Специалист с двадцатилетним стажем умеет убеждать. Он знает, как объяснить руководству, что новые подходы — это риск, а проверенные методы — надёжность. Он находит аргументы, почему устаревшие решения лучше современных. Не потому что это правда, а потому что научился защищать свою территорию.
Молодой сотрудник предлагает внедрить систему, которая анализирует поведение пользователей и блокирует подозрительную активность автоматически. Старший специалист качает головой: «Слишком много ложных срабатываний. Заблокирует легитимного пользователя — получим жалобы от бизнеса. Наш межсетевой экран работает стабильно, не создаёт проблем, все к нему привыкли».
Звучит разумно. Руководство кивает. Предложение отклоняют.
Настоящая причина другая специалист не понимает, как работает поведенческий анализ, и боится оказаться некомпетентным при обсуждении технических деталей. Проще списать всё на «практические соображения», чем признать незнание.
За годы работы такие специалисты отточили риторику защиты статус-кво. У них готовый набор фраз для любой ситуации. Предлагают облачное решение — «данные должны храниться под нашим контролем«. Предлагают автоматизацию — «теряем прозрачность процесса«. Предлагают новую архитектуру — «у нас специфика, которую разработчики решений не учитывают».
Все эти аргументы объединяет одно они не требуют глубокого понимания предлагаемого решения. Достаточно сослаться на абстрактные риски, корпоративные ограничения, прошлый негативный опыт. Бремя доказательства перекладывается на того, кто предлагает изменения. Теперь молодому специалисту нужно не просто показать преимущества нового подхода, но и опровергнуть все гипотетические риски, которые озвучил старший коллега.
Опровергнуть гипотетические риски невозможно. «Может возникнуть несовместимость с существующими системами» как доказать, что не возникнет, пока не попробуешь? «Поддержка будет дороже, чем кажется» где гарантии обратного? «Внедрение нарушит работу критичных процессов» кто возьмёт на себя ответственность?
Ответственность ключевое слово. Специалист с опытом знает если внедрение пройдёт успешно, заслуга достанется всей команде. Если что-то пойдёт не так — виноват будет тот, кто настоял на изменениях. Рациональная стратегия блокировать любые инициативы, которые могут создать проблемы. А любая инициатива может создать проблемы.
Руководство слушает аргументы и выбирает безопасный вариант. Не технически безопасный — карьерно безопасный. Оставить всё как есть проще, чем объяснять совету директоров, почему компания вкладывает деньги в решения, которые старший специалист назвал рискованными. Если произойдёт инцидент при использовании старых методов — это форс-мажор, хакеры становятся изощрённее. Если произойдёт инцидент после внедрения нового решения — это ошибка руководства, которое не послушалось опытного специалиста.
Получается система взаимного прикрытия. Руководитель опирается на мнение старшего специалиста, чтобы обосновать консервативные решения. Специалист получает подтверждение своей экспертизы через влияние на решения руководства. Оба заинтересованы сохранить статус-кво.
Молодые сотрудники быстро понимают правила игры. Предлагать изменения бесполезно их заблокируют. Спорить со старшими коллегами опасно прослывёшь конфликтным. Лучшая стратегия соглашаться, выполнять поставленные задачи, не высовываться. Через несколько лет такой работы они сами становятся защитниками устаревших подходов, потому что усвоили инициатива наказуема.
Застрявшие специалисты научились маскировать незнание под осторожность. «Я не говорю, что это плохое решение, но нужно тщательно оценить все риски«. Звучит профессионально. На деле означает: я не понимаю, как это работает, поэтому буду тянуть время, пока инициатива не заглохнет сама.
Тщательная оценка рисков растягивается на месяцы. Нужно провести анализ совместимости. Изучить опыт других компаний. Подготовить технико-экономическое обоснование. Согласовать с юридическим отделом. Получить одобрение от всех заинтересованных сторон. К моменту завершения всех процедур либо бюджетный цикл закончился, либо инициатор проекта уже сменил работу, либо руководство забыло, зачем это вообще начинали.
Бюрократия становится оружием против изменений. Чем сложнее процесс согласования, тем меньше шансов, что новое решение внедрят. Старшие специалисты это понимают и активно используют. Формально они не отказывают — просто настаивают на соблюдении всех процедур. А процедуры написаны так, что пройти их можно только для решений, которые не меняют существующую архитектуру.
Опыт превратился в инструмент манипуляции. «У меня двадцать лет в безопасности, я видел десятки проектов, знаю, чем это закончится«. Как спорить с таким аргументом? Молодой специалист не может сослаться на аналогичный опыт — у него его нет. Руководитель без технического бэкграунда не может оценить обоснованность опасений — он вынужден доверять тому, у кого есть регалии.
Проблема в том, что опыт работы с технологиями двадцатилетней давности не даёт понимания современных угроз. Атакующие не используют методы, против которых эффективны старые средства защиты. Они обходят периметр, потому что периметра больше нет. Они крадут учётные данные, потому что системы доверяют любому, кто ввёл правильный пароль. Они перемещаются внутри уже скомпрометированной инфраструктуры, потому что никто не мониторит внутреннюю активность.
Старые методы не защищают от новых атак. Но признать это — значит признать собственную бесполезность.
Поэтому специалисты изобретают объяснения, почему инциденты происходят не из-за устаревших подходов, а из-за человеческого фактора. «Пользователь перешёл по фишинговой ссылке» значит, нужно усилить обучение персонала. «Администратор использовал слабый пароль» значит, нужно ужесточить политику паролей. «Сотрудник открыл вложение в письме» значит, нужно чаще проводить тренировочные рассылки.
Всё это правильно, но не решает проблему. Фишинг работает именно потому, что система доверяет пользователю, который ввёл правильные учётные данные, независимо от того, кто на самом деле сидит за клавиатурой. Слабые пароли — проблема, но даже сильный пароль можно украсть. Вредоносное вложение обходит антивирус, потому что антивирусы ищут известные сигнатуры, а злоумышленники используют новые варианты вредоносных программ.
Корень проблемы в архитектуре защиты, которая построена на предположениях, переставших быть истинными. Но это сложно объяснить руководству, которое хочет простых ответов. «Нужно обучать сотрудников внимательности» звучит понятнее, чем «нужно перестроить всю систему аутентификации и авторизации«.
Компании тратят деньги на имитацию безопасности. Покупают решения, которые требуют регуляторы. Проходят аудиты, получают сертификаты соответствия. Всё это создаёт иллюзию защищённости. Аудитор проверяет наличие межсетевого экрана — он есть, галочка. [√] Проверяет антивирус на рабочих станциях — установлен, галочка. [√] Проверяет политику смены паролей — утверждена, галочка.
То, что межсетевой экран не видит трафик между облачными сервисами, аудитора не интересует. То, что антивирус пропускает целевые атаки, не проверяется. То, что политика смены паролей вынуждает пользователей записывать их на бумажках, никого не волнует. Чек-лист заполнен — формально компания защищена. До первого инцидента.
После взлома начинается поиск виновных. Кто не обновил систему вовремя. Кто пропустил тревожный сигнал. Кто дал избыточные права доступа. Находят конкретного человека, совершившего ошибку. Его наказывают. Все делают выводы: нужно строже контролировать соблюдение процедур.
Никто не спрашивает: а почему процедуры не предотвратили инцидент? Может, сами процедуры устарели?
Такой вопрос не задают, потому что он ведёт к неудобным выводам. Придётся признать годы работы, инвестиции в инфраструктуру, прохождение аудитов — всё это не создало реальной защиты. Психологически проще найти козла отпущения среди исполнителей, чем пересматривать стратегию на уровне руководства.
Застрявшие специалисты мастерски используют этот механизм. После инцидента они первыми указывают на нарушения процедур. «Я же говорил, что нужно строже контролировать доступ». «Если бы сотрудники соблюдали политику безопасности, этого бы не произошло». Их экспертиза подтверждается — они предвидели проблему. То, что предложенные ими меры не способны предотвратить подобные инциденты в принципе, остаётся за кадром.
Цикл повторяется. Компания усиливает старые методы добавляет ещё один межсетевой экран, вводит более строгие правила паролей, проводит дополнительные тренинги по информационной безопасности. Сотрудники получают больше ограничений, процессы становятся сложнее, но реальная защита не улучшается. Следующий инцидент — вопрос времени.
Молодые специалисты видят эту картину и делают выбор. Одни уходят в компании, где готовы внедрять современные подходы. Другие адаптируются к системе, перенимают риторику старших коллег, начинают защищать устаревшие методы. Через десять лет они сами станут теми, кто блокирует инновации.
Индустрия воспроизводит саму себя. Учебные программы учат тому, что требуют сертификации. Сертификации проверяют знание стандартов. Стандарты описывают методы, которые использовались годами. Работодатели требуют сертификаты при найме. Получается замкнутый круг: система отбирает тех, кто знает устаревшие подходы, и отсеивает тех, кто знает современные, но не имеет формальных регалий.
Разорвать этот круг сложно, потому что слишком много людей заинтересованы в его сохранении. Старшие специалисты сохраняют позиции. Руководители избегают рисков. Аудиторы продолжают проверять привычные показатели. Вендоры продают решения, соответствующие требованиям регуляторов. Все получают то, что хотят, кроме реальной защиты.
Атакующие наблюдают за этой системой и благодарны её создателям. Чем дольше компании цепляются за устаревшие методы, тем проще их взламывать. Техники атак совершенствуются, инструменты становятся доступнее, целей становится больше. Защитники в это время спорят, нужно ли вообще что-то менять.
Временная петля существует не потому, что люди не понимают проблему. Многие понимают. Петля существует, потому что система выстроена так, что признать проблему означает потерять статус, должность, репутацию. Проще продолжать делать то, что делали всегда, и надеяться, что инцидент случится после твоего ухода на пенсию.
Единственный способ разорвать петлю готовность к дискомфорту. Специалист должен сказать: «Я отстал, мне нужно учиться заново». Руководство должно признать: «Наши инвестиции последних лет были неэффективны». Организация должна принять: «Сертификаты соответствия не гарантируют безопасность».
Но пока цена признания выше цены молчания, ничего не изменится. «Лучшие практики» останутся неизменными не потому, что они лучшие, а потому, что слишком многие построили карьеру на убеждении других в их незаменимости.
Знаете, что самое страшное? Через десять лет вы сами будете говорить новому сотруднику: «Твоё решение интересное, но у нас специфика». Не потому что вы станете злодеем. Потому что система не оставит вам шансов иначе.
Чек-лист: как выявить специалиста, застрявшего в прошлом
[ ] Когда кто-то предлагает новое решение, немедленно находит причину, почему это не сработает, не вдаваясь в детали
[ ] Не задаёт уточняющих вопросов о предложенном подходе, сразу переходит к возражениям
[ ] На предложение отвечает «мы пробовали похожее, не получилось«, но не может объяснить, что именно пробовали и почему не сработало
[ ] Когда разбирают проблему или инцидент, винит конкретных людей, а не ищет системные причины
[ ] После ошибки предлагает усилить контроль и дисциплину вместо изменения процесса
[ ] Объясняет любую проблему нарушением инструкций, а не тем, что инструкции могли устареть
[ ] Сталкиваясь с незнакомой технологией или методом, называет это «модой» или «очередным трендом»
[ ] При обсуждении нового переводит разговор на знакомые темы, которыми владеет
[ ] Сравнивает любое новое решение с чем-то старым и заявляет, что это одно и то же
[ ] Младшим коллегам на вопросы отвечает «поработаешь — поймёшь«, не давая конкретного объяснения
[ ] Избегает прямых ответов на профессиональные вопросы, ссылаясь на то, что «это слишком сложно объяснить»
[ ] Упоминает свой стаж работы вместо того, чтобы объяснить логику решения
[ ] Для принятия очевидных решений требует множественных согласований
[ ] Создаёт рабочие группы и комитеты для обсуждения простых вопросов
[ ] Откладывает любые изменения формулировкой «нужна полная оценка всех рисков«
[ ] В разговорах о работе часто упоминает, сколько лет работает в профессии
[ ] Регулярно вспоминает, как раньше всё было лучше и правильнее
[ ] Не помнит, когда последний раз проходил обучение, или это было несколько лет назад
[ ] Критику своего подхода воспринимает как личную атаку на компетентность
[ ] На замечания по методам работы отвечает перечислением прошлых достижений
[ ] Отклоняет аргументы собеседника фразой «у вас недостаточно опыта, чтобы это понимать«
Результат:
от 1 до 3 пунктов нормальная осторожность
от 4 до 7 пунктов тревожный знак
больше 8 пунктов специалист застрял
#кибербезопасность #информационнаябезопасность #управлениебезопасностью #цифроваятрансформация #организационнаякультура #инновации #IT #киберриски #инфобез #безопасностьIT