16.10.2017

Хочу и буду

Не хочу отнимать хлеб у Андрея Прозорова, который активно пишет обзоры для книг, но тут не смог удержаться. Прочитал на выходных книгу психолога Михаила Лабковского "Хочу и буду". Читал я ее не в контексте информационной безопасности, но так уж часто бывает, что многие идеи перекладываю на свою сферу деятельности (помимо основного предназначения книги). И вот в этот раз я, пожалуй, вынесу на страницы блога две мысли, которые могут иметь отношение к ИБ.


Первая мысль банальна до безобразия, но вот я ее пропустил через себя, только прочтя книжку. Звучит мысль просто "Если человек чего-то не хочет, значит он не будет это делать". В самом предисловии автор приводит пример с наркоманами и алкоголиками, которых опытные наркологи отправляют домой сразу же, если видят, что они пришли не сами, а их привели жены, матери, отцы, подруги. Мотивируют это врачи тем, что человек, которого притащили на аркане, никогда не бросит пить или колоться, пока сам не решит это сделать. Это жестоко, но так и есть. Бросать курить, худеть, заниматься спортом... Все это человек не делает, пока сам не захочет. А захочет, никакая дополнительная мотивация ему не нужна. Наверное именно этим объясняется тот факт, что несмотря на большое количество материалов о том, как улучшить ИБ (и не всегда с большими затратами, а то и вовсе без них), многие специалисты по ИБ их не воспринимают. Лет 10 назад я пришел в один крупный банк и моему коллеге, человеку принимающему решения, предложил ряд решений по ИБ, которые должны были улучшить ситуацию с регулярными атаками и эпидемиями внутри финансовой организации. Он тогда мне ответил очень просто: "Меня все устраивает и я не хочу ничего менять". Я тогда еще подумал, ну как же так? Ты же специалист по ИБ, тебе платят, чтобы было лучше, чтобы атак было меньше, чтобы снижались простои и ущерб. Надо признать, что с тех пор он мало изменился :-(

И то, что так или иначе крутилось в голове и иногда проскальзывало в презентациях или заметках в блоге, сформулировалось только на выходных. Специалист по ИБ не будет воспринимать никаких новых идей, если он не хочет ничего менять в сложившемся порядке вещей. А он обычно не хочет, так как его все устраивает. Зарплата идет, за хакерские атаки не увольняют, с регуляторами налажен контакт. Тишь да гладь. Я все время удивлялся, почему казалось бы банальные мысли про то, что безопасность - это не только про угрозы, но и про содействие бизнесу, не находят своего отклика у тех, кому я эту мысль пытался доносить в своих презентациях? Почему идеи про измеримость ИБ выслушиваются, но дальше этого ничего не идет. И вот банальный ответ - не хочется. А если не хочется, то заставить человека делать что-то через палку бесполезно. Это работает очень короткое время.

Вторую мысль я подчерпнул в разделе про детей, которые не хотят учится. Психолог пишет, что происходит это по банальной причине. У современных детей перед глазами одни яркие картинки, видеоклипы, игры. Они привыкли воспринимать информацию именно так, а не так как взрослые. Не зря существует понятие "клиповое сознание". Поэтому и в школе им неинтересно. Их учат-то совсем по другому - зубрежка, доска и мел, домашка, оценки и никакого соревновательного духа. Они не воспринимают такой, привычный моему поколению формат донесения информации (у нас-то другого и не было). Отсюда вывод - программы повышения осведомленности, построенные по старым принципам обучения (часовые и нудные лекции "за партой") не дают уже того эффекта для работников молодого поколения. Им нужна совсем иная подача - ярко, коротко, с соревнованиями, доской почета, призами. Отсюда и интерес к геймификации, которая так активно внедряется в разных продвинутых программах повышения осведомленности, о которых я уже не раз писал в блоге.

Вот такие мысли... Не то, чтобы они уникальны или новы, но у меня они оформились только сейчас. По крайней мере, первая так уж точно. Вторая - это по сути классическое "говори с аудиторией на ее языке".

13.10.2017

Akamai покупает Nominum

11 октября Akamai объявила о соглашении по покупке американской Nominum, занимающейся безопасностью DNS для операторов связи. Nominum конечно лидер рынка и остальное бла-бла-бла. Размер сделки не сообщается.

Целостная стратегия борьбы с вредоносным кодом (презентация)

Выступал я вчера в Воронеже на форуме по защите информации. Хорошее мероприятие, хорошая организация. Не успев на пленарку (была замена борта - отечественного СуперДжета; да-да, опять про импортозамещение), смог отчитать только одну тему - про борьбу с вредоносным кодом, но зато на час. Лучи добра организаторам - такое редко бывает; обычно 15-20 минут. Презентацию про борьбу с вредоносным кодом и выкладываю.



ЗЫ. Вообще забавно, когда в двух соседних залах проходит конференция по защите информации, где преимущественно мужики, и по защите женского здоровья (гинекологический форум), где преимущественно женщины. Такие забавные казусы происходят, когда участники ошибаются залами или стойками регистрации :-)

ЗЗЫ. А еще в Воронеже классный океанариум. Там чистые стекла, что бывает редко, и можно нормально наблюдать за морской живностью. Рекомендую!

11.10.2017

Почему я боюсь биткойнов, а порнозвезда нет...

Летел я ночью из Перми и вместо того, чтобы дремать, попробовал сформулировать для себя опасения относительно всей этой шумихи про криптовалюты, о которых говорят очень много и преимущественно все эти разговоры происходят в восторженных тонах. Мол биткойны, "эфиры" и другие "койны" знаменуют собой новую веху в экономике, позволяя исключить государство из процесса денежного обмена, делая его быстрым, саморегулируемым и удобным. Вон даже российская порнозвезда предлагает депутатам свое тело (очередность зависит от количества мандатов у фракций в ГД), если они примут законы, разрешающие биткойны, тем самым сделав Россию пионером и лидером в этой сфере :-)

Порнозвезда - апологет критоэкономики
Кто-то не подвергая сомнению идею криптовалют, ищет уязвимости в различных платформах, и пугает ими общественность. У меня же подозрение вызывает вообще сама идея (блокчейн оставим в стороне пока) саморегулируемой валюты и вот почему. Сколько я не копался в различных ICO, статьях про биткойны, "эфиры" и другие криптовалюты, я так и не нашел ответов на несколько важных лично для меня вопросов:

  1. По каким правилам осуществляется конверсия криптовалюты в "настоящие" (фиатные) деньги? Это самый безобидный вопрос (ЦБ у нас тоже устанавливает курсы вают по своему разумению и может поднять или уронить его вдвое и ему за это ничего не будет), но мне он интересен, так как я не понимаю, как обычные числа (это как столбиком считать, только быстро) могут вчера стоить сто долларов, а завтра уже тысячу долларов. Не укладывается это в моей голове прикладного математика по образованию.
  2. Как вообще конвертируются криптовалюты в нечто материальное? Куча проектов, где за статьи или иной контент платят "койнами" (я уже много раз к ним подступался, но все время меня что-то останавливает). Но почему и как? Каковы гарантии, что за сделанную работу я получу свои деньги? По сути речь идет о доверии к автору площадки, что у меня, человека с профессиональной деформацией, вызывает баааальшие вопросы.
  3. Раз уж упомянул о гарантиях, то выделю это особо. Кто дает гарантии по сделкам с криптовалютами? Апологеты утверждают, что сама технология что-то там гарантирует. Но это смешно. Она гарантирует что-то, когда все хорошо. А когда все плохо? Что если конвертация из ***койнов в товар, вознаграждение или фиатные деньги не произошло? К кому мне идти жаловаться? В обычно жизни у меня есть некая сделка, регулируемая Гражданским Кодексом. Может быть даже договор (даже в виде оферты). А что у меня с криптовалютами, которые пока не признаются государством, законом, судами? На чью сторону встанет арбитраж, если я пойду доказывать, что мне что-то должны? Или кто-то будет опротестовывать сделку со мной? Да, российский суд самый гуманный и независимый суд в мире, но что-то мне подсказывает, что в случае с криптовалютами он может и вовсе отказаться от рассмотрения дела по существу. Какова вообще юридическая сила всех этих криптовалютных сделок?
  4. Какова ответственность лиц, запускающих свою криптовалюту? Есть ли она вообще? Чем биткойн отличается от МММ с его фантиками?
  5. Кто является надзорным органом, защищающим права участников обмена криптовалютами? Да, можно долго ругать ЦБ за его бюрократию и нерасторопность, но худо-будно, но он стоит на страже вкладчиков. И если какой-либо банк совершает сомнительные операции, то лицензию отзовут, а вкладчики (физлица) получат в АСВ свои деньги (может не все, но хотя бы часть). А куда жаловаться, если "обанкротится" криптобиржа или если она нарушит свои обязательства? А если у нее украдут все деньги те же хакеры? Жизнь научила меня рассматривать worst case и в данном случае у меня нет ответа, на поставленный вопрос.
  6. Чем подтверждает мое право владения криптовалютами и иными производными от них ("умные контракты" и т.п.)? Вот украли у меня "цифровой кошелек" и как мне доказать, что он принадлежал мне, если вдруг он всплывет где-то? А если у меня сделка с недвижимостью, закрепленная умным контрактом? Я уверен, что он будет жить 10-20-50 лет? Честно говоря нет. У нас даже с долговременным хранением электронных документов не могут решить вопрос, а тут какие-то саморегулируемые криптовалюты.
Как гарантировать?... Тут стюардесса объявила, что мы идем на снижение и я уже отвлекся от размышлений о криптовалютах, занятый более приземленными вопросами - погодой в Москве и как долго я буду стоять в обычной пробке на выезде из Шереметьево-D, где 9 потоков сливается в два? Уже приехав домой, я решил выложить свои вопросы в виде заметки в блог. И хотя она впрямую не относится к информационной безопасности (а я про такие темы тут обычно не пишу), все-таки я решил ее оставить. В конце концов, схожие вопросы возникают, пусть и не так остро, и применительно к блокчейну, который находит свое применение в кибербезопасности, например, в обмене информацией об угрозах. О последней теме у нас пойдет дискуссия на модерируемой мной секции Future SOC конференции SOC Forum, которая пройдет 22-го ноября в Москве. Кстати, если вы хотите попасть на мероприятие, то вы можете зарегистрироваться бесплатно с промокодом 114LUK.

ЗЫ. А биткойнов я так и боюсь - уж слишком я консервативен и профессионально деформирован. Что не отменяет, конечно, возможности инвестиций в этот высокорискованный актив; при условии оценки всех рисков и ответов (как минимум для себя) на озвученные в заметке вопросы.

ЗЗЫ. Много лет назад, еще до появления биткойнов, писатель Тобиас Хилл написал роман о любви "Криптограф", в котором как раз шла речь о математике, придумавшем криптовалюту, в которой, в итоге оказалась брешь, и весь мир встал на краю экономической катастрофы.


ЗЗЗЫ. Возможно, на все эти вопросы уже есть ответы. Тогда буду рад за ссылки на них. Пока же останусь при своем скепсисе относительно этой новомодной технологии, с которой все носятся как с писанной торбой.