Грустно признаваться в ошибках, да еще и публично, однако необходимо, чтобы не выставлять себе еще глупее, чем есть. Во вчерашнем посте «Проблемы службы информационной безопасности» я, увы, допустил ошибку, которую сейчас попробую исправить. Для этого необходимо было бы дополнить вчерашний пост, но я просто напишу продолжение. Я вчера написал, что одной из проблем безопасности является то, что большинство начальников служб ИБ пришли из силовых структур. Верно ли это? С одной стороны, да! Но только с одной. С другой – нет! Почему?

Проблема в том, что люди, пришедшие со службы, как правило, не знают ни ИТ, ни ИБ. Это факт. Есть редкие исключения, но уж очень редкие!

И тут никуда не деться. Однако хочу сказать, что наряду с этим недостатком, который можно и нужно исправлять, существует и достоинство в принятии на должность руководителя ИБ человека «в погонах». Почему?

Потому что человек, достаточно долго отслуживший в погонах, имеет другой склад ума. Да-да, не улыбайтесь! Служба приучила его к следующему:

• Умение командовать, не оглядываясь на желание подчиненных и окружающей среды;
• Умение требовать, причем жестко требовать, выполнение приказов;
• Привычка «жить по уставу». Положено, значит положено! И хоть тресни!;
• Умение подчиняться приказу;
• В жизни должен быть ПОРЯДОК!
• Инициатива вещь разумная, однако, если это не противоречит правилам, высказанным руководством;
• И т. д.

Возможно, кто-то будет считать его солдафоном? Живой машиной? Может быть. И что? НИЧЕГО! Работа у него такая! Ведь такое отношение не только не мешает работе, но и помогает ей. Есть правила, которым должны подчиняться все. И плевать при этом, что обо мне думают!

Почему? Да потому что, увы, сама по себе служба ИТ, как любая творческая профессия, располагает к анархизму. Впрочем, то же самое можно сказать о молодых администраторах ИБ. И вот им-то и нужна «твердая рука». Впрочем, это мое мнение. Все же офицер в прошлом. А вы как думаете?

Безмалый В.Ф.

MVP Consumer Security

Сегодня часто можно услышать, что служба ИБ не сильно нужна, что ее сотрудников нужно подчинить службе ИТ, а то никто не понимает чем они заняты, что они мешают работать и т.д. На самом деле все эти вопросы возникают из трагического непонимания всего драматизма сложившейся ситуации.

Большинство руководителей организаций действительно не понимают, для чего нужна служба ИБ. Более того, считают, что служба ИБ это роскошь, в крайнем случае, хватит одного человека, да и то непонятно для чего он нужен. Это одна сторона всех проблем ИБ.

Однако есть и другая. Причем вторая, на мой взгляд, тесно связана с первой и также практически не решается сегодня. Это крайне низкий уровень знаний руководителей служб ИБ, а также отсутствие аналитиков ИБ как класса вообще. Худо-бедно, но администраторов ИБ мы готовить начали. Хорошо ли плохо ли готовить, но начали. Кое-как, с большим скрипом мы начали выпускать администраторов ИБ. Т.е. научили их управлять аппаратно-программными комплексами ИБ. Однако стоит понимать, что эти администраторы, также как и большинство ИТ-служб работают в пожарном режиме. Т.е. не успев заткнуть одну дыру, летят затыкать следующую. А на другую работу не хватает ни сил ни времени. Пора признать, что в этой войне мы с вами проигрываем, если не уже проиграли! Если мы не начнем думать, то вопрос проигрыша это лишь вопрос времени. Причем не настолько отдаленного времени, как нам бы хотелось!

Почему? Да просто потому что мы с вами только защищаемся, не двигаясь вперед и не устраняя проблемы, мы устраняем лишь последствия этих проблем!

Какие проблемы?

Во-первых, это крайне низкий, будем откровенны, отвратительно низкий уровень подготовки руководителей ИБ! К счастью, нужно признать, что встречаются светлые головы, но, увы, их очень мало!

Почему так произошло?

Прежде всего потому что подавляющее большинство руководителей служб ИБ это отставные сотрудники силовых структур либо армии, никогда не имевшие опыта работы в ИТ. Почему так? Потому что руководители, нанимавшие их на работу, считают, что раз в словосочетании «информационная безопасность» встречается слово «безопасность», значит все похоже. Значит это где-то рядом. Это приводит чаще всего к тому, что сотрудники ИТ тихо смеются над распоряжениями ИБ и просто всячески их игнорируют. Понятно, что ни к чему хорошему это не приводит. Что делать?

Увы, рецепт будет стандартным и довольно тяжело выполнимым. Руководителей, как и аналитиков ИБ нужно готовить. Как готовить? Это далеко выходит за рамки моего поста. Да и писалось об этом очень много. Однако все так и осталось на том же месте.

Идеально, когда руководителем становится бывший администратор, а вернее бывший аналитик ИБ. Но до массовости этого процесса еще очень далеко!

Сегодня другого пути, кроме учебы – нет! И это нужно признать. На самом деле проблемы ИТ и ИБ очень похожи. В обеих службах отсутствует стратегия развития. И пока это не поймут, мы так и будем латать дыры. Увы!

Безмалый В.Ф.

MVP Consumer Security

Мы все сегодня являемся свидетелями катастрофического падения уровня знаний выпускников ВУЗов. Давайте подумаем, почему так происходит? Попробуем в этом разобраться. Можно ли что-то сделать для противодействия этому процессу?

1. Все большая часть ИТ-специалистов остается без работы. Как думаете, кога у человека ставится выбор быть честным и голодным или кормить своих детей любым способом, как надолго он останется честным?
2. Пользователи не готовы к вирусным атакам. Более того, они даже не подозревают об их существовании
3. Огромное поле для распространения вирусов

Почему это пока не актуально для Украины и более того, будет не актуально в ближайшие пару лет? Кризис замедляет рост доходов населения. В связи с этим многим сегодня не до покупки новых интеллектуальных телефонов. А раз замедляется рост базы для распространения вирусов, следовательно, замедлится и рост вирусных эпидемий. Более того, возможно число заражений не превысит вирусный порог.

Безмалый В.Ф.

MVP Consumer Security

Не секрет, что до сегодняшнего дня большинство организаций на Украине не имеют планов стратегического, впрочем, будем честны и тактического, развития служб информационных технологий и информационной безопасности. К чему это приводит? В первую очередь к тому что для руководства большинства компаний служба ИТ, а, уж тем более, ИБ, воспринимается как «необходимое зло». Деньги вроде как тратятся, а куда, на что, а главное – ради чего, боюсь для большинства руководителей это тайна за семью печатями.

К чему это приводит догадаться не сложно?

- Интересно, а думать в этой стране умеют?

- Боюсь ошибиться, но кажется нет!

-А учить не пробовали?

-Пробовали! Не выходит!

(из неопубликованных мыслей)

Последние эпидемии вирусов снова показали что ИТ и ИБ не способны на разработку и применение превентивных мер в вирусной войне. Они надеются только на антивирусы. Далее

Странный вопрос, воскликнут ИТ-инженеры, особенно младшего и среднего звена. Конечно готовы!

Как бы не так, отвечу я. И буду ПРАВ! Почему? Прежде всего оценивать готовность нужно не с позиции ИТ, а с позиции бизнеса. Т.е. понимаете ли вы, какие преимущества получите в результате внедрения новых технологий? А осознаете ли вы все риски, связанные с их внедрением? Готовы ли вы к управлению этими рисками? Обучены ли ваши сотрудники к работе в новых условиях? Чему именно вы их учите?

На самом деле вопросы далеко не праздные, ведь сегодня осуществляется кардинальный поворот в идеологии ИТ. Да-да, именно так! Именно не в технологии, а в идеологии ИТ. Ведь посмотрите. Начиная с выхода Windows Vista, нравится это кому-то или нет, начался стремительный поворот в сторону внедрения технологий безопасности. Вспомните Windows-системы для персональных ПК прошлых выпусков, до появления Windows Vista. Вспомните основной вопрос идеологии, основной ее девиз: «Быстрее, легче, проще! Играй! Не задумывайся, Жить легко!». Есть мастера в системе, в крайнем случае есть сисадмин, он сделает, пусть у него и голова болит! А нам чем легче система тем лучше… И так шел год за голом. К чему это привело, увы? Появилось целое поколение ИТ, которое умеет только «Press any key to continue…» нажать. И все!

Однако рано или поздно в мир приходят перемены. Нравится это кому-то или нет! Так и в этом случае. Идеология «быстрее, легче, зачем думать?» привела в тупик!

В результате при разработке Windows Vista основное внимание было уделено вопросам безопасности. Отсюда возникли проблемы, как с пользователями, так с ИТ-персоналом, что откровенно, неприятно удивило всех. Хотя эти проблемы зрели давно, они вполне объяснимы и понятны. Происходит смена идеологии в сторону усиления безопасности. Но так как смена идеологии не сопровождается активной, я даже сказал бы агрессивной политикой в области рекламы, в области разъяснения почему мы сегодня работаем так, а не иначе, то она и не может принести успех! Несмотря на, скажем прямо, далекий от теплого, прием Windows Vista, Microsoft продолжила свои усилия на данном направлении, создавая Windows 7. И вот тут необходимо отметить, что в ОС нового поколения уделено значительно больше внимания созданию сервисов безопасности с «человеческим лицом».

С одной стороны – это здорово! Но, увы, как известно, у медали есть две стороны. И вторая стороны в данном случае – такой подход породил возникновение большого количества «ручек» управления безопасностью. Причем эти настройки связаны между собой далеко не всегда очевидным способом.

К чему это приведет? К тому, что неграмотные ИТ-специалисты, могут быстро положить всю систему, поднять которую без проблем и в разумные сроки будет весьма и весьма не просто. Что посоветовать?

В первую очередь, конечно же, обзавестись грамотными специалистами. В период кризиса, когда предложение на рынке труда превышает спрос, такая задача не покажется сверхъестественной. Я имею ввиду поиск и покупку грамотного специалиста.

Если же специалистов нет, а вводить новое ПО все же необходимо, а специалистов нет, вам стоит подумать об обучении. Кто-то горько усмехнется, мол, откуда деньги, тут бы выжить хоть как-то. Все верно. Тяжело сегодня. Однако замечу, что если вы хотите выжить – ищите и учите!

Стоит отметить, что технологий обеспечения безопасности в Windows 7 и Windows Server 2008 R2 стало несравненно больше, а сами они, несомненно, сложнее!

Однако нельзя не отметить еще одно. Нельзя забывать, что любые технологии, а не только Microsoft, нельзя внедрять бездумно!До начала внедрения и отдел ИТ и бизнес-подразделения должны понимать, ради чего это внедряется! Будет ли польза от внедрения или нет. Если нет – то может и не стоит напрягаться? Может просто подождать?

Уважаемые читатели моего блога. После публикации сегодняшнего своего поста “Люди и куклы…” я задумался. Нет, не в первый раз. Однако, а почему я вижу мир в таких серо-черных, мрачных тонах? Что случилось? Может просто потому что я ничего не могу изменить? Чувствую свою ненужность в этой стране? Никому кроме семьи не нужен, да и лет уже не 20, увы…

Может пора остепениться, привыкнуть и жить как все? Но самое печальное в том, что я НЕ МОГУ ЖИТЬ КАК ВСЕ! Да и НЕ ХОЧУ!

Я хочу как надо! Как хочу! Как учу сына! Как учил своих учеников! А не как все! Кто-то улыбнется про себя и решит, что я “окончательно съехал…” Может быть!

Знаете, я просто устал так жить! Когда все вокруг подчинено принципу “украл и убежал” – это не мой мир!

ИТ-персонал должен работать и приносить прибыль или делать так, чтобы бизнес приносил прибыль с максимальной эффективностью!

Безопасность – делать так чтобы не украли! В идеале чтобы не было ни возможности ни желания!

Сантехник должен чинить краны, а служба поддержки – компьютеры!

Только тогда когда мы поймем, что кухарка не может руководить государством, комсомольский работник – транспортом, акушерка – Советом Национальной безопасности и обороны – только тогда на каждом месте будут работать не прихлебатели, а ПРОФЕССИОНАЛЫ, только тогда мы начнем вылезать из дерьма!

А я? Что я? Я снова буду видеть мир не серо-черным, а цветным лишь тогда, когда я пойму, что моя работа снова кому-то нужна! И мне будет гораздо приятнее ее делать!

А сегодня я, увы, вижу что в борьбе Хаоса с Порядком побеждает Хаос!

ЛЮДИ, ПОДАРИТЕ МНЕ РАДУГУ!

Кукол дергают за нитки,
На лице у них улыбки,
И играет клоун на трубе.
И в процессе представленья
Создается впечатленье,
Что куклы пляшут сами по себе.
Ах, до чего ж порой обидно,
Что хозяина не видно:
Вверх и в темноту уходит нить.
А куклы так ему послушны,
И мы верим простодушно
В то, что кукла может говорить.

«Марионетки» «Машина времени»

Мы очень часто ругаем пользователей, хотя подспудно понимаем, что то, что они ничего не умеют – это, ой, как здорово! Ну, представьте себе, чтобы было, если бы все они были умными и выученными? Кому тогда нужна армия ИТ-специалистов? Кому нужна техническая поддержка? Да, и, положа руку на сердце, любой из нас когда-то зарабатывал на их незнании. Не так? ТАК! А раздражает нас в первую очередь не то, что они не просто платят, а еще и путаются под ногами, просят пояснить то или иное. А пояснять не только не хочется, но очень часто и не можется. Ну не все умеют объяснять! И злятся, что не умеют! Верно? Нас греет ощущение чего-то значимого, чего-то большого, как средневековый рыцарский орден, имя которому ИТ, к которому мы все принадлежим! Это же так здорово, быть избранными!

Нас раздражает в пользователях не то, что они чего-то не знают, а то, что мы должны прервать свое любимое занятие (пиво, кофе, игра, ковыряние в новом ПО и т.д.), чтобы прийти к ним на помощь. Вам не кажется что от этого попахивает снобизмом, а, господа ИТ? Да-да, именно так, сам грешен, каюсь!

Но мне интересно другое.

Ведь кому-то выгодно, чтобы мы с вами все были марионетками. Дернули за ниточку – пора на работу, за другую – домой! И молчать! Говорить только то, что говорит кукловод! И делать то, что приказано! Удобно? Не первый взгляд все верно! Но только на первый. Вам не кажется что это опасно? В первую очередь для кукловодов! Это порождает спокойствие, тишину и застой, как на кладбище…

Да! Удобно когда вокруг куклы… И ниточки могут быть при этом разные – деньги, алкоголь, наркотики, секс, власть! Для более образованных – дети, семья, квартира, те же деньги…

Ой как много ниточек!

А главное – как удобно! Кукла ничего ведь сама не сможет! Ни ничего не знает! Зато никуда не убежит!

Странная заметка? Ничуть! Оглянитесь вокруг! Что вы видите? Толпу недообразованных людей или как любят говорить у нас в период выборов «электорат»! А на самом деле? Ничего не решающее БЫДЛО! Да-да! Именно так! И не стоит обижаться! Поздно! Я такой же. Тоже принадлежу к этой оболваненной толпе, хотя, наверное, еще не до конца мозги промыты. Пытаюсь думать! Правда, увы, не всегда получается! Но оглянитесь вокруг!

Вашим детям в школе и ВУЗе сегодня внушают одни ценности, завтра – другие! В школе, ВУЗе учат детей на украинском – дома и на улице на русском языке. Результат? Они НЕ УМЕЮТ ГРАМОТНО ПИСАТЬ НИ НА ОДНОМ ИЗ ЭТИХ ЯЗЫКОВ! Отлично! И что куклы, т.е. мы с вами? Молчим!

В ВУЗах детям прививается понимание того, что без взяток жить и учиться нереально. И что мы делаем, господа родители? Плюемся, обсуждаем на кухне и… ПЛАТИМ!

На выходе из ВУЗов чаще всего получаем обозленный балласт вместо специалистов. И опять! Куклы видят, понимают и… молчат! Ну и как нас назвать после этого? Людьми? У меня язык не повернется! И закончить хотелось бы отрывком из той же песни «Машины времени»:

Но вот хозяин гасит свечи —
Кончен бал и кончен вечер,
Засияет месяц в облаках...
И кукол снимут с нитки длинной
И, засыпав нафталином,
В виде тряпок сложат в сундуках.

И спросить: «ВАМ НЕ ПРОТИВНО, ЛЮДИ? ВЫ ЖЕ ЛЮДИ, А НЕ КУКЛЫ!»

Безмалый В.Ф.

MVP Consumer Security

Написав заголовок, надолго задумался…

Все знают, что чем крепче морально-этический климат в коллективе, в организации, более того в стране, тем крепче безопасность…

Знают все, но никто не выполняет! Почему? Странно, не правда ли?

Безмалый В.Ф.

MVP Consumer Security

- Есть ли свет в конце туннеля?

- Есть! Только туннель, сука, не кончается!

(М. Жванецкий)

Основной проблемой в обеспечении информационной безопасности, причем проблемой постоянной, и, увы, практически не излечимой, являются пользователи ПК. Нравится это нам или нет, но почему-то без них обойтись нельзя!

Далее…

В связи с этим вопрос, как вы считаете?

стал ли бы пользователь платить небольшую сумму ежемесячно за

1) то чтобы его винда и офис считались лицензионными

2) у него был бы лицензионный антивирус

3) внешняя служба заботилась о том чтобы у него были свежие обновления и свежие антивирусные базы

4) техподдержка с/без выездом специалистов.

Безмалый В.Ф.

MVP Consumer Security

О какой же гадости я буду говорить сегодня? Вы уже привыкли, что на моем блоге слово «оптимизм» скорее вызовет удивление, однако вот вам еще одна порция материала для размышления. Сегодня мы с вами попробуем рассмотреть те технологии, которые появились недавно или вот-вот появятся на нашем рынке в широкой продаже. Итак, начнем.

Владимир Безмалый

MVP Consumer Security

-Пора уезжать!

-Давно пора, видишь, даже Вася понял, что пора!

Я ж тебе третий год говорю – ПОРА, ПОРА, ПОРА!!!

(подслушанный разговор на вокзале Одессы)

Мы живем в тяжелые времена перемен. Снижение общего уровня финансирования уже привело к тому, что на улице оказались тысячи, если не десятки тысяч профессионалов различных специальностей. От финансистов до ИТ и специалистов информационной безопасности. Почему так произошло – не мне судить. Рынок оплаты рабочей силы был раздут и мы все понимаем, что дальнейшее разбухание мыльного пузыря зарплат и социальных льгот было уже невозможно. В последние годы уровень зарплат и социальных выплат рос гораздо быстрее уровня производительности труда. За все годы существования самостоятельной Украины практически не строились промышленные предприятия, закрыты большинство научных институтов, практически не внедрялись новые технологии, особенно украинской разработки. Мы успешно проедали советское наследие. И разворовывали остатки былого величия. На месте большинства промышленных объектов сегодня можно снимать «Сталкера» или фильмы ужасов о последствиях глобальной катастрофы. Что мы имеем сегодня?