Посчтиал интересным и показательным материал в блоге широко известного в широких кругах Алексея Лукацкого.
Фактически, это ответ на habrahabr.ru/post/169491/
Все тезисы в принципе понятны и ожидаемы.
Есть взгляд на вещи из под красных век недосыпающего энтузиаста-хацкера и есть бизнес с его оценками рисков и принципами типа: «Что нельзя оценить- тем нельзя управлять».
"Мол, найдена уязвимость на сайте, надо срочно устранять, а то ай-яй-яй, какие последствия наступят! КАКИЕ? Это первый вопрос, который задает бизнес. При это любые глубокомысленные заявления о репутации, о серьезности ущерба, о важности последствий, фразы «ну вы же все понимаете» ни к чему не приводят. Бизнес не понимает. Не потому, что он дурак, а потому что он понимает только вопрос денег (утрирую немножко, конечно). Покажите, во сколько выльется мне наличие дыры на сайте? В деньгах покажите! Нет прямого ущерба? Покажите косвенный. Не можете посчитать? Тогда идите и учите, как считать, не отнимайте время. Но как же?.. А риски… Риски? Какие риски?"
Далее мэтр переходит на личности :)
"Потом искатели дыр на сайте начинают ныть о том, что их не ценят и они никому не нужны. Выходов отсюда два. Либо безопасник-технарь понимает ограниченность своего взгляда на мир и меняет его, начиная воспринимать гораздо большую палитру красок в мире ИБ. Либо безопасник-технарь решается продемонстрировать на практике реальность своих заявлений о серьезности последствий от использования уязвимости на сайте. В лучшем случае его прогоняют вон; в худшем — он идет по этапу (и возможно даже не по 272-й статье). Отдельные феномены умудряются всю жизнь прожить с мнением, что их никто не понимает и не ценит, а уж они-то самые крутые в мире безопасники. "
Резюмирует же следующим образом.
"Резюмировать можно просто: ПОКАЖИ ДЕНЬГИ, прежде чем обвинять бизнес в тупости и непонимании безопасности. Бизнес также считает тупым безопасника, который не понимает потребностей бизнес и не умеет с ним разговаривать на понятном бизнесу языке. В конце концов, именно бизнес платит зарплату или оплачивает договора. Стоит иногда прислушиваться к мнению бизнеса, а не тупо навязывать свое."
Интересный каммент в его блоге.
"Алексей, анализируя Ваши крайние посты (включая этот) невольно навязывается вывод — школота Вас серьёзно задела. Кому и что Вы пытаетесь доказать? Успокойтесь, каждый грызёт свою морковку."
Мне всегда было интересно, как происходит этот переход. От интересов (и может даже больше — от «заточки мозгов»), которые приводят к написанию книг типа «Атака из INTERNET» (читал одно из первых изданий в бумажном виде, ностальгия-с), одним из авторов которых является Лукацкий (для 1999 материал был вполне адекватным и актуальным), к рассчетам сферических коней в вакууме. Хотя, тут я утрирую. Есть место в ИБ конечно же и всевозможным оценкам, и разработкам тактик и стратегий и прочих всяческих политик и высокоуровневых высокоабстрактных заумностей. Было бы глупо это отрицать. Но, имхо, особенно у нас, с нашим законодательством и прочими реалиями, это все настолько оторвано от жизни, что даже такие зубры ваккумной аэронавтики скучают по хардкору и неравнодушны к наездам «школоты» с красными от недосыпа глазами. И да, есть еще одна опасность для бизнеса. Что его одурачат (именно одурачат, не распилом единым) в один прекрасный момент новые «бабушкины». Или это уже норма и «грызущему другую морковку» просто не понять?
Автор: casperrr