Архив метки: смотреть глазами

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Дианетика тренингов личностного роста по ИБ

Рекомендуется освежить, вот, эту запись.

3859

Фбешечка в ленте, принесла сегодня ссылку на статью «Когда обман стал нормой?». Статья, какой-то феерический маразм, с не понятным смыслом, неоконченной историей и неясным выводом. Прямо, как я писал.

Зацепился взгляд за фразу:

Сейчас вообще, поколение тренингов и саморазвития. А нас как всегда, ведет не в ту сторону. «Не умеете делать минет? Научим. Вам изменяет муж? Это нормально. Слава богу, он вообще может. У вас высшее образование, а по вечерам вы любите читать Бродского? Ну что за глупости. Живите как дура! Берите карту и дуйте в магаз. Dior сам себя не купит». Откуда это?

Действительно, сейчас мир тренингов и саморазвития возведенного в культ. И это прекрасно. Но обо всем по порядку.

Как вы уже знаете, юность моя происходила в душевных метаниях и маргинальной неге. Как любой нормальный подросток, я пробовал на прочность этот мир. И, нет, мир не оказался прочней. Просто жизнь совершенно не об этом, но это нас уведет далеко от тренингов.

И, в определенный момент моей жизни, решил я сходить в секту. Где наша не пропадала? Разумеется, было боязно, поэтому я выбрал более-менее лайтовых саентологов, а не какую-нибудь Харе-Кришну. Готовился я к этому делу основательно, оставил все вещи дома, взял только проездной и мобильный телефон, что бы позвать на помощь. Кстати, очень важно не брать с собой документы и деньги. У вас появляется шанс соскочить. Оставите данные, и уже не вырвитесь – схема крайне отлаженная, ее, кстати, и скопировали тренинги.

Надо сказать, что каждый тренер – хотел бы организовать секту. Такую настоящую секту, что бы с кучей последователей, что бы машины и квартиры отписывали. В силу разных обстоятельств, они этого не делают – где-то шибко палевно, где-то лучше замаскироваться под бизнес-тренинг. Но главную суть – копируют все, кто-то лучше, кто-то хуже.

pecherskaya

Но вернемся к нашим саентологам. Основа любой секты, выявить причины не идеальности человека. Зашлакованный организм, чакры закрыт, энергетические паразиты. Никому не хочется быть грязным, внушаемым, глупым (о, зацепочка для бизнес-тренингов). Понятно, что во всем этом виноваты не вы, а какой-нибудь ублюдок, который сидит в вас, и с которым надо срочно бороться. Разумеется лишь нашими, проверенными способами.

В саентологии, такими ублюдками выступают энграмы. Энграмы – особая ситуативная память, которая запоминает ситуацию во всей полноте (мысли, чувства, окружение, люди, слова). Если энграма содержит негатив (шок, боль и т.п.) – это очень плохо. Проблема с энграмами в том, что вы не имеет к ней доступа. И если вы попали в обстановку похожую с пережитой, то испытываете все негативные последствия. Все слова, что нам произнесли в этой ситуации, будут действовать на нас как команды, вы более внушаемы в этих ситуациях. И существуют, некие клиры. Если кратко, люди, очистившиеся от всех энграм. У них повышается тонус, улучшается зрение, потенция и все-все-все. Разумеется, что бы стать клиром – надо пройти ряд очищающих процедур. Конечно, за огромные деньги.

По итогу, мозг там чистят капитально. После двухчасовой лекции и разбора моего теста (по итогам, которого стоял вопрос – как я еще жив-то?), считал дедушку Хаббарда родным отцом и учителем. Хорошо, что денег на книжку не было, и паспорта для заполнения анкеты. Так и не стал я саентологом.

Надо понимать, что задача любого тренинга – выкачать с вас бабло, а не научить чему-то полезному. Любой тренинг стоит на этом, если он не по каким-то специализированным прикладным навыкам. Вся эта болтология, лучшие практики от экспертов, повышение личной эффективности – чушь, по сути.

Помниться, как-то на партнерке Infowatch был мастер-класс по приготовлению суши. Вот, это была реальная тема. Где специалист в своем деле, рассказывал неофитам основы. Мастер-класс, наверно, единственный сейчас вариант, обучиться чему-то новому. Т.е. въехать в основы, а дальше думать своей головой.

Несколько отличительны признаков лажовых тренингов:

  • В тренинге есть гуру, который или сам его ведет, или ведет специальный сертифицированный ученик.
  • Тренинг периодический. Это чуть ли не главный маркер, показывающий, что тренер зарабатывает деньги тренингами, а не тем, чему учит. Т.е. зарабатывает, рассказывая, как заработать.
  • Тренинг является частью системы других тренингов. Что бы просветлиться окончательно, надо посетить их все, а лучше и не один раз.
  • Описание тренинга оперирует словами: эффективность, личная эффективность, саморазвитие и т.п. Ну, т.е. какими-то сущностями, которые нельзя измерить (см. тайм-менеджмент).
  • Главное достоинство тренинга, что он от тренера, который провел 400+ тренингов. Т.е. тренер в лучше случае теоретик, в худшем – дилетант с вредными фантазиями.
  • Мощный пиар. От гуру, от участников, расписание следующих курсов на всех углах и т.п.

И так далее. Единственный тренинг, который мне помог – тренинг Гандапаса «Учимся выступать публично». Уже потом, я понял, что это была компиляция потребительских методов и прикладных приемов. Большинство из них обретаются сами, после 2-3 выступлений. Текущая деятельность Радислава, состоит из обогащения через тренинг чуть менее, чем полностью.

radislav-gandapas-self-made-man

Можно ли чему-то научиться на тренингах? Вряд ли. Но главная проблема не в этом. Идти на тренинг (или мастер-класс) надо с определенной задачей или проблемой. Например, вы дизайнер и мучаетесь, какой дизайн сделать финтефлюшечный или минималестичный. В этом случае, конечно, хорошо бы пойти и послушать знающего человека, вопрос, какой ему задать. Хотя лучше всего, знать нужный телефон, напроситься на встречу, и, проставив вискаря, решить все свои метания.

Посмотрите вокруг, вспомните школу, институт. Групповое обучение, крайне неэффективно. Кто-то не догоняет, кому-то скучно т.к. на месте топчемся, интересующий момент до конца не разберешь – он интересен только тебе. И еще множество причин. В группе хорошо ОФП заниматься, хоть не скучно. Во всем остальном, все выбрали бы индивидуальные занятия.

Вы никогда не измените свою жизнь через тренинги. Сама система тренингов заточена на то, что бы ваши результаты были лишь внутри тренинга, с конкретной группой. Она будет вас поддерживать, и она же будет вас затягивать на следующий тренинг. А то, что на работе ваши навыки продаж не работают, так это процессы выстроены не так. Но на нашем вечернем занятии, у тебя все получиться. Приходи, касса работает до 20-00.

Вы такой, какой есть. В вас заложено ваше воспитание, школа, институт, дворовые друзья, гельштат ваших родителей и гены, которые влияют в 5 раз сильнее, чем любое воспитание. И, вы думаете, что какой-то дядя, за 8 часов и 20 000 рублей, вас изменит? За это время, вам можно продать лишь иллюзии, что вы не такой как все, что вы развиваетесь, не то, что остальное быдло.

Полезным тренером может быть лишь профессионал своего дела. Но, если он профессионал, у него нет времени делать тренинги каждую неделю. В лучшем случае, раз в квартал. Не маловажный вопрос, а зачем это ему? Зачем ему плодить конкурентов, разжевывая то, что он постигал годами? Просто задайте себе этот вопрос.

А, самое печальное, что тема тренингов добралась и до нашей поИБэ. Атака идет с двух флангов. Первый – это тренинги общей направленности. Попавшие в паутину, начинают активно ее рекламировать. И, на деловых переговорах, уже можно услышать, кто какую сегодня «лягушку съел». А, иногда, уже проскальзывает и «ваши материалы не отвечают нашей методике продаж СПОР – вам надо доработать их».

Второе – это активное продвижение собственных тренингов по нашей тематике. Я помню, как один «бизнес-консультант по ИБ», рекомендовал всем безопасникам подойти к генеральному директору, и предложить перевести сотрудников на удаленную работу. Мол – «это выгодно, я посчитал, экономим на электроэнергии, и производительность вырастит! А еще BYOD! Совсем шикарно заживем». Понятно, что маразматичность таких предложений зашкаливает. Будь, это какой-нибудь дурачок, никто бы и не заметил. А это один из уважаемых гуру поИБэ. И самое главное – с гуру, взятки гладки. Он ведь пример приводил, а «Кирпич, дурачок, взял и сделал».

Не смотря ни на что, тренинги – это великое благо. Они позволяют вам, получить существенное преимущество перед их посетителями. Точно также как нет ни одного одинакового проекта, нет и одинакового приложения опыта, своего или чужого. В каждой ситуации надо думать своей башкой. И лучше бы, что бы она не была замусорена дорогим треннингом.

До новых встреч.

 

P.S. ОБЪЯВЛЕНИЕ. Тренинг с 10 сентября переноситься на 21.

Темы битвы: почему не растут угрозы?

Эх, давно не писал. Сильно скучал я по этому делу. Как вы знаете, меня рекрутировали за корзину печенья и банку варенья участвовать в Кибербитве. Неожиданно, я даже победил. Говорят, все любят андердогов и сравнивали меня с Исландией :)

before

Пара слов о мероприятии, в целом довольно интересно, но были свои минусы:

  1. Крайне мало времени на вопрос. Что является следствием большого количества вопросов, достаточно 3-4.
  2. Олег, не стоит менять тему за день до битвы. Уж не знаю, откуда там взялись роботы.
  3. Общее голосование, вместо раундового.
  4. крайне неудобно смотреть, нет чатика, не работает капча (!!) в форме вопросов.

Т.к. времени было не много, а позиция моя по многим вопросам была крайне неортодоксальной, я решил полнее раскрыть тему. И сегодня про угрозы.

Кстати, кто пропустил — полная версия:

Тема 1. Какой будет динамика роста внутренних угроз в ближайшее время?

Динамика будет нулевая. За всю новейшую историю информационной безопасности, мы создали огромный и страшный маркетинговый пузырь угроз. Чем было страшнее, тем проще нам было выбивать бюджеты (внутренние и внешние), и вообще обосновывать свою нужность (хотя с этим у нас до сих пор серьезные проблемы). Но уже пару лет это не работает.

По сути, роста внутренних угроз не происходит. Если взять классическую формулу риска, то в ней вообще нет угроз (и тем более уязвимостей), которыми мы так привыкли пугать директоров в СМИ и на конференциях. Классическая формула из ISO:

Величина риска = вероятность события * размер ущерба

где

Вероятность события = вероятность угрозы * величина уязвимости

сделав подстановку, получаем

Величина риска = вероятность угрозы *величина уязвимости* размер ущерба

Классическая схема рисков ИБ

Классическая схема рисков ИБ

Как видим угрозы и уязвимости это переменные второго порядка. Это такие переменные, которые могут быть неважны, если известна величина первого порядка. Например, вероятность попасть в авиакатастрофу составляет 0.00001% (вероятность события). И уже не важно, вследствие каких угроз или уязвимостей это произошло – теракты, ошибки и т.п. Все отрасли работают с вероятностью события, мы же зарываемся все глубже и глубже. Например, страховщики уже давно все посчитали и создали даже свой раздел математики (актуарная математика).

При том, что под «вероятностью угрозы» здесь понимается likelihood (а не классическое probability), что тоже переводиться как вероятность, но характеризуется частотой реализации угрозы за определенный период времени. Крайне не надежная величина.

Величина уязвимости – вероятность того, что угроза будет реализована с помощью данной конкретной уязвимости. Т.е. вполне может быть, что супер-пупер критичная уязвимость может никогда не реализовать.

Неутешительный краткий вывод можно сделать следующий. Мы сами сильно преувеличиваем значение уязвимостей (как причину реализации конкретных угроз). На этом преувеличении мы пытаемся породить множество страхов в своих умах, и умах бюджетопридержащих. И, это подвело нас к пропасти, к которой мы делаем гигантские шаги вперед.

 

Говоря, нас – я говорю о группе под самоназванием «поИБэ». Это вендоры, интеграторы, заказчики, множество специалистов разных направлений. К коей я тоже себя отношу. Осознать, и открыто выразить свою принадлежность к некоей группе, неизбежно отрекаясь при этом от принадлежности ко многим другим группам, — не шутка. Мы (современные люди) принимаем такие решения ежеминутно.

Например, можно заметить, что в основе этих решений часто лежат не логические умозаключения, а эмоции. «Мы животные» звучит обидно. Многие готовы долго и яростно доказывать, что это не так, что люди не животные. «Мы обезьяны» — совсем уж вызывающее заявление, от которого попахивает нигилизмом и общественным вызовом. При этом фразы «мы млекопитающие», «мы позвоночные», «мы многоклеточные» воспринимаются спокойно.

Между тем с биологической точки зрения все эти утверждения одинаково верны. Вот несколько разных «мы», узаконенных современной биологической наукой. Мы многоклеточные. Мы эукариоты. Мы жгутиковые. Мы животные. Мы вторичноротые. Мы хордовые. Мы позвоночные. Мы челюстноротые. Мы четвероногие. Мы амниоты. Мы синапсиды. Мы млекопитающие. Мы плацентарные. Мы приматы. Мы обезьяны (или, что то же самое, антропоиды). Мы узконосые обезьяны. Мы человекообразные обезьяны, или гоминоиды (по-английски apes). Мы большие человекообразные обезьяны (great apes). Мы большие африканские человекообразные обезьяны (african great apes). Наконец, мы люди.

В наследство от наших предков и родичей, нам досталось три основные доминанты поведения (мотивов) (в порядке убывания):

  • еда
  • размножение
  • доминантность

(кстати, если вы адепт Пирамиды Маслоу – вам надо пересмотреть свои взгляды).

И именно это мы упустили, когда кинулись надувать наш пузырь страха. А теперь не понимаем, почему нас задвигают подальше. Посмотрим, как в связи с этим меняется наша картина ИБ рисков, на реальные риски.

Классическая схема риска

Классическая схема риска

Упс. Оказалось, что субъект, воздействуя через свои доминанты на объект (защищаемую информацию, активы, любую ценность), уже имеет полное множество (или пространство) причин. Которое может реализовать огромным числом способов. И наши уязвимости поИБэ, всего лишь капля в море (переменная второго порядка). У нас ведь как? Придумают новую технологию, и давай в ней уязвимости новые перечислять. По сути этот взбалтывание крайне незначительных (бесконечномалых) факторов в глобальной сфере рисков (помните про авиакатастрофы?).

Через данные доминанты можно выразить любое поведение человека от альтруизма до похуизма. И это мы еще не затронули наш великий разум (большие лобные доли), который еще меньше оставляет места для наших угроз.

Например, на данной битве было два мотивированных человека: Олег с точки зрения доминирования, и Дима с мотивом еды (победителя покормят на BISA Summit). Понятно, что при прочих равных Олег не будет тыкать Диме ручкой в глаз. В то время, как Диме отступать некуда.

Например, в нашей отрасли сейчас кризис. Увольнения, задержки зарплаты и т.п. Из наших вендоров и интеграторов уже вынесли все более-менее ценное. От клиентов, до листов рассылки для спама. Голодный человек обойдет наши CPB и глазом не моргнет. Тогда зачем мы?

В поИБэ мы ставим способ реализации во главу угла. Все наши ЧМУ пестрят действиями (например, Кража носителей информации или Установка ПО не связанного с исполнением служебных обязанностей), а субъектам уделяем 3 абзаца в модели нарушителей. Мы ставим DLP и не знаем, что ответить на вопрос заказчика – а от фотографирования экрана защищает?

Не даром, ни одно внедрение СЗИ не может обойтись без оргмер. Зачем ломать сложный пароль, если можно подсмотреть?

Вывод напрашивается неутешительный. В маркетинговой погоне за страхом (не только со стороны вендоров, но и внутри заказчиков), мы так давили на эти страхи, что нас раскусили и больше не бояться (читай, дают все меньше денег). Т.к. не удается доказать бизнесу значимость этих бесконечномалых величин. Надо отпрыгивать от пропасти.

 

P.S. Уже стал известен мой оппонент по полуфиналу Эльман Бейбутов из Solar. Мой прогноз: мне надерут задницу. Ведь в Solar работает больше 100 человек. Но я буду биться.

Хотите это видеть? Поставьте напоминалку.

От безопасности к звездам

Добрый вечер, мои любимые и ненаглядные читатели. Спешу поделиться отличной новостью: вот уже 10 месяцев я пишу об информационной безопасности. И это внушительный срок, практически год в метрической системе.

star

Хочу сказать спасибо, что поддерживали меня все это время. Читали, оставляли комментарии и бугуртили. Для меня это было важно. Поверьте.

Отдельно хочу сказать спасибо читателям с сайта securitylab.ru – удивительно, что многие мои материалы перепрыгнули гроссмейстерский уровень в 3000+ просмотров. И вдвойне удивительно, что среди них хулиганская предпраздничная статья.

Но настало время уходить. В последнее время все поворачивается как-то странно, возникают какие-то непонятные склоки и пригорания пуканов на ровном месте. Я уже вышел из возраста «в интернете кто-то не прав». В жизни куча более интересных вещей, чем срать в комментариях.

Кстати, об этих интересных вещах. В силу определенных причин мне все сложнее писать только об информационной безопасности. Нет, тем еще дофигища. Но посмотрите на фейсбук поибе – на три поста по теме, 20 котиков и бугагашенек. И это нормально. Помню, в определенный момент мне жутко хотелось написать про сатанистов. Ух, как хотелось. Но формат не позволял, мои обязательства перед вами, любимыми, которые любят безопасность и все, что с ней связано.

Другой причиной стала явная нехватка времени. Многие знают, что это мой не единственный блог (их у меня 4), а еще есть 7 сайтов. Вести все это параллельно – смысла особого нет, и крайне затратно.

Поэтому я решил изменить формат этого сайта. Он вроде как личный, значит обо мне, а не об информационной безопасности. Теперь материалы здесь будут по более широкому спектру тем, я смогу сюда постить свои стихи, прозу, книги, волнующие общечеловеческие темы.

Глубинная причина этого кроется в мозгу. Когда ты о чем-то думаешь, перетираешь мысль туда-сюда, и она окончательно формируется – у нее два с половиной выхода. Забыться, будь обсужденной в разговоре, быть изложенной в тексте. Мысли распирают голову, киснут, а иногда гноятся. Необходим естественный клапан сброса давления. У меня это – тексты. Но существовавший формат мешал этому.

Новый формат наконец позволит реализовать две давние задумки: книгу про пресейл и про интеграторов. Это некий связный набор статей, проливающий свет на сложившееся положение дел. Был еще цикл про защиту и выигрыш конкурсов, но уважаемые люди попросили не палить контору. Сами понимаете, к безопасности это имеет опосредованное отношение.

Не стоит беспокоиться, поибе не будет забыта. С помощью главного редактора секлаб – Александра Антипова, мы создали специальный тег, который позволит парсить на секлаб только материалы по безопасности и как-то с ней связанные. Я думаю, что там будет минимум 2-4 материала в месяц.

А так же приглашаю всех на мой уютный забор.

Спасибо вам за терпение. Надеюсь всех периодически видеть.

Что же читать безопасникам? Теперь про книги

Где-то около полугода назад я уже поднимал эту тему. Тот материал получился в итоге о том, что же читать не стоит. Один из минусов графомании — неспособность писать по заказу, мысль несется вперед, и остановить ты ее не можешь. И начать разговор хотелось бы парой слов… про шахматы.

chess-game-1

Шахматы – известная всем игра, пошаговая стратегия, где компьютеры уже давно победили людей.

Я очень люблю шахматы, в детстве ими занимался, и даже были определенные успехи. Но путь для меня туда был закрыт, т.к. я был довольно старым и ленивым, чтобы зубрить теорию и решать кучу этюдов. Кстати, если кто любит вариант Дракона – палец вверх. Если вы немного интересовались шахматами, то знаете, что есть несколько общих рекомендаций для каждой стадии игры (дебюта, миттельшпиля и эндшпиля – начала, середины и конца игры соответственно). Да, они не позволят вам победить гроссмейстера, но вся теория шахмат так или иначе крутится вокруг них. Например:

  • Надо захватывать центр;
  • Развитие фигур в дебюте выгоднее сиюминутной выгоды;
  • Не ходи в дебюте два раза подряд одной фигурой;
  • Конь на краю доски – позор (с) Тарраш, и так далее.

К чему это я? В информационной безопасности, как и в любой сфере, тоже есть свои определенные рекомендации. При определенном старании их можно было бы вывести все, но это не цель данной заметки. Я хочу обратить внимание лишь на один аспект, тот самый, что роднит нас с шахматами: люди соревнуются друг с другом посредством компьютера. Данный аспект базируется на одном из ключевых принципов, о котором далее.

Именно поэтому в первой части я мало внимания уделил технической составляющей навыков. Бесспорно, они нужны. Но они являются лишь инструментом напыривания или, наоборот, защиты от атаки другого человека или группы лиц.

Ключевое во всей нашей деятельность – взаимоотношения с людьми. Именно люди создают, реализуют и эксплуатируют 99% уязвимостей в вашей модели угроз.

Отстраненный пример: я переходил на каждую новую винду через 1-2 года после того, как она релизилась, а лучше после выхода второго SP. Таким образом, мимо меня прошли Windows ME, Vista и 8, т.к. к тому моменту, как необходимость в них возникала, выходила уже новая винда. Делал я это по банальным причинам, т.к. предполагал, что новый продукт будет довольно сырым, выпущенным, исходя из требований бизнеса и маркетинга (например, из чувства соперничества или жадности). Это все делали впопыхах, и будут допиливать по результатам платного тестирования (уже техническая сторона вопроса).

Именно рассматривая угрозы с человеческой точки зрения, можно прийти к выводу, что, например, угроза инсайдеров в нашей стране крайне маловероятна для 99,99% фирм. А те, что все-таки подвержены, работают, в основном, не в тех областях, где обычно боятся инсайдеров. А вот утечки для нас крайне критичны.

Итак, один из принципов: человек совершает любые действия к своей выгоде.

Как видите, очень просто, пафосно и абстрактно. Если обсуждать конкретно и нормальным языком, то будет довольно сложно и много читать. Суть не в этом. Каждый человек понимает эти принципы интуитивно, но часто забывает, когда речь касается информационной безопасности или компьютеров вообще. Ведь скажем тот же альтруизм — это лишь одна из форм выгоды.

Хватит лирики. Чтобы понимать новое в ИБ, все эти модные угрозы и тренды, надо всего лишь понимать, что движет людьми в данной ситуации, как со стороны предлагающих решения, так и со стороны атакующих-защищающихся.

Я не хотел бы здесь давать каких-то конкретных рецептов, а тем более давать ссылки на какие-то крайне сомнительные излияния известных психиаторов (кому интересно – концепции Фрейда и Юнга не нашли подтверждения в своей основной сути, лишь несколько частных наблюдений используются в современной практике, но они мало применимы в бытовом плане). Скорее это книги общего плана (кроме того, что их просто интересно читать), которые дадут вам представление о том, кто мы есть, откуда взялись и куда идем.

 

И первая книга… «Основы оперативно-розыскной деятельности». Пам-пам-пам…. На самом деле я поставил ее первой, чтобы просто про нее не забыть. Сейчас таких книг очень много, можете взять любую. Сам я, еще в институте, читал извлечения из внутренней методички Академии МВД. Крайне прочищает мозги и выстраивает в голове методологию. Основным эмпирическим выводом для меня стало понимание сути доказательств, работа с фактами и разделения умышленных и неумышленных действий.

evolutionБазовой книгой для понимания нашей природы для меня стала очешуенная книга Александра Маркова «Эволюция человека» в двух частях (хотя читал я ее уже после Докинза, про которого можно говорить и говорить). Собственно, именно отсюда вы узнаете основные паттерны поведения нас как вида. Почему мы именно такие. Для многих бывает открытием, что предки наши вышли из Африки, и, по сути, мы все потомки негров. Мы приспособлены к жизни в саванне, воспринимаем мир на средних скоростях и 95% времени вообще не думали. По эволюционным меркам это произошло вчера, поэтому все проблемы дня сегодняшнего не разрешатся еще несколько сотен тысяч лет. Читайте, крайне интересно.

i_IQСледующая книга раскроет вам мир эмоций – Даниэль Гоулман «Эмоциональный интеллект». Я читал самое первое издание, сейчас у него вышло несколько редакций и продолжение. Если вы прочитаете Эволюцию, то эта книга дополнит картину с точки зрения эмоций. Вы станете с пониманием относиться к окружающим вас явлениям. Например, помните, как Алексей Лукацкий набросил на меня? Я был спокоен. Я понимал, что у Алексея сагрилась самая древняя часть мозга (та, что принимает камень за льва, где нестрашно ошибиться и обознаться, но которая дает шанс убежать от реального льва). Но так как инстинкты работают быстрее разума (те самые средние скорости), получилось то, что получилось. Лев оказался камнем.

organЧетвертая книга будет полезна тем, кто работает в заказчиках. Эдгар Г. Шейн «Организационная культура и лидерство». Книга немного занудна и пережевывает одно и то же несколько раз (впрочем, это особенность западной литературы), но она крайне полезна в понимании, что такое корпоративные интересы, какие группы есть внутри коллектива, как они взаимодействуют и т.п. Вот вчера представитель Аванпоста накинулся на меня со словами «да как он посмел! Это кто такой? На Женю! На Мишу! На Лешу!!!!1111». Прочтя эту книгу, вы будете видеть в этом не личные наезды, а защиту корпоративных интересов. Собственно люди как вид — глубоко социальные, и всегда находятся особи, которые блюдут интересы этого социума. Кстати, в Эволюции этот момент раскрывается с точки зрения этологии, как и почему низкоранговые животные ведут себя более агрессивно по отношению к чужакам, чем высокоранговые.

В завершение рекомендовал бы книгу для небольшого релакса – «Вы, конечно, шутите, мистер Фейнман!». Эта великолепная книга Ричарда Фейнмана (топ-3 моих любимых авторов) поможет вам лучше понять, что же такое научный метод. Позволит разделять вам эмоции и разум на плоть от плоти науки. И она просто охеренная.

feiman

На этом хотел бы на сегодня закончить. Хороших книг довольно много, но не хочу отнимать хлеб профессиональных рецензентов.

Огромной всем удачи, и пока.

У Камина: Versus battle Емельянников-Царев

Друзья, я все время ищу новые форматы. Чтобы и мне было не скучно, и вас любимых порадовать. Ну, скукотища же фигачить отчеты, которые пишут все, или гнать джинсу за родимого работодателя.

fireplace_main

Поэтому у нас сегодня Versus battle. Кто не знает — это способ выяснения, кто круче в американских рабочих районах. Versus может быть какой угодно, хотя изначально, конечно, это был рэп. Хочешь — в мешках бегай, хочешь — дротики на точность кидай. Каждый из вас делает тоже самое, когда ищет что-то нужное, но неизведанное. Автосервис, стоматолога или врач узкой специализации.


Необходимое пояснение

Михаил, Евгений, цель данного материала не в том, чтобы вас обидеть. Лично я не знаю никого из вас, и смотрю со стороны. Цель материала показать то, что видит ваш рядовой клиент. Смысл в том, чтобы эти неточности не мешали вам зарабатывать и нести добро и свет людям. Я надеюсь, вы воспримите данный материал как взрослые люди.

По сути, я с вами в одной лодке. Мы играем на одном или, как минимум, соседних полях. Ваши просчеты отражаются и на мне.

Все ниже сказанное – личное мнение автора, выраженное в пародийной манере. Автор – шут, что с него возьмешь?


Перед битвой

Диспозиция перед битвой такова. Я рядовой клиент, которому требуется юридическая консультация по вопросам информационной безопасности. Проблема у меня серьезная, которая может перерасти в судебный процесс. Я готов решить проблему любыми способами и за любые деньги, но лучше бесплатно. Т.к. знакомых у меня в информационной безопасности нет, я запускаю гугл… или яндекс.

Гугл дал осечку

Гугл дал осечку

И Яндекс не помог

И Яндекс не помог

Вся информация почерпнута из открытых источников с сайтов участников битвы. В редких случаях были применены спецсредства для раскрытия темы.

Раунд 1 – Знакомство

Удивительно, но наших бойцов я не смог найти по запросу «юридические консультации по информационной безопасности», яндекс и гугл их не котируют. Либо это для них не важно, либо надо что-то серьезно делать с позиционированием. На одной известности в ИБ тусовке далеко не уедешь. Допустим, мне их посоветовали.

Участники

Участники

Михаил Юрьевич Емельянников

Характеризует себя следующим образом:

Эксперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

Ссылка «Моя веб-страница» в блоге (???) ведет на сайт Агентства. Аааа… нет, конечно, хорошо быть экспертом. Но я тоже себя экспертом называю. Если вбить Михаила в гугл, то почему-то вылезают ссылки на секлаб и фейсбук. На секлабе написано:

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.

А на фейсбуке можно найти первое подтверждение квалификации – окончил школу КГБ СССР. Как вы понимаете, человеку неискушенному сложно из всего этого понять, кто же перед ним.

Не понятно, где и на каких должностях Михаил работал. Что и для кого он сделал? Согласитесь, опыт является существенной подмогой в формировании представления о человеке, который возьмет с вас деньги не пойми за что.

ЗПД для 99% — темный лес. Но если непосвященный видит, что вы делали это для Газпрома или Сбербанка, уважение начинает просыпаться. Не зря же они ему деньги платили… Этого, увы, у Михаила нет.

Оффтоп: надо сказать, что с творчеством Михаила я не знаком, был на одном выступлении на BISA 2014, и на этом все.

Евгений Царев

У Евгения есть свой сайт, а в нем раздел «Об авторе». Мелкая придирка, Жень, ну ты же не девушка, чтобы возраст себе занижать. Я понимаю, все хотят выглядеть моложе. Лучше либо убрать, либо отслеживать изменения.

Евгений более тщательно подошел к автобиографии, есть сведения об образовании. Но зря убрал сведения о прошлых местах работы. В предыдущей версии сайта они были. Покопавшись немного в интернете можно найти, что Евгений работал сплошь на руководящих должностях: замдиректора по развитию бизнеса, директор представительства и т.п. Но возникает естественный вопрос – зачем руководителю заниматься инженерно-аналитической работой? Или, во всяком случае, рекламировать ее?

И уж странно смотрится в таком контексте степень MBA «Инновационный и проектный менеджмент». Вы же по безопасности оказываете консультации, а не по менеджменту.

Цитата:

Профессионально занимаюсь развитием направления информационной безопасности в российских интеграторах и вендорах.

Каких интеграторах? Каких вендорах?

Цитата:

Являюсь участником рабочих групп ЦБ/АРБ/Минсвязи (закон «О персональных данных»), РАЭК (законопроект о спаме), НП «НПС» (защита информации в Национальной платежной системе) и др.

Вот лично я понимаю, почему стоит в конце и др. Но человек со стороны может воспринять это как желание закидать страшными аббревиатурами и списками. «Я член академий… почетный член фондов…» и т.п.

Плюс к этому, употреблено в настоящем времени «являюсь». Вопрос – откуда столько времени бывать на всех этих рабочих группах? В перечислении их 5 (с и др. – штук 10 должно быть, иначе бы все перечислили). Считаем 10 заседаний в месяц, плюс день подготовки до, плюс день чтение итогов, плюс день на правки. Получается, что занято 30 дней в месяце…

Цитата:

Автор более 12 исследований (каких?), 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности.

Евгений, да, я знаю, почему ты так написал. Но это не отменяет того, что весь этот Лукацкий-стайл – владелец заводов, газет, пароходов – выглядит, мягко скажем, не очень. Да и цифры подозрительно круглые. Уж лучше опыт писать, чем публикации. Надо сказать, что на этом же сайте в другом месте статей и комментариев указано 50+ и 300+. Евгений скромный человек.

tsarev_300+

Цитата:

Статусы:

  • Аудитор, Внедренц и Сертифицированный тренер по Стандарту Банка России в области информационной безопасности;
  • Аудитор и Тренер по ISO/IEC 27001

По ISO не совсем понятно — какой аудитор? Внутренний? Lead? Сертифицирующий (или как он там называется, который проводит аудит от BSI)? И тут я вижу немного манипуляции: все же сомневаюсь, что BSI сертифицирует тренеров в России? Да, аудитору, чтобы проводить контрольные аудиты, надо 200 часов (мб сейчас больше) потратить на аудиты, или же можно заменить их проведением обучения, но сомневаюсь, что речь об этом. Но звучит круто.

Оффтоп: Евгения я знаю еще меньше, чем Михаила. Первое мое знакомство с ним состоялось с поста Алексея Лукацкого.

Итог: раунд за Царевым.

Райнд 2 – услуги

Здесь буду давать комментарии в оригинальном тексте участников.

Михаил Емельянников

Консалтинговое агентство «Емельянников, Попова и партнеры» (вот интересно – кто такая Попова и кто эти партнеры? Опять к вопросу о подаче услуги: баллы снимать не будем, т.к. разбирали это в первом раунде) предлагает услуги профессиональных консультантов (а конкретно?) в области информационной безопасности. Уникальность предлагаемых услуг состоит в комплексном решении проблем на стыке правовых, организационных и технических мер, исходя из необходимости соблюдения законодательства и оптимизации затрат (ну, скажем, что каждый первый интегратор делает такую «уникальность»).

Агентство оказывает услуги:

· предприятиям и организациям, заинтересованным в создании эффективной системы защиты информационных ресурсов и выполнении требований регуляторов (придирка профессиональная – почти невозможно сделать эффективно и соблюсти все требования регуляторов при заявленной оптимизации затрат);

· отечественным и зарубежным компаниям, работающим на российском рынке информационной безопасности или имеющим планы выхода на него;

· организаторам учебных курсов и семинаров по вопросам защиты информации.

Краткое описание услуг

· Выявление на предприятии проблем в информационной сфере, поиск путей решения, риск-менеджмент (анализ рисков, выработка стратегии управления рисками, определение мер по их снижению или компенсации).

· Разрешение сложных проблем выполнения положений законодательства в области персональных данных с учетом нормативно-правовых актов других областей правового регулирования (видимо, текст старый – сейчас сложных проблем «на стыке» что-то не припомню, или надо указывать конкретно), устанавливающих требования, связанные с обработкой персональных данных (трудовое, гражданское, налоговое законодательство, законодательство о правоохранительной, оперативно-розыскной, кредитно-финансовой деятельности и др.).

· Установление и изменение режима коммерческой тайны с целью обеспечения защиты исключительных прав обладателя секретов производства (результатов деятельности в интеллектуальной сфере) (как-то узко, есть еще куча исключительных прав, а уж видов коммерческой тайны… одним производством дело не ограничивается).

· Экспертиза законченных (есть соответствующая лицензия и аккредитация?) или находящихся в стадии приема проектов в области информационной безопасности с целью оценки соответствия требованиям законодательства, полноты, разумности и достаточности предлагаемых в проекте защитных мер, обоснованности выбора средств защиты информации.

· Обучение и повышение осведомленности персонала заказчиков в области безопасности и выполнения требований законодательства, проведение семинаров, вебинаров, учебных курсов и др. мероприятий по тематике информационной безопасности для всех категорий (тут ссылка) – от владельцев бизнеса и руководителей высшего звена до рядовых работников (почитав блог и посмотрев евенты, складывается ощущение, что обучение — это основной вид деятельности агенства…).

· Консалтинг (а чем слово консультирование не нравится?) компаний-производителей средств защиты информации, а также компаний-интеграторов (просто интересно – и часто обращались? По идее в интеграторах полно своих специалистов), оказывающих услуги в области информационной безопасности:

— сложные вопросы регулирования информационной безопасности;

— экспертная оценка развития бизнеса компании, ее позиционирование и продвижение на рынке информационной безопасности;

— консультации по развитию продуктов и услуг, предлагаемых или планируемых к запуску;

— аналитические исследования в области угроз, тенденций, технологий информационной безопасности, практики правоприменения (к сожалению, нет исследований в открытом доступе);

— представление интересов компаний на различных мероприятиях (подготовка и проведение презентаций, семинаров, участие в переговорах и пресейле, статьи с аналитическими исследованиями и др.) (кхм… а как это выглядит? Приходит Михаил и говорит, «Вы меня знаете, но сегодня я от компании «Веторк-2000». Да?).

· Консалтинг зарубежных компаний, работающих на российском рынке или планирующих такой выход, по сложным проблемам российского законодательства, таким как обработка персональных данных, защита коммерческой тайны и др. (т.е. у зарубежных компаний всего две проблемы?), для компаний, планирующих продвижение на российский рынок своих продуктов и услуг в области информационной безопасности, — по вопросам государственного регулирования, сертификации продуктов и лицензирования деятельности, особенностям поставок для государственных нужд.

Усе дальше контакты. Кстати, почта на gmail … не секюрно.

 

Евгений Царев

Подготовка судебных и досудебных экспертиз по вопросам информационной безопасности и защиты информации

Срок подготовки заключения: от 5 рабочих дней (без учета обследования на месте (так обследование может месяцы занимать. Лично мне было бы неприятно узнать, что общий срок будет 2 месяца, а не 10 дней максимум, как я мог бы ожидать по написанному. Плюс к этому — не указана верхняя граница по срокам…))

Подготовка информационного письма для суда: в течение 1 рабочего дня (даже если запрос пришлют в 17-30? Если да, так это офигенное конкурентное преимущество – надо указывать)

Подготовка информационной справки: от 3 рабочих дней

Подтверждение квалификации с копиями документов прикладывается к письму и заключению (собственно это немного отредактированная версия из 1 раунда. Но тут отсутствие опыта – жирный минус. Одни курсы, обучения и 300+ статей. Что значит «проекты по запросу»? Евгений, вы публичный эксперт, который живет доверием суда к вашему мнению. У вас весь сайт должен быть в ваших проектах, благодарственных письмах и отзывах).

Суть услуги:

— проведение судебной экспертизы в рамках арбитражного или гражданского процесса, по запросу органов дознания и следствия, а также исполнительной власти и местного самоуправления (т.е. я как ответчик или истец не могу к вам обратиться за экспертизой? Зачем такие излишние уточнения?);

— составление заключения по запросу физического или юридического лица, включая адвокатов (вы не любите адвокатов? Или они у нас теперь не физические лица?);

— подготовка рецензии на заключение других экспертов (комментарии на комментарии. Думаю, любой адвокат бы поставил под сомнение вашу экспертизу ввиду отсутствия опыта реальной работы);

— получение консультации на предмет проведения экспертного исследования.

Итог: 2-0 в пользу Царева.

Раунд 3 – разное

Сюда попадает все, что нельзя оформить в отдельный раунд. И Евгений и Михаил – блогеры. Евгений больше года не писал, но сейчас вернулся. Видимо, повышал квалификацию по ИБ.

Евгений, в отличие от Михаила, пишет сейчас по судебной практике (что плюс), но не совсем ушел от репостов. Все-таки ссылки на чужой контент — они больше для твиттера. Михаил пишет пространные посты об угрозах домохозякам и подросткам.

Оба бойца довольно эгоцентричны, хотя Евгений в большей степени – есть раздел в видео о себе любимом.

Михаил, по сложившемуся ощущению, занимается чтением курсов. У него в блоге всего три вкладки, причем вкладка с курсами больше, чем вкладка с услугами. Кстати, Михаил, это абсолютно нечитаемо. Какая-то простыня слабо форматированного текста, конкретный курс не найти.

Евгений написал книжку «Как удалить данные о себе?» на 9 страниц, правда не понятно, зачем он ее распространяет через почту, если она все равно лежит у него на сайте? Клиентскую базу собирает? Кстати, для поисковиков лучше название написать текстом, а не на картинке.

По поводу цен прямых данных в интернете нет. Про Михаила говорят (считайте это слухами), что он готов всем помогать с ответами на вопросы за крайне неприличные деньги.

Ну, и Евгений раньше начал вести свой блог (2009 год против 2011).

Итог: разгром 3-0.

Winner

Заключение

Будь я человеком из нашего вступления – наши участники не помогли бы мне решить мою проблему. Я бы их просто не нашел. Но если бы нашел, у меня не возникло бы доверия к ним на основании информации, которую они сами о себе предоставили.

Но если бы это были последние эксперты в мире, то выбрал бы Царева.

 

На этом все. До новых встреч.

Анатомия кидка, или о пользе научного метода

Хорошо на майских праздниках: работать не надо, пробок в Москве нет, погода отличная. Правда, и нет никого – все разъехались. Поэтому нет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот — четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого с помощью научного метода выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Вначале делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей сфере все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов, и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Ближе к жизни.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но вот поступки людей на определенном отрезке времени очень хорошо классифицируются. Я назвал это теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Чтобы решать абстрактную задачу – риск-менеджмента в информационной безопасности, — нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц вероятность реализации угрозы должна быть пересмотрена, или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути каждый из этих пунктов лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало что изменилось. Не знаю как вам, а мне из этого описания понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, чтобы защититься от всего на свете. Вы со спецификацией приходите к начальству и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение — тоже личная выгода. Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

У меня собралась обильная коллекция кидков в сфере риэлторства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня хотел бы рассказать лишь об одно инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим, подтвердится ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), их устраивало расположение квартиры, в 15-20 минутах от работы. Мужчины славяне, один из Ростова, другой из Иркутска. С самого начала они попросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – никак не могли встретиться с хозяином помещения. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморрой по сдаче квартиры.

Следствие 1. Кинуть может любой. Нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Вернемся к примеру с квартирой. Оба мужчины могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому — над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонимусу нет смысла заботиться о репутации. Даже если об этом случае рассказать в интернете с фотками и адресами или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто: тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучался. Подумаешь, какие-то секреты ЦРУ, мало у них секретов что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больны детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово, нарушит его снова.

На сегодня все. До новых встреч.

Собирательный портрет или игра в угадайку

Следующим материалом должно было стать продолжение отчета о CISO Forum, но те воспоминания еще болезненны, и я не могу спокойно смотреть в глаза открывшемуся ужасу. Поэтому сегодня более спокойная тема – о людях.

geshtalt

Когда-то я работал в Утконосе, и моей задачей было ловить внутренних нарушителей. Т.к. я был молодым специалистом, то ловил я их в корпоративной сети и интернете. Если бы я справился, я бы подкачался и приобрел свирепый оскал, меня перевели бы на более ответственный фронт – склад.

Промеж слежения за сотрудниками, закрытием несанкционированных шар и т.п., я подсмотрел у старших товарищей такую штуку – ППН. Или, по-простому, психологический портрет нарушителя. Это небольшая памятка, описывающая типичного нарушителя: от внешнего вида, возраста, пола и одежды до поведения и особенностей биографии.

Цель ППН понятна – базовый фильтр при мониторинге. Конечно, это не универсальный фильтр, в нем можно сразу обнаружить кучу ошибок первого и второго рода. Но сама идея меня завлекла. Тогда я постеснялся спросить, как они его сделали. Поэтому стал изобретать велосипед.

Вообще собирательные профили делают все кому не лень. Продавцы жвачки и люксовых автомобилей, и даже продавцы средств защиты информации. Интересны не сами профили, а выводы на их основании, а также предпосылки к ним. Вот о такой профессиональной деформации я и хотел бы вам поведать.

Не секрет, что ибешники в первую очередь работают с людьми, и лишь в пятую с компьютерами и угрозами, с ними связанными. Наравне с дипломатическими навыками должны развиваться навыки эмпатии и оценки — как раз те самые фильтры и категории, которые и помогают дипломатии.

По сути – это навешивание ярлыков (только не так, как это делает какая-нибудь оторванная от реалий соционика). Скорее это ближе к гештальтам (как законченной форме, а не гештальтпсихология, которая тоже под знаком ереси ходит). Если вы читали шпионские романы или даже интересовались историей спецслужб, то замечали, что все агенты имели прозвища (для конспирации). А эти прозвища, в свою очередь, часто были «говорящими» (теми самыми клише или гештальтами), слепком с личности человека. Да что далеко ходить — посмотрите на прозвища своих друзей.

Много общаясь с людьми, у человека происходит изменение восприятия. Он начинает замечать вещи, укладывающие определенные гирьки на чашу весов под тем или иным ярлыком. Если вы следователь – это только плюс, если вы обычный человек  — то сомнения. Побочным эффектом этого является игра в угадайку, когда начинаешь оценивать рядом сидящих людей и предполагать, кем бы они могли быть. Еще лучше, если у вас есть партнер.

Например, вчера я гулял с ребенком, и второй раз в жизни увидел папу и мальчика лет 7-8, они на детской площадке гоняли мячик друг с другом. Я предположил, что это «воскресный папа», потому что:

  1. Я их вижу второй раз. Оба раза в воскресные вечера.
  2. Они играют вдвоем и ребенок рад, значит, либо папа много работает, либо видятся они только на выходных.
  3. Папа плохо знает район, т.к. для их целей больше подошла бы коробка в 30 метрах, где вообще никого никогда не бывает, чем пяточек 3 на 4 метра.
  4. Папа делает это не часто (см. пункт 2). Если бы он делал это часто, сын бы бегал с друзьями, а папа сидел на лавочке и уперся бы в телефон.
  5. Папа был одет довольно легко, как раз для вождения машины. Вряд ли бы он стал так одеваться, выходя в достаточно прохладную погоду, даже если бы куда-нибудь потом ехал. Проще было дома переодеться.
  6. Сын был одет для долгой прогулки, а не для пинания мячика. Если он любит футбол, то оделся бы более спортивно. И так далее.

Но каждому из этих пунктов можно было бы найти другое рациональное объяснение, доказывающее, что я ошибаюсь.

К чему это я? Что угадайка (считай навешивание ярлыков) может быть забавным способом времяпрепровождения, когда это касается посторонних людей, которых вы никогда больше не увидите. Но угадайка может быть фатальна, если с этим человеком вы будете вести совместные дела. Вам будет очень сложно выйти за рамки этого гештальта – пьяница, бабник, ленивый, вор и т.п. Вспомните жизнь ваших одноклассников, которых определили в группу ленивых или тупых. Уверен, что многие подсознательно корректировали свое поведение и отношение к ним.

В личных (рабочих, дружеских и т.п.) отношениях есть только один принцип – относись так, как относятся к тебе. Ярлыки и классификации тут не помогут.

Всего вам доброго.

«Ранние Пташки» — найти и обезвредить, или особенности стартапостроения в ИБ

Вторник выдался особенно жарким на всякие мероприятия. Еще месяц назад я зарегистрировался на презентацию нового вендора и буквально за пару дней до начала узнал о проведении мероприятия для стартапереров, где будет выступать Алексей Лукацкий. Как давний фанат Алексея я не мог этого пропустить. Я посетил оба мероприятия.

В 9 утра я был в районе метро Курская на «Early Birds: стартапы в сфере информационной безопасности», которое было организовано платформой для запуска стартапов tech и фондом ФРИИ. Все было в новом для меня формате завтрака – тортиком тебя угостят, а за кофе платишь сам. Чтобы не быть белой вороной, я расчехлил одну из своих «гениальных идей». А вдруг получится найти деньги?

startup

Страхи от Алексея Лукацкого

Но сначала о выступлениях. Их было два. Алексей рассказал о своей поездке на конференцию RSA. Про тренды было интересно послушать, но все это не про нас. Мы в лучшем случае доберемся до этого года через два-три, а к тому времени уже половина трендов сойдет на нет, и появится что-то новое. Пусть другие набивают шишки (ну и зарабатывают, конечно).

Единственный дискуссионный вопрос был в драйверах для старт-апов. Алексей выделил три: Страх, Compliance и Экономика. Видимо, не хватало пунктов для классических «трех пунктов и семи шагов», т.к. два последних входят в понятие Страх. Страх — вещь универсальная, напугай клиента и продай. Так продается все — от косметики и дорогих аксессуаров («без этого ты будешь страшным уебищем и жизнь твоя будет горька!») до компьютерных игрушек («ты одинок и ешь доширак? В нашей игре ты будешь богом с кучей друзей!»). Разумеется, безопасность эксплуатирует страх. А вот дифференцирование страхов и есть поле для старт-апов. Видимо, Алексей решил не раскрывать всю подноготную бесплатно.

Пикирующий бомбардировщик Максима Лагутина

Вторым выступал Максим Лагутин. Как выяснилось – это основатель успешного стартапа по персональным данным B 152 и сканированию сайтов SiteSecure. Правда SiteSecure сейчас не работает. Максим узнал о персональных данных три года назад, и с помощью самообразования и статей в интернете сделал комплект документов, который стал продавать за 49 000 рублей. Вообще идея, лежащая на поверхности. С 2009 года ко мне регулярно обращались с подобным предложением – сделать коробку за чутка денег. Как человек честный, я не мог умолчать о сложностях и затратах на такую коробку, после чего тема загибалась.

SiteSecure

Продавать документы за деньги – крайне бесперспективно. Через пару продаж их сольют в интернет. После того, как я сделал комплект для Минздрава, где я только не встречал свои документы. Да и в тех же платных комплектах (Максим тут далеко не первый). Кстати, наши мастодонты тоже пробовали продавать документы. Если не путаю, там участвовали и Алексей Лукацкий с Михаилом Емельянниковым. Но и у них не взлетело. Кстати, чутка погуглив, доки B 152 я нашел.

Но надо признать, что Максим молодец – у него более 200 пройденных проверок по персональным данным. Правда не понятно, кто ж у них занимается персональными данными? На сайте всего две персоны:

Олег Михальский

Основатель, постоянный консультант, специалист по маркетингу и продвижению решений (выделение автора) в области информационной безопасности

Активно помогает проекту «Б-152» расти, развиваться и налаживать партнёрские связи. Имеет опыт работы на рынке информационной безопасности более 15 лет. В разное время занимал руководящие должности в следующих компаниях: «Лаборатория Касперского», «InfoWatch», «Acronis». Помимо солидного опыта, отличное образование, полученное в ИКСИ АФСБ, ВАВТ, ВЗФЭИ и АНХ ( это четыре вышки или одна? Пожалели места для полных названий).

Интересно, Acronis позволяет своим менеджерам иметь бизнес на стороне? Я так понимаю, большинство клиентов Олег нашел на основной работе.

Максим Лагутин

Руководитель проекта, специалист по информационной безопасности

Возглавляет команду «Б-152», занимается стратегическим планированием, развитием сервиса и работой с партнёрами.
Имеет профильное образование и опыт работы в сфере информационной безопасности более 3-х лет (где, если не секрет?). На данный момент обучается в RMA по программе MBA «Менеджмент в сфере интернет-технологий» (а почему не риски или что-то профильное?).

 

Т.е. один крупный руководитель и еще один стратегический управленец. Как-то сильно попахивает на бессовестный пиар без реальных дел. Анализ клиентов, правда, ничего не дал. В бизнесах с такой маленькой клиентской ценой надо иметь огромный охват. Если ребята помогли пройти 200 проверок, то клиентов у них должно быть как минимум 20 000 (в среднем под проверку попадает 1% и менее операторов).

Слоган: Данные организации уже решили вопрос соответствия ФЗ-152 «О персональных данных». Они уже не беспокоятся о возможных штрафах по данному закону.

Люди разбирающиеся заметят, что в услугах, оказываемых Олегом и Максимом, не хватает еще очень много, чтобы «не беспокоиться о возможных штрафах по данному закону». Тут одним шаблонным комплектом ОРД не отделаешься. Кстати, думаю, регуляторы взяли B 152 на заметку.

Желаю парням удачи.

8 поленьев.

Про старт-апы

Ни к кому из инвесторов я не пошел. Во-первых, они были все заняты. Во-вторых, инвесторы хотят много (в смысле доли), а предлагают исчезающе мало (хотя бы в смысле денег). У нас инвесторы не готовы вкладываться в доли менее 50%, соответственно несут им проекты, которые зарабатывают миллионы вместо миллиардов.

Вообще, я с подозрением отношусь к старт-апам. В чем суть старт-апера? Создать шумиху, сделать красивый сайт и продаться инвестору. Для старт-апа, в отличие от бизнеса (даже начинающего), не важна прибыль. Тут любые твои просчеты могут быть поданы в выгодном свете в совокупности с просьбой дополнительных инвестиций. Вы сами можете это увидеть на примере многих известных компаний в нашей области.

startup-fail

Для того чтобы открыть бизнес, необходим канал продаж и/или заказчик. Как видим, тут особо нет места инвестору (тем более за 50% долю). Поэтому такой большой процент сбитых летчиков, т.к. в первую очередь важны продажи. Помнится, как-то Андрей Янкин прислал информацию о компании его друзей для рассмотрения их в качестве привлечения на субподряд. У парней на 5 человек было 8 CCIE. Матерь божья, эти пять парней были умнее многих крупных интеграторов. Но они искали субподрядных работ… потому что для бизнеса мало технической квалификации, надо еще уметь продать эту квалификацию. Возняк так бы и остался рядовым инженером, не познакомься он с Джобсом.

Поэтому с опаской отношусь к старт-аперам, тем более тем, кто является «заслуженным старт-апером». По-моему, тут уже выступает на первое место тусовость, желание быть модным, а не дело. Два часа пролетели незаметно, и я поехал к Михаилу Романову.

Поесть у Михаила Романова

Я думаю, многие знают Михаила. Это личность значительного масштаба, отбрасывающая заметную тень на наш рынок. Я познакомился с Михаилом, когда он толкал в гору сертификации StoneSoft. После всем известных событий Михаил пропал на пару лет. Оказалось, что он не сидел, сложа руки, а пилил новый продукт SafeInspect в лоне новой компании «Новые технологии безопасности».

Название, на мой взгляд, немного претенциозное. Но какой разительный контраст в подходах в сравнении с B 152! Главное — продукт, а мишура потом. Сайт еще несколько недель назад выдавал ошибки, и был полупустой (кстати, плюс в карму за использование Drupal). Минимальная функциональность со средоточием на главном. Уважение.

Пересказывать презентации и демонстрации смысла мало. Конечно, подготовиться можно было бы получше. Ну не надо вызывать к микрофону технических специалистов. Их задача — отвечать на специализированные вопросы, а не читать презентацию полчаса. Это совершенно другой навык, не требующий глубокой компетенции.

Ну, и как любой бомжующий блогер, я не мог обойти вниманием стол. Вообще, думаю, что если б не конференции, то писаки вроде меня умерли бы с голоду. Устроители конференций, не забывайте про пишущую братию вообще, и про меня любимого в частности! Приглашайте почаще. :)

Поесть было богато, Михаил к этому очень трепетно относится. Так что всем рекомендую становиться его партнерами, голодными не останетесь.

А у меня за этим все. Всего самого доброго.

3 полена.

 

P. S. Что-то понравилось мне чужие сайты читать, заделаю рубрику а-ля Бизнес-Линч. Буду читать сайты по ИБ. Кто предложит нормальное название?