Ответ на пост «Банки выступили против нового закона о штрафах за утечки данных»
Давайте я разложу по полочкам всю подковёрную проблематику данного вопроса...
Для ЛЛ: сделать полностью безопасную систему из которой невозможно вытащить важные данные - можно. Сложно, дорого, но можно. Но эта система очень многим руководящим сотрудникам банка будет сильно мешать (по разным причинам). Поэтому всеми силами данный закон будут стараться отменить или как минимум отсрочить.
Глобальная проблема в том, что есть законы 2 типов - целевые и процедурные (своего рода сленг). Целевые законы, это те, которые устанавливают цели (например, КоАП РФ), процедурные - расписывают процедуру (например, ГПК).
Для понимания разницы - в ГПК есть требования к исковому заявлению в суд. Можно написать любую хуйню, но если структура и порядок соблюдены, то суд такое заявление принять обязан. В протиовес этому в КоАП РФ есть статья, где указан штраф за превышение скорости. Каким образом водитель будет добиваться соблюдения скоростного режима законотворца не волнует.
Закон, о котором речь в посте - второго типа т.е. государство не волнует как именно банки будут обеспечивать информационную безопасность, главное - результат. И в этом и есть настоящая проблема...
В своих рассуждениях люди забывают, что нет такой вещи как банк, власть, чиновник и т.д. и т.п.
Есть группа людей, техники, расходных материалов и процессов которые в своей совокупности и дают понятие, в данном случае "банк".
Самая большая проблема в том, что в банках работают люди...
Отмечал несколько раз, что при отказе в кредите (это происходит в нескольких банках), буквально в течении часа прилетает поток звонков от других банков и МФО. Иногда между отказом и первым звонком - секунды. Это значит, что слив персональных данных идёт на уровне ТОП-менеджмента этих самых банков и зашит в банковские приложения. То есть есть два варианта:
Есть менеджер, который продаёт данные конкурентам, есть разработчик, который этот слив написал и есть безопасник / сисадмин, который "прикрывает" канал слива данных.
То же самое, но без менеджера.
Сильно сомневаюсь, что такие вещи делаются бесплатно, а значит есть несколько лиц, которые зарабатывают (и полагаю не 3 копейки) на сливе данных. Очевидно, что эти люди не хотят лишаться дохода и тем более менять крутой московский офис на нары в Магадане. Естественно, такие люди на совещании не скажут - мы тут вашими данными барыжим и хотелось бы не сворачивать, поэтому палки в колёса будут ставить молча, но оптом.
Государство приняло решение о защите ПД. Тут помимо указанной выше "команды" пойдут следующие проблемы:
Как я уже писал выше, закон целевой. Нужен менеджер, который не будет имитировать бурную деятельность, а обеспечит достижение технически сложной цели. Судя по факту выше в штате как минимум части банков (не готов сказать всех) таких нет (почему - ниже).
В нормальной структуре крупной организации руководитель ИБ (который должен запустить закон в действие) входит в высший эшелон управления (прямое подчинение гендиру / совету директоров). Если не так, то это "козёл отпущения типичный". То есть с учётом подлянке из п. 1 в штат нужно ввести "человека с улицы", причём ввести на самый верх. А "люди с улицы" имеют сразу несколько проблем для менеджмента всех уровней:
- они знакомы с ситуацией "внизу", как минимум в качестве клиентов этого банка. Очень дохуя проблем (ради премий среднего и ТОП- менеджмента) на его же уровне "растворяются" и не доходят "наверх" ;
- они не втянуты в политические игры внутри компании, у них нет союзников и врагов т.е. такой специалист относительно независим и договариваться с ним надо будет на его условиях;
- ИБ накладывает очень неудобные профдеформации (там много идейных), которые договариваться или не будут, или "договоряться", но при первом удобном случае сольют;
- по должности ИБшник может нагнуть почти любого, а вот наоборот - почти нереально;
- ИБшник имеет доступ много куда. Рано или поздно сливающие данные сотрудники будут вычислены и тогда их могут сдать гендиру, полиции или посадить на крючок и сделать расходником уже в своих планах;
Короче говоря расклады привычного менеджерского серпентария могут сильно пошатнуться... В банках не работал, точно не скажу, но чую что грехов там немало и шухер будет знатным.
Поставлена цель, начИБ довольно быстро может накидать изменения. Эти изменения будут двух типов - организационные и технические. И оба пункта - проблемы.
Организационный пункт - нужно провести инвентаризацию процессов, внести изменения, обучить работать по новому, обеспечить исполнение новых регламентов. Каждый подпункт - проблема:
- много не формализованных процессов, а из формализованных очень много "через жопу". И всё это г-но всплывёт вверх;
- начИБ может указать точку проблемы и суть проблемы, а вот решение и как его встроить - задача руководителя, который отвечает за участок. ВНЕЗАПНО окажется, что довольно много управленцев - идиоты и не факт, что обойдётся без кадровых решений;
- процессы обучения и переквалификации, как и другие целевые вопросы, это одна из больных тем менеджмента, ибо ими управлять нужен отдельный навык;
- поскольку процессы изменились, изменяются и процессы управления. Создать или поправить процесс, это совсем не то, что по инерции поддерживать кем-то построенное ранее процесс. Это принципиально разные вещи. "Новый" банк вполне может стать неуправляемым.
Можно сказать, что раньше менеджер ездил на Лексусе, а теперь его пересаживают на БМП-3...
Технический пункт. Приложение и безопасное приложение, это ОЧЕНЬ разные приложения. Кто читает компьютерную литературу, тот возможно замечал, что безопасности там внимание практически не уделяется. А про обеспечение абсолютной безопасности вопросы поднимаются реже, чем жемчужины на берегу встречаются. Более того, очень много "общепринятых правил" прямо конфликтуют с высокими уровнями ИБ.
Грубо говоря "обычный программист" учился делать обычные мерседесы, а тут приходят и ставят задачу, что вот это вот нужно переделать так, чтобы в лоб РПГ-7 держал... Общего между А и Б примерно столько же, сколько между тем же мерседесом и Т-90, а у них - лапки.
Обычных разработчиков и так мало, а разработчиков с прокачанным "ИБ феншуем" можно сказать, что и нет совсем... Потому что по настоящему безопасный код зачастую "настоящими программистами" считается говнокодом.
После всего этого окажется ещё один страшный для менеджмента момент. Безопасность, это долго. До 5 - 8 раз. То есть если "как получится" 1 фишка в неделю на программиста, то при работе с защищаемыми данными (а там почти все такие) будет 1 фишка в 5 - 8 недель на программиста.
Короче говоря задача "сделайте так, чтобы данные банков были защищены" для планктона в отделениях обернется переобучением, а для всех кто выше в иерархии и связан с ИТ - геммороем, возможными анальными карами и необходимостью думать.
В банках (имеется ввиду уровень интересов сотрудников) защищать данные клиентов не интересно никому, следовательно этому процессу будут вставлять палки в колёса (кстати, то же самое происходило и с импортозамещением. На бумаге - импортозаместились, по факту ЕС и США заменили на Китай).
Почему я в этом уверен? Потому что банкиры сами это признали:
Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн руб. «Вызывает обоснованные сомнения тезис о том, что уплата столь значительных штрафов может заставить компании наращивать инвестиции в информационную безопасность (ИБ), поскольку все последние годы расходы на ИБ и без того растут на десятки процентов ежегодно. Напротив, при введении административной ответственности даже просто в силу самого факта утечки персональных данных при отсутствии вины компании ее средства будут уходить на уплату оборотных штрафов, а не на развитие ИБ. Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — говорится в письме НСФР.
То есть представители банков в открытую говорят, что данные будут утекать и утекать многократно (возмущены частью с ПОВТОРНЫМИ утечками), вопросы ИБ рассматриваются только как финансовые (формулировка "инвестиции в ИБ", следовательно вариант замены идиотов на квалифицированных специалистов не рассматриваются), все действия делаются и будут делаться только формально (фраза "при отсутствии вины компании"), на обеспечение результата никто работать и не думает (фраза "предотвратить ... добросовестными действиями")...
И одновременно это - завуалированное предложение всё так и оставить. Мы делаем вид, что защищаем данные клиентов, вы делаете вид что данные клиентов защищены. А мошенничества с данными клиентов - это проблемы самих клиентов...
Уровень управленцев, которые это подписали неприятно поражает. Фразу выше можно переписать как: "Руководство и ТОП-менеджмент нашего банка некомпетентны в ключевых вопросах (а для банка надёжность - один из ключевых показателей), но зарплаты нам нравятся, поэтому мы хотим чтобы завтра было как вчера и ничего не менялось".
P.S. Если будет интересно, то могу коротко написать чем системы с ориентированием на безопасность отличаются от "обычных".