За последнее время приходилось достаточно много общаться с
людьми не из отрасли ИБ, но так или иначе переживающими за нее: общественные некоммерческие
организации, преподаватели вузов, учителя школ, различные комитеты и
объединения. Причем переживают они совсем по-другому поводу, чем мы: «Вот вы
большие серьезные компании, рассказывающие про борьбу с киберугрозами», говорят
они, «Хакеры и ddos атаки? Да 99% обычных людей это вообще не касается, зато есть
большая проблема – «Кибернасилие в интернете», как вы планируете бороться с
этой проблемой?». А ведь и правда, абсолютное большинство взрослых (я уж не
говорю про детей) даже не задумываются над тем, как устроена сеть, по каким
законам она живет, какие правила кибергигиены нужно соблюдать при использовании
соцсетей и других сервисов. Уже наше поколение совершенно не задумывается
откуда берется контекстная реклама, почему всплывает тот или иной баннер, относимся
без особого осуждения к неожиданному появлению перед глазами порно-ролика, рекламы
казино, странных ненавязчивых призывов к чему-либо. А ведь следующие поколения
(миллениалы и далее) вообще воспринимают это, как само собой разумеющееся, всегда
«так и было». Нормальным становится кибербуллинг, стриминг своей интимной жизни
для всех, киберсекс, вербовка и зависимость от «фан-групп». Учителя и родители
начинают бить тревогу только тогда, когда ситуация заходит слишком далеко. И в
этом, на самом деле, не только их вина. У нас нет абсолютно никакой госполитики
в отношении повышения киберграмотности населения, прививания культуры
позиционирования себя и поведения в интернете, а между тем я убежден, что это
уже давно насущная необходимость, как любой другой базовый предмет, изучаемый
начиная с детского сада и в последствии по спирали преподаваемый на все более
высоких уровнях.
Итак, дети и родители, совершенно одни по ту сторону монитора. И что большие ИБ-дядьки могут им сегодня предложить? Вообще ничего. Просвещающие инструкции интернет-сервисов? Смешно. Подумайте, сколько таких инструкций вы на своем предприятии уже написали для сотрудников, и что, они перестали открывать фишинговые письма или вставлять в компьютеры флешки, найденные перед дверью с надписью «фотки с корпортаива»? Программы родительского контроля и блокировки роскомнадзора? Пффф. 8-ми летний сын моего знакомого лекго «наютубил» на планшете, как обойти блокировку интересующего его игрового сайта, установив популярный vpn-сервис. Читать длинные user agreement, да даже просто полстраничные памятки – это не работает. Что реально работает (не кидайтесь помидорами, это не реклама) или по крайней мере делает – так это приложения по типу Сберовского, когда оно «проверяет прошивку» и «ищет вирусы» на телефоне перед тем, как дать доступ пользователю к платежным инструментам. Да, существуют огромные, в том числе, технологические, социальные и юридически проблемы в вопросах «думать за пользователя», «уберегать его от возможных действий, которыми он сам того не осознавая, может навредить себе». Отсюда потом и претензии к производителям прикладных программ, операционных систем, антивирусам, операторам связи, в конце концов, что «не уберегли» и «как же вы такое могли допустить, вы же специалисты и предоставляете мне «компьютерные услуги», значит, должны отвечать за все». Про концепцию «чистого интернета» я уже писал и это, скорее, технологические свершения будущего. И что же, мы совсем ничем не можем помочь тем, что по ту сторону монитора, кроме общих советов: воспитывайте, думайте головой, идите к психологу?
Я считаю, что можем. Прежде всего, донесением информации. Как показал мой опыт общения с не-ИБ и не-ИТ гражданами, у них информации просто 0, о том, как совершаются компьютерные преступления, какие технологии и люди (и машины) стоят за кибернасилием и т.п. Не знаю, как дела обстоят в столицах, но в моем регионе мне неизвестны сколь либо популяризируемые курсы, лекции, программы, да просто собрания на базе каких-то институтов или объединений по вопросам повышения киберграмотности. Причем не с той позиции «торговли страхом» и не с позиции нас, как ИБ-сообщества, а с точки зрения обычных пользователей: детей, студентов, учителей, родителей. Для каждой из этих групп донесение информации должно быть адаптировано и лекции должны готовиться ИБ-специалистами совместно с преподавателями, социологами, психологами. Им катастрофически не хватает нас, а мы, если не посмотрим на нашу профессию под социальным углом, так и будем обсуждать лишь «SOC’и, DDOS’ы, Bad Rabbit’ов» в своих закрытых клубах, а массовое кибернасилие в сети среди населения - только возрастать.
Итак, дети и родители, совершенно одни по ту сторону монитора. И что большие ИБ-дядьки могут им сегодня предложить? Вообще ничего. Просвещающие инструкции интернет-сервисов? Смешно. Подумайте, сколько таких инструкций вы на своем предприятии уже написали для сотрудников, и что, они перестали открывать фишинговые письма или вставлять в компьютеры флешки, найденные перед дверью с надписью «фотки с корпортаива»? Программы родительского контроля и блокировки роскомнадзора? Пффф. 8-ми летний сын моего знакомого лекго «наютубил» на планшете, как обойти блокировку интересующего его игрового сайта, установив популярный vpn-сервис. Читать длинные user agreement, да даже просто полстраничные памятки – это не работает. Что реально работает (не кидайтесь помидорами, это не реклама) или по крайней мере делает – так это приложения по типу Сберовского, когда оно «проверяет прошивку» и «ищет вирусы» на телефоне перед тем, как дать доступ пользователю к платежным инструментам. Да, существуют огромные, в том числе, технологические, социальные и юридически проблемы в вопросах «думать за пользователя», «уберегать его от возможных действий, которыми он сам того не осознавая, может навредить себе». Отсюда потом и претензии к производителям прикладных программ, операционных систем, антивирусам, операторам связи, в конце концов, что «не уберегли» и «как же вы такое могли допустить, вы же специалисты и предоставляете мне «компьютерные услуги», значит, должны отвечать за все». Про концепцию «чистого интернета» я уже писал и это, скорее, технологические свершения будущего. И что же, мы совсем ничем не можем помочь тем, что по ту сторону монитора, кроме общих советов: воспитывайте, думайте головой, идите к психологу?
Я считаю, что можем. Прежде всего, донесением информации. Как показал мой опыт общения с не-ИБ и не-ИТ гражданами, у них информации просто 0, о том, как совершаются компьютерные преступления, какие технологии и люди (и машины) стоят за кибернасилием и т.п. Не знаю, как дела обстоят в столицах, но в моем регионе мне неизвестны сколь либо популяризируемые курсы, лекции, программы, да просто собрания на базе каких-то институтов или объединений по вопросам повышения киберграмотности. Причем не с той позиции «торговли страхом» и не с позиции нас, как ИБ-сообщества, а с точки зрения обычных пользователей: детей, студентов, учителей, родителей. Для каждой из этих групп донесение информации должно быть адаптировано и лекции должны готовиться ИБ-специалистами совместно с преподавателями, социологами, психологами. Им катастрофически не хватает нас, а мы, если не посмотрим на нашу профессию под социальным углом, так и будем обсуждать лишь «SOC’и, DDOS’ы, Bad Rabbit’ов» в своих закрытых клубах, а массовое кибернасилие в сети среди населения - только возрастать.
Ну так это вопрос работы службы ИБ.
ReplyDeleteВопрос кадров.
Когда я работал в крупной ГК я проводил семинары, писали краткие инструкции с картинками, и поверьте прогресс был, люди переставали открывать письма, учили своих детей, родных и т.д.
Теперь, когда мы проводим аудиты и пентесты мы обращаем внимание именно на это.
И да, когда я читаю лекции детям я им говорю, что и как было сделано, называю конкретные фирмы, их численность, показываю, что это были такие же люди, а не крупные компании из новостей.
ReplyDeleteТак что позвольте не согласится это все исходит из проблемы отсутствия достойных кадров в ИБ)
Соглашусь, что достойные есть, причем их реально много =)
ReplyDeleteЯ здесь не об ответственности конкретных людей, а о госполитике в целом и, возможно, о политике больших гос компаний, которых так или иначе слушают. Пиара не хватает, короче, этой теме.