Архив метки: Алексей Лукацкий

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент, все мои мысли занимала карьера, а главным ее мерилом воспринималась, занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А, т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот, уж где мог скрываться кто угодно, под заместителя до подносчика кофе.

И значит пошел, я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, что бы в должности висело – руководитель. В общем вписали меня, как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая, чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего, 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность, чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели, когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я периодически видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

 

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует, как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более-менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы, с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

 

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен, как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название, при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

 

Как видно, умные люди, думаю одинаково.

Всего вам доброго.

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец, я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает ….

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Так же у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

 

Миша:

Где и кем сейчас работаешь?

Сейчас можно охарактеризовать род моей деятельности, как – предприниматель, блогер, консультант.

 

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да не без косяков, но у кого их нет? Я рассматриваю это, как бесплатную помощь. Если косяк имеет место быть, парни поправят. А если это пустая болтовня, отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Дальше, Андрей ушел от ответа, под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

 

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

 

Александр:

Привет. Очень нравиться твой блог. Всегда читаю, но, вот, выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» — еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да, и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

 

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте, ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей, ввиду каких-то внешних причин, был в измененном состоянии сознания, и увидел в констатации факта – личный наезд. Уж, что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт – анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать, у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

 

Борис:

Что плохого в безопасниках «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и как стадо хомячков пошли разносить чуму по Европе. Потом глядь, тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

 

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И, нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии, и очень интересны, конечно. Конфликт должен приносить пользу, хотя бы деньги.

Вот, Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

 

Аноним:

Так ты в Positive Technologies или нет?

Нет.

 

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду, последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

 

Bollard:

Привет. Хочу задать несколько вопросов к твоей традиционной вот уже 11 летней рубрике.

1)Почему не заведёшь twitter, было бы удобнее тебя там читать?

2)Почему вендоры и коллеги обижаются когда ты говоришь правду? Они ходят в каких-то розовых очках что ли?Вот твой последний пост о версусе ресурсов, да и о версусе специалистов. Ведь всё правда.Всё так и видится. И примеров просто полно. Достаточно взглянуть на сайты «вендоров №1», заброшенные пятилетние блоги, аккаунты в различных соцсетях и прочее, отсутствие форумов или замена их гугл группами (при импортозамещении-то). Что им мешает иметь такое же видение (предубеждения, пороки, непрофессионализм)?

А, он есть. Просто твиттер оказался такой неэффективной площадкой, что я просто сделал туда редирект с фейсбука. Неудобно ни постить, ни читать.

Почему обижаются? Ну, у меня есть теория на этот счет. Поибэ это такой междусобойчик, закрытый от всех других областей. В нем не принято, сильно выносить сор из избы. Скажем, один известный эксперт, занимающийся теперь вдруг новым направлением экспертизы еще в 2010 году – был туп как пробка по ЗПД. Об этом мне сказал, мой генеральный директор, который в безопасности не понимал вообще ничего. Но эксперт-то известный. По телеку показывают, вроде двигает Иб в массы.

Вся «компрометирующая» информация у нас всегда гуляла в кулуарах. За последний год, я узнал столько о топе поибэ, что просто диву даешься, как они еще могут людям в глаза смотреть? Прямо, вот, в каждого вендора/интегратора в фейсбучке тыкай, такое всплывает.

И, весь этот «компромат» рассказывался либо на пьянках, либо заказчикам. А тут, видите ли Дима, рассказывает что-то не особо приятное. Ату его!

Фокус в том, что ничего компрометирующего я не говорю. Я вообще, как тот жираф, который всю ночь смеется над анекдотами. Но ввиду отсутствия других видимых раздражителей, все агрятся на меня. Ну, не будет же компания А агриться на компанию Б за чернуху, ведь компания А поступает точно так же.

А, на этом все. До следующего года.

Что мне нравится в информационной безопасности?

Меня часто упрекают, что мне ничего не нравиться, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да, вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, что бы их можно было исправить. Что бы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего, вот, вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что как же у них получиться.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях, в это году, видимо только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверно потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий, как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

 

Наверняка, я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

Значимые критерии (+упражнение о кидке Рольфа)

Здравствуйте, здравствуйте мои дорогие любители посчитать чужие деньги. Давно я не затрагивал темы экономической оценки. Должен поделиться своей радостью, уже самые хитрые начинают седлать тему – оценки ИБ. В частности, Андрей Прозоров, активно интересуется, где бы ему что-нибудь подсмотреть. :) Но, пока, смотрит не там. Но не суть, пусть это его начальник оценивает. Хочу поделиться с вами очередным кейсом по оценке.

Значимые критерии

Сама по себе оценка, вещь простая – бери и складывай, умножай. Большая толика проблем лежит в выборе критериев, что же собственно считать и как это делать. Если, вдруг, кто-то слушал мой филлер на Инфосеке, то знает – что единицу оценки называют критерием. Критерии можно собирать в группы и оценивать сразу группу.

Разумеется, надо оценивать лишь значимые критерии, а незначимые не надо. Именно выбор незначимых критериев, порождает смех, когда безопасник приходит со своими «экономическими выкладками». Например, Алексей Лукацкий уже пару лет ходит по конференциям и рассказывает, что безопасники определенных бизнесов должны прийти к директору и всунуть инновацию: «а давайте всех посадим работать удаленно! Внедрим BYOD, сэкономим на электричестве, офисных площадях и т.п. И BYOD. BYOD!!!!!11111» Первый раз я это услышал на вебинаре RISK, и словил немало лулзов. Даже сделал кучу пометок, и когда-нибудь я до них доберусь.

Смысл в другом, подобный безопасник, если и не отправиться сразу на хедхантер, то точно сильно сдаст позиции в компании. Все из-за того, что Алексей придумывал свои пассажи, что бы продавать BYOD от Cisco, а не решать конкретные задачи бизнеса.

Теперь, давайте разберем упражнение по выбору значимых и незначимых критериев.

Упражнение

Решил я купить жене машину. В результате долгих мытарств, мы выбрали Ford Kuga, черного цвета в топовой комплектации. Сходили на тест-драйв, и стали разговаривать о цене.

Основными салонами мы выбрали: Major Auto и Рольф Сити. Оба лидеры по продажам Ford в России. Собственно и планировалось выбрать между ними. И мы даже это сделали, но потом началась серия кидков и подстав, которая и породила данное упражнение.

Суть такова: менеджер Рольф Сити, назовем его Руслан, так обрадовался, что мы выбрали его, что предложил в нагрузку к зимней резине и защите картера, гарантию на 5 лет, 3 ТО бесплатно и поездку в Грецию. Затем, Руслан, позвонил полдесятого ночи, и сказал, что мы его обманули, и он нам ничего не обещал, за нашу резину он платить не будет, и идите нафиг.

После многократных разговоров с начальством Руслана, нам дали нового менеджера, который ухудшил (!) предложение на 30 000 рублей. Поговорив с Мэджером и еще одним салоном, у нас возникло три предложения:

Если оценивать данные критерии качественно, то, конечно, надо брать Рольф. Ведь, они столько предложили бесплатно, плюс халявная поездка – ляпота. Но давайте оценим каждый из критериев.

Разумеется, сразу из расчета надо выкидывать поездку. Поездка в Грецию, по аналогии с желанием Алексея продавать BYOD, не является значимым критерием, при выборе автомобиля. Плюс к этому, хотя сама по себе поездка оплачивает проживание в течение 8 дней (а это около 30 тысяч), перелет и прочие расходы на вас, а это те же самые 30 тысяч или больше, ведь вы туда отдыхать едите, а, следовательно, потратитесь. Если и включать данный критерий в оценку, то скорректировав на величину расходов.

Кстати, новый менеджер Рольфа прекрасно понимал, что поездка – фуфел. Т.к. сразу отказался снизить стоимость машины, на величину поездки. :)

Примерно таким же образом можно было бы избавиться, например, от гарантии или ТО3. Но не будем этого делать, чтобы не городить теорию.

Следующий шаг, оценить полноту критериев. Это значит ответить на вопрос: учтены ли все значимые критерии, влияющие на оценку?

Ответ: нет, не учтены.

Т.к. сейчас для машин, проданных в кредит идет большая скидка, то для его оформления надо оформить КАСКО. Следовательно, сумму страховки также надо включить в критерии (можно и сумму дисконта за кредит). ОСАГО включать не стал, т.к. его цена везде одинакова.

Немного посидев на телефоне и уточнив все цены, мы получаем следующее:

Вуаля. Оказывается, что лучшую цену дает Favorit Motors, который не зажопил работы по установке картера.

Ford я в итоге не купил, и, скорее всего, никогда уже не куплю. Пропало доверие к марке, с такими «лидерами продаж». Да, и политика кредитования у них странная, надо лучше выбирать банки в свою программу.

А, на этом все, до новых встреч.

 

P.S. В копилку разводок и приколов бизнеса по-русски:

1. Никогда не подписывайте в Рольфе предварительный договор до решения брать машину. Во-первых, он вас нифига не защищает. Мой договор уже аннулирован на основании телефонного разговора (!). Т.е. договор есть, но машину по нему, я уже никогда не куплю, если захочу. Фактически – это психологический трюк, чтобы вам было лень ехать и расторгать его.

Во-вторых, это не позволит воспользоваться хорошими предложениями в других Рольфах. Было хорошее предложение в Рольф Центр, но из-за «корпоративной политики», я им не смог воспользоваться.

В-третьих, предварительный договор н фиксирует даже стоимости машины. По сути, это все тот же развод, нацеленный на лень покупателя. Вы вполне можете приехать, и увидеть + 50 000 к цене. :)

2. Сотрудники Рольф Сити с радостью поливают дерьмом другие автосалоны Рольф. Например, на мой вопрос – почему в Рольф Центр точно такая же машина, на 100 000 дешевле. Мне менеджер не моргнув глазом, сказал, что они все подлецы и обманщики, вводящие в заблуждение клиентов. А самая честная цена, у него.

3. Главное не покупать в автодилере допоборудование, если его не дают в подарок. Главная накрутка происходит на работах (сюрприз!). Например, одинаковый перечень оборудования в Мэджоре стоил 130 000 р., а в Рольфе – 200 000 р. Интересно, сколько же у них ТО стоит? :)

Если не хотите потратить свое время, не покупайте Ford в Рольфе.

Книга «Быть PS». Глава про конференции

Что-то поднадоело писать про ИБ. Что не напишу, так сразу кто-нибудь обижается. Таит или изливает обиду, тем самым увеличивая негатив в мире. А я, как постигающий дао, не могу допустить распространения порчи в мире. Поэтому вернусь к старым делам, сегодня очередная глава про pre-sale.

Неделю тому назад у меня выдалась крайне насыщенная программа по выступлениям. Вначале, в среду, мне надо было побыть филлером на конференции (а вернее выставке) Infosec-2016, а в середине дня я узнал, что на BISA-Summit мне тоже надо выступить, т.к. я что-то там выиграл (кстати, всем спасибо, кто за меня голосовал).

Надо сказать, что конференции в вашей карьере будут происходить часто, и вам надо определиться с вашей ролью там.

На каждой конференции (выставке) есть три основных темы (направления), за которыми туда приходят люди. Эти темы практически не пересекаются, и у вас вряд ли получиться их совместить. А если и получиться, то эффект будет минимальным по всем направлениям.

Первое, зачем приходят на конференции – узнать что-то новое. Сюда же относится промышленный шпионаж, воровство идей, подглядывания, подсматривание и т.п. 90% посетителей конференции сидят в залах на выступлениях и круглых столах. Посетители по расписанию выходят на обед и кофе-брейки, и редко отступают от намеченной программы. Расстроить посетителя легко – достаточно не дать ему того, что он ожидал.

Второе направление – пиар. Как личный, так и продукта. Крайне желателен хайп, а еще лучше ввязаться в какой-нибудь срач. Самый затратный пусть – надо либо купить место под стенд, либо навязаться в программу мероприятия.

Последнее направление, я называю, ФБД — «фиготня больших дел». Самая скрытая часть любого массового мероприятия. Сложно, даже четко описать ФБД. Она как дао, проще сказать, что дао не является. Например, точно ФБД не является общение вип-менеджеров в вип-комнате и на завершающем фуршете на глобальные темы. Ее затрагивать сейчас не будем, мб потом. Вы сами поймете, когда будете заниматься ФБД.

А теперь, дорогой друг, рассмотрим возможные роли, сценарии поведения и потенциальный профит от каждого сценария.

Посетитель

Самая распространенная роль. Посетитель — это аналог анонимуса в интернете. Анонимус силен, ибо имя ему легион. Самая лучшая роль, что бы что-нибудь вынюхать, представиться псевдо-заказчиком, задать «неудобный вопрос» и т.п.

Разумеется, вас не должны знать в лицо. Так что, если вы человек известный в узких кругах используйте другие способы добычи информации (здесь ссылка на главу о добыче инфы).

Например, пока я занимал 20 минут эфирного времени на Infosec, в первый ряд сел Андрей Прозоров, который последнее время тоже пытается заниматься экономической оценкой. И стал задавать наводящие вопросы. Разумеется, я ушел от ответов, потому что:

  • Выступление было не про методы, а про подходы;
  • Андрей работает в коммерческой организации и выведывает информацию чопорно;
  • И зачем мне плодить конкурентов?

Минусов у посетителя тоже хватает, вас, скорее всего, не покормят и не нальют. Вам не займут местечко в зале с крутой демонстрацией, не позовут в круг Илиты потрындеть о высоком и т.п. Зато можно несколько раз подходить за какой-нибудь нужной халявой – ручки, блокноты, календари и т.п. Ну, и лишний выходной никто не отменял, большинство конференций можно обойти за 10 минут и свалить.

Стендер

Это роль человека, который стоит на стенде, отвечает на вопросы, рассказывает о продуктах или услугах и т.п. Эта роль подходит не всем, я знаю нескольких человек, которые делают это очень хорошо. Я два раза пытался – это было форменное мучение.

Из плюсов: можно завести кучу случайных знакомств и провести день в компании с симпатичной девушкой (их стали все чаще приглашать на стенды).

Из минусов: полностью убитый день (если вы, конечно, не претесь от этого) и невозможность совмещения с другими ролями.

На той же BISA видел скучающего Максима Лагутина, все хотел подойти, но как-то не получилось (Максим, кстати, отчет так и не пришел по SiteSecure).

Спикер

Вы выступаете с докладом или презентацией. Все просто.

Две возможности просочиться – либо вы проплатили стенд, и доклад входит в ваш пакет, либо вы такой очешуенный специалист, что организаторы вас сами позвали (но чащей, вы просто блогер или медийный персонаж и выступать ваша обязанность).

Крайне сомнительная роль. Пригодна разве что для напоминания о себе. Будете рассказывать о продукте, либо скатитесь в джинсу и вас не будут слушать, либо в какое-нибудь теоретизирование, где ваш продукт замылится за глобальностью темы. 95% коммерческих докладов, которые я слышал, провалились.

Из плюсов: пустят поесть в пресс-зону, а благодарные посетители не дадут вам скучать целый день.

Из минусов: ваш провал запомнят и будут обсуждать еще пару дней, практически исключает ФБД.

Например, на BISA многие ждали секции «Agile в ИБ» от Алексея Лукацкого. Я даже отставил бокал с вискарем и приятную беседу, что бы успеть к началу. К удивлению всех, Алексей начал секцию со слов «Я решил не разговаривать сегодня про agile» и начал брейн ринг с кучей «интересных вопросов». Наверно, фанатам Алексея это понравилось.

agile_sec_lukatsky_1

agile_sec_lukatsky_2

agile_sec_lukatsky_3

Как ни печально, но ребята, что на виду, редко что-то могут предложить или сделать для ФБД. Часто это профессиональные выступающие, а с выступающего взятки гладки. Он не принимает решений и редко участвует в их реализации, т.к. все его время занято выступлениями. Очень жаль.

Сейл

Отдельная глава о сейлах. Вообще, это странная роль для пресейла, т.к. в лучшем случае, на конференции пресейл может поддержать продажу или проект, этакий очередной раунд переговоров в нестандартной обстановке.

Собственно для пресейла эта роль вторична к какой-то другой.

Ищущий работу

Удивительно, но много людей ходят на конференции, что бы сменить место работы. Получается в основном у не-технических специалистов.

Алгоритм прост:

  1. Как можно чаще выступать на конференциях, как независимый эксперт.
  2. Тереться по всем конференциям и выставкам, что бы запомнили в лицо.
  3. Участвовать во всех афтер-пати и заводить знакомства.
  4. ….
  5. PROFIT

Адепт ФБД

Вендоры: Скрывая ярость

Что-то в последнее время всех стала волновать публичность. То на PHD два часа пытались обсудить нужна ли публичность вообще. То теперь Рустэм поднял тему, что вендору не с руки критиковать кого бы то ни было, ведь это может быть потенциальный клиент.

 

 

 

Текст под катом

Плохо быть вендором. Реально трудно стало писать критические посты, самоцензура душит.

Только начнёшь гнать на сотового оператора, а потом подумаешь — наш же клиент, он нам денег платит гораздо больше, чем со счёта списывает, а вдруг обидится? Наедешь на банк — ну вот же платёжка за наш софт, ну простоял за карточкой час, не рассыпался же. Госуслуги два раза начислили — да вот только большой проект с ними забюджетировали. Бензин на заправке недолили — да нам сейчас с этими нефтяниками техподдержку продлевать. Электрички подорожали — а нам сейчас проект расширять. Самолёт задержался… Плитку кладут… Почта задержала…
ну и так далее.

На клиентов вообще грех наезжать. Но и на интеграторов наедешь ненароком — так они, кормильцы, денег нам носят, и бегом извиняться. На чиновников — да они же нам импортозамещение куют. На блогеров — они ж ИБ в массы несут, рынок расширяют.

 

 

 

Рустэм прав: пишущий-выступающий  человек однозначно ассоциируется со своим работодателем, какбы Алексей Лукацкий не пытался всех убедить в обратном. Да, каждый имеет право на свое личное мнение, которое может не совпадать с … , но мы не живем в мире вселенской справедливости. Поэтому все, что бы вы не сказали, будет распространяться на все сферы вашей деятельности.

А вот вопрос самоцензуры – крайне спорный (конечно, если там не одни матюки). Тут переплетаются два вида отношений: вендор-заказчик и блоггер-заказчик. Происходит это на уровне того, что блоггер работает в вендоре, а заказчик поставляет услуги блоггеру, одновременно покупая у вендора.

Ситуации «самоцензуры» надуманы и вредны для физического и психического здоровья. Если вы покупаете чьи-нибудь товары или услуги, делаете это регулярно и осознанно – продавец становится вам почти другом. Крайне сомнительно, что вы будете постоянно что-то покупать у неприятной вам компании, даже если это всемирно признанный лидер рынка. Одно из свойств дружбы – говорить неприятные вещи с целью помочь, а не разрушить дружбу.

Женская дружба, мужская дружба

Например, меня как-то очень сильно кинул Мегафон – три недели без связи на основном номере по их вине, постоянные закрытия заявок без решения, и даже деньги не вернули. Поэтому во всех опросах, которые начинаются фразой «вы зарекомендовали себя как надежный клиент и т.п.», я режу им правду-матку. Но я не ухожу от них, т.к. это был пока единственный случай в 15тлетней дружбе.

Если не говорить о плохом, то оно так и будет длиться и длиться. Если раньше боялись идти против линии партии, теперь боятся невидимой руки рынка: это наш потенциальный клиент, не надо его обижать.

Уж я сильно сомневаюсь, что безопаники (ЦА Рустэма) сильно обидятся, что кто-то в их компании — криворукие дебилы. И, я уверен, многие об этом знают и сами негодуют.

И совсем странно сдерживать себя в ситуациях – «ух, написать бы! нельзя, контракт сорвется». Рынок на то и рынок, что работаешь с тем, кто работает с тобой. Предположим, совершенно негативная компания хочет купить ваш продукт. Но эта компания не нравится вам совершенно, и вы можете влиять на процесс продажи. Продадите? Крайне сомневаюсь.

Сколько известных сегодня европейских фирм гордится своим сотрудничеством с НСДАП? Вот и не будем  спорить про «контракт сорвется».

Конечно, это не касается каких-то общепотребительских товаров. У нас такими могут быть, например, антивирусы. Но в любой более или менее проектной деятельности так и есть. И часто это могут исправить лишь крайне сумасшедшие деньги, как, например, переплачивают в нашем футболе легионерам. Я сам был несколько раз свидетелем, когда компании исполнители отказывались от крупных договоров по причине неприязни. Это как если бы Solar захотел купить пару лицензий Infowatch.

К тому же, ярость имеет свойство накапливаться. Такое у нее свойство. Поэтому ей надо давать выход. Понятно, что ограничитель «сделка сорвется» очень плохой и приводит к стрессам. Представляете, вы целый год работаете с людьми, которые вас бесят, и не можете им об этом сказать. Да люди за стволы берутся от такого через пару недель, что уж говорить о переживании такого из года в год.

А ведь все начинается с простого. Если вы уже многолетние партнеры, то вам будет гораздо проще донести до друга его ошибки, сделать это не больно и, самое главное, предложить решения. Ведь вы знаете куда больше тех, кто не пользуется их услугами, и о вас знают больше и скорее прислушаются.

А вообще всем все равно. У нас, к сожалению, не случился 1984 – Оруэлл ошибся. А вот Хаксли был прав. Сейчас любую ошибку можно вывернуть, и так долго об этом говорить, что это станет правдой. Вон, весь мир до сих пор уверен, что у нас войска в ДНР.

Как-то так.

Уважение и авторитет в ИБ

Полтора часа назад я стоял на светофоре и слушал музыку. Вдруг от остановки отделяется мужчина лет 55-60, подходит к моей машине, открывает переднюю правую дверь и что-то мне говорит. На мое праведное возмущение и требование закрыть дверь с той стороны, мужчина хлопает дверью и начинает огрызаться, что я с ним не уважительно разговаривал, т.к. он старше. Несмотря на весь сюрреализм ситуации, она типична – подавляющее большинство людей, достигнув определенного возраста, считают, что остальные обязаны выказывать им уважение. Рассмотрим эту ситуацию на примере информационной безопасности.

on_top

По сути, уважение имеет глубокие корни. Хомо сапиенсы издревле заботились о стариках в знак признания их достоинств (хотя бы потому, что они прожили так долго). Когда наше общество осваивало палки-копалки уважением пользовались те люди, которые их умели создавать, применять и обучить создавать других. Но 6000 лет назад все кардинально поменялось. Изменилась сама форма научения от мастера к ученику на социальные формы. Как раз последующие 7,5 тысяч лет этот переход кристаллизовался, и получилось наше настоящее.

Но люди в возрасте все еще требуют к себе слепого уважения. Его используют везде и повсеместно, даже Рустем Хайретдинов (по отношению к другому лицу). Уважение имеет много форм, чаще всего встречаются две.

Личное уважение. Когда конкретно вы уважаете конкретно его. Причины могут всякие разные. Многие уважают своих родителей, учителей, старших товарищей, выдающихся коллег по работе или людей, обладающих качествами, которые вам импонируют.

Профессиональное уважение. Когда человека уважают за что-то свершенное им: открытие, многолетний непогрешимый труд, подвиг и т.п.

Как видно, обе эти формы не имеют кванта всеобщности. И уважение может быть легко потеряно, если объект этого самого уважения ведет себя неподобающим образом.

Всеобщее уважение можно чувствовать к определенным группам людей, объединенных общим свершением, например, ветеранам (и в связи с этим особенно мерзко, когда в нашей стране паразитируют граждане с ветеранскими удостоверениями 70-75 лет отроду, периодически примазываясь к чужим заслугам).

Наш мир настолько быстро меняется и так информационно насыщен, что даже опыт предпенсионного поколения может быть использован крайне незначительно. После 50 вообще сложно научиться чему-то новому. А старый пласт знаний давит очень сильно. Например, люди, в сознательном возрасте программирующие на перфокартах, сейчас довольно отдаленно понимают принципы действия современных компьютеров. Именно поэтому большинство старших преподавателей дают фундаментальные предметы, а специализацию – молодые аспиранты. Только не надо думать, что я против «стариков», у них есть куча преимуществ над «молодыми», но мы сейчас об уважении.

И тут начинается круговая порука, «ты меня уважаешь? я тебя уважаю! вместе мы уважаемые люди!». Если хотите, можно назвать это заговором уважаемых — когда группа людей начинает расхваливать друг друга на все лады, и человеку не посвященному невозможно разобраться, ху из ху. Прием отлично действует в реальной жизни. Например, в советское время определенные «культовые режиссеры» сами на себя писали благостные рецензии, тем самым поднимая статус своих поделок. И так везде.

Этот «заговор» — огромное препятствие для общества вообще, и для информационной безопасности в частности. Он ограждает «вековые устои», все эти «у нас так принято» от посягательства молодых и наглых. Только не подумайте, будто я считаю, что это плохо. Это естественная реакция человека залезть наверх и скидывать оттуда посягнувших. Но пока я со стороны карабкающихся – мне это не нравится.

Я не понимаю, почему люди считают окончательным аргументом отсылку к авторитету «а вот уважаемый эксперт считает». Фактически имеют ценность только результаты. Ни количество пройденных курсов, ни написанных статей, ни выступлений на конференциях – не приближают человека ни к одной из форм уважения. Разумеется, за исключением  случаев, если вы хотите сдать много курсов, писать статьи и много выступать — вот в этом аспекте да, уважение во все поля. Но при чем тут безопасность?

Другая крайность, когда уважаемый в одной области человек начинает вещать по любому поводу. Самые известные примеры: академик Сахаров и чемпион мира Каспаров. Я с удовольствием слушаю и уважаю, например, Рустема по вопросам создания и управления ИБ компаний, а Алексей Лукацкого – по вопросам написания трех постов в день. Но сомневаюсь, что они будут высказывать компетентное мнение по вопросам той же защиты персональных данных.

Наша область сильно дифференцирована, что в частности и показал последний PHD. Никому из хакеров не интересна наша бумажная возня. А аналитикам – инженерная. А ведь есть еще и сейловая и пресельная части, которые обобщенно можно назвать методологической и архитектурной частью. И в каждой свои герои.

Любой авторитет и любое уважение должно выдерживать шквал скепсиса. При этом подлинному авторитету не требуется ничего делать для своей защиты, за него говорят его дела. А глиняные колоссы качаются от любого ветра. Думайте своей головой и выбирайте правильных авторитетов.

Спасибо за уделенное время. Всем огромной удачи и пока.

Что же читать безопасникам? Теперь про книги

Где-то около полугода назад я уже поднимал эту тему. Тот материал получился в итоге о том, что же читать не стоит. Один из минусов графомании — неспособность писать по заказу, мысль несется вперед, и остановить ты ее не можешь. И начать разговор хотелось бы парой слов… про шахматы.

chess-game-1

Шахматы – известная всем игра, пошаговая стратегия, где компьютеры уже давно победили людей.

Я очень люблю шахматы, в детстве ими занимался, и даже были определенные успехи. Но путь для меня туда был закрыт, т.к. я был довольно старым и ленивым, чтобы зубрить теорию и решать кучу этюдов. Кстати, если кто любит вариант Дракона – палец вверх. Если вы немного интересовались шахматами, то знаете, что есть несколько общих рекомендаций для каждой стадии игры (дебюта, миттельшпиля и эндшпиля – начала, середины и конца игры соответственно). Да, они не позволят вам победить гроссмейстера, но вся теория шахмат так или иначе крутится вокруг них. Например:

  • Надо захватывать центр;
  • Развитие фигур в дебюте выгоднее сиюминутной выгоды;
  • Не ходи в дебюте два раза подряд одной фигурой;
  • Конь на краю доски – позор (с) Тарраш, и так далее.

К чему это я? В информационной безопасности, как и в любой сфере, тоже есть свои определенные рекомендации. При определенном старании их можно было бы вывести все, но это не цель данной заметки. Я хочу обратить внимание лишь на один аспект, тот самый, что роднит нас с шахматами: люди соревнуются друг с другом посредством компьютера. Данный аспект базируется на одном из ключевых принципов, о котором далее.

Именно поэтому в первой части я мало внимания уделил технической составляющей навыков. Бесспорно, они нужны. Но они являются лишь инструментом напыривания или, наоборот, защиты от атаки другого человека или группы лиц.

Ключевое во всей нашей деятельность – взаимоотношения с людьми. Именно люди создают, реализуют и эксплуатируют 99% уязвимостей в вашей модели угроз.

Отстраненный пример: я переходил на каждую новую винду через 1-2 года после того, как она релизилась, а лучше после выхода второго SP. Таким образом, мимо меня прошли Windows ME, Vista и 8, т.к. к тому моменту, как необходимость в них возникала, выходила уже новая винда. Делал я это по банальным причинам, т.к. предполагал, что новый продукт будет довольно сырым, выпущенным, исходя из требований бизнеса и маркетинга (например, из чувства соперничества или жадности). Это все делали впопыхах, и будут допиливать по результатам платного тестирования (уже техническая сторона вопроса).

Именно рассматривая угрозы с человеческой точки зрения, можно прийти к выводу, что, например, угроза инсайдеров в нашей стране крайне маловероятна для 99,99% фирм. А те, что все-таки подвержены, работают, в основном, не в тех областях, где обычно боятся инсайдеров. А вот утечки для нас крайне критичны.

Итак, один из принципов: человек совершает любые действия к своей выгоде.

Как видите, очень просто, пафосно и абстрактно. Если обсуждать конкретно и нормальным языком, то будет довольно сложно и много читать. Суть не в этом. Каждый человек понимает эти принципы интуитивно, но часто забывает, когда речь касается информационной безопасности или компьютеров вообще. Ведь скажем тот же альтруизм — это лишь одна из форм выгоды.

Хватит лирики. Чтобы понимать новое в ИБ, все эти модные угрозы и тренды, надо всего лишь понимать, что движет людьми в данной ситуации, как со стороны предлагающих решения, так и со стороны атакующих-защищающихся.

Я не хотел бы здесь давать каких-то конкретных рецептов, а тем более давать ссылки на какие-то крайне сомнительные излияния известных психиаторов (кому интересно – концепции Фрейда и Юнга не нашли подтверждения в своей основной сути, лишь несколько частных наблюдений используются в современной практике, но они мало применимы в бытовом плане). Скорее это книги общего плана (кроме того, что их просто интересно читать), которые дадут вам представление о том, кто мы есть, откуда взялись и куда идем.

 

И первая книга… «Основы оперативно-розыскной деятельности». Пам-пам-пам…. На самом деле я поставил ее первой, чтобы просто про нее не забыть. Сейчас таких книг очень много, можете взять любую. Сам я, еще в институте, читал извлечения из внутренней методички Академии МВД. Крайне прочищает мозги и выстраивает в голове методологию. Основным эмпирическим выводом для меня стало понимание сути доказательств, работа с фактами и разделения умышленных и неумышленных действий.

evolutionБазовой книгой для понимания нашей природы для меня стала очешуенная книга Александра Маркова «Эволюция человека» в двух частях (хотя читал я ее уже после Докинза, про которого можно говорить и говорить). Собственно, именно отсюда вы узнаете основные паттерны поведения нас как вида. Почему мы именно такие. Для многих бывает открытием, что предки наши вышли из Африки, и, по сути, мы все потомки негров. Мы приспособлены к жизни в саванне, воспринимаем мир на средних скоростях и 95% времени вообще не думали. По эволюционным меркам это произошло вчера, поэтому все проблемы дня сегодняшнего не разрешатся еще несколько сотен тысяч лет. Читайте, крайне интересно.

i_IQСледующая книга раскроет вам мир эмоций – Даниэль Гоулман «Эмоциональный интеллект». Я читал самое первое издание, сейчас у него вышло несколько редакций и продолжение. Если вы прочитаете Эволюцию, то эта книга дополнит картину с точки зрения эмоций. Вы станете с пониманием относиться к окружающим вас явлениям. Например, помните, как Алексей Лукацкий набросил на меня? Я был спокоен. Я понимал, что у Алексея сагрилась самая древняя часть мозга (та, что принимает камень за льва, где нестрашно ошибиться и обознаться, но которая дает шанс убежать от реального льва). Но так как инстинкты работают быстрее разума (те самые средние скорости), получилось то, что получилось. Лев оказался камнем.

organЧетвертая книга будет полезна тем, кто работает в заказчиках. Эдгар Г. Шейн «Организационная культура и лидерство». Книга немного занудна и пережевывает одно и то же несколько раз (впрочем, это особенность западной литературы), но она крайне полезна в понимании, что такое корпоративные интересы, какие группы есть внутри коллектива, как они взаимодействуют и т.п. Вот вчера представитель Аванпоста накинулся на меня со словами «да как он посмел! Это кто такой? На Женю! На Мишу! На Лешу!!!!1111». Прочтя эту книгу, вы будете видеть в этом не личные наезды, а защиту корпоративных интересов. Собственно люди как вид — глубоко социальные, и всегда находятся особи, которые блюдут интересы этого социума. Кстати, в Эволюции этот момент раскрывается с точки зрения этологии, как и почему низкоранговые животные ведут себя более агрессивно по отношению к чужакам, чем высокоранговые.

В завершение рекомендовал бы книгу для небольшого релакса – «Вы, конечно, шутите, мистер Фейнман!». Эта великолепная книга Ричарда Фейнмана (топ-3 моих любимых авторов) поможет вам лучше понять, что же такое научный метод. Позволит разделять вам эмоции и разум на плоть от плоти науки. И она просто охеренная.

feiman

На этом хотел бы на сегодня закончить. Хороших книг довольно много, но не хочу отнимать хлеб профессиональных рецензентов.

Огромной всем удачи, и пока.

Positive Hack Days 2016 – Королева в восхищении!

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я на мероприятие на удивление легко. Думаю, это был мой последний опыт на данном поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD – восхитителен именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, теми, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то даже не настраивал, рвет от всего этого великолепия крышу. Помнится, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ — тебе очень нравится, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер». В свое время журнал позволил приобщаться к чему-то этакому, в какой-то степени контр-культурному, инженерному. Если вы читали его с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потом я перестал его покупать. На одной контр-культурности далеко не уедешь.

Мне конференция понравилась, людей много, все везде бегают, какие-то непонятные движухи. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно — глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады.
  • Потусоваться, поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой или что-то активно обсуждают по телефону. Количество сделок, заключаемых на конференциях – серьезная величина, которой нельзя пренебречь.

На PHD такого почти не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить — за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус: нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин я подъехал только к часу дня. Немного жаль, ведь в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А вот Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: после слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации, где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами — все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов. Многие мужья колотят и тиранят своих жен, но лишь единицы прибегают к помощи со стороны.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все то же самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее.

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра.

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают.

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного конента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация ведь происходит по просмотрам», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах говорящих. Например, с той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или с желанием прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку. Интересный момент: тот же Алексей очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вместе с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а также ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго: кому-то достаточно простого «я сделал», а кто-то спать не может, ведь «в интернете кто-то не прав», и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, чтобы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относится), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет — тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А вот задача специалистов – оберегать домохозяек, чтобы они спали спокойно. Все думающие иначе должны начать с курсов компьютерной грамотности для населения, а через поколение-другое уже переходить в поибэ.

И, в заключение, качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует — для вас его контент будет качественным. Если блогер — мудлан, вы читать его не будете, как бы он не извернулся, что наша дискуссия с Алексеем  и показала.

Не смотря на нашу историю с Алексеем, я говорил и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А вот Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, например, про книги совсем не интересно, а про Solar интересно.

И напоследок. Hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

 

P. S. Скорее всего это был мой последний отчет о конференциях. На конференции попасть сложно, пишутся отчеты долго, да еще и скандалы всякие возникают. Следующий напишу, если буду участвовать или организовывать.