Про национализм

Кривая дорожка веб-серфинга вывела меня в жжешечку. Полазив там немного, наткнулся на знакомые когда-то лица. Что удивительно, 8 лет ребят не видел, а за 8 лет ничего не изменилось. Люди все также пишут за национализм, все то же самое и теми же словами.

Надо сказать, что когда-то мне все это казалось правильным. И я сам, если и не был националистом, то был, как минимум сочувствующим. Вообще, юность у меня была довольна маргинальная. Было там и место правым идеям.

Сложно сказать, когда это все началось. Но я точно помню, как все это закончилось. Но обо всем по порядку.

Если кто не знает, у нас есть целый пласт людей придерживающихся националистических идей. Это «Россия – для русских, Москва – для москвичей». Люди эти внутри себя крайне неоднородны, есть православные националисты, белогвардейцы, сатанисты-социалисты и целая толпа еще течений и ручейков. Когда эти группки собираются вмести для чего-то совместного, сразу начинается срач о понятиях, кто и как правильно понимает Русскую Идею. Долго-долго пишется какой-нибудь меморандум или доктрина, и лишь после этого они могут что-нибудь вмести сделать.

Мечта всякого националиста

Мечта всякого националиста

Понятно, что при такой разношерстности – срач может вызвать совершенно любой вопрос. Про Сталина. Про Гитлера. Про религию. Иногда доходило до того, что обиженные группки выходили на акции вмести со своими идейными противниками – либералами. Точек соприкосновения, крайне мало.

Когда ты внутри темы, это кажется все очень важным и стоящим. Пишутся сотни статей, строчится тысяча комментарием. Иногда издают газеты, еще реже книги. Нагоняется какая-то движуха.

А самая любимая тема для обсуждения – «когда мы придем к власти, то…». Тут полет фантазии неисчерпаем. Многие националисты верят, что ходя на митинги, они устроят революцию. Что народ их обязательно поддержит, т.к. уже мочи нет. А главным зашкваром считают совместные фото с либералами и около американского посольства.

И, вот, в какой-то момент мне стало казаться все это очень правильным. Я писал по этой теме в блоге, читал разное, срался на многочисленных форумах с оппонентами. На митинги не ходил, т.к. учился и работал. Но со временем, сильно разочаровался в движении, а сама идея оказалась ложной.

Начнем со второстепенных причин.

Все движение националистов, какое-то неконкретное. Дел мало, разговоров много. В порядке вещей значимым делом считается написание огромной статьи на 40-50 страниц о том, «как будет хорошо, когда мы придем к власти». А ее потом прочитают, и все начнут усираться по какому-нибудь (не)значительному пункту. Выйдет ответная статья, потом ответ на комментарии и так по кругу.

Большинство в верхушке националистов профессиональные лентяи, это «политики», в лучшем случае оппозиционные журналисты или фрилансеры. Конечно, такие длинные телеги на работе не попишешь, там работать надо. Пяток писателей и студенты. Постоянно идет сбор средств на «правое дело» или «узникам совести». При том, что деньги все любят. Как-то был эпичный срач, как один известный националист занял 400 долларов на обед в дорогом ресторане у другого, и не отдал.

Проталкиваемый писок зашкваренных дел. При том, что он может сильно отличаться от группы к группе. Например, может считаться недопустимым общаться с не-русскими, вообще по любым вопросам. В некоторых случае этот список некошерных дел, может быть пожестче иных религиозных заповедей.

Не шибко приятная там атмосфера, вроде люди умные собираются, иногда говорят здравые вещи. Но все разговоры лишь про политику. Это крайне утомляет.

При этом националисты все никак не могут договориться о том, кто же такие русские есть. Как отличить русского от не русского? Вообще, любой национализм в первую очередь стоит на «чистоте крови». Вот, баски себя отлично идентифицируют от испанцев, или курды от турок. Копий на эту тему было сломано дофигища. В итоге срачей, оказалось, что большинство лидеров националистов – евреи.

Собственно первым делом, я пересмотрел вопрос «Москва – для москвичей». Случилось это в 2008 году, я уже учился на второй вышке, и общался с сокурсницей. Девушка из Оренбурга, оказалось, владеет двумя языками, медаль, красный диплом, работа в большой четверке, сейчас вторая вышка. Приехала в столицу пробиваться. Мне даже стало немного неудобно, поскольку тогда я общался с людьми, довольно узких знаний, навыков и опыта. Да, и посмотрев на своих соседей-алкашей, как-то стало грустно. Теперь я всем, кто жалуется, советую ехать в Москву. Не хочешь, как хочешь. А хочешь, так давай.

"Ломая лед" по Андрею Прозорову

А буквально через пару месяцев, я попрощался и с националистическими идеями. Причина проста – делить людей по месту рождения, крайне не продуктивное занятие. Возвращаясь к русским, оказалось, что единственным признаком нас объединяющим является русский язык. Если ты думаешь и говоришь на русском, ты русский. И никакой «чистоты крови», все утверждающие обратное идут курить историю Арапа Петра Великого и его отношение к великой русской литературе.

А, если читать историю внимательно, то выясниться, что мы действительно многонациональная страна. Из-за размеров нашей страны, основным экспансионным методом у нас была ассимиляция коренных народов. Которая происходит через язык и культуру.

Этнография даже знает несколько окончательно обрусевших народов (кстати, одни из них чукчи, которые до присоединения были крайне воинственными, и заставляли себя уважать). Где-то процесс уже подходил к концу, а где-то просто не успели (например, на вновь присоединенных территориях).

Сейчас я условно разделяю людей на – культурных и не-культурных. С культурными людьми, какой бы национальности они ни были, я хотел бы общаться как можно больше. А не-культурных не хотел бы видеть рядом с собой.

На этом все. До новых встреч.

P.S. В период моего националистического обострения, было у меня два друга – один еврей, другой либерал. Один супердорогой аналитик, другой врач психиатр и технический директор компании топ-100. Зашквар ужасный. Они оба были старше меня, и когда мы собирались, разумеется, разговаривали про политику. Когда мы спорили, они оба говорили, что это пройдет. Действительно прошло. Теперь я на их месте, и также разговариваю с радикальными молодыми людьми.

Суть стартапов

Закончился мой поход в Кибербитва, я с треском проиграл. Из положительных моментов, меня все же пустят постоять на BISA и может быть даже покормят. Обсуждали мы тему сложную, и я примерил на себя роль жопоголика («Шеф, шеф, все пропало! Гипс снимают, клиент уезжает!»). И где-то в середине, все сместилось немного на обсуждение стартапов вообще, и в ИБ в частности.

Надо сказать, что вещь это премерзкая и гадкая. Во всяком случае, в тех проявлениях, что мне доводилось видеть. Я шибко никогда не интересовался стартапами и стартаперами. Долгое время для меня это было синонимом молодого предпринимателя. Обратил мое внимание на это Михаил Забулонов, человек крайне сведущий в наших поибешных и итишных делах. Человек абсолютно незаметный в блогосфере, как говориться – известный в узких кругах. Тогда он возглавлял отдел, в котором я работал. Кстати, как-нибудь я расскажу обо всех своих начальниках, которые, за единственным исключением, были люди уникальные, и я много у них почерпнул.

Стояли мы как-то в курилке, обсуждали разные тактические вопросы, и зашла у нас речь про один из наших поибешных стартапов. Мы обсуждали, стоит их включать в наш портфель или нет. Слово за слово, перешли на наших внутренних молодых разработчиков. И Михаил сказал фразу, которую я запомнил (в сокращении, а то меня больше никогда никуда не возьмут работать):

«Разница между стартапером и (молодым) предпринимателем в том, что предприниматель продает продукт, а стартапер – себя. Цель предпринимателя – прибыль, стартапера – убытки.»

Все это сопровождалось рядом веских фактов из жизни уважаемых на рынке компаний. Я темой заинтересовался, и занялся своим любимым делом – наблюдением. И сейчас расскажу вам о своих выводах.

Как люди решают открыть свое дело? Кому-то надоедает работать на дядю, у кого-то есть крутая идея (идя все жизни), которая ему кажется стоящей и он бросается в пучину бизнеса. Мотивы самые разные. И, вот, начинающий предприниматель решает продавать новый продукт (с услугами все немного по-другому). Человек ищет единомышленников, делает прототип или опытную партию. Ищет деньги, зачастую кредитные, или продает что-нибудь не нужное. Находит первых покупателей, и если товар стоящий: покупателей становиться больше, равно как и денег. И дальше все по классике рыночной экономики.

Глобальная цель предпринимателя – прибыль. Локальная – выход в точку безубыточности, и расширение доли рынка.

Что же делает стартапер? Стартапер делает красивый сайт на 3 языках, заказывает себе бархатные визитки и делает красивую презентацию. Помниться лет 5 назад была история, как очередной стартапер замутив очередной стартап – продал квартиру в Москве, что бы заказать дизайн сайта у Лебедева. О чем не преминул всем сообщить.

Да, старатперы не хотят сидеть в одном бизнесе, им надо открывать стартапы. Какое мероприятие их не посмотрите, какие новости не прочитай – наткнешься на человека с характеристикой «опытный стартапер».

Чем он все это делает? Конечно, чтобы найти инвестора. Стартапер не готов взять кредит под залог квартиры, и строить свое дело. Видимо, подсознательно чувствует, что идеи гнилые. Стартапер хочет продаться какому-нибудь инвестфонду, за большую долю. Инвестфонду, кажется, что он в выгребной яме отыщет жемчужину (не своими же деньгами рискует). Это не происходит, почти, никогда. Поскольку ни один дурак, не будет стоящую идею реализовывать с неизвестными людьми, которые еще и будут вмешиваться в рабочий процесс. На стоящую идею вы быстро найдете себе единственного инвестора, и общаться будете только с ним, а не с безликим инвесткомитетом.

А, вот, всякая лажа и срединные идеи, крайне нуждаются в быстрой продаже. Т.к. людей много, мыслей мало – и пока вы придумали очередной мессенджер, еще тысячи уже делают это по всеми миру.

Поэтому стартапер оформляет идею в кучу красивых слайдов, пишет бизнес-план на 2 млн. баксов и идет по инвестфондам. В итоге продав идею и получив деньги, стартапер вливается в тусовку стартаперов, где они живо обсуждают особенности стартаповедения за яблочным смузи. Да, разумеется все это происходит в модном коворкинге. Кстати, об инвестфондах (наших разумеется). Такое ощущение, что они делают большую прибыль на всяких обучениях и поместной сдачи коворкингов стартаперам, чем от основной деятельности.

Именно поэтому стартапера не интересует прибыль. Он уже получил свои деньги, продав долю. Конечно, в идеале продать 95% и свалить через годик. Развалиться все? «Ну, так я ж ушел. Вот, новый бизнес мучу, здесь я до конца.»

Высший пилотаж стартапера, при колоссальных убытках, все повернуть на привлечение больших инвестиций. Там где предпринимателю при 1% убытков, будут грозить кулаком и обещать различные кары, стартапер при 150 млн. убытков улыбнется, и проведет презентацию для инвесторов о том, что необходимо еще 120 млн.

Возьмите Маска и Тесла – полный развал проекта и освоение денег. Один маркетинг и технологии, отстающие на два поколения. Или тот же Маск и SpaceX. Или Элизабет Холмс и Theranos, там до прямого вранья опустились. Денег кучу угрохали, компания в предбанкротном состоянии, а Элизабет успешная женщина предприниматель. Глядишь, скоро новый стартап замутит. В наших стартапах все точно также, масштаба поменьше.

А ключевая разница лишь одна. Предприниматель, выводя новый продукт, ищет покупателя. Если у него нет покупателя, и продукта — нет. Как уж это будет, зависит от товара. Понятно, что стартаперу клиент не нужен, и даже вреден (инвестфонд денег не даст). Главное получить деньги, два года разрабатывать осваивать бюджет, а там и новый можно стартам замутить.

На кибербитве, пробовали обосновать тезис, что крупные компании , через покупку стартапов двигают свои технологии. За большие деньги, разумеется.  Этот тезис довольно спорный. Если откинуть недружественные поглощения, покупки с целью уничтожения конкурента, и просто случаев, когда стараперами называют всех, даже предпринимателей. То картина печальная.

Вот, Intel купил McAfee, которая до этого купила Stonesoft. Помаялся пару лет, и продал. Или Microsoft купил Nokia, помаялся и продал. Деятельность, организуемая с целью подороже продаться, ни к чему путевому, как правило, не приводит. Рынок двигают энтузиасты, которые бы и без корпораций с инвестфондами себе бы долю рынка выбили, ибо делают что-то конкретное и, иногда, нужное.

Всего вам доброго.

 

UPD: Свежий пример из жизни стартаперов

Кибербитва — полуфинал

Продолжаю поход к бесплатной столовой на BISA Summit в этом году. Первый раз выиграл на тоненького. Всегда тяжело быть первым.

980_320

Сейчас будет все по другому. И тема горячая (кого же можно назвать ИБ вендором, и как они вообще живут), и соперники опытные. С легкой руки организаторов все свелось к противостоянию:  Солар или Дмитрий Дудко?! :)

Конечно, немного лестно. Можно привести много аллегорий подобного противостояния: одиночка против безликой страшной силы, или Леонид против персов. Но надеюсь у нас будет все менее фатально.

Биться будем в следующих раундах:

  • Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
  • В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
  • Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
  • Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
  • Как выглядит нефункциональная конкуренция между вендорами?

Регистрация на мероприятие

Приходите поддержать нас, завтра в 11-00.

Быть и казаться

Лето, что-то совсем некогда писать. Да, и к кибербэтлу надо готовиться… Кстати, на пропустите, в эту среду буду резать правду матку про ИБ-вендоров.

tobe

Как-то много чего хочется рассказать, но всегда в рамках. Одно просят не рассказывать хорошие люди, другое такая чернуха, что так плохо, что даже хорошо. Не про сатанистов же вам рассказывать.

Увидел я тут как-то в фбешечке, массовую миграцию специалистов от одного вендора к другому (прямому конкуренту). Это были не технические специалисты, у которых особая ситуация. А те люди, которые общаются с клиентами и рынком. Ну, мигрируют и мигрируют, делов-то.

А потом подумал, что же они будут людям в глаза говорить? Мол, раньше я вам в глаза врал. Но теперь зуб даю, продукт хороший! Ух, я бы на это посмотрел. На этом фоне, решил спросить у людей продаж, пресейла и общения с заказчиками, что они на этот счет думаю.

И открылась мне правда. Оказывается,  рынок у нас настолько честный, что каждый, приходя к заказчику, говорит исключительно о своих плюсах. Ситуаций, когда просят сравнения с конкурентами не бывает, и вообще переходить к прямым конкурентам не западло.

Разумеется, есть ряд ситуаций, когда переходить не западло. Например, вы работали в лидере рынка, и пошли делать собственный продукт с блэк-джеком и шлюхами. Или наоборот, вы перешли к лидеру рынка, за заслуги и личные качества (ну или вашу компанию купили). Тут вопросов нет.

Но переход от лидера рынка в годовалый старт-ап, в котором все места уже поделены, и который себя позиционируется перпендикулярно всему, что вы делали… Хотя наверно за деньги и не такое может быть.

На волне всего этого. Подумалось мне о вечной дихотомии добра и зла быть и казаться. Надо сказать, что вполне вероятно, что мы все живем в матрице, и все вокруг нам лишь кажется.  Индивиду много, что о себе кажется – умный, красивый, богатый, гений и т.п. Чем больше подтверждений этого индивид получает, тем больше ему кажется. Я думаю, все видели мам и бабушек, которые говорили своим чадам – ты такой умный, красивый и далее по списку. Большинство привыкают, становятся отличниками в школе, заканчивают университеты с золотой медалью, и… пшик. Выбиваются в люди единицы. Остальные становятся инфантильными непризнанными «гениями».

Аналогично и у нас в поибэ. Многим кажется, что они эксперты. А на самом деле диванные безопасники с большим количеством времени. Многие думаю, что они ИБ-вендора. А нас cамом деле 20 лет клепают средства защиты,  внедрив у себя SDL (цикл безопасной разработки) лишь в 2016 году, да и то по указке регулятора.

Или другой пример, компания Solar выложила в открытый доступ свой сейл-гад. Понятно, что это я виноват, что он недработан. Т.е. кому-то казалось, что он сделал хорошо, а потом обиделся, когда это оказалось не так.

solar-fail

Какой интересный продукт. С одной стороны умеет то, что в него не заложено. А, с другой, имеет коннекторы ко всем системам на земле, даже тем, что еще не написаны.

И самое замечательное в этом, что выхода из этого замкнутого круга нет. Подтверждение бытия, может быть лишь постфактум. То самое давление результата над процессом.  Как понятно, результат имеет четкие координаты на временной шкале. И чем далее вы от них удаляетесь, тем больше вам кажется.

Всего вам доброго.

Темы битвы: цена ИБ

Плавно добираюсь до экватора, после угроз и компетенций, мы скакнули к деньгам.

Как выглядит миф о затратах на безопасность? ИБ это дорого или доступно?

Сейчас ИБ – это недорого и недоступно. За 10 лет в безопасности, работая и в заказчиках, и в интеграторах, и в вендорах, мне довелось увидеть всякое. Я работал в заказчиках, в которых из всей безопасности был антивирус, межсетевой экран, снифер и, ближе к концу, сканер уязвимостей. И нормально, я делал honey-pot, реинженерил SAP и занимался другими интересными вещами, вроде соблюдения порядка на корпоративах.

security_comp

Чуть позже был у меня проект, в одном крупном ведомстве. Я проводил аудит рисков, с целью определения необходимости наличия DLP решения. Там было все плохо, и одной из угроз было – копирование информации на флешку. Любой безопасник вам скажет, что это страшная угроза. Так сказал и я.

В мерах противодействия я написал:

  1. Рекомендуется отключить USB
  2. Установить DLP

Старшие товарищи посоветовали мне убрать первый пункт. Потому что в ведомстве бы так и поступили. Им было проще и понятнее отрезать провода на всех компах, чем возиться со всей этой безопасностью.

Лишь с помощью нечеловеческой воли и маркетинговых страхов, про злых хакеров, все сложилось удачно.

Когда я был студентом, я считал байкой историю о самом безопасном компьютере, который выключенный зарыт на три метра. Но если действовать в парадигме «все увеличивающихся угроз», именно к этому мы и загоним бюджетодержателей.

Кстати, у нас есть цела отрасль, работающая именно с «закопанными» компьютерами – работа с грифованной информацией. Там в порядке вещей, прийти с утра, достать жесткий диск из сейфа сейчас, и выходя на перекур, сдавать его обратно в сейф под роспись. Всех средств защиты – защита от НСД.

Все космические бюджеты (хотя какие они космические? посмотрите на ИТ), происходят от попыток скрестить ужа с ежом. Мы объявляем достойную защиты информацию, и гоняем ее в сетях общего пользования и ЛВС для офис-менеджеров. Конечно, в этом случае нам потребуется защититься от всего на свете (см. вопрос 1), спеки растут, денег не дают.

В 2014 году, в одном ретейле случился инцидент. В открытый доступ были выложены данные о планируемой акции скидок. Это, вот, серьезный инцидент. Можно сразу идти выбивать много денег. Проблема ровно одна – ретйел (продуктовый) между собой не конкурирует в отпускных ценах. Это легко проверить и без инсайда, сравните цены в 2-3 магазинах крупных сетей вашего района. Где-то будет пониже на что-то, и там же будет повыше на что-то другое. Люди ходят в свой магазин вне зависимости от того есть там акции или нет. Кстати, особенно часто ходят в дорогие магазины, особенно люди с небольшими доходами.

И малая доступность ИБ, связана все с теми же страхами. Если руководство запугано, оно пытается найти деньги и высококлассных специалистов. Как только заканчиваются деньги, сразу прекращается ИБ. Я не открою большой тайны, что никому не выгодны дешевые средства защиты. Вендорам и интеграторам, т.к. маржи мало. Безопасникам, т.к. надо обосновывать свою полезность. Руководителям, т.к. «дешевое не может быть качественным». А на дорогое денег нет.

Так и живем.

Темы битвы: безопасники глупеют?

Второй вопрос, который хотел поднять Олег Седов – про компетенции. По мне, так вопрос немного выбивается из темы битвы, про это можно говорить долго и упорно. Но пусть будет.

fool

2.      Что сдерживает рост компетенций в ИБ?

(У нас с Олегом Губкой были разные точки зрения – он считает, что компетенции снижаются, потому что технологий много новых, угрозы растут и по классике. Но так получилось, что я говорил первым.)

Тут все просто. Рост компетенций ничего не сдерживает. И тем более снижение компетенций — не связано с усложнением угроз. Просто наша профессия «вышла в тираж».

Прошло уже 15 лет, с момента начала подготовки первых специалистов поИБэ в наших ВУЗах. Я знаю, я там был. 15 лет большой срок, за это время обкатались методики, выстроилась нормативка. И, видимо, кто-то распространяет идею, что в безопасности можно много заработать. Последний CISO-саммит – это подтвердил.

grafic

На картинке представлена разбивка зарплат. Мб кому-то 50 т.р. покажется немного, но это в среднем по стране. Моя теща, работая на двух ставках в провинциальном ВУЗе, получает 10 т.р., безопасник в том же городе получает 22.

К нам вливается все больше людей, которые не относят себя к безопасникам. Они идут сюда за деньгами, а если кризис какой, то свободно уходят. Понятно, что это сильно разбавляет компетенцию. Еще 5 лет назад, строка в резюме «умею в ЗПД» — была конкурентным преимуществом. Сейчас минимально необходимое требование. И как вышла в тираж ЗПД, так специальность в целом отправилась за ней.

Уже в 2010 году, я видел безопасников, единственной функцией, которых было выпускать ЭЦП. Данный человек прилично получал, и считал, что с безопасностью у них все хорошо, ведь они используют сертифицированную крипто-библиотеку, какие тут другие угрозы?

Только не надо думать, что это плохо. Лично я вижу в этом огромную возможность для рывка вперед. Но это мы уже совсем в сторону уйдем.

А, пока имеет, что есть. Компетенции снижаются. Скоро будет, как в анекдоте: преподавать поставил всем пятерки автоматом. И на вопрос – почему? Ответил – чем меньше вы знаете, тем ценнее я, как специалист.

Всего вам доброго.

Темы битвы: почему не растут угрозы?

Эх, давно не писал. Сильно скучал я по этому делу. Как вы знаете, меня рекрутировали за корзину печенья и банку варенья участвовать в Кибербитве. Неожиданно, я даже победил. Говорят, все любят андердогов и сравнивали меня с Исландией :)

before

Пара слов о мероприятии, в целом довольно интересно, но были свои минусы:

  1. Крайне мало времени на вопрос. Что является следствием большого количества вопросов, достаточно 3-4.
  2. Олег, не стоит менять тему за день до битвы. Уж не знаю, откуда там взялись роботы.
  3. Общее голосование, вместо раундового.
  4. крайне неудобно смотреть, нет чатика, не работает капча (!!) в форме вопросов.

Т.к. времени было не много, а позиция моя по многим вопросам была крайне неортодоксальной, я решил полнее раскрыть тему. И сегодня про угрозы.

Кстати, кто пропустил — полная версия:

Тема 1. Какой будет динамика роста внутренних угроз в ближайшее время?

Динамика будет нулевая. За всю новейшую историю информационной безопасности, мы создали огромный и страшный маркетинговый пузырь угроз. Чем было страшнее, тем проще нам было выбивать бюджеты (внутренние и внешние), и вообще обосновывать свою нужность (хотя с этим у нас до сих пор серьезные проблемы). Но уже пару лет это не работает.

По сути, роста внутренних угроз не происходит. Если взять классическую формулу риска, то в ней вообще нет угроз (и тем более уязвимостей), которыми мы так привыкли пугать директоров в СМИ и на конференциях. Классическая формула из ISO:

Величина риска = вероятность события * размер ущерба

где

Вероятность события = вероятность угрозы * величина уязвимости

сделав подстановку, получаем

Величина риска = вероятность угрозы *величина уязвимости* размер ущерба

Классическая схема рисков ИБ

Классическая схема рисков ИБ

Как видим угрозы и уязвимости это переменные второго порядка. Это такие переменные, которые могут быть неважны, если известна величина первого порядка. Например, вероятность попасть в авиакатастрофу составляет 0.00001% (вероятность события). И уже не важно, вследствие каких угроз или уязвимостей это произошло – теракты, ошибки и т.п. Все отрасли работают с вероятностью события, мы же зарываемся все глубже и глубже. Например, страховщики уже давно все посчитали и создали даже свой раздел математики (актуарная математика).

При том, что под «вероятностью угрозы» здесь понимается likelihood (а не классическое probability), что тоже переводиться как вероятность, но характеризуется частотой реализации угрозы за определенный период времени. Крайне не надежная величина.

Величина уязвимости – вероятность того, что угроза будет реализована с помощью данной конкретной уязвимости. Т.е. вполне может быть, что супер-пупер критичная уязвимость может никогда не реализовать.

Неутешительный краткий вывод можно сделать следующий. Мы сами сильно преувеличиваем значение уязвимостей (как причину реализации конкретных угроз). На этом преувеличении мы пытаемся породить множество страхов в своих умах, и умах бюджетопридержащих. И, это подвело нас к пропасти, к которой мы делаем гигантские шаги вперед.

 

Говоря, нас – я говорю о группе под самоназванием «поИБэ». Это вендоры, интеграторы, заказчики, множество специалистов разных направлений. К коей я тоже себя отношу. Осознать, и открыто выразить свою принадлежность к некоей группе, неизбежно отрекаясь при этом от принадлежности ко многим другим группам, — не шутка. Мы (современные люди) принимаем такие решения ежеминутно.

Например, можно заметить, что в основе этих решений часто лежат не логические умозаключения, а эмоции. «Мы животные» звучит обидно. Многие готовы долго и яростно доказывать, что это не так, что люди не животные. «Мы обезьяны» — совсем уж вызывающее заявление, от которого попахивает нигилизмом и общественным вызовом. При этом фразы «мы млекопитающие», «мы позвоночные», «мы многоклеточные» воспринимаются спокойно.

Между тем с биологической точки зрения все эти утверждения одинаково верны. Вот несколько разных «мы», узаконенных современной биологической наукой. Мы многоклеточные. Мы эукариоты. Мы жгутиковые. Мы животные. Мы вторичноротые. Мы хордовые. Мы позвоночные. Мы челюстноротые. Мы четвероногие. Мы амниоты. Мы синапсиды. Мы млекопитающие. Мы плацентарные. Мы приматы. Мы обезьяны (или, что то же самое, антропоиды). Мы узконосые обезьяны. Мы человекообразные обезьяны, или гоминоиды (по-английски apes). Мы большие человекообразные обезьяны (great apes). Мы большие африканские человекообразные обезьяны (african great apes). Наконец, мы люди.

В наследство от наших предков и родичей, нам досталось три основные доминанты поведения (мотивов) (в порядке убывания):

  • еда
  • размножение
  • доминантность

(кстати, если вы адепт Пирамиды Маслоу – вам надо пересмотреть свои взгляды).

И именно это мы упустили, когда кинулись надувать наш пузырь страха. А теперь не понимаем, почему нас задвигают подальше. Посмотрим, как в связи с этим меняется наша картина ИБ рисков, на реальные риски.

Классическая схема риска

Классическая схема риска

Упс. Оказалось, что субъект, воздействуя через свои доминанты на объект (защищаемую информацию, активы, любую ценность), уже имеет полное множество (или пространство) причин. Которое может реализовать огромным числом способов. И наши уязвимости поИБэ, всего лишь капля в море (переменная второго порядка). У нас ведь как? Придумают новую технологию, и давай в ней уязвимости новые перечислять. По сути этот взбалтывание крайне незначительных (бесконечномалых) факторов в глобальной сфере рисков (помните про авиакатастрофы?).

Через данные доминанты можно выразить любое поведение человека от альтруизма до похуизма. И это мы еще не затронули наш великий разум (большие лобные доли), который еще меньше оставляет места для наших угроз.

Например, на данной битве было два мотивированных человека: Олег с точки зрения доминирования, и Дима с мотивом еды (победителя покормят на BISA Summit). Понятно, что при прочих равных Олег не будет тыкать Диме ручкой в глаз. В то время, как Диме отступать некуда.

Например, в нашей отрасли сейчас кризис. Увольнения, задержки зарплаты и т.п. Из наших вендоров и интеграторов уже вынесли все более-менее ценное. От клиентов, до листов рассылки для спама. Голодный человек обойдет наши CPB и глазом не моргнет. Тогда зачем мы?

В поИБэ мы ставим способ реализации во главу угла. Все наши ЧМУ пестрят действиями (например, Кража носителей информации или Установка ПО не связанного с исполнением служебных обязанностей), а субъектам уделяем 3 абзаца в модели нарушителей. Мы ставим DLP и не знаем, что ответить на вопрос заказчика – а от фотографирования экрана защищает?

Не даром, ни одно внедрение СЗИ не может обойтись без оргмер. Зачем ломать сложный пароль, если можно подсмотреть?

Вывод напрашивается неутешительный. В маркетинговой погоне за страхом (не только со стороны вендоров, но и внутри заказчиков), мы так давили на эти страхи, что нас раскусили и больше не бояться (читай, дают все меньше денег). Т.к. не удается доказать бизнесу значимость этих бесконечномалых величин. Надо отпрыгивать от пропасти.

 

P.S. Уже стал известен мой оппонент по полуфиналу Эльман Бейбутов из Solar. Мой прогноз: мне надерут задницу. Ведь в Solar работает больше 100 человек. Но я буду биться.

Хотите это видеть? Поставьте напоминалку.

Важные навыки для информационного безопасника. Часть 1

Знаете, люблю я серийные материалы. Такие, которые не ограничиваются форматом одной заметки или статьи. Когда можно полно раскрыть тему, постоянно обдумывая и обсасывая мысль. И, что немаловажно, все это с течением времени обрастает мясом, давая на выходе законченный продукт. Понятно, что разовые заметки этого не позволяют.

Почти все мои прошлые серии подошли к концу или вот-вот закончатся (раз, два).

skill

Я решил начать новую серию, которая мне очень близка, и которую я давно хотел воплотить в печатном слове. Серия о ключевых навыках безопасника, тех, что постоянно используются нами в повседневной жизни. Это применимо ко всем безопасникам – будь то офицер СБ,  ресечер, инженер или пресейл. Надеюсь, серия вам понравится.

Навык: работа с таблицами

И начнем мы с самого базового навыка – работа с таблицами. Многим может показаться, что это ерунда — кто ж не умеет с ними работать? Да и не навык это ни какой, так, подразумеваемое требование офисного работника.

Смотря как к этому навыку относиться. Когда руководитель спрашивает вас, какой бюджет вам потребуется на следующие три года – вы используете таблицы. Когда заказчик спрашивает вас, какое решение вы порекомендуете – вы используете таблицы. Когда надо сделать модель угроз – вы используете таблицы.

Таблицы — это неотъемлемая часть нашего офисного бытия. Кто-то их использует чаще, кто-то реже. Например, пресейл может их рисовать целыми днями. Одну табличку в КП, другую в сравнение, третью – для календарного плана инженеров.

Таблица обладает одним ключевым преимуществом перед текстом – ее очень просто читать. Таблица – это квинтэссенция текста, выжимка, сухой остаток. Конечно, если она правильно составлена.

Ошибка №1. Многие пробуют загнать в таблицу как можно больше текста. Берут и копируют из текста целые предложения и абзацы. И это делает таблицу совершенно нечитаемой. Таблица — это способ быстро сравнить и принять решение. В идеале там должны быть цифры, да/нет, плюсы и минусы.

Из этого следует Правило №1: Если таблица сравнительная, то в ней должно быть минимум 2 сравниваемых решения.

Вы не поверите, но многие делают таблицы с 1 решением. Если у вас одно решение, используйте маркированные списки.

Правило №2: столбы должны отражать сравниваемые решения, а строки — критерии сравнения.

Мы легче воспринимаем информацию сверху вниз и слева направо. Вот пример.

Кидаю введи картинки, т.к. так еще не разбирался со стилями

Кидаю в виде картинки, т.к. так еще не разбирался со стилями

А теперь транспонируйте таблицу… Кавардак.

Правилом хорошего тона является нумерация строк. Даже если таблица к экселе, лучше продублировать. Гораздо проще сказать «строка номер 4», чем «в критерии технические требования 4».

И уж тем более не стоит вносить в критерии строки, по которым сравниваемые параметры не различаются. Конечно, если это явно не требуется. В примере выше все критерии были заданы заказчиком, и от них нельзя было отказаться. Особенно этим грешат вендоры в желании показать, что они не хуже. Представьте себе сравнение средств защиты от НСД ОС WIndows со следующими критериями:

  • Поддержка ОС Windows;
  • Поддержка ОС 32 и 62 bit;
  • Поддержка мыши.

Утрирую, конечно, но сплошь и рядом встречается.

Правило №3. Не врите в таблице. Как бы ни заманчиво было немного подкрутить данные в свою пользу, наглядность таблицы быстро позволит выявить вранье. Вас сразу ткнут носом, что скомпрометирует всю работу.

Также не работает мифическое «правильное расположение» требуемого варианта. Многие бизнес-тренеры рекомендуют проталкиваемое решение ставить в середину. Да, иногда это может и сработать, но вместе с тем откроет вашим недругам информацию о ваших манипуляциях. А кто-то любит себя ставить в первой колонке. Мол, нас сразу заметят. Но если решений много, то первыми же и забудут. Кто-то боится быть последним – мол, очередь не дойдет. В сущности же все позиции одинаковы.

Я люблю выстраивать все в алфавитном порядке. Это просто и понятно.

Не бойтесь вставлять в таблицу сноски и примечания. Это покажет, что вы экономите время ваших коллег. Кто захочет, уверяю вас, и сноску прочитает, и в исходном тексте разберется.

Отдельный вид таблиц — пояснительный. Например, структура цены в коммерческом приложении или запрос бюджета на следующий год. Тут уже никаких сравнений, просто сжатая информация. Правила все те же:

  • Понятность критериев;
  • Отсутствие лишних строк;
  • Последовательность изложения.

Многие любят добавлять лишние колонки, например, единица измерения. А вы продаете только в штуках и никак иначе. Выглядит глупо.

table2

Пока на этом все. Про таблицы можно много говорить, ими, как и всем, можно манипулировать. И иногда это прокатывает. Но об этом как-нибудь в другой раз.

Кибербитва

Я думаю, многие слышали, что Сколково с Infowatch организовали Кибербитву. По сути это плей-офф между экспертами по безопасности, где устраивается махач на заданную тему. В начале четвертьфинал, потом полуфинал. И так до заветного кубка.

980_320

Что особенно интересно, победителя выбирают слушатели. Причем по каждому вопросу. В конце очки подсчитываются, и выявляется победитель.

Разумеется, я не мог пройти мимо этого дела, и с помощью взяток и шантажа пролез в турнирную сетку. Хотя с речью у меня все еще хуже, чем с письмом, но планирую использовать грязные трюки в виде котиков и обнаженных женщин. Ближайшая битва будет в следующую среду – 6 июля, в 11 часов. 6 раундов с часовым лимитом.

Тема нам досталась – внутренние угрозы.  Тема весьма благодатная, мы уже прошли взвешивание с моим коллегой из Avanpost, где чуть не подрались. Не сошлись во всех представленных вопросах:

  1. Какой будет динамика роста внутренних угроз в ближайшее время?
  2. Что сдерживает рост компетенций в ИБ?
  3. Как выглядит миф о затратах на безопасность? ИБ — это дорого или доступно?
  4. Как следует оценивать эффективность ИБ в современных условиях?
  5. Почему традиционные оценки ИБ не всегда подтверждают свою эффективность?
  6. Способна ли автоматизация ИБ противостоять росту угроз?

В общем, призываю всех уделить час времени в следующую среду и посмотреть, что получится. Думаю, это самый перспективный формат для обсуждения. А то вокруг лишь джинса и проплаченные маркетинговые спикеры, которые оккупируют микрофон, заставляя их слушать. Возможно, это в скором времени это будет основной формат на конференциях и выставках.

Дима прорывается на BISA Summit

Дима прорывается на BISA Summit

Разумеется, предлагаю голосовать за себя любимого. Глядишь, меня на BISA Summit в фойе постоять пустят  :)

P.S. Прошлый раунд можно посмотреть по ссылке