Архив метки: Алексей Волков

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, чтобы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13 — лучшее время для отчета. Но должна быть и капля позитива, ведь я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные, законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они в свою очередь были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: хватит говорить о технологиях. Технологии — это лишь один, при том самый низший уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот и весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал про западные SOCи и отечественные, о той локализации, что присуща только нам. Можно сказать, что у нас образуются два отдельных направления в SOC: это подход Solar с его аутсорсингом и вытекающими от сюда проблемами, и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, ценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Чтобы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но программка – мое почтение. На моей памяти они единственные, кто догадался сделать ее формата А5. На полиграфию денег не пожалели.

Ну, и развлечения были неплохи. Особенно алко-казино:)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA) пересказывал какой-то западный отчет по угрозам. Потом вещал о том, какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в шоке. Никогда не думал, что на таком уровне можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал о своем опыте сертификации CISA, CISM и CISSP. Рассказ об этом занял минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы так же сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не- CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций?

Фарит высказал свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно третий круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию, и за деньги обучают своей методике. Так мало того, вы каждый год должны покупать книжки, чтобы остаться в кругу Элиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке.

Александр Баранов: нормативка не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие.

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики.

А затем была целая секция «Жизнь после ИБ», от которой я просто выпал в осадок. Там вещали девушка и молодой человек. Оба занимались ИБ, но потом ушли из профессии.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили их причины прихода в ИБ (я уже не помню, кто и что конкретно сказал, главное — общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: в ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш четвертый круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию «ИБ «под каблуком. Женщина в профессии CISO». Вообще надо сказать, что все выступающие независимые эксперты (а независимы они видимо потому, что их компании не были спонсорами форума), как-то странно выбрали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц, и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась стать сертифицированным аудитором и начитывала для этого часы. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга был понят мной во всех нюансах и подробностях.

Скажем нет сексизму в ИБ! Можно сказать, это был второй круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был пятый круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина при плохой игре. Первый день CISO- forum был… душным. И дело не в работе кондиционера, с ним все было нормально. Дело в давлении. Это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот корпорации – они всем рулят, а вот модная сертификация — ее надо получить, иначе к баланде не допустят. И ты бежишь как белка в колесе за целями, поставленными другими. Хотя добро — вот оно. Ты только что свернул от него в другую сторону…

Были там и другие круги… но я не хочу об этом писать.

Всего вам доброго.

Эксперты на примере Алексея Волкова (альфа-версия Камина)

Эксперт на примере Алексея Волкова

Думал, завязал с блогосферой, но нет. Такая судьба безопасника – тебе валятся рассылки. Вендоры приходят к тебе и подписывают тебя на рассылки, интеграторы приходят – подписывают, приходишь на конференцию — подписывают, читаешь журналы – совсем подписывают. При чем, этот поток бесконечный. 99% — удаляется по названию темы письма.

На этой неделе прилетело аж два письма от BISА. Первое называется «Откровения про ИБ стартапы», второе – «Право на ошибку – одна из основ рыночной экономики». Оба названия прекрасны, пишут их правильные люди, что бы они привлекали внимание.

Читаю первое письмо:

!БДИ: ИТ-директора или СIО, входящие в советы директоров и влияющие на бизнес, имеют компетенции, опыт, связи, репутацию, команды – все то, что необходимо для организации стартапов. Однако они не создают стартапы – я, пожалуй, не знаю не одного яркого примера. Почему?

Вот, уж странный вопрос от журналиста. Ренату Батырову можно было бы ответить на уровне детского сада – «потому», и успокоиться. Но давайте разберемся. Во-1, а зачем это им? Нормальный CIO зарабатывает нормально, зачем ему своей стартап?

Во-2, во вторых, не обязательно иметь стартап (как что-то новое и инновационное), достаточно иметь побочное юрлицо. У нас что-то коло 80 миллионов юридических лиц, при 146 миллионах населения, или 1,5 человека на юрилицо. Сколько среди них CIO? =)

В-3, многим техническим специалистам, надоедает работать «на дядю» и они идут организовывать свой бизнес. И проваливаются, почему? Вроде компетенция и опыт есть, а не пошло (знавал я одну молодую компанию, где на 5 человек было 10 сертификатов С CIE). Потому что в новом бизнесе, и стартапе особенно – в первую очередь надо уметь продать себя, а уже потом сделать. А надо ли это успешному топ-менеджеру?

Ренат, ответил более мягко.

Но похвально желание журналиста, найти какую-то новую фишку. Но не получилось, не понимание сути — рушит весь материал.

«Инновации требуют экспериментов, поэтому инновационная среда должна быть терпима к ошибкам. В армии порой награждают именно за ошибки. Если боец, например, наступил на мину и потерял ногу, то его отправляют домой с медалью. Разве его учили наступать на мины? Даже в армии понимают, что без ошибок и потерь не бывает побед. Так же невозможно создать компанию, в которой все сюрпризы будут приятными.»

Олег Седов

Каким образом это соотноситься с тем, что «Право на ошибку – одна из основ рыночной экономики», тайна великая есть. Рыночная экономика не дает права на ошибку, если ты ошибаешься – ты разоряешься и идешь работать «на дядю». В экономике есть огромное кладбище, где на 1 ларек у метро, приходиться десятки таких же разорившихся бизнесменов. Что уж говорить про крупный бизнес.

Про посыл «в армии награждаю за ошибки», это финиш. Олег, я все понимаю. Но если бойцу оторвало ногу, ему не обязательно дадут медаль. А, вот, что точно сделают, так внесут новый раздел в Устав (который, как известно, написан кровью) или инструкцию по безопасности. А у вас получается, что награждают за глупость.

Есть такое «правило Марса»: эксперт – это человек не из нашего города. Один из выводов из этого правила, что следует смотреть на то, кто говорит. Например, условного бухгалтера можно послушать по теме организации финансовых потоков (хотя лучше слушать финансового директора), но не стоит совсем уж слушать по теме войны в Сирии. Т.к. экспертиза может быть показана: текущей деятельностью плюс свершения. Классическая картина – все разбираются в футболе и геополитике, а «сортиры не чищены» (с) Преображенский

 

В прошлый раз, я рассказывал, как Алексей Лукацкий говорил про Евгения Царева. Алексей говорил, что не надо слушать человека, ничего не сделавшего самостоятельно в области, в которой называет себя экспертом. Но есть и куча обратных примеров. Есть, например, Алексей Волков.

Алексей — практик информационной безопасности. Он начальник отдела эксплуатации средств защиты и удостоверяющего центра. Значит, он компетентен в этих вопросах, хоть не много. И я скорее послушаю Алексея и его претензии к какому-нибудь условному фаерволу, чем рассуждения маркетологов или купленных экспертов. Аналогично, про организацию ЭЦП.

Поэтому всегда надо смотреть, кто говорит. Правило срабатывает в 99 случаях из 100.

Всего вам доброго.

Как Лукацкий накинул на Царева, или обзор российской блогосферы по информационной безопасности

Вокруг любой области, насколько бы она не была узка, формируется культурный ареал. Люди любят общаться себе подобными, обсуждать общие проблемы и делиться успехами. В начале все начинается с пиваса на поинтовке, потом перерастает в специальные конференции. Естественно формируются вокруг этого различные специализированные СМИ и блогеры.

Лукацкий накинул на Царева

Кто такой блоггер? Человек ведущий блог. Блог может быть личным, или специализированным. Специализированные в основном ведут специально нанятые люди по заказу больших компаний. Данные блоги интересные специалистам в этой и смежной плоскостях. Зачастую такие блоги унылы более, чем полностью. Нанятый аноним, часто не является профессионалом в заданной области, и постит репосты и унылые корпоративные брифинги.

Личные блоги интересно читать, если харизма автора не подводит и сам он не слишком увлекается этим самым личным. Где-то между ними и помещается «идеальный блог».

Зачем заводят личный блог? По многим причинам. Например, вы графоман и вам есть о чем сказать. Вас наняли вести этот самый блог за деньги. И самая распространенная причина, для личного пиара.

Пиар вещь обоюдоострая. С одной стороны она позволяет протолкнуть личный бренд, или товар заказчика. Вас станут чаще приглашать на конференции, и вы станете известны узкому кругу лиц. Вы даже сможете уйти на повышение в крупную западную фирму. Но это требует уйму времени. Которое можно было бы потратить с большей пользой. Если вы занимаетесь более-менее чем-то реальным, у вас не найдется времени ездить на конференции каждую неделю и строчить по 5 постов в день (плюс Твиттер). Как только цель пиара бывает достигнута, блог умирает.

И в какое место рейтинга тогда включать этого «писаку»?

Я сам редко читаю блоги по ИБ. И совсем уж не слежу за медийной движухой, кто с кем дружит/не дружит, куда ушел, куда перешел. Заставил меня оглядеться вокруг пост Алексея Лукацкого, где он создал свой рейтинг блогов в ответ на другой рейтинг другого блоггера, который создал … (рекурсия, такая рекурсия).

Заметка делиться на две части. В одной Лукацкий накидывает на Женю Царева, у которого больше фоловеров в Твиттере (почти, 6000), который уже 200 дней ничего не пишет, а до этого писал одни репосты и « Ни одной адекватной и интересной мысли» (с). Почему же спрашивает Алексей – количество фоловеров не уменьшается? Ответ наверняка, я лишь предполагаю, кроется в том, этих фоловеров купили на какой-то площадке по раскрутке блогов. Деньги уплачены по прайсу, поэтому пиши не пиши, а подписчики будут висеть.

Во второй, Алексей говорит, что необходимо оценивать контент, а не количество просмотров или записей. Давайте, так и поступим. Пройдемся по топу отечественных блогеров по информационной безопасности.

Обращаю внимание, это не рейтинг, а обзор, который является личным мнением автора. Информация взята из открытых источников.

Алексей Лукацкий «Бизнес без опасности»

Алексей, человек заслуженный, давно присутствует в ареале информационной безопасности (ходит на все конференции, везде выступает и т.п.). Блог ведет с 2007 года, и как утверждает его автобиография написал пару книжек и более 400 статей по ИБ. Работает в компании CISCO, где помимо личного блога, пишет для корпоративного – 20% статей с пиаром работодателя, еще 10% про слияния и поглощения.

Остальные 70% поделены между новостями об изменении в законодательстве, и рассуждениях автора о том, как же все будет после этого плохо. Я лично отслеживаю новинки в нормативке в этом блоге. Для этого и держу его в закладках, увы, времени отслеживать изменения самостоятельно – нет. Надо отдать должное работоспособности Алексея, отслеживать столько всего и, до кучи, участвовать в многочисленных рабочих группах – это круто.

А вот с аналитикой по изменениям, бывают серьезные накладки. Надо понимать, что Алексей работает в крупном западном вендоре, и не может отклоняться от линии партии – есть плохие темы «импортозамещение, сертификация, персональные данные», есть хорошие – по перечню продаваемой продукции, особенно продукция для банков и BYOD.

Помниться был серьезный косяк за Алексеем, когда, еще в бытность четверокнижия и приказа трех, он утверждал, что не бывает типовых систем, а только специализированные (отчасти правда), и что классифицироваться эти системы должны как просто «специальные». Я в то время, плотно общался с регуляторами по методическим рекомендациям Минздрава и Депортамента образования и знал их позицию, и она в корне расходилась с позицией Алексеея. Потом я встречал много заказчиков, которые повелись на поводу у авторитета и попали впросак. Но каждый должен думать своей головой.

Читать стоит, но осторожно.

Волков Алексей «Безопасность для понимающих и не очень»

Пример умирающего блога человека, у которого стало мало времени. Алексей заведует эксплуатацией средств защиты и удостоверяющим центров в Северстали. Раньше писал много, и был активным участником блогосферы и Твиттера. Отметился многими достижениями (например, перевел еще первый nmap), и является больше практиком, чем теоретиком.

Сейчас читать нечего.

Прозоров Андрей  «Жизнь 80 на 20»

«Жизнь 80 на 20» — это пример классического пиара корпоративного блога. Какое-то время Андрей работал в компании InfoWatch (и пиарил соответствующее DLP), а в этом году ушел в Solar Security (и пиарит теперь другое DLP – что на мой взгляд полный провал, как теперь в глаза людям смотреть? «Я раньше предлагал вам какашечное решение, а теперь конфеточное?»).

В блоге 30% репостов, 30% о книгах, которые Андрей прочел, и остальное пиар продуктов текущего работодателя. Встречаются ссылки на хитрые западные стандарты, методики и аналитику, под соусом «изучу подробнее».

Андрей адепт тайм-менеджмента и личной эффективности, в узком ее понимании – а-ля «как заработать много денег не работая». На конференциях часто выступает модератором, а не спикером.

Читать можно, если вам необходимы обзоры новых книг.

Вот, такой он топ блогосферы. Два корпоративных пиар блога, и человек , у которого все меньше времени что бы свой блог вести. Как я говорил в начале, это довольно частое явление. Тот же Евгений Царев забил на блог, когда устроился в представительство западного вендора, Аркадий Прокудин – аналогично. Очень мало энтузиастов у нас.