Архив метки: оценка риска

А где пруфы, Билли? Нам нужны пруфы

Золотое правило блогера гласит – пиши часто и много. Если ты блогер по машинам, пиши о том, как ты тестил машины, ездил на них, смотрел из окна дома, видел картинки в интернете и играл в машинке в детстве. Чем больше говоришь по теме, тем больше будут думать, что ты шаришь в теме. Бич каждого блогера – темы заканчиваются. И тогда приходит на помощь муза креатива, придумывается какой-нибудь фуфел и с треском разбивается в пух и прах.

Думаете я преувеличиваю? Давай рассмотрим свежий пример из нашей поибэ. Как вы знаете, главный эксперт отрасли – Алексей Лукацкий. Алексей человек широких взглядов и интересов. Особое внимание Алексей уделяет взаимоотношениям бизнеса и безопасников. О чем и пишет, в его, Алексея, понимании. Для иллюстрации своих тезисов, Алексей рассказывает истории. Вот, свежая.

SOC бесполезен, если он не может увязывать технические и бизнес-показатели

(оригинал)

…дзынь-дзынь-дзынь
— (Блин, ну кого еще в субботу в такую рань принесло? Почему я забыл включить «Не беспокоить» на телефоне?..)
— Да!
— Привет, Сергей! Это Иванов.
— Доброе утро, Степан Петрович! Что-то случилось?
— Да, случилось, Сергей! Вчера поздно закончился совет директоров. Мы стали получать меньше денег! Явно негативная динамика за последнюю неделю.

Т.е. о проблеме знали вчера вечером, а позвонили в субботу утром? В реальности, если какая проблема, Сергея дернули бы в пятницу, и он бы помчался из дома на работу. А еще вероятней, все потенциально необходимые люди задержались бы на работе, чтобы быстро дать пояснения/исправить проблему.

— Это плохо. А причем тут я? Я же отвечаю за кибербезопасность!

Реальный Сергей ответил бы «за безопасность» или «информационную безопасность». Хотел бы я посмотреть на компанию, где есть отдел кибербезопасности, и сколько у них отделов безопасности по чему-либо вообще.

— У нас не работают системы!

Если знают что не работает, или из-за чего – живые люди так и говорят.

— А причем тут я-то? Это надо обсуждать с департаментом продаж или, на крайний случай, с айтишниками. Зачем ты звонишь мне?

Алексей, вы в своем же тексте нарушили иерархию разговора. Если в начале это Степан Петрович, то почему здесь «ты»? Почему в начале тогда не было «херли ты с утра звонишь? Что случилось?»

— Нет, ты не понял. У нас не работают системы и это из-за тебя; то есть твоих бойцов!
— Не может такого быть. Но давай я проверю и перезвоню через 15 минут!

…прошло 15 минут

— Степан Петрович, это Сергей! Я дернул дежурную смена нашего SOCа — у них все зеленое. Все индикаторы в норме и так уже недели две. Это не может быть из-за нас.

Так все-таки Степан Петрович. В общем все признаки того, что история выдумана. Впрочем, ничего плохого в этом нет, мысленные эксперименты нужный инструмент.

— Хорошо, Сергей. Давай в понедельник часиков в 7 приходи — будем разбираться!..

— Хорошо, Степан Петрович! Буду в 7 утра в понедельник. Хороших выходных.

…ту-ту-ту-ту…

Блин, ты уже в субботу позвонил. Если дело срочное и компания работает 24/7 (есть дежурные смены), почему всех не дернули в выходной на работу? Судя по всему, Степан Петрович, тоже кому-то отчитывается, и его назначили главным по разбору ситуации. И это он должен в 9 утра отчитаться, о причинах и принятых мерах. Поэтому Сергей сейчас поднимает свою пятую точку и весь свой отдел и мчит на работу, что бы Степан Петрович владел всей информацией в понедельник утром.

Руководитель службы ИБ пытался долго заснуть, но не мог. В итоге он сорвался на работу, чтобы разобраться в ситуации и к утру понедельника иметь всю информацию для общения с генеральным директором.

Т.е. Степан Петрович генеральный директор… Сергей на него компромат что ли имеет, или родственник – что он ему тыкает?

Проверки всех ключевых показателей ничего не дали — доступность торговой Интернет-площадки была в пределах допустимого — 99,9%. Число мошеннических транзакций нулевое. Угроз e-mail тоже было немного — 0,02% и все были отбиты на шлюзе. IPS, NGFW, анализ Netflow, контроль доступа… Все в зеленых зонах. Что же случилось?..

Алексей очень любит вводить новые термины. Обычно говорят об отсутствии инцидентов или их малой критичности. Что такое «зеленая зона»? Тюрьма для пограничников?

— (А может это Миша, наш дорогой CIO, решил поквитаться за прошлый раз, когда я обвинил его в том, что вся сеть легла из-за него, а не из-за накрывшей нас эпидемии вредоноса? А может  это Васильна взхъелась из-за того, что мы ей перекрыли доступа на сайт знакомств? Ну а фигли, хоть и финдир, а надо соблюдать политики. С чего они вообще решили, что это мы виноваты и почему SOC за сотни миллионов рублей ничего не видит?)

Потому что надо было его покупать у Cisco?

…прошло два дня…
В понедельник к обеду выяснилось следующее:

За 10 минут недоступности торговой Интернет-площадки из-за DDoS-атаки отвалилась ключевая сделка, которая должна была принести компании 27% ее недельного дохода.

Вот, это поворот. Т.е. основной бизнес компании происходит в интернете. Ключевая площадка хостится в компании (ни резервной площадки, ни балансировки нагрузки), хорошо. Чем же можно заниматься, что на твоей торговой площадке могут за одну сделку сделать 27% дохода? Наверно, ты что-то продаешь. А т.к. ты тратишь «сотни миллионов» на SOC, продаешь ты через электронную площадку много и товар твой нужный.

Вопрос, что ж это за контр-агент такой, который отказался от сделки из-за 10 минутного ддоса? Если сделка ключевая, то ее долго готовили, а следовательно о проблеме было бы известно тот час же. Продажники бы сразу вой подняли, и уговорили бы клиента подождать или перенести сделку. Ни один покупатель не будет срывать покупку нужной ему вещи, т.к. он потратит больше времени на поиск аналога, согласование условий, заключение договора и т.п.

Система защиты e-mail посчитала за спам рассылки маркетингового департамента и клиенты перестали получать предложения с последующим снижением покупательской реакции. 12 тысяч сообщений «выброшено в пропасть» — покупательская активность снизилась.

Алексей, я понимаю, что защита от спама тема уже старая и обыденная. Но нельзя же так. Спам-системы в первую очередь направлены на отсев внешних писем. Обычно, внутри, 12 тысяч сообщений может дропунть smtp-релей, у которого может быть ограничение на количество писем в очереди. Но тогда бы это давно решили, ведь рассылка производится не в первый раз.

Допустим спам-защита смотрит внутрь, значит ее поставили недавно (иначе бы такой фейл выяснился бы давно). Следовательно, завалена опытная эксплуатация и приемка системы, т.к. департамент маркетинга, видимо, в них не участвовал, как один из главных пользователей ресурса.

Ну, и мерить покупательскую активность по почтовым рассылкам – это верх бизнес-показателей. Алексей, вы сами-то рассылки читаете от многочисленных банков, клиник и магазинов, что вам валятся в ящик? Там конвертируемость ниже 1%.

Антифрод не увидел ни одной мошеннической транзакции. Да и откуда? Стоящий на периметре WAF отсек 3% клиентов, даже не дав им разместить заказ.

Чего? Т.е. если WAF отсек? То инциденты должны быть на нем. Опять же вопрос – как принимали систему? Почему отсек? Что это за бизнес, где одна сделка приносит 27% дохода, бегают физики с заказами и соки на миллионы? Интернет-магазин? Не похоже.

Понятно, что Алексей хотел проиллюстрировать, как можно больше средств защиты, но получился конь в вакууме. Почему не написано, в чем была аномалия входа этих 3%?

Последней каплей стало внедрение скрипта, который высвечивал перед каждым посетителем сайта уведомление с прокруткой о необходимости получения согласия на обработку персональных данных в соответствие с ФЗ-152 и GDPR, с полным разъяснением всех последствий от осознанного принятия клиентом всех условий предоставления ПДн компании. Анализ показал, что время, за которое клиент теперь стал доходить до процесса заказа увеличилось на 47 секунд, что привело к оттоку еще 11% покупателей.

Рукалицо. Алексей, какие 47 секунд? Моя бабушка освоившая социальные сети, кликает на галочку секунд за 15. Если у нас GDPR, то мы в тренде со всем интернетом, которые тоже добавили подобную информацию. Получается, что пользователи, зайдя на сайт, уже привыкли к этому в других местах и просто не читают.

Покупатели не уходят, если товар им нужен (а как мы выяснили, у нас не обычный интернет-магазин).

Как видно, пример взят для запугайки с совершенно оторванными от жизни примерами. Потом люди читающие Алексея, придут в свои компании и начнут их пересказывать, а на них будут смотреть, как на блаженных. Итог – информационная безопасность все дальше от бизнеса.

Прискорбно то, что Алексей делает это постоянно. Началось все с «зарабатывающего 10 млн долларов любителя порно», где не хватало самой малости – конкретики.

Да, да, дорогой читатель – тех самых пруфов, которые соединяют историю с реальностью. Мы в ИБ очень бережно относимся к информации, мы не называем фамилий и организаций, когда рассказываем кейсы, но они тем не менее остаются реальными.

Реальную историю от вымысла отличает ряд вещей (если мы не можем назвать ФИО, должность, организацию):

  1. Очертить сферу применения. В фантазии Алексея выше, не понятно, что это за бизнес. Понамешано все в кучу. То, что актуально для ритейла, неактуально для телекома.
  2. Очертить взаимодействующие стороны. Что Степан Петрович генеральный директор, мы узнали под конец. А почему мы подставили какого-то Мишу, мы так и не узнаем.
  3. Очертить проблему. «Получаем меньше денег» это не проблема, как бы Алексею не хотелось. Это следствие (кстати, очень полезно различать, если вы хотите говорить с бизнесом). А, вот, причины этого могут быть всякие разные. У нас могла банально дебиторка вырасти, просто задерживают оплату. И еще миллион причин.
  4. Описать последствия. Ну, тут все понятно.
  5. Описать решение (по желанию).
  6. Уж точно, надо указывать подсистемы, которые не справились.
  7. Можно указывать вендоров и конкретные решения, которые справились.

Это те самые пруфы, которых очень не хватает в многочисленных историях, гуляющих в кулуарах многочисленных конференций. Из-за чего большинство из них напоминают анекдоты. Безопасники рассказывают их бизнесу с серьезными лицами, бизнес смеется. Сравните историю выше, с реальной историей.

А на сегодня все, до новых встреч.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Значимые критерии (+упражнение о кидке Рольфа)

Здравствуйте, здравствуйте мои дорогие любители посчитать чужие деньги. Давно я не затрагивал темы экономической оценки. Должен поделиться своей радостью, уже самые хитрые начинают седлать тему – оценки ИБ. В частности, Андрей Прозоров, активно интересуется, где бы ему что-нибудь подсмотреть. :) Но, пока, смотрит не там. Но не суть, пусть это его начальник оценивает. Хочу поделиться с вами очередным кейсом по оценке.

Значимые критерии

Сама по себе оценка, вещь простая – бери и складывай, умножай. Большая толика проблем лежит в выборе критериев, что же собственно считать и как это делать. Если, вдруг, кто-то слушал мой филлер на Инфосеке, то знает – что единицу оценки называют критерием. Критерии можно собирать в группы и оценивать сразу группу.

Разумеется, надо оценивать лишь значимые критерии, а незначимые не надо. Именно выбор незначимых критериев, порождает смех, когда безопасник приходит со своими «экономическими выкладками». Например, Алексей Лукацкий уже пару лет ходит по конференциям и рассказывает, что безопасники определенных бизнесов должны прийти к директору и всунуть инновацию: «а давайте всех посадим работать удаленно! Внедрим BYOD, сэкономим на электричестве, офисных площадях и т.п. И BYOD. BYOD!!!!!11111» Первый раз я это услышал на вебинаре RISK, и словил немало лулзов. Даже сделал кучу пометок, и когда-нибудь я до них доберусь.

Смысл в другом, подобный безопасник, если и не отправиться сразу на хедхантер, то точно сильно сдаст позиции в компании. Все из-за того, что Алексей придумывал свои пассажи, что бы продавать BYOD от Cisco, а не решать конкретные задачи бизнеса.

Теперь, давайте разберем упражнение по выбору значимых и незначимых критериев.

Упражнение

Решил я купить жене машину. В результате долгих мытарств, мы выбрали Ford Kuga, черного цвета в топовой комплектации. Сходили на тест-драйв, и стали разговаривать о цене.

Основными салонами мы выбрали: Major Auto и Рольф Сити. Оба лидеры по продажам Ford в России. Собственно и планировалось выбрать между ними. И мы даже это сделали, но потом началась серия кидков и подстав, которая и породила данное упражнение.

Суть такова: менеджер Рольф Сити, назовем его Руслан, так обрадовался, что мы выбрали его, что предложил в нагрузку к зимней резине и защите картера, гарантию на 5 лет, 3 ТО бесплатно и поездку в Грецию. Затем, Руслан, позвонил полдесятого ночи, и сказал, что мы его обманули, и он нам ничего не обещал, за нашу резину он платить не будет, и идите нафиг.

После многократных разговоров с начальством Руслана, нам дали нового менеджера, который ухудшил (!) предложение на 30 000 рублей. Поговорив с Мэджером и еще одним салоном, у нас возникло три предложения:

Если оценивать данные критерии качественно, то, конечно, надо брать Рольф. Ведь, они столько предложили бесплатно, плюс халявная поездка – ляпота. Но давайте оценим каждый из критериев.

Разумеется, сразу из расчета надо выкидывать поездку. Поездка в Грецию, по аналогии с желанием Алексея продавать BYOD, не является значимым критерием, при выборе автомобиля. Плюс к этому, хотя сама по себе поездка оплачивает проживание в течение 8 дней (а это около 30 тысяч), перелет и прочие расходы на вас, а это те же самые 30 тысяч или больше, ведь вы туда отдыхать едите, а, следовательно, потратитесь. Если и включать данный критерий в оценку, то скорректировав на величину расходов.

Кстати, новый менеджер Рольфа прекрасно понимал, что поездка – фуфел. Т.к. сразу отказался снизить стоимость машины, на величину поездки. :)

Примерно таким же образом можно было бы избавиться, например, от гарантии или ТО3. Но не будем этого делать, чтобы не городить теорию.

Следующий шаг, оценить полноту критериев. Это значит ответить на вопрос: учтены ли все значимые критерии, влияющие на оценку?

Ответ: нет, не учтены.

Т.к. сейчас для машин, проданных в кредит идет большая скидка, то для его оформления надо оформить КАСКО. Следовательно, сумму страховки также надо включить в критерии (можно и сумму дисконта за кредит). ОСАГО включать не стал, т.к. его цена везде одинакова.

Немного посидев на телефоне и уточнив все цены, мы получаем следующее:

Вуаля. Оказывается, что лучшую цену дает Favorit Motors, который не зажопил работы по установке картера.

Ford я в итоге не купил, и, скорее всего, никогда уже не куплю. Пропало доверие к марке, с такими «лидерами продаж». Да, и политика кредитования у них странная, надо лучше выбирать банки в свою программу.

А, на этом все, до новых встреч.

 

P.S. В копилку разводок и приколов бизнеса по-русски:

1. Никогда не подписывайте в Рольфе предварительный договор до решения брать машину. Во-первых, он вас нифига не защищает. Мой договор уже аннулирован на основании телефонного разговора (!). Т.е. договор есть, но машину по нему, я уже никогда не куплю, если захочу. Фактически – это психологический трюк, чтобы вам было лень ехать и расторгать его.

Во-вторых, это не позволит воспользоваться хорошими предложениями в других Рольфах. Было хорошее предложение в Рольф Центр, но из-за «корпоративной политики», я им не смог воспользоваться.

В-третьих, предварительный договор н фиксирует даже стоимости машины. По сути, это все тот же развод, нацеленный на лень покупателя. Вы вполне можете приехать, и увидеть + 50 000 к цене. :)

2. Сотрудники Рольф Сити с радостью поливают дерьмом другие автосалоны Рольф. Например, на мой вопрос – почему в Рольф Центр точно такая же машина, на 100 000 дешевле. Мне менеджер не моргнув глазом, сказал, что они все подлецы и обманщики, вводящие в заблуждение клиентов. А самая честная цена, у него.

3. Главное не покупать в автодилере допоборудование, если его не дают в подарок. Главная накрутка происходит на работах (сюрприз!). Например, одинаковый перечень оборудования в Мэджоре стоил 130 000 р., а в Рольфе – 200 000 р. Интересно, сколько же у них ТО стоит? :)

Если не хотите потратить свое время, не покупайте Ford в Рольфе.

За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Темы битвы: почему не растут угрозы?

Эх, давно не писал. Сильно скучал я по этому делу. Как вы знаете, меня рекрутировали за корзину печенья и банку варенья участвовать в Кибербитве. Неожиданно, я даже победил. Говорят, все любят андердогов и сравнивали меня с Исландией :)

before

Пара слов о мероприятии, в целом довольно интересно, но были свои минусы:

  1. Крайне мало времени на вопрос. Что является следствием большого количества вопросов, достаточно 3-4.
  2. Олег, не стоит менять тему за день до битвы. Уж не знаю, откуда там взялись роботы.
  3. Общее голосование, вместо раундового.
  4. крайне неудобно смотреть, нет чатика, не работает капча (!!) в форме вопросов.

Т.к. времени было не много, а позиция моя по многим вопросам была крайне неортодоксальной, я решил полнее раскрыть тему. И сегодня про угрозы.

Кстати, кто пропустил — полная версия:

Тема 1. Какой будет динамика роста внутренних угроз в ближайшее время?

Динамика будет нулевая. За всю новейшую историю информационной безопасности, мы создали огромный и страшный маркетинговый пузырь угроз. Чем было страшнее, тем проще нам было выбивать бюджеты (внутренние и внешние), и вообще обосновывать свою нужность (хотя с этим у нас до сих пор серьезные проблемы). Но уже пару лет это не работает.

По сути, роста внутренних угроз не происходит. Если взять классическую формулу риска, то в ней вообще нет угроз (и тем более уязвимостей), которыми мы так привыкли пугать директоров в СМИ и на конференциях. Классическая формула из ISO:

Величина риска = вероятность события * размер ущерба

где

Вероятность события = вероятность угрозы * величина уязвимости

сделав подстановку, получаем

Величина риска = вероятность угрозы *величина уязвимости* размер ущерба

Классическая схема рисков ИБ

Классическая схема рисков ИБ

Как видим угрозы и уязвимости это переменные второго порядка. Это такие переменные, которые могут быть неважны, если известна величина первого порядка. Например, вероятность попасть в авиакатастрофу составляет 0.00001% (вероятность события). И уже не важно, вследствие каких угроз или уязвимостей это произошло – теракты, ошибки и т.п. Все отрасли работают с вероятностью события, мы же зарываемся все глубже и глубже. Например, страховщики уже давно все посчитали и создали даже свой раздел математики (актуарная математика).

При том, что под «вероятностью угрозы» здесь понимается likelihood (а не классическое probability), что тоже переводиться как вероятность, но характеризуется частотой реализации угрозы за определенный период времени. Крайне не надежная величина.

Величина уязвимости – вероятность того, что угроза будет реализована с помощью данной конкретной уязвимости. Т.е. вполне может быть, что супер-пупер критичная уязвимость может никогда не реализовать.

Неутешительный краткий вывод можно сделать следующий. Мы сами сильно преувеличиваем значение уязвимостей (как причину реализации конкретных угроз). На этом преувеличении мы пытаемся породить множество страхов в своих умах, и умах бюджетопридержащих. И, это подвело нас к пропасти, к которой мы делаем гигантские шаги вперед.

 

Говоря, нас – я говорю о группе под самоназванием «поИБэ». Это вендоры, интеграторы, заказчики, множество специалистов разных направлений. К коей я тоже себя отношу. Осознать, и открыто выразить свою принадлежность к некоей группе, неизбежно отрекаясь при этом от принадлежности ко многим другим группам, — не шутка. Мы (современные люди) принимаем такие решения ежеминутно.

Например, можно заметить, что в основе этих решений часто лежат не логические умозаключения, а эмоции. «Мы животные» звучит обидно. Многие готовы долго и яростно доказывать, что это не так, что люди не животные. «Мы обезьяны» — совсем уж вызывающее заявление, от которого попахивает нигилизмом и общественным вызовом. При этом фразы «мы млекопитающие», «мы позвоночные», «мы многоклеточные» воспринимаются спокойно.

Между тем с биологической точки зрения все эти утверждения одинаково верны. Вот несколько разных «мы», узаконенных современной биологической наукой. Мы многоклеточные. Мы эукариоты. Мы жгутиковые. Мы животные. Мы вторичноротые. Мы хордовые. Мы позвоночные. Мы челюстноротые. Мы четвероногие. Мы амниоты. Мы синапсиды. Мы млекопитающие. Мы плацентарные. Мы приматы. Мы обезьяны (или, что то же самое, антропоиды). Мы узконосые обезьяны. Мы человекообразные обезьяны, или гоминоиды (по-английски apes). Мы большие человекообразные обезьяны (great apes). Мы большие африканские человекообразные обезьяны (african great apes). Наконец, мы люди.

В наследство от наших предков и родичей, нам досталось три основные доминанты поведения (мотивов) (в порядке убывания):

  • еда
  • размножение
  • доминантность

(кстати, если вы адепт Пирамиды Маслоу – вам надо пересмотреть свои взгляды).

И именно это мы упустили, когда кинулись надувать наш пузырь страха. А теперь не понимаем, почему нас задвигают подальше. Посмотрим, как в связи с этим меняется наша картина ИБ рисков, на реальные риски.

Классическая схема риска

Классическая схема риска

Упс. Оказалось, что субъект, воздействуя через свои доминанты на объект (защищаемую информацию, активы, любую ценность), уже имеет полное множество (или пространство) причин. Которое может реализовать огромным числом способов. И наши уязвимости поИБэ, всего лишь капля в море (переменная второго порядка). У нас ведь как? Придумают новую технологию, и давай в ней уязвимости новые перечислять. По сути этот взбалтывание крайне незначительных (бесконечномалых) факторов в глобальной сфере рисков (помните про авиакатастрофы?).

Через данные доминанты можно выразить любое поведение человека от альтруизма до похуизма. И это мы еще не затронули наш великий разум (большие лобные доли), который еще меньше оставляет места для наших угроз.

Например, на данной битве было два мотивированных человека: Олег с точки зрения доминирования, и Дима с мотивом еды (победителя покормят на BISA Summit). Понятно, что при прочих равных Олег не будет тыкать Диме ручкой в глаз. В то время, как Диме отступать некуда.

Например, в нашей отрасли сейчас кризис. Увольнения, задержки зарплаты и т.п. Из наших вендоров и интеграторов уже вынесли все более-менее ценное. От клиентов, до листов рассылки для спама. Голодный человек обойдет наши CPB и глазом не моргнет. Тогда зачем мы?

В поИБэ мы ставим способ реализации во главу угла. Все наши ЧМУ пестрят действиями (например, Кража носителей информации или Установка ПО не связанного с исполнением служебных обязанностей), а субъектам уделяем 3 абзаца в модели нарушителей. Мы ставим DLP и не знаем, что ответить на вопрос заказчика – а от фотографирования экрана защищает?

Не даром, ни одно внедрение СЗИ не может обойтись без оргмер. Зачем ломать сложный пароль, если можно подсмотреть?

Вывод напрашивается неутешительный. В маркетинговой погоне за страхом (не только со стороны вендоров, но и внутри заказчиков), мы так давили на эти страхи, что нас раскусили и больше не бояться (читай, дают все меньше денег). Т.к. не удается доказать бизнесу значимость этих бесконечномалых величин. Надо отпрыгивать от пропасти.

 

P.S. Уже стал известен мой оппонент по полуфиналу Эльман Бейбутов из Solar. Мой прогноз: мне надерут задницу. Ведь в Solar работает больше 100 человек. Но я буду биться.

Хотите это видеть? Поставьте напоминалку.

TOP причин, почему не работают организационные меры. Второе место

На втором месте у нас глобальная причина, почему не работают организационные меры – менталитет. О, только не надо сразу ругаться. Я не стою ни на западнической позиции, ни на славянофильской. Я долго думал, как это лучше обобщить. Давайте посмотрим, и, думаю, вы согласитесь, что я был в затруднительном положении.

mentality

Я шел от обратного. На чем базируются организационные меры? Если совсем обобщить – на общей законопослушности. Законопослушность – это следование установленным в обществе нормам (законам), которые явно прописаны, и однозначно толкуются (зачастую). Законопослушность – это социальное свойство, которое воспитывается в человеке путем укорачивания на голову всех несогласных. Примеры: Французская революция, где сделали всеевропейский Гражданский кодекс (Наполеон постарался, великий был человек), а с другой стороны, прямо на той же площади за углом в прямом смысле жрали друг дружку. В порядке вещей было подойти к трупу, обмакнуть тряпку в кровь и выжать себе в рот. Да и Европа территория небольшая, густо населенная. Здесь легко сразу найти непонимающих новую генеральную линию людей и пустить в расход. Так воспитывается законопослушность.

Понятно, что прописать надо много и всего, но если прописал, то наступает красота и гармония. И люди, прошедшие такое горнило евгеники, всё понимают сразу. Написано: нельзя пальцы в розетку совать, значит, не буду. Это нам смешно, что в инструкциях для «тупых американцев» пишут, что нельзя животных в микроволновке сушить. А для законопослушного человека инструкция – тот же закон.

А что же мы? Русский человек – человек широкой души. Только не надо сюда примешивать всякий национализм. Русский человек – это человек говорящий и думающий по-русски. И от такой широты души, которая в немалой степени связана с размерами нашей необъятной родины, у нас такого звидеца как в Европе не было.

У нас недовольный в Сибирь уйдет – и иди его там ищи. Вон, старообрядцев 300 лет искали. А ведь опасные люди были в свое время, без малого еретики для нарождающейся Православной Руси. Была б Россия размером с Швейцарию, мы сейчас не за компами бы сидели, а с калашами по горам бегали, выслеживая неверных.

Т.е. русский человек может просто свалить. На том и стоим.

icecream

Так если у нас нет законопослушности, то все у нас плохо? Нет, у нас по-другому.

Мы с вами живем в понятийном обществе. Здесь намешано очень много, каждый может это заметить. Вот, например, у каждого мужика в стране есть договор. Договор между нами и Царем. Договор такой: он мне не мешает, я ему не мешаю. Плохо будет, иностранцы полезут – я за царя. Ну, думаю… и он за меня. А пока нет войны, настоящей. Когда не лезут иностранцы, царь ко мне не лезет, из-за плеча не нашептывает на ухо гадости всякие, и не пристает ко мне, и позволяет мне копейку зарабатывать…

И это лишь одна из граней. Именно поэтому у нас все не как на любимом некоторыми западе. Человек понятия не умещается в инструкцию, она слишком мала. Вспомните, у нас нет применения «итальянской забастовки» (правда, мы вместо этого просто бухаем или забиваем), потому что наши должностные инструкции написаны для регуляторов. Да что говорить? Я сам на крайнем месте работы подписывал должностные обязанности на инженера техподдержки. Потому что бумажка нужна. Думаете, европеец на моем месте пошел бы персданные делать с такими обязанностями? Да он скорее засудил бы всех нафиг.

Обратной стороной является то, что понятия у всех разные. Например, понимание кидка. Если начальник сволочь, и зарплату мне не платит, обворовал практически, так ведь по справедливости и я у него что-нибудь украду. И все в таком духе.

Всего вам доброго.

Первое место

Третье место

Четвертое место

Анатомия кидка, или о пользе научного метода

Хорошо на майских праздниках: работать не надо, пробок в Москве нет, погода отличная. Правда, и нет никого – все разъехались. Поэтому нет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот — четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого с помощью научного метода выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Вначале делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей сфере все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов, и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Ближе к жизни.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но вот поступки людей на определенном отрезке времени очень хорошо классифицируются. Я назвал это теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Чтобы решать абстрактную задачу – риск-менеджмента в информационной безопасности, — нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц вероятность реализации угрозы должна быть пересмотрена, или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути каждый из этих пунктов лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало что изменилось. Не знаю как вам, а мне из этого описания понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, чтобы защититься от всего на свете. Вы со спецификацией приходите к начальству и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение — тоже личная выгода. Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

У меня собралась обильная коллекция кидков в сфере риэлторства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня хотел бы рассказать лишь об одно инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим, подтвердится ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), их устраивало расположение квартиры, в 15-20 минутах от работы. Мужчины славяне, один из Ростова, другой из Иркутска. С самого начала они попросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – никак не могли встретиться с хозяином помещения. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморрой по сдаче квартиры.

Следствие 1. Кинуть может любой. Нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Вернемся к примеру с квартирой. Оба мужчины могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому — над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонимусу нет смысла заботиться о репутации. Даже если об этом случае рассказать в интернете с фотками и адресами или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто: тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучался. Подумаешь, какие-то секреты ЦРУ, мало у них секретов что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больны детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово, нарушит его снова.

На сегодня все. До новых встреч.

Собирательный портрет или игра в угадайку

Следующим материалом должно было стать продолжение отчета о CISO Forum, но те воспоминания еще болезненны, и я не могу спокойно смотреть в глаза открывшемуся ужасу. Поэтому сегодня более спокойная тема – о людях.

geshtalt

Когда-то я работал в Утконосе, и моей задачей было ловить внутренних нарушителей. Т.к. я был молодым специалистом, то ловил я их в корпоративной сети и интернете. Если бы я справился, я бы подкачался и приобрел свирепый оскал, меня перевели бы на более ответственный фронт – склад.

Промеж слежения за сотрудниками, закрытием несанкционированных шар и т.п., я подсмотрел у старших товарищей такую штуку – ППН. Или, по-простому, психологический портрет нарушителя. Это небольшая памятка, описывающая типичного нарушителя: от внешнего вида, возраста, пола и одежды до поведения и особенностей биографии.

Цель ППН понятна – базовый фильтр при мониторинге. Конечно, это не универсальный фильтр, в нем можно сразу обнаружить кучу ошибок первого и второго рода. Но сама идея меня завлекла. Тогда я постеснялся спросить, как они его сделали. Поэтому стал изобретать велосипед.

Вообще собирательные профили делают все кому не лень. Продавцы жвачки и люксовых автомобилей, и даже продавцы средств защиты информации. Интересны не сами профили, а выводы на их основании, а также предпосылки к ним. Вот о такой профессиональной деформации я и хотел бы вам поведать.

Не секрет, что ибешники в первую очередь работают с людьми, и лишь в пятую с компьютерами и угрозами, с ними связанными. Наравне с дипломатическими навыками должны развиваться навыки эмпатии и оценки — как раз те самые фильтры и категории, которые и помогают дипломатии.

По сути – это навешивание ярлыков (только не так, как это делает какая-нибудь оторванная от реалий соционика). Скорее это ближе к гештальтам (как законченной форме, а не гештальтпсихология, которая тоже под знаком ереси ходит). Если вы читали шпионские романы или даже интересовались историей спецслужб, то замечали, что все агенты имели прозвища (для конспирации). А эти прозвища, в свою очередь, часто были «говорящими» (теми самыми клише или гештальтами), слепком с личности человека. Да что далеко ходить — посмотрите на прозвища своих друзей.

Много общаясь с людьми, у человека происходит изменение восприятия. Он начинает замечать вещи, укладывающие определенные гирьки на чашу весов под тем или иным ярлыком. Если вы следователь – это только плюс, если вы обычный человек  — то сомнения. Побочным эффектом этого является игра в угадайку, когда начинаешь оценивать рядом сидящих людей и предполагать, кем бы они могли быть. Еще лучше, если у вас есть партнер.

Например, вчера я гулял с ребенком, и второй раз в жизни увидел папу и мальчика лет 7-8, они на детской площадке гоняли мячик друг с другом. Я предположил, что это «воскресный папа», потому что:

  1. Я их вижу второй раз. Оба раза в воскресные вечера.
  2. Они играют вдвоем и ребенок рад, значит, либо папа много работает, либо видятся они только на выходных.
  3. Папа плохо знает район, т.к. для их целей больше подошла бы коробка в 30 метрах, где вообще никого никогда не бывает, чем пяточек 3 на 4 метра.
  4. Папа делает это не часто (см. пункт 2). Если бы он делал это часто, сын бы бегал с друзьями, а папа сидел на лавочке и уперся бы в телефон.
  5. Папа был одет довольно легко, как раз для вождения машины. Вряд ли бы он стал так одеваться, выходя в достаточно прохладную погоду, даже если бы куда-нибудь потом ехал. Проще было дома переодеться.
  6. Сын был одет для долгой прогулки, а не для пинания мячика. Если он любит футбол, то оделся бы более спортивно. И так далее.

Но каждому из этих пунктов можно было бы найти другое рациональное объяснение, доказывающее, что я ошибаюсь.

К чему это я? Что угадайка (считай навешивание ярлыков) может быть забавным способом времяпрепровождения, когда это касается посторонних людей, которых вы никогда больше не увидите. Но угадайка может быть фатальна, если с этим человеком вы будете вести совместные дела. Вам будет очень сложно выйти за рамки этого гештальта – пьяница, бабник, ленивый, вор и т.п. Вспомните жизнь ваших одноклассников, которых определили в группу ленивых или тупых. Уверен, что многие подсознательно корректировали свое поведение и отношение к ним.

В личных (рабочих, дружеских и т.п.) отношениях есть только один принцип – относись так, как относятся к тебе. Ярлыки и классификации тут не помогут.

Всего вам доброго.

TOP причин, почему не работают организационные меры. Третье место

Все мы знаем, что для обеспечения безопасности необходим комплекс организационных и технических мер. И, если с реализацией технических мер еще более или менее понятно (все зависит от финансирования), то с организационные делают все. И 90% из них не работает. Причин тут вагон и маленькая тележка. Выделим основные из них.

3 место – Доброта

Да-да, самое светлое чувство, которое спасет этот мир вместе с любовью. Сейчас вы узнаете почему. Небольшая зарисовка.

dobro

На прошлой неделе, во вторник, я был в Альфа-банке. Мне необходимо было сделать определенные дела, я пришел, взял талончик электронной очереди и стал ждать. Зайдя и сдав документы, я был отправлен ждать.

После начались определенные действия, которые будут нам интересны в других частях нашего топа. Все они были настолько вопиющими, что хотелось, как говорит молодежь, «взять и уебать». Я нашел как минимум 3 нарушения в процедуре. Кстати, если вы думаете, что я придираюсь, буквально в четверг узнал о подобном ахуе в других отделениях.

И вот, я весь, пылая гневом, уже был готов писать жалобу в книгу. Думал, сейчас закончу дело и точно напишу. Дело сделал, девушка еле слышно попросила извинения, и я пошел по своим делам. Плюнул на книгу, плюнул на жалобу. В целом банк меня устраивает, а  то, что такая петрушка произошла — так больше я этими делами заниматься не буду.

Люди по своей природе не злые, именно поэтому у нас часто появляются паразиты, которые это эксплуатируют. И именно поэтому у нас есть карательные ведомства, чтобы держать их в узде, т.к. обычному человеку не хочется, жалко, некогда связываться.

И именно поэтому у нас не работают организационные меры, т.к. надо держать все в ежовых рукавицах, надо быть той сволочью, которая поставит всех на уши. А этого ведь не хочется, правда? Человек стадное животное, за исключением ничтожного процента асоциалов. Никто не способен обойтись без социальных взаимодействий на работе.

Я как-то работал в службе безопасности. Одной из моих обязанностей было отслеживание использования сотрудниками интернета, включая карательные меры при использовании не по назначению. Меня ненавидел и боялся весь офис, я особо этого не замечал, т.к. у нас был довольной большой отдел и мы варились внутри него, но будь коллектив поменьше – работать с чисто человеческой точки зрения было бы сильно неуютно. Люди из-за этого увольняются.

Да, и жалко человека. Мб у нее семеро по лавкам сидят, а он – единственный кормилец в семье. И не его вина, что именно он попался, все же так делают. А если вместо него другого накажешь, так буча будет, что любимчики у тебя, и тебе всыпят. Сможете спокойно спать с осознанием, что из-за вас уволили многодетную мать-одиночку?

Невозможно одновременно контролировать и поддерживать хорошие отношения: либо контроль будет плохой, либо отношений не будет. Но контролерам хотя бы деньги платят, они знали, на что шли. В информационной безопасности контроль над пользователями и их действиями — одна из десятков функций. Будешь сильно упорствовать, остальные не сделаешь, врагов наживешь, и уволят тебя. И приходится мягко увещевать, иногда грозить пальчиком, и закрывать, вздыхая, глаза. Ведь процедуры полностью не соблюдает никто, даже безопасники.

Добра вам.

Второе место

Четвертое место

Как, читая, нивелировать угрозу хакеров

Когда работаешь в крупной компании и в такой насыщенной новостями области, как информационная безопасность, на тебя валится огромный вал документов. С одной стороны, целый ворох внутренних приказов и положений, которые ты должен учитывать в своей работе. С другой — шквал аналитики, отчетов, статей, изменений, проектов изменений, законов и еще всякого.

read_forever

На мою беду у меня есть пунктик: читать все, что мне приходит. Вот вышел новый приказ, и какой-то сумрачный гений, писавший штатное расписание, решил, что я должен быть в рассылке о новом приказе по учету складских остатков. Благо, я смог договориться с той бандой, что степень «глубины» чтения я могу выбирать сам. Многое можно достаточно бегло посмотреть, даже просто по заголовкам. Конечно, если заголовки говорящие (кстати, именно поэтому я не пишу говорящие заголовки, чтобы вы, мои любимые читатели, читали все целиком :)).

И, наконец, я добрался до всяких итоговых отчетов аналитиков за прошлый год. Например, отчет группы IB. В целом унылое занудство, рост числа угроз, хакерские группы растут, бюджеты на иб падают и т.п. Но во всем отчете есть одна (ну, я думаю их все же там больше) дельная для меня мысль. Хакеров интересует прибыль: чем быстрее полученная информация или взломанная система приводит к деньгам, тем лучше.

Фактически из этого следует, что «обычную конфиденциальную» инфу вообще не надо защищать от хакеров. Пока они ее получат, пока найдут покупателя… проще взломать еще пару миллионов смартофонов и повытаскивать деньги со счетов владельцев.

Т.е. если вы не работаете с деньгами клиентов — вы не в топе целей хакеров.

Следующая в списке – информация о самих клиентах. Например, вендоры DLP любят приводить пример со страховыми компаниями, когда уходящий продавец уносил с собой своих клиентов и пытался забрать клиентов компании. Ну, а дальше обычная конфиденциалка и ноу-хау.

И знаете, что самое страшное? Это очень похоже на правду. Такой подход исключает или существенно снижает риск хакерских атак на вас. Конечно, если вас целенаправленно не закажут.

Всего вам доброго.