Архив рубрики: Информационная безопасность

Материалы по информационной безопасности

Cisco головного мозга

Здравствуйте, здравствуйте мои ненаглядные. Как же я по вам скучал. Скучал все 3000 километров по нашим бескрайним просторам. Но скучал я не один.

Разумеется, одним глазом наблюдал, что твориться в нашей поибэ, а твориться там форменная чертовщина. Какой-то месяц безудержного пиара.

В начале, Solar Security под заголовком «как правильно оформить внедрение системы для защиты от утечек» разослал всем статью о документах, при внедрении DLP. Но забыл упомянуть 137 и 138 статьи УК, под которой ходит каждый информационный безопасник. Сразу стало понятно, что статью писал теоретик.  И цель понятна. Цель статьи – «смотрите, с помощью нашей DLP вы всех посадите и получите много палок!!1111». Пока же, с такими статьями посадят самих пользователей DLP Solar Dozor.

И, конечно, интересно узнать в соответствии, с какими статьями ТК РФ необходимо внедрять именно DLP.

Потом бомбануло у Ильи Шабанова потому, что не все признают гениальность последнего отчета на его сайте о SIEM. Материал, такое ощущение, представляет собой компиляцию пресс-релизов компаний вендоров, приправленных  словами «SIEM – очень нужная вещь». Я понимаю, что каждый зарабатывает, как может. Сиди спокойно, ваяй тяп-ляпки, пили денюжку. Так ведь и доходы упадут. Кстати, что косяки на сайте поправили – молодцы, там еще столько же осталось.

Алексей ЛукацкийФинальным аккордом стал уход Алексея Лукацкого из темы защиты персональных данных. Вот, что он пишет:

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных «взлетела» благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое «четверокнижие», которое стало драйвером рынка ИБ на тот момент.

Ну, никаким драйвером оно тогда не стало. И не было вплоть до 2011 года. Но разгон взяли.

Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Пафос, это хорошо.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности.

Что лишний раз доказывает слова о том, что вся деятельность Алексея направлена на лоббирование интересов работодателя.

Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно.

Очень странно. До 2014 года достаточно было оргмер. Вот, одна из первых статей Алексея о ЗПД. Как все хорошо на западе, как все плохо у нас. Но, например, в том же четверокнижии было и про шум, и стеганография. Я сам проходил проверку, применив стеганографию. Либо Алексей документы не читал, либо целенаправленно хаял.

Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя,

И продвигая удобные для себя положения. Хорошо, что не срослось.

предлагая различные обходные маневры для потребителей.

Тем самым подставляя их по полной. Ведь невозможно учесть потребности потребителя, когда речь идет о впаривании железок на миллионы долларов.

И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы.

Уж, лучше про законодательство. Про бизнес, на примере BYOD, было бы хуже.

Но увы… законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава «бумажного безопасника» :-)

Звание теоретика (а не бумажного безопасника) за Алексеем закрепилось, когда он вместо безопасности занялся своим пиаром, продвигая свои фантазии, как истину в последней инстанции. И они постоянно не сходились по фактам. Например, Алексей в свое время любил кичиться тем, что начал заниматься безопасностью в 91 году. Хотя и он, и я, знаем, что сделать он в это время не мог. Но звучит-то красиво. Занимаюсь ИБ с развала – Союза! И не жалеет об этом.

http://www.pircenter.org/news/6697-alexey-lukatsky-for-open-collar-project

Миф – построенный на лжи.

 

Спустя год я был вовлечен в процесс изменения федерального закона «О персональных данных» и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор.

Силком наверно затащили.

За эти 9 лет было сделано немало — участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ.

Участник рабочих групп, автор 300+ статей. Вот, в чем проблема всех подобных персонажей, мнимые достижения, выдаются за реальные. Ну, протер штаны на хороших стульях, а дальше что?

Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Судя, по обилию проблем в терминологии – не удалось сделать ничего.

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был.

Ушел, друг, через которого можно было успешно лоббировать?

С уходом Шередина ситуация стала ухудшаться,

Чем-то это напоминает ситуацию с Эриком Давидычем, если вы понимаете, о чем я.

а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже.

В чем? Стали требовать сертифицировать Cisco? Так там и так дырка на дырке, как говорят.

Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган.

А каким должен быть регулятор? Пальчиком грозить? Так грозили уже, с 2008.

Чего только стоит исключение из названия своей основной функции — защиты прав субъектов ПДн, слов «прав субъектов». Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать «защита ПДн», что лишний раз подтверждает простую мысль — на права субъектов регулятору давно наплевать.

Если Алексей так любит точность формулировок, то что же за 9 лет, не привел их в надлежащий вид, на многочисленных рабочих группах?

Закон о ПДн превратился в инструмент давления на российские и зарубежные компании.

На любимом Лукацким Западе, с законами все еще строже. И Cisco там так просто не отделалась бы не выполнив какой-нибудь закон, как у нас.

Донести до регулятора свою позицию невозможно.

Смотря, что за позиция.

Прислушиваться к экспертам регулятор не хочет.

Это к Алексею Лукацкому?

Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно.

Т.е. Алексей не успевает за веяниями времени? Уж более статичной нормативки, чем в ЗПД – не найдешь.

Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Друзей не осталось, план теперь не выполнить.

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам

Что мне в экспертах всегда нравилось, так это желание консультировать, не неся за это ответственности. Помню, Алексей еще пиарил свою контору по продаже документов по ИБ.

(преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!

Здравствуй, КИИ!

 

Что ж, отдадим должное целой эпохе. Эпохе из 90-х, когда по старой привычке, западные друзья хотели нами всеми тут поруководить за наш счет.  Одним из проводников данных идей – был Алексей Лукацкий. Благодаря, стечению обстоятельств и определенному заказу Алексей получил определенную известность, и сразу стал выполнять заказ. Я просто не могу по другому объяснить все эти скандалы и упертость по отношению к Cisco с его стороны. А уж, как Алексей пропихнул через своих знакомых в самые крупные сети банкоматов цисковские устройства – история отдельная.

Но не фортануло. За исключение отдельных всплесков. Зато теперь можно перенести внимание на КИИ, да, рынок пожиже, зато методики отработаны.

Не чокаясь.

Всего вам доброго.

Как кидали МФИ Софт

Всем, здравствуйте. Проснулся я с утра, и было хорошо, солнышко светит, птички поют. Но к обеду набежали тучки, закрыв живительный ультрафиолет. И вспомнилась мне история, которая показывает звериный оскал нашей отрасли.

События в этой истории носили угнетающий эффект, закрывая благословенное солнце квоты. Поехали.

 

Глава. Будь бдителен или про пидарасов

В жизни пресейла полно неожиданностей и странностей. Например, к вам будет прибегать руководство, и всучивать какие-то таблички, где вам необходимо будет проставить вероятность (в процентах) реализации тех или иных ваших активностей. Понятно, зачем оно им нужно, ввиду несложной математики, это можно использовать в стратегическом планировании. Но, что делать нам, людям приземленным?

Допустим, вы написали ТЗ и заказчик именно его пустил на конкурс. Какая вероятность, что вы подпишите договор? 90%, 70%, 50%? Да, хрен его знает. По-моему опыту, где-то в районе 10%. Может произойти все, что угодно – конкурс могут отменить, вы можете подать не верную заявку, заказчика могут посадить, или не подписать с вами договор.

Была у меня история, на эту тему.

 

2013 год

Я с аккаунтом встречаюсь с его знакомыми из Сельхозрыбконтроля (название изменено), мы обсуждаем актуальную тему ЗПД, показываем экспертизу и получаем добро на формирование бюджета.

2014 год (первое полугодие)

В первой половине года, мы утрясаем техническое решение (что б ни шибко дорогое, но и полезное было). Возим к заказчику железки на тест, через что столбимся у вендоров. Согласовываем бюджет на обследование и проектирование, пишем ТЗ, готовим обоснование НМЦ, конкурс объявляется.

2014 год (второе полугодие)

В конкурсной документации обнаруживаются чужие закладки. Где-то в отделе закупок сидел человек ЦБИ, который дописал в ТЗ:

  • Наличие не менее 14 кандидатов и докторов наук (из них не менее 10% докторов);
  • Какая-то устаревшая лицензия, которая уже не использовалась, но у ЦБИ еще действовала.

Охерев от такой наглости, и идентифицировав ЦБИ, стали устранять последствия. На основании невалидности лицензии получили право скорректировать ТЗ,  чуть изменив смысл. Стало:

  • Наличие не менее 14 кандидатов и докторов наук.

На конкурс пришла Информзащита, ЦБИ и мы. Но т.к. наша цена была в два раза ниже НМЦ, мы выиграли.

Тут к нам прибежал товарищ Грифов (фамилия изменена) из Информзащиты (на тот момент руководитель целого Департамента), и стал гнуть пальцы, что это всю жизнь был его аккаунт и он нас щас всех здесь уроет: проект мы не сдадим, в черный список попадем, и еще денег останемся должны.

Сам товарищ Грифов в заказчике в 2013-14 годах не был, а за место него была его помощница, которая один раз всего и приехала. Разумеется, всучивать Континент (кстати, что у Сельхозрыбконтроля аллергия на Континенты, господин Грифов не знал).

Но, нас простили, т.к. сумма оказалась совсем не серьезной для такого большого человека.

2014 год (конец года)

Мы сдали работы, и на остатки стали проводить первую часть закупки. Закупка была в виде аукциона, на который пришла Информзащита в виде товарища Грифова. Там товарищ Грифов доопускался до своих минусов, и уже приближался к отметке, когда поставка будет неинтересна нам. Как понятно, крайним окажется заказчик.

Утрясли, мы выиграли.

2015 год

Весь год согласовываем вторую часть поставки и конкурс на внедрение. В проекте и ТЗ – Imperva и С-Терра (реально лучше подходили под архитектуру заказчика, зря, что ли тестили?).

В сентябре происходит вторая часть закупки, после которой должен быть конкурс на работы. Мы сидим в ус не дуем, и тут вылезает Информзащита. Товарищ Грифов пришел со связкой Гарда БД + Континент. При том, пойдя на прямой подлог и обман, заявив, что Гарда имеет сертификат (его тогда не было), по пусти банально неправильно заполнив заявку.

Сельхозрыбконтроль не стал топить Информзащиту (иначе бы они попали в черный список, а заказчик бы под проверку) и дал Информзащите выиграть при условии, что они все это внедрят.

Конкурс на внедрение выигрывает Информзащита… и не может его реализовать (черный список again). Проколупавшись до конца года, конкурс решили аннулировать и переиграть.

2016 год

Переобъявили конкурс на внедрение. Пришли — Информзащита и Андэк. Вы спросите, херли там забыл Андэк? Пока Информзащита колупалась, выяснилось, что Грифов серьезно прокинул МФИ Софт через детородный орган – заставив их внедрять бесплатно (а там было 5 площадок в разных концах страны), обозвав это стендированием и входом в заказчика. Плюс к этому навесив на них интеграцию со сторонним ПО. Разумеется, на адекватных условиях (за деньги) МФИ Софт был согласен работать с Андэком.

Играется конкурс… и Информзащита падает ниже своих костов. Как говориться, рука-лицо.

 

Насколько я знаю, проект так и не был завершен. Заказчик зарекся заниматься ИБ. МФИ Софт, так ничего и не заплатили. Господин Грифов еще долго работал в Информзащите, но уже не начальником. А персональные данные, так и остались незащищенными.

Так, что от тупых пидарасов, вас не защитит ни какое ТЗ. Всего вам доброго.

Наша экономика стояла на краю пропасти, а теперь мы сделали большой шаг вперед. Или карьера в ИБ

Всем, привет.

Знаете, что я вам скажу? Ремонт – это трындец. Когда, ты делаешь ремонт, времени не остается ни на что. Вот, обещал Андрею Прозорову, посмотреть его лекцию в июне, а добрался только к июлю. Про ремонт, как-нибудь в другой раз, а сейчас про Андрея.

Поехали.

Идею этого материала, подсказал сам Андрей. У нас стремительно развивается новый обучающий формат на базе Университета Сбербанка, где проводятся открытые лекции на разные темы. Наконец-то, кто-то это сделал. До этого можно было послушать уважаемых людей либо в рамках спонсорского доклада, либо в чил-ауте на конференции.

Как уж у них там все организовано не знаю, но задумка интересная. И тут значит, смотрю, вся лента Solar запестрила выступлением Андрея Прозорова. Называлось «карьера в ИБ», у меня сразу вопрос – о какой карьере идет речь? Блогера в ИБ? Или специалиста? Андрей предложил внимательно посмотреть лекцию и высказать свое мнение. Чем я два часа и занимался.

 

Слушаем

Начнем с названия – Карьера в информационной безопасности.

Карьера – это успешное продвижение в какой-либо области и/или достижение значимых результатов. Про карьерные продвижение остановимся ниже, остановимся на результатах. Разумеется, на первом месте личный блог Андрея. На втором (из автобиографии в блоге): какие-то проекты (какие?), выступление на телевидении, сертификация CISM и участие в профессиональных сообществах.

Как я ожидал из названия, Андрей расскажет ключевые этапы становления безопасника, возможные сферы применения, ключевые навыки и т.п.

Начинаем смотреть.

1:55 — ОАО «ФПД» — не так круто, как РЖД. Не знаю, чего застеснялся Андрей. Я, конечно, пониаю, что РЖД звучит круче, чем ФПД. Но чисто визуально акцентировать на РЖД в автобиографии… чего стыдиться-то?

Лета достойна полного названия, ФПД — нет.

Начал работать на 4 курсе, что могут доверить студенту, что бы он набрал бесценный опыт?

2:21 – «Новая  тема диплома «Защита от инсайдеров, защита от угроз». Что крайне странно, т.к. инсайдер по сути внутренний нарушитель, обладающий бОльшими возможностями, чем внешний. Да, у нас полкурса было посвящено борьбе с внутренними нарушителями.

2:35 – очень интересно было бы увидеть перечень научных статей Андрея.

3:15 – я знал, что должность «Руководитель экспертного направления», это для красного словца.

4:45 – Андрей не все умеет, как написано в стандарте на его специальность.

6:54 – Экономика и философия Андрею не пригодятся. Не мудрено, что сейчас с этим сложности.

7:36 – «Безопасность жизнедеятельности – это как надевать противогаз». Понятно, что Андрей хотел пошутить, но вышло не очень. Там много интересного рассказывают.

7:45 – «Документоведение и психология к безопасности отношения не имеют». То у нас главный источник угроз это человеческий фактор, но специалисту с 10 годами опыта, такие мелочи ни к чему. Ну, а с документами у Андрея давняя вражда, читал его обоснования внедрения продуктов работодателя для 152-ФЗ, сам черт ногу сломит. Не нужная дисциплина, да.

Интересно, кому Андрей рассказывает, что вышка в ИБ плохая? Если лекцию слушают в основном не-безопасники? Они в любом случае уже на нее не пойдут. Скопировал кусок из другой презы?

9:55 – «Упущены навыки общения с другими людьми». Видимо, Андрей прогуливал «ненужные» предметы, т.к. там об этом подробно рассказывали. Начиная с документоведения.

10:50 – «Когда я работал в Лета, у нас был консалтинг и стартанули персональные данные». По автобиографии, Андрей устроился в Лету в 2008 (очевидно летом, после диплома), когда ЗПД уже набирал обороты, а не стартовал.

11:09 – как ведущий консультант может собеседовать претендентов? Если, работающий уже там  Александр Бондаренко, делал это сам, в лучшем случае, в присутствии эчара? Я был там. Три раза.

11:50 – Трындеж какой-то. В 2008 студенты ЗПД еще даже не нюхали. Через год, я сам набирал студентов и обучал их ЗПД, из нескольких десятков о ЗПД не сказал никто. Тема была для них новая. Хотя, вполне допустимо, что это у Андрея ретроспективная память (привет, Психологии).

22:35 – «Медианная зарплата 90 тысяч долларов, там 75% зарплат больше 100 тысяч. Арифметическое среднее будет больше». Видимо, статистику Андрей тоже посчитал ненужным предметом. Андрей, медиана  — число, характеризующее выборку. Если все элементы выборки различны, то медиана — это такое число выборки, что ровно половина из элементов выборки больше него, а другая половина меньше него. Никаких «75% большее 100 тысяч» (в правом хвосте) тут быть не может.

30:30 – «В работе безопасника главным является управление инцидентами». Вот, уж номер. Двигаем ненавязчиво услуги Solar? Вот, что в наших евангелистах от ИБ подбешивает, так это желание протолкнуть рабочие интересы вперед общественных. Даже в таком мероприятии не обошлось без саморекламы. Про SOC уже раз 15 сказали (не говоря, что это. В аудитории где 7-8 специалистов по ИБ). Не хорошо.

31:29 – «Мое дополнительное образование в области безопасности началось с сайта Интуит». Оно и видно, Андрей, оно и видно.

32:25 – теперь понятно, почему для Андрея не было пользы в высшем образовании. 80% пропусков с 4 курса.

33:10 – «В РЖД не сильно напрягают работать, было много свободного времени». А как же «большая практическая база»? Что-то тут не стыкуется. А в ЛЕТЕ работал по 10-12 часов в день… как-то факты не сходятся.

35:40 – «То, что вы делаете со своим оплачиваемым временем, определяет ваш текущий доход». Интересно, сколько сейчас платят за посты в фейсбуке, дружеские посиделки в рабочее время и настройку квадрокоптера?

36:45 – Вообще, Анакин был зачат Силой, а дети его благополучно выжили. Факты-то надо чекать.

38:30 – У викингов были драккары, а на лодках перевозят овец, что бы их волки не сожрали, а они – капусту.

38:50 – Проверим Андрея по его методике. B – хорошие базисные знания. Как говорит сам Андрей, их у него нет. Ну, не считать же такими 15-20 курсов с Интуита и прогулы института.

О – глубокие специализированные знания. То же нет. Во, всяком случае не сказал.

А – личные качества. Тут сложно сказать, как минимум целеустремленность есть.

Т – знания в смежных областях. См. выше про медиану и другое.

1 из 4. Это хорошо или плохо?

41:40 – Викинги вспахивающие землю… глубокая проработка темы.

45:20 – «Тренинги личностного роста, окупаются в течение полугода, года». Что сказать? Андрей, полностью раскрылся, как офисный сотрудник новой волны, который забалтывает работодателя на большой фикс, не демонстрируя реальных результатов. В сфере пиара работодателя – это хорошо, но какое это имеет отношение к информационной безопасности?

Вместе с тем, видно, что Андрею уже тесно в ИБ, и он уже видит себя инфо-тренером. Это те ребятки, которые зарабатывают деньги, рассказывая, как заработать деньги. Уже и курсы специальные пройдены (100 часов, шутка ли), и клепается армия фанатов. Осталось сделать небольшой шаг.

48:04 – Хорошо бы, конечно, рассказать, где внедрялись процессы 27001?

48:19 – перечитывать PM-book, конечно, хорошо. Но специалист по ИБ в нормальной организации, не касается управления проектами чуть менее, чем никак. Примеры успешных компаний, это подтверждают. Например, Сбербанк.

48:35 – Чем конкретно помогли-то? Этому выступлению, очень не хватает конкретики.

50:48 – Какой офигенный слайд. Оказывается, многозвездным и по самое небалуйся  сертифицированным специалистам ISACA не хватает: технических навыков — 46,32%, понимания бизнеса – 72,33% (интересно, сколько из них считали курс экономики в ВУЗе – лишним предметом?), навыков коммуникации – 42,16%.

Подскажите, прав ли я, что из отчета ISACA следует: минимум 30% сертифицированных у нее специалистов нет достаточных навыков ни в одной из категорий? Как же они сертифицировались-то?

52:08 – Каким образом COBIT притягивается к ИБ? То, что у них одинаковое прилагательное – информационный? Или потому что Андрей его прочитал? Чего в ИБ больше – ИТ или безопасности, вопрос не до конца решенный. Не профессионально, предлагать методики из смежной, но во многом чуждой сферы.

53:02 – Предлагать в качестве основы, принципы тренеров личностного роста – это за гранью. Каждый такой тренер, выдает такие принципы на раз в огромном многообразии. Но что самое смешное, не применяет их в жизни. Не говоря уже о том, что бы кого-то научить. Ну, и предложение принципов без личных примеров, говорит об общем уровне лекции.

55:44Тайм-менеджмент. И ничего больше писать не буду. Устал я от этой секты.

56:22 – «Стать человеком, который может встать у руля какой-нибудь активности». По мне, так тут перепутаны темы тренингов, у нас вроде про информационную безопасность. Тема выступления забыта, Андрей уже во всю пиарится, как тренер. Скоро ли уход в инфо-бизнес?

amctv.com/shows/breaking-bad

57:13 – 40 прочитанных книг по тайм-менеджменту! Вау, либо у Андрея много времени переливать из пустого в порожнее, либо не было важных задач.

57:34 – Наглядная иллюстрация принципа Парето – прочитать 3 книги, где «много воды и не нужного», что бы найти 1-2 пару идей и заметок. Хороший тренинг, так победим.

57:52 – В соответствии с этим принципом, читать книги по тайм-менеджменту неважная деятельность :)

58:20 – Ок, ищу дела, которые делать не надо:

  1. Слушать эту лекцию.

1:00:16 – Дневник достижений… По мне, какая-то хипстерская вещь. Ты и так знаешь чего достиг. Или это планируется перечитывать? Или перед женой хвастаться, когда она будет в очередной раз пилить по поводу того, с каким ничтожеством она живет?

1:05:24 – Конечно, нет времени. Надо книги по тайм-менеджменту читать.

1:05:561 достойная книга из 10, все остальное из разряда «Как стать богатым, лежа на диване».

 

Подводя итоги

По мне, так либо Андрей не понял тему лекции, либо не было что сказать по существу. Презентация (кстати, не похоже, что андрей знает свою презентацию, т.к. постоянно читает со слайдов) построена по классической методичке инфо-бизнеса. В начале все плохо, я учился, но мне ничего не дали. Затем — преодоление, показываем, как мы исправили ситуацию. Закрепление, вносим в головы слушателей нужный нам посыл (чаще всего, все будет хорошо, я знаю, как сделать, приходите еще).

Андрей не раскрыл карьерных этапов и трудностей. Равно как и перспектив (оперирование уровнем зарплаты, это не карьерные перспективы). Ключевых базисных навыков не называл, ключевых смежных – аналогично. Все свелось к выдержкам из других источников, тайм-менеджменту и общим фразам «будь активен».

Т.к. все карьерное движение Андрея направлено на то, что бы стать «техническим евангелистом», то и надо было про это рассказывать. Про это интересно послушать. Только к информационной безопасности это не имеет никакого отношения.

На этом все, до новых встреч.

Андрей Прозоров

TOP причин, почему не работают организационные меры. Первое место

Вот, и добрались мы до первого места. Шли мы через тернии оценок, доброты и национальных особенностей. Да, все это мешает организационным мерам, но осталась одна – последняя причина. Она же альфа и омега всех остальных.

И эта причина – Ты.

Да-да, мой дорогой читатель. Организационные меры не работают в первую очередь из-за тебя и меня, из-за начальника и директора, всех тех, кто эти меры реализует.

Это принимает разнообразные грани. Например, если очень надо, вас пропустят на режимный объект в присутствии начальника охраны, потому что обычным порядком это заняло бы пару дней, а надо срочно. Или же проблема VIP-пользователей, которую постоянно решают безопасники с ИТ-шниками.

Только не подумайте, что это что-нибудь плохое. Есть вещи и похуже, например, «общество нацеленных на успех» Алексея Лукацкого. Это данность, и ее просто надо принимать в расчет.

 

Главное направление выхода, видеться в отражении последствий за несоблюдение тех или иных оргмер. Только не в виде штрафов, выговоров или угрозы увольнения. А в ущербе для организации вообще и потенциального нарушителя в частности. Если последняя секретарша, будет знать, что запуская неизвестные файлы, она может парализовать работу компании, она скорее всего не будет этого делать. Но, это нас приводит к другому коану – вы захотите, что бы последняя секретарша знала, как парализовать ваш работу? ;)

Всего вам доброго.

Информационная безопасность в ж… Часть 1.

Здравствуйте, здравствуйте мои дорогие. Давно для вас не писал. За этот месяц я узнал, что меня читают минимум 3 человека, поэтому совестно долго не писать. Читай «Смотреть глазами» — будь элитным!

Ух, за этот месяц много чего произошло. Но главный вывод неутешительный. Мы, информационные безопасники, в жопе. Не прошло и года, как я поднимал эту тему на Кибербетле, а уже и зубры, вроде Рустэма, об этом заговорили.

Жопа эта многогранна, кто-то сидит только в одном углу, а кто-то соприкасается с множеством граней. Это не столько важно, жопа она и есть жопа. Отрицание сего факта, лишь усугубляет проблему, как  персональную, так и отраслевую.

Как ни больно это говорить, но мы сами все просрали (и я в том числе). И, как в лучших традициях психоанализа, предлагаю вернуться к источнику и последовательно пройти все этапы, что бы определить – где же мы накосячили. По большому счету, это лишь для самоуспокоения, т.к. сделать что-либо уже вряд ли возможно.

Поехали.

0. Эпоха динозавров

Это весь период от момента создания шифра Цезаря (и до него) и до 2001 года. Эпоха легенд и эпичных героев невидимого фронта. Первые хакеры, апостол социнженерии Митник, разнообразные цветные книжечки и т.п. Не будем останавливаться на этом периоде. Мало кто помнит, что неделю назад на встрече говорил, а уже события 15-20-30 летней давности сейчас можно разве что по книжкам изучать.

1. Младенчество

Я взял за точку отсчета 2001 год, как первый год, когда массово появились гражданские специальности по ИБ в институтах. Моя называлась «Комплексная защита объектов информатизации (090104)».

2001 – хороший год. Ощущался некий подъем в стране. Выходили всякие веселые журналы, которые учили школьников ломать домофоны. Интернет стал более-менее доступным, и не надо было ждать ночи, потому что ночью бесплатно. И прочие прелести.

Лично я выбрал ИБ, т.к. она наиболее была близка к компьютерам. О, компьютеры я любил. Моя любовь не была шибко сфокусированной, я любил их собирать, настраивать, играть, сидеть в интернете, писать простенькие вирусы. Все по чуть-чуть. Да и был я объективно туповат для поступления на Прикладную математику, где можно было выучиться на программиста. Не шибко меня программирование привлекало, хотя все обучение с удовольствием этим занимался и даже диплом писал.

Помимо абстрактно связи с компами ничего об информационной безопасности я не знал (установка антивируса не в счет). И все 5 лет обучения, и еще 5 после окончания на вопрос, чем же я занимаюсь, отвечал – компьютеры защищаю. И это был первый ветерок перед ураганом.

Вспомните, как вы объясняли непосвященным, что такое ИБ? Это про компы. Это про безопасность. Что бы компьютеры не украли? Нее. Что бы информацию не украли. Какую? Ну… ценную. А, понятно.

И всякие вариации на эту тему. Вспомнили? За 16 лет ничего не изменилось. Мы – это хмурые мужики, которые пишут смешные бумажки и рассылают злобные письма об анальных карах за несоблюдение каких-то там политик.

Вторая проблема заключалась в очень широкой специализации. Ты можешь и документы писать, и софт с железом настраивать, и безопасным программированием заниматься, пентесты делать,  пресейлить и т.д. и т.п.

Именно поэтому на PHD, все корифеи фебешечки и ибешных конференций забились в тесную комнатку 15 на 25 и обсуждали какие-то странные темы про популярность в интернете. Просто конференция была не про это, и они не смогли из обычной канвы выбраться.

Начиная с 4 курса, к нам на поток приходили всякие люди хантить молодых специалистов. Кто умные дома звал делать (!!!), кто паять прослушку. А что, тоже безопасность.

Кратким следствием из этого стало то, что информационные безопасники не конкретизированы и не могут доступно объяснить чем же они занимаются. Например, работая в Утконосе, я часто привлекался к охране правопорядка на корпоративах, т.к. был приписан к Службе безопасности. А то, что я шары закрываю и за использованием интернета слежу – по барабану. Безопасник? Иди, смотри, что бы пьяные сотрудники не передрались.

Это наглядная иллюстрация еще одной жопы. В эпоху динозавров потолок для шифровальщика (военного) узел связи с чином капитана. Все, дальше расти некуда. Так и мы, вроде и безопасность, но какая-то несерьезная. Сравните объемы бюджетов физбезопасности и ИБ. Да у них выставка, как 10 инфосеков с инфобезом, и все лишь про камеры с вкраплениями турникетов. Я знаю, я там был в этом году (и, кстати, она стала больше чем в 2015).

И все это приправлено любовью к документам. По сути, защита конфиденциалки – это очень упрощенная защита гостайны. А в гостайне все просто, закопал компьютер в землю и обрабатывай. Разумеется, по всей строгости инструкции (интересно, ее номер является гостайной?) с 5 формами учета. Конечно, на такой базе ничего принципиально нового появиться не могло. И теперь, в 99% случаев информационная безопасность приравнялась к противопожарной безопасности или какому-нибудь там ISO 9001. Куча бумажек и сертификат – ляпота.

Все это стало благодатной почвой, в которую были посеяны семена текущего провала. Но об этом в следующий раз.

Versus, который не случился

Идея этого материала была задумана еще в декабре 2015 года. Я как тогда еще блогер, решил заделать сравнение критериев нужности DLP. Идея была следующая, сравнить критерии нужности от фокус-группы и самих вендоров. Ну, а дальше как пойдет.

У меня есть ряд знакомых (владельцы и директора) в сегменте SMB, которые готовы ответить на мои глупые вопросы. И я написал в SearchInform, Infowatch и Solar – для получения их точек зрения. Конечно, я бы мог просто воспользоваться инсайдом, т.к. у меня было все по этим продуктам от прайсов до гайдов «как засрать конкурента на пресейле», но рядовой потребитель всего этого не видит, и поэтому было бы не совсем честно.

А тут еще, и вовремя ежегодной традиции меня спросили за DLP:

Михаил:

Добрый день, Дмитрий. Подскажите пожалуйста: мы сейчас выбираем между DLP Серчинформ и Инфовотч. Не понятно, что лучше. Сделайте пожалуйста сравнение/обзор с блоге.

Мы банк, пользователей 1200. Хотим реально работающую систему!

Дальнейшая судьба этого материала… тлен и безысходность.  И дело не в том, что из 3 вендоров, материалы прислал лишь Солар. Инфовотч обещал, но так руки не дошли, а Сечинформ сразу нахуй послал. Кстати, спасибо всем, кто уделил мне время. За полтора года, я и не сподобился довести начатое. Весь год провел в состоянии – я бегу, а волосики назад.

Поэтому расписываюсь в собственном бессилии довести аналитику до конца. Ну, скучно же писать про умирающий рынок. Поэтому решил поделиться с вами данными по фокус-группе.

Кстати, если, вдруг вам интересно мое мнение – то надо брать Infowatch. Очень уж все в выборе свелось к вкусовщине, а раз так – то Infowatch.

 

Что думает бизнес?

И так, знакомимся с фокус-группой. Я не стал уж брать что-то энтерпрайзное, там ответы понятны. Нужно, но либо уже есть, либо денег нет.

Олег. Владелец и директор сети ресторанов.

Катя. Топ-менеджер крупного дистрибьютора по физбезопасности.

Даша. Финдиректор небольшого технического вендора.

Петр. Владелец консалтинговой фирмы (с уклоном в юридические аспекты).

Роман Т. Учредитель ИТ-вендора.

Антон. Инвестор, владелец компаний в разных сферах.

Лена К. Учредитель небольшого интегратора.

Лена Л. Руководитель отдела закупок крупной строительной фирмы.

Роман З. Начальник отдела закупок в дочке Транснефти.

Максим. Владелец группы компаний в ИТ и ИБ сфере.

5 из 10 респондентов относятся к миру ИБ и ИТ.

 

Из 10 человек:

10 из 10 –знают о риске утечки конфиденциальной информации.

4 из 10 – считают, что надо контролировать сотрудников в части информации, которой они обмениваются (Олег, Катя,  Роман З., Максим).

9 из 10 – готовы поставить какую-нибудь программу для контроля рисков утечки конфиденциальной информации.

3 из 10 — считают, что ущерб от утечки конфиденциальной информации будет серьезным или фатальным для бизнеса (Катя, Даша, Роман З.).

1 из 10 – не хранит конфиденциальную информацию на компьютере.

3 из 10 – слышали о системах класса DLP.

1 из 10 – применял программы для контроля над сотрудниками (Катя).

7 из 10 – хотели бы знать, что о них говорят подчиненные.

1 из 10 – знает о возможной ответственности за вмешательство в личную жизнь и тайну переписки (Петр).

10 из 10 – главным фактором выбора DLP считают цену, вторым – полный сбор со всех каналов утечки.

7 из 10 – достаточно реактивного реагирования на инциденты.

6 из 10 – искали бы инциденты по ключевым словам (4 из 6 – хотели бы, что бы еще слова искались в разных формах и падежах).

10 из 10 – при выборе решения смотрят на референсы инсталляций и благодарственные письма.

1 из 10 – проверяет достоверность информации о референсах.

 

Вот, эти люди должны были с помощью двойного слепого метода оценить критерии наших DLP вендоров. Но сделают это в какой-нибудь параллельной вселенной.

Пока.

Сертифицированная Windows для ЗПД

Как мне тут правильно подсказывают – слишком много Лукацкого в ленте. Но что делать? Если Алексей у нас главный ньюсмейкер. Но желание публики – закон. Поэтому слушайте историю про персональные данные.

Позвонил мне хороший друг, начальник поибэ в немаленьком банке. И говорит – «Димон, я тут СЗПДн инвентаризирую. ИТ-шники хотят нам передать на баланс, помоги разобраться, что нужно, а что нет.»

Через матюги с шутками, выяснилось, что 3 года назад компания SoftLine сделала им систему защиты персональных данных. Сроки поддержки все вышли, а с купленными СЗИ надо что-то решать. И самый большой вопрос встал по сертифицированной винде. И проблема не в том, что решение просто купили и не внедряли. Вопрос – как все так сделать, что бы хоть как-то было похоже на правду.

Хоть я сам не брал сертифицированной винды в руки уже пару лет, пришлось стряхнуть пыль с закоулков памяти.

Преамбула заключается в том, что сертификацией винды у нас занимается одна компания «СИС» или «Сертифицированные информационные системы». Процедура следующая – вы отсылаете заявку в СИС или дистика (который все равно делает все через СИС), прикладываете денюжки, дистрибутив и подтверждение легальности приобретения продуктов Microsoft (думаю, мало что в процедуре изменилось).

Самая засада с дистрибутивом, он должен быть на диске. Нет диска, вам сертифицированной винды не видать. Все это уезжает на 2 недели в СИС (или 6-8 недель, если через дистика), и приезжает обратно к вам с комплектом бумаг и еще каких-то дистрибутивов.

Если заглянуть в прайс-лист (о, чтение прайс-листов – отдельное искуство), то глаза разбегаются и нихера не понятно, что же надо взять, что бы нормально сертифицированную винду приобрести.

Запоминайте.

Гайд по ориентированию в прайсе сертифицированной винды

Предположим, вам надо установить сертифицированную винду на вменяемое количество машин, хотя бы 10-15. Если у вас меньше, можете смело лишние пункты почикать.

  1. Находите нужную версию винды (обычно на 1 поколение назад от текущей версии, например, 10 сертифицировать нельзя) в прайсе, и выбираете Базовый пакет для сертификации. Можно взять и Полный пакет, но я за 5 лет отличий шибко не уловил, да и попал один раз. Была у меня спецификация (в январе сделанная, ага), а как до закупке в ноябре дошло, так мне не смогли полную версию отгрузить. Сертификат тютю, просрочился. А у меня госконтракт.

Берем по количеству машин.

  1. Вам необходима лицензия на контроль сертифицированной версии ОС. Это такая приблуда, которая проверяет установленную версию винды на отклонения в настройках. Так же берете по количеству машин.
  2. Лицензия модуля анализа уязвимостей. Хз, как щас. Раньше ее не было, или была, но не нужна была. Для меня это позиция для выкачивания денег.
  3. Обязательно не забудьте про сертифицированный ключ для получения обновлений. Хватит 1 шт.
  4. Дальше пойдут у вас непредвиденные расходы. Вы для чего винду берете? Для аутентификации в основном, чтобы не городить секретнеты с далласлоками. А что у нас является главной дырой на локальной машине? Локальный админ. Вроде без него никуда, если что. А кто выше локального админа? Доменный админ. Очевидно, что чтобы не бегать и не менять раз в месяц пароли локальных админов, сертифицированная винда должна быть в домене. Так же очевидно, что она должна быть в своем домене, обычный не подойдет. Смело записывайте в спеку 3 штуки серверной Windows. 2 под контролеры домена, 1 под WSUS (или как он там щас называется?).

Кстати, именно в WSUS воткнете свой ключ для обновлений.

  1. Но и это еще не все. Т.к. вы поставили серверную составляющую, будьте добры купить лицензии на клиентский доступ. От такой наглости бюджетодержатели вконец охуевают, и можно купить и без них. Да, и сами сотрудники СИС и дистиков не всегда в курсе темы, но судя по всему лицензии на доступ покупать надо. У меня и письмо где-то было от Microsoft. Главный камень преткновения – сколько комплектов лицензий брать 1 (на всех) или 3 (по количеству серваков). Тут уже насколько бюджета хватит.
  2. А, если совсем денег девать некуда – то можете поставить себе еще NetCheck. Это то же самое, что Check (см. пункт 2), но по сети.

 

А, как получите все добро, можете начинать устанавливать по официальным правилам :) Но это уже другая история.

Понравилось про прайсы? Пишите в комментариях.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент, все мои мысли занимала карьера, а главным ее мерилом воспринималась, занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А, т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот, уж где мог скрываться кто угодно, под заместителя до подносчика кофе.

И значит пошел, я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, что бы в должности висело – руководитель. В общем вписали меня, как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая, чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего, 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность, чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели, когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я периодически видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

 

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует, как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более-менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы, с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

 

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен, как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название, при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

 

Как видно, умные люди, думаю одинаково.

Всего вам доброго.

Игроки рынка ИБ и таксисты

Надо сказать, я очень люблю наблюдать в динамике различные отрасли. Так, что бы лет 15-20 смотришь, а потом вспоминаешь – эка раньше было. В основном это что-нибудь совсем бытовое, например, таксисты. Думаю, каждый с ними сталкивался.

О, эти разбойники пассажирских перевозок. Раньше можно было просто поднять руку, и мог проехать хоть на мерседесе, хоть на скорой без пробок. Таксисты всегда были обманщиками, во всяком случае, те, кто занимался перевозками на периодической основе. На моей улице 3 остановки, на двух из них стоят частники и чего-то ждут. Лет пятнадцать назад, у них было море работы, до метро можно было доехать и за 50 рублей и за 300. Сейчас их бизнес подзахерел, но они все равно стоят, мб еще кого-то возят.

Но таксисты совсем не заменимы, когда ты в чужом городе. Во-первых, ты в командировке и богатый парень, можешь форсануть. Во-вторых, ты просто не знаешь маршрутов быстрой передислокации. В-третьих, хотелось бы еще и что-нибудь о городе узнать, и таксист не самый плохой вариант. Плюс к этому, там такси сильно дешевле.

Собственно, я этого бы не писал – если бы не столкнулся с совершенно новым для меня явлением в такси. Случилось это в Петрозаводске, где я решил встретить Новый год. Заказали трансфер, нас встретили и довезли. Смотрю, парень вроде нормальный – говорю, дай телефон, мы будем много ездить, нам хорошо и тебе легче.

Надо сказать, что это стандартная практика – выбираешь 1 водилу, и мотаешься с ним. Помню я как-то из Мурманска в Полярные Зори 400 км ехал на такси, ехали часов 5 или 6, зимой в ночь. Так, этот же парень нас и забрал оттуда через два дня. Покатались хорошо.

И тут значит, разложили вещи, хотим покататься. Звоню. Говорит, я на вызове в другой части города. Ну, ладно. Через некоторое время еще раз попробовал. Опять тоже самое. Оказалось, в Петрозаводске все таксисты сидят на зарплате. Диспетчер принимает звонки и распределяет их водителю, а у него в свою очередь план, который он должен в смену выполнить. Я-то с таким не сталкивался, для меня таксист – свободный волк на охоте. Например, в Камышине – диспетчера сидят на небольшой зарплате на телефоне и просто сообщают «своим», где клиент – а водилы уже сами разбираются.

А тут значит – план. Но все цивильно, да ж карточкой платить можно.

И этой бы истории не было, если она не была обрамлена еще двумя фактами. Когда мы собирались уезжать из дома до вокзала, захотел вызвать такси к определенному времени. Яндекс-такси в этом не помог, т.к. у него можно максимум за 15 минут время поставить. Поставил Убер и заказал машину к назначенному времени. И, началось. Во-первых, он опоздал на 20 минут. Ехал откуда-то с Лосиноостровской. Во-вторых, врал, что едет к нам, хотя вез другого клиента. В-третьих, включил счетчик на подъезде к нам, и стартанули мы со 20 рублей. Я был уже мыслями в отпуске, не стал мандиться и просто поставил ему 3 звезды.

Второй случай произошел уже по приезде. Посмотрел, сколько стоит в Яндексе – выходило 500-600 рублей. Неспешно выхожу, вытаскивая чемоданы. Стоят два бомбилы, предлагая подвезти. Спрашиваю – сколько? О, это любимый вопрос бомбил в аэропортах и вокзалах. Есть целый спектр кидалова о невнятно сказанных суммах. Получил классический вопрос – сколько дашь? Говорю, 500 рублей. И получил волну ненависти, с общим посылом, что только заехать на площадь перед вокзалом стоит 300 рублей. И за каким хером ты тогда спрашивал, сколько я дам? Что бы поторговаться? Или что? Так и остались они стоять на пустой платформе, а я доехал за 550 рублей.

Таким образом можно выделить следующие виды таксистов:

  • Обычные таксисты. Чаще всего работают с диспетчером, но сами себе волки. Если ничего не остается, работают с Яндексом или Убером, которые их тираняткак хотят, но деваться некуда.
  • Зарплатники. Водители, на зарплате. Не прочь подзаработать, но диспетчер главнее.
  • Бомбилы. Грабящие людей на вокзалах и в аэропортах. Готовы целый день простоять, но меньше чем за 3 000 не поедут. Поджидающие людей неопытных, туристов и с временной потерей концентрации.

Вы спросите, а при чем тут информационная безопасность? Так, ведь наш рынок – просто калька с таксистов.

У нас есть свои бомбилы. В основном это крупные интеграторы, которые «не хотят связываться с маленькими проектами». У них же большой штат дармоедов, и им непременно нужны проекты на десятки миллионов рублей. Вот, и сидят они в ожидании, когда что-нибудь такое свалиться. Сюда же относятся всякие крупные вендора с непомерным ценником за сомнительные функции, например, SAP. Но этот путь хиреет, т.к. ничего нового не появляется. Да, некоторым вендорам везет отхватить денег, но если копнуть ближе – 80% суммы там закупка иностранного железа с софтом.

Есть у нас и свои зарплатники. Среди интеграторов – это карманные интеграторы каких-то структур, отечественных или западных. Они могут быть сколько угодно разными в размерах от огромных до микроскопических. У них в принципе все хорошо, заказы идут, они работают. Правда, неожиданно могут какую-нибудь реструктуризацию устроить, или продать нафиг. Среди вендоров это выражается в явной нацеленности на конкретного заказчика. Допустим, вы продали Газпрому свои шлюзы с VPN – и будете продавать их вечность. И уже пофиг на качество и все такое. Грузите апельсины бочками (с).

Ну, а с обычными – все понятно. Это среднестатистические вендора и интеграторы. Как все. Где-то конкурс отожмут, где-то бочком пройдут. Работа кипит. Красота.

 

На этом все. До новых встреч.