9.3.16

RSA Conference: развенчание мифа

Посетив на прошлой неделе RSA Conference я лишний раз убедился, что миф "за контент никто не будет платить" является ложным. В этом году было много людей; очень много людей. Я бы назвал это большой толпой. Цифр по количеству участников у меня нет, но по скромным моим оценкам участников было несколько тысяч. Да, это была юбилейная конференция. Да, это крупнейшее в мире мероприятие по ИБ. Да, США - крупнейший регион с точки зрения рынка ИБ и специалистов там больше любой другой страны (исключая, быть может, Китай). Но, извините, 2000 долларов за 5-тидневную конференцию, - это все равно много. Не месячная, конечно зарплата, но за 7-10 так уж точно. И при этом толпы народа.


Но я это объясняю очень просто - совершенно иная модель бизнеса организаторов. У нас (если не рассматривать InfoSecurity Russia, в которой конференция является приложением к выставке), конференции преследуют одну цель - получить деньги от спонсоров. Именно спонсоры платят за все и именно они являются целевой аудиторией организаторов. Слушатели вторичны и ни на что не влияют. На RSA Conference, да и на других мероприятиях (Gartner, BlackHat и т.п.) целевой аудиторией является слушатель - именно он платит за свое участие и именно он определяет, что он хочет услышать. И поэтому организатор подстраивается именно под слушателя, а не под спонсора.

На российских конференциях обычно выступления идут в один, максимум, в два, потока. Отчасти это сделано потому, что докладчиков от спонсоров ограниченное количество. Если включать в программу некоммерческих докладчиков, то либо это всплывет (и коммерческие докладчики начнут возмущаться), либо аудитория пойдет на докладчиков, которым не нужно рекламировать свои продукты и услуги. Коллизия, вытекающая из ориентации на спонсоров. На RSA Conference было... 30 параллельных потоков, посвященных своим темам:


Может сложиться впечатление, что спонсорские выступления лидируют, но это не так. Из 311 докладов (трехсот одиннадцати) только 20 было спонсорских - остальные вендор-независимые. Да, была завуалированная реклама, но она была ненапряжной и никогда (их тех докладов, что я слышал) про конкретные продукты. Краудсорсинговые темы выбирались путем голосования на сайте конференции (демократия в действии).

Кстати, о сайте. Тоже хороший пример грамотной организации онлайн-площадки для мероприятия. На нем задолго до начала мероприятия началось продвижения - заметки в блоге от разных экспертов, видео от участников, аннотации будущих докладов и т.п. Та идея, о которой я твержу различным организаторам наших мероприятий уже давно. С помощью сайта можно начать заранее заинтересовывать аудиторию, которая будет ориентироваться не только на программу, которая часто еще и публикуется всего за пару недель до мероприятия и участников не остается времени на принятие решения.

Но вернемся к самому мероприятию. Число параллельных потоков - не единственное разительное отличие RSAC от других конференций. Хотя наличие 30 потоков не гарантировало попадание на них. Да-да, несмотря на оплату 2000 долларов за конференцию, на поток можно было и не попасть из-за переполненности зала. Сами доклады длились по 50 минут. Не 15, не 20 и даже не 30 минут; целых 50. Этого достаточно, чтобы адекватно раскрыть тему, не пытаясь вложить кучу информации в небольшой временной тайм-слот.

Вот так обычно выглядела очередь на доклад (она доходила до 500 метров):


Чтобы не заблудиться среди хвостов очередей, на их окончаниях ставили персонал с вот такими табличками, которые двигались вместе с очередью.


Ну а уж если места не хватило, то картина была такая:


Еще одним отличием стало разнообразие форматов. У нас обычно все ограничивается схемой 1П (послушать) или 2П (послушать и посмотреть демо). На RSAC модель была 6П - послушать (обычные сессии), посмотреть демо, пощупать (можно было на IoT-потоке в отдельном зале поиграться с уязвимыми домашними Интернет-устройствами), потренироваться (было несколько лабораторных работ разного уровня - от построения стратегии ИБ предприятия и целого государства и заканчивая защитой промышленных сетей), поговорить (так называемые Peer2Peer-сессии, на которых до 25 человек за круглым столом обменивались мнениями и опытом по различным темам) и познакомиться (Dinner for 6, то есть ужин, где за столиками сидели по 6 человек, которые могли познакомиться и общаться).

Киберучения по обеспечению ИБ государства в кризисной ситуации 
Peer2Peer-сессия про угрозы ИБ при управлении цепочками поставок
Лаба по безопасности промышленных сетей
"Песочница" по безопасности промышленных сетей
SANSовские "сетевые войны"
Ключевые выступления (keynote)
Выступления по RSAC TV
Дискуссии с отраслевыми экспертами
Из других форматов донесения информации стоит отметить выступления в брифинг-центре (вот это была явная реклама, но уже в рамках выставки, о которой я напишу отдельно), песочницу (доклады по теме IoT и промышленной ИБ в виде подиума, вокруг которого собирались заинтересованные слушатели), тренинги (проводились SANS), семинары (были посвящены лидерству в ИБ и управлению рисками), форумы (велись отраслевыми ассоциациями - CSA, ISSA, CForum и т.п.) и телевидение RSAC TV.


Я смог побывать на разных вариантах сессий - все было организовано на высоком уровне. Но я не устаю отмечать качество контента. Работа программного комитета, над которым не довлели спонсоры, выше всяких похвал. У меня даже сложилось впечатление, что программа RSA Conference напоминает мини-MBA, где раскрываются ключевые и важнейшие темы, которые волнуют руководителей по ИБ - от выхода на уровень топ-менеджмента (этому было посвящено не менее пяти выступлений) до количественного измерения различных аспектов ИБ, от трендов в области угроз и ИБ до работы с персоналом. Из несколько десятков докладов, что я послушал, не было ни одного неполезного и из которого бы я не извлек что-то новое и интересное для себя. И, блин, как им удалось такое количество докладов сделать без рекламы?.. Не устаю удивляться :-) Кстати, нередко, когда выступающих было двое - тоже интересная форма подачи материала (у нас такое редко бывает).


Материалы были выложены заранее - и это тоже необычно. Хотя, если рассудить, то это было логично. При наличии 300 докладов и невозможности их посещения всех, стоило заранее ознакомиться с докладами, чтобы выбрать, на что идти. Это очень сильно помогло лично мне, когда я формировал свою программу посещения презентаций. Очень понравилось приложение конференции, но про него я напишу отдельную заметку (там есть, на что обратить внимание).

Русскоговорящих участников на конференции я не встречал или это были представители Лаборатории Касперского (они были большой делегацией) и местных компаний. Все-таки курс национальной валюты сыграл свою не самую лучшую роль. Даже при ранней регистрации надо было бы выложить 1600 долларов, что по нынешнему курсу составляет свыше 100 тысяч рублей. Поздняя регистрация обходилось уже в 2200 долларов, то есть 150 тысяч. Примерно в такую же сумму обошлось бы проживание и около 50 тысяч стоили бы билеты. Выложить 400 тысяч за участие в конференции - на это готовы немногие компании. В прошлые годы это стоило вдвое дешевле, поэтому и русских было побольше. А вот прекрасной половины человечества, наоборот, было много. Для них даже были отдельные сессии, на которых обсуждались типично женские вопросы - работа в мужском коллективе и т.п.

Завершение конференции я бы поделил на две части. В четверг была тусовка Codebreakers Bash на бейсбольном стадионе, отданном на растерзание нескольким тысячам безопасников, которые радовали пивом, закусками, игровыми автоматами, фейрверками, экскурсиями по полю и другим местам стадиона, концертом Шэрил Кроу и т.п.


А в пятницу финальным аккордом стала пленарная дискуссия с Шоном Пенном, актером и режиссером.


На закономерный вопрос: "А причем тут Шон Пенн и ИБ?", могу только поделиться своим мнением. После пяти очень насыщенных и интенсивных дней погружения в ИБ, нужна была некоторая разрядка. При этом, привлечь людей можно было только некоторой известной фигурой. Шон Пенн, а в прошлом году Алек Болдуин, как раз и были такими персонажами. С одной стороны интересно, с другой стороны - перегружает мозг от полученной информации, давая ей улечься. По крайней мере у меня было так. Не знаю, что уж там реально задумывали организаторы.


ЗЫ. У нас обычно по результатам какой-либо конференции отзывы пишутся по докладам регуляторов, которым рекламировать нечего и они делятся своими планами или результатами работы. Доклады вендоров полны рекламы и писать про них бессмысленно. На RSAC было с точностью до наоборот - выступлений регуляторов не было вовсе (кроме ключевых выступления АНБ, минобороны и генпрокурора - о них я еще напишу), а вот доклады именно представителей вендоров, консультантов, вузов и т.п. организаций были действительно интересно, так как вообще ничего не рекламировали (ну или почти ничего). Посколько докладов я посетил немало, то в ближайшие недели буду делиться наиболее запомнившимися мне идеями и мыслями. Там было немало полезного и для нашего рынка.

ЗЗЫ. Кстати, в ФБ возник вопрос о том, поехал бы я за свои деньги на это мероприятие? Интересный вопрос, на который четкого ответа у меня нет, так как все-таки я сейчас нахожусь немного в иной роли. Но как монетизировать и "отбить" такую поездку я бы нашел. Уж точно стоит посещать такое мероприятие журналистам и владельцам порталов по ИБ (тем для статей и заметок потом будет у них много), интеграторам в поисках новых ниш и продуктов, в том числе и для российского рынка (хотя именно тут, возможно, лондонская InfoSecurity будет поинтереснее), стартаперам (посмотреть, как подают себя на американском рынке, который для многих является мечтой). 

1 коммент.:

СВП комментирует...

Алексей, спасибо за детальные описание своих впечатлений об RSA Conference!

Да, это ключевая тусовка в мире по ИБ. Мне удалось побывать на нескольких ( 5-ти) европейских,
начиная с 2002 года в Париже, где кураторы из RSA Security предоставили мне возможность (впервые русскому!)
на 15" сделать сообщение об активности внесения наших ГОСТов в RFC под PKI - вот http://cl.ly/fVr0 :-)
В последующих участвовал в РГ по ОТР и по PKCS#11, куда тоже удалось "вкрапить" наши ГОСТы,
что, вообще говоря,требовало усилий, даже иногда приходилось прессовать тамошних гуру:-)

Вообще, Алексей, по-моему, мы профукали полностью предметную атрибутику безопасноти в мобильной
среде, хотя нам как-то удается подстроиться со своими стандартами в схемах 3G/LTE, например, 3GPP 35.231
где в TUAK есть возможность заменить SHA-3 на 34.11-2012, чем бы надо непременно воспользоваться для госов!

Еще раз спасибо за обзор, Лёша, с удовольствием почитал и как-будто побывал на конференции,
поскольку дух там продуктивный и не выветривается.