×

8 Июля 2016 16:22
1010
0

Слушайте подкаст программы:

 

Сколково и Ifowatch: Серия бесплатных Вебинаров по Информационной безопасности c 29 июня по 17 августа.

 

1. Какой будет динамика роста внутренних угроз в ближайшее время?
2. Что сдерживает рост компетенций в ИБ?
3. Как выглядит миф о затратах на безопасность? ИБ это дорого или доступно?
4. Как следует оценивать эффективность ИБ в современных условиях
5. Почему традиционные оценки ИБ не всегда подтверждают свою эффективность?
6. Способна ли автоматизация ИБ противостоять росту угроз? 


29 июня стартовал совместный проект Фонда «Сколково» и ГК InfoWatch - «Кибербаталии», который проходит в формате еженедельных «кибербаталий» с экспертами рынка: Group-IB, Solar Security, R-Vision, Аванпост, RUSIEM, Entensys, Security VisionСтахановец.

 

Конкурирующие вендоры и сотрудники различных бизнес-подразделений внутри одной компании впервые сойдутся для открытых дискуссий по наиболее острым вопросам в сфере информационной безопасности.

 

Партнерами проекта выступают ассоциация BISA, JSON.TV, компания Крибрум и холдинг Анкор. Проект завершится 17 августа.

 

 

Читайте полную расшифровку «Кибербаталии»

 

Олег Седов (главный редактор сообщества BISA): Сегодня тема, которую мы предложили для обсуждения: «Возможно ли доверить безопасность бизнеса роботам». И сразу представлю наших одиозных спикеров, героев, которые полчаса вместе с нами терпели подготовку к звуковому брейншторму, без которого встреча теряет смысл. В левом углу - Дмитрий Дудко, компания Security Vision, в правом - Олег Губка, компания Avanpost. Оба героя, которые собрались отстаивать полярные точки зрения, невзирая на то, каким религиозным предрассудкам они все-таки придерживаются.

 

Подводка к теме исходила от меня, и изначально был этот слайд, который мне полгода не дает покоя - прогноз IDC. Вот, если присмотреться, то внизу лежат две линии – это компетенция и бюджеты. С одной стороны, какие компетенции, такие и бюджеты - это нормально. С другой стороны, галопирующий разрыв между компетенциями и бюджетами на защиту от тех угроз, которые растут и на нас надвигаются.

 

Возникает пример «Лаборатории Касперского», который давно уже продемонстрировал, что каждый день они получают триста тысяч новых сигнатур вирусов. Такое количество сигнатур руками разобрать нельзя, нужны роботы. Отсюда возникает вопрос: если так будут галопировать угрозы, их вообще контролировать руками можно, или все-таки наступает время роботов? Дальше вслед за этим тянется шлейф вопросов - готовы ли мы к этим роботам, компетенциями, ресурсами и прочему, прочему, прочему.

 

Первый вопрос, который я хотел бы вынести на обсуждение, какой будет динамика роста внутренних угроз в ближайшее время, потому что IDC дал прогноз общий, средний по больнице, а все-таки интересует какая-то конкретика. И я предлагаю начать Олегу Губке.

 

Олег Губка: Да, спасибо, Олег. Добрый день, коллеги. Я считаю, что динамика роста внутренних угроз будет положительной. Мы сейчас говорим в первую очередь как раз о внутренних угрозах, и здесь я привел пример сравнения противостояния между снарядом и броней, то есть когда в след за развитием снаряда или пробивных технологий, в том числе развивается и броня, такая гонка продолжается из века в век , то есть сейчас технологии далеко ушли, то же самое можно сказать и об информационной безопасности. Как только появляются новые методы защиты данных от каких-то актуальных угроз, тут же появляются новые угрозы, которые обходят эти методы защиты. Вот эта гонка, она постоянная. Здесь еще можно привести сравнение с преступностью. Когда появляются новые виды преступления или мошенничества, появляется соответствующее наказание, методы борьбы с ним. Тем не менее, в этом плане преступная индустрия не стоит на месте, и все больше новых вид угроз.

 

Олег Седов: То есть, я так понимаю, что ты из тех, кто считает, что полицейского подхода в ИБ мы отойти не сможем. Мы всегда будем прибегать туда, где есть труп и надо будет его расследовать, а не работать на опережение.

 

Олег Губка: Да, все верно, Олег, и здесь мы это видим, в основном у нас методы реактивные, а не проактивные, то есть появляется какая-то угроза, выходит, условно, сигнатура на эту угрозу, ну, или, по сути, какой-то метод защиты, методы борьбы с этой угрозой. Мы ее закрываем, появляются более новые методы защиты, но в тоже время, через определенный период появляется новый вид угроз, и вот эта динамика будет постоянно расти.

 

Олег Седов: Трудно не согласиться, что это не так. Посмотрим, что скажет оппонент, Дима.

 

Дмитрий Дудко: Моя точка зрения, что динамика угроз у нас вообще нулевая. Я попытаюсь это сейчас показать. Перед вами формула риска, стандартная, которую мы все изучали в институтах, изучали в ISO 27000. Мы можем посмотреть, что угрозы и уязвимости, о которых все говорят – это величины второго порядка, очень легко это продемонстрировать, например, на величине риска авиакатастрофы. Всем все равно, какие угрозы и уязвимости там были, главное,вероятность события, она посчитана, она известна.

 

Вот классическая схема риска ИБ, как раз тот снаряд и броня, о котором Олег говорил, вот она такая. Риск через угрозу и, в свою очередь, через уязвимость воздействует на актив. Но получается одна вещь, о которой мы постоянно забываем, когда мы говорим о снаряде и броне, мы не видим за этим всей картины и забываем о субъектах и объектах. Кто в данном случае субъект – это люди, а объект-это активы, которые мы защищаем, их гораздо больше, и вот посмотрите, что получается, что мы - люди, а на самом деле, мы, в какой-то степени, животные - обезьяны, ну это наши родственники, и от этого никуда не уйдешь. Наша родня, которая миллионы лет эволюции прошла, дала нам три основных мотива или доминанты поведения: еда, размножение, доминантность.

 

И вот если человек хочет кушать, он ваш актив «разберет» только так, он использует любые способы, в которых может присутствовать маленький процент, бесконечно малая часть рисков ИБ, именно информационных. Это также могут быть риски обычной безопасности, кражи, и все прочее. И вот наши угрозы, уязвимости которые есть, возникают они, в первую очередь, в субъектах. То есть, если у нас сейчас кризис идет, и на рынке очень много организаций, которые не платят зарплату или задерживают ее, поверьте, по рынку уже гуляет информация, думаю, что вынесли уже из многих интеграторов вендоров уже все.

 

Олег Седов: То есть никакая экономика не отменяет жизненные правила, что любовь и голод правит миром?

 

Дмитрий Дудко: Да

 

Олег Седов: Получается, угрозы будут расти?

 

Дмитрий Дудко: Нет. Вот, например, все бьются за безопасность паролей. Можно их долго, долго взламывать, потратить тысячу человекочасов и мощностей компьютеров, а можно просто подсмотреть. Это угроза ИБ?

 

Олег Седов: Да

 

Дмитрий Дудко: Конечная цель человека через его доминанты – это реализовать что-либо, поесть или перед девочками выпендриться, либо просто показать, что я это могу. Когда вы строите, у нас будет целый ряд вопросов, про стоимость и так далее, когда вы отталкиваетесь от одного, что давайте мы сделаем сложные пароли, и у нас их не подменят. Мы всегда забываем, что у нас их можно подсмотреть, человека можно подкупить, можно полностью скопировать, есть полное множество угроз, с которыми и нужно работать, а вот то, что мы говорим, изменяются технологии – замечательно, это лишь переменные второго порядка.

 

Олег Губка: На мой взгляд, тут как подходить к терминологии угрозы. Угрозы – это все-таки совокупная величина. Сейчас Дима привел один уровень абстракции, он подошел с точки зрения объектов, и вот мотивация объектов, конечная и всеобъемлющая.

 

Олег Седов: То есть это лукавство?

 

Олег Губка: Да, лукавство, но угрозы в том числе, как бы и объект и технологии, и активы, которые развиваются, если рассматривать в таком контексте, то, конечно, количество …

 

Дмитрий Дудко: Олег, вот посмотри. Вероятность. Вот в классике ни про угрозы, ни про уязвимости ничего нет – это вероятность события на размер ущерба. Да, риск, вообще, сам по себе - с чем и работает безопасность, ИБ в частности.

 

Олег Седов: Да, да, я вас понимаю. Мы все находимся в заложниках у маркетинга: угрозы будут расти, и мы сами начинаем в это верить…

 

Дмитрий Дудко: Причем мы не только верим, мы себя убедили и убеждаем, не только наших коллег, но и мы убеждаем наших заказчиков, бюджетопридержащих.

 

Олег Седов: По-другому спрошу: угрозы должны расти, чтоб мы не остались без работы?

 

Дмитрий Дудко: Да. (Смеется)

 

Олег Седов: Тогда давайте перейдем к следующему вопросу. На ваш взгляд коллеги, что сдерживает рост компетенции в ИБ сегодня?

 

Дмитрий Дудко: Смотрите, все очень просто. Снижение роста компетенций, я считаю не связано с усложнением угроз по одной простой причине. 15 лет назад мы стали производить большое количество персонала, и в ИБ, начали наши вузы подготавливать, я там был, я просто знаю.

 

Олег Седов: То есть ты один из них?

 

Дмитрий Дудко: Да, я один из этих людей, и могу вам сказать, что в последнее время видно, что кто-то, не могу сказать кто, может быть родители, может это по рынку гуляет…что на безопасности можно заработать денег, а вот разрез за последний год, а вот средняя зарплата у нас в отрасли - 50 000 рублей. Но это по стране, не будем придираться, это средняя температура по больнице. Вот, могу привести пример, в Поволжье, тёща, работая на двух ставках в институте, получает 10 000 тысяч рублей. Я знаю людей, которые работают в ИБ, городок 130 000 населения, они получают 22 тысячи рублей. Вот, и последний css-саммит, на который я прорвался героически, а там уже были люди, которые пришли и напрямую говорили, мы стали безопасниками. А ведь сказать мы, очень важно, это отделяет сразу и приносит в новую группу и от всех остальных отсекает политические, философские воззрения, в том числе профессиональные. И люди приходят и говорят, мы выбрали данную специализацию, потому что на нас можно заработать. Бахнул кризис, перешли в более перспективное направление.

 

Олег Седов: Правильно ли я тебя понимаю, что в кризис редко кто экономит на безопасности, а, следовательно, безопасность, любая, информационная в том числе, становится лакомым кусочком, но компетенции, которыми обладают эти люди, редко соответствует уровню их зарплат.

 

Дмитрий Дудко: Не совсем так. Скажем так, рынок ожидает очень много специалистов, непрофессионалов, как раньше было, когда я учился. Были специалисты, которые нас всех выучили, в том числе многие из них блогеры, и это было призвание. У меня из выпуска в 21 человек, все отучились 5 лет.

 

Олег Седов: Так почему компетенции не растут?

 

Дмитрий Дудко: Компетенции не растут, потому что множество людей приходит, и вот на нас с Олегом приходят еще несколько девочек, которые готовы работать только по направлению персданных (ПДн).

 

Олег Губка: Здесь у меня точка зрения немного отличается. Если посмотреть динамику рынка, как рынок развивался последние лет 15-20 назад, то мы видим, что в принципе в начале 2000-ых годов, он достаточно активно рос, и было много в этом развитии от практической безопасности. Потом появился культ стандартов, появился закон о персональных данных, и вся безопасность, по сути, свелась к «бумажной безопасности». Такой термин, мне кажется очень подходящим, который сейчас очень активно используется «бумажный безопасник».

 

Вот эта тенденция «бумажной безопасности», действительно, серьезно отвлекает от практической безопасности и заказчики вынуждены заниматься требованиями, и соответственно и интегратор, и вендор на это нацелены. Бумажная безопасность не несет такой ценности, с точки зрения ИБ и защиты активов.

 

В государственных структурах руководители службы ИБ вынуждены заниматься финансовым планированием, организацией закупок и так далее. И вся их деятельность, в 90 процентов случаев, сводится к тому, что они занимаются финансовым планированием, они реально работают сверх своих нормочасов и остаются часто вечером, взмыленные бегают.

 

Олег Седов: Вопрос от нашей аудитории, который меня поставил в тупик. Являются ли специалисты по ИБ роботами, если люди поставлены в такие условия, которые ты описал?

 

Олег Губка: В некотором смысле, да, когда есть определенные типовые проекты, в том числе по персональным данным. Это работа, где-то механическая работа, я бы сказал даже где-то напоминающая эдаких эникейщиков, которые клепают эти документы, но опять же практической ценности они не несут.

 

Дмитрий Дудко: Я бы сказал, что мы сами себя загнали, у нас все крутится вокруг того, что мы не знаем, кто мы, мы не знаем, куда мы движемся.

 

Олег Седов: Пока вы крутитесь вокруг одного тезиса, которые коллеги подметили. "Если пока все хорошо, то хорошо".

 

Дмитрий Дудко: Следующий вопрос будет про оценку, и мы увидим, что все полный швах.

 

Олег СедовКак выглядит миф о затратах на безопасность. ИБ - это дорого или доступно?

 

Олег Губка: Я считаю, что современное ИБ не ограничивается каким-то классическим набором средств защиты или процессов информационной безопасности, это антивирусная защита, сетевая безопасность, и реалии нам говорят о том, что стандартный набор уже давно недостаточен.

 

Олег Седов: Прости, что такое стандартный набор?

 

Олег Губка: Стандартный набор -это то, что я перечислил: антивирусная защита, сетевая защита, межсетевой экран. Я имею ввиду, что стандартный набор, как правило, реализуется IT- подразделениями, к чему безопасность зачастую не имеет отношения. Но если мы говорим о современной безопасности, противодействию современной угрозам, то, безусловно, требуется внедрение достаточно сложных решений SIEM, IDM, тот же IDS,IPS. И все эти проекты достаточно затратные, и для этого нужны инвестиции и нужны бюджеты, это все оотносительно дорого.

 

Олег Седов: Ничуть. Понятие «дорого» перестает быть относительным, тогда, когда понимаешь, что дорого – это когда Мадонна поет гимн Нефтеюганска. Все остальное, оно либо обосновано, либо нет. Оно эффективно, либо нет. Если оно неэффективно, то неважно, сколько оно стоит.

 

Олег Губка: Здесь подхожу с позиции…такой обывательской с точки зрения бизнеса, который смотрит на эти бюджеты и говорит: «Ребята, а на что вы эти деньги тратите?», -потому что бюджеты миллионные. Я говорю о том, что внедрение уже стоит значительных средств для бизнеса, и я считаю, что ИБ без вложений реализовать невозможно. И бизнес вынужден тратить на это деньги. И с их точки зрения, наверное, это дорого.

 

Для бизнеса важны цифры, и что мы в итоге получим от внедрения определенной системы безопасности.

 

Олег Седов: Ну что, Дима, попробуй возразить.

 

Дмитрий Дудко: А тут возражать-то собственно и нечего. Приведу пример. История, как я был молодым специалистом, и проводил аудит в ведомстве, в котором до сих пор все интеграторы и вендоры хотят попасть, дерутся между собой,и задача моя была очень проста. Обосновать необходимость наличия или отсутствия DLP – решения. Там был полный швах, и одна из угроз звучала так – «информация может быть считана через флэшку». Я как молодой специалист предложил такое решение этих вопросов: можно отключить USB или поставить DLP-систему. Старшие товарищи мне посоветовали и объяснили одну простую вещь. Для неспециалистов, людей не нашего круга и даже не IT-шников, перерезание проводов на 2 и даже на 5 тысяч компьютеров гораздо понятнее и выгоднее. Понятно, что все мы любим слово комплексность и все такое, но это никуда не девается, для обычного человека, для владельца бизнеса это понятное решение. И вот тут возникает один момент. Все считают байкой, что самый безопасный компьютер - это компьютер выключенный из розетки, в бетоне, зарытый на 3 метра. Но у нас целая отрасль в ИБ работает примерно так же.

 

Олег Седов: Поясни, пожалуйста.

 

Дмитрий Дудко: Это работа с грифованной информацией, систем выше класса 2А по пальцам можно пересчитать, а они все работают и целые КБ работают. Да, пришел с утра, из сейфа вынул жесткий диск, его вставил, тут сидит "вохравец", работает видеонаблюдение. Пошел покурить, вынул, положил в сейф, и точно также, уйдя домой. И никто почему-то не говорит ни об удобстве, ни о чем.

 

Олег Седов: Ты уверен, что если таким сделать рынок, то он останется жив?

 

Дмитрий Дудко: А вот здесь самый главный вопрос. Защищая за многие миллионы рублей информацию в ОЛВС стандартную, которую мы называем конфиденциальной или, так скажем, коммерческой тайной, очень большой вопрос, нужно ли потратить 10-100 миллионов рублей, чтобы защищать вот это.

 

У нас нет сейчас ни методик категорирования, ни методик оценки информации. Приведу пример: крупный ритейлер готовил маркетинговую акцию с большими скидками, ну в ритейле, понятно, чем цена ниже, тем лучше. За месяц до этой акции, весь прайс просто взяли и выложили на общий ресурс, информация в интернете засветилась. С точки зрения нас, безопасников, это «все» - нужно бежать, покупать DLP, IDM и всех контролировать. А на выходе что получилось? Ну вот месяц она там пролежала, ну кто-то ее увидел и так далее. Маркетинговая акция прошла и прошла успешно. А почему? Потому что для бизнеса цены выходные не имеют никакой ценности, потому что ритейл, конкурирует не по ценам, они у них скачут чуть ли ни каждый день, они конкурируют по площади, которую ты делаешь. И люди все равно туда ходят, даже если в соседнем магазине через 2 км цена будет не 50, а 49 - это ничего не сделает, а вот закупочные цены слиты не были, потому что они специально контролировались.

 

Олег Губка: На мой взгляд, с госструктурами не очень удачный пример. Я сам занимался безопасностью в силовом ведомстве. И отсутствие там современных технических средств защиты обусловлено просто низкой автоматизацией, отсутствием интернета и так далее. И действительно, там достаточно режимных мер, в основном там используются бумажный документооборот, в том числе и грифованный. И это обоснованная позиция, хотя, на мой взгляд, сейчас рост автоматизации, в том числе и в силовых ведомствах, идет.

 

Дмитрий Дудко: Но это автоматизация не та, это ты про электронный документооборот говоришь.

 

Олег Седов: Давайте несколько расширим вопрос и поговорим не только про эффективность ИБ. Почему традиционные оценки не всегда подтверждают свою эффективность в современных условиях? Но и про те технологии-роботов, о которых мы сегодня говорим. Как оценивать эффективность роботов, насколько их технологии, соответствуют ожиданиям рынка и умеем ли мы с ними работать?

 

Дмитрий Дудко: Чтобы оценивать роботов, нужно учиться оценивать себя. Перед вами небольшой пример, вот как мы оцениваем себя? Я работал в ИСБ, вот есть у нас взлом, мы строим вектор атаки, мы увидели здесь ущерб, здесь мы его восстановили и это понятно.

 

Олег Седов: Ты все это делаешь, когда идет взлом какой-то?

 

Дмитрий Дудко: Это некоторый прообраз, чтобы перейти к оценке. Работаем мы на самом деле с таким понятием как "не взлом". Вот если видимого ущерба не было – информация ушла, но деньги – самый ликвидный актив, не украли, то был ли взлом - этого мы можем не узнать. Отсюда возникает самая пагубная, практически единственная на данный момент, палочная система. Когда мы вынуждены отчитываться по палкам, сколько инцидентов было. Вот десять инцидентов за месяц закрыли, зарплату получили, в следующем месяце ноль. Это во многом напоминает ситуацию в IT – с сисадминами - когда все хорошо, ты его - админа - не видишь, потому что видишь ты его только тогда, когда что-то произошло, что-то упало.

 

Вот безопасники, к сожалению даже не админы, потому что нашу работу очень сложно оценить. И все это крутится только вокруг одного - вокруг нашей качественной оценки, можно много спорить, откуда она взялась, но вот я когда руководил отделом, взял студентов, и они занимались, как Олег говорит "бумажной безопасностью" в ЗПД. И они у меня были, занимаясь бумажной безопасностью - пока на уровне концепций, мы тогда еще до роботов не дошли ( чтобы робот был, нужно знать, что он будет делать). Они писали такие вот угрозы: например, данная мера более эффективна или данная угроза менее значима. Сразу получали по голове, потому что у нормального человека и даже у безопасника, возникает вопрос: более или менее - это во сколько раз? Мы же оперируем числами.

 

Было сделано множество исследований, самое показательное - как мы воспринимаем риск, например, риск разбиться на самолете, все воспринимают более значимым. Почему? Потому что мы ничего там не контролируем, а вот, например, в автокатастрофе менее значимым, потому что мы сидим за рулем, можно свернуть и так далее. А разница между ними, примерно в два порядка. И вот эта наша качественная оценка, которой нас учили, вот это лоббирование, которое было до этого, нас приучило к следующему, мы выражаемся словами. Единственное, что мы достигли за последние десять лет, это мы приобщили дельфийский метод, который по сути усредняет оценки экспертов, и получается следующая вещь. Вот риск вирусного заражения, он высокий или маленький. Вот нас здесь трое, и я уверен, что у нас будет три разные оценки и даже, если мы скажем, что высокий, нас попросят, как в дельфийском методе, поставить оценку, у нас оценки будут очень разными.

 

Роботы работают только с числами, а оценку интерпретации этого производят люди. Получается так, что перенести качественную оценку в хоть какое-то количественное выражение очень сложно. Выяснилось, что на выходе получается как минимум 152 параметра (тогда так было, сейчас поменьше), это все очень сложно.

 

Я хотел показать этими графиками, что мы находимся в начале пути перехода от качественной оценки к количественной, и что наши роботы, о которых ты все хочешь услышать, они просто неэффективны, потому что ИБ сейчас, не имея методик оценки, неэффективна целиком.

 

Олег Седов: То есть ты сейчас назвал нас туземцами - социологами?

 

Дмитрий Дудко: Так я такой же.

 

Олег Губка: Я не сторонник вот этой алхимии: качественная, количественная оценка. На мой взгляд, это от лукавого. Опять же идет какой-то культ вот этих стандартов управления по менеджменту ИБ, управлению рисками, эти подсчеты и т.д. Такая алхимия, которую можно в любую сторону повернуть. И мне кажется такой подход не очень эффективный.

 

Олег Седов: Что тебя удивляет? У каждого сейлза в презентации есть свой квадрат Гартнера, где он будет в правом верхнем углу с оценками все той же самой ситуации.

 

Олег Губка: Да, но я предлагаю опираться больше на экспертную оценку, экспертную оценку рынка и коллег, не опираясь на слово и видение, потому что понятно, что все вендоры и интеграторы в определенной степени ангажированы своими продажами. И задача услышать мнение рынка, не с точки зрения тех, кто продает, а с точки зрения кто использует. И вот здесь как раз, мне кажется, вот эти некоторые тезисы пересекаются с тем, о чем я раньше говорил.

 

Должно быть больше практической безопасности, а вот эта «бумажная безопасность» нас надолго отбросила от хороших проектов, решений различных, где коллеги от профессиональных сообществ делятся мнениями и опытом внедрения этих решений. Таких проектов достаточно мало. И здесь я призываю активней участвовать, делиться мнением и опираться, в части использования тех или иных решений, на экспертную оценку.

 

Олег Седов: Понимаешь, какая штука, есть две страны в мире, в которых инциденты скрывают до последнего или стараются это сделать, независимо от того, что в одной из них это мотивированно регуляторами. Это Америка и Россия, только причины разные. В Америке скрывают до последнего, потому что если узнают, что была утечка, прибегут юристы и засудят, а в России о своих слабостях стараются не признаваться, потому что прибегут те, кто пожелает добить. Это видно даже на примере Википедии – английской и русскоязычной - количество статей и материала в одной гораздо больше, чем в другой.

 

Олег Губка: Полностью согласен, причем я по своим проектам это вижу, когда приходишь к заказчику. У половины заказчиков, с точки зрения процесса управления доступом просто хаос, причем с реальными инцидентами, понятно, что об этом не знает общественность.

 

Нужно осуществлять экспертную оценку в каждой из областей. То есть области понятны, и в этих областях можно экспертную оценку осуществлять, не опираясь на лженауку с подсчетами.

 

Дмитрий Дудко: Олег, скажи, а вот есть такой вопрос. Информационная безопасность, она где? Она в IT или в ИБ должна быть?

 

Олег Губка: Вот ты знаешь, я в последнее время прихожу к мнению, что она должна быть в IT.

 

Дмитрий Дудко: И вот смотри, что у тебя получается. Вот IT-шники имеют свои KPI, собственно, вся ИБ выросла из KPIи IT-шников. Когда им сказали построить интернет, все было очень просто: поставили два коммутатора, сделали – все работает. У нас получились атаки Man-in-the-middle, maxspoofing и т.д. Если мы оцениваем ИБ с точки зрения IT, там все понятно, в пять действий можно посчитать любой ущерб - берем мы 0-day вирус или любой известный, последний, смотрим, сколько стоит восстановить после него систему. Например, сутки. У нас 10 человек на 1000 компов, берем 100 дней – т.е. 100 дней мы будем переустанавливать все компы, если у нас все заразились. Посчитать очень просто, если мы в IT, а если мы в безопасности будем работать с рисками, тут с эффективностью мы возвращаемся к «не взломам» и т.д., к этому нам придется рано или поздно прийти, у безопасности KPI совершено другие.

 

Олег Губка: Дима, я так скажу. Здесь нет хорошего решения, есть плохое и очень плохое, то есть безопасность в IT меньшее зло, чем ИБ в безопасности, потому что видел я этих ИБ-шников, которые входят в службу безопасности, по-моему, они профильными задачами занимаются десять процентов времени. В основном это режим, физическая безопасность или документооборот, подготовка к конкурсу.

 

Олег СедовВозник вопрос, кому должна подчиняться ИБ? Я думаю, что эта тема отдельного обсуждения. Вопрос действительно важный, потому что где бы ни было ИБ, она всегда будет по остаточному принципу.

 

Дмитрий Дудко: Ну, нет!

 

Олег Седов: Где оно не по остаточному принципу?

 

Олег Губка: В ИБ, подчиненную напрямую бизнесу, я тоже не верю. Мне кажется, это не такая значительная область, которая должна напрямую подчиняться бизнесу.

 

Олег Седов: Ребята, про эффективность.

 

Олег Губка: Экспертная оценка не только с точки зрения рынка, но и твоя личная экспертная оценка.

 

Дмитрий Дудко: Олег, а как ты бизнесу будешь доказывать? Ты приходишь к ним и говоришь, нужно сделать зпд, риск очень высокий, регулятор придёт, штраф будет. А бизнес говорит: «А все равно!».

 

Олег Седов: Все, он принимает риски.

 

Дмитрий Дудко: Да, он принимает риски.

 

Олег Седов: Только здесь есть, как всегда маленькое лукавство, бизнес говорит, что он принимает риски, он знает, на кого он переведет стрелки.

 

Дмитрий Дудко: Да, последний раз на CS саммите, когда я проводил круглый стол, там в такой парадигме люди и живут, то есть ты бери и доказывай бизнесу, а потом ты еще окажешься крайним.

 

Олег Седов: Я, единственное, почему соглашусь с тобой, Олег - эта точка зрения в пользу профессионального сообщества – так это по той причине, что последние месяца два - три я живу с ощущением того, что мы никак не можем понять, что на дворе XXI век, а наши регуляторы продолжают мотивировать рынок или делают вид, что они мотивируют, методами и средствами, которые остались у них с незапамятных времен: царскими указами, страшилками, выпороть, если что-то не так. То есть это не XXI век, в XXIвеке уже существуют другие методы работы профессиональных сообществ, которые сами позволяют отфильтровать что-либо, вот эту работу автоматизировать могут роботы, как мне кажется.

 

Олег СедовСпособна ли автоматизация ИБ противостоять росту угроз? Или все будем заваливать тушками?

 

Олег Губка: На мой взгляд ИБ – это часовой механизм со своими процессами взаимосвязанными. Можно посмотреть динамику развития часовых механизмов, когда были наручные часы с ручным подзаводом, потом появился автоподзавод, потом кварцевые часы. Все-таки кварцевые часы являются более точными, более эффективными. То же самое происходит в ИБ. Мы это видим, роботы, может громкое название, но автоматизация безусловно растет, и автоматизация как с точки зрения внутренних процессов в обеспечении информационной безопасности.

 

Появились первые IDM, SIEM, системы управления рисками, который тот же R-Vision делает. И вот эта автоматизация растет, потому что есть ограниченность ресурсов, есть рост угроз, и расширение областей ИБ. Но ресурсы у нас ограничены, у нас не достаточно людей для того, чтобы посадить на каждое направление отдельного человека, поэтому тут исключительно за счет автоматизации мы можем выдержать гонку между снарядом и броней, как я говорил, то есть противостояние между угрозами и средствами защиты.

 

Олег Седов: Прекрасный тезис пишет Алексей Козленко: «Если нас будут атаковать массой, то противостоять массе можно только роботами». А нас уже атакуют роботы.

 

Олег Губка: Роботы атакуют, все верно.

 

Дмитрий ДудкоАвтоматизация нужна, вопрос в том, какая автоматизация нужна. Вот Олег предлагает IDM-решение. Две маленькие истории. Одна: автоматизация - автоматизации рознь. Например, помимо ИБ, кстати, на картинке собирают самые лучшие смартфоны на нашей планете, ну так заявляется, и, как видите, это делается вручную. Вы думаете в самом главном процессе, который есть, не могли роботов сделать?

 

Олег Губка: Это Китай, у них рабочая сила дешевая.

 

Дмитрий Дудко: Вот мы сейчас к этому моменту вернемся, вот смотрите что получается, оператор сотовой связи топ три, который в 2010 г. решил внедрить у себя IDM. Наша компания это делала, они перед этим решили сделать матрицу доступа у себя. На проект ушло практически год и отчетный документ по матрице занял три файла Excel, причем в двух из них были полностью забиты разрядности. Не знаю, что там было у них дальше, не буду врать, самый главный вопрос, который обсуждался – «а сколько же мы потратим трудоресурсов, помимо закупки и автоматизации, чтобы это все поддерживать в актуальном состоянии?».

 

Не одно средство защиты не работает без оргмер, просто никак. Только если вы не защищаетесь от регуляторов, покупаете что-то, и оно лампочками моргает. И второй пример: банк, пять тысяч сотрудников. Они просмотрели кучу IDM, все, которые были представлены на рынке, это был 2012 год. И не выбрали ни одного, потому что нужно было обосновать множество денег, расширение штата и всю эту актуализацию.

 

Все это крутится вокруг одного – денег, количестве людей, которое мы сможем нанять. Стоимость среднего проекта в ИБ в среднем 10 миллионов рублей. И вот у меня есть сокурсник Сергей Размахнев, он работает в топ-интеграторе. Когда он защищался в институте, это был 2006 год. Он защищался по межсетевому экранированию. Ему два человека задали вопрос: « А вот можно вместо этой железки, которая даже на тот момент стоила 100000$, поставить «вохровца» 24 на 7, трех «вохровцев»?

 

И получается следующая вещь, автоматизация, которая есть, она происходит в лоб. Всегда, зачастую за эти деньги можно нанять сколько угодно специалистов. Мы автоматизируем деятельность людей, то, что человек мог бы сделать, если у него было время, деньги и еще штат сотрудников. А на самом деле роботы нам нужны для другого, они нужны для сходной корреляции, которую человек в уме никогда не сделает.

 

Олег Седов: И не отреагирует так быстро на то событие, которое случается вдруг, потому что «вохровец сначала чай допьет»

 

Дмитрий Дудко: Да, это не вопрос.

 

Олег Седов: Так ты за что? Ты за кого?

 

Дмитрий ДудкоЯ за автоматизацию, но умную автоматизацию и не такую как сейчас.

 

Олег Седов: То есть робот-вохр?

 

Дмитрий Дудко: Можно сказать и так.

 

Олег Седов: Я хочу перейти к вопросам, которые на нас тут посыпались. Мне очень понравился вопрос: «Можно ли обеспечить безопасность, если использовать буржуйские железки и программы, которые могут в любой момент могут начать работать против нас»?

 

Дмитрий Дудко: А это, кстати, к вопросу о том, что проще зарыть компьютер на три метра вниз, и он будет самый безопасный.

 

Олег Седов: Другой вопрос более интересный: «Почему Дудко считает деньги самым ликвидным активом?»

 

Дмитрий Дудко: Я считаю? Ребята, все очень просто, помимо нас есть еще целый мир. Целый мир считает все в деньгах. Если вы посмотрите ПБУ (положение о бухгалтерском учете) или МФСО (международные стандарты финансовой отчётности). Там будет, что деньги самый ликвидный актив. Деньги в кэше, потом деньги на счету, третьи уже идут нематериальные активы, движимое/недвижимое имущество и т.д.

 

Вот у вас скоро будет выступать IBM, вот если кто читал их отчеты, там они впрямую сказали: «Сейчас хакеры в первую очередь нацелены на самый ликвидный актив: деньги». А чтобы украсть информацию, ты столько же потратишь времени, чтоб это сделать, а потом еще год будешь искать, кому это продать, за сколько продать, хотя этот человек, который у тебя потенциальный покупатель, может у тебя за «шоколадку стырить»

 

Олег Седов: Как объяснить тот факт, что мы очень долго говорили на эту тему и только спустя половину беседы подошли к теме автоматизации. В наших разговорах появилось слово автоматизация. Она вторична в данном вопросе?

 

Олег Губка: Я считаю, что нет, конечно, не вторична, просто мы к этому вопросу планомерно подходили, и это современная тенденция, мы от этого не денемся, автоматизация присутствует и в бизнес процессах, она расширяется.

 

Дмитрий Дудко: Олег, знаешь еще в 2010 году, и до сих пор идет статистика, что внедрение ERP-системы, как минимум в пятьдесяти процентах случаев проваливается, тратится множество денег, и на системы автоматизации, между прочим, бизнес процессов, к которым гораздо больше людей приставлено и которые контролируются с самого верха.

 

Олег Губка: Адекватно надо подходить к любому проекту, то есть нужно понимать, для чего ты это делаешь, и что тебе это даст.

 

Олег Седов: Вот сейчас ты цитируешь учебник по тому, как нужно вести проект, но жизнь она по-другому выставляет приоритеты.

 

Олег Губка: Здесь что можно сказать. Я говорил уже об экспертной оценке, то есть нужно прислушиваться к тому опыту, который уже был по реализации тех или иных проектов, и это поможет.

 

Олег Седов: Нет! Потому что каждый новый проект – это новый вызов, если ты берешь проект, понимаешь, что это только кажется, что ты с такими задачи сталкивался, решал, но как опускаешься на низкий уровень проекта, ты понимаешь, что все как будто в первый раз.

 

Олег Губка: Ты имеешь ввиду, что один человек будет два одинаковых проекта вести по-разному ?

 

Олег Седов: Нет, дух заказчиков не бывает одинаковым

 

Олег Губка: Я согласен, но все равно снизить проектные риски можно за счет типизированного подхода.

 

Олег Седов: Если есть типизированный, то это в облако, все коробки сейчас в облаке, поэтому вот этот вариант развития роботов я не верю, а вот робот, который интеллектуально настраиваемый и которому нужно соответствовать компетенцией службы ИБ – это да, я, наверное, все-таки за это голосовал, если бы был на вашем месте. Коллеги, вам ваше последнее слово.

 

Дмитрий Дудко: Итог очень простой, коллеги. Я считаю, что мы можем перейти куда угодно: в автоматизацию, в роботов и так далее, но нужно понять сначала, кто мы и что мы как информационные безопасники, как безопасники в принципе, что приоритетней – безопасность или требования бизнеса.

 

Все сейчас скажут, требования бизнеса - вот что действительно важно. Банальный пример можно привести. Зачем людям в офисе доступ к интернету, если они сидят там постоянно? У нас сейчас большая проблема в том, что мы шли по пути всех остальных отраслей, например, IT, которая выбивала бюджеты теми же самыми страхами: вот сейчас сервер сгорит, вся информация потеряется, давайте возьмем второй сервер и т.д. И вот роботы. Роботы – это когда ты понимаешь, как человек понимаешь, чего тебе не хватает, когда ты как специалист можешь себе сказать - вот мне не хватает робота, который будет коррелировать большие объемы данных между собой связанных с этим активом, и всех событий, которые будут внутри него. Но для этого ты должен понимать, как ты себя оцениваешь, как оценивают тебя, и куда ты движешься. А вот так огульно говорить –«давайте наделаем кучу автоматизаций!». Компьютер – это уже автоматизация, все об этом забывают.

 

Олег Седов: Я понял твою точку зрения. Ты что считаешь, Олег?

 

Олег Губка: Я считаю, что роботы существуют уже здесь и сейчас, потому что понятие робота, оно всеобъемлющее и те решения, которые есть на рынке, это уже автоматизация многих процессов, обеспечение ИБ, и мы от этого никуда не уйдем.

 

Просто давайте заниматься практической безопасностью, то есть отойдем от выдуманных рисков, стандартов, требований. Несмотря на то, что этим, конечно, нужно заниматься, а займемся больше практической областью, реальными угрозами, реальными рисками, и чаще общаться друг с другом, делится опытом. Я вот к этому призываю.