИЬ.

2. Пример про рапортующих бездельников - хотел бы я посмотреть на хозяина такой компании (того, кто нанял такого шефа по ИБ). Разнос - это плохая характеристика руководителей - не буду дажепояснять....

3. Зря, Алексей, ты ссылаешься на "победные реляции в СССР". Много ты слышал таких рапортов (в области безопасности) до начала 90-х годов? Не стоит ради красного словца искажать реальную ситуацию.

4. Теперь профессиональное. А с какого перепуга ты решил "спустить дело на тормозах" в том случае? Корпоративная жалость поборола профессиональную этику или сработал рефлекс коммерсанта - не потерять заказчика? Пожалел "детенышей", а, между прочим из-за таких позор растягивается на всех - заметил, сейчас тенденция коллективной ответственности невиновных за косяки части мерзавцев.... Жалость дорого обходится. Описанный случай - позор.

5. Про "зону комфорта". Ты сам писал - безопасность работает не с инфой, а с людьми!! Прт таком подходе даже в теории "зоны комфорта" не бывает. А если она появилась - знать чел занят чем угодно, но не ИБ.

А грустно потому, что не те и не тем делом заняты. То, что сейчас называют звучным названием ИБ - по сути таковой не является никак!!! А всем известно с детства :"Как вы судно назовете, так оно и поплывет"!

Приложи усилия к исправлению этой кривизны и станет намного веселее.

up
1 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.