Ещё один момент, который я хотел бы отметить. В России как-то побаиваются международного опыта, почему-то считают, что если российские программисты участвуют в некотором международном предприятии, то об этом рассказывать не надо. То ли стыдно, то ли нехорошо. Уж не знаю, как это себе пресса видит. Мол, вот если бы компания была чисто российской, тогда в неё можно смело вкладывать деньги (особенно государственные) и рассказывать о ней. На мой взгляд, это "неправильный патриотизм". Я сам считаю себя патриотом, но нужно уметь учиться у других. В данном контексте, если мы сами не понимаем мировой рынок, хорошо умеем писать код и создавать технологии, но плохо умеем упаковывать продукты, так давайте учиться у тех, кто хорошо умеет.
Это означает, что должны создаваться предприятия, у которых штаб-квартиры за рубежом, при этом команда разработки в России, и хорошо, когда у разработчиков есть доля в компании. Когда эта компания растёт и становится успешной, у наших людей, пускай они занимаются не бизнес-менеджментом, а отвечают за разработку, появляются деньги. И после выхода из этой компании, после того как она продана, они могут выбирать: становиться CTO в других стартапах, в которых у них будет большая доля или пытаться строить бизнес — они всё-таки постепенно усваивают и бизнес-практику после работы в таком «дуальном» стартапе. У них уже есть свобода выбора, они могут дальше двигаться в любую сторону. Отсюда и могут взяться "серийные предприниматели".
Я думаю, что не пройдя через этот этап, когда компании будут совместными, американско-российскими, европейско-российскими, мы никуда не двинемся, потому что мы будем вариться в своем соку, не понимая, какие возникают технологии на западе, какие там инновации, не выезжая на форумы и симпозиумы, о которых я сказал в начале. Мы так и останемся внутри себя, а мир-то двигается.
Все серийные предприниматели, которых я упомянул, создавали свои компании с прицелом на продажу на западном рынке. Скажем, главная компания Сергея Белоусова это Parallels, у которой вся команда разработки сидит в России, а штаб-квартира на западе, и вообще офисы практически по всему миру. Какой компанией её считать, российской или нет? Это компания с "российским ДНК", которая умеет извлекать пользу из того, что у нас отличные технические кадры. Она создает конкурентоспособный на мировом рынке продукт, при этом я точно знаю, что у российских кадров здесь есть доля в компании. Они являются полноценными акционерами и могут становиться обеспеченными людьми, по мере того, как компания растет, и дальше уже реализовывать что-то своё.
Александр Галицкий всегда ориентировал свои бизнесы на международный рынок и успешно работал с той же Sun Microsystems. Ратмир Тимашев и Андрей Баронов создали компанию в Америке с командой разработки в России, продали и теперь повторяют этот опыт. А также поддерживают малый российский бизнес с прицелом на выход на международный рынок за счёт деятельности собственного венчурного фонда.
Я считаю, что это совершенно закономерный процесс, и его надо не бояться, а наоборот всячески поддерживать и ориентировать молодых ребят, на то чтобы они искали перспективные стартапы, в которых можно развиваться вместе с компанией. Если ты ну совсем не бизнесмен, а программист "до мозга костей", пожалуйста, у тебя есть путь до Chief Technical Officer в такой компании, и дальше, если ты акционер, ты можешь получить достойный доход. Если твоя цель — заработать денег, будучи программистом, вот хороший путь. И надо искать таких предпринимателей, которые готовы взять перспективных людей в свои быстро развивающиеся компании.
Хочу сказать спасибо всем, кто комментирует, действительно очень рад услышать мнения. Моя основная задача — это дать какую-то новую продуктивную информацию тем, кто думает, как им строить карьеру в ИТ. Мне было бы интересно отвечать на конкретные вопросы, а не на комментарии, что "это невозможно" и "то невозможно", поскольку я-то точно знаю, что возможно, и знаю людей, которые это делают. Некоторых из них уже позвал писать в «Компьютерру» в раздел «Readitorial». История компании «Атилект» уже появилась. Будут и ещё. В общем, приглашаю комментировать всех, кто хочет узнать что-то новое, и рад буду ответить на вопросы.
К оглавлению
Информационная безопасность 2010
Алексей Лукацкий
За последний год меня часто спрашивали будущие выпускники ВУЗов и аспирантур о том, какую тему выбрать им для своего диплома/диссертации, какие направления информационной безопасности наиболее актуальны сейчас и будут востребованы в будущем. Предвидя, что такие вопросы и дальше будут продолжаться, я решил аккумулировать в данной заметке ключевые направления исследований в области ИБ, над которыми сейчас бьются лучшие умы отрасли. Но чтобы не быть голословным, я буду опираться также на отечественные и американские (в первую очередь) документы, описывающие направления развития отрасли на ближайшие годы.
Итак, начну с 126-тистраничного документа "A Roadmap for Cybersecurity Research", выпущенного в ноябре прошлого года Министерством национальной безопасности США (U.S. Department of Homeland Security). В этом документе выделено 11 направлений для исследований и инвестиций со стороны государства, бизнеса и научного сообщества. К ним относятся:
1. Масштабируемые системы, вызывающие доверие (trustworthy). Термин trustworthy очень сложно перевести на русский язык одним словом. Перевод его как «достоверный» не совсем отражает весь спектр взаимоотношений, заложенный в исходный термин. Это и целостность систем, и их доступность и конфиденциальность, и жизнеспособности и гарантированная производительность, а также подотчетность, удобство использования и многие другие критические свойства. Иными словами, речь идет не просто о защищенных системах, а о системах, обладающих гораздо большим числом важных свойств.
2. Метрики уровня предприятия. Об измерении эффективности и результативности ИБ говорят уже давно, но до сих пор эта работа ведется многими спустя рукава. Отчасти именно по причине отсутствия адекватных методик и инструментов измерения, которые могут быть применены не только к защищенным, но и в более широком смысле, к системам, вызывающим доверие. Насколько защищена моя организация? Как изменился уровень защищенности за прошедший год? Как мы соотносимся с другими компаниями в отрасли в части ИБ? Насколько защищен приобретаемый нами продукт или технология? Сколько безопасности достаточно и сколько на нее можно и нужно тратить? Все эти вопросы пока остаются без ответа.
3. Жизненный цикл оценки системы. Критика подхода ФСТЭК и ФСБ в части сертификации продуктов безопасности общеизвестна. Как можно месяцами или даже годами проверять продукт, если за это время успевает выйти не только несколько новых версий оцениваемого продукта, но и характер угроз и среда применения продукта могут существенно измениться? Но есть ли альтернатива, которая позволит за приемлемое время проанализировать систему с точки зрения ИБ, не тратят при этом колоссальные средства, зачастую превышающие стоимость самой системы? Этому и посвящено данное направление исследований.
4. Противодействие внутренним угрозам. Инсайдеры… Сотрудники, облеченные полномочиями, часто целенаправленно не учитываются в моделях угроз, т. к. им сложно противопоставить действительно эффективные защитные меры. Американцы столкнулись с этой проблемой в публичных скандалах, связанных с такими именами как Олдрич Эймс, Роберт Ханссен, Джонатана Полларда, высокопоставленных сотрудников американских спецслужб, являющихся двойными агентами. В России с аналогичными проблемами сталкивались и отечественные спецслужбы (дела Полякова, Пеньковского, Розенбергов и т. п.). Как эффективно бороться с такой угрозой? Как снизить ущерб от действий инсайдеров? Как найти доказательства, значимые для суда? Исследования по данному направлению направлены на то, чтобы найти ответы на эти вопросы.
