Разрушение мифов об Информационной безопасности. Эксклюзивное интервью с Владимиром Безмалым

В эпоху диджитализации многие предприятия действительно обеспокоены своей безопасностью, так как ни конкуренты, ни киберкриминал не дремлет.

C целью выстраивания эшелонов защиты бизнеса, предприятия приглашают специалистов, которые ранее работали или работают в сфере информационной безопасности. Наверняка, найдутся и такие бизнесмены, которые столкнувшись с фактором чрезмерной безопасности скажут, что некоторые методы безопасников могут мешать предприятию зарабатывать деньги. И у таких бизнесменов актуальность безопасности бизнеса, который не приносит деньги, отпадает сама собой. И это вторая крайность – пренебрежение безопасностью, которая также оказывает существенное влияние на бизнес.

Данным циклом-интервью я продолжаю исследовать рынок информационной безопасности с помощью приглашенных экспертов этой области. Уверенна, что каждый из гостей при озвучивании мной одних и тех, же вопросов, будет давать разные ответы, глядя на рынок через призму своего восприятия.

Почему меня интересует данная тема, я писала в первом интервью данного цикла. Исследование рынка информационной безопасности сегодня стоит крайне остро, так как в связи с текущими изменениями в мире, в сети бушует накал страстей все тех же трех сторон: бизнеса, киберкриминала и безопасности.

В этот раз интервью состоялось с независимым экспертом, Microsoft Security Trusted Advisor, консультантом ООН по информационной безопасности, автором множества статей и книг по «Цифровой гигиене» – Владимиром Безмалым, за плечами которого 30 летний стаж в сфере информационной безопасности. Как сказал Владимир: «безопасностью занимаюсь ещё с армии. Я в IT не работаю – я тут живу».

 

– Владимир, помогите пожалуйста разобраться, по-Вашему мнению, что такое «информационная безопасность», так как единого мнения на этот счет в сети не существует?

– А что такое безопасность? Вот давайте подумаем, что такое безопасность вообще? А потом уже перейдем к информационной. Изначально, это чувство защищенности. Кто-то для этого чувства убегает в пустыню. Кто-то нанимает дополнительную охрану. Кто-то ради безопасности делает что-то другое.

«Информационная безопасность» – когда мы знаем, что, то, что принадлежит в данном случае нам, наша безопасность, она защищена. То есть мы сохраняем её конфиденциальность, целостность и доступность. Конфиденциальность нашей информации недоступна никому кроме тех, кому мы разрешили, явно разрешили. Доступность означает, что информация доступна нам в течении того минимального периода времени, на который мы сами рассчитываем. Ну и целостность, понятно, чтоб никто её не изменил.

Правда на Украине существует ещё одно свойство ИБ, и оно называется наблюдаемость, но в международных стандартах приняты три параметра ИБ: конфиденциальность, доступность, целостность. «Информационная безопасность» – это скажем так, ощущение того, что потери, которые вы можете понести и по несёте в результате возможной атаки будут минимальными. Обеспечить её, и дать определение чего-то статического в информационной безопасности, невозможно. Потому что информационная безопасность — это не состояние, а процесс. Мы сначала анализируем, а так ли и всё у нас, затем принимаем меры чтобы что-то улучшить. В ходе этих мер неизбежно ухудшается что-то иное. Мы эти меры настраиваем, затем проверяем. А как мы их настроили? А что сделали заново? И начинаем опять анализировать. Итого это просто процесс вокруг нас.

 

– «Информационная безопасность» 10 лет назад и сегодня – это одно и тоже? В чем, по-Вашему мнению, отличия?

– Все стало намного страшнее. И более того, кто-то назовёт меня параноиком, но к сожалению… Я всегда вспоминаю слова своего любимого Макса Фрая: «лучше быть параноиком, но живым». Стало намного хуже по одной простой причине, появилось намного больше различных устройств, различных гаджетов. Соответственно намного больше пользователей этих гаджетов, вспомним В. И. Вернадского: «масса человеческого разума стабильна, а количество населения растёт». Понимаете, люди сегодня не беспокоятся тем, какими гаджетами они владеют. Здорово и великолепно, что у каждого из нас есть мобильный телефон, но ведь это шпион, которого мы носим рядом с собой всегда. Можно ли говорить о том, что люди стали умнее? Нет. Они не стали умнее, более того стали беспечнее, и в чем-то даже глупее. Поэтому ну как говорить об информационной безопасности? На сегодня 95 % всех взломов, – это взлом через человека. Ломают не технику, ломают людей! Это проще, надёжнее и в конце концов просто дешевле. Вот и всё.

Говорить о том, что мы стали в чем-то защищённые? Да, в чем-то мы стали защищеннее, уже люди начали на тех же телефонах использовать шифрования, использовать сложные пин-кода. А теперь давайте честно, начали? Нет. Они знают, что это есть, но человек ленив. Поэтому использовать он это будет только тогда, когда почувствует явную угрозу. Он чувствует угрозу? Нет. Нас в данном случае спасает только то, что мы бедные. Именно поэтому никому сегодня не нужны. Потому что воровать у нас просто не выгодно, у нас не у воруешь столько чтобы оправдать сам процесс. Вот и всё.

Возьмём на примере тех же смартфонов. Какие смартфоны покупают сегодня люди в основной массе? Я не так давно смотрел статистику. На Украине сегодня приблизительно 80-85 % смартфонов под Android, из них только 10-11 % – смартфоны с последней версией Android. И после этого вы будете говорить, что люди думают о безопасности? Не смешите. Посмотрите, что сегодня происходит. . . Причём самое интересное, когда всё это начиналось Android был существенно дешевле и можно было списать на то, что мы их берём из-за дешевизны. Сегодня это не так, по цене они практически сравнялись. Google поддерживает свою операционную систему всего два года, причём два года с момента создания. А вы же не бежите за новым смартфоном, как только вышла новая операционная система? Конечно нет. Значит минимум полгода вы уже потеряли. Дальше, мы покупаем телефон предположим Samsung как один из наиболее известных брендов. Отлично. Только никто не говорит, что Samsung поддерживает обновления операционной системы полтора года с момента выхода модели. А вы покупаете модель сразу, как только она выйдет? Конечно нет. Следовательно, вычитаем ещё полгода. Итак, у вас остался год. Через год вы побежите его менять? Нет. Следовательно вы сами себя загоняете в яму. Здравствуй мир!

 

– Какие Вы видите угрозы, связанные с информационной безопасностью сегодня?

– Для корпорации угрозы будут одни, для государства другие, для людей третьи.

Угрозы для государства я рассматривать не буду, по одной простой причине для этого у нас есть силовые структуры, пусть у них голова болит. Я не обладаю всей полнотой сведений о том, что творится в государстве. Да и, честно говоря, просто не хочу на эту тему говорить.

Если говорить о корпорациях. Угроза номер один – лень и жадность. Потому что чаще всего у руководителя, который сидит наверху основная задача заработать денег. Всё, больше ничего ему не нужно. Будет ли он заботиться о безопасности? Да не будет о ней заботиться. Его задача в нашем государстве, построить бизнес по принципу «украл и убежал». Всё. Говорить как это принято на западе о том, что мы хотим построить стратегию развития нашего предприятия на 5 — 10 лет, у нас это невозможно. Можно построить максимум на год, и то, если хватит духу и денег. А когда мы строим стратегию на год, мы можем построить стратегию безопасности на два? Нет. Всё, вопрос закрыт. Какие у нас в этом плане угрозы? Самая главная угроза — это нестабильность законодательства. У нас сегодня законы одни, завтра другие.

Далее идут стандартные угрозы: вредоносные ПО, проникновения, хищение денег. Причём чаще всего эти угрозы будут идти изнутри компании. Что такое на сегодня корпоративный патриотизм? И чем он определяется? Только размером заработной платы. Больше ничем. Все разговоры на тему ну вы же патриот своей компании. Мне обычно от них грустно. Какой к черту патриот? Сегодня платят – я сегодня патриот, завтра не платят – я не патриот. Это просто смешно.

Следующая угроза для наших больших корпораций, да и небольших тоже – крайне низкие знания персонала. А людей нужно учить. И учить нужно каждый день. Кто это делает? Никто. Почему? Денег жалко. Отсюда недоученностью IT специалистов, отсюда недоученность специалистов ИБ. На самом деле самое страшное, что я вижу в нашей корпоративной среде – это дурак с инициативой. Приходит особенно молодёжь из ВУЗов недоученная, да и вообще не учившаяся с горящими глазами: «я все сделаю так как меня учили, как я понимаю, так будет лучше». А будет ли так лучше? А кто проверял? Никто. И проблемы у всех специалистов одинаковые, они знают куда, на какие кнопки нажимать в данной версии. Завтра изменится версия, изменится интерфейс, изменятся кнопки. Всё. Просели. Их нужно учить заново. А кто будет их учить заново? Никто. Потому что некому.

Основная проблема нашего общества, не государства, а именно общества в том, что мы выпускаем людей из ВУЗов и школ с отсутствием знаний. Если, например в Австралии учат вопросам информационной безопасности с 3-х лет. Вдумайтесь… с 3-х лет, то у нас этим вопросам не учат вообще, от слова совсем. Что и показала наша совершенно недавняя вспышка пандемии. Как будем учить? Удалённо. Отлично! Школы готовы? Нет. Учителя готовы? Нет. Ученики? Нет. Как будем учить? Никак. Вот сейчас придёт 1 сентября, карантин на Украине никто не отменял. Как мы будем учить? А я не знаю. Причём, я не знаю именно с позиции преподавателя. Учить удалённо чрезвычайно сложно само по себе, а по-другому не знаю как. Всё. Это проблема безопасности? Конечно.

Возьмём обычного среднестатистического пользователя. У него дома есть компьютер, и он скорее всего работает на нём с правами администратора. А ведь так нельзя, Microsoft об этом говорит уже 10 лет. Более-менее хорошо если у человека личный компьютер и за него никто не садится, а ведь в большинстве случаев совершенно не так. Все работают под одной учётной записью и зачастую без пароля – и это вторая ошибка. Особенно если на нём мама и папа пытаются что-то делать для работы, а дитё тут же тащит свою игрушку. Моё вам искреннее сочувствие.

Поговорим о пароле. Он на вашей Wi-Fi точке длинный и сложный или простой и короткий? Длинный и сложный очень хорошо, но теперь смотрите, к вам приходят гости, естественно просят пароль от Wi-Fi. Вы меняете после них пароль? Нет. А ведь чего проще, сделать отдельную гостевую сетку вообще без пароля, включать её только для гостей и по окончанию гостей выключать. Всё. Да, для этого потребуется чуть более дорогой роутер и чуть больше знаний. Но ведь безопасность, она для вас или вы для неё?

Ну я уже не говорю о таких вещах как детские игрушки с подключением к интернету говорящие куклы и так далее, там совсем грустно. Вопрос, дома стоит колонка с голосовым помощником, ну или, например на вашем телефоне включён тот же Siri? Да? А где гарантия, что эту писанину никто не будет использовать против вас? У меня такой гарантии нет. Могу ещё какой-то привести пример, но дело в том, что это просто слова. Проблема со словами состоит в том, что за ними ещё должно стоять что-то. Должны быть дела.

Чуть не забыл о самом интересном, в доме же наверно есть телевизор с интернетом? А вы знаете, что есть телевизоры, которые нас слушают и смотрят. Я вполне серьезно. Например, Samsung с голосовым управлением, есть телевизоры с обратной связью камерой, которая управляется жестами. А есть ещё более интересный вариант. Вы просто смотрите телевизор и по анализу определённой группы пикселей на той стороне, проанализировав их, можно понять какие передачи и фильмы вы смотрели. На основании полученных данных и анализа социальных сетей составляется ваш психологический портрет. Социальные сети вообще отдельный разговор. И дальше мы знаем как с вами работать. При этом учтите, я ещё не слово не говорил о том, что называется OSINT – это средство составления вашего психологического портрета на основе данных аккаунта вашей социальной сети. Мне иногда говорят: «но меня нет в социальной сети». Я отвечаю, что это ещё хуже. Почему? Ну во-первых, отсутствие вас в социальных сетях в некоторых странах на западе считается психологическим заболеваниям. Во-вторых, у вас нет, и что? Там есть ваши друзья? Есть. А зная с кем вы общаетесь и составив их психологический портрет, очень несложно составить и ваш. Именно поэтому я и говорю, что обучать детей нужно буквально с 2-х, 3-х лет.

Вот давайте вспомним обычные сказки. Вы, наверное, читали в детстве «Али-Баба и 40 разбойников»? Помните ситуацию, когда атаман подъезжает к пещере и громко кричит: «сим-сим откройся!». А теперь давайте разберём эту ситуацию с точки зрения информационной безопасности. Первое, что он делает кричит громко. Следовательно мощность беспроводного сигнала значительно превышает необходимую норму. Второе, – он поэтому каналу передает пароль в открытом виде. Он выезжает из пещеры и не меняет пароль, именно поэтому возможен взлом. Когда Али-Баба попадает в пещеру, он видит, что груды золота лежат на земле. Следовательно, в пещере атамана отсутствует учёт и аудит. Но самое интересное начинается дальше. Почему Али-Баба послал свою жену за весами к брату? Вовсе не потому, что он такой глупый. Он знает, что его брат при виде золота теряет разум. Отлично. Он отправляет его в пещеру за золотом. По закону Шариата в случае смерти брата, всё его имущество и жена переходит к младшему брату. Старшего убивают, а поскольку младший натаскал себе золото из пещер разбойников, то ему не нужно отчитываться перед налоговой инспекцией откуда оно у него появилось. Проблема решена. Ну и дальше. Он садится в лавку брата, и начинает кормить нищих. Почему? Он такой добрый? Нет. Он просто предусмотрительный, знает, что через год будут выборы старосты рынка. И становится старостой. Есть ещё одно оправдание откуда ещё можно взять золото. Все просто.

 

– Ваше мнение, произошли ли какие-то изменения в структуре угроз? Какие, и как Вы думаете, почему это произошло?

– Конечно. Во-первых, в силу развития техники. Скажем 20 лет назад, когда только начинался интернет, никто об этом не думал вообще. Ну мало ли, сижу я дома с низкой скоростью модема где-то, что-то качаю. У нас это было 20 лет назад, у кого-то это было 40 лет назад, неважно. Сегодня появилась возможность доступа с любого компьютера на любой другой. Появились новые угрозы? Без сомнения. Появились социальные сети, в которых многие люди очень любят хвастаться. Придать себе значимость скажем так. Стало модным фотографироваться в отпуске на фоне пальм, моря, крокодилов каких-нибудь. Это привело соответственно к тому, что сегодня злоумышленнику уже не нужно оценивать ваше благосостояние. Не нужно смотреть в какой одежде вы ходите, на какой машине вы ездите. За вами даже не надо следить, вы же сами про себя все напишите. Причём вы будете фотографировать и публиковать фотографии с метками локации. По ним можно сразу определить, где это было снято, в каких условиях, на каком аппарате. Вы сами все рассказали. Вы сами дали координаты. А если эти фотографии появились предположим сегодня, то, как правило означает, что к вечеру вас дома ещё не будет. Новая угроза? Новая, без сомнения. Ну или попадается такое, когда жена заявляет, что муж едет в командировку и присылает фотографии с бог знает какого места. Возникает вопрос, кто где был? Он написал, что едет в тайгу. Она написала, что едет на симпозиум. А встретились на пляже в Египте. Такой вариант вполне возможен. Это вот вам ещё одна новая угроза. Люди начинают описывать свою жизнь буквально с момента рождения и своих детей соответственно. Дата рождения уже не представляет никакой секретности, а в некоторых случаях дату рождения используют в качестве пароля. Вообще, чем меньше человек говорит о себе, тем полезнее. В случае если человек устраивается на любую более-менее ответственную работу, первое что делает служба безопасности, проверяет его и его близкое окружение. И если вдруг натыкаются в социальной сети на какие-нибудь танцы на столе, то поверьте, ответственной должности можно ему искать долго. Причём если эти данные в Интернете, то это уже навсегда. Вот как-то так. Естественно, отображается и вся история жизни, переезды, места учёбы люди же сами все указывают. Соответственно можно посмотреть кто с кем учился, как учился. И это будет совершенно не та история, которую человек хочет рассказывать.

Что ещё такого интересного можно увидеть. Номер вашего телефона зачастую он привязан к социальной сети. И вроде вы его никому не давали, но в социальной сети его посмотреть можно. Очень редко кто дает к номеру телефона предостережение, что его не может видеть никто, кроме него самого. Да и вообще по большому, что такое социальная сеть? Это просто большая база данных. Но, а где гарантия что её не может посмотреть ваш системный инженер? Нет такой гарантии. Просто, потому что её просто нет. Вот и всё.

Угрозы для предприятий. Первая угроза, и я её уже о ней говорил – это бестолковый персонал. Как руководство, так и персонал. Что касается руководства имеется ввиду, на предприятии приняли политику безопасности, теперь мы будем работать по таким-то правилам. А теперь вопрос, руководство придерживается этой политики? Если нет, то считаете, что ее никто не придерживается. Всё. Очень часто этой политики нет вообще, есть какие-то технические решения. А теперь давайте рассуждать трезво, эти технические решения помогут в случае увольнения сотрудника? Нет. Формально он ничего не нарушал. Бумаги подписанной нет, значит его с этими правилами никто не знакомил. Если он нигде не расписался, то он их не видел. И он может восстановиться на работу. И как вы думаете, кто в этом случае будет выглядеть дураками перед персоналом? Такое уже случалось, в частности, в Российской Федерации, когда уволенный по статье сотрудник возвращался обратно, потому что он ничего не подписал. Очень часто руководство этого не понимает и считает, что безопасность — это прежде всего забор, охранник, собаки и ещё кто-нибудь. А у меня вопрос: итак, господа, вы построили информационную безопасность, у вас есть резервные копии вашей информации? Как правило все неприятности происходят ночью. Вопрос, охранник знает кого вызывать на работу? И второй вопрос, более сложный: у охранника есть в сейфе деньги для оплаты такси? У меня нет денег ездить на работу. Вот если на оба вопроса ответ нет, дальше рассматривать не буду. Службы безопасности здесь нет. Согласны? А так как на работу чаще всего первым прибудет наименее подготовленный специалист, то сразу же следующий вопрос: дорогой мой, покажи инструкцию, как ему действовать. Если в ней просто написано пойди туда возьми вот это, то он обязательно возьмёт не то, что нужно. Это должна быть инструкция, как вам не странно покажется, в комиксах. Снимок экрана «нажми сюда» –«распишись». Теперь ты должен увидеть вот это «…» – «распишись». Теперь ты должен сделать вот так «…» – «распишись». Если что-то нестандартное, значит плохо составлена инструкция. Инструкция должна быть на все случаи жизни. Потому что либо пребывать должен руководитель, который может принять решение, а чаще всего он не приедет, либо вы должны предусмотреть извините куда бежать. Младшие сотрудники права инициативы не имеют.

 

– Сколько таких разновидностей, есть ли исчерпывающее количество?

– Да, конечно, есть. И в конце концов если ты встретился с тем, чего ты не знаешь, будь добр звони и выясняй.

 

– Вы используете какой-то инструмент для классификации информационных угроз? Если не секрет, расскажите пожалуйста, какой?

– Знаете, я не хочу говорить о конкретных инструментах. Для классификации сейчас достаточно много разных инструментов, но о них говорить не буду. Не хочу делать кому-то рекламу. Вы поймите, как говорил один мой товарищ: «твое слово, дорого стоит». Сегодня ты упомянул кого-то, а кого нет и обидел. Заслуженно, незаслуженно ты же всего знать не можешь. Поэтому от конкретных указаний я, пожалуй, воздержусь. Инструмент просто должен быть, но не более того.

 

– Но как мне кажется, важно, что используется в качестве рабочего инструмента? Иначе, как понять с чем имеешь дело?

– Важно, но, пожалуй, повторюсь. Расскажу хорошую шутку: «здравствуйте, можно ваш совет или консультацию? Так вы определитесь, вам совет или консультацию? А в чем разница? Совет бесплатный, консультация за деньги. Тогда совет. Тогда совет: купите консультацию».

 

– Расскажите пожалуйста, какие проблемы, заблуждения и мифы в области корпоративной безопасности существуют сегодня?

– «Я слишком маленький, у меня нечего воровать» – это заблуждение номер один. Воровать всегда есть у кого, и всегда есть что. И про то, что ты слишком маленький, забудь. Маленький? Ну что ж, у маленьких воровать дешевле. Поэтому я когда-то говорил: лучше десять клиентов небольших за месяц, чем один, но большой. Потому что с ним возни больше, хоть и заплатит он дороже. В сумме те десять, будут те же деньги, а мне будет дешевле. Вот это основное.

Второе заблуждение – «мы все знаем, мы все сможем». Естественно.

Третье заблуждение – «мы великолепно защищены. У нас стоит антивирус. У нас стоит Firewall. Все настроено правильно. Мы отразили 3 или 4 атаки». Но обязательно правда будет и 5-я, о которой никто ничего не знает.

Четвёртое заблуждение – «у нас великолепно настроены резервные копии. У нас умный руководитель». Ну таких можно приводить и приводить.

Вот буквально несколько примеров. Не так давно у меня друзьям пришлось разбираться с одной из таких ситуации. Настроена почта и вроде как правильно, всё хорошо. И в один прекрасный момент выясняется, что-то забыли, что-то не сделали.

Была и у нас история, в одном из киевских банков. Начинают делать резервную копию. Резервная копия делается каждые 15 минут, так у них положено. И в этот момент скачок напряжения, вылетают и копия, и сервер, из которого делали копию. Будем восстанавливаться, мы же каждую ночь копируем в центральный офис. Начинаем восстанавливаться и видим, что восстанавливается тестовая база данных, которая никому не нужна. Просто на просто сделали и никто не проверил. Всё. Таких баек корпоративных можно придумать много, но поймите правильно. Рассказывать конкретные в случаи, просто не имею права.

Один раз было следующее. Выбило кабель электрический. Включаем. Серверная не включается. Выясняем, что на вводе, два ввода из двух разных энергопунктов, тут, конечно, спасибо украинской электроэнергетике, разница между ними, работают в противофазе. Соответственно автоматически серверная включиться не может. Пытаемся включить дизель генератор. Выясняется, что в баке дизель генератора нет дизеля. А где дизелист? А дизелиста два года назад уволили, нам два года никому дизель был не нужен. Всё труба. Дизелиста уволили, молодцы. Ничего не работает. Это к тому, что за мелочами мало кто смотрит. Предусмотреть все на свете, я согласен, невозможно. Но дьявол кроется в деталях.

Проблема одна всегда – руководитель, чаще всего он не знает и не хочет знать, что такое информационная безопасность. Ему это не интересно. И это самая главная проблема, потому что отсюда идёт всё остальное. Отсюда идёт нежелание дать денег. Проблема всегда одна – деньги. Желание взять специалиста, проблема та же – деньги. Специалист стоит дорого. Вот это основная проблема – недоученность нашего руководства. Причём, как мне кажется, это проблема быстро решиться не может. Потому что на смену одному доученному приходят два недоученных. И начинается она на самом деле ещё в школе – это проблема очень низкого качества образования.

Вторая проблема касается студентов сегодня, все что больше 140 символов этого просто никто не читает, для них это «Война и мир».

Что ещё сказать о корпоративной безопасности… Во-первых, – чаще всего берут одного максимум двух сотрудников, которые не в состоянии заниматься всем. А во-вторых, даже в стандарте сказано, что безопасностью на предприятии занимаются все. И информационная безопасность только часть, её основная функция – консультировать и направлять. В-третьих, безопасность и удобство, две обочины одной дороги. Они идут параллельно, но никогда не пересекаются. То, что удобно, увы небезопасно. То, что безопасно, увы не удобно. Как-то так.

Следующая проблема – отсутствие грамотных специалистов. Сколько бы мы не говорили о том, что у нас всё хорошо. Увы- увы- увы… Со специалистами у нас плохо. Причём лучше, на мой взгляд не будет, от слова совсем и причин тому много. C одной стороны, информационная безопасность очень модная специальность. С другой стороны, из выпускников по специальности работает процентов 5 – 8%, все остальные идут куда угодно.

Но и есть еще проблема – очень низкое качество входного материала. Я здесь видел, когда на подготовительные курсы по специальности защиты информации пришли две очаровательные барышни, складывают одну вторую и две третьих и получают одну пятую. Я вполне серьезно. С каким же ужасом я встретил их уже на первом курсе. Понимаете, из ничего бывает только ничего. И это первая часть плохого обучения.

Вторая часть плохого обучения – отвратительное качество самих преподавателей. Пока у нас в стране не поймут, что хороший преподаватель – товар штучный, которого нужно холить, лелеять, платить и давать ему время на обучение самому, так оно и будет.

Несколько я раз я читал лекции в КПИ года два подряд, и мне приходилось читать лекции в Харьковском национальном университете радиоэлектроники, сравнивать качество материала просто нельзя. Когда я в первый раз приехал в Харьков, прочесть полуторачасовую лекцию, была суббота и шел сильный дождь. Погода отвратительная, хороший хозяин и собаку гулять не выпустит, пожалеет. Ну думаю, хоть немного будет народу. Прихожу. Аудитория была рассчитана на 75 мест, а пришли 150 человек, мест не хватает, народ сидит на столах, на подоконниках. Я начал рассказывать, рассчитывал на то, что я час проговорю и ещё по Харькову погуляю. Итак, проговорил я 6 часов. Под конец я взмолился и сказал: «ребята, хватит вопросов. Потому что я больше уже не могу разговаривать, горло болит». Меня спросили: «ну вы же к нам ещё приедете?» Выхожу оттуда, зовут меня на кафедру и говорят: «Володя, пойдём кофе попьем, перекусим». Я соглашаюсь, до поезда было ещё три часа. Они говорят: «отлично! Вася на машине, он тебя отвезёт. А ты с нами ещё поговори». Итого, у меня лекция продолжалось почти 9 часов. Причём самое интересное, что все вопросы были по делу. Все вопросы правильные. Вот это о качестве материала.

Что ещё вам такого интересного рассказать? К большому сожалению, студенты не читают, как я говорил ранее. Вообще не читают. Соответственно к третьему курсу, они уже пытаются идти куда-то работать, что естественно, денег нет. Но проблема то в том, что они не научены и не работают. Нет ни того, ни другого. Вот ещё одна проблема корпоративной безопасности есть.

Ну и последняя самая страшная – необученные пользователи. У всех, у кого не спросишь, все уверенные пользователи ПК до тех пор, пока, собственно, пользоваться не надо. Как только начинается пользование, вылазит труба. Особенно страшно, что труба вылазит, когда пользователь находится дома за домашним компьютером. Пустить его чем-то управлять, нельзя. Администратор к нему не поедет, на улице эпидемия, а сам пользователь не понимает, что от него хотят. Ну ты же уверенный пользователь. А оно не работает.

Грустное у нас с вами интервью получается и то плохо, и то плохо. А на самом деле бы хотелось сказать, что хорошо. Как ни странно покажется, я встречал толковых студентов. Очень толковых молодых людей, которым действительно интересна информационная безопасность. Они действительно хотят понять, как это работает и что делать. Проблема только в том, что их мало. Их мало и зачастую им просто не хватает знаний, которые должны быть. Они просто не знают как с этим разговаривать.

Ещё одна проблема, которая касается безопасника. Он не только инженер, а одновременно и психолог, и преподаватель. Но об этом у нас нигде не говорят, не знаю почему. Безопасник должен всё это уметь, чаще всего правда не умеет. Ну и когда соответственно наши доблестные эйчары ищут себе специалистов, проблема ещё в том, что они не знают, что эти самые специалисты должны делать. Мы знаем громкое название, мы готовы платить деньги. Вот в одной из организаций у меня так было, меня приглашали на работу. Я говорю: «вы понимаете, что мне не интересно?». Спрашивают: «почему?» Отвечаю: «потому что на этой должности, как вы мне её описываете, должны работать два специалиста, один высокооплачиваемый, а второй начинающий. Делать то и другое одному, банально не интересно. Да и тогда просто не хватит времени для того, чтобы заниматься всем остальным».

Проблема даже не в том, что у нас там пользователи чего-то не знают, либо у них не хватает времени на что-то. Не в этом проблема. Проблема в том, что у нас нет культуры безопасности. Всё дело в том, что должна быть культура. Мы работаем так, мы работаем этак, а у нас этого ничего нет. Вот как-то так. Культура должна состоять в том, что руководитель должен подчиняться тем же правилам. Правила одни на всех. Второе – пользователь должен сам понимать, что работать из дома под правами администратора нельзя. Не кто-то должен это делать, а он сам должен понимать. Ребёнок должен понимать, что, взяв папин смартфон, он не может ничего устанавливать, потому что папа установил ограничения. И это нормально. Правда чаще всего папа ограничение не устанавливает, а делает это постфактум. Мама должна понимать, что нельзя ребёнку в 2 года смартфонам рот затыкать. Он плачет кричит дай мультики. Она ему дает телефон лишь бы он успокоился, чтобы она могла в этот момент поговорить с другой мамой. Должно быть понимание что ты делаешь. И пока этого всего нет, безопасность боюсь ниоткуда не появится. Понимаете, как бы это объяснить, люди перестают болеть не потому, что появляются лекарства. Они перестают болеть просто потому, что начинают мыть руки. И вот пока в обществе не появится понимание того, что такое кибергигиена и как с ней, собственно, работать. Мы вот так и будем болеть. Грустно, но факт.

Мои сказки так и называются «Цифровая гигиена». На самом деле я их начал писать только по одной простой причине. Я убедился, что студенты ничего не читают, им неинтересно.

 

– А ваши книги?

– Мои книги приняты в двух учебных заведениях, как официальное учебное пособие для первого курса. Одно находится на Украине, другое вне пределов страны. Я не знаю, читают ли они их. Но судя по количеству людей, читающих в Интернете, да читают. Понимаете, для меня написание этих книг просто отдушина, вот и всё. Не так давно у меня вышло несколько сказок. Одна из них посвящена, великому принципу безопасности ­ «не знаешь, не трогай». Вторая, написана на тему: «а что такое пароль?». Когда дедушка рассказывает внучке, что такое пароль и что такое уязвимость. И так должно быть. Проблема только в том, где взять такого дедушку?

Я не знаю было ли интересно, но я говорил то, что думаю.

 

Послесловие

Выражаю Владимиру огромную благодарность за уделенное время и ответы. Как мне показалась, Владимир неравнодушно относится к сложившейся ситуации. И крайне обеспокоен качеством сегодняшних специалистов, присутствующих на рынке информационной безопасности, также как и качеством образованности в этой области обычных пользователей и сотрудников компаний.

В организациях работающих с данными других людей, пренебрежение информационной безопасности сравнимо с преступной халатностью. Получается, что кроме того, что сотрудник подвергает себя риску взлома, злоумышленники через него могут получить данные клиентов. Бизнес безусловно должен уметь находить золотую середину, и не поддаваться крайностям. Простые элементы в конфигурации безопасности не принесут убытка предприятию, но могут значительно повысить защищенность организации перед различными атаками. Также бизнес должен уметь различать с каким специалистом в области информационной безопасности он имеет дело.

Продолжение следует…