11 июля 2013 г.

Если нет мифов [в информационной безопасности], их надо придумать

Тема мифотворчества в информационной безопасности – одна из самых популярных. Их, эти мифы, любят рассматривать и опровергать, аргументируя свою позицию ссылками на мировой и личный опыт. Их собирают и систематизируют, рассматривают под лупой и в целом.
Прочтение последнего, по времени появления, материала, очередного борца с иллюзиями, на этот раз – из глубоко уважаемой компании Gartner, натолкнуло меня на мысль, что эти мифы порой создаются не коллективным творчеством масс специалистов, заблудших в поисках ответов на бесконечные «вызовы времени», и ищущих пути защиты и спасения, а рождаются в тихих кабинетах аналитиков с целью опровергнуть их затем публично и успешно.
Судите сами. Примерно месяц назад в зарубежных ИТ- и ИБ-изданиях (например, здесь) активно цитировалась публикация Jay Heiser из упомянутой компании. Похоже, это изначально была даже не статья, а презентация, но найти ее на сайте Gartner мне не удалось. Перевели ее и российские «Открытые системы».
Обсуждения высказанной точки зрения практически не было, все просто перепечатывали текст. Свое мнение хотелось высказать сразу, но времени не было совсем. Коль скоро тема не обсуждалась, а актуальности не потеряла, думаю, это возможно сделать и сейчас.
В публикации приводятся и опровергаются 10 мифов. Почему 10? Число красивое! Но как-то сразу вызывает подозрения. Если бы их было 8 или 11, у меня лично это доверия вызвало бы больше. Но Gartner число 10 очень любит. Погуглите, кто не верит.
По прочтении материала появилось устойчивое впечатление, что так, как опровергаемые автором специалисты, я не думаю, и, самое главное, не думал никогда. Более того, из разговоров с моими коллегами, партнерами, клиентами, из того, что я слышу на конференциях и читаю в интернете, складывается мнение, что так никто вокруг меня тоже не думает.
Но если заблуждение не является массовым, то откуда могут появиться мифы? Только из пробирки.
Итак, по порядку. Перевод немного не совпадает с «Открытыми системами», да не обидятся на меня коллеги.
Миф № 1. Этого не случится со мной. Среди специалистов по информационной безопасности этот миф родиться просто не мог, иначе место работы автоматически закрывается. Среди мифотворцев автор упоминает еще загадочных «бизнес-менеджеров». Если речь идет о топах, влияющих на процесс, то там мифы совсем другие: «Жили без этого, и еще поживем», «Столько лет ничего не случалось, с чего вдруг это случится?» и т.д. Но «Со мной не случится» - это уже какой-никакой, а риск-менеджмент: выявление угрозы, оценка риска и принятие решения по управлению им. А реальные мифы основаны на самом отрицании наличия угрозы и необходимости противодействия рискам.
Миф № 2. Бюджет на ИБ – это 10% общих затрат на ИТ. Это не миф. Это известный каждому просителю бюджета аргумент, основанный на «лучших практиках». Все знают, что никто никогда этой величины не считал, статистики нет, но как-то обосновывать свою долю в ИТ-проекте надо. Если это проект чисто айтишный, все знают, что 10% не видать, как своих ушей без зеркала. Но если удастся убедить руководство в открытии ИБ-проекта, бюджет будет не 10, а все 100%.
Миф № 3. Риски безопасности могут быть оценены количественно. Можно было бы ограничиться коротким «ха-ха». Наличие мифа как такового, во всяком случае, в России, опровергается наличием в методике актуализации угроз ФСТЭКа слов «Вербальные градации вероятности реализации угрозы», «Вербальная интерпретация возможности реализации угрозы» и «Вербальный показатель опасности угрозы». Количественно, говорите?
Миф № 4. Мы обеспечили физическую безопасность (или SSL), и теперь вы знаете, что ваши данные в безопасности. Само наличие в английской версии местоимений «мы» и «вы» готовит о том, что миф распространяется кем-то, не пользователем. Заказчиков, которые поверили бы в достаточность только физических мер защиты или использования криптографии, (см. Миф № 10) я не встречал никогда. Даже когда сам начинал быть заказчиком. И совершенно не понимаю, из каких реальных условий такой миф мог бы родиться.
Миф № 5. Уменьшение срока действия пароля и его усложнение снижают риски. А вот тут стоп. Это вовсе не миф, пока, во всяком случае. Отнесение этого утверждения к мифу основывается на высокомерном утверждении, что сама идея использования паролей глубоко ошибочна, потому что они не ломаются, а перехватываются. Многофакторная аутентификация, токены и биометрия, одноразовые пароли генераторов случайных чисел и систем синхронизации времени – это все здорово, но зачем они там, где стоимость информации меньше, чем системы аутентификации. Поживем еще с паролями. А тогда и время действия пароля, и его длина, и сложность имеют значение. И снижают риски.
Миф № 6. Выделение ИБ из ИТ автоматически обеспечивает хорошую (в подлиннике – good) безопасность. Что, правда, кто-то когда-то так думал? Автоматически? Да, во многих случаях (не всегда!) переподчинение ИБ руководителю службы безопасности или даже первому лицу (зависит от бизнеса) способствует снижению рисков, почему – написано многобукв. Но никогда это не рассматривается как панацея. Никакая оргмера не может ею стать. И кому, как не Gartner, это знать. Да и многие компании, делающие бизнес исключительно на ИТ (дата-центры, например), не имеют служб ИБ. Не читают они мифов древней Греции нового Gartner.
Миф № 7. Следование безопасным практикам – проблема руководителя ИБ. Миф какой-то путаный, непоследовательный. Тут и переложение на CISO (по-русски – руководитель службы информационной безопасности) всех проблем, и его неспособность дать ответы на все вопросы. Но на самом деле – это тоже не миф, а суровая реальность. Если произойдет инцидент ИБ, и ответственный за ИБ будет доказывать, что он сделал, все, что мог, а его не слушали, ответом будет «Плохо убеждали». Проверено. Переложить ответственность на чужие плечи не удастся. ИБ – проблема CISO. И хороший CISO отличается от плохого не наличием международных сертификатов, а умением строить отношения в компании. C ИТ-подразделением. С финдиректором. С директором по рискам, если он есть. С гендиректором, если сможет выйти на этот уровень. Но отвечает за все он. И это не миф. 
Миф № 8. Покупка универсального средства решает все проблемы. Ага. Серебряная пуля. Волшебная кнопка. Философский камень. Нет такого. Даже самые наглые продавцы в ИБ не пытаются его продавать. А это говорит о многом.
Миф № 9. Примем политику, и все проблемы будут решены. Даже самые замшелые консервативные адепты бумажной безопасности (ну вроде меня) никогда не говорили, что сама по себе политика решает проблемы безопасности. Проблемы решают выстроенные, в соответствии с политикой, процедуры и применяемые в соответствии с ней же средства. Миф высосан из пальца.
Миф № 10. Шифрование является лучшим способом сохранить ваши важные данные в безопасности. Никто из практиков так не думает и не думал. Никогда. А уж у нас, учитывая специфику использования средств шифрования, к ней прибегают только тогда, когда обойтись без нее решительно невозможно. С автором не поспоришь в том, что для применения криптографии надо иметь соответствующий опыт и знания. Но вот в то, что это «чаша Грааля» или «волшебная пуля» может поверить только дилетант, начитавшийся кривых учебников по криптографии. Если наивные до такой степени дилетанты в сфере ИБ вообще существуют.
Так зачем творить несуществующие мифы, спросите вы меня. Читайте сигнатуры аналитика к снадобьям от мифов (Cure в тексте): выявление первопричин проблем системы безопасности, создание программы информационной безопасности внутри корпоративной культуры, методический анализ рисков и приоритетов, многолетние планы обеспечения безопасности и т.д.

У вас еще есть вопросы?

3 комментария:

  1. Михаил Юрьевич.
    Если исключить из преамбулы к этому материалу security pros ("Узок круг этих людей..."), то, надо признать, что подобные мифы в той среде, действительно, существуют.
    Хотя, опять-таки, "у Российских собственная гордость".
    Может быть тамошние security pros, действительно так думают?

    ОтветитьУдалить
  2. Павел, если бы "в той", я бы и писать не стал. Но эта наша среда. Вы сами хоть в один верите? :-)

    ОтветитьУдалить
    Ответы
    1. Сам не верю, но с их адептами в среде бизнеса сталкиваюсь регулярно :-)
      Ошибка Gartner-а в некорректном до смешения определении анализируемой и целевой аудитории.

      Удалить