Стремительный поток перемен, порожденный технологическими инновациями, сметает на своем пути все: общественные институты, бизнес-модели, ценности и смыслы. Лишь одно остается непоколебимым в этом мире. Изначально организаторы Саммита полагали, что это — сами перемены. Однако предприниматели из зала внесли свою правку, что это — тренд на сохранение и увеличение прибыли. Но вот вопросы: кому эта прибыль достанется, а кого снесет переменами? Остались ли вообще константы? На все поставленные вопросы с точки зрения экспертов из мира IT и информационной безопасности пытались ответить на прошедшем 24 сентября 2019 года в Москве BIS Summit 2019.

На стыке цифрового и аналогового миров

«Мы не планируем делать шокирующие предсказания. Мы взглянем на ситуацию с практической точки зрения, чтобы определить конкретные проблемы и найти способы адаптации отрасли к стремительно меняющимся реалиям. При этом под термином VUCA, в нашем понимании, скрыт акроним английских слов volatility (нестабильность), uncertainty (неопределенность), complexity (сложность) и ambiguity (неоднозначность)», — заявил, отрывая Саммит, модератор первой сессии Рустэм Хайретдинов, президент ассоциации BISA.

Те, кого принято называть цифровыми лидерами, взяв на вооружение догму об ускорении time-to-market любой ценой, загоняют себя в ловушку

К дискуссии он пригласил Наталью Касперскую, президента ГК InfoWatch, Игоря Ляпунова, вице-президента компании Ростелеком по ИБ, Александра Тынянских, консультанта Adizes Institute, Марию Вожегову, управляющего партнера Gartner, а также Олега Бачурина, председателя правления Банка Казани. Отметим, что основные тезисы последовавшей далее второй сессии «Адаптация ИБ к новым условиям бизнеса» существенно дополнили первую. В частности, заинтересовали мнения Сергея Сажина, руководителя департамента ИБ «Почты России», Антона Карпова, директора по безопасности компании «Яндекс», а также Андрея Арефьева, директора департамента развития продуктов InfoWatch.

Первая мысль, на которую следует обратить внимание: цифровизация, как палка, имеет два конца. На одном — огромное количество предприятий, условно, «перевозящих сыпучие грузы из точки А в точку Б». Все они находятся в начальных стадиях перехода в digital-мир. На другом полюсе: «Яндекс», «Тинькофф», «Мегафон» и т.д., основу капитализации которых составляет умение монетизировать большие данные. Между ними — цифровая пропасть. Роли IT и ИБ в них принципиально разные. Но поскольку «в штуках» первых значительно больше, создается иллюзия, что разговоры о VUCA-мире актуальны лишь для Натальи Касперской и аналитиков из Gartner. Но это заблуждение, причем очень опасное. VUCA сейчас может пустить под откос структуры любого масштаба: от государства в целом до ИП, у которого вдруг заблокировали банковский счет.

Концепция «менеджмент — это и есть управление изменениями» порой не выдерживает критики

Второе: представители «цифрового полюса» двигаются вперед с разным темпом, в полном соответствии с теорией Gartner о «двухскоростных IT в банках». Те, кого принято называть цифровыми лидерами, взяв на вооружение догму об ускорении time to market любой ценой, загоняют себя в ловушку: скорость в ущерб качеству. Проблемы с релизами iOS 13 от некогда непогрешимой Apple — ярчайший тому пример. А как известно, непогрешим только Папа Римский. То есть скорость может порой привести к краху, если нет тормозов. Но кто сказал, что тормоза есть у того условного локомотива, который мчится вслед за вашей компанией? Однако беда не только в этом. Если движение вперед недостаточно быстрое, не то что компания, государство может стать, по определению Натальи Касперской, «цифровой колонией». Всегда необходимо расставлять приоритеты.

Третья мысль: в продолжение предыдущего ускорение time to market в условиях капитализма, как просчитали более ста лет назад классики марксизма-ленинизма, приводит еще и к тому, что ИБ порой становится заложницей топ-менеджмента, доходы которого завязаны на бонусы от прибыли. Топ-менеджмент, не изменив структуры компании или банка, ускоряет процессы настолько, что привычное для ИБ участие в проектах на этапах проектирования сервисов становится просто невозможным. А до концепции Security-by-Design у них «управленческая мысль» так и не доросла. Отсюда вывод: концепция «менеджмент — это и есть управление изменениями» порой не выдерживает критики. Нужны примеры? О них живописно рассказала Мария Вожегова, имея в виду Amazon и т.д.

О треугольниках и параллелограммах

Четвертая мысль: раз бизнес цифровых лидеров строится на больших данных, то куда они делись из списка хайповых технологий кривой жизненного цикла Gartner? Ответ на этот вопрос оказался комплексным. Для начала, настоящие Big Data находятся в руках, десятка компаний в мире. Остальные могут тешить себя сколько угодно, любовно поглаживая свой диск с парой терабайт данных. Это никак на бизнес, основанный на данных, не тянет. Далее, Big Data в течение несколько лет распались на веер технологий на их основе, а главный хайп сейчас находится вокруг Smart Data, которые реально можно быстро монетизировать. Остальную информацию в основном хранят в надежде на будущую пользу от нее. Наконец, в зависимости от того, кто, как, сколько и где хранит свои данные, выстраивается архитектура их защиты. Универсального решения здесь со стороны ИБ нет и быть не может. Зато есть подходы. О них рассказывали во второй половине Саммита.

В банках виден уход от ИБ на базе моделей угроз к реагированию на отклонение от типовых бизнес-процессов вследствие инцидентов

Пятое, существуют отрасли с жестким регулированием, например банковская сфера, от имени которой выступал Олег Бачурин из Банка Казани. В свое время в банкинге изменения привели к трансформации смысла ИБ от простого соответствия нормативным документам к реальным усилиям по ее обеспечению. Сейчас переход на «Базель III» вообще размывает ИБ в пользу риск-менеджмента. Поэтому виден уход от защиты на базе моделей угроз к реагированию на отклонение от типовых бизнес-процессов вследствие инцидентов. Но не только ЦБ довлеет над банками, не меньшее давление игроки испытывают от наличия навыков управления операционной эффективностью и умением работать с клиентами и собственным персоналом. Выигрывает тот банк, который умеет находить баланс в рамках этого треугольника. По мнению Натальи Касперской, все же в банкинге стоит говорить о параллелограммах, ведь есть и четвертая болевая точка — FinTech. Но как ни считай проблемы банкиров, у них есть уже накоплен уникальный опыт непрерывного управления изменениями. Их-то жизнь заставила научиться «переиспользовать» затраты, понесенные на ИБ в рамках комплаенса, на другие «бизнесовые» потребности, которые дают возможность банку развиваться в весьма агрессивной и конкурентной среде.

В качестве краткого вывода можно привести мнение Марии Вожеговой, которая полагает, что на стыке цифрового и аналогового миров постоянно возникает множество возможностей для нового бизнеса. Печальная новость в том, что крупный бизнес, хоть аналоговый, хоть цифровой, не успевает за открывающимися возможностями, ведь он загнал в себя в угол в погоне за скоростью. Но и новый бизнес не может не крутить изо всех педали. ИБ в данном случае должна перестать быть ограничивающим фактором, а научиться предвидеть потребности бизнеса, основанного на Smart Data. Это и есть жизнь в VUCA-мире, однако!