Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Мне было интересно, с какими проблемами она сталкивается в качестве вице-президента Trusted Computing Group. Она привела пример: «Вы знаете о микросхеме доверенного платформенного модуля (TPM) TCG, которая помогает защитить компьютеры от атак аппаратного уровня. Версия 1.2 доверенного платформенного модуля работала отлично, но ей не хватало гибкости, чтобы разрабатывать алгоритмы исправления, когда появлялись слабые места. В то же время страны начали настаивать на использовании собственных алгоритмов в своих продуктах безопасности. Доверенный платформенный модуль 1.2 не может удовлетворить это требование, поскольку поддерживает только ограниченный набор алгоритмов.

Существовал риск конкуренции со стороны правительств на уровне стандартов до начала глобального принятия. Если страны пойдут по пути разработки несовместимых стандартов только из-за использования алгоритмов, общие преимущества безопасности для пользователей будут сокращены. С точки зрения принятия это, безусловно, вызов совместимости между микросхемами безопасности, которые основаны на международном стандарте, и микросхемами с локальным стандартом. TCG начала решать эту проблему “крипто-гибкости”, среди прочих улучшений, с новой спецификацией TPM 2.0. При участии многих экспертов в области безопасности из разных стран стандарт TPM 2.0 был утвержден как ISO/IEC 11889:2015. Теперь это единый глобальный стандарт. Это было невероятно, поскольку требовало консенсуса между многими странами, включая США, Китай, Россию, Японию, Францию, Южную Африку, Малайзию и другие. Нам удалось сделать нечто особенное. Новый стандарт предлагает гораздо более широкую защиту не только для пользователей настольных ПК, но для облака и IoT-устройств».

Мне было ясно, что работа де Йонг-Чен несколько десятилетий назад в области глобализации Windows 95 окупилась, когда она помогала разрабатывать глобальные вычислительные стандарты. Я спросил, что, по ее мнению, является самым большим препятствием для значительного улучшения глобальной информационной безопасности. Она ответила: «Страны имеют очень разные системы убеждений, что нужно учитывать при продвижении международных стандартов безопасности. Есть вопросы, связанные с политикой и технологией. Естественно, технические специалисты хотят создать лучшую технологию, но это только часть задачи. Есть вопросы системы и киберуправления. Каждая страна беспокоится о защите своего киберсуверенитета, конкурируя за создание более сильного киберпотенциала. Вы не можете просто обратиться к технологии в одиночку или оставить кибербезопасность в руках политиков. Вы должны искать лучшее разрешение и требования к балансу через весь спектр забот. Это становится довольно сложной матрицей вещей, которые должны учитывать политики и лидеры отрасли, прежде чем принимать меры. Сюда входят: безопасность и конфиденциальность пользователей Интернета, защита критически важной инфраструктуры, социальная и экономическая стабильность, а также Глобальные коммуникации и торговля. По мере того как все больше стран выпускают все больше правил безопасности, стоимость предприятий, занимающихся бизнесом, будет расти. Любое соответствие включает в себя управление политическими последствиями, правовыми рисками, изменениями технического дизайна, а также изменениями бизнес- и операционной моделей. Есть проблемы и возможности, но вы не можете решить крупные, общие проблемы кибербезопасности, не понимая, как работают страны и как все взаимосвязано. Если мы сделаем все правильно, то, возможно, сможем достичь равновесия, необходимого для улучшения кибербезопасности и защиты глобальной кибернетической инфраструктуры, обеспечивая конфиденциальность пользователей, поддерживая справедливую конкуренцию и постепенно снижая стоимость ведения бизнеса в поддержку глобальной торговли».

Я спросил об отсутствии женщин в ИТ-сфере. Де Йонг-Чен ответила: «В области ИТ в целом нечасто встретишь женщин, но еще реже они появляются в области ИБ. Я работала в большой интернет-компании, где активно нанимали женщин и видели в них потенциал своего роста. Несмотря на то что 54 % рабочей силы этой компании составляли женщины, я этого не понимала, когда общалась с их службой безопасности. Там была только одна женщина, и то не специалист по безопасности. Мы могли бы сделать эту отрасль лучше. Необходимо увеличить кадровый резерв в области кибербезопасности, а также найти пути привлечения и удержания женщин в сфере ИТ и поощрения разнообразия в области ИБ. Для этого нам нужна всеобщая поддержка».

Более подробную информацию о Цзин де Йонг-Чен вы можете найти по ссылкам:

• блог в Microsoft Цзин де Йонг-Чен: http://blogs.microsoft.com/microsoftsecure/author/jingdejongchen/;

• профиль Цзин де Йонг-Чен на LinkedIn: https://www.linkedin.com/vsearch/p?orig=SEO_SN&firstName= Jing&lastName=Jong-Chen&trk=SEO_SN;