Плавно добираюсь до экватора, после угроз и компетенций мы скакнули к деньгам.
Как выглядит миф о затратах на безопасность? ИБ — это дорого или доступно?
Сейчас ИБ – это недорого и недоступно. За 10 лет в безопасности, работая и в заказчиках, и в интеграторах, и в вендорах, мне довелось увидеть всякое. Я работал в заказчиках, в которых из всей безопасности был антивирус, межсетевой экран, снифер и, ближе к концу, сканер уязвимостей. И нормально, я делал honey-pot, реинженерил SAP и занимался другими интересными вещами, вроде соблюдения порядка на корпоративах.
Чуть позже был у меня проект в одном крупном ведомстве. Я проводил аудит рисков с целью определения необходимости наличия DLP решения. Там было все плохо, и одной из угроз было копирование информации на флешку. Любой безопасник вам скажет, что это страшная угроза. Так сказал и я.
В мерах противодействия я написал:
- Рекомендуется отключить USB
- Установить DLP
Старшие товарищи посоветовали мне убрать первый пункт. Потому что в ведомстве бы так и поступили. Им было проще и понятнее отрезать провода на всех компах, чем возиться со всей этой безопасностью.
Лишь с помощью нечеловеческой воли и маркетинговых страхов про злых хакеров все сложилось удачно.
Когда я был студентом, я считал байкой историю о самом безопасном компьютере, который, выключенный, зарыт на три метра. Но если действовать в парадигме «все увеличивающихся угроз», именно к этому мы и загоним бюджетодержателей.
Кстати, у нас есть целая отрасль, работающая именно с «закопанными» компьютерами – работа с грифованной информацией. Там в порядке вещей прийти с утра, достать жесткий диск из сейфа, и, выходя на перекур, сдавать его обратно в сейф под роспись. Всех средств защиты – защита от НСД.
Все космические бюджеты (хотя какие они космические? посмотрите на ИТ), происходят от попыток скрестить ужа с ежом. Мы объявляем достойную защиты информацию и гоняем ее в сетях общего пользования и ЛВС для офис-менеджеров. Конечно, в этом случае нам потребуется защититься от всего на свете (см. вопрос 1), спеки растут, денег не дают.
В 2014 году в одном ретейле случился инцидент. В открытый доступ были выложены данные о планируемой акции скидок. Это серьезный инцидент. Можно сразу идти выбивать много денег. Проблема ровно одна – ретейл (продуктовый) между собой не конкурирует в отпускных ценах. Это легко проверить и без инсайда, сравните цены в 2-3 магазинах крупных сетей вашего района. Где-то будет пониже на что-то, и там же будет повыше на что-то другое. Люди ходят в свой магазин вне зависимости от того, есть там акции или нет. Кстати, особенно часто ходят в дорогие магазины, особенно люди с небольшими доходами.
И малая доступность ИБ связана все с теми же страхами. Если руководство запугано, оно пытается найти деньги и высококлассных специалистов. Как только заканчиваются деньги, сразу прекращается ИБ. Я не открою большой тайны, что никому не выгодны дешевые средства защиты. Вендорам и интеграторам, т.к. маржи мало. Безопасникам, т.к. надо обосновывать свою полезность. Руководителям, т.к. «дешевое не может быть качественным». А на дорогое денег нет.
Так и живем.