Журнал "Information Security/ Информационная безопасность" #6, 2019

уже не классически в виде "забора". Разворачиваются лицом к бизнесу, помогая осуществлять бизнес-процессы с момента их старта. В конечном итоге безопасность превращается в бизнес- юнит, что-то вроде отдела управления рисками, и занимается хеджированием, управлением, митигацией, то есть сни- жением/увеличением разных вероятно- стей риска. Это такой достаточно инте- ресный интеграционный подход, когда безопасность в какой-то мере канниба- лизирует процессы внутри компании или становится структурой, интегриро- ванной в другие подразделения, и ее основной задачей уже являются не запрет, не ввод регламентов, правил, ограничений, а скорее поиск решений. А чтобы бизнес был более эффектив- ным, более устойчивым к внештатным ситуациям, используется предиктивная аналитика. Самый простой пример: если мы какую-то информацию добыли рань- ше, так как мы обладаем каналами связи, а бизнес на эту информацию вовремя среагировал, то в процессе мы можем принять другое решение. Можно рассмотреть на примере системы анти- фрода, которую используем. Мы смот- рим на поведенческую аналитику поль- зователя, если она каким-либо образом отклоняется, тогда информируем соот- ветствующий департамент, и они начи- нают создавать уже другие продукто- вые решения. То есть мы влияем непо- средственно на их работу. Не запре- щаем, не говорим, что, мол, ребят, у вас тут плохо. Это неконструктивно и бессмысленно. Мы все-таки не воен- ная структура, а коммерческая и немно- го иначе должны себя вести. Хотя опыт, в том числе силовых структур, он, без- условно, ценен. Иногда нужно уметь сказать нет, но стараться не бравиро- вать этим. На мой взгляд, запреты – это второстепенная функция современ- ных безопасников. Если они хотят выжить, чтобы их не заменил какой-нибудь искусственный интеллект, то поддержу мнение, кото- рое гласит, что те, кто сейчас стано- вится операторами систем, то есть получают эти специализации, а имен- но операторы SIEM, операторы DLP и прочие, скоро станут не нужны. Раз- работки в области Artificial Intelligence и Machine Learning подводят нас к выводу, что весь алгоритмизиро- ванный труд будет заменен програм- мами. Человек будет не нужен, либо необходимость в людях снизится ради- кально. – Достаточно часто обсуждают- ся в кулуарах вопросы нехватки специалистов в области инфор- мационной безопасности. Как вы оцениваете ситуацию? – Нехватка кадров актуальна не толь- ко на рынке информационной безопас- ности. Страна, если в качестве примера рассматривать Россию, очень быстро шагнула в следующее поколение тех- нологических решений. Цифровизация уже наступила. На одной из конферен- ций я приводил простой пример. Однаж- ды, возвращаясь из аэропорта, я сел в такси и водитель меня удивил вопросом: "Виталий Анатольевич, вы же только что оттуда-то прилетели?" В свою оче- редь я решил поинтересоваться, откуда у него такая информация. Оказывается, в рабочих целях ему установили про- грамму, которая нашла мое имя, подтя- нула мои соцсети, а они открыты и там есть мои фотографии, он все это про- смотрел, изучил, проанализировал и говорит: "Вы устали, наверное, поэтому вот вам водичка". Сервис! Это и есть цифровизация. Или где-то в Москве покупаете яблоки у бабушки, а она про- сит по номеру телефона на Сбербанк перевести ей оплату. Это тоже цифро- визация. То есть мы не заметили, как это произошло, но всем этим нужно управлять, все это нужно защищать. Многие не привыкли к тому, что мы живем в парадигме "дома со стеклян- ными стенами". Профессионалу про вас известно все, что попало в Сеть, и мало кто с этим может смириться, осознать. Многие рядовые пользователи пытаются защититься, закрывая аккаунты, напри- мер. Но полностью скрыть информацию о себе таким образом невозможно. Нужно совершенно по-другому выстраи- вать свое поведение, свои знания, внут- реннюю ответственность и отношение к миру, принимая во внимание тот факт, что анонимность отсутствует. Это, в какой-то мере, философия безопас- ности. И, учитывая все это, бизнесы продолжают свое развитие в области информационных технологий, иной раз не очень удачно, но при этом бурно. В наше время происходит много собы- тий. Если 20 лет назад все внедряли Microsoft Office, то сейчас все фирмы, даже производственные, внедряют искусственный интеллект. Системы ста- новятся сложными, бизнес становится более высокоинтеллектуальным и циф- ровым, а талантов, которые могут с этими задачами не только справиться, но и двигать вперед, больше не стано- вится. Как заявляют наши статистиче- ские ведомства, мы сейчас испытываем последствия двух демографических ям: послевоенную и девяностых. Людей меньше – компенсации не происходит. "Мозги" какое-то время вымывались из страны. Это действительно был большой отток, сейчас он, конечно, гораздо мень- ше. Но это все вызывает все более ощутимый голод на кадровом рынке. Да и само знание технологии не обес- печит компании эффективность и при- быль. Во-первых, нужен профессиона- лизм в этих технологиях. Во-вторых, кроме Hard Skills, то есть практических навыков и знаний, начали придавать гораздо большее значение навыкам, которые называются Soft Skills, потому что многие знают технологии, но не знают, что с этими технологиями можно придумать, и ценятся люди, у которых есть это комплексное креативное виде- ние. Скоро мы дойдем до ситуации, когда будет все больше сегментации в плане отбора сотрудников. Например, скоро на собеседованиях вас не будут спрашивать, знаете ли вы английский, вас спросят, какой у вас уровень анг- лийского. И так во всем. Возможно, я скажу совсем нелицеприятную фразу, но... Очень мало профессионалов в информационной безопасности! Настоящих профессионалов, которые бы переживали и болели за дело. Их единицы, и они часто не находятся у руля. Есть большой разрыв между знаниями про то, что такое безопас- ность, и реальным исполнением. Мощнейших легендарных безопасни- ков можно найти в крупных ИТ-компа- ниях. На них нужно равняться, у них нужно учиться, но в любом случае неко- торым из них не хватает Soft Skills, поэтому они не могут вырасти во что-то, кроме суперкрутого специалиста. – Раз уж мы коснулись в нашей беседе этого вопроса... На про- шедшей конференции BIS Summit 2019 вы затронули тему, о которой все предпочитают молчать, цити- рую: "Нанимаем мы специалистов по их Hard Skills, а увольняем мы их по личным качествам". В вашей практике были подобные случаи? – Одна из моих компетенций – про- фессиональный рекрутер. То есть я учился нанимать людей, делать Research и грамотно проводить интервью. У меня великолепные учителя! Я все-таки рабо- таю в HeadHunter. Ситуация до баналь- ности проста. В 90% случаев основной проблемой рекрутинга является отсут- ствие понимания: а кого нужно найти? И почему-то всегда умалчивается, что личные качества иной раз важнее всего остального. А они важнее, потому что научить человека техническим компе- тенциям, особенно с развитием совре- менного онлайн-обучения и доступа кин- формации, гораздо проще, чем научить • 13 ПЕРСОНЫ www.itsec.ru Безопасность превращается в бизнес-юнит, что-то вроде отдела управления рисками, и занимается хеджированием, управлением, митигацией, то есть снижением/увеличением разных вероятностей риска. Это такой достаточно интересный интеграционный подход, когда безопасность в какой-то мере каннибализирует процессы внутри компании или становится интегрированной в другие подразделения структурой, и ее основной задачей уже является не запрет, не ввод регламентов, правил, ограничений, а скорее поиск решений.