среда, 8 апреля 2020 г.

Лица ИБ. Александр Гладченко


1. Добрый день, Александр! Вы очень интересный собеседник, человек с богатым жизненным и рабочим опытом, настоящее «Лицо ИБ». Я рада, что представилась возможность взять у вас интервью. Расскажите вкратце о себе, о своем опыте работы.
Родился я еще в прошлом тысячелетии ;) Закончить школу успел еще при социализме, а вот студенческие годы пришлись уже на перестройку. Работал где придется и как придется. Был шахтером, дальнобойщиком, музыкантом, но остановился на компьютерах. Сначала программирование, потом администрирование, потом и безопасность ;)

2. У вас первое образование по специальности «Маркшейдерское дело», как пришли в ИБ?
После школы я поступил в "Станкин" на специальность САПР. Где, собственно, и впервые увидел компьютеры. Они тогда были большими ;) Перфокарты, перфоленты, вот это вот все ;) После службы в Советской Армии уехал в Екатеринбург, где и пребываю по сей день. Поступил в горный институт и вот там и увидел персоналки ;) Преподаватель по информатике, видя мой интерес, пристроил меня на работу к своему знакомому в ОблСЭС. И вот, с 1990 года я с компьютерами. После окончания института 4 года проработал сисадмином и начальником отдела ИТ в разных конторах города. Потом знакомый пригласил меня в банк. Админить. Спустя некоторое время мне предложили заняться ИБ в банке. Ну я и согласился. Съездил в столицу, прошел в АРБ курсы по безопасности банковских систем и баз данных, так и пришел в ИБ... Это был 1998 год.

3. Мне кажется, один из самых важных навыков специалистов – умение состряпать информационную безопасность «из ничего». Поделитесь своим опытом работы с маленьким бюджетом: что можно сделать самостоятельно и почти бесплатно?
Я никогда не работал "с маленьким бюджетом". Я работал с бюджетом "нулевым". То есть ФОТ мне обеспечивала служба безопасности, железо закупалось службой ИТ, а там "крутись как хочешь" ;). Сделать "бесплатно" можно ВСЁ. Особенно теперь. ВАЩЕ ВСЁ. Раньше было труднее. Основных условий два - быть самому отличным технарем и иметь союзника на самом верху. Я никогда не работал на директора предприятия. Я всегда работал на собственника. Это важно. Директор решает свои задачи, в том числе личные. Собственник решает задачи всего бизнеса. Технический бэкграунд - безусловно свободное ПО. В первую голову Linux. Мне приходилось заниматься разработкой недостающих функций в linux, но это было давно, на рубеже столетий. Сейчас все есть "из коробки". Но умение программировать, знать внутренности протоколов, устройство ОС изнутри катастрофически необходимо. Жаль, что сейчас такому не учат в институтах. В начале 2000-х я искал linux-админа на свою инфраструктуру. Всего 180 серверов. Искал два года. Нашел. Тоже человека со старым образованием. Просмотрел порядка сотни кандидатов. Вот такой выхлоп ;) Поэтому я всегда говорю, что "бесплатно будет дороже" ;) Из того, что приходилось делать самому - файрволы, "dlp" (в кавычках, потому как решала исключительно нужные мне специфические вопросы), всяческое удаленное управление (через смс, емайл), мониторинговые вещи в локальной и распределенной сети. В общем, было бы желание и время - можно сделать все. Причем желание - не только твое!

4. Читатели часто спрашивают меня про работу «не в столице», я даже хэштег сделала #в_регионах_есть_иб для поиска резюме и вакансий. Как обстоят дела с работой на Урале? Легко ли в Екатеринбурге устроиться по нашей специальности?
У нас на Урале очень интересный момент с рынком работников ИБ. Есть отдельный банковский остров. Там у работников должна быть "задняя стенка черепа выстлана инструкциями ЦБ". Это скучно, денежно, представительно. Есть государственные органы. Там работают бывшие люди в погонах. Есть интеграторы. Там все новое, красивое, представительное, надо продавать. Продавец из меня, как из собачьего хвоста - сито. Собственно, поэтому я нигде из перечисленного не работаю ;) В остальном у нас пока странная ситуация. Многие хотят в качестве ИБ служивых в определенных конторах пенсионеров. Обычно с бумажным ИБ в этом случае все хорошо. А техническую сторону отдают в ИТ. То есть "кот Василий жрал то, что должен был стеречь". Я категорически против подобного подхода. В частности, из-за этого уволился с предыдущего места работы, которому отдал 13 лет ;) А вот нормальной организации ИБ у нас практически нет. Нет, есть, конечно, заводы, конторы, офисы с правильным ИБ, но в процентном соотношении с остальными их единицы. Поэтому устроиться с одной стороны просто (в бумажную ИБ), с другой стороны реально сложно ;) Вот такой вот дуализм. Плюсом сюда примешивается местечковый специалитет. Который выражается в горизонтальных отношениях собственников бизнеса, власти и специалистов. Это совершенно непонятная субстанция для скупающих оптом и в розницу региональные предприятия столичных денежных мешков. Отсюда вытекает огромное нежелание работать со столичными новыми собственниками. И я тут не одинок.

5. У вас богатый опыт работы: промышленность, автомобильный бизнес, образовательное учреждение и т.д., большое ли значение имеет специфика предприятия? ИБ везде разное?
Принципиально разницы нет. Есть нюансы. В основном связанные с "руководящим направлением". Это либо собственные разработки и КТ, либо ПДн, либо еще какая-то часть ИБ, которая в данной отрасли наиболее важна.

6. Что для вас интереснее: «бумажная безопасность» или технические меры защиты информации?
Я технарь. Я пришел в ИБ из сисадминов. Поэтому ответ очевиден. Я не люблю бумагу.

7. Как организовать эффективный внутренний аудит? Есть какие-то способы повысить свою эффективность при анализе большого объема данных?
Беда в том, что все кинулись собирать данные. БигДата, вот это вот все. Это тупик. ИБшник, обложенный данными, становится похожим на бухгалтера. Собирать надо отношения. ;) Когда у тебя есть неформальные отношения внутри коллектива, тебе не надо данных, ты и так знаешь кто когда куда и что ;) Разговаривайте с людьми! это сэкономит уйму времени и места на ваших дисках ;) И сильно поможет в понимании того нужен ли вам аудит вообще или нет. Подсказка - нет ;)

8. Можно ли научиться «видеть потенциальных нарушителей»?
Видеть - нет. Знать - да ;)

9. Читаете ли вы профессиональные блоги? Можете кого-то порекомендовать?
Не читаю. Не интересно. По крайней мере, я не встречал блога, который бы не пытался мне что-нибудь продать. А зачем читать, если я никогда этого не куплю? ;)

10. С чего, по вашему мнению, нужно начинать обучение информационной безопасности?
С технических азов. Устройства компьютера, сетей, протоколов. И базового технического высшего образования. Много, очень много математики.

11. Куда лучше отнести ИБ подразделение, к айтишникам или к службе безопасности?
Только СБ или выделенное подразделение уровня подчинения собственнику. Все остальное - профанация.

12. Какие навыки специалиста вы бы называли ключевыми?
Технический бэкграунд и умение общаться с людьми.

13. Вы занимаетесь ИБ с 2000 года, насколько я знаю. Как на ваш взгляд поменялась роль специалиста по защите информации за последние 20 лет?
С 1998-го ;) На бумаге роль поменялась сильно. В реальности - почти никак. Единственное что, благодаря законодателям, наличие собственной ИБ из "модной тенденции" перешло в "обязательные условия".

14. Вы согласны с утверждением «80 процентов внутренних угроз, 20 – внешних»?
Нет. 80 на 20 было на границе веков. Сейчас, если, конечно, вы не являетесь стратегически важным предприятием отрасли, это соотношение 95 на 5.

15. С какими подразделениями специалисту по ИБ стоит подружиться?
Ни с какими. Дружба - понятие интимное. Иметь хорошие отношения надо в первую очередь с собственником, с ИТ и с бухгалтерией (чтобы не забывала платить зарплату ;))))

16. Кому не стоит заниматься информационной безопасностью?
Гуманитариям и юристам.

17. Знаю, что вы увлекаетесь игрой на гитаре, философский вопрос: «Что общего у музыки и нашей профессии?»
Я занимаюсь не "игрой на гитаре" (гитарист из меня посредственный), а сочинением  и исполнением собственной музыки. И там и там - сплав креатива и технологий.

18. У вас потрясающее чувство юмора, наверняка вы знаете забавные истории, можете поделиться интересным случаем из практики?
Никогда не называйте хосты распределенной сети одинаковым именем ;) Когда-то давно была найдена очередная уязвимость на уровне ядра linux, которую на одном из наших удаленных серверов попытались проэксплуатировать местные айтишники. Ну, само собой, в течение 15 минут они получили трудовые и были выставлены с работы, но патчить-то надо! И вот мы занялись. Принцип простой - удаленный вход на сервер, установка патча, ребут, проверка. Захожу на сервер с именем oracle (таких серверов было много), накладываю патч, ребут, коллега проверяет - не работает патч. Ну, думаю, далеко не первый сервер, может опечатка или что. Повторяю. Результат тот же. Странно, думаю, все сервера нормально, а калужский никак. Еще раз... В общем через два часа позвонили коллеги из Тюмени и спросили, а что это у них связь с КИС пропадает ;))) С тех пор в имена серверов стали добавлять указание города...

19. Расскажите о трех любимых художественных книгах. Что бы вы посоветовали обязательно прочитать?
Я не большой любитель беллетристики. Но из моих любимых, даже не книг, а авторов, могу порекомендовать Роджера Желязны. Особенно его короткие рассказы. Люблю стихи и прозу Саши Гутина, на некоторые его стихи я написал песни. Еще мне нравится британская детективная классика.

20. Пожелайте нашим читателям чего-нибудь хорошего.
Растите (профессионально и душевно), толстейте (денежно и в связях) и всё такое ;)

Большое спасибо за ответы на вопросы!

Ну и бонусом размещу здесь стихотворение Александра.

Я очень скоро стану стану старым
И дай мне Бог, чтоб не больным
Но я жалею лишь о малом
Не стать мне больше молодым

Я никогда не буду сильным
Призером в спорте золотым
Лишь об одной жалею мысли
Не стать мне больше молодым

Я никогда не стану статным
Тем более совсем худым
Жалею я невероятно
Не стать мне больше молодым

Ну и пускай уже не молод.
Но я пока еще вполне
Готов свернуть любые горы,
Но только лежа на спине*

*Авторская пунктуация сохранена.

Здесь можно послушать музыку Александра. 

Вот такое получилось интервью, есть о чем подумать, с чем согласиться и поспорить. Мне эта беседа очень понравилась. Надеюсь, и вам тоже.


_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

Комментариев нет:

Отправить комментарий