Письмо читателя. ИБ в Узбекистане

Другая
большая удача — что удалось побывать почти во всех регионах страны. Руководство
решило, что нужно объехать все филиалы и провести внутренний аудит ИБ. Своими
силами разработали план и в течение года «катались» по командировкам. Такой
«деловой туризм» подействовал очень отрезвляюще. Стало понятно, что многие
прожекты, планируемые в головном офисе, до регионов просто не дойдут — нет
техники, и, что хуже — грамотных сотрудников. Адекватных быстро переманивали в
головной офис или другие компании. Каналы связи тогда тоже оставляли желать
лучшего, поэтому большое значение имели именно локальные ИТ-специалисты.
Поэтому руководство приняло решение — учить тех что есть и работать с ними. Так
впервые пришлось читать лекции. С тех пор ещё больше зауважал труд
преподавателей. После пары лекций подряд устаёшь настолько, будто вагоны
разгружал. И это ‑ со взрослой и более-менее заинтересованной аудиторией. Как
педагоги каждый день работают с детьми — не понимаю.
В те же
годы на себе испытал известные многим войны между ИТ и ИБ. Особенно когда на
оба департамента выделялся общий бюджет и нужно было выбирать — обновить парк
серверов или купить какую-нибудь IDS-систему.
Приходилось искать способы объяснить правлению, что это подход «или/или»
неправильный. Нужно и то, и это. И если возможность удалённого обслуживания
клиентов виделось как конкурентное преимущество, и на это деньги выделялись, то
про безопасность всего этого приходилось объяснять на пальцах. До сих пор помню
высказывания руководителя финансового департамента — «да кому мы тут нужны, в
Азии-то. Мы же не швейцарский банк. Ещё не родился хакер, который нас
взломает».

Про частный бизнес.
Работа
в банке хоть и весьма сложная, но всё-таки рутинная. Поэтому с коллегами
приняли решение создать собственную консалтинговую компанию и оказывать услуги
по экспертизе ИБ, разработке документов. Занимаемся этим уже более десяти лет.
Работа консультантом дала новый взгляд на безопасность. Подтверждается и
известная шутка, что «эксперт — любой человек не из нашего города». Когда о
проблемах говорит административно независимый человек (аудитор, консультант),
то внимания у руководства к этому больше, чем к сотруднику, который про это
твердит не первый год.
Не
перестаём удивляться, что ИБ сейчас практически везде. У нас в Узбекистане два
года назад был принят закон «О персональных данных», а это целая новая
сфера/страта ИБ. А ведь никуда не исчезли и вопросы подбора персонала, и
безопасность инфраструктуры, кондиционеры, дизель-генераторы, кабельные
колодцы, NDA и SLA.
Ну и
про «замылившийся глаз» тоже актуально. Постоянно находятся лежащие на
поверхности критические уязвимости, которые находятся за пять минут, но не были
обнаружены силами предприятия. Из самых анекдотичных случаев — незапароленный Wi—Fi в серверной подсети, стершиеся
кнопки кодового замка, выдающие код доступа. Или простейшая уязвимость (инъекция)
когда вместо кода подтверждения, оправленного по SMS мы забавы ради вместо
кода (которого у нас не могло быть) ввели знак «?» и неправильно написанный
скрипт нас «впустил». И таких детских, но от этого ещё более обидных проблем,
множество на любом крупном предприятии. Точнее там, где нет системного подхода,
того что и называется СМИБ — системы менеджмента информационной безопасности.
Поэтому и продолжаю удивляться универсальности стандарта ISO/IEC 27001. Просто бегло пройдясь по его
требованиям и «закрыв» хотя бы часть из них можно очень серьезно поднять
уровень ИБ.

Про статьи.
С
первых лет работы в ИБ чуть ли не основным сайтом с русскоязычными новостями
был SecurityLab, а публикующиеся там — почти небожителями. Даже
познакомившись с некоторыми из них лично (Алексей Лукацкий, Михаил Кадер) это
ощущение ещё долгое время не пропадало. Поэтому вдвойне было увидеть там
статьи/заметки Ксении Шудровой. «А что, так можно было?» Т.е. молодой и
неизвестный автор может так запросто публиковаться рядом с общепризнанными
авторитетами? Поэтому, решив попытать счастья и сдать статью в печатный журнал,
рискнул обратиться уже к Ксении с предложением о коллаборации. Очень благодарен
ей за советы и помощь. Та совместная статья успешно вышла (https://www.itts.uz/news/85-isstart),
и, как кажется, актуальная до сих пор. После этого некоторые редакции уже сами
выходили на меня с предложением написать на заданные темы.
Как и с
преподаванием, открылась истина ‑ мало понимать предмет статьи, нужно ещё
суметь оформить это словами. Чтобы хотя бы самому более-менее нравилось. И
получается это далеко не всегда.

О профессиональном развитии.
Вот и
получается, что современный ИБ-специалист чтобы быть в тренде должен
периодически что-то писать для СМИ, или хотя бы в блог (https://t.me/ittsuz).
Читать лекции, выступать с докладами на конференциях. А ведь ещё и нужно
постоянно изучать новинки, читать коллег. А значит — саморазвитием нужно
заниматься чуть ли не больше, чем основной работой. Вдвойне везёт тому, кто умеет
всё это совмещать.

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:
Вконтакте: https://vk.com/shudrova
Facebook: https://www.facebook.com/profile.php?id=100001253566519
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova