19 Декабря, 2013

Тенденция года (2)

InfoWatch
Другая чёткая тенденция уходящего года – перераспределение рисков от реальных к "бумажным". Реальные заражения, взломы и утечки никуда не деваются, убытки от них не снижаются. Но опережающими темпами растут риски, связанные с неисполнением требований регуляторов. А требования эти лишь косвенно затрагивают реальную защиту. В основном требуются документы: сертификаты, аттестаты, лицензии, заключения, приказы, инструкции, акты, справки, договоры, согласия и так далее.
       

Бюрократия так уж устроена. Обычный рядовой расхититель просто крадёт. Убытки от его деятельности – размер украденного или меньше. Побочный ущерб при этом бывает не всегда, а когда бывает, то сопоставим со стоимостью похищенного. Высокопоставленный вор или взяточник, чтобы украсть/отпилить/откатить, должен нанести ущерб в несколько раз больше. На каждый рубль взятки он впустую потратит 2-3 рубля казённых денег. А чиновник из регулирующих органов – самый разрушительный в этом смысле. Чтоб украсть себе 1 рубль, он вынужден заставить подконтрольную отрасль пустить по ветру 10-100 рублей. А в отдельных случаях делает то же самое не ради рубля, а бескорыстно – ради почестей, нематериальных привилегий и карьеры. Таким образом, коррупция в государственном регулировании наиболее тяжела по сравнению с другими видами.

Так вот, наши отраслевые рискидорожают гораздо быстрее с той стороны, которая относится к регуляторам. Видя это, предприниматели начинают меньше тратить на реальную ИБ и больше – на удовлетворение чиновников. Было бы счастьем и многократной экономией, если б вопрос решался банальной взяткой. Но взяток там почти не берут. Заставляют исполнять предписания. А у этого способа коррупционный КПД – считанные проценты.

Перераспределение рисков отражается в перераспределении бюджетов. Для нас, специалистов по ИБ сия тенденция выглядит как изменение должностных требований, отбирание полномочий, оценка работы по иным критериям. Общий бюджет на ИБ обычно растёт. В большинстве предприятий – даже быстрее, чем бюджет на ИТ. Штаты не сокращаются. Технические средства тоже продолжают закупаться. Но это уже не те средства, которые помогают бороться со злохакерами и злоинсайдерами. А те, которые удовлетворяют полученные предписания.