30.8.07

О чем думают академики?..

В последнем отчете Cnews опубликовано интервью с академиком РАЕН, д.т.н, зампредом Фонда Социального Страхования г-ном Ковалевским (http://www.cnews.ru/reviews/free/security2007/int/fss/). Тема стандартная - поддержка отечественного ИТ-производителя. Все бы ничего, но некоторые заявления вызывают недоумение, если не сказать больше. Про идею запрета западного ПО и замены его на отечественное я молчу. Об этом не высказывался только ленивый. Новый нацпроект с госфинансированием - это конечно лакомый кусочек...

Достаточно забавно выглядит постоянное упоминание ОС и СУБД. Такое впечатление, что кроме этих типов ПО академик РАЕН ничего не знает. Они они, по его мнению, являют собой самую большую угрозу и именно их надо заменить на отечественную продукцию (скорее всего имеется ввиду МСВС или Феникс и Линтер с HyTech). А вот распознавалки текстов, текстовые редакторы, антивирусы никакой опасности не представляют. Видимо о том, что прикладное ПО может стать причиной утечки информации или нестабильности системы, доктору технических наук идея в голову не приходила. Также он почему-то считает, что основная опасность таится на серверах, а ПК внимания можно не уделять. Хотя учитывая его "профессиональные" интересы, все встает на свои места. Речь идет о СУБД.

И вообще тема СУБД для г-на Ковалевского является самой важной. Именно СУБД, по его мнению, управляют информационными ресурсами. Именно они являются основной угрозой. Именно их надо защищать в первую очередь. Хотя обратившись к прошлому г-на Ковалевскому станется все понятно. Он является разработчиком отечественной СУБД HyTech, которую внедрял во многих госструктурах. Однако некоторые его высказывания все равно вызывают вопросы. Например, он говорит, что на CeBIT он демонстрировал всю систему Фонда соцстраха на ноутбуке. При этом в другом своем интервью он говорит, что вся база ФСС занимает 100 Тб и она увеличивается каждый день по 1 Гб. Вы видели лэптопы с терабайтными дисками?

Также интервьюер делает классическую ошибку ставя знак равенства между ПО с открытым кодом и бесплатным ПО. Например, он сторонник выкинуть Oracle из всех госструктур и заменить ее на ПО с открытым кодом. Почему он считает, что оно будет бесплатным и за лицензии платить не надо будет? Shareware не значит freeware...

В общем интервью вызывает как минимум улыбку ;-)

Что мешает нам развиваться... или парафраз о самоцензуре

Вспомните, когда последний раз вы выступали в своей компании с критикой чего-либо или кого-либо? Причем речь идет о позитивной критике, направленной на устранение какого-нибудь негативного момента в развитии компании, подразделения или продукта?

К сожалению, у нас очень развита самоцензура. "У нас" я имею ввиду современного человека, а не Россию. Многим гораздо проще молчать "в тряпочку", чем высказать, может и нелицеприятное, но все-таки важное мнение. И даже "анонимные ящики для общения с руководством" или возможность послать анонимное сообщение по e-mail ситуацию не меняют. Многие предпочитают "не выступать", считая "авось целее буду". Проблема в отсутствии культуры коммуникаций.

Большинство просто боится указывать не проблемы и недостатки; еще больше боятся предложить улучшение. Сотрудники боятся осложнений в любом их проявлении. Либо накажут за правду, либо заставят реализовывать свое же предложение. В любом случае спокойное течение офисной жизни нарушается. А это для многих хуже некуда. Инстинкт самосохранения...

Какое это отношение имеет к безопасности? Самое прямое. У нас поэтому многие ИБ-компании так и развиваются, как они развиваются. Перефразируя известное выражение из курса истории "Верхи не знают, а низы не хотят". На прошлой работе приходилось с этим сталкиваться. Был проект, детище руководителя компании. Задумка была неплоха, но ее реализация была далека от идеальной. На одном из совещаний я высказал свое мнение о том, что думаю. В ответ фонтан эмоций, преимущественно негативных, описываемых в двух словах так: "Не твое дело", "Не суйся", "Сам бы попробовал, а потом советовал" и т.д. И так по ряду вопросов. В итоге желание генерить идеи, советовать что-то пропадает. Климат это не улучшает; коллектив чувствует напряжение. В итоге руководство находится в плену своих идей, далеких от реальности. А сотрудники не готовы идти и выкладывать "правду-матку". Вот в результате у нас и появляется большое количество мертворожденных или абсолютно ненужных и неэффективных проектов и продуктов в области безопасности.

Можно ли изменить ситуацию? Можно. Но всякие "горячие линии" с руководством, почтовые ящики для предложений, центры идей - это всего лишь механизмы, которые ничто без более глубоких изменений в культуре самой организации. Именно в культуре, как бы пафосно это не звучало. Сотрудники должны понимать, как их предложение скажется на развитии компании. Они должны быть уверены, что их не накажут за "свободомыслие", а в случае удачной идеи даже поощрят.

Негативная роль слияний

Современный бизнес вынужден развиваться в условиях жесткой конкурентной борьбы, что заставляет компании модифицировать стратегию расширения своего бизнеса. Например, путем экспансии на новые рынки или выпуска новой продуктовой линейки. Но как быть, если компания по тем или иным причинам не может выйти на новый рынок или не имеет времени и ресурсов (например, нужных патентов или технологий) на запуск нового продукта? Выход один – поглотить или слиться с компанией, у которой есть все необходимое. Такой путь также позволяет увеличить долю на рынке и даже стать его лидером, получить новую сеть распространения своих продуктов, купить нужные технологии или команды-разработчиков и расширить клиентскую базу. Аналогичные процессы последние несколько лет протекают во многих отраслях, в т.ч. и в информационной безопасности. Я об этом уже не раз упоминал.

Но не всегда процесс M&A несет положительные моменты. Например, покупка IBM'ом компании ISS больше года назад. Уже тогда оценка этого события была неоднозначной. Несмотря на то, что ISS влилась в сервисный департамент и IBM в пресс-релизе четко написала, что этим приобретением она хотела бы усилить свое влияние и роль в сегменте аутсорсинга безопасности (Managed Security Services), многие считали, что продукты ISS будут развиваться и сами по себе (причем с тем же успехом, что и до слияния). Однако отсутствие четкой и озвученной стратегии развития этой продуктовой линейки привело к тому, что ISS стала постепенно сдавать свои позиции на традиционном для себя рынке. Если раньше в сегменте средств предотвращения атак ISS и Cisco шли ноздря в ноздрю и каждый квартал лидером становилась то одна компания, то другая (с отрывом от конкурента в 1-1,5%), то сегодня ситуация поменялась кардинальным образом. По последнему отчету Infonetics (Infonetics Q2 2007 Network Security Appliances and Software) Cisco занимает 28% этого рынка, а ISS - 17%. 11% разницы. Это уже серьезно...

В результате, потенциальное усиление влияния компании в одном сегменте, привело к потерям в другом. И пока неясно, было ли это оправдано?

28.8.07

Об аутсорсинге безопасности в России

Попросили меня сегодня о рецензии одной статьи про аутсорсинг безопасности в России. Написана она сотрудницей одного российского ИБ-интегратора. Вот и решил я тут повторить эту рецензию в расширенном формате.

Об аутсорсинге безопасности (Managed Security Services, MSS) сегодня говорят все, кому не лень. Такие услуги предлагает каждый второй интегратор, но реальных проектов, которыми можно было бы похвастаться в России практически нет. Почему? Есть несколько болевых точек, на которых необходимо сделать акцент.


Во-первых, кто может предлагать услуги аутсорсинга? Вопреки распространенному мнению о том, что такие услуги может оказывать любой крупный интегратор, это неверно. Дело в том, что мало иметь набор софта и железа и штат персонала, как это считает автор статьи. Учитывая, что услуги MSS оказываются дистанционно, то это обязательно подразумевает наличие качественных каналов связи от центра управления до клиента, и желательно с резервированием. В России интеграторы не могут похвастаться этим, в отличие от операторов связи (и то не всех). Т.е. заключить такие договора с операторами и закупить необходимое оборудование они в состоянии, но пока о таких прецедентах я не слышал.

Во-вторых, несмотря на громкое заявление в статье, ни один провайдер MSS не возьмет под контроль любые системы защиты. У него не безграничные возможности (по оборудованию, по людям, по финансам) и поэтому управлять он будет только широко известными решениями, под которые можно легко найти людей и для которых услуга будет рентабельной. Я с трудом могу представить провайдера, который будет в России управлять продуктами Fortinet. Только потому, что эти продукты у нас не распространены.

В-третьих, все "аутсорсеры" почему-то считают, что их работа заканчивается на этапе приема сигнала тревоги и возможной реконфигурации системы защиты. Но это только половина работы. Необходимо провести расследование "почему произошел инцидент?", "кто виноват?" и "что делать?". Иными словами, помимо обнаружения угрозы, необходимо еще реализовать и реагирование на инциденты. А для этого требуется зачастую выезд на территорию заказчика, что может быть проблематично в масштабах России. И вообще, утверждая, что аутсорсер может оперативно реагировать на обнаруживаемые атаки, необходимо пояснять как это будет делаться. Когда у MSS-провайдера всего одна площадка и она в Москве, сложно ожидать, что он сможет оперативно реагировать на взлом во Владивостоке.

В-четвертых, очень мало кто говорит о гарантиях и ответственности. Все их упоминают, но мало кто из российских компаний готов их брать на себя; в т.ч. и по причине финансовой несравнимости со многими из своих заказчиков. А ведь это самое главное в аутсорсинге. Если все-таки компанию с миллиардным оборотом взломали, то чем отвечает компания с оборотом в 30-40 миллионов? А страхование данного вида деятельности у нас пока не развито.

Наконец, меня всегда умиляет ссылка на наличие высококвалифицированных экспертов у компании-"аутсорсера". Откуда им взяться, если у нас специалистов не хватает для более приоритетных задач, а те люди, что есть, циркулируют между компаниями, надолго в них не задерживаясь? Если кто-то и осуществляет аутсорсинг, то это скорее студенты или недавние выпускники, о высокой квалификации и богатом опыте которых говорить рановато.

Еще 2 замечания по статье, уже сугубо технических. Первое касается описания услуги мониторинга средств защиты. Автор предлагает все оповещения об угрозах после их обработки у аутсорсера отправляется клиенту. Вопрос - зачем? Если клиент и платит аутсорсеру, то именно за то, чтобы не связываться с получением таких оповещений. Более того, как правильно замечает автор, у клиента нет ни достаточного количества людей, ни экспертизы, ни возможности работать круглосуточно. Зачем же посылать ему оповещения, которые не будут обработаны? И второе замечание касается такой темы, как хранение сигналов тревоги. Автор пишет, что клиенту не надо думать о том, чтобы хранить все логи от средств защиты - это сделает аутсорсер и будет делать это в течение нескольких лет. Интересно автор когда-нибудь считала какое должно быть хранилище, чтобы решить эту задачу? Один МСЭ генерит порядка около гигабайта логов в день. Умножая этот показатель на число дней в году, количество лет и число контролируемых средств защиты, можно понять, что центр обработки данных у аутсорсера должен быть "недетским". Таких у нас пока нет.

Поэтому я скептически отношусь к идее массового внедрения услуг аутсорсинга в России в настоящий момент. Спрос на них есть, предложение "на бумаге" за ним начинает поспевать, но на практике этот спрос остается неудовлетворенным. Поэтому-то и реальных примеров назвать никто не может.

27.8.07

Были носки от Microsoft... Теперь будет пилотка

Я уже писал о том, что Microsoft выпускает носки, пропагандирующие безопасность (http://lukatsky.blogspot.com/2007/08/blog-post_05.html). Теперь дошла очередь и до других предметов одежды. На днях должен получить пилотку и галстук от той же компании. И они тоже являются средством для повышения осведомленности персонала в области безопасности.

Хотя надо обладать определенным чувством юмора, чтобы придти в офис в пилотке ;-)

Как жара действует на наше правильство?

Лето, жара... Наше правительство решило опять завоевать весь мир и не нашло ничего лучше, как опереться на мнение нашего министра образования г-на Фурсенко, который высказал гениальную мысль, что завоевать весь мир мы сможем только тогда, когда этот самый мир будет работать на нашем криптографическом оборудовании.

Предпосылка этого летнего сумасшествия проста - товарищ Фрадков попенял товарищу Рейману, что Россия, мол, не лидер мирового ИТ-рынка (http://www.rbcdaily.ru/2007/08/27/media/289229). Леонид Дододжонович не смог ничего ответить; только привел пример Лаборатории Касперского. Ну тут и вступил в дискуссию наш "Макаренко" и сказал, что криптография - это тот сектор, который позволит нам стать мировым лидером. Тут же председатель правительства дал указание проработать этот вопров и до 1-го декабря вынести вердикт - идти по этому пути или нет.

И ведь никто не подумал вот о каких вещах. Во-первых, криптография у всех ассоциируется со спецслужбами, а те с государством. Кто же из иностранных держав пустит на свой рынок такое критичное оборудование, выпущенное потенциальным врагом. А ведь Россия для многих представляется именно так. Ее подъем мало кому интересен, ее энергоносители и зависимость от них вводят всех в ступор. А тут еще и криптография...

Во-вторых, г-да министры видимо не знают, что мы сами неохотно даем добро на импорт чужой криптографии в Россию. Да и экспорт своей у нас ограничен. Почему, запрещая чужую криптографию, мы думаем, что другие ее примут с распростертыми объятиями.

В-третьих, нельзя забывать, что криптография - это не только математика. Это еще и программисты и инженеры, которые будут создавать на основе имеющихся алгоритмов готовое обородувание. А вот тут-то и могут возникнуть проблемы. Умные-то мы умные, но вот делать конкурентоспособные продукты, удобные в использовании и грамотно продвигаемые, мы пока не умеем. А это даже важнее, чем наличие лучших криптоалгоритмов.

Кстати, насчет алгоритмов. Чем мы заслужили звание лучшей криптографической школой? ГОСТ 28147, 34.10, 34.11? Вот и все, что о нас знают на Западе (да и в России тоже). А где все остальное? Где различные криптографические протоколы? Прежде чем выходить на Запад, его надо убедить, что мы сильные не словами, а делами. Мы должны представить действительно серьезные доказательства своей криптографической мощи. Может нам стоит выиграть в каком-нибудь конкурсе на национальный стандарт шифрования (пока в таких конкурсах участвовала только одна наша компания - ЛАН Крипто). И только потом, после проведенного мировым сообществом криптоанализа, можно говорить о нашей лидирующей роли.

Хотя и тут не все просто. Одно дело - разрабатывать алгоритмы, и совсем другое - делать на их основе готовые продукты. Возможно нам предстоит пойти по пути антивируса Касперского, который хоть и известен на Западе, но скорее как антивирусный движок, чем как готовый продукт. С криптографией может произойти такая же ситуация. Мы будем экспортировать технологии, которые будут встраиваться в другие продукты и решения. И первый шаг мы уже сделали - наши криптоалгоритмы описаны в качестве RFC.

20.8.07

Еще одно поглощение

Всего 3 дня назад произошло очередное поглощение на рынке информационной безопасности - компания Sourcefire купила ClamAV - разработчика сетевого антивируса (http://investor.sourcefire.com/phoenix.zhtml?c=204582&p=irol-newsArticle&ID=1041607&highlight=).

Данная сделка интересна по двум причинам. Во-первых, Sourcefire сама недавно была целью поглощения ее со стороны Check Point. Однако американское правительство отклонило эту сделку, убоявшись угрозы национальной безопасности США со стороны компании, родившейся в земле обетованной. Вторая причина еще более интересна. Обе эти компании активно работают в сегменте решений с открытым кодом, что в "коммерческой" безопасности редкость. Sourcefire выпускает системы предотвращения атак на базе open-source решения Snort, а ClamAV в свою очередь выпускал антивирус (включая и систему борьбы с другим вредоносным кодом) с открытым кодом.

18.8.07

Консолидация рынка продолжается

Меньше месяца назад я написал статью "Слияния и поглощения - кто будет главным защитником информации", посвященную процессу консолидации рынка информационной безопасности. Написал бы я ее на пару недель позже и моя статья могла бы пополниться еще рядом интересных примеров.

Например, IBM в начале августа купил американскую компанию Princeton Softech, которая помимо прочего занимается и защитой данных (http://www-03.ibm.com/press/us/en/pressrelease/21980.wss). Другой известный игрок на рынке ПО - компания Novell, купила компанию Senforce Technologies (http://www.novell.com/news/press/novell-expands-security-capabilities-with-acquisition-of-senforce-technologies/) спустя неделю, 13 августа. Теперь Novell сможет предложить решение по защите рабочих станций (ZENworks Endpoint Security Management). В аналогичном направлении движется и компания PatchLink, которая купила SecureWave, также разрабатывающую средства защиты ПК. Это второе приобретение PatchLink за этот год (http://www.patchlink.com/company/Press_release_details.aspx?id=173). В феврале этого года ею уже была куплена компания Harris STAT.

Если посмотреть на рынок пива, автомобилей, авиатехники и т.п., то можно предположить, что скоро практически все ключевые технологии и продукты будут сосредоточены в «руках» 4-6 компаний и большинство традиционных игроков рынка защиты информации в их число не войдет по причине своей малой величины. Не хотелось бы становиться пророком, но можно назвать как минимум 3 компании, которые будут царствовать на рынке ИБ в ближайшие год-два. Это Cisco, IBM и Microsoft. Дальше заглядывать пока рано – агрессивная политика слияний и поглощений кого-либо из серых кардиналов этого рынка может спутать легко карты и тройка лидеров может поменяться.

17.8.07

Красота спасет Интернет... от маньяков


Достаточно интересный способ борьбы с Интернет-угрозами выбрала компания Symantec, которая в июне этого года инициировала в рамках США национальную кампанию "Connected and Protected Child Safety Initiative". Все бы ничего, если бы лицом этой компании не стала выигравшая последний конкурс "Мисс Америка 2007", начинающая бродвейская певица Лорен Нельсон (она же "Мисс Оклахома"). Одной из своих "предвыборных" программ она сделала защиту прав детей в Интернете (правда только в течение года после своей победы). Возможно именно поэтому судьи отдали победу этой "девушке", несмотря на то, что сомнения в ее возрасте возникают у любого, посмотревшего на фотографию Лорен.



Вместе с представителями Symantec она колесит по Америке и "образовывает" детей и их родителей. Помимо поездок по американским городам и весям она занимаются и другой социально-значимой деятельностью. Например, она внесла интересное, хотя и неоригинальное предложение в Конгресс США, не отличается оригинальностью, - включить в школьную программу курсы компьютерной безопасности. В свое время Лорен сама пострадала от виртуальных рук Интернет-маньяка, который прислал ей непристойный фото. Тогда ей было 13 лет. Как написано в одной из заметок по этому поводу, от окончательного развращения Лорен спасла полиция, в которую обратились родители будущей "Мисс Америка".

Все бы ничего, если бы методы, которые использует г-жа Нельсон, не выглядели, мягко говоря, сомнительно. С помощью полиции Нью-Йорка на одном из чатов была создана анкета якобы 14-летней девочки с фото Нельсон в этом же возрасте. Также "Мисс Америка 2007" ходила по сайтам педофилов, заводила с ними разговоры, звонила им и другими способами провоцировала на встречу с собой "в реале". И когда этот миг наставал в дело вступали полицейские и ведущий одного из реалити-шоу.

Хотя идея безусловно здравая. Зная приверженность детей к сотворению кумиров из всяких знаменитостей, привлечение "Мисс Америка", на которую хотят быть похожими чуть ли не вся девичья половина США, а юношеская готова делать все, чтобы хотя бы минутку постоять с ней рядом, выглядит очень даже правильно. К сожалению, пока трудно сказать, какой будет эффект от этой инициативы. Было бы неплохо, если бы могли транслировать американский опыт в России.

Вместе с представителями Symantec она колесит по Америке и "образовывает" детей и их родителей. Помимо поездок по американским городам и весям она занимаются и другой социально-значимой деятельностью. Например, она внесла интересное, хотя и неоригинальное предложение в Конгресс США, не отличается оригинальностью, - включить в школьную программу курсы компьютерной безопасности. В свое время Лорен сама пострадала от виртуальных рук Интернет-маньяка, который прислал ей непристойный фото. Тогда ей было 13 лет. Как написано в одной из заметок по этому поводу, от окончательного развращения Лорен спасла полиция, в которую обратились родители будущей "Мисс Америка".

Все бы ничего, если бы методы, которые использует г-жа Нельсон, не выглядели, мягко говоря, сомнительно. С помощью полиции Нью-Йорка на одном из чатов была создана анкета якобы 14-летней девочки с фото Нельсон в этом же возрасте. Также "Мисс Америка 2007" ходила по сайтам педофилов, заводила с ними разговоры, звонила им и другими способами провоцировала на встречу с собой "в реале". И когда этот миг наставал в дело вступали полицейские и ведущий одного из реалити-шоу.

Хотя идея безусловно здравая. Зная приверженность детей к сотворению кумиров из всяких знаменитостей, привлечение "Мисс Америка", на которую хотят быть похожими чуть ли не вся девичья половина США, а юношеская готова делать все, чтобы хотя бы минутку постоять с ней рядом, выглядит очень даже правильно. К сожалению, пока трудно сказать, какой будет эффект от этой инициативы. Было бы неплохо, если бы могли транслировать американский опыт в России.

12.8.07

Презерватив, как средство повышения осведомленности

Разгребал я свой рабочий стол и наткнулся на очередной пример того, как можно повышать осведомленность в области ИБ рядовых пользователей. Не без юмора, конечно, пример. Резиновое изделие №1 с рекламой информационной безопасности.




В ключевой момент, доставая такое изделие из кармана, сразу вспоминаешь, что безопасность это "наше все" и пренебрегать ею не стоит.


Пока широко такой способ повышения осведомленности не развит. Отчасти из-за некоторого ханжества, отчасти из-за непонимания важности security awareness. Но вспоминая, что на Западе во многих туалетах установлены аппараты по продаже средств индивидуальной защиты, можно представить, что скоро и они станут одной из площадок для продвижения идей безопасности.

10.8.07

Размышление о конференциях по ИБ

Вот прочитал заметку Антона Чувакина (http://chuvakin.blogspot.com/2007/08/on-conferences.html) и понял, что США и весь мир гораздо дальше ушли в области проведения различных мероприятий по безопасности, чем Россия. У них не принято брать денег с докладчиков, исключая выступления вендоров-спонсоров. Более того. Докладчикам платят за их доклады, а в ряде случаев даже оплачивают проезд до места проведения конференции. И это закономерно. Ведь докладчик работает, когда выступает и готовится к выступлению.

У нас все не так. Бесплатных для докладчиков публичных конференций и семинаров почти нет или они очень редки. Как правило, организаторы берут деньги с докладчиков, считая, что последние будут "гнать" рекламу. Ну а когда с докладчика, который обычно представляет какую-то компанию-производителя или поставщика, взяли деньги, то его маркетинговый департамент скорее всего захочет "отбить" заплаченные деньги. В результате организаторы добиваются того, с чем хотят бороться, - т.е. получают рекламные доклады (пусть и со скрытой рекламой).

К чему это приводит в результате? Посетители прекращают посещать такие конференции и семинары, т.к. не готовы слушать за свои деньги (обычно посещение таких мероприятий стоит денег) и свое время рекламу, которые они могут получить бесплатно и на своей территории, пригласив рекламодателя в свой офис. Теряя аудиторию, организаторы, желая все-таки отбить деньги за организацию мероприятия, часто делают его бесплатным для участников, а спикеров заставляют платить за "всех". И мы получаем порочный круг.

Недавно, мне довелось участвовать в одной широко разрекламированной конференции по безопасности (рекламные растяжки висели даже на Тверской). Так вот на заседании, на котором я выступал, присутствовало всего 8 человек (зал был рассчитан человек на 50), из которых семеро было докладчиками! Все это результат неправильной организации мероприятии во всех смыслах.

Только очень небольшой процент конференций и семинаров, организованных в России, идут по "западному" пути. Основной процент дохода идет со стороны слушателей. Но для того, чтобы привлечь хорошую целевую аудиторию, приглашаются интересные докладчики с интересными докладами.

С докладами и докладчиками, кстати, тоже проблема. Организаторы, не являясь специалистами ни в безопасности, ни в искусстве выступать перед аудиторией, "пропускают" либо неинтересные посетителям темы, либо не умеющих говорить спикеров, на выступлениях которых народ просто засыпает или встает и уходит, не возвращаясь уже на других докладчиков. Если же при конференции и создается программный комитет, то очень часто туда приглашают именитых персон или "свадебных генералов", далеких от практики ИБ. В итоге мероприятие опять страдает.

ЗЫ. К слову сказать, хороших докладчиков по ИБ, которые умеют "зажечь" и которые рассказывают интересные и полезные вещи, тоже не так уж и много. А учитывая все возрастающий интерес к теме безопасности и желание "срубить" легкие деньги, организаторам приходится приглашать "абы кого", только бы забить тайм-слоты.

Как повышают осведомленность в ИБ в Intel?

5-го августа я уже писал про повышение осведомленности и в качестве примера приводил 2 ведущих мировых ИТ-компании - Cisco и Microsoft. Теперь пришел черед еще одного не менее известного вендора - Intel.

Самое простое, что делают в Intel, как и во многих других компаниях - развешивают в "ходовых" местах различные постеры и плакаты. Очень удачное место для это - "курилка". Надо сказать, что в западных компаниях это маловероятно из-за их приверженнности здоровому образу жизни. В России пока не столь категоричны и в офисах еще можно курить, несмотря на принятие соответствующего закона.


Второй интересный вариант - шнурки для беджей, которые всегда на шее (исключая тех сотрудников, которые носят такие бейджи на поясе).


Главное, что требуется от любого носителя информации по security awareness - его постоянное мелькание перед глазами. Что может служить таким носителем кроме шнурка для бейджа, плаката в курилке или настольного календаря?.. Карандаш или ручка... Они используются повсеместно даже в наш компьютерный век. Такие карандаши можно положить в переговорных комнатах и тогда о вашей заботе о безопасности узнают и все ваши клиенты и партнеры. А это благоприятно будет влиять на вашу репутацию.

ЗЫ. Размещать надписи о безопасности на стилусе смартфона или КПК не стоит - слишком уж мелкий шрифт придется использовать.

Мы занимаемся не тем...

Получил сегодня по почте письмо и задумался, а тем ли я занимаюсь? Не пора ли сменить работу на более высокооплачиваемую? Вот текст письма, приведшего меня к столь серьезным раздумьям:

"Добрый вечер
Мы рады предложить Вам вакансию
Прибыль от 1521 долларов в день.
у нас есть возможность иметь доступ к информации о кредитных картах и пин кодах .
Мы предлагаем, чтобы Вы обналичивали эти карты за половину от денег, которые там будут. Суммы от 2275 долларов. Мы ищем долгосрочное сотрудничество только с серьезными людьми.
Пишите на ...
"

ОТ полутора тысяч в день. За пару лет в олигархи можно выбиться, за десятилетку попасть в список Форбс...

ЗЫ. Письмо, кстати, пришло с мастерхостовых адресов ;-(

7.8.07

Ах, козлятушки, вы ребятушки

Забавные вещи иногда происходят, когда профессия очень прочно входит в твою жизнь и становится неотделима от хобби и обычной жизни. Недавно по просьбе трехлетнего сына запустил караоке дома и стали с ним петь песни. Дошли до "Второй песни Козы" из оперы Аристова и Рыбникова "Волк и семеро козлят на новый лад". Вчитался в текст на экране. Оказывается еще в те годы биометрия была в моде. Вот дословный текст песни:

Ах, козлятушки, куда сгинули,
На кого ж меня вы покинули!
Не послушали своей матушки
Получилися обознатушки.
Позабыли вы голос матери,
Видно бдительность вы утратили.
Допустили вы упущение,
Видно волк проник в помещение.

Аутентификация по голосу в чистом виде ;-)

Безопасность... и асфальт

Вот спросили тут меня на днях, почему, мол, надо покупать дорогие решения по безопасности, когда есть дешевые или вообще бесплатные. Вопрос не праздный. Универсального ответа нет - все, конечно, зависит от конкретной ситуации, конкретного вендора... Но могу привести аналогию из мира, близкого любому автовладельцу. Да и вообще любому человеку, который ездит на городском транспорте или иных транспортных средствах по нашим дорогам.

Итак, сейчас лето. Пора завершающего этапа подготовки к зимнему сезону. В том числе ремонтируют и дороги, точнее латают их. И такое повторяется каждый год. Сначала старый (хотя ему всего год) асфальт снимают, потом на его место кладут новый асфальт. Итого 2 операции, за каждую из которых берут, допустим Х рублей. Итого 2Х рублей в год. Плюс стоимость асфальта Y.

Почему нельзя поступить как на Западе, где асфальт не меняется годами? Почему у нас в дорожном покрытии колеи, вмятины и ямы появляются уже через пару месяцев после его укладки? Допустим у нас есть современный стойкий асфальт, который не надо менять каждый год. Разумеется, стоит он дороже. Допустим в 3 раза, чем упомянутый выше асфальт, т.е. 3Y. Хотя на самом деле стоит он не в 3, а в 1,5-2 раза больше. Казалось бы разницы никакой. 3 года тратить по Y или потратить 3Y один раз, но за три года. Но это так кажется. Ведь мы не учитываем сопутствующие затраты - снятие и укладку асфальта. Во втором случае эта стоимость за 3 года составит 2X за три года, а в первом - 6X за тот же период. А учитывая, что стоимость услуг у нас обычно превышает стоимость обслуживаемого продукта, то получается, что изначально дорогой асфальт оказывается выгоднее, чем дешевый (вопросы откатов я в рассчет не беру).

Аналогичные рассуждения можно применить и к системам защиты.

5.8.07

Повышение осведомленности в области безопасности

Забавная тема - повышение осведомленности в вопросах безопасности... Столько в ней разных сторон. Разные компании по-разному подходят к решению этой задачи. Например, ручки, карандаши, шнурки для пропусков с соответствующими слоганами. Или настольные календари, которые каждый день на столе и все время перед глазами.



Есть и достаточно нетрадиционные подходы. Вот, например, компания Microsoft. Недавно мне довелось стать обладателем носков с надписью "Microsoft Security".


Тоже ведь вариант. Так и представляю себе офис, ходящий в "безопасных" носках. Можно пойти дальше. У нас в офисе ходят байки о распространяемых среди сотрудников мужеского полу трусов с говорящей надписью "Protect your assets" ;-)

3.8.07

Когда же международный день безопасника?

Вчера прислали интересную ссылку на сайт http://www.informationsecurityday.com/, на котором первый четверг августа назван международным днем информационной безопасности (Information Security Day). Приятно, конечно, но... почему первый четверг августа? С чем связана эта дата? К Пасхе вроде не привязано? Никаких ключевых событий отрасли в этом день не происходило. Хотя как повод эта дата, безусловно, интересна. Собственно, как и любой другой из 365 дней в году, исключая общемировые даты типа Нового года, Рождества и т.д. Хотя откровенно говоря, сайт выглядит как приманка для доверчивых рекламодателей и спонсоров. Ничего конкретного на сайте нет, а вот приглашений стать спонсором и разделить честь быть "главной женой" всем безопасникам полно.

Есть и другой сайт, который однако больше отвечает на вопрос, заданный в заголовке. Речь идет о http://www.computersecurityday.com/. Он конечно тоже не содержит какой-либо интересной информации и на нем тоже есть приглашение стать спонсором, но зато он:
  • Был создан пять лет назад, что уже немало по меркам Интернета. Однако сам праздник отмечается с 1988 года.
  • Поддерживается известными компаниями, например, Symantec, ISACA и ISC2
  • Привязан к достаточно важной дате в нашей отрасли - 30 ноября. Именно в этот день почти 20 назад произошла эпидемия червя Морриса. На тот момент это была крупнейшая атака, аналогов которой (по ее масштабам) не было до сих пор.

В России, как обычно, пошли своим путем и придумали свой день для празднования - 12 ноября (http://www.securityday.ru/). Почему именно эта дата, тоже не совсем ясно, но зато повод ;-)

В итоге, мы имеем 3 вполне законных повода для отмечания своего профессионального праздника и каждый волен выбирать тот день, который ему больше всего подходит.