Архив метки: Cisco

Посиделки ПоИБэ — да будет битва!

Нет ничего лучше, чем забойный баттл. Конечно, если он организован честно. 8 мая будет мероприятие в нашей поибэ. И тема заявлена моя любимая – BYOD против in-house. По старой доброй традиции выскажу ожидания от дискуссии.

Преамбула

Самой теме BYOD – 10 лет в обед. Очень давно ничего не было слышно от адпетов BYOD, тема старая и не хайповая. По критериям безопасности BYOD почти всегда не проходит, к тому же очень дорог, и даже лидеры рынка от него отказываются.

Но у нас случилась эпидемия короновируса, которую многие BYODовцы и примкнувшие к ним удаленщики восприняли, как знак свыше, чтобы вновь напомнить о себе. Думаю, у них появились новые аргументы.

Главные тезисы

Я сам выступал в подобных дебатах, и очень  хотелось бы видеть соблюдение следующих правил:

1. Отсутствие джинсы

Некрасиво, когда один из участников тратит все свое эфирное время на рекламу поставщиков решений для BYOD. Надеюсь, участники воздержатся от этого.

2. Четкость определений

Участники должны говорить на одном языке. Не примешивать к BYOD удаленную работу. Четко определять, что такое информационная система, к которой нужен доступ с личных устройств (кроме почты). Удаленщики должны прокомментировать, почему в период текущей пандемии крупные компании за наличные скупили большое количество ноутбуков для организации удаленной работы своих сотрудников.

3. Четкие критерии

Хотелось бы услышать от участников, почему выгодно именно их решение. Крайне желательно с реальными кейсами. Очень хотелось бы услышать мнение адептов BYOD и удаленной работы о решении IBM об отказе от удаленки и BYOD.

4. Отсутствие популизма

Очень хотелось бы, чтобы участники не скатывались в «за все хорошее, против всего плохого». Не аргументировали свою позицию «мировыми трендами», которых либо не существует, либо они провалились. То, что мобильные устройства сейчас есть даже у младенцев, не аргумент в дискуссии о безопасности удаленного доступа.

И, разумеется, не применять квантор всеобщности – если кому-то лично удобно работать удаленно, это не значит, что будет удобно и всем остальным.

5. Без фуфелов

И, конечно, очень хотелось бы, чтобы участники не пользовались демагогическими приемами. Очень уж популярно у нас в ИБ стало изобретать некий страшный фуфел, который с блеском разбивается и побеждается.

Особенно это касается адептов «неэффективной офисной работы». Если она так неэффективна, то в чем конкретно, сколько это стоит, и как ваше решение поможет это исправить.

С нетерпением жду начала батла. Приходите.

Хайпожор: Обоснование затрат на информационную безопасность

Давно, давно я не писал про тренды в нашей ибэ. Если вы хотя бы пару лет крутитесь в нашей сфере, то могли заметить, что каждый квартал появляется очередной модный тренд, о котором начинают говорить на каждом углу. Agile, UEBA, GRC, SOC, BYOD, искусственный интеллект и т.п.

Хедлайнерами каждой темы, разумеется, выступают топ-блогеры по информационной безопасности. По каждой теме есть множество материалов, и я решил провести некоторую ретроспективу трендов: получилось ли из этого что-нибудь, или забылось, как позавчерашний хайп?

Начнем мы с экономической оценки.

Как обосновать затраты на информационную безопасность

Надо сказать, что я был приятно удивлен, что Алексей Лукацкий обратил внимание на данную тему. Я даже слушал трансляцию в прямом эфире, делая для себя пометки. Но вынужден был прерваться и решил дослушать когда-нибудь потом. Пометки я разумеется потерял, поэтому пришлось слушать заново. Поехали.


0:00 – Выступление «Как оценить вложение в ИБ?» Очень благодатная тема, надо слушать.

1:35 – Неосязаемость информационной безопасности дело такое, двоякое. По такой логике услуги врача тоже не осязаемы, если у вас ничего не болит. А когда заболит, тогда это будет «дорого, долго и…».

1:42 – Это у кого такое мнение? У руководства? У пользователей?

1:59 – Блокирование фбешечки и вообще контроль над пользователями входит в топ-3 способов, как эти деньги бизнесу обосновать. Особенно бизнесу, далекому от ИТ и ИБ. Cisco, разумеется, таким способом не продать, поэтому это способ плохой-плохой.

2:22 – Хорошая работа ИБ часто не видна – согласимся. Но тут необходимо разделять, что хорошая работа и отсутствие работы не видны одинаково. До первого грома, конечно. Кстати, интересный демагогический прием: если не видна работа хорошей ИБ, то как она таковой стала? Значит она уже обосновала свою значимость, выстроила СУИБ, и у нее все хорошо. И бизнес, кстати, понимает, зачем ему хорошая ИБ, иначе бы он ее такой не создавал. Зачем ей что-то кому-то обосновывать?

2:35 – Не «только», а «в том числе». Или просто пока везет. Ведь в примере Алексея мы не можем оценить влияние хорошей ИБ.

2:52 – Стоп-стоп-стоп. Выделение средств и были ли они «потрачены не зря»  — родственные, но разные задачи. Давайте не будем мешать все в одну кучу.

3:50 – Алексей, о какой целевой аудитории вы говорите все время? О подписчиках вашего блога? Или сотрудниках организации, где работает безопасник? Для задачи, которую вы поставили («оценка вложений в ИБ»), а потом расширили («обоснование необходимости вложений»), целевая аудитория одна – владелец бизнеса, или, может быть, чуть шире — топ-менеджмент. И вы говорите, что может быть какой-то инцидент ИБ, который надо «рекламировать» владельцу бизнеса? Вы серьезно? Если инцидент серьезный, владелец бизнеса сам с вас спросит, как это произошло и как этого не допустить в будущем. Иногда через 10 минут после того, как узнает.

4:08 – Пока не очень понятно, что Алексей подразумевает под «разговаривать с бизнесом о деньгах». Бизнес отлично считает, лучше нас, и риски для себя он видит лучше. Хорошо, если потенциальный ущерб оценен не только качественно (у нас украдут всю базу клиентов), но и количественно (на этом мы потеряем десять тысяч рублей). Но наша оценка может сильно расходится с оценкой бизнеса (см. про DLP в ритейле). Но, разумеется, необходимо помочь, когда бизнес эту оценку произвести не может.

4:23 – Так «важная», «нужная» или «так принято». Прямо какое-то «да, нет, наверное».

4:26 – Прямо откровение за откровением. Заниматься безопасностью, чтобы было безопасно – это пять.

4:35 – Нам может не понравиться ответ на вопрос «а что мы делаем внутри организации» только в том случае, если мы занимаемся не своим делом или имеем интересы, отличные от нашей сферы деятельности (в данном случае безопасности). Интересно, Алексей провел какой-то опрос среди безопасников или проецирует с себя?

7:40 – «Если улучшение можно увидеть, его можно посчитать» (с). Я просто оставлю это здесь.

7:49 – Теперь у нас можно посчитать качественную оценку… Наверно, раз критичная, два критичная.

8:15 – Апостол ИБ постоянно перепрыгивает от какой-то целевой аудитории (они) к каким-то неопределенным нам (кто это? Безопасники?).

8:25 – Алексей, из всех определений ИБ вы выбрали: «безопасность – обеспечение КЦД»? Вы серьезно? Это 2014 год, вы еще не ушли из множества рабочих групп, и сами над этими определениями работали. Может быть, это был пример неудачной коммуникации, и вы покажете, как надо было? Ответ: нет.

9:01 – Финансовый Директор, которого волнует перевод капитальных затрат в операционные. Алексей, с таким уровнем понимания темы лучше в оценку не лезть. Капитальные затраты — это когда мы что-то делаем новое (часто это очень дорого), но единовременно – строим дом, внедряем DLP и т.п. А операционные затраты – это периодические затраты, которые необходимы для нормальной работы. Капитальные затраты не могут перейти в операционные никаким боком, если мы не строим/покупаем, а берем в лизинг/аренду – это сразу операционные расходы. Никакого перехода.

9:25 – «Улучшение финансовых показателей с помощью лизинга» — золотой фонд цитат Алексея. Не буду много писать, интересно про финансовые показатели? Пишите в комментариях.

11:16 – Может быть Алексей и занимается безопасностью «потому что занимается безопасностью», но это плевок во всю отрасль. Так может говорить только человек, который пришел в отрасль по иным причинам. Может быть, тут лучше платят (буквально через 2 года мы будем обсуждать размытие компетенций вследствие популяризации темы ИБ), или хорошее место подвернулось и не хочется с него уходить.

11:27 – «Безопасность не нужна и не важна» (с) ЗФЦ Алексея. Думаю, уже после этого можно уже дальше не слушать, но продолжим.

11:40 – У Алексея какое-то превратное представление о работе генерального директора. В его представлении, директор каждый день сидит и решает, на это дам деньги, на это нет. При том, что Алексей смешивает те самые капитальные (ИБ в контексте повествования) и операционные (картриджи, кофе, туалетная бумага) вложения. Алексей, если у компании нет денег на операционную деятельность, я вам гарантирую, информационная безопасность ее будет волновать в последнюю очередь.

12:08 – Ох, результаты в процессной деятельности… а безопасность — это бесконечный процесс, как например, забота о здоровье.

12:14 – Алексей, у меня для вас лайфхак, как снизить количество инцидентов: не сообщайте о них. А если вас будут припирать фактами, все отрицайте. KPI взлетит до небес, и затраты нулевые.

15:13 – «Безопасность сама по себе волнует только безопасников» (с) ЗФЦ. А вот интересно, для кого Алексей это все рассказывает? Для безопасников? С такой позиций низвержения нас? Не похоже. Для бизнеса? Опять же нет. Такое ощущение, что Алексей пришел покрасоваться на очередную модную тему.

18:05 – Алексей, вы правда считаете, что показать эффект от 1 элемента сложнее (не важно, положительный или отрицательный), чем от суммы многих? Само по себе это требует обоснования, т.к. все последующие примеры будут основаны на этих 2+2=4. Это только в математике. В физике уже приходится брать поправку на дефект массы, а в социологии не то, что 2+2, а даже 1+1 – это то ли будущая семья, то ли сговор с целью ограбления банка.

А вы основываете все свое выступление на том, что надо найти как можно больше элементов, спрятать там безопасность, чтобы было легче потом отбрехаться, куда пропали деньги. Этот подход имеет место быть, но не в безопасности, и тем более оценке вложений в нее. Хотя для продажи Cisco под любым соусом самое оно.

18:22 – Кто эти мифические мы, которые хотят поднять выручку от продаж? Отдел продаж? Или Алексей предлагает безопасникам думать над проблемами, для решения которых есть специальные люди?

18:48 – Рост выручки: за счет увеличения числа клиентов, за счет увеличения числа сделок, за счет ускорения сделок, за счет снижения себестоимости оказания услуги.

Увеличение клиентов – понятный путь, но надо сразу говорить о цене привлечения новых клиентов. Она может быть такой высокой, что многие предпочитают работать с уже имеющимися.

Что такое увеличение числа сделок? Видимо, имеется ввиду в уже существующих клиентах (иначе это вырожденный случай увеличения числа клиентов). Возможно, если у нас широкий ассортимент. Продали антивирус, а купите у нас еще и SIEM.

Что такое ускорение сделки? Чтобы она быстрее закрылась и мы получили деньги?

Снижение себестоимости. Такое… если мы что-то производим, то от такого сокращения затрат можем потерять в качестве, что в свою очередь может отпугнуть клиентов, что приведет к снижению выручки. Но идем дальше.

20:15 – Чем вынос точки продаж «в поля» отличается от найма представителей в примере выше?

21:50 – Пассажи «А давайте купим MDM, потому что это круто» сразу наводят на мысли: а Алексей хоть раз сам что-нибудь обосновывал? Или это личные мысли автора, как оно в реальности происходит. По такой логике есть безопасники, которые хотят купить маршрутизаторы Cisco, обрабатывая информацию на локальных  АРМах. Понятно, что утрирование позволяет донести суть, но глупости совсем уж говорить не надо.

24:00 – Насколько я помню, чтобы получить доступ к интернет-банку, надо в офис  сначала прийти. Договор заключить, доступ оформить. Алексей, как много общающийся с банками, не может этого не знать. Никакие 10000 клиентов в мобильном банке не появятся, прежде чем они не посетят обычный офис. Пример, вводящий в заблуждение.

24:45 – Алексей, при коллективной работе всегда найдется самый крайний, который будет за все отвечать. Ваши слова не соотносятся с реальностью, но в книжках так пишут, да.

25:45 – И огромное проседание в производительности работы и качестве. Даже в 2014 году были уже исследования о сложности надомной работы. Что и показала последующая история в IBM с выселением и обратным заселение в офис сотрудников.

27:00 – Какой волшебный мир, в котором поставщики сами отслеживают наличие комплектующих у клиента. А что делать с поставщиками, которые затоварят склад? Больше поставили, больше получили. Мощности перенаправили на других клиентов. Вот уж дыра в безопасности бизнеса, так дыра.

30:20 – Алексей, чем же вам так капитальные затраты не угодили? Уже который раз вы о них негативно отзываетесь. И в чем проблемы со списанием оборудования?

30:32 – Да, если сегодня взять в аренду, то сегодня это будет выгодно и финансовые показатели на высоте. Но на большом промежутке времени аренда может стать дороже покупки. И тогда финансовые показатели улетят в трубу.

32:05 – Как интересно. Видимо, подразумевается, что если сотрудник не тратит час на дорогу, он в это время работать будет?

32:33 – Бред какой-то. Алексей утверждает, что среднестатистический работник из 8 часов рабочих 5,5 часов работает, а 2,5 стоит в пробке? Интересно увидеть тех работодателей, которые такое позволяют. Я-то думал, как? В 9 на работу пришел, в 18 – ушел. А то, что ты там встал в 6 утра, чтобы доехать, так это твои трудности. В реальности Алексея ты можешь спокойно постоять в пробке в рабочее время.

33:00 – Рукалицо.

35:00 – Видимо, речь идет только о командировках по переговорам. Если надо что-либо сделать, то тут уж никакой скайп не поможет.

40:00 – Алексей, я даже больше скажу: безопасность не относится ни к одной из перечисленных вами категорий.

41:00 – Алексей все время с таким надрывом говорит про понимание задач бизнеса, будто это что-то такое неведомое и сложное. Вот выпустился студент, и пошел работать по тайному кодексу безопасников, все равно где и на кого, главное кодекс чтить:

  1. Никому не рассказывай про Кодекс.
  2. Никогда и никому не рассказывай про Кодекс.
  3. Скрывай цели безопасности.
  4. Безопасность нужна.
  5. Никому не говори, что ты делаешь и зачем.
  6. Бери все деньги, что выбьешь.

46:55 – Такие байки преподаватели первокурсникам рассказывают. Для должного эффекта в этой истории не хватает обязанностей этого сотрудника.

49:11 – Алексей, ничего это не значит. Люди сидят в соцсетях, когда у них нет текущих задач. И, о ужас, не сидят там, когда им надо срочно что-то сделать. И вы действительно думаете, что сотрудник задержится на работе, чтобы сделать то, что он не успел благодаря тому, что сидел в фейсбуке?

49:27 – Мотивация на труд с помощью доступа к фейсбуку? Алексей гробит свой талант в управлении персоналом.

52:50 – Ох, т.е. информация имеет стоимость. Отлично. Ее можно посчитать. Замечательно. Но результат зависит от того, кто будет считать… ну как так-то? У нас что, квантовая теория? Нет. Как можно в правильном ряду исходить из таких чудовищных предпосылок? Алексей, задача решается, когда считает 1 человек.

53:00 – Что интересно, в лекции по оценке вложений методики не называются. Хотя бы просто перечислили для интересующихся.

1:00:50 – Плохая черта спикера — не проговаривать то, что написано на слайдах. У нас же новая тема, и вроде как вхождение в тему…

1:03:50 – Как оказалось, и на западе тоже особо репутацией не заморачиваются.

1:04:29 – Алексей, «отдача» и экономическая целесообразность — две разные вещи. И хорошо бы раскрывать термины, которые вы вводите: что такое «отдача»? Прибыль от проекта? Нет, прибыль она и в Африке прибыль. Экономическая целесообразность чуть-чуть сложнее описанной вами схемы затраты-возможные штрафы. В 2014 году могли и бизнес приостановить на 90 дней. «Отдачи» никакой, да.

1:07:02 – Потери бывают в разной форме (с) ЗФЦ. Алексей, если уж вы взялись говорить за экономику, то там есть прибыль и убыток. Никаких «потерь» там нет.  Убыток может иметь множество причин (вы это называете «разной формой»), но всегда выражается в деньгах. Всегда. Все эти ваши простои, замены и т.п. — это деньги. И их уже лет 100 как научились считать. Кстати, как и потери от инцидентов информационной безопасности.

1:09:26 – «Смерть пациента – это страховые выплаты и судебные издержки» (с) ЗФЦ

1:09:40 – Алексей, вы еще ничего не рассказали по теме оценки.

1:10:00 – Где же Алексей видел бизнес, который бы отказывался от реального улучшения своей работы? Бизнес, который должен захотеть увидеть отдачу… Бизнес-консультант.

1:11:27 – Алексей, зачем городить высосанный из пальца пример? Если банк-клиент ломают и деньги утекают, если доказывается, что это произошло в результате взлома, то банк несет прямые убытки (компенсации, исправление, прохождение проверок и т.п.). Так в любимом вами банковском секторе действуют. Прямой связи между взломом и уходом клиента нет. Наоборот, если банк все компенсировал – клиент останется, а убытки будут. Весь пример насмарку.

1:11:57 – Некоторая фальшь чувствуется от этой лекции.

1:12:08 – Алексей, ну что вы? Какая уже оговорка по Фрейду? Все эти поверят нам, уверенность в себе и т.п. Экономика чудесна тем, что в ней есть циферки. Над циферками производятся математические действия (очень простые), которые дают воспроизводимый результат. Предмет дискуссии лишь в исходном значении циферок, а не в результате. Уж коль вы так боитесь, зачем разговор об этом завели?

1:12:17 – Как нам всем повезло. Нас принято держать, несмотря на то, что мы такие плохие. Надо ввести моду на ИБ среди топ-менеджеров. Как с чихуахуа или айфонами. У кого безопасник круче и красивей. А? Как идея?

1:13:07 – А у нас в «неумытой» России, разумеется, все по-другому. Все только на Западе работает. А надо-то всего лишь оплату труда поменять.

1:14:48 – Посыл, что ИБ не обосновывается, потому что зарплаты маленькие – это даже не пять, это десять. А, может быть, просто решения от Cisco стоят неадекватных денег?

1:16:15 – А можно подробнее, какие методы уже были предложены?

1:16:31 – 30 методик о «оценке отдачи проектов по информационной безопасности»? О чем же тогда автор тут больше часа говорит? Сколько из них он применил? Какой результат получил? Что рекомендует использовать в тех или иных случаях? Нет. Просто почитал парочку, результата не получил, сказал не работает.

1:20:29 – Что такое 100% результат? Выход проекта в ноль? 100% прибыль на вложенные инвестиции? Нет ответа.

1:21:30 – Алексей, о чем же вы тогда говорили почти полтора часа? А, о том, как все сложно и безопасники сами в себе.

1:22:03 – А еще эффект масштаба иногда имеет обратный эффект. Когда из-за своего объема компания не может достичь запланированных выгод. Например, накладные расходы на перестройку процессов могут длиться годами и съесть весь «запланированный» профит. Об этом, кстати, рассказывают даже студентам технарям. Но зачем нам такие тонкости.

1:22:17 – Алексей, в среднем рабочих дней в году 247 (в 2014, кстати, тоже). Фиг с ним, округлим до 250, чтобы считать было проще. Но откуда 260? Не думая скопипастили пример и его презентуете? Глубокое уважение к аудитории. Почти 5% съели.

1:23:10 – Алексей, хорошо, вы не курите и можете не знать, что перекуров может быть и 5, и 10 в день. Но ограничить бедных сотрудников 2 походами в туалет в день — это круто. А еще есть предусмотренные СанПиН требования по работе за компьютером, предписывающие отдых (а, следовательно, блокировку компьютера), каждые 45 минут. Кстати, от этого ваш пример только выигрывает. Оценка будет за 10 млн часов.

1:23:50 – Алексей, ну какая повторная регистрация через 60 секунд после первой ошибки? Вас с такими требованиями линчуют через неделю, никакие обоснования не помогут. Хотя понятно, почему вы ввели эту переменную, надо было показать больший выигрыш. Но не пришлось бы так сильно натягивать ужа на глобус, если бы в предыдущем параметре вы были бы более близки к реальности.

1:25:15 – Кстати, об эффекте масштаба. Для GM 22 млн долларов может быть и не такой большой суммой. Уж наверняка реальный проект по управлению учетками там будет стоить огромных денег, за 100 млн точно. Озвученная сумма в сотни тысяч долларов на проект маловероятна, или считали только прямые расходы на лицензии, сервера и консультантов, или специально для пиару. Накладные расходы на перестройку процессов в такой огромной компании, судя по всему, не были учтены.

Допустим 100 ИС, 100 коннекторов по 1 млн рублей (это минимальный ценник в отечественных компаниях), поделим на курс в 2014 годы – уже получается 2,8 млн долларов. Плюс западные расценки, плюс стоимость внедрения, исчисляемой в несколько трудолет, плюс командировки по всему миру на квартал-другой, плюс стоимость лицензий, серверов и обучения. Думаю, реально около 100 млн долларов и будет.

Плюс хинт: пока проект внедряется в убыток, в 22 млн плюсуется в расходы. Проект 100 млн, внедряем 3 года, итого 160 млн. Если бы ничего не делали, этих денег хватило бы на 8 лет «обычных» убытков. Чем не расчет целесообразности?

1:27:15 – С джинсой за Cisco все понятно. Надо было пропиарить решение, пропиарили. Оговорки, что все сложнее, не работают, см. выше про удаленную работу.

1:33:30 – «Безопасность – это неизбежное зло» (с) ЗФЦ

1:34:25 – Что такое «эффект» от ИТ проекта? Окупаемость? Польза? На каких проектах проводилось исследование? В каких компаниях? Если предположить, что под эффектом подразумевается окупаемость, то срок в 4-5 лет – вообще какой-то фантастически нереальный. Такой эксперт в оценке, как Алексей, должен знать, что за 4-5 лет ИТ системы уже 2-4 раза самортизируются и будут списаны. Их надо менять и обновлять. И еще множество и множество вопросов к данному заявлению. Факты все же необходимо чекать, хотя бы на банальное соответствие.

Итого

Алексей ЛукацкийПо прошествии лет видно, что экономической оценкой занимаются только те, кто и занимался. Блогеры хайпанули и благополучно перескочили на других лошадей, а потом еще и еще. В дальнейшем мы увидим одну и ту же картину, когда в качестве знамени будет водружаться та или иная неведомая вещь. Будет много воды, мало сути, отвлеченные примеры и отсутствие личного опыта по теме. На ней будут усиленно пиариться, а потом забывать.

Будем считать этот уровень погружения за ноль и дальше будем мерить по нему.

Сам Алексей данную тему никак дальше не развивал, подвижек в этом направлении в его блоге мне не удалось увидеть.

Алексей Лукацкий получает 10 поленьев из 10.

Cisco головного мозга

Здравствуйте, здравствуйте мои ненаглядные. Как же я по вам скучал. Скучал все 3000 километров по нашим бескрайним просторам. Но скучал я не один.

Разумеется, одним глазом наблюдал, что творится в нашей поибэ, а творится там форменная чертовщина. Какой-то месяц безудержного пиара.

В начале Solar Security под заголовком «как правильно оформить внедрение системы для защиты от утечек» разослал всем статью о документах при внедрении DLP. Но забыл упомянуть 137 и 138 статьи УК, под которой ходит каждый информационный безопасник. Сразу стало понятно, что статью писал теоретик.  И цель понятна. Цель статьи – «смотрите, с помощью нашей DLP вы всех посадите и получите много палок!!1111». Пока же с такими статьями посадят самих пользователей DLP Solar Dozor.

И, конечно, интересно узнать, в соответствии с какими статьями ТК РФ необходимо внедрять именно DLP.

Потом бомбануло у Ильи Шабанова, потому что не все признают гениальность последнего отчета на его сайте о SIEM. Материал, такое ощущение, представляет собой компиляцию пресс-релизов компаний вендоров, приправленных  словами «SIEM – очень нужная вещь». Я понимаю, что каждый зарабатывает, как может. Сиди спокойно, ваяй тяп-ляпки, пили денюжку. Так ведь и доходы упадут. Кстати, что косяки на сайте поправили – молодцы, там еще столько же осталось.

Алексей ЛукацкийФинальным аккордом стал уход Алексея Лукацкого из темы защиты персональных данных. Вот что он пишет:

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных «взлетела» благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое «четверокнижие», которое стало драйвером рынка ИБ на тот момент.

Ну, никаким драйвером оно тогда не стало. И не было вплоть до 2011 года. Но разгон взяли.

Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Пафос — это хорошо.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности.

Что лишний раз доказывает слова о том, что вся деятельность Алексея направлена на лоббирование интересов работодателя.

Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно.

Очень странно. До 2014 года достаточно было оргмер. Вот одна из первых статей Алексея о ЗПД. Как все хорошо на западе, как все плохо у нас. Но, например, в том же четверокнижии было и про шум, и стеганография. Я сам проходил проверку, применив стеганографию. Либо Алексей документы не читал, либо целенаправленно хаял.

Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя,

И продвигая удобные для себя положения. Хорошо, что не срослось.

предлагая различные обходные маневры для потребителей.

Тем самым подставляя их по полной. Ведь невозможно учесть потребности потребителя, когда речь идет о впаривании железок на миллионы долларов.

И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы.

Уж, лучше про законодательство. Про бизнес, на примере BYOD, было бы хуже.

Но увы… законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава «бумажного безопасника» :-)

Звание теоретика (а не бумажного безопасника) за Алексеем закрепилось, когда он вместо безопасности занялся своим пиаром, продвигая свои фантазии как истину в последней инстанции. И они постоянно не сходились по фактам. Например, Алексей в свое время любил кичиться тем, что начал заниматься безопасностью в 91 году. Хотя и он, и я знаем, что сделать он в это время не мог. Но звучит-то красиво. Занимаюсь ИБ с развала – Союза! И не жалеет об этом.

http://www.pircenter.org/news/6697-alexey-lukatsky-for-open-collar-project

Миф, построенный на лжи.

Спустя год я был вовлечен в процесс изменения федерального закона «О персональных данных» и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор.

Силком наверно затащили.

За эти 9 лет было сделано немало — участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ.

Участник рабочих групп, автор 300+ статей. Вот в чем проблема всех подобных персонажей: мнимые достижения выдаются за реальные. Ну, протер штаны на хороших стульях, а дальше что?

Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Судя по обилию проблем в терминологии – не удалось сделать ничего.

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был.

Ушел друг, через которого можно было успешно лоббировать?

С уходом Шередина ситуация стала ухудшаться,

Чем-то это напоминает ситуацию с Эриком Давидычем, если вы понимаете, о чем я.

а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже.

В чем? Стали требовать сертифицировать Cisco? Так там и так дырка на дырке, как говорят.

Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган.

А каким должен быть регулятор? Пальчиком грозить? Так грозили уже, с 2008.

Чего только стоит исключение из названия своей основной функции — защиты прав субъектов ПДн, слов «прав субъектов». Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать «защита ПДн», что лишний раз подтверждает простую мысль — на права субъектов регулятору давно наплевать.

Если Алексей так любит точность формулировок, то что же за 9 лет не привел их в надлежащий вид на многочисленных рабочих группах?

Закон о ПДн превратился в инструмент давления на российские и зарубежные компании.

На любимом Лукацким Западе с законами все еще строже. И Cisco там так просто не отделалась бы, не соблюдя какой-нибудь закон, как у нас.

Донести до регулятора свою позицию невозможно.

Смотря что за позиция.

Прислушиваться к экспертам регулятор не хочет.

Это к Алексею Лукацкому?

Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно.

Т.е. Алексей не успевает за веяниями времени? Уж более статичной нормативки, чем в ЗПД, не найдешь.

Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Друзей не осталось, план теперь не выполнить.

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам

Что мне в экспертах всегда нравилось, так это желание консультировать, не неся за это ответственности. Помню, Алексей еще пиарил свою контору по продаже документов по ИБ.

(преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!

Здравствуй, КИИ!

Что ж, отдадим должное целой эпохе. Эпохе из 90-х, когда по старой привычке западные друзья хотели нами всеми тут поруководить за наш счет.  Одним из проводников данных идей был Алексей Лукацкий. Благодаря стечению обстоятельств и определенному заказу Алексей получил определенную известность, и сразу стал выполнять заказ. Я просто не могу по-другому объяснить все эти скандалы и упертость по отношению к Cisco с его стороны. А уж как Алексей пропихнул через своих знакомых в самые крупные сети банкоматов цисковские устройства – история отдельная.

Но не фортануло. За исключением отдельных всплесков. Зато теперь можно перенести внимание на КИИ, да, рынок пожиже, зато методики отработаны.

Не чокаясь.

Всего вам доброго.

Еще не совсем Ж, но близко. PHD, CISO-форум и другие

Отгремели две шумные майские конференции – PHD и CISO-forum. На одной я был, на другой – почти. На одной все плохо, на другой хорошо.

Начнем с CISO –forum. Понятно, что бедному дегустатору ни за что не потянуть билет на такое VIP-мероприятие, как CISO. Меня даже не взяли как СМИ – ящик организаторов тупо не отвечает. Но я заслал туда разведчика. Конечно, он нифига не платил – мы нашли лазейку, даже бейджик не брал. И…

Ничего за год не изменилось. Ровным счетом ничего. Т.е. мероприятие создано тупо для обогащения организаторов. Спонсоры заплатили, участники заплатили (хотя бы 1/3, т.к. спонсоры нагнали туда своих клиентов) – снял зал за пакет генерального спонсора, … , PROFIT.

Доклады делятся на 3 типа:

  • От завсегдатаев (одна и та же балалайка под разными соусами);
  • Новичков (могут рассказать что-нибудь интересное, примерно, каждый десятый);
  • Вендоров (либо реклама, либо скрытая реклама).

Ходить на CISO лучше 1 раз в три года. Если чаще — будете слушать на 2/3 пересказ прошлого года.

Переходим к PHD. Скажу честно, идти туда не хотел (см. про бедных дегустаторов). Но Позитивы взвалили на себя бремя поддержки пищевой безопасности. А т.к. я человек совестливый и халяву не люблю, решил отплатить. Кстати, за два дня так и не удалось поесть, очень уж еда была запрятана, да и дела образовались.

Завтрак прессы

Не беря ZeroNights (нельзя сравнивать то, что не видел), на который я вряд ли когда-нибудь пойду, т.к. сплю в это время, PHD – лучшая конференция. Разумеется, в силу моей недалекости мимо меня прошли все технические доклады. На какие-то я не успел, но засмотрел трансляции, а большинство были от меня крайне далеки.

Я, разумеется, пошел на всякую говорильню. Помните, я после Инфосека писал про змей в банке? Многие уже об этом заговорили. Например, Рустэм провел мне ликбез о разнице между топ-безопасниками и «селебрити, завсегдатаи конференций». Спасибо, Рустэм. Остальное в фбешечке читайте.

Были там и мои старые знакомые из R-Vision. Парни двигаются в сторону молодежи и осваивают мемы (пока баянистые): «что ты мне втираешь какую-то дичь?».

Встретился с инсайдерами, обменялись новостями. Ух. Узнал, кстати, за сколько продается R-Vision, не дотягивает часто и до 5 мегарублей. Печально.

Основная пленарка прошла тезисно по плану статьи про Ж (ждите продолжения). Проблемы ИБ:

  • иб под прикладным ПО
  • безалаберность
  • отсутствие практической составляющей
  • тормознутость вендоров и безопасников, на уязвимости открытые вайтхат
  • отсутствие планов реагирования (Лебедь)
  • нет повальной идентификации в интернете (Калина)
  • нужно отгораживаться «метром воздуха» и строить закрытые контура (Калина)
  • отсутствие центров компетенций поибэ
  • сложно обосновать наличие безопасников (РТК)
  • технические средства не работают, только люди, которые и на опенсорсе все сделают (РТК)
  • не знаем свой внешний периметр (Симис)

В первый день еще успел побывать на выступлении Юлии Омельяненко из Acronis с докладом «Выдержит ли ваш бизнес натиск ransomware?» (кстати, что это такое – вроде и не сказали). В результате доклада мы узнали, что Юля занимается темой «3 года, когда это не было еще мейнстримом» и послушали пересказ исошной методички про непрерывность бизнеса и экстренного восстановления. Ну, послушали и послушали.

После конференции меня атаковала Юля со своей подругой Моной Архиповой (Mona Sax) под соусом, что они такого не говорили, а  я все неправильно услышал. Сначала я подумал, что Acronis просто решил зацепить ибешников по своей основной специализации (восстановление данных, все дела).

Тайминги с подтверждением:
  1. Про уникальный опыт в 3 года, когда еще это не было мейнстримом.

Тайминг с 1:09:06

Побочное замечание — 3 года назад (в 2014) GRC было еще ах каким мейнстримом. R-Vision не даст соврать.

  1. Про непрерывность с 1:15:13
  2. Про непрерывность бизнеса рискует от ИБ и бедствий с 1:16:05
  3. Считай стоимость восстановления с 1:18:10
  4. Развито в банках 1:18:28
  5. Про старые методички с 1:11:00

Даже слова оттуда — «заручиться поддержкой топ-менеджеров», так в самом начале переводили исошные документы.

Но Рустэм открыл мне глаза:

Оказывается, Acronis такими посылами пытается влезть на рынок «лоу баджет секьюрити» (а при возможности наверно и хай баджет). Теперь понятна агрессия Юли с Моной: как же перед начальством отчитываться, когда такая лажа? Хамство не красит такую уважаемую компанию как Acronis.

Кстати, о лаже (незаметно перетекаем во второй день). Заценил срывающее покровы выступление Алексея Лукацкого «Не бойтесь лажать, или Negative Security», из которого мы узнали:

  • Пользователям Maс сложно пользоваться непонятными компьютерами;
  • Алексей совсем не бомбит, что его называют теоретиком. Он двигается в сторону практики, но ЗПД в Cisco не взлетело (или взлетело, но не так) (я-то грешным делом думал, что теория – это бумажки, а практика – ручками эксплоиты писать/патчи ставить);Алексей Лукацкий
  • Наше общество ориентировано на успех и не говорит о своих ошибках (комментаторы сошлись во мнении, что под нашим обществом Алексей понимает западное);
  • Мало примеров, когда люди и компании признают ошибки (видимо, Cisco не из их числа);
  • Схватил 1 троян за все время;
  • Алексей не хочет выглядеть неприятно (но ведь репутации в России нет!!!!11111);
  • Не открывает свой сайт, т.к. все равно взломают, а репутация пострадает.

А вообще анти-пленарка очень понравилась. Особенно философские рассуждения Ивана Новикова (могу ошибиться) с двумя основными посылами:

  • Вся наша деятельность сейчас (в городах уж точно), чтобы в нужном месте экрана были нужные пиксели (например, отражение счета в банке);
  • Компьютеры размножаются быстрее людей.

Так и кто на кого работает? :)

В заключении хочу сказать о благости, посетившей меня. Я обрел нового кумира Алексея Качалина, т.к. ему не страшно рассказать, что у него на уме. Будьте как Алексей. И ходите на PHD.

Пока.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов для этого сезона. И для затравочки у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем — самое слабое место всего проекта. Для битвы нужна полярность мнений. А ее зачастую нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое, т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, чтобы получилось шоу. Думаю, никто бы не захотел слушать – «я согласен», «аналогично». Короче, с темами бывают проблемы.

И тут, значит, будут говорить про Черных Лебедей. Надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, чтобы быть готовыми ко всему. Но просчет различных сценариев — это плоть от плоти безопасности (даже бумажной). В мире много организаций, имеющих планы на любой случай, и они почти не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку на более или менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А, может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций — вещь такая. Сам Талеб больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там, инопланетяне прилетят). Вроде для этого не нужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока живем в парадигме конфиденциальность-целостность-доступность.

Так что будем посмотреть. Приходите все завтра.

UPD: С точки зрения обсуждения черных лебедей – мероприятие провалилось. Участники и ведущий либо не дочитали, либо не поняли Талеба. Грустно.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент все мои мысли занимала карьера, а главным ее мерилом воспринималась занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот уж где мог скрываться кто угодно — от заместителя до подносчика кофе.

И, значит, пошел я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, чтобы в должности висело – руководитель. В итоге вписали меня как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая: чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность: чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый, кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более или менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по-взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

Как видно, умные люди, думают одинаково.

Всего вам доброго.

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает …

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Также у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да, не без косяков, но у кого их нет? Я рассматриваю это как бесплатную помощь. Если косяк имеет место быть — парни поправят. А если это пустая болтовня — отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Андрей ушел от ответа под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

Александр:

Привет. Очень нравится твой блог. Всегда читаю, но выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей ввиду каких-то внешних причин был в измененном состоянии сознания и увидел в констатации факта  личный наезд. Уж что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать — у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

Борис:

Что плохого в безопасниках, «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и, как стадо хомячков, пошли разносить чуму по Европе. Потом глядь  тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт — один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале, и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии. Конфликт должен приносить пользу, хотя бы деньги.

Вот Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

Аноним:

Так ты в Positive Technologies или нет?

Нет.

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать, чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

Что мне нравится в информационной безопасности?

Меня часто упрекают, что мне ничего не нравится, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, чтобы их можно было исправить. Чтобы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего — вот вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что у них получится.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях в это году, только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверное, потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли, провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

Наверняка я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

Значимые критерии (+упражнение о кидке Рольфа)

Здравствуйте, здравствуйте мои дорогие любители посчитать чужие деньги. Давно я не затрагивал темы экономической оценки. Должен поделиться своей радостью: уже самые хитрые начинают седлать тему оценки ИБ. В частности, Андрей Прозоров активно интересуется, где бы ему что-нибудь подсмотреть. :) Но пока смотрит не там. Но не суть, пусть это его начальник оценивает. Хочу поделиться с вами очередным кейсом по оценке.

Значимые критерии

Сама по себе оценка — вещь простая: бери и складывай, умножай. Большая толика проблем лежит в выборе критериев, что же собственно считать и как это делать. Если вдруг кто-то слушал мой филлер на Инфосеке, то знает, что единицу оценки называют критерием. Критерии можно собирать в группы и оценивать сразу группу.

Разумеется, надо оценивать лишь значимые критерии, а незначимые не надо. Именно выбор незначимых критериев порождает смех, когда безопасник приходит со своими «экономическими выкладками». Например, Алексей Лукацкий уже пару лет ходит по конференциям и рассказывает, что безопасники определенных бизнесов должны прийти к директору и всунуть инновацию: «а давайте всех посадим работать удаленно! Внедрим BYOD, сэкономим на электричестве, офисных площадях и т.п. И BYOD. BYOD!!!!!11111» Первый раз я это услышал на вебинаре RISK. Даже сделал кучу пометок, и когда-нибудь я до них доберусь.

Смысл в другом: подобный безопасник, если и не отправится сразу на хедхантер, то точно сильно сдаст позиции в компании. Все из-за того, что Алексей придумывал свои пассажи, чтобы продавать BYOD от Cisco, а не решать конкретные задачи бизнеса.

Теперь давайте разберем упражнение по выбору значимых и незначимых критериев.

Упражнение

Решил я купить жене машину. В результате долгих мытарств мы выбрали Ford Kuga, черного цвета в топовой комплектации. Сходили на тест-драйв, и стали разговаривать о цене.

Основными салонами мы выбрали: Major Auto и Рольф Сити. Оба лидеры по продажам Ford в России. Собственно, и планировалось выбрать между ними. И мы даже это сделали, но потом началась серия кидков и подстав, которая и породила данное упражнение.

Суть такова: менеджер Рольф Сити, назовем его Руслан, так обрадовался, что мы выбрали его, что предложил в нагрузку к зимней резине и защите картера гарантию на 5 лет, 3 ТО бесплатно и поездку в Грецию. Затем Руслан позвонил полдесятого ночи и сказал, что мы его обманули, и он нам ничего не обещал, за нашу резину он платить не будет, и идите нафиг.

После многократных разговоров с начальством Руслана нам дали нового менеджера, который ухудшил (!) предложение на 30 000 рублей. Поговорив с Мэджером и еще одним салоном, у нас возникло три предложения:

Если оценивать данные критерии качественно, то, конечно, надо брать Рольф. Ведь они столько предложили бесплатно, плюс халявная поездка – ляпота. Но давайте оценим каждый из критериев.

Разумеется, сразу из расчета надо выкидывать поездку. Поездка в Грецию, по аналогии с желанием Алексея продавать BYOD, не является значимым критерием при выборе автомобиля. Плюс к этому, хотя сама по себе поездка оплачивает проживание в течение 8 дней (а это около 30 тысяч), перелет и прочие расходы на вас, а это те же самые 30 тысяч или больше, ведь вы туда отдыхать едете, а, следовательно, потратитесь. Если и включать данный критерий в оценку, то скорректировав на величину расходов.

Кстати, новый менеджер Рольфа прекрасно понимал, что поездка – фуфел, т.к. сразу отказался снизить стоимость машины на величину поездки. :)

Примерно таким же образом можно было бы избавиться, например, от гарантии или ТО3. Но не будем этого делать, чтобы не городить теорию.

Следующий шаг: оценить полноту критериев. Это значит ответить на вопрос: учтены ли все значимые критерии, влияющие на оценку?

Ответ: нет, не учтены.

Т.к. сейчас для машин, проданных в кредит, идет большая скидка, то для его оформления надо оформить КАСКО. Следовательно, сумму страховки также надо включить в критерии (можно и сумму дисконта за кредит). ОСАГО включать не стал, т.к. его цена везде одинакова.

Немного посидев на телефоне и уточнив все цены, мы получаем следующее:

Вуаля. Оказывается, что лучшую цену дает Favorit Motors, который не зажопил работы по установке картера.

Ford я в итоге не купил, и, скорее всего, никогда уже не куплю. Пропало доверие к марке с такими «лидерами продаж». Да и политика кредитования у них странная.

А на этом все, до новых встреч.

P.S. В копилку разводок и приколов бизнеса по-русски:

1. Никогда не подписывайте в Рольфе предварительный договор до решения брать машину. Во-первых, он вас нифига не защищает. Мой договор уже аннулирован на основании телефонного разговора (!). Т.е. договор есть, но машину по нему я уже никогда не куплю, если захочу. Фактически – это психологический трюк, чтобы вам было лень ехать и расторгать его.

Во-вторых, это не позволит воспользоваться хорошими предложениями в других Рольфах. Было хорошее предложение в Рольф Центр, но из-за «корпоративной политики» я им не смог воспользоваться.

В-третьих, предварительный договор не фиксирует даже стоимости машины. По сути, это все тот же развод, нацеленный на лень покупателя. Вы вполне можете приехать и увидеть + 50 000 к цене. :)

2. Сотрудники Рольф Сити с радостью поливают дерьмом другие автосалоны Рольф. Например, на мой вопрос «почему в Рольф Центр точно такая же машина на 100 000 дешевле», менеджер, не моргнув глазом, сказал, что они все подлецы и обманщики, вводящие в заблуждение клиентов. А самая честная цена у него.

3. Главное — не покупать в автодилере допоборудование, если его не дают в подарок. Главная накрутка происходит на работах (сюрприз!). Например, одинаковый перечень оборудования в Мэджоре стоил 130 000 р., а в Рольфе – 200 000 р. Интересно, сколько же у них ТО стоит? :)

Если не хотите потратить свое время, не покупайте Ford в Рольфе.

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом что-то мне показалось очень неправильным. Всем известно (да и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати, единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, чтобы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется крайне плачевная ситуация. Ведь что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции, мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России теперь под колпаком у США. Так мало того — инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все вышеизложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь, официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.