10.03.2009

Как обманывают клиентов производители средств защиты - 2

Я уже писал, что я веду секцию "Как обманывают клиентов производители средств защиты" на конференции РусКрипто (2-5 апреля 2009 года в Подмосковье). Определились с 3-мя докладчиками и их выступлениями в этой секции. Тезисы ниже. Приглашаются все желающие ;-)

1. Здесь должно было быть выступление компании IBM ISS. Но последовал запрет ;-(

2. Алексей Лукацкий - бизнес-консультант по информационной безопасности Cisco - "Почему ИБ-компании, зная правду, врут в глаза своим клиентам?"

"Парадоксально, но факт - многие компании, которые занимаются безопасностью, своей основной целью считают не безопасность своих клиентов. На первом месте для них деньги и только деньги, а безопасность - только инструмент зарабатывания. Для этого все цели хороши. Можно утверждать, что DLP-решения обнаруживают утечки данных. Можно утверждать, что антивирус обнаруживает все, даже неизвестные вирусы. Можно утверждать, что число атак растет по экспоненте и без средств сетевой безопасности не обойтись. Можно утверждать, что предлагаемая система защиты невзламываема. Можно утверждать, что система корреляции поддерживает все известные средства защиты. Можно ссылаться на сертификат, как свидетельство вседозволенности.

А можно развенчать все эти, а также другие мифы, звучащие из уст ИБ-компаний. Что мы и сделаем на секции."

3. Алексей Смирнов - независимый эксперт - "Торговля страхом и ложь во спасение: как и зачем ИБ обманывает бизнес?"

"Что такое "торговля страхом" и что такое "ложь во спасение". Первое - примерно понятно и в особых объяснениях не нуждается: попытка заработать денег на вымышленных или преувеличенных угрозах. Что же является "позитивной" стороной обмана? Иногда приходится "пугать" потому, что объяснить реальную опасность неспециалисту сложно, да и не всегда он настроен слушать. Иногда ложь необходима для развития перспективных технологий - да, проблемы данного конкретного заказчика порой решаются проще, но мы должны думать не только о его проблемах, но и о более глобальных задачах. В конце концов, каждый из нас, кто по-настоящему любит свою работу - творец, и бывает так, что совершенно не из меркантильного интереса мы строим систему "на вырост", хотя с точки зрения бизнеса достаточным, а значит и более оправданным было бы дешевое и "некрасивое" решение, даже с учетом его короткого жизненного цикла и необходимости последующего рефакторинга."

7 коммент.:

Olgert комментирует...

Цитата: "...многие компании, которые занимаются безопасностью, своей основной целью считают не безопасность своих клиентов. На первом месте для них деньги и только деньги, а безопасность - только инструмент зарабатывания".
Не могу не заметить, что то же самое можно сказать и о любой другой области человеческой деятельности. Разве не видно, что ложью пронизано всё, в первую очередь - госполитика, СМИ и продажи. Мерилом всему стали деньги и только деньги.

Алексей Лукацкий комментирует...

И об этом в том числе и будем говорить ;-)

swan комментирует...

Бабло победит Зло !!!

infowatch комментирует...

Заказчики - они ж как дети малые. Научных выкладок не понимают. А "вот придёт серый волк" - понимают.

До правды ещё дорасти надо.

Алексей Лукацкий комментирует...

Кстати, мне нужен еще один спикер, а то IBM'у запретили выступать на эту тему ;-) Никто не хочет высказаться?

Сергей Гордейчик комментирует...

Если Денису "запретили" пересказывать "Dirty Secrets of the Security Industry" могу рассказать на эту тему.

Правда у меня перебор наверное будет на этой рускрипте...

Например так:

"Как клиенты обманывают сами себя. Средства защиты как лекарство от лени" :)

Алексей Лукацкий комментирует...

О! Давай. Я тебе в почту напишу