Моя колонка редактора в !БДИ20

Аватар пользователя Sedov
Автор: Седов Олег, главный редактор BISA

Винтажный стыд

По моему мнению, два громких эпизода 2017 года связанные с шифровальщиками WannaCry и Petya стали Мегастыдом для отрасли. Вопросов бы никаких не было, если бы дело касалось нашествия инопланетян или происков иностранных спецслужб. Но последствия от вредоносов, которые эксплуатировали винтажные сценарии и уязвимости это иначе, как позором всей отрасли ИБ назвать нельзя. Реакция на эти события известных брендов только усилила ощущение стыда. Когда взрослые авторитеты рынка стыдливо прячут взгляд и как дети врут про то что у них все было хорошо и их эта проблема не коснулась… Не надо быть супер экспертом, чтобы понять, что это не так. Достаточно просто зайти на сайт компании и понять, что у них что-то не так. А кроме того, конкуренты мгновенно начинали использовать инциденты ИБ в своих интересах «…наша продукция дороже, но в отличие от ваших постоянных поставщиков мы можем ее вам доставить…».

Впрочем, у этих эпизодов были, как минимум, две положительных стороны. Во-первых, бизнесу теперь не надо ничего рассказывать про риски Информационной Безопасности. Если не пример собственных потерь, то истории партнеров или конкурентов лучшее доказательство актуальности темы. Это вам не статистика угроз от мировых аналитиков, которая воспринимается как что-то из чужой жизни. Это гораздо ближе, а значит теперь в это верят, и в доказательствах эта тема не нуждается. Во-вторых, любовь отрасли к «бумажной» безопасности, которую любят красиво называть Compliance, была подорвана чередой увольнений руководителей служб ИБ, как ответственных за то, что винтажная уязвимость парализовала бизнес. Можно было обложиться бумажками и сертификатами безопасности, но упомянутые шифровальщики их видимо не читали, а потому смогли достичь своей цели.

С другой стороны проблема информационной безопасности моментально вышла за пределы корпоративного периметра и потребовала пересмотра отношений с партнерами, вендорами и регуляторами. Сейчас когда звучит призыв «давайте с киберзлом бороться вместе», сомнениям его никто не подвергает, так как никто  не может противостоять этому злу в изоляции. Но если мы боремся вместе, то и ответственность за инцидент нужно нести вместе, а не возлагать ее на пострадавшую сторону.

Однако вопрос ответственности он следует после проблемы доверия. А с этим у нас беда. Кто-то слышал, про историю, когда зашифрованную базу данных передали экспертам регуляторов, чтобы они сняли с нее проклятье шифровальщиков? Ни одного эпизода! Ни одного! На мой наивный вопрос «почему?», ответ был прост как сами винтажные сценарии «а вдруг они себе ее скопируют, а потом к нам придут с проверкой».

В конце года мне довелось стать участником множества опросов и анкет в которых непременно был вопрос «какие ИБ-темы вам интересны в следующем году?». Ну что можно сказать? Маркетологи могут быть довольны. Все тренды, которые они в течении года вливали в головы рынку нашли свое отражение в интересах аудитории. Практически ничто не забыто и не оставлено без внимания. Но ни в одной анкете я не видел интереса к задачам поднятия престижа, авторитета и PR-политики службы ИБ. А это значит (дальше как в прогнозе бульварного гороскопа), тем чья карьера не сильно пострадала в результате винтажных атак следует ожидать повторения инцидентов и усиления чувства стыда.

Оцените материал:
Total votes: 246
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

1. "Кривизна" все отчетливее проступает. Безумие в том, что ответственность за атаку должна лежать на ИТ, а не на ИБ!!! Обычный прием - переложить ответственность за свои проколы на других (так поступают ИТ-ки и преуспевают в этом). А бизнесу плевать кто берется и за что отвечать. Навешали на ИБ (сделали их крайними), а те и молчат... За неыежество и трусость всегда будут расплачиваться!!! Мне искренне жаль пострадавших от ИБ, и, не жаль одновременно! Не жать, потому, что они не смогли объяснить бизнесу чем должны заниматься люди из ИБ (стоит делать то, что нужно и не тянуть на себя непрофильные функции), где чья ответственность и почему. В этом смысле поделом....

2. Прикольно про то, что шифровальщики не читали сертификаты:-))))) Зачет...

up
9 users have voted.
Аватар пользователя Sedov

Миша, ты сейчас коснулся очень больной для меня темы. Темы «несчастных случаев» на моих мероприятиях. Это было в ноябре, когда мы замутили встречу с экспертами в формате BIS Café. Олин из участников наехал на персонал из СБ, признав из ментовские компетенции не соответствующими соврменной цифровой действительности. Я его поддержал, вспомним свою тему двух летней давности «Полковник никому не нужен». Оказывается в зале были сотрудники из СБ, которые решили отмолчаться и уйти обиженными. Как таких «бойцов» не сделать крайними в условиях корпоративной раздробленности? А еще я не понимаю, как они на ковре у руководства отстаивают свои интересы и аргументируют? Или они тоже уходят «обиженными»?

Это значит, что сценарии для стыда будут повторяться, пока профессионалы не станут профессионалами во всех необходимых им плоскостях.

up
7 users have voted.
Аватар пользователя riskmn

Олег, привет!

Жаль меня не было на этой встречи. Посмотрел как бы этот участник-"обличитель" сам отвертелся бы от встречных претензий.

Ты поймии, на ваших тусовках есть всегда сотрудники СБ. Причем, они туда приходят с позитивными ожиданиями, а не с негативом. А вот уходят - всегда - с негативом. Почему - ваши тусовки на них не расчитаны. "Птичий язык" ИТ - просто никто не утруждает себя переводом для "обычных людей"!!! Темы поднимаются однобокие - это некоторая вырожденная ИБ((((  Да и скрытая неприязнь ко всей сфере СБ у Ит-ков уже на уровне рефлекса....

"Ряженные эксперты" от ИБ (выходцы из ИТ) не делают это (понятным разговор) и делают это (отстраняются от "чужих") специально - некий "корпоративный сговор" - защита своей "песочницы". Это все совсем тема отдельная...

Ответы на твои вопросы:

1. "Как таких «бойцов» не сделать крайними в условиях корпоративной раздробленности"?

Ответ: Очень просто. Им надо дать возможность нау4чится (адаптироваться) к особенностям бизнес-структур. Организуй в рамках своих работ тусовку для сотрудников СБ - не ИТ-ков, которые "вляпались" в ИБ и не знают как выжить.... Такого не слышал, чтобы делали...

2. "А еще я не понимаю, как они на ковре у руководства отстаивают свои интересы и аргументируют"?

Ответ: Они свои интересы отстаивают очень просто. Задвигают то, что не понимают подальше и не беспокоятся. Вот потому и ИБ в загоне практически у всех(((

3. "Или они тоже уходят «обиженными»"?

Ответ: Это зависит от "мощности" шефа по ИБ, его позционировании в СБ, личных качеств, связей и умением всем этим пользоваться. По шкале компетенций ИБ это должен быть Мастер 10 уровня. Чем уровень ниже, тем проблем больше.

up
11 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.