Эмоциональное выгорание работников служб ИБ или Дефейс* профессии

Хоть плачь, хоть смейся — всё едино:

Ошибочен программный код,

Хромает всюду дисциплина,

Сайт поломают, рухнет ЦОД

*Дефейс (англ. deface — уродовать, искажать) — тип хакерской атаки, при которой страница веб-сайта заменяется на другую (обычно это главная страница, а доступ ко всему остальному сайту блокируется или же прежнее содержимое сайта вовсе удаляется) — это может быть реклама, предупреждение, угроза, и т. д.

Disclaimer: В контексте данной статьи термин “дефейс” следует рассматривать как предупреждение и не более того. Автор не имел намерения очернить профессию безопасника в сфере информационной безопасности или принизить значимость профессии.

В последнее время в некоторых СМИ - как западных, так и российских – стали мелькать материалы про тенденцию в сфере информационной безопасности, связанную с “синдромом эмоционального выгорания у сотрудников ИБ-отделов” в компаниях. Попробуем порассуждать, имеются ли под этими “новостями” какие-либо основания.

Как специалист, находящийся внутри данного процесса, могу подтвердить эту тенденцию, исходя из того количества руководителей служб ИБ, которые вышли на рынок труда в поисках работы в 2017-18-19 годах, проработав на своих должностях (что важно!) 5-7, а то и более лет. Также несколько моих знакомых поменяли работу в ИБ в кредитно-финансовой сфере на другие отрасли: ушли в страховые, промышленные или нефтедобывающие компании или компании, непосредственно занимающиеся компьютерной безопасностью.

Новость дня

Исследователи Голдсмитского колледжа, Лондонского университета и компании Symantec опросили порядка 3 тыс. руководителей ИБ-отделов в Великобритании, Франции и Германии и обнаружили, что из-за постоянно усиливающегося давления 64% ИБ-экспертов хотят сменить работу, а 63% - профессию.

Профессия ИБ-безопасника (буду говорить от имени того специалиста, который мне ближе -  банковского ИБ-шника) стала токсичной

В процитированной выше новости сообщается, что руководители ИБ-отделов уходят из компаний из-за “постоянно усиливающегося давления”. Что под этим понимать? Регуляторное давление? В какой-то степени – да. Например, появились важные законодательные акты: в Европе – Общий регламент ЕС по защите данных GDPR, в России - 187-ФЗ “О безопасности КИИ РФ”, в финансовом секторе – ГОСТ Р 57580.1-2017, различные Положения Банка России, обильно выходящие в 2018-19 годах.

Но это объяснение, которое лежит на поверхности. А если копнуть глубже – всё намного сложнее и печальнее.

Возьму на себя смелость утверждать, что основная причина увольнений руководителей (и не только!) ИБ-отделов (далее по тексту - безопасников) – это высокая степень неопределенности как нахождения в профессии защитника компании от киберугроз, так и в целом, в сфере информационной безопасности при условии, если ты головой отвечаешь за результат.

Я имею в виду следующее. Надо отдавать себе отчет в том, что ни область деятельности – информационная безопасность, ни надежная профессия в информационной безопасности не могут быть основаны на косяках, ошибках и уязвимостях:

- на технических ошибках производителей ПО, используемого в автоматизированных системах и цифровых каналах;

- на приложениях и протоколах связи, имеющих множество уязвимых мест;

- на оборудовании, которое уязвимо к взлому или краху.

В результате, кроме плохо сконфигурированных сетей, не работающих средств защиты и минимальных инвестиций в кибербезопасность, мы имеем в компаниях и на предприятиях информационную инфраструктуру, перегруженную потенциальными уязвимостями, то есть, скрытыми рисками.

В условиях цифровизации бизнеса все проблематичнее для ИБ-отделов в компаниях становится поддержание способности компании надежно функционировать, вопреки нескончаемому потоку обнаруживаемым производителями ПО и оборудования уязвимостям, а также помех со стороны нарушителей, пытающихся нанести вред компании с использованием этих или новых ошибок и уязвимостей.

Устойчивость любой организации к разного рода опасным воздействиям зависит в равной степени как от руководства и персонала, так и от технологий и технических средств, применяемых в этих организациях.

Но головой за киберустойчивость компании всегда отвечает руководитель службы ИБ. Когда компанию взломают с нанесением ущерба, безопасника выставляют за дверь, назначив “крайним” за инцидент – не смог убедить руководство в наличии реальных внешних угроз и уязвимостях собственной ИТ-инфраструктуры.

Как защищать то, что порой невозможно защитить?

Причиной взломов компаний, как правило, считают человеческий фактор: неосторожность, глупость, незнание, корысть. Из этого убеждения следует вывод: если найти противоядие от человеческого фактора, то взломов и ущерба не будет в принципе. То есть, в будущем при повсеместной автоматизации взломов не будет?

Не всё так просто.

К сожалению, пока не получается создавать автоматизированные системы, полностью защищенные от человеческого вмешательства. А те системы, которые уже работают сейчас и в которых человеческий фактор сведен, казалось бы, к минимуму - уязвимы из-за своих размеров, сложности применяемых технологий и необходимости постоянных обновлений этих систем, то есть внесения изменений.

Пока негативные процессы в киберпространстве идут по нарастающей.

Размер ущерба от кибератак на компании уже считается в масштабах национальной экономики.

Современное ПО создается зачастую в спешке и без надлежащего тестирования.

Чем больше увеличиваем автоматизацию процессов, тем больше появляется уязвимостей, которые оперативно не обнаруживаются и не закрываются.

Атакующие становятся грамотнее и лучше подготовленными к преодолению современных средств защиты.

Напрашивается вывод: абсолютная неуязвимость недостижима.

Возвращаемся к роли безопасника в компании, отвечающего за эту самую треклятую неуязвимость.

Регуляторное давление последних лет, конечно же, увеличило нагрузку на безопасников, но это должно быть им только на руку. Во-первых, помогает аргументировано донести до бизнеса требования по безопасности, обосновать бюджет на ИБ, управлять жизненным циклом как ПО, так и инфраструктуры, которые рано или поздно устаревают и нуждаются в замене. Во-вторых, когда все прописано в нормативных документах, проще планировать свою работу.

Когда чей-то косяк - это обыденность, руководство “не в теме”, а бюджет на ИБ определяет взломщик

Также следует допустить, что в некоторых компаниях миссия защитника от киберугроз в принципе невыполнима. Например, в случае, когда на вас возложена ответственность в обеспечении защищенности информационной инфраструктуры, к созданию которой вы не имеете никакого отношения, а ваши предложения по внесению инфраструктурных изменений игнорируются. Когда в компании не выделяется требуемый бюджет на цели ИБ.

Что делать безопаснику в таком случае? Класть свою голову на заклание? Если бизнес не испытывает потребности в информационной безопасности (или эта потребность – для галочки), то может и голову морочить своим присутствием в компании безопаснику никому не надо.

Считаю, что, в основном, поэтому, в условиях повышенного спроса на профессию, многим безопасникам проще поменять работу, чем биться головой о стену непонимания со стороны руководства компании, рискуя собственной репутацией.

Это и есть тот процент безопасников, которые в последнее время активно ищут и находят компании, где их поймут и прислушаются к рекомендациям по соблюдению требований информационной безопасности.