Письмо читателя. ИБ в Узбекистане

Письмо читателя. ИБ в Узбекистане

Добрый вечер, дорогие коллеги! Год надо начинать с чего-то хорошего, например, с хороших людей. Поэтому я предлагаю вам прочитать интереснейший рассказ о своем пути в ИБ от Антона Ракитского, специалиста по информационной безопасности, ООО «IT-TEAM SERVICE» из г. Ташкент, Узбекистан. Приятного чтения!



О приходе в ИБ и первых шагах в профессии
Т.к. учился в институте связи, то понимал, что работать буду в области, связанной с ИТ. Тем более что во время обучения и институт переименовали из «связи» в «университет информационных технологий».
В информационную безопасность попал вообще случайно. Руководитель дипломного проекта порекомендовал сходить на собеседование к своему бывшему однокурснику, который работал в банке, в отделе ИБ. При первой же встречи произвело впечатление, когда будущие коллеги смотрели в консоль почтового антивируса и видели как приходят письма с зараженными вложениями, детектируются и удаляются. Тогда, в 2003 году, это казалось чем-то невероятным. А ещё спутниковый интернет со скоростью 256 кбит/с. Так получилось, что ещё не окончив институт уже устроился на полставки в банк.

Позже убедился, что очень удачно попал. Ведь ИБ взаимодействовало со всеми ИТ-подразделениями, поэтому пришлось разбираться и с их работой. Уже тогда поражала диспропорция. В департаменте ИТ работало больше ста человек, а в безопасности только четверо. На этот же период пришлись первые волны цифровизации - появился первый дистанционный банкинг, развитие карточных систем. Во все такие проекты внедрения меня и направляли на стажировку и обучение.
Другая большая удача - что удалось побывать почти во всех регионах страны. Руководство решило, что нужно объехать все филиалы и провести внутренний аудит ИБ. Своими силами разработали план и в течение года «катались» по командировкам. Такой «деловой туризм» подействовал очень отрезвляюще. Стало понятно, что многие прожекты, планируемые в головном офисе, до регионов просто не дойдут - нет техники, и, что хуже - грамотных сотрудников. Адекватных быстро переманивали в головной офис или другие компании. Каналы связи тогда тоже оставляли желать лучшего, поэтому большое значение имели именно локальные ИТ-специалисты. Поэтому руководство приняло решение - учить тех что есть и работать с ними. Так впервые пришлось читать лекции. С тех пор ещё больше зауважал труд преподавателей. После пары лекций подряд устаёшь настолько, будто вагоны разгружал. И это ‑ со взрослой и более-менее заинтересованной аудиторией. Как педагоги каждый день работают с детьми - не понимаю.
В те же годы на себе испытал известные многим войны между ИТ и ИБ. Особенно когда на оба департамента выделялся общий бюджет и нужно было выбирать - обновить парк серверов или купить какую-нибудь IDS-систему. Приходилось искать способы объяснить правлению, что это подход «или/или» неправильный. Нужно и то, и это. И если возможность удалённого обслуживания клиентов виделось как конкурентное преимущество, и на это деньги выделялись, то про безопасность всего этого приходилось объяснять на пальцах. До сих пор помню высказывания руководителя финансового департамента - «да кому мы тут нужны, в Азии-то. Мы же не швейцарский банк. Ещё не родился хакер, который нас взломает».
 
Про частный бизнес.
Работа в банке хоть и весьма сложная, но всё-таки рутинная. Поэтому с коллегами приняли решение создать собственную консалтинговую компанию и оказывать услуги по экспертизе ИБ, разработке документов. Занимаемся этим уже более десяти лет. Работа консультантом дала новый взгляд на безопасность. Подтверждается и известная шутка, что «эксперт - любой человек не из нашего города». Когда о проблемах говорит административно независимый человек (аудитор, консультант), то внимания у руководства к этому больше, чем к сотруднику, который про это твердит не первый год.
Не перестаём удивляться, что ИБ сейчас практически везде. У нас в Узбекистане два года назад был принят закон «О персональных данных», а это целая новая сфера/страта ИБ. А ведь никуда не исчезли и вопросы подбора персонала, и безопасность инфраструктуры, кондиционеры, дизель-генераторы, кабельные колодцы, NDA и SLA.
Ну и про «замылившийся глаз» тоже актуально. Постоянно находятся лежащие на поверхности критические уязвимости, которые находятся за пять минут, но не были обнаружены силами предприятия. Из самых анекдотичных случаев - незапароленный Wi-Fi в серверной подсети, стершиеся кнопки кодового замка, выдающие код доступа. Или простейшая уязвимость (инъекция) когда вместо кода подтверждения, оправленного по SMS мы забавы ради вместо кода (которого у нас не могло быть) ввели знак «?» и неправильно написанный скрипт нас «впустил». И таких детских, но от этого ещё более обидных проблем, множество на любом крупном предприятии. Точнее там, где нет системного подхода, того что и называется СМИБ - системы менеджмента информационной безопасности. Поэтому и продолжаю удивляться универсальности стандарта ISO/IEC 27001. Просто бегло пройдясь по его требованиям и «закрыв» хотя бы часть из них можно очень серьезно поднять уровень ИБ.
 
Про статьи.
С первых лет работы в ИБ чуть ли не основным сайтом с русскоязычными новостями был SecurityLab, а публикующиеся там - почти небожителями. Даже познакомившись с некоторыми из них лично (Алексей Лукацкий, Михаил Кадер) это ощущение ещё долгое время не пропадало. Поэтому вдвойне было увидеть там статьи/заметки Ксении Шудровой. «А что, так можно было?» Т.е. молодой и неизвестный автор может так запросто публиковаться рядом с общепризнанными авторитетами? Поэтому, решив попытать счастья и сдать статью в печатный журнал, рискнул обратиться уже к Ксении с предложением о коллаборации. Очень благодарен ей за советы и помощь. Та совместная статья успешно вышла (https://www.itts.uz/news/85-isstart), и, как кажется, актуальная до сих пор. После этого некоторые редакции уже сами выходили на меня с предложением написать на заданные темы.
Как и с преподаванием, открылась истина ‑ мало понимать предмет статьи, нужно ещё суметь оформить это словами. Чтобы хотя бы самому более-менее нравилось. И получается это далеко не всегда.
 
О профессиональном развитии.
Вот и получается, что современный ИБ-специалист чтобы быть в тренде должен периодически что-то писать для СМИ, или хотя бы в блог (https://t.me/ittsuz). Читать лекции, выступать с докладами на конференциях. А ведь ещё и нужно постоянно изучать новинки, читать коллег. А значит - саморазвитием нужно заниматься чуть ли не больше, чем основной работой. Вдвойне везёт тому, кто умеет всё это совмещать.
 
По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:
Вконтакте:  https://vk.com/shudrova
Facebook:  https://www.facebook.com/profile.php?id=100001253566519
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета