Про процессы и людей глазами очевидца

Снова #ПроИБ.
Начало. Продолжение.
И окончание.

Как раз вчера Минцифра анонсировало подготовку законопроекта по оборотным штрафам. Интересно будет посмотреть, но пока мой прогноз пессимистичен.

Итак, еще аргументы, почему ужесточение — «ну такое себе».

6. В стране недостаток компетенций у ИТ-специалистов по информационной безопасности

В Кловери мы собрали данные об уровне компетенций тысяч разработчиков. В том числе в части информ.безопасности. Общий вывод: даже у опытных разработчиков эта компетенция невысока. Я работал в ВК, был техническим директором небанковской кредитной организации Деньги.Мэйл.Ру. Могу сказать, что даже среди моей команды высокая квалификация по информационной безопасности была далеко не у всех разработчиков.

В стране гигантский дефицит ИТ-кадров, способных выстроить устойчивую к атакам на ПнД инфраструктуру. У нас сотни тысяч организаций, работающих с ПнД (наличие гендиректора — уже работа с ПнД). И лишь тысячи квалифицированных специалистов в ИБ и охране ПнД. Этот разрыв не компенсировать за годы.

7. Высокая стоимость построения информационной инфраструктуры, устойчивой к утечкам ПнД.

Помимо дефицита ИТ-оборудования, вызванного нехваткой чипов и санкциями, достаточно дорого для компаний будут стоить работы по построению безопасной инфраструктуры. Для большинства МСП это является экономически неэффективным. И ИБ-услуги станут только дороже. Как я писал выше, в стране дикая нехватка специалистов в ИБ. Высокий спрос на построение защищенной инфраструктуры при низком предложении решений приведет к значительному росту стоимости таких работ, что сделает еще более невыгодной работу организаций. И в последствии может привести к прекращению деятельности из-за высоких рисков.

Я мог бы еще долго на эту тему писать, но думаю, общий смысл понятен: непродуманные меры по ужесточению ответственности могут сильно навредить экономике страны без существенного изменения ситуации.

Если действительно есть цель изменить ситуацию, а не просто обложить дополнительными штрафами бизнес, лучше разработать комплекс мер, которые влияют на причины того, о чем я написал выше.

1. Ужесточить ответственность за использование ПнД, полученных без согласия владельца.
Пользуешься слитой базой для любых целей кроме ознакомительных — заплати % от оборота и уничтожь данные.

2. Вложиться на государственном уровне в развитие ИБ-грамотности населения, начиная со школы.

3. Вложиться на государственном уровне в развитие ИБ-грамотности разработчиков (например, субсидировать курсы повышения квалификации). Именно вложиться, а не имитировать. На сайте МинЦифры «Цифровые профессии» по ИБ всего 2% курсов. Зато по программированию — половина.

Есть и другие меры, в т.ч. организационно-технические. Но толку-то... Шадаев меня не читает.

Посмотрим, что приготовит МинЦифра.

www.tg-me.com/us/Про процессы и людей глазами очевидца/com.cloveri/240

819 viewsSep 29, 2022 at 07:10

Снова #ПроИБ.
Начало. Продолжение.
И окончание.

Как раз вчера Минцифра анонсировало подготовку законопроекта по оборотным штрафам. Интересно будет посмотреть, но пока мой прогноз пессимистичен.

Итак, еще аргументы, почему ужесточение — «ну такое себе».

6. В стране недостаток компетенций у ИТ-специалистов по информационной безопасности

В Кловери мы собрали данные об уровне компетенций тысяч разработчиков. В том числе в части информ.безопасности. Общий вывод: даже у опытных разработчиков эта компетенция невысока. Я работал в ВК, был техническим директором небанковской кредитной организации Деньги.Мэйл.Ру. Могу сказать, что даже среди моей команды высокая квалификация по информационной безопасности была далеко не у всех разработчиков.

В стране гигантский дефицит ИТ-кадров, способных выстроить устойчивую к атакам на ПнД инфраструктуру. У нас сотни тысяч организаций, работающих с ПнД (наличие гендиректора — уже работа с ПнД). И лишь тысячи квалифицированных специалистов в ИБ и охране ПнД. Этот разрыв не компенсировать за годы.

7. Высокая стоимость построения информационной инфраструктуры, устойчивой к утечкам ПнД.

Помимо дефицита ИТ-оборудования, вызванного нехваткой чипов и санкциями, достаточно дорого для компаний будут стоить работы по построению безопасной инфраструктуры. Для большинства МСП это является экономически неэффективным. И ИБ-услуги станут только дороже. Как я писал выше, в стране дикая нехватка специалистов в ИБ. Высокий спрос на построение защищенной инфраструктуры при низком предложении решений приведет к значительному росту стоимости таких работ, что сделает еще более невыгодной работу организаций. И в последствии может привести к прекращению деятельности из-за высоких рисков.

Я мог бы еще долго на эту тему писать, но думаю, общий смысл понятен: непродуманные меры по ужесточению ответственности могут сильно навредить экономике страны без существенного изменения ситуации.

Если действительно есть цель изменить ситуацию, а не просто обложить дополнительными штрафами бизнес, лучше разработать комплекс мер, которые влияют на причины того, о чем я написал выше.

1. Ужесточить ответственность за использование ПнД, полученных без согласия владельца.
Пользуешься слитой базой для любых целей кроме ознакомительных — заплати % от оборота и уничтожь данные.

2. Вложиться на государственном уровне в развитие ИБ-грамотности населения, начиная со школы.

3. Вложиться на государственном уровне в развитие ИБ-грамотности разработчиков (например, субсидировать курсы повышения квалификации). Именно вложиться, а не имитировать. На сайте МинЦифры «Цифровые профессии» по ИБ всего 2% курсов. Зато по программированию — половина.

Есть и другие меры, в т.ч. организационно-технические. Но толку-то... Шадаев меня не читает.

Посмотрим, что приготовит МинЦифра.

BY Про процессы и людей глазами очевидца