4 Марта, 2013

Писателям сплойтов посвящается...

Алексей Лукацкий
В последнее время очень много говорится об ответственности бизнеса за надежность своей ИТ-инфраструктуры и ее безопасность. Мол, найдена уязвимость на сайте, надо срочно устранять, а то ай-яй-яй, какие последствия наступят! КАКИЕ? Это первый вопрос, который задает бизнес. При это любые глубокомысленные заявления о репутации, о серьезности ущерба, о важности последствий, фразы "ну вы же все понимаете" ни к чему не приводят. Бизнес не понимает. Не потому, что он дурак, а потому что он понимает только вопрос денег (утрирую немножко, конечно). Покажите, во сколько выльется мне наличие дыры на сайте? В деньгах покажите! Нет прямого ущерба? Покажите косвенный. Не можете посчитать? Тогда идите и учите, как считать, не отнимайте время. Но как же?.. А риски... Риски? Какие риски? У бизнеса есть более значимые риски, чем уязвимость на сайте с отсутствующим ущербом (если не посчитан, значит отсутствует). Валютные риски, риски ликвидности, рычночные риски, страновые риски, инфляционные риски, процентные риски, кредитные и оборотные риски... Операционные риски и их подмножество - риски информационной безопасности - в бизнесе занимают не такое важное место, как об этом думают (если вообще думают) безопасники.

Потом искатели дыр на сайте начинают ныть о том, что их не ценят и они никому не нужны. Выходов отсюда два. Либо безопасник-технарь понимает ограниченность своего взгляда на мир и меняет его, начиная воспринимать гораздо большую палитру красок в мире ИБ. Либо безопасник-технарь решается продемонстрировать на практике реальность своих заявлений о серьезности последствий от использования уязвимости на сайте. В лучшем случае его прогоняют вон; в худшем - он идет по этапу (и возможно даже не по 272-й статье). Отдельные феномены умудряются всю жизнь прожить с мнением, что их никто не понимает и не ценит, а уж они-то самые крутые в мире безопасники. Правда, с этим своим мнением они никому не нужны - семьи у них обычно не бывает, работу они либо не имеют, либо меняют слишком часто из-за своей неуживчивости. В России это может закончиться традиционно - алкоголизм или наркомания. Но вернемся к ответственности бизнеса.

Допустим безопасник-технарь совершил чудо и смог продемонстрировать ущерб от дыры на сайте в деньгах. Допустим он выбрал правильную методику, понятную бизнесу и принятую им. Допустим. Но возникает вторая часть утверждения "ай-яй-яй, какие последствия наступят". Речь идет о слове "наступят". Коль скоро мы говорим об угрозах или рисках, то одним из элементов этих понятий (помимо последствий или ущерба) является вероятность. Бизнес хочет видеть вероятность реализации риска использования уязвимости на сайте. А ее нет! В принципе нет! Точнее есть какие-нибудь отчеты E&Y, KPMG, CSI, OWASP; в них приводится статистика по использованию уязвимостей. Но это как средняя температура по больнице. Любой бизнес спросит: "А я-то тут причем? Почему у меня должна быть такая же вероятность? Может быть у меня и вовсе такого риска не наступит?" И ответить тут будет нечего - потому что мало кто тратит время на нормальный подсчет значения вероятности. Хотя методов немало .

К счастью, вероятность наступления негативного события хоть и важна, но не так, как размер ущерба, т.е. то, с чего я начал пост. И хотя в теории считается, что знать вероятность и размер ущерба одинаково важно, на практике это не так. Даниил Бернулли в 1738 году опубликовал в "Комментариях Санкт-Петербургской Академии" описание так называемого метода полезности денег (он же Санкт-Петербургский парадокс) согласно которому в процессе принятия решения люди уделяют больше внимания размеру последствий разных исходов, нежели их вероятности. Т.е. мы вновь возвращаемся к оценке последствий в терминах, понятных бизнесу, т.е. деньгах.

Кто-то говорит, что управление рисками - это фуфло. Кто-то активно продвигает эту тему. Я уже не раз высказывал свое мнение по этому вопросу ( интересная дискуссия  от 2008-го года на эту тему). Если при оценке рисков эксперты оперируют качественным показателями, то это профанация. Если применяются соответствующие методы , основанные на правильных моделях и исходных данных, то оценка рисков имеет право на жизнь. Правда, для этого, как говорил Эйнштейн, надо подняться над уровнем, на котором возникла проблема. Надо оперировать финансовыми показателями и финансовыми моделями - тогда и оценка рисков будет адекватной.

Резюмировать можно просто: ПОКАЖИ ДЕНЬГИ, прежде чем обвинять бизнес в тупости и непонимании безопасности. Бизнес также считает тупым безопасника, который не понимает потребностей бизнес и не умеет с ним разговаривать на понятном бизнесу языке. В конце концов, именно бизнес платит зарплату или оплачивает договора. Стоит иногда прислушиваться к мнению бизнеса, а не тупо навязывать свое.

ЗЫ. Как показывает дискуссия в Twitter демонстрация value (в деньгах) пока не находит понимания у безопасников-технарей. Разрыв сохраняется. Безопасность остается в загоне.

ЗЗЫ. Вот еще одно доказательство  тем, кто считает, что взлом компании (очень громкий взлом) как-то влияет на бизнес. Кстати, руководитель безопасности этой компании был назван CSO года ;-)
или введите имя

CAPTCHA
4 Марта, 2013
По теме.
Алексей, Вы описали старую пословицу и даже не одну. 1. Пока гром не грянет мужик не перекрестится. 2. Пока жареный петух не клюнет... и тому подобное. ИБ в загоне именно по этим причинам. Сгорел модем, сервер?? О, да, конечно только тогда мы задумаеся о резервер, подменном фонде, о сотруднике который об этом позаботится во время и позаботится о переключении без потерь данных. На своём опыте видел стандартную ситуацию: ломается БД, нарушение целостности и все сотрудники (все, начиная с бухгалтеров, потому что ввести данных то не пару сотен записей) с бумажных копий восстанавливают БД. И так бывает и раз и два раз и более. Ну что тут сделаешь???
0 |
  • Поделиться
  • Ссылка
4 Марта, 2013
По теме 2
Ситуация в техногенной безопасности аналогичная между прочим. Если кто не замечает поясню. Когда у нас начали устанавливает пожарную сигнализацию? когда сгорела школа. Когда у нас стали проверять длиннопролетные сооружения? когда обвалился первый спортзал школы. Когда у нас стали делать берегоукрепительные работы? когда смыло деревню. Ну куча примеров! Куча!
0 |
  • Поделиться
  • Ссылка
4 Марта, 2013
Если хозяева бизнеса - китайцы, знающие только родной язык, то общаться с бизнесом на понятном ему языке, действительно сложно, и нужен специальный человек. Если же они знают русский или английский, то я как технический специалист (что, судя по блогам, снижает IQ как минимум вдвое, а навыки общения вообще до нуля), не в состоянии понять, в чем, собственно, проблема.
0 |
  • Поделиться
  • Ссылка
4 Марта, 2013
Я как это не странно гуманитарий "Экономика и управление", "менеджмент". И вопрос очень даже понятен, действительно не проучившись на таком направлении тяжело что то объяснить. Безопасник должен знать экономику вопроса, он тоже рабочий, исполнитель, надо уметь рекламировать свои услуги. Ущерб можно посчитать, для этого проводят пентесты, забираются в защищенный сегмент сети и достают секретные документы, у которых уже есть цена (конкуренты).
0 |
  • Поделиться
  • Ссылка