Архив метки: Алексей Лукацкий

Вендоры: Скрывая ярость

Что-то в последнее время всех стала волновать публичность. То на PHD два часа пытались обсудить нужна ли публичность вообще. То теперь Рустэм поднял тему, что вендору не с руки критиковать кого бы то ни было, ведь это может быть потенциальный клиент.

 

 

 

Текст под катом

Плохо быть вендором. Реально трудно стало писать критические посты, самоцензура душит.

Только начнёшь гнать на сотового оператора, а потом подумаешь — наш же клиент, он нам денег платит гораздо больше, чем со счёта списывает, а вдруг обидится? Наедешь на банк — ну вот же платёжка за наш софт, ну простоял за карточкой час, не рассыпался же. Госуслуги два раза начислили — да вот только большой проект с ними забюджетировали. Бензин на заправке недолили — да нам сейчас с этими нефтяниками техподдержку продлевать. Электрички подорожали — а нам сейчас проект расширять. Самолёт задержался… Плитку кладут… Почта задержала…
ну и так далее.

На клиентов вообще грех наезжать. Но и на интеграторов наедешь ненароком — так они, кормильцы, денег нам носят, и бегом извиняться. На чиновников — да они же нам импортозамещение куют. На блогеров — они ж ИБ в массы несут, рынок расширяют.

 

 

 

Рустэм прав: пишущий-выступающий  человек однозначно ассоциируется со своим работодателем, какбы Алексей Лукацкий не пытался всех убедить в обратном. Да, каждый имеет право на свое личное мнение, которое может не совпадать с … , но мы не живем в мире вселенской справедливости. Поэтому все, что бы вы не сказали, будет распространяться на все сферы вашей деятельности.

А вот вопрос самоцензуры – крайне спорный (конечно, если там не одни матюки). Тут переплетаются два вида отношений: вендор-заказчик и блоггер-заказчик. Происходит это на уровне того, что блоггер работает в вендоре, а заказчик поставляет услуги блоггеру, одновременно покупая у вендора.

Ситуации «самоцензуры» надуманы и вредны для физического и психического здоровья. Если вы покупаете чьи-нибудь товары или услуги, делаете это регулярно и осознанно – продавец становится вам почти другом. Крайне сомнительно, что вы будете постоянно что-то покупать у неприятной вам компании, даже если это всемирно признанный лидер рынка. Одно из свойств дружбы – говорить неприятные вещи с целью помочь, а не разрушить дружбу.

Женская дружба, мужская дружба

Например, меня как-то очень сильно кинул Мегафон – три недели без связи на основном номере по их вине, постоянные закрытия заявок без решения, и даже деньги не вернули. Поэтому во всех опросах, которые начинаются фразой «вы зарекомендовали себя как надежный клиент и т.п.», я режу им правду-матку. Но я не ухожу от них, т.к. это был пока единственный случай в 15тлетней дружбе.

Если не говорить о плохом, то оно так и будет длиться и длиться. Если раньше боялись идти против линии партии, теперь боятся невидимой руки рынка: это наш потенциальный клиент, не надо его обижать.

Уж я сильно сомневаюсь, что безопаники (ЦА Рустэма) сильно обидятся, что кто-то в их компании — криворукие дебилы. И, я уверен, многие об этом знают и сами негодуют.

И совсем странно сдерживать себя в ситуациях – «ух, написать бы! нельзя, контракт сорвется». Рынок на то и рынок, что работаешь с тем, кто работает с тобой. Предположим, совершенно негативная компания хочет купить ваш продукт. Но эта компания не нравится вам совершенно, и вы можете влиять на процесс продажи. Продадите? Крайне сомневаюсь.

Сколько известных сегодня европейских фирм гордится своим сотрудничеством с НСДАП? Вот и не будем  спорить про «контракт сорвется».

Конечно, это не касается каких-то общепотребительских товаров. У нас такими могут быть, например, антивирусы. Но в любой более или менее проектной деятельности так и есть. И часто это могут исправить лишь крайне сумасшедшие деньги, как, например, переплачивают в нашем футболе легионерам. Я сам был несколько раз свидетелем, когда компании исполнители отказывались от крупных договоров по причине неприязни. Это как если бы Solar захотел купить пару лицензий Infowatch.

К тому же, ярость имеет свойство накапливаться. Такое у нее свойство. Поэтому ей надо давать выход. Понятно, что ограничитель «сделка сорвется» очень плохой и приводит к стрессам. Представляете, вы целый год работаете с людьми, которые вас бесят, и не можете им об этом сказать. Да люди за стволы берутся от такого через пару недель, что уж говорить о переживании такого из года в год.

А ведь все начинается с простого. Если вы уже многолетние партнеры, то вам будет гораздо проще донести до друга его ошибки, сделать это не больно и, самое главное, предложить решения. Ведь вы знаете куда больше тех, кто не пользуется их услугами, и о вас знают больше и скорее прислушаются.

А вообще всем все равно. У нас, к сожалению, не случился 1984 – Оруэлл ошибся. А вот Хаксли был прав. Сейчас любую ошибку можно вывернуть, и так долго об этом говорить, что это станет правдой. Вон, весь мир до сих пор уверен, что у нас войска в ДНР.

Как-то так.

Уважение и авторитет в ИБ

Полтора часа назад я стоял на светофоре и слушал музыку. Вдруг от остановки отделяется мужчина лет 55-60, подходит к моей машине, открывает переднюю правую дверь и что-то мне говорит. На мое праведное возмущение и требование закрыть дверь с той стороны, мужчина хлопает дверью и начинает огрызаться, что я с ним не уважительно разговаривал, т.к. он старше. Несмотря на весь сюрреализм ситуации, она типична – подавляющее большинство людей, достигнув определенного возраста, считают, что остальные обязаны выказывать им уважение. Рассмотрим эту ситуацию на примере информационной безопасности.

on_top

По сути, уважение имеет глубокие корни. Хомо сапиенсы издревле заботились о стариках в знак признания их достоинств (хотя бы потому, что они прожили так долго). Когда наше общество осваивало палки-копалки уважением пользовались те люди, которые их умели создавать, применять и обучить создавать других. Но 6000 лет назад все кардинально поменялось. Изменилась сама форма научения от мастера к ученику на социальные формы. Как раз последующие 7,5 тысяч лет этот переход кристаллизовался, и получилось наше настоящее.

Но люди в возрасте все еще требуют к себе слепого уважения. Его используют везде и повсеместно, даже Рустем Хайретдинов (по отношению к другому лицу). Уважение имеет много форм, чаще всего встречаются две.

Личное уважение. Когда конкретно вы уважаете конкретно его. Причины могут всякие разные. Многие уважают своих родителей, учителей, старших товарищей, выдающихся коллег по работе или людей, обладающих качествами, которые вам импонируют.

Профессиональное уважение. Когда человека уважают за что-то свершенное им: открытие, многолетний непогрешимый труд, подвиг и т.п.

Как видно, обе эти формы не имеют кванта всеобщности. И уважение может быть легко потеряно, если объект этого самого уважения ведет себя неподобающим образом.

Всеобщее уважение можно чувствовать к определенным группам людей, объединенных общим свершением, например, ветеранам (и в связи с этим особенно мерзко, когда в нашей стране паразитируют граждане с ветеранскими удостоверениями 70-75 лет отроду, периодически примазываясь к чужим заслугам).

Наш мир настолько быстро меняется и так информационно насыщен, что даже опыт предпенсионного поколения может быть использован крайне незначительно. После 50 вообще сложно научиться чему-то новому. А старый пласт знаний давит очень сильно. Например, люди, в сознательном возрасте программирующие на перфокартах, сейчас довольно отдаленно понимают принципы действия современных компьютеров. Именно поэтому большинство старших преподавателей дают фундаментальные предметы, а специализацию – молодые аспиранты. Только не надо думать, что я против «стариков», у них есть куча преимуществ над «молодыми», но мы сейчас об уважении.

И тут начинается круговая порука, «ты меня уважаешь? я тебя уважаю! вместе мы уважаемые люди!». Если хотите, можно назвать это заговором уважаемых — когда группа людей начинает расхваливать друг друга на все лады, и человеку не посвященному невозможно разобраться, ху из ху. Прием отлично действует в реальной жизни. Например, в советское время определенные «культовые режиссеры» сами на себя писали благостные рецензии, тем самым поднимая статус своих поделок. И так везде.

Этот «заговор» — огромное препятствие для общества вообще, и для информационной безопасности в частности. Он ограждает «вековые устои», все эти «у нас так принято» от посягательства молодых и наглых. Только не подумайте, будто я считаю, что это плохо. Это естественная реакция человека залезть наверх и скидывать оттуда посягнувших. Но пока я со стороны карабкающихся – мне это не нравится.

Я не понимаю, почему люди считают окончательным аргументом отсылку к авторитету «а вот уважаемый эксперт считает». Фактически имеют ценность только результаты. Ни количество пройденных курсов, ни написанных статей, ни выступлений на конференциях – не приближают человека ни к одной из форм уважения. Разумеется, за исключением  случаев, если вы хотите сдать много курсов, писать статьи и много выступать — вот в этом аспекте да, уважение во все поля. Но при чем тут безопасность?

Другая крайность, когда уважаемый в одной области человек начинает вещать по любому поводу. Самые известные примеры: академик Сахаров и чемпион мира Каспаров. Я с удовольствием слушаю и уважаю, например, Рустема по вопросам создания и управления ИБ компаний, а Алексей Лукацкого – по вопросам написания трех постов в день. Но сомневаюсь, что они будут высказывать компетентное мнение по вопросам той же защиты персональных данных.

Наша область сильно дифференцирована, что в частности и показал последний PHD. Никому из хакеров не интересна наша бумажная возня. А аналитикам – инженерная. А ведь есть еще и сейловая и пресельная части, которые обобщенно можно назвать методологической и архитектурной частью. И в каждой свои герои.

Любой авторитет и любое уважение должно выдерживать шквал скепсиса. При этом подлинному авторитету не требуется ничего делать для своей защиты, за него говорят его дела. А глиняные колоссы качаются от любого ветра. Думайте своей головой и выбирайте правильных авторитетов.

Спасибо за уделенное время. Всем огромной удачи и пока.

Что же читать безопасникам? Теперь про книги

Где-то около полугода назад я уже поднимал эту тему. Тот материал получился в итоге о том, что же читать не стоит. Один из минусов графомании — неспособность писать по заказу, мысль несется вперед, и остановить ты ее не можешь. И начать разговор хотелось бы парой слов… про шахматы.

chess-game-1

Шахматы – известная всем игра, пошаговая стратегия, где компьютеры уже давно победили людей.

Я очень люблю шахматы, в детстве ими занимался, и даже были определенные успехи. Но путь для меня туда был закрыт, т.к. я был довольно старым и ленивым, чтобы зубрить теорию и решать кучу этюдов. Кстати, если кто любит вариант Дракона – палец вверх. Если вы немного интересовались шахматами, то знаете, что есть несколько общих рекомендаций для каждой стадии игры (дебюта, миттельшпиля и эндшпиля – начала, середины и конца игры соответственно). Да, они не позволят вам победить гроссмейстера, но вся теория шахмат так или иначе крутится вокруг них. Например:

  • Надо захватывать центр;
  • Развитие фигур в дебюте выгоднее сиюминутной выгоды;
  • Не ходи в дебюте два раза подряд одной фигурой;
  • Конь на краю доски – позор (с) Тарраш, и так далее.

К чему это я? В информационной безопасности, как и в любой сфере, тоже есть свои определенные рекомендации. При определенном старании их можно было бы вывести все, но это не цель данной заметки. Я хочу обратить внимание лишь на один аспект, тот самый, что роднит нас с шахматами: люди соревнуются друг с другом посредством компьютера. Данный аспект базируется на одном из ключевых принципов, о котором далее.

Именно поэтому в первой части я мало внимания уделил технической составляющей навыков. Бесспорно, они нужны. Но они являются лишь инструментом напыривания или, наоборот, защиты от атаки другого человека или группы лиц.

Ключевое во всей нашей деятельность – взаимоотношения с людьми. Именно люди создают, реализуют и эксплуатируют 99% уязвимостей в вашей модели угроз.

Отстраненный пример: я переходил на каждую новую винду через 1-2 года после того, как она релизилась, а лучше после выхода второго SP. Таким образом, мимо меня прошли Windows ME, Vista и 8, т.к. к тому моменту, как необходимость в них возникала, выходила уже новая винда. Делал я это по банальным причинам, т.к. предполагал, что новый продукт будет довольно сырым, выпущенным, исходя из требований бизнеса и маркетинга (например, из чувства соперничества или жадности). Это все делали впопыхах, и будут допиливать по результатам платного тестирования (уже техническая сторона вопроса).

Именно рассматривая угрозы с человеческой точки зрения, можно прийти к выводу, что, например, угроза инсайдеров в нашей стране крайне маловероятна для 99,99% фирм. А те, что все-таки подвержены, работают, в основном, не в тех областях, где обычно боятся инсайдеров. А вот утечки для нас крайне критичны.

Итак, один из принципов: человек совершает любые действия к своей выгоде.

Как видите, очень просто, пафосно и абстрактно. Если обсуждать конкретно и нормальным языком, то будет довольно сложно и много читать. Суть не в этом. Каждый человек понимает эти принципы интуитивно, но часто забывает, когда речь касается информационной безопасности или компьютеров вообще. Ведь скажем тот же альтруизм — это лишь одна из форм выгоды.

Хватит лирики. Чтобы понимать новое в ИБ, все эти модные угрозы и тренды, надо всего лишь понимать, что движет людьми в данной ситуации, как со стороны предлагающих решения, так и со стороны атакующих-защищающихся.

Я не хотел бы здесь давать каких-то конкретных рецептов, а тем более давать ссылки на какие-то крайне сомнительные излияния известных психиаторов (кому интересно – концепции Фрейда и Юнга не нашли подтверждения в своей основной сути, лишь несколько частных наблюдений используются в современной практике, но они мало применимы в бытовом плане). Скорее это книги общего плана (кроме того, что их просто интересно читать), которые дадут вам представление о том, кто мы есть, откуда взялись и куда идем.

 

И первая книга… «Основы оперативно-розыскной деятельности». Пам-пам-пам…. На самом деле я поставил ее первой, чтобы просто про нее не забыть. Сейчас таких книг очень много, можете взять любую. Сам я, еще в институте, читал извлечения из внутренней методички Академии МВД. Крайне прочищает мозги и выстраивает в голове методологию. Основным эмпирическим выводом для меня стало понимание сути доказательств, работа с фактами и разделения умышленных и неумышленных действий.

evolutionБазовой книгой для понимания нашей природы для меня стала очешуенная книга Александра Маркова «Эволюция человека» в двух частях (хотя читал я ее уже после Докинза, про которого можно говорить и говорить). Собственно, именно отсюда вы узнаете основные паттерны поведения нас как вида. Почему мы именно такие. Для многих бывает открытием, что предки наши вышли из Африки, и, по сути, мы все потомки негров. Мы приспособлены к жизни в саванне, воспринимаем мир на средних скоростях и 95% времени вообще не думали. По эволюционным меркам это произошло вчера, поэтому все проблемы дня сегодняшнего не разрешатся еще несколько сотен тысяч лет. Читайте, крайне интересно.

i_IQСледующая книга раскроет вам мир эмоций – Даниэль Гоулман «Эмоциональный интеллект». Я читал самое первое издание, сейчас у него вышло несколько редакций и продолжение. Если вы прочитаете Эволюцию, то эта книга дополнит картину с точки зрения эмоций. Вы станете с пониманием относиться к окружающим вас явлениям. Например, помните, как Алексей Лукацкий набросил на меня? Я был спокоен. Я понимал, что у Алексея сагрилась самая древняя часть мозга (та, что принимает камень за льва, где нестрашно ошибиться и обознаться, но которая дает шанс убежать от реального льва). Но так как инстинкты работают быстрее разума (те самые средние скорости), получилось то, что получилось. Лев оказался камнем.

organЧетвертая книга будет полезна тем, кто работает в заказчиках. Эдгар Г. Шейн «Организационная культура и лидерство». Книга немного занудна и пережевывает одно и то же несколько раз (впрочем, это особенность западной литературы), но она крайне полезна в понимании, что такое корпоративные интересы, какие группы есть внутри коллектива, как они взаимодействуют и т.п. Вот вчера представитель Аванпоста накинулся на меня со словами «да как он посмел! Это кто такой? На Женю! На Мишу! На Лешу!!!!1111». Прочтя эту книгу, вы будете видеть в этом не личные наезды, а защиту корпоративных интересов. Собственно люди как вид — глубоко социальные, и всегда находятся особи, которые блюдут интересы этого социума. Кстати, в Эволюции этот момент раскрывается с точки зрения этологии, как и почему низкоранговые животные ведут себя более агрессивно по отношению к чужакам, чем высокоранговые.

В завершение рекомендовал бы книгу для небольшого релакса – «Вы, конечно, шутите, мистер Фейнман!». Эта великолепная книга Ричарда Фейнмана (топ-3 моих любимых авторов) поможет вам лучше понять, что же такое научный метод. Позволит разделять вам эмоции и разум на плоть от плоти науки. И она просто охеренная.

feiman

На этом хотел бы на сегодня закончить. Хороших книг довольно много, но не хочу отнимать хлеб профессиональных рецензентов.

Огромной всем удачи, и пока.

Positive Hack Days 2016 – Королева в восхищении!

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я на мероприятие на удивление легко. Думаю, это был мой последний опыт на данном поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD – восхитителен именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, теми, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то даже не настраивал, рвет от всего этого великолепия крышу. Помнится, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ — тебе очень нравится, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер». В свое время журнал позволил приобщаться к чему-то этакому, в какой-то степени контр-культурному, инженерному. Если вы читали его с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потом я перестал его покупать. На одной контр-культурности далеко не уедешь.

Мне конференция понравилась, людей много, все везде бегают, какие-то непонятные движухи. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно — глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады.
  • Потусоваться, поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой или что-то активно обсуждают по телефону. Количество сделок, заключаемых на конференциях – серьезная величина, которой нельзя пренебречь.

На PHD такого почти не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить — за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус: нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин я подъехал только к часу дня. Немного жаль, ведь в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А вот Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: после слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации, где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами — все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов. Многие мужья колотят и тиранят своих жен, но лишь единицы прибегают к помощи со стороны.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все то же самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее.

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра.

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают.

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного конента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация ведь происходит по просмотрам», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах говорящих. Например, с той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или с желанием прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку. Интересный момент: тот же Алексей очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вместе с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а также ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго: кому-то достаточно простого «я сделал», а кто-то спать не может, ведь «в интернете кто-то не прав», и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, чтобы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относится), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет — тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А вот задача специалистов – оберегать домохозяек, чтобы они спали спокойно. Все думающие иначе должны начать с курсов компьютерной грамотности для населения, а через поколение-другое уже переходить в поибэ.

И, в заключение, качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует — для вас его контент будет качественным. Если блогер — мудлан, вы читать его не будете, как бы он не извернулся, что наша дискуссия с Алексеем  и показала.

Не смотря на нашу историю с Алексеем, я говорил и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А вот Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, например, про книги совсем не интересно, а про Solar интересно.

И напоследок. Hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

 

P. S. Скорее всего это был мой последний отчет о конференциях. На конференции попасть сложно, пишутся отчеты долго, да еще и скандалы всякие возникают. Следующий напишу, если буду участвовать или организовывать.

Войны блогеров по ИБ

Когда воюют блогеры, комментариев в избытке (с) мое

Сегодня произошло странное, о чем и хотелось бы сказать, чтобы расставить все точки. В чем суть? Сегодня была настоящая война блогеров со мной. Весь топ блогинга поибэ ринулся защищать свои интересы от моих мнимых нападок.

5753_900

Началось все со второй части моего отчета о CISO-Forum, где в одном предложении был упомянут Алексей Лукацкий. Упомянут был в контексте того, что Алексей неважно модерировал пленарное заседание, на котором была джинса от ISACA, съевшая 30 минут из 40 всей пленарки.

Через 2 минуты после заброса в фейсбук я получил комментарий от Алексея. Удивительно, какая скорость. Думаю, фильтр какой-то на собственную фамилию поставил, или что-то в этом роде. Хотя еще недавно Алексей заявлял, что репутации в России не существует, а ему конкретно – все равно, что о нем пишут, уже столько написали.

Алексею показалось, что я говорил о его секции, на которой меня якобы не было (Алексей, я там был. Я в тот день был почти на всех секциях, за исключение круглых столов, т.к. сам вел один). Но не суть, говорил-то я о пленарном заседании, а не о секции Лукацкого. Как видно, фейл на лицо. Ну, с кем не бывает. Утром я указал на ошибку, и забыл.

Приехал на PHD, зашел на секцию публичности в ИБ. Сижу, никого не трогаю, и тут Алексей с поддержкой начинает шпильки мне кидать… я так понимаю, это что-то личное, Алексей еще на CISO-forum желал мне провала. И тут подошла тяжелая артиллерия. Закончилось все тем, что Алексей высказал мысль, что у нас нет качественного контента в принципе. На мое уточнение, «и среди сидящих за кафедрой?», Алексей выкрикнул мне персональное разрешение с предложением написать это в фейсбуке.

Было крайне неожиданно узнать, что я, оказывается, залез на священную землю блогов по иб и топчу ее бесправно. Что сам я пишу хуйню (чего не скрываю), грамотную аналитику не даю, а выезжаю за счет скандальных тем и критики. Ну, а потом все перешло в фейсбук, где Лукацкий оставил полсотни комментариев, а когда я уже признал свою тупость и ограниченность, продолжил доказывать свою правоту каждому, кто отписался у меня на стене.

Лично для Алексея. Алексей, то, что конкретно этот блог молод – не значит ничего. У меня есть еще 4 более или менее популярных блога. Один из них я начал вести, когда вы 10 лет назад еще и не думали открывать свой. Я прекрасно осведомлен о методике проведения срачей как в интернете, так и в реале. Которые к тому же длятся месяцами, а не пару часов. Вы позволили себе перейти на личности, что ж – ваше право. Мне же этот метод не интересен.

Вы — личность публичная. Отличный теоретик. Я, можно сказать, рос как специалист на ваших постах, но сегодня вы потеряли лицо. Спорить с каким-то ноунеймом (кстати, это уже не первый раз) по пустяковому поводу так, что теперь об этом знают все. Зачем? Ладно, хватит об этом. Тему закрыли. Обещаю, что впредь не буду упоминать вас всуе, разве что по какому-то большому поводу.

Для читателей. Друзья, этот блог не про информационную безопасность, и никогда о ней не был. Топ блогинга может спать спокойно. С помощью блога у меня нет цели распиариться, монетизироваться, найти новых клиентов и т.п. По одной простой причине – я не занимаюсь информационной безопасностью. Цель у блога лишь одна – писать. То, что вы это читаете, для меня большая удача. На один из моих блогов подписан 1 человек. Мне этого достаточно. Я просто надеюсь, что мой взгляд на вещи кого-то побудит к разговору. А уж что писать – про ИБ, рассказы или стихи, все равно. Вы бы бросили меня читать, если бы я тут постил свои рассказы? Или заметки?

ilive

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, чтобы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13 — лучшее время для отчета. Но должна быть и капля позитива, ведь я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные, законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они в свою очередь были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: хватит говорить о технологиях. Технологии — это лишь один, при том самый низший уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот и весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал про западные SOCи и отечественные, о той локализации, что присуща только нам. Можно сказать, что у нас образуются два отдельных направления в SOC: это подход Solar с его аутсорсингом и вытекающими от сюда проблемами, и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, ценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Чтобы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но программка – мое почтение. На моей памяти они единственные, кто догадался сделать ее формата А5. На полиграфию денег не пожалели.

Ну, и развлечения были неплохи. Особенно алко-казино:)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA) пересказывал какой-то западный отчет по угрозам. Потом вещал о том, какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в шоке. Никогда не думал, что на таком уровне можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал о своем опыте сертификации CISA, CISM и CISSP. Рассказ об этом занял минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы так же сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не- CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций?

Фарит высказал свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно третий круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию, и за деньги обучают своей методике. Так мало того, вы каждый год должны покупать книжки, чтобы остаться в кругу Элиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке.

Александр Баранов: нормативка не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие.

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики.

А затем была целая секция «Жизнь после ИБ», от которой я просто выпал в осадок. Там вещали девушка и молодой человек. Оба занимались ИБ, но потом ушли из профессии.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили их причины прихода в ИБ (я уже не помню, кто и что конкретно сказал, главное — общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: в ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш четвертый круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию «ИБ «под каблуком. Женщина в профессии CISO». Вообще надо сказать, что все выступающие независимые эксперты (а независимы они видимо потому, что их компании не были спонсорами форума), как-то странно выбрали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц, и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась стать сертифицированным аудитором и начитывала для этого часы. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга был понят мной во всех нюансах и подробностях.

Скажем нет сексизму в ИБ! Можно сказать, это был второй круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был пятый круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина при плохой игре. Первый день CISO- forum был… душным. И дело не в работе кондиционера, с ним все было нормально. Дело в давлении. Это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот корпорации – они всем рулят, а вот модная сертификация — ее надо получить, иначе к баланде не допустят. И ты бежишь как белка в колесе за целями, поставленными другими. Хотя добро — вот оно. Ты только что свернул от него в другую сторону…

Были там и другие круги… но я не хочу об этом писать.

Всего вам доброго.

Анатомия кидка, или о пользе научного метода

Хорошо на майских праздниках: работать не надо, пробок в Москве нет, погода отличная. Правда, и нет никого – все разъехались. Поэтому нет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот — четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого с помощью научного метода выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Вначале делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей сфере все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов, и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Ближе к жизни.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но вот поступки людей на определенном отрезке времени очень хорошо классифицируются. Я назвал это теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Чтобы решать абстрактную задачу – риск-менеджмента в информационной безопасности, — нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц вероятность реализации угрозы должна быть пересмотрена, или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути каждый из этих пунктов лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало что изменилось. Не знаю как вам, а мне из этого описания понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, чтобы защититься от всего на свете. Вы со спецификацией приходите к начальству и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение — тоже личная выгода. Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

У меня собралась обильная коллекция кидков в сфере риэлторства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня хотел бы рассказать лишь об одно инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим, подтвердится ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), их устраивало расположение квартиры, в 15-20 минутах от работы. Мужчины славяне, один из Ростова, другой из Иркутска. С самого начала они попросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – никак не могли встретиться с хозяином помещения. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморрой по сдаче квартиры.

Следствие 1. Кинуть может любой. Нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Вернемся к примеру с квартирой. Оба мужчины могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому — над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонимусу нет смысла заботиться о репутации. Даже если об этом случае рассказать в интернете с фотками и адресами или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто: тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучался. Подумаешь, какие-то секреты ЦРУ, мало у них секретов что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больны детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово, нарушит его снова.

На сегодня все. До новых встреч.

CISO FORUM 2016 – как меня выгнали, но дали постоять на галерке

Я не знаю, на сколько частей растянется этот отчет (и будет ли его кто читать). В этот раз не хочется разбирать разнообразные доклады, что-то подробно описывать. Но я просто не могу молчать о ряде вещей, которые все на форуме посчитали обычными – тренды, устоявшиеся мнения и т.п. Это какой-то лютый пиздец. Но начнем с позитива.

ciso_forum_2016

Же не манж па сис жур

Билета на конференцию у меня не было. После того, как я заплатил за SOC- forum и огреб «впечатлений», купить билет было не вариантом (да, и с физиками они не работают, насколько я понял). Я честно пытался получить аккредитацию как СМИ. Но за три недели на мое письмо так и не ответили. А т.к. светлое будущее платной ибешной журналистики слишком туманное, потому что далекое, было принято решение прорываться.

За годы я побывал на нескольких десятках конференций, партнерок, семинаров. Я знаю, как они функционируют. Вообще, это прекрасные мероприятия, где целый день можно переждать холод и что-нибудь перекусить. Если вам надо дотянуть до зарплаты, ходите на конференции – реальная экономия. Желудок мой был пуст, а я – уверен в своих силах. У меня было два основных плана и несколько вспомогательных.

Надо сказать, что на конференциях два вида защиты – обычная и усиленная. На обычную конференцию (партнерку) можно пройти просто так, зарегистрировавшись прямо на месте по визитке. Я так ходил в Редисон на Check- Point.

Усиленная – появляется на платных мероприятиях, где добавляется охранник, который проверяет бейджики. Т.е. главная задача — этот самый бейджик получить.

Прорыв

Основная моя надежда была на угадывание номера билета. Бейджик может распечатать красивая девушка за столом регистрации. А может бездушная железка. Разумеется, я пошел к автомату.

Стрикер по ИБ: забежать и сфоткаться

Стрикер по ИБ: забежать и сфоткаться

Тут очень важен расчет времени. Главное попасть в момент, когда приходит основанная масса людей на регистрацию. Т.к. обычно рабочий день начинается в 9, то надо быть максимум в 9-10. Альтернативным вариантом было использование визитки (это когда начинаешь грузить девушку в момент оформления другого человека, что у тебя билет не распечатывается, но он у тебя есть, и как мне быть?) Велика вероятность, что вам просто распечатают бейджик с ваших слов.

В итоге, беджик я получил. Но меня почти сразу поймали :( Кажется, меня кто-то сдал. Наверное не стоило вести трансляцию всего мероприятия. А некоторые прямо жаждали увидеть, как меня заловят (да, Алексей?).

За постом охраны меня взяла под локоток Екатерина Митина (продюсер конференции) и плечистый охранник…

Удачное совпадение

Знаете, есть такой принцип – если очень чего-то хотеть, то это обязательно произойдет. Вопрос лишь во времени. Я очень хотел попасть на CISO Forum и, в итоге, попал. Остаться на ней мне позволил слепой случай – Костя Коротнев из Эльдорадо по рабочим причинам не успевал провести свой круглый стол. Чтобы не мыть тарелки, я с радостью согласился его подменить.

Дорога в ад

Перед тем, как погрузиться в настоящий ужас, от которого у меня скрутило все внутренности, и животный страх подталкивал меня быстрее уносить оттуда ноги, бежать и прятаться, я добавлю немного по делу.

horror

Мой круглый стол прошел вполне весело. Мы сразу поговорили о препятствиях к переходу в облака со стороны нормативки, еще раз вспомнили проблемы, которые могут возникнуть со стороны применения специальных средств защиты, обсудили новые угрозы в облаке и т.п.

Оставшуюся часть времени потратили на обсуждение, как быть, если руководство хочет в облака, но это влечет за собой риски. Конечно, стандартный аргумент (еще из BYOD), что это не так дешево, как кажется – не прокатывает (это уже вопрос других людей). Переносить какой-нибудь специфический прикладной софт — это делать еще один проект, теперь уже по миграции. Прямой выигрыш виден лишь в простых приложениях (почта, файлопомойка).

Но если приводить аргументы с точки зрения ИБ, то ахтунг открывается во всей красе. Можно поражаться лишь мужеству людей, работающих в парадигме: я (руководитель) решил идти в облака, ничего по безопасности делать не буду, а если что случится по части ИБ, то виноват будет безопасник, ему и отвечать.

Так какого хрена у тебя безопасники тогда делают, если ты их не слушаешь и денег не даешь? Это как пекинес для блондинки… Одни эмоции. Грусть и некая обреченность в глазах.

Ладно, об остальном в следующей части.

С официальной точкой зрения можно ознакомиться в многочисленных отчетах, которые в изобилии уже написаны и выложены.

Нечего читать, или страх тишины

no_readЗнаете, как одним словом назвать разницу между поколением Y (это те, кто родился с 1980 по 2000 год) и поколением X (которые родились пораньше)? Шум.

Мы уже органически не можем терпеть одиночество. Вы включаете что-нибудь для фона, когда занимаетесь домашними делами? Телевизор, киношечку, музычку?

Как-то я провел 34 дня по колено в грязи с лопатой, кайлом и кувалдой в качестве компаньонов. Из всех развлечений у меня было старенькое радио с тремя каналами (Русское Радио, Европа Плюс и Радонеж). Это был адский пиздец, доложу я вам. Вы знали, что на радио оригинальной дорожки и песен часа на 3-4, а остальное повторы?

Мы боимся остаться с сами собой наедине, мысли всякие лезут же в голову. Время монотонно растягивается. Вы начинаете замечать разное, чтобы просто занять мозг. Вам даже алкоголь не поможет, т.к. бухать в тишине – это за гранью добра и зла. Именно поэтому так популярны тайм-киллеры – игры, соцсети и т.п. Поиграл в игрушечку перед сном, глядишь — два часа прошло.

Обратной стороной этого становится предубеждение, что новое является чем-то важным. Но все это ботва: чтобы отыскать что-то качественное, надо сильно постараться. Мы читаем новости, мы интересуемся, что нового у коллег и подчиненных. А уж как нас телепает, если мы этого нового дать не можем. Бывало у вас, что на очередной планерке начальник у вас спрашивает, что нового? И надо срочно что-то придумать, а то у всех сложится впечатление, что вы нифига не делаете и зря получаете зарплату. Ставьте лайк, если бывало.

А уж в сфере информационной безопасности с этим совсем беда. Внутренняя беда – вариации из примера с совещанием. Внешняя беда – что читать нечего.

Я уже писал о плачевном состоянии СМИ по информационной безопасности. Но на выходных мне открылась другая грань.

В силу личной самодисциплины (хотя какая нафиг самодисциплина, если я два года не мог этого сделать?) удалил половину игр с телефона и 2/3 подписок на каналы в Youtube. Времени освободилось… как раз, чтобы поближе ознакомиться с ресурсами по ИБ. Их у нас три, точнее два, т.к. маленьких не бьют – BISA и Securitylab. SecurityLab оказалась платформой Positive Technologies, таким образом у нас нет вообще ни одной независимой платформы. Половина разделов не обновлялась давно, из свежего – блоги и новости. Поэтому-то все общение у нас происходит в фейсбуке и твитере.

Другая проблема в авторах. Все мы – блогеры, а не журналисты. А блогер должен писать все с оглядкой, иначе его потом на работу никуда не возьмут. Я думаю, что в Positive Technologies мне уже никогда не работать:) На 10 рекламных и проплаченных материалов – 1 независимый. Смелость иногда проглядывает, но сильно эпизодически. Вот, например, Алексей Лукацкий  как-то прочитал презентацию «Как обманывают интеграторы» на конференции Информзащиты.

Другая проблема – время. Блогеры все-таки где-то работают, и никому из них не платят за ведение блога. Я думал, что хотя бы Адрею Прозорову, но нет. А это сильно ограничивает по времени. У меня, например, еще в декабре была задумка крутого материала, я связался с людьми, встретился, начал собирать информацию. Думал, на январских напишу. Щаз. В лучшем случае в апреле (кстати, это анонс).

Именно поэтому я пишу по 40 минут в день 1-3 раза в неделю, и так долго тянутся заявленные рубрики. Кушать хочется :) У нас даже невозможно монетизироваться.

Во-первых, наш рынок сам по себе маленький, как следствие –  небольшая аудитория (например, меня читает всего 40 человек – всем читающим уважение).

Во-вторых, у нас не принято платить за контент. Ни на конференциях, ни тем более за контент. Об этом много и часто говорит Алексей Лукацкий. Причем найти спонсора совсем не вариант.

В-третьих, цена вопроса. Чем меньше подписчиков, тем больше ежемесячный платеж. Нормальная цена для человека – не более 300 рублей в месяц, понятно, что надо минимум 500 подписчиков. Чтобы их собрать, надо 50 000 пользователей в аудитории. Такого количества просто нет в безопасности.

Из-за этого всего страдают все – и авторы, и читатели, и рынок в целом. Вот и я сидел в выходные,  листал редкие посты в фейсбуке и грустил. Наверно, поэтому у нас все разбираются в политике и футболе, что почитать нечего…

Всего вам доброго.

У Камина: Про презентации с Рустемом

Хотел сегодня написать по экономическую оценку, но Рустем Хайретдинов не хочет уходить и продвинул свою тему (и до кучи product placement Infowatch и Appercut). Поэтому сегодня опять мягкое потрескивание дров и виски в пузатых стаканах (надеюсь в следующий раз Рустем будет со своим).

fireplace_main

Как делать презентации

Вообще, про презентации я могу говорить долго и вдумчиво. Но тут Рустем сделал пост (убираю всякой под кат – оставляю суть):

 

 

Зачитать целиком

Вчера принимали работу нашей команды по маркетингу, готовящей презентации к весеннему рад-шоу и по ходу я придумал новый конкурсы для создателей презентаций. Можно играть на конференциях или в профильных клубах.

Довольно часто бывает так, что сначала ты делаешь презентацию для какого-то выступления, а потом тебя просят написать статью «по мотивам». Обратное встречается гораздо реже — чтобы кто-то из организаторов конференций сказал: «вот ты написал статью там-то, не можешь сделать на эту же тему выступление». В моей личной практике — ни одного случая на сотню статей. Возможно это потому, что организаторы конференций не читают профильную прессу, за исключением своей собственной.

 

 

Итак, конкурсы:

1. Базовый конкурс а-ля «Домашнее задание» — за день до старта участникам раздаётся одна и та же аналитическая статья на отвлечённую тему, не знакомую ни одному из участников (например, в ИБ-среде о животноводстве), а на конкурсе жюри слушает, сравнивает и оценивает презентации участников по мотивам этой статьи.

Уровень «стажёр» — копи-пейст абзацев.
Уровень «менеджер» — пересказ статьи вслух близко к тексту под соотвествующие весёлые картинки на экране.
Уровень «колдун» — оригинальная презентация, доносящая мысли статьи.

Последнее очень круто — понять смысл и аргументы статьи и сделать совершенно самостоятельное произведение с понимаем преимуществ визуального формата. Мы вообще редко сталкиваемся с адекватным переводом в визуальный язык (кино) хороших текстов (книг) — вспомните, сколько раз после фильма-экранизации известной книги у вас язык не поворачивался сказать «книга лучше»(с).

2. Продвинутый конкурс — дуэль «обратный перевод». Два участника пишут презентации, потом по ним эссе и обмениваются ими, не предъявляя оригинал презентации. Затем повторяются условия предыдущего конкурса и жюри сравнивает оригинальную презентацию участника с «обратным переводом» эссе в презентацию, сделанным его соперником и наоборот.

 

В комментариях я упомянул, что у нас две основные школы, каждая из которых порвет другую школу в одном конкурсе и безжалостно сольет в другом. Рустем поймал меня на горячем и захотел подробностей. Как вы знаете, всегда есть два вида людей – западники и почвенники, с пистолетом и без, быстрые и мертвые. Применительно к презентациям – текстовики и говоруны.

2_man

Понятно, что чистых адептов каждой из школ не бывает, они мимикрируют то в одну, то в другую сторону. Но основные признаки тяготеют к одному из полюсов.

Текстовики

Тут все довольно просто. Это люди, загоняющие текст в слайды. Много текста. Еще больше текста! Больше текста, больше текста!!

text

Количество слайдов у текстовика прямо пропорционально времени, которое ему отведено на презентацию. Дадут час – будет 100 слайдов. Эти презентации очень хорошо читать после мероприятия, тем более если тебя там не было. Они информативны и подробны. Но часто текстовики используют 10 и меньший шрифт, дабы все уместилось.

Слайды – фактическое отражение произносимого.

Коронная фраза – «Я тут пролистаю, потом вышлю презентацию».

Можно быть уверенным, что, пропустив первую часть презентации на мероприятии А, вы сможете восполнить пробел, послушав ее на мероприятии Б.

Ярым представителем является Алексей Лукацкий. Признаюсь, я не видел его последние творения, но помню курс по 382-П. Алексей прислал презентацию на 100 с лишним мегабайт и 300+ листов. Она до сих пор у меня хранится, и я в нее часто заглядывал в свое время. Сюда же можно добавить отчеты чиновников и т.п.

Именно отсюда происходят все эти корпоративные замашки – «а давайте сделаем общую презентацию по теме», «подготовь мне презентацию мне завтра читать» и т.п. Текстовую презентацию – может прочитать любой, кто в теме. Не верите? Посмотрите на презентации в наших учебных центрах, я несколько раз сталкивался, с заменой преподавателей, которые читали по «общей презе».

Текстовики, понятно, смотрят на говорунов, как на говно.

Говоруны

Другая крайность — рассказывать презентацию. Тут тусуются адепты Минто (всем рекомендую почитать ее книгу «Принцип пирамиды Минто» – вступайте в нашу секту!!) и схожих деятелей.

tell

Презентации именно рассказываются, слайды используются, как вспомогательный материал. Минимум текста, несколько картинок. Количество слайдов ни как не зависит от количества времени. Как-то я проводил серию обучений для школ и детских садов по персональным данным – два часа я рассказывал про 17 слайдов.

Понятно, что из этих презентаций нифига не понятно, если не слушать. Вот, смотрите пример с конференции 2010 года, где мы, кстати, первый раз с Рустемом и пересеклись. Отсюда, разве, что можно общую мысль понять, но ни каких деталей.

Воспроизводимость презентаций говорунов – нулевая. У меня каждая презентация, по одним тем же слайдам, имеет отличия – от незначительных до глобальных.

Говорящую презентацию – гораздо сложнее подготовить (об этом как-нибудь в другой раз, а то совсем дебри будут). Да и еще куча факторов влияет, разболится любимый мозоль, и уже запал пропал, на лице мука… вы не захотите такое смотреть.

Понятно и «выхлоп» предсказать труднее.

Ну, т.к. я явно тяготею к говорунам, и выставлять себя в качестве примера – не скромно, влеплю сюда Стива Джобса – как абсолют (хотя сам Apple, и что они делают – мне не нравиться).

Любите таблицы? Вот, вам таблица в сравнении двух школ (принимаю дополнения):

Параметр

Текстовики

Говоруны

Выхлоп от презентации Всегда стабильный, на среднем уровне В широких пределах
Воспроизводимость Полная От 70% до 0%
Интересность прослушивания Средняя Выше средней
Зависимость от внешних факторов Практически никакая Существенная
Читаемость презентации после выступления Высокая Никакая
Вау-эффект Невозможен Может быть достигнут
Контакт с аудитория Безразличен Важен
Количество слайдов на минуту выступления 1-2 на минуту 0,2 – 0,5 на минуту
Требования к спикеру Нормальные Высокие
Наибольший эффект Обучающие, отчетные презентации Маркетинговые, продажные, инновационные презентации

 

Понятно, что это некая условность. Можно текстовую презентацию рассказать так, что все ахнут. И мекать и бекать на говорящей. Но в целом оно вот так вот.

Возвращаясь к конкурсам – говоруну будет сложно выиграть «обратный перевод». Но просто разорвет в клочья текстовика в «домашнем задании» (разумеется, если будет время на подготовку), для него полет мысли – это все.

На этом все, заходите к нам еще.