Первые результаты цифровой трансформации
Невооруженным глазом видно, как цифровизация изменила нашу жизнь. Мы получаем банковские, государственные и многие другие услуги, не выходя из дома, мы забыли очереди, грубость и другой негатив. Бизнес, однажды попробовав прелести сверхнизких транзакционных издержек, прирезком удешевлении привлечения и обслуживания клиентов, уже вряд ли захочет отказаться от таких возможностей.
Но возможностей без рисков не бывает. Да, бизнес — это вообще про игнорирование рисков в угоду возможностям. Если бы предприниматели, прежде всего, обращали внимание на риски, то и не было бы никаких инноваций — они бы просто не состоялись, чтобы не порождать новых рисков. Но спустя какое-то время за любыми бизнес-прорывами идут люди, которые считают потери и придумывают правила (читай: ограничения), чтобы эти потери уменьшить.
Электричество изменило промышленность и быт населения планеты, но после эйфории пришлось считать погибших от ударов электрическим током и вводить индустриальные стандарты, сертификацию электробезопасности приборов и правила техники безопасности при работе с электричеством. Автомобили и дороги буквально преобразили планету, сократили расстояния, ускорили и удешевили перевозки, но, чтобы сократить смертность на дорогах, пришлось вводить правила дорожного движения, принуждать автопроизводителей менять конструкцию, выдавать права на вождение автомобилей и т. п. Нечто похожее ожидает и цифровизацию — слишком важное место в нашей жизни стали занимать цифровые сервисы, в том числе и те, которым просто нет офлайновой, «бумажной» альтернативы, и слишком много плохого уже совершается с их помощью.
Нарастающий негативный фон
Если вы подпишетесь на любой канал, публикующий новости об инцидентах в цифровых системах, и будете регулярно его читать, есть вероятность заболеть паранойей. Дня не проходит, чтобы в какой-нибудь большой цифровой системе не произошло что-то ужасное. Остановленные производства, обесточенные госпитали с умирающими пациентами, навсегда потерянные важные данные — теперь, если от инцидента не мерзнут или не умирают люди, такая новость просто не попадает на первые полосы: подобных инцидентов стало так много, что, если говорить о каждом, места для других новостей не останется.
Страдают уже не только какие-то отдельные мероприятия, но и целые отрасли, города и даже страны — например, недавно были похищены сканы паспортов всех жителей Аргентины. Утечки миллионов учетных записей цифровых сервисов уже, похоже, никого не удивляют, а ведь это отличная питательная среда для социальной инженерии, мошенничества, похищения личных данных и денег, вмешательства в личную жизнь, перехвата управления и шантажа.
Сегодня цифровизаторы расплачивается за то, что спешили с цифровизацией, стремясь занять место на рынке, стать первыми в чем-то, увеличить эффективность, открыть для себя новые рыночные ниши. Пришло время работы над ошибками.
Почему нельзя было сразу сделать хорошо?
Все стандарты безопасности известны не первый год. Причин настоящей ситуации несколько, в том числе наш богатый прошлый опыт, неприменимый, как часто бывает в современных технологических революциях, в будущем.
1. Спешили
Строить цифровую систему сразу по всем правилам безопасности дольше и дороже, для разных систем это удорожание на 30–50% и отсрочка выпуска в продуктив на 10–30%. Зачем делать лишние материальные и временные инвестиции, если, возможно, система не взлетит, не покажет нужной эффективности и ее придется отключить или переделать? Хорошо, если так. Но если система станет популярной и даст запланированную или даже большую эффективность — ее никто не станет переделывать, она так и будет работать в том виде, в котором запустилась, и цифровизаторы будут пристраивать к ней все новые и новые модули, пока со временем система окончательно не превратится в совсем неуправляемую конструкцию.
2. Свято верили в прошлый опыт
Постоянно твердили мантру «информационная безопасность — это контрольная функция ИТ», придуманную еще в прошлом веке, но до сих прочно засевшую в мозгах айтишников. То есть предполагалось, что айтишники (ныне цифровизаторы) сначала построят цифровую систему, а потом придут специально обученные люди и защитят эту систему. В лучшем случае —еще при строительстве цифровой системы безопасники выдвинут какие-то требования, выполнив которые, цифровизаторы обеспечат безопасность системы. Но цифровые системы так стремительно меняются, что безопасники со стороны, не вникая в бизнес-контекст изменений, не в состоянии обеспечить адекватную защиту подобной бизнес-системы, она или будет нещадно «фолсить», выдавать ложные срабатывания, либо просто стоять в режиме расследований, не защищая, а лишь помогая собирать свидетельства причин инцидентов.
3. Пытались откупиться
Нет, это не про выплаты киберпреступникам, это про «купил и забыл». Мы считали, что можно закупиться средствами защиты, развернуть их и все «заработает само». А что, с антивирусами же так получалось? Одних мощных капиталовложений в CAPEX (лицензии и оборудование) сегодня недостаточно — среди пострадавших такие гиганты, как Intel и Garmin, которые точно нельзя обвинить в небольших бюджетах на информационную безопасность. Сегодня большинство атак стало целевым, они построены на обходе именно ваших стандартных средств защиты и используют их уязвимости и недостатки в алгоритмах обнаружения. Хакеры проникают в системы за счет уязвимостей ваших самописных систем, фишинга, направленного на ваших недостаточно квалифицированных сотрудников, и могут месяцами и годами находиться в атакуемой системе, выжидая момент для эффективного нападения. Чтобы противодействовать таким атакам, одних инструментов мало, нужны настроенные процессы и квалифицированные кадры. Ой, только не надо опять о больном…
4. Жесточайший дефицит кадров
Людей с нужными навыками — на стыке безопасности и цифровизуемых бизнес-процессов — просто нет. Теперь для того, чтобы начать работать на известную американскую или китайскую корпорацию, не надо не только эмигрировать, но и даже выходить из дома — любая компания борется за кадры с мировыми грандами. В дефиците специалисты по противодействию мошенничеству, безопасной разработке, тестированию на безопасность, цифровым расследованиями, охоте на угрозы (threat hunting), аналитики больших данных со знанием безопасности, архитекторы, администраторы средств защиты, вообще все специальности. Давно нет никакого «специалист по информационной безопасности», точно так же, как давно нет «специалистов по ИТ» — сегментация прошла не только по специальности, но и по отраслям, настолько различаются требования по безопасности цифровых систем в разных отраслях. Сегодня мозги остаются в стране, но от этого не легче — результат их деятельности все равно утекает за рубеж. И это я еще ни слова не сказал о программистах…
Что делать?
Итак, на вопрос Герцена мы ответили, пора переходить к вопросу Чернышевского.
Тезисно это:
1. Поменять шаблоны мышления
Перестать думать, что безопасность — это забота и функция каких-то отдельных людей, а не владельца цифрового актива. Безопасность — это такое же свойство цифровой системы, как масштабируемость, удобство пользования и т. п., и она должна не накладываться на цифровую систему после ее разработки, а встраиваться сразу на этапе проектирования. Обычно такого опасаются: мол, дай волю безопасникам, они вообще все закроют и запретят, и мы лишимся половины самых вкусных функций цифровой трансформации. Поэтому безопасники тоже должны отринуть старые догмы типа «закрыть и запретить, а то нас зашифруют» и вместе с айтишниками искать разумные рабочие компромиссы.
2. Устранять дефицит людей
Брать выпускников и студентов и учить. Кстати, бронь от армии для молодых айтишников и безопасников, работающих на государственные организации, — неплохая идея, все равно там нет конкурентных зарплат. Ударными темпами автоматизировать рутинные операции — это не только поможет сократить потребность в людях, но и позволит удержать уже нанятых, ведь гораздо интереснее заниматься креативными задачами, чем выгорать, по несколько часов в день рассматривая бегущие по экрану логи. Все, что можно роботизировать, — роботизировать, переносить возможный максимум функций безопасности на обученные системы с искусственным интеллектом. Аутсорсить все, что постоянно требует дорогих квалифицированных кадров вне основной специализации компании. Переносить в заказываемые сервисы то, что не нужно ежедневно, а лишь время от времени.
3. Обеспечить безопасность цифровых систем всеми участниками цифровизации
Обязательно вовлекать в обеспечение безопасности цифровых систем не только архитекторов, разработчиков, айтишников и безопасников, но и рядовых пользователей, а также топ-менеджмент. Первых надо учить не попадаться на уловки социальной инженерии, докладывать в службу сервиса о любой подозрительной активности на вверенных им устройствах, постоянно тренировать и прокачивать их цифровые навыки и развивать здоровую паранойю. Вторых, кроме ранее описанного, — учить, как действовать во время инцидента: кому обращаться в прессу, кому к инвесторам, кому выводить дополнительную смену в службу поддержки клиентов и т. д., то есть иметь и регулярно отрабатывать сценарий «компания под атакой», как это делается в противопожарной безопасности.
И в заключение
Очень не хотелось бы, чтобы инциденты с миллионными убытками и угрозой здоровью и жизни людей, которые заставили правительства многих стран вынести эту проблему на трибуну ООН, качнули маятник цифровизации назад, к разочарованию в выгодах цифровой трансформации государства и бизнеса. Цифровизацию не надо останавливать, она привнесла в нашу жизнь много удобства, подарила бизнесу новые возможности, а пользователям — часы жизни, сэкономленные быстрыми цифровыми услугами. Однако пора заканчивать с форсированной и хаотичной цифровизацией ради цифровизации с навесными средствами защиты и переходить на новый уровень — к цифровизации, безопасной по самой своей сути. Айтишникам и безопасникам стоит встать с одной стороны цифровой системы, перестать критиковать «кривые руки» одних и «синдром вахтера» других, а вместе заняться «Цифровизацией 2.0».
P. S. У энергетиков и автомобилистов получилось, почему не должно получиться у нас?