Сразу скажу, что кибербезопасностью всё не так уж и плохо. Но нынешняя spez-operazionnaya обстановка заставляет обратить пристальное внимание на этот вопрос. Лучше заранее проверить слабые места на наличие проблем, чем потом осуждающе вытряхивать из государственных штанов последствия ошибки.

Меня в комментариях к недавнему посту (извиняюсь за ссылку на Дзен-канал) спросили, сколько же тратят на VPN западные госкомпании? Я начал искать и не нашёл ответа. Пришлось побеседовать со знакомыми безопасниками, которые много удивительного рассказали. Далеко не всё понял, но как получилось запомнить и записать, передаю вам. Думаю, тут на Пикабу много специалистов, поэтому ваше мнение, дополнения и критику будет важно услышать в комментариях.

Что такое VPN? Virtual private network - виртуальная частная сеть. Проще говоря - это возможность безопасно обмениваться информацией, не выкладывая её куда-то в общий доступ. Например, если сотрудник сидит на удалёнке у себя дома и ему нужно подключиться к облачному сервису, который находится на серверах компании.

Важно! VPN НЕ гарантирует полную безопасность. Он лишь защищает передачу данных, но можно, например, взломать компьютер пользователя, который сидит дома на удалёнке, и через него воспользоваться внутренними ресурсами компании.

Почти весь мир пользуется либо VPN решениями от топ-4 брендов: Cisco, CheckPoint, Fortigate, Palo Alto. Либо это облачные VPN IPSEC (Azure, AWS, GKS), либо это в принципе какой-нибудь опенсорс на базе OpenVPN. Наши коммерческие организации тоже отдают предпочтение вышеперечисленным вариантам. Интересно, почему?

Российское правительство, как всегда, идёт своим путём. У нас есть свои скрепные "Континент" и ViPNet. Они точно так же сделаны на базе Линукса и Опенвпн, только в качестве шифрования используют ГОСТовый алгоритм. И, конечно же, сертифицированы через ФСБ (точнее, через специальные центры, которые следуют протоколам спецслужбистов).

Ни один западный сервис для работы с российскими госслужбами не сертифицирован. ФСБ, очевидно, не хочет показывать западным компаниям ключевой элемент криптографии, которому должны проктолы ВПН соответствовать - таблицу подстановки. Западные компании не хотят раскрывать свои внутренние алгоритмы и протоколы. Поэтому все полтора-два миллиарда, которые расходуются на защиту коммуникаций госучреждений, уходят в две-три российские конторы.

А как в западных странах? Я нашёл много коммерческих предложений VPN for government, но никаких больших централизованных закупок. Возможно, конечно, я не знаю, где искать в англоязычных источниках такую информацию.

Но из общения с безопасниками и просмотру офферов у меня сложилось впечатление, что каждая госструктура в западных странах сама выбирает себе поставщика VPN, исходя из рекомендаций (это важно!) и своих представлениях о необходимом уровне защищённости.

При этом западные VPN-сервисы не должны сертифицироваться у конкретных спецслужбистов. Они регулируются своей деловой репутацией, оценкой профессиональной среды, стандартами ассоциаций, проверками коммерческих центров и саморегулируемых организаций и (еще раз) рекомендациями от спецслужб о необходимых элементах защиты.

Очевидно, что монолизация рынка приводит к ухудшению качества и увеличению цены. Так же понятно, что единое простое решение может быть более защищенным, чем зоопарк из различного софта. Так какой подход лучше? Тут мы подходим к ключевой проблеме, которую я обозначил ранее.

VPN закрывает только малую долю проблем безопасности. В России, к сожалению, вся инфраструктура безопасности дырявая, непатченые сервисы, нет проверки исходных кодов, контролеры доменов и политики не настроены, операционные системы работают по дефолту в большинстве организаций и прочее, прочее, прочее.

Причина этого - бумажная безопасность важнее, чем реальная. Любая госструктура озабочена только тем, чтобы соответствовать протоколам и проверкам, которые им централизовано назначают их соответствующих служб. Но качество этих стандартов безопасности крайне низкое.

Кто идёт на работу в айти-безопасность госструктуры? Зарплата... 30, ну 40 тысяч. Если станешь начальником, то 50-60к. Квалифицированный специалист в коммерческой фирме за такие деньги даже задницу себе чесать не будет.

А теперь добавим еще кривое распределение ответственности. Если ты, работая безопасником в госструктуре, предложишь какое-то новое и качественное решение, то на тебя ополчатся там все. «Зачем суетишься, нагнетаешь, создаёшь всем сложности, если приказа не было? Вот бумажка сверху придёт, тогда и будешь работать!» Но если что-то произойдет, то безопасника оштрафуют, хотя он мб и предлагал заранее решение.

Не нужно идеализировать Запад. Там в госструктурах похожая ситуация, но из-за того, что в целом рынок больше, богачее, менее централизован и с большим числом внутрипрофессиональных связей, то среднее качество там выше. Хотя всё равно безопасность страдает.

Что мы получаем в российских госструктурах? Плохие специалисты работают по плохим протоколам, повторяя как обезьянки решения интеграторов, закупая не самый лучший софт у монопольных поставщиков, главная задача которого - соблюдение требований бумажной, а не реальной безопасности.

Но тут нам помогает проверенность и простота решений, которые сейчас внедрены. Плюс запуганность сотрудников госслужб, которые боятся сделать шаг вправо-влево. Я не могу оценить, насколько сильно сейчас подвергаются атаке наши государственные сервисы, но то, что «Госуслуги» стабильно работают, показывает, что пусть дорого, частенько топорно, но защитить цифровую часть государства получается.

Разумеется, это прям очень краткий обзор крайне большой и важной проблемы - при централизации управления критичным становится качество менеджмента на вершине иерархии. Но при этом любая организация (включая государственное управление) достигает стадии бюрократизации, когда бумаги становятся важнее реальных дел.

Выхода из этого всего два - либо постепенная смерть организации, либо эволюция, когда происходит уничтожение части бюрократии и «аристократии» внутри организации, повышение децентрализации управления и принятие нового вызова для развития.

А что вы думаете об этом? Как вы видите дальнейшее развитие бюрократической иерархии? Есть ли другие сценарии? Поделитесь в комментариях!

Данная статья относится к Категории: Подражание известным решениям

«Древнейшие учёные, свидетельствует Светоний, которые в то же время были поэтами и наполовину греками, которые, как известно, учили в Риме и на родине на обоих языках, только переводили греков или же читали публично собственные латинские сочинения.

Первым ввёл в Риме изучение грамматики Кратес из Малла. Он был знаменит в Риме тем, что устраивал беседы, без устали рассуждая, и этим подал образец для подражания.

Подражание состояло в том, что хорошие, но ещё мало известные стихи, написанные или умершими друзьями, или ещё кем-нибудь, тщательно обрабатывались и в результате чтений и толкований становились известными всеми. Обычай закрепил за грамматиками греческое название; первоначально же они назывались «литератами».

Различие между «литератом» и «литератором», «грамматом» и «учёным» было вполне очевидным. Например, тот, кто знал науку кое-как, а не в совершенстве, обычно назывался «литератом». «Учёным», «литератором» называли тех, кто умел изящно, тонко и толково говорить и писать, но собственно так именовали и толкователей поэтов, которых греки называли грамматиками.

С этого момента фактически начинает складываться предметная область античной герменевтики. На ранних стадиях её развития основное значение имеет не текст, а устное слово. Именно в устном слове человек соприкасается с живым одушевлённым собеседником; он беседует, рассуждает, задает вопросы, убеждает собеседника, реализуя собственную свободу. Отсюда - особое внимание к развитию голоса и речи как необходимая составляющая в постоянном стремлении совершенствовать и облагораживать тело (столь характерное для культуры античности), а также стремление совершенствовать технику убеждения. Отсюда же - образ мудреца, беседующего с внимающими ему учениками; и первые опыты систематического изложения знания в форме диалога.

Итак, можно утверждать, что античная герменевтика формировалась, изначально ориентируясь на понимание принципов истолкования устного слова, на понимание необходимости пользоваться собственным голосом и речью и так уметь её составлять, чтобы каждая мысль имела точный смысл, соответствующий той основной идеи, ради которой эта речь была составлена. Толковать поэтов - особая задача. Цель грамотного толкования сводится к тому, чтобы понимать автора лучше, чем он понимал себя сам.

Другими словами, в отличие от истолкования отдельной мысли (высказывания) прорицания, где важно было передать смысл пророчества, не искажая его адресное (ситуационно обусловленное) предназначение, в истолковании «поэтов» важно было сконцентрировать внимание на передачи основной идеи литературного произведения. Трудность получения правильного понимания в этом случае состоит в том, что гипотетическая множественность и многозначность понимания (истолкования) может содержаться в самом тексте произведении. Понимание и истолкование основного замысла литературного произведения, а также перемещение акцента на исследование скрытых сторон творческого процесса, который, кстати, мог и не осознаваться самим поэтом, всегда дает шанс для интерпретатора постичь уроки творческого процесса в его чистом виде. Такая внутренняя сосредоточенность на творческой стороне «сочинительства» показательна, поскольку уже не основной замысел или отдельная идея произведения оказывается в фокусе внимания исследователя, а попытка понять творчество изнутри. Эта двоякого рода задача, которую ставит перед собой герме-невтик, как раз и подтверждает мысль о том, что истолкователь всегда стремится понимать автора лучше, чем сам он понимал себя.

Конечно, на характер истолкования огромное влияние оказывал субъективный фактор: личность самого интерпретатора, его талант или его аналитические способности, его знание языка и знакомство с культурным фоном интерпретируемого произведения, а также место и время (страна, эпоха, традиции). Всё это вместе не могло не отразиться на той оценке, которую получало литературное произведение в данной интерпретации. Гипотетически число такого рода истолкований прямо пропорционально числу литературных произведений, ценность которых не умалялась во времени, но исторически возрастала, составляя литературное и культурное наследие эпохи. Поэтому как сами оригиналы, так и всевозможные их комментарии также попадали в поле зрения истолкователей и исследователей - герменевтиков.

Вместе с интересом к исследованию литературных произведений систематичность такого рода исследовательской работы стимулировала деятельность по выявлению особых правил и методов интерпретации. Практический интерес к профессиональной деятельности такого рода был связан с распространением (миграцией) и ростом знания, а потребность в достижении общезначимости в понимании тех или иных сторон (аспектов) знания во многом определяла успешность тех, кто занимался распространением (и приращением нового) знания: философы, поэты, учителя, воспитатели, переводчики, политики».

Шульц Е.Н., Когнитивная герменевтика, М., ИФ РАН, 2002 г., с. 55-56.

Источник — портал VIKENT.RU

Дополнительные материалы

+ Плейлист из 9-ти видео:

ОЦЕНКА ИНТЕЛЛЕКТУАЛЬНЫХ ПРОДУКТОВ

+ Ваши дополнительные возможности:

Идёт приём Ваших новых вопросов по более чем 400-м направлениям творческой деятельности – на онлайн-консультацию третье воскресенье каждого месяца в 19:59 (мск). Это принципиально бесплатный формат.

Задать вопросы Вы свободно можете здесь: https://vikent.ru/w0/

Изображения в статье

Изображение Rigby40 с сайта Pixabay

Изображение Marta Carrassi с сайта Pixabay