ИБ как игра на выживание

В дискуссии «ИБ 360°», организованной журналом IT Manager и экспертным клубом ИТ-Диалог эксперты обсудили болевые точки отрасли. С одной стороны – бизнес: ИТ-директора «Автозавод Санкт-Петербург», «Невский Экологический Оператор», ГК «Латео». С другой – вендоры и интеграторы, среди которых AKTIV.CONSULTING, ОБИТ, Cloud NetWorks, RooX и СКБ Контур.

Сразу к сути: регуляторы ужесточают требования, штрафы растут, бизнес подвергается атакам, а злоумышленники вообще не участвуют в этих разговорах – им и так всё удобно.

Прозвучало мнение, что нормативная безопасность и практическая – две параллельные реальности. Чем больше бумажек, тем меньше пользы. Но без них финансирование на ИБ не выбьешь. В то же время ужесточение законодательства – вполне себе благо. «Без этого начальники на защиту данных и копейки не дадут», – признались представители бизнеса. Однако тут же последовал скептический комментарий: «Но выполнять все требования физически невозможно. Как ни крути – кнут все равно прилетит».

В какой-то момент дискуссия дошла до главного вопроса: а вообще, зачем бизнесу платить за безопасность, если гарантий нет? «Мы видели много компаний, которые тратят огромные бюджеты, но это не спасает их от взломов. А есть шиномонтаж, который вообще не вкладывается в ИБ – и ничего ему не делается. Так как объяснить бизнесу, что в реальности все работает не так просто?» – задал вопрос модератор круглого стола Рустэм Хайретдинов.

Остро встал вопрос о пентестах. «Пентесты – это как чекап у врача. Нет здоровых людей, есть недообследованные компании», – считает один из участников. Однако многие признаются, что делать их – одно, а объяснять бизнесу, зачем это нужно, – отдельное искусство. Когда у тебя ничего не нашли, бизнес говорит: «А зачем тогда мы потратили деньги?» Когда нашли – «Почему у нас такие дыры?».

Была затронута извечная дилемма «удобство vs безопасность». По мнению большинства - сумма этих двух факторов – величина постоянная. Чем больше защиты, тем больше недовольных пользователей, которым «опять все сломали». При этом бизнесу важна скорость, а не паранойя. Но если безопасность мешает работать, ее просто будут обходить.

И, конечно, кадровый вопрос. Специалисты нужны всем, но где их взять – загадка. Тех, кто умеет не просто ставить галочки в чек-листах, а реально строить защиту, можно пересчитать по пальцам. Вендоры переманивают, госсектор не может много платить, а молодые специалисты не горят желанием идти в отрасль, где ответственность огромна, а благодарности – под сомнением. «Растить кадры долго, а воровать у коллег быстро», – заметил один из участников. В итоге рынок варится в собственном соку, а требования к специалистам растут быстрее, чем их зарплаты.

Конечно киберугрозы эволюционируют. Вопрос в том, готовы ли к этой эволюции компании? Или, как выразился один из участников, «мы ставим замки, а нам ломают двери». На этом фоне фраза «безопасность – это процесс, а не продукт» звучит уже не как слоган, а как диагноз.

Выводы? Их нет, как и универсального рецепта. Кто-то верит в мощные технологии, кто-то – в человеческую осознанность. Но одно ясно точно: кто не уделяет безопасности внимания – сам становится кейсом для обсуждения на ИБ-мероприятиях.

Это если очень коротко. А подробно о том, как проходил круглый стол вы скоро сможете прочитать на сайте и в новом номере журнала IT Manager. Следите за обновлениями.