Добрый день, дорогие читатели! Сегодня я хотела бы поделиться с вами интервью с экспертом в области информационной безопасности - Евгением Царевым. Евгений занимается в основном судебной и досудебной экспертизой в области ИБ, ведет курсы, пишет статьи, а также является выпускником легендарного ТУСУРа. Поэтому предлагаю без лишних предисловий приступить к чтению :)
Царев Евгений Олегович
Аудитор, внедренец и
сертифицированный тренер по Стандарту Банка России в области информационной
безопасности, аудитор и тренер по ISO/IEC 27001. Автор многочисленных курсов по
информационной безопасности. Публикуется в СМИ, ведет блог - https://www.tsarev.biz.
Образование:
·
2009 — 2011 MBA, Академия народного хозяйства при Правительстве РФ (АНХ),
Инновационное управление.
·
2001 — 2006 Томский государственный Университет Систем Управления и
Радиоэлектроники, радиотехнический факультет,
·
2003 — 2005 Томский государственный Университет Систем Управления и
Радиоэлектроники, Антикризисное управление.
·
2015 — Профессиональная переподготовка
«Информационная безопасность» (512 часов).
1. RTM Group – уникальная организация в сфере компьютерного
права. Можешь рассказать, как она создавалась?
Как
это часто бывает, через сарафанное радио ко мне обратились с просьбой сделать
исследование по тематике банковской ИБ. Задача была очень узкая, не могли найти
эксперта в экспертных организациях. Сделал. Суд принял. Потом второй запрос,
третий… Познакомился с коллегами, которые занимаются компьютерно-техническими
экспертизами по 10-20 лет. Узнал много нового. Если обобщить, существующая
система компьютерно-технических экспертиз не покрывает потребности судебной
системы. Я не занимаюсь уголовными делами, поэтому говорю только про
гражданские, это важно уточнить. Так вот, представьте, что судье арбитражного
суда приносят дело, в нем есть договор, по нему одна компания разрабатывала
какое-нибудь ПО для другой компании, но им не заплатили. Они хотят оплату.
Заказчик говорит, что ничего не работает, поэтому платить не будем. И это еще
не все. В ходе разбирательства, суд устанавливает, что установку и настройку
этого ПО делала третья компания, а четвертой компании передали все это дело на
техподдержку. И что делать суду? Как разобраться в таком деле? Как понять, кто
виноват? В первую очередь нужна экспертиза. Ок, но это не компьютерно-техническая
экспертиза! Здесь помимо самого ПО, суду нужно еще и исследование и оценка
проектной документации, технической переписки… суду может потребоваться
проведение тестирования… оценить корректность интеграции… получить заключение о
соответствии требованиями регулирующих органов, например, ФСТЭК России, или
ГОСТам. И куча чего еще. Дела-то разные и потребности суда могут быть разными.
У всех этих потребностей есть только один общий признак – область ИТ на стыке с
правом. Экспертные организации, как правило, занимаются огромным количеством
различных экспертиз: автотехнические, почерковедческие, бухгалтерские,
экологические, искусствоведческие и прочее. Для них компьютерно-техническая
экспертиза это одна из десятка услуг и ими занимается несколько человек,
которых бросают из одной узкой темы в другую. Невозможно быть экспертом во
всем, и эти пара человек, какими бы умными они ни были – они не знают всего и
не могут делать на высоком уровне все экспертизы подряд, в которых встречается
слово «компьютер» или «информационная». Как результат, качество экспертиз «в
среднем по больнице» очень низкое – это раз. Суды не получают нужную услугу –
это два.
Небольшой
экспертной группой мы сформулировали экспертные профили. Т.е. для самих себя
ответили на вопрос, какой нужен под конкретную экспертизу. А теперь все просто,
как только поступает запрос, мы смотрим в профиль и выбираем нужного эксперта.
Если требуется сразу несколько профилей – готовим письмо на комиссионную
экспертизу (несколько экспертов в одной экспертизе).
Так
появился RTM TECHNOLOGIES.
Сегодня
мы оформились как RTM Group. Т.е. теперь мы работаем группой компаний. Если
коротко, помимо решения экспертных задач у нас теперь есть профессиональные
юристы-судебники, которые подготовлены к ведению ИТ-дел.
Фактически
RTM Group
– это единственная структура в России, которая занимается судебными
ИТ-экспертизами и одновременно может вести судебные дела. Естественно,
применительно в одному делу - либо одно, либо второе.
2. Как
проводятся судебные экспертизы в сфере ИБ, в чем их специфика?
Чисто
процессуально никакой разницы нет. Кроме крайней желательности наличия лицензий
ФСТЭК и ФСБ. Суды больше доверяют компаниям с лицензиями, если вопрос касается
ИБ.
Главная
специфика – это регуляция. И для суда и для юристов, которые представляют
интересы сторон по делу, иногда открытие, что есть руководящие документы, что
вопросы, связанные с криптографией – вообще отдельная история. Что даже,
казалось бы, простой вопрос превращается в основной элемент разбирательства.
У
меня было дело, которое длилось 3 года. Центральной темой спора был вопрос
обязательности исполнения банком СТО БР ИББС. Естественно, СТО БР ИББС –
рекомендательный, пока нет решения самого банка принять его для себя в качестве
обязательного. Вот видишь, я уложил объяснение этого вопроса в 1 предложение,
но благодаря целому ряду ошибок в работе представителей сторон по делу, этот
спор длился много лет.
Это
кстати отдельная проблема, корпоративные юристы часто очень боятся, что их
подсидят, как-то пододвинут, если к делу подключится ИТ-юрист со стороны.
Поэтому они без понимания проблемы идут в суд и успешно проигрывают 100%
выигрышные споры.
3. Какие
организации чаще обращаются? Я имею ввиду отрасль – банки, нефтегазовый сектор,
сфера ЖКХ.
Все.
Вообще все. Последний год стало много экспертиз в делах, где коммерческие
компании судятся с госзаказчиками.
4.
Расскажи забавный случай из судебной практики.
У
нас был очень долгий и сложный процесс, в нем я был представителем клиента -юридического
лица, у которого компьютерные жулики украли весьма крупную сумму. Мой клиент
судился с банком, который, такое ощущение, делал все возможное, чтобы деньги
клиента были похищены. Представитель банка активно пытался нас
дискредитировать, лично меня пытался обвинить в некомпетентности – это
нормальная практика в судах, некоторые представители противной стороны пытаются
очернить оппонента, таковы многовековые традиции)).
Пару
лет назад мы выпустили исследование с анализом судебной практики по спорам между
банками и клиентами из-за хищений в системах Интернет-банка https://rtmtech.ru/issledovaniya/
. Так вот, в какой-то момент очередного заседания этот товарищ встает и просит
приобщить к материалам дела мое исследование со словами, что есть такие крутые
специалисты и эксперты, которые глубоко разбираются в теме и вот написали
исследование, в котором клиенты часто проигрывают судебные дела. Он просто не
знал, что этих «крутых» экспертов он минутой раньше называл некомпетентными
людьми.
Судья
еле сдерживался от смеха когда, на вопрос возражаем ли мы против приобщения
этого исследования к материалам дела, наш юрист встал и сказал, что оно не
имеет отношение к делу, а на вопрос откуда мы знаем его содержание, уже я встал
и сказал, что это мое исследование.
5.
За какое дело в суде испытываешь особую гордость?
Пока
не могу говорить, оно еще идет, но мы всей командой испытываем гордость за ту
работу, которую провели.
6.
Часто ли привлекают для проведения служебных проверок?
Регулярно.
У нас ими занимаются отдельные сотрудники. Как правило, нас приглашают для
правильного оформления доказательств. Судебная практика по трудовым спорам
такова, что чтобы уволить по статье откровенного жулика, нужно хорошо
поработать.
7.
Можешь рассказать интересный случай из этой области, понятно, что информация
конфиденциальная, в общих чертах.
Было
дело, где один из ТОПов обладая несколькими токенами (своими и чужими) продал
имущество компании на девятизначную сумму. Все бы хорошо, да только о сделке
никто кроме него не знал. Банальное воровство с бегством на теплые берега.
8.
Легко ли уволить сотрудника за нарушение в сфере ИБ?
За
последние годы стало проще в разы. Главное доказать, что это нарушение
действительно значимо для компании, что отправка, например, данных клиента
третьему лицу опасна для клиента и для компании. Все это нужно мотивировать, но
если коротко, то требования по ИБ лучше не нарушать, даже если это нужно, как
вам кажется, для бизнеса компании.
9.
Что можно сказать о регионах? Консультируются?
Вы
удивитесь, но у нас основная масса экспертиз – это регионы. Основная масса
процессов и проектов – тоже регионы.
10.
Сложно ли стать сертифицированным тренером по стандарту Банка России в области
информационной безопасности?
Сложно).
Для меня банковская нормативная регуляция ИБ долгое время была профилем. Мне
нравится работать с банками.
Сейчас
стандарт теряет актуальность, сейчас на первый план выходит тема ГОСТ Р 57580.Х
«Безопасность финансовых операций». Думаю сюда нужно прикладывать силы.
11.
Ты проводишь различные курсы по информационной безопасности. Кто приходит на
них, тяжело ли учить взрослых людей? Есть желание работать со студентами?
Моя
принципиальная позиция, что преподавательская работа – обязательна для
эксперта. Она неразрывно связана с экспертной деятельностью и дополняет ее.
Мне
одинаково комфортно работать со студентами и со взрослыми, состоявшимися
людьми.
На
молодежь я смотрю с упоением. Серьезно. Вспоминая себя в 18 лет и сравнивая с
теми, кому сейчас 18, делаю вывод, что они лучше нас, они интереснее, они
умнее. При этом они совершают много ошибок, например в планировании карьеры.
Взрослые
слушатели мне интереснее тем, что я сам у них учусь. Это не преподавание, когда
есть один умный и остальные дураки, это общение коллег. Плюс взрослый человек,
на то он и взрослый, берет их курса то, что хочет, если что-то не берет – это
его дело.
12.
У тебя огромное количество публикаций, есть ли любимые темы? Темы, на которые
писать совсем не хочется?
Я
ненавижу тему персональных данных. Остальное – все хорошо.
13. Ты ведешь блог с 2009 года, сложно
ли заниматься блогингом в течение такого продолжительного времени? Что
изменилось в блогосфере? Почему так редко появляются новые блогеры?
Сейчас
я фактически ничего не пишу в блоге. Только даю короткие комментарии по текущим
новостям. Мне такой формат удобнее, плюс аудитория уходит из формата блогов и
распределяется на другие формы контента.
14.
Кого читаешь?
Всех
и никого). Мне готовят ежедневные подборки контента за сутки. У меня есть
критерии важности, поэтому я читаю 5-10 заметок в день.
15.
В работе часто требуется находить судебные решения. Где можно черпать
информацию? На что обращать внимание в судебном решении?
Есть
разные аналитические системы: Гарант, Консультант, Caselook.
У каждой есть свои плюсы и минусы. К слову нет идеального инструмента для
анализа судебной практики. Это просто беда какая-то. Судебные решения я читаю
часто, поэтому знаю, куда смотреть, если нужно что-то конкретное. Например,
если тебе важно понять логику судов в конкретных делах, после первичного отбора
решений, а их может быть, например, 200, я смотрю название суда, решение,
мотивационную часть и статьи. И так 200 раз в таком порядке. После первой сотни
решений логика вырисовывает четко. Тем более, что можно сколько угодно говорить
про непрецедентное право в России, но судьи часто списывают друг у друга)))
16.
В прошлом году мы разминулись на paymentsecurity,
много ли мероприятий по ИБ посещаешь? Посоветуй начинающим специалистам - как
выбрать стоящее?
В
этом году я на мероприятия совсем редко ходил, только если доклад был или нужно
было встретиться сразу с несколькими людьми в одном месте. Если говорить про
начинающих, то можно ходить на технические конференции вроде PHDays или не ходить на конференции вовсе. Не тратьте
время. Делайте собственные исследования, пишите софт, проектируйте железо,
придумывайте методики – все что угодно. Работы море. Ищите стажировки. Особенно
для Москвы – это вовсе не проблема. Выше я говорил, что молодые люди совершают
много ошибок в планировании карьеры. Так вот, мой совет – никогда не идите на
работу в крупную компанию. Вообще никогда. А молодом возрасте – вообще-вообще.
Чем меньше компания, тем больше ваш функционал и возможности. Найдите команду
по духу и вперед.
17.
Любимая художественная книга?
Скажу
не художественную и не любимую. Просто книга, которую советую всем прочитать:
«Теория игр. Искусство стратегического мышления в бизнесе и жизни»
18.
На мой взгляд, отрасль переживает период подъема. А как ты считаешь, к чему
стремится ИБ в России?
А
я считаю, что ИБ как отрасль прекратила свое существование)). Если серьезно, то
ИБ переходит в форму функционала безопасности. Не той безопасности, где кредиты
и судимости сотрудников ищут. А безопасность всей этой компьютерной магии.
Никому
не нужна безопасность системы – нужна безопасная система.
Никому
не нужна защита информации – нужна защищенная информация.
Т.е.
это функционал какого-то более крупного процесса. Соответственно нас размоет по
всей экономике.
19.
Нужно ли специалисту по ИБ быть немного юристом или системным администратором,
программистом? Нужны ли универсальные солдаты?
Не
всем специалистам нужно быть универсальными. Например, экспертам-судебникам,
да, обязательно нужен широкий профессиональный кругозор. А если человек
разработчик хороший и ему это нравится, зачем ему арбитражно-процессуальный
кодекс?
20.
Что можно посоветовать молодым специалистам?
Ведите
свои исследования, свои проекты и никогда не работайте в крупных компаниях.
Первые
годы профессиональной деятельности нужно работать на нужном ВАМ месте и за
любые деньги, даже бесплатно. Даже если придётся самим за это приплачивать -
соглашайтесь)). Я серьезно. Тот кто будет работать в правильном месте, за любые
деньги и будет работать хотя бы по 10-12 часов в сутки, тот через 3 года будет
супер-профессионалом, опытным и, главное молодым, чтобы успеть реализовать
себя.
21.
Если не ИБ, то какая работа заинтересовала бы?
Я
недавно спросил себя, что бы я делал, будь у меня неограниченное количество
денег. Ответ был – тоже самое.
22.
Расскажи, немного о планах на будущее.
Продолжать
двигаться дальше.
Вот такое интересное интервью получилось. Спасибо Евгению за уделенное время и содержательные ответы!
Хороших выходных!
Другие Лица ИБ:
Наталья Храмцовская
Владимир Безмалый
Сергей Борисов
Мария Сидорова
Подписывайтесь на страницу ВК: https://vk.com/kshudrova
Комментариев нет:
Отправить комментарий