Архив метки: информационная безопасность

Хайпожор: Обоснование затрат на информационную безопасность

Давно, давно я не писал про тренды в нашей поибэ. Если вы хотя бы пару лет крутитесь в нашей сфере, то могли заметить, что каждый квартала или парочку, появляется очередной модный тренд, о котором начинают говорить на каждом углу. Agile, UEBA, GRC, SOC, BYOD, искусственный интеллект и т.п.

Хедлайнерами каждой темы, разумеется, выступают топ-блогеры по информационной безопасности. По каждой теме есть множества материалы, и я решил провести некоторую ретроспективу трендов и что из них получилось. получилось ли из этого что-нибудь, или забылось, как позавчерашний хайп?

Начнем мы с экономической оценки.

 

Как обосновать затраты на информационную безопасность

Надо сказать, что я был приятно удивлен, что Алексей Лукацкий обратил внимание на данную тему. Я даже слушал трансляцию в прямом эфире, делая для себя пометки. Но вынужден был прерваться и решил дослушать когда-нибудь потом. Пометки я разумеется потерял, поэтому пришлось слушать заново. Поехали.


0:00 – Выступление «Как оценить вложение в ИБ?» Очень благодатная тема, надо слушать.

1:35 – Неосязаемость информационной безопасности дело такое, двоякое. По такой логике услуги врача тоже не осязаемы, если у вас ничего не болит. А когда заболит, тогда это будет «дорого, долго и…».

1:42 – Это у кого такое мнение? У руководства? У пользователей?

1:59 – Блокирование фбешечки и вообще контроль над пользователями, входит в топ-3 способов, как раз эти деньги бизнесу обосновать. Особенно бизнесу далекому от ИТ и ИБ. Cisco разумеется, таким способом не продать, поэтому это способ плохой-плохой.

2:22 – Хорошая работа ИБ, часто не видна – согласимся. Но тут необходимо разделять, что хорошая работа и отсутствие работы не видны одинаково. До первого грома, конечно. Кстати, интересный демагогический прием: если не видна работа хорошей ИБ, то как она таковой стала? Значит она уже обосновала свою значимость, выстроила СУИБ, и у нее все хорошо. И бизнес, кстати, понимает, зачем ему хорошая ИБ, иначе бы он ее такой не создавал. Зачем ей что-то кому-то обосновывать?

2:35 – Не «только», а «в том числе». Или просто, пока везет. Ведь, в примере Алексея, мы не можем оценить влияние хорошей ИБ.

2:52 – Стоп-стоп-стоп. Выделение средств, и были ли они «потрачены не зря» родственные, но разные задачи. Давайте не будем мешать все в одну кучу.

3:50 – Алексей, о какой целевой аудитории вы говорите все время? О подписчиках вашего блога? Или сотрудниках организации, где работает безопасник? Для задачи, которую вы поставили «оценка вложений в ИБ», а потом расширили «обоснование необходимости вложений», целевая аудитория одна – владелец бизнеса, или может быть чуть шире топ-менеджмент. И вы на голубом глазу заявляете, что может быть какой-то инцидент ИБ, который надо «рекламировать» владельцу бизнеса? Вы серьезно? Если инцидент серьезный, владелец бизнеса сам с вас спросит, как это произошло и как этого не допустить в будущем. Иногда, через 10 минут после того как узнает.

4:08 – Пока, не очень понятно, что Алексей подразумевает под «разговаривать с бизнесом о деньгах». Бизнес отлично считает, лучше нас, и риски для себя он видит лучше. Хорошо, если потенциальный ущерб оценен не только качественно (у нас украдут всю базу клиентов), но и количественно (на этом мы потеряем десять тысяч рублей). Но наша оценка может сильно расходиться с оценкой бизнеса (см. про DLP в ритейле). Но разумеется необходимо помочь, когда бизнес эту оценку произвести не может.

4:23 – Так «важная», «нужная» или «так принято». Прямо какое-то «да, нет, наверное».

4:26 – Прямо откровение за откровением. Заниматься безопасностью, чтобы было безопасно – это пять.

4:35 – Нам может не понравиться ответ на вопрос «а что мы делаем внутри организации», только в том случае, если мы занимаемся не своим делом или имеем интересы отличные от нашей сферы деятельности (в данном случае безопасности). Интересно, Алексей провел какой-то опрос среди безопасников, или проецирует с себя?

7:40 – «Если улучшение можно увидеть, его можно посчитать» (с). Я просто оставлю это здесь.

7:49 – Теперь у нас можно посчитать, качественную оценку… Наверно, раз критичная, два критичная.

8:15 – Апостол ИБ, постоянно перепрыгивает от какой-то целевой аудитории (они), к каким-то неопределенным нам (кто это? Безопасники?).

8:25 – Алексей, из всех определений ИБ, вы выбрали: «безопасность – обеспечение КЦД»? Вы серьезно? Это 2014 год, вы еще не ушли из множества рабочих групп, и сами над этими определениями работали. Может быть это был пример неудачной коммуникации, и вы покажите, как надо было? Ответ: нет.

9:01 – Финансовый Директор, которого волнует перевод капитальных затрата в операционные. Алексей, с таким уровнем понимания темы, лучше в оценку не лезть. Капитальные затраты, это когда мы что-то делаем новое (часто это очень дорого), но единовременно – строим дом, внедряем DLP и т.п. А операционные затраты – это периодические затраты, которые необходимы для нормальной работы. Капитальные затраты не могут перейти в операционные ни каким боком, если мы не строем/покупаем, а берем в лизинг/аренду – это сразу операционные расходы. Никакого перехода.

9:25 – «Улучшение финансовых показателей с помощью лизинга», золотой фонд цитат Алексея. Не буду много писать, интересно про финансовые показатели? Пишите в комментариях.

11:16 – Может быть Алексей и занимается безопасностью «потому что занимается безопасностью», но это плевок во всю отрасль. Так может говорить только человек, который пришел в отрасль, по иным причинам. Может быть тут лучше платят (буквально через 2 года, мы будем обсуждать размытие компетенций, в следствие популяризации темы ИБ), или хорошее место подвернулось и не хочется с него уходить.

11:27 – «Безопасность не нужна и не важна» (с) ЗФЦ Алексея. Думаю, уже после этого можно уже дальше не слушать, но продолжим.

11:40 – У Алексея, какое-то превратное представление о работе генерального директора. В его представлении, директор каждый день сидит и решает, на это дам деньги, на это нет. При том, что Алексей смешивает те самые капитальные (ИБ в контексте повествования) и операционные (картриджи, кофе, туалетная бумага) вложения. Алексей, если у компании нет денег на операционную деятельность, я вам гарантирую, информационная безопасность ее будет волновать в последнюю очередь.

12:08 – Ох, результаты в процессной деятельности… а безопасность — это бесконечный процесс, как например, забота о здоровье.

12:14 – Алексей, у меня для вас лайфхак, как снизить количество инцидентов: не сообщайте о них. А если, вас будут припирать фактами, все отрицайте. KPI взлетит до небес, и затраты нулевые.

15:13 – «Безопасность сама по себе, волнует только безопасников» (с) ЗФЦ. А, вот, интересно для кого Алексей это все рассказывает? Для безопасников? С такой позиций низвержения нас? Не похоже. Для бизнеса? Опять же нет. Такое ощущение, что Алексей пришел покрасоваться на очередную модную тему.

18:05 – Алексей, вы правда считаете, что показать эффект от 1 элемента сложнее (не важно положительный или отрицательный), чем от суммы многих? Само по себе это требует обоснования, т.к. все последующие примеры будут основаны на этих 2+2=4. Это только в математике. В физике уже приходится брать поправку на дефект массы, а в социологии не то, что 2+2, а даже 1+1 – это то ли будущая семья, то ли сговор с целью ограбления банка.

А вы основываете все свое выступление на том, что надо найти как можно больше элементов, спрятать там безопасность, чтобы было легче потом отбрехаться куда пропали деньги. Этот подход имеет место быть, но не в безопасности, и тем более оценке вложений в нее. Хотя для продажи Cisco под любым соусом, самое оно.

18:22 – Кто эти мифические мы, которые хотят поднять выручку от продаж? Отдел продаж? Или Алексей, предлагает безопасникам думать над проблемами, для которые есть специальные люди?

18:48 – Рост выручки: за счет увеличения числа клиентов, за счет увеличения числа сделок, за счет ускорения сделок, за счет снижения себестоимости оказания услуги.

Увеличение клиентов – понятный путь, но надо сразу говорить о цене привлечения новых клиентов. Она может быть такой высокой, что многие предпочитают работать с уже имеющимися.

Что такое увеличение числа сделок? Видимо, имеется ввиду в уже существующих клиентах (иначе, это вырожденный случай увеличения числа клиентов). Возможно, если у нас широкий ассортимент. Продали антивирус, а купите у нас еще и SIEM.

Что такое ускорение сделки? Чтобы она быстрее закрылась и мы получили деньги?

Снижение себестоимости. Такое… если, мы что-то производим, то от такого сокращения затрат, можем потерять в качестве, что в свою очередь может отпугнуть клиентов, что приведет к снижению выручки. Но идем дальше.

20:15 – Чем вынос точки продаж «в поля», отличается от найма представителей в примере выше?

21:50 – Пассажи «А давайте купим MDM, потому что это круто» сразу наводят на мысли, а Алексей хоть раз сам что-нибудь обосновывал? Или это личные мысли автора, как оно в реальности происходит. По такой логике, есть безопасники, которые хотят купить маршрутизаторы Cisco, обрабатывая информацию на локальных  АРМах. Понятно, что утрирование позволяет донести суть, но глупости совсем уж говорить не надо.

24:00 – Насколько я помню, чтобы получить доступ к интернет-банку, надо в офис в начале прийти. Договор заключить, доступ оформить. Алексей, как много общающийся с банками, не может этого не знать. Никакие 10000 клиентов в мобильном банке не появятся, прежде чем они не посетят обычный офис. Пример вводящий в заблуждение.

24:45 – Алексей, при коллективной работе, всегда найдется самый крайний, который будет за все отвечать. Ваши слова не соотносятся с реальностью, но в книжках так пишут, да.

25:45 – И огромное проседание в производительности работы и качестве. Даже в 2014 году, были уже исследования о сложности надомной работы. Что и показала последующая история в IBM с выселением и обратным заселение в офис сотрудников.

27:00 – Какой волшебный мир, в котором поставщики сами отслеживают наличие комплектующих у клиента. А что делать с поставщиками, которые затоварят склад? Больше поставили, больше получили. Мощности перенаправили на других клиентов. Вот, уж дыра в безопасности бизнеса, так дыра.

30:20 – Алексей, чем же вам так капитальные затраты не угодили? Уже который раз вы о них негативно отзываетесь. И в чем проблемы со списанием оборудования?

30:32 – Да, если сегодня взять в аренду, то сегодня это будет выгодно и финансовые показатели на высоте. Но на большом промежутке времени, аренда может стать дороже покупки. И тогда финансовые показатели улетят в трубу.

32:05 – Как интересно. Видимо, подразумевается, что если сотрудник не тратит час на дорогу он в это время работать будет?

32:33 – Бред какой-то. Алексей утверждает, что среднестатистический работник из 8 часов рабочих – 5,5 часов работает, а 2,5 стоит в пробке? Интересно, увидеть тех работодателей, которые такое позволяют. Я-то думал, как? В 9 на работу пришел, в 18 – ушел. А то, что ты там встал в 6 утра, чтобы доехать, так это твои трудности. В реальности Алексея, ты можешь спокойно постоять в пробке в рабочее время.

33:00 – Рукалицо.

35:00 – Видимо, речь идет только о командировках по переговорам. Если надо что-либо сделать, то тут уж никакой скайп не поможет.

40:00 – Алексей, я даже больше скажу, безопасность не относится ни к одной из перечисленных вами категорий.

41:00 – Алексей все время с таким надрывом говорит про понимание задач бизнеса, будто это что-то такое неведомое и сложное. Вот, выпустился студент, и пошел работать по тайному кодексу безопасников, все равно где и на кого, главное кодекс чтить:

  1. Никому не рассказывай про Кодекс.
  2. Никогда и никому не рассказывай про Кодекс.
  3. Скрывай цели безопасности.
  4. Безопасность нужна.
  5. Никому не говори, что ты делаешь и зачем.
  6. Бери все деньги, что выбьешь.

46:55 – Такие байки преподаватели первокурсникам рассказывают. Для должного эффекта в этой истории не хватает обязанностей этого сотрудника.

49:11 – Алексей, ничего это не значит. Люди сидят в соцсетях, когда у них нет текущих задач. И, о ужас, не сидят там, когда им надо срочно что-то сделать. И вы действительно думаете, что сотрудник задержится на работе, чтобы сделать то, что он не успел благодаря тому, что сидел в фейсбуке?

49:27 – Мотивация на труд с помощью доступа к фейсбуку? Алексей гробит свой талант в управлении персоналом.

52:50 – Ох, т.е. информация имеет стоимость. Отлично. Ее можно посчитать. Замечательно. Но результат зависит от того, кто будет считать… ну как так-то? У нас что квантовая теория? Нет. Как можно в правильном ряду исходить из таких чудовищных предпосылок? Алексей, задача решается, когда считает 1 человек.

53:00 – Что интересно, в лекции по оценке вложений, методики не называются. Хотя бы просто перечислили для интересующихся.

1:00:50 – Плохая черта спикера, не проговаривать то, что написано на слайдах. У нас же новая тема, и вроде как вхождение в тему…

1:03:50 – Как оказалось и на западе то ж особо репутацией не заморачиваются.

1:04:29 – Алексей, «отдача» и экономическая целесообразность, две разные вещи. И хорошо бы раскрывать термины, которые вы вводите, что такое «отдача»? Прибыль от проекта? Нет, прибыль она и в Африке прибыль. Экономическая целесообразность чуть-чуть сложнее описанной вами схемы затраты-возможные штрафы. В 2014 году могли и бизнес приостановить на 90 дней. «Отдачи» никакой, да.

1:07:02 – Потери бывают в разной форме (с) ЗФЦ. Алексей, если уж вы взялись говорить за экономику, то там есть прибыль и убыток. Никаких «потерь» там нет.  Убыток, может иметь множество причин (вы это называете «разной формой»), но всегда выражается в деньгах. Всегда. Все эти ваши простои, замены и т.п., это деньги. И их уже лет 100, как научились считать. Кстати, как и потери от инцидентов информационной безопасности.

1:09:26 – «Смерть пациента – это страховые выплаты и судебные издержки» (с) ЗФЦ

1:09:40 – Алексей, вы еще ничего не рассказали по теме оценки.

1:10:00 – Где ж Алексей видел бизнес, который бы отказывался от реального улучшения своей работы? Бизнес, который должен захотеть увидеть отдачу… Бизнес-консультант.

1:11:27 – Алексей, зачем городить высосанный из пальца пример? Если банк-клиент ломают и деньги утекают, если доказывается, что это именно в результате взлома, то банк несет прямые убытки (компенсации, исправление, прохождение проверок и т.п.). Так в любимом вами банковском секторе действуют. Прямой связи между взломом и уходом клиента нет. Наоборот, если банк все компенсировал – клиент останется, а убытки будут. Весь пример насмарку.

1:11:57 – Некоторая фальшь чувствуется от этой лекции.

1:12:08 – Алексей, ну, что вы? Какая уже оговорка по Фрейду? Все эти поверят нам, уверенность в себе и т.п. Экономика чудесна тем, что в ней есть циферки. Над циферками производятся математические действия (очень простые), которые дают воспроизводимый результат. Предмет дискуссии, лишь в исходном значении циферок, а не в результате. Уж, коль вы так боитесь, зачем разговор об этом завели?

1:12:17 – Как нам всем повезло. Нас принято держать, несмотря на то, что мы такие плохие. Надо ввести моду на ИБ среди топ-менеджеров. Как с чихуахуа или айфонами. У кого безопасник круче и красивей. А? Как идея?

1:13:07 – А у нас в «неумытой» России разумеется все по-другому. Все только на Западе работает, только. А надо-то всего лишь, оплату труда поменять.

1:14:48 – Посыл, что ИБ не обосновывается, потому что зарплаты маленькие – это даже не пять, это десять. А может быть просто решения от Cisco стоят неадекватных денег?

1:16:15 – А можно подробнее, какие методы уже были предложены?

1:16:31 – 30 методик о «оценке отдачи проектов по информационной безопасности»? О чем же тогда автор тут больше часа говорит? Сколько из них он применил? Какой результат получил? Что рекомендует использовать в тех или иных случаях? Нет. Просто почитал парочку, результата не получил, сказал не работает.

1:20:29 – Что такое 100% результат? Выход проекта в ноль? 100% прибыль на вложенные инвестиции? Нет ответа.

1:21:30 – Алексей, о чем же вы тогда говорили, почти, полтора часа? А, о том, как все сложно и безопасники сами в себе.

1:22:03 – А еще эффект масштаба, иногда, имеет обратный эффект. Когда из-за своего объема компания не может достичь запланированных выгод. Например, накладные расходы на перестройку процессов, могут длиться годами и съесть весь «запланированный» профит. Об этом, кстати, рассказывают даже студентам технарям. Но зачем нам такие тонкости.

1:22:17 – Алексей, в среднем рабочих дней в году 247 (в 2014, кстати, тоже). Фиг с ним, округлим до 250, чтобы считать было проще. Но откуда 260? Не думая скопипастили пример, и его презентуете? Глубокое уважение к аудитории. Почти, 5% съели.

1:23:10 – Алексей, хорошо, вы не курите и можете не знать, что перекуров может быть и 5, и 10 в день. Но ограничить бедных сотрудников 2 походами в туалет в день, это круто. А еще есть предусмотренные СанПиН, по работе за компьютером, предписывающий отдых (а, следовательно, блокировку компьютера), каждые 45 минут. Кстати, от этого ваш пример только выигрывает. Оценка будет за 10 млн часов.

1:23:50 – Алексей, ну, какая повторная регистрация через 60 секунд после первой ошибки? Вас с такими требованиями линчуют через неделю, никакие обоснования не помогут. Хотя понятно, почему вы ввели эту переменную, надо было показать больший выигрыш. Но не пришлось бы так сильно натягивать ужа на глобус, если бы в предыдущем параметре вы были бы более близки к реальности.

1:25:15 – Кстати, об эффекте масштаба. Для GM – 22 млн долларов, может быть и не такой большой суммой. Уж наверняка, реальный проект по управлению учетками там будет стоить огромных денег, за 100 млн точно. Озвученная сумма в сотни тысяч долларов на проект маловероятна, или считали только прямые расходы на лицензии, сервера и консультантов, или специально для пиару. Накладные расходы на перестройку процессов в такой огромной компании судя по всему не были учтены.

Допустим 100 ИС, 100 коннекторов по 1 млн рублей (это минимальный ценник в отечественных компаниях), поделим на курс в 2014 годы – уже получается 2,8 млн долларов. Плюс западные расценки, плюс стоимость внедрения исчисляемой в несколько трудолет, плюс командировки по всему миру на квартал другой, плюс стоимость лицензий, серверов и обучения. Думаю реально около 100 млн долларов и будет.

Плюс хинт: пока проект внедряется в убыток в 22 млн плюсуется в расходы. Проект 100 млн, внедряем 3 года, итого 160 млн. Если бы ничего не делали, этих денег хватило бы на 8 лет «обычных» убытков. Чем не расчет целесообразности?

1:27:15 – С джинсой за Cisco все понятно. Надо было пропиарить решение, пропиарили. Оговорки, что все сложнее не работают, см. выше про удаленную работу.

1:33:30 – «Безопасность – это неизбежное зло» (с) ЗФЦ

1:34:25 – Что такое «эффект» от ИТ проекта? Окупаемость? Польза? На каких проектах проводилось исследование? В каких компаниях? Если предположить, что под эффектом подразумевается окупаемость, то срок в 4-5 лет – вообще какой-то фантастически нереальный. Такой эксперт в оценке, как Алексей, должен знать, что за 4-5 лет ИТ системы уже 2-4 раза самортизируются и будут списаны. Их надо менять и обновлять. И еще множество и множество вопросов к данному заявлению. Факты все же необходимо чекать, хотя бы на банальное соответствие.

 

Итого

Алексей ЛукацкийПо прошествии лет, видно, что экономической оценкой занимаются только те, кто и занимался. Блогеры хайпанули и благополучно перескочили на других лошадей, а потом еще и еще. В дальнейшем мы увидим одну и туже картину, когда в качестве знамени будет водружаться та или иная неведомая вещь. Будет много воды, мало сути, отвлеченные примеры, и отсутствие личного опыта по теме. На ней будут усиленно пиариться, а потом забывать.

Будем считать этот уровень погружения за ноль, и дальше будем мерить по нему.

Сам Алексей данную тему никак дальше не развивал, подвижек в этом направлении в его блоге мне не удалось.

Алексей Лукацкий получает 10 поленьев из 10.

 

 

Наша экономика стояла на краю пропасти, а теперь мы сделали большой шаг вперед. Или карьера в ИБ

Всем, привет.

Знаете, что я вам скажу? Ремонт – это трындец. Когда, ты делаешь ремонт, времени не остается ни на что. Вот, обещал Андрею Прозорову, посмотреть его лекцию в июне, а добрался только к июлю. Про ремонт, как-нибудь в другой раз, а сейчас про Андрея.

Поехали.

Идею этого материала, подсказал сам Андрей. У нас стремительно развивается новый обучающий формат на базе Университета Сбербанка, где проводятся открытые лекции на разные темы. Наконец-то, кто-то это сделал. До этого можно было послушать уважаемых людей либо в рамках спонсорского доклада, либо в чил-ауте на конференции.

Как уж у них там все организовано не знаю, но задумка интересная. И тут значит, смотрю, вся лента Solar запестрила выступлением Андрея Прозорова. Называлось «карьера в ИБ», у меня сразу вопрос – о какой карьере идет речь? Блогера в ИБ? Или специалиста? Андрей предложил внимательно посмотреть лекцию и высказать свое мнение. Чем я два часа и занимался.

 

Слушаем

Начнем с названия – Карьера в информационной безопасности.

Карьера – это успешное продвижение в какой-либо области и/или достижение значимых результатов. Про карьерные продвижение остановимся ниже, остановимся на результатах. Разумеется, на первом месте личный блог Андрея. На втором (из автобиографии в блоге): какие-то проекты (какие?), выступление на телевидении, сертификация CISM и участие в профессиональных сообществах.

Как я ожидал из названия, Андрей расскажет ключевые этапы становления безопасника, возможные сферы применения, ключевые навыки и т.п.

Начинаем смотреть.

1:55 — ОАО «ФПД» — не так круто, как РЖД. Не знаю, чего застеснялся Андрей. Я, конечно, пониаю, что РЖД звучит круче, чем ФПД. Но чисто визуально акцентировать на РЖД в автобиографии… чего стыдиться-то?

Лета достойна полного названия, ФПД — нет.

Начал работать на 4 курсе, что могут доверить студенту, что бы он набрал бесценный опыт?

2:21 – «Новая  тема диплома «Защита от инсайдеров, защита от угроз». Что крайне странно, т.к. инсайдер по сути внутренний нарушитель, обладающий бОльшими возможностями, чем внешний. Да, у нас полкурса было посвящено борьбе с внутренними нарушителями.

2:35 – очень интересно было бы увидеть перечень научных статей Андрея.

3:15 – я знал, что должность «Руководитель экспертного направления», это для красного словца.

4:45 – Андрей не все умеет, как написано в стандарте на его специальность.

6:54 – Экономика и философия Андрею не пригодятся. Не мудрено, что сейчас с этим сложности.

7:36 – «Безопасность жизнедеятельности – это как надевать противогаз». Понятно, что Андрей хотел пошутить, но вышло не очень. Там много интересного рассказывают.

7:45 – «Документоведение и психология к безопасности отношения не имеют». То у нас главный источник угроз это человеческий фактор, но специалисту с 10 годами опыта, такие мелочи ни к чему. Ну, а с документами у Андрея давняя вражда, читал его обоснования внедрения продуктов работодателя для 152-ФЗ, сам черт ногу сломит. Не нужная дисциплина, да.

Интересно, кому Андрей рассказывает, что вышка в ИБ плохая? Если лекцию слушают в основном не-безопасники? Они в любом случае уже на нее не пойдут. Скопировал кусок из другой презы?

9:55 – «Упущены навыки общения с другими людьми». Видимо, Андрей прогуливал «ненужные» предметы, т.к. там об этом подробно рассказывали. Начиная с документоведения.

10:50 – «Когда я работал в Лета, у нас был консалтинг и стартанули персональные данные». По автобиографии, Андрей устроился в Лету в 2008 (очевидно летом, после диплома), когда ЗПД уже набирал обороты, а не стартовал.

11:09 – как ведущий консультант может собеседовать претендентов? Если, работающий уже там  Александр Бондаренко, делал это сам, в лучшем случае, в присутствии эчара? Я был там. Три раза.

11:50 – Трындеж какой-то. В 2008 студенты ЗПД еще даже не нюхали. Через год, я сам набирал студентов и обучал их ЗПД, из нескольких десятков о ЗПД не сказал никто. Тема была для них новая. Хотя, вполне допустимо, что это у Андрея ретроспективная память (привет, Психологии).

22:35 – «Медианная зарплата 90 тысяч долларов, там 75% зарплат больше 100 тысяч. Арифметическое среднее будет больше». Видимо, статистику Андрей тоже посчитал ненужным предметом. Андрей, медиана  — число, характеризующее выборку. Если все элементы выборки различны, то медиана — это такое число выборки, что ровно половина из элементов выборки больше него, а другая половина меньше него. Никаких «75% большее 100 тысяч» (в правом хвосте) тут быть не может.

30:30 – «В работе безопасника главным является управление инцидентами». Вот, уж номер. Двигаем ненавязчиво услуги Solar? Вот, что в наших евангелистах от ИБ подбешивает, так это желание протолкнуть рабочие интересы вперед общественных. Даже в таком мероприятии не обошлось без саморекламы. Про SOC уже раз 15 сказали (не говоря, что это. В аудитории где 7-8 специалистов по ИБ). Не хорошо.

31:29 – «Мое дополнительное образование в области безопасности началось с сайта Интуит». Оно и видно, Андрей, оно и видно.

32:25 – теперь понятно, почему для Андрея не было пользы в высшем образовании. 80% пропусков с 4 курса.

33:10 – «В РЖД не сильно напрягают работать, было много свободного времени». А как же «большая практическая база»? Что-то тут не стыкуется. А в ЛЕТЕ работал по 10-12 часов в день… как-то факты не сходятся.

35:40 – «То, что вы делаете со своим оплачиваемым временем, определяет ваш текущий доход». Интересно, сколько сейчас платят за посты в фейсбуке, дружеские посиделки в рабочее время и настройку квадрокоптера?

36:45 – Вообще, Анакин был зачат Силой, а дети его благополучно выжили. Факты-то надо чекать.

38:30 – У викингов были драккары, а на лодках перевозят овец, что бы их волки не сожрали, а они – капусту.

38:50 – Проверим Андрея по его методике. B – хорошие базисные знания. Как говорит сам Андрей, их у него нет. Ну, не считать же такими 15-20 курсов с Интуита и прогулы института.

О – глубокие специализированные знания. То же нет. Во, всяком случае не сказал.

А – личные качества. Тут сложно сказать, как минимум целеустремленность есть.

Т – знания в смежных областях. См. выше про медиану и другое.

1 из 4. Это хорошо или плохо?

41:40 – Викинги вспахивающие землю… глубокая проработка темы.

45:20 – «Тренинги личностного роста, окупаются в течение полугода, года». Что сказать? Андрей, полностью раскрылся, как офисный сотрудник новой волны, который забалтывает работодателя на большой фикс, не демонстрируя реальных результатов. В сфере пиара работодателя – это хорошо, но какое это имеет отношение к информационной безопасности?

Вместе с тем, видно, что Андрею уже тесно в ИБ, и он уже видит себя инфо-тренером. Это те ребятки, которые зарабатывают деньги, рассказывая, как заработать деньги. Уже и курсы специальные пройдены (100 часов, шутка ли), и клепается армия фанатов. Осталось сделать небольшой шаг.

48:04 – Хорошо бы, конечно, рассказать, где внедрялись процессы 27001?

48:19 – перечитывать PM-book, конечно, хорошо. Но специалист по ИБ в нормальной организации, не касается управления проектами чуть менее, чем никак. Примеры успешных компаний, это подтверждают. Например, Сбербанк.

48:35 – Чем конкретно помогли-то? Этому выступлению, очень не хватает конкретики.

50:48 – Какой офигенный слайд. Оказывается, многозвездным и по самое небалуйся  сертифицированным специалистам ISACA не хватает: технических навыков — 46,32%, понимания бизнеса – 72,33% (интересно, сколько из них считали курс экономики в ВУЗе – лишним предметом?), навыков коммуникации – 42,16%.

Подскажите, прав ли я, что из отчета ISACA следует: минимум 30% сертифицированных у нее специалистов нет достаточных навыков ни в одной из категорий? Как же они сертифицировались-то?

52:08 – Каким образом COBIT притягивается к ИБ? То, что у них одинаковое прилагательное – информационный? Или потому что Андрей его прочитал? Чего в ИБ больше – ИТ или безопасности, вопрос не до конца решенный. Не профессионально, предлагать методики из смежной, но во многом чуждой сферы.

53:02 – Предлагать в качестве основы, принципы тренеров личностного роста – это за гранью. Каждый такой тренер, выдает такие принципы на раз в огромном многообразии. Но что самое смешное, не применяет их в жизни. Не говоря уже о том, что бы кого-то научить. Ну, и предложение принципов без личных примеров, говорит об общем уровне лекции.

55:44Тайм-менеджмент. И ничего больше писать не буду. Устал я от этой секты.

56:22 – «Стать человеком, который может встать у руля какой-нибудь активности». По мне, так тут перепутаны темы тренингов, у нас вроде про информационную безопасность. Тема выступления забыта, Андрей уже во всю пиарится, как тренер. Скоро ли уход в инфо-бизнес?

amctv.com/shows/breaking-bad

57:13 – 40 прочитанных книг по тайм-менеджменту! Вау, либо у Андрея много времени переливать из пустого в порожнее, либо не было важных задач.

57:34 – Наглядная иллюстрация принципа Парето – прочитать 3 книги, где «много воды и не нужного», что бы найти 1-2 пару идей и заметок. Хороший тренинг, так победим.

57:52 – В соответствии с этим принципом, читать книги по тайм-менеджменту неважная деятельность :)

58:20 – Ок, ищу дела, которые делать не надо:

  1. Слушать эту лекцию.

1:00:16 – Дневник достижений… По мне, какая-то хипстерская вещь. Ты и так знаешь чего достиг. Или это планируется перечитывать? Или перед женой хвастаться, когда она будет в очередной раз пилить по поводу того, с каким ничтожеством она живет?

1:05:24 – Конечно, нет времени. Надо книги по тайм-менеджменту читать.

1:05:561 достойная книга из 10, все остальное из разряда «Как стать богатым, лежа на диване».

 

Подводя итоги

По мне, так либо Андрей не понял тему лекции, либо не было что сказать по существу. Презентация (кстати, не похоже, что андрей знает свою презентацию, т.к. постоянно читает со слайдов) построена по классической методичке инфо-бизнеса. В начале все плохо, я учился, но мне ничего не дали. Затем — преодоление, показываем, как мы исправили ситуацию. Закрепление, вносим в головы слушателей нужный нам посыл (чаще всего, все будет хорошо, я знаю, как сделать, приходите еще).

Андрей не раскрыл карьерных этапов и трудностей. Равно как и перспектив (оперирование уровнем зарплаты, это не карьерные перспективы). Ключевых базисных навыков не называл, ключевых смежных – аналогично. Все свелось к выдержкам из других источников, тайм-менеджменту и общим фразам «будь активен».

Т.к. все карьерное движение Андрея направлено на то, что бы стать «техническим евангелистом», то и надо было про это рассказывать. Про это интересно послушать. Только к информационной безопасности это не имеет никакого отношения.

На этом все, до новых встреч.

Андрей Прозоров

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Как убивают четкие инструкции

Так получилось, что в четверг я оказался в Крыму. Там уже успели побывать большинство моих знакомых, а я – первый раз, после присоединения. Это была самая неподготовленная из моих командировок, билет туда был куплен за 8 часов до вылета, а обратный за 20, в самом аэропорту.

Крым, он вообще такой, попасть легко, выбраться сложно. Разница между входом и выходом составила 675%, видимо, окончание сезона – все спешат домой. Дело у меня было в Симферополе, что очень удобно для суточных командировок, т.к. ехать никуда не надо.

Памятник вежливым людям

Памятник вежливым людям

Сам город оставил двойственное впечатление, с одной стороны красиво, с другой – все какое-то незаконченное. Местный Арбат (ул. Карла Маркса) – от силы 200 метров. А главная особенность, что такси в городе не поймаешь можно только заказать по телефону. Не, таксисты стояли в двух местах в центре, но цены ломили, как из Домодедова в Шереметьево в час пик.

Поделал я всякие дела, и забурились мы в кафе Ин Тайм (ул. Карла Маркса, 14), где я попробовал самый офигенный салат Цезарь за последние три года. Цены, чуть ниже московских. Крайне рекомендую. Кстати, хваленные +22 градуса, чувствовались, как +17. Местной особенностью является – предложение пледов, на любой летней веранде, любого кафе.

И, вот, сидим мы – разговариваем с коллегой. И зашла у нас речь о регулировании безопасности. До воссоединения, он работал в государственном банке. Как и у нас, у них банки впереди планеты всей по информационной безопасности, во всяком случае, в области нормативки. У них единый регулятор — Центробанк, и все, кто хочет что-то добавить – идут туда.

Репетиция, видимо, перед выборами

Репетиция, видимо, перед выборами

ЦБ выпускает четкие инструкции, с конкретными мерами. Например, есть инструкция на ИБП, сети питания, заземление (привет, ПЭМИН), криптографию и т.п. Инструкции, крайне подробные. Например, ИБП должен быть в железном ящике, регламентирована толщина листа и как он должен быть сварен (либо сплошной шов, либо прихватами с промежутком не более 25 мм). Или по криптографии, четко обозначены 9 форм журналов и что там должно быть. Что разительно отличается от нас (вопрос знатокам – что такое лицевой счет сертификата?).

Все это проверяется раз в 5 лет специальным контролерами, которые проверяют по тем же прописанным инструкциям.

А все, что не описано – считай и не надо делать. Или надо, но на свое усмотрение. Процедура проверки СЗИ – занимала 3 месяца. Юзали все, в том числе и нашу криптографию.

И, во всем этом благословенном раю определенности, была одна большая бочка дегтя. При таком подходе к регулированию, рынка информационной безопасности в Украине – так и не сформировалось. Не, есть компании, которые вам построят ЦОД в соответствии с инструкциями, но не более. ИБ окончательно стало придатком ИТ, мало имеющая от собственно безопасности.

Нет, ни консалтинга. Ни интеграторов, да, и вендора не особо нужны (за три месяца получил разрешение на импортный МСЭ — и порядок). Такие дела, у наших соседей.

Распрощавшись, я еще немного погулял по городу, и поехал в гостиницу. Т.к. надо было опять вставать в три утра, что бы успеть в аэропорт. Где на прощание, нас ждал приятный сюрприз. За шоколадку, нас посадили в бизнес-класс (в котором правда нас не кормили), поэтому дорога домой была приятна и комфортна.

Завтрак бизнес-классе

Завтрак бизнес-классе

Москва меня встретила дождиком и +6.

Восход

Восход

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, чтобы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13 — лучшее время для отчета. Но должна быть и капля позитива, ведь я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные, законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они в свою очередь были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: хватит говорить о технологиях. Технологии — это лишь один, при том самый низший уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот и весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал про западные SOCи и отечественные, о той локализации, что присуща только нам. Можно сказать, что у нас образуются два отдельных направления в SOC: это подход Solar с его аутсорсингом и вытекающими от сюда проблемами, и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, ценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Чтобы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но программка – мое почтение. На моей памяти они единственные, кто догадался сделать ее формата А5. На полиграфию денег не пожалели.

Ну, и развлечения были неплохи. Особенно алко-казино:)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA) пересказывал какой-то западный отчет по угрозам. Потом вещал о том, какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в шоке. Никогда не думал, что на таком уровне можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал о своем опыте сертификации CISA, CISM и CISSP. Рассказ об этом занял минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы так же сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не- CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций?

Фарит высказал свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно третий круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию, и за деньги обучают своей методике. Так мало того, вы каждый год должны покупать книжки, чтобы остаться в кругу Элиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке.

Александр Баранов: нормативка не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие.

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики.

А затем была целая секция «Жизнь после ИБ», от которой я просто выпал в осадок. Там вещали девушка и молодой человек. Оба занимались ИБ, но потом ушли из профессии.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили их причины прихода в ИБ (я уже не помню, кто и что конкретно сказал, главное — общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: в ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш четвертый круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию «ИБ «под каблуком. Женщина в профессии CISO». Вообще надо сказать, что все выступающие независимые эксперты (а независимы они видимо потому, что их компании не были спонсорами форума), как-то странно выбрали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц, и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась стать сертифицированным аудитором и начитывала для этого часы. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга был понят мной во всех нюансах и подробностях.

Скажем нет сексизму в ИБ! Можно сказать, это был второй круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был пятый круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина при плохой игре. Первый день CISO- forum был… душным. И дело не в работе кондиционера, с ним все было нормально. Дело в давлении. Это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот корпорации – они всем рулят, а вот модная сертификация — ее надо получить, иначе к баланде не допустят. И ты бежишь как белка в колесе за целями, поставленными другими. Хотя добро — вот оно. Ты только что свернул от него в другую сторону…

Были там и другие круги… но я не хочу об этом писать.

Всего вам доброго.

Как, читая, нивелировать угрозу хакеров

Когда работаешь в крупной компании и в такой насыщенной новостями области, как информационная безопасность, на тебя валится огромный вал документов. С одной стороны, целый ворох внутренних приказов и положений, которые ты должен учитывать в своей работе. С другой — шквал аналитики, отчетов, статей, изменений, проектов изменений, законов и еще всякого.

read_forever

На мою беду у меня есть пунктик: читать все, что мне приходит. Вот вышел новый приказ, и какой-то сумрачный гений, писавший штатное расписание, решил, что я должен быть в рассылке о новом приказе по учету складских остатков. Благо, я смог договориться с той бандой, что степень «глубины» чтения я могу выбирать сам. Многое можно достаточно бегло посмотреть, даже просто по заголовкам. Конечно, если заголовки говорящие (кстати, именно поэтому я не пишу говорящие заголовки, чтобы вы, мои любимые читатели, читали все целиком :)).

И, наконец, я добрался до всяких итоговых отчетов аналитиков за прошлый год. Например, отчет группы IB. В целом унылое занудство, рост числа угроз, хакерские группы растут, бюджеты на иб падают и т.п. Но во всем отчете есть одна (ну, я думаю их все же там больше) дельная для меня мысль. Хакеров интересует прибыль: чем быстрее полученная информация или взломанная система приводит к деньгам, тем лучше.

Фактически из этого следует, что «обычную конфиденциальную» инфу вообще не надо защищать от хакеров. Пока они ее получат, пока найдут покупателя… проще взломать еще пару миллионов смартофонов и повытаскивать деньги со счетов владельцев.

Т.е. если вы не работаете с деньгами клиентов — вы не в топе целей хакеров.

Следующая в списке – информация о самих клиентах. Например, вендоры DLP любят приводить пример со страховыми компаниями, когда уходящий продавец уносил с собой своих клиентов и пытался забрать клиентов компании. Ну, а дальше обычная конфиденциалка и ноу-хау.

И знаете, что самое страшное? Это очень похоже на правду. Такой подход исключает или существенно снижает риск хакерских атак на вас. Конечно, если вас целенаправленно не закажут.

Всего вам доброго.

Что читать безопасникам?

Если вы, когда-нибудь ходили на собеседования, в чем я лично не сомневаюсь. Вы ходили. Так, вот, если вы ходили на собеседования, то уже знаете примерно, как это происходит. Если вы делали это сравнительно недавно, хотя бы раз за последние пять лет, вы должны были сталкиваться с хитрыми вопросами HR. Ох уж эти эскулапы HR, их задача влезть в ваше естество, понять кто вы, не врете ли вы, насколько вы мотивированы и многое-многое другое.

Но есть один вопрос, который теперь ставит меня в тупик… Где-то ближе к концу собеседования, вас спросят или будет отдельный пункт в анкете: — Какие последние три-пять-десять книг вы прочитали?

main_book

Вроде, логика понятна, если укажешь кучу книг по теме вакансии или смежных, то ты молодец – стремишься развиваться. А если ты укажешь кучу фантастики или книг по хобби? Это значит, что ты развиваться не стремишься? А если, я читаю по книге в неделю, и последняя книга по специальности была четвертой-шестой-одиннадцатой?

Если посмотреть с другой стороны, то состоявшийся профессионал все основное по теме уже прочитал. Может быть еще в институте. Сейчас он читает новости и статьи, которые на книгу не тянут. В этом случае, перечень каких-то базовых книг, может быть признаком несостоятельности кандидата. Что это он в 25 лет основы читает?

Отдельный вопрос – как проверить, что именно эти книги прочитаны? Устраивать опрос? Но HR находиться вне понятийного поля вакансии, если только не берет другого HR. Это задача начальника. В общем, вопросы, вопросы, вопросы. Вопросы ради вопросов.

Но давайте посмотрим на себя. Какие книги вы читаете по специальности? Я не беру книги а-ля 7 улучшенное и дополненное издание «Риск-ориентированный подход в безопасности». Вы это в институте проходили, а это так – обновить. И я сомневаюсь, что вы читаете «Особенности администрирования Windows Server 2012 в условиях геополитических угроз». Если вы выполняете инженерные функции, то без этого никуда – ПО имеет свойство обновляться.

Выходит, что мы шлифуем наш базис все теми же статьями, новостями, да постами в блогах сомнительных личностей, вроде меня. А знаете, что самое ужасное? Что бы быть востребованным безопасником, надо читать совершенно другие книги. Все эти риски, угрозы, системы, средства защиты, РД регуляторов – интуитивно понятны и просты. Данные знания не продвигают вас к успеху. Количество прочтенных ISO и NIST не приблизят вас к цели. Все это проходиться в студенческом возрасте.

Теперь вы обладаете знанием, куда ходить не надо. Поздравляю! И всего доброго.

Поражения как импульс роста

Я очень люблю биографии, это, наверное, самый интересный жанр литературы. Конечно, если биография достойного человека. Если вы зайдете в книжный магазин, то найдете там биографии Наполеона, Гитлера, Стива Джобса или Билла Гейтса. Разумеется, это великие люди, каждый по-своему, кто-то с положительной стороны, кто-то с отрицательной, а кто-то в бизнесе. Читать их интересно. Но знаете, что их объединяет и чем они скучны? Это истории успеха. Это единицы из тысяч и миллионов, на их жизнь влияло слишком много факторов, которые мы не можем себе вообразить, например, удача.

Правильное выражение мыслей

Интересней читать другие истории, истории поражения. Их гораздо меньше, т.к. историю пишут победители. Да, зачастую некому рассказывать-то. Например, в бизнесе за каждой палаткой у метро лежит кладбище тех, кто делал и не смог. Так, кстати, везде. Можете сами в этом убедиться на следующей встрече вашего класса 20 лет спустя.

Поражения дают гораздо больше информации, импульса, чем успехи. Например, каждый знает, как организовать и выиграть конкурс. Многие знают, как залезть в чужой конкурс и выиграть. Но когда ты на вершине, реальность любит преподнести ржавую вилку в бок. Ты смотришь вокруг и понимаешь, каким ты был наивным. И о парочке таких историй в закупках я хочу вам рассказать.

Был это декабрь 2013 года. Я мониторил zakupki.gov.ru и нашел конкурс по аттестации. Не той кривой аттестации, что у парней из Тулы. А нормальной, информационной аттестации. Посмотрел конкурсную документацию, посчитал трудозатраты, командировочные и т.п. Заработать можно было. Радостно сказал: я нашОль!

Стали оформлять весь процесс для подачи, и выяснилась главная неприятность. Получить КД можно только лично в распечатанном виде, за 1000 км от меня… Туше!

Совсем недавно участвовал в конкурсе. Тематика была совсем не связанная с безопасностью — ИТ-мониторинг. Но мы могли его реализовать на имеющихся у Заказчика средствах плюс поставка. По требованиям мы с пяток на десяток проходили, а на части требований написали: «будет реализовано в ходе реализации проекта». Пришли на защиту конкурсной заявки и тут… Оказалось, что решение должно все выполнять из коробки и доработки не принимаются. И теперь система оценки заявки не предусматривает «выполняется частично», а только да/нет… Туше!

К чему это я? Иногда надо совершать ошибки, чтобы хорошо выучить урок. Главное — сильно от этого не страдать. :)

Проблемы обучения по ИБ

Как-то в последнее время стала чаще всплывать тема образования в информационной безопасности. Вернее, она никуда и не девалась – периодически бывают всплески. Но в последнее время особенно.

На образование обычно сетуют в таком духе:

Сейчас студенты ничего не знают. Хотят сразу много денег, но ведь ничего не знают. Но приходиться брать. Да и вообще образование сейчас никакое – лишь бы деньги платили, а знания не нужны.

learn

И из этого срач сразу перемещается в космические дали: все начинают поливать ЕГЭ, говорить про советских двоечников, знавших больше нынешних отличников и т.п. Жуть как интересно. Но тема это заезженная (понятно, что сейчас лучше), и не стал бы я о ней говорить, если бы не натолкнулся на одну статью.

Могу, например, рассказать, сколько времени я потратил в издательстве «Правда» на печать на матричном принтере книги «Архитектура IBM PC» – это был 1989 год. Книга вышла на русском, но маленьким тиражом и моментально стала редкостью. И вот кто-то – это в самом деле был подвиг! – вручную набрал текст этой книги (сканеров с распознаванием текста тогда в СССР и не видывали). Это толстенная книга и я даже представить боюсь, сколько времени у этого неведомого героя ушло на набор текста этой книги. Особенно если учесть, что дома тогда компьютеров никто не имел и, значит, человек мог набирать текст только на работе. А IBM PC были тогда в единичных экземплярах (да и то мало где они ещё были в конце 80-х), а, стало быть, днём эта IBM PC была загружена работой и набирать текст человек мог только ночью – сотни страниц текста! Вот на какие героические поступки толкала людей советская система доступности знания и книг. Технических книг, замечу! В СССР персональных компьютеров-то в конце 80-х было раз, два и обчёлся. А книг ещё меньше. О какой конкуренции с Западом вообще могла идти речь, если уже вроде получше стало с книгами (то есть многие запреты сняли), а всё равно хорошие технические книги можно было получить в основном только вот эдак, на дискете.

Очень занимательный отрывок, как и в целом статья. Но меня заинтересовал главный посыл, что любая зубрежка основ не дает результатов без существенного информационного базиса. Можно людей заставить зазубрить, как и брать интегралы, но нельзя заставить их применять это в жизни. Именно поэтому существуют шутки, что алгебра нужна лишь учителям алгебры.

Сам я из первой волны безопасников нового времени. Аккурат в 2006 году появился первый выпуск во всех аккредитованных ВУЗах страны по специальности Защита информации. До этого безопасности учили в основном на прикладной математике (криптографии), у различных связистов, или в силовых структурах. А тут сразу толпа гражданских специалистов. Правда, из моей группы сейчас по специальности работают 2 человека (10%), но это не так уж и плохо.

Мне повезло, и я устроился по специальности. И надо сказать, что я был в одинаковом положении со старшими товарищами, а скорее и в более выигрышном. На меня не давил груз зазубренных предметов по учебным планам мохнатых годов. Например, я учился программировать на С, тогда как весь остальной институт на Паскале.

Но главное (это я понял гораздо позже) — нас стали учить думать башкой и пользоваться доступными источниками, которые надо было найти самому, ведь списка могли и не дать. Т.к. разнокалиберного материала вокруг было много, приложив минимальные усилия, можно было освоить необходимые навыки, достойные звания инженера. На первой лекции по специальности нам задали глобальную задачу по созданию программы контроля. После уюта школы с учебниками и ответами в конце – это было шоком. Но те, кто чего-нибудь стоил, к 5 курсу добились серьезного прогресса в решении.

Почему-то все забывают, что в профессиональном росте, как и в институте, центральное место должна занимать самоподготовка. Это валидно для любого возраста, и любой профессии. В 2006 для нас firewall был диковинкой, а в 2007 я их уже сам настраивал. Сейчас не сыщется безопасника, который об этом не слышал.

Поэтому лишь платное образование спасет нашу страну вообще, и отрасль в частности. Если знания достаются на халяву, нет потребности их усваивать, понимать и применять. Зря потраченные человеко-часы преподавателей и студентов. Это улучшит качество не только усваивания предмета, но и качество его преподавания.

А то сейчас на кого не посмотри – обязательная вышка, куча курсов переподготовки, CISA, CISSP и еще черт знает что, а человек ноль. Помню, как в 2012-13 году у Андрея Янкина была проблема найти хотя бы младших специалистов, не говоря уже о ведущих. Их просто не было, или были просто дипломы. А у ребят более или менее выделяющихся были неадекватные запросы. И так у нас везде.

Помню, недавно была популярна тема – нужны ли все эти сертификации CISM, CISA, CISSP? Помогают ли они зарабатывать больше?

Я знал одного CISA, который понимал в безопасности меньше меня (тогда еще молодого специалиста). Как же он сдал? Этот человек 3 года работал в банке, у него было много свободного времени, и он его просто зазубрил по книгам и дампам.

Для сдачи требуется соблюсти всего два условия – знание английского и полгода времени на подготовку. Да, какой-нибудь CCIE надо делать руками, но все сертификаты до него можно просто сдать по существующим дампам. Это ведь обычные тесты (а у нас все ЕГЭ ругают, хотя он не так уж плохо, проблема в предметах, к которым его применяют), в них можно банально угадать ответ. Уровень вопросов там сравним с институтским, и как только тот же CISA сделают на русском, у нас все поголовно его сдадут. К тому же все забывают, что там как минимум 2 раздела по западной (специфической) нормативке. Понятно, что у нас это применимо, как 5 колесо у телеги.

Возвращаясь к основной мысли: главное — не корочки и академические знания, а умение их применять. Процесс не главное. А то многие находятся в перманентной стадии обучения – вечные студенты. Главное – результат.

Всего вам доброго.