«Первый профессионал в области систем безопасности», «светило науки о защите», «основоположник технологии управления рисками» — все эти определения относятся к Дэну Гиру. Один из известнейших специалистов отрасли информационной безопасности, Гир был президентом и директором по науке компании Verdasys, сыграл определяющую роль в проекте Project Athena Массачусетского технологического института и был уволен из @Stake за написанную в соавторстве статью, в которой предупреждал о том, что монокультура Microsoft угрожает национальной безопасности. Сейчас Гир работает директором по информационной безопасности In-Q-Tel, некоммерческого венчурного фонда, который инвестирует в оригинальные технологии обеспечения безопасности, предназначенные для поддержки американских разведывательных служб страны. Гир ответил на вопросы CSO Magazine.
Давайте начнем наш разговор с рассказа о том, чем вы сейчас занимаетесь в In-Q-Tel. Каковы задачи этой организации?
Мы выступаем как стратегический инвестор — в противоположность финансовому инвестору — небольших фирм, продукты которых могут реально использоваться в разведывательных службах. Для финансового инвестора стратегия должна быть следующей: если я вложу деньги, получу ли я от этого больше денег? Мы же действуем иначе: если я вложу деньги, получу ли я от этого больше продуктов? Это совсем другое дело.
Предприниматели во всем мире предпочитают работать там, где велика вероятность предложения инноваций, и нередко там, где об инновациях в противном случае вообще не может быть и речи. Безусловно, существуют крупные компании, которые выступают с новаторскими предложениями. Но, с другой стороны, в сфере технологий по той или иной причине многие небольшие компании не делают этого, хотя то, что они думают в этом направлении, — уже хорошие инвестиции.
Мы поддерживаем компании только с той целью, чтобы дать им возможность предложить свои продукты разведслужбам страны. Дело в том, что существует множество небольших фирм, которые либо вообще не в состоянии сделать все необходимое для того, чтобы предложить такие решения правительству, либо откладывают такие проекты на потом, рассчитывая вернуться к ним с ростом компании. И мы помогаем им в этих случаях.
Легче ли работать в нынешних экономических условиях с подобной моделью, выступая в качестве стратегического инвестора в противоположность финансовому?
Думаю, да. В значительной степени мы действуем не так, как банки. Мы не разбрасываемся деньгами налево и направо. Если компания не собирается реализовывать некий проект лишь потому, что соответствующий рынок сложится только через три года, и неизвестно, будет ли действовать на нем компания к тому времени, конечно, мы уделяем ей внимание. Речь идет о действующих компаниях, имеющих коммерческое будущее безотносительно к разведке страны. Мы стараемся предоставить им возможность выпустить такие продукты, которые они не смогли бы предложить без нашего участия.
Вы известны своими яркими достижениями в области информационной безопасности. А каковы сейчас ваши стимулы для работы?
Я еще не стар, а человеку не пристало слишком много задумываться о том, что он сделал в этой жизни, — до той поры, когда сделать он уже ничего не может. Я всегда хотел заниматься государственной службой и считал, что я должен это делать, и на этот раз решил воспользоваться предоставленной возможностью
Двадцать лет назад я работал над проектом Project Athena. Сейчас это уже дела давно минувших дней, и ничего из того, что мы сделали тогда, сегодня уже не кажется чем-то выдающимся, хотя плодами нашего труда пользуется чуть ли не каждый. В то время я работал в высшей школе, и мы получили поддержку коммерческого сектора, главным образом со стороны корпораций IBM и Digital Equipment, но в этом принимали участие и ряд других организаций.
Было понятно, что настало время для того, чтобы попытаться превратить результаты некоторых из уже проведенных исследований в коммерческие продукты или же дать возможность использовать наши достижения в университете и посмотреть, к чему это приведет. Тогда я ушел работать в Digital Equipment и стал заниматься так называемыми внешними исследованиями в подразделении, выдававшем гранты. Я хотел работать с грантами, поскольку мне казалось, что смена статуса, переход из категории тех, кто получает гранты, в категорию тех, кто эти гранты выдает, будет полезна для меня и для всего процесса, поскольку важно знать, что чувствуют те, кто сидит по разные стороны стола. Но, как оказалось, я неудачно выбрал время для такого шага. Тогда Digital Equipment уже начала приходить в упадок. Я занялся другими вещами.
Правда ли, что ваш интерес к государственной службе и работа, которой вы сейчас занимаетесь, обусловлены неким альтруизмом?
Я предпочитаю добровольно отдавать государству какой-то свой ресурс, например свое время, чем по обязанности отдавать налоги. Но я хочу сделать что-то для общего блага и думаю, что многие команды, с которыми я работал в прошлом, могли сделать что-то для общего блага. Хотя чистый альтруизм тоже имеет место.
По объективным причинам есть что-то, что правительство делает хорошо, и что-то, что оно не может делать хорошо. Точно так же и частный сектор что-то делает хорошо, а что-то нет. Я стараюсь оставаться на границе между ними и, так сказать, передавать находящимся по одну сторону барьера то, что хорошо могут делать по другую его сторону. Например, выбор хороших инвестиций с одной стороны и возможность быть инновационными — с другой.
Вы известная фигура в сфере информационной безопасности, довлеет ли над вами ваша репутация?
Я никогда не перестану задавать вопросы. Те, кто почивает на лаврах, в конце концов остаются где-то в прошлом. Однажды я прочитал книгу Дэна Борджа «Книга риска» (Dan Borge. The Book of Risk). В ней он сказал то, с чем я абсолютно согласен. Что цель управления рисками заключается в изменении будущего, а не в том, чтобы объяснять прошлое.
И насколько, по-вашему, специалистам по рискам удается сейчас менять будущее?
Я думаю, что сделано очень многое. Но следует понимать, что информационная безопасность — это нечто другое, чем, скажем, гарантия качества на автозаводе. Один из моих прапрадедушек был краснодеревщиком. Он потратил всю жизнь на то, чтобы совершенствовать свое мастерство. И его мебель действительно стала уникальной. Но мир, в котором мы живем сейчас, меняется так быстро, что трудно подготовить квалифицированного специалиста, поскольку к тому моменту, как вы это сделаете, появится совершенно новый круг задач. Я думаю, работа в сфере информационной безопасности — это одна из профессий, для которых требуется самый гибкий интеллект. Здесь то, что было верно вчера, будет неверно завтра. В этой сфере, в частности, все большая часть исследований и разработок делается компьютерным андеграундом и финансируется этой «оппозицией» из своих, порой достаточно сомнительных доходов, что существенно усложняет дело. В то же время добились ли мы прогресса? Безусловно. Но скорость изменений все время заставляет нас быть начеку.