Сапожник без сапог

Сапожник без сапог
Когда компании, работающие  в сфере информационной безопасности, сами становятся фигурантами сообщений об утечках информации из них, это вызывает у публики едва ли не восторг (ещё бы, все любят смотреть, как кто-то поскользнулся на банановой кожуре). С другой стороны, зачастую такая информация оказывается просто "уткой". Недавно появились сведения о том, что исходный код одного из продуктов украли у компании Symantec - одного из мировых лидеров отрасли.
Индусы, кстати, в последнее время вообще активизировались по всем направлениям, причем не только в ИБ, но буквально во всём. Недавно даже наш минский офис имел возможность лицезреть некоторых высокопоставленных индийских чиновников буквально на расстоянии вытянутой руки. Но, впрочем, речь не о них, и даже не совсем о Symantec. Речь о ситуации "сапожник без сапог" в сфере информационной безопасности.
К сожалению, нет никакой детальной статистики, да и собрать её вряд ли принципиально возможно, но мне лично думается, что такая ситуация далеко не редкость. Ведь что такое среднестатистическая софтверная компания, пусть даже и выпускающая продукт в сфере информационной безопасности? Это суть производственное предприятие - не банк, не страховая компания, где процессы в сфере ИБ налажены и сертифицированы. Софтверные компании и у нас, и у вероятного противника обычно основываются программистами, которые знают техническую область лучше, чем предметную. Поэтому даже если компания производит файрволы или, скажем, антиспамы, это вовсе не означает, что у каждого из её сотрудников на рабочем месте стоит этот продукт - более того, с высокой долей вероятности можно утверждать, что уж им-то они как раз и не пользуются, предпочитая те продукты, о слабых местах которых им известно меньше, и, соответственно, которые можно хотя бы априори считать менее "кривыми".
Конечно, с Symantec ситуация несколько другая, да и пока даже толком не ясно, произошла утечка, или все-таки нет. И если произошла, то вряд ли по их вине. Тем не менее, механизм, описанный выше, работает в некоторых компаниях, разрабатывающих продукты в сфере ИБ (нет, не угадали, не у нас, но мы такое видели у клиентов).
Р. Идов,
аналитик компании SearchInform
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.