Эмоциональное выгорание работников служб ИБ или Дефейс* профессии

Эмоциональное выгорание работников служб ИБ или Дефейс* профессии

Хоть плачь, хоть смейся — всё едино:
Ошибочен программный код,
Хромает всюду дисциплина,
Сайт поломают, рухнет ЦОД

*Дефейс (англ. deface — уродовать, искажать) — тип хакерской атаки, при которой страница веб-сайта заменяется на другую (обычно это главная страница, а доступ ко всему остальному сайту блокируется или же прежнее содержимое сайта вовсе удаляется) — это может быть реклама, предупреждение, угроза, и т. д.
В контексте данной статьи термин “дефейс” следует рассматривать как предупреждение и не более того. Автор не имел намерения очернить профессию безопасника в сфере информационной безопасности или принизить значимость профессии.
В последнее время в некоторых СМИ - как западных, так и российских – стали мелькать материалы про тенденцию в сфере информационной безопасности, связанную с “синдромом эмоционального выгорания у сотрудников ИБ-отделов” в компаниях. Попробуем порассуждать, имеются ли под этими “новостями” какие-либо основания.
Как специалист, находящийся внутри данного процесса, могу подтвердить эту тенденцию, исходя из того количества руководителей служб ИБ, которые вышли на рынок в поисках работы в 2017-18-19 годах, проработав на своих должностях (что важно!) 5-7, а то и более лет. Также несколько моих знакомых поменяли работу в ИБ в кредитно-финансовой сфере на другие отрасли: ушли в страховые, промышленные или нефтедобывающие компании или компании, непосредственно занимающиеся компьютерной безопасностью.
Новость дня
Исследователи Голдсмитского колледжа, Лондонского университета и компании Symantec опросили порядка 3 тыс. руководителей ИБ-отделов в Великобритании, Франции и Германии и обнаружили, что из-за постоянно усиливающегося давления 64% ИБ-экспертов хотят сменить работу, а 63% - профессию.
Профессия ИБ-безопасника (буду говорить от имени того специалиста, который мне ближе -  банковского ИБ-шника) стала токсичной
В процитированной выше новости сообщается, что руководители ИБ-отделов уходят из компаний из-за “постоянно усиливающегося давления”. Что под этим понимать? Регуляторное давление? В какой-то степени – да. Например, появились важные законодательные акты: в Европе – Общий регламент ЕС по защите данных GDPR, в России - 187-ФЗ “О безопасности КИИ РФ”, в финансовом секторе – ГОСТ Р 57580.1-2017, различные Положения Банка России, обильно выходящие в 2018-19 годах.
Но это объяснение, которое лежит на поверхности. А если копнуть глубже – всё намного сложнее и печальнее.
Возьму на себя смелость утверждать, что основная причина увольнений руководителей (и не только!) ИБ-отделов (далее по тексту - безопасников) – это высокая степень неопределенности как нахождения в профессии защитника компании от киберугроз, так и в целом, в сфере информационной безопасности при условии, если ты головой отвечаешь за результат.
Я имею ввиду следующее. Надо отдавать себе отчет в том, что ни область деятельности – информационная безопасность, ни надежная профессия в информационной безопасности не могут быть основаны на косяках, ошибках и уязвимостях:
- на технических ошибках производителей ПО, используемого в автоматизированных системах и цифровых каналах;
- на приложениях и протоколах связи, имеющих множество уязвимых мест;
- на оборудовании, которое уязвимо к взлому или краху.
В результате, кроме плохо сконфигурированных сетей, не работающих средств защиты и минимальных инвестиций в кибербезопасность, мы имеем в компаниях и на предприятиях информационную инфраструктуру, перегруженную потенциальными уязвимостями, то есть, скрытыми рисками.
В условиях цифровизации бизнеса все проблематичнее для ИБ-отделов в компаниях становится поддержание способности компании надежно функционировать, вопреки нескончаемому потоку обнаруживаемым производителями ПО и оборудования уязвимостям, а также помех со стороны нарушителей, пытающихся нанести вред компании с использованием этих или новых ошибок и уязвимостей.
Устойчивость любой организации к разного рода опасным воздействиям зависит в равной степени как от руководства и персонала, так и от технологий и технических средств, применяемых в этих организациях.
Но головой за киберустойчивость компании всегда отвечает руководитель службы ИБ. Когда компанию взломают с нанесением ущерба, безопасника выставляют за дверь, назначив “крайним” за инцидент – не смог убедить руководство в наличии реальных внешних угроз и уязвимостях собственной ИТ-инфраструктуры.
Как защищать то, что порой невозможно защитить?
Причиной взломов компаний, как правило, считают человеческий фактор: неосторожность, глупость, незнание, корысть. Из этого убеждения следует вывод: если найти противоядие от человеческого фактора, то взломов и ущерба не будет в принципе. То есть, в будущем при повсеместной автоматизации взломов не будет?
Не всё так просто.
К сожалению, пока не получается создавать автоматизированные системы, полностью защищенные от человеческого вмешательства. А те системы, которые уже работают сейчас и в которых человеческий фактор сведен, казалось бы, к минимуму - уязвимы из-за своих размеров, сложности применяемых технологий и необходимости постоянных обновлений этих систем, то есть внесения изменений.
Пока негативные процессы в киберпространстве идут по нарастающей.
Размер ущерба от кибератак на компании уже считается в масштабах национальной экономики.
Современное ПО создается зачастую в спешке и без надлежащего тестирования.
Чем больше увеличиваем автоматизацию процессов, тем больше появляется уязвимостей, которые оперативно не обнаруживаются и не закрываются.
Атакующие становятся грамотнее и лучше подготовленными к преодолению современных средств защиты.
Напрашивается вывод: абсолютная неуязвимость недостижима.
Возвращаемся к роли безопасника в компании, отвечающего за эту самую треклятую неуязвимость.
Регуляторное давление последних лет, конечно же, увеличило нагрузку на безопасников, но это должно быть им только на руку. Во-первых, помогает аргументировано донести до бизнеса требования по безопасности, обосновать бюджет на ИБ, управлять жизненным циклом как ПО, так и инфраструктуры,которые рано или поздно устаревают и нуждаются в замене. Во-вторых, когда все прописано в нормативных документах, проще планировать свою работу.
Когда чей-то косяк - это обыденность, руководство “не в теме”, а бюджет на ИБ определяет взломщик
Также следует допустить, что в некоторых компаниях миссия защитника от киберугроз в принципе невыполнима. Например, в случае, когда на вас возложена ответственность в обеспечении защищенности информационной инфраструктуры, к созданию которой вы не имеете никакого отношения, а ваши предложения по внесению инфраструктурных изменений игнорируются. Когда в компании не выделяется требуемый бюджет на цели ИБ.
Что делать безопаснику в таком случае? Класть свою голову на заклание? Если бизнес не испытывает потребности в информационной безопасности (или эта потребность – для галочки), то может и голову морочить своим присутствием в компании безопаснику никому не надо.
Считаю, что, в основном, поэтому, в условиях повышенного спроса на профессию, многим безопасникам проще поменять работу, чем биться головой о стену непонимания со стороны руководства компании, рискуя собственной репутацией.
Это и есть тот процент безопасников, которые в последнее время активно ищут и находят компании, где их поймут и прислушаются к рекомендациям по соблюдению требований информационной безопасности.




Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)