Серийные предприниматели
Сергей Еремин
Сегодня хотелось бы поговорить о том, как устроен российский малый бизнес в ИТ, и как это коррелирует с тем, что можно увидеть в США и даже более конкретно в Кремниевой долине или Silicon Valley, как ее там зовут, поскольку она является наиболее представительной точкой для ИТ в США. Я там был не раз, и сама идея поговорить на эту тему пришла потому, что в конце марта состоится знаковое для отрасли мероприятие, " " в Стэнфордском университете, по-английски Global Technology Symposium.
Это ежегодное мероприятие, основная цель которого — собрать экспертов и обсудить то, о чем большинство людей в обычной повседневной жизни не думают. Тема симпозиума в этом году — так называемые Disruptive Technologies, прорывные технологии, которые создают новые рынки или кардинально меняют существующие. Вообще, ИТ является лидером в создании прорывных технологий, и если какая-то компания рынок создаёт, то она становится мировым лидером, мы неоднократно это видели. Через это прошли и Microsoft, и Apple, и Google, и другие.
Вопрос — в том, можно ли ожидать технологических прорывов в ближайшем будущем. Необязательно в ИТ, симпозиум рассматривает инновации в целом, но, конечно, ИТ уделяется особое внимание. Интересно сказать, что начинался-то он как US-Russia Technology Symposium, его задачей было помочь развивающимся рынкам, в первую очередь российскому, понять, как функционирует поддержка малого бизнеса в Кремниевой долине и обеспечить передачу знаний. Постепенно, кроме российских компаний, начали подъезжать компании из других развивающихся стран, и он трансформировался во всемирный симпозиум, но присутствие российских представителей по-прежнему довольно существенно, и в числе организаторов имеются русские люди.
Я бы рекомендовал всем, у кого есть такая возможность, раз в жизни оторваться от стула здесь и поехать туда. Если есть желание понять, что такое ИТ — это точно то самое место и то самое время. Место — это обязательно Кремниевая долина, это обязательно Стэнфорд, потому что он по праву считается сердцем Кремниевой долины, а значит сердцем ИТ. Там же рядышком расположен музей истории ИТ в Маунтин Вью, называется Computer History Museum. И почему в это время, симпозиум — это такая квинтэссенция того, что происходит за год, и люди, которых в обычной жизни совершенно невозможно достать, там присутствуют и рассказывают свои идеи и мысли.
Туда может зарегистрироваться кто угодно, мероприятие платное, но не сильно для такого класса. Сейчас открыта так называемая “early bird” регистрация, она стоит около 700 долларов. Обычная цена — 1000 долларов. Но мы сейчас в процессе переговоров с организаторами, я думаю, что, например, для стартапов из развивающихся стран, которые участвуют в программе Microsoft BizSpark, сделаем специальный однодневный семинар 24 марта, и добьёмся, чтобы цена на семинар+симпозиум была совсем смешная, порядка 400–500 долларов. Причем семинар будут делать коллеги из нашего российского Старта в Гараже, привлекая спикеров из Гарварда и Стенфорда. Грубо говоря, основная статья затрат — это билеты, они стоят порядка тысячи долларов, а проживание… я знаю многих людей, которые туда летели и платили совсем мало, потому что есть возможность селиться не в гостиницах, а в хостелах, это стоит недорого.
Симпозиум смысл посетить любому человеку, который связывает свою карьеру с ИТ. Кто там является рассказчиками? Во-первых, это ведущие венчурные капиталисты, которые, собственно, основали отрасль, инвестировали в ИТ-компании. Например, год от года выступает Пит Джонсон, который считается отцом всей венчурной индустрии, Тим Дрейпер, один из основателей фонда DFJ, это крупнейший фонд с максимальным международным присутствием. То есть первые люди самых крупных всемирных фондов. Потом там выступают основатели самих ИТ-компаний. Например, несколько лет назад выступал Энди Бехтольшайм, один из основателей Sun Microsystems и первый инвестор Google. Выступала одна из основателей VMware. Вёл круглые столы блистательный Guy Kawasaki… Если Вы не слышали про The Art of the Start, и воспринимаете английский на слух, рекомендую! И многие другие.
Они действующие предприниматели, «бизнес-ангелы», инвесторы, они не ушли на пенсию, а продолжают вариться в этом котле и ищут перспективные проекты. Они очень хорошо понимают технологические тренды, во что они собираются инвестировать в будущем. И готовы делиться мыслями. Иногда. Например, на GTS.
Любому человеку, который считает себя айтишником, хотя бы один раз в жизни стоит побывать там, где эта индустрия возникла, и понять, насколько это всё отличается от того, что мы видим здесь. Когда я первый раз ехал в Кремниевую долину, у меня априори было представление, что там небоскрёбы, офисы больших компаний, не то чтобы трубы дымят, но какая-то индустриальная зона. На самом деле это фактически деревня, с одно-двухэтажными домиками, очень зелено, очень тихо, целый ряд городков, таких как Маунтин-Вью, Пало-Альто. Очень спокойная, размеренная жизнь, с одной стороны. А с другой стороны, внутри жизнь-то бурлит. Мероприятия, где встречаются стартаперы, айтишники, обсуждают насущные темы, технологические тренды, выслушивают людей опытных, проводятся чуть ли не каждый день. Это всякие конференции, мини-тусовки, бизнес-завтраки, и окунуться в это очень легко. Есть и онлайн-сообщества, и оффлайн постоянно что-то происходит. Достаточно провести там неделю, чтобы поучаствовать в нескольких таких мероприятиях.
Там всё по-другому, и когда оттуда приезжаешь, очень хочется, чтобы и здесь возникло что-то похожее. Например, чтобы здесь мультимиллиардеры ходили по улицам в сандалиях с рюкзачком за спиной. На позапрошлый GTS вышеупомянутый Энди Бехтольшайм пришёл именно так, поговорил с людьми, два часа отвечал на вопросы стартаперов и потом так же спокойно удалился. У меня был шок. Попробуйте представить, чтобы российский мультимиллиардер вот так пришёл, без охраны, поболтал с людьми и дальше пошёл. Такого у нас не бывает.
Софтверный бизнес, это его преимущество, малокриминален и сложно отнимаем. Ведь основной капитал — это люди. Нет больших материальных активов — неинтересно для рейдеров. И второй момент, что люди, которые могли бы осуществить захват, просто не в состоянии были бы управлять этим предприятием. Ведь для этого надо не только иметь много мозгов, но и хорошо разбираться в специфике. Вот и ходят ИТ-миллиардеры без охраны. (Знаю-знаю, что мне в комментах понапишут…:), но всё же верю, что отчасти это возможно и здесь).
Возвращаясь к Долине. Малый бизнес на то и малый, чтобы в конце концов стать большим. Там есть компании, ориентирующиеся на местные рынки, есть компании, ориентирующиеся на мировой рынок. Понятно, что всё структурировано по-другому, компании в основном стремятся быстро получить инвестиции и начать быстро расти, очень мало компаний, растущих на свои собственные деньги, и в этом отличие от того, что у нас есть сейчас. У нас в основном исторически компании развивали на свои деньги. Медленно, но верно. Так развивались наши большие софтверные компании (вы все их знаете) — это так называемый семейный бизнес, когда человек строит дело всей своей жизни (плюс-минус).
У них же принцип другой. Разработать идею, создать продукт, привлечь стартовые инвестиции, начать первые продажи, привлечь следующий раунд инвестиций, начать быстро расти и через три-пять-семь-десять лет компанию продать. И дальше на вырученные деньги запустить следующий бизнес. Такой способ типичен для Кремниевой долины, и это то, что в последние несколько лет в России пытаются начать строить — создаются венчурные фонды, появляются бизнес-ангелы. Но это очень долгая дорога, там всё это развивается многие десятки лет, и там возникла такая сущность, как серийный предприниматель.
С моей точки зрения, сейчас на нашем рынке не хватает именно серийных предпринимателей в сфере ИТ. По определению, это люди, которые создали успешный бизнес в этой области и его продали, вышли из него, получили деньги. И дальше у них осталась заинтересованность работать в этой области, и они на эти деньги опять создали компанию, опять её вырастили, опять продали. В принципе, за свою жизнь человек может создать и продать много таких компаний.
Если говорить о тех, кто сейчас есть на рынке из русских людей, то можно назвать такие имена, как Александр Галицкий (AlmazCapital), Сергей Белоусов (Parallels), Ратмир Тимашев с Андреем Бароновым (Aelita Software). Есть, конечно, ещё, но их всё равно мало.
Почему они являются ключевым звеном? Есть четыре причины.
Во-первых — это деньги, которые вкладываются в конкретную отрасль, потому что если люди на ИТ уже "собаку съели", то они и будут работать в этой области. Вряд ли человек, который добился успеха в ИТ, потом пойдёт и начнёт вкладывать деньги в нанотехнологии. Глупо не использовать знания, добытые потом и кровью за много лет.
Второе, это не просто деньги, а умные деньги. Это люди, которые готовы передавать стартапам свой бесценный опыт: как сделать из маленькой компании большую и потом её продать.
Третий момент, это "трансляция культур". Работая в международной компании, очень хорошо понимаешь, насколько люди по-разному мыслят и по-разному ведут себя. Требуется очень большой опыт, чтобы научиться работать с людьми за рубежом, чтобы они тебя понимали и чтобы с ними можно было вести бизнес. Иногда то, как ты строишь фразы, или какие-то привычки в манере переписки могут мешать взаимопониманию. Люди, которые такого успеха добились, умеют "транслировать культуру" и помогают своим компаниям за счёт этого быть успешными на других рынках.
И четвёртое, конечно, то, что они заражают своим примером. Люди становятся миллионерами на своих мозгах в софтверном бизнесе, это помогает притягивать молодежь в отрасль. Для этого надо, чтобы создалась некая критическая масса таких людей, потому что сейчас их несколько человек, и сколько бы они ни говорили, сколько бы о них ни говорили, этого всё равно мало. Этих людей должны быть ну хотя бы сотни, чтобы они звучали везде, на каждом шагу. Как в Кремниевой Долине…
Что мешает образоваться «серийности»? Это некий процесс, сейчас он в принципе запущен. Люди понимают, как такая модель работает, есть много стартаперов, которые сориентировались на неё, пытаются поднять инвестиции и сделать бизнес, но должно пройти время. Во-первых, чаще всего с первого раза бизнес не получается. Если взять истории успешных компаний, чаще всего это не первая попытка их основателей, а вторая или третья. Поэтому время довольно существенно. Скажем, я задумал идею, год с ней носился, потом два года реализовывал продукт, он у меня провалился на четвертый год (продажи не пошли или ещё что). Хорошо, со второго раза получилось, это ещё лет шесть. Итого, с момента, как у меня появилась первая идея, до момента, когда я уже стал матёрым предпринимателем и заработал деньги, проходит больше десяти лет. Процесс в России по-серьёзному пошел году в 2007–2008. По моей оценке, ещё лет семь пройдёт до того, как у нас могут появиться массово серийные предприниматели новой волны.
После неуспеха некоторые люди плюют, бросают и начинают заниматься чем-то другим. А кто-то стиснет зубы, извлечёт опыт из своих ошибок и пойдет реализовывать следующий проект. Все отмечают, что есть разница в культурах. В американской культуре человека, который потерпел неудачу в своем предприятии, будут с большей охотой слушать второй раз и иметь с ним дело, потому что у него есть опыт. Негативный опыт считается хорошим, человек учится на своих ошибках. А у нас, в российской культуре, таких людей считают неудачниками и часто боятся с ними связываться. Сейчас российские предприниматели более пробивные, более толерантные к риску, к своим ошибкам, в этом смысле они приближаются культурально к западным. Вчера, был на приёме в посольстве Люксембурга по случаю юбилея одного из известнейших европейских венчурных фондов Mangrove Capital. Так знаете, что сказал один из основателей фонда? Что им очень нравится работать в России, так как здесь предприниматели ТАК хотят заработать деньги, что дают фору самым капиталистическим капиталистам. Опять-таки потому, что происходит этот трансфер знаний, люди смотрят, как это происходит за рубежом, хотят, чтобы здесь было так же, хотят ходить в сандаликах и с рюкзачком, имея как минимум несколько миллионов долларов за спиной. Они уже не так боятся, они видят, что это возможно.
Ещё один момент, который я хотел бы отметить. В России как-то побаиваются международного опыта, почему-то считают, что если российские программисты участвуют в некотором международном предприятии, то об этом рассказывать не надо. То ли стыдно, то ли нехорошо. Уж не знаю, как это себе пресса видит. Мол, вот если бы компания была чисто российской, тогда в неё можно смело вкладывать деньги (особенно государственные) и рассказывать о ней. На мой взгляд, это "неправильный патриотизм". Я сам считаю себя патриотом, но нужно уметь учиться у других. В данном контексте, если мы сами не понимаем мировой рынок, хорошо умеем писать код и создавать технологии, но плохо умеем упаковывать продукты, так давайте учиться у тех, кто хорошо умеет.
Это означает, что должны создаваться предприятия, у которых штаб-квартиры за рубежом, при этом команда разработки в России, и хорошо, когда у разработчиков есть доля в компании. Когда эта компания растёт и становится успешной, у наших людей, пускай они занимаются не бизнес-менеджментом, а отвечают за разработку, появляются деньги. И после выхода из этой компании, после того как она продана, они могут выбирать: становиться CTO в других стартапах, в которых у них будет большая доля или пытаться строить бизнес — они всё-таки постепенно усваивают и бизнес-практику после работы в таком «дуальном» стартапе. У них уже есть свобода выбора, они могут дальше двигаться в любую сторону. Отсюда и могут взяться "серийные предприниматели".
Я думаю, что не пройдя через этот этап, когда компании будут совместными, американско-российскими, европейско-российскими, мы никуда не двинемся, потому что мы будем вариться в своем соку, не понимая, какие возникают технологии на западе, какие там инновации, не выезжая на форумы и симпозиумы, о которых я сказал в начале. Мы так и останемся внутри себя, а мир-то двигается.
Все серийные предприниматели, которых я упомянул, создавали свои компании с прицелом на продажу на западном рынке. Скажем, главная компания Сергея Белоусова это Parallels, у которой вся команда разработки сидит в России, а штаб-квартира на западе, и вообще офисы практически по всему миру. Какой компанией её считать, российской или нет? Это компания с "российским ДНК", которая умеет извлекать пользу из того, что у нас отличные технические кадры. Она создает конкурентоспособный на мировом рынке продукт, при этом я точно знаю, что у российских кадров здесь есть доля в компании. Они являются полноценными акционерами и могут становиться обеспеченными людьми, по мере того, как компания растет, и дальше уже реализовывать что-то своё.
Александр Галицкий всегда ориентировал свои бизнесы на международный рынок и успешно работал с той же Sun Microsystems. Ратмир Тимашев и Андрей Баронов создали компанию в Америке с командой разработки в России, продали и теперь повторяют этот опыт. А также поддерживают малый российский бизнес с прицелом на выход на международный рынок за счёт деятельности собственного венчурного фонда.
Я считаю, что это совершенно закономерный процесс, и его надо не бояться, а наоборот всячески поддерживать и ориентировать молодых ребят, на то чтобы они искали перспективные стартапы, в которых можно развиваться вместе с компанией. Если ты ну совсем не бизнесмен, а программист "до мозга костей", пожалуйста, у тебя есть путь до Chief Technical Officer в такой компании, и дальше, если ты акционер, ты можешь получить достойный доход. Если твоя цель — заработать денег, будучи программистом, вот хороший путь. И надо искать таких предпринимателей, которые готовы взять перспективных людей в свои быстро развивающиеся компании.
Хочу сказать спасибо всем, кто комментирует, действительно очень рад услышать мнения. Моя основная задача — это дать какую-то новую продуктивную информацию тем, кто думает, как им строить карьеру в ИТ. Мне было бы интересно отвечать на конкретные вопросы, а не на комментарии, что "это невозможно" и "то невозможно", поскольку я-то точно знаю, что возможно, и знаю людей, которые это делают. Некоторых из них уже позвал писать в «Компьютерру» в раздел «Readitorial». История компании «Атилект» . Будут и ещё. В общем, приглашаю комментировать всех, кто хочет узнать что-то новое, и рад буду ответить на вопросы.
Информационная безопасность 2010
Алексей Лукацкий
За последний год меня часто спрашивали будущие выпускники ВУЗов и аспирантур о том, какую тему выбрать им для своего диплома/диссертации, какие направления информационной безопасности наиболее актуальны сейчас и будут востребованы в будущем. Предвидя, что такие вопросы и дальше будут продолжаться, я решил аккумулировать в данной заметке ключевые направления исследований в области ИБ, над которыми сейчас бьются лучшие умы отрасли. Но чтобы не быть голословным, я буду опираться также на отечественные и американские (в первую очередь) документы, описывающие направления развития отрасли на ближайшие годы.
Итак, начну с 126-тистраничного документа "A Roadmap for Cybersecurity Research", выпущенного в ноябре прошлого года Министерством национальной безопасности США (U.S. Department of Homeland Security). В этом документе выделено 11 направлений для исследований и инвестиций со стороны государства, бизнеса и научного сообщества. К ним относятся:
1. Масштабируемые системы, вызывающие доверие (trustworthy). Термин trustworthy очень сложно перевести на русский язык одним словом. Перевод его как «достоверный» не совсем отражает весь спектр взаимоотношений, заложенный в исходный термин. Это и целостность систем, и их доступность и конфиденциальность, и жизнеспособности и гарантированная производительность, а также подотчетность, удобство использования и многие другие критические свойства. Иными словами, речь идет не просто о защищенных системах, а о системах, обладающих гораздо большим числом важных свойств.
2. Метрики уровня предприятия. Об измерении эффективности и результативности ИБ говорят уже давно, но до сих пор эта работа ведется многими спустя рукава. Отчасти именно по причине отсутствия адекватных методик и инструментов измерения, которые могут быть применены не только к защищенным, но и в более широком смысле, к системам, вызывающим доверие. Насколько защищена моя организация? Как изменился уровень защищенности за прошедший год? Как мы соотносимся с другими компаниями в отрасли в части ИБ? Насколько защищен приобретаемый нами продукт или технология? Сколько безопасности достаточно и сколько на нее можно и нужно тратить? Все эти вопросы пока остаются без ответа.
3. Жизненный цикл оценки системы. Критика подхода ФСТЭК и ФСБ в части сертификации продуктов безопасности общеизвестна. Как можно месяцами или даже годами проверять продукт, если за это время успевает выйти не только несколько новых версий оцениваемого продукта, но и характер угроз и среда применения продукта могут существенно измениться? Но есть ли альтернатива, которая позволит за приемлемое время проанализировать систему с точки зрения ИБ, не тратят при этом колоссальные средства, зачастую превышающие стоимость самой системы? Этому и посвящено данное направление исследований.
4. Противодействие внутренним угрозам. Инсайдеры… Сотрудники, облеченные полномочиями, часто целенаправленно не учитываются в моделях угроз, т. к. им сложно противопоставить действительно эффективные защитные меры. Американцы столкнулись с этой проблемой в публичных скандалах, связанных с такими именами как Олдрич Эймс, Роберт Ханссен, Джонатана Полларда, высокопоставленных сотрудников американских спецслужб, являющихся двойными агентами. В России с аналогичными проблемами сталкивались и отечественные спецслужбы (дела Полякова, Пеньковского, Розенбергов и т. п.). Как эффективно бороться с такой угрозой? Как снизить ущерб от действий инсайдеров? Как найти доказательства, значимые для суда? Исследования по данному направлению направлены на то, чтобы найти ответы на эти вопросы.
5. Противодействие вредоносным угрозам и ботнетам. Одно из немногих направлений, которое развивается достаточно давно. Но в связи с постоянной эволюцией угроз, его важность не снижается.
6. Управление глобальной системой идентификации/аутентификации. В данном сегменте исследований ведутся работы, связанные с идентификацией и аутентификацией не только людей, но и устройств, распределенных сенсоров, приложений и других элементов информационных систем. Термин «глобальная» подразумевает не вселенский масштаб проблемы, а то, что идентифицируемые системы могут находиться за пределами одной организации, что представляет определенные сложности для современных решений и технологий.
7. Живучесть критичных систем. Живучесть — это способность системы выполнять ее миссию в установленное время в условиях нападений, отказов и несчастных случаев. Очевидно, что сегодня многие системы, предлагаемые производителями на условиях "AS IS" не соответствуют данному определению. В условиях же возрастания роли информационных технологий в нашей жизни вопросы живучести критичных систем становятся все более и более важными.
8. Ситуационный анализ атак. Ситуационный анализ атак оперирует не просто сигнатурами атак, как это принято у современных средств обнаружения вторжений, а опирается на гораздо больший объем информации, зачастую выходящий за пределы самого вторжения, но имеющий к нему самое прямое отношение. Речь идет о роли атакуемого и атакующего, окружающей их среде, доступные ресурсы, миссию и мотивацию и т. д. Очевидно, что сбор и анализ этих данных, особенно в режиме реального времени, сегодня представляют определенную проблему для современных технологий. А вот интерес к ним со стороны заинтересованных сторон к ним очень большой.
9. Происхождение (информации, систем и аппаратуры). Мы принимаем решения на основании информации, полученной в разное время, из разных источников. Иногда эта информация переведена с другого языка, а иногда представлена компиляцией разных источников. Не всегда эти источники актуальны, не всегда достоверны, а иногда преднамеренно сфальсифицированы. Данное направление исследований направлено на выявление и фиксацию всей истории возникновения и движения информации.
10. Безопасность с точки зрения частной жизни (privacy). Защита частной жизни не ограничивается только темой персональных данных. Проблема стоит гораздо шире. Это и анонимность и псевдоанонимность, конфиденциальность и защита различных запросов, связанных с частной жизнью, мониторинг и доступность персональных данных в экстренных случаях. Существует огромное количество так и не решенных до конца проблем в данной области.
11. Удобство и безопасность. Вопросы удобства пользования системами безопасности поднимается уже давно. И также давно он игнорируется многими разработчиками и производителями, гоняющимися за прибылями и скорейшим выпусков своих творений потребителю, чему тестирование эргономических качестве выводимых на рынок явно не способствует. Однако неудобство пользования системой приводит к снижению ее защищенности и даже к более серьезным проблемам, вплоть до потери человеческих жизней.
Аналогичная работа проводилась и офисом по политике в области науки и технологий Белого Дома США в рамках программы Federal Networking and Information Technology Research and Development (NITRD). В октябре 2008 года стартовала инициатива National Cyber Leap Year, которая была призвана собрать идеи о том, какие проблемы сейчас стоят перед отраслью ИБ, и какие способы их решения могут быть предложены сообществом. Поступило свыше 238 предложений; их проанализировали эксперты и выделили 5 новых направлений для будущих исследований:
1. Происхождение (аналогично 9-му направлению DHS).
2. Динамическая безопасность. Сегодня злоумышленники часто достигают своей цели, исходя из статической природы целей. Постоянные порты, постоянные IP-адреса, постоянные имена систем… Злоумышленники знают их и планируют свои нападения в расчете, что эта информация не будет меняться в течение долгого времени. Они могут предполагать ваши ответные действия и также подготовиться к ним. Новое направление исследований опирается на увеличение хаотичности или снижение предсказуемости защищаемых систем.
3. "Аппаратное доверие". Сегодня мы не можем с уверенностью сказать, атаковали нас или нет до того момента, пока мы не столкнемся с последствиями вторжения. Мы не знаем, когда проиграли виртуальную битву или когда мы скрыто стали участниками ботнета. А все потому, что мы не можем гарантировать неизменность и контролируемость защищаемой системы. Новое направление исследований направлено на то, чтобы создать доверенную архитектуру и среду, в которой мы можем своевременно обнаруживать, останавливать и изолировать любые вредоносные воздействия (аналогично 1-му направлению DHS).
4. Кибер-здоровье, вдохновленное природой. Сегодня проходят недели и месяцы, прежде чем обнаруживается проникновение в компьютерные сети. И годы, чтобы доказать вину хакера. А все потому, что современных технологии и продукты очень сильно ограничены в анализе того, что «проходит» через них; у них "короткая память". Опираясь на примеры того, как действует иммунная система человека, будущие технологии должны иметь возможность выбора из широкого спектра ответных действий. От профилактики в виде установки патчей и отказа в обработке запросов, не соответствующих нормальному профилю поведения, до реализации специальных защитных агентов или сборе доказательств для кибер-патологоанатомов. При этом в отличие от современных технологий, будущие будут в большей степени действовать автономно и динамично.
5. Киберэкономика. Сегодня преступления в сфере высоких технологий очень дешевы и обладают очень высокой нормой прибыли. Спам, ботнеты, распространение вирусов… все это не требует больших затрат. При этом отдача от преступлений очень высока, что делает их экономически выгодными для преступников. Основная задача в рамках данного направления исследований заключается в выработке методов и подходов, которые делают данные преимущества менее значимыми; заставляя киберпреступников брать на себя больше рисков при более низкой норме прибыли. Это позволит снизить число высокотехнологичных преступлений.
Можно заметить, что эти направления не только интересны с теоретической точки зрения, но и имеют яркую практическую направленность. Но если перечень таких исследований в России? Оказывается да. Только, как и все, что у нас делается в этой области, это очень закрытая информация, и все, что можно почерпнуть по ней, ограничено простым, но очень высокоуровневым перечислением на сайте Совета Безопасности России. На нем можно найти 2 списка — и .
Каждый, кто посмотрит на эти списки, увидит, насколько они неконкретны и непонятны. Чего, например, стоит такой пункт "Проблемы методологии обеспечения информационной безопасности как междисциплинарной отрасли научного знания". Или такой — "Проблемы нормативного правового обеспечения безопасности информационных и телекоммуникационных систем". Или — "Научно-технические проблемы использования информационных технологий в оперативно-разыскной деятельности". Список составлен в лучших традициях российской бюрократической школы. Много красивых слов, за которыми скрывается неизвестность. Абсолютная неконкретизация не позволяет ни оценить в каком направлении идут исследования, важные не только и не столько для защиты гостайны, сколько для всего общества. Также такая скрытность не позволяет оценить текущий статус данных исследований, которые могут быть как очень интересными, так и абсолютно бессмысленными, как по содержанию, так и по затраченным ресурсам.
Меня часто обвиняют в том, что я русофоб в отношении наших регуляторов и того, что они делают. Некоторые даже называют меня наймитом американских спецслужб, который льет воду на мельницу NIST, DHS, АНБ и других наших потенциальных противников и даже бывших врагов во времена "железного занавеса". Но что делать, если именно эти американские ведомства не только проводят и публикуют очень интересные и полезные исследования по теме ИБ, но и не скрывают без необходимости результаты своей работы. Стандарты, рекомендации, планы развития… все это можно найти на сайтах американских ведомств, отвечающих за информационную безопасность. Поэтому и приходится опираться, в первую очередь, на их наработки, а не наши.
В заключение хочу заметить, что рассмотренных два документа (от DHS и NITRD) позволяют понять, какие направления информационной безопасности будут востребованы в ближайшие годы. И несмотря на то, что написаны они рукой американских экспертов, результаты этих исследований будут полезны в любой стране, в том числе и в России. А значит наши будущие "Брюсы Шнайеры", "Дороти Деннинг", "Юджины Спаффорды", "Дэны Гиры" найдут в этих перечнях темы и для своих будущих дипломных и кандидатских работ.