У Камина: Versus battle Емельянников-Царев

Друзья, я все время ищу новые форматы. Что бы и мне было не скучно, и вас любимых порадовать. Ну, скукотища же фигачить отчеты, которые пишут все, или гнать джинсу за родимого работодателя.

fireplace_main

Поэтому у нас сегодня Versus battle. Кто не знает, это способ выяснения кто круче в американских рабочих районах. Versus может быть какой угодно, хотя изначально, конечно, это был рэп. Хочешь в мешках бегай, хочешь дротики на точность кидай. Каждый из вас делает то же самое, когда ищет что-то нужное, но неизведанное. Автосервис, стоматолога или врач узкой специализации.


Необходимое пояснение

Михаил, Евгений, цель данного материала, не в том, что бы вас обидеть. Лично я не знаю никого из вас, и смотрю со стороны. Цель материала показать то, что видит ваш рядовой клиент. Смысл в том, что бы эти неточности не мешали вам зарабатывать и нести добро и свет людям. Я надеюсь, вы воспримите данный материал, как взрослые люди.

По сути, я с вами в одной лодке. Мы играем на одном или, как минимум, соседних полях. Ваши просчеты, отражаются и на мне.

И, на всякий случай, все ниже сказанное – личное мнение автора, выраженное в пародийной манере. Автор – шут, что с него возьмешь?


Перед битвой

Диспозиция перед битвой такова. Я рядовой клиент, которому требуется юридическая консультация по вопросам информационной безопасности. Проблема у меня серьезная, которая может перерасти в судебный процесс. Я готов решить проблему любыми способами и за любые деньги, но лучше бесплатно. Т.к. знакомых у меня в информационной безопасности нет, я запускаю гугл… или яндекс.

Гугл дал осечку

Гугл дал осечку

И Яндекс не помог

И Яндекс не помог

Вся информация почерпнута из открытых источников с сайтов участников битвы. В редких случаях, были применены спецсредства, для раскрытия темы.

Раунд 1 – Знакомство

Удивительно, но наших бойцов я не смог найти по запросу «юридические консультации по информационной безопасности», яндекс и гугл не котируют наших бойцов. Либо это для них не важно, либо надо что-то серьезно делать с позиционированием. На одной известности в ИБ тусовке далеко не уедешь. Допустим, мне их посоветовали.

Участники

Участники

Михаил Юрьевич Емельянников

Характеризует себя следующим образом:

Эксперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

Ссылка «Моя веб-страница» в блоге (???) ведет на сайт Агентства. Аааа… не, конечно, хорошо быть экспертом. Но я то же себя экспертом называю. Если вбить Михаила в гугл, то почему-то вылезают ссылки на секлаб и фейсбук. На секлабе написано:

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.

А на фейсбуке можно найти первое подтверждение квалификации – окончил школу КГБ СССР. Как вы понимаете, человеку неискушенному сложно из всего этого понять, кто же перед ним.

Не понятно, где и на каких должностях Михаил работал. Что и для кого он сделал? Согласитесь, опыт является существенной подмогой в формировании представления о человеке, который возьмет с вас деньги, не пойми за что.

То же ЗПД, для 99% темный лес – но если непосвященный видит, что вы делали это для Газпрома или Сбербанка, уважение начинает просыпаться. Не зря же они ему деньги платили… Этого, увы, у Михаила нет.

Оффтоп: надо сказать, что с творчеством Михаила я не знаком, был на одном выступлении на BISA 2014, и на этом все.

Евгений Царев

У Евгения есть свой сайт, а в нем раздел «Об авторе». Мелкая придирка, Жень, ну ты же не девушка, что бы возраст себе занижать. Я понимаю, все хотят выглядеть моложе. Лучше либо убрать, либо отслеживать изменения.

Евгений более тщательно подошел к автобиографии, есть сведения об образовании. Но зря убрал сведения о прошлых местах работы. В прошлой версии сайта они были. Покопавшись немного в интернете, можно найти, что Евгений работал сплошь на руководящих должностях: замдиректора по развитию бизнеса, директор представительства и т.п. Но возникает естественный вопрос – зачем руководителю заниматься инженерно-аналитической работой? Или, во всяком случае, рекламировать ее?

И уж странно смотрится в таком контексте степень MBA «Инновационный и проектный менеджмент». Вы же по безопасности оказываете консультации, а не менеджменту.

Цитата:

Профессионально занимаюсь развитием направления информационной безопасности в российских интеграторах и вендорах.

Каких интеграторах? Каких вендорах?

Цитата:

Являюсь участником рабочих групп ЦБ/АРБ/Минсвязи (закон «О персональных данных»), РАЭК (законопроект о спаме), НП «НПС» (защита информации в Национальной платежной системе) и др.

Вот, лично я, понимаю, почему стоит в конце и др. Но человек со стороны, может воспринять это как желание закидать страшными аббревиатурами и списками. «Я член академий… почетный член фондов…» и т.п.

Плюс к этому, употреблено в настоящем времени «являюсь», вопрос – откуда столько времени бывать на всех этих рабочих группах? В перечислении их 5 (с и др. – штук 10 должно быть, иначе бы все перечислили). Считаем 10 заседаний в месяц, плюс день подготовки до, плюс день чтение итогов, плюс день на правки. Получается что занято 30 дней в месяце…

Цитата:

Автор более 12 исследований (каких?), 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности.

Евгений, да, я знаю, почему ты так написал. Но это не отменяет того, что весь этот Лукацкий-стайл – владелец заводов, газет, пароходов – выглядит, мягко скажем, не очень. Да, и цифры подозрительно круглые. Уж лучше опыт писать, чем публикации. Надо сказать, что на этом же сайте в другом месте, статей и комментариев указано 50+ и 300+. Евгений скромный человек.

tsarev_300+

Цитата:

Статусы:

  • Аудитор, Внедренц и Сертифицированный тренер по Стандарту Банка России в области информационной безопасности;
  • Аудитор и Тренер по ISO/IEC 27001

По ISO не совсем понятно, какой аудитор? Внутренний? Lead? Сертифицирующий (или как он там называется, который проводит аудит от BSI)? И тут я вижу немного манипуляции, все же сомневаюсь, что BSI сертифицирует тренеров в России? Да, аудитору, что бы проводить контрольные аудиты надо 200 часов (мб щас больше) на аудитах или можно заменить их проведением обучения, но сомневаюсь, что речь об этом. Но звучит круто.

Оффтоп: Евгения я знаю, еще меньше, чем Михаила. Первое мое знакомство с ним состоялось с поста Алексея Лукацкого.

Итог: раунд за Царевым.

Райнд 2 – услуги

Здесь буду давать комментарии в оригинальном тексте участников.

Михаил Емельянников

Консалтинговое агентство «Емельянников, Попова и партнеры» (вот, интересно – кто такая Попова, и кто эти партнеры? Опять к вопросу о подаче услуги, баллы снимать не будем, т.к. разбирали это в первом раунде) предлагает услуги профессиональных консультантов (а конкретно?) в области информационной безопасности. Уникальность предлагаемых услуг состоит в комплексном решении проблем на стыке правовых, организационных и технических мер, исходя из необходимости соблюдения законодательства и оптимизации затрат (ну, скажем, что каждый первый интегратор пишет такую «уникальность»).

Агентство оказывает услуги:

· предприятиям и организациям, заинтересованным в создании эффективной системы защиты информационных ресурсов и выполнении требований регуляторов (придирка профессиональная – почти, невозможно сделать эффективно и соблюсти все требования регуляторов при заявленной оптимизации затрат);

· отечественным и зарубежным компаниям, работающим на российском рынке информационной безопасности или имеющим планы выхода на него;

· организаторам учебных курсов и семинаров по вопросам защиты информации.

Краткое описание услуг

· Выявление на предприятии проблем в информационной сфере, поиск путей решения, риск-менеджмент (анализ рисков, выработка стратегии управления рисками, определение мер по их снижению или компенсации).

· Разрешение сложных проблем выполнения положений законодательства в области персональных данных с учетом нормативно-правовых актов других областей правового регулирования (видимо, текст старый – сейчас сложных проблем «на стыке», что-то не припомню, или надо указывать конкретно), устанавливающих требования, связанные с обработкой персональных данных (трудовое, гражданское, налоговое законодательство, законодательство о правоохранительной, оперативно-розыскной, кредитно-финансовой деятельности и др.).

· Установление и изменение режима коммерческой тайны с целью обеспечения защиты исключительных прав обладателя секретов производства (результатов деятельности в интеллектуальной сфере) (как-то узко, есть еще куча исключительных прав, а уж видов коммерческой тайны… одним производством дело не ограничивается).

· Экспертиза законченных (есть соответствующая лицензия и аккредитация?) или находящихся в стадии приема проектов в области информационной безопасности с целью оценки соответствия требованиям законодательства, полноты, разумности и достаточности предлагаемых в проекте защитных мер, обоснованности выбора средств защиты информации.

· Обучение и повышение осведомленности персонала заказчиков в области безопасности и выполнения требований законодательства, проведение семинаров, вебинаров, учебных курсов и др. мероприятий по тематике информационной безопасности для всех категорий (тут ссылка) – от владельцев бизнеса и руководителей высшего звена до рядовых работников (почитав блог, и посмотрев евенты, складывается ощущение – что обучение, основной вид деятельности агенства…).

· Консалтинг (а чем слово – консультирование, не нравиться?) компаний-производителей средств защиты информации, а также компаний-интеграторов (просто интересно – и часто обращались? По идее в интеграторах полно своих специалистов), оказывающих услуги в области информационной безопасности:

— сложные вопросы регулирования информационной безопасности;

— экспертная оценка развития бизнеса компании, ее позиционирование и продвижение на рынке информационной безопасности;

— консультации по развитию продуктов и услуг, предлагаемых или планируемых к запуску;

— аналитические исследования в области угроз, тенденций, технологий информационной безопасности, практики правоприменения (к сожалению, в открытом нет исследований в открытом доступе);

— представление интересов компаний на различных мероприятиях (подготовка и проведение презентаций, семинаров, участие в переговорах и пресейле, статьи с аналитическими исследованиями и др.) (кхм… а как это выглядит? Приходит Михаил и говорит, «Вы меня знаете, но сегодня я от компании «Веторк-2000». Да?).

· Консалтинг зарубежных компаний, работающих на российском рынке или планирующих такой выход, по сложным проблемам российского законодательства, таким как обработка персональных данных, защита коммерческой тайны и др. (т.е. у зарубежных компаний всего две проблемы?), для компаний, планирующих продвижение на российский рынок своих продуктов и услуг в области информационной безопасности, — по вопросам государственного регулирования, сертификации продуктов и лицензирования деятельности, особенностям поставок для государственных нужд.

Усе дальше контакты. Кстати, почта на gmail … не секюрно.

 

Евгений Царев

Подготовка судебных и досудебных экспертиз по вопросам информационной безопасности и защиты информации

Срок подготовки заключения: от 5 рабочих дней (без учета обследования на месте (так обследование может месяцы занимать. Лично мне, было бы неприятно узнать, что общий срок будет 2 месяца, а не 10 дней максимум, как я мог бы ожидать по написанному. Плюс к этому, не указана верхняя граница по срокам…))

Подготовка информационного письма для суда: в течение 1 рабочего дня (да же, если запрос пришлют в 17-30? Если да, так это офигенное конкурентное преимущество – надо указывать)

Подготовка информационной справки: от 3 рабочих дней

Подтверждение квалификации с копиями документов прикладывается к письму и заключению (собственно это немного отредактированная версия из 1 раунда. Но тут, отсутствие опыта – жирный минус. Одни курсы, обучения и 300+ статей. Что значит – «проекты по запросу»? Евгений, вы публичный эксперт, который живет доверием суда, к вашему мнению. У вас весь сайт должен быть в ваших проектах, благодарственных письмах и отзывах).

Суть услуги:

— проведение судебной экспертизы в рамках арбитражного или гражданского процесса, по запросу органов дознания и следствия, а также исполнительной власти и местного самоуправления (т.е. я как ответчик или истец не могу к вам обратиться за экспертизой? Зачем такие излишние уточнения?);

— составление заключения по запросу физического или юридического лица, включая адвокатов (вы не любите адвокатов? Или они у нас теперь не физические лица?);

— подготовка рецензии на заключение других экспертов (комментарии на комментарии. Думаю, любой адвокат поставил под сомнение вашу экспертизу, ввиду отсутствия опыта реальной работы);

— получение консультации на предмет проведения экспертного исследования.

Итог: 2-0 в пользу Царева.

Раунд 3 – разное

Сюда попадает все, что нельзя оформить в отдельный раунд. И Евгений и Михаил – блогеры. Евгений больше года не писал, но сейчас вернулся, видимо, повышал квалификацию по ИБ.

Евгений, в отличие от Михаила, пишет сейчас по судебной практике (что плюс), но не совсем ушел от репостов. Все-таки ссылки на чужой контент, они больше для твиттера. Михаил пишет пространные посты об угрозах домохозякам и подросткам.

Оба бойца довольно эгоцентричны, хотя Евгений более – есть раздел в видео, о себе, любимом.

Михаил, такое ощущение занимается чтением курсов. У него в блоге всего три вкладки, при чем вкладка с курсами больше, чем вкладка с услугами. Кстати, Михаил, это абсолютно нечитаемо. Какая-то простыня слабо форматированного текста, конкретный курс не найти.

Евгений написал книжку «Как удалить данные о себе?» на 9 страниц, правда не понятно, зачем он ее распространяет через почту, если она все равно лежит у него на сайте? Клиентскую базу собирает? Кстати, для поисковиков лучше название написать текстом, а не на картинке.

По поводу цен, прямых данных в интернете нет. Про Михаила говорят (считайте это слухами), что он готов всем помогать с ответами на вопросы за крайне неприличные деньги.

Ну, и Евгений раньше начал вести свой блог (2009 год против 2011).

Итог: разгром 3-0.

Winner

Заключение

Будь я человеком из нашего вступления – наши участники не помогли бы мне решить мою проблему. Я бы их просто не нашел. Но если бы нашел, у меня не возникло бы доверия к участникам, на основании информации, которую они сами о себе предоставили.

А, если бы это были последние эксперты в мире, то выбрал бы Царева.

 

На этом все. До новых встреч.

Positive Hack Days 2016 – Королева в восхищении!

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я туда на удивлении легко, думаю – это был мой последний опыт на этом поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как, одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD – восхитителен, именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, тех, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то не настраивал, рвет от всего этого великолепия крышу. Помниться, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ, тебе очень нравиться, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер», в свое время это позволило приобщиться к чем-то этакому, в какой-то степени контр-культурному, инженерному. Если вы читали их с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потому я перестал его покупать. На одной контр-культурности далеко не уедешь.

Мне конференция понравилась, людей много, все везде бегают, какие-то непонятные движухи везде. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно, глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады. Большинство ходит именно за этим.
  • Потусоваться. Поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях, вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой, или что-то активно обсуждают по телефону. Количество сделок заключаемых на конференциях – серьезная величина, которой нельзя пренебречь. Одна из причин этого то, что на бумажных конференциях все те же люди, с которыми ты встречался у них в офисе или на прошлой конференции. На фоне интересной бумажной темы, день проходит удачно.

На PHD такого, почти, не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить, организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить, за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус, нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин, я подъехал только к часу дня. Что немного жаль, в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А, вот, Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: После слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот, уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации. Где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами. Все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит, внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов. Многие мужья колотят и тиранят своих жен, но лишь единицы прибегают помощи со стороны.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все тоже самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного конента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал, что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация происходит по просмотрам – никак нельзя», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах, говорящих. С той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или желание, прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку, интересный момент, тот же Алексей, очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вмести с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а так же ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго, кому-то достаточно простого «я сделалЬ», а кто-то спать не может «в интернете кто-то не прав» и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, что бы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относиться), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет, тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А, вот, задача специалистов – оберегать домохозяек, что бы они спали спокойно. Все думающие иначе, должны начать с курсов компьютерной грамотности для населения, а через поколение, другое, уже переходить в поибэ.

И, в заключении, качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел, и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще, вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует, для вас его контент будет качественным. Если блогер мудлан, вы читать его не будете – как бы он не извернулся. Что наша дискуссия с Алексеем и около нее, и показала.

Не смотря на нашу историю с Алексеем, я говорил, и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов – читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А, вот, Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, вот про книги совсем не интересно, а про Solar интересно.

И, напоследок, hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

 

P. S. Скорее всего, это был мой последний отчет о конференциях. На конференции попасть сложно, пишутся отчеты долго, да еще и скандалы всякие возникают. Следующий напишу, если буду участвовать или организовывать.

Войны блогеров по ИБ

Когда воюют блогеры, комментариев в избытке (с) мое

Сегодня произошло странное, о чем и хотелось бы сказать, что бы расставить все точки. В чем суть? Сегодня была настоящая война блогеров со мной. Весь топ блогинга поибэ ринулся защищать свои интересы от моих мнимых нападок.

5753_900

Началось все со второй части моего отчета о CISO-Forum, где в одном предложении был упомянут Алексей Лукацкий. Упомянут был в контексте того, что Алексей неважно модерировал пленарное заседание, на котором была джинса от ISACA, которая съела 30 минут из 40 всей пленарки.

Через 2 минуты после заброса в фейсбук, я получил комментарий от Алексея. Удивительно, какая скорость. Думаю, фильтр какой-то на собственную фамилию поставил, или что-то в этом роде. Хотя еще недавно, Алексей заявлял, что репутации в России не существует, а ему конкретно – все равно, что о нем пишут, уже столько написали.

Алексею показалось, что я говорил о его секции, на которой меня якобы не было (Алексей я там был. Я в тот день был, почти, на всех секциях, за исключение круглых столов, т.к. сам вел один). Но не суть, говорил-то я о пленарном заседании, а не о секции Лукацкого. Как видно, фейл на лицо. Ну, с кем не бывает. Утром я указал на ошибку, и забыл.

Приехал на PHD, зашел на секцию публичности в ИБ. Сижу, никого не трогаю, и тут Алексей с поддержкой начинает шпильки мне кидать… я так понимаю, это что-то личное, Алексей еще на CISO-forum желал мне провала. И тут подошла тяжелая артиллерия, закончилось все тем, что Алексей высказал мысль, что у нас нет качественного контента в принципе. На мое уточнение, «и среди сидящих за кафедрой?» Алексей выкрикнул мне персональное разрешение, с предложением написать это в фейсбуке.

Было крайне неожиданно узнать, что я, оказывается, залез на священную землю блогов по иб, и топчу ее бесправно. Что сам я пишу хуйню (чего не скрываю), грамотную аналитику не даю, а выезжаю за счет скандальных тем и критики. Ну, а потом все перешло в фейсбук, где Лукацкий оставил полсотни комментариев, а когда я уже признал свою тупость и ограниченность, продолжил доказывать свою правоту каждому, кто отписался у меня на стене.

Лично для Алексея. Алексей, то, что конкретно этот блог молод – не значит ничего. У меня есть еще 4 более-менее популярных блога, один из них я начал вести, когда вы 10 лет назад еще и не думали открывать свой. Я прекрасно осведомлен о методике проведения срачей, как в интернете, так и в реале. Которые длятся месяцами, а не пару часов. Вы позволили себе перейти на личности, что ж – ваше право. Мне просто не интересно это. Хотя я мог бы с легкостью это сделать, я бы даже ничего своего писать не стал, просто несколько цитат (можно анонимных, думаю, вы и сами факты сопоставите) от участников рынка. Я моложе, и мне нечего терять.

Вы личность публичная, отличный теоретик, я, можно сказать, рос, как специалист, на ваших постах, но сегодня вы потеряли лицо. Спорить с каким-то ноунеймом (кстати, это уже не первый раз) по пустяковому поводу так, что теперь об этом знают все. Зачем? Ладно, хватит об этом. Я слил, тему закрыли. Обещаю, что впредь не буду упоминать вас всуе, разве что по какому-то большому поводу.

Для читателей. Друзья, этот блог не про информационную безопасность, и никогда о ней не был. Топ блогинга может спать спокойно. С помощью блога у меня нет цели распиариться, монетизироваться, найти новых клиентов и т.п. По одной простой причине – я не занимаюсь информационной безопасностью. Цель у блога лишь одна – писать. То, что вы это читаете, для меня большая удача. На один из моих блогов подписан 1 человек, и все. Мне этого достаточно. Я просто надеюсь, что мой взгляд на вещи, кого-то побудит к разговору. А уж что писать – про ИБ, рассказы или стихи, это как получиться. Вы бы бросили меня читать, если бы я тут постил свои рассказы? Или заметки?

Надеюсь, вам интересен я, а не мои посты поибэ.

ilive

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, что бы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13, лучшее время для отчета, оставить все страхи в этот прекрасный день. Но должна быть и капля позитива, я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные, законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они в свою очередь были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: харе говорить о технологиях. Технологии это лишь один, при том самый низший, уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот, весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал, про западные SOCи и отечественные, о той локализации, что присуща, только нам. Можно сказать, что у нас образуются два отдельных направления в SOC – это подход Solar, с его аутсорсингом и вытекающими от сюда проблемами, и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу, и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл, в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, ценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Что бы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но, вот, программка – мое почтение. На моей памяти, они единственные, кто догадался сделать ее формата А5. На полиграфию – денег не пожалели.

Ну, и развлечения были неплохи – особенно алко-казино :)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб, и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA), пересказывал какой-то западный отчет по угрозам. Потом, рассказывал какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в явном шоке. Никогда не думал, что на таком уровне, можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там, в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году, за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

День, сразу задал уровень неадеквата.

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал, о свое опыте сертификации CISA, CISM и CISSP. Это было минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы так же сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не- CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций.

Фарит ответил свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно 3 круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию, и за деньги обучают своей методике. Так мало того, вы каждый год должны покупать книжки, что бы остаться в кругу Илиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день, много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню, все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке

Александр Баранов: нормативка, что выпускали, не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики

А затем, была целая секция – жизнь после ИБ. От которой, я просто выпал в осадок. Там были девушка и молодой человек. Оба занимались ИБ, но потом оттуда ушли.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили причины прихода в ИБ (я уже не помню, кто, что конкретно сказал, главное общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: В ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Ну, что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне, корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш 4 круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию – «ИБ «под каблуком». Женщина в профессии CISO». Вообще, надо сказать, что все выступающие независимые эксперты (а независимы они, видимо потому, что их компании не были спонсорами форума), как-то странно повыбирали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц, и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась статья сертифицированным аудитором и начитывала часы для этого. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга, был понят мной во всех нюансах и подробностях.

Скажем, нет сексизму в поИБ. Можно сказать это был 2 круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был 5 круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было, про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина, при плохой игре. Первый день CISO- forum был… душным, и дело не в работе кондиционера, с ним все было нормально. Дело в давлении, это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот, корпорации – они всем рулят, а вот модная сертификация, ее надо получить, иначе к баланде не допустят. И ты бежишь, как белка в колесе за целями, поставленными другими. Хотя добро, вот, оно. Ты только что свернул от него…

Был там и 6, и 7, и 8 круги… но я не хочу об этом писать.

Всего вам доброго.

Начало положено, начинаю мостить дорогу в ад

С легкой подачи Евгения Полянского и Владимира Овчарука заделался тренером. Все произошло довольно спонтанно, Евгений позвал меня на семинар «ЗПД распространенные ошибки», на что я ответил, что три дня назад прочитал такой же.

Слово за слово, и, вот, уже в этот четверг у меня первый семинар по теме «Типовые ошибки ЗПД». В программе:

  • Типовые ошибки при организации защиты персональных данных.
  • На чем все валятся, при проверке?
  • Баланс между мерами защиты и деньгами.
  • Проверка, как оно происходит в жизни.
  • Стратегии прохождения проверок (hint: включая нашего «нового» регулятора).

И просто общение на всякие интересные темы. Чувствую, гореть мне в аду, вместе с другими бизнес-тренерами :)

Эксперт на примере Алексея Волкова

 

Анатомия кидка, или о пользе научного метода

Хорошо на майских праздниках, работать не надо, пробок в Москве нет, погода хорошая. Правда, и нет никого – все разъехались. Поэтому не имеет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот, четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого, с помощью научного метода, выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Вначале делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх, опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей поибе все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов, и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Когда я обдумывал это, в ожидании ГИБДД на месте аварии в те выходные, я смотрел на свою машину. Она была разбита. Мысль потекла рекой, к простому любопытству, а когда люди врезаются, они, о чем думают… было еще полсотни итераций, сопровождавшихся скрежетом шестерёнок у меня в голове. Пока через 6 часов, одну ругань, санта-барбару и пожаренный шашлык, я не приобщился к явлению кидка.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но, вот, поступки людей на определенном отрезке времени, очень хорошо классифицируются. Я назвал это – теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Что бы решать абстрактную задачу – риск-менеджмента в информационной безопасности, нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот, как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц, вероятность реализации угрозы должна быть пересмотрена или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути, каждый из этих пунктов, лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало, что изменилось. Не знаю как вам, а мне из этого описания, понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, что бы защититься от всего на свете. Вы со спецификацией приходите к начальству, и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений, у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение, тоже личная выгода . :) Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот, эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

Пример, мне открылся плоть от плоти кидков. Не те абстракции, взаимоотношений людей с юридическими лицами. Там и кидком-то сложно это назвать, какие-то акционеры… Это были кидки с2с, когда люди, кидают людей.

У меня собралась обильная коллекция кидков в сфере риэлтерства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня, хотел бы рассказать лишь об одно инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим подтвердиться ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), им очень было удобно расположение, в 15-20 минутах от работы. Мужчины славяне, один из Ростова, другой из Иркутска. С самого начала они упросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – встреча с ними в квартире, была затруднительна. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморой по сдаче квартиры.

Следствие 1. Кинуть может любой. Простое следствие, смысл которого, что нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Оба могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонинмусу нет смысла заботиться о репутации. Даже если об этом случае, рассказать в интернете с фотками и адресами, или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто, тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучился, подумаешь какие-то секреты ЦРУ, мало у них что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больны детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово, нарушит его снова.

А на сегодня все. До новых встреч.

Собирательный портрет или игра в угадайку

Следующим материалом должно было стать продолжение отчета о CISO Forum, но те воспоминания еще болезненны и я не могу спокойно смотреть в глаза открывшемуся ужасу. Поэтому сегодня более спокойная тема – о людях.

geshtalt

Когда-то я работал в Утконосе, и моей задачей было ловить внутренних нарушителей. Т.к. я был молодым специалистом, то ловил я их в корпоративной сети и интернете. Если бы все было хорошо, я подкачался и приобрел бы свирепый оскал, меня перевели бы на более ответственный фронт – склад.

Промеж слежения за сотрудниками, закрытием несанкционированных шар и т.п., я подсмотрел у старших товарищей такую штуку – ППН. Или по-простому психологический портрет нарушителя. Это небольшая памятка, описывающая типичного нарушителя: от внешнего вида, возраста, пола и одежды до поведения и особенностей биографии.

Цель ППН понятна – базовый фильтр, при мониторинге. Конечно, это не универсальный фильтр, в нем можно сразу обнаружить кучу ошибок первого и второго рода, да, и вообще. Но самая идея меня завлекла. Тогда я постеснялся спросить, как они его сделали. Поэтому стал изобретать велосипед.

Вообще собирательные профили делают все кому не лень. Продавцы жвачки и люксовых автомобилей, даже продавцы средств защиты информации. Интересны не сами профили, а выводы на их основании, а так же предпосылки к ним. Вот, о такой профессиональной деформации, я и хотел бы вам поведать.

Не секрет, что ибешники в первую очередь работают с людьми, и лишь в пятую с компьютерами и угрозами с ними связанными. Наравне с дипломатическими навыками, должны развиваться навыки эмпатии и оценки, как раз те самые фильтры и категории, которые и помогают дипломатии.

По сути – это навешивание ярлыков (только не так, как это делает какая-нибудь оторванная от реалий соционика), скорее это ближе к гештальтам (как законченной форме, а не гештальтпсихология, которая то же под знаком ереси ходит). Если вы читали шпионские романы, или да же интересовались историей спецслужб, то замечали, что все агенты имели прозвища (для конспирации). А эти прозвища в свою очередь часто были «говорящими» (теми самыми клише или гештальтами), слепком с личности человека. Ну, или посмотрите на прозвища своих друзей.

Со временем, много общаясь с людьми, у человека происходит изменение восприятия. Он начинает замечать вещи, укладывающие определенные гирьки на чашу весов под тем или иным ярлыком. Если вы следователь – это только плюс, если вы обычный человек  — то сомнения. Побочным эффектом этого является игра в угадайку, когда начинаешь оценивать рядом сидящих людей и предполагать, кем бы они могли быть. Еще лучше, если у вас есть партнер.

Например, вчера я гулял с ребенком, и второй раз в жизни увидел папу и мальчика лет 7-8, они на детской площадке гоняли мячик друг с другом. Я предположил, что это «воскресный папа», потому что:

  1. Я их вижу второй раз, и все время это было воскресенье вечер.
  2. Они играют вдвоем и ребенок рад, значит либо папа много работает, либо видятся они только на выходных.
  3. Папа плохо знает район, т.к. для их целей больше подошла бы коробка в 30 метрах, где вообще никого никогда не бывает, чем пяточек 3 на 4 метра.
  4. Папа делает это не часто (см. пункт 2), если бы он делал это часто, сын бы бегал с друзьями, а папа сидел на лавочке и уперся бы в телефон.
  5. Папа был одет довольно легко, как раз для вождения машины. Вряд ли бы он стал так одеваться, выходя в достаточно прохладную погоду, даже если бы куда-нибудь потом ехал. Проще было дома переодеться.
  6. Сын был одет для долгой прогулки, а не для пинания мячика. Если он любит футбол, то оделся бы более спортивно. И так далее.

К чему это я? Что угадайка (считай навешивание ярлыков), может быть забавным способом времяпрепровождения, когда это касается посторонних людей, которых вы никогда больше не увидите. Но он может быть фатальным, если с этим человеком вы будете вести совместные дела. Вам будет очень сложно выйти за рамки этого гештальта – пьяница, бабник, ленивый, вор и т.п. Вспомните жизнь ваших одноклассников, которых определили в группу ленивых или тупых. Уверен, что многие подсознательно корректировали свое поведение и отношение к ним.

В личных (рабочих, дружеских и т.п.) отношениях есть только один принцип – относись так, как относятся к тебе. Ярлыки и классификации тут не помогут.

Всего вам доброго.

CISO FORUM 2016 – как меня выгнали, но дали постоять на галерке

Я не знаю, на сколько частей растянется этот отчет (и будет ли его кто читать). В этот раз не хочется разбирать разнообразные доклады, что-то подробно описывать. Но я просто не могу молчать о ряде вещей, которые все на форуме посчитали обычными – тренды, устоявшиеся мнения и т.п. Это какой-то лютый пиздец. Но начнем с позитива.

ciso_forum_2016

Же не манж па сис жур

Билета на конференцию у меня не было. После того, как я заплатил за SOC- forum и огреб «впечатлений», купить билет было не вариантом (да, и с физиками они не работают, насколько я понял). Я честно пытался получить аккредитацию как СМИ. Но за три недели на мое письмо так и не ответили. А т.к. светлое будущее платной ибешной журналистики слишком туманное, потому что далекое, было принято решение прорываться.

За годы я побывал на нескольких десятках конференций, партнерок, семинаров. Я знаю, как они функционируют. Вообще, это прекрасные мероприятия, где целый день можно переждать холод и что-нибудь перекусить. Если вам надо дотянуть до зарплаты, ходите на конференции – реальная экономия. Желудок мой был пуст, а я – уверен в своих силах. У меня было два основных плана и несколько вспомогательных.

Надо сказать, что на конференциях два вида защиты – обычная и усиленная. На обычную конференцию (партнерку) можно пройти просто так, зарегистрировавшись прямо на месте по визитке. Я так ходил в Редисон на Check- Point.

Усиленная – появляется на платных мероприятиях, где добавляется охранник, который проверяет бейджики. Т.е. главная задача — этот самый бейджик получить.

Прорыв

Основная моя надежда была на угадывание номера билета. Бейджик может распечатать красивая девушка за столом регистрации. А может бездушная железка. Разумеется, я пошел к автомату.

Стрикер по ИБ: забежать и сфоткаться

Стрикер по ИБ: забежать и сфоткаться

Тут очень важен расчет времени. Главное попасть в момент, когда приходит основанная масса людей на регистрацию. Т.к. обычно рабочий день начинается в 9, то надо быть максимум в 9-10. Альтернативным вариантом было использование визитки (это когда начинаешь грузить девушку в момент оформления другого человека, что у тебя билет не распечатывается, но он у тебя есть, и как мне быть?) Велика вероятность, что вам просто распечатают бейджик с ваших слов.

В итоге, беджик я получил. Но меня почти сразу поймали :( Кажется, меня кто-то сдал. Наверное не стоило вести трансляцию всего мероприятия. А некоторые прямо жаждали увидеть, как меня заловят (да, Алексей?).

За постом охраны меня взяла под локоток Екатерина Митина (продюсер конференции) и плечистый охранник…

Удачное совпадение

Знаете, есть такой принцип – если очень чего-то хотеть, то это обязательно произойдет. Вопрос лишь во времени. Я очень хотел попасть на CISO Forum и, в итоге, попал. Остаться на ней мне позволил слепой случай – Костя Коротнев из Эльдорадо по рабочим причинам не успевал провести свой круглый стол. Чтобы не мыть тарелки, я с радостью согласился его подменить.

Дорога в ад

Перед тем, как погрузиться в настоящий ужас, от которого у меня скрутило все внутренности, и животный страх подталкивал меня быстрее уносить оттуда ноги, бежать и прятаться, я добавлю немного по делу.

horror

Мой круглый стол прошел вполне весело. Мы сразу поговорили о препятствиях к переходу в облака со стороны нормативки, еще раз вспомнили проблемы, которые могут возникнуть со стороны применения специальных средств защиты, обсудили новые угрозы в облаке и т.п.

Оставшуюся часть времени потратили на обсуждение, как быть, если руководство хочет в облака, но это влечет за собой риски. Конечно, стандартный аргумент (еще из BYOD), что это не так дешево, как кажется – не прокатывает (это уже вопрос других людей). Переносить какой-нибудь специфический прикладной софт — это делать еще один проект, теперь уже по миграции. Прямой выигрыш виден лишь в простых приложениях (почта, файлопомойка).

Но если приводить аргументы с точки зрения ИБ, то ахтунг открывается во всей красе. Можно поражаться лишь мужеству людей, работающих в парадигме: я (руководитель) решил идти в облака, ничего по безопасности делать не буду, а если что случится по части ИБ, то виноват будет безопасник, ему и отвечать.

Так какого хрена у тебя безопасники тогда делают, если ты их не слушаешь и денег не даешь? Это как пекинес для блондинки… Одни эмоции. Грусть и некая обреченность в глазах.

Ладно, об остальном в следующей части.

С официальной точкой зрения можно ознакомиться в многочисленных отчетах, которые в изобилии уже написаны и выложены.

TOP причин, почему не работают организационные меры. Четвертое место

Изначально в этом топе было 3 позиции, но, помедитировав над ним, решил добавить еще один пункт.

4 место – Отсутствие метрик

Это несколько абстрактная причина, которую по-бытовому можно было бы назвать «никто не знает, как выглядит «хорошо» (или плохо, если вы пессимист). Вернемся к нашему примеру с Альфа-банком. Фактически, услугу я получил (мера отработала), но качество этой меры никто не оценивает (ну, кроме меня, который ходил и возмущался). Я прождал двадцать минут после того, как высветился мой номер электронной очереди, потому что организовали еще и живую очередь.

И речь не только об этих 20 минутах. Если вы занимаетесь ИБ, скажите, какие у вас главные KPI по оргмерам? Думаю, я не сильно ошибусь, если в топ 3 из них входит: подписание соглашений о конфиденциальности с сотрудниками, и повышение осведомленности раз в год. У нас все хорошо, вот же метрики. Выполнение – 100%. Чего еще надо?

otricanie

Проблемы начинаются как раз после, в процессах. Эти несчастные 20 минут – это плохо или хорошо? Утечки были? Нет. Это ведь хорошо.

Чутка поразмыслив над этим, станет понятно, что у нас не охвачен целый пласт жизни. Наши метрики (количество сотрудников, прошедших тестирование) просто не способны оценивать качество последующей работы с этими условиями. И мы каждый раз удивляемся, а как же это у нас утечка произошла? Да все просто. В информационной безопасности мы работаем с отрицаниями (это те, что в логике обозначаются палочкой сверху \overline{x}). Не-утечка, не-взлом, не-вирус.

Если смотреть на результат, не понятно, что привело к не-взлому. То ли наша хитрая система защиты, то ли нам просто повезло. Конечно, методы и метрики оценки таких показателей есть, но вы никогда их не объясните вашему начальству. Вот и получается, что в безопасности вся система палочная. Чем больше поймали, тем эффективней работаем (кстати, при такой системе надо стараться, чтобы оргмеры были крайне неэффективными, а то палки закончатся).

Когда-то я был поставлен следить за расшаренными ресурсами. За 2 недели я закрыл все несанкционированные шары. Мне было о чем отчитаться, и мне дали медаль. А потом инциденты стали крайне эпизодическими, я впал в печаль. Конечно, выход был найден, но если бы я был не так молод и горяч, то растянул положительную отчетность месяца на 2. Как вы понимаете, к реальной безопасности это отношения не имеет.

Так и в Альфе — скорее меряют количество обслуживаемых клиентов (палки), а не их удовлетворенность.

Конечно, можно выбрать другие метрики, например, количество успешно предотвращенных взломов. Утверждение-то уже положительное! Но это те же яйца, только в профиль. По сути это производная от исходного не-взлома.

В сухом остатке: существующие методы оценки организационных мер входят в конфликт с KPI безопасников и работников. Конфликт разрешается в пользу KPI. Надо вводить качественные оценки.

Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №2.

Нашим специалистам удалось восстановить еще одну часть документа.

Общие положения

  1. Совершенно секретноКаждый сотрудник Службы должен знать законодательство Российской Федерации, положения Кодекса об Административных правонарушениях, положения Гражданского Кодекса, положения Трудового Кодекса и других нормативных актов, чтобы свободно ими оперировать в ходе проведения проверки.

 

  1. На проверку возьмите с собой:
    • Блокнот вопросов по проверке (БВП), где отразите дату, наименование оператора и ключевые вопросы.
    • Ручку.
    • Стикеры.
    • Что-нибудь перекусить.
    • Хорошее настроение.

 

Проведение выездной проверки

  1. Всегда приезжайте вовремя, если Ответственного еще нет – прорывайтесь внутрь. Это создаст необходимое настроение в Операторе.
  2. Если Ответственный на месте, попросите провести экскурсию по офису. Скорее всего, он ночевал на работе, и кофеинового заряда ему надолго не хватит. Он будет ошибаться.
  3. Если чувствуете в Ответственном и его команде признаки усталости, расскажите немного о нашей Службе и целях проведения проверок, о вашей собаке. Выматывайте оппонента. Проверка длится минимум 10 дней, куда спешить?
  4. Когда будете на экскурсии, обязательно смотрите по сторонам, обратите внимание на видеонаблюдение, систему контроля доступа и т.п. Если увидите сканер отпечатков или сетчатки глаза – бинго!
  5. Узнайте больше о производственных процессах Оператора. Это может быть и просто интересно — побывать в ЦУПе или на атомной станции. Если там используются персональные данные, пометьте себе в БВП, чтобы проверить их отражение в документах.
  6. Когда вы составили первое впечатление, можно приступать к проверке. Зайдите в отведенную вам комнату, если это хорошо вентилируемая переговорка с кофе-машиной – оператору плюс в карму.

 

Проведение документарной проверки

  1. Если вам досталось проведение документарной проверки, не расстраивайтесь. Радость выездной проверки достается лучшим из лучших. Работайте усерднее и вас обязательно заметят.
  2. Документарная проверка требует точности. Не ошибитесь в названии или реквизитах Оператора. А то придется начинать сначала.
  3. Разошлите Уведомление всем Операторам из вашего списка. Обязательно завяжите переписку в Приложениях к Уведомлению – Ответственные тоже люди, и им хочется поговорить.
  4. Если у вас плановая документарная проверка, то запрашивайте документацию как можно более обще. Используйте расплывчатые фразы и обобщения. Например, «в соответствии со статьей 1911 Подзаконного внутреннего секретного постановления, необходимо представить документы, регулирующие обработку персональных данных».
  5. Если вы запрашиваете документы в связи с жалобой субъекта персональных данных или по другим веским основаниям, не стесняйтесь использовать положения пункта 004. Если Ответственный пришлет документы – он душка, если нет — минус в карму. Мы же одно дело делаем.
  6. Получив документы, внимательно сравните даты отсылки уведомления и изменений к ним, даты утверждения документов, даты приказов и т.п.

Неожиданный конец документа