От недокультуры к киберкультуре

Под видом киберкультуры часто понимают кибергигиену, или же DevSecOps (development, security и operations), как применение лучших практик безопасности на всех этапах жизненного цикла программного обеспечения. Но с нашей точки зрения, это выглядит скорее как недокультура, поскольку оставляет смысл ИБ на уровне ИТ или ИБ, а не поднимает ее до уровня бизнеса.

Место культуры в бизнесе

Очень давно я задумал написать статью про уровни эволюции специалистов по кибербезопасности, которые вырастают в CISO и становятся бизнес-лидерами. Казалось бы, это очевидно и подобные практики встречаются очень часто. Например у врачей. Пока они костную структуру не выучат — до мышц не допустят. Определенные ступени роста есть, скажем, и у слесарей. Они идут по разрядам. Но в ИБ внятного ответа о шагах эволюции нет. Пути, которыми приходят в кибербезопасность, поистине неисповедимы.

В итоге статья не получилась.

И только спустя довольно много лет коллеги из лондонского PWC дали очень простой и изящный ответ — уровни зрелости ИБ-специалиста определяют три простых вопроса:

что я делаю? (это уровень выпускника колледжа или профильного бакалавра); как я это делаю? (это уже уровень CISO — выбор решений, совместимость, обновление версий и пр.); зачем я это делаю? (это уже уровень бизнеса, когда CISO становится членом совета директоров и понимает свой уровень задач с точки зрения бизнеса).

Но справедливости ради, осмелюсь предположить, что до уровня бизнеса ИБ доходит крайне редко. Не надо далеко ходить за примерами, когда, даже дойдя до уровня бизнеса, CISO оставался на уровне глубоких, но все же инженерных компетенций. Это зона комфорта для ИБ. И для того чтобы выйти из нее, нужно немалое профессиональное мужество. Поэтому ИБ остается для бизнеса ИБ-пассивом, а не становится ИБ-активом.

Драйверы ИБ У ИБ есть три драйвера, три мотиватора, которые двигают и развивают эту тему.

Продажа страхов. Тут все молодцы. С этого начинается любой рассказ о ИБ-продуктах, сервисах и решениях. После выступления с трибуны иного спикера люди с брекетами боятся улыбаться во время грозы. Вдруг молния ударит... Но к страхам очень быстро привыкают. Особенно если это страхи из категории усредненных показателей. В 2022 году про кибератаки вещали из каждого утюга. Казалось бы, тема противодействия кибератакам была подтверждена и доказана. Но спустя время нам опять приходится доказывать и обосновывать важность киберзащиты. Страхи должны быть обоснованными, а не придуманными. Какое нам дело до засухи на юге, если на севере мы завалены снегом? Compliance. Мощнейший инструмент продвижения и развития ИБ! Я настаиваю, что все документы регуляторов проработаны и прекрасны! У меня нет никаких сомнений в этом. Но только в списке моделей угроз можно встретить пункт «защита от национального регулятора». Все громче звучат призыва перейти от формальной бумажной безопасности к реальной. И даже за одним столом та и другая сторона защиты произносит правильные слова и понимает друг друга. Но выйдя из-за стола и оказавшись под реальной кибератакой. они начинают делать разные вещи. Одни изучать нормативку, требования и распоряжения, а другие гасить кибератаку всеми доступными способами. Интересы бизнеса. Первые два драйвера отнимают так много сил и времени, что про третий пункт уже забывают. Или подменяют его первыми двумя (страхами и compliance). Но попробуйте лидеру бизнеса сказать про ИБ, и он отправит вас к своим специалистам по этим вопросам, которым он платит зарплату. Он постарается ускользнуть. Тема ему будет неинтересна. Но только до того момента, как вы ему зададите правильные вопросы, которые не оставят его в стороне от проблемы: как он оценивает свою личную кибербезопасность? И какое место занимает в его планах кибербезопасность как наука о будущем? Мы крайне мало говорим о будущем, а в результате как те комичные генералы готовимся побеждать в прошедших сражениях. НЕТ! Кибербезопасность, как и бизнес, — это про будущее, которое формируется здесь и сейчас. И мы можем на него влиять.

Но при этом ИБ для бизнеса остается ИБ-пассивом и не становится ИБ-активом, который даем ему преимущества и открывает новые возможности.

Тут можно мне возразить, что ИБ снижает риски бизнеса. Это верно. Но как это понимает бизнес? Современный капитализм приобрел все свойства и оттенки венчурного. Максимальные прибыли в условиях максимальных рисков. Первый, кто выводит на рынок товар или услугу, получает рынок, второй — крошки, а третьим можно не беспокоиться. Поэтому снижая риски бизнеса, вы снижаете его прибыль и возможности.

Кибербезопасность — это неудобно, неблагодарно, но обязательно

Так как же поднять важность ИБ до уровня бизнеса?

Время культуры

Определение культуры каждый может найти в Интернете. Оно будет абсолютно правильным и бесполезным. Дело в том, что культура не появляется из ниоткуда и вдруг. Это длительный процесс, который нужно постоянно двигать и поддерживать, не позволяя откатывать назад и в строну с формулировками «в виде исключения».

При очевидности утверждения, что культура влияет на экономику, этот тезис требует доказательства. Именно этому доказательству в примерах и фактах посвящен учебный курс в МГУ А. А. Аузана. Если на деньги, как всеобщий эквивалент, можно купить все что угодно, то потом любого количества денег будет недостаточно. Но влияние культуры было доказано в 1993 году, когда Нобелевскую премию по экономике получил историк Роберт Фогель. Он доказал, что плантационное рабство в южных штатах Америки отнюдь не было неэффективной системой. И социальное положение эксплуатируемых, как ни странно, лучше было на Юге, а не на Севере. Поэтому отмена рабства в США произошла не по экономическим причинам, а по каким-то другим.

Произошел «переворот вкусов и предпочтений». В 1840-е годы американцы на Севере относились к рабству как к неприятной необходимости. Но потом их взгляды поменяла книга Гариетт Бичер-Стоу «Хижина дяди Тома». Президент Авраам Линкольн сказал ей при встрече: «Так это вы та маленькая женщина, из-за которой началась эта большая война».

Аналогичный пример можно найти и в России. В 1861 году отменили крепостное право. Это было не случайно и вдруг. За 10 лет до этого, в 1851 году Тургенев опубликовал повесть «Му-му». Читающая аудитория была незначительна, но это были те люди, которые по своему статусу и положению влияли на формирование взглядов и предпочтений.

Но вернемся к экономике. Ее версия в изложении великого теоретика капитализма Адама Смита претерпевает серьезные изменения. Формула «товар-деньги-товар» в интернет-версии выглядит, мягко говоря, странным образом. А закон рынка «спрос определяет предложения» вообще потерял актуальность. Ну, скажите на милость, какой был спрос на iPhone, смартфоны, планшеты или даже персональные компьютеры? Маркетологи предлагают нам взять в руки и попробовать то, что придумали окрыленные научными возможностями инженеры, и мы уже не представляем, как раньше без этого жили.

Термин «цифровая экономика» появился в европейских экономических кругах в середине 90-х годов уже прошлого века. Он предполагал экономику сокращения транзакционных издержек. Одним из первых и ярких примеров такой экономики стал Uber. Дальше цифровой джин был выпущен из бутылки и проявил себя в самых разных технологиях и переменах сознания. Очевидно, что цифровая экономика очень быстро испытала зависимость от данных. Очень быстро данные стали называть нефтью XXI века. От качества данных зависит качество управленческих решений и успех бизнеса. Ответ со стороны темных сил не заставил себя долго ждать. Набирают популярность атаки на данные. Менее 1% «отравленных» или уничтоженных данных влияют на качество результатов прогнозов и решений. Если защита данных, сохранность, достоверность и прочее — это новые задачи для бизнеса, то для ИБ это задачи давно привычные.

Память

У культуры есть память. Это звучит странно, так как у нас множество примеров короткой памяти. Мы уже забыли о ковидном времени, и у нас практически отсутствует культура анализа неудач. Но тем не менее у культуры есть стойкая память. Недаром в легенде Моисей водил свой народ по пустыне 40 лет вычищая из новых поколений память о рабстве. Но есть примеры более стойкой памяти. Если почитать ковидные дневники Венеции, то даже спустя 600 лет ковид сравнивали с нашествием средневековой чумы. Через множество поколений они это помнят.

Что такое QWERTY, знают все, кто хотя бы один раз видел клавиатуру. Причин для такого расположения клавиш я слышал множество. Общего у них то, что все они уже неактуальны. Однако отказаться от раскладки QWERTY уже невозможно. С точки зрения экономистов «QWERTY» — это экономический эффект, который выглядит как ошибка, которая осознано была внесена в систему, стала стандартом, и отказаться от нее не представляется возможным.

Поэтому всегда уместен вопрос: какой эффект QWERTY мы закладываем в систему кибербезопасности при ее построении? Иначе нам будет крайне сложно осуществлять последовательную эволюцию киберкультуры.

Эффективность, репутация, этика, культура и прочее — это ценности и принципы, по которым мы работаем в компании и с клиентами. И все они если не оцифрованы, то непременно будут. И все они проходят три стадии эволюции, перепрыгнуть через которые не удается.

На первом уровне эволюции киберкультуры мы формируем правила и регламенты, исполнение которых внимательно отслеживаем. Это ИБ умеет делать очень хорошо! Беда в том, что с мониторинга правил все начинается и наказаниями за нарушения все и заканчивается.

В «Новых размышлениях о политике» Ицхак Адизес писал в заметках о России: «Применение наказания в целях насаждения дисциплины подпитывается характеристикой российской управленческой культуры, сложившейся, возможно, еще до коммунизма: речь об авторитаризме. Руководитель или властитель выискивает и подавляет любых возможных конкурентов. Руководитель российской компании должен демонстрировать свое превосходство. Он не может позволить себе признать, что способен допускать ошибки, поскольку в таком случае потеряет авторитет, ведь он должен соответствовать идеалу. Ориентир на контроль опирается на авторитарный стиль управления».

Но наша цель — дальнейшая эволюция киберкультуры, ее следующий уровень, а не монолит инструкций и пресечение нарушений. На втором уровне эволюции сотрудники компании сами соблюдают правила и распоряжения от ИБ, так как это позволяет им сохранить, условно, членство в определенном клубе избранных. Им разрешается работать удаленно, получать информацию, сервисы, которые для других могут быть закрыты. На этом этапе ИБ сокращает свои затраты на средства мониторинга инцидентов, поскоьку опирается на членов условного клуба. На этом этапе ИБ становится партнером для бизнес-подразделений.

Третий этап эволюции ИБ заключается в получении бизнес-преимуществ. ИБ позволяет бизнесу формировать повестку, быть лидером мнений, получать конкурентные преимущества. На этом уровне уже не ИБ становится партнером для бизнес-подразделений, а лидеры бизнеса становятся ИБ-партнерами для ИБ, формируют повестку для консультаций, ставят задачи и ИБ-ожидания.

Это длительный процесс. Но его стоит пройти, чтобы увидеть место для ИБ как науки о будущем бизнеса.