Я – журналист, пишущий об информационной безопасности уже почти 30 лет. Хотя я не лучший писатель, я считаю себя одним из лучших технических писателей, потому что живу и дышу своей темой. Читая работы других авторов по информационной безопасности, я не многому учусь. Но это изменилось, когда наш главный редактор Эрик Кнорр познакомил меня с новым журналистом InfoWorld. Эрик был очень рад ее нанять, и вскоре я понял почему. Как журналист в сфере ИБ Брайан Кребс (профиль в главе 29), Фахмида Я. Рашида – невероятный исследователь информационной безопасности. Я еще не прочитал ни одной ее статьи, из которой не узнал бы ничего нового. Она представляет свой предмет таким образом, что продолжает удивлять меня. Она действительно понимает технические детали и способна выведать информацию лучше, чем кто-либо другой. Иногда она задает мне технические вопросы о чем-то, чего не понимает, на что я почти всегда отвечаю «я тоже не знаю», но через несколько дней после дополнительных исследований она публикует простое для понимания объяснение. Она где-то находит ответы.
Фахмида опытный журналист по ИБ. Она работала в eWeek старшим техническим редактором испытательного центра, создающего сетевую инфраструктуру Forbes.com. Она была главным редактором конференции RSA и писала для десятка авторитетных журналов и сайтов, включая: Dark Reading, PCMag.com, SecurityWeek, Tom’s Guide, InfoWorld, SCMagazine, Dice.com, BankInfoSecurity.com и GovInfoSecurity.com. В настоящее время она старший журналист в InfoWorld, а также работает в Pragmatic Bookshelf, помогая авторам в написании технических книг.
Я спросил Фахмиду, как она начала работать в сфере ИБ. Она ответила: «Я начинала как сетевой техник и сотрудник службы поддержки для студентов, преподавателей и администраторов в Большом городском университете. Я много узнала о защите сети, жонглируя вызовами BYOD еще до того, как аббревиатура стала модным словом безопасности. Я изучила администрирование веб-сервера трудным путем, работая в качестве разработчика ColdFusion для запуска dotcom, и кто-то взломал сервер IIS и удалил файлы. Я провела шесть лет в качестве консультанта по вопросам управления в различных фирмах финансовых услуг и фармацевтических компаниях, разрабатывая Java-приложения, создавая большие хранилища данных и манипулируя большими наборами данных. Наслаждаясь работой, я хотела сделать шаг назад, иметь более широкий взгляд на мир технологий, а не просто изучать сеть одной компании. Я присоединилась к миру журналистики в качестве репортера по корпоративным технологиям, пишущего о сетях, хранилищах и оборудовании. Весь мой технический опыт очень пригодился, потому что я действительно понимала технологию, о которой писала.
Безопасность стала логическим продолжением моей деятельности, потому что очень трудно писать о сети и не думать о безопасности. Примерно через пять лет я начала специализироваться на ИБ. Отчасти это была случайность, так как увеличение числа громких атак, утечек инсайдерской информации и рост мошенничества с онлайн-кредитными картами означали, что мне нужно тратить больше времени на безопасность. Я поняла сети, так что могла увидеть пробелы, которые сделали атаки возможными. Я начала изучать SQL-инъекции и XSS и действительно надеялась, что ни один из кодов, написанных мной, когда я была консультантом, не был в производстве, потому что я знаю, что не санировала никаких входов. Я писала как для деловой, так и для потребительской аудитории и узнала, что разные группы смотрят на безопасность по-разному. Но, спустя много лет, я рада видеть, что все больше и больше людей действительно думают о безопасности, а не отвергают ее как нечто, с чем имеют дело технари».
Я спросил Фахмиду, что, по ее мнению, можно назвать самой большой проблемой в сфере ИБ. Она ответила: «Я думаю, что самая большая проблема заключается в том, что трудно быть в безопасности. Это требует новых привычек, а у нас нет ни времени, ни терпения, чтобы развивать их. Это не должно быть легко или удобно, но когда безопасность сбивает с толку, преимущества не так очевидны, и есть люди, которые просто ищут обходные пути. Все, что мы знаем и имеем в области безопасности, сводится к тому, что трудно работать безопасно и намного проще держать все открытым и незащищенным. Некоторые примеры: шифрование имеет смысл, но его все еще слишком сложно использовать регулярно. WhatsApp заботится об этом автоматически, поэтому теперь люди не против использовать зашифрованный чат. Но безопасный обмен файлами и зашифрованная электронная почта по-прежнему слишком сложны.
Мы не думаем дважды, прежде чем запереть двери наших домов, но, должно быть, было время, когда люди думали, что это безумие. Теперь люди так же думают о шагах безопасности, но это мнение постепенно меняется. Чтобы действительно изменить это, нам нужны лучшие инструменты. С другой стороны, я встретила немало людей с iPhone, которые до сих пор не используют TouchID для блокировки своих телефонов, поэтому не знаю, насколько дальше мы должны идти по простому для людей пути. Возможно, нужно добраться до точки, где iPhone автоматически записывает отпечатки пальцев пользователя, чтобы не настраивать TouchID вручную. Нам нужна безопасность по умолчанию, где двери запираются автоматически, без необходимости вставлять ключи в замочную скважину. Skynet может быть решением всех наших проблем с безопасностью».
Я спросил Фахмиду как успешного специалиста в сфере ИБ, что она порекомендует другим людям, рассматривающим карьеру писателя в области ИБ. Она сказала: «Хотя я не думаю, что вам обязательно иметь техническую подготовку, чтобы быть хорошим писателем, это помогает. Изучите основы того, как работают сети, как компьютеры и другие устройства взаимодействуют и что означают некоторые из распространенных терминов. Если вы собираетесь рассматривать атаки веб-приложений, имейте представление о том, как взаимодействуют веб-приложения, веб-серверы и базы данных на уровне блок-схемы. Если вы собираетесь писать о DDoS-атаках (или его младшем родственнике, DoS), нужно иметь базовое понимание того, как работает сеть. Вам не нужно знать математику, лежащую в основе криптографии, но необходимо понять разницу между различными реализациями и почему некоторые из них не должны использоваться. Читайте. Посмотрите на технологию. Не уклоняйтесь от понимания того, как она работает. Вы не можете объяснить людям, почему нужно увеличить безопасности цифровой жизни и защищать технологии, если вы их боитесь. Подумайте об этом так: не нужно быть пилотом, чтобы писать об авиационной промышленности, но если вы летали хотя бы на некоторых самолетах, вам это поможет.
Еще одна важная вещь, которую нужно помнить, – это то, что технология имеет тенденцию идти волнами. То, что раньше казалось старым, перестает таковым быть с настройкой или новой функцией. Количество молодых писателей, которые не знают о мейнфреймах или отвергают их потому, что “никто их больше не использует”, пугает, поскольку большая часть нашего мира все еще имеет мейнфреймы в основе. И каждый раз, когда я слышу, как люди говорят о мобильных устройствах и данных в облаке, я вспоминаю рассвет тонких клиентских вычислений. Знание истории важно, но это действительно имеет значение, когда вы смотрите на безопасность, потому что можете видеть шаблоны».
Я спросил Фахмиду, узнала ли она сейчас нечто новое, что могло бы помочь в ее карьере, узнай она об этом раньше. Она ответила: «Не бойтесь задавать вопросы. У меня было такое чувство, что для того, чтобы исследователи и эксперты по безопасности воспринимали меня всерьез, я должна быть сведущей в основах, поэтому я потратила много времени, занимаясь самообразованием, чтобы попытаться добраться до сути. Потребовалось немало времени, чтобы понять, что эксперты хотят, чтобы им задавали вопросы и они могли похвастаться своими знаниями. Без базовых знаний никуда: не стоит спрашивать, что такое DDoS-атака, но можно узнать, какая разница между атакой DoS уровня 4 и уровня 7. Большую часть моих знаний основ безопасности я получила как самоучка, и если бы я попросила о помощи раньше, то могла бы узнать все гораздо более подробно, избавив себя от стресса. Кроме того, скептически относитесь к таким словам, как “инновационный”, “первый в истории” и “лидирующий на рынке”. Когда вы смотрите на объявления безопасности, мысленно вычеркивайте кричащие слова, чтобы увидеть главное».
Я спросил Фахмиду, почему ей нравится писать об ИБ. Она ответила: «Мне нравится информационная безопасность, потому что она заставляет меня продолжать учиться. Всегда есть новые исследования и новые способы решения проблем. Безопасность сочетает в себе творческое решение проблем, любопытство и готовность сломать что-то во имя улучшения. Это также касается эго. Профессионалы в области безопасности – это люди, которые каждое утро встают с намерением спасти мир.
И пусть не все могут заработать миллионы, как учредители Instagram, или получить такую славу, как Илон Маск, но люди, которые хранят данные в безопасности в корпоративных базах данных, убеждаются, что SSL-сертификат на веб-сайте актуален, так что финансовые данные могут надежно передаваться через Интернет, и проверяют код, чтобы убедиться, что в нем нет зияющей дыры, – современные герои. Мне нравится писать об информационной безопасности, потому что это ставит меня рядом с ними».