Архив метки: Рустем Хайретдинов

Еще не совсем Ж, но близко. PHD, CISO-форум и другие

Отгремели две шумные майские конференции – PHD и CISO-forum. На одной я был, на другой – почти. На одной все плохо, на другой хорошо.

Начнем с CISO –forum. Понятно, что бедному дегустатору ни за что не потянуть билет на такое VIP-мероприятие, как CISO. Меня да ж не взяли, как СМИ – ящик организаторов тупо не отвечает. Но, я заслал туда разведчика. Конечно, он нифига не платил – мы нашли лазейку, даже бейджик не брал. И…

Ничего за год не изменилось. Ровным счетом ничего (да ж еда осталась та же). Т.е. мероприятие создано тупо для обогащения организаторов. Спонсоры заплатили, участники заплатили (хотя бы 1/3, т.к. спонсоры нагнали туда своих клиентов) – снял зал за пакет генерального спонсора, … , PROFIT.

Доклады делятся на 3 типа:

  • От завсегдатаев (одна и та же балалайка под разными соусами);
  • Новичков (могут рассказать что-нибудь интересное, примерно, каждый десятый);
  • Вендоров (либо реклама, либо скрытая реклама).

Ходить на CISO, лучше 1 раз в три года. Если чаще, будете слушать на 2/3 пересказ прошлого года.

Переходим к PHD. Скажу честно, идти туда не хотел (см. про бедных дегустаторов). Но Позитивы взвалили на себя бремя поддержки пищевой безопасности, и разрешили немного поесть. А т.к. я человек совестливый, и халяву не люблю, решил отплатить. Кстати, за два дня, так и не удалось поесть, очень уж еда была запрятана, да и дела образовались.

Завтрак прессы

Не беря ZeroNights (нельзя сравнивать то, что не видел), на который я вряд ли когда-нибудь пойду, т.к. сплю в это время, PHD – лучшая конференция. Разумеется, в силу своей тупизны, мимо меня прошли все технические доклады. На какие-то я не успел, но засмотрел трансляции, а большинство были от меня крайне далеки.

Я разумеется, пошел на всякую говорильню. Помните, я после Инфосека писал про змей в банке? Ну, так многие уже об этом заговорили. Например, Рустэм провел мне ликбез о разнице между топ-безопасниками и «селебрити, завсегдатаи конференций». Спасибо, Рустэм. Остальное в фбешечке читайте.

Были там и мои старые знакомые из R-Vision. Парни двигаются в сторону молодежи и осваивают мемы (пока, баянистые): «что ты мне втираешь какую-то дичь?».

Встретился с инсайдерами, обменялись новостями. Ух. Узнал, кстати, за сколько продается R-Vision, не дотягивает часто и до 5 мегарублей. Печально.

Основная пленарка, прошла тезисно по плану статьи про Ж (ждите продолжения). Проблемы ИБ:

  • иб под прикладным по
  • безалаберность
  • отсутствие практической составляющей
  • тормознутость вендоров и безопасников, на уязвимости открытые вайтхат
  • отсутствие планов реагирования (Лебедь)
  • нет повальной идентификации в интернете (Калина)
  • нужно отгораживаться «метром воздуха» и строить закрытые контура (Калина)
  • отсутствие центров компетенций поибэ
  • сложно обосновать наличие безопасников (РТК)
  • технические средства не работают, только люди, которые и на опенсорсе все сделают (РТК)
  • не знаем свой внешний периметр (Симис)

 

В первый день еще успел побывать на выступлении Юлии Омельяненко из Acronis с докладом «Выдержит ли ваш бизнес натиск ransomware?» (кстати, что это такое – вроде и не сказали). В результате доклада, мы узнали, что Юля занимается темой «3 года, когда это не было еще мейнстримом» и послушали пересказ исошной методички про непрерывность бизнеса и экстренного восстановления. Ну, послушали и послушали.

После конференции меня атаковала Юля со своей подругой Моной Архиповой (Mona Sax), под соусом, что они такого не говорили, а  все неправильно услышал. В начале, я подумал, что Acronis просто решил зацепить ибешников по своей основной специализации (восстановление данных, все дела).

 

Тайминги с подтверждением:
  1. Про уникальный опыт в 3 года, когда еще это не было мейнстримом.

Тайминг с 1:09:06

Побочное замечание — 3 года назад (в 2014), GRC было еще ах каким мейнстримом. R-Vision не даст соврать.

  1. Про непрерывность с 1:15:13
  2. Про непрерывность бизнеса рискует от ИБ и бедствий с 1:16:05
  3. Считай стоимость восстановления с 1:18:10
  4. развито в банках 1:18:28
  5. Про старые методички с 1:11:00

Да же слова оттуда — «заручиться поддержкой топ-менеджеров», так в самом начале переводили исошные документы.

 

Но Рустэм открыл мне глаза:

Оказывается Acronis такими посылами, пытается влезть на рынок «лоу баджет секьюрити» (а при возможности наверно и хай баджет). Теперь понятна агрессия Юли с Моной, как же перед начальством отчитываться, когда такая лажа? Хамство не красит такую уважаемую компанию, как Acronis.

Кстати, о лаже (незаметно перетекаем во второй день). Заценил срывающее покровы выступление Алексея Лукацкого «Не бойтесь лажать, или Negative Security». Из которого мы узнали:

  • Пользователям Maс сложно пользоваться непонятными компьютерами;
  • Алексей совсем не бомбит, что его называют теоретиком. Он двигается в сторону практики, но ЗПД в Cisco не взлетело (или взлетело, но не так) (я-то грешным делом думал, что теория – это бумажки, а практика – ручками эксплоиты писать/патчи ставить);Алексей Лукацкий
  • Наше общество ориентировано на успех, и не говорит о своих ошибках (комментаторы сошлись во мнении, что под нашим обществом Алексей понимает – западное);
  • Мало примеров, когда люди и компании признают ошибки (видимо, Cisco не из их числа);
  • Схватил 1 троян за все время;
  • Алексей не хочет выглядеть неприятно (но ведь репутации в России нет!!!!11111);
  • Не открывает свой сайт, т.к. все равно взломают, а репутация пострадает.

А вообще, анти-пленарка очень понравилась. Особенно философские рассуждения Ивана Новикова (могу ошибиться), с двумя основными посылами:

  • Вся наша деятельность сейчас (в городах уж точно), что бы в нужном месте экрана были нужные пиксели (например, отражение счета в банке);
  • Компьютеры размножаются быстрее людей.

Так и кто на кого работает? :)

 

В заключение хочу сказать о благости посетившей меня. Я обрел нового кумира Алексея Качалина, т.к. ему не страшно рассказать, что у него на уме. Будьте, как Алексей. И ходите на PHD.

Пока.

Информационная безопасность в ж… Часть 1.

Здравствуйте, здравствуйте мои дорогие. Давно для вас не писал. За этот месяц я узнал, что меня читают минимум 3 человека, поэтому совестно долго не писать. Читай «Смотреть глазами» — будь элитным!

Ух, за этот месяц много чего произошло. Но главный вывод неутешительный. Мы, информационные безопасники, в жопе. Не прошло и года, как я поднимал эту тему на Кибербетле, а уже и зубры, вроде Рустэма, об этом заговорили.

Жопа эта многогранна, кто-то сидит только в одном углу, а кто-то соприкасается с множеством граней. Это не столько важно, жопа она и есть жопа. Отрицание сего факта, лишь усугубляет проблему, как  персональную, так и отраслевую.

Как ни больно это говорить, но мы сами все просрали (и я в том числе). И, как в лучших традициях психоанализа, предлагаю вернуться к источнику и последовательно пройти все этапы, что бы определить – где же мы накосячили. По большому счету, это лишь для самоуспокоения, т.к. сделать что-либо уже вряд ли возможно.

Поехали.

0. Эпоха динозавров

Это весь период от момента создания шифра Цезаря (и до него) и до 2001 года. Эпоха легенд и эпичных героев невидимого фронта. Первые хакеры, апостол социнженерии Митник, разнообразные цветные книжечки и т.п. Не будем останавливаться на этом периоде. Мало кто помнит, что неделю назад на встрече говорил, а уже события 15-20-30 летней давности сейчас можно разве что по книжкам изучать.

1. Младенчество

Я взял за точку отсчета 2001 год, как первый год, когда массово появились гражданские специальности по ИБ в институтах. Моя называлась «Комплексная защита объектов информатизации (090104)».

2001 – хороший год. Ощущался некий подъем в стране. Выходили всякие веселые журналы, которые учили школьников ломать домофоны. Интернет стал более-менее доступным, и не надо было ждать ночи, потому что ночью бесплатно. И прочие прелести.

Лично я выбрал ИБ, т.к. она наиболее была близка к компьютерам. О, компьютеры я любил. Моя любовь не была шибко сфокусированной, я любил их собирать, настраивать, играть, сидеть в интернете, писать простенькие вирусы. Все по чуть-чуть. Да и был я объективно туповат для поступления на Прикладную математику, где можно было выучиться на программиста. Не шибко меня программирование привлекало, хотя все обучение с удовольствием этим занимался и даже диплом писал.

Помимо абстрактно связи с компами ничего об информационной безопасности я не знал (установка антивируса не в счет). И все 5 лет обучения, и еще 5 после окончания на вопрос, чем же я занимаюсь, отвечал – компьютеры защищаю. И это был первый ветерок перед ураганом.

Вспомните, как вы объясняли непосвященным, что такое ИБ? Это про компы. Это про безопасность. Что бы компьютеры не украли? Нее. Что бы информацию не украли. Какую? Ну… ценную. А, понятно.

И всякие вариации на эту тему. Вспомнили? За 16 лет ничего не изменилось. Мы – это хмурые мужики, которые пишут смешные бумажки и рассылают злобные письма об анальных карах за несоблюдение каких-то там политик.

Вторая проблема заключалась в очень широкой специализации. Ты можешь и документы писать, и софт с железом настраивать, и безопасным программированием заниматься, пентесты делать,  пресейлить и т.д. и т.п.

Именно поэтому на PHD, все корифеи фебешечки и ибешных конференций забились в тесную комнатку 15 на 25 и обсуждали какие-то странные темы про популярность в интернете. Просто конференция была не про это, и они не смогли из обычной канвы выбраться.

Начиная с 4 курса, к нам на поток приходили всякие люди хантить молодых специалистов. Кто умные дома звал делать (!!!), кто паять прослушку. А что, тоже безопасность.

Кратким следствием из этого стало то, что информационные безопасники не конкретизированы и не могут доступно объяснить чем же они занимаются. Например, работая в Утконосе, я часто привлекался к охране правопорядка на корпоративах, т.к. был приписан к Службе безопасности. А то, что я шары закрываю и за использованием интернета слежу – по барабану. Безопасник? Иди, смотри, что бы пьяные сотрудники не передрались.

Это наглядная иллюстрация еще одной жопы. В эпоху динозавров потолок для шифровальщика (военного) узел связи с чином капитана. Все, дальше расти некуда. Так и мы, вроде и безопасность, но какая-то несерьезная. Сравните объемы бюджетов физбезопасности и ИБ. Да у них выставка, как 10 инфосеков с инфобезом, и все лишь про камеры с вкраплениями турникетов. Я знаю, я там был в этом году (и, кстати, она стала больше чем в 2015).

И все это приправлено любовью к документам. По сути, защита конфиденциалки – это очень упрощенная защита гостайны. А в гостайне все просто, закопал компьютер в землю и обрабатывай. Разумеется, по всей строгости инструкции (интересно, ее номер является гостайной?) с 5 формами учета. Конечно, на такой базе ничего принципиально нового появиться не могло. И теперь, в 99% случаев информационная безопасность приравнялась к противопожарной безопасности или какому-нибудь там ISO 9001. Куча бумажек и сертификат – ляпота.

Все это стало благодатной почвой, в которую были посеяны семена текущего провала. Но об этом в следующий раз.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Вендоры: Скрывая ярость

Что-то в последнее время всех стала волновать публичность. То на PHD два часа пытались обсудить нужна ли публичность вообще. То теперь Рустэм поднял тему, что вендору не с руки критиковать кого бы то ни было, ведь это может быть потенциальный клиент.

 

 

 

Текст под катом

Плохо быть вендором. Реально трудно стало писать критические посты, самоцензура душит.

Только начнёшь гнать на сотового оператора, а потом подумаешь — наш же клиент, он нам денег платит гораздо больше, чем со счёта списывает, а вдруг обидится? Наедешь на банк — ну вот же платёжка за наш софт, ну простоял за карточкой час, не рассыпался же. Госуслуги два раза начислили — да вот только большой проект с ними забюджетировали. Бензин на заправке недолили — да нам сейчас с этими нефтяниками техподдержку продлевать. Электрички подорожали — а нам сейчас проект расширять. Самолёт задержался… Плитку кладут… Почта задержала…
ну и так далее.

На клиентов вообще грех наезжать. Но и на интеграторов наедешь ненароком — так они, кормильцы, денег нам носят, и бегом извиняться. На чиновников — да они же нам импортозамещение куют. На блогеров — они ж ИБ в массы несут, рынок расширяют.

 

 

 

Рустэм прав: пишущий-выступающий  человек однозначно ассоциируется со своим работодателем, какбы Алексей Лукацкий не пытался всех убедить в обратном. Да, каждый имеет право на свое личное мнение, которое может не совпадать с … , но мы не живем в мире вселенской справедливости. Поэтому все, что бы вы не сказали, будет распространяться на все сферы вашей деятельности.

А вот вопрос самоцензуры – крайне спорный (конечно, если там не одни матюки). Тут переплетаются два вида отношений: вендор-заказчик и блоггер-заказчик. Происходит это на уровне того, что блоггер работает в вендоре, а заказчик поставляет услуги блоггеру, одновременно покупая у вендора.

Ситуации «самоцензуры» надуманы и вредны для физического и психического здоровья. Если вы покупаете чьи-нибудь товары или услуги, делаете это регулярно и осознанно – продавец становится вам почти другом. Крайне сомнительно, что вы будете постоянно что-то покупать у неприятной вам компании, даже если это всемирно признанный лидер рынка. Одно из свойств дружбы – говорить неприятные вещи с целью помочь, а не разрушить дружбу.

Женская дружба, мужская дружба

Например, меня как-то очень сильно кинул Мегафон – три недели без связи на основном номере по их вине, постоянные закрытия заявок без решения, и даже деньги не вернули. Поэтому во всех опросах, которые начинаются фразой «вы зарекомендовали себя как надежный клиент и т.п.», я режу им правду-матку. Но я не ухожу от них, т.к. это был пока единственный случай в 15тлетней дружбе.

Если не говорить о плохом, то оно так и будет длиться и длиться. Если раньше боялись идти против линии партии, теперь боятся невидимой руки рынка: это наш потенциальный клиент, не надо его обижать.

Уж я сильно сомневаюсь, что безопаники (ЦА Рустэма) сильно обидятся, что кто-то в их компании — криворукие дебилы. И, я уверен, многие об этом знают и сами негодуют.

И совсем странно сдерживать себя в ситуациях – «ух, написать бы! нельзя, контракт сорвется». Рынок на то и рынок, что работаешь с тем, кто работает с тобой. Предположим, совершенно негативная компания хочет купить ваш продукт. Но эта компания не нравится вам совершенно, и вы можете влиять на процесс продажи. Продадите? Крайне сомневаюсь.

Сколько известных сегодня европейских фирм гордится своим сотрудничеством с НСДАП? Вот и не будем  спорить про «контракт сорвется».

Конечно, это не касается каких-то общепотребительских товаров. У нас такими могут быть, например, антивирусы. Но в любой более или менее проектной деятельности так и есть. И часто это могут исправить лишь крайне сумасшедшие деньги, как, например, переплачивают в нашем футболе легионерам. Я сам был несколько раз свидетелем, когда компании исполнители отказывались от крупных договоров по причине неприязни. Это как если бы Solar захотел купить пару лицензий Infowatch.

К тому же, ярость имеет свойство накапливаться. Такое у нее свойство. Поэтому ей надо давать выход. Понятно, что ограничитель «сделка сорвется» очень плохой и приводит к стрессам. Представляете, вы целый год работаете с людьми, которые вас бесят, и не можете им об этом сказать. Да люди за стволы берутся от такого через пару недель, что уж говорить о переживании такого из года в год.

А ведь все начинается с простого. Если вы уже многолетние партнеры, то вам будет гораздо проще донести до друга его ошибки, сделать это не больно и, самое главное, предложить решения. Ведь вы знаете куда больше тех, кто не пользуется их услугами, и о вас знают больше и скорее прислушаются.

А вообще всем все равно. У нас, к сожалению, не случился 1984 – Оруэлл ошибся. А вот Хаксли был прав. Сейчас любую ошибку можно вывернуть, и так долго об этом говорить, что это станет правдой. Вон, весь мир до сих пор уверен, что у нас войска в ДНР.

Как-то так.

Уважение и авторитет в ИБ

Полтора часа назад я стоял на светофоре и слушал музыку. Вдруг от остановки отделяется мужчина лет 55-60, подходит к моей машине, открывает переднюю правую дверь и что-то мне говорит. На мое праведное возмущение и требование закрыть дверь с той стороны, мужчина хлопает дверью и начинает огрызаться, что я с ним не уважительно разговаривал, т.к. он старше. Несмотря на весь сюрреализм ситуации, она типична – подавляющее большинство людей, достигнув определенного возраста, считают, что остальные обязаны выказывать им уважение. Рассмотрим эту ситуацию на примере информационной безопасности.

on_top

По сути, уважение имеет глубокие корни. Хомо сапиенсы издревле заботились о стариках в знак признания их достоинств (хотя бы потому, что они прожили так долго). Когда наше общество осваивало палки-копалки уважением пользовались те люди, которые их умели создавать, применять и обучить создавать других. Но 6000 лет назад все кардинально поменялось. Изменилась сама форма научения от мастера к ученику на социальные формы. Как раз последующие 7,5 тысяч лет этот переход кристаллизовался, и получилось наше настоящее.

Но люди в возрасте все еще требуют к себе слепого уважения. Его используют везде и повсеместно, даже Рустем Хайретдинов (по отношению к другому лицу). Уважение имеет много форм, чаще всего встречаются две.

Личное уважение. Когда конкретно вы уважаете конкретно его. Причины могут всякие разные. Многие уважают своих родителей, учителей, старших товарищей, выдающихся коллег по работе или людей, обладающих качествами, которые вам импонируют.

Профессиональное уважение. Когда человека уважают за что-то свершенное им: открытие, многолетний непогрешимый труд, подвиг и т.п.

Как видно, обе эти формы не имеют кванта всеобщности. И уважение может быть легко потеряно, если объект этого самого уважения ведет себя неподобающим образом.

Всеобщее уважение можно чувствовать к определенным группам людей, объединенных общим свершением, например, ветеранам (и в связи с этим особенно мерзко, когда в нашей стране паразитируют граждане с ветеранскими удостоверениями 70-75 лет отроду, периодически примазываясь к чужим заслугам).

Наш мир настолько быстро меняется и так информационно насыщен, что даже опыт предпенсионного поколения может быть использован крайне незначительно. После 50 вообще сложно научиться чему-то новому. А старый пласт знаний давит очень сильно. Например, люди, в сознательном возрасте программирующие на перфокартах, сейчас довольно отдаленно понимают принципы действия современных компьютеров. Именно поэтому большинство старших преподавателей дают фундаментальные предметы, а специализацию – молодые аспиранты. Только не надо думать, что я против «стариков», у них есть куча преимуществ над «молодыми», но мы сейчас об уважении.

И тут начинается круговая порука, «ты меня уважаешь? я тебя уважаю! вместе мы уважаемые люди!». Если хотите, можно назвать это заговором уважаемых — когда группа людей начинает расхваливать друг друга на все лады, и человеку не посвященному невозможно разобраться, ху из ху. Прием отлично действует в реальной жизни. Например, в советское время определенные «культовые режиссеры» сами на себя писали благостные рецензии, тем самым поднимая статус своих поделок. И так везде.

Этот «заговор» — огромное препятствие для общества вообще, и для информационной безопасности в частности. Он ограждает «вековые устои», все эти «у нас так принято» от посягательства молодых и наглых. Только не подумайте, будто я считаю, что это плохо. Это естественная реакция человека залезть наверх и скидывать оттуда посягнувших. Но пока я со стороны карабкающихся – мне это не нравится.

Я не понимаю, почему люди считают окончательным аргументом отсылку к авторитету «а вот уважаемый эксперт считает». Фактически имеют ценность только результаты. Ни количество пройденных курсов, ни написанных статей, ни выступлений на конференциях – не приближают человека ни к одной из форм уважения. Разумеется, за исключением  случаев, если вы хотите сдать много курсов, писать статьи и много выступать — вот в этом аспекте да, уважение во все поля. Но при чем тут безопасность?

Другая крайность, когда уважаемый в одной области человек начинает вещать по любому поводу. Самые известные примеры: академик Сахаров и чемпион мира Каспаров. Я с удовольствием слушаю и уважаю, например, Рустема по вопросам создания и управления ИБ компаний, а Алексей Лукацкого – по вопросам написания трех постов в день. Но сомневаюсь, что они будут высказывать компетентное мнение по вопросам той же защиты персональных данных.

Наша область сильно дифференцирована, что в частности и показал последний PHD. Никому из хакеров не интересна наша бумажная возня. А аналитикам – инженерная. А ведь есть еще и сейловая и пресельная части, которые обобщенно можно назвать методологической и архитектурной частью. И в каждой свои герои.

Любой авторитет и любое уважение должно выдерживать шквал скепсиса. При этом подлинному авторитету не требуется ничего делать для своей защиты, за него говорят его дела. А глиняные колоссы качаются от любого ветра. Думайте своей головой и выбирайте правильных авторитетов.

Спасибо за уделенное время. Всем огромной удачи и пока.

Positive Hack Days 2016 – Королева в восхищении!

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я на мероприятие на удивление легко. Думаю, это был мой последний опыт на данном поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD – восхитителен именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, теми, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то даже не настраивал, рвет от всего этого великолепия крышу. Помнится, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ — тебе очень нравится, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер». В свое время журнал позволил приобщаться к чему-то этакому, в какой-то степени контр-культурному, инженерному. Если вы читали его с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потом я перестал его покупать. На одной контр-культурности далеко не уедешь.

Мне конференция понравилась, людей много, все везде бегают, какие-то непонятные движухи. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно — глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады.
  • Потусоваться, поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой или что-то активно обсуждают по телефону. Количество сделок, заключаемых на конференциях – серьезная величина, которой нельзя пренебречь.

На PHD такого почти не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить — за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус: нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин я подъехал только к часу дня. Немного жаль, ведь в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А вот Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: после слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации, где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами — все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов. Многие мужья колотят и тиранят своих жен, но лишь единицы прибегают к помощи со стороны.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все то же самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее.

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра.

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают.

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного конента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация ведь происходит по просмотрам», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах говорящих. Например, с той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или с желанием прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку. Интересный момент: тот же Алексей очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вместе с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а также ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго: кому-то достаточно простого «я сделал», а кто-то спать не может, ведь «в интернете кто-то не прав», и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, чтобы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относится), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет — тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А вот задача специалистов – оберегать домохозяек, чтобы они спали спокойно. Все думающие иначе должны начать с курсов компьютерной грамотности для населения, а через поколение-другое уже переходить в поибэ.

И, в заключение, качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует — для вас его контент будет качественным. Если блогер — мудлан, вы читать его не будете, как бы он не извернулся, что наша дискуссия с Алексеем  и показала.

Не смотря на нашу историю с Алексеем, я говорил и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А вот Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, например, про книги совсем не интересно, а про Solar интересно.

И напоследок. Hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

 

P. S. Скорее всего это был мой последний отчет о конференциях. На конференции попасть сложно, пишутся отчеты долго, да еще и скандалы всякие возникают. Следующий напишу, если буду участвовать или организовывать.

У Камина: Про презентации с Рустемом

Хотел сегодня написать по экономическую оценку, но Рустем Хайретдинов не хочет уходить и продвинул свою тему (и до кучи product placement Infowatch и Appercut). Поэтому сегодня опять мягкое потрескивание дров и виски в пузатых стаканах (надеюсь в следующий раз Рустем будет со своим).

fireplace_main

Как делать презентации

Вообще, про презентации я могу говорить долго и вдумчиво. Но тут Рустем сделал пост (убираю всякой под кат – оставляю суть):

 

 

Зачитать целиком

Вчера принимали работу нашей команды по маркетингу, готовящей презентации к весеннему рад-шоу и по ходу я придумал новый конкурсы для создателей презентаций. Можно играть на конференциях или в профильных клубах.

Довольно часто бывает так, что сначала ты делаешь презентацию для какого-то выступления, а потом тебя просят написать статью «по мотивам». Обратное встречается гораздо реже — чтобы кто-то из организаторов конференций сказал: «вот ты написал статью там-то, не можешь сделать на эту же тему выступление». В моей личной практике — ни одного случая на сотню статей. Возможно это потому, что организаторы конференций не читают профильную прессу, за исключением своей собственной.

 

 

Итак, конкурсы:

1. Базовый конкурс а-ля «Домашнее задание» — за день до старта участникам раздаётся одна и та же аналитическая статья на отвлечённую тему, не знакомую ни одному из участников (например, в ИБ-среде о животноводстве), а на конкурсе жюри слушает, сравнивает и оценивает презентации участников по мотивам этой статьи.

Уровень «стажёр» — копи-пейст абзацев.
Уровень «менеджер» — пересказ статьи вслух близко к тексту под соотвествующие весёлые картинки на экране.
Уровень «колдун» — оригинальная презентация, доносящая мысли статьи.

Последнее очень круто — понять смысл и аргументы статьи и сделать совершенно самостоятельное произведение с понимаем преимуществ визуального формата. Мы вообще редко сталкиваемся с адекватным переводом в визуальный язык (кино) хороших текстов (книг) — вспомните, сколько раз после фильма-экранизации известной книги у вас язык не поворачивался сказать «книга лучше»(с).

2. Продвинутый конкурс — дуэль «обратный перевод». Два участника пишут презентации, потом по ним эссе и обмениваются ими, не предъявляя оригинал презентации. Затем повторяются условия предыдущего конкурса и жюри сравнивает оригинальную презентацию участника с «обратным переводом» эссе в презентацию, сделанным его соперником и наоборот.

 

В комментариях я упомянул, что у нас две основные школы, каждая из которых порвет другую школу в одном конкурсе и безжалостно сольет в другом. Рустем поймал меня на горячем и захотел подробностей. Как вы знаете, всегда есть два вида людей – западники и почвенники, с пистолетом и без, быстрые и мертвые. Применительно к презентациям – текстовики и говоруны.

2_man

Понятно, что чистых адептов каждой из школ не бывает, они мимикрируют то в одну, то в другую сторону. Но основные признаки тяготеют к одному из полюсов.

Текстовики

Тут все довольно просто. Это люди, загоняющие текст в слайды. Много текста. Еще больше текста! Больше текста, больше текста!!

text

Количество слайдов у текстовика прямо пропорционально времени, которое ему отведено на презентацию. Дадут час – будет 100 слайдов. Эти презентации очень хорошо читать после мероприятия, тем более если тебя там не было. Они информативны и подробны. Но часто текстовики используют 10 и меньший шрифт, дабы все уместилось.

Слайды – фактическое отражение произносимого.

Коронная фраза – «Я тут пролистаю, потом вышлю презентацию».

Можно быть уверенным, что, пропустив первую часть презентации на мероприятии А, вы сможете восполнить пробел, послушав ее на мероприятии Б.

Ярым представителем является Алексей Лукацкий. Признаюсь, я не видел его последние творения, но помню курс по 382-П. Алексей прислал презентацию на 100 с лишним мегабайт и 300+ листов. Она до сих пор у меня хранится, и я в нее часто заглядывал в свое время. Сюда же можно добавить отчеты чиновников и т.п.

Именно отсюда происходят все эти корпоративные замашки – «а давайте сделаем общую презентацию по теме», «подготовь мне презентацию мне завтра читать» и т.п. Текстовую презентацию – может прочитать любой, кто в теме. Не верите? Посмотрите на презентации в наших учебных центрах, я несколько раз сталкивался, с заменой преподавателей, которые читали по «общей презе».

Текстовики, понятно, смотрят на говорунов, как на говно.

Говоруны

Другая крайность — рассказывать презентацию. Тут тусуются адепты Минто (всем рекомендую почитать ее книгу «Принцип пирамиды Минто» – вступайте в нашу секту!!) и схожих деятелей.

tell

Презентации именно рассказываются, слайды используются, как вспомогательный материал. Минимум текста, несколько картинок. Количество слайдов ни как не зависит от количества времени. Как-то я проводил серию обучений для школ и детских садов по персональным данным – два часа я рассказывал про 17 слайдов.

Понятно, что из этих презентаций нифига не понятно, если не слушать. Вот, смотрите пример с конференции 2010 года, где мы, кстати, первый раз с Рустемом и пересеклись. Отсюда, разве, что можно общую мысль понять, но ни каких деталей.

Воспроизводимость презентаций говорунов – нулевая. У меня каждая презентация, по одним тем же слайдам, имеет отличия – от незначительных до глобальных.

Говорящую презентацию – гораздо сложнее подготовить (об этом как-нибудь в другой раз, а то совсем дебри будут). Да и еще куча факторов влияет, разболится любимый мозоль, и уже запал пропал, на лице мука… вы не захотите такое смотреть.

Понятно и «выхлоп» предсказать труднее.

Ну, т.к. я явно тяготею к говорунам, и выставлять себя в качестве примера – не скромно, влеплю сюда Стива Джобса – как абсолют (хотя сам Apple, и что они делают – мне не нравиться).

Любите таблицы? Вот, вам таблица в сравнении двух школ (принимаю дополнения):

Параметр

Текстовики

Говоруны

Выхлоп от презентации Всегда стабильный, на среднем уровне В широких пределах
Воспроизводимость Полная От 70% до 0%
Интересность прослушивания Средняя Выше средней
Зависимость от внешних факторов Практически никакая Существенная
Читаемость презентации после выступления Высокая Никакая
Вау-эффект Невозможен Может быть достигнут
Контакт с аудитория Безразличен Важен
Количество слайдов на минуту выступления 1-2 на минуту 0,2 – 0,5 на минуту
Требования к спикеру Нормальные Высокие
Наибольший эффект Обучающие, отчетные презентации Маркетинговые, продажные, инновационные презентации

 

Понятно, что это некая условность. Можно текстовую презентацию рассказать так, что все ахнут. И мекать и бекать на говорящей. Но в целом оно вот так вот.

Возвращаясь к конкурсам – говоруну будет сложно выиграть «обратный перевод». Но просто разорвет в клочья текстовика в «домашнем задании» (разумеется, если будет время на подготовку), для него полет мысли – это все.

На этом все, заходите к нам еще.

У Камина с Рустемом Хайретдиновым

Сегодня решил посидеть у камина с Рустемом Хайретдиновым и понекропостить его заметку аж от 1 марта. Вы спросите: Дима, какого хрена? Что за рандомный набор тем? А я отвечу: есть у меня блокнотик, куда я записываю идеи для своего потока сознания, и, если нет ничего насущного, подглядываю туда. Сегодня как раз ничего насущного. Заметьте, никакого тайм-менеджмента.

fireplace_main

Так как это запись на Фейсбуке, приведу ее полностью:

Помня, что после слов «никого не хотел обидеть» можно обижать кого угодно, вброшу, пожалуй.

Так вот, никого в действительности не хочу обидеть, но дописал в требования к вакансии к «статьи в профильных и бизнес-изданиях — плюс» фразу «собственный блог — минус». Раньше я думал, что популярный блог — это плюс для работодателя: человек активно делится идеями, имеет устойчивую аудиторию, которой будет доносить наши ценности. Но несколько раз столкнулся с тем, что блогер — отдельное состояние души, блог требует постоянного внимания, регулярных публикаций, подсчёта посещений и т.п. Блогер зависит от блога, его аудитории, позитивных откликов, рейтинга и т.п. чуть ли не больше, чем от работодателя и конфликт между ценностями компании и ценности своей аудитории будут чаще решаться блогером в пользу последней. А работодателю это не надо.

Статьи в прессе создают доверенное имя, аудиторию и уважение, но не создают зависимости от аудитории. Что скажешь, [нет разрешения на обработку персональных данных ]?

*Речь здесь идет только о тех, для кого ведение блога — не часть профессии, то есть этот пост не про топ-менеджеров, консультантов и PR-специалистов, а про специалистов и средний менеджмент.

Рустем, да полноте вам. Блогеру не нужно делиться идеями и иметь устойчивую аудиторию для донесения ценностей. Если блог корпоративный — так там этим и так занимаются (см. блог любой компании). И никакого конфликта тут нет. Все зависит от целей человека.

Буквально недавно разговаривал с молодым блогером, который рассказывал мне, что «есть тусовка «старых блогеров», которая никого к себе не пускает и гоняет молодняк ссаными тряпками». Тут цели и тех и других понятны — главное застолбить местечко в кругу гуру и скопом скидывать всех остальных с вершины. Ну, а тех, кто пролез, придется терпеть. Но таких единицы.

Именно в тусовке важно внимание, рейтинг и отклики. Хотя какие уж в ИБ отклики? У Алексея Лукацкого в среднем 3 комментария на пост. А это не какой-то там блогер, титан! Что уж говорить про все остальных? Нет, отклики и рейтинги не так важны.

А все почему? Потому что люди блогом не зарабатывают денег (во всяком случае в ИБ). Даже косвенно. Вот, возьмем меня. Предположим, меня переклинило, я стал вести блог. И что в моей жизни изменилось? Как был бомжующим босяком, так и остался. Разве что теперь могу вам об этом рассказать :) (Где тот добродетельный меценат, готовый меня спонсировать? Совершу переворот в медиа-пространстве. Готов работать за еду.) Понятно, к корпоративным блогам это не относится. Но и души в них нет, так, пресс-релизы.

Блогер – это состояние души. Но какой может быть конфликт интересов между работником и компанией? Допустим, Рустем собеседует человека – он отличный специалист и человеческие качества у него хорошие. Но что изменится, если этот человек блогер? Понято, что ничего, так как его блог является следствием профессиональных и человеческих качеств. А не наоборот. Я, например, использую обсценную лексику. Понятно, что нам с работодателем будет сложно общаться, пытаясь не называть мудака мудаком. Мне ближе конкретика и точность высказывания, а кому-то дипломатические кружева. И то же самое будет в моем блоге.

Никто ведь не возражает против ведения личных блогов. А там и аудитория, и рейтинги, и отклики. У меня целый блог личной графомании (не этот). Хочешь – читай, не хочешь – не читай. Я от этого никак не изменился, это все во мне, это все я и есть. Именно поэтому со мной общаются или не общаются люди.

И так с каждым. Ну, будет человек вести блог под псевдонимом, кому лучше-то? Вот Андрей Прозоров – наглядный пример моего тезиса. Он разве потерял квалификацию от того, что в своем блоге писал когда-то про прямого конкурента? Я думаю, это даже плюс для Solar был.

Единственный вариант для конфликта – если в блоге поливают грязью родную компанию. Да, такое есть. Конфликт на лицо.

Так что блогеры тоже люди, как и графоманы :)

Всего вам доброго.