Архив метки: Блогосфера и сообщество

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец, я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает ….

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Так же у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

 

Миша:

Где и кем сейчас работаешь?

Сейчас можно охарактеризовать род моей деятельности, как – предприниматель, блогер, консультант.

 

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да не без косяков, но у кого их нет? Я рассматриваю это, как бесплатную помощь. Если косяк имеет место быть, парни поправят. А если это пустая болтовня, отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Дальше, Андрей ушел от ответа, под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

 

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

 

Александр:

Привет. Очень нравиться твой блог. Всегда читаю, но, вот, выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» — еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да, и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

 

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте, ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей, ввиду каких-то внешних причин, был в измененном состоянии сознания, и увидел в констатации факта – личный наезд. Уж, что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт – анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать, у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

 

Борис:

Что плохого в безопасниках «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и как стадо хомячков пошли разносить чуму по Европе. Потом глядь, тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

 

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И, нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии, и очень интересны, конечно. Конфликт должен приносить пользу, хотя бы деньги.

Вот, Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

 

Аноним:

Так ты в Positive Technologies или нет?

Нет.

 

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду, последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

 

Bollard:

Привет. Хочу задать несколько вопросов к твоей традиционной вот уже 11 летней рубрике.

1)Почему не заведёшь twitter, было бы удобнее тебя там читать?

2)Почему вендоры и коллеги обижаются когда ты говоришь правду? Они ходят в каких-то розовых очках что ли?Вот твой последний пост о версусе ресурсов, да и о версусе специалистов. Ведь всё правда.Всё так и видится. И примеров просто полно. Достаточно взглянуть на сайты «вендоров №1», заброшенные пятилетние блоги, аккаунты в различных соцсетях и прочее, отсутствие форумов или замена их гугл группами (при импортозамещении-то). Что им мешает иметь такое же видение (предубеждения, пороки, непрофессионализм)?

А, он есть. Просто твиттер оказался такой неэффективной площадкой, что я просто сделал туда редирект с фейсбука. Неудобно ни постить, ни читать.

Почему обижаются? Ну, у меня есть теория на этот счет. Поибэ это такой междусобойчик, закрытый от всех других областей. В нем не принято, сильно выносить сор из избы. Скажем, один известный эксперт, занимающийся теперь вдруг новым направлением экспертизы еще в 2010 году – был туп как пробка по ЗПД. Об этом мне сказал, мой генеральный директор, который в безопасности не понимал вообще ничего. Но эксперт-то известный. По телеку показывают, вроде двигает Иб в массы.

Вся «компрометирующая» информация у нас всегда гуляла в кулуарах. За последний год, я узнал столько о топе поибэ, что просто диву даешься, как они еще могут людям в глаза смотреть? Прямо, вот, в каждого вендора/интегратора в фейсбучке тыкай, такое всплывает.

И, весь этот «компромат» рассказывался либо на пьянках, либо заказчикам. А тут, видите ли Дима, рассказывает что-то не особо приятное. Ату его!

Фокус в том, что ничего компрометирующего я не говорю. Я вообще, как тот жираф, который всю ночь смеется над анекдотами. Но ввиду отсутствия других видимых раздражителей, все агрятся на меня. Ну, не будет же компания А агриться на компанию Б за чернуху, ведь компания А поступает точно так же.

А, на этом все. До следующего года.

Новые способы заработка для информационных безопасников

Это первый пост в 2017 году, и я несказанно рад, что столько подписчиков поддержали мою ежегодную традицию. Я получил 14 вопросов и один интересный запрос на версус. Но об этом завтра. А сегодня о другом. Троих читателей интересовало, что же я делал весь прошлый год. Об этом и расскажу.

Если вы вдруг следите за моей карьерой, а если нет, то узнаете сейчас, что 29 февраля 2016 года я уволился из компании АйТи по причинам несовместимости по этическим вопросам между мной и акционерами компании, и бедственном положении оного интегратора. Т.к. с бонусами меня прокинули через мужской половой орган, передо мной в полный рост встал вопрос – о заработке хлеба насущного.

Как может заработать информационный безопасник, да еще и занимавшийся пресейлом?

Загнать все, что можно было с последнего места работы? Так все уже украдено до нас, да и не надо это никому.

Можно устроиться на другую работу. Но оказалось это не вариант, никому не сдались блогеры, не берут даже за еду.

Можно давать мега-консультации за деньги, но топ нашего комплайнс-сообщества доказал несостоятельность этой идее. И даже у Максима не получилось.

Можно было бы продавать мега аналитику. Но кто б ее еще взял, да и место было уже занято. Да и не мое это, высасывать из пальца очередной мега-отчет на никому не нужную тему, вроде «особенности использования проприетарных антивирусов на рынке ДБО в первом полугодии 2016 года». Бррр.

Куда не кинь, всюду клин… В результате долгих и тщетных поисков, я нашел решение. И даже в области безопасности.

 

Дегустатор дошираков

Многие улыбаются, когда я говорю о своем занятии. Но на самом деле безопасность питания, одна из основ человеческой жизни. Вот, если ваш сертифицированный специалист траванется и будет обниматься с белым другом, а в это время вас начнут ломать – кто отразит нападение? Да, вас за таблеточку активируемого угля продадут.

Как я к этому пришел? Очень просто, любая продукция в нашей стране должна быть сертифицирована. Можно и не сертифицировать, но это уже области, граничащие с контрафактом, поэтому об этом не будем.

В области сертификации пищевых продуктов, лекарств и потребительских товаров, есть свои сертифицированные лаборатории. Все, как в нашей поибэ. Правда их поменьше, и конкуренция пожиже. Например, у меня есть подруга, их лаборатория занимается только мороженным. Баскин Робинс их обеспечивает работой уже пару десятков лет.

Экспертиза есть лабораторная и потребительская. Понятно, что я со своим рабочим рылом в лабораторную не тянул никак. А, вот, в потребительскую – самое оно. Один из краеугольных камней потребительской сертификации – дегустация. Об этом практически невозможно найти информацию в открытых источниках, но у нас дегустируются вообще все продукты питания.

Понятно, что на вершине этой цепочки – дегустаторы вин. Они же самые дорогие, мажорные и раскрученные. Поинтересуетесь (если найдете, конечно) экзаменационными вопросами на дегустатора. Да и навыки нужны соответствующие, плюс вкусовые рецепторы и обоняние.

Но это совсем космос для простых смертных. Надо было выбрать, что-то попроще. Изучив ГОСТ 31749-2012, мой выбор пал на лапшу быстрого приготовления (или сублимированную). Довольно востребованный продукт, где с помощью демпинга можно не умереть с голоду.

Лапша сублимированная (недоваренная)

Изучив матчасть и организовав свою потребительскую лабораторию (ИП, конечно, без этого никуда), начался процесс активного пиара. Все по заветам ИБ-стартапов, но в реальном секторе экономики. Два месяца рекламы и активных продаж, и, вот, у меня потребительская лаборатория топ-20 в Москве с упором в макаронные изделия. А там и госаккредитация подоспела. Дальше уже дело техники.

 

Собственно дегустация

Сама по себе работа довольно скучная. Основных марок доширака у нас 7, в регионах по больше, но там свои игроки. У каждого 3-5 вкусов, итого все разнообразие ограничивается 35 позициями. Сертификацию обычно проводят для каждой партии по позициям (например, фуры или контейнера). А т.к. дошиков в фуру влезает дофига, вы не будете сильно напрягаться. Но доход стабильный.

Рабочее место

И, вот, привозят тебе образцы и ты должен их проверить. Кстати, образцы можно натурально съесть, так что голодать не будете в любом случае. :) Часто производители просят еще провести и дополнительный выходной контроль партии, по рынку это стоит 100 т.р., я делаю за 5.

И, вот перед тобой заветные пачечки. Тут главное не бросаться сразу открывать и пробовать. Надо провести кучу предварительных тестов, ну, словно самооценку по СТО БР заполняешь. Галочки, галочки, тут упаковка, комплектность, срок годности и т.п.

Дальше уже начинаешь пробовать. Тут главное все правильно заварить. Кстати, пиздеж, что дошики завариваются за 2-5 минут. Что бы лапша напиталась водой/влагой, контейнер или тарелку надо закрыть, что бы она немного потомилась в кипятке. Если у вас в бульоне плавают жидкие макаронины, вы едите гнусный полуфабрикат. Готовая лапша должна занимать весь доступный объем (например, весь контейнер Биг Ланча), это именно лапша, а не макаронной суп.

С опытом, вы уже не будете съедать все позиции. У меня, например, есть стойкое отвращение к некоторым вкусам. Поэтому их я не глотаю, а выплевываю – это допускается процедурой.

Работа в комфортных условиях

В сущности, в лапше, ничего вредного нет. И можно ее вполне использовать в качестве гарнира, когда готовить лень. Правда, если есть каждый день – можно потолстеть. 99,99% сублимированной лапши – яичная. Самый калорийные вид.

Все марки, примерно на одном уровне. Отличаются всякими фишками. Например, дают вилки (которые ломаются в 4 случаях из 5). Лично мне нравится – Биг Ланч.

Вот, так я провел прошлый год.

Ну, и на этом, пожалуй, все.

Что мне нравится в информационной безопасности?

Меня часто упрекают, что мне ничего не нравиться, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да, вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, что бы их можно было исправить. Что бы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего, вот, вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что как же у них получиться.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях, в это году, видимо только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверно потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий, как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

 

Наверняка, я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Дианетика тренингов личностного роста по ИБ

Рекомендуется освежить, вот, эту запись.

3859

Фбешечка в ленте, принесла сегодня ссылку на статью «Когда обман стал нормой?». Статья, какой-то феерический маразм, с не понятным смыслом, неоконченной историей и неясным выводом. Прямо, как я писал.

Зацепился взгляд за фразу:

Сейчас вообще, поколение тренингов и саморазвития. А нас как всегда, ведет не в ту сторону. «Не умеете делать минет? Научим. Вам изменяет муж? Это нормально. Слава богу, он вообще может. У вас высшее образование, а по вечерам вы любите читать Бродского? Ну что за глупости. Живите как дура! Берите карту и дуйте в магаз. Dior сам себя не купит». Откуда это?

Действительно, сейчас мир тренингов и саморазвития возведенного в культ. И это прекрасно. Но обо всем по порядку.

Как вы уже знаете, юность моя происходила в душевных метаниях и маргинальной неге. Как любой нормальный подросток, я пробовал на прочность этот мир. И, нет, мир не оказался прочней. Просто жизнь совершенно не об этом, но это нас уведет далеко от тренингов.

И, в определенный момент моей жизни, решил я сходить в секту. Где наша не пропадала? Разумеется, было боязно, поэтому я выбрал более-менее лайтовых саентологов, а не какую-нибудь Харе-Кришну. Готовился я к этому делу основательно, оставил все вещи дома, взял только проездной и мобильный телефон, что бы позвать на помощь. Кстати, очень важно не брать с собой документы и деньги. У вас появляется шанс соскочить. Оставите данные, и уже не вырвитесь – схема крайне отлаженная, ее, кстати, и скопировали тренинги.

Надо сказать, что каждый тренер – хотел бы организовать секту. Такую настоящую секту, что бы с кучей последователей, что бы машины и квартиры отписывали. В силу разных обстоятельств, они этого не делают – где-то шибко палевно, где-то лучше замаскироваться под бизнес-тренинг. Но главную суть – копируют все, кто-то лучше, кто-то хуже.

pecherskaya

Но вернемся к нашим саентологам. Основа любой секты, выявить причины не идеальности человека. Зашлакованный организм, чакры закрыт, энергетические паразиты. Никому не хочется быть грязным, внушаемым, глупым (о, зацепочка для бизнес-тренингов). Понятно, что во всем этом виноваты не вы, а какой-нибудь ублюдок, который сидит в вас, и с которым надо срочно бороться. Разумеется лишь нашими, проверенными способами.

В саентологии, такими ублюдками выступают энграмы. Энграмы – особая ситуативная память, которая запоминает ситуацию во всей полноте (мысли, чувства, окружение, люди, слова). Если энграма содержит негатив (шок, боль и т.п.) – это очень плохо. Проблема с энграмами в том, что вы не имеет к ней доступа. И если вы попали в обстановку похожую с пережитой, то испытываете все негативные последствия. Все слова, что нам произнесли в этой ситуации, будут действовать на нас как команды, вы более внушаемы в этих ситуациях. И существуют, некие клиры. Если кратко, люди, очистившиеся от всех энграм. У них повышается тонус, улучшается зрение, потенция и все-все-все. Разумеется, что бы стать клиром – надо пройти ряд очищающих процедур. Конечно, за огромные деньги.

По итогу, мозг там чистят капитально. После двухчасовой лекции и разбора моего теста (по итогам, которого стоял вопрос – как я еще жив-то?), считал дедушку Хаббарда родным отцом и учителем. Хорошо, что денег на книжку не было, и паспорта для заполнения анкеты. Так и не стал я саентологом.

Надо понимать, что задача любого тренинга – выкачать с вас бабло, а не научить чему-то полезному. Любой тренинг стоит на этом, если он не по каким-то специализированным прикладным навыкам. Вся эта болтология, лучшие практики от экспертов, повышение личной эффективности – чушь, по сути.

Помниться, как-то на партнерке Infowatch был мастер-класс по приготовлению суши. Вот, это была реальная тема. Где специалист в своем деле, рассказывал неофитам основы. Мастер-класс, наверно, единственный сейчас вариант, обучиться чему-то новому. Т.е. въехать в основы, а дальше думать своей головой.

Несколько отличительны признаков лажовых тренингов:

  • В тренинге есть гуру, который или сам его ведет, или ведет специальный сертифицированный ученик.
  • Тренинг периодический. Это чуть ли не главный маркер, показывающий, что тренер зарабатывает деньги тренингами, а не тем, чему учит. Т.е. зарабатывает, рассказывая, как заработать.
  • Тренинг является частью системы других тренингов. Что бы просветлиться окончательно, надо посетить их все, а лучше и не один раз.
  • Описание тренинга оперирует словами: эффективность, личная эффективность, саморазвитие и т.п. Ну, т.е. какими-то сущностями, которые нельзя измерить (см. тайм-менеджмент).
  • Главное достоинство тренинга, что он от тренера, который провел 400+ тренингов. Т.е. тренер в лучше случае теоретик, в худшем – дилетант с вредными фантазиями.
  • Мощный пиар. От гуру, от участников, расписание следующих курсов на всех углах и т.п.

И так далее. Единственный тренинг, который мне помог – тренинг Гандапаса «Учимся выступать публично». Уже потом, я понял, что это была компиляция потребительских методов и прикладных приемов. Большинство из них обретаются сами, после 2-3 выступлений. Текущая деятельность Радислава, состоит из обогащения через тренинг чуть менее, чем полностью.

radislav-gandapas-self-made-man

Можно ли чему-то научиться на тренингах? Вряд ли. Но главная проблема не в этом. Идти на тренинг (или мастер-класс) надо с определенной задачей или проблемой. Например, вы дизайнер и мучаетесь, какой дизайн сделать финтефлюшечный или минималестичный. В этом случае, конечно, хорошо бы пойти и послушать знающего человека, вопрос, какой ему задать. Хотя лучше всего, знать нужный телефон, напроситься на встречу, и, проставив вискаря, решить все свои метания.

Посмотрите вокруг, вспомните школу, институт. Групповое обучение, крайне неэффективно. Кто-то не догоняет, кому-то скучно т.к. на месте топчемся, интересующий момент до конца не разберешь – он интересен только тебе. И еще множество причин. В группе хорошо ОФП заниматься, хоть не скучно. Во всем остальном, все выбрали бы индивидуальные занятия.

Вы никогда не измените свою жизнь через тренинги. Сама система тренингов заточена на то, что бы ваши результаты были лишь внутри тренинга, с конкретной группой. Она будет вас поддерживать, и она же будет вас затягивать на следующий тренинг. А то, что на работе ваши навыки продаж не работают, так это процессы выстроены не так. Но на нашем вечернем занятии, у тебя все получиться. Приходи, касса работает до 20-00.

Вы такой, какой есть. В вас заложено ваше воспитание, школа, институт, дворовые друзья, гельштат ваших родителей и гены, которые влияют в 5 раз сильнее, чем любое воспитание. И, вы думаете, что какой-то дядя, за 8 часов и 20 000 рублей, вас изменит? За это время, вам можно продать лишь иллюзии, что вы не такой как все, что вы развиваетесь, не то, что остальное быдло.

Полезным тренером может быть лишь профессионал своего дела. Но, если он профессионал, у него нет времени делать тренинги каждую неделю. В лучшем случае, раз в квартал. Не маловажный вопрос, а зачем это ему? Зачем ему плодить конкурентов, разжевывая то, что он постигал годами? Просто задайте себе этот вопрос.

А, самое печальное, что тема тренингов добралась и до нашей поИБэ. Атака идет с двух флангов. Первый – это тренинги общей направленности. Попавшие в паутину, начинают активно ее рекламировать. И, на деловых переговорах, уже можно услышать, кто какую сегодня «лягушку съел». А, иногда, уже проскальзывает и «ваши материалы не отвечают нашей методике продаж СПОР – вам надо доработать их».

Второе – это активное продвижение собственных тренингов по нашей тематике. Я помню, как один «бизнес-консультант по ИБ», рекомендовал всем безопасникам подойти к генеральному директору, и предложить перевести сотрудников на удаленную работу. Мол – «это выгодно, я посчитал, экономим на электроэнергии, и производительность вырастит! А еще BYOD! Совсем шикарно заживем». Понятно, что маразматичность таких предложений зашкаливает. Будь, это какой-нибудь дурачок, никто бы и не заметил. А это один из уважаемых гуру поИБэ. И самое главное – с гуру, взятки гладки. Он ведь пример приводил, а «Кирпич, дурачок, взял и сделал».

Не смотря ни на что, тренинги – это великое благо. Они позволяют вам, получить существенное преимущество перед их посетителями. Точно также как нет ни одного одинакового проекта, нет и одинакового приложения опыта, своего или чужого. В каждой ситуации надо думать своей башкой. И лучше бы, что бы она не была замусорена дорогим треннингом.

До новых встреч.

 

P.S. ОБЪЯВЛЕНИЕ. Тренинг с 10 сентября переноситься на 21.

Кибербитва

Я думаю, многие слышали, что Сколково с Infowatch организовали Кибербитву. По сути это плей-офф между экспертами по безопасности, где устраивается махач на заданную тему. В начале четвертьфинал, потом полуфинал. И так до заветного кубка.

980_320

Что особенно интересно, победителя выбирают слушатели. Причем по каждому вопросу. В конце очки подсчитываются, и выявляется победитель.

Разумеется, я не мог пройти мимо этого дела, и с помощью взяток и шантажа пролез в турнирную сетку. Хотя с речью у меня все еще хуже, чем с письмом, но планирую использовать грязные трюки в виде котиков и обнаженных женщин. Ближайшая битва будет в следующую среду – 6 июля, в 11 часов. 6 раундов с часовым лимитом.

Тема нам досталась – внутренние угрозы.  Тема весьма благодатная, мы уже прошли взвешивание с моим коллегой из Avanpost, где чуть не подрались. Не сошлись во всех представленных вопросах:

  1. Какой будет динамика роста внутренних угроз в ближайшее время?
  2. Что сдерживает рост компетенций в ИБ?
  3. Как выглядит миф о затратах на безопасность? ИБ — это дорого или доступно?
  4. Как следует оценивать эффективность ИБ в современных условиях?
  5. Почему традиционные оценки ИБ не всегда подтверждают свою эффективность?
  6. Способна ли автоматизация ИБ противостоять росту угроз?

В общем, призываю всех уделить час времени в следующую среду и посмотреть, что получится. Думаю, это самый перспективный формат для обсуждения. А то вокруг лишь джинса и проплаченные маркетинговые спикеры, которые оккупируют микрофон, заставляя их слушать. Возможно, это в скором времени это будет основной формат на конференциях и выставках.

Дима прорывается на BISA Summit

Дима прорывается на BISA Summit

Разумеется, предлагаю голосовать за себя любимого. Глядишь, меня на BISA Summit в фойе постоять пустят  :)

P.S. Прошлый раунд можно посмотреть по ссылке 

У Камина: Versus battle Емельянников-Царев

Друзья, я все время ищу новые форматы. Чтобы и мне было не скучно, и вас любимых порадовать. Ну, скукотища же фигачить отчеты, которые пишут все, или гнать джинсу за родимого работодателя.

fireplace_main

Поэтому у нас сегодня Versus battle. Кто не знает — это способ выяснения, кто круче в американских рабочих районах. Versus может быть какой угодно, хотя изначально, конечно, это был рэп. Хочешь — в мешках бегай, хочешь — дротики на точность кидай. Каждый из вас делает тоже самое, когда ищет что-то нужное, но неизведанное. Автосервис, стоматолога или врач узкой специализации.


Необходимое пояснение

Михаил, Евгений, цель данного материала не в том, чтобы вас обидеть. Лично я не знаю никого из вас, и смотрю со стороны. Цель материала показать то, что видит ваш рядовой клиент. Смысл в том, чтобы эти неточности не мешали вам зарабатывать и нести добро и свет людям. Я надеюсь, вы воспримите данный материал как взрослые люди.

По сути, я с вами в одной лодке. Мы играем на одном или, как минимум, соседних полях. Ваши просчеты отражаются и на мне.

Все ниже сказанное – личное мнение автора, выраженное в пародийной манере. Автор – шут, что с него возьмешь?


Перед битвой

Диспозиция перед битвой такова. Я рядовой клиент, которому требуется юридическая консультация по вопросам информационной безопасности. Проблема у меня серьезная, которая может перерасти в судебный процесс. Я готов решить проблему любыми способами и за любые деньги, но лучше бесплатно. Т.к. знакомых у меня в информационной безопасности нет, я запускаю гугл… или яндекс.

Гугл дал осечку

Гугл дал осечку

И Яндекс не помог

И Яндекс не помог

Вся информация почерпнута из открытых источников с сайтов участников битвы. В редких случаях были применены спецсредства для раскрытия темы.

Раунд 1 – Знакомство

Удивительно, но наших бойцов я не смог найти по запросу «юридические консультации по информационной безопасности», яндекс и гугл их не котируют. Либо это для них не важно, либо надо что-то серьезно делать с позиционированием. На одной известности в ИБ тусовке далеко не уедешь. Допустим, мне их посоветовали.

Участники

Участники

Михаил Юрьевич Емельянников

Характеризует себя следующим образом:

Эксперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

Ссылка «Моя веб-страница» в блоге (???) ведет на сайт Агентства. Аааа… нет, конечно, хорошо быть экспертом. Но я тоже себя экспертом называю. Если вбить Михаила в гугл, то почему-то вылезают ссылки на секлаб и фейсбук. На секлабе написано:

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.

А на фейсбуке можно найти первое подтверждение квалификации – окончил школу КГБ СССР. Как вы понимаете, человеку неискушенному сложно из всего этого понять, кто же перед ним.

Не понятно, где и на каких должностях Михаил работал. Что и для кого он сделал? Согласитесь, опыт является существенной подмогой в формировании представления о человеке, который возьмет с вас деньги не пойми за что.

ЗПД для 99% — темный лес. Но если непосвященный видит, что вы делали это для Газпрома или Сбербанка, уважение начинает просыпаться. Не зря же они ему деньги платили… Этого, увы, у Михаила нет.

Оффтоп: надо сказать, что с творчеством Михаила я не знаком, был на одном выступлении на BISA 2014, и на этом все.

Евгений Царев

У Евгения есть свой сайт, а в нем раздел «Об авторе». Мелкая придирка, Жень, ну ты же не девушка, чтобы возраст себе занижать. Я понимаю, все хотят выглядеть моложе. Лучше либо убрать, либо отслеживать изменения.

Евгений более тщательно подошел к автобиографии, есть сведения об образовании. Но зря убрал сведения о прошлых местах работы. В предыдущей версии сайта они были. Покопавшись немного в интернете можно найти, что Евгений работал сплошь на руководящих должностях: замдиректора по развитию бизнеса, директор представительства и т.п. Но возникает естественный вопрос – зачем руководителю заниматься инженерно-аналитической работой? Или, во всяком случае, рекламировать ее?

И уж странно смотрится в таком контексте степень MBA «Инновационный и проектный менеджмент». Вы же по безопасности оказываете консультации, а не по менеджменту.

Цитата:

Профессионально занимаюсь развитием направления информационной безопасности в российских интеграторах и вендорах.

Каких интеграторах? Каких вендорах?

Цитата:

Являюсь участником рабочих групп ЦБ/АРБ/Минсвязи (закон «О персональных данных»), РАЭК (законопроект о спаме), НП «НПС» (защита информации в Национальной платежной системе) и др.

Вот лично я понимаю, почему стоит в конце и др. Но человек со стороны может воспринять это как желание закидать страшными аббревиатурами и списками. «Я член академий… почетный член фондов…» и т.п.

Плюс к этому, употреблено в настоящем времени «являюсь». Вопрос – откуда столько времени бывать на всех этих рабочих группах? В перечислении их 5 (с и др. – штук 10 должно быть, иначе бы все перечислили). Считаем 10 заседаний в месяц, плюс день подготовки до, плюс день чтение итогов, плюс день на правки. Получается, что занято 30 дней в месяце…

Цитата:

Автор более 12 исследований (каких?), 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности.

Евгений, да, я знаю, почему ты так написал. Но это не отменяет того, что весь этот Лукацкий-стайл – владелец заводов, газет, пароходов – выглядит, мягко скажем, не очень. Да и цифры подозрительно круглые. Уж лучше опыт писать, чем публикации. Надо сказать, что на этом же сайте в другом месте статей и комментариев указано 50+ и 300+. Евгений скромный человек.

tsarev_300+

Цитата:

Статусы:

  • Аудитор, Внедренц и Сертифицированный тренер по Стандарту Банка России в области информационной безопасности;
  • Аудитор и Тренер по ISO/IEC 27001

По ISO не совсем понятно — какой аудитор? Внутренний? Lead? Сертифицирующий (или как он там называется, который проводит аудит от BSI)? И тут я вижу немного манипуляции: все же сомневаюсь, что BSI сертифицирует тренеров в России? Да, аудитору, чтобы проводить контрольные аудиты, надо 200 часов (мб сейчас больше) потратить на аудиты, или же можно заменить их проведением обучения, но сомневаюсь, что речь об этом. Но звучит круто.

Оффтоп: Евгения я знаю еще меньше, чем Михаила. Первое мое знакомство с ним состоялось с поста Алексея Лукацкого.

Итог: раунд за Царевым.

Райнд 2 – услуги

Здесь буду давать комментарии в оригинальном тексте участников.

Михаил Емельянников

Консалтинговое агентство «Емельянников, Попова и партнеры» (вот интересно – кто такая Попова и кто эти партнеры? Опять к вопросу о подаче услуги: баллы снимать не будем, т.к. разбирали это в первом раунде) предлагает услуги профессиональных консультантов (а конкретно?) в области информационной безопасности. Уникальность предлагаемых услуг состоит в комплексном решении проблем на стыке правовых, организационных и технических мер, исходя из необходимости соблюдения законодательства и оптимизации затрат (ну, скажем, что каждый первый интегратор делает такую «уникальность»).

Агентство оказывает услуги:

· предприятиям и организациям, заинтересованным в создании эффективной системы защиты информационных ресурсов и выполнении требований регуляторов (придирка профессиональная – почти невозможно сделать эффективно и соблюсти все требования регуляторов при заявленной оптимизации затрат);

· отечественным и зарубежным компаниям, работающим на российском рынке информационной безопасности или имеющим планы выхода на него;

· организаторам учебных курсов и семинаров по вопросам защиты информации.

Краткое описание услуг

· Выявление на предприятии проблем в информационной сфере, поиск путей решения, риск-менеджмент (анализ рисков, выработка стратегии управления рисками, определение мер по их снижению или компенсации).

· Разрешение сложных проблем выполнения положений законодательства в области персональных данных с учетом нормативно-правовых актов других областей правового регулирования (видимо, текст старый – сейчас сложных проблем «на стыке» что-то не припомню, или надо указывать конкретно), устанавливающих требования, связанные с обработкой персональных данных (трудовое, гражданское, налоговое законодательство, законодательство о правоохранительной, оперативно-розыскной, кредитно-финансовой деятельности и др.).

· Установление и изменение режима коммерческой тайны с целью обеспечения защиты исключительных прав обладателя секретов производства (результатов деятельности в интеллектуальной сфере) (как-то узко, есть еще куча исключительных прав, а уж видов коммерческой тайны… одним производством дело не ограничивается).

· Экспертиза законченных (есть соответствующая лицензия и аккредитация?) или находящихся в стадии приема проектов в области информационной безопасности с целью оценки соответствия требованиям законодательства, полноты, разумности и достаточности предлагаемых в проекте защитных мер, обоснованности выбора средств защиты информации.

· Обучение и повышение осведомленности персонала заказчиков в области безопасности и выполнения требований законодательства, проведение семинаров, вебинаров, учебных курсов и др. мероприятий по тематике информационной безопасности для всех категорий (тут ссылка) – от владельцев бизнеса и руководителей высшего звена до рядовых работников (почитав блог и посмотрев евенты, складывается ощущение, что обучение — это основной вид деятельности агенства…).

· Консалтинг (а чем слово консультирование не нравится?) компаний-производителей средств защиты информации, а также компаний-интеграторов (просто интересно – и часто обращались? По идее в интеграторах полно своих специалистов), оказывающих услуги в области информационной безопасности:

— сложные вопросы регулирования информационной безопасности;

— экспертная оценка развития бизнеса компании, ее позиционирование и продвижение на рынке информационной безопасности;

— консультации по развитию продуктов и услуг, предлагаемых или планируемых к запуску;

— аналитические исследования в области угроз, тенденций, технологий информационной безопасности, практики правоприменения (к сожалению, нет исследований в открытом доступе);

— представление интересов компаний на различных мероприятиях (подготовка и проведение презентаций, семинаров, участие в переговорах и пресейле, статьи с аналитическими исследованиями и др.) (кхм… а как это выглядит? Приходит Михаил и говорит, «Вы меня знаете, но сегодня я от компании «Веторк-2000». Да?).

· Консалтинг зарубежных компаний, работающих на российском рынке или планирующих такой выход, по сложным проблемам российского законодательства, таким как обработка персональных данных, защита коммерческой тайны и др. (т.е. у зарубежных компаний всего две проблемы?), для компаний, планирующих продвижение на российский рынок своих продуктов и услуг в области информационной безопасности, — по вопросам государственного регулирования, сертификации продуктов и лицензирования деятельности, особенностям поставок для государственных нужд.

Усе дальше контакты. Кстати, почта на gmail … не секюрно.

 

Евгений Царев

Подготовка судебных и досудебных экспертиз по вопросам информационной безопасности и защиты информации

Срок подготовки заключения: от 5 рабочих дней (без учета обследования на месте (так обследование может месяцы занимать. Лично мне было бы неприятно узнать, что общий срок будет 2 месяца, а не 10 дней максимум, как я мог бы ожидать по написанному. Плюс к этому — не указана верхняя граница по срокам…))

Подготовка информационного письма для суда: в течение 1 рабочего дня (даже если запрос пришлют в 17-30? Если да, так это офигенное конкурентное преимущество – надо указывать)

Подготовка информационной справки: от 3 рабочих дней

Подтверждение квалификации с копиями документов прикладывается к письму и заключению (собственно это немного отредактированная версия из 1 раунда. Но тут отсутствие опыта – жирный минус. Одни курсы, обучения и 300+ статей. Что значит «проекты по запросу»? Евгений, вы публичный эксперт, который живет доверием суда к вашему мнению. У вас весь сайт должен быть в ваших проектах, благодарственных письмах и отзывах).

Суть услуги:

— проведение судебной экспертизы в рамках арбитражного или гражданского процесса, по запросу органов дознания и следствия, а также исполнительной власти и местного самоуправления (т.е. я как ответчик или истец не могу к вам обратиться за экспертизой? Зачем такие излишние уточнения?);

— составление заключения по запросу физического или юридического лица, включая адвокатов (вы не любите адвокатов? Или они у нас теперь не физические лица?);

— подготовка рецензии на заключение других экспертов (комментарии на комментарии. Думаю, любой адвокат бы поставил под сомнение вашу экспертизу ввиду отсутствия опыта реальной работы);

— получение консультации на предмет проведения экспертного исследования.

Итог: 2-0 в пользу Царева.

Раунд 3 – разное

Сюда попадает все, что нельзя оформить в отдельный раунд. И Евгений и Михаил – блогеры. Евгений больше года не писал, но сейчас вернулся. Видимо, повышал квалификацию по ИБ.

Евгений, в отличие от Михаила, пишет сейчас по судебной практике (что плюс), но не совсем ушел от репостов. Все-таки ссылки на чужой контент — они больше для твиттера. Михаил пишет пространные посты об угрозах домохозякам и подросткам.

Оба бойца довольно эгоцентричны, хотя Евгений в большей степени – есть раздел в видео о себе любимом.

Михаил, по сложившемуся ощущению, занимается чтением курсов. У него в блоге всего три вкладки, причем вкладка с курсами больше, чем вкладка с услугами. Кстати, Михаил, это абсолютно нечитаемо. Какая-то простыня слабо форматированного текста, конкретный курс не найти.

Евгений написал книжку «Как удалить данные о себе?» на 9 страниц, правда не понятно, зачем он ее распространяет через почту, если она все равно лежит у него на сайте? Клиентскую базу собирает? Кстати, для поисковиков лучше название написать текстом, а не на картинке.

По поводу цен прямых данных в интернете нет. Про Михаила говорят (считайте это слухами), что он готов всем помогать с ответами на вопросы за крайне неприличные деньги.

Ну, и Евгений раньше начал вести свой блог (2009 год против 2011).

Итог: разгром 3-0.

Winner

Заключение

Будь я человеком из нашего вступления – наши участники не помогли бы мне решить мою проблему. Я бы их просто не нашел. Но если бы нашел, у меня не возникло бы доверия к ним на основании информации, которую они сами о себе предоставили.

Но если бы это были последние эксперты в мире, то выбрал бы Царева.

 

На этом все. До новых встреч.

Positive Hack Days 2016 – Королева в восхищении!

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я на мероприятие на удивление легко. Думаю, это был мой последний опыт на данном поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD – восхитителен именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, теми, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то даже не настраивал, рвет от всего этого великолепия крышу. Помнится, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ — тебе очень нравится, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер». В свое время журнал позволил приобщаться к чему-то этакому, в какой-то степени контр-культурному, инженерному. Если вы читали его с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потом я перестал его покупать. На одной контр-культурности далеко не уедешь.

Мне конференция понравилась, людей много, все везде бегают, какие-то непонятные движухи. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно — глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады.
  • Потусоваться, поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой или что-то активно обсуждают по телефону. Количество сделок, заключаемых на конференциях – серьезная величина, которой нельзя пренебречь.

На PHD такого почти не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить — за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус: нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин я подъехал только к часу дня. Немного жаль, ведь в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А вот Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: после слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации, где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами — все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов. Многие мужья колотят и тиранят своих жен, но лишь единицы прибегают к помощи со стороны.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все то же самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее.

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра.

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают.

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного конента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация ведь происходит по просмотрам», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах говорящих. Например, с той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или с желанием прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку. Интересный момент: тот же Алексей очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вместе с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а также ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго: кому-то достаточно простого «я сделал», а кто-то спать не может, ведь «в интернете кто-то не прав», и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, чтобы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относится), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет — тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А вот задача специалистов – оберегать домохозяек, чтобы они спали спокойно. Все думающие иначе должны начать с курсов компьютерной грамотности для населения, а через поколение-другое уже переходить в поибэ.

И, в заключение, качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует — для вас его контент будет качественным. Если блогер — мудлан, вы читать его не будете, как бы он не извернулся, что наша дискуссия с Алексеем  и показала.

Не смотря на нашу историю с Алексеем, я говорил и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А вот Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, например, про книги совсем не интересно, а про Solar интересно.

И напоследок. Hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

 

P. S. Скорее всего это был мой последний отчет о конференциях. На конференции попасть сложно, пишутся отчеты долго, да еще и скандалы всякие возникают. Следующий напишу, если буду участвовать или организовывать.

Войны блогеров по ИБ

Когда воюют блогеры, комментариев в избытке (с) мое

Сегодня произошло странное, о чем и хотелось бы сказать, чтобы расставить все точки. В чем суть? Сегодня была настоящая война блогеров со мной. Весь топ блогинга поибэ ринулся защищать свои интересы от моих мнимых нападок.

5753_900

Началось все со второй части моего отчета о CISO-Forum, где в одном предложении был упомянут Алексей Лукацкий. Упомянут был в контексте того, что Алексей неважно модерировал пленарное заседание, на котором была джинса от ISACA, съевшая 30 минут из 40 всей пленарки.

Через 2 минуты после заброса в фейсбук я получил комментарий от Алексея. Удивительно, какая скорость. Думаю, фильтр какой-то на собственную фамилию поставил, или что-то в этом роде. Хотя еще недавно Алексей заявлял, что репутации в России не существует, а ему конкретно – все равно, что о нем пишут, уже столько написали.

Алексею показалось, что я говорил о его секции, на которой меня якобы не было (Алексей, я там был. Я в тот день был почти на всех секциях, за исключение круглых столов, т.к. сам вел один). Но не суть, говорил-то я о пленарном заседании, а не о секции Лукацкого. Как видно, фейл на лицо. Ну, с кем не бывает. Утром я указал на ошибку, и забыл.

Приехал на PHD, зашел на секцию публичности в ИБ. Сижу, никого не трогаю, и тут Алексей с поддержкой начинает шпильки мне кидать… я так понимаю, это что-то личное, Алексей еще на CISO-forum желал мне провала. И тут подошла тяжелая артиллерия. Закончилось все тем, что Алексей высказал мысль, что у нас нет качественного контента в принципе. На мое уточнение, «и среди сидящих за кафедрой?», Алексей выкрикнул мне персональное разрешение с предложением написать это в фейсбуке.

Было крайне неожиданно узнать, что я, оказывается, залез на священную землю блогов по иб и топчу ее бесправно. Что сам я пишу хуйню (чего не скрываю), грамотную аналитику не даю, а выезжаю за счет скандальных тем и критики. Ну, а потом все перешло в фейсбук, где Лукацкий оставил полсотни комментариев, а когда я уже признал свою тупость и ограниченность, продолжил доказывать свою правоту каждому, кто отписался у меня на стене.

Лично для Алексея. Алексей, то, что конкретно этот блог молод – не значит ничего. У меня есть еще 4 более или менее популярных блога. Один из них я начал вести, когда вы 10 лет назад еще и не думали открывать свой. Я прекрасно осведомлен о методике проведения срачей как в интернете, так и в реале. Которые к тому же длятся месяцами, а не пару часов. Вы позволили себе перейти на личности, что ж – ваше право. Мне же этот метод не интересен.

Вы — личность публичная. Отличный теоретик. Я, можно сказать, рос как специалист на ваших постах, но сегодня вы потеряли лицо. Спорить с каким-то ноунеймом (кстати, это уже не первый раз) по пустяковому поводу так, что теперь об этом знают все. Зачем? Ладно, хватит об этом. Тему закрыли. Обещаю, что впредь не буду упоминать вас всуе, разве что по какому-то большому поводу.

Для читателей. Друзья, этот блог не про информационную безопасность, и никогда о ней не был. Топ блогинга может спать спокойно. С помощью блога у меня нет цели распиариться, монетизироваться, найти новых клиентов и т.п. По одной простой причине – я не занимаюсь информационной безопасностью. Цель у блога лишь одна – писать. То, что вы это читаете, для меня большая удача. На один из моих блогов подписан 1 человек. Мне этого достаточно. Я просто надеюсь, что мой взгляд на вещи кого-то побудит к разговору. А уж что писать – про ИБ, рассказы или стихи, все равно. Вы бы бросили меня читать, если бы я тут постил свои рассказы? Или заметки?

ilive

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, чтобы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13 — лучшее время для отчета. Но должна быть и капля позитива, ведь я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные, законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они в свою очередь были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: хватит говорить о технологиях. Технологии — это лишь один, при том самый низший уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот и весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал про западные SOCи и отечественные, о той локализации, что присуща только нам. Можно сказать, что у нас образуются два отдельных направления в SOC: это подход Solar с его аутсорсингом и вытекающими от сюда проблемами, и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, ценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Чтобы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но программка – мое почтение. На моей памяти они единственные, кто догадался сделать ее формата А5. На полиграфию денег не пожалели.

Ну, и развлечения были неплохи. Особенно алко-казино:)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA) пересказывал какой-то западный отчет по угрозам. Потом вещал о том, какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в шоке. Никогда не думал, что на таком уровне можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал о своем опыте сертификации CISA, CISM и CISSP. Рассказ об этом занял минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы так же сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не- CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций?

Фарит высказал свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно третий круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию, и за деньги обучают своей методике. Так мало того, вы каждый год должны покупать книжки, чтобы остаться в кругу Элиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке.

Александр Баранов: нормативка не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие.

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики.

А затем была целая секция «Жизнь после ИБ», от которой я просто выпал в осадок. Там вещали девушка и молодой человек. Оба занимались ИБ, но потом ушли из профессии.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили их причины прихода в ИБ (я уже не помню, кто и что конкретно сказал, главное — общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: в ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш четвертый круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию «ИБ «под каблуком. Женщина в профессии CISO». Вообще надо сказать, что все выступающие независимые эксперты (а независимы они видимо потому, что их компании не были спонсорами форума), как-то странно выбрали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц, и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась стать сертифицированным аудитором и начитывала для этого часы. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга был понят мной во всех нюансах и подробностях.

Скажем нет сексизму в ИБ! Можно сказать, это был второй круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был пятый круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина при плохой игре. Первый день CISO- forum был… душным. И дело не в работе кондиционера, с ним все было нормально. Дело в давлении. Это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот корпорации – они всем рулят, а вот модная сертификация — ее надо получить, иначе к баланде не допустят. И ты бежишь как белка в колесе за целями, поставленными другими. Хотя добро — вот оно. Ты только что свернул от него в другую сторону…

Были там и другие круги… но я не хочу об этом писать.

Всего вам доброго.