Некоторые мысли о том, почему мне никогда не нравилось заниматься информационной безопасностью и тем не менее я продолжал совершенствовать свои профессиональные навыки именно в этой области.
Выбор жизненного пути и области деятельности конечно не на все 100% определяется нашими желаниями, склонностями и убеждениями. На это оказывает влияние и система и окружение и разнообразные обстоятельства и вызовы, которые нам бросает жизнь. Я, например, никогда не считал информационную безопасность самым интересным и достойным занятием. Даже сейчас, когда вся моя профессиональная деятельность сконцентрирована на этом предмете, у меня остались занятия из разряда хобби, которые я считаю и более интересными и более полезными.
В разное время у меня были неплохие возможности заняться теоретической или практической физикой, программированием, системами исскуственного интеллекта, системами управления данными, спортом и даже искусством. Однако вместо этого я, в конечном итоге, с головой ушел в проблемы защиты информации и занимаюсь последние 11 лет исключительно этим.
Занятие это, само по себе, – вполне достойное. Значение информационной безопасности в современном обществе трудно переоценить, и значение это постоянно повышается. Однако, назвать эту деятельность своим призванием язык не повернется по следующим основным причинам:
1. Безопасность – излюбленный повод для всевозможных спекуляций
Я всегда считал ложь основным человеческим пороком. Если бы люди не умели и не приучались врать, тогда жизнь была бы совсем другой. Жизнь была бы намного лучше. При помощи лжи покрываются все совершаемые преступления, одни люди манипулируют другими, решая за счет других свои проблемы.
Под предлогом обеспечения псевдобезопасности осваиваются бюджеты, ограничиваются свободы, наращиваются вооружения и ведутся войны, разводятся на деньги обыватели, вытаскиваются деньги из бизнеса, устраняются конкуренты и т.п.
Способ действий всегда один и тот же: сначала придумывается более-менее реальная, либо чисто воображаемая угроза, затем вокруг этой угрозы всеми возможными способами нагнетаются страсти, при этом реальных рисков, связанных с этой угрозой никто не оценивает, а затем для защиты от воображаемой угрозы предпринимаются определенные действия, выгодные определенной небольшой группе людей в ущерб большинству других людей.
2. В безопасности больше эмоций, нежели здравого смысла
В отличие от шахмат, где всегда выигрывает тот, кто лучше играет, на рынке безопасности обычно выигрывает тот, кто громче кричит и шире раздвигает пальцы, воздействуя тем самым на эмоциальное восприятие потребителей. Любые неудачи при этом можно списать на вероятностный характер угроз.
В шахматах можно долго и красиво рассуждать о теории, законах, принципах и позиционных преимуществах, а можно вообще ни о чем не рассуждать. Стоит только сесть за доску и все сразу становится на свои места, сразу понятно кто глубже понимает позицию. В этом плане шахматная игра объективна, обмануться в ней невозможно.
В безопасности, в отличие от шахмат, все суждения субъективны и нельзя сесть за доску для того, чтобы выснить на чьей стороне правда.
3. На практике безопасность редко подчиняется законам экономической целесообразности
Для любого государства безопасность всегда важнее экономического благополучия. Поэтому когда дело касается обеспечения информационной безопасности государства, то об экономической целесообразности речь как правило не идет.
Напротив, для бизнеса основными являются соображения экономической целесообразности, однако решения по обеспечению безопасности обычно принимаются не на основе оценки рисков и расчета возврата инвестиций в безопасность, а на основе субъективного мнения экспертов, которым бизнес в данный момент доверяет.
4. Чем больше безопасности, тем меньше свободы
Наибольшая безопасность достигается в карцере, наибольшая свобода – в джунглях. Между этими крайностями огромное количество степеней свободы и люди сами выбирают в какую сторону им двигаться. Двигаясь в сторону большей безопасности, человек органичивает свои степени свободы.
5. Защищать информацию – не самое благое дело. Гораздо приятнее и благороднее делиться информацией
Защита информации – это всегда защита интересов определенных людей, чаще всего, путем сокрытия информации от других людей. Это далеко не всегда способствует увеличению общего количества добра в мире. Вряд ли деятельность по защите информации можно отнести к разряду созидательной.
6. В безопасности очень много клановости, чужаков сюда не пускают
Для того, чтобы заниматься обеспечением информационной безопасности, недостаточно (и зачастую необязательно) хорошо разбираться в этих вопросах, главное иметь “связи”, лицензии, “крышу” и входить в замкнутый круг “своих людей”.
7. Безопасность никогда не может быть первостепенной задачей для бизнеса
Поэтому безопасники не имеют никаких шансов занять первые посты и всегда вынуждены довольствоваться второстепенными ролями. Для государства по другому. Недаром руководителями многих государств часто становятся бывшие руководители силовых ведомств.
8. В безопасности слишком много государственного регулирования
Государство стремиться активно и жестко регулировать вопросы обеспечения информационной безопасности не только в отношении государственных информационных ресурсов, но также и в отношении информационных ресурсов, принадлежащих бизнесу и отдельным гражданам. Такое регулирование практически всегда выливается в необоснованные затраты, подмену реальной безопасности “бумажной безопасностью”, образование “кормушек” и, в конечном итоге, потерю взаимосвязи между требованиями безопасности и реальными потребностями в этой сфере.
9. Безопасники отличаются особым менталитетом, предполагающим повышенный уровень подозрительности
Перечисленные выше факторы обусловили особый менталитет людей, занимающихся безопасностью. Необходимость постоянного поиска компромиса между свободой и безопасностью, эмоциями и зравым смыслом, спекулятивными и объективными методами решения вопросов, формальными требованиями и практической целесообразностью оказывает сильное влияние на характер человека. Не каждого устроят второстепенные позиции, не все легко смиряются с ограничением свободы, не каждый легко пойдет на компромисс с совестью или здравым смыслом. Отсутствие созидательности этой профессии, а также государственный бюрократизм, которого невозможно здесь избежать, также устроят далеко не каждого.
Далее последовало обсуждение на портале ISO27000.RU:
Владимир 21-01-2009 11:25
риспект
сабж
Пенский Виктор 08-02-2009 12:51
Защита информации как призвание
Хоть кто то смелости набрался =)
Пенский Виктор 09-02-2009 08:20
тема
Только мне например нравится заниматься ИБ, только не дают …
Александр Астахов 09-02-2009 08:23
и так тоже бывает
кто же вам не дает? совесть что ли не позволяет?
Пенский Виктор 10-02-2009 11:12
Кризис =)
В декабре нашел место в другой компании и уволился из своей, а в новой компании ввели запрет на прием, в результате остался на улице. Интеграторы по ИБ не берут. А других мест в ИБ, что то не видно.
Атаманов Г.А. 02-04-2009 09:09
информационная безопасность
Сначала уточнение: то, чем Вы занимаетесь – это безопасность информации. Понятие “информационная безопасность”, на самом деле, значительно шире. Далее по пунктам:
1. “Ложь во благо” с точки зрения структурно-функционального подхода – вещь необходимая. Иногда лучше систему дезинформировать, чтобы она не вышла за пределы гомеостаза и “не приказала долго жить”. Гиппократу приписывают гениальную фразу: “На свете нет ни яда, ни противоядия. И тем, и другим все делает доза!”. Так что всегда “резать правду-матку” не есть признак большого ума.
2. Эмоций действительно много, но только потому, что мало (создается впечатление, что вообще нет) здравого смысла в законах и подзаконных актах. Зато невооруженным глазом виден протекционизм и лоббизм.
3. Экономическая целесообразность при наличии такого законодательства исключена: защищать то, не знаю что, от того, не знаю кого (или чего).
Объективно – безопасность исключительно субъективна. Другое дело, меня всегда удивляет поразительная близорукость российских специалистов и ученых, когда речь заходит о безопасности государства. Так, как пишите Вы, дела обстоят только в России. В Швейцарии, Швеции, Дании, даже Японии (у которой, хоть и вынужденно, но почти нет армии) и многие другие так не думают.
4. Если понимать свободу как анархию, то конечно так и есть. Но, несмотря на жесткие ограничительные меры после 11.09.2001, в США по-прежнему больше и свободы и безопасности. И в Швеции, и во всей объединенной Европе… даже в Прибалтике (друг рассказывал).
5. Всякое дело благое, если приносит благо. Защита не только информации – дело благое, а об информации и говорить нечего. Конечно не о всякой и не вообще.
6. Безопасность, настоящая, не ремесло, а искусство и дилетантам и болтунам там действительно не место. Нужно доказать, что ты достоин, а, главное, умеешь хранить чужие тайны. Это не каждому дано.
7. Первостепенная задача в бизнесе, как и в любом деле, – бизнес, т.е. дело. А чтобы бизнес (и бизнесмен) развивались успешно, нужна безопасность и бизнеса и бизнесмена. Кто об этом не думал, того уже и нет (ни бизнеса, ни бизнесмена). Каждый решает задачу обеспечения безопасности в силу своего интеллекта, а он, как известно, есть не у всех (или не у всех одинаков).
8. Про государство – абсолютно верно. Государственный патернализм губит все дело. Государство капиталистическое, а подходы – советские. Частная собственность есть даже на землю, а на информацию – до сих пор нет. Государство указывает что и как нужно защищать. Когда речь идет о государственной тайне – вопросов нет. Но когда о корпоративной или, и тем паче, персональной …
9. 20 лет в Гостехкомиссии, 6 лет в отделе защиты информации на гражданке ни сам, ни мои друзья по службе и работе не стали уж больно подозрительными. Встречаются параноидальные типы, но, по-моему, это скорее исключение, чем правило.
И в заключение: “Созидать” без соблюдения техники безопасности – преступление!
Александр Астахов 02-04-2009 10:43
спасибо за интересный комментарий
Что касается значения термина “информационная безопасность”, то он давно уже трактуется значительно шире, нежели обеспечение определенных свойств информации, таких как конфиденциальность, целостность, доступность или аутентичность (обеспечение безопасности информации). К этой сфере справедливо относят и неотказуемость и подотчетность и информационные воздействия и защиту вообще любых интересов в информационной сфере. Конечно я знаком и с определением этого непростого понятия, данным в Доктрине ИБ РФ, а также с более узкими определениями международных стандартов. Только так ли хорошо вы знакомы с моей деятельностью, чтобы утверждать, что я занимаюсь исключительно вопросами обеспечения безопасности информации?
Я с вами во многом согласен. Остановлюсь лишь на тех пунктах, где я не смог с вами согласиться.
1. “Ложь во спасение (или во влаго)” является одним из основных человеческих соблазнов, производным от соблазна “цель оправдывает средства” (где-то я уже это слышал…). С соблазнами, как известно, следует бороться, ибо они порождают греховные деяния, что “благом” быть никак не может. Всегда “резать правду матку” конечно не требуется. Я согласен с тем, что это не является признаком большого ума. Однако “от большого ума” вводить в заблуждение окружающих, тоже не стоит, даже ради сохрания системы в гомеостазе. А по какой основной причине, если себя не обманывать, система дошла до такого состояния? Надо подсказывать?
4. Я же не говорил, что ограничение свободы, автоматически дает больше безопасности. Если вы сидите не в карцере, а в общей камере, то вряд ли у вас больше безопасности, а свободы при этом не прибавилось. Однако, если вы хотите больше безопасности, то свободу, очевидно, придется ограничивать.
9. Я думаю особый ментилитет у безопасников все же есть, просто вы и ваши коллеги, по понятной причине, этого не замечаете. Но со стороны, как говориться, виднее.
Владимир 03-07-2009 10:18
Ответ
Здравствуйте, Александр.
Вы делаете и обнародуете стратегические выводы («призвание») на основании неполных и временных данных. При всём к Вам уважении, у Вас имеются несколько противоречий, из-за которых Вы недостаточно чётко и широко видите исторический смысл и глобальные перспективы ИБ. Учитывая Ваш авторитет и много правды в тексте, у некоторых русскоязычных профессионалов ИБ могут «опуститься руки», что нецелесообразно. Ответ на Вашу статью зрел у меня с момента её выхода. Вначале я написал его, ответив на многие Ваши вопросы, сомнения и противоречия, затем, чтобы гармонизировать переход, перед своим ответом добавил перечисление комментариев к Вашим причинам, соблюдая Вашу структуру, с учетом комментариев Атаманова Г.А.
1. Если бы не было лжи, не было бы ИБ в её привычном виде. Из неё исчезли бы требования конфиденциальности, подлинности/аутентичности, достоверности и аппелируемости (того, что Вы называете «неотказуемостью»), а также, возможно, блокирования/уничтожения нецелевой информации. То есть, от слона бы не осталось доброй половины, причем передней. В широком смысле ложь – это не только слова, не соответствующие действительности, а любое действие или бездействие, целенаправленно изменяющее информационное состояние объекта с целью изменения его поведения с ощущением собственного решения. Мера «блага» лжи находится в мотивах субъекта и критериях полезности изменения объекта. Оценить данные критерии сложно, но возможно, и это одна из задач ИБ ближайшего будущего. Некоторые люди не испытывают комфорта при виде крови, но это не повод записывать все ножи в орудия греха. То есть, ложь – всего лишь инструмент, как скальпель. Другой вопрос, он в руках маньяка или хирурга. Придет время, когда появятся более совершенные инструменты, чем скальпель и ложь, и необходимость в обоих отпадёт.
2. Отсутствие эмоций не является свидетельством превосходства здравого смысла в шахматах, а говорит всего лишь о жёсткости ограничений в них при управлении фигурами и оценке вариантов развития ситуации. Число вариантов в шахматах конечно, но полной математической модели шахмат у нас нет, компьютер играет в основном благодаря тупому перебору множества вариантов. Расширяя фокус с рынка ИБ на ИБ вообще, мы увидим больше вариантов, чем в шахматах, и менее четкие ограничения, поэтому полная матмодель ИБ невозможна не только практически, но и теоретически. Эмоции ускоряют нахождение и принятие решений при недостатке знаний. Причем не только в ИБ, но и в бизнесе, политике, быту и т. д., а в искусстве вообще являются ключевым фактором. ИБ – это наука или искусство? Вы занимаетесь анализом рисков, поэтому наверняка согласитесь, что это скорее второе, чем первое. Не существует алгоритма анализа рисков, иначе им бы занимались дилетанты. И потом, почему только эмоции? Есть спонтанное принятие правильных решений на основании опыта. Интуицию нельзя формализовать, но она реально работает и наделена другой мерой, чем эмоции.
3. Относительно экономической нецелесообразности ИБ государства. Всё в этом мире подчинено экономической целесообразности. Другой вопрос – чьей. В данном пункте наблюдается представление о государстве как едином субъекте, и о том, что чиновники защищают исключительно интересы своего государства, более того, государства вообще. Допустив обратное, можно прийти к выводу, что смысла нет не только в ИБ, но и в остальных отраслях. Нравственность отдельных представителей определенной социальной прослойки в определенной период времени не может служить причиной, чтобы какая-либо отрасль не была призванием.
4. С первого взгляда, обратная зависимость свободы и безопасности – всего лишь следствие одного из определений свободы как отсутствия препятствий. Но возьмем другую аналогию. Двухлетний ребенок один в квартире и моряк на яхте в море. Кто из них обладает большей свободой и безопасностью? Меры безопасности всегда должны соответствовать степени свободы. Большинство препятствий являются двусторонними, но это не означает, что не нужно повышать их прозрачность со стороны пользователя, то есть, удобство их использования.
5. В целом тут мои мысли и чувства созвучны Вашим, но посмотрим иначе. Делиться информацией – не всегда благое дело. Гораздо мужественнее и дальновиднее защищать информацию. Делиться информацией – это всегда риски: неверной оценки людьми, проблем с её обогащением, развития информации людьми в нежелательном направлении, затопления получателя нежелательным потоком. Это иногда способствует уменьшению общего количества добра в мире. Вряд ли делиться информацией – это созидательная деятельность. Шутка. Просто я инвертировал Ваш пункт, чтобы показать, что истина посередине. Выше я перечислил только некоторые угрозы тотальной открытости информации. Спам даёт нам пока только некоторые, первые, фрагментарные представления о проблемах ИБ будущего. Родственной проблемой является угроза «многабукаф» ;), которая пока ещё не сформулирована в рамках ИБ, но термин, как видно, уже присутствует в Интернете.
6. Клановость не является признаком только ИБ, поэтому также не может служить причиной, чтобы ИБ не была призванием.
7. Безопасники часто мыслят однополюсно. Первому лицу в бизнесе нужно иметь более широкий кругозор. Государственная конкуренция в некоторых случаях сильнее корпоративной, хотя и не так явна. Поэтому безопасник может стать президентом страны.
8. То же, что по п. 6. Приписки характерны для ИТ и ИБ из-за относительной новизны отраслей и будут со временем уменьшаться. Потребности вообще не всегда соответствуют целям. В иерархии «желание – потребность – цель» приоритет имеет цель. Это не значит, что государству виднее, куда идти, но цели государства более объемные и долговременные.
9. Вы ищете компромисс между свободой и безопасностью, в то время как стоит искать меру безопасности, соответствующую данной свободе, что показано мной в п. 5. Найти на отрезке _определенную_ точку труднее, чем _какую-либо_ точку, но это возможно.
Далее. Вы ищете компромисс между эмоциями и здравым смыслом. Как показано мной в п. 2, эмоции и интуиция применяются тогда, когда не хватает входных данных и инструментария, с целью выработки решения в короткие промежутки времени. Это даёт бóльшую погрешность управления, чем рассудок, и это огорчает. Тем не менее, например, при управлении корпоративной ИБ довольно часто любая реакция важнее бездействия. Ошибки компенсируются накоплением опыта.
Далее. Вы ищете компромисс между спекулятивными и объективными методами. Не вижу проблемы. Клиент отказался вникать в формальную методику и её результаты, значит, предоставил определенный кредит доверия. Вы преобразуете величину данного кредита в определенную меру собственного понимания потребностей клиента. Компромисса с совестью тут нет, если есть мера преобразования кредита доверия.
Далее. Отсутствие созидательности? Возможно. Если что-то продавать или ставить птицы в чеклистах. Рекомендую работу CISO в крупной отечественной торговой или промышленной компании, но не в финансовой. Там Вам, как коммунисту, дадут кирпич и скажут «сбей самолет», а Вы переломаете его об свою голову и ответите «собью два!». Говорите, нет творчества? Поработайте корпоративным безопасником там, где сверху не спускаются стандарты и процедуры, а Вы разрабатываете, внедряете и контролируете их сами. Адаптируйте и внедрите с нуля все контролы ISO 27002 или CobiT. Проведите пару слияний и поглощений, организуйте безопасный обмен с контрагентами. Сделайте миграцию разнородного тысячного парка при требованиях непрерывности бизнеса. Сдерживайте эпидемию в продакшн-окружении, когда в течение двух недель нет патча. Расследуйте миллионное мошенничество. Воспитайте безопасников, программистов, администраторов, дизайнеров, бухгалтеров, директоров, учредителей, практикантов и уборщиц. Будьте готовы, что новая неделя принесет новые непредсказуемые задачи и трудоемкие проекты, накладывающиеся на имеющиеся. Будьте готовы управлять проектами, ресурсами, целями и приоритетами. ИБ – это непрерывный бесконечный креатив.
В целом, вывод почти по всем пунктам – недостаёт меры. Иначе говоря, более тонкого различения цветов в радуге, которые не являются белым и чёрным. Более того, их даже не семь, а намного больше. Это важная методология и важный инструментарий безопасника. Теперь по основному телу моего ответа.
Мысли, которые Вы выражаете в Вашей статье, что называется, «витают в воздухе», вступая в противоречие со сложившимися структурами и практиками. Данное противоречие комплексное, социально-психологическое. В частности, оно показывает борьбу души и тела. Если угодно, идеализма и материализма. Это подтверждается тем фактом, что более интересные, чем ИБ, занятия указываются Вами как увлечения, то есть, неосновные. В этом заключается очередное моё с Вами совпадение. При этом я нашёл способ ликвидации данного противоречия путём проектирования принципов ИБ будущего и путём изменения текущего представления о ИБ, поскольку будущее начинается уже сейчас.
Ещё одно совпадение заключается в том, что я также в своё время заинтересовался IT Governance и CobiT, тоже заработал сертификат ISACA, только не CISA, а CISM, что больше соответствовало моему опыту управления корпоративными системами ИБ. При некоторой сакральности своей деятельности, ассоциация ISACA внесла вклад в изменение парадигмы ИБ. В частности, она усовершенствовала интерфейсы между ИТ и бизнесом, увеличив их взаимное проникновение и прозрачность. При этом, для ИТ/ИБ были рамки были приподняты: для повышения эффективности ИТ/ИБ должны знать цели бизнеса и им соответствовать. Как частный случай, ISACA декларирует необходимость ознакомления службы ИБ с защищаемой информацией для повышения адекватности и рентабельности методов и средств защиты. Лично меня такое поднятие уровня ИБ вдохновило. Пойдем дальше. Допустим, что со временем доступ RO расширится до RW, то есть, ИБ будет участвовать в уточнении и формулировании целей бизнеса, оценивая по качеству защищаемой информации качество данных целей и соответствие миссии компании. Представляете?
Одной из моих целей является изменение парадигмы ИБ в свете изменяющихся общественных процессов. Вы чувствуете признаки данных изменений, выражая вышеупомянутое противоречие. Например, сейчас повышается доступность знаний, в (узкой) частности – это прозрачность в бизнесе. Нахожу своевременными эти изменения. Многие движутся в данном направлении, причем, не только в области ИБ, но и других отраслях, в оценке социальной, политической и экономической ситуации, а также в мировоззренческих и идеологических вопросах. Иначе говоря, время сейчас такое, что тайное становится явным. Поэтому и данное письмо является открытым. Надеюсь на поддержку аудитории и коллективное развитие данных мыслей.
Как Вы заметили, ИБ занимается преимущественно защитой государственных и корпоративных интересов. Несмотря на добрый десяток частных целей ИБ, в общем случае, они сводятся к одной глобальной цели – поддержание конкурентного преимущества между несколькими соперниками, будь то страны или компании. Нетрудно понять, что любая конкуренция существует из-за нехватки ресурсов, либо чрезмерного их потребления. При потреблении воздуха нет конкуренции, не считая Японии. Представим будущее ИБ, исходя из допущения, что кризис научит людей потреблять в меру и добывать новую энергию. Допустим, конкуренции, а значит, секретов и ноу-хау не станет. Это не так уж фантастично. Не будем о телепатии, а просто примем во внимание процесс глобализации, то есть, превращения планеты в единую социально-экономическую систему. Некоторые методы и цели глобализации весьма сомнительны, их обсуждение выходит за рамки темы. Как бы то ни было, данный процесс набрал огромную инерцию и ускорение. При нормальных корпоративных отношениях, искренне желая своей компании процветания, коллеги-программисты не скрывают друг от друга свой код, не так ли? Почему бы тогда в рамках глобальной системы идеями open source со временем не проникнуться не только разработчикам ПО, но и создателям любых технологий и интеллектуальных продуктов вообще?
Вернемся к оценке качества целей компании. ISACA декларирует необходимость подчинения целей управления ИТ/ИБ целям компании и законодательству/регуляторам. Причем, есть интересное противоречие – возможный конфликт этих двух групп целей и их приоритет. В одном случае ISACA говорит, что выполнение закона/нормы обязательно, и цели компании должны им подчиняться безоговорочно. В другом случае неявно указано, что невыполнение закона/нормы следует рассматривать всего лишь как очередной риск. Что компания сама принимает решение по обработке риска, оценивая риск санкций из-за невыполнения закона/нормы и сравнивая величину этого риска с уровнем приемлемого риска (аппетитом), либо со стоимостью мероприятий по приведению в соответствие закону/норме. Например, некоторые банки выбирают риск заплатить штраф, чем тратиться на внедрение PCI DSS. Наличие такого противоречия и конфликта целей компании с законом в условиях глобализации само по себе уже интересно и свидетельствует о возможном несоответствии целей компании глобальным целям, не говоря уже о целях государства.
Снова встретилось понятие глобальных целей управления. Глобализация, очевидно, устойчива, следовательно, управляема. В самом деле, если есть управляемый процесс, должны быть его цели, вход, выход, метрики, обратная связь. Бесцельных процессов не бывает, а управлять нельзя тем, что нельзя измерить (кстати, авторы этой «мудрости» всего лишь перефразировали Д. И. Менделеева: «наука начинается с тех пор, как начинают измерять»). Если есть управляемый процесс, значит, есть субъект управления. Если существуют антиглобалисты, значит, должны быть глобалисты. Причем, на текущем этапе это не обязательно одна группа людей. Что если рассмотреть такую функцию ИТ/ИБ, как изучение глобальных целей управления и коррекции корпоративных и государственных целей в соответствии с общедоступными глобальными?
Кстати, о кризисе. В одной из статей есть Ваша оценка кредитно-финансовой системы США. Последние результаты её работы влияют на планету в целом, это очевидно. Если следовать Вашей логике, и провести аналогию планеты с корпорацией, а кризиса – с крупным нарушением ИБ, то в данном случае угрозой является внутренний персонал, а уязвимостью – неадекватная оценка рисков. Как известно, персонал может быть угрозой в случае халатности/некомпетентности, либо в случае умысла/принуждения. Судя по уязвимости, рассматривается первый вариант угрозы. Вопрос. Как самая мощная страна, имея за плечами опыт нескольких кризисов, в том числе, вызванных играми с виртуальными ценностями, имея самых мощных финансистов в мире, смогла снова наступить на те же грабли? Вы сами ответили, интуитивно употребив правильное слово «профукали», вероятно, имея ввиду, что кризис возник неожиданно, сам собой, по объективным причинам. Но из аналогии с шахматами следует, что причины не объективные, что есть игрок умнее, который спроектировал ситуацию, сдав коня (причем «троянского»), чтобы получить ферзя. Настолько жирного, что ради него стоило провести пилотные проекты – все предыдущие кризисы. В самом деле, в аналогии с ИБ разве главным вопросом правоохранительных органов не является мотив, то есть, кому это было выгодно?
Относительно вероятного информационного коллапса в той же статье. Ничего страшного в этом нет, не пугайте нас. Есть люди, которые не заметят исчезновения связи так же, как до сих пор не заметили кризиса. Они живут вдалеке от датацентров, лайтбоксов и прочих светофоров, трудятся физически, имеют крепкое здоровье и отдают кесарю кесарево, а интернету – интернетово. Инвестируйте в них сейчас, и это отобьется при реализации указанного риска. Зря, что ли, Барак Обама огородик себе завел?
Спасибо за выражение мыслей многих безопасников на планете и совпадение с моими собственными мыслями.
Александр Астахов 04-07-2009 10:39
спасибо за ваши возражения
Я прежде всего старался отыскать в вашем ответе «мои противоречия», о которых вы упомянули. Возможно я слишком погряз в этих противоречиях и поэтому в собственном глазу бревна не замечаю.
1. Да, мне не нравятся спекуляции вокруг безопасности, мне не нравится когда деньги на безопасность выбиваются путем запугивания, мне вообще не нравятся «разводы на деньги» в любом виде. Это не мое призвание. В ответ на это я нахожу лишь философские рассуждения о возможной пользе лжи вообще. Мы тратим большую часть своей жизни только на то, чтобы отделить многочисленную ложь от правды. Опираясь на недостоверную информацию делаем неправильные выводы, совершаем ошибки, исправляем их, а нам со всех сторон подбрасывают новую дезинформацию. «Без лжи не было бы ИБ в привычном виде» – что в этом плохого? Без лжи также не было бы государства в его привычном виде, не было бы правоохранительной системы, войн, преступлений и много чего еще в их привычном виде. У меня не было намерения так далеко заходить в своих рассуждениях, т.к. это выходит за рамки тематики данного блога. Да, ложь – это инструмент. У людей, которые много с удовольствием в своих интересах этот инстумент используют, всегда существуют оправдания своим дурным поступкам из области: «по другому нельзя», «стараюсь во благо других или всего мира», «человек слаб», «людям нужно, чтобы их обманывали», а также множество других более изощренных рассуждений. На мой взгляд, все эти рассуждения ничего не стоят, по той простой причине, что вы сами никогда не захотите иметь никаких дел с человеком, который вас обманывает, дурит вам голову и крадет ваше драгоценное время, неважно какая у него мотивация и в чьих интересах он действует.
2. Я не против эмоций, интуиции, искусства, опыта и т.д. не только в ИБ, но и в шахматах и в любом деле. Однако мне не нравиться когда эмоции преобладают над здравым смыслом. Мне непонятно когда важные решения принимаются на интуиции, вместо того чтобы включить голову, подумать и провести более серьезный анализ проблемы. Грустно смотреть на безопасников шарахающихся от одной проблемы к другой, сегодня внедряющих SoX, завтра Cobit, потом ФЗ-152 и т.д., и на их руководство не имеющее представления ни о рисках, которые эти безопасники минимизируют, ни о том каким образом можно контролировать эффективность подобной деятельности.
3. Непонятно с чего вы взяли, что я представляю себе государство как единый субъект и чиновников, защищающих интересы исключительно этого субъекта. Может быть вы несогласны с тем, что безопасность редко подчиняется законам экономической целесообразности и готовы привести достаточное количество примеров вменяемых экономических обоснований расходов на ИБ из своего собственного опыта? Я, имея определенный опыт в данной области, таких обоснований вообще ни разу не встречал.
4. Все известные мне механизмы безопасности так или иначе ограничивают свободный доступ к информации. Чем больше нужно безопасности, тем больше приходится вводить ограничений. Я имел ввиду именно это. Попробуйте придумать ситуацию, в которой нет такой зависимости.
5. Мне больше нравится делиться информацией с людьми, которые в этом нуждаются, нежели заботиться о том, чтобы скрыть информацию от людей, до которых мне нет никакого дела. Какие противоречия вы видите в такой позиции и при чем здесь угрозы спама, неверной оценки информации людьми и т.п.? Количества добра только увеличится, при условии, что предоставляемая информация полезна для людей.
6. Клановость ИБ предполагает определенные правила поведения, которые мне не близки. Для меня, в частности, важнее что вы сами за человек, нежели то, каких людей вы знаете.
Я когда-то работал CISO в крупной промышленной компании. Из этой работы можно сказать и вырос бизнес, которым я сейчас занимаюсь. Творчества было хоть отбавляй, созидательности правда меньше, но пользу компании, надеюсь, я приносил. Однако созидательность и польза – это разные вещи.
Это что касается «моих противоречий», видимо остающихся пока неосознанными мной.
Я признаю определенную полезность деятельности ISACA в области сертификации специалистов, но не больше чем полезность, скажем, сдачи экзамена в ГИБДД и не склонен переоценивать ее значения. Свою сертификация я уже не поддерживаю по той причине, что поддерживается она исключительно членскими взносами. В чем тогда ее ценность? Никакого влияния на мою профессиональную деятельность и на мое восприятие парадигмы ИБ ISACA не оказала, поэтому теоретизирование вокруг тезисов, сформулированных в Cobit или в других документах этой организации, для меня не столь увлекательно.
Относительно изменения парадигмы ИБ в будущем, мне так и не удалось понять в чем же по вашему мнению будет заключаться эта новая парадигма и чем она будет отличаться от нынешней. Мне показалось, что ИБ не является также и вашим призванием. Именно поэтому вы пытаетесь найти в этой деятельности новую парадигму, отличную от классической триады информационной безопасности. Для меня же ИБ – это не философия, а просто работа, которая должна приносить пользу обществу.
Владимир 06-07-2009 03:46
благодарю за гостеприимство
Александр, здравствуйте.
Ранее довольно полно были сформулированы критерии призвания: интересность (польза душе), полезность (польза людям), значительность (величина) и достойность (соответствие величины собственной величине). Под противоречиям я имею ввиду внутренние противоречия – дисгармонию и дискомфорт, которые возникают из-за фактического приоритета двух последних критериев, в то время как гуманный дух Вашего послания декларирует приоритет двух первых.
Было бы хорошо, если бы Вы воспринимали мои мысли как развитие Ваших, а не как возражения. В Вашем первом посте много чувств, которые ранее испытывал и я. Просто зацепило. Вероятно, много людей испытывает те же чувства. Такое информационное состояние не является конструктивным, так как оно содержит неприятие ситуации в отрасли, но не даёт выхода, решения. Более того, оно даёт такую идею, что нужно мириться с таким неприятием, не вникать в его суть и продолжать заниматься «вполне достойным» и значительным, но недостаточно интересным и полезным делом.
Насчет лжи как источника многих бедствий полностью согласен. Думаю, что в следующей цивилизации человечество обязательно учтёт эту ошибку, и прогресс пойдёт другим путём. Но мы живём здесь и сейчас. Мы имеем в качестве исходных данных вышеописанную ситуацию, и призванием может быть уже сама деятельность по её исправлению, а не только нахождение противоречий и ощущение непрерывной дисгармонии.
ИБ, наряду с искусством, историей, PR, религиями и идеологиями, по сути, базируется на понятиях истины и лжи (по наследству от логики и цифровой электроники). Всё это время ИБ была инструментом системы. Но это не означает, что другая система выбросит все эти инструменты из своего арсенала. Просто они изменятся до неузнаваемости, и, вероятно, это произойдет при жизни текущих поколений. Слово «призвание», употребленное Вами, существует именно в масштабе поколения, поэтому именно Ваша статья показалась мне подходящей для развития мысли.
Чтобы не раздувать текст ответа и не злоупотреблять Вашим гостеприимством, не отвечаю не некоторые Ваши вопросы и просьбы. Просто, гораздо интереснее заглянуть подальше в будущее, когда круг проблем изменится. Возможно, Вы также найдете недостающий интерес и полезность ИБ не в трёх геометрических измерениях, а в четвертом. Я не стремлюсь изменить Ваше призвание, но, возможно, кто-то заинтересуется.
Наука идёт впереди технологий, а не наоборот. Помните «дикую» аксиому геометрии Лобачевского о нескольких параллельных прямых через одну точку? Сейчас «значительность» и «достойность» неевклидовых геометрий давно уже никто не отрицает. Я писал о тенденции повышения прозрачности, открытости и уменьшения лжи на планете. Допустим, мы придём к моменту, когда мысль станет общедоступной в момент её появления. Есть и другие допущения в информатике и ИБ, не такие кардинальные, на основе которых можно построить модели ИБ, отличные от текущих. Я нахожу в науке способ ликвидации противоречия, сформулированного вначале.
Процесс повышения прозрачности идёт плавно, мелкими ступенями. Он непрерывно усиляется, сопровождая многие социальные и экономические потрясения. Всё, что я пытаюсь сделать – предопределить проблемы переходного периода и установившегося режима, при этом содействуя данному процессу. Будучи айтишником, я ищу единомышленников среди тех, кто прошел тот же путь. Если народ заинтересуется, я заведу блог на эту тему, а пока благодарю Вас за площадку.
Сергей 28-07-2010 10:50
Спасибо
Спасибо большое. Данный текст и комментарии к нему помогли найти ответ на многие вопросы которые меня интересовали )