Архив рубрики: Информационная безопасность

Материалы по информационной безопасности

Как зарабатывать на ЗПД

Добавить комментарий

Просматривал я сегодня фейсбучек и зацепился взглядом за одно резюме.

b-152-hh

Оказалось, это мои старые знакомые из Б152 набирают людей. Привет, Максим!

Вот все думают, что я людей засираю, чтобы получить дешевого пиару (привет, Алексей!). Но цели мои гораздо прозаичнее: я просто хочу сделать мир лучше. И, на мой взгляд, этого точно нельзя добиться, расцеловывая друг друга в десны.

Ребята из Б152, видимо, прочитали мои прошлые заметки. Теперь все хорошо. Теперь на сайте по продаже комплектов шаблонов нет цен.  Я думаю, они даже поднялись с 49ти тысяч раза в два. Появился большой простор для бизнеса, а также маркетинговых акций – «Два комплекта по цене одного» или «Успей заказать до полуночи и получи скидку 90%».

Но мое внимание привлекла вакансия. Что же предлагают нам за 60-100 тысяч рублей (кстати, это белая?)? Нам предлагают работать в компании, которая уже продала своих продуктов 6 000 заказчикам. Матерь божья! Если это правда, то это реально круто. Например, у Кода безопасности всего 32 000 заказчиков (кстати, если перейти по ссылке, то увидим всего 23 000… хотя там написано более, но нельзя же так редко сайт обновлять…).

32000 предприятий

32000 предприятий

23000...

23000…

При том, что это крупный вендор, и фактически стандарт во многих областях.

Т.е. Б125 компания крупная. С кем же она работает? Мне нравится фраза «компании уровня Philips, EY, Henkel». Т.е. мировой лидер рынка аудиторства и комплайнса заказывает шаблоны документов за 49 тысяч рублей? Если это правда, это очень круто. К сожалению, в отзывах на сайте про EY ни слова. Надо срочно получить эти отзывы, так как более мощного пиара придумать сложно. Остальные заказчики обычные, скажем, фриланс.ру. Большой сайт, но никаких персданных внутри на сайте нет, значит, использовали для бухгалтерии/кадров.

Оки, компания крупная.

Что надо делать? Продавать уникальные решения. Это комплект шаблонов по ЗПД и мониторилка сайта, которая недавно еще и не работала. Сейчас работает, я даже заказал мониторинг моего уютненького бложика.

siteSecure

Т.е. по факту 5 из 6 проверок делается вообще бесплатно на любом SEO сайте. И если сервис автоматизирован, то почему мне до сих пор не пришло письмо с результатами? Как с такой скоростью продавать через веб? Интернет-магазины вон за секунды внимания клиентов бьются. Но думаю, уникальный продукт сам найдет дорогу к клиенту.

Говорят, надо искать новых клиентов, но одновременно работать с базой. Новых. С базой. На мой вопрос в комментариях о наличии холодных звонков ответили утвердительно. Это финиш, что сказать. По факту надо нанять таджиков, дать им справочник юрлиц и платить по 10% с каждой сделки. Продавать b2b по холодным звонкам – это за гранью.

Кстати, а что продается за рубежом? Кто тот чудо продавец, что наладил экспорт ЗПД?

По зарплате. Не указано, 60 тысяч – это оклад? Или это возможный доход, если вы продадите 100 проектов по 49 тысяч рублей, и мы дадим вам бонус?

В заключение место работы. По сути это коворкинг ФРИИ. Т.е. Б125 снимает койко-стол за 20 тысяч рублей, нагоняет туда домохозяек, обучает по шаблону, что надо говорить, и отпускает в свободное плавание по рынку.

Вместо вывода. Кто из серьезных b2b-сейлов пойдет на холодные звонки за оклад в 20 тысяч плюс премия — я не знаю. Чтобы отбить свою зарплату (сюда входит зарплата основателей, коворкинг, телефон и все накладные расходы), надо делать по 10+ продаж по 49 000. Это 120+ продаж в год. Или 1 продажа в два дня. Те, кто работает в b2b знают, что иногда продажа может длиться годами. Плюс никто не отменял закупочных процедур, а они времени съедают немало.

 

P.S. Мой отчет так и не пришел. По результатам сообщу.

TOP причин, почему не работают организационные меры. Второе место

Добавить комментарий

На втором месте у нас глобальная причина, почему не работают организационные меры – менталитет. О, только не надо сразу ругаться. Я не стою ни на западнической позиции, ни на славянофильской. Я долго думал, как это лучше обобщить. Давайте посмотрим, и, думаю, вы согласитесь, что я был в затруднительном положении.

mentality

Я шел от обратного. На чем базируются организационные меры? Если совсем обобщить – на общей законопослушности. Законопослушность – это следование установленным в обществе нормам (законам), которые явно прописаны и однозначно толкуются (зачастую). Законопослушность – это социальное свойство, которое воспитывается в человеке путем укорачивания на голову всех несогласных. Примеры: Французская революция, где сделали всеевропейский Гражданский кодекс (Наполеон постарался, великий был человек), а с другой стороны, прямо на той же площади за углом в прямом смысле жрали друг дружку. В порядке вещей было подойти к трупу, обмакнуть тряпку в кровь и выжать себе в рот. Да и Европа — территория небольшая, густо населенная. Здесь легко сразу найти непонимающих новую генеральную линию людей и пустить в расход. Так воспитывается законопослушность.

Понятно, что прописать надо много и всего, но если прописал, то наступает красота и гармония. И люди, прошедшие такое горнило евгеники, всё понимают сразу. Написано: нельзя пальцы в розетку совать, значит, не буду. Это нам смешно, что в инструкциях для «тупых американцев» пишут, что нельзя животных в микроволновке сушить. А для законопослушного человека инструкция – тот же закон.

А что же мы? Русский человек – человек широкой души. Только не надо сюда примешивать всякий национализм. Русский человек – это человек говорящий и думающий по-русски. И от такой широты души, которая в немалой степени связана с размерами нашей необъятной родины, у нас такого звидеца как в Европе не было.

У нас недовольный в Сибирь уйдет – и иди его там ищи. Вон, старообрядцев 300 лет искали. А ведь опасные люди были в свое время, без малого еретики для нарождающейся Православной Руси. Была б Россия размером с Швейцарию, мы сейчас не за компами бы сидели, а с калашами по горам бегали, выслеживая неверных.

Т.е. русский человек может просто свалить. На том и стоим.

icecream

Так если у нас нет законопослушности, то все у нас плохо? Нет, у нас по-другому.

Мы с вами живем в понятийном обществе. Здесь намешано очень много, каждый может это заметить. Вот, например, у каждого мужика в стране есть договор. Договор между нами и Царем. Договор такой: он мне не мешает, я ему не мешаю. Плохо будет, иностранцы полезут – я за царя. Ну, думаю… и он за меня. А пока нет войны, настоящей. Когда не лезут иностранцы, царь ко мне не лезет, из-за плеча не нашептывает на ухо гадости всякие, и не пристает ко мне, и позволяет мне копейку зарабатывать…

И это лишь одна из граней. Именно поэтому у нас все не как на любимом некоторыми западе. Человек понятия не умещается в инструкцию, она слишком мала. Вспомните, у нас нет применения «итальянской забастовке» (правда, мы вместо этого просто бухаем или забиваем), потому что наши должностные инструкции написаны для регуляторов. Да что говорить? Я сам на крайнем месте работы подписывал должностные обязанности на инженера техподдержки. Потому что бумажка нужна. Думаете, европеец на моем месте пошел бы персданные делать с такими обязанностями? Да он скорее засудил бы всех нафиг.

Обратной стороной является то, что понятия у всех разные. Например, понимание кидка. Если начальник сволочь и зарплату мне не платит, обворовал практически, так ведь по справедливости и я у него что-нибудь украду. И все в таком духе.

Всего вам доброго.

Первое место

Третье место

Четвертое место

Практические результаты SOC

Добавить комментарий

Дорогие мои, вы знаете, что я адепт преобладания результатов над процессом. И вы можете спросить: «Дима, где ж результаты? Ты вообще кто такой? Я тебя не знаю!». И тут у меня подвернулся повод похвалиться. Смотреть по ссылке или кликнуть на картинку.

rbc

Поздравляю всю команду Security Vision и Руслана Рахметова с таким успехом. Надо сказать, что и я был причастен к этому проекту. В нем была реализована ключевая идея SOC – люди, процессы, технологии. И особенно радостно, что все три компоненты росли вместе друг с другом.

«Кто молодец? Я молодец!» (с)

Уважение и авторитет в ИБ

Добавить комментарий

Полтора часа назад я стоял на светофоре и слушал музыку. Вдруг от остановки отделяется мужчина лет 55-60, подходит к моей машине, открывает переднюю правую дверь и что-то мне говорит. На мое праведное возмущение и требование закрыть дверь с той стороны, мужчина хлопает дверью и начинает огрызаться, что я с ним не уважительно разговаривал, т.к. он старше. Несмотря на весь сюрреализм ситуации — она типична: подавляющее большинство людей, достигнув определенного возраста, считают, что остальные обязаны выказывать им уважение. Рассмотрим эту ситуацию на примере информационной безопасности.

on_top

По сути, уважение имеет глубокие корни. Хомо сапиенсы издревле заботились о стариках в знак признания их достоинств (хотя бы потому, что они прожили так долго). Когда наше общество осваивало палки-копалки, уважением пользовались те люди, которые их умели создавать, применять и обучать создавать других. Но 6000 лет назад все кардинально поменялось. Изменилась сама форма научения от мастера к ученику на социальные формы. Как раз последующие 7,5 тысяч лет этот переход кристаллизовался, и получилось наше настоящее.

Но люди в возрасте все еще требуют к себе слепого уважения. Его используют везде и повсеместно, даже Рустем Хайретдинов (по отношению к другому лицу). Уважение имеет много форм, чаще всего встречаются две.

Личное уважение. Когда конкретно вы уважаете конкретно его. Причины могут быть всякие разные. Многие уважают своих родителей, учителей, старших товарищей, выдающихся коллег по работе или людей, обладающих качествами, которые вам импонируют.

Профессиональное уважение. Когда человека уважают за что-то, свершенное им: открытие, многолетний непогрешимый труд, подвиг и т.п.

Как видно, обе эти формы не имеют кванта всеобщности. И уважение может быть легко потеряно, если объект этого самого уважения ведет себя неподобающим образом.

Всеобщее уважение можно чувствовать к определенным группам людей, объединенных общим свершением, например, ветеранам (и в связи с этим особенно мерзко, когда в нашей стране паразитируют граждане с ветеранскими удостоверениями 70-75 лет отроду, периодически примазываясь к чужим заслугам).

Наш мир настолько быстро меняется и так информационно насыщен, что даже опыт предпенсионного поколения может быть использован крайне незначительно. После 50 вообще сложно научиться чему-то новому. А старый пласт знаний давит очень сильно. Например, люди, в сознательном возрасте программирующие на перфокартах, сейчас довольно отдаленно понимают принципы действия современных компьютеров. Именно поэтому большинство старших преподавателей дают фундаментальные предметы, а специализацию – молодые аспиранты. Только не надо думать, что я против «стариков», у них есть куча преимуществ перед «молодыми», но мы сейчас об уважении.

И тут начинается круговая порука «ты меня уважаешь? я тебя уважаю! вместе мы уважаемые люди!». Если хотите, можно назвать это заговором уважаемых — когда группа людей начинает расхваливать друг друга на все лады, и человеку не посвященному невозможно разобраться, ху из ху. Прием отлично действует в реальной жизни. Например, в советское время определенные «культовые режиссеры» сами на себя писали благостные рецензии, тем самым поднимая статус своих поделок. И так везде.

Этот «заговор» — огромное препятствие для общества вообще, и для информационной безопасности в частности. Он ограждает «вековые устои», все эти «у нас так принято» от посягательства молодых и наглых. Только не подумайте, будто я считаю, что это плохо. Это естественная реакция человека залезть наверх и скидывать оттуда посягнувших. Но пока я со стороны карабкающихся – мне это не нравится.

Я не понимаю, почему люди считают окончательным аргументом отсылку к авторитету «а вот уважаемый эксперт считает». Фактически имеют ценность только результаты. Ни количество пройденных курсов, ни написанных статей, ни выступлений на конференциях не приближают человека ни к одной из форм уважения. Разумеется, за исключением  случаев, если вы хотите сдать много курсов, писать статьи и много выступать — вот в этом аспекте да, уважение во все поля. Но при чем тут безопасность?

Другая крайность, когда уважаемый в одной области человек начинает вещать по любому поводу. Самые известные примеры: академик Сахаров и чемпион мира Каспаров. Я с удовольствием слушаю и уважаю, например, Рустема по вопросам создания и управления ИБ компаний, а Алексей Лукацкого – по вопросам написания трех постов в день. Но сомневаюсь, что они будут высказывать компетентное мнение по вопросам той же защиты персональных данных.

Наша область сильно дифференцирована, что, в частности, и показал последний PHD. Никому из хакеров не интересна наша бумажная возня. А аналитикам – инженерная. А ведь есть еще и сейловая и пресельная части, которые обобщенно можно назвать методологической и архитектурной частью. И в каждой свои герои.

Любой авторитет и любое уважение должно выдерживать шквал скепсиса. При этом подлинному авторитету не требуется ничего делать для своей защиты, за него говорят его дела. А глиняные колоссы качаются от любого ветра. Думайте своей головой и выбирайте правильных авторитетов.

Спасибо за уделенное время. Всем огромной удачи и пока.

Что же читать безопасникам? Теперь про книги

1 комментарий

Где-то около полугода назад я уже поднимал эту тему. Тот материал получился в итоге о том, что же читать не стоит. Один из минусов графомании — неспособность писать по заказу, мысль несется вперед, и остановить ты ее не можешь. И начать разговор хотелось бы парой слов… про шахматы.

chess-game-1

Шахматы – известная всем игра, пошаговая стратегия, где компьютеры уже давно победили людей.

Я очень люблю шахматы, в детстве ими с успехом занимался. Но путь для меня туда был закрыт, т.к. я был довольно старым и ленивым, чтобы зубрить теорию и решать кучу этюдов. Кстати, если кто любит вариант Дракона – палец вверх. Если вы немного интересовались шахматами, то знаете, что есть несколько общих рекомендаций для каждой стадии игры (дебюта, миттельшпиля и эндшпиля – начала, середины и конца игры соответственно). Да, они не позволят вам победить гроссмейстера, но вся теория шахмат так или иначе крутится вокруг них. Например:

  • Надо захватывать центр;
  • Развитие фигур в дебюте выгоднее сиюминутной выгоды;
  • Не ходи в дебюте два раза подряд одной фигурой;
  • Конь на краю доски – позор (с) Тарраш, и так далее.

К чему это я? В информационной безопасности, как и в любой сфере, тоже есть свои определенные рекомендации. При определенном старании их можно было бы вывести все, но это не цель данной заметки. Я хочу обратить внимание лишь на один аспект, тот самый, что роднит нас с шахматами: люди соревнуются друг с другом посредством компьютера. Данный аспект базируется на одном из ключевых принципов, о котором далее.

Именно поэтому в первой части я мало внимания уделил технической составляющей навыков. Бесспорно, они нужны. Но они являются лишь инструментом напыривания или, наоборот, защиты от атаки другого человека или группы лиц.

Ключевое во всей нашей деятельность – взаимоотношения с людьми. Именно люди создают, реализуют и эксплуатируют 99% уязвимостей в вашей модели угроз.

Отстраненный пример: я переходил на каждую новую винду через 1-2 года после того, как она релизилась, а лучше после выхода второго SP. Таким образом, мимо меня прошли Windows ME, Vista и 8, т.к. к тому моменту, как необходимость в них возникала, выходила уже новая винда. Делал я это по банальным причинам, т.к. предполагал, что новый продукт будет довольно сырым, выпущенным, исходя из требований бизнеса и маркетинга (например, из чувства соперничества или жадности). Это все делали впопыхах и будут допиливать по результатам платного тестирования (уже техническая сторона вопроса).

Именно рассматривая угрозы с человеческой точки зрения, можно прийти к выводу, что, например, угроза инсайдеров в нашей стране крайне маловероятна для 99,99% фирм. А те, что все-таки подвержены ей, работают, в основном, не в тех областях, где обычно боятся инсайдеров. А вот утечки для нас крайне критичны.

Итак, один из принципов: человек совершает любые действия для своей выгоды.

Чтобы понимать новое в ИБ, все эти модные угрозы и тренды, надо всего лишь понимать, что движет людьми в данной ситуации, как со стороны предлагающих решения, так и со стороны атакующих-защищающихся.

Я не хотел бы здесь давать каких-то конкретных рецептов, а тем более давать ссылки на какие-то крайне сомнительные излияния известных психиаторов (кому интересно – концепции Фрейда и Юнга не нашли подтверждения в своей основной сути, лишь несколько частных наблюдений используются в современной практике, но они мало применимы в бытовом плане). Скорее это книги общего плана (кроме того, что их просто интересно читать), которые дадут вам представление о том, кто мы есть, откуда взялись и куда идем.

И первая книга… «Основы оперативно-розыскной деятельности». Пам-пам-пам…. На самом деле я поставил ее первой, чтобы просто про нее не забыть. Сейчас таких книг очень много, можете взять любую. Сам я еще в институте читал извлечения из внутренней методички Академии МВД. Крайне прочищает мозги и выстраивает в голове методологию. Основным эмпирическим выводом для меня стало понимание сути доказательств, работа с фактами и разделение умышленных и неумышленных действий.

evolutionБазовой книгой для понимания нашей природы для меня стала очешуенная книга Александра Маркова «Эволюция человека» в двух частях (хотя читал я ее уже после Докинза, про которого можно говорить и говорить). Собственно, именно отсюда вы узнаете основные паттерны поведения нас как вида. Почему мы именно такие. Для многих бывает открытием, что предки наши вышли из Африки, и, по сути, мы все потомки негров. Мы приспособлены к жизни в саванне, воспринимаем мир на средних скоростях и 95% времени вообще не думали. По эволюционным меркам мы родились вчера, поэтому все проблемы дня сегодняшнего не разрешатся еще несколько сотен тысяч лет. Читайте, крайне интересно.

i_IQСледующая книга раскроет вам мир эмоций – Даниэль Гоулман «Эмоциональный интеллект». Я читал самое первое издание, сейчас у него вышло несколько редакций и продолжение. Если вы прочитаете Эволюцию, то эта книга дополнит картину с точки зрения эмоций. Вы станете с пониманием относиться к окружающим вас явлениям. Например, помните, как Алексей Лукацкий набросил на меня? Я был спокоен. Я понимал, что у Алексея сагрилась самая древняя часть мозга (та, что принимает камень за льва, где нестрашно ошибиться и обознаться, но которая дает шанс убежать от реального льва). Но так как инстинкты работают быстрее разума (те самые средние скорости), получилось то, что получилось. Лев оказался камнем.

organЧетвертая книга будет полезна тем, кто работает в заказчиках. Эдгар Г. Шейн «Организационная культура и лидерство». Книга немного занудна и пережевывает одно и то же несколько раз (впрочем, это особенность западной литературы), но она крайне полезна в понимании, что такое корпоративные интересы, какие группы есть внутри коллектива, как они взаимодействуют и т.п. Вот вчера представитель Аванпоста накинулся на меня со словами «да как он посмел! Это кто такой? На Женю! На Мишу! На Лешу!!!!1111». Прочтя эту книгу, вы будете видеть в этом не личные наезды, а защиту корпоративных интересов. Собственно люди как вид — глубоко социальные, и всегда находятся особи, которые блюдут интересы этого социума. Кстати, в Эволюции этот момент раскрывается с точки зрения этологии, как и почему низкоранговые животные ведут себя более агрессивно по отношению к чужакам, чем высокоранговые.

В завершение рекомендовал бы книгу для небольшого релакса – «Вы, конечно, шутите, мистер Фейнман!». Эта великолепная книга Ричарда Фейнмана (топ-3 моих любимых авторов) поможет вам лучше понять, что же такое научный метод. Позволит разделять вам эмоции и разум на плоть от плоти науки. И она просто охеренная.

feiman

На этом хотел бы на сегодня закончить. Хороших книг довольно много, но не хочу отнимать хлеб профессиональных рецензентов.

Огромной всем удачи, и пока.

Стандарты по ИБ – лучше ли книга?

Добавить комментарий

Если вы хоть как-нибудь соприкасаетесь  с современной культурой, то должны были слышать выражение «книга лучше». В общем смысле ее применяют к экранизации книг в виде фильмов, реже мультфильмов, аниме и манги.

Тяга к знаниям

Корень этого феномена очень прост – гениальность источника. Что интересно, лучшие экранизации происходят по довольно средним и проходным книгам, в которых читателю не хватает собственной фантазии для визуализации. И, разумеется, кино как жанр имеет кучу ограничений, основные из которых — время картины (как впихнуть 600 страниц в 2-3 часа?) и невозможность визуализации мыслей и текста рассказчика (конечно, можно заменить закадровым голосом… но будете ли вы это смотреть, если зачитаю 3 страницы вместо двух предложений?). Тему можно развивать и развивать, но пока этот блог об информационной безопасности. Поэтому перейдем к ней.

Что неудивительно, в нашей поибэ тоже есть место фразе «книга лучше». Смотрите, вся нормативка, по которой мы работаем – это «книги».  Когда книги объединяются в серию, у нас появляется стандарт или группа стандартов. Например, СТО БР или ISO.

В этом случае экранизацией будет конкретная реализация положений стандарта и совокупность подобных реализаций. Например, всех проектов по PCI DSS.

Осталось разобраться с понятием «лучше». Тут все просто как и с обычными книгами. Если стандарт большой и красивый, а реализовывают его криво и косо – «книга лучше». Но если стандарт неказист, а из него делают конфетку (во всех смыслах – от полноты реализации до количества выделяемых денег), то – «книга хуже».

Самые внимательные из вас заметили, что есть еще и вариант равнозначности (одинаково плохо, или хорошо, или не очень хорошо). Эти варианты редки, и мы ими пренебрежем.

Смотрите, что у меня получилось:

  • PCI DSS. Книга лучше.
  • ISO 27001. Книга лучше.
  • ISO Книга лучше.
  • ITIL. Книга лучше.
  • СТО БР ИББС. Книга лучше.
  • 382-П. Книга хуже.
  • Персональные данные. Книга хуже.
  • Защита коммерческой тайны. Книга хуже.

Можно заметить, что большинство лучших книг довольно скрупулёзно прописаны. Остается всего делов-то — внедрить кучу шаблонных бумажек, как в ISO 9001. Другое дело – родной ЗПД. Две статьи и море творчества.

Удачи вам.

Начало положено, начинаю мостить дорогу в ад

Добавить комментарий

С легкой подачи Евгения Полянского и Владимира Овчарука заделался тренером. Все произошло довольно спонтанно. Евгений позвал меня на семинар «ЗПД — распространенные ошибки», на что я ответил, что три дня назад прочитал такой же.

Слово за слово, и вот — уже в этот четверг у меня первый семинар по теме «Типовые ошибки ЗПД». В программе:

  • Типовые ошибки при организации защиты персональных данных.
  • На чем все валятся при проверке?
  • Баланс между мерами защиты и деньгами.
  • Проверка: как это происходит в реальности.
  • Стратегии прохождения проверок (hint: включая нашего «нового» регулятора).

И просто общение на всякие интересные темы. Чувствую, гореть мне в аду вместе с другими бизнес-тренерами :)

Эксперт на примере Алексея Волкова

 

Анатомия кидка, или о пользе научного метода

1 комментарий

Хорошо на майских праздниках: работать не надо, пробок в Москве нет, погода отличная. Правда, и нет никого – все разъехались. Поэтому нет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот — четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого с помощью научного метода выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Сначала делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей сфере все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Ближе к жизни.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но вот поступки людей на определенном отрезке времени очень хорошо классифицируются. Я назвал это теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Чтобы решать абстрактную задачу – риск-менеджмента в информационной безопасности, — нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц вероятность реализации угрозы должна быть пересмотрена, или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути каждый из этих пунктов лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало что изменилось. Не знаю, как вам, а мне из этого описания понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, чтобы защититься от всего на свете. Вы со спецификацией приходите к начальству и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение — тоже личная выгода. Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

У меня собралась обильная коллекция кидков в сфере риэлторства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня хотел бы рассказать лишь об одном инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим, подтвердится ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), их устраивало расположение квартиры, в 15-20 минутах от работы. Мужчины  — славяне: один из Ростова, другой из Иркутска. С самого начала они попросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – никак не могли встретиться с хозяином помещения. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморрой по сдаче квартиры.

Следствие 1. Кинуть может любой. Нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Вернемся к примеру с квартирой. Оба мужчины могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому — над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонимусу нет смысла заботиться о репутации. Даже если об этом случае рассказать в интернете с фотками и адресами или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто: тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучался. Подумаешь, какие-то секреты ЦРУ, мало у них секретов что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больных детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово нарушит его снова.

На сегодня все. До новых встреч.

Собирательный портрет или игра в угадайку

2 комментария

Следующим материалом должно было стать продолжение отчета о CISO Forum, но те воспоминания еще болезненны, и я не могу спокойно смотреть в глаза открывшемуся ужасу. Поэтому сегодня более спокойная тема – о людях.

geshtalt

Когда-то я работал в Утконосе и моей задачей было ловить внутренних нарушителей. Т.к. я был молодым специалистом, то ловил я их в корпоративной сети и интернете. Если бы я справился, я бы подкачался и приобрел свирепый оскал, меня перевели бы на более ответственный фронт – склад.

Промеж слежения за сотрудниками, закрытием несанкционированных шар и т.п., я подсмотрел у старших товарищей такую штуку – ППН. Или, по-простому, психологический портрет нарушителя. Это небольшая памятка, описывающая типичного нарушителя: от внешнего вида, возраста, пола и одежды до поведения и особенностей биографии.

Цель ППН понятна – базовый фильтр при мониторинге. Конечно, это не универсальный фильтр, в нем можно сразу обнаружить кучу ошибок первого и второго рода. Но сама идея меня завлекла. Тогда я постеснялся спросить, как они его сделали. Поэтому стал изобретать велосипед.

Вообще собирательные профили делают все, кому не лень. Продавцы жвачки и люксовых автомобилей, и даже продавцы средств защиты информации. Интересны не сами профили, а выводы на их основании, а также предпосылки к ним. Вот о такой профессиональной деформации я и хотел бы вам поведать.

Не секрет, что ибешники в первую очередь работают с людьми, и лишь в пятую с компьютерами и угрозами, с ними связанными. Наравне с дипломатическими навыками должны развиваться навыки эмпатии и оценки — как раз те самые фильтры и категории, которые и помогают дипломатии.

По сути – это навешивание ярлыков (только не так, как это делает какая-нибудь оторванная от реалий соционика). Скорее это ближе к гештальтам (как законченной форме, а не гештальтпсихология, которая тоже под знаком ереси ходит). Если вы читали шпионские романы или даже интересовались историей спецслужб, то замечали, что все агенты имели прозвища (для конспирации). А эти прозвища, в свою очередь, часто были «говорящими» (теми самыми клише или гештальтами), слепком с личности человека. Да что далеко ходить — посмотрите на прозвища своих друзей.

Много общаясь с людьми, у человека происходит изменение восприятия. Он начинает замечать вещи, укладывающие определенные гирьки на чашу весов под тем или иным ярлыком. Если вы следователь – это только плюс, если вы обычный человек  — то сомнения. Побочным эффектом этого является игра в угадайку, когда начинаешь оценивать рядом сидящих людей и предполагать, кем бы они могли быть. Еще лучше, если у вас есть партнер.

Например, вчера я гулял с ребенком, и второй раз в жизни увидел папу и мальчика лет 7-8, они на детской площадке гоняли мячик друг с другом. Я предположил, что это «воскресный папа», потому что:

  1. Я их вижу второй раз. Оба раза в воскресные вечера.
  2. Они играют вдвоем и ребенок рад, значит, либо папа много работает, либо видятся они только на выходных.
  3. Папа плохо знает район, т.к. для их целей больше подошла бы коробка в 30 метрах, где вообще никого никогда не бывает, чем пяточек 3 на 4 метра.
  4. Папа делает это не часто (см. пункт 2). Если бы он делал это часто, сын бы бегал с друзьями, а папа сидел на лавочке и уперся бы в телефон.
  5. Папа был одет довольно легко, как раз для вождения машины. Вряд ли бы он стал так одеваться, выходя в достаточно прохладную погоду, даже если бы куда-нибудь потом ехал. Проще было дома переодеться.
  6. Сын был одет для долгой прогулки, а не для пинания мячика. Если он любит футбол, то оделся бы более спортивно. И так далее.

Но каждому из этих пунктов можно было бы найти другое рациональное объяснение, доказывающее, что я ошибаюсь.

К чему это я? Что угадайка (считай навешивание ярлыков) может быть забавным способом времяпрепровождения, когда это касается посторонних людей, которых вы никогда больше не увидите. Но угадайка может быть фатальна, если с этим человеком вы будете вести совместные дела. Вам будет очень сложно выйти за рамки этого гештальта – пьяница, бабник, ленивый, вор и т.п. Вспомните жизнь ваших одноклассников, которых определили в группу ленивых или тупых. Уверен, что многие подсознательно корректировали свое поведение и отношение к ним.

В личных (рабочих, дружеских и т.п.) отношениях есть только один принцип – относись так, как относятся к тебе. Ярлыки и классификации тут не помогут.

Всего вам доброго.

TOP причин, почему не работают организационные меры. Четвертое место

2 комментария

Изначально в этом топе было 3 позиции, но, помедитировав над ним, решил добавить еще один пункт.

4 место – Отсутствие метрик

Это несколько абстрактная причина, которую по-бытовому можно было бы назвать «никто не знает, как выглядит «хорошо» (или плохо, если вы пессимист). Вернемся к нашему примеру с Альфа-банком. Фактически, услугу я получил (мера отработала), но качество этой меры никто не оценивает (ну, кроме меня, который ходил и возмущался). Я прождал двадцать минут после того, как высветился мой номер электронной очереди, потому что организовали еще и живую очередь.

И речь не только об этих 20 минутах. Если вы занимаетесь ИБ, скажите, какие у вас главные KPI по оргмерам? Думаю, я не сильно ошибусь, если в топ 3 из них входит: подписание соглашений о конфиденциальности с сотрудниками, и повышение осведомленности раз в год. У нас все хорошо, вот же метрики. Выполнение – 100%. Чего еще надо?

otricanie

Проблемы начинаются как раз после, в процессах. Эти несчастные 20 минут – это плохо или хорошо? Утечки были? Нет. Это ведь хорошо.

Чутка поразмыслив над этим, станет понятно, что у нас не охвачен целый пласт жизни. Наши метрики (количество сотрудников, прошедших тестирование) просто не способны оценивать качество последующей работы с этими условиями. И мы каждый раз удивляемся, а как же это у нас утечка произошла? Да все просто. В информационной безопасности мы работаем с отрицаниями (это те, что в логике обозначаются палочкой сверху \overline{x}). Не-утечка, не-взлом, не-вирус.

Если смотреть на результат, не понятно, что привело к не-взлому. То ли наша хитрая система защиты, то ли нам просто повезло. Конечно, методы и метрики оценки таких показателей есть, но вы никогда их не объясните вашему начальству. Вот и получается, что в безопасности вся система палочная. Чем больше поймали, тем эффективней работаем (кстати, при такой системе надо стараться, чтобы оргмеры были крайне неэффективными, а то палки закончатся).

Когда-то я был поставлен следить за расшаренными ресурсами. За 2 недели я закрыл все несанкционированные шары. Мне было о чем отчитаться, и мне дали медаль. А потом инциденты стали крайне эпизодическими, я впал в печаль. Конечно, выход был найден, но если бы я был не так молод и горяч, то растянул положительную отчетность месяца на 2. Как вы понимаете, к реальной безопасности это отношения не имеет.

Так и в Альфе — скорее меряют количество обслуживаемых клиентов (палки), а не их удовлетворенность.

Конечно, можно выбрать другие метрики, например, количество успешно предотвращенных взломов. Утверждение-то уже положительное! Но это те же яйца, только в профиль. По сути это производная от исходного не-взлома.

В сухом остатке: существующие методы оценки организационных мер входят в конфликт с KPI безопасников и работников. Конфликт разрешается в пользу KPI. Надо вводить качественные оценки.

Третье место