1. Добрый день,
Александр! Вы очень интересный собеседник, человек с богатым жизненным и
рабочим опытом, настоящее «Лицо ИБ». Я рада, что представилась возможность
взять у вас интервью. Расскажите вкратце о себе, о своем опыте работы.
Родился я еще в
прошлом тысячелетии ;) Закончить школу успел еще при социализме, а вот
студенческие годы пришлись уже на перестройку. Работал где придется и как
придется. Был шахтером, дальнобойщиком, музыкантом, но остановился на
компьютерах. Сначала программирование, потом администрирование, потом и
безопасность ;)
2. У вас
первое образование по специальности «Маркшейдерское дело», как пришли в ИБ?
После школы я
поступил в "Станкин" на специальность САПР. Где, собственно, и
впервые увидел компьютеры. Они тогда были большими ;) Перфокарты, перфоленты,
вот это вот все ;) После службы в Советской Армии уехал в Екатеринбург, где и
пребываю по сей день. Поступил в горный институт и вот там и увидел персоналки
;) Преподаватель по информатике, видя мой интерес, пристроил меня на работу к
своему знакомому в ОблСЭС. И вот, с 1990 года я с компьютерами. После окончания
института 4 года проработал сисадмином и начальником отдела ИТ в разных
конторах города. Потом знакомый пригласил меня в банк. Админить. Спустя
некоторое время мне предложили заняться ИБ в банке. Ну я и согласился. Съездил
в столицу, прошел в АРБ курсы по безопасности банковских систем и баз данных, так
и пришел в ИБ... Это был 1998 год.
3. Мне
кажется, один из самых важных навыков специалистов – умение состряпать
информационную безопасность «из ничего». Поделитесь своим опытом работы с
маленьким бюджетом: что можно сделать самостоятельно и почти бесплатно?
Я никогда не
работал "с маленьким бюджетом". Я работал с бюджетом
"нулевым". То есть ФОТ мне обеспечивала служба безопасности, железо
закупалось службой ИТ, а там "крутись как хочешь" ;). Сделать
"бесплатно" можно ВСЁ. Особенно теперь. ВАЩЕ ВСЁ. Раньше было
труднее. Основных условий два - быть самому отличным технарем и иметь союзника
на самом верху. Я никогда не работал на директора предприятия. Я всегда работал
на собственника. Это важно. Директор решает свои задачи, в том числе личные.
Собственник решает задачи всего бизнеса. Технический бэкграунд - безусловно
свободное ПО. В первую голову Linux. Мне приходилось заниматься разработкой
недостающих функций в linux, но это было давно, на рубеже столетий. Сейчас все
есть "из коробки". Но умение программировать, знать внутренности
протоколов, устройство ОС изнутри катастрофически необходимо. Жаль, что сейчас
такому не учат в институтах. В начале 2000-х я искал linux-админа на свою
инфраструктуру. Всего 180 серверов. Искал два года. Нашел. Тоже человека со старым
образованием. Просмотрел порядка сотни кандидатов. Вот такой выхлоп ;) Поэтому
я всегда говорю, что "бесплатно будет дороже" ;) Из того, что
приходилось делать самому - файрволы, "dlp" (в кавычках, потому как
решала исключительно нужные мне специфические вопросы), всяческое удаленное
управление (через смс, емайл), мониторинговые вещи в локальной и распределенной
сети. В общем, было бы желание и время - можно сделать все. Причем желание - не
только твое!
4. Читатели часто
спрашивают меня про работу «не в столице», я даже хэштег сделала
#в_регионах_есть_иб для поиска резюме и вакансий. Как обстоят дела с работой на
Урале? Легко ли в Екатеринбурге устроиться по нашей специальности?
У нас на Урале
очень интересный момент с рынком работников ИБ. Есть отдельный банковский
остров. Там у работников должна быть "задняя стенка черепа выстлана
инструкциями ЦБ". Это скучно, денежно, представительно. Есть
государственные органы. Там работают бывшие люди в погонах. Есть интеграторы.
Там все новое, красивое, представительное, надо продавать. Продавец из меня,
как из собачьего хвоста - сито. Собственно, поэтому я нигде из перечисленного
не работаю ;) В остальном у нас пока странная ситуация. Многие хотят в качестве
ИБ служивых в определенных конторах пенсионеров. Обычно с бумажным ИБ в этом
случае все хорошо. А техническую сторону отдают в ИТ. То есть "кот Василий
жрал то, что должен был стеречь". Я категорически против подобного
подхода. В частности, из-за этого уволился с предыдущего места работы, которому
отдал 13 лет ;) А вот нормальной организации ИБ у нас практически нет. Нет,
есть, конечно, заводы, конторы, офисы с правильным ИБ, но в процентном
соотношении с остальными их единицы. Поэтому устроиться с одной стороны
просто (в бумажную ИБ), с другой стороны реально сложно ;) Вот такой вот
дуализм. Плюсом сюда примешивается местечковый специалитет. Который
выражается в горизонтальных отношениях собственников бизнеса, власти и
специалистов. Это совершенно непонятная субстанция для скупающих оптом и в
розницу региональные предприятия столичных денежных мешков. Отсюда вытекает
огромное нежелание работать со столичными новыми собственниками. И я тут не
одинок.
5. У вас богатый
опыт работы: промышленность, автомобильный бизнес, образовательное учреждение и
т.д., большое ли значение имеет специфика предприятия? ИБ везде разное?
Принципиально
разницы нет. Есть нюансы. В основном связанные с "руководящим
направлением". Это либо собственные разработки и КТ, либо ПДн, либо еще
какая-то часть ИБ, которая в данной отрасли наиболее важна.
6. Что для вас
интереснее: «бумажная безопасность» или технические меры защиты информации?
Я технарь. Я пришел
в ИБ из сисадминов. Поэтому ответ очевиден. Я не люблю бумагу.
7. Как организовать
эффективный внутренний аудит? Есть какие-то способы повысить свою эффективность
при анализе большого объема данных?
Беда в том, что все
кинулись собирать данные. БигДата, вот это вот все. Это тупик. ИБшник,
обложенный данными, становится похожим на бухгалтера. Собирать надо
отношения. ;) Когда у тебя есть неформальные отношения внутри коллектива, тебе
не надо данных, ты и так знаешь кто когда куда и что ;) Разговаривайте с
людьми! это сэкономит уйму времени и места на ваших дисках ;) И сильно поможет
в понимании того нужен ли вам аудит вообще или нет. Подсказка - нет ;)
8. Можно ли
научиться «видеть потенциальных нарушителей»?
Видеть - нет. Знать
- да ;)
9. Читаете ли вы
профессиональные блоги? Можете кого-то порекомендовать?
Не читаю. Не
интересно. По крайней мере, я не встречал блога, который бы не пытался мне
что-нибудь продать. А зачем читать, если я никогда этого не куплю? ;)
10. С чего, по
вашему мнению, нужно начинать обучение информационной безопасности?
С технических азов.
Устройства компьютера, сетей, протоколов. И базового технического высшего
образования. Много, очень много математики.
11. Куда лучше
отнести ИБ подразделение, к айтишникам или к службе безопасности?
Только СБ или
выделенное подразделение уровня подчинения собственнику. Все остальное -
профанация.
12. Какие навыки
специалиста вы бы называли ключевыми?
Технический бэкграунд
и умение общаться с людьми.
13. Вы занимаетесь
ИБ с 2000 года, насколько я знаю. Как на ваш взгляд поменялась роль специалиста
по защите информации за последние 20 лет?
С 1998-го ;) На
бумаге роль поменялась сильно. В реальности - почти никак. Единственное что,
благодаря законодателям, наличие собственной ИБ из "модной тенденции"
перешло в "обязательные условия".
14. Вы согласны с
утверждением «80 процентов внутренних угроз, 20 – внешних»?
Нет. 80 на 20 было
на границе веков. Сейчас, если, конечно, вы не являетесь стратегически важным
предприятием отрасли, это соотношение 95 на 5.
15. С какими
подразделениями специалисту по ИБ стоит подружиться?
Ни с какими. Дружба
- понятие интимное. Иметь хорошие отношения надо в первую очередь с
собственником, с ИТ и с бухгалтерией (чтобы не забывала платить зарплату ;))))
16. Кому не стоит
заниматься информационной безопасностью?
Гуманитариям и
юристам.
17. Знаю, что вы
увлекаетесь игрой на гитаре, философский вопрос: «Что общего у музыки и нашей
профессии?»
Я занимаюсь не
"игрой на гитаре" (гитарист из меня посредственный), а
сочинением и исполнением собственной
музыки. И там и там - сплав креатива и технологий.
18. У вас
потрясающее чувство юмора, наверняка вы знаете забавные истории, можете
поделиться интересным случаем из практики?
Никогда не
называйте хосты распределенной сети одинаковым именем ;) Когда-то давно была
найдена очередная уязвимость на уровне ядра linux, которую на одном из наших
удаленных серверов попытались проэксплуатировать местные айтишники. Ну, само
собой, в течение 15 минут они получили трудовые и были выставлены с работы, но
патчить-то надо! И вот мы занялись. Принцип простой - удаленный вход на сервер,
установка патча, ребут, проверка. Захожу на сервер с именем oracle (таких
серверов было много), накладываю патч, ребут, коллега проверяет - не работает
патч. Ну, думаю, далеко не первый сервер, может опечатка или что. Повторяю.
Результат тот же. Странно, думаю, все сервера нормально, а калужский никак. Еще
раз... В общем через два часа позвонили коллеги из Тюмени и спросили, а что это
у них связь с КИС пропадает ;))) С тех пор в имена серверов стали добавлять
указание города...
19. Расскажите
о трех любимых художественных книгах. Что бы вы посоветовали обязательно
прочитать?
Я не большой
любитель беллетристики. Но из моих любимых, даже не книг, а авторов, могу
порекомендовать Роджера Желязны. Особенно его короткие рассказы. Люблю стихи и
прозу Саши Гутина, на некоторые его стихи я написал песни. Еще мне нравится
британская детективная классика.
20. Пожелайте нашим
читателям чего-нибудь хорошего.
Растите
(профессионально и душевно), толстейте (денежно и в связях) и всё такое ;)
Большое спасибо за ответы на вопросы!
Ну и бонусом размещу здесь стихотворение Александра.
Я очень скоро стану
стану старым
И дай мне Бог, чтоб
не больным
Но я жалею лишь о
малом
Не стать мне больше
молодым
Я никогда не буду
сильным
Призером в спорте
золотым
Лишь об одной жалею
мысли
Не стать мне больше
молодым
Я никогда не стану
статным
Тем более совсем
худым
Жалею я невероятно
Не стать мне больше
молодым
Ну и пускай уже не
молод.
Но я пока еще
вполне
Готов свернуть
любые горы,
Но только лежа на
спине*
*Авторская пунктуация сохранена.
Здесь можно послушать музыку Александра.
Вот такое получилось интервью, есть о чем подумать, с чем согласиться и поспорить. Мне эта беседа очень понравилась. Надеюсь, и вам тоже.
_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova
Книга электронная! Стоимость - 200 р.
Комментариев нет:
Отправить комментарий