Карго-культ аудита

Начинать, наверное, нужно с рассказа о том, что такое карго-культ вообще. Вы, скорее всего, и так знаете, а если не знаете, быстро нагуглите. Если кратко: люди в довольно примитивных обществах наблюдали, как огромные самолёты сбрасывали продовольствие и боеприпасы воюющей армии, и решили, что для того, чтобы тоже получать «подарки», нужно не изобрести самолёт, не выстроить логистику доставки, не развивать сеть заводов, а одеться, как военные, и построить из кокосовых пальм и соломы взлётную полосу и радиовышку. В ИБ тоже есть свой карго-культ и называется он «лучшими практиками».

____________

Мой приятель, устроившись на работу в крупную компанию, далёкую от ИТ и ИБ, обнаружил, что по существующей политике безопасности пароли необходимо менять раз в 30 дней, причём пароль должен быть сложными и не повторяться. Этот подход не вызывает сомнений; любой безопасник вам скажет, что это первоочередная мера, и жить по-другому никак нельзя. Мы так делали 5 лет назад, 10 лет назад и, наверное, раньше. Но вот незадача — это никак не помогает безопасности. И хотя эта мера не обсуждается и буквально «отлита в граните», NIST уже несколько лет как напрямую говорит, что если в компании не было утечек, то менять пароли так часто не стоит. Вот это поворот. Более того, они пишут, что если заставить пользователей менять пароли часто, то люди начинают использовать одни и те же пароли с минимальными изменениями, а если бороться и с этим, то рабочие места начинают покрываться стикерами с записанными паролями.

В той компании через какое-то время стали бороться с этим явлением и даже купили корпоративный менеджер паролей. Представляю, каких усилий потребовалось менеджерам по ИБ, чтобы обосновать покупку. А затем, опять же следуя лучшим практикам, запретили копирование и вставку паролей. Т. е. фактически купили продукт и запретили им пользоваться. И таких примеров в нашей индустрии много. В компании работает DLP-система, но можно приходить со своими смартфонами, флешки запрещены, но почему-то есть доступ в личную почту и мессенджеры. Отдельным пунктом идёт обязательное регулярное обучение ИБ всех сотрудников, которое отвлекает от ежедневных обязанностей и обычно ничего, кроме раздражения, не вызывает.

У одного из моих знакомых администраторы ИБ внезапно отключили все способы работы с почтой, кроме Outlook anywhere, и тут же отвалились клиенты, которые использовали всякие pop3 и imap. Да, это соответствует представлениям о безопасности, но ломает бизнес-процессы. В этой же организации ответственные администраторы впадали в ярость, когда видели при ежемесячном сканировании красные крестики возле сотен серверов и требовали срочно установить все существующие патчи. Объяснения, что это сломает работу сервиса и «вообще-то у нас есть компенсирующие меры», заставляли их впадать в уныние. Рассказы о том, что конкретные критические уязвимости могут быть проэксплуатированы, только если звёзды сойдутся определённым образом, никого ни в чём не убеждали. Отчёт о сканировании клался руководству на стол, и никаких красных крестиков там быть не должно было.

Происходит это ровно по одной причине — мы все живём в рамках карго-культа ИБ, реально полагая, что есть какие-то ритуальные действия, которые неизбежно приведут к состоянию полной нирваны безопасности, если делать их достаточно часто и рьяно. И хотя все знают, что аудит проверяет наличие мер безопасности, а не их эффективность, но одновременно с этим понятно, что KPI безопасников никак не связан с пользовательским опытом.

Ещё один коллега рассказал прекрасную историю, где в компании внедрили корпоративный браузер, в котором отключили режим инкогнито, запретили ставить плагины и отключили менеджер паролей. Всё это очень секьюрно и правильно, очень полно соответствует лучшим практикам, но угадайте, каким портативным браузером стали пользоваться самые продвинутые пользователи, а затем и вообще все? А потом на совещании в Zoom руководитель подразделения пожаловался, что Endpoint visibility у них снизился. Даже не знаю почему.

Ещё в одной очень уважаемой организации администраторы очень активно боролись за то, чтобы пользователи ни в коем случае не сидели в своих ноутбуках с администраторскими правами. Мысль крайне здравая и даже не обсуждалась, проблема только в том, что все ноутбуки собирались из единого образа ОС, где пароль администратора был задан. И через полгода постоянных звонков в службы поддержки с просьбами поставить программу или удалить программу, пароль администратора знали все. Да, технически для входа в систему использовался аккаунт пользователя, но есть нюанс.

Фактически многие меры существуют не потому, что они работают, а потому что после инцидента их можно будет показать комиссии. Со временем некоторые специалисты по ИБ приходят к пониманию, что самая лучшая безопасность — это не максимальное количество запретов, а минимальное количество ограничений, которые позволяют снижать риски. Это совершенно крамольная мысль, недоступная специалистам, которые впервые оказались за консолью с сотней-другой галочек и кнопочек, позволяющих настроить степень защищённости какого-то сервиса. Выхлоп от настройки зачастую только моральный «я сделаль», а вот реальные последствия зачастую или незаметны, или даже вредны.

Какая альтернатива?

• Во-первых, я предлагаю продолжать следить за лучшими практиками, но делать это чаще, чем раз в 10 лет. Действительно ИБ — штука очень глобальная, и наработки наших коллег с других континентов могут заслуживать внимания вне зависимости от нашего личного отношения к текущей ситуации в мире.

• Во-вторых, самое сложное — ищите топовых специалистов и интеграторов, которые специализируются именно на безопасности. Я знаю, что за окном 2026 год и в ИТ много разных направлений, но заказчики продолжают искать универсальных солдат. И дело не только в экономии средств, речь про сам настрой.

• Третье — самое затратное. Кроме топовых специалистов, вам нужны современные технические решения. Если последний раз вы покупали новые решения 5-7 лет назад, вы удивитесь тому, что сегодня умеют программные продукты для обеспечения ИБ. Посмотрите хотя бы на симуляторы хакерских атак и системы обнаружения вторжений. Такой уровень был просто невозможен ещё несколько лет назад.

• Четвёртое — собирайте фидбэк. Почему-то служба HR регулярно собирает фидбэк о том, кому и как понравился последний корпоратив, а службы ИБ и ИТ нечасто интересуются тем, насколько удобно работать с очередным сервисом. А я не поручусь, что из этого важнее. Надо как-то уже признать, что пользователь — это не уязвимость, а адаптирующаяся система. И что любая мера безопасности, которая ухудшает работу людей, запускает эволюцию обходных путей. Живите с этим.

• Ну и, наконец, пятое — пристегнитесь покрепче. Изменения ландшафта угроз и средств защиты происходят настолько быстро, что, скорее всего, вам потребуется надёжный партнёр, чтобы отслеживать тренды, предупреждая об опасностях, и помочь, когда (а чаще всего это «когда», а не «если») хакеры доберутся до вас.