29.1.16

Почему я не пишу подкасты?

На днях меня спросили, почему я не записываю подкасты по информационной безопасности, как это делают некоторые другие достойные коллеги. А так как это уже не первый раз, когда меня спрашивают, то решил сформулировать свой ответ в рамках заметки в блоге.

Итак, причина первая. Я визуал! Сам я предпочитаю читать и видеть глазами - книги, заметки, статьи, презентации. Поэтому я и завел 7 с лишним лет назад блог и так много делаю презентаций. Мне так комфортнее. Несколько лет назад я уже заводил себе учетную запись на каком-то из сервисов для ведения подкастов, но так и не смог заставить себя регулярно записывать свои мысли.

Причина вторая - лень. А так как подкасты должны быть регулярными (а иначе смысла в них особо нет), то и времени это займет уйму; а его и так не хватает.

Причина третья - большинство людей на Земле - именно визуалы. Не скажу, что абсолютное большинство, но точно больше чем аудиалов. Поэтому текстовыми заметками и выложенными презентациями я охватываю большее число пользователей. Хотя это больше смахивает на отговорку.

Причина четвертая - усилия. Запись требует много усилий. И чем качественнее хочется получить на выходе продукт, тем больше усилий нужно. К озвученным презентациям (слайдкастам) я пришел не сразу - ушло немало времени на то, чтобы от первых несмелых шагов в видеомонтаже прийти к тому, что сейчас я часто выкладываю в блоге. И даже это требует немалых усилий. Если на заметку у меня уходит Х времени, то на создание слайдкаста занимает X * 2,5 времени. Сначала текст надо озвучить, потом убрать лишнее, потом окончательно смонтировать, потом выложить в Интернет. Заметку я могу написать на смартфоне, а то и вовсе прогнать через Siri и выложить в Интернет после небольшой редакторской правки. А с видео/аудио так не получится - нужен компьютер для обработки перед публикацией. Возможно, это основная причина моего отказа от подготовки подкастов.

Причина пятая - психология. Вспомните разные варианты представления информации. Запись какого-либо выступления, слайдкаст, подкаст и текстовая заметка. Что вам удобнее смотреть/читать/слушать? А что удобнее делать автору? Если я смотрю запись какого-то выступления, то у меня четыре канала получения информации - голос, презентация, выступающий, окружение. Мой мозг распараллеливает обработку этих четырех составляющих и каждой из них уделяет около четверти своих ресурсов. И ляпы в одном из каналов могут быть не так заметны или компенсированы другими. Если я использую слайдкаст, то каналов донесения информации всего два - голос и презентация. Поэтому и тому, и другому уделять внимания надо больше, потому что внимание слушателя концентрируется только на них двух и ляпы становятся заметнее. А если я выбираю только подкаст, то у слушателя остается только мой голос и все "Аааа", "Ээээ", "собственно", "и т.д.", паузы становятся очень явными, а местами и раздражающими. Бороться с этим можно постоянной тренировкой. Но на нее нужно время и мы приходим к причине №4.

Кстати, для записи слайдкаста, подкаста и видео нужен совершенно разный опыт. Например, имея большой опыт публичных выступлений, я не сразу стал нормально записывать слайдкасты. Первые из них я переписывал по несколько раз, а уж на монтаж и вырезание пауз и слов-паразитов тратил немало времени. И только спустя год пришел опыт. Вот эту серию я уже писал сходу и почти не монтировал. Аналогичная ситуация с видео. Новогоднее поздравление я переписывал раз пять-шесть, а на монтаж ушло два дня. И то результатом я не очень доволен. А там ведь всего около пяти минут.

Поэтому резюмирую - запись подкастов или видео - это большой труд (если делать его качественно), который не соответствует результату, которого можно добиться меньшими усилиями, например, путем публикации текстовых заметок и слайдкастов. 

Как рядовой пользователь видит результат работы шифровальщиков

На Уральском форуме по банковской ИБ, в последний, пятый день конференции, я буду не только модерировать всех докладчиков, не только вести "Свою ИБ-игру", но и делать доклад на тему "Как на практике проводится анализ целевых и недектируемых угроз?". Планирую показать несколько демо с примером разбора реальных вредоносных программ "своими" силами. А пока суть да дело, выкладываю пару роликов, которые я записал готовясь к мероприятию, и которые демонстрируют работу шифровальщиков.

В качестве примера я выбрал CryptoWall 3-ей и 4-ой версии:



а также TeslaCrypt:


В рамках Уральского форума я планирую показать и примеры анализа некоторых других вредоносных программ, но у них нет такого визуального эффекта, как у шифровальщиков, задача которых напугать пользователя и заставить его расстаться с деньгами самостоятельно. У того же Zeus, Kronos, Tinba немного иные цели и поэтому их задача оставаться скрытными как можно дольше.

26.1.16

Прогнозы на год шипящего ужа

В конце года принято делать прогнозы на год грядущий. Не буду исключением и я и поделюсь своим видением того, что ждет нас в год обезьяны (он начнется в феврале). Хотя, по правде говоря, если уж быть патриотом и сторонником реального импортозамещения, а не смены продукции западного происхождения на восточные и не всегда качественные и тем более безопасные аналоги, то говорить надо о годе шипящего ужа, который наступает в марте. Это согласно древнеславянского календаря, который начинает новый год в день весеннего равноденствия.



В целом можно отметить, что в году уходящем в мире была передышка. Да и в России тоже. Регуляторы мало чем "порадовали" в уходящем году (может быть это и хорошо). Сенсационных разоблачений не было; как и инцидентов (кстати, Cisco на прошлой неделе выпустила свой годовой отчет с обзором произошедшего в мире; в том числе и на русском языке). Но пора оставить год ушедший в прошлом и посмотреть в год грядущий. Что он нам готовит? Я бы обратил внимание на следующее:

  • Интернет-советники Президента. Наряду с уже имеющимся Интернет-омбудсменом, у которого удивительным образом выросли доходы в 10 раз (говорят, что это случайно и никак не связано с приходом во властные коридоры), у нас появился в конце прошлого года еще и советник по Интернет (Герман Клименко). Возможно между двумя Интернет-радетелями начнется внутренняя конкуренция (судя по моим наблюдениям она уже началась; как минимум с одной стороны). Пока сложно сказать, что будет сделано полезного или не очень для отечественной Интернет-индустрии, но высказывания Германа Клименко по поводу иностранных Интернет-компаний и засилья Microsoft в госорганах навевает определенные мысли по поводу не самого радужного будущего иностранных ИТ-игроков в России. Но повторюсь, пока сложно делать конкретные прогнозы и выводы.
  • Продолжение сворачивания политических свобод и прав граждан. Ну тут к бабке не ходи, а это происходило в прошлом году и будет продолжаться в этом. И Интернет не минует чаша сия. Все чаще поднимаются вопросы о блокирования Интернета то на уровне отдельных протоколов (UDP или Tor), то для отдельных групп (например, для ИГИЛ). И вновь сдули пыль с очередной "нацбезопасной" идеи о том, что криптография мешает работе спецслужб и надо с этим что-то делать. То ли внедрять на уровне всей стране государственный MiTM, то ли запрещать криптографию вообще, то ли монополизировать весь рынок сертифицированных СКЗИ.
  • Несмотря на оптимизм некоторых моих коллег по поводу принятия законопроекта о безопасности критической информационной инфраструктуры, я его не разделяю. У меня немного другая информация относительно перспектив этого нормативного акта. А вот тема защиты информации в АСУ ТП, которую ведет ФСТЭК, будет развиваться. Как минимум, в части новых РД по промышленным МСЭ и антивирусам. Но может и другое что успеют принять в этом году. 
  • Доктрина ИБ должна все-таки появиться в этом году. Но дальше либо тема на этом и остановится (как было с предыдущим текстом 2000-го года), либо из нее благодатным ручьем польются новые или модифицированные нормативные акты и иные инициативы по ИБ, которые сделают задел на ближайшие годы. 
  • Про Гособлако и 261-й Указ я уже писал - повторяться не буду. 
  • С административной реформой пока тоже ничего не понятно, хотя разговоры идут. Примерно такие же разговоры в свое время шли про ФСТЭК, Минкомсвязи и другие госорганы. Но они уцелели. Другие, правда, не выжили. Так что все возможно. В уменьшение числа чиновников, числа министерств и ведомств, числа надзорных функций я верю с трудом, но вдруг здравый смысл возобладает и бизнесу все-таки дадут развиваться, а на загибаться.
  • ЦБ, НСПК и некредитные организации. ЦБ продолжит взятый курс на усиление роли ИБ в деятельности кредитных организаций (новые РС в рамках СТО БР ИББС), некредитных организаций (свои версии СТО БР ИББС для них), для платежных систем (выйдет новая версия 382-П) и для НСПК. Для последней начаты работы по переводу ее (и карты "Мир") на отечественные крипторельсы.
  • ГосСОПКу будут развивать с той или иной степенью успешности. Но победоносного шествия ее ждать не стоит - с такой организацией процесса будет полная неразбериха. Как минимум. Как максимум - очередной срыв и сдвиг сроков. 8-й Центр по другому не умеет работать.
  • Кстати, о 8-м Центре ФСБ. В этом году он должен (если успеет) выпустить новые и публичные требования к СКЗИ и их сертификации.
  • Новые требования по сертификации будут и у ФСТЭК. Да и вообще ФСТЭК продолжает активную нормотворческую деятельность, как в части методической (выйдет новая редакция 17-го приказа), так и в части оценки соответствия средств защиты (будут, как минимум, приняты РД по ОС, СУБД и МСЭ).
  • Импортозапрещение продолжится, а вот импортозамещение врядли - российские продукты не выпускаются с такой же скоростью, как запрещают иностранные аналоги. Зато появится практика обоснования применения последних в отсутствие отечественных решений. Она уже появляется (сам готовил уже не одно такое обоснование).
  • С другой стороны иностранцы будут обвинять Россию в атаке всех и вся. Как обычно без доказательств, но зато с завидной регулярностью. Роль агрессора нам уготована не только в мире физическом, но и в виртуальном.
  • Китай, у которого наметилось сокращение ВВП, будет наращивать свое присутствие в странах-соседях, включая и Россию. На мой взгляд, даже если дистанцироваться от моего места работы, Китай - это основная угроза для национальной безопасности России. Неизведанная и непонятная. Совершенно иная культура, совершенно другое мышление. Я в свое время изучал восточные единоборства и помимо чисто практической стороны вопроса немало времени потратил на изучение китайской военной мудрости (Сунь Цзы - это только один, пусть и самый известный из авторов Поднебесной). Могу сказать, что тихой сапой, маскируясь за конфликтом России и США, но Китай начал свою экспансию в разных сферах, включая и информационные технологии. К счастью, мы пока не сталкиваемся с их решениями по ИБ, но вот угрозу от их ИТ-продукции мы еще ощутим в будущем. А пока, в году обезьяны (календарь нам уже втюхали :-), китайцы будут все более активно навязывать свои решения в госорганы.
  • Блокчейн... Вот тут будущее туманно. С одной стороны Сбербанк и Киви, которые активно движутся в этом направлении. С другой МинФин и Следственный комитет, которые хотят ввести уголовную ответственность за использование биткойнов. С одной стороны проявление некоторого интереса к этой теме со стороны Банка России (в Магнитогорске будет доклад на эту тему), а с другой абсолютное молчание со стороны крипто-регулятора. Посмотрим, чья возьмет.
  • На коммерческом рынке будет нестабильно. Сокращения в отечественных и иностранных компаниях будут продолжены. Кто-то из игроков не выживет - иностранцы уйдут, а "патриоты" не переживут падения курса рубля, роста стоимости нефти, снижения покупательской платежеспособности. Я про это говорил в конце 2014-го года - ситуация стала только хуже.
Пожалуй и все из ключевых тенденций, которые мне пришли в голову. Может быть что-то и забыл, а что-то может выскочить как черт из табакерки совсем внезапно. Отдельные "эксперты" заявляют о росте угрозы со стороны Интернета вещей. Полная чушь, непонимание российских реалий и слепое копирование чужих прогнозов. В России пока приходят только умные гаджеты, но не всюду и не всем они доступны. А уж в корпоративную практику эти решения у нас пока еще не вошли даже на уровне бета-тестирования. Так что можно пока дышать свободно и не бояться ни дронов, ни кофеварок, ни автомобилей, ни кардиостимуляторов, управляемых через Интернет.

ЗЫ. Вообще я не случайно затянул со своими "предсказаниями". Планировалось, что они будут даны в рамках одного из вебинаров, который должен был быть организован на уже известной и не раз меня приглашавшей площадке (точнее даже двух). Но не срослось... Поэтому выплеснул все на страницы блога.

25.1.16

Как на Инфофоруме и Рускрипто будут заниматься политической деятельностью

Согласно опубликованному в пятницу законопроекту о внесении изменений в закон о некоммерческих организациях:
  • участие в организации и проведении публичных дискуссий, выступлений
  • публичные обращения к государственным органам, органам местного самоуправления, их должностным лицам, а также иные действия, оказывающие влияние на их деятельность, в том числе направленные на принятие, изменение, отмену законов или иных правовых актов
  • распространение, в том числе с использованием современных информационных технологий, оценок принимаемых государственными органами решений и проводимой ими политики
означает, что некоммерческая организация, занимающаяся любым из этих трех видов деятельности, считается признается участвующей в политической деятельности, осуществляемой на территории Российской Федерации.

Понятно, что делается это в предверии выборов и в скором времени введут какие-нибудь новые ограничения в части занятий политической деятельностью, но... под указанные выше три пункта (в законопроекте их больше) подпадает ЛЮБОЕ мероприятие (семинар или конференция) по информационной безопасности, обсуждение и представление поправок в законодательство по информационной безопасности, а также публикация в Интернет оценок принятых нормативных актов и иных решений по ИБ, принятых ФСТЭК, ФСБ, Роскомнадзором и т.п.

Распространяется это только на некоммерческие организации, к коим среди прочего у нас относятся:

  • Автономные некоммерческие организации. Например, многие учебные центры по информационной безопасности (тот же УЦ Информзащита) являются как раз АНО.
  • Ассоциации и союзы, например, АРПП или СОДИТ.
  • Некоммерческие партнерства, например, АБИСС, НП Инфофорум или НП СИБ.
  • Общественные объединения, например, МОО АЗИ.
Вот и получается, что проводя мероприятия по ИБ, высказывания на них точку зрения на государственную политику в области ИБ или критикуя принятые нормативные акты, некоммерческие организации (к счастью, пока только они) занимаются политической деятельностью. А уж к чему это приведет, покажет время...

22.1.16

FireEye покупает iSIGHT Partners

Компания FireEye 20 января объявила о приобретении за 200 миллионов долларов компании iSIGHT Partners, занимавшейся анализом угроз (Threat Intelligence). Дополнительно акционеры iSIGHT смогут получить еще 75 миллионов при достижении к 2018-му году оговоренного определенного уровня продаж.

Меня в этой сделке заинтересовало два интересных момента. Во-первых, iSIGHT был создан Джоном Воттерсом, который ранее создал и продал Verisign'у за 40 миллионов компанию iDefense. Теперь Воттерс продает iSIGHT в 5 раз дороже. А по сути компания занималась тем же, что и раньше - исследованиями в области угроз безопасности. Будет ли у Воттерса третий заход?

А второй интересный момент - финансовое положение FireEye. Ее акции за последние полгода упали больше чем в три раза, но при этом она находит деньги на то, чтобы за 200 миллионов купить компанию, отдача от технологий которой произойдет явно не сразу.


Посмотрим, что из этого получится...

15.1.16

Где брать задания по кибербезопасности для изучения/обучения?

Чтобы уж завершить неделю на одной волне, приведу еще один интересный ресурс, который может помочь тем, кто изучает или преподает кибербезопасность и ищет не только теорию, но и различные практические задания и кейсы. Это проект Pivot, запущенный известными в мировой (преимущественно англоязычной) ИБ-тусовке. На нем планируется выкладывать бесплатные занятия по кибербезопасности, которые смогут использоваться в рамках обучения.


Проект только недавно стартовал, но уже сейчас на нем можно найти несколько интересных кейсов. Например, задание по расследованию инцидента и сбору доказательств в рамках дела о краже чучел кукольных животных и продаже их на черном рынке :-) Команда реагирования смогла собрать на компьютерах подозреваемых некоторые доказательства, которые и надо проанализировать с помощью Wireshark. Задание для начинающих и требует от 60 до 90 минут.


Вот в такой игровой форме и представлены остальные задания, имеющие аналоги и в реальной жизни. Планируется, что со временем число представленных в рамках проекта кейсов будет существенно увеличено. Возможно и вы сможете внести свою лепту в этот проект - он открыт для всех желающих.

Курсы по информационной безопасности, которые можно найти в Интернет. Часть вторая

После публикации заметки про курсы по ИБ, которые можно найти в Интернет, мне пришло много комментариев, в которых коллеги приводили новые интересные ссылки или спрашивали, почему я ничего не пишу про онлайн-обучение. Исправляюсь :-)

Многие слышали про платформу для онлайн-обучения Coursera, на которой выложено и некоторое количество курсов по информационной, или как любят говорить иностранцы, кибербезопасности. Введя это ключевое слово, мы получим 77 ссылок на курсы, подготовленные преимущественно американскими ВУЗами - Мэриленда, Вашингтона, Принстона и других.


У Coursera, помимо всех ее достоинств, есть и недостатки. Многие курсы доступны только по записи. Иными словами вы не можете слушать их, когда хотите вы. Вы должны записаться и проходить программу обучения в соответствие с определенным расписанием. Это не всегда удобно, хотя и дисциплинирует. Аналогичный "минус" и на других обучающих онлайн-площадках.

Лично меня этот минус и отталкивает всегда от онлайн-обучения. Лекции из предыдущей заметки я могу скачать и читать тогда, когда мне заблагорассудится. С онлайн-обучением по расписанию хочешь-не хочешь, а будь добр посещать "лекции", чтобы ничего не пропустить. С другой стороны, есть люди, которых можно заставить учиться только пинком под зад. И в этом случае расписание этому способствует. А в зависимости от онлайн-площадки лекции могут сопровождаться домашними заданиями (чего почти не бывает на свободных лекциях), экзаменами, курсовыми проектами, которые еще и защищать надо. Это более серьезный шаг к обучению.

Еще одной площадкой, где можно пройти обучение по ИБ, является Udemy. На ней есть и платные курсы, и бесплатные. И их больше, чем на Coursera - поиск выдает почти две сотни ссылок. Хочу отметить, что курсы эти совершенно различные - от общеобразовательных до специфичных. Например, безопасность Wordpress или реверс-инжиниринг и разработка эксплойтов.


Третья онлайн-площадка для обучения по информационной безопасности - Udacity. Курсов по нашей теме не так много, но они есть. А вот на edX я нашел только один курс, но очень специфичный - по кибервойнам. Сводным каталогом по всем популярным онлайн-площадкам служит class-central, на котором можно найти курсы по ИБ и на других Интернет-ресурсах. Хотя, надо признать, что основной площадкой является именно coursera - там наиболее число курсов по кибербезопасности.


Завершить подборку иностранных площадок мне хотелось бы центром мониторинга и реагирования на инциденты ИБ в промышленных сетях - ICS-CERT, который предлагает два онлайн-курса по промышленной ИБ:
Из российских площадок хочется вновь упомянуть ИНТУИТ, но уже не в контексте курса Галатенко. На этой онлайн-площадке представлено около 40 совершенно разноплановых курсов - от Инфовотч и Лаборатории Касперского до курсов, разработанных ВУЗами и прочто частными лицами. Курс Галатенко по основам ИБ является самым популярным и вдвое обходит "конкурентов" по числу голосов.


Еще одна площадка с открытыми лекциями - это "Лекторий МФТИ", где есть и курс из 14-ти лекций по защите информации (преимущественно по криптографии). Завершу обзор ресурсом, на котором выложены курсы по ИБ, которые читаются в МГУ. Лекции интересны тем, что рассматривают не только основы ИБ и криптографии, но и многие другие, практические и нечасто вспоминаемые темы - TOR, "луковичную маршрутизацию", безопасность приложений и т.п.

14.1.16

Роль сожаления в процессе принятия ИБ-решений

Продолжая применять результаты исследований Халлинана к ИБ хотелось бы вернуться к процессу принятия решения. Я полтора года назад уже писал о том, неопределенность в принятии решения останавливает многих чиновников сказать "да" тому или иному проекту или нормативному акту. И вот новое подтверждение этого явления, но немного с другой стороны.

Халлинан пишет о том, что при принятии решений огромнейшую роль играют эмоции и, в особенности, такая эмоция, как сожаление. О чем-то мы сожалеем больше, о чем-то меньше. И оказывается, что люди чувствуют бОльшую ответственность за действия, чем за бездействие. Поэтому, если уж суждено ошибиться при принятии решения (а неопределенность увеличивает вероятность ошибки еще больше), лучше вообще не сделать чего-то, чем сделать это неправильно. Люди чувствуют себя менее ответственными за результат, если они ничего не делали.

Логика "лучше ничего не делать, а то кабы чего не вышло" нередко преследует и регуляторов от ИБ, боящихся сделать что-то, за что их потом будут критиковать и ругать направо и налево. Кстати, в ту же ловушку сознания попадают и те, кто критикует регуляторов, но сам ничего не делает для улучшения ситуации. Критиковать проще - за это не будут ругать. В отличие от ситуации, когда посоветовал что-то и автоматически "встал" на сторону регулятора.

Ретроспективное искажение и ИБ

На новогодних праздниках читал интересную книжку "Почему мы ошибаемся" Джозефа Халлинана, в которой автор рассматривает различные ловушки мышления в реальной жизни.


Одной из таких ловушек является так называемый ретроспективный детерминизм или ретроспективное искажение, заключающееся в том, что на восприятие и запоминание человеком прошедших событий (даже совсем недавно прошедших) чрезвычайно сильно влияет знание того, как все произошло в действительности. Мы уже знаем, чем все закончилось, поэтому воспоминания об этом событии и о том, что ему предшествовало изменяются.

Например, если на сайт банка происходит DDoS-атака, то в зависимости от результата этой атаки, наши воспоминания будут иметь совершенно разную картину. Если атака не привела к негативному эффекту, то мы будем преувеличивать свою роль в противодействии этой атаке. В случае же "успешности" атаки, мы будем стараться подчеркнуть одни факты (играющие нам на руку) и игнорировать другие (играющие против нас).

Множество различных исследований, о которых пишет Халлинан, показали, что люди не только склонны преувеличивать то, что им было известно в тот или иной прошедший момент времени, но и то, что они вообще часто неверно помнят, что они тогда знали. Особенно если оказывается, что тогда они ошибались.

Управлять этим, особенно в отношении себя, достаточно сложно. Но знать все равно полезно. Особенно при расследовании инцидентов.

Конференции по безопасности онлайн

Позавчера Сергей Борисов опубликовал заметку о видеоматериалах с российских конференций и семинаров по ИБ. Я решил дать ссылку на аналогичный сборник иностранных, англоязычных ресурсов. Там есть материалы с Chaos Communication Congress, BSides, DEFCON, Black Hat, OWASP AppSec, RSAC, Cisco Live и других. Неплохая подборка.

ЗЫ. Со Старым Новым годом, коллеги! Это не последнее празднование Нового года в этом году :-) Впереди нас ждет их еще как минимум два - китайский (в феврале - обезьяны) и в марте (старославянский - ужа).


13.1.16

Курсы по информационной безопасности, которые можно найти в Интернет

Относительно недавно Массачусетский технологический институт выложил в Интернет лекции со своих дисциплин и курсов, читаемых в MIT. Было среди них и пять курсов, посвященных "нашей" теме:
  • Network and Computer Security. Автор этого курса - Роналдь Райвест, тот самый, который входил в тройку, чьи первые буквы фамилий составили аббревиатуру RSA. На самом деле курс посвящен только криптографии, а не информационной безопасности (у иностранцев эти две темы, как и у нас, собственно, четко разделяются). Курс свежий - 2014-го года. Хотя ничего нового в нем нет; разве что лекция по биткойнам. 
  • Computer Systems Security. 23 лекции (есть и видео по ним) по различным аспектам ИБ - песочницы, защита Web, отслеживание данные, защита мобильных телефонов, экономика ИБ и т.п. Несистемно, но есть интересные вещи.
  • Cryptography and Cryptanalysis. По описанию - базовые понятия криптографии и криптоаналиса. Сами лекции не выложены.
  • Advanced Topics in Cryptography. Продолжение предыдущего курса (лекции выложены), почти целиком посвященное разным аспектам доказательств с нулевым разглашением.
  • Selected Topics in Cryptography. Курс по сути посвященный двум темам - криптографическим протоколам и электронному голосованию с теоретической и практической точек зрения.
Речь идет не об отдельной дисциплине по ИБ как у нас, а о спецкурсе в рамках специальности, на которой учат "айтишников". То есть глубокого погружения в те или иные вопросы ИБ не предусмотрено. Основная задача - дать базу и общее понимание принципов. Для детального изучения различные ВУЗы предлагают либо дополнительные дисциплины, либо специальные тематические семинары.

Помимо MIT свои курсы по ИБ выкладывают и другие образовательные учреждения. В частности беглый поиск по Интернет выдает следующие варианты:
Многие университеты выкладывают свои курсы на Coursera. Например, Computer Security. Стэнфордский курс по безопасности ПО. Немало курсов на Coursera выложили Мэриленд, Принстон, Вашингтон и другие.

Я попробовал поискать такие же материалы на сайтах российских ВУЗов. Что-то есть, но сказать, что по этому направлению ведется целенаправленная работа, не могу. Ведущие (которые себя называют такими) ВУЗы по данной теме ничего не выкладывают. Из найденного:

12.1.16

О надзорных мероприятиях в 2016-м году


По итогам нескольких вчерашних твитов о проверках РКН хочу сделать отдельную заметку, посвятив ее всем надзорным мероприятиям по "нашей" теме в 2016-м году. Итак, у нас есть три основных регулятора - ФСТЭК, ФСБ и РКН, каждый из которых проверяет требования в рамках своей зоны ответственности.

  1. РКН с 1-го сентября 2015-го года вышел из под действия ФЗ-294 и теперь не обязан публиковать никакого сводного плана проведения проверок по линии персональных данных (только они выведены из под действия ФЗ-294). Единственным документом, устанавливающим обязанность проводить проверки по плану и публиковать этот план, является Административный регламент РКН, утвержденный 312-м приказом Минкомсвязи от 14.11.2011. В нем, в частности, говорится (в п.30-31), что территориальные органы должны на своих сайтах опубликовать планы проверок по своим территориям. Об этом говорится и в сообщении РКН от 31-го декабря.

  2. Территориальные органы опубликовали такие планы на своих сайтах. Например, по ЦФО такой план опубликован в декабре. Обратите внимание на сопутствующие приказы, которые могут вносить изменения в уже утвержденный план. Например, в той же Москве некоторые изначально внесенные в план организации были исключены спустя две недели другим приказом РКН.

  3. ФСТЭК и ФСБ попадают под действие ФЗ-294 и поэтому должны публиковать свои планы проведения проверок. На сайте ФСТЭК пока еще не выложен сводный план проверок на 2016-й год, но зато он уже доступен через сайт Генеральной прокуратуры. 

  4. Проверки ФСБ тоже отсутствуют на сайте ведомства, но присутствуют на сайте Генпрокуратуры.

  5. У РКН запланировано около 1000 плановых проверок и 2000 мероприятий систематического наблюдения. У ФСТЭК проверок не так много - около двух сотен. У ФСБ и того меньше - сайт Генпрокуратуры показывает всего 11 проверок.

  6. ФСБ проверяет государственные учреждения. ФСТЭК также преимущественно госов, а также лицензиатов. РКН проверяет всех подряд - и госов, и коммерсантов.



Есть еще один сайт, публикующий сводный план проверок в соответствие с ФЗ-294, - proverki.gov.ru. Он поддерживается Генеральной прокуратурой и, по идее, должен совпадать по содержанию с тем, что выдается сайтом genproc.gov.ru. Однако это не так - данные в них не совпадают :-( Возможно сайт proverki.gov.ru находится еще только в процессе наполнения.





11.1.16

Дайджест новостей по ИБ за новогодние праздники

Уже по традиции выкладываю краткий дайджест новостей по ИБ, произошедших за новогодние праздники (если кто-то все две недели валялся тюленем и не отслеживал происходящее):
  • Утверждена новая Стратегия национальной безопасности. За ней должна последовать и Доктрина ИБ. В Стратегии говорится и про киберугрозы, но не могу сказать, что много. Материал в этой части изложен не системно - основное внимание уделяется традиционным угрозам. При этом тот же Китай, вторым после США, создал отдельный род войск - кибервойска, о чем также было сообщено за эти две недели.
  • СБУ Украины обвинила ФСБ в кибератаке на энергообъекты Украины и запуске в них вредоносного кода. Краткий и предварительный анализ этого вредоносного кода также уже выложен в сети. С атрибутикой там плохо. Но про роль России в кибератаке на энергосистему Украины говорили на праздниках много. Конечно же иностранцы.
  • Проукраинская хакерская группа RUH8 опубликовала сотни тысяч украденных SMS россиян. Именно украденных, так как, скорее всего, речь о краже SMS через затрояненные смартфоны на базе Android.
  • Президент Путин подписал указ о сокращении в ряде ведомств, в том числе и ФСТЭК.
  • Президент Путин подписал закон об административной ответственности за нарушение "закона о забвении". С этим законом вообще странная ситуация - такая норма уже заложена в закон о персданных и КоАП. Правда сумма штрафов там смешная была, в отличие от нового закона.
  • Турецкие хакеры взломали Instagram главы Минкомсвязи Никифорова. Тот пожаловался в службу поддержки и ему... в течение нескольких часов не отвечали. Министр сразу же пожаловался в "ВКонтакте", что надо что-то с Instagram'ом делать. Видимо министр никогда в праздники не писал на сайт собственного министерства, да и вообще любого российского ведомства или компании. В абсолютном большинстве случаев ситуация аналогичная.

  • Два секретоносителя из разных государств, президент Эстонии и руководитель отдела кибербезопасности Минобороны Латвии, сочетались браком. Совет да любовь! А вот с точки зрения законодательства о гостайне этот союз очень интересен :-)
Вот и все новости :-)