Заметки об экономике практической кибербезопасности. По следам PHDays 10

Заметки об экономике практической кибербезопасности. По следам PHDays 10

«Экономика практической кибербезопасности» – название одного из Круглых столов на конференции PHDays 10. Однако 20-21 мая тема экономики ИБ не замкнулась на этом мероприятии, а была, что называется, сквозной на конференции.

И часто соседствовала с темой о человеческом капитале. Который и редок (по некоторым оценкам, в России не более 150 действительно квалифицированных сотрудников SOC), и дорог (зарплата разработчиков приложений в период т.н. «самоизоляции» выросла раза в два, как было отмечено на пресс-конференции, посвящённой открытому коду и технологиям DevSecOps).

Упомянутый Круглый стол по якобы экономике начался с заявления Владимира Дрюкова (директор Solar JSOC) о том, что «Технологии – это скорее некий ИБ-каркас, но в работе информационная безопасность – все равно история про людей». А Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности группы «Тинькофф», подхватив эту подачу, в который раз отметил, что «в настоящее время специалист про безопасности должен обладать базовыми знаниями в области математики, сетей, операционных систем и так далее. Не хватает тех, кто понимает, как устроены сетевые протоколы, операционные системы и другие базовые вещи». А вот «тыкать кнопки в ArcSight можно научить довольно быстро».

Мероприятий на конференции было много, экспертов на порядок больше, чем мероприятий, и все они, естественно, не договаривались и не согласовывали своё видение разных сторон современного «кибербеза» России. В связи с этим разные экспертные оценки в их синергетическом единстве давали обильную пищу для размышлений и повышения градуса тревожности за безопасность будущего цифровой страны и цифрового мира.

Например, что может прийти в голову при сопоставлении упомянутого выше числа 150 и данных о численности персонала лишь в нескольких центрах киберзащиты крупнейших компаний: в «Сбере» трудится около 400 человек, в «ВымпелКоме» около 40, в НЛМК порядка 60 человек?

Каков уровень подготовки этих специалистов?

А надо же закрывать кадровые потребности как минимум ещё нескольких, а в перспективе более десятка центров мониторинга и реагирования на киберинциденты, работающих в режиме предоставления услуг.

Ведь, как отметил один из руководителей управления крупной компании, «сегодня, если у тебя «зоопарк» различного оборудования, то лучше обратиться к MSSP».

И министр цифрового развития в своих комментариях на Круглом столе «Реальность российского кибербеза» отметил, что перспективы информационной безопасности работы госструктур – в использовании услуг внешних SOCов, что позволит эффективно распорядиться бюджетами на практическую ИБ в условиях дефицита кадровых ресурсов и высоких запросов имеющихся кадров по части зарплат.

Но если государство и богатые компании, чей профиль не описывается ИТ&ИБ кодами ОКВЭД, могут позволить себе рассчитывать на сторонние человеческие компетенции в сфере кибербеза, то частные ИТ&ИБ компании должны непрерывно растить квалифицированные кадры, в том числе и для повышения своей рыночной капитализации и инвестиционной привлекательности.

Инвест-банкир Евгений Коган, делясь в кулуарах своими соображениями на тему инвестирования компаний из сферы кибербеза отметил, что «в случае с ИБ, капиталом являются прежде всего люди. А сегодня ценность человеческого капитала, мозгов сильно растёт». Эти соображения были высказаны инвест-банкиром при представлении им приёмов оценки инвестиционной привлекательности ИБ-компаний, выходящих, как оказалось, далеко за рамки анализа сухих финансо-экономических метрик.

В контексте анализа экономических основ финансирования ИБ-департаментов и служб конкретных предприятий, уместно отметить, что на Круглом столе «А нас спросили?» были совершены поползновения к раскачиванию базового принципа определения объёмов денежных вливаний на основе оценки рисков.

Основных предпосылок к покушению на основы было две.

Во-первых, декларативность возможности перевода словесных описаний рисков в денежный эквивалент. И, во-вторых, осознание того, не каждый риск принципиально может быть оценен в рублях (речь может идти, например, о потере бизнеса или о неприемлемом ущербе для людей и/или государства).

Не все поддержали атаку на принципы риск-менеджмента, уже упоминавшийся Дмитрий Гадарь привёл ряд жизненных примеров, когда привычный подход работает. Но важно, что процесс пошёл. Тем более, если вспомнить о лозунге «Неприемлемое должно стать невозможным», предложенном Positive Technologies в качестве основополагающего принципа обеспечения ИБ на нынешнем этапе развития угроз, о лозунге, поддержанном в первый же день работы PHDays 10 компаниями Innostage и Инфосистемы Джет.