Одним из центральных гостей на недавно прошедшей в Кирове конференции CIO-клуба под названием "Тайные знания адептов ИБ" стал Руководитель экспертного направления компании Solar Security Андрей Прозоров. Андрей, как оказалось, является выпускником кировского Физико-математического лицея и ценит Киров за то, что только здесь его фамилию произносят правильно. О том, какую роль сейчас играет информационная безопасность в работе предприятий, а также о том, что из себя сейчас представляет профессия специалиста по ИБ, мы и решили узнать у Андрея.
- Люди сегодня практически ежедневно сталкиваются с таким понятием как кибербезопасность в гораздо более широком смысле, чем просто защита от вирусов и троянов. Постоянно взламываются почтовые ящики, учетные записи в облачных сервисах и социальных сетях, происходят хищения с банковских карт. Расскажите, где же пролегает тонкая грань между защищенным в информационном плане гражданином и незащищенным?
- Отличить защищенного человека от незащищенного сегодня очень просто. Защищенным является тот человек, у которого нет интернета, мобильного телефона и компьютера. Это автоматически означает, что у него все хорошо с кибербезопасностью. Если у него есть домашний компьютер или ноутбук, доступ в интернет, а если ещё и смартфон, да ещё и на Андроиде, то ему стоит начать опасаться за сохранность своих данных и даже денежных средств. На самом же деле граней как таковых уже давно нет, всё решает случай. Повезет - не повезёт, выстрелит в меня какая-то угроза или не выстрелит. Взломают мой профиль в соцсети или не взломают, будет мой подключенный к интернету чайник атаковать какой-нибудь сервер или не будет. Всего не предугадаешь.
- Как же тогда защититься, если поведение киберпреступника всё равно не предугадаешь? Мне предлагают взять антивирус Касперского на телефон, на компьютер, но нужен ли он, если все решает случай?
- Конечно нужен, ведь даже простые антивирусы вполне хорошо справляются с бытовыми угрозами. Ситуация тут стандартна - вы либо снижаете риски, либо понимаете как на них реагировать. Если у вас нет ни времени, ни желания становиться специалистом по информационной безопасности, обучаясь на собственных ошибках, лучше заранее позаботиться о своей защите.
- А что это за человек такой - специалист по информационной безопасности? Чем он занимается и какие вопросы он решает?
- Современный специалист по информационной безопасности защищает бизнес от угроз связанных с утерей или утечкой информации.
- А давайте разберем недавний случай, который произошел на Омском сыроваренном заводе. В сеть утекло видео, на котором работники завода купаются в чане с молоком, из которого потом будет сделан сыр. Результатом утечки стало закрытие завода. Какие меры мог предпринять специалист по информационной безопасности, чтобы не допустить этого?
- В данном случае сработал так называемый риск имиджевой потери и современные специалисты по информационной безопасности стараются максимально снизить риски возникновения таких проблем. Например, предпринять меры, которые бы предотвратили это купание в молоке, повесить видеонаблюдение, отбирать телефоны на входе, ввести запрет на съемку, либо провести простейшее обучение с сотрудниками и сказать им, чтобы они на производстве вели себя подобающе, не снимали ничего на видео и, тем более, не выкладывали это в соцсети.
- То есть безопасник сегодня в большей степени гуманитарная специальность, подразумевающая работу с людьми, а не настройку сложной автоматизированной системы.
- Не совсем так. Просто если безопасник не будет работать с персоналом, технические средства не будут работать. Большое количество угроз сегодня возникает из-за персонала, по их вине, по их невнимательности, по случайности. Это та точка входа, которая несет огромное число информационных угроз для безопасности компании, как умышленных, так и неумышленных. Так что технический бэкграунд тоже должен присутствовать, но и от менеджерской работы тоже никуда не деться. Специалист по информационной безопасности должен выстраивать отношения с работниками, выстраивать стратегию борьбы с внутренними угрозами и так далее.
- Но ведь все эти отношения встраиваются в концепцию обычной деловой этики, разве нет? Более того, я уверен, каждый безопасник на своем предприятии говорит своим сотрудникам приблизительно одно и то же. Может быть будет гораздо эффективнее все это преподавать в школе, чтобы люди приходили на предприятие уже подготовленными?
- А это уже включается в школьную программу. Может быть "Основы кибербезопасности" и не стали обязательным для каждой специальности предметом, но в школьной программе он начинает появляться.
- В Кирове тоже?
- Пока что достоверно я знаю только про Москву, но, вполне возможно, что и в Кирове это тоже появилось, я не удивлюсь.
- Но если каждого в школе обучат информационной безопасности, то нужны ли будут специалист по информационной безопасности?
- В какой-то момент времени, вполне возможно, станут не особо нужны по той простой причине, что часть функций уже отдается IT-отделу и безопасник по сути становится не айтишником, а менеджером, который выносит на обсуждение бизнес-риски, оптимизирует затрату ресурсов на безопасность, выстраивает работу отделов. То есть работа эта более менеджерская, нежели техническая. Но, тем не менее, число безопасников, как единиц в компании, я считаю, что будет сокращаться. Какие-то их функции будут уходить на аутсорс, перекладываться на внутренние подразделения и так далее.
- Насколько это безопасно - передавать информационную безопасность предприятия на аутсорс?
- Вполне безопасно. Видите ли, каждая компания в последнее время сама для себя решает, как ей организовать свою информационную безопасность, и у каждого подхода есть как свои плюсы, так и свои минусы. Есть маленькие компании, у которых нет возможности раздувать штат безопасников, устанавливать дополнительное оборудование и так далее. Гораздо легче купить это как услугу. Security as a service сейчас очень популярна, и в России причиной её популярности является отсутствие кадров, то в остальном мире её покупают по той причине, что это дешевле и экономически целесообразнее. Сейчас в России бизнес тоже начинает считать деньги, пытаться сократить расходы и аутсорс может стать тем самым моментом, который позволит выполнять на должном уровне функции безопасности, при этом сокращая бюджет.
- Специалист по информационной безопасности в России сейчас это перспективная профессия, или умирающая?
- Безопасник в России - профессия перспективная, платят хорошо, потребность на рынке есть.
- Но ведь есть и другая точка зрения, которая заключается в том, что информационную безопасность нельзя пощупать и результатом её работы является то, что ничего не происходит и никто не знает, как скоро бизнес перестанет за это платить.
- Тут применима классическая шутка про спящего на работе сисадмина. То ли он спит потому что всё безупречно работает и ему нечем заняться, то ли он спит потому что бездельник и ничего не делает. В эту же ловушку попала и информационная безопасность, не всегда можно со стопроцентной уверенностью сказать, отсутствие инцидентов стало следствием работы системы безопасности на предприятии, или следствием того, что никто предприятие не атаковал. Да, проблема заключается в том, что информационная безопасность - это бэк-офис, то есть даже не второй, а третий приоритет для бизнеса. Большинство денег, внимания и ресурсов будет выделяться тем подразделениям, которые деньги зарабатывают, либо производству. А безопасность, как бухгалтерия или юристы финансируются по остаточному принципу, но так или иначе их деятельность все равно нужна. Вы же не оставите свою организацию без бухгалтерии или кадровиков. В лучшем случае сможете передать их функции на аутсорс. С безопасностью та же история. Поэтому профессия специалиста по информационной безопасности востребована сейчас и будет востребована в будущем.