Чтение онлайн

Современные холодильники способны определить, какие продукты заканчиваются, и заказать необходимое в интернет-магазине. Автомобили подключаются к сети с самыми разными целями, начиная с использования навигаторов и заканчивая вызовом помощи. В феврале 2020 года на платформе Kickstarter была запущена кампания по сбору средств для создания свечи, которую можно зажигать удаленно через приложения на смартфоне. Кажется, что к интернету подключено уже все на свете.

В то же время взрывной рост числа подключенных к интернету устройств, как и следовало ожидать, сопровождался взрывным же ростом числа угроз и векторов атак. Кибербезопасности теперь уделяют внимание даже в тех технологиях, для которых раньше не существовало цифровых угроз. Вот и еще одно свидетельство того, что эта сфера проникает во все аспекты нашей жизни.

Итак, можем ли мы по-прежнему называть кибербезопасность отраслью? Не стоит ли вместо этого рассматривать ее как часть каждого аспекта нашего мира — так же как просто безопасность была частью жизни наших предков на протяжении всей истории? Да, есть люди, которые специализируются на разработке безопасной среды. Существуют лучшие практики, создаются стандарты и соблюдаются правила. Но, в конце концов, безопасность — неотъемлемая характеристика всего, от рабочих мест до зданий и дорог. Возможно, рассуждая о карьерных путях и специализациях в этой сфере, нам стоит думать о кибербезопасности в таком же ключе.

Как видите, область кибербезопасности обширна и охватывает не только постоянно расширяющийся мир технологий, но и общие вопросы безопасности людей. Практически все аспекты нашей деятельности теперь прочно связаны с цифровой средой.

Таким образом, применительно к кибербезопасности понятие «отрасль» оказывается слишком ограничивающим. Теперь это важнейший элемент нашего образа жизни, а не то, что можно легко от него отделить. В отличие от информационной безопасности, которую в прошлом иногда рассматривали как ИТ-дисциплину, кибербезопасность — не просто набор конкретных навыков и практик, а нечто более концептуальное.

В разделе 1.4.3 мы говорили о человеческом факторе и о том, что человеческие ошибки могут свести на нет все усилия, которые мы прикладываем, чтобы сохранить наш образ жизни с помощью технических средств. Поэтому при решении проблем, связанных с кибербезопасностью, мы должны принимать в расчет тех, кого стремимся защитить. Но как же нам защитить всех жителей мира — с разной культурой, разными идеалами, уровнем образования и способностями?

Оказывается, в этом направлении важно сделать один большой шаг: создать разнообразие среди людей, которые создают средства защиты. Обеспечить безопасность нашему цифровому образу жизни поможет разнообразие мыслей, точек зрения и идей, помогающих в решении проблем. Кроме того, необходимо выявить особенности групп, которые мы пытаемся защитить.

Ничего из этого не получится достичь, если у всех членов команд будет одинаковый опыт, образование, схожая культура и карьерный путь. Чтобы кибербезопасность работала, надо приветствовать привлечение специалистов, имеющих столь же разнообразный жизненный опыт, что и другие члены нашего общества, и даже специально их искать. Это означает, что в сфере кибербезопасности есть место для каждого. Более того, мы в этом нуждаемся — чтобы у нас работало как можно больше представителей различных групп.

В своем «Отчете о разнообразии и инклюзивности» [2] за 2020 год (Diversity and Inclusion Report) компания Synack представила результаты опроса сотен специалистов об их опыте работы в сфере кибербезопасности. Респондентов спрашивали, считают ли они, что им были предоставле ны такие же возможности для карьерного роста, как и представителям других полов или этнических групп. 34 % участников женского пола ответили на такой вопрос отрицательно. Еще более тревожен (53 %) показатель представителей этнических меньшинств. Эти результаты свидетельствуют о проблеме недостаточного разнообразия, которая годами существует в технологической отрасли, особенно в сфере кибербезопасности.

В 2017 году Международный консорциум по сертификации в области безопасности информационных систем, или (ISC) [2] , совместно с компанией Frost & Sullivan опубликовал результаты «Глобального исследования рабочей силы в области информационной безопасности» [3] (Global Information Security Workforce Study). Этот опрос показал, что в Северной Америке доля женщин-респондентов составляет всего 14 %. В остальных регионах планеты показатель был еще меньше, Недостаточной представленности женщин в сфере кибербезопасности уделяется большое внимание в СМИ и различных исследованиях, но проблема до сих пор не решена. Согласно результатам того же опроса, лишь 23 % респондентов из США идентифицировали себя как представители этнических меньшинств, что также не соответствует их общей доле в населении страны. Например, темнокожими или афроамериканцами считают себя 13,4 % населения, а в опросе таких всего 9 %.

Этот разрыв часто объясняют противоречивыми причинами. В своей книге я не стану обсуждать достоинства этих теорий. Важно лишь понимать, что недостаток разнообразия, в частности гендерного, действительно существует, и от его устранения во многом зависит успех наших начинаний. К счастью, проблема была признана, и наше сообщество уже работает над ее решением.

Обеспечение разнообразия — это не просто дань политкорректности. Мир технологий и кибербезопасности постепенно осознает ценность разнообразия, которая лежит в плоскости не только морали и справедливости. Как я уже говорила в начале раздела, нам нужны специалисты, понимающие особенности мышления тех, кого мы пытаемся защитить, учитывая к тому же важность человеческого фактора. Такая способность позволяет находить более правильные решения.

Например, в 2014 году Счетная палата США опубликовала отчет [4] , где говорилось, что участились случаи ложных срабатываний сканеров тела, установленных в аэропортах по требованию Администрации транспортной безопасности. Часто ложные срабатывания ассоциировались с головными уборами, тюрбанами и париками. В 2017 году организация ProPublica сообщила [5] , что уровень ложных срабатываний у сканеров, особенно часто связанных с прическами, распространенными среди афроамериканок и темнокожих женщин, по-прежнему высок. Такие выводы были основаны на результатах независимого исследования, проведенного этой организацией.

Это заставляет задуматься: почему подобные сложности не выявляли раньше? Неужели «цветные» женщины не участвовали в разработке и тестировании устройств? Если бы состав проектной группы оказался более разнообразным, удалось бы предотвратить появление таких проблем, обойти их еще на начальном этапе? Ведь именно в этом заключается важность разнообразия. Процессы мозгового штурма и решения проблем более эффективны, когда их участники обладают разнообразными взглядами и опытом, на которые можно опереться. Поэтому для успешного решения проблем в сфере кибербезопасности нам следует обеспечить максимальное разнообразие внутри нашего сообщества.

Хотя это кажется проблемой сообщества и отрасли в целом, вам, как человеку, желающему построить карьеру в сфере кибербезопасности, важно понимать, что она в принципе существует. В главах 8 и 9 мы поговорим о том, что может сдерживать ваш карьерный рост. Об этой же конкретной трудности необходимо узнать на раннем этапе, когда у вас только начинает складываться представление о составе сообщества кибербезопасности, истории его развития и перспективах.