Архив рубрики: Информационная безопасность

Материалы по информационной безопасности

BIS Summit. Олег Седов. Рагнарек.

Здравствуйте, здравствуйте мои ненаглядные.  Очень давно мы не виделись. У меня для вас куча грустных новостей, сейчас расскажу по порядку.

BIS Summit 2017

Недавно сходил на BIS Summit 2017. Очень любил эту конференцию и был ее участником много лет. Застал еще ее проведение в Сокольниках. Был пионером в новом формате StandUp for StartUp в 2015. А в прошлом отхватил приз за кибербетал (еще раз огромное спасибо всем, кто за меня голосовал).

Все прекрасно понимают, что конференция чисто вендорская. Помню, как предки Солара получили маленький стендик и ни одного доклада в 2014. BIS Summit это огромная махина, которую очень долго строили. Но для меня, ее пик уже пройден и пошел спад.

Надо сказать, я очень хотел попасть на эту конференцию. В фебешечке прошла новость, что Дмитрий Мананников будет вести, целую секцию по измерениям в ИБ. И я сказал себе: «Огогошенки, ты должен там быть». Надо сказать, что нашему рандеву с Дмитрием всегда что-то мешало. Я никогда не был на его выступлениях, то я не приходил на второй день, как с CISO-форумом, то были срочные дела, и я сваливал до начала.

Привычно придя к гостинице Украина, я зарегистрировался и пошел смотреть конференцию. Техзону расширили, увидел и пообщался с Андреем Янкиным. Узнал расценки RuSIEM. Попил кофе. И… все.

Первая половина дня была точной копией прошлого года, а та в свою очередь позапрошлого. Отсутствие альтернативных секций в первой половине дня, вгоняет в отчаяние. Больше половины участников слонялось в фойе и техзоне, ходило курить и мечтало об обеде.

В это время гуру поибэ, развлекали сами себя на сцене. Какие-то шутки и намеки понятные лишь их узкому кругу. Алексей Лукацкий опять отметился (цитата по памяти): безопасник, который прикрывается (в разговорах с бизнесом) документами регулятора, должен получать там (у регулятора) зарплату. Взял со сцены и засрал всех безопасников. Хорошо, что всем к этому моменту было так пофиг, что его никто не слушал. И стоят, о чем-то с Олегом Седовым перешучиваются…

Куча иностранных спикеров. Мб это и поднимает статус конференции, но сколько можно лить из пустого в порожнее? Они же были в прошлом году.

В общем, кое-как досидел до обеда. Выстроилась очередь, все стали потихоньку кушать. Как всегда нашлись невоспитанные люди, которые решили организовать очередь с другого конца стола раздачи двигаясь на встречу основному потоку. Разумеется, возникла давка. Разумеется, некоторые простояли в очереди 2/3 обеда. А уж о мразях, которые лезли без очереди, и говорить не хочется. Они были, и мы все их ненавидели.

И, вот, я на секции, где должен был выступать Дмитрий. Оказалось, что Мананников лишь читает доклад. Ну, тут я наверно не так понял, оки. Разочарование наступило с первых минут. Рассказывать с пафосом о выписывании «идеальных» бизнес-процессов, а потом контролировать «отклонения» от них – это за гранью добра и зла. Во всяком случае, в 2017 году. Этакий пересказ вводных лекций по BPM (business process management, управление бизнес-процессами). И я понял, что это всего лишь пиар на новой теме. Ведь неважно на чем пиариться, главное делать это регулярно. До этого был аджайл, потом уеба. Где они сейчас? Забыли тему. А уж в нашей отрасли пиариться можно на чем угодно, берешь любую тему, добавляешь туда безопасность, профит.

А уж когда Дмитрий заговорил о безопасниках изменяющих бизнес-процессы, я встал и ушел. Безопасники изменяющие бизнес-процессы Мананникова, это где-то рядом с безопасниками предлагающими «byod, потому что электричество сэкономим» Лукацкого. Будем ждать, когда Дмитрий придумает, как прикрутить «безопасность» к адаптивным бизнес-процессам.

«Машинное обучение с 5% ошибок» Дмитрия, примерно туда же. Когда Дмитрий расскажет о внедренном им дереве решений (не говоря уже о нейронной сети) у себя в безопасности, тогда можно будет всерьез обсуждать эту цифру.

В общем, еще немного проведя времени, поехал пить пиво.

Наверно, это последнее мое посещение BIS Summit. Конференция из года в год повторяет себя. Пленарные части вводят в сон. Независимые спикеры и представители вендоров занимаются джинсой и пиаром. Единственным светлым пятном был Олег Бакшинский, который вместо урагана маркетинга от IBM наглядно рассказал об автоматизации и ее текущем уровне. Какие там 5%? До автоматизации добраться бы.

Тратить целый день, ради пары докладов – нерационально. Так что, до свидания BIS Summit.

 

Олег Седов

Как обычно бывает после конференций, все обсуждение переходит в комьюнити. Пишутся посты в блогах, в фебешечке даются отчеты, строчат комментарии – жизнь кипит. Кидают мне ссылку, где какое-то огромное обсуждение, как все круто прошло. Комментариев под 100. И, вдруг, все скатилось к обсуждению моей скромной персоны. Вылезает Олег Седов и кроет меня последними словами. Как я понимаю, Олег не принадлежит к тусовке гуру, так, около плавающий, но отчаянно туда хочет.

Олег Седов — это главный редактор BISA, которая и организует BIS Summit. Олег, самый высокооплачиваемый главный редактор в нашей отрасли, а может быть и во всем ИТ. Человек это влиятельный и серьезный.

Пересекались мы с ним по работе над Кибербаталиями. Год был очень сложный, из команды пиарщиков работодателя Олега только что ушла главная звезда, и упорно ходили слухи, что Олег может и уйти. Что бы ответить на вызовам времени, были придуманы Кибербаталии. Меня туда позвали по итогу работы над секцией StandUp for StartUp.

Суть мероприятия простая, участвуют два спикера, обсуждая злободневные темы, а зрители голосуют. Мне была поставлена Олегом задача – делать шоу. Под этим понималось оппонирование по банальным вопросам. Т.е. когда вопрос ставиться – надо ли чистить зубы, я должен был усираться, что это делать вредно и совсем не нужно.

Надо сказать, что Олег человек очень своеобразный. Например, тема моей первой битвы была изменена за пару дней. Изначально она звучала «Появляются ли новые риски информационной безопасности?» (точное название не помню) и вдруг стала «Возможно ли доверить безопасность бизнеса роботам?»

Почему роботы? Зачем тут они? В итоге мы с коллегой оттарабанили все по рискам, не коснувшись роботов чуть менее чем никак. Олег вообще любит две темы – роботов и падение компетенций. И лепит их везде, где успеет.

Надо сказать, что формат был выбран крайне странно. В комьюнити, где ни у кого нет времени что-то слушать онлайн в течение пары часов, затевать словесные соревнования – контрпродуктивно. В итоге, прямо по ходу поменяли систему голосования, вместо голосования по раундам, сделали общее. В итоге все голосовали в первые 5 минут и уходили.

Со вторым боем вообще вышел анекдот. С легкой руки Олега форсился конфликт Solar vs Дудко. Понятно, что в такой ситуации у меня не было шансов. Начиная с темы. Была выбрана тема «Как выглядит будущее ИБ-вендоров?» с такими вопросами:

  • Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
  • В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
  • Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
  • Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
  • Как выглядит нефункциональная конкуренция между вендорами?

Если вы вендор, то для вас ответы на них будут однозначными. Мы с Эльманом сходились по 3 из 5 вопросов. Но шоу же не будет, если все будут друг с другом соглашаться. И мне была распределена задача — оппонента очевидным вещам. Потом, благодаря системе голосования я в первые три минуты получил минус 50 голосов, и стал делать шоу оставшимся 30 слушателям.

Уж не знаю, как там было дальше. Но на мероприятии Infowatch, выиграл их основной конкурент :). Маркетинговый прорыв, обернулся серьезным провалом. Ох, как там пригорало. Я получил приз зрительских симпатий.

 

Олег хочу тебе сказать следующее. Твои методы плохо пахнут, желание подняться на костях других – чаще всего оборачивается провалом. Все, что ты хотел мне сказать, у тебя была возможность сказать лично. Ты выбрал другой путь. Твои инициативы вторичны и не проработаны. Как пиар и маркетинговый инструмент, BISA пребывает в забвении. Туда, кроме тебя и пары блогеров, которые копипастят свои материалы до кучи, никого нет. Оставайся со своими грезами о роботах и компетенциях. Теперь у тебя есть все основания официально «дружить против». Пока.

 

Рагнарек

Дорогие друзья, как вы видите, у меня бомбило больше месяца. Я аж кушать не мог. Посмотрел я на BIS Summit вокруг, и так стало тоскливо. И пусть уважаемые люди на рынке не признают, что у нас человек человеку волк, но это так. Такой концентрации ненависти и зависти, как в этом году в Техзоне – я давно не видел.

Все это до крайности грустно и печально. Комьюнити наше загнило окончательно. Причина благая. Люди находят работу и забивают на всю эту мишуру в фейсбуке и срачи в комментариях. Уже несколько блогеров тихо и мирно ушли в тень. Теперь там тихий междусобойчик – кукушка хвалит петуха за то, что хвалит он кукушку. Участвовать в этом смысла не вижу, а поэтому закрываю тематику информационной безопасности.

Уже пять лет я занимаюсь исследованиями в области измерения риска и угроз. Информационной безопасностью не занимаюсь 2 года. Так что о ней писать? Буду писать про насущное и об окружающем. Разумеется доведу до конца цикл про пресейл и «почему в ИБ полная ж…», но на этом все.

В общем, думаю никто не расстроиться, а в определенной группе так вообще праздник будет. :)

Пока-пока.

Cisco головного мозга

Здравствуйте, здравствуйте мои ненаглядные. Как же я по вам скучал. Скучал все 3000 километров по нашим бескрайним просторам. Но скучал я не один.

Разумеется, одним глазом наблюдал, что твориться в нашей поибэ, а твориться там форменная чертовщина. Какой-то месяц безудержного пиара.

В начале, Solar Security под заголовком «как правильно оформить внедрение системы для защиты от утечек» разослал всем статью о документах, при внедрении DLP. Но забыл упомянуть 137 и 138 статьи УК, под которой ходит каждый информационный безопасник. Сразу стало понятно, что статью писал теоретик.  И цель понятна. Цель статьи – «смотрите, с помощью нашей DLP вы всех посадите и получите много палок!!1111». Пока же, с такими статьями посадят самих пользователей DLP Solar Dozor.

И, конечно, интересно узнать в соответствии, с какими статьями ТК РФ необходимо внедрять именно DLP.

Потом бомбануло у Ильи Шабанова потому, что не все признают гениальность последнего отчета на его сайте о SIEM. Материал, такое ощущение, представляет собой компиляцию пресс-релизов компаний вендоров, приправленных  словами «SIEM – очень нужная вещь». Я понимаю, что каждый зарабатывает, как может. Сиди спокойно, ваяй тяп-ляпки, пили денюжку. Так ведь и доходы упадут. Кстати, что косяки на сайте поправили – молодцы, там еще столько же осталось.

Алексей ЛукацкийФинальным аккордом стал уход Алексея Лукацкого из темы защиты персональных данных. Вот, что он пишет:

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных «взлетела» благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое «четверокнижие», которое стало драйвером рынка ИБ на тот момент.

Ну, никаким драйвером оно тогда не стало. И не было вплоть до 2011 года. Но разгон взяли.

Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Пафос, это хорошо.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности.

Что лишний раз доказывает слова о том, что вся деятельность Алексея направлена на лоббирование интересов работодателя.

Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно.

Очень странно. До 2014 года достаточно было оргмер. Вот, одна из первых статей Алексея о ЗПД. Как все хорошо на западе, как все плохо у нас. Но, например, в том же четверокнижии было и про шум, и стеганография. Я сам проходил проверку, применив стеганографию. Либо Алексей документы не читал, либо целенаправленно хаял.

Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя,

И продвигая удобные для себя положения. Хорошо, что не срослось.

предлагая различные обходные маневры для потребителей.

Тем самым подставляя их по полной. Ведь невозможно учесть потребности потребителя, когда речь идет о впаривании железок на миллионы долларов.

И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы.

Уж, лучше про законодательство. Про бизнес, на примере BYOD, было бы хуже.

Но увы… законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава «бумажного безопасника» :-)

Звание теоретика (а не бумажного безопасника) за Алексеем закрепилось, когда он вместо безопасности занялся своим пиаром, продвигая свои фантазии, как истину в последней инстанции. И они постоянно не сходились по фактам. Например, Алексей в свое время любил кичиться тем, что начал заниматься безопасностью в 91 году. Хотя и он, и я, знаем, что сделать он в это время не мог. Но звучит-то красиво. Занимаюсь ИБ с развала – Союза! И не жалеет об этом.

http://www.pircenter.org/news/6697-alexey-lukatsky-for-open-collar-project

Миф – построенный на лжи.

 

Спустя год я был вовлечен в процесс изменения федерального закона «О персональных данных» и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор.

Силком наверно затащили.

За эти 9 лет было сделано немало — участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ.

Участник рабочих групп, автор 300+ статей. Вот, в чем проблема всех подобных персонажей, мнимые достижения, выдаются за реальные. Ну, протер штаны на хороших стульях, а дальше что?

Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Судя, по обилию проблем в терминологии – не удалось сделать ничего.

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был.

Ушел, друг, через которого можно было успешно лоббировать?

С уходом Шередина ситуация стала ухудшаться,

Чем-то это напоминает ситуацию с Эриком Давидычем, если вы понимаете, о чем я.

а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже.

В чем? Стали требовать сертифицировать Cisco? Так там и так дырка на дырке, как говорят.

Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган.

А каким должен быть регулятор? Пальчиком грозить? Так грозили уже, с 2008.

Чего только стоит исключение из названия своей основной функции — защиты прав субъектов ПДн, слов «прав субъектов». Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать «защита ПДн», что лишний раз подтверждает простую мысль — на права субъектов регулятору давно наплевать.

Если Алексей так любит точность формулировок, то что же за 9 лет, не привел их в надлежащий вид, на многочисленных рабочих группах?

Закон о ПДн превратился в инструмент давления на российские и зарубежные компании.

На любимом Лукацким Западе, с законами все еще строже. И Cisco там так просто не отделалась бы не выполнив какой-нибудь закон, как у нас.

Донести до регулятора свою позицию невозможно.

Смотря, что за позиция.

Прислушиваться к экспертам регулятор не хочет.

Это к Алексею Лукацкому?

Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно.

Т.е. Алексей не успевает за веяниями времени? Уж более статичной нормативки, чем в ЗПД – не найдешь.

Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Друзей не осталось, план теперь не выполнить.

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам

Что мне в экспертах всегда нравилось, так это желание консультировать, не неся за это ответственности. Помню, Алексей еще пиарил свою контору по продаже документов по ИБ.

(преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!

Здравствуй, КИИ!

 

Что ж, отдадим должное целой эпохе. Эпохе из 90-х, когда по старой привычке, западные друзья хотели нами всеми тут поруководить за наш счет.  Одним из проводников данных идей – был Алексей Лукацкий. Благодаря, стечению обстоятельств и определенному заказу Алексей получил определенную известность, и сразу стал выполнять заказ. Я просто не могу по другому объяснить все эти скандалы и упертость по отношению к Cisco с его стороны. А уж, как Алексей пропихнул через своих знакомых в самые крупные сети банкоматов цисковские устройства – история отдельная.

Но не фортануло. За исключение отдельных всплесков. Зато теперь можно перенести внимание на КИИ, да, рынок пожиже, зато методики отработаны.

Не чокаясь.

Всего вам доброго.

Как кидали МФИ Софт

Всем, здравствуйте. Проснулся я с утра, и было хорошо, солнышко светит, птички поют. Но к обеду набежали тучки, закрыв живительный ультрафиолет. И вспомнилась мне история, которая показывает звериный оскал нашей отрасли.

События в этой истории носили угнетающий эффект, закрывая благословенное солнце квоты. Поехали.

 

Глава. Будь бдителен или про пидарасов

В жизни пресейла полно неожиданностей и странностей. Например, к вам будет прибегать руководство, и всучивать какие-то таблички, где вам необходимо будет проставить вероятность (в процентах) реализации тех или иных ваших активностей. Понятно, зачем оно им нужно, ввиду несложной математики, это можно использовать в стратегическом планировании. Но, что делать нам, людям приземленным?

Допустим, вы написали ТЗ и заказчик именно его пустил на конкурс. Какая вероятность, что вы подпишите договор? 90%, 70%, 50%? Да, хрен его знает. По-моему опыту, где-то в районе 10%. Может произойти все, что угодно – конкурс могут отменить, вы можете подать не верную заявку, заказчика могут посадить, или не подписать с вами договор.

Была у меня история, на эту тему.

 

2013 год

Я с аккаунтом встречаюсь с его знакомыми из Сельхозрыбконтроля (название изменено), мы обсуждаем актуальную тему ЗПД, показываем экспертизу и получаем добро на формирование бюджета.

2014 год (первое полугодие)

В первой половине года, мы утрясаем техническое решение (что б ни шибко дорогое, но и полезное было). Возим к заказчику железки на тест, через что столбимся у вендоров. Согласовываем бюджет на обследование и проектирование, пишем ТЗ, готовим обоснование НМЦ, конкурс объявляется.

2014 год (второе полугодие)

В конкурсной документации обнаруживаются чужие закладки. Где-то в отделе закупок сидел человек ЦБИ, который дописал в ТЗ:

  • Наличие не менее 14 кандидатов и докторов наук (из них не менее 10% докторов);
  • Какая-то устаревшая лицензия, которая уже не использовалась, но у ЦБИ еще действовала.

Охерев от такой наглости, и идентифицировав ЦБИ, стали устранять последствия. На основании невалидности лицензии получили право скорректировать ТЗ,  чуть изменив смысл. Стало:

  • Наличие не менее 14 кандидатов и докторов наук.

На конкурс пришла Информзащита, ЦБИ и мы. Но т.к. наша цена была в два раза ниже НМЦ, мы выиграли.

Тут к нам прибежал товарищ Грифов (фамилия изменена) из Информзащиты (на тот момент руководитель целого Департамента), и стал гнуть пальцы, что это всю жизнь был его аккаунт и он нас щас всех здесь уроет: проект мы не сдадим, в черный список попадем, и еще денег останемся должны.

Сам товарищ Грифов в заказчике в 2013-14 годах не был, а за место него была его помощница, которая один раз всего и приехала. Разумеется, всучивать Континент (кстати, что у Сельхозрыбконтроля аллергия на Континенты, господин Грифов не знал).

Но, нас простили, т.к. сумма оказалась совсем не серьезной для такого большого человека.

2014 год (конец года)

Мы сдали работы, и на остатки стали проводить первую часть закупки. Закупка была в виде аукциона, на который пришла Информзащита в виде товарища Грифова. Там товарищ Грифов доопускался до своих минусов, и уже приближался к отметке, когда поставка будет неинтересна нам. Как понятно, крайним окажется заказчик.

Утрясли, мы выиграли.

2015 год

Весь год согласовываем вторую часть поставки и конкурс на внедрение. В проекте и ТЗ – Imperva и С-Терра (реально лучше подходили под архитектуру заказчика, зря, что ли тестили?).

В сентябре происходит вторая часть закупки, после которой должен быть конкурс на работы. Мы сидим в ус не дуем, и тут вылезает Информзащита. Товарищ Грифов пришел со связкой Гарда БД + Континент. При том, пойдя на прямой подлог и обман, заявив, что Гарда имеет сертификат (его тогда не было), по пусти банально неправильно заполнив заявку.

Сельхозрыбконтроль не стал топить Информзащиту (иначе бы они попали в черный список, а заказчик бы под проверку) и дал Информзащите выиграть при условии, что они все это внедрят.

Конкурс на внедрение выигрывает Информзащита… и не может его реализовать (черный список again). Проколупавшись до конца года, конкурс решили аннулировать и переиграть.

2016 год

Переобъявили конкурс на внедрение. Пришли — Информзащита и Андэк. Вы спросите, херли там забыл Андэк? Пока Информзащита колупалась, выяснилось, что Грифов серьезно прокинул МФИ Софт через детородный орган – заставив их внедрять бесплатно (а там было 5 площадок в разных концах страны), обозвав это стендированием и входом в заказчика. Плюс к этому навесив на них интеграцию со сторонним ПО. Разумеется, на адекватных условиях (за деньги) МФИ Софт был согласен работать с Андэком.

Играется конкурс… и Информзащита падает ниже своих костов. Как говориться, рука-лицо.

 

Насколько я знаю, проект так и не был завершен. Заказчик зарекся заниматься ИБ. МФИ Софт, так ничего и не заплатили. Господин Грифов еще долго работал в Информзащите, но уже не начальником. А персональные данные, так и остались незащищенными.

Так, что от тупых пидарасов, вас не защитит ни какое ТЗ. Всего вам доброго.

Наша экономика стояла на краю пропасти, а теперь мы сделали большой шаг вперед. Или карьера в ИБ

Всем, привет.

Знаете, что я вам скажу? Ремонт – это трындец. Когда, ты делаешь ремонт, времени не остается ни на что. Вот, обещал Андрею Прозорову, посмотреть его лекцию в июне, а добрался только к июлю. Про ремонт, как-нибудь в другой раз, а сейчас про Андрея.

Поехали.

Идею этого материала, подсказал сам Андрей. У нас стремительно развивается новый обучающий формат на базе Университета Сбербанка, где проводятся открытые лекции на разные темы. Наконец-то, кто-то это сделал. До этого можно было послушать уважаемых людей либо в рамках спонсорского доклада, либо в чил-ауте на конференции.

Как уж у них там все организовано не знаю, но задумка интересная. И тут значит, смотрю, вся лента Solar запестрила выступлением Андрея Прозорова. Называлось «карьера в ИБ», у меня сразу вопрос – о какой карьере идет речь? Блогера в ИБ? Или специалиста? Андрей предложил внимательно посмотреть лекцию и высказать свое мнение. Чем я два часа и занимался.

 

Слушаем

Начнем с названия – Карьера в информационной безопасности.

Карьера – это успешное продвижение в какой-либо области и/или достижение значимых результатов. Про карьерные продвижение остановимся ниже, остановимся на результатах. Разумеется, на первом месте личный блог Андрея. На втором (из автобиографии в блоге): какие-то проекты (какие?), выступление на телевидении, сертификация CISM и участие в профессиональных сообществах.

Как я ожидал из названия, Андрей расскажет ключевые этапы становления безопасника, возможные сферы применения, ключевые навыки и т.п.

Начинаем смотреть.

1:55 — ОАО «ФПД» — не так круто, как РЖД. Не знаю, чего застеснялся Андрей. Я, конечно, пониаю, что РЖД звучит круче, чем ФПД. Но чисто визуально акцентировать на РЖД в автобиографии… чего стыдиться-то?

Лета достойна полного названия, ФПД — нет.

Начал работать на 4 курсе, что могут доверить студенту, что бы он набрал бесценный опыт?

2:21 – «Новая  тема диплома «Защита от инсайдеров, защита от угроз». Что крайне странно, т.к. инсайдер по сути внутренний нарушитель, обладающий бОльшими возможностями, чем внешний. Да, у нас полкурса было посвящено борьбе с внутренними нарушителями.

2:35 – очень интересно было бы увидеть перечень научных статей Андрея.

3:15 – я знал, что должность «Руководитель экспертного направления», это для красного словца.

4:45 – Андрей не все умеет, как написано в стандарте на его специальность.

6:54 – Экономика и философия Андрею не пригодятся. Не мудрено, что сейчас с этим сложности.

7:36 – «Безопасность жизнедеятельности – это как надевать противогаз». Понятно, что Андрей хотел пошутить, но вышло не очень. Там много интересного рассказывают.

7:45 – «Документоведение и психология к безопасности отношения не имеют». То у нас главный источник угроз это человеческий фактор, но специалисту с 10 годами опыта, такие мелочи ни к чему. Ну, а с документами у Андрея давняя вражда, читал его обоснования внедрения продуктов работодателя для 152-ФЗ, сам черт ногу сломит. Не нужная дисциплина, да.

Интересно, кому Андрей рассказывает, что вышка в ИБ плохая? Если лекцию слушают в основном не-безопасники? Они в любом случае уже на нее не пойдут. Скопировал кусок из другой презы?

9:55 – «Упущены навыки общения с другими людьми». Видимо, Андрей прогуливал «ненужные» предметы, т.к. там об этом подробно рассказывали. Начиная с документоведения.

10:50 – «Когда я работал в Лета, у нас был консалтинг и стартанули персональные данные». По автобиографии, Андрей устроился в Лету в 2008 (очевидно летом, после диплома), когда ЗПД уже набирал обороты, а не стартовал.

11:09 – как ведущий консультант может собеседовать претендентов? Если, работающий уже там  Александр Бондаренко, делал это сам, в лучшем случае, в присутствии эчара? Я был там. Три раза.

11:50 – Трындеж какой-то. В 2008 студенты ЗПД еще даже не нюхали. Через год, я сам набирал студентов и обучал их ЗПД, из нескольких десятков о ЗПД не сказал никто. Тема была для них новая. Хотя, вполне допустимо, что это у Андрея ретроспективная память (привет, Психологии).

22:35 – «Медианная зарплата 90 тысяч долларов, там 75% зарплат больше 100 тысяч. Арифметическое среднее будет больше». Видимо, статистику Андрей тоже посчитал ненужным предметом. Андрей, медиана  — число, характеризующее выборку. Если все элементы выборки различны, то медиана — это такое число выборки, что ровно половина из элементов выборки больше него, а другая половина меньше него. Никаких «75% большее 100 тысяч» (в правом хвосте) тут быть не может.

30:30 – «В работе безопасника главным является управление инцидентами». Вот, уж номер. Двигаем ненавязчиво услуги Solar? Вот, что в наших евангелистах от ИБ подбешивает, так это желание протолкнуть рабочие интересы вперед общественных. Даже в таком мероприятии не обошлось без саморекламы. Про SOC уже раз 15 сказали (не говоря, что это. В аудитории где 7-8 специалистов по ИБ). Не хорошо.

31:29 – «Мое дополнительное образование в области безопасности началось с сайта Интуит». Оно и видно, Андрей, оно и видно.

32:25 – теперь понятно, почему для Андрея не было пользы в высшем образовании. 80% пропусков с 4 курса.

33:10 – «В РЖД не сильно напрягают работать, было много свободного времени». А как же «большая практическая база»? Что-то тут не стыкуется. А в ЛЕТЕ работал по 10-12 часов в день… как-то факты не сходятся.

35:40 – «То, что вы делаете со своим оплачиваемым временем, определяет ваш текущий доход». Интересно, сколько сейчас платят за посты в фейсбуке, дружеские посиделки в рабочее время и настройку квадрокоптера?

36:45 – Вообще, Анакин был зачат Силой, а дети его благополучно выжили. Факты-то надо чекать.

38:30 – У викингов были драккары, а на лодках перевозят овец, что бы их волки не сожрали, а они – капусту.

38:50 – Проверим Андрея по его методике. B – хорошие базисные знания. Как говорит сам Андрей, их у него нет. Ну, не считать же такими 15-20 курсов с Интуита и прогулы института.

О – глубокие специализированные знания. То же нет. Во, всяком случае не сказал.

А – личные качества. Тут сложно сказать, как минимум целеустремленность есть.

Т – знания в смежных областях. См. выше про медиану и другое.

1 из 4. Это хорошо или плохо?

41:40 – Викинги вспахивающие землю… глубокая проработка темы.

45:20 – «Тренинги личностного роста, окупаются в течение полугода, года». Что сказать? Андрей, полностью раскрылся, как офисный сотрудник новой волны, который забалтывает работодателя на большой фикс, не демонстрируя реальных результатов. В сфере пиара работодателя – это хорошо, но какое это имеет отношение к информационной безопасности?

Вместе с тем, видно, что Андрею уже тесно в ИБ, и он уже видит себя инфо-тренером. Это те ребятки, которые зарабатывают деньги, рассказывая, как заработать деньги. Уже и курсы специальные пройдены (100 часов, шутка ли), и клепается армия фанатов. Осталось сделать небольшой шаг.

48:04 – Хорошо бы, конечно, рассказать, где внедрялись процессы 27001?

48:19 – перечитывать PM-book, конечно, хорошо. Но специалист по ИБ в нормальной организации, не касается управления проектами чуть менее, чем никак. Примеры успешных компаний, это подтверждают. Например, Сбербанк.

48:35 – Чем конкретно помогли-то? Этому выступлению, очень не хватает конкретики.

50:48 – Какой офигенный слайд. Оказывается, многозвездным и по самое небалуйся  сертифицированным специалистам ISACA не хватает: технических навыков — 46,32%, понимания бизнеса – 72,33% (интересно, сколько из них считали курс экономики в ВУЗе – лишним предметом?), навыков коммуникации – 42,16%.

Подскажите, прав ли я, что из отчета ISACA следует: минимум 30% сертифицированных у нее специалистов нет достаточных навыков ни в одной из категорий? Как же они сертифицировались-то?

52:08 – Каким образом COBIT притягивается к ИБ? То, что у них одинаковое прилагательное – информационный? Или потому что Андрей его прочитал? Чего в ИБ больше – ИТ или безопасности, вопрос не до конца решенный. Не профессионально, предлагать методики из смежной, но во многом чуждой сферы.

53:02 – Предлагать в качестве основы, принципы тренеров личностного роста – это за гранью. Каждый такой тренер, выдает такие принципы на раз в огромном многообразии. Но что самое смешное, не применяет их в жизни. Не говоря уже о том, что бы кого-то научить. Ну, и предложение принципов без личных примеров, говорит об общем уровне лекции.

55:44Тайм-менеджмент. И ничего больше писать не буду. Устал я от этой секты.

56:22 – «Стать человеком, который может встать у руля какой-нибудь активности». По мне, так тут перепутаны темы тренингов, у нас вроде про информационную безопасность. Тема выступления забыта, Андрей уже во всю пиарится, как тренер. Скоро ли уход в инфо-бизнес?

amctv.com/shows/breaking-bad

57:13 – 40 прочитанных книг по тайм-менеджменту! Вау, либо у Андрея много времени переливать из пустого в порожнее, либо не было важных задач.

57:34 – Наглядная иллюстрация принципа Парето – прочитать 3 книги, где «много воды и не нужного», что бы найти 1-2 пару идей и заметок. Хороший тренинг, так победим.

57:52 – В соответствии с этим принципом, читать книги по тайм-менеджменту неважная деятельность :)

58:20 – Ок, ищу дела, которые делать не надо:

  1. Слушать эту лекцию.

1:00:16 – Дневник достижений… По мне, какая-то хипстерская вещь. Ты и так знаешь чего достиг. Или это планируется перечитывать? Или перед женой хвастаться, когда она будет в очередной раз пилить по поводу того, с каким ничтожеством она живет?

1:05:24 – Конечно, нет времени. Надо книги по тайм-менеджменту читать.

1:05:561 достойная книга из 10, все остальное из разряда «Как стать богатым, лежа на диване».

 

Подводя итоги

По мне, так либо Андрей не понял тему лекции, либо не было что сказать по существу. Презентация (кстати, не похоже, что андрей знает свою презентацию, т.к. постоянно читает со слайдов) построена по классической методичке инфо-бизнеса. В начале все плохо, я учился, но мне ничего не дали. Затем — преодоление, показываем, как мы исправили ситуацию. Закрепление, вносим в головы слушателей нужный нам посыл (чаще всего, все будет хорошо, я знаю, как сделать, приходите еще).

Андрей не раскрыл карьерных этапов и трудностей. Равно как и перспектив (оперирование уровнем зарплаты, это не карьерные перспективы). Ключевых базисных навыков не называл, ключевых смежных – аналогично. Все свелось к выдержкам из других источников, тайм-менеджменту и общим фразам «будь активен».

Т.к. все карьерное движение Андрея направлено на то, что бы стать «техническим евангелистом», то и надо было про это рассказывать. Про это интересно послушать. Только к информационной безопасности это не имеет никакого отношения.

На этом все, до новых встреч.

Андрей Прозоров

TOP причин, почему не работают организационные меры. Первое место

Вот, и добрались мы до первого места. Шли мы через тернии оценок, доброты и национальных особенностей. Да, все это мешает организационным мерам, но осталась одна – последняя причина. Она же альфа и омега всех остальных.

И эта причина – Ты.

Да-да, мой дорогой читатель. Организационные меры не работают в первую очередь из-за тебя и меня, из-за начальника и директора, всех тех, кто эти меры реализует.

Это принимает разнообразные грани. Например, если очень надо, вас пропустят на режимный объект в присутствии начальника охраны, потому что обычным порядком это заняло бы пару дней, а надо срочно. Или же проблема VIP-пользователей, которую постоянно решают безопасники с ИТ-шниками.

Только не подумайте, что это что-нибудь плохое. Есть вещи и похуже, например, «общество нацеленных на успех» Алексея Лукацкого. Это данность, и ее просто надо принимать в расчет.

 

Главное направление выхода, видеться в отражении последствий за несоблюдение тех или иных оргмер. Только не в виде штрафов, выговоров или угрозы увольнения. А в ущербе для организации вообще и потенциального нарушителя в частности. Если последняя секретарша, будет знать, что запуская неизвестные файлы, она может парализовать работу компании, она скорее всего не будет этого делать. Но, это нас приводит к другому коану – вы захотите, что бы последняя секретарша знала, как парализовать ваш работу? ;)

Всего вам доброго.

Информационная безопасность в ж… Часть 1.

Здравствуйте, здравствуйте мои дорогие. Давно для вас не писал. За этот месяц я узнал, что меня читают минимум 3 человека, поэтому совестно долго не писать. Читай «Смотреть глазами» — будь элитным!

Ух, за этот месяц много чего произошло. Но главный вывод неутешительный. Мы, информационные безопасники, в жопе. Не прошло и года, как я поднимал эту тему на Кибербетле, а уже и зубры, вроде Рустэма, об этом заговорили.

Жопа эта многогранна, кто-то сидит только в одном углу, а кто-то соприкасается с множеством граней. Это не столько важно, жопа она и есть жопа. Отрицание сего факта, лишь усугубляет проблему, как  персональную, так и отраслевую.

Как ни больно это говорить, но мы сами все просрали (и я в том числе). И, как в лучших традициях психоанализа, предлагаю вернуться к источнику и последовательно пройти все этапы, что бы определить – где же мы накосячили. По большому счету, это лишь для самоуспокоения, т.к. сделать что-либо уже вряд ли возможно.

Поехали.

0. Эпоха динозавров

Это весь период от момента создания шифра Цезаря (и до него) и до 2001 года. Эпоха легенд и эпичных героев невидимого фронта. Первые хакеры, апостол социнженерии Митник, разнообразные цветные книжечки и т.п. Не будем останавливаться на этом периоде. Мало кто помнит, что неделю назад на встрече говорил, а уже события 15-20-30 летней давности сейчас можно разве что по книжкам изучать.

1. Младенчество

Я взял за точку отсчета 2001 год, как первый год, когда массово появились гражданские специальности по ИБ в институтах. Моя называлась «Комплексная защита объектов информатизации (090104)».

2001 – хороший год. Ощущался некий подъем в стране. Выходили всякие веселые журналы, которые учили школьников ломать домофоны. Интернет стал более-менее доступным, и не надо было ждать ночи, потому что ночью бесплатно. И прочие прелести.

Лично я выбрал ИБ, т.к. она наиболее была близка к компьютерам. О, компьютеры я любил. Моя любовь не была шибко сфокусированной, я любил их собирать, настраивать, играть, сидеть в интернете, писать простенькие вирусы. Все по чуть-чуть. Да и был я объективно туповат для поступления на Прикладную математику, где можно было выучиться на программиста. Не шибко меня программирование привлекало, хотя все обучение с удовольствием этим занимался и даже диплом писал.

Помимо абстрактно связи с компами ничего об информационной безопасности я не знал (установка антивируса не в счет). И все 5 лет обучения, и еще 5 после окончания на вопрос, чем же я занимаюсь, отвечал – компьютеры защищаю. И это был первый ветерок перед ураганом.

Вспомните, как вы объясняли непосвященным, что такое ИБ? Это про компы. Это про безопасность. Что бы компьютеры не украли? Нее. Что бы информацию не украли. Какую? Ну… ценную. А, понятно.

И всякие вариации на эту тему. Вспомнили? За 16 лет ничего не изменилось. Мы – это хмурые мужики, которые пишут смешные бумажки и рассылают злобные письма об анальных карах за несоблюдение каких-то там политик.

Вторая проблема заключалась в очень широкой специализации. Ты можешь и документы писать, и софт с железом настраивать, и безопасным программированием заниматься, пентесты делать,  пресейлить и т.д. и т.п.

Именно поэтому на PHD, все корифеи фебешечки и ибешных конференций забились в тесную комнатку 15 на 25 и обсуждали какие-то странные темы про популярность в интернете. Просто конференция была не про это, и они не смогли из обычной канвы выбраться.

Начиная с 4 курса, к нам на поток приходили всякие люди хантить молодых специалистов. Кто умные дома звал делать (!!!), кто паять прослушку. А что, тоже безопасность.

Кратким следствием из этого стало то, что информационные безопасники не конкретизированы и не могут доступно объяснить чем же они занимаются. Например, работая в Утконосе, я часто привлекался к охране правопорядка на корпоративах, т.к. был приписан к Службе безопасности. А то, что я шары закрываю и за использованием интернета слежу – по барабану. Безопасник? Иди, смотри, что бы пьяные сотрудники не передрались.

Это наглядная иллюстрация еще одной жопы. В эпоху динозавров потолок для шифровальщика (военного) узел связи с чином капитана. Все, дальше расти некуда. Так и мы, вроде и безопасность, но какая-то несерьезная. Сравните объемы бюджетов физбезопасности и ИБ. Да у них выставка, как 10 инфосеков с инфобезом, и все лишь про камеры с вкраплениями турникетов. Я знаю, я там был в этом году (и, кстати, она стала больше чем в 2015).

И все это приправлено любовью к документам. По сути, защита конфиденциалки – это очень упрощенная защита гостайны. А в гостайне все просто, закопал компьютер в землю и обрабатывай. Разумеется, по всей строгости инструкции (интересно, ее номер является гостайной?) с 5 формами учета. Конечно, на такой базе ничего принципиально нового появиться не могло. И теперь, в 99% случаев информационная безопасность приравнялась к противопожарной безопасности или какому-нибудь там ISO 9001. Куча бумажек и сертификат – ляпота.

Все это стало благодатной почвой, в которую были посеяны семена текущего провала. Но об этом в следующий раз.

Versus, который не случился

Идея этого материала была задумана еще в декабре 2015 года. Я как тогда еще блогер, решил заделать сравнение критериев нужности DLP. Идея была следующая, сравнить критерии нужности от фокус-группы и самих вендоров. Ну, а дальше как пойдет.

У меня есть ряд знакомых (владельцы и директора) в сегменте SMB, которые готовы ответить на мои глупые вопросы. И я написал в SearchInform, Infowatch и Solar – для получения их точек зрения. Конечно, я бы мог просто воспользоваться инсайдом, т.к. у меня было все по этим продуктам от прайсов до гайдов «как засрать конкурента на пресейле», но рядовой потребитель всего этого не видит, и поэтому было бы не совсем честно.

А тут еще, и вовремя ежегодной традиции меня спросили за DLP:

Михаил:

Добрый день, Дмитрий. Подскажите пожалуйста: мы сейчас выбираем между DLP Серчинформ и Инфовотч. Не понятно, что лучше. Сделайте пожалуйста сравнение/обзор с блоге.

Мы банк, пользователей 1200. Хотим реально работающую систему!

Дальнейшая судьба этого материала… тлен и безысходность.  И дело не в том, что из 3 вендоров, материалы прислал лишь Солар. Инфовотч обещал, но так руки не дошли, а Сечинформ сразу нахуй послал. Кстати, спасибо всем, кто уделил мне время. За полтора года, я и не сподобился довести начатое. Весь год провел в состоянии – я бегу, а волосики назад.

Поэтому расписываюсь в собственном бессилии довести аналитику до конца. Ну, скучно же писать про умирающий рынок. Поэтому решил поделиться с вами данными по фокус-группе.

Кстати, если, вдруг вам интересно мое мнение – то надо брать Infowatch. Очень уж все в выборе свелось к вкусовщине, а раз так – то Infowatch.

 

Что думает бизнес?

И так, знакомимся с фокус-группой. Я не стал уж брать что-то энтерпрайзное, там ответы понятны. Нужно, но либо уже есть, либо денег нет.

Олег. Владелец и директор сети ресторанов.

Катя. Топ-менеджер крупного дистрибьютора по физбезопасности.

Даша. Финдиректор небольшого технического вендора.

Петр. Владелец консалтинговой фирмы (с уклоном в юридические аспекты).

Роман Т. Учредитель ИТ-вендора.

Антон. Инвестор, владелец компаний в разных сферах.

Лена К. Учредитель небольшого интегратора.

Лена Л. Руководитель отдела закупок крупной строительной фирмы.

Роман З. Начальник отдела закупок в дочке Транснефти.

Максим. Владелец группы компаний в ИТ и ИБ сфере.

5 из 10 респондентов относятся к миру ИБ и ИТ.

 

Из 10 человек:

10 из 10 –знают о риске утечки конфиденциальной информации.

4 из 10 – считают, что надо контролировать сотрудников в части информации, которой они обмениваются (Олег, Катя,  Роман З., Максим).

9 из 10 – готовы поставить какую-нибудь программу для контроля рисков утечки конфиденциальной информации.

3 из 10 — считают, что ущерб от утечки конфиденциальной информации будет серьезным или фатальным для бизнеса (Катя, Даша, Роман З.).

1 из 10 – не хранит конфиденциальную информацию на компьютере.

3 из 10 – слышали о системах класса DLP.

1 из 10 – применял программы для контроля над сотрудниками (Катя).

7 из 10 – хотели бы знать, что о них говорят подчиненные.

1 из 10 – знает о возможной ответственности за вмешательство в личную жизнь и тайну переписки (Петр).

10 из 10 – главным фактором выбора DLP считают цену, вторым – полный сбор со всех каналов утечки.

7 из 10 – достаточно реактивного реагирования на инциденты.

6 из 10 – искали бы инциденты по ключевым словам (4 из 6 – хотели бы, что бы еще слова искались в разных формах и падежах).

10 из 10 – при выборе решения смотрят на референсы инсталляций и благодарственные письма.

1 из 10 – проверяет достоверность информации о референсах.

 

Вот, эти люди должны были с помощью двойного слепого метода оценить критерии наших DLP вендоров. Но сделают это в какой-нибудь параллельной вселенной.

Пока.

Сертифицированная Windows для ЗПД

Как мне тут правильно подсказывают – слишком много Лукацкого в ленте. Но что делать? Если Алексей у нас главный ньюсмейкер. Но желание публики – закон. Поэтому слушайте историю про персональные данные.

Позвонил мне хороший друг, начальник поибэ в немаленьком банке. И говорит – «Димон, я тут СЗПДн инвентаризирую. ИТ-шники хотят нам передать на баланс, помоги разобраться, что нужно, а что нет.»

Через матюги с шутками, выяснилось, что 3 года назад компания SoftLine сделала им систему защиты персональных данных. Сроки поддержки все вышли, а с купленными СЗИ надо что-то решать. И самый большой вопрос встал по сертифицированной винде. И проблема не в том, что решение просто купили и не внедряли. Вопрос – как все так сделать, что бы хоть как-то было похоже на правду.

Хоть я сам не брал сертифицированной винды в руки уже пару лет, пришлось стряхнуть пыль с закоулков памяти.

Преамбула заключается в том, что сертификацией винды у нас занимается одна компания «СИС» или «Сертифицированные информационные системы». Процедура следующая – вы отсылаете заявку в СИС или дистика (который все равно делает все через СИС), прикладываете денюжки, дистрибутив и подтверждение легальности приобретения продуктов Microsoft (думаю, мало что в процедуре изменилось).

Самая засада с дистрибутивом, он должен быть на диске. Нет диска, вам сертифицированной винды не видать. Все это уезжает на 2 недели в СИС (или 6-8 недель, если через дистика), и приезжает обратно к вам с комплектом бумаг и еще каких-то дистрибутивов.

Если заглянуть в прайс-лист (о, чтение прайс-листов – отдельное искуство), то глаза разбегаются и нихера не понятно, что же надо взять, что бы нормально сертифицированную винду приобрести.

Запоминайте.

Гайд по ориентированию в прайсе сертифицированной винды

Предположим, вам надо установить сертифицированную винду на вменяемое количество машин, хотя бы 10-15. Если у вас меньше, можете смело лишние пункты почикать.

  1. Находите нужную версию винды (обычно на 1 поколение назад от текущей версии, например, 10 сертифицировать нельзя) в прайсе, и выбираете Базовый пакет для сертификации. Можно взять и Полный пакет, но я за 5 лет отличий шибко не уловил, да и попал один раз. Была у меня спецификация (в январе сделанная, ага), а как до закупке в ноябре дошло, так мне не смогли полную версию отгрузить. Сертификат тютю, просрочился. А у меня госконтракт.

Берем по количеству машин.

  1. Вам необходима лицензия на контроль сертифицированной версии ОС. Это такая приблуда, которая проверяет установленную версию винды на отклонения в настройках. Так же берете по количеству машин.
  2. Лицензия модуля анализа уязвимостей. Хз, как щас. Раньше ее не было, или была, но не нужна была. Для меня это позиция для выкачивания денег.
  3. Обязательно не забудьте про сертифицированный ключ для получения обновлений. Хватит 1 шт.
  4. Дальше пойдут у вас непредвиденные расходы. Вы для чего винду берете? Для аутентификации в основном, чтобы не городить секретнеты с далласлоками. А что у нас является главной дырой на локальной машине? Локальный админ. Вроде без него никуда, если что. А кто выше локального админа? Доменный админ. Очевидно, что чтобы не бегать и не менять раз в месяц пароли локальных админов, сертифицированная винда должна быть в домене. Так же очевидно, что она должна быть в своем домене, обычный не подойдет. Смело записывайте в спеку 3 штуки серверной Windows. 2 под контролеры домена, 1 под WSUS (или как он там щас называется?).

Кстати, именно в WSUS воткнете свой ключ для обновлений.

  1. Но и это еще не все. Т.к. вы поставили серверную составляющую, будьте добры купить лицензии на клиентский доступ. От такой наглости бюджетодержатели вконец охуевают, и можно купить и без них. Да, и сами сотрудники СИС и дистиков не всегда в курсе темы, но судя по всему лицензии на доступ покупать надо. У меня и письмо где-то было от Microsoft. Главный камень преткновения – сколько комплектов лицензий брать 1 (на всех) или 3 (по количеству серваков). Тут уже насколько бюджета хватит.
  2. А, если совсем денег девать некуда – то можете поставить себе еще NetCheck. Это то же самое, что Check (см. пункт 2), но по сети.

 

А, как получите все добро, можете начинать устанавливать по официальным правилам :) Но это уже другая история.

Понравилось про прайсы? Пишите в комментариях.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент, все мои мысли занимала карьера, а главным ее мерилом воспринималась, занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А, т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот, уж где мог скрываться кто угодно, под заместителя до подносчика кофе.

И значит пошел, я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, что бы в должности висело – руководитель. В общем вписали меня, как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая, чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего, 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность, чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели, когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я периодически видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

 

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует, как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более-менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы, с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

 

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен, как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название, при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

 

Как видно, умные люди, думаю одинаково.

Всего вам доброго.