Мир информационной безопасности манит своей романтикой: борьба со злом, защита данных, хакерские трюки. Но за ширмой героических будней скрывается изнурительная работа, горы рутины и постоянный стресс. Эта статья — не хвалебная ода профессии, а откровенный разговор о ее темной стороне.
Возможно, в комментариях напишут «Не надо обобщать, у меня все не так» — это правда, многое зависит от конкретной компании или специализации. Но в ИБ есть общие «болячки», о которых нельзя молчать.
Ненормированный рабочий график
Как-то так получается, что в информационной безопасности, в отличие от, например, разработки, нет «спринтов» и гибкого Agile — новый указ регулятора или обнаруженная атака могут заставить действовать здесь и сейчас, даже если на дворе глубокая ночь.
Работа безопасника — довольно утомительная и может плохо сказаться на вас, вашей семье и ваших отношениях с друзьями. Скорее всего, вы будете на связи 24 часа в сутки, 365 дней в году, особенно в небольших компаниях. Будьте готовы отвечать на звонки в отпуске. Это часть работы, многих устраивает такое положение дел, но это не означает, что нужно игнорировать этот факт.
Частое отсутствие информации и «кейсов»
В силу специфики работы в ИБ зачастую приходится решать нетривиальные задачи. Например, кроме вас, никто не внедрял новое средство защиты информации на конкретно вашем объекте — вам придется разбираться в этом самостоятельно. Даже без видео индусов на ютубе. Даже без Stack Overflow.
Конечно, многие нетривиальные задачи могут разбиваться на мелкие и тривиальные, но даже если задача кажется тривиальной, часто бывает непросто определить причину проблемы или предсказать возможные последствия своих действий. В итоге безопасники вынуждены самостоятельно искать решения, что требует не только технических знаний, но и навыков анализа и принятия решений в условиях неопределенности.
Проблемы никогда не заканчиваются. А еще — большая часть из них не очень-то интересная
Работа в сфере безопасности никогда не заканчивается. Всегда найдется еще одна уязвимость, которую нужно оценить, еще один эксплойт, который нужно обнаружить и от которого нужно защититься. Но это еще полбеды. Большое количество задач в ИБ не очень похожи на кино про хакеров.
Обеспечение соответствия требованиям — одна из многих неинтересных задач, с которыми вам придется работать, если вы станете специалистом по информационной безопасности. Повседневная работа большинства специалистов по информационной безопасности связана с созданием систем, соответствующих нормам безопасности, проверкой соответствия или устранением проблем, которые могут привести к тому, что организации, которые они защищают, перестанут соответствовать требованиям.
Огромное количество регуляторов и нормативных актов
В области информационной безопасности три главных регулятора: Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Уже немало, а если посмотреть список нормативно-правовых актов, то становится еще понятнее, почему в этой статье есть такой пункт:
Безопасность объектов критической информационной инфраструктуры (закон «О безопасности критической информационной инфраструктуры РФ» №187-ФЗ);
Информационная безопасность финансовых организаций (ГОСТ Р 57580, СТО БР ИББС 1.0);
Защиты прав и свобод личности при обработке персональных данных (закон «О персональных данных» №152-ФЗ, ПП РФ №1119, Приказ №21 ФСТЭК);
Коммерческая тайна субъектов предпринимательства (закон «О коммерческой тайне» №98-ФЗ);
Безопасность государственных информационных ресурсов (закон №149-ФЗ, Приказ №17 ФСТЭК);
Средства шифрования и электронной подписи (закон «О лицензировании отдельных видов деятельности» №99-ФЗ, ПП РФ №313, закон «Об электронной подписи» №63-ФЗ, Приказ ФАПСИ №152, ПКЗ-2005);
Техническая защита конфиденциальной информации (закон «О лицензировании отдельных видов деятельности» №99-ФЗ).
Список неполный, узнать про все законы можно, например, из этой статьи. И все требования нужно соблюдать. Иначе организации грозят большие штрафы. Минус субъективный, возможно, кому-то такое нравится, но зачастую нормативные акты устаревают и не отвечают современным угрозам, а последствия невыполнения бывают похуже штрафов — см. следующий пункт.
Закон не на вашей стороне
Применимо не ко всем направлениям, но да: специалиста по информационной безопасности могут привлечь к уголовной ответственности. В новостях то и дело появляются сообщения об арестах безопасников.
Так, например, был осужден основатель компании по обеспечению кибербезопасности Group-IB Илья Сачков. 26 июля 2023 года его приговорили к 14 годам колонии строгого режима, году ограничения свободы и штрафу в 500 тыс. рублей. Мосгорсуд признал его виновным в госизмене. По данным источников СМИ, следственные органы обладают информацией, что Сачков работал на иностранные спецслужбы и передавал им материалы, составляющие гостайну в области кибербезопасности в России.
Еще один курьезный, но прогремевший случай — история Владимира Жоглика, на которого было заведено уголовное дело за взлом электронного дневника, чтобы исправить оценки. Следствие длилось два года. К счастью, в 2019 году суд снял с юноши все обвинения за неимением состава преступления, а в 2021 году Владимир даже получил компенсацию за моральный ущерб. Но станет ли юный хакер специалистом по информационной безопасности — вопрос открытый.
Такие истории случаются не только в России. В 2019 году проблемы с законом были у Петко Петрова, специалиста в области информационной безопасности из Болгарии. Он обнаружил уязвимость в программном обеспечении, используемом в детских садах Болгарии. Процесс использования уязвимости специалист снял на видео и выложил в Facebook. Петко Петров получил доступ к данным о более 235 тыс. жителей города Стара-Загора (Болгария), в котором проживают более 300 тыс. человек. После публикации специалистом заинтересовалась полиция.
Таких историй множество, а сколько тех, которые не попали в новости, — можно только представить.
Большая ответственность (за все)
Компании не тратят достаточно средств на безопасность, нередко до нее не доходят руки, не хватает денег, нет времени, авось пронесет и т.д. Это приводит к устареванию систем защиты, нехватке квалифицированных специалистов и, как следствие, повышенной уязвимости. Но даже если бюджет есть, вы не всегда сможете его использовать так, как считаете правильным, — из-за бюрократии, согласований или игнорирования предложений.
При этом работа специалистов по безопасности часто остается «невидимой», пока не произойдет инцидент. Зато когда он произойдет — вся ответственность будет переложена на вас, даже если вы не обладали полномочиями для предотвращения инцидента. Ну или если вы указывали на все недостатки и проблемы, но получили ноль поддержки и ресурсов на их устранение.
Постоянное обучение
Это не минус, но определенно сложность — недостаточно один раз что-то узнать или сделать. Даже если однажды вы расследовали инцидент определенного типа, то далеко не факт, что злоумышленники не поменяют тактики и техники или не применят новые инструменты — в таком случае придется «учиться» заново.
Кроме этого, учеба и самообразование — это отдельная работа, нередко неоплачиваемая. Приходится тратить значительную часть времени, энергии, а иногда и денег, чтобы разобраться с новым программным обеспечением, инструментом, подходом или пройти сертификацию. Есть компании, которые вкладываются в обучение сотрудников, но нередко специалисты учатся сами, без поддержки работодателя, просто потому что они интересуются своей сферой и хотят оставаться конкурентоспособными на рынке труда.
Заключение
Повторимся: все написанное выше немного субъективно. С одной стороны, специалисты по ИБ решают сложные задачи, постоянно учатся новому и знают про самые современные технологии. С другой стороны, в работе безопасников много стресса, переработок и ответственности. Но как говорится, думайте сами, решайте сами — какие минусы для вас критичны.
А освоить пентест или комплаенс можно на магистерской программе «Информационная безопасность» от МИФИ и Skillfactory.
Комментарии (37)
DMGarikk
16.04.2024 08:45+28ниразу, никогда, вообще, не видел ИБшника который вообще в курсе что ему реально нужно делать и почему
Зачастую это какието странные люди которые в состоянии только зачитать по бумажке стандартные методы защиты (свиснутые из какогото стандарта по ИБ) и потребовать их срочно внедрить, при этом не понимая не специфики бизнеса, ни трудозатрат, ни бюджетов...я уж молчу про то что надо еще и программистов обучать чтобы они софт писать наконец начали с учетом того что на это все ИБ надо натягивать
Причем блин буквально..внердяли вот IDS...ИБшники приходили ко мне и спрашивали какие логи они будут смотреть и что там вредоносного может быть...блин...я вообще рядовой линейный админ, учу ИБ как им IDS к нам внедрять...прям рукалицо
и бюжеты да, притащили помнится сервер, когда в него направили все логи от коммуникаций и серверов, у него кончились два гигабитных интерфейса и все его 12 процессоров от перегрузки.... и чо...да, сделайте так чтобы работало быстро, ИБ работу свою сделал, это у погромистов чтото не так, чо они жалуются что прод лежит
select26
16.04.2024 08:45ниразу, никогда, вообще, не видел ИБшника который вообще в курсе что ему реально нужно делать и почему
Это просто потому что вы "ниразу, никогда, вообще" не работали в нормальной компании, наверное.
Иногда нужно не только прослыть законопослушным и исполнительным, но и реально защитить и сохранить инфраструктуру.
Бывают очень серьезные, грамотные и интересные люди. Я работаю в компании, которая постоянно под атакой и, как Perimeter Resilience, часто с ними контактирую. У меня очень хорошие впечатления сложились о службе в целом и об организации в частности. Было несколько таких интересных случаев, что можно детектив писать! Прямо готовый сценарий для А. ХейлиDMGarikk
16.04.2024 08:45+11Это просто потому что вы "ниразу, никогда, вообще" не работали в нормальной компании, наверное.
я работал в двух банковских процессингах и крупных (ОЧЕНЬ крупных (не российских) корпорациях и учавствовал во внедрении и потом процессе аудита pci-dss
тут вопрос скорее в том что "нормальных компаний" можно по пальцам одной руки посчитать
У большинства людей, вообще очень странные отношения к ИБ, даже на хабре часто раньше проскакивали в комментах фразы "работодатель должен мне на рабочем компе предоставить админские права и вообще не позволю мониторить то что я там делаю" - эти фразы я горазд чаще слышал чем хотелось бы
Я лично наблюдал тест на проникновение, когда за 40 минут человек в переговорке попадал на сервер AD в офисе. при том что он (человек) не был подключен к корпоративной сети т.е. даже небыло гостевого вайфая. я с тех пор очень параноидально отношусь к настройкам ИБ и вообще к тому как это происходит и почему это важно. и за всё время я ниразу не сталкивался с тем чтобы меня хотябы просто поддерживали в этом стремлении.
Я постоянно вижу какието странные упражнения в стиле "с нас требуют отключить дефолтного админа в системе, ребят, давайте его переименуем в IvanovP...это зам гендира, он нихрена в ИТ не шарит но аудит это устроит что у него учетка с такими правами есть и будем всем отделом под ней ходить"... я блин таких вещей насмотрелся что иногда по ночам вскрикиываю, учитывая в сервисах какого уровня и ответственности они были... это блин не ООО ЦементоБетон где главная ценность список поставщиков с оборотом в 50млн в полугодие, это крупная финансовая корпорация...где целый ИТ отдель придумывает план чтобы неудобные сервисы выкинуть из скоупа ИБ чтобы "не заниматься никому не нужной ерундой" -- и это была точка зрения ВСЕХ чертвозьми сотрудников кто был замешан
Shaman_RSHU
16.04.2024 08:45ИБ в банках - это вообще отдельная тема для разговоров. 99 процентов отчетности, что все хорошо и оформления бумажек. А когда нужно сделать шак влево-вправо, то никто никогда это делать не будет.
DMGarikk
16.04.2024 08:45+1так банк это бабки всетаки живые, во всех остальных сферах все гораздо хуже
меня в одной крупной американской компании где я отустаффом работали, сослали в
бухгалтериюв другой департамент когда я "вероломно" отправил таску на согласование в ИБ и сорвал релиз фичи на двое суток...(вот же гад какой, сказано мне было, никому не говорим что у нас прямой ссылкой документы чужие доступны и все ок все довольны, а он решил безопасников спросить как так..)а контора связана была с неким аналогом недо-ЭДО для США...вроде как бизнес критический сервис для клиентов компании...
Shaman_RSHU
16.04.2024 08:45Несмотря на то, что бабки живые, они хоть застрахованы, да и перед клиентами у банков, как показывает практика, не так много обязательств
DMGarikk
16.04.2024 08:45что бабки живые, они хоть застрахованы,
магические слова такие, кем заcтрахованы? ОСВ чтоли? это когда риск срабатывает все в банке ищут новую работу?
Shaman_RSHU
16.04.2024 08:45+1Риски в банке бывают разными. Например не могу припомнить, когда при сработавшем риске утечки персональных данных сотрудников этого банка всем необходимо было искать работу.
AlexeyK77
16.04.2024 08:45Даже там, где к ИБ относятся серьезно на уровне менеджмента, действительно больше всего приходится бороться с котиками-ИТшниками, которые часто очень высокого о себе мнения и считают что политики ИБ (даже вменяемые, писанные кровью инцидентов) эято не для них. эхх..
Shaman_RSHU
16.04.2024 08:45+1ИТшники - это пол дела, с ними все таки можно договриться. Но ведь ИБ не компьютеры, операционные системы защищает, а информацию и бизнес-процессы. Вот с другими подразделениями действительно серьезные проблемы возникают (особенно с тем, кто считает, что за всю компанию бабки зарабатывает, а все остальные нахлебники).
avelor
16.04.2024 08:45+1Бывают нормальные, я встречал и работал с такими. И когда в лучших заветах «проекта феникс» требования анализировались с точки зрения бизнеса и митигирующих мер, в том числе смежных подразделений, а не «некогда объяснять, обновляй постгрю».
Но так же верно и то, что не каждый бизнес понимает зачем ему иб/кб и как с ними работать, и нанимает или по требованиям регуляторов/инвесторов или «чтоб у нас стало безопасненько».
В итоге сон разума рождает чудовищ, и безов, как бесполезных и/или вредных душнил :(
hastaki
16.04.2024 08:45Очень нравится такое читать,когда прошел путь от админа до ИБ,если у вас иб приходит и что то узнает,значит сами ИБ не квалифицированы.
Могу рассказать как у меня всё наоборот,когда я вместо админов,ставил KSC,потому что у них он "лагает",а так же много другого ПО.Как через shift+пкм можно от другого пользователя запустить приложение,а не входить в систему под ним.И я прекрасно понимаю что мои админы не сильно квалифицированы,потому что молодые+за такие бабки не возьмешь гения.Так же и в Иб может быть,можно взять студента с вышки по иб и он будет ходить и руками разводить,что нужно сделать это и то,как -разбирайтесь сами,я вам тут не админ что бы программы устанавливать и вообще,у меня нет прав.
Насчет иб банковских,скажу так,не так уж и много специалистов,которые нормально разбираются в софте,там больше людей которые на бумажке могут написать что нужно сделать,а не закасав рукава будут делать это сами.
Daniel217D
16.04.2024 08:45+4А есть примеры уголовных дел, заведенных на безопасников, которые похоже на подставные или как минимум где нет явной вины? А то в примерах из статьи госизменщик, школьник-шутник и "публицист" - к ним ко всем вопросы были по делу
Shaman_RSHU
16.04.2024 08:45Скорее всего имеются в виду безопаснисики, которые в КИИ и по Приказу 250. Но в первом случае больше всего привлекают руководителей организаций. Обычно там работают не настоящие безопасники, а пенсионеры "из бывших", а всю работу делают интеграторы.
select26
16.04.2024 08:45+1Это в РФ столь же распространенное мнение, сколь и ошибочное. ИБ - это не результат, это процесс!
Интегратор может направить в правильную сторону, помочь запустить процесс. Но никак не выдаст результат.Shaman_RSHU
16.04.2024 08:45Зависит от того, насколько заказчик смог составить (вычитать) ТЗ исполнителю. Вот и получается, что интегратор выпускает пачку шаблонных документов, только изменяя названия заказчика. Заказчик считает, что обложен этими бумажками и ничего больше делать не нужно.
strvv
16.04.2024 08:45+1В виду специфики дел, сложнодоказуемости для судейских, в реальных ситуациях будут разворачивать все побочные эффекты и последствия (финансовые, временные, управленческие) и их ставить в главу угла, и ещё, скорее всего будут определяться, насколько глубоко копать и кого ставить крайним на горох.
Dzhamil
16.04.2024 08:45+4Имхо.
"Ненормированный рабочий график" - притянуто за уши. Если у тебя плохо с таймингом и самоуважением, то ненормированно ты будешь работать на любой работе.
"Частое отсутствие информации и «кейсов»" - хотелось бы увидеть реальные примеры. Если речь про РФ, то большинство вещей сейчас завязано на крупных вендорах. Не говоря про зарубежные фреймворки."Проблемы никогда не заканчиваются. А еще — большая часть из них не очень-то интересная" - логично, работа есть и её много. Да, не всегда веселая. Это точно минус? Приведите пример другой работы.
"Огромное количество регуляторов и нормативных актов" - соглашусь, без комментариев.
"Закон не на вашей стороне" - притянуто за уши. Если вы не продаете базы данных налево или не занимаете должность CISO, то ответственности у вас не больше чем у рядового сисадмина.
"Большая ответственность (за все)" - ну не за всё, а в рамках ваших должностных обязанностей.
"Постоянное обучение" - обучения не больше, чем у любого другого IT спеца.
Странный пост.
40kTons
16.04.2024 08:45ИБ оно большое как и IT. Есть разные направления, в разных направлениях свои плюсы и минусы. Скажу так - скорее не идти, чем идти
PowerMetall
16.04.2024 08:45ИБ оно большое как и IT. Есть разные направления
Согласен
Есть и те кто просто ЭЦП-шки генерят да на USB - токены льют, и не парятся, от гудка до гудка, что называется.
И тоже, типа, "инфобез", пальцы веером... )))Правда на любой нестандартщине - сливаются, например сделать серт извлекаемым, или (оу, это уже гуру уровень (нет) - сконвертить извлеченный серт и ключ в формат, отличный от долбаного [криво]криптопро, чтоб, к примеру, тот же openssl с ним работал нормально без костылей) )))))
000-Vladimir-000
16.04.2024 08:45Специалист в области информационной безопасности - по сути это "и швец, и жнец, и на дуде игрец". Он должен быть не только многопрофильным ITшником, но и грамотным юристом; должен уметь разбираться в закупках/бюджетах, заниматься административно-хозяйственной и прочей неИБэшной деятельностью; должен уметь работать не только головой, но и руками.
Кому интересно чем, отчасти, должен заниматься ИБэшник, по мнению законодателей, я предлагаю посмотреть/почитать профстандарты:
06.030 - Специалист по защите информации в телекоммуникационных системах и сетях
06.032 - Специалист по безопасности компьютерных систем и сетей
06.033 - Специалист по защите информации в автоматизированных системах
Vinegar
16.04.2024 08:45+1А еще к инфобезу, оказывается, относятся сигналы и системы передачи данных. И вот там начинаются танцы с вышматом.
Neitr
16.04.2024 08:45Обычная ситуация для многих профессий. Все зависит от оценки сложности и адекватности оплаты. Многие ситуации вообще прописаны в трудовом кодексе и образцах трудовых договоров (и ночное время, и праздничные дни....остальное можно прописать по договоренности в трудовом договоре). Эффективность и правильность/сложность работы оценивается не с "нытья голословного" - "как сложно", а с правильной фиксации и отчетности проведенных работ. Для этого давно есть и тех задание, и планы работ, и документирование работ (как говорится - любые капризы работодателя/заказчика, за его деньги). Планы работ составляются, утверждаются, внеплановые работы оформляются заявками.
И да скилфактори...разве не запрещено рекламироваться и финансировать оплатой за рекламу инагентов и пособников укронацистов?
Что за двойные стандарты? То вы за развитие IT России, то финансируете врагов России. Зачем вам эта скорее антиреклама чем реклама?
AlexeyK77
В древности был обычай, гонцов приносящие дурные вести убивали. Вот с ИБ таже история, никто не любит дурных вестей, разговор с ИБ для боссов или линейного персонала это всегда стресс, т.к. речь будет идти о проблемах или возможных проблемах. ИБ хорошие вести не приносит, это не котики, не розовые пони.
Если нет четкого понимания: "хочу в жизни заниматься только ИБ" то нормальному специалисту в этот головняк лучше не соваться. Плюс отношение, ИБ это люди которые, прибыли не приносят, что-то вроде охранников на входе в оффис, только пообразованнее, вынужденное обременение.
Всем нужна ИБ по умолчанию забесплатно.
Shaman_RSHU
Но ведь ИБ в организации не просто появились сами сабой, как Лунтик :) Это боссы и придумали, что в организации нужна ИБ. Если они не готовы к дурным вестям, то бегите оттуда. ИБ, которым нужно доказывать свою необходимость и значимость тупиковый путь.
AlexeyK77
на сегодняшний день ИБ обязана быть по закону почти в любом крупном инфраструктурно и социально значимом бизнесе (от банков до больниц). Так что это фактически обременение. Я не увтерждаю, что в банках от ИБ пытаются открестится, нет, но отношение к любому пишущему ПО Ит-шнику как полубогу, а к безопаснику - как к обузе. Ну, это как сантехник, без него нельзя ибо канализация может потечь, но вызывает все-таки некоторую брезгливость.
Shaman_RSHU
Какая хорошая с сантехником аллегория. Но, к сожалению, руководство компаний не понимают этого, пока не потечет. А отношения между ИБ и другими подразделениями должно быть обеспечено руководством (как и другие подразделения между собой), а не как нибудь сами..
Tzimie
Ну, сантехник хотя бы трахает одиноких дам...
А ИБ наоборот, его...
PowerMetall
Одинокие дамы? )))
Scrobot
Открестится не пытаются, но тот же большой зеленый банк своих безопасников на мороз целыми отделами выгоняет, в случае чего.
strvv
При этом, за все 25 лет нам в лицо тычут что мы для организации только расходы, и что отсутствие инцидентов или их предотвращение - это просто мы (организация) - неуловимый Джо, нафиг никому не нужные, поэтому безопасников держим чисто из сострадания и требований регуляторов (мелким шрифтом).
Зато как в результате действия или, что хуже, бездействия БигБоссов (тм) организация получает на орехи от регуляторов - вновь крайние эти гадкие безопасники. И в этот раз они виноваты в том что не были достаточно убедительны. Хотя на любое документально оформленное предложение или информирование идёт вербальный посыл в Перу.