Продавцы страхов – чем современные ИБ-компании/интеграторы похожи на АНБ (и почему это плохо)
Для любого бизнеса, связанного с управлением рисками (а ИБ это классика операционных рисков) рано или поздно становится характерно такое явление, как «торговля страхами», то есть попытка напугать клиента достаточно сильно, чтобы он от испуга заплатил. Это не хорошо и не плохо, это данность. К слову, индустрия не первая – гораздо раньше ИБ торговать страхами начали медики и страховщики. Так вот.
По большому счету, современный рынок ИБ продает своим клиентам в первую очередь не то, что им клиенту надо – а то, что клиенту очень хочется продать. Берем простой пример: вот есть клиент, типичный крупный бизнес с цепочкой складов размером с футбольное поле и выручкой в пару десятков миллиардов. Клиент заказывает аудит, и этот аудит делается неплохо. В начале отчета адекватно оценены риски и указано, что риск утечек для клиента - далеко не ключевой, а риски непрерывности бизнеса гораздо важнее.
А что в рекомендациях? Там мы видим шикарное: автор отчета пишет полностью противоречит своей оценке в начале, и пишет что нужнее всего нашему клиенту DLP-система! Напоминаю, речь о производственной компании со своей логистикой, которой критична непрерывность и у которой куча торчащей в сеть инфраструктуры. Круто, да? Вот их IT-департамент тоже офигел с таких заходов. Зато сразу стало понятно, что у автора отчета наверняка есть варианты с DLP – системами, а то, что клиенту она нужна как козе балалайка, ну да кого это волнует?
Кстати, один из самых красивых исторических примеров продажи страхов когда-то давно исполнило АНБ. В 2008 году на изолированных от сети Интернет компьютерах базы Форт-Мид обнаружился червь Agent.bzt, предположительно «занесенный» с Ближнего Востока доверчивым сотрудником на флешке. Запущенная сутками позже операция «Американская картечь» (Operation Buckshot Yankee) в итоге привела к созданию Киберкомандования США (USCYBERCOM), возглавляемого лично директором АНБ, а не военными. А обнаружение каждого следующего вируса приводило к новой масштабной операции и новыми привилегиями для агентства. Фактически, АНБ полностью захватило власть в силовом блоке.
Комизм ситуации в том, что по современным меркам Agent.bzt не представлял особой угрозы! Он не мог функционировать в изолированных сетях и даже близко не похож на оружие кибершпионажа. Вот только все это не помешало АНБ на столько напугать своего «клиента», что тот заплатил несколько десятков миллиардов долларов на защиту от возможной угрозы без какого-либо понимания ее реальности. Более того, припоминая этот "важнейший инцидент", АНБ добилось лично у президента Буша колоссального расширения собственных полномочий.
По большому счету, многие современные ИБ-компании делают то же самое. Мы против подобного подхода, как бы эффективен он не был.
Для любого бизнеса, связанного с управлением рисками (а ИБ это классика операционных рисков) рано или поздно становится характерно такое явление, как «торговля страхами», то есть попытка напугать клиента достаточно сильно, чтобы он от испуга заплатил. Это не хорошо и не плохо, это данность. К слову, индустрия не первая – гораздо раньше ИБ торговать страхами начали медики и страховщики. Так вот.
По большому счету, современный рынок ИБ продает своим клиентам в первую очередь не то, что им клиенту надо – а то, что клиенту очень хочется продать. Берем простой пример: вот есть клиент, типичный крупный бизнес с цепочкой складов размером с футбольное поле и выручкой в пару десятков миллиардов. Клиент заказывает аудит, и этот аудит делается неплохо. В начале отчета адекватно оценены риски и указано, что риск утечек для клиента - далеко не ключевой, а риски непрерывности бизнеса гораздо важнее.
А что в рекомендациях? Там мы видим шикарное: автор отчета пишет полностью противоречит своей оценке в начале, и пишет что нужнее всего нашему клиенту DLP-система! Напоминаю, речь о производственной компании со своей логистикой, которой критична непрерывность и у которой куча торчащей в сеть инфраструктуры. Круто, да? Вот их IT-департамент тоже офигел с таких заходов. Зато сразу стало понятно, что у автора отчета наверняка есть варианты с DLP – системами, а то, что клиенту она нужна как козе балалайка, ну да кого это волнует?
Кстати, один из самых красивых исторических примеров продажи страхов когда-то давно исполнило АНБ. В 2008 году на изолированных от сети Интернет компьютерах базы Форт-Мид обнаружился червь Agent.bzt, предположительно «занесенный» с Ближнего Востока доверчивым сотрудником на флешке. Запущенная сутками позже операция «Американская картечь» (Operation Buckshot Yankee) в итоге привела к созданию Киберкомандования США (USCYBERCOM), возглавляемого лично директором АНБ, а не военными. А обнаружение каждого следующего вируса приводило к новой масштабной операции и новыми привилегиями для агентства. Фактически, АНБ полностью захватило власть в силовом блоке.
Комизм ситуации в том, что по современным меркам Agent.bzt не представлял особой угрозы! Он не мог функционировать в изолированных сетях и даже близко не похож на оружие кибершпионажа. Вот только все это не помешало АНБ на столько напугать своего «клиента», что тот заплатил несколько десятков миллиардов долларов на защиту от возможной угрозы без какого-либо понимания ее реальности. Более того, припоминая этот "важнейший инцидент", АНБ добилось лично у президента Буша колоссального расширения собственных полномочий.
По большому счету, многие современные ИБ-компании делают то же самое. Мы против подобного подхода, как бы эффективен он не был.