Security Lab

Мухи и котлеты

Мухи и котлеты
В прошлый раз я выступал с невысокого и трухлявого пенька гражданина РФ, коим по великому счастью мне доводится являться. Нынче попробую порассуждать в качестве доцента кафедры Череповецкого государственного университета. Следя за комментариями различных (хороших) специалистов, волею судеб представляющими разные стороны в противоборстве, можно выделить несколько основных проблем, перемешавшихся между собой до такой степени, что пора уже приглашать Геракла и чистить авгиевы конюшни. Первая проблема, имя которой - коррупция, имеет глубокие исторические корни и национальные особенности, благодаря чему поразила практически весь государственный аппарат словно раковая опухоль. От нее не спрятаться, не скрыться, через зараженные государственные и муниципальные учреждения она проникла во все отрасли экономики, в том числе такие специфические, как защита информации. И в этих отраслях стали появляться метастазы в виде организаций-"прокладок", выполняющих функции, навязанные отечественным законодательством которое, в свою очередь, пролоббированно структурами, так или иначе владеющими такими "прокладками". Эти функции зачастую важны и нужны, но вот качество их выполнения "прокладками" оставляет желать много лучшего, ибо смысл их существования проистекает от породившей их опухоли - все той же коррупции. Именно по этой причине у большинства граждан любые обязательные требования, навязанные государством, имеют такое большое противление. В нашей стране купить можно любой документ, не поддельный - а самый настоящий, у тех, кто официально его выдает. Такая ситуация происходит потому, что государство, установив требования, обязав всех их выполнять и регулярно проверяя их соблюдение, тем не менее, не несет никакой ответственности. Нет, бывают конечно исключения - но они происходят только потому, что государство добровольно соглашается ее на себя взять. Так было и с " Хромой лошадью ", и с " Булгарией ", и с некоторыми другими подобными случаями. Тяжело об этом говорить, но здесь сыграла роль массовость трагедий. Ну и конечно, опыт показывает, что больше всех остальных "ни за что не отвечают" т.н. "силовые" ведомства и люди, имеющие с ними хорошие отношения - достаточно вспомнить дело майора Евсюкова или ДТП на Ленинском проспекте . К чему я распинаюсь об очевидных вещах? Да все к тому же - к обязательным требованиям и оценке соответствия средств защиты. Безусловно, прежде, чем эксплуатировать средство защиты (любое, а не только информации), необходимо провести испытания и убедиться в том, что оно способно выполнять свои функции. Но тот, кто такие испытания проводит, обязательно должен отвечать за результат, равно как и тот, кто устанавливает требования безопасности и проводит регулярные проверки их соблюдения. И если таким органом является государство, то именно оно должно отвечать перед теми, в чьих интересах эти требования и средства разрабатываются. Пока же, увы, этого не происходит: сертификат, выдаваемый государством, в большинстве случаев годится лишь для расклеивания в туалетной комнате, а обязательные требования - для обогащения их проверяющих. Есть ли выход? Конечно, есть. Прежде всего полноценный общественный контроль за проверяющими и создание систем оценки соответствия, альтернативных обязательной сертификации. Что мешает? Ответ прост: все та же раковая опухоль. Вторая проблема проистекает из первой, и заключается она в подмене целей. Об это я уже писал , но сейчас речь пойдет о другом. Для того, чтобы регулировать безопасность дорожного движения, нужны дороги и транспорт. К счастью, люди ходят пешком и ездят на общественном транспорте, а те, что любят комфорт, сами с охотой покупают машины. Поэтому для того, чтобы создать питательную среду для раковой опухоли, никаких особых усилий предпринимать не нужно. С защитой информации дело обстоит куда сложнее: информация есть везде, кто хочет - тот защищает, но таких до недавнего времени было очень мало и недостаточно для создания питательной среды. С государственными структурами тоже все было не так просто: бюджет хоть и был, но не резиновый, и какие-либо веские основания  расходования его на защиту информации в огромной массе бюджетных учреждений, в лучшем случае обрабатывавших ДСП, отсутствовали. Именно поэтому до определенного времени специалисты по защите информации, как увольнявшиеся с государственной службы, так и в некотором количестве выпускавшиеся из российских ВУЗов, были не так востребованы, и предложение превышало спрос. Рынок ИБ ориентировался на "частный сектор", подогреваемый вирусописателями, и крупные компании, работавшие с зарубежными партнерами. Поэтому специалистам зачастую приходилось работать совсем не там и заниматься не тем, что они умели делать и чему их учили. Так было до того времени, пока не приняли 152-ФЗ. Я не знаю, насколько те, кто "протаскивал" нынешние поправки, хорошо справляются со своими должностными обязанностями - не мне судить. Но в том, что они прекрасные бизнесмены с великолепным стратегическим мышлением, я готов расписаться! Умело подменив защиту ПРАВ и СВОБОД "человека и гражданина при обработке его ПДн" защитой ДАННЫХ, они создали поистине огромный по масштабам, перспективный и гарантирующий стабильный доход рынок и труда, и услуг, и оборудования. И рынок этот, благодаря своим размерам, создает ну очень плодородную почву для раковой опухоли. И что в этом такого - спросите вы, - ты что, Волков, идиот? Это же очень хорошо, прежде всего - для тебя, потому что не надо обосновывать свое существование в компании, где ты работаешь, не надо обосновывать затраты, да и студенты твои будут гарантированно трудоустроены! Это же БЛАГОДАТЬ!!! Так-то оно так, господа. Да только цель закона - ИНАЯ. Я безусловно согласен с тем, что в России зачастую очень тяжко приходится ИБ-шнику, прежде всего потому, что приходится быть кем угодно, но не самим собой. Таковы уж особенности малого и среднего российского бизнеса: произвел (или украл), продал, купил, еще продал, свалил, открыл что-то новое. Причины - все та же раковая опухоль. Кому в этих условиях есть дело до ИБ? Но я категорически против того, чтобы решать проблему отношения к ИБ в России, подменяя и в конечном счете не решая другую, более глобальную и важную - защиту ПРАВ и СВОБОД субъектов тех самых злосчастных ПДн, и за их собственный счет.
парадокс персональные данные
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!