Недавно выступал на конференции «V Цифровая регата», посвященной вопросам цифровой трансформации промышленности. Что важно, вопросы информационной безопасности, кибербезопасности рассматривались вместе с «цифровыми», не в отдельной в секции, участники обсуждали и слышали мнение специалистов по кибербезопасности именно в разрезе проблем цифровой трансформации. Вручил знак «Эксперт BISA» директору по цифровой трансформации АО «НПП «Исток» им. Шокина» Александрову Виталию, пригласил всех на наш BIS Summit — 2025.

Удалось коротко высказаться по нескольким моментам:

1. Цифровая трансформация и безопасность (информационная, кибер).
2. Нарушитель ИБ — кто и когда становится вершителем судеб в организации.
3. ИТ и кибербезопасность — напарники или соперники в создании и существовании цифровых процессов и продуктов.
4. Построение системы ИБ и мониторинг как состояния безопасности, так и актуальности самой системы безопасности. И ее влияние на работоспособность и динамику изменения ИТ систем.
5. Восстановление. После взлома жизнь только начинается. Непрерывность бизнеса. Взлом как возможность построить новую систему и решить давно назревшие проблемы с организацией ИТ и ИБ структуры.
6. Кадры. Почему не идут в ИБ и куда именно не идут. Ресурсы ответственность и право на принятие решений.
7. Метавселенные. Защита данных — что будет нового там за поворотом.

Но устная речь — не письменная, воспринимается по-разному, вроде всё ясно по мнению услышавшего, но в итоге у каждого — своя память, а если еще запись выступления в письменную речь перевести… И говоришь не в том порядке, как написал бы по логике в статье. И сказать, договорить не всё успел.

Во-первых, конечно, сказал о необходимости построения систем защиты цифровых платформ (автоматизированных систем) предприятия, про отношение к рискам ИБ и к модели нарушителя, с недоверия до пренебрежения к которым начинается восприятие безопасности как чего-то навязанного снаружи и лишнего, мешающего работе, а не обеспечивающей её.

Цифровая трансформация

Это не просто состояние, когда процессы и продукция переведены в цифровой формат, управляются цифровыми платформами. Это не просто означает, что результаты работы предприятия теперь зависят от эффективности и надёжности, устойчивой работы цифровых платформ. А заодно зависит и оценка вашего труда.

Это означает, что качество жизни, а порой и сами жизни людей вокруг начинают зависеть от наличия и качества этой продукции, сервисов, даже если они не подозревают, что пользуются ими. Как, например, не знают, с машинистом поезд метро или полностью автономный (не только про Москву). Цифровая трансформация — это не только прогресс, новые услуги и возможности, но и новые риски – часто не осознанные и уязвимости с пока не понятными последствиями

Но ведь информационная безопасность (кибербезопасность) — это та часть безопасности, которая противостоит нанесению умышленного вреда вашим цифровым платформам, процессам, продуктам. Неумышленного во многих случаях тоже. Теперь стала очевидной её необходимость?

О нарушителях ИБ

Можно говорить: «Нас все равно сломают». Это что? Это значит, что не надо защищаться? Не надо строить систему безопасности? Если вы так будете думать, то для вас самым страшным зверем, вершителем судеб предприятия, будет «Хакер Петя из 8«В», который накачал с первого уровня DarkWeb какие-то элементарные системы для взлома, тестирования и прочего, для конструирования вирусов, и теперь их пробует на вас. Вот он станет вершителем ваших судеб, ваших результатов работы, всей вашей программы цифровой трансформации.

Или вспоминаются 90-е, как тогда говорили: «Захотят — все равно убьют». И что, все вешаться шли? Рукой на свою безопасность махали?

Конечно, зависит от кого вы защищаетесь, если вас заказала спецслужба государства или транснациональной корпорации, то, скорее всего, да. И то если вас не возьмет под охрану другая спецслужба, или, как минимум, другая корпорация. А в большинстве случаев или грозит встреча с гопниками в подворотне, с наркоманами, которые ради дозы готовы напасть на любого, или с беспредельщиками с битами или с «калашом». Профессиональный киллер — специалист дорогой и редкий. А по опыту 90-х и по консультациям экспертов, когда мне приходилось направлять на учёбу телохранителей, я помню фразу, что даже два грамотных телохранителя создают серьезнейшие проблемы профессионально нанятым киллерам.

И при таком подходе у вас будут два сильных защитника — подразделения ИТ и ИБ, наладившие взаимодействие и работающие ради общей цели.

После взлома жизнь только начинается

Глядя на последствия последних атак, складывается впечатление, что многие люди, которые в целом руководят бизнесом, предприятиями, не слышали про стандарты обеспечения непрерывности бизнеса, про планы ликвидации аварийных ситуаций. Может, конечно, пожарная безопасность у них есть и там что-то отработано… МЧС заставило.

А компьютерные инциденты? Отработка действий на случай сбоя и отказов систем? Мало создать систему защиты, не менее важно, а может даже более важно, чтобы в случае ее взлома или сбоя, вызванного другими причинами, сотрудники могли быстро восстановить работоспособность как самой системы, так и отдельных процессов в рамках бизнес модели предприятия.

И это есть не только в стандартах по непрерывности бизнеса, это обязаны делать по закону, например, субъекты КИИ.

Специалисты ИБ — куда и почему не идут

Высказался и про специалистов, где их взять. О том, что в ИТ, по сути, приходит специалистов даже больше, чем их готовят, а вот в ИБ меньше.

Почему так получилось?

Во-первых, многие из тех, кто идёт в ИБ, это — разработчики ПО как средств защиты информации, по сути, это те же айтишники.

Во-вторых, многие ИБэшники из студентов-победителей CTF и т.п. стремятся уйти в пентестеры («белые хакеры»), где требуется очень высокая квалификация, чтобы исследовать систему и найти уязвимости. Такая работа хорошо оплачивается, а, самое главное, нет ответственности потом за судьбу этой системы: «Мы взломали, мы нашли уязвимости, а что вы будете с ними делать, как будете эксплуатировать, будете ли закрывать, это уже ваша задача».

Но, считаю, что главное направление, где не хватает ИБэшников и куда не очень охотно идут, — это эксплуатация подсистем ЗИ, в целом обеспечение информационной (кибер-, компьютерной) безопасности автоматизированных систем (цифровых платформ).

Одна из причин — в случае взломов часто они являются козлами отпущения. Путь не всем подразделением, но руководители – точно.

Причем, когда речь идёт о внедрении СЗИ, о создании правил и политик, строгого их соблюдения и т.п. в ходе эксплуатации систем от них отмахиваются: «Не лезьте с своей безопасностью», «На вас деньги не предусмотрены», «Вы мешаете работать со своей паранойей» и так далее. А когда что-то случается: «Ну всё, вы виноваты, безопасность — ваша задача, восстанавливайте» и так далее, а потом еще и уволить могут. То есть часто ИБэшники — это квалифицированные специалисты со связанными руками.

Призвал не подходить так, развязать ИБ руки, то есть ИТ, СБ и бизнесу совместно с ИБ разрабатывать и актуализировать модель нарушителя, идентифицировать и оценивать риски ИБ, оценивать эффективность и актуальность системы защиты, согласовывать бюджеты на безопасность. Эта область в условиях кибервойны стала жизненно важной и ей придется уделять внимание тратить средства и время, взаимодействовать в тех вопросах, которые раньше с этими службами не обсуждались.

Повторю

Мы и наша жизнь все больше и больше начинаем зависеть от цифровых платформ, от реализованных в них процессов, которые создают продукцию, предоставляют нам услуги (сервисы), вне зависимости от того, хотим мы ими пользоваться или нет.

А значит, цифровая трансформация (цифровизация) без безопасности вредна и опасна. Или просто невозможна?