Обучение в «Вышке» — Концепция недопустимых событий — Бизнес-ориентированная безопасность — Взаимодействие ИБ с ИТ и бизнесом
21 января вы написали на своей странице в VK, что защитили диплом по программе GMP в «Вышке». Почему вы выбрали именно эту программу? В чем ее преимущества в сравнении с классическими MBA?
Здесь как с лекарствами — «не вместо, а вместе». Это своего рода EMBA/post-MBA: программа подойдет тем, кто уже получил управленческое или бизнес-образование и хочет двигаться дальше. Так что дело не в преимуществах — это просто следующий шаг.
О чем была ваша выпускная работа?
Тема диплома выходила за пределы кибербезопасности: я рассматривал право на существование и возможности применения конвергентных теорий. Суть в том, чтобы вместо большого теоретического знания дать менеджеру простой и понятный инструмент для решения конкретных вопросов: «Делай раз, два, три». Это достаточно популярная методика, корни которой уходят в консалтинг и менеджмент.
Всех управленцев так или иначе обучают подобному. Например, начинающих руководителей — ситуационному лидерству, как Петр Первый учил солдат маршировать: «сено — солома — сено — солома» :) Конвергентная теория в данном случае — инструмент, вместо фундаментальных знаний и понимания дающий конкретное лекало к ситуации: «При проведении переговоров в случае 1/2/3 нужно выполнить действие 1/2/3». Применять этот подход можно везде: для управления персоналом, анализа рисков, бизнес-планирования и др. Само собой, у него есть плюсы и минусы — ровно об этом и была моя работа. Я анализировал историю возникновения конвергентных теорий, разбирался в их праве на существование, а затем объяснял на примере недопустимых событий, может ли этот подход взлететь.
К концепции недопустимых событий можно относиться по-разному: осуждать, иронизировать, активно использовать и т.д. Но вклад в развитие отрасли она однозначно внесет. Не стоит забывать, что это инструмент — как молоток. Осуждать его или восхищаться им не совсем логично: вопрос в том, где и как долго им будет уместно пользоваться.
Почему вы использовали в качестве примера именно недопустимые события? Вам близка эта концепция?
Я отношусь к ней положительно. Как минимум это удачный buzzword, который помогает рынку двигаться вперед. Приведу пример: однажды ко мне обратилась знакомая — генеральный директор крупного ритейлера. После вводной «Мой безопасник, кажется, несет какую-то чушь…» она попросила оценить адекватность годового ИБ-бюджета и простыми словами объяснить, на что уходят деньги компании. Я построил диалог на недопустимых событиях: показал критичные риски, соотнес с запланированными ИБ-проектами и заложенными на них средствами. Оказалось, бюджет был сформирован так себе, зато сама концепция недопустимых событий сработала отлично :) Я редко обращаюсь к ней в повседневной работе, но такое представление помогает находить общий язык с бизнесом и быстро объяснять ситуацию на пальцах.
Но я не согласен с тем, что вокруг недопустимых событий начинают строить сложную методологию, четко прописывать термины и определения. Особенность конвергентных теорий в том, что они до определенной степени упрощают и огрубляют представление о предмете. Они созданы, чтобы раскладывать сложную картинку на очевидные «раз, два, три», поэтому любое уточнение деталей здесь только навредит. Концепция недопустимых событий понятна первым лицам компаний именно за счет своей простоты, так зачем усложнять? Люди устали и больше не хотят читать 300-страничные методологии…
Умение подстраиваться под уровень абстракции собеседника и понятным языком объяснять сложные вещи —признак сеньорности.
Что вы вынесли для себя по итогам обучения? Какие новые навыки уже помогают вам в работе?
Конкретные навыки дают в рамках классического бизнес-образования. Программа GMP же помогла мне обточить применимость моих взглядов и найти точки соприкосновения с коллегами по отрасли. Грубо говоря, сами управленческие инструменты — это MBA, а GMP — это про возможности и границы их применения. Проведу аналогию с экономикой. Сначала вам дают базовые знания и только на следующем уровне объясняют, что ни одна экономическая теория на самом деле не может достоверно спрогнозировать будущее — только объяснить произошедшее. Это похоже на резкий сюжетный поворот в игре а-ля «забудьте все, что знали раньше».
Соответственно, для меня главная ценность GMP — в возможности обсудить с управленцами и владельцами бизнеса, как в реальности работают подходы, о которых мы узнаем из книг. Ведь на самом деле большинство трендовых концепций не приносят ощутимого эффекта. Вспомните реинжиниринг бизнес-процессов, который был популярен в конце прошлого века. О нем написали массу книг и выпустили тонну брошюр, но большинство организаций, которые им занимались, не достигли своих целей. Существуют исследования, показывающие, что чуть ли не 90% компаний, которые хотели избежать выкупа крупным бизнесом, в итоге были выкуплены :) Тем не менее практически из любой трендовой концепции можно извлечь что-то полезное и применить на практике.
С какими ИБ-инцидентами вы сталкиваетесь чаще всего?
Самый важный актив «Одноклассников» — аудитория, поэтому и фокус злоумышленников смещен в эту сторону. Какой смысл ломать инфраструктуру соцсети? Да никакого. А зачем нас DDoS’ить? Тоже бессмысленно. Я не помню ни одной DDoS-атаки, которую мы бы не выдержали.
Хакеры целятся в пользователей и контент. Например, как-то раз они нашли возможность рассылать спам через личный кабинет разработчика платформенных приложений. Там есть дополнительный отладочный e-mail, на который разработчик может скидывать нужную ему информацию. Оказалось, его можно было перебирать бесконечное количество раз и таким образом отправлять спам. Мы успели вовремя это заметить, и пользователи не пострадали.
Откуда берутся деньги
Кто такой бизнес-ориентированный безопасник и чем он отличается от «просто безопасника»?
Для меня бизнес-ориентированная безопасность — это когда целеполагание ИБ завязано на цели бизнес-подразделений компании. К примеру, у нас есть классические метрики посещаемости DAU, MAU, NPS как индекс восприятия продукта: чем они выше, тем больше денег приносит соцсеть. Что я, как безопасник, могу сделать для улучшения этих показателей? Как минимум внедрить эффективные, но простые процедуры аутентификации: если пользователь забыл пароль, он должен быстро и без проблем вернуть доступ к аккаунту. Для этого мы реализовали механизм, который сканирует фотографии в профиле человека и позволяет ему восстановить доступ с помощью селфи (достаточно сделать определенный жест).
Следующий пример — покупки в приложениях. ИБ не может повлиять на внутриигровые продажи, но может сделать так, чтобы для пользователей покупка заветной свиньи 80 уровня проходила бесшовно. А тех, кто крадет учетки или занимается мошенничеством, нужно оперативно блокировать.
Наконец, у нас есть цель на уровне компании — повысить удовлетворенность инженеров внутренними ИТ-сервисами. Это особенно важно для новых сотрудников — чтобы талантливые специалисты быстрее погружались в работу. Задача не совсем из области ИБ, но и здесь можно многое сделать. Например, упростить процесс получения новых доступов к корпоративным ресурсам, внедрить удобный и безопасный механизм удаленного подключения и др.
ИБ не должна сыпать запретами и ставить палки в колеса бизнесу. Кусать кормящую руку — не лучшая идея :)
Как вы думаете, можно ли научить безопасников мыслить в категориях бизнеса?
Конечно, причем не только безопасников. Главное — постоянно задавать себе вопрос: «Как я могу помочь компании в достижении ее целей?» (читай — заработать). Человеку в принципе полезно понимать, откуда берутся деньги, из которых он получает зарплату. Благодаря этому мы начинаем думать не только о своих атомарных задачах, но и о том, как они соотносятся с целями компании. Уже этого вполне достаточно, чтобы любой безопасник, инженер или разработчик стал бизнес-ориентированным.
В прошлом году у нас был наглядный кейс: мы реализовали в соцсети механизм ограничения нежелательных знакомств. Среди наших пользователей есть женщины, которым не нравится, когда с ними знакомятся в интернете. Плюс есть мужчины, которые любят знакомиться. Когда они пересекаются, начинаются проблемы... Простым решением было бы: «Мужики пристают к женщинам, всех блокируем!». Схема рабочая, но не самая адекватная, к тому же так мы потеряем массу пользователей. Что делать? Включаем продуктовое мышление и понимаем, что в остальном эти мужчины ведут себя нормально: общаются, дарят подарки, играют в игры и т.д. Значит, нужно выделить категорию мужчин, которые любят знакомиться, затем женщин, которым это не нравится, и просто «развести» их в разные стороны. Остальное — дело техники (ML, кластеризация и т.д.). В результате число жалоб от женщин заметно сократилось, при этом мы не потеряли пользователей-мужчин. Скорее всего, они даже не поняли, что их опыт общения в сети как-то изменился.
Потребность и желание придумывать подобные решения рождаются из понимания: мы получаем зарплату, потому что в соцсети сидят люди. Если бы вознаграждение ИБ-специалистов сокращалось пропорционально количеству заблокированных пользователей, они вряд ли бы использовали черно-белые решения из серии «разрешить/запретить» :)
История с запретами в России работает плохо. Есть анекдот на эту тему. Стоит русский мужик на мосту, к нему подходит второй и говорит: «Слушайте, а вы знаете, что с моста прыгать запрещено?» Первый отвечает: «Ооо, правда?» Бульк! Это наше отношение к запретам :)
А можно ли научить бизнес и ИТ мыслить в категориях безопасности?
По статистике Gartner, безопасники участвуют в принятии не более 30% решений, которые влияют на общую защищенность компании. Порой они даже представить не могут, что происходит за соседней стенкой. Причины могут быть разными: забыли позвать, не учли и т.д. Решить задачу путем тотального контроля не выйдет, разве что на оборонном заводе, где все сдают телефоны на входе. В коммерческих организациях на помощь безопасникам приходит cyber judgment. Нужно выстраивать в компании такую культуру, чтобы при принятии решений у всех в голове щелкало: «А что с кибербезопасностью?». Этот подход куда эффективнее бесконечной войны с бизнесом и ИТ за каждый проект. И на мой взгляд, это одна из ключевых задач ИБ-руководителя.
К примеру, технический директор нашей компании живет с этой установкой, и от него она по цепочке спускается дальше. Нам не нужно продавать кибербез коллегам из QA или проектного офиса: они уже знают, что это must have. Что немаловажно, донес эту мысль не очередной безопасник с палкой, а их собственный руководитель. В итоге у нас полно кейсов, когда ИТ по собственной инициативе помогали нам закрывать ИБ-задачи. Например, защиту инфраструктуры ML и big data мы строили вместе ребятами из нашей дата-лаборатории.
Подчеркну, что мы говорим не о глубоком погружении всех сотрудников компании в кибербез — нет. Достаточно щелчка в голове и общей установки: «все решения стоит обсуждать с безопасностью». Благодаря этому ИБ-специалисты будут больше успевать, и число решений, в принятии которых мы участвуем, вырастет до 70–80%. Оставшиеся 20% все равно не закроем — это уже закон Парето :)
Приведу пример забавной уязвимости, о которой мы узнали в рамках bug bounty. Представьте: вы открываете страницу пользователя и листаете фотографии. Находите среди них фото, так сказать, личного характера. По логике соцсети никто не должен его видеть: при проверке мы автоматически помечаем такие изображения как приватный контент. Смотреть их может только автор, ну и, видимо, радоваться самому себе :) Уязвимость заключалась в том, что проверка на статус «фотография личного характера» проводилась уже после загрузки изображения. Сначала посмотрите, а потом: «Нет, это личное». Подобные кейсы можно встретить только в соцсетях.
Как не превратиться в классического «эффективного менеджера»? И почему в него в принципе не стоит превращаться?
Проблема в том, что люди на высоких руководящих позициях часто абстрагируются от насущных вопросов. Наверное, это самое страшное, что может произойти с менеджером. Как этого избежать? Оставайтесь человеком в общении с коллегами, сохраняйте живость ума и любопытство взгляда — это уже полдела. Вторая половина — это научное понимание, что в российском менеджменте огромную роль играет авторитет руководителя, его экспертная власть. Быть экспертом в глазах подчиненных действительно важно! Лет десять назад, когда я работал в Positive Technologies, в одно из подразделений компании пришел новый руководитель. Команда его попросту не приняла: «вес» был большой, а вот экспертом его не считали. Это не значит, что хороший руководитель должен разбираться во всем лучше своих сотрудников, но и терять хватку определенно нельзя.
Однажды ребята из моей команды сказали: «Как хорошо, что ты не из этих эффективных менеджеров с MBA». Видимо, мне хорошо удается это скрывать :)
