Мы в ответе за тех, кому рассказали или поколение, воспитанное на блогах.

На протяжении всей жизни у нас, пока мы взрослеем, учимся, общаемся, познаем, слушаем и впитываем информацию, возникают кризисы доверия, по отношению к тем или иным людям или группе людей. Причин появления таких этапов много: осознание, что родители не могут знать все; первые подставы от друзей; юношеский максимализм; первые думы над смыслом жизни и т.п. Каждый из рубежей мы проходим по-своему, иногда с пофигизмом, иногда с обидой или злостью, с разочарованием, с вдохновением. А если попробовать взглянуть на это с противоположной стороны – с позиции проводника информации.

В каких ситуациях мы сильно задумываемся, о чем рассказываем людям? Да не так уж и много таких, если проанализировать. Правильно, я, например, ведь не президент, не глава корпорации или ведомства, чтобы брошенная мной в пылу фраза, содержащая buzz words, типа «атака» или «вирус-шифровальщик», могла влиять на мировой рынок акций. Вместе с тем, чем более публичными мы становимся внутри своих компаний или за их пределами, чем больше собираем «лайков», желая или иногда даже не желая этого, возрастает и ответственность за то, какую информацию и каким образом мы (назовем далее – спикеры) доносим до аудитории. Абсолютно объективно не имея возможности знать/читать/изучать все на свете, даже внутри своей сферы деятельности, да еще и из первоисточников (а нынче это понятие так же дискуссионной), люди внимательно слушают и доверяют спикерам, ведь они пропустили «первоисточники» через себя и донесли своими словами суть. Боясь проверить, опровергнуть, поспорить с признанными авторитетами, опасаясь, наверное, выглядеть неловко и некомпетентно, люди зачастую не подвергают слова спикеров сомнению, либо оставляют его при себе, в последствии забывая, забивая, никому его не рассказывая. А, между тем, умышленно или неумышленно, спикеры так или иначе, больше или меньше врут, допускают ошибки, неточности и т.п. В этом случае катастрофически важно спикеру получать обратную связь в любых формах.

Сутью поста ни в коем случае не является закидывание камней в огород спикеров ИБ (и не дай Бог конкретных личностей, все совпадения случайны), напротив, это попытка проанализировать и в хорошем смысле усомниться в каналах получения информации, что, по моему мнению, наоборот полезно спикерам. Сейчас у нас вырастает или уже выросло целое поколение специалистов, воспитанное на блоге одного или нескольких человека. Только представьте, какая ответственность на этих людях? Убежден, что скоро можно будет выпускать брендированную сувенирку. И в современных технологических условиях каждое высказывание или мысль распространяется прямо в мозг с огромной скоростью. Выводы будут простыми и сложными одновременно: начинаешь понимать, что при подготовке материала обязательно надо думать о восприятии людьми, масштабах, репутации, но как же чертовски сложно иногда удержать вырвавшиеся «не те» слова, а готовить, проверять, перепроверять, перемалывать, адаптировать снова и снова материал, который несешь в массы, это очень тяжелая работа, хоть со стороны раньше мне, например, совсем так не казалось.

Информационная безопасность по ту сторону экрана монитора.

За последнее время приходилось достаточно много общаться с людьми не из отрасли ИБ, но так или иначе переживающими за нее: общественные некоммерческие организации, преподаватели вузов, учителя школ, различные комитеты и объединения. Причем переживают они совсем по-другому поводу, чем мы: «Вот вы большие серьезные компании, рассказывающие про борьбу с киберугрозами», говорят они, «Хакеры и ddos атаки? Да 99% обычных людей это вообще не касается, зато есть большая проблема – «Кибернасилие в интернете», как вы планируете бороться с этой проблемой?». А ведь и правда, абсолютное большинство взрослых (я уж не говорю про детей) даже не задумываются над тем, как устроена сеть, по каким законам она живет, какие правила кибергигиены нужно соблюдать при использовании соцсетей и других сервисов. Уже наше поколение совершенно не задумывается откуда берется контекстная реклама, почему всплывает тот или иной баннер, относимся без особого осуждения к неожиданному появлению перед глазами порно-ролика, рекламы казино, странных ненавязчивых призывов к чему-либо. А ведь следующие поколения (миллениалы и далее) вообще воспринимают это, как само собой разумеющееся, всегда «так и было». Нормальным становится кибербуллинг, стриминг своей интимной жизни для всех, киберсекс, вербовка и зависимость от «фан-групп». Учителя и родители начинают бить тревогу только тогда, когда ситуация заходит слишком далеко. И в этом, на самом деле, не только их вина. У нас нет абсолютно никакой госполитики в отношении повышения киберграмотности населения, прививания культуры позиционирования себя и поведения в интернете, а между тем я убежден, что это уже давно насущная необходимость, как любой другой базовый предмет, изучаемый начиная с детского сада и в последствии по спирали преподаваемый на все более высоких уровнях.

Итак, дети и родители, совершенно одни по ту сторону монитора. И что большие ИБ-дядьки могут им сегодня предложить? Вообще ничего. Просвещающие инструкции интернет-сервисов? Смешно. Подумайте, сколько таких инструкций вы на своем предприятии уже написали для сотрудников, и что, они перестали открывать фишинговые письма или вставлять в компьютеры флешки, найденные перед дверью с надписью «фотки с корпортаива»? Программы родительского контроля и блокировки роскомнадзора? Пффф. 8-ми летний сын моего знакомого лекго «наютубил» на планшете, как обойти блокировку интересующего его игрового сайта, установив популярный vpn-сервис. Читать длинные user agreement, да даже просто полстраничные памятки – это не работает. Что реально работает (не кидайтесь помидорами, это не реклама) или по крайней мере делает – так это приложения по типу Сберовского, когда оно «проверяет прошивку» и «ищет вирусы» на телефоне перед тем, как дать доступ пользователю к платежным инструментам. Да, существуют огромные, в том числе, технологические, социальные и юридически проблемы в вопросах «думать за пользователя», «уберегать его от возможных действий, которыми он сам того не осознавая, может навредить себе». Отсюда потом и претензии к производителям прикладных программ, операционных систем, антивирусам, операторам связи, в конце концов, что «не уберегли» и «как же вы такое могли допустить, вы же специалисты и предоставляете мне «компьютерные услуги», значит, должны отвечать за все». Про концепцию «чистого интернета» я уже писал и это, скорее, технологические свершения будущего. И что же, мы совсем ничем не можем помочь тем, что по ту сторону монитора, кроме общих советов: воспитывайте, думайте головой, идите к психологу?

Я считаю, что можем. Прежде всего, донесением информации. Как показал мой опыт общения с не-ИБ и не-ИТ гражданами, у них информации просто 0, о том, как совершаются компьютерные преступления, какие технологии и люди (и машины) стоят за кибернасилием и т.п. Не знаю, как дела обстоят в столицах, но в моем регионе мне неизвестны сколь либо популяризируемые курсы, лекции, программы, да просто собрания на базе каких-то институтов или объединений по вопросам повышения киберграмотности. Причем не с той позиции «торговли страхом» и не с позиции нас, как ИБ-сообщества, а с точки зрения обычных пользователей: детей, студентов, учителей, родителей. Для каждой из этих групп донесение информации должно быть адаптировано и лекции должны готовиться ИБ-специалистами совместно с преподавателями, социологами, психологами. Им катастрофически не хватает нас, а мы, если не посмотрим на нашу профессию под социальным углом, так и будем обсуждать лишь «SOC’и, DDOS’ы, Bad Rabbit’ов» в своих закрытых клубах, а массовое кибернасилие в сети среди населения  - только возрастать.