BIS Journal №4(35)/2019

21 января, 2020

Бритва Оккама и ИБ

Дежурный тезис ИБ-евангелистов в последние год-два – утверждение о том, что отрасль ИБ должна черпать свои кадровые резервы из сферы ИТ, а путь специализированного ИБ-образования – путь ложный. Удивительно, однако, что эта истина часто подаётся как откровение. Ведь подобный подход соответствует и здравому смыслу, и традициям инженерной культуры.

 

ИСТОРИЧЕСКИЙ ЭКСКУРС

Продукты ИТ – данные, информация, знания (далее ИНФОРМАЦИЯ) – появился намного раньше, чем ИТ в их нынешнем «цифровом» виде.

И уже работа с ИНФОРМАЦИЕЙ в «аналоговом» виде (на бумаге и фото-, видео- и аудиоплёнках), потребовала для обеспечения ИБ помимо использования приёмов физической безопасности для поддержания должных уровней конфиденциальности и целостности (замки на дверях, сейфы и т.п.) создания целого пласта культуры соблюдения целостности и доступности («аналоговое» администрирование документооборота и архивирования); конфиденциальности (соблюдения режимов служебной и государственной тайны).

Но создание культуры «аналоговой» ИБ обошлось, выражаясь современным языком, без «хайпа» вокруг специализированных образовательных и проф. стандартов.

Носителями «аналоговой» культуры ИБ внашей стране, например, были архивариусы и библиотекари, кадровики и сотрудники Первых отделов. В основе их работы лежали как технологии (административные и технические), так и черты характера – добросовестность, аккуратность, внимательность, честность и преданность Родине (особенно в случаях гостайны). Надлежащий уровень фундаментального образования и общей культуры вкупе с определённым психологическим складом позволял этим людям добросовестно выполнять инструкции, за строками которых фактически стояли метрики целостности-доступности-конфиденциальности.

И задолго до цифровой эпохи сформировались три эшелона защиты ИНФОРМАЦИИ, существующие и поныне: оргмероприятия по классификации уровней доступа к информации; развитие у людей, работающих с информацией, чувства ответственности и понимания своей роли в системе ИБ; учёт юридических аспектов при работе с ИНФОРМАЦИЕЙ.

Но в чем тогда причина появления «профстандартов» и специальных программ обучения для сферы ИБ эпохи цифровых ИТ? Похоже, что в появлении специфической сложной технической инфраструктуры для работы с ИНФОРМАЦИЕЙ.

Да, инфраструктура новая. Но базовые принципы обеспечения ИБ не изменились! Их только необходимо адаптировать к новой ИКТ-реальности и контролировать надлежащее исполнение этих принципов в новой ИКТ-инфраструктуре. И кто, как не специалисты в сфере ИКТ, в первую очередь могут сделать это наилучшим образом! Если, конечно, не загонять их образование в узкие рамки «компетенций» бережливого болонского образования, а работу системы кибербезопасности не заменять «покером» риск-менеджмента, ломающего традиционные представления об инженерной культуре.

 

ИСТОЧНИКИ ЦИФРОВЫХ УГРОЗ ИБ

Пришедшие на смену «аналоговым» цифровые ИТ – это сложная техника, в которой манипуляции с ИНФОРМАЦИЕЙ скрыты от человеческого взора, а работа самой техники описывается такими характеристиками, как вероятность отказа, среднее время наработки на отказ, требования к условиям окружающей среды, требования к электропитанию и т.п. Сложность «железа» сама по себе – это уже фактор негативного влияния на метрики ИБ.

Далее, цифровая техника ИТ – это, как правило, программируемое оборудование. Программное обеспечение ИТ – также источник негативного влияния на метрики ИБ. Причинами проблем может быть некорректный алгоритм работы с ИНФОРМАЦИЕЙ, некорректная реализация корректного алгоритма, некорректная работа вполне корректной программы вследствие сбоя в питании «железа» и т.д. и т.п.

Сложная цифровая техника стала широко внедряться в специфических рыночных условиях, которые и поныне характеризуются глобализацией рынков и, как следствие, конфликтами технического мультикультурализма и общим падением культуры технических разработок в угоду таким требованиям бизнеса, как «бухгалтерская» эффективность и скорость выхода на рынок.

Внешние проявления этих конфликтов – снижение качества разработок (для «боевой» эксплуатации предлагаются продукты, фактически не прошедшие стадию опытной эксплуатации), снижение качества документации (в части полноты и актуальности) и техподдержки (языковые барьеры, перекладывание поддержки на региональные представительства, укомплектованные «ускоренно сертифицированными» специалистами). ПО до сих пор предлагается фактически на условиях согласия пользователя не предъявлять претензий к производителю в обмен на «своевременную» установку «заплаток».

При этом соблюдение «бухгалтерской» эффективности заставляет массу потребителей использовать в своей ИТ-инфраструктуре так называемые COTS-продукты и технологии. COTS – это англоязычная аббревиатура, обозначающая «коммерческие, с полки» предложения. Т.е. не разработанные под конкретные потребности заказчика, а отвечающие усреднённым требованиям. Среди проблем эксплуатации такого оборудования и ПО – повышенная вероятность ошибок, как следствие огрехов технической документации и низкой квалификации персонала, так и функциональных особенностей, выявленных лишь на этапе «боевой» эксплуатации.

Таким образом, в ходе начавшейся цифровизации ИТ возникли принципиально новые источники нарушения целостности и доступности ИНФОРМАЦИИ вследствие:

  • объективной технической сложности и новизны цифровых ИТ вкупе с субъективной природой недостатков большинства ИТ-разработок, прикрываемых флёром ссылок на технологии tick-tock, Copy Exactly!, Agile, Waterfall и подобные;
  • необоснованной поспешности в проведении цифровой трансформации бизнеса в условиях объективного дефицита квалифицированных кадров, в том числе и ИТ-кадров.

 

«БУМАЖНАЯ» ИБ ЭПОХИ «БОЛЬШОГО ХАПКА»

Цифровая трансформация на этапе второго пришествия капитализма в Россию была и данью моде, и попыткой минимизировать влияние человеческого фактора на то, что теперь известно, как «бизнес по-русски». В контексте же нашей темы следует отметить, что особенностью очередного прихода капитализма в России стал кадровый состав бизнеса, его специфическая психология и квалификация «лиц, принимающих решения» и лиц, эти решения исполняющих. При этом изменились взгляды на ценность и структуру разного рода ИНФОРМАЦИИ. Вспомним принципиально новые понятия «чёрной» и «белой» бухгалтерии, клиентские базы данных, получившие фактически гриф «Секретно» и т.п.

Бороться с новыми угрозами для ИНФОРМАЦИИ в эпоху «приходящих сисадминов» и серверов с висящими «соплями» кабелей стали в первую очередь «бумажными» мерами – регламентами, инструкциями, политиками и проверками исполнения этой «нормативки». Что было не лишено смысла, ибо иных способов воздействия на ситуацию на тот момент просто не было:

  • отсутствовали инструменты для влияния на технологии ИТ и техническую политику формирования ИТ-инфраструктуры;
  • «логистика» вороватой экономики предлагала и без того «сырое» ИТ-оборудование фактически без квалифицированной технической поддержки.

«Бумажные» технологии ИБ позволили не только «латать дыры» угроз ИБ «по месту», но и сформировали, в конце концов, фундамент нынешней нормативной базы в сфере ИБ, а также элементы «общей гигиены» ИБ в виде технологий и регламентов резервного копирования, обеспечения бесперебойного питания, резервирования критических элементов ИТ-инфраструктуры и т.п.

 

ИТ В ИБ

Кроме угроз ИБ, связанных с качеством «волатильной» ИТ-инфраструктуры на основе COTS-технологий и качеством её «школярской» эксплуатации и техподдержки в обособленных офисах, ситуация с ИБ стала раскачиваться в 21 веке из-за выхода цифровой трансформации на активный этап – формируется Интернет-экономика и соответственно возникают киберугрозы со стороны Всемирной Паутины.

Наиболее яркие моменты провалов в сфере ИБ по этой причине регулярно освещаются в деловых СМИ и инженерном «глянце». Поэтому имеет смысл обратить внимание лишь на то, что ныне инструментарий для кибератак всё чаще предлагается в «коробочном» варианте – сложились подходы к технической поддержке этого нового класса COTS-продуктов. Это, безусловно, огромная угроза для ИБ.

С началом активного внедрения Интернета в экономику совпало и появление «ИБ-специальностей» в программах вузов. Это было «в тренде» и потому стало одним из «плюсов» в конкурентной борьбе вузов.

Однако подобная отстройка ИБ от ИТ более чем сомнительна, ведь за каждой ИБ-угрозой стоит конкретный просчёт в ИТ-разработке и/или недостатки в эксплуатации ИТ-инфраструктуры. Даже негативное влияние на ИБ «человеческого фактора» можно демпфировать инженерно-административными методами «айтишной» природы.

«Светлой» стороной ситуации стало то обстоятельство, что становление хакерства способствовало приходу на рынок ИБ специализированных компаний, в штате которых значительную часть составляли «айтишники» – специалисты профессионально и системно знающие и исследующие ПО (операционные системы, инструментарий разработчиков приложений, популярные приложения классов COTS и OpenSource, специализированный инструментарий хакеров) и (реже) аппаратные платформы ИТ.

 

COPY EXACTLY!

Тут уместно напомнить, что цифровые информационные технологии – это не единственная область техники, которая озабочена безопасностью своих продуктов и работы с ними, надёжностью своей инфраструктуры. И метрики безопасности вне ИТ до смешения похожи на те, которые стали привычными в ИБ.

Например, строительство или транспорт, имеющие гораздо более «древнюю» историю, нежели ИТ, также обладают опытом и технологиями для успешного управления процессами для поддержания всей своей «кухни» в надлежащем состоянии («целостность») для её бесперебойной работы («доступность»/с «точностью» до погодных условий и факторов непреодолимой силы), а также обеспечения квалифицированного допуска персонала к производству работ или управления объектами («конфиденциальность»).

Для этого в строительстве и на транспорте выстроены чёткие вертикали и горизонтали управления безопасностью (в нынешней России – с некоторыми особенностями, которые следует отнести на счёт факторов пока ещё непреодолимой силы). Эти вертикали и горизонтали комплектуются специалистами с разными функциональными обязанностями (руководители, инспекторы-контролёры, аналитики, врачи, метрологи и прочие). Однако при этом в системе подготовки кадров нет специальных образовательных и «проф»стандартов для специалистов, занимающихся «Безопасностью».

Имеющийся и нарабатываемый опыт работы, знание и выполнение требований актуальных законов и нормативной документации вкупе с системной базовой образовательной подготовкой, профессиональные «лифты» и разумная ротация кадров – вот залог успешной работы людей в системе обеспечения безопасности в сфере техники и технологий. Безопасность в значительной степени не результат воплощения в жизнь специализированных теоретических исследований (хотя и этому есть место), а накапливаемый и осмысливаемый опыт, а также здравый смысл, базирующийся на образовании и снова на опыте.

И это справедливо не только для авиации с космонавтикой, но и для ИБ эры цифровых ИТ. Вполне логично формировать кадры ИБ эры цифровых ИТ (обозначим их «нестандартной» аббревиатурой ИБ&ИТ) из «культурных айтишников», сложный ИТ-образовательный фундамент которых дополнен представлениями об «общечеловеческих ИБ-ценностях», к которым относятся (1) классификация информации; (2) «социальная инженерия»; (3) «культура» НТД&НПД.

То, что «классический айтишник» вполне успешно способен впитать эти дополнительные культурные ценности свидетельствует опыт «Лаборатории Касперского», Positive Technology, InfoWatch, Qrator Labs идр. Созданные в массе своей «железными» и «софтверными» айтишниками эти компании обладают и компетенциями в «бумажной» ИБ, часто выступая в качестве соавторов или экспертов при разработке нормативно-технической документации в сфере ИБ.

Совместная работа специализированных ИБ & ИТ-компаний и «бумажных ибэшников» из отраслевых и госрегуляторов, а также выросшая культура «чистых» ИТ-компаний, предлагающих рынку аппаратно-программные платформы и отдельные «хардверные» и «софтверные» ИТ-продукты со встроенными технологиями ИБ-защит (например, SE Linux, сопроцессоры криптографической защиты информации и т.п.), позволяют сегодня говорить о возможности и необходимости создания ИТ с «врождённым ИБ-иммунитетом».При этом складывается понимание того, что ИТ – это та сфера, откуда службы ИБ должны черпать свои основные кадровые силы. Что весьма логично вытекает из предыдущего опыта развития техники.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных