14 Июля, 2019

Эмоциональное выгорание работников служб ИБ или Дефейс* профессии

Валерий Естехин

Хоть плачь, хоть смейся — всё едино:
Ошибочен программный код,
Хромает всюду дисциплина,
Сайт поломают, рухнет ЦОД

*Дефейс (англ. deface — уродовать, искажать) — тип хакерской атаки, при которой страница веб-сайта заменяется на другую (обычно это главная страница, а доступ ко всему остальному сайту блокируется или же прежнее содержимое сайта вовсе удаляется) — это может быть реклама, предупреждение, угроза, и т. д.
В контексте данной статьи термин “дефейс” следует рассматривать как предупреждение и не более того. Автор не имел намерения очернить профессию безопасника в сфере информационной безопасности или принизить значимость профессии.
В последнее время в некоторых СМИ - как западных, так и российских – стали мелькать материалы про тенденцию в сфере информационной безопасности, связанную с “синдромом эмоционального выгорания у сотрудников ИБ-отделов” в компаниях. Попробуем порассуждать, имеются ли под этими “новостями” какие-либо основания.
Как специалист, находящийся внутри данного процесса, могу подтвердить эту тенденцию, исходя из того количества руководителей служб ИБ, которые вышли на рынок в поисках работы в 2017-18-19 годах, проработав на своих должностях (что важно!) 5-7, а то и более лет. Также несколько моих знакомых поменяли работу в ИБ в кредитно-финансовой сфере на другие отрасли: ушли в страховые, промышленные или нефтедобывающие компании или компании, непосредственно занимающиеся компьютерной безопасностью.
Новость дня
Исследователи Голдсмитского колледжа, Лондонского университета и компании Symantec опросили порядка 3 тыс. руководителей ИБ-отделов в Великобритании, Франции и Германии и обнаружили, что из-за постоянно усиливающегося давления 64% ИБ-экспертов хотят сменить работу, а 63% - профессию.
Профессия ИБ-безопасника (буду говорить от имени того специалиста, который мне ближе -  банковского ИБ-шника) стала токсичной
В процитированной выше новости сообщается, что руководители ИБ-отделов уходят из компаний из-за “постоянно усиливающегося давления”. Что под этим понимать? Регуляторное давление? В какой-то степени – да. Например, появились важные законодательные акты: в Европе – Общий регламент ЕС по защите данных GDPR, в России - 187-ФЗ “О безопасности КИИ РФ”, в финансовом секторе – ГОСТ Р 57580.1-2017, различные Положения Банка России, обильно выходящие в 2018-19 годах.
Но это объяснение, которое лежит на поверхности. А если копнуть глубже – всё намного сложнее и печальнее.
Возьму на себя смелость утверждать, что основная причина увольнений руководителей (и не только!) ИБ-отделов (далее по тексту - безопасников) – это высокая степень неопределенности как нахождения в профессии защитника компании от киберугроз, так и в целом, в сфере информационной безопасности при условии, если ты головой отвечаешь за результат.
Я имею ввиду следующее. Надо отдавать себе отчет в том, что ни область деятельности – информационная безопасность, ни надежная профессия в информационной безопасности не могут быть основаны на косяках, ошибках и уязвимостях:
- на технических ошибках производителей ПО, используемого в автоматизированных системах и цифровых каналах;
- на приложениях и протоколах связи, имеющих множество уязвимых мест;
- на оборудовании, которое уязвимо к взлому или краху.
В результате, кроме плохо сконфигурированных сетей, не работающих средств защиты и минимальных инвестиций в кибербезопасность, мы имеем в компаниях и на предприятиях информационную инфраструктуру, перегруженную потенциальными уязвимостями, то есть, скрытыми рисками.
В условиях цифровизации бизнеса все проблематичнее для ИБ-отделов в компаниях становится поддержание способности компании надежно функционировать, вопреки нескончаемому потоку обнаруживаемым производителями ПО и оборудования уязвимостям, а также помех со стороны нарушителей, пытающихся нанести вред компании с использованием этих или новых ошибок и уязвимостей.
Устойчивость любой организации к разного рода опасным воздействиям зависит в равной степени как от руководства и персонала, так и от технологий и технических средств, применяемых в этих организациях.
Но головой за киберустойчивость компании всегда отвечает руководитель службы ИБ. Когда компанию взломают с нанесением ущерба, безопасника выставляют за дверь, назначив “крайним” за инцидент – не смог убедить руководство в наличии реальных внешних угроз и уязвимостях собственной ИТ-инфраструктуры.
Как защищать то, что порой невозможно защитить?
Причиной взломов компаний, как правило, считают человеческий фактор: неосторожность, глупость, незнание, корысть. Из этого убеждения следует вывод: если найти противоядие от человеческого фактора, то взломов и ущерба не будет в принципе. То есть, в будущем при повсеместной автоматизации взломов не будет?
Не всё так просто.
К сожалению, пока не получается создавать автоматизированные системы, полностью защищенные от человеческого вмешательства. А те системы, которые уже работают сейчас и в которых человеческий фактор сведен, казалось бы, к минимуму - уязвимы из-за своих размеров, сложности применяемых технологий и необходимости постоянных обновлений этих систем, то есть внесения изменений.
Пока негативные процессы в киберпространстве идут по нарастающей.
Размер ущерба от кибератак на компании уже считается в масштабах национальной экономики.
Современное ПО создается зачастую в спешке и без надлежащего тестирования.
Чем больше увеличиваем автоматизацию процессов, тем больше появляется уязвимостей, которые оперативно не обнаруживаются и не закрываются.
Атакующие становятся грамотнее и лучше подготовленными к преодолению современных средств защиты.
Напрашивается вывод: абсолютная неуязвимость недостижима.
Возвращаемся к роли безопасника в компании, отвечающего за эту самую треклятую неуязвимость.
Регуляторное давление последних лет, конечно же, увеличило нагрузку на безопасников, но это должно быть им только на руку. Во-первых, помогает аргументировано донести до бизнеса требования по безопасности, обосновать бюджет на ИБ, управлять жизненным циклом как ПО, так и инфраструктуры,которые рано или поздно устаревают и нуждаются в замене. Во-вторых, когда все прописано в нормативных документах, проще планировать свою работу.
Когда чей-то косяк - это обыденность, руководство “не в теме”, а бюджет на ИБ определяет взломщик
Также следует допустить, что в некоторых компаниях миссия защитника от киберугроз в принципе невыполнима. Например, в случае, когда на вас возложена ответственность в обеспечении защищенности информационной инфраструктуры, к созданию которой вы не имеете никакого отношения, а ваши предложения по внесению инфраструктурных изменений игнорируются. Когда в компании не выделяется требуемый бюджет на цели ИБ.
Что делать безопаснику в таком случае? Класть свою голову на заклание? Если бизнес не испытывает потребности в информационной безопасности (или эта потребность – для галочки), то может и голову морочить своим присутствием в компании безопаснику никому не надо.
Считаю, что, в основном, поэтому, в условиях повышенного спроса на профессию, многим безопасникам проще поменять работу, чем биться головой о стену непонимания со стороны руководства компании, рискуя собственной репутацией.
Это и есть тот процент безопасников, которые в последнее время активно ищут и находят компании, где их поймут и прислушаются к рекомендациям по соблюдению требований информационной безопасности.