Сегодня я решил сделать передышку от SOC'овской темы и написать немного про другое. Тем более, что и повод для этого есть. Во-первых, я сейчас нахожусь в США в качестве наблюдателя на выборах Трампа на конференции по безопасности. А во-вторых, я участвую в программных комитетах ряда российских конференций по ИБ. И вот на фоне этих двух явлений и родилось наблюдение, которым я хочу поделиться.
Очень часто от участников отечественных мероприятий по ИБ приходится слышать негативные отзывы о посещаемых семинарах и конференциях, которые изобилуют рекламой вендоров и почти не избалованы практическими выступлениями заказчиков. Что забавно, жалуются как заказчики, которые сами не выступают, так и вендоры, которые при этом гонят голимую рекламу в своих докладах. При этом на западных мероприятиях заказчики выступают очень активно и очень достойно. Почему так? Почему там потребитель не является пассивным слушателем вендорской рекламы, а у нас является? Я, наблюдая эту картину уже несколько лет, для себя выделил три основных причины происходящего (в порядке возрастания важности):
Очень часто от участников отечественных мероприятий по ИБ приходится слышать негативные отзывы о посещаемых семинарах и конференциях, которые изобилуют рекламой вендоров и почти не избалованы практическими выступлениями заказчиков. Что забавно, жалуются как заказчики, которые сами не выступают, так и вендоры, которые при этом гонят голимую рекламу в своих докладах. При этом на западных мероприятиях заказчики выступают очень активно и очень достойно. Почему так? Почему там потребитель не является пассивным слушателем вендорской рекламы, а у нас является? Я, наблюдая эту картину уже несколько лет, для себя выделил три основных причины происходящего (в порядке возрастания важности):
- Технологическая отсталость. Не секрет, что Россия, до недавнего времени активно строящая свои системы защиты опираясь на compliance, а не на требования реальной безопасности, была достаточно отсталой в технологическом плане. Завися от требований ФСТЭК, заказчики использовали антивирусы, межсетевые экраны, шифраторы, средства защиты от НСД и системы идентификации и аутентификации пользователей. Вот и весь джентльменский набор. С выходом 17/21-го приказов ФСТЭК ситуация сдвинулась с мертвой точки и в арсенале отдельных заказчиков стали появляться WAFы, SAST/DAST-сканеры, SIEMы и другие нишевые продукты. Но произошло это не так давно и называть это мейнстримом пока нельзя. Не знаю, насколько я прав, но думаю, что 80% компаний до сих пор используют вышеупомянутый джентльменский набор, а то и еще меньший состав решений по ИБ. В такой ситуации докладчик боится выглядеть глупо и архаично на фоне таких монстров как Qiwi, Вымпелком или Газпромбанк, которые не стесняются рассказывать о своем богатом опыте применения различных, в том числе и новомодных технологий.
- Неумение говорить. Об этой причине я уже высказывался не раз, но повторюсь. Очень мало кто из потенциальных спикеров когда-либо проходил курсы по так называемым presentation skills. Даже у вендоров докладчики не всегда умеют говорить красиво и доходчиво. А уж со стороны потребителей умение выступать - это еще большая редкость. На Западе же ситуация иная - искусству презентовать учат в университетах и почти каждый выпускник умеет это делать, продолжая оттачивать свое мастерство на работе (без этого сложно двигаться по карьерной лестнице). Вот сегодня я слушал представителей разных внутренних подразделений Cisco (разработчики, ИТ, ИБ, тестировщики, CSIRT и т.п.), которые не ориентированы на общение с заказчиками. Они выступали для своих, таких же как они. Но при этом они все умеют выступать. Не сбиваются, не мямлят, не бурчат себе под нос, соблюдают временные рамки, делают сбалансированные презентации. Их слушать не только интересно, но и приятно. У нас такое редкость и потенциально интересные спикеры боятся выходить на публику, даже если им есть, что сказать.
- Нежелание говорить. Основной же проблемой российского рынка ИБ-мероприятий является низкая зрелость докладчиков со стороны заказчиков, которые не считают необходимым делиться своим опытом и знаниями с коллегами. Дело тут не в принципе security through obscurity, которым можно было бы обосновать нежелание выносить на публику аспекты построения систем защиты на своих предприятиях (хотя и это тоже присутствует), а именно в непонимании того факта, что отдавая что-то (знания, опыт), можно получить еще больше. Почему-то у нас часто грамотные ИБшники, которым есть, чем делиться, и которые знают, как это все донести до аудитории, не хотят выступать, отвечая на предложение программных комитетов классическим "А зачем мне это надо?" или "Я занят; мне некогда". На Западе такое тоже присутствует (а где этого нет?), но уровень зрелости европейских и американских спикеров "от сохи" все-таки гораздо выше российского. У нас спикер после доклада часто сваливает "на работу", а на той же RSA Conference или SANS или иных западных мероприятиях, докладчики остаются и с охотой отвечают на вопросы слушателей. И это еще хорошо, если "наш" просто торопится на работу; бывают и просто вопиющие случаи. Например, "и швец, и жнец, и на дуде игрец" в своем выступлении говорить полную банальщину, а на просьбу все-таки рассказать чуть подробнее отказывается, ссылаясь на коммерческую тайну, ноу-хау и нежелание делиться тем, что самостоятельно изучал в течение нескольких лет. Так какого хрена ты тогда вообще выступал? Поторговать лицом? Или другой случай. Выступает, допустим чудак на букву "М" с по своему интересным докладом, после которого к нему подходят люди и спрашивают конкретные вопросы по существу. А докладчик от всех отмахивается, заявляя, чтобы ответы на эти вопросы стоят денег и за просто так он свое время тратить не готов. И снова вопрос, какую цель преследует докладчик, отшивая слушателей и вызывая у них стойкий негатив к себе, который транслируется и на компанию, в которой работает спикер?
Вроде как по всем трем причинам и их источник понятен, и способы решения тоже. Но все-таки ситуация не очень приятная и в обозримом будущем врядли решаемая. Как у участника нескольких программных комитетов регулярно возникает вопрос: "А кого из заказчиков можно пригласить на эту темы? А на эту? А вот на эту?" И ответа на него нет - приходится ограничиваться спикерами от интеграторов и вендоров, которые может быть и умеют говорить, но не всегда умеют дистанцироваться от своего работодателя и не гнать одну рекламу (даже если за их выступление заплачен спонсорский взнос). А потом приходится вновь слушать, что мероприятие было скучным и спасло только общение в кулуарах...
ЗЫ. Понятно, что описанные наблюдения - это скорее средняя температура по больнице и бывают счастливые исключения из описанной ситуации, но это именно исключения.