Давным-давно, когда компьютеры были большими, а объемы HDD и RAM -
маленькими, одни ребята разбирались во всем этом лучше других. Этих ребят звали
хакерами и все мы понимаем, что это тогда означало.
Затем компьютеры без приглашения вошли в повседневную жизнь большинства
людей, притащив за собой Интернет и новые проблемы, которые сухой протокольный
язык обобщает в понятие "защита информации". Именно тогда понадобилось первый
раз расставить все точки над i в терминологии "кто есть ху", и от хакеров
отпочковались "кракеры".
Наконец, в наши дни, когда угроза кибератак кажется не более иллюзорной и не
менее привычной, чем кража забытой в машине магнитолы темной ночью во дворе,
цветет и пахнет целая индустрия, лицом которой являются т.н. "эксперты по
информационной безопасности" (здесь и далее кавычки - не для стеба, прим. ред.).
В качестве вступительного слова на своих докладах эксперты любят вспоминать,
что "сейчас уже не девяностые годы, когда большинство взломов делалось for fun -
сегодня кибермошенничества и взломы это настоящий бизнес с огромным оборотом, а
темных личностей уже не интересует исследование ради исследования. Они
зарабатывают деньги". Такой пассаж в противофазе всегда удивлял меня. Чем же
занимаются все эти "эксперты по ИБ", в отличие от хаккиров, делают мир лучше?
Спасают Вселенную? Да нет. Точно также, тупо зарабатывают деньги, только своими
способами. При этом в качестве внутреннего механизма продвижения индустрии и
друг друга активно используя говнопиар.
Печальный, но очевидный факт: "эксперты по ИБ" сегодня - такие же
ремесленники, как кодеры или администраторы, работающие в своей прикладной
профессии. Я хочу сейчас подчеркнуть эту очевидность для того, чтобы сделать шаг
дальше и констатировать, что она является главной причиной деградации как
отрасли целиком, так и личностей, ее представляющих.
Лет сто назад, когда автомобильная индустрия только делала робкие шаги в
правильном направлении, будущие форды и порше собирали свои автомобили в гараже
чуть ли не в одиночку - конструкции были весьма примитивны и талантливый механик
мог построить автомобиль не из "кирпичиков", а буквально с нуля. Сегодня же,
когда автомобиль - это сложное электромеханическое устройство, трудно
представить человека, который в одиночку может перебрать всю машину, от
электронных "мозгов" до двигателя и подвески. Поэтому понятия "специалист по
ремонту автомобилей" в наши дни не существует - есть механики, электрики,
мотористы, специалисты по компьютерной начинке и т.п.
В мире информационных технологий ситуация во многом схожая. Даже не беря в
расчет все нетехнические аспекты ИБ (что само по себе уже неправильно), мы все
еще имеем четыре уровня модели TCP/IP, на каждом из которых существуют сотни
проблем безопасности. Логично предположить, что "эксперт по ИБ" должен комфортно
себя чувствовать на любом из этих уровней.
Однако это не так. Так как security analyst сегодня - сугубо прикладная
профессия, а дорог перед исследователем как никогда много, это приводит к узкой
специализации и совершенствованию в заданных рамках. Получается забавная
ситуация: человек довольно неплохо разбирается в узкой области, может быть даже
зарабатывает себе имя среди коллег, но при этом в смежных вещах может быть
полным нубом. И тем не менее, по неписанному стандарту он - все еще "эксперт по
ИБ".
Это неправильно.
Я знаю полно примеров, когда человек неплохо разбирался, скажем, в
безопасности web-приложений, но при этом совершенно не представлял, как работает
DNS. Другой специалист с закрытыми глазами мог играть с хоткеями IDA Pro, но в
то же время любые его попытки порассуждать на тему файрволов или сетевых атак не
доставляли ничего, кроме огромной порции лулзов. Это совершенно типичная, к
сожалению, картина: человек специализируется в своей узкой области, а в смежных
не имеет объема знаний даже на уровне здравого смысла - потому что для работы
это не нужно (sic!!!). Практически каждому среднестатистическому "эксперту в
области информационной безопасности" - не только в России - свойственны подобные
черты.
Поэтому я выступаю за то, чтобы прекратить дискредитировать понятие.
Называйтесь как хотите: "экспертами по безопасности web-приложений", "вирусными
аналитиками", даже "специалистами в области безопасности протоколов канального
уровня". Но только оставьте понятие "security expert" как state of art.
Человек, называющийся "экспертом в области ИБ" может не быть гением, но
он обязан иметь адекватный уровень знаний хотя бы во всех технических аспектах
ИБ. Сейчас для того, чтобы быть "экспертом", этого не требуется - это просто не
пригождается в работе! Поэтому общий уровень "экспертов" в целом по больнице
крайне низок.
Себя, кстати, я "экспертом в области информационной безопасности", понятное
дело, не считаю 🙂
