Каждая новая отрасль проходит период обучения, когда накапливается передовой опыт и создаются условия для будущего успеха. С этой точки зрения, есть много параллелей между передовым опытом обеспечения безопасности в авиации, накопленным за долгие годы ее развития, и лучшими практиками повышения безопасности современных ИТ.
21 октября в пленарном докладе на конференции по безопасности SecTor в г. Торонто пользующийся широкой известностью эксперт по безопасности Трей Форд, который сейчас работает специалистом по глобальной стратегии безопасности в фирме Rapid7, провел параллели между тем, как решались вопросы безопасности в авиации, и тем, как они решаются в ИТ-отрасли.
«Я считаю, что область информационной безопасности находится на начальном этапе развития, и ситуация в ней сегодня очень напоминает ту, что наблюдалась в авиации 100 лет назад», — заявил Форд, бывший главный менеджер конференций Black Hat и одновременно пилот.
В первые годы развития авиации не было никаких правил. В основном это верно и применительно к безопасности ИТ сегодня, отметил он: «Мы создаем их по ходу дела».
По словам Форда, 100 лет назад у пилотов не было свода знаний, на который можно было бы опереться. А сегодня, отметил он, компании требуют от своих специалистов в области ИБ профессионализма и опыта, который не всегда имеется. Он добавил, что большинство людей боятся неведомого, а компьютерная безопасность для очень многих все еще остается чем-то непонятным.
С точки зрения Форда, потребовалось много времени и ряд принципиальных нововведений, чтобы полеты самолетов вошли в жизнь современного общества. Первым требованием стала прозрачность. После крушения самолета авиационная отрасль стремилась задокументировать все неисправности, чтобы содействовать обеспечению безопасности.
«В авиации проводится полный анализ причин катастрофы. Но разве мы сегодня, как специалисты в области ИБ, исследуем досконально каждый инцидент, определяем и выявляем глубинную причину происходящего? — обратился Форд к аудитории. — Мне не известно, чтобы мы этим занимались, а в авиации поступали именно так».
Изучение и документирование аварий — главное условие нынешних успехов авиации, считает Форд. По всей вероятности, это применимо и к безопасности ИТ.
«В авиации, если появляется проблема со штурвалом или любой другой деталью, мы хотим знать, как она возникла, является ли она изолированной, отразится ли она на мне или ком-то другом, а затем мы хотим довести эту информацию до всеобщего сведения», — сказал он.
100 лет назад процесс лицензирования первых пилотов был очень прост, продолжал Форд. Все, что требовалось, — это умение взлететь, сделать в небе «восьмерку» и посадить аэроплан. С тем же успехом можно судить об умении водить автомашину по тому, способен ли водитель сделать круг на автостоянке, а затем припарковать машину где угодно.
Сегодня аттестация пилота для получения летной лицензии представляет собой сложную и строгую процедуру и является результатом накопленного на протяжении десятилетий опыта.
«Авиация является безопасной в том числе потому, что были изучены и задокументированы границы допустимого, усвоены полученные уроки и эта информация доведена до всеобщего сведения», — констатировал Форд.
Одним из важнейших уроков истории, на котором он подробно остановился, была история с бомбардировщиком Boeing Model 229, предшественником «летающей крепости» B-17. Во время испытательного полета 30 октября 1935 г. Model 229 потерпел катастрофу. Погибло трое из пяти находившихся на борту.
«Эта история важна для меня и любого другого летчика по одной причине, —пояснил Форт, — После нее в летную практику были введены перечни с указанием последовательности действий экипажа в различных ситуациях».
Расследование катастрофы Model 229 выявило, что пилот не снял блокировку стояночного тормоза. В результате был разработан порядок действий при взлете, защищающий последующие поколения летчиков от подобных ошибок.
«Я стою на плечах гигантов, отдавших свою жизнь ради того, чтобы у нас были такие перечни с инструкциями. Эти инструкции написаны кровью, и благодаря им я могу стать профессиональным летчиком», — сказал Форд.
Что касается безопасности в сфере ИТ, здесь тоже необходим обмен информацией, в результате которого выиграют все, считает Форд. Даже если речь идет об организациях, которые не могут сегодня раскрывать данные об атаках, которым они подверглись, по мнению Форда, необходимо найти способ организовать эти данные таким образом, чтобы они были понятны специалистам, которые смогут выявить типовые ситуации и сформулировать на будущее лучшие практики, которые позволят эти ситуации исключить.