Глава 1
Что такое кибербезопасностъ
В этой главе
• Определение термина «кибербезопасность» и погружение в историю
• Роль кибербезопасности, ее ценности и идеология
• Важность разнообразия в развитии сферы кибербезопасности
Итак, вы хотите помочь защитить наш новый цифровой мир, построив карьеру в области кибербезопасности? Если вы уже изучали этот вопрос, то наверняка не раз слышали о так называемом разрыве в навыках. Вероятно, вы даже натыкались на результаты исследований, согласно которым количество незакрытых вакансий в области кибербезопасности может достигать четырех миллионов. А если вы ищете свою первую работу, то, скорее всего, потратите на ее поиск более шести месяцев.
Если вы заканчиваете обучение или хотите сменить профессию, то, вероятно, задавались вопросом вроде: «Как начать карьеру в кибербезопасности?» Поискав ответ, вы, скорее всего, с сожалением обнаружили, что его — единого и общепринятого — не существует.
За 15 лет работы в сфере кибербезопасности я наняла нескольких невероятно талантливых людей на их первые должности в этой области.
Я наблюдала, как созданные мной команды превращаются в мощные и эффективные группы специалистов, Тем не менее, несмотря на свои успехи в найме и развитии талантов, я не могу игнорировать неспособность профессионального сообщества указать четкий карьерный путь от начинающего специалиста до руководителя. Я не раз видела, как давно зарекомендовавшие себя профессионалы применяют неэффективные практики найма, дают плохие советы новичкам и чрезмерно их контролируют.
Но у меня есть для вас хорошая новость: вы приобрели эту книгу. На ее страницах я помогу вам понять уникальную природу того, что обычно называют отраслью кибербезопасности. Мы вместе совершим путешествие, начав с того, что дадим определение той сфере, частью которой вы хотите стать. Опираясь на интервью с представителями профессионального сообщества, я продемонстрирую, как не связанные на первый взгляд навыки и опыт могут оказаться полезными для карьеры в этой области. Вооружившись результатами опросов среди 1500 профессионалов и начинающих специалистов, я расскажу, как можно ускорить переход в эту сферу.
На протяжении всей книги я буду говорить о важности образования, сертификации и наставничества для получения работы. Я поделюсь мыслями о том, как интерпретировать объявления о вакансиях в сфере кибербезопасности, как анализировать и подчеркивать свой уникальный опыт, чтобы максимально эффективно позиционировать себя и повысить шансы на получение первой должности. Я дам вам представление о типах собеседований, которые обычно проводят в процессе найма, и поделюсь советами о том, как их проходить. Я также расскажу, как после устройства на работу успешно двигаться по выбранному карьерному пути.
Чтобы сделать первый шаг к должности в сфере кибербезопасности, необходимо понять, что такое кибербезопасность, какие здесь есть роли и как они проявляются в различных областях повседневной жизни.
1.1. Что такое кибербезопасность
Термин «кибербезопасность» встречается в современном обществе повсеместно. Эта тема ежедневно обсуждается в СМИ, политических и деловых кругах и так или иначе затрагивает жизнь большинства людей. Однако, несмотря на все это, мало кто может однозначно ответить на простой вопрос: а что же такое кибербезопасность?
Единого общепринятого определения не существует. Однако большинство людей согласятся, что кибербезопасность — это продолжение того, что до сих пор часто называют информационной безопасностью (ИБ). В 1961 году исследователи из Массачусетского технологического института (МТИ) создали первую защищенную паролем Систему разделения машинного времени (CTSS, Compatible Time-Sharing System). Многие считают это событие моментом рождения информационной безопасности — практики защищать информацию и электронные системы от несанкционированного доступа.
Примерно десять лет спустя исследователи начали подключать компьютеры к сети ARPANET, созданной Агентством перспективных исследовательских проектов Министерства обороны США. Эта сеть была призвана обеспечить быстрый и надежный обмен данными между компьютерными сетями, раскинувшимися на обширных территориях. Именно сеть ARPANET легла в основу того, что сегодня называется интернетом.
Однако в 1988 году, за три года до того, как интернет стал общедоступным, исследователь Роберт Моррис решил подчеркнуть риски безопасности, которым подвергались исследовательские компьютеры в этой сети. Он разработал программу, способную распространяться по системам, подключенным к интернету. Используя бреши в безопасности ОС UNIX, она устанавливалась на компьютеры и создавала собственные копии. Таким образом Моррис создал первого интернет-червя. К несчастью, этот червь вышел из-под контроля и сделал зараженные системы непригодными для использования. В результате Моррис стал первым человеком, осужденным за уголовное преступление в соответствии с Законом о мошенничестве и злоупотреблениях с использованием компьютеров, принятым в 1986 году, а также была создана Группа реагирования на инциденты информационной безопасности (CERT, Computer Emergency Response Team) в Университете Карнеги — Меллона при финансовой поддержке федерального правительства США.
Создание CERT можно считать моментом рождения того, что сегодня называется кибербезопасностью. Таким образом, кибербезопасность — это совокупность исследований, технологий и практик, используемых для защиты взаимосвязанных технологических систем, данных и пользователей от атак, несанкционированного доступа и/или повреждения.
1.2. Роль кибербезопасности
Цели кибербезопасности зависят от контекста, в котором применяются соответствующие практики. В СМИ под кибербезопасностью часто понимают защиту бизнеса от атак со стороны киберпреступников. Однако в медиа нередко обсуждается и ее роль в функционировании общества в целом. Сфера кибербезопасности охватывает все аспекты жизни людей, начиная с защиты системы выборов и обеспечения национальной/ международной безопасности и заканчивая охраной частной жизни пользователей интернета.
Чтобы осознать ее масштаб, надо сперва понять, как кибербезопасность встроена в различные грани нашей жизни. Из-за того, что она столь глубоко укоренена во всем, что мы делаем, многие воспринимают ее как должное или вовсе игнорируют. Прежде чем обсуждать направления и специализации, существующие в этой сфере, давайте подробно рассмотрим, какие роли она играет в различных контекстах.
1.2.1. Кибербезопасность в деловом мире
Под кибербезопасностью коммерческих организаций обычно понимается защита финансовых интересов компаний. Организации функционируют в рамках модели активов (элементов бизнеса — носителей или источников финансовой стоимости) и обязательств (элементов, которые уменьшают финансовую стоимость активов или создают такой риск).
Чтобы расширить свои возможности, в середине двадцатого века предприятия начали применять так называемые информационные технологии (ИТ), предполагающие использование цифровых систем — компьютеров — для управления информационными активами бизнеса. По мере развития ИТ-систем, которое на протяжении последнего десятилетия было особенно бурным, все больше и больше бизнес-активов становится частью цифровой сферы.
Явление, связанное с оцифровкой предприятиями своих критически важных активов и возрастающей ролью ИТ-систем, стали описывать новым термином — «цифровая трансформация». Например, медицинские записи, которые раньше хранились на бумажных носителях или на пленке, теперь все чаще переносят в системы электронных медицинских карт (EMR-системы). Хранение всей этой информации в цифровом виде делает ее более доступной для ознакомления и совместного использования. Фактически вокруг этой цифровой трансформации сформировался целый рынок ИТ-продуктов и услуг, помогающих организациям осуществлять ее практически в любой отрасли, начиная со здравоохранения и заканчивая образованием и транспортом.
Со временем предприятия переносят в цифровую сферу все больше активов, и с этим возрастает риск атак со стороны киберпреступников: попыток украсть данные или сделать системы недоступными для использования. Информационные активы, некогда защищенные от подобных атак, с перемещением в цифровую сферу подвергаются риску, причем его источник может находиться в любой точке мира. Возможность подключаться к системе и оперативно получать доступ к данным, а также взаимодействовать с ними через интернет спровоцировала не только взрывной рост количества цифровых активов, но и появление новых угроз, которым они подвергаются.
Технологии, практики и ресурсы кибербезопасности, в свою очередь, позволяют минимизировать риски, связанные с этими угрозами. Таким образом, основная задача кибербезопасности в области бизнеса — защищать постоянно растущую сферу цифровых активов.
В основе деятельности предприятий лежат модели управления рисками. Руководители больших и малых компаний всегда взвешивают риски, ассоциируемые с тем или иным событием или изменением условий, а затем пытаются свести их к минимуму. Например, такая организация, как Facebook, может сопоставить потенциальный доход от продажи пользовательских данных с потенциальной ответственностью за нарушение законов о конфиденциальности. Кроме того, бизнес и его руководители должны сопоставлять потенциальные затраты, связанные с реализацией угроз, с затратами на снижение соответствующего риска. Эти сложные компромиссы определяют финансовые решения и другие организационные стратегии. Поскольку сфера цифровых активов постоянно расширяется, неудивительно, что кибербезопасность играет все большую роль в анализе рисков.
Таким образом, кибербезопасность становится все более важным элементом управления рисками в организации. К специалистам по кибербезопасности часто обращаются за оценкой уровня риска, которому подвергается конкретный бизнес-актив. Поэтому обязанности соответствующих групп уже не ограничиваются технологическими рамками. Сотрудники службы безопасности должны понимать ландшафт угроз, куда входят государства, хактивисты, внутренние источники опасности и так далее, и доносить их характеристики до сотрудников других подразделений, не обладающих такими же широкими техническими знаниями. Требуется также, чтобы специалисты по кибербезопасности понимали важность того или иного актива для бизнеса в целом и могли максимально точно описывать риски, которым он подвергается.
Поскольку ИТ-системы стали неотъемлемой частью бизнес-модели, их важность для делового мира существенно возросла. Сбой в работе системы, из-за чего она оказалась недоступной для использования, может сильно повлиять на бизнес. Подумайте о крупнейших розничных сетях и о том, какие убытки они понесут, если их кассовые системы перестанут работать хотя бы на полчаса. От надежности ИТ-систем сегодня зависит работа медицинских и финансовых учреждений, логистических компаний и представителей практически всех остальных отраслей.
Учитывая, что многие из этих критически важных систем взаимосвязанные, кибербезопасность играет важную роль в обеспечении их доступности и стабильности работы. Злоумышленники, стремящиеся нанести организации ущерб, могут осуществить атаку типа отказ в обслуживании (DoS-атаку) в попытке сделать корпоративные системы недоступными на определенный период. Предотвращать успешное выполнение подобного рода атак — лишь одна из многочисленных обязанностей специалистов по кибербезопасности.
Как правило, такие защитные практики применяются в рамках работы команд, отвечающих за стабильное функционирование систем. В сфере ИТ такие группы обычно называют оперативными. Команды, которые отвечают за повседневное функционирование средств защиты, называются оперативными группами по обеспечению кибербезопасности.
Примеры повседневных задач специалиста по кибербезопасности
• Мониторинг атак на различные системы.
• Реагирование на успешные атаки, нарушающие целостность системы или систем.
• Проверка систем и людей на предмет наличия уязвимостей (слабых мест с точки зрения безопасности).
• Отслеживание, проверка и создание отчетов об устранении этих уязвимостей.
• Взаимодействие с разработчиками по вопросам создания безопасного программного обеспечения.
• Разработка и развертывание средств обеспечения безопасности (также известных как средства контроля).
• Взаимодействие с руководителями по вопросам выделения бюджетных средств на обеспечение безопасности.
• Предоставление аудиторам свидетельств применения средств контроля безопасности.
• Поддержание работы различных систем безопасности (учетных записей пользователей, брандмауэров и так далее).
По мере усиления зависимости бизнес-моделей от цифровых активов и ИТ-систем все ярче проявляется еще одна тенденция. С головокружительной скоростью растет уровень жесткости государственного регулирования и отраслевых требований в отношении использования ИТ-систем, Многие из правил и требований касаются того, как организации защищают свои системы, реагируют на утечки или раскрытие данных и защищают конфиденциальность потребителей.
Так что на сотрудниках службы безопасности лежит львиная доля ответственности за то, чтобы компания в работе достигла соответствия всем требованиям и стандартам, поддерживала его и могла это соответствие подтвердить. Начнем с того, что им часто приходится интерпретировать смысл этих требований. Притом они могут сотрудничать с другими подразделениями, например с юридическим отделом, командой по управлению рисками или аудиторской группой, однако знания и опыт, которыми обладают специалисты по кибер без опасности, играют в процессе решающую роль.
Затем с помощью этого опыта и знаний разрабатываются и внедряются необходимые средства контроля, которые в итоге должны обеспечить соответствие организации предъявляемым требованиям. Эти средства принимают форму процессов, практик, политик и технологий, призванных в необходимой степени защитить данные и системы организации.
По тому, какое значение имеет кибербезопасность в деловой среде, можно сделать вывод, что сотрудники соответствующих служб вовлечены практически во все аспекты бизнеса. Если традиционные группы специалистов по информационной безопасности могли сосредоточиться исключительно на технических средствах контроля доступа и мерах противодействия, современный цифровой мир сделал специалистов по кибербезопасности частью всех деловых взаимодействий.
1.2.2. Кибербезопасность на страже общественного порядка
С переходом от делового мира к обществу в целом фокус специалистов по кибербезопасности смещается. Кибербезопасность стала неотъемлемой частью не только бизнес-среды, но и повседневной жизни. Функционирование правительства, системы национальной безопасности, правоохранительных органов и даже межличностные взаимодействия — все это в двадцать первом веке неразрывно связано с цифровой сферой.
Сегодня правительство на всех уровнях очень сильно зависит от компьютерных и мобильных приложений, цифровых данных и других технологических возможностей, ставших частью цифрового мира. Чтобы сомнения в важности ИТ-систем для повседневной работы властей развеялись, достаточно вспомнить о программах-вымогателях — вредоносном программном обеспечении, которое, будучи установленным на компьютер жертвы, делает данные на нем недоступными до тех пор, пока злоумышленникам не выплатят выкуп.
Одна из наиболее громких атак на местное правительство произошла в мае 2019 года в Балтиморе, штат Мэриленд. Работа части городских органов власти оказалась парализована более чем на месяц из-за того, что электронная почта, платежные и некоторые другие системы внезапно стали недоступны. Общая сумма неполученных доходов и затрат на восстановление была оценена в 18 миллионов долларов. Аналогичным атакам подвергались многие другие федеральные, региональные и местные органы власти по всему миру.
Разумеется, ИТ-системы отвечают не только за повседневное функционирование правительств. Сейчас все шире распространяются электронные системы для проведения голосования. Поскольку общественность требует подсчитывать результаты выборов еще быстрее и точнее, власти США и других стран активно внедряют цифровые терминалы для голосования. Однако эти терминалы также подвергаются атакам. Проблемы с безопасностью и попытки взлома были выявлены во время прошлых выборов, в частности при выборах президента США в 2016 и 2020 годах. Впрочем, Агентство по кибер безопасности и защите инфраструктуры США и независимые фирмы пришли к выводу, что благодаря усилиям специалистов ни одна из таких попыток не увенчалась успехом.
Государственные учреждения регулярно обращаются к специалистам и исследователям в области кибербезопасности за помощью в защите от атак, поскольку ставки слишком высоки. Ни один аспект деятельности правительства нельзя назвать низкорисковым с точки зрения подверженности кибератакам. Даже атаки на парки, музеи и другие учреждения в государственном ведении могут спровоцировать быструю и мощную негативную реакцию со стороны общественности. Ни один политик не хочет, чтобы его имя было связано с кибератакой, имевшей место в сфере его ответственности. Таким образом, укрепление безопасности государственных учреждений требует согласованных усилий, которые многие специалисты назвали бы запоздалыми.
Однако эта проблема касается не только гражданского правительства. Военные во всем мире тоже становятся все более зависимыми от технологических систем в том, что касается защиты стран своих и союзных. Сетевые технологии теперь присутствуют везде, от боевой техники до средств связи и мониторинга. В военной сфере кибербезопасность играет буквально жизненно важную роль. По мере внедрения новых технологий правительства и их подрядчики все чаще обращаются к исследователям и специалистам по кибербезопасности за помощью в обеспечении защиты этих систем от атак, начиная с этапа проектирования и заканчивая их применением в полевых условиях.
Работа правоохранительной системы внутри страны — естественное продолжение военной деятельности государства. Сегодня многие ее аспекты, от патрулирования улиц и проведения расследований до функционирования уголовного правосудия, зависят от применения компьютеров и других подключенных к интернету электронных устройств. Атаки на них рискуют пагубно отразиться на соответствующих учреждениях и сделать невозможным соблюдение законов и судебное преследование нарушителей. Наше общество становится все более взаимосвязанным, и все чаще преступления совершаются с использованием электронных устройств. Квалифицированные специалисты по кибер безопасности, способные не только защитить системы того или иного учреждения, но и помочь в расследовании преступлений, чрезвычайно нужны.
Наконец, нельзя не отметить, что сетевые технологии пронизывают повседневную жизнь большинства жителей планеты, которые уже не представляют своего существования без социальных сетей, электронных коммуникаций, мобильных приложений и так называемых умных устройств. Все это — потенциальные цели для киберпреступников. Многие пользователи не знают, как безопасно использовать такие технологии и как их защитить от атак. Исследователи и специалисты в сфере кибербезопасности могут помочь решить и эту проблему, например, повышая осведомленность людей, разрабатывая и внедряя контрмеры или выявляя уязвимости в бытовой электронике и программном обеспечении.
1.3. Культура кибербезопасности
На протяжении нескольких десятилетий росло и развивалось сообщество людей, разделяющих идеи деконструкции, исследования и защиты технологий. Здесь сложилась своя культура и множество субкультур — они вместе сильно повлияли на то, как сейчас выглядит сфера кибербезопасности, и сформировали уникальный набор норм и ценностей, которых придерживаются представители сообщества: начиная с хакеров и исследователей и заканчивая специалистами по корпоративной безопасности.
Перечислить все ценности и идеологии сообщества нереально. И не только потому, что их слишком много или они в некотором роде бесплотны, но и потому, что общепринятых среди них нет. Впрочем, существует несколько доминирующих ценностей, которые следует усвоить любому человеку, желающему стать частью этого сообщества.
1.3.1. Неприкосновенность частной жизни и свобода
Личная свобода и неприкосновенность частной жизни — важнейшие элементы идеологии тех, кто занимается информационной безопасностью. В период зарождения хакерской культуры люди со всего мира общались через коммутируемые телефонные сети и так называемые электронные доски объявлений (bulletin board systems, или BBS). Чтобы получить доступ к такой системе, участникам приходилось доказывать, что они что-то «взломали».
Это часто предполагало демонстрацию данных компании, чью систему они взломали, или своей способности управлять чужими технологиями и заставлять их работать не так, как изначально задумывалось. Поскольку эти действия считались незаконными, очень высоко ценилось умение хакера сохранять анонимность и не привлекать внимания правительств и официальных лиц.
Большинство членов таких ранних сообществ в повседневной жизни были изгоями, а здесь обретали единомышленников. В сообществе не имели значения пол, этническая принадлежность, социальный статус и другие признаки, по которым людей часто дискриминировали в обществе. Вместо этого каждого участника оценивали исключительно по его знаниям и навыкам. Они могли вести содержательные дискуссии на интересующие их темы с людьми со схожими увлечениями, не опасаясь, что этому помешают какие-либо стереотипы или предубеждения.
По мере развития интернет-технологий к анонимности прибавилась возможность удобнее подключаться к обширным сообществам единомышленников. Однако скрытная и часто подпольная природа ранних хакерских групп начала постепенно меняться. Они становились все более заметны ми широкой публике, которую все сильнее интересовала их деятельность.
В то же время, как уже говорилось, в корпорациях и государственных учреждениях развивались идеи и практики, связанные с обеспечением информационной безопасности. Промышленность, правоохранительные и правительственные органы, занимавшиеся ИБ, начали формировать собственные профессиональные сообщества.
Постепенно между этими двумя очень разными группами установились хрупкие и слегка натянутые отношения. В ходе встреч и конференций по безопасности их члены обменивались информацией ради общей цели: сделать технологии лучше и безопаснее для всех. Но представления о том, что именно делает технологию «лучше», зачастую все еще разделяют эти группы.
Из-за этого они до сих пор не доверяют друг другу, а иногда и откровенно враждуют. В результате защита конфиденциальности и свободы стала главной ценностью, особенно среди наиболее идеалистически настроенных хакеров и исследователей. До сих пор многие участники этого сообщества используют псевдонимы, чтобы защитить тайну своей личности и сохранить анонимность.
1.3.2. Открытый обмен информацией
Одним из ключевых факторов, благодаря которому сплотились первые хакеры, стала возможность свободно обмениваться информацией. Это не те киберпреступники, о которых мы слышим сегодня; это люди, стремившиеся лучше разобраться в технологии, чтобы потом ее можно было усовершенствовать. Однако обмен информацией иногда сопровождался выражением изрядной доли высокомерия. Тот, кто хвастался успешными взломами, пользовался наибольшим доверием в сообществе. И все же возможность делиться информацией и использовать чужие открытия была и остается важной ценностью сообщества.
Это характерно не только для хакерской культуры. Ученые уже давно признали важность открытого обмена информацией, что отразилось в исследованиях, посвященных кибербезопасности.
Культура обмена информацией с целью улучшить технологию ради всеобщего блага, в частности, проявляется в количестве ежегодных независимых конференций по информационной безопасности. Сегодня по всему миру организуются тысячи конференций, где обсуждают уязвимости, средства защиты и другие темы. Каждый год в августе в Лас-Вегасе проходит недельная серия конференций, которая неофициально называется «Летним лагерем для хакеров» и привлекает от 30000 до 40000 человек со всего мира.
Важность этой идеологии для сообщества выражается в том, как его члены реагируют на коммерциализацию интернета. На начальных этапах казалось, что интернет позволит свободно обмениваться знаниями в невиданном прежде масштабе. Какое-то время так и было. Тем не менее, компании быстро осознали, что с его помощью могут создать дополнительные источники прибыли и взаимодействовать с клиентами принципиально новым способом.
Чтобы защитить свои конкурентные преимущества и создать новые рынки, предприятия делали свои достижения в интернет-сфере корпоративной тайной. Новые технологии, обеспечивавшие большую секретность и защиту прав на интеллектуальную собственность, не соответствовали идеологии открытого обмена информацией. Сообщество безопасности, в свою очередь, постоянно боролось за то, чтобы разрушить эти барьеры и добиться от компаний большей прозрачности в том, что касалось их деятельности в интернете.
1.3.3. Не навреди
Первые хакеры быстро поняли, что способны помочь в улучшении технологии ради всеобщего блага. Обнаружив уязвимости в системах, они пытались сообщить об этом их владельцам. К сожалению, владельцы и правоохранительные органы рассматривали деятельность хакеров скорее как преступную, нежели как полезную.
Однако постепенно предприятия и даже правоохранительные органы начали осознавать, что знания и навыки дружественных хакеров позволят им защититься от настоящих злоумышленников. Так появился термин «этичный хакер» — человек, который использует методы взлома, чтобы находить уязвимости, и сообщает о них с целью их устранения. Несмотря на то, что термин утратил популярность, сама концепция все еще жива.
Чтобы такая деятельность оставалась в рамках закона, необходимо было тщательно продумать и соблюдать принципы этичного взлома. В результате «хорошие» хакеры разработали правила, методы и стандарты, которые отличали их от злоумышленников. В основе их этического кодекса лежит принцип «не навреди». Эти правила участия в тестировании систем гарантируют, что обнаруженные уязвимости не будут использованы для причинения ущерба системе или человеку.
Сейчас в сфере кибербезопасности этот принцип остается актуальным и применяется ко многим видам деятельности, которыми ежедневно занимаются исследователи, хакеры и специалисты-практики. А вот вредоносная деятельность во имя защиты, основанная на идеях наступательной кибербезопасности и кибервойн, провоцирует бурные дебаты.
1.4. «Отрасль» кибербезопасности
В деловом мире, в средствах массовой информации и в политическом дискурсе термином «отрасль кибербезопасности» часто описывается совокупность людей, технологий и практик, связанных с защитой цифрового мира. С момента, когда появились ИБ-специалисты, она рассматривалась как отдельная дисциплина.
У нас есть концепция карьеры в сфере кибербезопасности — вероятно, потому вы и читаете эту книгу. Правительства, корпорации и другие организации создают группы по кибербезопасности. Производители программного и аппаратного обеспечения выпускают продукты для обеспечения кибербезопасности, призванные защитить нас от всех мыслимых типов атак. Однако далеко не все уверены, что кибербезопасность следует рассматривать как отдельную отрасль.
1.4.1. Кибербезопасность — отдельная отрасль?
Сфера кибербезопасности представляет собой огромный коммерческий рынок. Согласно ряду исследований, в 2019 году во всем мире на решения, направленные на обеспечение кибербезопасности, было потрачено от 170 до 250 миллиардов долларов США. Кроме того, этой тематике посвящены курсы в колледжах, университетах и других учебных заведениях. На протяжении многих лет, пока группы ИБ-специалистов стояли особняком в корпоративных организационных структурах, рассматривать кибербезопасность в качестве отрасли было удобно и имело смысл.
Однако эта сфера давно вышла за рамки простой защиты ИТ-систем от несанкционированного доступа и повреждения. Внедрение соответствующих практик больше не ограничивается одним лишь применением технических контрмер. Сейчас на безопасность обращают внимание все сферы бизнеса, международных отношений и жизни общества. Называя кибербезопасность отраслью, мы подразумеваем, что она автономна, существует сама по себе и просто взаимодействует с другими аспектами нашей реальности. Это не отражает того факта, что безопасность — фундаментальная концепция, имеющая отношение к каждой части цифрового мира.
Определение. Кибербезопасность — это больше, чем отрасль. Важно понимать, что она тесно связана со всеми аспектами цифрового мира. Таким образом, говорить о ней как об отрасли — значит поддерживать устаревшее представление о кибербезопасности как об обособленной функции организации и общества в целом.
1.4.2. Последствия цифровой трансформации
Как говорилось в разделе 1.2, в результате цифровой трансформации многие элементы повседневности перешли в электронную и цифровую сферу. Технологии больше нельзя назвать всего лишь частью нашей жизни; как сказала моя коллега и хорошая подруга Керен Элазари, это и есть наша жизнь. Теперь мы не просто защищаем системы, технологии и данные, мы защищаем фундаментальные аспекты современного мира. Цифровая трансформация продолжается: все больше и больше некогда материальных объектов вокруг нас оцифровывается, — и кибербезопасность становится неотъемлемой частью нового мира. Количество и степень серьезности угроз растут в геометрической прогрессии. Ни одна группа, ни одна дисциплина и ни одна область знаний не в состоянии предоставить нам защиту от всего: слишком разнообразны и обширны векторы атак.
1.4.3. Человеческий фактор
Цифровой мир растет за счет преобразования всего, что мы знаем, в данные и системы, так что на первый план вышла еще одна ключевая концепция: необходимость учета человеческого фактора. В ИБ-сообществе распространена идея о том, что чаще всего человек — самое слабое звено в защите. Как бы она ни была надежна, как бы ни были хороши технологии, человеку достаточно допустить единственную ошибку, чтобы злоумышленник успешно реализовал атаку.
В результате развития этой концепции появились эксперты по социальной инженерии. Организации нанимают таких специалистов, чтобы оценить готовность персонала к отражению атак. Ключевыми элементами соответствующих стратегий стали эксперты по человеческому поведению и информационной подготовке. Они помогают людям изменить привычный способ реагирования на такие методы социальной инженерии, как фишинг, телефонное мошенничество и манипуляции в ходе личного общения. В 2020 году конференция RSA (одна из крупнейших и старейших конференций по кибербезопасности) выбрала «Человеческий фактор» в качестве главной темы для своего ежегодного недельного мероприятия в Сан-Франциско.
Понимание важности человеческого фактора еще больше расширяет представление о том, что такое кибербезопасность. На практике специалисты начинают учитывать не только технологии, но и вшитые в нас поведенческие модели, методы манипулирования, а также разрабатывают меры противодействия дезинформации.
1.4.4. Интернет всего
То, насколько цифровая трансформация изменила нашу картину мира, нам еще только предстоит осознать. Возьмем, к примеру, интернет вещей (IoT, Internet of Things) — в современном понимании сеть умных устройств. Оба термина описывают продукты и технологии, которые до этого работали автономно, а теперь благодаря связи друг с другом обретают новые формы функциональности.
Современные холодильники способны определить, какие продукты заканчиваются, и заказать необходимое в интернет-магазине. Автомобили подключаются к сети с самыми разными целями, начиная с использования навигаторов и заканчивая вызовом помощи. В феврале 2020 года на платформе Kickstarter была запущена кампания по сбору средств для создания свечи, которую можно зажигать удаленно через приложения на смартфоне. Кажется, что к интернету подключено уже все на свете.
В то же время взрывной рост числа подключенных к интернету устройств, как и следовало ожидать, сопровождался взрывным же ростом числа угроз и векторов атак. Кибербезопасности теперь уделяют внимание даже в тех технологиях, для которых раньше не существовало цифровых угроз. Вот и еще одно свидетельство того, что эта сфера проникает во все аспекты нашей жизни.
Итак, можем ли мы по-прежнему называть кибербезопасность отраслью? Не стоит ли вместо этого рассматривать ее как часть каждого аспекта нашего мира — так же как просто безопасность была частью жизни наших предков на протяжении всей истории? Да, есть люди, которые специализируются на разработке безопасной среды. Существуют лучшие практики, создаются стандарты и соблюдаются правила. Но, в конце концов, безопасность — неотъемлемая характеристика всего, от рабочих мест до зданий и дорог. Возможно, рассуждая о карьерных путях и специализациях в этой сфере, нам стоит думать о кибербезопасности в таком же ключе.
1.4.5. Так что, кибербезопасность — это отрасль?
Как видите, область кибербезопасности обширна и охватывает не только постоянно расширяющийся мир технологий, но и общие вопросы безопасности людей. Практически все аспекты нашей деятельности теперь прочно связаны с цифровой средой.
Таким образом, применительно к кибербезопасности понятие «отрасль» оказывается слишком ограничивающим. Теперь это важнейший элемент нашего образа жизни, а не то, что можно легко от него отделить. В отличие от информационной безопасности, которую в прошлом иногда рассматривали как ИТ-дисциплину, кибербезопасность — не просто набор конкретных навыков и практик, а нечто более концептуальное.
1.5. Важность человеческого разнообразия в сфере кибербезопасности
В разделе 1.4.3 мы говорили о человеческом факторе и о том, что человеческие ошибки могут свести на нет все усилия, которые мы прикладываем, чтобы сохранить наш образ жизни с помощью технических средств. Поэтому при решении проблем, связанных с кибербезопасностью, мы должны принимать в расчет тех, кого стремимся защитить. Но как же нам защитить всех жителей мира — с разной культурой, разными идеалами, уровнем образования и способностями?
Оказывается, в этом направлении важно сделать один большой шаг: создать разнообразие среди людей, которые создают средства защиты. Обеспечить безопасность нашему цифровому образу жизни поможет разнообразие мыслей, точек зрения и идей, помогающих в решении проблем. Кроме того, необходимо выявить особенности групп, которые мы пытаемся защитить.
Ничего из этого не получится достичь, если у всех членов команд будет одинаковый опыт, образование, схожая культура и карьерный путь. Чтобы кибербезопасность работала, надо приветствовать привлечение специалистов, имеющих столь же разнообразный жизненный опыт, что и другие члены нашего общества, и даже специально их искать. Это означает, что в сфере кибербезопасности есть место для каждого. Более того, мы в этом нуждаемся — чтобы у нас работало как можно больше представителей различных групп.
1.5.1. Недостаток разнообразия в сфере кибербезопасности
В своем «Отчете о разнообразии и инклюзивности» за 2020 год (Diversity and Inclusion Report) компания Synack представила результаты опроса сотен специалистов об их опыте работы в сфере кибербезопасности. Респондентов спрашивали, считают ли они, что им были предоставле ны такие же возможности для карьерного роста, как и представителям других полов или этнических групп. 34 % участников женского пола ответили на такой вопрос отрицательно. Еще более тревожен (53 %) показатель представителей этнических меньшинств. Эти результаты свидетельствуют о проблеме недостаточного разнообразия, которая годами существует в технологической отрасли, особенно в сфере кибербезопасности.
В 2017 году Международный консорциум по сертификации в области безопасности информационных систем, или (ISC), совместно с компанией Frost & Sullivan опубликовал результаты «Глобального исследования рабочей силы в области информационной безопасности»(Global Information Security Workforce Study). Этот опрос показал, что в Северной Америке доля женщин-респондентов составляет всего 14 %. В остальных регионах планеты показатель был еще меньше, Недостаточной представленности женщин в сфере кибербезопасности уделяется большое внимание в СМИ и различных исследованиях, но проблема до сих пор не решена. Согласно результатам того же опроса, лишь 23 % респондентов из США идентифицировали себя как представители этнических меньшинств, что также не соответствует их общей доле в населении страны. Например, темнокожими или афроамериканцами считают себя 13,4 % населения, а в опросе таких всего 9 %.
Этот разрыв часто объясняют противоречивыми причинами. В своей книге я не стану обсуждать достоинства этих теорий. Важно лишь понимать, что недостаток разнообразия, в частности гендерного, действительно существует, и от его устранения во многом зависит успех наших начинаний. К счастью, проблема была признана, и наше сообщество уже работает над ее решением.
1.5.2. Почему это важно
Обеспечение разнообразия — это не просто дань политкорректности. Мир технологий и кибербезопасности постепенно осознает ценность разнообразия, которая лежит в плоскости не только морали и справедливости. Как я уже говорила в начале раздела, нам нужны специалисты, понимающие особенности мышления тех, кого мы пытаемся защитить, учитывая к тому же важность человеческого фактора. Такая способность позволяет находить более правильные решения.
Например, в 2014 году Счетная палата США опубликовала отчет, где говорилось, что участились случаи ложных срабатываний сканеров тела, установленных в аэропортах по требованию Администрации транспортной безопасности. Часто ложные срабатывания ассоциировались с головными уборами, тюрбанами и париками. В 2017 году организация ProPublica сообщила, что уровень ложных срабатываний у сканеров, особенно часто связанных с прическами, распространенными среди афроамериканок и темнокожих женщин, по-прежнему высок. Такие выводы были основаны на результатах независимого исследования, проведенного этой организацией.
Это заставляет задуматься: почему подобные сложности не выявляли раньше? Неужели «цветные» женщины не участвовали в разработке и тестировании устройств? Если бы состав проектной группы оказался более разнообразным, удалось бы предотвратить появление таких проблем, обойти их еще на начальном этапе? Ведь именно в этом заключается важность разнообразия. Процессы мозгового штурма и решения проблем более эффективны, когда их участники обладают разнообразными взглядами и опытом, на которые можно опереться. Поэтому для успешного решения проблем в сфере кибербезопасности нам следует обеспечить максимальное разнообразие внутри нашего сообщества.
1.5.3. Какое отношение это имеет к вашей карьере
Хотя это кажется проблемой сообщества и отрасли в целом, вам, как человеку, желающему построить карьеру в сфере кибербезопасности, важно понимать, что она в принципе существует. В главах 8 и 9 мы поговорим о том, что может сдерживать ваш карьерный рост. Об этой же конкретной трудности необходимо узнать на раннем этапе, когда у вас только начинает складываться представление о составе сообщества кибербезопасности, истории его развития и перспективах.
В самом начале карьерного пути, побудившего взять в руки эту книгу, вам может оказаться трудно найти свое место в сообществе, если вы не увидите среди его участников тех, с кем будете себя ассоциировать. В этот момент вспомните, о чем шла речь в этом разделе, и поймите: вам здесь не просто рады — в вас здесь нуждаются. В следующей главе мы подробно рассмотрим направления в сфере кибербезопасности, в которых вы можете найти себя.
Подведение итогов
— Кибербезопасность — это совокупность исследований, технологий и практик, используемых для защиты взаимосвязанных технологических систем, данных и пользователей от атак, несанкционированного доступа и/или повреждения.
— Цели кибербезопасности зависят от контекста, однако в цифровом мире взаимосвязанных систем все они сводятся к защите нашего образа жизни.
— Сфера кибербезопасности может существенно выиграть от разнообразия опыта и культур, и сообщество уже работает над тем, чтобы устранить недостаток в этом разнообразии.
