Без тебя, без тебя. Всё ненужным стало сразу без тебя

Без тебя, без тебя. Всё ненужным стало сразу без тебя
Здравствуй, дорогой читатель! Как много всего произошло за это лето (а ведь оно еще не закончилось), я поменяла место жительства, город, работу, только блог не изменился, ну ты и сам видишь. У нас стоит такая жара, которая совершенно не способствует рабочему настроению, но ведь работать с рабочим настроением может каждый дурак, а мы с тобой не такие. Раз мою страницу читают, (а я слежу за статистикой и знаю о чем говорю) значит, нужно писать, несмотря на загруженность, переезд, лень и все остальные отговорки. Как часто мое внутреннее Я выбирает поиграть с котом, а не писать статью! Приходится идти на компромиссы, пусть кот играет со мной, а я пока полежу с закрытыми глазами и подумаю о чем буду писать. 

Что происходит в твоей профессиональной жизни? Воспитание диктует мне спросить у собеседника о его делах. А я не хочу показаться невежливой. Закупки, формирование бюджета, повальные отпуска и невозможность собрать комиссию так, чтобы она не состояла из одних "и.о." - что беспокоит твой ум?

Когда становится прохладнее мне в голову приходят разные философские мысли, возникают вопросы - курица или яйцо (андроид или яблоко)? Один из таких вопросов-размышлений, беспокоящий меня в последнее время - "Что было бы с бизнесом без нас, простых ИБшников?"

Дорогой читатель, я понимаю, что мысль абсурдна и ты убежден, что небеса разверзнутся в тот же час, поглотив ОАО, ЗАО, ООО (нужное подчеркнуть), в котором ты трудишься. А если нет? Что будет без нас?
Помнишь, как в школе на олимпиаде нам задавали задание - "Представьте и опишите последствия исчезновения углекислого газа/кислорода/водорода не Земле". Вот что-то подобное я и обдумывала в последнее время. Только в нашей области. Пишу свои мысли и жду ответа по этому очень важному для меня вопросу.


Во-первых я сразу выделила для себя те отрасли, в которых без нас никуда. Это ИБ-компании. Тут уж извини, предельный случай, рассматривать нечего. А еще криптография!Организации, имеющие свой удостоверяющий центр никак не смогут обойтись без специалистов. Вспомним также про лицензируемый вид деятельности, про "не менее двух образованных (обученных) сотрудников"... То-то же, с УЦ без нас тоже никуда.

Если же удостоверяющего центра нет, то все, что касается ключей электронной подписи никак не контролируется без ИБ-шника. Возникают угрозы использования чужой подписи, хищения и подделки ключа, что может привести к значительному финансовому ущербу. Вот так вот, здесь мы, получается, незаменимы.

Тебе, наверное, приходилось ознакамливаться со своей должностной инструкцией и положением об отделе. Насколько размыты формулировки и большинство из них составлено таким образом, что понять какие задачи выполняет специалист практически невозможно: "обеспечивать комплексную информационную безопасность", "настраивать средства защиты информации", "поддерживать конфиденциальность информации". Получается, что отдел по защите информации создан для того, чтобы обеспечивать информационную безопасность. Логично! А зачем? Ну мы-то с тобой понимаем, что делаем что-то ОЧЕНЬ важное, но этого мало, нужно еще до других донести. 

Возьмем функцию аудита, вот это наше, исконное, это мы никому не отдадим, да никто и не попросит. Что же будет, если аудит не проводится? Утечки информации, материальный ущерб, потеря репутации, все компьютеры становятся ботами и шлют спам за границу, сотрудники сидят ТОЛЬКО на порно-сайтах, в онлайн-магазинах, а все служебные вопросы решаются с мейловских ящиков, эффективность труда падает, все плохо. Тут, как говорится, не поспоришь - атаки в сети ведутся постоянно и незащищенная сеть может стать легкой добычей, да и пользователи не станут соблюдать правила, если знают, что за этим никто не следит. Получается, здесь тоже все хорошо. Но с одним условием - сеть все-таки должна быть довольно большой. Маленькие компании вполне могут обойтись без нашего брата, толковый системный администратор, не чуждый философии безопасности, решит многие проблемы, а аудит вообще теряет смысл, когда все сидят в одном помещении друг у друга на виду. 

Кстати говоря, исторически функции ИБ-шников исполняли ИТ-подразделения, дыры находились и латались (может быть не все и не так тщательно, все-таки самоконтроль и внешний контроль отличаются разной степенью эффективности). Однако не стоит забывать о существенной разнице в мировоззрении специалиста по ИТ и по ИБ. Айтишник в большинстве своем хочет, чтобы все работало хорошо и быстро, а нам нужно, чтобы ресурсы были защищены, пусть даже и ценой быстродействия.

Еще одна типичная задача специалиста по ИБ - антивирусы. Никто не спорит, что антивирусное обеспечение - обязательная вещь в сети. Проблема в том, что мы здесь не являемся незаменимыми, настроить антивирус вполне может ИТ-отдел. Причем в маленьких организациях все этим и заканчивается - пароль на учетку и свежая база антивируса - вот и вся информационная безопасность, а для поддержания работы такой системы безопасник не нужен. Конечно, никто лучше нас не проследит, чтобы обновление происходило регулярно, а настройки были выставлены верно. Так что тут мы заменяемы, но с небольшой потерей в качестве оказания услуг.

Конечно, без нас с тобой никак нельзя во время проверок контролирующих органов, вероятность того, что организацию захочет посетить Роскомнадзор, достаточно велика. Неспециалистам избежать предписаний и вовремя устранить нарушения будет очень трудно. 

Чуть не забыла! Без нас нельзя обойтись при защите государственной тайны. Тут уж ничего не придумать. А вот защита коммерческой тайны и персональных данных в некоторых организациях поручена юристам и кадровикам. На каком-то уровне они с этой задачей справляются.

Последнее о чем хотелось бы упомянуть - это организация доступов. Разграничение прав пользователей - основа информационной безопасности (на мой субъективный взгляд). В отсутствие ИБшника доступами занимается отдел ИТ и настраивает их на свое усмотрение. В таких сетях может происходить все, что угодно. И, скорее всего, этим чем-то будут утечки информации.


Много чего написала, вышло достаточно сумбурно, но в общем вывод один напрашивается - мы нужны. Это хорошо. А с другой стороны, некоторые функции ведь легко может выполнять ИТ-отдел, юрист, кадровик. Нам следует быть очень осторожными! Еще не так давно были те времена, когда ИБ-шников можно было по пальцам пересчитать. Так что, я думаю, нам нужно браться за все, что только можно и доказывать свою эффективность. 


А как ты думаешь, дорогой читатель, смогут ли без нас?

С уважением, Ксения
    Alt text

    Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

    Ксения Шудрова

    эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета