Круглые столы «Реальность российского кибербеза» (на конференции Positive Hack Days 10) и «Криптография для граждан и государства» (на симпозиуме СТCRYPT 2021) в очередной раз подняли тему консолидации сил в отрасли ИБ.
Трудно не согласиться с мнением, что в нашей стране (как, впрочем, и во многих странах зарубежья) не всё благополучно в сфере ИБ. И, конечно же, выявляемые проблемы в сферах технического оснащения и нормативно-правового регулирования требуют безусловного решения.
Но нельзя согласиться с попытками нахождения таких решений на основе далеко не бесспорных «аксиом» и гипотез. Тогда как корректировка или отказ от сомнительных «постулатов» и предположений позволят скорректировать и подходы к обеспечению информационной безопасности в условиях массового внедрения компьютерной автоматизации/автоматики.
В этом материале использованы цитаты, почерпнутые автором из ряда публикаций на тему отрасли ИБ и принципов управления ею.
«Отрасль живёт своей жизнью»
Вызывает сомнение обоснованность наименования сферы ИБ отраслью. Ведь не являются же «отраслями» строительная, авиационная или ядерная безопасности. «Безопасности» гармонично развиваются внутри соответствующих отраслей и живут интересами их развития. А отрасли за это отвечают своим «безопасностям» взаимностью, выделяя необходимые ресурсы на формирование, развитие и выполнение требований безопасности.
При таком порядке дел (безопасность живёт внутри отрасли, а не в виде «факультативной» надстройки к ней) даже отрасли, которые с обывательской точки зрения выглядят чрезвычайно опасными (например, авиатранспорт) оказываются с точки зрения статистики менее опасными, чем, например, автомобильные перевозки.
И только ИБ пытаются официально именовать «отраслью» и утверждать, что она «живёт своей жизнью».
Уместно заметить, что до некоторого времени эти утверждения были вполне обоснованными: нередко представители ИБ-вендоров и их партнёров напоминали «коробейников» и коммивояжёров, назойливо стучащихся со своим экзотическим товаром в закрытые двери потенциальных потребителей, которые до некоторых времён не понимали ценности ИБ.
Ситуацию с пониманием ценности ИБ несколько улучшили коммерциализация вирусов-вымогателей и организаторы проводимых в коммерческих целях DDoS-атак.
Кардинально же изменил ситуацию с пониманием ценности ИБ 187-ФЗ. Ведь сегодня «при целевой атаке даже низкого уровня сложности 93% систем будут взломаны в первые полчаса…».
«Как управлять, не зная чем?»
Переход от «идеологии» отрасли ИБ к представлениям о безопасности ИКТ сразу снимает озабоченность проблемой «статистического учёта рынка продуктов и услуг в области ИБ», которая сама по себе выглядит надуманной.
Чем отличается компания, ныне работающая в «отрасли ИБ» от ИТ-компании? Те же разработки или «софта», или «железа», или программно-аппаратных комплексов!
Особая специфика этих продуктов с точки зрения средств разработки или реализуемых алгоритмов? А разве нет «особой специфики» в разработке любого другого ПО, системного или прикладного, для телекома или для управления высокопроизводительными вычислительными кластерами, для офисных или встроенных систем?
То же можно сказать и о разработке аппаратных платформ.
Подробнее https://ib-bank.ru/bisjournal/post/1595
