Путеводитель по карьере в кибербезопасности - Миллер Алисса - Страница 6

Чтобы такая деятельность оставалась в рамках закона, необходимо было тщательно продумать и соблюдать принципы этичного взлома. В результате «хорошие» хакеры разработали правила, методы и стандарты, которые отличали их от злоумышленников. В основе их этического кодекса лежит принцип «не навреди». Эти правила участия в тестировании систем гарантируют, что обнаруженные уязвимости не будут использованы для причинения ущерба системе или человеку.

Сейчас в сфере кибербезопасности этот принцип остается актуальным и применяется ко многим видам деятельности, которыми ежедневно занимаются исследователи, хакеры и специалисты-практики. А вот вредоносная деятельность во имя защиты, основанная на идеях наступательной кибербезопасности и кибервойн, провоцирует бурные дебаты.

1.4. «Отрасль» кибербезопасности

В деловом мире, в средствах массовой информации и в политическом дискурсе термином «отрасль кибербезопасности» часто описывается совокупность людей, технологий и практик, связанных с защитой цифрового мира. С момента, когда появились ИБ-специалисты, она рассматривалась как отдельная дисциплина.

У нас есть концепция карьеры в сфере кибербезопасности — вероятно, потому вы и читаете эту книгу. Правительства, корпорации и другие организации создают группы по кибербезопасности. Производители программного и аппаратного обеспечения выпускают продукты для обеспечения кибербезопасности, призванные защитить нас от всех мыслимых типов атак. Однако далеко не все уверены, что кибербезопасность следует рассматривать как отдельную отрасль.

Сфера кибербезопасности представляет собой огромный коммерческий рынок. Согласно ряду исследований, в 2019 году во всем мире на решения, направленные на обеспечение кибербезопасности, было потрачено от 170 до 250 миллиардов долларов США. Кроме того, этой тематике посвящены курсы в колледжах, университетах и других учебных заведениях. На протяжении многих лет, пока группы ИБ-специалистов стояли особняком в корпоративных организационных структурах, рассматривать кибербезопасность в качестве отрасли было удобно и имело смысл.

Однако эта сфера давно вышла за рамки простой защиты ИТ-систем от несанкционированного доступа и повреждения. Внедрение соответствующих практик больше не ограничивается одним лишь применением технических контрмер. Сейчас на безопасность обращают внимание все сферы бизнеса, международных отношений и жизни общества. Называя кибербезопасность отраслью, мы подразумеваем, что она автономна, существует сама по себе и просто взаимодействует с другими аспектами нашей реальности. Это не отражает того факта, что безопасность — фундаментальная концепция, имеющая отношение к каждой части цифрового мира.

Определение. Кибербезопасность — это больше, чем отрасль. Важно понимать, что она тесно связана со всеми аспектами цифрового мира. Таким образом, говорить о ней как об отрасли — значит поддерживать устаревшее представление о кибербезопасности как об обособленной функции организации и общества в целом.

Как говорилось в разделе 1.2, в результате цифровой трансформации многие элементы повседневности перешли в электронную и цифровую сферу. Технологии больше нельзя назвать всего лишь частью нашей жизни; как сказала моя коллега и хорошая подруга Керен Элазари, это и есть наша жизнь. Теперь мы не просто защищаем системы, технологии и данные, мы защищаем фундаментальные аспекты современного мира. Цифровая трансформация продолжается: все больше и больше некогда материальных объектов вокруг нас оцифровывается, — и кибербезопасность становится неотъемлемой частью нового мира. Количество и степень серьезности угроз растут в геометрической прогрессии. Ни одна группа, ни одна дисциплина и ни одна область знаний не в состоянии предоставить нам защиту от всего: слишком разнообразны и обширны векторы атак.

Цифровой мир растет за счет преобразования всего, что мы знаем, в данные и системы, так что на первый план вышла еще одна ключевая концепция: необходимость учета человеческого фактора. В ИБ-сообществе распространена идея о том, что чаще всего человек — самое слабое звено в защите. Как бы она ни была надежна, как бы ни были хороши технологии, человеку достаточно допустить единственную ошибку, чтобы злоумышленник успешно реализовал атаку.

В результате развития этой концепции появились эксперты по социальной инженерии. Организации нанимают таких специалистов, чтобы оценить готовность персонала к отражению атак. Ключевыми элементами соответствующих стратегий стали эксперты по человеческому поведению и информационной подготовке. Они помогают людям изменить привычный способ реагирования на такие методы социальной инженерии, как фишинг, телефонное мошенничество и манипуляции в ходе личного общения. В 2020 году конференция RSA (одна из крупнейших и старейших конференций по кибербезопасности) выбрала «Человеческий фактор» в качестве главной темы для своего ежегодного недельного мероприятия в Сан-Франциско.

Понимание важности человеческого фактора еще больше расширяет представление о том, что такое кибербезопасность. На практике специалисты начинают учитывать не только технологии, но и вшитые в нас поведенческие модели, методы манипулирования, а также разрабатывают меры противодействия дезинформации.

То, насколько цифровая трансформация изменила нашу картину мира, нам еще только предстоит осознать. Возьмем, к примеру, интернет вещей (IoT, Internet of Things) — в современном понимании сеть умных устройств. Оба термина описывают продукты и технологии, которые до этого работали автономно, а теперь благодаря связи друг с другом обретают новые формы функциональности.

Современные холодильники способны определить, какие продукты заканчиваются, и заказать необходимое в интернет-магазине. Автомобили подключаются к сети с самыми разными целями, начиная с использования навигаторов и заканчивая вызовом помощи. В феврале 2020 года на платформе Kickstarter была запущена кампания по сбору средств для создания свечи, которую можно зажигать удаленно через приложения на смартфоне. Кажется, что к интернету подключено уже все на свете.

В то же время взрывной рост числа подключенных к интернету устройств, как и следовало ожидать, сопровождался взрывным же ростом числа угроз и векторов атак. Кибербезопасности теперь уделяют внимание даже в тех технологиях, для которых раньше не существовало цифровых угроз. Вот и еще одно свидетельство того, что эта сфера проникает во все аспекты нашей жизни.

Итак, можем ли мы по-прежнему называть кибербезопасность отраслью? Не стоит ли вместо этого рассматривать ее как часть каждого аспекта нашего мира — так же как просто безопасность была частью жизни наших предков на протяжении всей истории? Да, есть люди, которые специализируются на разработке безопасной среды. Существуют лучшие практики, создаются стандарты и соблюдаются правила. Но, в конце концов, безопасность — неотъемлемая характеристика всего, от рабочих мест до зданий и дорог. Возможно, рассуждая о карьерных путях и специализациях в этой сфере, нам стоит думать о кибербезопасности в таком же ключе.

Как видите, область кибербезопасности обширна и охватывает не только постоянно расширяющийся мир технологий, но и общие вопросы безопасности людей. Практически все аспекты нашей деятельности теперь прочно связаны с цифровой средой.

Таким образом, применительно к кибербезопасности понятие «отрасль» оказывается слишком ограничивающим. Теперь это важнейший элемент нашего образа жизни, а не то, что можно легко от него отделить. В отличие от информационной безопасности, которую в прошлом иногда рассматривали как ИТ-дисциплину, кибербезопасность — не просто набор конкретных навыков и практик, а нечто более концептуальное.