Бездельник или суперхакер: стереотипы о специалистах по кибербезопасности

Появление стереотипов о тех или иных профессиях во многом обусловлено особенностями человеческого мышления. Всегда проще принять некоторые «устоявшиеся» взгляды, чем самостоятельно разобраться в том или ином явлении, и сделать выводы.

Применительно к ИБ-специалистам, стереотипов достаточно много. Часть из них обусловлены самой историей профессии, другие – практикой взаимодействия «безопасников» с другими сотрудниками на местах, третьи – вовсе строятся на искривленном восприятии информационных технологий.

В этой статье будут разобраны основные стереотипы о специалистах по информационной безопасности, которые есть у разных групп: заказчиков, сотрудников «на местах» и рядовых обывателей, которые никак не взаимодействуют с представителями отрасли по рабочим задачам.

Что заказчики думают о кибербезопасности

В этом году вопрос обеспечения информационной безопасности обострился кратно, стал актуален для большого числа компаний. Ряд из них уже знакомы с ИБ-инженерами и другими представителями отрасли, другие задумались (из-за хакерской активности или требований регулятора) об информационной безопасности впервые.

Валерий Степанов

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграции

Действительно, существуют некоторые стереотипы об ИБ-специалистах и об информационной безопасности в целом. При взаимодействии с заказчиками следует выделить несколько особенно ярких:

• первый стереотип заключается в том, что информационная безопасность — это дорого. Однако как показывает практика, размер вложенных средств в ИБ гораздо меньше, чем размер финансового или репутационного ущерба (например, из-за утечки данных). Более того, использование передовых технологий является «историей успеха» и выступает в качестве конкурентного преимущества;

• второй стереотип: использование облачных технологий все еще небезопасно. Наш проектный опыт говорит об обратном: использование средств защиты в облаках показывает великолепную эффективность в противодействии внешним угрозам;

• третий стереотип: «бумажная» безопасность – политики, регламенты, инструкции – не дает практических результатов. Поскольку к вопросам информационной безопасности необходимо подходить комплексно, многие процедуры и методы контроля возможно выстроить с помощью организационно-распорядительной документации и корректировки процессов. 

Еще одно заблуждение, которое характерно для бизнеса – это отношение к информационной безопасности как к продукту, а не процессу. Такой взгляд характерен, как правило, характерен для компаний, которые только знакомятся с кибербезопасностью и разными ее аспектами.

Также, руководство компаний часто считает ИБ-специалиста « мастером на все руки», который может одинаково эффективно и системы администрировать, и контролировать сотрудников, и следить за соблюдением требований регулятора и соответствием нормативной документации. Несмотря на то, что должность ответственного за информационную безопасность, предполагает все эти виды деятельности, один человек просто физически не способен качественно выполнять все задачи.

Каким «безопасника» видят коллеги

Исторически, информационная безопасность – это довольно закрытая сфера. «Первые безопасники», в большинстве своем, проходили обучение в Институте криптографии и Академии ФСБ, а затем работали в закрытых компаниях и учреждениях.

Но ситуация давно уже изменилась. Обучение специалиста по информационной безопасности может проходить как в гражданском ВУЗе, так и с помощью EdTech-курсов. Работать такой специалист может во вполне публичной компании из любой отрасли: от финансов и ритейла, до производства и логистики.

Но в головах многих людей стереотип «былых времен» остался, поэтому они воспринимают ИБ-специалиста как «надзорный орган», который, с одной стороны – «доносит» руководителю, с другой – еще и пишет «отзывы» о сотрудниках в компетентные органы.

Алексей Дрозд

Начальник отдела информационной безопасности «СёрчИнформ»

Со стереотипами о профессии приходится сталкиваться при общении с людьми, далекими от темы кибербезопасности. Самое типичное – безопасник воспринимается как «тыжпрограммист». То есть нет понимания самой сути рабочих обязанностей.

Информационная безопасность тесно связана со смежными дисциплинами (физической, экономической, промышленной безопасностью и др.) А еще все это бывает переплетено и соединяется в одном отделе, особенно в небольших компаниях. Это вводит в заблуждение и рождает мифы. Особенно внутри коллектива, среди коллег.

Мифы о профессии ИБ-специалистов чаще всего влияют на отношения внутри коллектива. Бывает, что искажения доходят до крайности, появляются ярлыки: «чекист», «бездельник», «хакер», «шпион». Коллеги могут избегать общения из-за страха и непонимания задач безопасника. На рабочих обязанностях это никак не сказывается, просто создает дистанцию между командой и специалистами ИБ-отдела.

Такое искривление восприятия происходит из непонимания рабочих задач «информационного безопасника». Например, ИБ-специалист, который мониторит активность сотрудников внутри сети, делает это не для того, чтобы «настучать боссу» о том, чем сотрудник занимается в рабочее время, а чтобы вовремя уберечь его от скачивания вредоноса, ввода данных на фишинговом сайте или в зараженном скиммером интернет-магазине.

В некоторых случаях сами специалисты по кибербезопасности невольно способствуют появлению устойчивого мнения о себе. Например, если руководитель службы ИБ самостоятельно не «подсвечивает» свою деятельность, рассказывая руководству о том, как прошел этот месяц с позиции кибербезопасности (от чего защитили, сколько раз, что проанализировали и улучшили, над чем работаем), то велик риск получить ярлык бездельника просто потому, что о проделанной работе ИБ-службы никто не знает.

Что общество думает о специалистах по кибербезопасности

Стереотипы «самых широких масс» сильно подвержены двум факторам:

1. Восприятие кибербезопасности неотделимо от киберпреступности. Поскольку хакеры «медийнее» своих «белых» коллег, общественное мнение часто представляет ИБ-специалиста как «контрхакера».
2. Влияние кинематографа. Книги, фильмы и сериалы участвуют в формировании мнения о кибербезопасности больше, чем любые « реальные», обзоры, интервью и мнения.

Если говорить о кинематографе, то он, иногда, служит на благо, то есть популяризирует образ ИБ-специалиста, в обществе. Например, многие современные пентестеры и багхантеры впервые задумались об этой профессии после просмотра фильма «Хакер» 1995 года.

Но если смотреть в целом, то тренд нельзя назвать благоприятным, поскольку в большинстве фильмов идеализируется образ хакера, как «борца против системы, за все хорошее и светлое», а безопасники выставляются как раз теми самыми «киберполицейскими», которые бьют главного героя «кибердубинками».

Еще один негативный стереотип, который продвигается в кино – это восприятие ИБ-специалиста как «охотника самого на себя» или «завтрашнего киберпреступника», что, например, можно увидеть в достаточно популярном сериале «Оффлайн».

Подводя итог, можно сказать, что стереотипы о специалистах по кибербезопасности редко коренным образом влияют на бизнес и рабочие процессы, поскольку актуальность и востребованность профессии растет, «подтягивая» за собой и уровень понимания других людей.

В то же время, предлагаемый «широким массам» образ специалиста по ИБ можно назвать, в лучшем случае, нейтральным, а скорее позитивным. Возникает ситуация, когда в глазах обывателя, хакер, подсознательно, воспринимается лояльнее, чем ИБ-специалист.