Архив автора: Дмитрий Дудко

От форума к видео – путь графомана

Всем добрый день. Если вы любите рисовать буковки на бумаге или пиксели на экране, а особенно, когда это складывается в какие-то законченные мысли, вы равно или поздно придете к решению поделиться этим с окружающими. Причины могут быть самые разные — от банального любопытства до профессионального интереса. А если вы в добавок графоман, как я, то у вас вообще нет выбора.

Я прошел все стадии от анонимного блога до написания профессиональных статей, а недавно появилась вишенка на этот слоеный пирог. Теперь я с уверенностью могу сказать, что пробовал все способы самовыражения, который предоставляют современные технологии. О чем и хочу рассказать.

Форумы

Самая простая начальная стадия. Нет ничего проще, чем под настроение поучаствовать в какой-нибудь дискуссии на сотни страниц. А количество пользователей и административная иерархия добавляют различные вкусы в это блюдо. Вы можете выбрать любую роль от эксперта по выращиванию хризантем до ревностного оппонента администрации форума.

Мое активное участие на общенаправленных форумах пришлось на 2000-2008 год. Мне даже удалось стать администратором из народа на форуме в 100 тысяч человек, где творился чад кутежа, интриг, и всей той вакханалии, которую творят молодые люди, имеющие неограниченный доступ к компьютеру.

Затем я основал и долго админил узкоспециализированный форум, который жив и поныне. С прискорбием должен сказать, что форумы умирают. Жизнь теплится в каких-то определенных областях, где форум удобен, как платформа, но сейчас уже нет интересных форумов общей направленности.

Форумы все еще остаются замечательной песочницей для оттачивания своих навыков. Форумы дают замечательную анонимность. В конце концов, форум вы всегда можете забросить, но память останется в веках, особенно, если вы писали что-то дельное.

Личный анонимный блог

Личный блог становится следующей стадией. Свой первый блог я открыл в 2003 год в ЖЖ и вел еще один на форуме. Оглядываясь назад, сложно сказать, зачем мне надо было два блога. Но что было, то было. Блоги – это уже следующая стадия социализации, тут у вас появляются друзья по интересам. Если сохранять должную цифровую гигиену, то можно быть неузнанным все время использования.

Проблема кроется именно в анонимности. Если вы хотите славы, пусть и в узких кругах – это не ваш вариант. Рано или поздно произойдет деанонимизация, что может сказаться на вас негативно, вы ведь ведете анонимный блог. Последствия этого могут быть самые разные. И, конечно, будет крайне ограничен круг ваших тем, например, вы вряд ли сможете писать на профессиональные темы. Если же вас именно это интересует, то вам поможет следующий раздел.

Надо признать, что личные блоги на известных платформах умирают, вместе со своими платформами. Сейчас практически нет удобных соцсетей для периодического ведения блога. Да, ЖЖ подходит идеально, но он умер. А Вконтакт с Фейсбуком все же несколько для другого.

В прошлом году после 15 лет работы я закрыл свой анонимный блог.

Профессиональные статьи на заказ

Если вы достаточно профессиональны, рано или поздно вам предложат написать статью на заданную тему. Это уже качественный шаг вперед. Проблема в том, что вы жестко ограничены темой. И редактор, составлявший план, крайне смутно может понимать вашу специфику. Тогда вы будете писать про программы слежения за сотрудниками. Но если ваш материал будет интересен или качествен, вам могут дать некоторую свободу в освещении темы.

Обычно такие задачи прилетают с крайне сжатыми сроками и конкретными требованиями к объему. Например, 9000 знаков за 2 недели. Как вы понимаете, за это не платят. Но если вы захотите пойти по пути евангелиста вашей области, человека, который продвигает и пропагандирует определенные направления, это будет хорошим стартом. Рано или поздно вы сможете стать специализированным пиарщиком и лидером мнений. Например, в области информационной безопасности такой путь прошел Алексей Лукацкий.

Если чувствуете в себе силы, можете попробовать.

Литературное негритянство

Если в статьях на заказ вы пишете на заданную тему, то, став литературным негром, вы еще и будете получать за это деньги. Литературный негр пишет под именем другого автора, заказчика работ. Обычно это внушительные по объему материалы, в моем случае это была книга по экономическому анализу (120 страниц А4)

Обычно данное явление распространено в сфере журналистики и других сферах, связанных со словом. В нашей ИТ сфере с этим все несколько хуже. Где и как вы найдете заказчика — тайна великая есть. Сам я на это подписался совершенно случайно, услышав разговор в коридоре. Денег тогда платили нормально – 2,5 моих зарплаты. Как сейчас с этим — не знаю.

Направление крайне специфическое, время идет, сил заниматься этим не хватает, особое мнение заказчика надо учитывать. Когда я через 6 месяцев сдал исходник, у меня словно гора с плеч свалилась. Я даже не знаю дальнейшую судьбу рукописи, вроде как ее издали, и меня даже взяли в соавторы.

Занятие на ваш выбор.

Корпоративное обучение

В определенный момент вас могут выдвинуть на проведение очных обучений ваших заказчиков. Вы что-то создали, и теперь должны обучить пользователей это использовать. Надо сказать, что штука это довольно обременительная, т.к. зачастую обучение происходит среди людей, далеких от ИТ и ИБ. Первым моим опытом было обучение всех школ Москвы основам защиты персональных данных. Тогда я объездил все округа, где в зале собиралось по 200-300 человек, где должен был рассказать, что теперь им работать придется больше, а платить им будут столько же. Один раз меня чуть не побили в СВАО.

Если обучения вам избежать не удается, то вам поможет хорошее знание темы. В случае любых конфликтов вы всегда можете сослаться на то, что вы просто исполнили заказанную работу. И уж точно вам удастся раскачать навык публичных выступлений.

Наверно, самый спорный вид самореализации – все же учить должны педагоги или люди с профильным образованием.

Корпоративные выступления на конференциях

Это следующий шаг, когда вы не просто выражаете свои мысли письменно или находитесь в лояльной аудитории, как с обучением, но доносите необходимое до широкой аудитории. Это классика публичных выступлений, идти или не идти в которую каждый должен решать самостоятельно. Обычно направляет на такие выступления работодатель, реже вендор.

Каждому выступающему в самом начале надо решить следующие задачи:

  • Интересная тема (хотя бы не банальная);
  • Слайды. Это является отдельным искусством, о котором можно говорить долго и увлеченно.
  • Текст выступления. Его необходимо знать хотя бы в общих чертах, чтобы не читать без бумажки.
  • Тайминг. Неприятный факт, что можно и не успеть в отведенные 10-15 минут донести необходимую мысль, или наоборот быстро отстреляться и оставшееся время ждать вопросы от аудитории.
  • Внешний вид. Публичные выступления довольно требовательны к внешнему виду, хотя сейчас наметилась тенденция к упрощению, можно читать хоть в толстовке.

Советую попробовать каждому хотя бы раз, после этого вы точно будете знать – развиваться ли в этом направлении дальше или забросить это дело.

Интервью конференции

Выступить, пусть и под запись, может большинство. Но вдруг вас ловит журналист, нанятый организаторами, который хочет взять флеш-интервью. Вот одна из моих первых попыток:

Здесь было все ужасно. Адреналин бьет через край, парализуя мозг. Через 5 лет все случилось ненамного лучше.

Главная проблема интервью, что вы чаще всего вы к ним совершенно не готовы. Представьте ситуацию: вы только выплеснули всю энергию, а каждое выступление — это стресс, если, конечно, вы уже не сделали сотни выступлений, а тут вас застают врасплох, надо срочно сконцентрироваться, ведь вас снимаю и точно это где-то покажут. Интервью остаются для меня самым сложным испытанием.

Экспертные мнения к новостям

Когда вы станете довольно известны в своей области, к вам периодически будут прилетать запросы на комментарии. Мне прилетали запросы на комментарии по актуальным темам еще пару лет, как я уволился.

Происходит это так. Журналист хочет осветить свежую новость, и, чтобы усилить эффект, хочет собрать мнения экспертов. Как вы понимаете, это довольно непростая задача, эксперт может быть занят, в отпуске, ничего не понимать в теме новости.

Эксперту тоже не сахар. Новости может быть 2 часа жизни, а вы уже должны мало того, что знать суть, так еще и охватить смежные области, часто сделать прогноз, и все это за 30-40 минут, т.к. материал пора публиковать. И, разумеется, желательно, чтобы ваше мнение было еще оригинальным. Один раз я 30 минут сидел в машине в Пушкино, написывая через смс свое крайне «компетентное мнение».

Выглядит это примерно вот так.

А еще бывает такая крутая штука, как «эксперт, решивший остаться неизвестным». Это когда мнение необходимо, но персонализировать его по каким-либо причинам нельзя. По самым горячим темам 2014-16 годов можно найти самые неожиданные мнения, особенно, если знать, кто «пожелал остаться неизвестным».

Профессиональные статьи со свободной темой

Собственно, это развитие статей с заданной темой. Если вы хорошо себя зарекомендовали, даете качественный контент, вам могут дать карт-бланш на заполнение пустых полос. Это вершина письменного профессионального творчества.

Если вы достигли этой точки – поздравляю, я до нее пока не добрался.

Личные выступления на конференциях

А это, как понятно из названия, вершина личных выступлений. Когда вас рады видеть на любой конференции, чтобы вас послушать. И могут оплатить перелет, проживание и развлекательную программу. В области ИБ таким, например, является Рустэм Хайретдинов, которого можно слушать всегда и везде, чтобы он не хотел рассказать.

Личный профессиональный блог

Самая переоценная категория в отличие от анонимного – вы можете писать на свою профессиональную тему. И вас начнут воспринимать как эксперта. Проблема профессиональных блогов в том, что темы-то заканчиваются. И если в ИТ есть еще какое-то развитие, то в ИБ вы будете кидаться на любой информационный повод, на любой проект постановления правительства, и тоже самое будут делать ваши коллеги. Тлен и безысходность.

Если все же отважитесь, то вам необходимо быть экспертом в заданной сфере и давать неожиданный взгляд на текущую ситуацию, чтобы быть не как все.

Личный полу-профессиональный блог

Я поставил полу-профессиональный блог выше профессионального из-за более широкой сферы тем. Именно поэтому я перевел свой блог с прямых рельс информационной безопасности на более общие темы.

Как вы понимаете, в данном случае вы публичны дальше некуда. И много сказанное вами будет использовано против вас в самых неожиданных местах и формах. Например, некоторые корефеи до сих пор язвят по поводу Дошираков, хотя это была просто работа.

Если не боитесь, то это лучший из вариантов для удовлетворения своих потребностей в графоманстве.

Аудио-подкасты

Аудио-подкасты у нас как-то особо не взлетели. Все же большинство людей визуалы, т.е. воспринимают картинку глазами. Поэтому самым удобным способом юзать подкасты – слушать в машине или в транспорте в наушниках.

Сами по себе подкасты предъявляют повышенные требования к теме и выступлению, но проще в реализации, записывать их можно хоть в трусах. Большим плюсом является наличие ведущего и других гостей, с которыми можно завязать диалог и улучшать качество контента.

Крутой формат, всегда с удовольствием участвовал, но проблема использования стоит во все поля.

Теледебаты

Те же подкасты, но с картинкой. А, следовательно, сюда добавляются требования, как и к выступлению на публике – тема, слайды, выступление и т.п. Мне удалось поучаствовать в первом сезоне Кибербаталий от Infowatch. Где каким-то чудом я выиграл приз зрительских симпатий. Но это было крайне сложно. Я бы не рекомендовал участвовать, если вы не пробовали большинство из предыдущих пунктов.

Сам я не высоко оцениваю свое выступление, сейчас бы я все сделал по-другому.

Новости

Прохождение всех предыдущих стадий у меня заняло 19 лет, с момента первых форумов и блогов. И вдруг каким-то чудом меня утвердили читать корпоративные новости. Приятная неожиданность быстро сменилась легкой тревогой на подготовке – новости надо было заучить. Это не рифмованные стихи, это пресс-релизы, а слово «гиперконвергентной» я теперь могу выговорить без запинки (и, надо сказать, записали мы эту новость быстрее всех).

Но самый ад начался на записи. Интервью — пыль по сравнению с новостями. Оказалось, камера выпячивает все недостатки, которые у вас есть. Как визуальные, так и артикуляционные. Первый выпуск мы записывали 3 часа, это 3 часа стоя на ногах с порванным мениском (незадолго до этого меня сбила машина). Мой язык к тому моменту совершенно меня не слушался, и я был готов бросить все и убежать, и никогда больше с этим не связываться. Все же я никогда не учился на диктора, и вряд ли когда-нибудь смогу, начав с середины жизни.

https://www.facebook.com/LANIT.life/videos/1121716011342443/

Если вы все же решитесь, будьте готовы к тому, что хоть вы и говорящая голова на экране, но за этим стоит большая работа множества людей. И они будут предъявлять определенные к вам требования, это зачастую нелегко. Вам может казаться, что вы сделали супер, но ваш режиссёр будет наседать на вас, пока не добьется превосходного результата.

Надеюсь, вам было интересно плавать по волнам моей памяти. Как вы заметили, я совсем не касался причин той или иной деятельности. Вы можете хотеть продвинуть личный бренд, как сейчас модно говорить, или поделиться опытом – не принципиально. Но это уже тема отдельного большого разговора.

А на сегодня все. До новых встреч.

Сексизм в ИБе

Последние пару лет стало модным говорить об увеличивающейся роли женщин в ИТ вообще, и ИБ в частности. Помню, несколько лет назад на CISO форуме сделали даже отдельную секцию для женщин. Было немного грустно, но красиво.

Надо сказать, что я нанимал женщин в безопасность, когда это еще не было мейнстримом, с 2010 года. А если просуммировать всех набранных, то количество принятых на работу мной женщин будет 44% (нечетное суммарное число). Почти все из них достигали существенных результатов в профессии.

Сейчас я вижу, как женщины в ИБ сталкиваются с сексизмом. В подавляющем большинстве случаев девушки и женщины не воспринимаются всерьез. Безопасникам мужчинам приятно находиться в их обществе, но не более того. И такое сплошь и рядом. Два технических директора, которые не могут настроить спам фильтр, изошлись на какашки, что их обследовала девушка. Ее слова просто не воспринимались, но чудесным образом специалист мужчина смог их прособеседовать.

Когда я учился в 2008 на аудитора ISO 27001, курс у нас читала чудесная девушка из Джетов. Она очень хотела стать сертифицированным аудитором BSI и существенно раскрыла нам, мужикам, глаза на проблематику. Насколько я знаю, эта девушка превосходный эксперт.

И ведь нужна самая малость – воспринимать женщин, как равных, как специалистов. Не буду говорить о феминизме, сейчас это движение сильно замарано. Но пора уже избавиться от покровительственного пренебрежения.

Многие думаю, что я с какой-то издевкой наезжал на Юлию Омельченко или Варвару Шубину. Некоторые даже пошли дальше, чувствуя себя рыцарями, обязанными защитить прекрасную даму.

Антон, именно потому, что я воспринимаю женщин как равных, я готов вступить в открытую дискуссию. Возможно, ваше воспитание предписывает вам защищать девочек. Как вы понимаете, тем самым вы становитесь сексистом. Я не знаю точно, но могу предположить, что для вас женщины слабый пол, который надо всячески оберегать и давать денег на маникюр. Но сейчас новое время, если девушка не просит о защите, значит она сама справится. У нас достаточно сильных женщин, не нуждающихся в защите в комментариях.

И да, в дискуссии с равным не позорно признать себя не правым. Но многим надо еще привыкнуть, что женщина может постоять за себя и со многим справиться самостоятельно.

Разумеется, у такого подхода есть и обратная сторона. Равное отношение предписывает и равную ответственность. Никому не интересно вникать в «бабьи» разговоры и продажу косметики Амвея. Некоторые женщины, кстати, явно занимают позицию «я девочка с бантиками и рюшечками». И к ним нет вопросов. К счастью, таких в ИБ исчезающее меньшинство.

А на сегодня все, до новых встреч.

Сколько стоит репутация

Как вы знаете, я цифровой гик. Меня хлебом не корми, дай что-нибудь посчитать. Разумеется, я больше всего люблю считать деньги. Особенно чужие. Когда совсем невмоготу, считаю факториалы. Но на прошлой неделе у меня было, что посчитать.

Счетовод

Как вы знаете, в ИБ считается, что репутация ничего не стоит. Что всегда приводило меня в крайнее смятение. И я решил начать разбираться. Разумеется, начал с себя, а вернее с того, что меня окружает, и очень быстро подвернулся интересный пример. И подвернулся он… в страховании.

Надо сказать, что страховые компании стоят на две ступени выше безопасников в области понимания рисков, и на галактические годы в их расчете. Но не будем бить себя ушами по щекам, у них была некоторая фора.

Но давайте остановимся на понятии репутации. Репутация в общем смысле – создавшееся общее мнение о достоинствах и недостатках кого-нибудь или чего-нибудь. Это могут быть люди, товары, компании, направления. Например, с точки зрения заработка на хлеб насущный отрасль стоматологии имеет лучшую репутацию по сравнению с частным извозом.

В экономике репутацию переводят в деньги с помощью понятия гудвил (goodwill). Оно не совсем нам подходит, т.к. применяется в основном при покупке/продаже компаний, и является надбавкой за «хорошесть». Но давайте не плодить лишние сущности и считать гудвил при покупке товаров и услуг. Продажа же происходит? Значит, в цене хороших товаров заложена наценка на гудвил/репутацию.

Необходима ремарка. Не будем сейчас разделять гудвил на репутацию бренда, маркетинга и пиара. Например, продукция компании Apple будет просто иметь большой гудвил.

Так вот, о чем собственно хотел рассказать. А рассказать я хотел о группе «Альфа Банка». Я просто обожаю Альфу. У меня там открыты все карточки и карточки моей семьи. Я использую там депозиты, у меня там ДМС, я купил там КАСКО и ОСАГО, страхование жизни и имущества, даже когда-то использовал их кредитки.

Неожиданно оказалось, что 4 апреля у меня должна была закончиться страховка КАСКО. Разумеется, я хотел продлить ее в Альфе. Мне даже СМСка пришла, и я стал звонить в Альфа-Страхование. Чуть раньше меня начали атаковать другие страховые агенты, предлагая свои условия. Казалось бы, при чем тут защита персональных данных, гадость несусветная. Некоторые страховые агенты были совсем не подготовлены и расспрашивали меня о машине и обо мне. Такие были сразу сброшены на телефоне, т.к. если уж вы хотите переманить клиента, делайте это хотя бы удобно для клиента. Рассказывать каждому встречному-поперечному, какой у меня стаж вождения, немного утомляет.

Но среди уводителей были и подготовленные. Одна тетя сделала мне предложение в 33 т.р. за КАСКО без франшизы. Т.к. время подходило, я решил позвонить уже и в Альфу. Тут уже зародилась небольшая обида, если уводители начали звонить за 2 недели – первый личный звонок от Альфы я получил за 3 дня до окончания страховки. Да и фиг с ним, я не гордый.

Дозвонившись куда надо, я получил предложение от Альфы в 49 т.р. без франшизы, но т.к. у меня были какие-то бонусы, предложение могло упасть до 46 т.р. Тут я уже расстроился окончательно. Как бы я не любил Альфу, но переплачивать 40% за ее репутацию и мое к ней хорошее отношение я не готов.

Да, все мы имеем какие-то предпочтения. Вы можете покупать Чудо-йогурт за 30 рублей, а не Данон за 26. Все мы готовы чуть переплатить, если получаем лучшее качество. Чисто интуитивно это варьируется где-то в районе 10-20%.

Я стал думать и анализировать свои потребности, и сошелся на том, что я бы все равно купил КАСКО у Альфы, если бы она стоила 39 т.р. Психологически комфортная цифра, чтобы остаться клиентом компании. Потом уже посыпались звонки от Альфы, сумма упала до 45 без бонусов, а в конце до 39 т.р. Казалось бы – желаемый успех. Но поезд ушел, к моменту получения заветной цифры 4 апреля, я уже неделю как оформил КАСКО за 33 т.р.

Особенно неприятно удивила аргументация страховой, мол, у них были старые тарифы, а теперь все чудесным образом пересчиталось. Но на примере использования «зеленой карты» для поездок за границу, я точно знаю, что есть тарифы минимум на 2-3 месяца вперед. т.е. Альфе Страхованию было вообще все равно, они просто хотели срубить денег, за что обижаться на них глупо.

Итого промежуточный результат:

  • (46-33)/33*100% = 39% — не вписывается в интуитивную оценку стоимости репутации
  • (39-33)/33*100% = 18% — в пределах интуитивной оценки стоимости репутации

Т.к. считать я стал позже, чем уже все свершилось, получается, что расчетные данные сошлись с эмпирическими.

Теперь рассмотрим предложение, которое я выбрал. Оно было от Тинькофф Страхование. Надо сказать, что я почти ничего не знаю об этой группе компаний. Общий фон был скорее слегка отрицательный, какие-то там разборки с блогерами, навязчивый маркетинг, но ничего критичного. Как говорят в опросах, скорее бы не выбрал, чем выбрал. Но окупила все цена. Если брать в процентах:

  • 33/46*100% = 28,1% — катастрофическая разница для Альфы, которая побудила искать альтернативные предложения
  • 33/39*100%= 15,3% — приемлемая разница для менее «репутационного» игрока.

Что же, настало время сделать промежуточные выводы:

  1. За хорошее и привычное мы готовы переплачивать до 20% стоимости.
  2. Видимо, существуют какие-то особые случаи, когда производитель закладывает 40% на свой гудвил. Видимо, надо быть Apple, чтобы у тебя такое покупали.
  3. Мы скорее выберем небрендированный товар или с худшей репутацией, если он дешевле на 15% и более процентов.

Разумеется, это лишь вступление в тему. Надо, как говориться, еще перейти из b2c в b2b сегмент. Но, думаю, общие контуры экстраполируются и туда. Но это уже в другой раз.

Как кидали Страховую компанию

Здравствуйте, здравствуйте, мои дорогие. Что-то совсем давно не виделись. По заветам тайм-менеджеров поставил себе задачу писать минимум один пост в неделю. Вот прямо сейчас и начнем. К счастью, мне за это никто не платит, поэтому можно писать в свое удовольствие. И сегодня я хочу рассказать вам историю об еще одном кидке.

Все мы любим такие истории. Стоит зайти в кулуары любой конференции, и вам расскажут таких с десяток. И сегодня я расскажу про страховую компанию.

Жила-была маленькая страховая компания. Не совсем уж она и маленькая, так сказать, первого эшелона. Но в контексте оскала нашей иб это была маленькая страховая компания.

И потребовалось маленькой страховой компании приобрести антивирус. У нее уже был богоподобный Касперский, и все было хорошо, но внутренние регламенты предписывали наличие альтернативного антивируса. Причем строго конкретного.

Конкретный антивирус был тоже не большой и не маленький, первого эшелона, но не Касперский. И полетели к этому вендору письма с запросами коммерческих предложений. И вендор отвечал на эти запросы со скоростью неимоверной, сформировав начальную максимальную цену в 500 тысяч рублей. Цена там была, конечно, другая, но важен принцип.

И разверзлась благодать для вендора, была объявлена конкурсная процедура, и были собраны три предложения, и… А дальше неувязочка вышла.

Надо сделать лирическое отступление. Многие хорошие вендоры имеют открытый прайс-лист с ценами. Наш антивирусный вендор тоже хотел быть хорошим, и разместил цены у себя на сайте. Это называется оферта. Каждый знакомый с продажами в b2b знает, что чем больше возьмешь, тем дешевле тебе будет каждый конкретный экземпляр.

У нашего вендора разбивка по ценам была до 50 штук (размер вымышлен), а на все, что больше 51 лицензии, надо было запрашивать цену. Из запрошенных цен получалось (цены с потолка, главное принцип):

  • 1 лицензия – 3000 рублей.
  • Если брать 50 штук, то 1 – 1000 рублей

Но нашей маленькой страховой компании требовалось 120 лицензий, и тут цена лицензии составила… 3000 рублей за штуку.

Что, почему? Маленькая страховая компания смотрела на калькулятор, на бумажке столбиком перепроверила, не могла она понять, почему при покупке 50 лицензий она заплатит 50 т.р., а при покупке 120 в три раза больше.

Собрав всю волю в кулак, маленькая страховая компания решила разбить закупку на три части 50+50+20. Т.е. цены на такие партии являлись открытой офертой, и по ним вендор и обязан был продать. Даже подняли они руководство пользователя мудреное, где было сказано, что управлялка антивируса позволяет присоединять разные лицензии на разные сроки. И в третий раз написала вендору, смогут ли они это купить.

На что менеджер хитрый ответил, что не смогут. И любой, кто придет к ним купить 50+50+20 лицензий, рухнет в ад отрицательной маржи, купив эти лицензии по 3000 рублей за штуку. Конечно, это по беспределу, но не волнует это антвирусного вендора, ведь можно и так деньги зарабатывать.

Такая история.

Сервис советикус стайл, или не покупайте диваны

Раньше я много писал про сервис. И тут в очередной раз столкнулся с совковым сервисом as is. Не один, а сразу два раза.

Потребовалось мне приобрести диван, чтобы сидеть удобно, гостей расположить, да и спальное место лишнее не помешает.

В результате поисков остановили свой выбор на компании INTERYER, адрес: переулок Партийный, д. 1, корп. 58. Цены там были ниже, чем в магазинах, где я обычно покупал. Поехали к ним в выставочный зал, который находится в промзоне у метро Серпуховская. Посмотрели, выбрали, да и заказали. И тут начались выкрутасы сервиса советикус стайл.

Назначили нам доставку на среду в 18 часов. Я чуть пораньше ушел с работы, сидим, ждем. После пары звонков и полученных ответов «мы на МКАДе в пробке» закрались подозрительные мысли. Пробок на МКАДе не было. В итоге в полдвенадцатого ночи мне привезли диван два каких-то охламона и стали его выгружать. Я спустился, говорю, что мне диван нужен в квартире собранный, а не перед подъездом. На что вначале получил предложение кого-нибудь позвать из друзей (в полночь, ага), потом узнал, что они обязаны доставить лишь до подъезда.

Тут надо сделать отступление. Менеджер в магазине уверил нас, что доставка будет до дома. Напечатал в договоре цены 250 рублей этаж за подъем вручную, и сборка 300 рублей.

Указав на то, что мне нужен подъем и сборка, получил хамский отказ и отправил охламонов назад. Следующие пару дней я разбирался с фабрикой, претензий к дивану у меня не было, а вот к доставке были. Следующие охламоны приехали в субботу. Они также хотели чихать на договор и цены в нем, а также договоренности с фабрикой. Оказалось, что компания INTERYER всего лишь посредники, заказ передается на фабрику, а та нанимает каких-то шабашников с Ростова, которые за минимальные для фабрики деньги доставляют диваны. В итоге диван мне привезли на половину мокрым, плюс подняли дороже. Зашли в своих грязных говнодавах в квартиру и напачкали. Конечно, надо было отказаться и ехать в ИКЕЮ, там доставили бы на следующий день. Но уже некогда было возиться.

Никогда ничего не покупайте в компании INTERYER, эти люди не придерживаются главного правила бизнеса – «уговор дороже денег» (напомнило давнюю историю, когда чел сел в такси с ценой за 2000 р., дал в морду таксисту и ушел). Покупайте в серьезных магазинах, там за те же деньги вам поставят все в срок и без лишней нервотрепки.

Параллельно с историей с диванами шла история с установкой пластиковых окон. Т.к. окна дело серьезное и надолго, решил вначале обратиться к знакомым знакомых. Пришел замерщик, чего-то там намерил, чего-то в уме считал и выдал цифру в 45 т.р. На тот момент я пребывал в блаженном неведении на счет цен на окна, и подумал, что меня на*бывают.

Решил сам поискать подрядчика. Наткнулся на фирму Оконный Континент. Там у них сразу высветился калькулятор, я прикинул цену, вышло дешевле. Позвонил. На следующий день ко мне приехал замерщик Сергей Борисенко, чистый, аккуратный, одел бахилы, рубашка в фирменных цветах. Померил, заполнил расчетную форму. Потом достал ноут, и мы с ним посмотрели разные варианты, как сделать дешевле. В итоге получилось два варианта, они были сравнимы по цене с первым, но за счет скидки вышло существенно дешевле.

Я взял пару недель на раздумья, т.к. сразу заниматься окнами и диваном не мог. Через две недели я позвонил и заказал, думаю, вы уже догадываетесь кому. Конечно, в Оконный Континент. Оказалось, там не только замерщики на уровне, но даже таджики-грузчики. Одно окно не вошло в лифт, так они его пешком подняли без вопросов. Накинул им лично немного денег.

Сама установка окон проходила весело. У нас оказался заливной дом, и поэтому все оконные проемы пришлось штрабить, поэтому было дороже. А потом непрекращающаяся уборка ^^ Зато теперь тепло, и не дует.

P.S. А парни из первой конторы до сих пор мне иногда названивают. Говорю, что сейчас возможности поставить нет, но как только будет, так сразу к ним. Вредно думать, что заказ уже у тебя в кармане, если ты только раз съездил к клиенту и не можешь предложить чего-то большего.

2011 г.

Знание, вера и инфоцыгане

Здравствуйте, здравствуйте, мои дорогие и любимые. А у меня есть для вас новые увлекательные истории. Но начнем по порядку.

В этот вторник позвонила мне уважаемая компания Мегафон и сказала мне, какой я уважаемый и любимый их клиент, как они ценят, что я пользуюсь их услугами и всячески хвалят. Все любят, когда их хвалят, это всем известно. И так бодро хвалят, что предлагают только мне, только сейчас 300 минут в день бесплатно. Очень заманчивое предложение. И я уже мечтал, как буду тратить по 300 минут в день, но что-то меня сильно настораживало. И дальше пошли чудеса, то ли закон о рекламе, то ли внутренние правила какие, которые заставляют озвучивать все условия акции, но засада обнаружилась. А условия оказались простыми – 10 рублей в день, и супер-предложение, которое только для меня, станет реальностью. Выяснив, что предложение действует только на момент разговора, и вернуться к нему потом нельзя будет, я вежливо отказался. Ну, не выговариваю я текущий-то лимит, куда мне еще 9000 минут?

И потонула бы эта история всуе, если бы не одно обстоятельство. Я безопасник. А мы, безопасники, народ такой – должны лажу за версту чуять. Лажа она такая, вещь рисковая. Вот сидит перед вами потенциальный нарушитель, и втирает вам какую-то дичь, а вы сомневаетесь. Он думает, что соскочил, а вы его к стенке прижимаете. Сомнение во всем — суть профессиональной деформации любого безопасника.

Но сомнение — это не главное. Необходима еще уверенность в своем сомнении. Думаю, вы замечали, что наш мир полон различных дихотомий. Добро и зло, черно и белое, инь и янь. Одна из ключевых — знание и вера. Каждое подобное деление влечет к себе своих адептов. Там есть свои пророки и воины чистого знания. И безопасники, безусловно, тяготеют к знанию. Мы просто не можем иначе. Как можно защитить что-то, не до конца понимая, как это работает? Как можно что-то предотвратить, если вы не представляете и толики возможных вариантов? Нет, мы адепты чистого, бескомпромиссного знания, это очевидно.

Так откуда это знание взять? Где найти тот бьющий источник? А это уже индивидуальный путь каждого. Кто-то долго и упорно учится. Кто-то имеет богатый практический опыт. Но чаще происходит смешение (но не взбалтывание) в тех или иных пропорциях. Можно сказать, что безопасник – это человек открытого ума, оценивающий все вокруг через профессиональную деформацию.

И тут как на зло парочка примеров под нашу тематику.

Первый пример подкинул Алексей Лукацкий. Как только Алексей закончил с темой персональных данных, он начал активно развивать тему обучения. Вещь, разумеется, нужная и полезная. В начале Алексей решил не бросать тему экономической эффективности и запилил авторский курс в «Информзащите». К сожалению, попасть на курс не удалось, а видеозапись теперь купить на сайте нельзя. Но, судя по учебному плану, Алексей все также читает тему из 2014 года. И это подводит нас к очень важному вопросу в образовании: а кто учитель?

Ведь что мы ожидаем от учителя? Что он будет, как минимум, компетентным в той области, о которой рассказывает. Что у него есть соответствующий практический, или, на худой конец, академический опыт. Это категория знания, когда человек может передать хотя бы свой опыт, не говоря уже о каких-то сакральных знаниях.

Есть ли у Алексея соответствующий опыт? Не известно, он про это ничего не говорил. Я был на нескольких курсах у Алексея (по персданным и 382-П), где выборочно зачитывались слайды из огромной презентации на все случаи жизни. Для первичного погружения в тему сойдет, но уже неофиты найдут там мало полезного.

На волне успеха от курса Алексей еще заделал свою сертификацию. И, возможно, это было сделано ради шутки, но происходила она из страшного посыла: веры Алексея в полезность своей работы. А это очень мрачные вещи. Если вы интересовались методиками создания религиозных фанатиков или изучали/посещали тоталитарные секты, то вы знаете, что если человек верит, то его очень легко подтолкнуть в крайнюю степень фанатизма (бей неверных и т.п.). В этом нет никакой тайны, что человеком, безоговорочно верящим во что-то, очень легко манипулировать.

Например, Алексей предложил своим читателям подтвердить свои знания в области ИБ сертификатом о чтении его блога. Супер. Чем больше сертификатов, тем лучше. Что же поделать, если у нас так сложилось? Но лично меня не взяли на работу в «Информзащиту», когда я сказал, что читаю блог Лукацкого. Именно это стало причиной отказа.

Через это мы плавно переходим к теме ответственности. Учителя перед учеником и автора перед читателем. Ученик не может и не должен сомневаться в учителе до окончания обучения. И если ученика научили плохо, если читателю дают ложные посылы и иллюзии, то виноват учитель-автор.

Вторая история как раз про это. Смотрел, я как-то фейсбучек. Смотрю, Варвара Шубина рассказывает про какую-то книжку. Ну, рассказывает и рассказывает. После серии материалов я по совету Рустэма Ниловича Джет-инфо не читаю. А с Варварой мы пересекались в обсуждении свастики на их обложке. Сошлись на том, что не любой пиар одинаково полезен.

И, вот, смотрю – а книжка какая-то странная. И у автора имя какое-то необычное — Ана Мавричева. Думаю, мб опечатались, с кем не бывает. Я сам-то с ошибками пишу. Ан нет. Все оказалось гораздо глубже.

Не знаю, почему Варвара пиарит Мавричеву, мб потому что они с одного города. Или просто подруги, или тренинг купила, не знаю. Но что Варвара крайне неразборчива в источниках я запомнил еще с истории со свастиками. И написал – «Варвара, вы кажется пиарите инфоцыганку». Ведь если человек пиарит обманщиков, то он уже сам почти обманщик. Особенно, если знал. Если добросовестно заблуждался, еще туда-сюда. Но если знал – зашквар.

Кто такие инфоцыгане? Если кратко, люди, называющие себя тренерами и обучающие других за деньги тому, чего сами не умеют.

Инфоцыгане — это те, кто предлагают купить у них «авторские обучающие информационные продукты»: курсы, тренинги, марафоны, вебинары.

Они аргументируют свой заработок в интернете тем, что «хотят помогать и делиться с другими опытом», «нести пользу миру». Короче, белые мы и пушистые…

Подробнее

Т.е. если Алексей Лукацкий хотя бы опытный человек в своем деле, как он говорит — теоретик, то данные граждане внаглую обманывают своих клиентов. И, разумеется, у данной Аны выявились все признаки инфоцыганки.

Прямо начиная с имени. Сколько у нас Анн? Много. А Ана – одна. Она об этом сама говорит, попросила поменять имя, когда получала гражданство РФ. Короче, случился у Аны конфликт со мной. Ух, какие слова дипломированный тренер по публичным выступлениям использовала… как говорится, сапожник без сапог. Что-то мне совсем с девушками не везет, чуть что не скажу им, у них со мной конфликт. То Варвара, то Юлия Омельяненко, теперь еще и Ана. Грусть, печаль.

А с Аной Мавричевой мы условились так: я делаю разбор ее книжки (если найду) и деятельности, а она получает с меня бесплатную рекламу. Также мы обратимся к экспертам по инфоцыганам на ютубе, где на Ану снимут разоблачительный ролик.

Если вы хотите ускорить подготовку материалов, то можете помочь.

А на сегодня все, до новых встреч.

Почему снег белый?

Никогда бы не подумал, что на асфальте удобно лежать. Для меня асфальт всегда был кучей камешков, чем-то вроде ПГС или гальки, которая бывает на пляже. Асфальт на удивление теплый. Вообще сегодня с утра было довольно морозно. Не скажешь, что всего минус 6. Но погода хорошая, как выражаются синоптики — «без осадков и ветра». Много белого снега. Мир зимой, словно на старых фотографиях, черно-белый.

Сегодня, как и обычно, я приехал на работу. Вышел из автобуса на своей остановке, хотя автобусом это можно назвать с натяжкой. Классическая маршрутка на 19 посадочных мест, наш маршрут не очень многолюден. Подойдя к переходу, я стал ждать, когда образуется окно в потоке, или кто-нибудь соизволит нас пропустить.  

Знаете, с проведением этой компании по пропуску пешеходов на дорогах некоторые стали переходить, будто только что сохранились. Сделают шаг на зебру и чешут, ни на кого не обращая внимания. А ты водитель, милый друг, как хочешь, так и тормози.

Стою я на переходе, вижу в попутном направлении, в 50 метрах от меня, едет Шкода. Я всегда внимательно смотрю на водительское место, ища зрительного контакта. Расстояние большое, голова водителя смотрит в мою сторону, выхожу на переход. И снег такой белый вокруг, красиво. Вы никогда не задумывались, почему снег белый?

На переходе я поворачиваю голову вправо и начинаю ждать, когда меня пропустит кто-нибудь из встречного потока…

Говорят, нервные импульсы передвигаются со скоростью 432 км/ч. В минуты опасности надпочечники выбрасывают адреналин, и ты весь концентрируешься на возникшей ситуации. На короткий миг ты начинаешь воспринимать все в 7 раз быстрее, чем обычно. Очевидцы описывают это, как ситуацию «всепоглощающего внимания», когда запоминается все до мельчайших подробностей. А иногда, в минуты серьезной опасности, может «вся жизнь перед глазами пронестись». Последний раз у меня было такое 14 лет назад, когда я, будучи молодым водителем, пошел на обгон в слепом повороте. Тогда мы разминулись. С тех пор езжу аккуратно и не спешу, особенно с обгонами.

А в этот раз ничего не было. Ни сцен из детства, ни лиц родителей и семьи. Ничего. Чернота, я вижу небо, и снова темно. Одна мысль – не хочу сдохнуть. Когда-нибудь потом, в старости можно. А сейчас не хочу.

Знаете, что зебры сейчас дублируют желтыми полосами? Теперь они у нас бело-желтые. Наносят их такой плотной краской. Белые полоски теплые, по крайне мере теплее желтых. По идее солнце нагревает их одинаково, но белые все же теплее.

Как вы уже поняли, меня сбила машина. Та самая Шкода, которая по всем раскладам должна была меня пропустить. Как потом рассказала девушка-водитель, ее немного слепило солнце, и она отвлеклась на бардачок. Ужасное стечение обстоятельств.

В момент удара я стоял к машине левым боком. Бампер и капот выбивают опорную ногу, и я лечу головой в лобовое стекло. Пробив стекло, машина наконец тормозит (другой пешеход успел отпрыгнуть), а я, сделав три оборота, остаюсь лежать животом на зебре.

Знаете, на асфальте удобно лежать. В свое время я часто посещал мануального терапевта, у них еще такие удобные ортопедические кушетки, способствующие расслаблению. Если в них полежать 5 минут без движения, то можно легко уснуть. Так вот, асфальт ничем не хуже. Лежу я такой, расслабился и смотрю перед собой. Хочется уснуть. А глаза кровью застилает. И нога левая болеть начинает. Понимаю, что живой. Кто-то со встречного направления начинает сигналить, потому что я мешаю ему проехать. Долго сигналил.

Думаю, именно в такие моменты люди описывают всякие необычные состояния. Я воспринимал все, как в игре от третьего лица. Т.е. ты на полметра сзади видишь спину, но не видишь лица. Как-то сразу пропали все заботы. У меня были большие планы на эту пятницу, как рабочие, так личные. Но сейчас это все было не важно.

Следующим самым важным в жизни стало – определить, сломана ли нога? Болела она, что пиздец. Это как молотком по пальцу садануть, только не проходит. Она и спустя месяц болит, но тогда особенно сильно. Думаю, если сломал – это будет надолго. А у меня семья, ее кормить надо. А в гипсе много не набегаешь.

Подъехал первый экипаж ДПС, он стоял в начале улицы. А я попробовал подняться на руках, залив всю зебру кровью. Знаете, я никогда не испытывал такого удивления, как от собственной крови, капающей на зебру. Кап. Секунда. Еще, кап. Тогда я понял, понял почему снег белый. Он просто забыл свой цвет.

Лоб был разрезан осколками стекла, хорошо, что не проломил его. Руку от порезов спасла куртка, рукав распоролся от локтя до края. Со лбом вообще забавно вышло. Обычно при таких травмах бывает головокружения, и другие симптомы сотрясения. Я же отделался легким испугом.

А дальше все стало развиваться стремительно. Подъехал второй экипаж ДПС и скорая. Я тем временем отполз к тротуару и сел на бордюрный камень. Оттуда я уже переместился в карету скорой помощи, которая увезла меня в институт Склифосовского. В приемном покое было интересно, но об этом в другой раз. Ушибы сошли за 2 недели, синяки еще через неделю. Но боли не проходят, особенно не хорошо по ночам. Как оказалось, у меня разрыв мениска и всякое по мелочи. Но с этим я буду разбираться уже в следующем году…

Я теперь знаю, что видит человек, перед тем, как его собьет машина. Это одна из самых лучших вещей в жизни. Но я променял бы это знание, на то, чтобы в пятницу 16 ноября было пасмурно…

А где пруфы, Билли? Нам нужны пруфы

Золотое правило блогера гласит – пиши часто и много. Если ты блогер по машинам, пиши о том, как ты тестил машины, ездил на них, смотрел из окна дома, видел картинки в интернете и играл в машинке в детстве. Чем больше говоришь по теме, тем больше будут думать, что ты шаришь в теме. Бич каждого блогера – темы заканчиваются. И тогда приходит на помощь муза креатива, придумывается какой-нибудь фуфел и с треском разбивается в пух и прах.

Думаете, я преувеличиваю? Давай рассмотрим свежий пример из нашей иб. Как вы знаете, главный эксперт отрасли – Алексей Лукацкий. Алексей человек широких взглядов и интересов. Особое внимание Алексей уделяет взаимоотношениям бизнеса и безопасников. О чем и пишет, в его понимании. Для иллюстрации своих тезисов Алексей рассказывает истории. Вот,свежая.

SOC бесполезен, если он не может увязывать технические и бизнес-показатели

(оригинал)

…дзынь-дзынь-дзынь
— (Блин, ну кого еще в субботу в такую рань принесло? Почему я забыл включить «Не беспокоить» на телефоне?..)
— Да!
— Привет, Сергей! Это Иванов.
— Доброе утро, Степан Петрович! Что-то случилось?
— Да, случилось, Сергей! Вчера поздно закончился совет директоров. Мы стали получать меньше денег! Явно негативная динамика за последнюю неделю.

Т.е. о проблеме знали вчера вечером, а позвонили в субботу утром? В реальности, если бы была такая проблема, Сергея дернули бы в пятницу, и он бы помчался из дома на работу. А еще вероятней, все потенциально необходимые люди задержались бы на работе, чтобы быстро дать пояснения/исправить проблему.

— Это плохо. А причем тут я? Я же отвечаю за кибербезопасность!

Реальный Сергей ответил бы «за безопасность» или «информационную безопасность». Хотел бы я посмотреть на компанию, где есть отдел кибербезопасности, и сколько у них отделов безопасности по чему-либо вообще.

— У нас не работают системы!

Если знают что не работает, или из-за чего – живые люди так и говорят.

— А причем тут я-то? Это надо обсуждать с департаментом продаж или, на крайний случай, с айтишниками. Зачем ты звонишь мне?

Алексей, вы в своем же тексте нарушили иерархию разговора. Если в начале это Степан Петрович, то почему здесь «ты»? Почему в начале тогда не было «херли ты с утра звонишь? Что случилось?»

— Нет, ты не понял. У нас не работают системы и это из-за тебя; то есть твоих бойцов!
— Не может такого быть. Но давай я проверю и перезвоню через 15 минут!

…прошло 15 минут

— Степан Петрович, это Сергей! Я дернул дежурную смена нашего SOCа — у них все зеленое. Все индикаторы в норме и так уже недели две. Это не может быть из-за нас.

Так все-таки Степан Петрович. Все признаки того, что история выдумана. Впрочем, ничего плохого в этом нет, мысленные эксперименты нужный инструмент.

— Хорошо, Сергей. Давай в понедельник часиков в 7 приходи — будем разбираться!..

— Хорошо, Степан Петрович! Буду в 7 утра в понедельник. Хороших выходных.

…ту-ту-ту-ту…

Блин, ты уже в субботу позвонил. Если дело срочное и компания работает 24/7 (есть дежурные смены), почему всех не дернули в выходной на работу? Судя по всему, Степан Петрович тоже кому-то отчитывается, и его назначили главным по разбору ситуации. И это он должен в 9 утра отчитаться о причинах и принятых мерах. Поэтому Сергей сейчас поднимает свою пятую точку и весь свой отдел и мчит на работу, чтобы Степан Петрович владел всей информацией в понедельник утром.

Руководитель службы ИБ пытался долго заснуть, но не мог. В итоге он сорвался на работу, чтобы разобраться в ситуации и к утру понедельника иметь всю информацию для общения с генеральным директором.

Т.е. Степан Петрович генеральный директор… Сергей на него компромат что ли имеет или родственник, что он ему тыкает?

Проверки всех ключевых показателей ничего не дали — доступность торговой Интернет-площадки была в пределах допустимого — 99,9%. Число мошеннических транзакций нулевое. Угроз e-mail тоже было немного — 0,02% и все были отбиты на шлюзе. IPS, NGFW, анализ Netflow, контроль доступа… Все в зеленых зонах. Что же случилось?..

Алексей очень любит вводить новые термины. Обычно говорят об отсутствии инцидентов или их малой критичности. Что такое «зеленая зона»? Тюрьма для пограничников?

— (А может это Миша, наш дорогой CIO, решил поквитаться за прошлый раз, когда я обвинил его в том, что вся сеть легла из-за него, а не из-за накрывшей нас эпидемии вредоноса? А может  это Васильна взхъелась из-за того, что мы ей перекрыли доступа на сайт знакомств? Ну а фигли, хоть и финдир, а надо соблюдать политики. С чего они вообще решили, что это мы виноваты и почему SOC за сотни миллионов рублей ничего не видит?)

Потому что надо было его покупать у Cisco?

…прошло два дня…
В понедельник к обеду выяснилось следующее:

За 10 минут недоступности торговой Интернет-площадки из-за DDoS-атаки отвалилась ключевая сделка, которая должна была принести компании 27% ее недельного дохода.

Вот, это поворот. Т.е. основной бизнес компании происходит в интернете. Ключевая площадка хостится в компании (ни резервной площадки, ни балансировки нагрузки). Чем же можно заниматься, что на твоей торговой площадке могут за одну сделку сделать 27% дохода? Наверно, ты что-то продаешь. А т.к. ты тратишь «сотни миллионов» на SOC, продаешь ты через электронную площадку много и товар твой нужный.

Вопрос, что же это за контр-агент такой, который отказался от сделки из-за 10 минутного ддоса? Если сделка ключевая, то ее долго готовили, а, следовательно, о проблеме было бы известно тот час же. Продажники бы сразу вой подняли и уговорили бы клиента подождать или перенести сделку. Ни один покупатель не будет срывать покупку нужной ему вещи, т.к. он потратит больше времени на поиск аналога, согласование условий, заключение договора и т.п.

Система защиты e-mail посчитала за спам рассылки маркетингового департамента и клиенты перестали получать предложения с последующим снижением покупательской реакции. 12 тысяч сообщений «выброшено в пропасть» — покупательская активность снизилась.

Алексей, я понимаю, что защита от спама тема уже старая и обыденная. Но нельзя же так. Спам-системы в первую очередь направлены на отсев внешних писем. Обычно внутри 12 тысяч сообщений может дропунть smtp-релей, у которого может быть ограничение на количество писем в очереди. Но тогда бы это давно решили, ведь рассылка производится не в первый раз.

Допустим, спам-защита смотрит внутрь, значит ее поставили недавно (иначе бы такой фейл выяснился бы давно). Следовательно, завалена опытная эксплуатация и приемка системы, т.к. департамент маркетинга, видимо, в них не участвовал, как один из главных пользователей ресурса.

Ну, и мерить покупательскую активность по почтовым рассылкам – это верх бизнес-показателей. Алексей, вы сами-то рассылки читаете от многочисленных банков, клиник и магазинов, что вам валятся в ящик? Там конвертируемость ниже 1%.

Антифрод не увидел ни одной мошеннической транзакции. Да и откуда? Стоящий на периметре WAF отсек 3% клиентов, даже не дав им разместить заказ.

Чего? Т.е. если WAF отсек, То инциденты должны быть на нем. Опять же вопрос – как принимали систему? Почему отсек? Что это за бизнес, где одна сделка приносит 27% дохода, бегают физики с заказами и соки на миллионы? Интернет-магазин? Не похоже.

Понятно, что Алексей хотел проиллюстрировать как можно больше средств защиты, но получился конь в вакууме. Почему не написано, в чем была аномалия входа этих 3%?

Последней каплей стало внедрение скрипта, который высвечивал перед каждым посетителем сайта уведомление с прокруткой о необходимости получения согласия на обработку персональных данных в соответствие с ФЗ-152 и GDPR, с полным разъяснением всех последствий от осознанного принятия клиентом всех условий предоставления ПДн компании. Анализ показал, что время, за которое клиент теперь стал доходить до процесса заказа увеличилось на 47 секунд, что привело к оттоку еще 11% покупателей.

Рукалицо. Алексей, какие 47 секунд? Моя бабушка, освоившая социальные сети, кликает на галочку секунд за 15. Если у нас GDPR, то мы в тренде со всем интернетом, которые тоже добавили подобную информацию. Получается, что пользователи, зайдя на сайт, уже привыкли к этому в других местах и просто не читают.

Покупатели не уходят, если товар им нужен (а как мы выяснили, у нас не обычный интернет-магазин).

Как видно, пример взят для запугайки с совершенно оторванными от жизни примерами. Потом люди, читающие Алексея, придут в свои компании и начнут их пересказывать, а на них будут смотреть, как на блаженных. Итог – информационная безопасность все дальше от бизнеса.

Прискорбно то, что Алексей делает это постоянно. Началось все с «зарабатывающего 10 млн долларов любителя порно», где не хватало самой малости – конкретики.

Да, да, дорогой читатель – тех самых пруфов, которые соединяют историю с реальностью. Мы в ИБ очень бережно относимся к информации, мы не называем фамилий и организаций, когда рассказываем кейсы, но они тем не менее остаются реальными.

Реальную историю от вымысла отличает ряд вещей (если мы не можем назвать ФИО, должность, организацию):

  1. Очертить сферу применения. В фантазии Алексея выше не понятно, что это за бизнес. Понамешано все в кучу. То, что актуально для ритейла, неактуально для телекома.
  2. Очертить взаимодействующие стороны. Что Степан Петрович генеральный директор, мы узнали под конец. А почему мы подставили какого-то Мишу, мы так и не узнаем.
  3. Очертить проблему. «Получаем меньше денег» — это не проблема, как бы Алексею не хотелось. Это следствие (кстати, очень полезно различать, если вы хотите говорить с бизнесом). А, вот, причины этого могут быть всякие разные. У нас могла банально дебиторка вырасти, просто задерживают оплату. И еще миллион причин.
  4. Описать последствия. Ну, тут все понятно.
  5. Описать решение (по желанию).
  6. Уж точно надо указывать подсистемы, которые не справились.
  7. Можно указывать вендоров и конкретные решения, которые справились.

Это те самые пруфы, которых очень не хватает в многочисленных историях, гуляющих в кулуарах многочисленных конференций. Из-за чего большинство из них напоминают анекдоты. Безопасники рассказывают их бизнесу с серьезными лицами, бизнес смеется. Сравните историю выше с реальной историей.

А на сегодня все, до новых встреч.

О кофе, или как обмануться с помощью цифр

Здравствуйте, здравствуйте мои дорогие любители посчитать деньги в чужом кармане. Сегодня мы поговорим о кофе, и как можно обмануться с помощью цифирек. Как вы знаете, я люблю все считать. И не мог пройти мимо такой вопиющей темы, как повышения цен в нашем кофе-поинте.

С 1 сентября цены на Латте там подняли со 100 до 125 рублей за 300 мл, и с 140 до 150 за 400 мл. Нормальные цены по Москве. Любой из, вас вспомнив школьную математику, посчитает – что повышение цен состоялось на 25 и 10 рублей соответственно.

Да, больно, да, неприятно, но очередь за кофе не сократилась (это к вопросу о ценовой конкуренции), место хлебное, альтернатив нет – едем дальше. По нашей доброй традиции давайте посчитаем, на сколько повысились цены.

Объем кофе

Старая цена Новая цена Разница Насколько произошло повышение относительно новой цены

Насколько произошло повышение относительно старой цены

 

1

2 3 4

5

300 мл

          100 ₽              125 ₽           25 ₽ 20%

25%

400 мл           140 ₽              150 ₽           10 ₽ 7%

7%

 

В колонке номер 4 мы делили 3 колонку на 2.

А в 5 мы делили 3 на 1.

Ну, напрашивающийся вывод, что кофе за 300 мл подорожало сильнее, чем за 400 мл. Но что, мать заступница, творится в 4 и 5 колонках? А это, дорогие мои, ключевой момент многих манипуляций. По факту цена выросла на 25% (25 рублей от 100 составляют ту самую четверть). Но если нам очень нужно сгладить противоречия, давайте будем считать от новой цены, будет уже на одну пятую. Тоже не очень хорошо, но выглядит более привлекательно.

Если же вам необходим обратный пример, показать, как вы круто растете, делайте наоборот. Теперь вы знаете, как выводить недобросовестных пиарастов на чистую воду.

Но копнем глубже, а в чем причина такого повышения? Если чуть углубиться, у Латте два основных компонента – кофе и молоко (еще вода и ресурс оборудования, но сейчас не принципиально). Видимо, с 1 сентября подорожало кофе и/или молоко (а может просто решили поднять цены, но будем верить в добро). Но почему тогда повышение не одинаковое для 300 и 400 мл?

Оказалось, что объем кофе для 300 и 400 мл одинаковый, а молока чуть больше. И тем самые 7% в 4 столбце повышение цен на кофе не учитывают, т.к. все кофе уже отбили еще на 300 мл.

Ну, и 300 мл латте вкуснее, чем 400, на мой субъективный вкус. Кофе больше, молока меньше.

Вот так-то. А на сегодня все, до новых встреч.

 

P.S. Материал предоставлен в обучающих целях, никогда так не делайте.

Кто же господин N?

Всем привет. Думаю, любой из нас любит детективы. Это когда читая описание преступления, ты делаешь свои ставки и пытаешься угадать, кто убийца. Сегодня я предлагаю вам такой детектив. Алексей Качалин в субботу закрутил знатную интригу, в которой я предлагаю вместе разобраться.

Алексей написал:

Кружочки-панталончики, в начале я подумал, что это про меня. Вот, вот оно — признание. Но потом меня одолела грусть, т.к. подхожу только по 1 пункту (это про истерики. Истерики я люблю). Поэтому предлагаю разобрать каждый из пунктов. В начале воспользуемся памятью и общим фоном в иб. Как вы понимаете, вся информация взята из открытых источников и является личным оценочным мнением автора.

Пункт 1

Эксперт #поИБэ N.: специалист по новым угрозам, блоггер, независисый аудитор, автор статей, бизнес-консультант, телеаналитик, визионер угроз и пророк по нормативке. И вот чтобы всё это успевать — он добавил ко всем этим титулам «Дерьмовый …».

Новые угрозы у нас любят открывать все, кому не лень. Добавляем в шорт-лист:

  • Алексей Лукацкий
  • Рустэм Хайретдинов
  • Евгений Царев
  • Олег Седов
  • Владимир Безмалый (по выдвижению Михаила Апостолова).

Блогер – без изменений.

Независимый аудитор. Что-то не помню, что бы себя кто-нибудь так называл.

Автор статей – можно добавить еще десяток блогеров.

Бизнес-консультант – добавляем в шорт лист Дмитрия Манниникова, Алексей Лукацкий +1.

http://nbj.ru/calendar/2018/07/26/2753/

  • Алексей Лукацкий +1
  • Рустэм Хайретдинов
  • Евгений Царев
  • Олег Седов
  • Владимир Безмалый
  • Дмитрий Мананнинков +1

Телеаналитик, визионер угроз и пророк по нормативке – данные критерии не поддаются оценке, все участники шорт-листа были в телеке и любят говорить за нормативку.

 

Пункт 2

Эксперта N. никто не любит, но не потому что он истерит по никому не актуальным уязвимостям, втирает за выдуманные бизнес-эффекты от ИБ, раздувает опыт управления двумя колдырями до лучших мировых практик корпорэйт гавернанса и не потому что он везде форсит свое мнение такое же унылое как обязательные сэлфачи…
… а потому что всё это вместе.

Истерит – без оценки.

Никому не актуальные уязвимости – я, конечно, не всех блогеров читаю. Но зацепило, что написано именно уязвимости, а не риски или угрозы. Например, Безмалый пишет по рискам и угрозам. Про уязвимости чаще всего читаю у Ильи Медведовского.

  • Алексей Лукацкий +1
  • Рустэм Хайретдинов
  • Евгений Царев
  • Олег Седов
  • Владимир Безмалый
  • Дмитрий Мананнинков +1
  • Илья Медведовский

Опыт управления двумя колдырями. Руководят у нас Хайретдинов, Седов, Мананников, Медведовский.

  • Алексей Лукацкий +1
  • Рустэм Хайретдинов +1
  • Евгений Царев
  • Олег Седов +1
  • Владимир Безмалый
  • Дмитрий Мананнинков +2
  • Илья Медведовский +1

Постит селфачи. Ну, тут многие отметились. Лукацкий, Хайретдинов, Мананников.

  • Алексей Лукацкий +2
  • Рустэм Хайретдинов +2
  • Евгений Царев
  • Олег Седов +1
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 3

Если Эксперт N. попробует на практике хотя бы одну свою рекомендацию и не будет после этого уволен, то это никак не изменит того факта что N. — долбоящер.

Тут всего один пункт – про рекомендации. Рекомендации у нас любят Лукацкий, Хайретдинов, Царев, Седов.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +3
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 4

Мало кто знает, что темы #поИБэ, особенно в изложении N., стали наконец пользоваться популярностью на неИБэшных конференциях. Кроме самого N…. он всем об этом рассказывает. Поэтому мало кто знает. Потому что N.

На неэбешные конфы у нас любит ходит Рустем Нилович.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +4
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 5

Эксперт N. мастерски работает со слушателями на вебинарах. Ему и мама его вчегда это говорит.

Вебинары у нас последнее активно вел Рустем.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 6

Презентации Эксперта N. все внимательно смотрят. Но не ту половину слайдов что хреново оформлена. И не ту где — котики с баянами из гартнера. А где Спасибо, Досвидания! Потому что ДОСВИДАНИЯ!!

Презентации с котиками и гартнером. Ох… скажем так, все любят.

 

Пункт 7

А ещё все согласны с идеей N. что тру-эксперт вообще мараться презами не должен. Только хардкор и плэйнтекст с кодом без разметки. Да в принципе с любой хренью N. на кофебрейке можно согласиться лишь бы он не начал свои ИБ-визионерские-теории толкать.

Самый странный пункт. «Плэйнтекст с кодом без разметки»…даже не знаю, кто у нас код в презы вставляет…

 

Пункт 8

Будь как N. — на коне в прямом эфире по актуальной проблеме бушующей эпидемии шифровальщиков, а не как его обосравшийся топ-менеджмент.

По теме высказывались все, кому не лень. Так что никому баллы добавлять не будем. А уж чей топ-менеджмент напутал, можно спорить до хрипоты.

 

Шорт-лист

Список у нас получился следующий:

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

Выкидываем всех, у кого меньше 3 баллов.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5
  • Дмитрий Мананнинков +3

Исключаем Дмитрия, т.к. он работает в заказчике. И получаем шорт-лист:

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5

 

Факт-чекинг

Начинаем пробивать факты, с первыми двумя пунктами все понятно. Руководил ли Алексей когда-нибудь отделом? Оказывается, да, руководил.

https://lukatsky.blogspot.com/2015/12/blog-post_9.html

Писал ли кто-нибудь в последнее время про нормативку? Да, Алексей жестко прошелся по новым требованиям ЦБеще раз).

Итоговый счет:

  • Алексей Лукацкий +5
  • Рустэм Хайретдинов +5

 

Мотивация

А теперь посмотрим на мотив Алексея Качалина, что его могло спровоцировать на такое заявление. Оказывается, 22 августа было совместное мероприятие, где были оба наших кандидата. Вот выдержка из пресс-релиза:

Куратор ПРОФИ Алексей Лукацкий отметил: «Роль безопасника меняется. Сегодня это не технарь, как это было раньше. Это человек, который объединяет в себе и знание бизнеса, и знание технологий, и знание организационных вещей, и, разумеется, управление рисками, и комплаенс, и юридическую составляющую». На Западе термин «CISO» постепенно исчезает, безопасники переходят либо в защиту процессов, либо в защиту бизнеса, и, соответственно, буква «I» в аббревиатуре постепенно исчезает.

Так открылись 2 дня учебы, в которых поместились 19 мастер-классов от звезд кибербезопасности и одни киберучения. К слову, в качестве учебных легенд для киберучений «главнокомандующий» Алексей Лукацкий отобрал 9 реальных кейсов из жизни крупных компаний. Шифровальщики на компьютере топ-менеджера и главного бухгалтера, проверка Роскомнадзора, а тут еще звонок журналистки с вопросом — «Правда ли вас взломали?»… и только 2 минуты, чтобы спасти мир! Это было очень непросто, но команды с задачами справились.

Как говорится, выводы делайте сами.

А я же хочу поблагодарить Алексея Качалина за столь увлекательный квест, интрига в котором держалась до самого конца. У нас было 7 претендентов, мы сократили до 2. Это успех.

А на сегодня все, до новых встреч.