H Security Week 14: конференция RSA, дырявые рекламные сети, альянсы и противостояния в черновиках

На прошлой неделе в Сан-Франциско прошла очередная, двадцать седьмая по счету бизнес-конференция RSA Conference. До начала 2000-х данное мероприятие можно было охарактеризовать как узкоспециализированную вечеринку криптографов, но постепенно деловой контент почти полностью вытеснил технический. Не всем такой формат мероприятия по информационной безопасности пришелся по душе. Всю неделю в твиттере то и дело проскакивали едкие комментарии технических экспертов, типа «RSA проходит максимально продуктивно, если запереться в гостиничном номере и поработать».

RSA — это и правда тусовка менеджеров, и не важно с чьей стороны — поставщика решений по безопасности или же компании-клиента. О киберзащите там говорят «на высоком уровне», общими словами, подчас туманно и расплывчато. В целом можно понять, почему технарей от формулировок типа «инклюзивность диверсификации при построении новой парадигмы инфобезопасности» так бомбит. Но в попытках поделить около-ИБ-сообщество на «наших» и «ваших» ничего хорошего нет. Во-первых, делителей и так в нашей жизни слишком много. Во-вторых, индустрия информационных технологий (если вспомнить тот же скандал вокруг Фейсбука) столкнулась с проблемами, которые технического решения, к сожалению, не имеют. Попробуем показать на примерах.

Типовая, сферическая в вакууме конференция RSA проходит по следующему шаблону: какой-нибудь свежий технический тренд выбирается главной темой мероприятия, вокруг него строятся ключевые выступления самых важных гостей (читай, платиновых спонсоров). В этом году шаблон порвало: количество и сложность атак растут, но говорить об этом, не предлагая тут же хоть какой-нибудь продукт для защиты, и желательно от всех атак сразу, — не соответствует общепринятым деловым практикам. А решения сразу всех проблем в мировом масштабе что-то нет. В первый же день конференции зазвучали очевидные, но нетрадиционные для бизнеса слова: что серебряных пуль (= универсальных таблеток от киберпреступности) не бывает, что есть огромный разрыв между потребностью рынка в ИБ-специалистах и их наличием. Представитель McAfee и вовсе обозначил довольно жесткую параллель с террористическими атаками 11 сентября: после них безопасность в гражданской авиаиндустрии была повышена не волшебством и не новой прорывной технологией, а множеством небольших улучшений уже существующего процесса — от запрета на пронос жидкостей до усиленных дверей в кабину пилотов.

Да ладно? Нет, подход «чтобы что-то получилось, надо много и упорно работать» — он вообще правильный, но услышать его именно на RSA Conference было как-то неожиданно. Еще два года назад практически те же люди бодро жужжали про невероятные преимущества IoT и бездонные провалы в безопасности, к которым уже почти прикручен то ли машин лернинг, то ли блокчейн, то ли некстген, и что совсем скоро все будет хорошо. А тут вот оно как вышло. Предположу, что источник такого ветра перемен — в настроениях корпоративных клиентов, которые устали слушать про очередную страшную АПТ в отсутствие какого-то вменяемого плана противодействия. Пора бы уже поговорить про решения, причем это пожелание относится и к технарям, обычно ищущим только проблемы. Хотя бы и в самой инфраструктуре конференции: на четвертый день RSA Conference кто-то обнаружил базу фирменного мобильного приложения на серверах подрядчика в открытом доступе.