А для многонациональных компаний каждая страна может иметь собственный, иногда противоречивый, набор стандартов и политик. Некоторые страны высоко ценят личную жизнь, в то время как другие могут юридически не требовать гарантированной личной жизни. Одна страна может потребовать, чтобы компьютерные системы, популярные в другой стране, использовали меньшие стандарты (например, законы США о криптоэкспорте). Глобальные компании имеют экспоненциально больше вопросов соблюдения, о которых следует беспокоиться.
Многие компании сталкиваются с многочисленными, подчас противоречащими друг другу требованиями. Попытка соблюдать единый стандарт может быть очень трудной. По этой причине была создана целая система компаний и инструментов для оказания помощи другим, пытающимся соблюдать один или несколько стандартов или правил. Компании, как правило, имеют отдельные команды и сотрудников, дорогое программное обеспечение и внимание генерального директора. Попытка своевременно соответствовать всем стандартам требует работы специального персонала, всей ИТ-команды и каждого сотрудника, работающего для достижения общих целей соответствия. Соответствие стандартам – это большой бизнес. Последствия несоблюдения могут привести к проблемам, судебным разбирательствам и использованию хакерами известных слабых мест.
Если вы прочитаете эту главу и захотите повернуть время вспять, потому что ваше внимание было усыплено, знайте, что я тоже через это прошел. Потребовались десятилетия, чтобы увидеть, как мои невероятно технические, требовательные рекомендации неправильно применяются и игнорируются, а без этого невозможно понять важность разработки политики и документации. Без документов соответствия не может быть настоящей информационной безопасности. Все просто.
Следующая глава посвящена Цзин де Йонг-Чен, чья работа сосредоточена на улучшении международных стандартов безопасности и глобального киберуправления.
Как мы говорили в предыдущей главе, без правильных политики и стратегии невозможно обеспечить реальную долгосрочную безопасность компьютера. Некоторые из «невидимых» героев информационной безопасности – это люди, которые управляют корпоративными глобальными стратегиями информационной безопасности. Цзин де Йонг-Чен, партнер и CEO программы Глобальной стратегии безопасности отдела по корпоративным, внешним и правовым вопросам в Microsoft, посвятила свою жизнь продвижению лучших и более глобальных стандартов ИБ и гармонизации киберполитики. Также она вице-президент Trusted Computing Group (TCG), некоммерческой международной организации по отраслевым стандартам, специализирующейся на инновациях в области технологий безопасности. Она советник Исполнительного женского форума – организации, занимающейся продвижением женщин в сферах безопасности, конфиденциальности и управления рисками. Кроме того, де Йонг-Чен выступает в качестве советника по проекту Digital Futures Центра Вудро Вильсона, который отстаивает лидерство в области технологий для формирования государственной политики. В 2014 году она получила награду «Влиятельные женщины» от Форума исполнительных женщин за вклад в кибербезопасность. У Цзин есть степень магистра делового администрирования и степень бакалавра компьютерных наук.
Одна из вещей, которые я заметил сразу же, когда впервые брал у нее интервью, заключалась в том, насколько продуманными и полными были ее ответы. Она провела десятилетия, успешно борясь за улучшение глобальной государственной политики и стандартов, и об этом говорят ее опыт и знания. Длительность ее опыта уникальна как для женщины, так и для азиатского профессионала, что она с готовностью признает, поскольку активно продвигает большее разнообразие инструментов в области ИБ.
Я спросил, как она впервые занялась информационной безопасностью. Она ответила: «Я начала работать в Microsoft в 1992 году, в частности, в области исследований и разработок для решения проблем производства азиатских версий Windows 3.1. В то время не было китайской версии Windows, а Китай стоял на пути к углублению своей экономической реформы и становлению важной частью мировой экономики. Мы успешно создали первые японские, корейские и китайские версии Windows 3.1, поддерживающие двухбайтовые символы. Для достижения нашего видения демократизации вычислений с компьютером на каждом столе и в каждом доме наши программы должны быть разработаны для пользователей во всем мире. Основываясь на проблемах, с которыми пришлось столкнуться при разработке Windows 3.1, мы поняли, что должны изменить наши способы создания программного обеспечения. Мы разработали подход, чтобы иметь единую кодовую базу и включить стандарт Unicode и отдельные ресурсы (языковые компоненты) из исходного кода.
Мы заметно опережали многие компании, когда выпустили по всему миру версию Windows 95 на многих языках. Мы отправили ее упрощенную версию на китайском языке в течение шести месяцев после выпуска в США. Это было большим достижением, учитывая локализацию. Чтобы выполнить это в соответствии со стандартом национального языка, мы включили 25 000 китайских упрощенных и традиционных характеристик. Как вы знаете, Китай гордится тем, что является родиной печатного станка, но до появления коммерческих операционных систем, таких как Windows 95, книгопечатание по-прежнему требовало ручного труда. С профессором Ваном Сюаньом, одним из основателей Founder Group (китайской компании информационных технологий), мы работали над усовершенствованием и популяризацией системы. Это было началом вступления Китая в эпоху электронных публикаций после тысячелетнего ручного труда. Это продемонстрировало ценность вычислений для значительного повышения производительности человека. Я получила от этого невероятное удовольствие.
Затем, в 1998 году, примерно в начале революции электронной коммерции, Microsoft начала проникать в интернет-пространство. Я стала частью нашего подразделения онлайн-сервисов, а невозможно быть частью интернет-сервисов и программного обеспечения без участия в безопасности. В течение нескольких лет мы сталкивались с довольно большими проблемами, так как хакеры начали использовать вирусы и вредоносные программы, чтобы испортить жизнь нашим клиентам и компаниям, например червь Code Red и SQL Slammer. Все в Microsoft пытались выяснить, как создать более безопасное и надежное ПО. В то же время последствия террористического акта 11 сентября показали, что отрасли, которые были более подготовлены к стихийным бедствиям, такие как финансовые услуги, восстанавливались быстрее. Некоторые уроки, извлеченные из предыдущих проектов по обеспечению готовности к 2000 году, для этих компаний окупились. Я увидела, куда движется безопасность, и присоединилась к отделу передовой политики и стратегии Microsoft под руководством Крейга Манди. Я стала частью недавно сформированной компании Trustworthy Computing Group во главе со Скоттом Чарни, которая сосредоточилась на безопасности, конфиденциальности, надежности и целостности бизнеса. Мне очень повезло учиться у опытных лидеров в области кибербезопасности.
Я помню, что во время этих атак рынки таких стран, как Корея и Япония, сильно пострадали, потому что были ранними последователями нашей технологии и Интернета. Пострадали миллионы пользователей. Правительства были обеспокоены. Microsoft пришлось реагировать очень быстро. Я посвятила все свое время вопросам информационной безопасности и сотрудничеству с правительством. Я начала проводить информационно-разъяснительную работу и находить пути содействия созданию государственно-частных партнерств для минимизации рисков и комплексного решения проблем безопасности. Мы смогли поделиться своим опытом и разработать решения для оказания поддержки правительственным и промышленным партнерам в создании потенциала технического реагирования. Например, многие полицейские управления в разных странах не имели киберотдела и использовали устаревшие системы. Поскольку увеличилось количество киберпреступлений, правоохранительным органам требовалось больше экспертов, которые могли бы грамотно отреагировать на инциденты и провести судебный анализ. Корпорация Microsoft поддержала эти усилия, предоставив необходимую техническую поддержку, в том числе в таких регионах, как Юго-Восточная Азия.
Моя работа очень динамичная, и мне повезло работать с замечательными коллегами и учеными, которые многому меня научили. Microsoft стала чемпионом в области технологий и стратегии кибербезопасности. Мы начали с того, что заглянули внутрь и вовне и начали работать с партнерами. В некоторых странах в то время не было принято, чтобы конкуренты работали вместе, но мы считали, что кибербезопасность важнее, чем коммерческая конкуренция. Мы поделились конфиденциальной информацией о безопасности с вендорами антивирусного ПО и разработали государственную программу безопасности для поддержки усилий в области кибербезопасности как в развитых, так и в развивающихся странах. В конце концов я начала работать над техническими решениями безопасности в 2008 году и с тех пор продолжаю участвовать в Trusted Computing Group, где мне довелось работать со многими талантливыми людьми».
Мне было интересно, с какими проблемами она сталкивается в качестве вице-президента Trusted Computing Group. Она привела пример: «Вы знаете о микросхеме доверенного платформенного модуля (TPM) TCG, которая помогает защитить компьютеры от атак аппаратного уровня. Версия 1.2 доверенного платформенного модуля работала отлично, но ей не хватало гибкости, чтобы разрабатывать алгоритмы исправления, когда появлялись слабые места. В то же время страны начали настаивать на использовании собственных алгоритмов в своих продуктах безопасности. Доверенный платформенный модуль 1.2 не может удовлетворить это требование, поскольку поддерживает только ограниченный набор алгоритмов.
Существовал риск конкуренции со стороны правительств на уровне стандартов до начала глобального принятия. Если страны пойдут по пути разработки несовместимых стандартов только из-за использования алгоритмов, общие преимущества безопасности для пользователей будут сокращены. С точки зрения принятия это, безусловно, вызов совместимости между микросхемами безопасности, которые основаны на международном стандарте, и микросхемами с локальным стандартом. TCG начала решать эту проблему “крипто-гибкости”, среди прочих улучшений, с новой спецификацией TPM 2.0. При участии многих экспертов в области безопасности из разных стран стандарт TPM 2.0 был утвержден как ISO/IEC 11889:2015. Теперь это единый глобальный стандарт. Это было невероятно, поскольку требовало консенсуса между многими странами, включая США, Китай, Россию, Японию, Францию, Южную Африку, Малайзию и другие. Нам удалось сделать нечто особенное. Новый стандарт предлагает гораздо более широкую защиту не только для пользователей настольных ПК, но для облака и IoT-устройств».
Мне было ясно, что работа де Йонг-Чен несколько десятилетий назад в области глобализации Windows 95 окупилась, когда она помогала разрабатывать глобальные вычислительные стандарты. Я спросил, что, по ее мнению, является самым большим препятствием для значительного улучшения глобальной информационной безопасности. Она ответила: «Страны имеют очень разные системы убеждений, что нужно учитывать при продвижении международных стандартов безопасности. Есть вопросы, связанные с политикой и технологией. Естественно, технические специалисты хотят создать лучшую технологию, но это только часть задачи. Есть вопросы системы и киберуправления. Каждая страна беспокоится о защите своего киберсуверенитета, конкурируя за создание более сильного киберпотенциала. Вы не можете просто обратиться к технологии в одиночку или оставить кибербезопасность в руках политиков. Вы должны искать лучшее разрешение и требования к балансу через весь спектр забот. Это становится довольно сложной матрицей вещей, которые должны учитывать политики и лидеры отрасли, прежде чем принимать меры. Сюда входят: безопасность и конфиденциальность пользователей Интернета, защита критически важной инфраструктуры, социальная и экономическая стабильность, а также Глобальные коммуникации и торговля. По мере того как все больше стран выпускают все больше правил безопасности, стоимость предприятий, занимающихся бизнесом, будет расти. Любое соответствие включает в себя управление политическими последствиями, правовыми рисками, изменениями технического дизайна, а также изменениями бизнес- и операционной моделей. Есть проблемы и возможности, но вы не можете решить крупные, общие проблемы кибербезопасности, не понимая, как работают страны и как все взаимосвязано. Если мы сделаем все правильно, то, возможно, сможем достичь равновесия, необходимого для улучшения кибербезопасности и защиты глобальной кибернетической инфраструктуры, обеспечивая конфиденциальность пользователей, поддерживая справедливую конкуренцию и постепенно снижая стоимость ведения бизнеса в поддержку глобальной торговли».
Я спросил об отсутствии женщин в ИТ-сфере. Де Йонг-Чен ответила: «В области ИТ в целом нечасто встретишь женщин, но еще реже они появляются в области ИБ. Я работала в большой интернет-компании, где активно нанимали женщин и видели в них потенциал своего роста. Несмотря на то что 54 % рабочей силы этой компании составляли женщины, я этого не понимала, когда общалась с их службой безопасности. Там была только одна женщина, и то не специалист по безопасности. Мы могли бы сделать эту отрасль лучше. Необходимо увеличить кадровый резерв в области кибербезопасности, а также найти пути привлечения и удержания женщин в сфере ИТ и поощрения разнообразия в области ИБ. Для этого нам нужна всеобщая поддержка».