Архив метки: Алексей Лукацкий

ВУЗы и блогеры

Продолжение истории с шорт-листом ВУЗов поибэ. После того, как я ловко отбился от задачи с ВУЗами претендентов (ну, я так думал), наступила следующая фаза апокалипсиса. Меня включили в группу по оценке претендентов, а, следовательно, я теперь хожу на все собеседования и строю там из себя самого умного. А т.к. сказать мне шибко нечего, я сижу и наблюдаю. И подметил занятную тенденцию.

Но, в начале хотелось бы сказать, что абсолютно не важно, какой ВУЗ закончил человек. Я видел отличных программистов с журналистским образованием, хороших безопасников с геологическим. Если у человека есть голова на плечах, этого достаточно. А ВУЗ всего лишь рама для картины, она может быть красивой, но не затмит само полотно.

Тенденции

Провел я их уже штук 20. Т.к. вакансия начального уровня, шибко по скилам спрашивать нечего. Как учился, что интересно, чем хотел бы заниматься, что такое КЦД. И есть у нас один вопрос, из каких источников человек черпает информацию, что периодически просматривает, чтобы быть вкурсе.

Именно черпает, ибо книги по информационной безопасности уже давно все прочитаны, и там нового ничего нет. А, вот, источники новостей интересны. Статистика среди выпускников следующая (всего 20 человек):

  • Ничего не читаю/читаю законы – 15 человек
  • Блоги людей – 3 человека
  • Блоги компаний – 1 человек
  • SecLab – 1 человек

Всего 21, но один респондент читает и блоги людей и компаний.

Что сказать, ситуация крайне печальная. Студенты и выпускники совсем не охвачены коллективным бессознательным поибэ. Их, все еще мучают дилеммы и вопросы, которые мучали отрасль 10 и 15 лет назад. Может кто-нибудь подберет себе не охваченную аудиторию?

В блоги компаний попали Касперский и Инфовотч.

Те, кто смогли вспомнить хоть какие-то блоги в 100% случаев называли блог Алексея Лукацкого. И это особенно важно. Как бы Алексей не отнекивался, что пишет для домохозяек, он должен принять на себя ответственность перед своей аудиторией. Если уж он взрастил поколение безопасников от Лукацкого, то должен быть более нейтрален и объективен. А не как получилось с ЗПД, АСУТП и сейчас развивается в КИИ.

Кстати, выбор блога для специалиста поибэ – очень важен. Как только Алексей Лукацкий сузил тематику информационной безопасности, место оказалось вакантным (Андрей Прозоров не смог подхватить падающее знамя, там теперь другие проблемы). Лично я теперь читаю Валерия Комарова, по нормативке и реальному применению – самое-то.

 

И, вот, сижу я и думаю. Только все так плохо, или все очень хорошо… не определился, пока.

Хайпожор: BYOD

BYOD, или по-русски использование личных устройств для работы, с самого начала была чисто хайповой темой для срубания денег. BYOD рука об руку идет с мифом об эффективной надомной работе. Раз уж мы выгоняем сотрудников домой, то и давайте работать они будут на своих устройствах. Экономия во все поля, показатели взлетают до небес.

Ну, давайте думать, давайте разбираться.

По самой сути BYOD я писал еще в 2014 году. Тогда еще находились журналы, которые готовы были печатать независимое мнение по насущным проблемам отрасли. Что более удивительно, мою статью о BYOD пропустили, хотя она была, мягко скажем, не в тренде.

Как я тогда и говорил, BYOD идея не прошедшая испытание временем. Мало кто захотел вбухивать миллионы рублей, за экономию на копеечных ноутбуках. BYOD не взлетел.

Это же и подтверждает количество постов у топовых блогеров. Например, Алексей Лукацкий сделал 22 поста о BYOD: 3 в 2017 г., 5 в 2015 г. 6 в 2014 г. 14 постов за 4 года.

Не буду повторять аргументы из статьи, все они подтвердились. Посмотрим, как вендоры пытаются отбить свои вложения хоть на чем-то. В массовое сознание запускает мысль,что работа вне офиса эффективна и выгодна.

Посмотрим на эффективность. Флагманом тут выступал IBM, который выгнал сотрудников домой:

В 2009 году IBM в отчете с гордостью отмечала, что 40% из 386 тысяч сотрудников IBM в 173 странах вообще не имеют офиса. Компания продала многие офисные помещения, заработав почти $2 млрд. Кроме того, IBM предлагала свои консалтинговые услуги другим корпорациям, чтобы организовать такую же эффективную безофисную систему. Личный пример служил хорошей рекламой.

Мать моя женщина, 2 млрд сэкономили. Или почти 12000$ на человека (будем надеяться это в год), или 1000$ в месяц. Много это или мало? Сложно сказать. При доходе в 95 млрд в 2009 году, это составляет 2%. Неплохо.

Следовательно, вы получите выгоду тем меньше, во сколько раз вы меньше IBM.

Но в 2017 году IBM вернула своих сотрудников в офис. Что? Почему? Предположения совсем разные:

Издание предполагает, что изменения в IBM могут быть вызваны постоянным падением выручки в последние пять лет, а также не оправдавшимися ожиданиями по сокращению расходов за счёт экономии на офисах. Кроме того, многие крупные компании считают работу в офисах стимулом к повышению эффективности и IBM может быть частью этого тренда, полагают журналисты.

Там по ссылке много интересного. Оказывается, производительность бывает разная для сотрудников занятых в разных сферах. Если вы работаете интеллектуально, то надомная работа снизит вашу эффективность. Ну, а если вы оператор колл-центра или страховой агент, то, наоборот, повысит. Видимо, IBM, как компания, делающая ставку на технологии и прогресс, это поняла и решила признать свою ошибку. С эффективностью разобрались.

Теперь по поводу экономии. За счет сокращения аренды мы выигрываем – 2% от выручки. Еще сотые доли процента на экономии на электричестве и связи. Может еще столько же за счет экономии на рабочих станциях. Итого пускай будет 3% в дебете.

Теперь считаем кредит (расходы):

  • Доработка инфраструктуры;
  • Доработка бизнес-приложений;
  • Увеличение затрат на безопасность.

Цифры можно считать по-разному, но даже если они будут в 3 раза меньше, весь ваш выигрыш съедят за 3 года. Так еще и сотрудники будут чаще всего работать неэффективно…

В общем куда не кинь, всюду клин. BYOD забываем, как страшный сон. Если это не доступ к почте, конечно.

10 поленьев из 10.

Хайпожор: Обоснование затрат на информационную безопасность

Давно, давно я не писал про тренды в нашей поибэ. Если вы хотя бы пару лет крутитесь в нашей сфере, то могли заметить, что каждый квартала или парочку, появляется очередной модный тренд, о котором начинают говорить на каждом углу. Agile, UEBA, GRC, SOC, BYOD, искусственный интеллект и т.п.

Хедлайнерами каждой темы, разумеется, выступают топ-блогеры по информационной безопасности. По каждой теме есть множества материалы, и я решил провести некоторую ретроспективу трендов и что из них получилось. получилось ли из этого что-нибудь, или забылось, как позавчерашний хайп?

Начнем мы с экономической оценки.

 

Как обосновать затраты на информационную безопасность

Надо сказать, что я был приятно удивлен, что Алексей Лукацкий обратил внимание на данную тему. Я даже слушал трансляцию в прямом эфире, делая для себя пометки. Но вынужден был прерваться и решил дослушать когда-нибудь потом. Пометки я разумеется потерял, поэтому пришлось слушать заново. Поехали.


0:00 – Выступление «Как оценить вложение в ИБ?» Очень благодатная тема, надо слушать.

1:35 – Неосязаемость информационной безопасности дело такое, двоякое. По такой логике услуги врача тоже не осязаемы, если у вас ничего не болит. А когда заболит, тогда это будет «дорого, долго и…».

1:42 – Это у кого такое мнение? У руководства? У пользователей?

1:59 – Блокирование фбешечки и вообще контроль над пользователями, входит в топ-3 способов, как раз эти деньги бизнесу обосновать. Особенно бизнесу далекому от ИТ и ИБ. Cisco разумеется, таким способом не продать, поэтому это способ плохой-плохой.

2:22 – Хорошая работа ИБ, часто не видна – согласимся. Но тут необходимо разделять, что хорошая работа и отсутствие работы не видны одинаково. До первого грома, конечно. Кстати, интересный демагогический прием: если не видна работа хорошей ИБ, то как она таковой стала? Значит она уже обосновала свою значимость, выстроила СУИБ, и у нее все хорошо. И бизнес, кстати, понимает, зачем ему хорошая ИБ, иначе бы он ее такой не создавал. Зачем ей что-то кому-то обосновывать?

2:35 – Не «только», а «в том числе». Или просто, пока везет. Ведь, в примере Алексея, мы не можем оценить влияние хорошей ИБ.

2:52 – Стоп-стоп-стоп. Выделение средств, и были ли они «потрачены не зря» родственные, но разные задачи. Давайте не будем мешать все в одну кучу.

3:50 – Алексей, о какой целевой аудитории вы говорите все время? О подписчиках вашего блога? Или сотрудниках организации, где работает безопасник? Для задачи, которую вы поставили «оценка вложений в ИБ», а потом расширили «обоснование необходимости вложений», целевая аудитория одна – владелец бизнеса, или может быть чуть шире топ-менеджмент. И вы на голубом глазу заявляете, что может быть какой-то инцидент ИБ, который надо «рекламировать» владельцу бизнеса? Вы серьезно? Если инцидент серьезный, владелец бизнеса сам с вас спросит, как это произошло и как этого не допустить в будущем. Иногда, через 10 минут после того как узнает.

4:08 – Пока, не очень понятно, что Алексей подразумевает под «разговаривать с бизнесом о деньгах». Бизнес отлично считает, лучше нас, и риски для себя он видит лучше. Хорошо, если потенциальный ущерб оценен не только качественно (у нас украдут всю базу клиентов), но и количественно (на этом мы потеряем десять тысяч рублей). Но наша оценка может сильно расходиться с оценкой бизнеса (см. про DLP в ритейле). Но разумеется необходимо помочь, когда бизнес эту оценку произвести не может.

4:23 – Так «важная», «нужная» или «так принято». Прямо какое-то «да, нет, наверное».

4:26 – Прямо откровение за откровением. Заниматься безопасностью, чтобы было безопасно – это пять.

4:35 – Нам может не понравиться ответ на вопрос «а что мы делаем внутри организации», только в том случае, если мы занимаемся не своим делом или имеем интересы отличные от нашей сферы деятельности (в данном случае безопасности). Интересно, Алексей провел какой-то опрос среди безопасников, или проецирует с себя?

7:40 – «Если улучшение можно увидеть, его можно посчитать» (с). Я просто оставлю это здесь.

7:49 – Теперь у нас можно посчитать, качественную оценку… Наверно, раз критичная, два критичная.

8:15 – Апостол ИБ, постоянно перепрыгивает от какой-то целевой аудитории (они), к каким-то неопределенным нам (кто это? Безопасники?).

8:25 – Алексей, из всех определений ИБ, вы выбрали: «безопасность – обеспечение КЦД»? Вы серьезно? Это 2014 год, вы еще не ушли из множества рабочих групп, и сами над этими определениями работали. Может быть это был пример неудачной коммуникации, и вы покажите, как надо было? Ответ: нет.

9:01 – Финансовый Директор, которого волнует перевод капитальных затрата в операционные. Алексей, с таким уровнем понимания темы, лучше в оценку не лезть. Капитальные затраты, это когда мы что-то делаем новое (часто это очень дорого), но единовременно – строим дом, внедряем DLP и т.п. А операционные затраты – это периодические затраты, которые необходимы для нормальной работы. Капитальные затраты не могут перейти в операционные ни каким боком, если мы не строем/покупаем, а берем в лизинг/аренду – это сразу операционные расходы. Никакого перехода.

9:25 – «Улучшение финансовых показателей с помощью лизинга», золотой фонд цитат Алексея. Не буду много писать, интересно про финансовые показатели? Пишите в комментариях.

11:16 – Может быть Алексей и занимается безопасностью «потому что занимается безопасностью», но это плевок во всю отрасль. Так может говорить только человек, который пришел в отрасль, по иным причинам. Может быть тут лучше платят (буквально через 2 года, мы будем обсуждать размытие компетенций, в следствие популяризации темы ИБ), или хорошее место подвернулось и не хочется с него уходить.

11:27 – «Безопасность не нужна и не важна» (с) ЗФЦ Алексея. Думаю, уже после этого можно уже дальше не слушать, но продолжим.

11:40 – У Алексея, какое-то превратное представление о работе генерального директора. В его представлении, директор каждый день сидит и решает, на это дам деньги, на это нет. При том, что Алексей смешивает те самые капитальные (ИБ в контексте повествования) и операционные (картриджи, кофе, туалетная бумага) вложения. Алексей, если у компании нет денег на операционную деятельность, я вам гарантирую, информационная безопасность ее будет волновать в последнюю очередь.

12:08 – Ох, результаты в процессной деятельности… а безопасность — это бесконечный процесс, как например, забота о здоровье.

12:14 – Алексей, у меня для вас лайфхак, как снизить количество инцидентов: не сообщайте о них. А если, вас будут припирать фактами, все отрицайте. KPI взлетит до небес, и затраты нулевые.

15:13 – «Безопасность сама по себе, волнует только безопасников» (с) ЗФЦ. А, вот, интересно для кого Алексей это все рассказывает? Для безопасников? С такой позиций низвержения нас? Не похоже. Для бизнеса? Опять же нет. Такое ощущение, что Алексей пришел покрасоваться на очередную модную тему.

18:05 – Алексей, вы правда считаете, что показать эффект от 1 элемента сложнее (не важно положительный или отрицательный), чем от суммы многих? Само по себе это требует обоснования, т.к. все последующие примеры будут основаны на этих 2+2=4. Это только в математике. В физике уже приходится брать поправку на дефект массы, а в социологии не то, что 2+2, а даже 1+1 – это то ли будущая семья, то ли сговор с целью ограбления банка.

А вы основываете все свое выступление на том, что надо найти как можно больше элементов, спрятать там безопасность, чтобы было легче потом отбрехаться куда пропали деньги. Этот подход имеет место быть, но не в безопасности, и тем более оценке вложений в нее. Хотя для продажи Cisco под любым соусом, самое оно.

18:22 – Кто эти мифические мы, которые хотят поднять выручку от продаж? Отдел продаж? Или Алексей, предлагает безопасникам думать над проблемами, для которые есть специальные люди?

18:48 – Рост выручки: за счет увеличения числа клиентов, за счет увеличения числа сделок, за счет ускорения сделок, за счет снижения себестоимости оказания услуги.

Увеличение клиентов – понятный путь, но надо сразу говорить о цене привлечения новых клиентов. Она может быть такой высокой, что многие предпочитают работать с уже имеющимися.

Что такое увеличение числа сделок? Видимо, имеется ввиду в уже существующих клиентах (иначе, это вырожденный случай увеличения числа клиентов). Возможно, если у нас широкий ассортимент. Продали антивирус, а купите у нас еще и SIEM.

Что такое ускорение сделки? Чтобы она быстрее закрылась и мы получили деньги?

Снижение себестоимости. Такое… если, мы что-то производим, то от такого сокращения затрат, можем потерять в качестве, что в свою очередь может отпугнуть клиентов, что приведет к снижению выручки. Но идем дальше.

20:15 – Чем вынос точки продаж «в поля», отличается от найма представителей в примере выше?

21:50 – Пассажи «А давайте купим MDM, потому что это круто» сразу наводят на мысли, а Алексей хоть раз сам что-нибудь обосновывал? Или это личные мысли автора, как оно в реальности происходит. По такой логике, есть безопасники, которые хотят купить маршрутизаторы Cisco, обрабатывая информацию на локальных  АРМах. Понятно, что утрирование позволяет донести суть, но глупости совсем уж говорить не надо.

24:00 – Насколько я помню, чтобы получить доступ к интернет-банку, надо в офис в начале прийти. Договор заключить, доступ оформить. Алексей, как много общающийся с банками, не может этого не знать. Никакие 10000 клиентов в мобильном банке не появятся, прежде чем они не посетят обычный офис. Пример вводящий в заблуждение.

24:45 – Алексей, при коллективной работе, всегда найдется самый крайний, который будет за все отвечать. Ваши слова не соотносятся с реальностью, но в книжках так пишут, да.

25:45 – И огромное проседание в производительности работы и качестве. Даже в 2014 году, были уже исследования о сложности надомной работы. Что и показала последующая история в IBM с выселением и обратным заселение в офис сотрудников.

27:00 – Какой волшебный мир, в котором поставщики сами отслеживают наличие комплектующих у клиента. А что делать с поставщиками, которые затоварят склад? Больше поставили, больше получили. Мощности перенаправили на других клиентов. Вот, уж дыра в безопасности бизнеса, так дыра.

30:20 – Алексей, чем же вам так капитальные затраты не угодили? Уже который раз вы о них негативно отзываетесь. И в чем проблемы со списанием оборудования?

30:32 – Да, если сегодня взять в аренду, то сегодня это будет выгодно и финансовые показатели на высоте. Но на большом промежутке времени, аренда может стать дороже покупки. И тогда финансовые показатели улетят в трубу.

32:05 – Как интересно. Видимо, подразумевается, что если сотрудник не тратит час на дорогу он в это время работать будет?

32:33 – Бред какой-то. Алексей утверждает, что среднестатистический работник из 8 часов рабочих – 5,5 часов работает, а 2,5 стоит в пробке? Интересно, увидеть тех работодателей, которые такое позволяют. Я-то думал, как? В 9 на работу пришел, в 18 – ушел. А то, что ты там встал в 6 утра, чтобы доехать, так это твои трудности. В реальности Алексея, ты можешь спокойно постоять в пробке в рабочее время.

33:00 – Рукалицо.

35:00 – Видимо, речь идет только о командировках по переговорам. Если надо что-либо сделать, то тут уж никакой скайп не поможет.

40:00 – Алексей, я даже больше скажу, безопасность не относится ни к одной из перечисленных вами категорий.

41:00 – Алексей все время с таким надрывом говорит про понимание задач бизнеса, будто это что-то такое неведомое и сложное. Вот, выпустился студент, и пошел работать по тайному кодексу безопасников, все равно где и на кого, главное кодекс чтить:

  1. Никому не рассказывай про Кодекс.
  2. Никогда и никому не рассказывай про Кодекс.
  3. Скрывай цели безопасности.
  4. Безопасность нужна.
  5. Никому не говори, что ты делаешь и зачем.
  6. Бери все деньги, что выбьешь.

46:55 – Такие байки преподаватели первокурсникам рассказывают. Для должного эффекта в этой истории не хватает обязанностей этого сотрудника.

49:11 – Алексей, ничего это не значит. Люди сидят в соцсетях, когда у них нет текущих задач. И, о ужас, не сидят там, когда им надо срочно что-то сделать. И вы действительно думаете, что сотрудник задержится на работе, чтобы сделать то, что он не успел благодаря тому, что сидел в фейсбуке?

49:27 – Мотивация на труд с помощью доступа к фейсбуку? Алексей гробит свой талант в управлении персоналом.

52:50 – Ох, т.е. информация имеет стоимость. Отлично. Ее можно посчитать. Замечательно. Но результат зависит от того, кто будет считать… ну как так-то? У нас что квантовая теория? Нет. Как можно в правильном ряду исходить из таких чудовищных предпосылок? Алексей, задача решается, когда считает 1 человек.

53:00 – Что интересно, в лекции по оценке вложений, методики не называются. Хотя бы просто перечислили для интересующихся.

1:00:50 – Плохая черта спикера, не проговаривать то, что написано на слайдах. У нас же новая тема, и вроде как вхождение в тему…

1:03:50 – Как оказалось и на западе то ж особо репутацией не заморачиваются.

1:04:29 – Алексей, «отдача» и экономическая целесообразность, две разные вещи. И хорошо бы раскрывать термины, которые вы вводите, что такое «отдача»? Прибыль от проекта? Нет, прибыль она и в Африке прибыль. Экономическая целесообразность чуть-чуть сложнее описанной вами схемы затраты-возможные штрафы. В 2014 году могли и бизнес приостановить на 90 дней. «Отдачи» никакой, да.

1:07:02 – Потери бывают в разной форме (с) ЗФЦ. Алексей, если уж вы взялись говорить за экономику, то там есть прибыль и убыток. Никаких «потерь» там нет.  Убыток, может иметь множество причин (вы это называете «разной формой»), но всегда выражается в деньгах. Всегда. Все эти ваши простои, замены и т.п., это деньги. И их уже лет 100, как научились считать. Кстати, как и потери от инцидентов информационной безопасности.

1:09:26 – «Смерть пациента – это страховые выплаты и судебные издержки» (с) ЗФЦ

1:09:40 – Алексей, вы еще ничего не рассказали по теме оценки.

1:10:00 – Где ж Алексей видел бизнес, который бы отказывался от реального улучшения своей работы? Бизнес, который должен захотеть увидеть отдачу… Бизнес-консультант.

1:11:27 – Алексей, зачем городить высосанный из пальца пример? Если банк-клиент ломают и деньги утекают, если доказывается, что это именно в результате взлома, то банк несет прямые убытки (компенсации, исправление, прохождение проверок и т.п.). Так в любимом вами банковском секторе действуют. Прямой связи между взломом и уходом клиента нет. Наоборот, если банк все компенсировал – клиент останется, а убытки будут. Весь пример насмарку.

1:11:57 – Некоторая фальшь чувствуется от этой лекции.

1:12:08 – Алексей, ну, что вы? Какая уже оговорка по Фрейду? Все эти поверят нам, уверенность в себе и т.п. Экономика чудесна тем, что в ней есть циферки. Над циферками производятся математические действия (очень простые), которые дают воспроизводимый результат. Предмет дискуссии, лишь в исходном значении циферок, а не в результате. Уж, коль вы так боитесь, зачем разговор об этом завели?

1:12:17 – Как нам всем повезло. Нас принято держать, несмотря на то, что мы такие плохие. Надо ввести моду на ИБ среди топ-менеджеров. Как с чихуахуа или айфонами. У кого безопасник круче и красивей. А? Как идея?

1:13:07 – А у нас в «неумытой» России разумеется все по-другому. Все только на Западе работает, только. А надо-то всего лишь, оплату труда поменять.

1:14:48 – Посыл, что ИБ не обосновывается, потому что зарплаты маленькие – это даже не пять, это десять. А может быть просто решения от Cisco стоят неадекватных денег?

1:16:15 – А можно подробнее, какие методы уже были предложены?

1:16:31 – 30 методик о «оценке отдачи проектов по информационной безопасности»? О чем же тогда автор тут больше часа говорит? Сколько из них он применил? Какой результат получил? Что рекомендует использовать в тех или иных случаях? Нет. Просто почитал парочку, результата не получил, сказал не работает.

1:20:29 – Что такое 100% результат? Выход проекта в ноль? 100% прибыль на вложенные инвестиции? Нет ответа.

1:21:30 – Алексей, о чем же вы тогда говорили, почти, полтора часа? А, о том, как все сложно и безопасники сами в себе.

1:22:03 – А еще эффект масштаба, иногда, имеет обратный эффект. Когда из-за своего объема компания не может достичь запланированных выгод. Например, накладные расходы на перестройку процессов, могут длиться годами и съесть весь «запланированный» профит. Об этом, кстати, рассказывают даже студентам технарям. Но зачем нам такие тонкости.

1:22:17 – Алексей, в среднем рабочих дней в году 247 (в 2014, кстати, тоже). Фиг с ним, округлим до 250, чтобы считать было проще. Но откуда 260? Не думая скопипастили пример, и его презентуете? Глубокое уважение к аудитории. Почти, 5% съели.

1:23:10 – Алексей, хорошо, вы не курите и можете не знать, что перекуров может быть и 5, и 10 в день. Но ограничить бедных сотрудников 2 походами в туалет в день, это круто. А еще есть предусмотренные СанПиН, по работе за компьютером, предписывающий отдых (а, следовательно, блокировку компьютера), каждые 45 минут. Кстати, от этого ваш пример только выигрывает. Оценка будет за 10 млн часов.

1:23:50 – Алексей, ну, какая повторная регистрация через 60 секунд после первой ошибки? Вас с такими требованиями линчуют через неделю, никакие обоснования не помогут. Хотя понятно, почему вы ввели эту переменную, надо было показать больший выигрыш. Но не пришлось бы так сильно натягивать ужа на глобус, если бы в предыдущем параметре вы были бы более близки к реальности.

1:25:15 – Кстати, об эффекте масштаба. Для GM – 22 млн долларов, может быть и не такой большой суммой. Уж наверняка, реальный проект по управлению учетками там будет стоить огромных денег, за 100 млн точно. Озвученная сумма в сотни тысяч долларов на проект маловероятна, или считали только прямые расходы на лицензии, сервера и консультантов, или специально для пиару. Накладные расходы на перестройку процессов в такой огромной компании судя по всему не были учтены.

Допустим 100 ИС, 100 коннекторов по 1 млн рублей (это минимальный ценник в отечественных компаниях), поделим на курс в 2014 годы – уже получается 2,8 млн долларов. Плюс западные расценки, плюс стоимость внедрения исчисляемой в несколько трудолет, плюс командировки по всему миру на квартал другой, плюс стоимость лицензий, серверов и обучения. Думаю реально около 100 млн долларов и будет.

Плюс хинт: пока проект внедряется в убыток в 22 млн плюсуется в расходы. Проект 100 млн, внедряем 3 года, итого 160 млн. Если бы ничего не делали, этих денег хватило бы на 8 лет «обычных» убытков. Чем не расчет целесообразности?

1:27:15 – С джинсой за Cisco все понятно. Надо было пропиарить решение, пропиарили. Оговорки, что все сложнее не работают, см. выше про удаленную работу.

1:33:30 – «Безопасность – это неизбежное зло» (с) ЗФЦ

1:34:25 – Что такое «эффект» от ИТ проекта? Окупаемость? Польза? На каких проектах проводилось исследование? В каких компаниях? Если предположить, что под эффектом подразумевается окупаемость, то срок в 4-5 лет – вообще какой-то фантастически нереальный. Такой эксперт в оценке, как Алексей, должен знать, что за 4-5 лет ИТ системы уже 2-4 раза самортизируются и будут списаны. Их надо менять и обновлять. И еще множество и множество вопросов к данному заявлению. Факты все же необходимо чекать, хотя бы на банальное соответствие.

 

Итого

Алексей ЛукацкийПо прошествии лет, видно, что экономической оценкой занимаются только те, кто и занимался. Блогеры хайпанули и благополучно перескочили на других лошадей, а потом еще и еще. В дальнейшем мы увидим одну и туже картину, когда в качестве знамени будет водружаться та или иная неведомая вещь. Будет много воды, мало сути, отвлеченные примеры, и отсутствие личного опыта по теме. На ней будут усиленно пиариться, а потом забывать.

Будем считать этот уровень погружения за ноль, и дальше будем мерить по нему.

Сам Алексей данную тему никак дальше не развивал, подвижек в этом направлении в его блоге мне не удалось.

Алексей Лукацкий получает 10 поленьев из 10.

 

 

BIS Summit. Олег Седов. Рагнарек.

Здравствуйте, здравствуйте мои ненаглядные.  Очень давно мы не виделись. У меня для вас куча грустных новостей, сейчас расскажу по порядку.

BIS Summit 2017

Недавно сходил на BIS Summit 2017. Очень любил эту конференцию и был ее участником много лет. Застал еще ее проведение в Сокольниках. Был пионером в новом формате StandUp for StartUp в 2015. А в прошлом отхватил приз за кибербетал (еще раз огромное спасибо всем, кто за меня голосовал).

Все прекрасно понимают, что конференция чисто вендорская. Помню, как предки Солара получили маленький стендик и ни одного доклада в 2014. BIS Summit это огромная махина, которую очень долго строили. Но для меня, ее пик уже пройден и пошел спад.

Надо сказать, я очень хотел попасть на эту конференцию. В фебешечке прошла новость, что Дмитрий Мананников будет вести, целую секцию по измерениям в ИБ. И я сказал себе: «Огогошенки, ты должен там быть». Надо сказать, что нашему рандеву с Дмитрием всегда что-то мешало. Я никогда не был на его выступлениях, то я не приходил на второй день, как с CISO-форумом, то были срочные дела, и я сваливал до начала.

Привычно придя к гостинице Украина, я зарегистрировался и пошел смотреть конференцию. Техзону расширили, увидел и пообщался с Андреем Янкиным. Узнал расценки RuSIEM. Попил кофе. И… все.

Первая половина дня была точной копией прошлого года, а та в свою очередь позапрошлого. Отсутствие альтернативных секций в первой половине дня, вгоняет в отчаяние. Больше половины участников слонялось в фойе и техзоне, ходило курить и мечтало об обеде.

В это время гуру поибэ, развлекали сами себя на сцене. Какие-то шутки и намеки понятные лишь их узкому кругу. Алексей Лукацкий опять отметился (цитата по памяти): безопасник, который прикрывается (в разговорах с бизнесом) документами регулятора, должен получать там (у регулятора) зарплату. Взял со сцены и засрал всех безопасников. Хорошо, что всем к этому моменту было так пофиг, что его никто не слушал. И стоят, о чем-то с Олегом Седовым перешучиваются…

Куча иностранных спикеров. Мб это и поднимает статус конференции, но сколько можно лить из пустого в порожнее? Они же были в прошлом году.

В общем, кое-как досидел до обеда. Выстроилась очередь, все стали потихоньку кушать. Как всегда нашлись невоспитанные люди, которые решили организовать очередь с другого конца стола раздачи двигаясь на встречу основному потоку. Разумеется, возникла давка. Разумеется, некоторые простояли в очереди 2/3 обеда. А уж о мразях, которые лезли без очереди, и говорить не хочется. Они были, и мы все их ненавидели.

И, вот, я на секции, где должен был выступать Дмитрий. Оказалось, что Мананников лишь читает доклад. Ну, тут я наверно не так понял, оки. Разочарование наступило с первых минут. Рассказывать с пафосом о выписывании «идеальных» бизнес-процессов, а потом контролировать «отклонения» от них – это за гранью добра и зла. Во всяком случае, в 2017 году. Этакий пересказ вводных лекций по BPM (business process management, управление бизнес-процессами). И я понял, что это всего лишь пиар на новой теме. Ведь неважно на чем пиариться, главное делать это регулярно. До этого был аджайл, потом уеба. Где они сейчас? Забыли тему. А уж в нашей отрасли пиариться можно на чем угодно, берешь любую тему, добавляешь туда безопасность, профит.

А уж когда Дмитрий заговорил о безопасниках изменяющих бизнес-процессы, я встал и ушел. Безопасники изменяющие бизнес-процессы Мананникова, это где-то рядом с безопасниками предлагающими «byod, потому что электричество сэкономим» Лукацкого. Будем ждать, когда Дмитрий придумает, как прикрутить «безопасность» к адаптивным бизнес-процессам.

«Машинное обучение с 5% ошибок» Дмитрия, примерно туда же. Когда Дмитрий расскажет о внедренном им дереве решений (не говоря уже о нейронной сети) у себя в безопасности, тогда можно будет всерьез обсуждать эту цифру.

В общем, еще немного проведя времени, поехал пить пиво.

Наверно, это последнее мое посещение BIS Summit. Конференция из года в год повторяет себя. Пленарные части вводят в сон. Независимые спикеры и представители вендоров занимаются джинсой и пиаром. Единственным светлым пятном был Олег Бакшинский, который вместо урагана маркетинга от IBM наглядно рассказал об автоматизации и ее текущем уровне. Какие там 5%? До автоматизации добраться бы.

Тратить целый день, ради пары докладов – нерационально. Так что, до свидания BIS Summit.

 

Олег Седов

Как обычно бывает после конференций, все обсуждение переходит в комьюнити. Пишутся посты в блогах, в фебешечке даются отчеты, строчат комментарии – жизнь кипит. Кидают мне ссылку, где какое-то огромное обсуждение, как все круто прошло. Комментариев под 100. И, вдруг, все скатилось к обсуждению моей скромной персоны. Вылезает Олег Седов и кроет меня последними словами. Как я понимаю, Олег не принадлежит к тусовке гуру, так, около плавающий, но отчаянно туда хочет.

Олег Седов — это главный редактор BISA, которая и организует BIS Summit. Олег, самый высокооплачиваемый главный редактор в нашей отрасли, а может быть и во всем ИТ. Человек это влиятельный и серьезный.

Пересекались мы с ним по работе над Кибербаталиями. Год был очень сложный, из команды пиарщиков работодателя Олега только что ушла главная звезда, и упорно ходили слухи, что Олег может и уйти. Что бы ответить на вызовам времени, были придуманы Кибербаталии. Меня туда позвали по итогу работы над секцией StandUp for StartUp.

Суть мероприятия простая, участвуют два спикера, обсуждая злободневные темы, а зрители голосуют. Мне была поставлена Олегом задача – делать шоу. Под этим понималось оппонирование по банальным вопросам. Т.е. когда вопрос ставиться – надо ли чистить зубы, я должен был усираться, что это делать вредно и совсем не нужно.

Надо сказать, что Олег человек очень своеобразный. Например, тема моей первой битвы была изменена за пару дней. Изначально она звучала «Появляются ли новые риски информационной безопасности?» (точное название не помню) и вдруг стала «Возможно ли доверить безопасность бизнеса роботам?»

Почему роботы? Зачем тут они? В итоге мы с коллегой оттарабанили все по рискам, не коснувшись роботов чуть менее чем никак. Олег вообще любит две темы – роботов и падение компетенций. И лепит их везде, где успеет.

Надо сказать, что формат был выбран крайне странно. В комьюнити, где ни у кого нет времени что-то слушать онлайн в течение пары часов, затевать словесные соревнования – контрпродуктивно. В итоге, прямо по ходу поменяли систему голосования, вместо голосования по раундам, сделали общее. В итоге все голосовали в первые 5 минут и уходили.

Со вторым боем вообще вышел анекдот. С легкой руки Олега форсился конфликт Solar vs Дудко. Понятно, что в такой ситуации у меня не было шансов. Начиная с темы. Была выбрана тема «Как выглядит будущее ИБ-вендоров?» с такими вопросами:

  • Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
  • В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
  • Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
  • Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
  • Как выглядит нефункциональная конкуренция между вендорами?

Если вы вендор, то для вас ответы на них будут однозначными. Мы с Эльманом сходились по 3 из 5 вопросов. Но шоу же не будет, если все будут друг с другом соглашаться. И мне была распределена задача — оппонента очевидным вещам. Потом, благодаря системе голосования я в первые три минуты получил минус 50 голосов, и стал делать шоу оставшимся 30 слушателям.

Уж не знаю, как там было дальше. Но на мероприятии Infowatch, выиграл их основной конкурент :). Маркетинговый прорыв, обернулся серьезным провалом. Ох, как там пригорало. Я получил приз зрительских симпатий.

 

Олег хочу тебе сказать следующее. Твои методы плохо пахнут, желание подняться на костях других – чаще всего оборачивается провалом. Все, что ты хотел мне сказать, у тебя была возможность сказать лично. Ты выбрал другой путь. Твои инициативы вторичны и не проработаны. Как пиар и маркетинговый инструмент, BISA пребывает в забвении. Туда, кроме тебя и пары блогеров, которые копипастят свои материалы до кучи, никого нет. Оставайся со своими грезами о роботах и компетенциях. Теперь у тебя есть все основания официально «дружить против». Пока.

 

Рагнарек

Дорогие друзья, как вы видите, у меня бомбило больше месяца. Я аж кушать не мог. Посмотрел я на BIS Summit вокруг, и так стало тоскливо. И пусть уважаемые люди на рынке не признают, что у нас человек человеку волк, но это так. Такой концентрации ненависти и зависти, как в этом году в Техзоне – я давно не видел.

Все это до крайности грустно и печально. Комьюнити наше загнило окончательно. Причина благая. Люди находят работу и забивают на всю эту мишуру в фейсбуке и срачи в комментариях. Уже несколько блогеров тихо и мирно ушли в тень. Теперь там тихий междусобойчик – кукушка хвалит петуха за то, что хвалит он кукушку. Участвовать в этом смысла не вижу, а поэтому закрываю тематику информационной безопасности.

Уже пять лет я занимаюсь исследованиями в области измерения риска и угроз. Информационной безопасностью не занимаюсь 2 года, только наблюдаю. Так что о ней писать? Буду писать про насущное и об окружающем. Разумеется доведу до конца цикл про пресейл и «почему в ИБ полная ж…», но на этом все.

В общем, думаю никто не расстроиться, а в определенной группе так вообще праздник будет. :)

Пока-пока.

Cisco головного мозга

Здравствуйте, здравствуйте мои ненаглядные. Как же я по вам скучал. Скучал все 3000 километров по нашим бескрайним просторам. Но скучал я не один.

Разумеется, одним глазом наблюдал, что твориться в нашей поибэ, а твориться там форменная чертовщина. Какой-то месяц безудержного пиара.

В начале, Solar Security под заголовком «как правильно оформить внедрение системы для защиты от утечек» разослал всем статью о документах, при внедрении DLP. Но забыл упомянуть 137 и 138 статьи УК, под которой ходит каждый информационный безопасник. Сразу стало понятно, что статью писал теоретик.  И цель понятна. Цель статьи – «смотрите, с помощью нашей DLP вы всех посадите и получите много палок!!1111». Пока же, с такими статьями посадят самих пользователей DLP Solar Dozor.

И, конечно, интересно узнать в соответствии, с какими статьями ТК РФ необходимо внедрять именно DLP.

Потом бомбануло у Ильи Шабанова потому, что не все признают гениальность последнего отчета на его сайте о SIEM. Материал, такое ощущение, представляет собой компиляцию пресс-релизов компаний вендоров, приправленных  словами «SIEM – очень нужная вещь». Я понимаю, что каждый зарабатывает, как может. Сиди спокойно, ваяй тяп-ляпки, пили денюжку. Так ведь и доходы упадут. Кстати, что косяки на сайте поправили – молодцы, там еще столько же осталось.

Алексей ЛукацкийФинальным аккордом стал уход Алексея Лукацкого из темы защиты персональных данных. Вот, что он пишет:

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных «взлетела» благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое «четверокнижие», которое стало драйвером рынка ИБ на тот момент.

Ну, никаким драйвером оно тогда не стало. И не было вплоть до 2011 года. Но разгон взяли.

Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Пафос, это хорошо.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности.

Что лишний раз доказывает слова о том, что вся деятельность Алексея направлена на лоббирование интересов работодателя.

Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно.

Очень странно. До 2014 года достаточно было оргмер. Вот, одна из первых статей Алексея о ЗПД. Как все хорошо на западе, как все плохо у нас. Но, например, в том же четверокнижии было и про шум, и стеганография. Я сам проходил проверку, применив стеганографию. Либо Алексей документы не читал, либо целенаправленно хаял.

Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя,

И продвигая удобные для себя положения. Хорошо, что не срослось.

предлагая различные обходные маневры для потребителей.

Тем самым подставляя их по полной. Ведь невозможно учесть потребности потребителя, когда речь идет о впаривании железок на миллионы долларов.

И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы.

Уж, лучше про законодательство. Про бизнес, на примере BYOD, было бы хуже.

Но увы… законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава «бумажного безопасника» :-)

Звание теоретика (а не бумажного безопасника) за Алексеем закрепилось, когда он вместо безопасности занялся своим пиаром, продвигая свои фантазии, как истину в последней инстанции. И они постоянно не сходились по фактам. Например, Алексей в свое время любил кичиться тем, что начал заниматься безопасностью в 91 году. Хотя и он, и я, знаем, что сделать он в это время не мог. Но звучит-то красиво. Занимаюсь ИБ с развала – Союза! И не жалеет об этом.

http://www.pircenter.org/news/6697-alexey-lukatsky-for-open-collar-project

Миф – построенный на лжи.

 

Спустя год я был вовлечен в процесс изменения федерального закона «О персональных данных» и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор.

Силком наверно затащили.

За эти 9 лет было сделано немало — участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ.

Участник рабочих групп, автор 300+ статей. Вот, в чем проблема всех подобных персонажей, мнимые достижения, выдаются за реальные. Ну, протер штаны на хороших стульях, а дальше что?

Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Судя, по обилию проблем в терминологии – не удалось сделать ничего.

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был.

Ушел, друг, через которого можно было успешно лоббировать?

С уходом Шередина ситуация стала ухудшаться,

Чем-то это напоминает ситуацию с Эриком Давидычем, если вы понимаете, о чем я.

а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже.

В чем? Стали требовать сертифицировать Cisco? Так там и так дырка на дырке, как говорят.

Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган.

А каким должен быть регулятор? Пальчиком грозить? Так грозили уже, с 2008.

Чего только стоит исключение из названия своей основной функции — защиты прав субъектов ПДн, слов «прав субъектов». Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать «защита ПДн», что лишний раз подтверждает простую мысль — на права субъектов регулятору давно наплевать.

Если Алексей так любит точность формулировок, то что же за 9 лет, не привел их в надлежащий вид, на многочисленных рабочих группах?

Закон о ПДн превратился в инструмент давления на российские и зарубежные компании.

На любимом Лукацким Западе, с законами все еще строже. И Cisco там так просто не отделалась бы не выполнив какой-нибудь закон, как у нас.

Донести до регулятора свою позицию невозможно.

Смотря, что за позиция.

Прислушиваться к экспертам регулятор не хочет.

Это к Алексею Лукацкому?

Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно.

Т.е. Алексей не успевает за веяниями времени? Уж более статичной нормативки, чем в ЗПД – не найдешь.

Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Друзей не осталось, план теперь не выполнить.

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам

Что мне в экспертах всегда нравилось, так это желание консультировать, не неся за это ответственности. Помню, Алексей еще пиарил свою контору по продаже документов по ИБ.

(преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!

Здравствуй, КИИ!

 

Что ж, отдадим должное целой эпохе. Эпохе из 90-х, когда по старой привычке, западные друзья хотели нами всеми тут поруководить за наш счет.  Одним из проводников данных идей – был Алексей Лукацкий. Благодаря, стечению обстоятельств и определенному заказу Алексей получил определенную известность, и сразу стал выполнять заказ. Я просто не могу по другому объяснить все эти скандалы и упертость по отношению к Cisco с его стороны. А уж, как Алексей пропихнул через своих знакомых в самые крупные сети банкоматов цисковские устройства – история отдельная.

Но не фортануло. За исключение отдельных всплесков. Зато теперь можно перенести внимание на КИИ, да, рынок пожиже, зато методики отработаны.

Не чокаясь.

Всего вам доброго.

TOP причин, почему не работают организационные меры. Первое место

Вот, и добрались мы до первого места. Шли мы через тернии оценок, доброты и национальных особенностей. Да, все это мешает организационным мерам, но осталась одна – последняя причина. Она же альфа и омега всех остальных.

И эта причина – Ты.

Да-да, мой дорогой читатель. Организационные меры не работают в первую очередь из-за тебя и меня, из-за начальника и директора, всех тех, кто эти меры реализует.

Это принимает разнообразные грани. Например, если очень надо, вас пропустят на режимный объект в присутствии начальника охраны, потому что обычным порядком это заняло бы пару дней, а надо срочно. Или же проблема VIP-пользователей, которую постоянно решают безопасники с ИТ-шниками.

Только не подумайте, что это что-нибудь плохое. Есть вещи и похуже, например, «общество нацеленных на успех» Алексея Лукацкого. Это данность, и ее просто надо принимать в расчет.

 

Главное направление выхода, видеться в отражении последствий за несоблюдение тех или иных оргмер. Только не в виде штрафов, выговоров или угрозы увольнения. А в ущербе для организации вообще и потенциального нарушителя в частности. Если последняя секретарша, будет знать, что запуская неизвестные файлы, она может парализовать работу компании, она скорее всего не будет этого делать. Но, это нас приводит к другому коану – вы захотите, что бы последняя секретарша знала, как парализовать ваш работу? ;)

Всего вам доброго.

Еще не совсем Ж, но близко. PHD, CISO-форум и другие

Отгремели две шумные майские конференции – PHD и CISO-forum. На одной я был, на другой – почти. На одной все плохо, на другой хорошо.

Начнем с CISO –forum. Понятно, что бедному дегустатору ни за что не потянуть билет на такое VIP-мероприятие, как CISO. Меня да ж не взяли, как СМИ – ящик организаторов тупо не отвечает. Но, я заслал туда разведчика. Конечно, он нифига не платил – мы нашли лазейку, даже бейджик не брал. И…

Ничего за год не изменилось. Ровным счетом ничего (да ж еда осталась та же). Т.е. мероприятие создано тупо для обогащения организаторов. Спонсоры заплатили, участники заплатили (хотя бы 1/3, т.к. спонсоры нагнали туда своих клиентов) – снял зал за пакет генерального спонсора, … , PROFIT.

Доклады делятся на 3 типа:

  • От завсегдатаев (одна и та же балалайка под разными соусами);
  • Новичков (могут рассказать что-нибудь интересное, примерно, каждый десятый);
  • Вендоров (либо реклама, либо скрытая реклама).

Ходить на CISO, лучше 1 раз в три года. Если чаще, будете слушать на 2/3 пересказ прошлого года.

Переходим к PHD. Скажу честно, идти туда не хотел (см. про бедных дегустаторов). Но Позитивы взвалили на себя бремя поддержки пищевой безопасности, и разрешили немного поесть. А т.к. я человек совестливый, и халяву не люблю, решил отплатить. Кстати, за два дня, так и не удалось поесть, очень уж еда была запрятана, да и дела образовались.

Завтрак прессы

Не беря ZeroNights (нельзя сравнивать то, что не видел), на который я вряд ли когда-нибудь пойду, т.к. сплю в это время, PHD – лучшая конференция. Разумеется, в силу своей тупизны, мимо меня прошли все технические доклады. На какие-то я не успел, но засмотрел трансляции, а большинство были от меня крайне далеки.

Я разумеется, пошел на всякую говорильню. Помните, я после Инфосека писал про змей в банке? Ну, так многие уже об этом заговорили. Например, Рустэм провел мне ликбез о разнице между топ-безопасниками и «селебрити, завсегдатаи конференций». Спасибо, Рустэм. Остальное в фбешечке читайте.

Были там и мои старые знакомые из R-Vision. Парни двигаются в сторону молодежи и осваивают мемы (пока, баянистые): «что ты мне втираешь какую-то дичь?».

Встретился с инсайдерами, обменялись новостями. Ух. Узнал, кстати, за сколько продается R-Vision, не дотягивает часто и до 5 мегарублей. Печально.

Основная пленарка, прошла тезисно по плану статьи про Ж (ждите продолжения). Проблемы ИБ:

  • иб под прикладным по
  • безалаберность
  • отсутствие практической составляющей
  • тормознутость вендоров и безопасников, на уязвимости открытые вайтхат
  • отсутствие планов реагирования (Лебедь)
  • нет повальной идентификации в интернете (Калина)
  • нужно отгораживаться «метром воздуха» и строить закрытые контура (Калина)
  • отсутствие центров компетенций поибэ
  • сложно обосновать наличие безопасников (РТК)
  • технические средства не работают, только люди, которые и на опенсорсе все сделают (РТК)
  • не знаем свой внешний периметр (Симис)

 

В первый день еще успел побывать на выступлении Юлии Омельяненко из Acronis с докладом «Выдержит ли ваш бизнес натиск ransomware?» (кстати, что это такое – вроде и не сказали). В результате доклада, мы узнали, что Юля занимается темой «3 года, когда это не было еще мейнстримом» и послушали пересказ исошной методички про непрерывность бизнеса и экстренного восстановления. Ну, послушали и послушали.

После конференции меня атаковала Юля со своей подругой Моной Архиповой (Mona Sax), под соусом, что они такого не говорили, а  все неправильно услышал. В начале, я подумал, что Acronis просто решил зацепить ибешников по своей основной специализации (восстановление данных, все дела).

 

Тайминги с подтверждением:
  1. Про уникальный опыт в 3 года, когда еще это не было мейнстримом.

Тайминг с 1:09:06

Побочное замечание — 3 года назад (в 2014), GRC было еще ах каким мейнстримом. R-Vision не даст соврать.

  1. Про непрерывность с 1:15:13
  2. Про непрерывность бизнеса рискует от ИБ и бедствий с 1:16:05
  3. Считай стоимость восстановления с 1:18:10
  4. развито в банках 1:18:28
  5. Про старые методички с 1:11:00

Да же слова оттуда — «заручиться поддержкой топ-менеджеров», так в самом начале переводили исошные документы.

 

Но Рустэм открыл мне глаза:

Оказывается Acronis такими посылами, пытается влезть на рынок «лоу баджет секьюрити» (а при возможности наверно и хай баджет). Теперь понятна агрессия Юли с Моной, как же перед начальством отчитываться, когда такая лажа? Хамство не красит такую уважаемую компанию, как Acronis.

Кстати, о лаже (незаметно перетекаем во второй день). Заценил срывающее покровы выступление Алексея Лукацкого «Не бойтесь лажать, или Negative Security». Из которого мы узнали:

  • Пользователям Maс сложно пользоваться непонятными компьютерами;
  • Алексей совсем не бомбит, что его называют теоретиком. Он двигается в сторону практики, но ЗПД в Cisco не взлетело (или взлетело, но не так) (я-то грешным делом думал, что теория – это бумажки, а практика – ручками эксплоиты писать/патчи ставить);Алексей Лукацкий
  • Наше общество ориентировано на успех, и не говорит о своих ошибках (комментаторы сошлись во мнении, что под нашим обществом Алексей понимает – западное);
  • Мало примеров, когда люди и компании признают ошибки (видимо, Cisco не из их числа);
  • Схватил 1 троян за все время;
  • Алексей не хочет выглядеть неприятно (но ведь репутации в России нет!!!!11111);
  • Не открывает свой сайт, т.к. все равно взломают, а репутация пострадает.

А вообще, анти-пленарка очень понравилась. Особенно философские рассуждения Ивана Новикова (могу ошибиться), с двумя основными посылами:

  • Вся наша деятельность сейчас (в городах уж точно), что бы в нужном месте экрана были нужные пиксели (например, отражение счета в банке);
  • Компьютеры размножаются быстрее людей.

Так и кто на кого работает? :)

 

В заключение хочу сказать о благости посетившей меня. Я обрел нового кумира Алексея Качалина, т.к. ему не страшно рассказать, что у него на уме. Будьте, как Алексей. И ходите на PHD.

Пока.

У Камина с Алексеем Лукацким: Как раскрутить свой ИБ-блог?

Как вы знаете, я очень люблю интервью. Особенно люблю интервью живые, а не по переписке. В живых интервью нет этой вычурной и сухой подготовленности. И тут значит, заглянул я к друзьям из Джет Инфо. Да-да, Рустэм, я помню, что маленьких обижать не хорошо. Но какой пиар был. В общем, не удержался.

Как всегда, читаю вместе с вами.

«БИЗНЕС БЕЗ ОПАСНОСТИ», ИЛИ ЗАЧЕМ СПЕЦИАЛИСТУ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СВОЙ БЛОГ?

Первый раз, когда я прочитал заголовок, подумал – «о, сейчас почитаем про каждому эксперту по блогу». Потом почитав содержание, я пришел к выводу, что заголовок – «зачем Алексею Лукацкому (специалисту) свой блог?» Это так же интересная тема. Поехали.

Пришлось сразу же похакать статью, т.к. она не копируется с Джет Инфо. Вернее копируется, и да же ссылка на статью автоматом вставляется, но вся разбивка на абзацы херится. :( Надеюсь это баг, а то как-то даже неудобно.

Алексей ЛукацкийСегодня мы беседуем с Алексеем Лукацким, бизнес-консультантом по безопасности Cisco Systems и автором одного из самых популярных ИБ-блогов в России «Бизнес без опасности».

– Алексей, ни для кого не секрет, что Ваш блог, посвященный теме информационной безопасности, является одним из самых популярных ресурсов на эту тему в России. Почему Вы решили запустить этот проект?

Как говорил Михаил Жванецкий, писАть, как и пИсать надо тогда, когда уже невмоготу. 10 лет назад, когда я начинал вести свой блог, в России это было в новинку и мне хотелось попробовать.

А как связаны слова Жванецкого с последующим повествованием? Мол, 10 лет назад стало невмоготу? Ну, и видимо, речь идет про ИБ-блоги. Так-то блоги уже были обыденностью.

Кроме того, у меня было много разных заметок и зарисовок, которые сложно было уложить в формат статьи, а терять их мне не хотелось. Поэтому блог стал прибежищем таких коротких текстов по ИБ. Кроме того, у меня была идея написать очередную книгу, и блог, как мне казалось, мог стать хорошим способом для хранения и систематизации материала.

Нашел упоминание о 3 книгах, видимо, до новой так и не дошли руки.

Потом я понял, что это не самая лучшая идея – блог очень плохо приспособлен для систематизации материала и последующего поиска в нем. Но к тому моменту бросать начатое было уже поздно.

 

– Почему Вы изначально выбрали именно формат блога?

А других вариантов просто не было. Их и сейчас нет для человека, который хочет чем-то делиться с окружающим миром.

Ну, я не знаю… Можно, например, что-нибудь реальное сделать. Систему там защитить…

Формат традиционных тематических СМИ не подходит для столь динамичной сферы, как наша.

Сферы, где уже 3 года застой? А за 5 лет из новых систем появились SIEM/SOC и второе рождение WAF?

Журналы раньше выходили один раз в месяц, сейчас и того реже. Поэтому я этот формат отбросил сразу. Газет в нашей области нет, а у еженедельников та же проблема, что и у журналов. Да и редакционная политика многих изданий не всегда позволяет публиковать все, что приходит мне в голову.

Надо понимать – именно по ИБ. Т.к. в блоге больше ни о чем не написано.

Подкасты и видеокасты требуют очень большой работы по монтажу, очистке звука и т.п. Я от этого формата отказался почти сразу. Поэтому блог – единственный вариант, который подошел мне для самовыражения.

 

– Кто является Вашей целевой аудиторией? На кого Вы прежде всего ориентируетесь?

Никогда не задавался этим вопросом перед написанием своих материалов.

А на PHD, говорилось об обратном…

Первоначально я писал свои заметки «для себя». Потом коллеги стали комментировать, репостить. Я втянулся в процесс, но по-прежнему пишу то, что так или иначе входит в сферу моих интересов (именно моих, а не моего работодателя). Так получается, что это также интересно многим.

В-третьих, те, кто может что-то написать интересное и поделиться своим опытом, предпочитают работать, а не брать в руки перо и радовать читателя (с) Алексей Лукацкий в другом интервью.

Отчасти потому, что мне удается (как говорят читатели блога) простым языком объяснять сложные вещи, систематизировать информацию, фокусировать внимание на важных моментах, например, в законодательстве.

Так блог же не подходит для систематизации… или имеется ввиду систематизация внутри заметки в 4 тысячи знаков?

Поэтому мои читатели – это широкий круг специалистов по ИБ или айтишников и юристов, которые вовлечены в процессы ИБ.

Да, видел, я юристов, которые апеллировали к блогу Алексея. Было забавно. О, вспомнил личную историю про этот блог, расскажу в следующий раз.

Под специалистами по ИБ я понимаю не весь спектр людей, вовлеченных в процессы информационной безопасности, а тех, кто больше сталкивается с процессами, нормативной базой, процедурами.

Да, у нас тут сегрегацией попахивает…

То есть это ближе к CISO и ведущим специалистам по ИБ. Технари не являются моей целевой аудиторией; для них я «пиджак» или «бумажный безопасник». Также меня читают регуляторы – поэтому часть моих заметок (пусть и не явно) адресована им.

 

– На рынке ИБ существует шутка про молодых специалистов по информационной безопасности, которые учились профессии, читая Ваш блог. Вы чувствуете какую-то ответственность перед своей большой аудиторией? Влияет ли она на контент?

Ну, не такая уж и шутка. При желании их даже почитать можно :)

На мой контент влияю только я и мои интересы. Я никогда не пишу в угоду аудитории или для удовлетворения ее потребностей.

А еще в угоду работодателям, и ключевым (для работодателя) регуляторам…

Но ответственность за «тех, кого я приручил» я безусловно (здесь должны были быть запятые?) чувствую. Особенно когда хочу перестать писать с такой же периодичностью, как и раньше. Но я понимаю, что многие специалисты уже привыкли получать актуальные материалы, особенно по законодательству, из блога, и поэтому я продолжаю писать.

Еще бы нести ответственность за свои за «свое» прочтение нормативки…

Но это окупается тем, что я часто на мероприятиях слышу слова благодарности от людей, которые говорят, что мой блог им сильно помог в свое время и продолжает помогать в текущей работе. Значит, пишу я не зря.

– В профессиональной жизни блог помог Вам? Если «да», как именно?

Во-первых, блог учит выражать свои мысли «на бумаге», позволяет оттачивать язык, что полезно само по себе, а также помогает при выступлениях и написании тех или иных материалов. Во-вторых, публикации в блоге дают определенную известность; сначала в среде специалистов, потом тебя индексирует Google, и тебя узнает большее количество людей. Тебя начинают приглашать на различные мероприятия для выступлений, что нередко позволяет экономить маркетинговые бюджеты Cisco J.

Мне, кажется, или тут прямым текстом сказано – что цель блога, сделать экспертом для участия в мероприятиях, где можно делать продукт плейсмент работодателя?

В-третьих, именно блог стал моим «трамплином» при общении с регуляторами, при включении меня в различные рабочие группы и экспертные советы.

Видимо, не кажется…

Видимо, их организаторы посчитали, что я достаточно квалифицирован, чтобы заниматься не только графоманством и публичной критикой,

Хинт от гуру: хочешь раскрутить блог – критикуй.

но и приносить пользу, участвовать в разработке и экспертизе нормативной базы. Некоторые из моих коллег, насколько я знаю, используют блог как бесплатный пропуск на мероприятия по ИБ – этакое удостоверение журналиста. Есть и ряд других «бенефитов», которые дает мне блог, но пусть они останутся моим секретом.

Наливают? Алексею не наливают. Помогают продавать? Алексей не продает… Мб лоббировать интересы работодателя?

– Зачем вообще специалистам по безопасности вести блог?

Зачем крупные компании занимаются благотворительностью?

Что бы проиариться. Делают они это максимально публично и открыто, что бы на фоне выгодоприобретателей большое такое лого благотворителя было. Бескорыстно делают – тихо.

Им хочется делиться с менее обеспеченными организациями и людьми своим «богатством».

Ох, Ричард Докинз, наверно, бы сделал facepalm.

Попутно они получают и некую PR-составляющую, но это не всегда. Так и специалисту по ИБ, который достиг определенного уровня квалификации и опыта, иногда хочется делиться своим положительным, а иногда и отрицательным опытом с другими людьми.

21 октября 2016 года, у Алексея было другое мнение… см. ссылку на интервью выше.

Начинается все с кулуаров на мероприятиях, потом следуют выступления на конференциях, потом аудитория расширяется на сотни, а то и тысячи человек. Это одна из причин. Есть и другие – я их описал, отвечая на вопрос о том, чем помогает блог в профессиональной жизни.

Еще блог, помогает выбить себе место потеплее и зарплату побольше. На рынке есть примеры, когда основным достижением людей, были блоги-выступления.

– Если у Вас дальнейшие планы по развитию блога? Может быть, Вам интересно было бы попробовать какие-то новые форматы?

Я много лет порываюсь создать собственный сайт, чтобы вести на нем ряд проектов, которые у меня законсервированы и просто ждут своего часа. Но меня останавливает одно – безопасность сайта.

С одной стороны – дельные слова для безопасника.

Сейчас, на площадке Google, я могу быть уверен в том, что вероятность взлома блога близка к минимальной – все работы берет на себя Google. В случае со своим сайтом я получаю больше гибкости, но и больше головной боли.

С другой – какое-то зарывание головы в песок от злых хакеров…

Мне придется думать о непрерывном улучшении сайта, его стабильности, пропускной способности, безопасности. А у меня времени не хватает, чтобы вести просто блог. Если бы я зарабатывал на этом проекте, то может я и сделал бы этот шаг «в пропасть». Пока же меня устраивает текущий вариант. Планы по его развитию я не форсирую, хотя идей полно…

Ждем-с.

– Алексей, какой бы Вы дали совет молодому специалисты, который бы хотел начать вести свой блог и развиваться в этом направлении? С чего ему начать?

Советов я могу дать два и оба они касаются абсолютно любого дела. Первый совет – начать. Второй совет – не бросать. Все остальное вторично. Разумеется, за кадром остается еще много разных вопросов, от которых зависит успех блога. Например, целеполагание, наличие практического опыта или умения систематизировать информацию. Неплохо русским языком владеть на хорошем уровне, чтобы читать заметки было интересно не только с точки зрения содержания. И еще один совет – блог не должен быть самоцелью и вестись ради собственного PR, как это иногда бывает.

… вестись ради собственного PR, как это делаю я.

 

Как вам? Я лично прочитал с удовольствием. Учитесь у мастера. А в следующий раз поговорим про раскрутку блога.

Всех целую.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент, все мои мысли занимала карьера, а главным ее мерилом воспринималась, занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А, т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот, уж где мог скрываться кто угодно, под заместителя до подносчика кофе.

И значит пошел, я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, что бы в должности висело – руководитель. В общем вписали меня, как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая, чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего, 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность, чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели, когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я периодически видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

 

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует, как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более-менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы, с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

 

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен, как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название, при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

 

Как видно, умные люди, думаю одинаково.

Всего вам доброго.