05.03.2013

Информационная безопасность в стране безграничных ресурсов

Как известно, есть определенная возрастная категория, которая все делит на рулез и отстой. Вот нет ни третьего варианта, ни промежуточного: либо креативный либерал, либо зомбированное быдло; либо автор индустриального чуда и победитель фашизма, либо кровавый недоумок; либо полностью поддерживаю, либо статья ни о чем. Им даже интерфейсы такие делают: «нажми плюсик» / «нажми минусик» (как вариант, «нажми плюсик» / «не нажимай плюсик»). Или это они же сами их и делают?

А раз все вещи бывают только полностью черными или полностью белыми, то достаточно любой детали, чтобы судить о целом. Так что при максимализме неполная индукция – это абсолютно закономерно и нормально. Абсолютно закономерно и нормально, что часы полностью характеризуют главу церкви, гаишник госорганы, а Брюс Виллис Америку.

Бывает, расставание с детством затягивается. Иногда за счет искусственной изоляции сообщества подобных, иногда в силу автономной профессии, когда как в футляре: проекты, бюджеты, сроки – нет этого ничего, есть только Я и Объект (холст, код, латунная чушка), а договор, лимит, заказчики – метафизика какая-то.

В категоричных обобщениях они трогательно искренни. «Если на портале А существует уязвимость Б, вся их безопасность ни о чем», «Если из компании В произошла утечка Г, безопасность шарлатаны и бездельники» и «Если где-то не последний билд версии про, безопасность только на бумаге».

Есть лишь один случай, когда такие суждения справедливы. Это – случай безграничных ресурсов. Когда у безопасности достаточно людей, денег, свободного времени, то действительно не может быть уважительной причины попускать не самое навороченное что либо.
Отчасти еще и сама страна располагает: подсечное земледелие, ключи активации на что хошь и блюреи в торрентах – это ведь наше, родное. Страна у нас не очень богатых людей, но богатых безгранично.

Однако в реальных организациях этого нет.
Т.н. подход, основанный на оценке рисков (которую я люблю как мыши кактус) – это ведь от нужды, от необходимости выбирать, невозможности сделать все имеющимися ресурсами.

В чем они могут быть правы. Безопасникам (особенно если не ИБ-шники, а ЗИ-шники) свойственно недооценивать приоритетность обеспечения целостности и доступности не обладающего конфиденциальностью. В принципе, это как раз ошибка в оценке рисков, если то единственное, по чему о Вас судит молодежь из социальной сети, у Вас где-то на 135-ом месте стояло.

Нужна концовка.
Ну, чему это нас учит. Лично меня – добавлять в аналогичных ситуациях «если бы»:
- Если бы это был единственный перекресток в городе,..
- Если бы это было главной проблемой нашей судебной системы,..
- Если бы вирус пребывал в пробирке, а не организме измученного нарзаном,..

13 комментариев:

Алексей Лукацкий комментирует...

Шедеврально ;-) Как и всегда

Vlad Styran комментирует...

Эко как красноглазики зацепили старых барсов... Господа (вкл. Алексея), а не много ли чести, заниматься таким глубинным психоанализом?

Ригель комментирует...

Алексей, спасибо!

Влад, вот все-таки надо иногда - последний-то раз уже когда был.

Vlad Styran комментирует...

Тоже верно...

Sergio Aldia комментирует...

А суждения в стиле "вся молодёжь бестолковая, а вот мы, старики, дааа..." правильные, да?

Что не так далее:
«Если на сайте интернет-магазина существует уязвимость sql-injection, вся их безопасность ни о чем»
«Если из компании Microsoft сотрудник вынес исходники нового продукта в виде рулона А3, безопасность шарлатаны и бездельники»
«Если в АСУ ТП на реакторе в Иране не последний билд версии про, безопасность только на бумаге»?

Сами же, уподобившись ругаемым, занимаетесь максимализмом ("...как известно, есть определённая возрастная категория..." -- Вы лично знакомы со всеми представителями данной категории?).

Ригель комментирует...

Sergio, здравствуйте! 1. Я говорил не о всей молодежи, а о высказывающей определенную позицию (которая, кстати, вовсе не бестолкова, а предопределена некими почти независящими от них факторами) - не высказывающая ее или имеющая какую-то иную автоматически не попала. 2. Ваши примеры хороши: они демонстрируют относительную ценность контрмер. Для Интернет-магазина уязвимость сайта - существеннейший риск, ей немедленно нужно заниматься. Для организации, которая сама не знает, зачем ей сайт (а основной ее риск это приостановка деятельности до 90 дней за нарушение условий лицензии на ТЗКИ) это иначе. 3. Вы правы, я тоже обобщаю. Но делаю это на куда большей выборке.

Ригель комментирует...

з.ы. Но я не могу принять пример с Ираном: последний билд версии про может стоить как еще 2 реактора. Если этих денег у них нет, то это не значит, что защищает там только бумага.

Юрий комментирует...

Дихотомичное суждение очень удобно, на самом деле. Сплошные выгоды, при минимуме затрат можно достичь максимального эффекта, сделав выводы, которые на самом деле совсем не следуют, а являются следствием неглубокого погружения и слабой аналитики. Но есть и мирный атом: никого бы не устроил вердикт судьи в духе "в целом виновен, но...", иногда категоричные обобщения все-таки необходимы.

Ригель комментирует...

Юрий, согласен. Но выгода ни при чем, мне кажется: преднамеренное удержание (или даже дауншифтинг) уровня зрелости - крайне редкое явление, обычно он все-таки естественный.

Юрий комментирует...

Про выгоду иронизировал, конечно. Имелось в виду то, что склонность к обобщениям сама по себе не плоха и не хороша. Выводы о ее уместности можно делать только сопоставив с исходниками: обобщение, сделанное на основании неполного знания, все-таки в корне отличается от экспертной оценки, сделанной на основе анализа кучи фактов. Идеальный аудиторский отчет, кстати;) Отвечающий на вопрос "Хорошо ли у нас с ИБ" в стиле "А то ж!"

Turkish комментирует...

Насколько бы ни были безграничны возможности, про целеполагание забывать тоже нельзя. По сути, оно определяющее в мире "безграничных возможностей". Вопрос в том, что чем старше, тем меньше тебе (бизнесу) нужен целый мир. Иными словами, ИБ на уровне 99,99...%

Turkish комментирует...

Правда имперское самосознание перебороть не каждый может :)

Sergio Aldia комментирует...

Про Иран - стоимость возможных последствий теракта (в т.ч., возможно, человеческих жертв) вложена во фразу про две стоимости реактора?

За подрастающее поколение обидно, вот я к чему:) Как представителю.

Отправить комментарий