Kontakty
Domov

Alexey Lukatsky neštandardné detaily biografie. Alexey Lukatsky

Naším dnešným hosťom je Alexey Lukatsky, známy odborník v oblasti informačnej bezpečnosti a obchodný konzultant spoločnosti Cisco. Hlavnou témou rozhovoru bola mimoriadne zaujímavá oblasť – bezpečnosť moderných áut a iných vozidiel. Ak chcete vedieť, prečo drony hackujú ešte častejšie ako autá a prečo výrobcovia poľnohospodárskych zariadení blokujú neoprávnené opravy na svojich strojoch na úrovni firmvéru, čítajte ďalej!

O bezpečnosti moderných áut

Medzi väčšinou ľudí existuje nebezpečná mylná predstava, že auto je niečo jedinečné, odlišný od bežného počítača. V skutočnosti nie je.

V Izraeli má Cisco samostatnú divíziu, ktorá sa zaoberá automobilovou kybernetickou bezpečnosťou. Objavil sa po akvizícii jedného z izraelských startupov, ktorý v tejto oblasti pôsobil.

Auto sa nelíši od domácej alebo firemnej siete, o čom svedčia rôzne štúdie skúmajúce, čo dokáže narušiteľ urobiť s autom. Ukazuje sa, že aj autá majú počítače, len sú malé a nenápadné. Volajú sa ECU (Electronic Control Unit) a v aute sú ich desiatky. Každé elektricky ovládané okno, brzdový systém, monitor tlaku v pneumatikách, snímač teploty, zámok dverí, systém palubného počítača atď., To všetko sú počítače, z ktorých každý riadi inú prácu. Prostredníctvom takýchto počítačových modulov môžete zmeniť logiku auta. Všetky tieto moduly sú spojené do jednej siete, dĺžka káblov sa niekedy meria v kilometroch, počet rozhraní sa pohybuje v tisícoch a množstvo kódu je milióny riadkov pre bežný palubný počítač a vo všeobecnosti , na celú elektronickú náplň (v kozmickej lodi je ich menej). Podľa rôznych odhadov až 40 % moderného auta tvorí elektronika a softvér. Množstvo softvéru v prémiových autách dosahuje až gigabajt.
Neberiem do úvahy produkciu ruského automobilového priemyslu, kde našťastie (z hľadiska bezpečnosti) nie je vážne vypchávanie počítačov. Ale ak vezmeme do úvahy takmer všetky zahraničné automobilky, potom všetci v súčasnosti využívajú počítače aj tie najlacnejšie modely svojich áut.

Áno, autá majú počítače.Áno, majú svoje vlastné protokoly na výmenu údajov, ktoré nie sú tajné: môžete sa k nim pripojiť, zachytávať údaje a upravovať ich. Ako ukazujú prípadové štúdie od výrobcov ako Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge a Mercedes-Benz, útočníci sa celkom dobre naučili, ako analyzovať, čo sa deje vo vnútri auta, ako analyzovať interakciu vonkajšieho sveta. s autom. Odborníci odhadujú, že 98 % všetkých testovaných softvérových aplikácií v automobiloch (a poskytujú až 90 % všetkých inovácií) má vážne chyby a niektoré aplikácie majú takýchto chýb desiatky.

Teraz v rámci rôznych projektov v Európe a Amerike vznikajú takzvané inteligentné cesty.(napr. projekty EVITA, VANET, simTD). Umožňujú autu komunikovať s povrchom vozovky, semaformi, parkoviskami, centrami riadenia dopravy. Auto bude schopné automaticky, bez zásahu človeka, riadiť premávku, zápchy, parkoviská, spomaľovať, prijímať informácie o dopravných udalostiach tak, aby vstavaný navigátor mohol samostatne prestavať trasu a nasmerovať auto po menej frekventovaných diaľniciach. Celá táto interakcia teraz, žiaľ, prebieha v takmer nechránenom režime. Samotné auto ani táto interakcia nie sú takmer nijak chránené. Je to spôsobené všeobecnou mylnou predstavou, že systémy tohto druhu sa veľmi ťažko študujú a nikoho nezaujímajú.

Existujú aj problémy súvisiace s podnikaním. Biznisu vládne ten, kto prvý vstúpi na trh. Ak teda výrobca ako prvý uviedol na trh určitú novinku, zaujal na tomto trhu veľký podiel. Preto bezpečnosť, ktorej implementácia a hlavne testovanie vyžaduje veľa času, vždy stiahne mnoho podnikov späť. Často kvôli tomu firmy (týka sa to nielen áut, ale internetu vecí ako takého) buď odkladajú zabezpečenie na neskôr, alebo sa ním vôbec nezaoberajú, riešia prízemnejšiu úlohu – rýchlo vydať produkt na trh.

Známe hacky, ktoré sa vyskytli v minulosti, súviseli so zásahmi do činnosti bŕzd, vypínaním motora za jazdy, zachytávaním údajov o polohe auta, diaľkovým vypínaním zámkov dverí. To znamená, že útočníci majú celkom zaujímavé možnosti na vykonanie určitých akcií. Našťastie, zatiaľ čo takéto akcie sa v reálnom živote nevykonávajú, ide skôr o takzvaný proof-of-concept, teda určitú ukážku možností ukradnúť auto, zastaviť ho na cestách, prevziať kontrolu a tak ďalej.

Čo sa dnes dá robiť s autom? Hacknite systém riadenia dopravy, čo povedie k dopravným nehodám a dopravným zápcham; zachytiť signál PKES a ukradnúť auto; meniť trasy cez RDS; svojvoľne zrýchliť auto; zablokovať brzdový systém alebo motor na cestách; zmeniť body POI v navigačnom systéme; zachytiť polohu alebo zablokovať prenos informácií o polohe; blokovať prenos signálu o krádeži; kradnúť obsah v zábavnom systéme; vykonať zmeny v ECU a pod. To všetko je možné uskutočniť tak priamym fyzickým prístupom, prostredníctvom pripojenia k diagnostickému portu automobilu, ako aj nepriamym fyzickým prístupom cez CD s upraveným firmvérom alebo cez mechanizmus PassThru, ako aj bezdrôtovým prístupom na blízko (napr. , Bluetooth) alebo na veľké vzdialenosti (napríklad cez internet alebo mobilnú aplikáciu).

Z dlhodobého hľadiska, ak predajcovia nepremýšľajú o tom, čo sa deje, môže to viesť k smutným následkom. Existujú celkom jednoduché príklady, ktoré ešte nenaznačujú, že hackeri sa aktívne chopili áut, ale sú už použiteľné v reálnom živote. Napríklad potlačenie zabudovaných tachografov, ktoré majú senzory GPS alebo GLONASS. O takýchto prípadoch s GLONASS som v ruskej praxi nepočul, ale v Amerike boli precedensy s GPS, keď útočníci rušili signál obrneného auta zberateľov a ukradli ho na neznáme miesto, aby ho roztrhali a vytiahli všetky cennosti. Výskum v tejto oblasti sa uskutočnil v Európe, vo Veľkej Británii. Takéto prípady sú prvým krokom k útokom na auto. Lebo všetko ostatné (vypnutie motora, vypnutie bŕzd za chodu) som, našťastie, v reálnej praxi nikdy nepočul. Aj keď samotná možnosť takýchto útokov naznačuje, že výrobcovia a hlavne spotrebitelia by sa mali zamyslieť nad tým, čo robia a čo kupujú.

Stojí za to povedať, že ani šifrovanie sa nepoužíva všade. Hoci šifrovanie môže byť pôvodne zabezpečené dizajnom, nie je ani zďaleka vždy povolené, pretože načítava kanál, zavádza určité oneskorenia a môže viesť k zhoršeniu niektorých spotrebiteľských charakteristík spojených so zariadením.

V mnohých krajinách je šifrovanie veľmi špecifickým typom podnikania, ktoré si vyžaduje získanie povolenia od vládnych agentúr. Z toho vyplývajú aj určité obmedzenia. Export zariadení s funkciou šifrovania podlieha takzvaným Wassenaarským dohodám o vývoze technológie dvojakého použitia, ktoré zahŕňajú šifrovanie. Výrobca je povinný získať vývozné povolenie od krajiny výroby a následne získať povolenie na dovoz pre krajinu, do ktorej bude výrobok dovezený. Ak sa situácia so softvérom už upokojila, hoci existujú ťažkosti a obmedzenia, stále existujú problémy s takými novotvarmi, ako je šifrovanie na internete vecí. Ide o to, že nikto nevie, ako to regulovať.

Má to však svoje výhody, pretože regulačné orgány stále takmer nehľadia na šifrovanie internetu vecí a najmä áut. Napríklad v Rusku FSB veľmi prísne kontroluje dovoz softvéru a telekomunikačných zariadení obsahujúcich šifrovacie funkcie, ale prakticky nereguluje šifrovanie v dronoch, autách a iných počítačových výplniach, takže je mimo rámca regulácie. FSB to nevidí ako veľký problém: teroristi a extrémisti to nevyužívajú. Preto zatiaľ čo takéto šifrovanie zostáva mimo kontroly, hoci formálne spadá pod zákon.

Šifrovanie je, žiaľ, veľmi často implementované na základnej úrovni. Keď v skutočnosti ide o bežnú operáciu XOR, to znamená nahradenie niektorých znakov inými podľa určitého jednoduchého algoritmu, ktorý sa dá ľahko zachytiť. Šifrovanie navyše často realizujú neodborníci v oblasti kryptografie, ktorí berú hotové knižnice stiahnuté z internetu. Výsledkom je, že v takýchto implementáciách možno nájsť slabé miesta, ktoré vám umožňujú obísť šifrovací algoritmus a prinajmenšom zachytiť údaje a niekedy preniknúť do kanála a nahradiť ho.

Požiadavka na bezpečnosť auta

Naša izraelská divízia má riešenie s názvom Autoguard. Toto je malý firewall pre autá, ktorý kontroluje, čo sa deje vo vnútri, a interaguje s vonkajším svetom. V skutočnosti analyzuje príkazy vymieňané medzi prvkami palubného počítača a senzorov, kontroluje prístup zvonku, teda určuje, kto sa môže a kto nemôže pripojiť k vnútornej elektronike a výplni.

V januári 2018 v Las Vegas na najväčšom veľtrhu elektroniky CES oznámili Cisco a Hyundai Motor Company vytvorenie novej generácie vozidla, ktoré bude využívať architektúru softvérovo definovaného vozidla (Software Defined Vehicle) a bude vybavené najnovšou sieťou. technológií vrátane mechanizmov kybernetickej bezpečnosti. Prvé autá by mali zísť z montážnej linky v roku 2019.

Na rozdiel od spotrebnej elektroniky a podnikových IT riešení je automobilová bezpečnosť veľmi špecifickým trhom. Na celom svete je na tomto trhu len niekoľko desiatok spotrebiteľov – čo sa týka počtu výrobcov áut. Bohužiaľ, samotný majiteľ auta nie je schopný zvýšiť kybernetickú bezpečnosť svojho "železného koňa". Projekty tohto druhu nie sú spravidla presne inzerované, ale nie sú vo verejnej doméne, pretože nejde o milióny spoločností, ktoré potrebujú smerovače, a nie o stovky miliónov používateľov, ktorí potrebujú bezpečné smartfóny. To sú len tri-štyri desiatky výrobcov áut, ktorí nechcú upozorňovať na to, ako je vybudovaný proces ochrany auta.

Mnoho výrobcov berie ochranu na ľahkú váhu, iní sa na túto oblasť iba pozerajú a vykonávajú rôzne testy, pretože so životným cyklom auta je spojené špecifikum. V Rusku je priemerná životnosť auta päť až šesť rokov (v centrálnych regiónoch a veľkých mestách tri až štyri roky av regiónoch sedem až osem rokov). Ak teraz výrobca uvažuje o zavedení kybernetickej bezpečnosti do svojho automobilového radu, potom toto riešenie vstúpi na masový trh o desať rokov, nie skôr. Na Západe je situácia trochu iná. Tam sa autá menia častejšie, no aj v tomto prípade je predčasné povedať, že autá sú dostatočne vybavené ochrannými systémami. Nikto preto nechce na túto tému veľmi upozorňovať.

Útočníci teraz môžu začať útočiť na autá alebo vyprovokovať zvolávanie áut kvôli problémom s počítačovou bezpečnosťou. To môže byť pre výrobcov veľmi nákladné, pretože vždy existujú slabé miesta. Samozrejme, že sa nájdu. Ale zvolávanie tisícok alebo stoviek tisíc zraniteľných vozidiel zakaždým z dôvodu zraniteľnosti je príliš drahé. Preto táto téma nie je veľmi počúvaná, no veľkí výrobcovia, samozrejme, pracujú a premýšľajú o perspektívach tohto trhu. Podľa odhadov GSMA bude do roku 2025 100 % áut pripojených na internet (tzv. pripojené autá). Neviem, do akej miery je v týchto štatistikách zohľadnené Rusko, ale počítajú sa do nich svetoví automobiloví giganti.

Bezpečnosť iných druhov dopravy

Vo všetkých typoch vozidiel sú slabé miesta. Ide o leteckú dopravu, námornú dopravu, nákladnú dopravu. Potrubia sa nebudú brať do úvahy, hoci sa tiež považujú za spôsob dopravy. Akékoľvek moderné vozidlo obsahuje pomerne výkonnú počítačovú výplň a často ju vyvíjajú bežní IT špecialisti a programátori, ktorí pri vytváraní kódu robia klasické chyby.

Z hľadiska vývoja je prístup k takýmto projektom mierne odlišný od toho, čo robí Microsoft, Oracle, SAP alebo Cisco. A testovanie sa nerobí na rovnakej úrovni. Známe sú preto prípady nájdenia slabín a ukážky možnosti hacknutia lietadiel či námornej dopravy. Z tohto zoznamu preto nemožno vylúčiť žiadne vozidlá – ich kybernetická bezpečnosť dnes nie je na veľmi vysokej úrovni.

S dronmi je situácia úplne rovnaká a ešte jednoduchšia, pretože ide o masovejší trh. Takmer každý má možnosť kúpiť si dron a rozobrať ho na výskum. Aj keď stojí dron niekoľko tisíc dolárov, môžete si ho kúpiť v taške, analyzovať ho a nájsť zraniteľné miesta. Potom môžete takéto zariadenia buď ukradnúť, alebo s nimi pristáť za chodu a zachytiť tak riadiaci kanál. Je tiež možné vyprovokovať ich k pádu a spôsobiť škodu majiteľovi, prípadne ukradnúť balíky, ktoré drony prepravujú, ak slúžia na prepravu tovaru a zásielok.

Vzhľadom na množstvo dronov je pochopiteľné, prečo útočníci aktívne skúmajú tento konkrétny trh: je viac monetizovaný. Situácia v tejto oblasti je ešte aktívnejšia ako pri autách, pretože z toho majú priamy prospech „zlí“. Nie je prítomný pri vlámaní do auta, nepočítajúc možné vydieranie automobilky. Navyše, vydieranie môže ísť do väzenia a postup na získanie výkupného je oveľa komplikovanejší. Samozrejme, môžete sa pokúsiť získať peniaze od automobilky legálnou cestou, ale je len veľmi málo ľudí, ktorí zarábajú peniaze hľadaním takýchto zraniteľností legálne a za peniaze.

Keď výrobcovia blokujú aktualizácie

Nedávno sa stal zaujímavý prípad – výrobca poľnohospodárskych strojov. V tejto situácii nevidím nič nadprirodzené a odporujúce obchodnej praxi z pohľadu výrobcu. Chce prevziať kontrolu nad procesom aktualizácie softvéru a uzamknúť svojich zákazníkov. Keďže záručná podpora sú peniaze, výrobca chce na nej aj naďalej zarábať, čím sa znížia riziká odchodu zákazníkov k iným dodávateľom zariadení.

Podľa tohto princípu takmer všetky spoločnosti pôsobiace v oblastiach súvisiacich s IT „žijú“, ako aj firmy – výrobcovia áut, poľnohospodárskych strojov, leteckej techniky či dronov, ktorí implementujú IT doma. Je jasné, že akýkoľvek neoprávnený zásah môže viesť k smutným následkom, takže výrobcovia zatvárajú možnosť samoaktualizácie softvéru a tu im rozumiem dokonale.

Keď spotrebiteľ nechce platiť za záručnú podporu zariadenia, začne hľadať aktualizácie firmvéru na rôznych warez stránkach. To môže na jednej strane viesť k tomu, že si zadarmo aktualizuje softvér, no na druhej strane to môže viesť k poškodeniu. V praxi Cisco sa vyskytol najmä prípad, keď firmy, ktoré nechceli platiť za podporu (v tomto prípade samozrejme nie za automobilovú či poľnohospodársku techniku, ale za bežné sieťové vybavenie), si niekde na hackerských fórach stiahli firmvér. Ako sa ukázalo, tento firmvér obsahoval „záložky“. V dôsledku toho pre množstvo zákazníkov unikli informácie, ktoré prešli cez sieťové zariadenia, k neznámym osobám. Na svete bolo niekoľko spoločností, ktoré tomu čelili.

Ak budeme pokračovať v prirovnaní a predstavíme si, čo všetko sa dá robiť s poľnohospodárskymi strojmi, obraz bude smutný. Teoreticky je možné zablokovať prácu poľnohospodárskych strojov a požadovať výkupné za obnovenie prístupu k strojom, ktoré stoja státisíce dolárov alebo dokonca milióny. Našťastie, pokiaľ viem, zatiaľ k takýmto precedensom nedošlo, no nevylučujem, že sa môžu v budúcnosti objaviť, ak bude táto prax pokračovať.

Ako zvýšiť bezpečnosť vozidla

Pokyn je veľmi jednoduchý: musíte pochopiť, že problém existuje. Faktom je, že pre mnohých manažérov takýto problém neexistuje, považujú to buď za pritiahnuté za vlasy, alebo nie veľmi populárne zo strany trhu, a preto nie sú pripravení na to utrácať peniaze.

Pred tromi alebo štyrmi rokmi sa v Moskve konal Connected Car Summit, kde sa hovorilo o rôznych novodobých veciach súvisiacich s automatizáciou a informatizáciou áut. Napríklad o sledovaní polohy (zdieľanie auta s pripojením na internet) a podobne. Hovoril som tam so správou o bezpečnosti áut. A keď som hovoril o rôznych príkladoch toho, čo sa dá urobiť s autom, po prejave za mnou prišlo veľa spoločností, výrobcov a spoločností zdieľajúcich autá a povedali: „Ach, ani sme o tom nepremýšľali. Čo urobíme?"

V Rusku je málo výrobcov automobilov. Po prejave ma oslovil zástupca jedného z nich a povedal mi, že hoci o počítačovej bezpečnosti ani neuvažujú, pretože úroveň informatizácie je veľmi nízka, musia najprv pochopiť, čo sa dá do auta pridať z hľadiska počítačov. plnkou. Keď som sa tohto zástupcu spýtal, či vôbec budú uvažovať o bezpečnosti, odpovedal, že sa o tom uvažuje vo veľmi dlhodobom horizonte. Toto je kľúčový bod: musíte myslieť na to, že počítačová bezpečnosť je neoddeliteľnou súčasťou, nie je to externá „namontovaná“ funkcia, ale vlastnosť moderného auta. To je polovica úspechu pri zabezpečovaní bezpečnosti dopravy.

Druhým nevyhnutným krokom je najatie špecialistov, interných alebo externých. Potrebujeme ľudí, ktorí dokážu legálne prelomiť existujúce riešenia a hľadať v nich slabé miesta. Teraz existujú individuálni nadšenci alebo firmy, ktoré sa zaoberajú testovaním alebo analyzovaním bezpečnosti automobilov a ich počítačovej výbavy. Nie je ich veľa, pretože ide o pomerne úzky trh, kde sa nemôžete otočiť a zarobiť veľa peňazí. V Rusku nepoznám nikoho, kto by to robil. Ale sú firmy, ktoré sa zaoberajú bezpečnostnými analýzami a robia celkom špecifické veci – testujú automatizované systémy riadenia procesov a podobne. Možno by si mohli vyskúšať autá.

Tretím prvkom je implementácia bezpečných rozvojových mechanizmov. Toto je už dlho známe vývojárom konvenčného softvéru, najmä v Rusku boli nedávno prijaté príslušné GOST pre bezpečný vývoj softvéru. Ide o súbor odporúčaní, ako správne napísať kód, aby bolo ťažšie ho prelomiť, ako sa vyhnúť konštrukciám, ktoré by viedli k pretečeniu vyrovnávacej pamäte, zachytávaniu údajov, spoofingu údajov, odmietnutiu služby atď.

Štvrtým krokom je implementácia technických bezpečnostných riešení, teda používanie špeciálnych čipov v autách, budovanie bezpečnostnej architektúry. V štábe developerov by mali byť architekti, ktorí sa venujú špeciálne otázkam bezpečnosti. Poradia si aj s architektúrou auta z hľadiska ochrany, architektúrou riadiaceho systému. Pretože vždy je možné zaútočiť nie na auto samotné - oveľa efektívnejšie je hacknúť riadiaci systém a získať kontrolu nad všetkými autami.

Ako sa to nedávno stalo s online pokladnicami, ktoré zrazu prestali fungovať v deň stého výročia FSB. Koniec koncov, online pokladnica je, zhruba povedané, to isté auto: má počítačovú náplň, existuje firmvér. Firmvér odrazu prestal fungovať a štvrtina celého maloobchodného trhu vstala na niekoľko hodín. Rovnako je to aj s autami: zle napísaný kód, v ňom nájdené zraniteľnosti či hacknutie riadiaceho systému môže viesť k dosť smutným následkom. Ale ak v prípade online pokladníc boli straty merané v miliardách, tak v prípade áut budú obete.

Hoci pri autách netreba čakať na hacknutie či ovládnutie desiatok miliónov vozidiel. Stačí ich rozlúsknuť pár a už na ceste príde chaos. A ak sa fakt o hackovaní dostane na verejnosť, môžete si byť istí, že to médiá vytrúbi do celého sveta a majitelia áut budú zhrození z „vyhliadok“, ktoré sa im otvorili.

Vo všeobecnosti existujú tri úrovne ochrany pre moderné vozidlo. Ide o vstavanú kybernetickú bezpečnosť samotného auta (imobilizér, PKES, zabezpečená interná komunikácia medzi ECU, detekcia anomálií a útokov, kontrola prístupu, dôveryhodné bezpečnostné moduly); bezpečnosť komunikácie (ochrana externej komunikácie s riadiacim centrom cestnej infraštruktúry, výrobcom automobilu alebo jeho jednotlivých častí, ochrana sťahovania aplikácií, obsahu, aktualizácií, ochrana tachografov); a bezpečnosť cestnej infraštruktúry.

Čo a kde študovať ako špecialista

IT profesionálom, ktorí sú alebo chcú vyvíjať kód pre autá, vozidlá alebo drony, možno odporučiť, aby začali so štúdiom bezpečného vývoja (SDLC). To znamená, že si musíte naštudovať, čo je bezpečný vývoj vo všeobecnosti. Treba priznať, že tieto dodatočné znalosti neprinášajú ďalšie peniaze. Za neznalosť základov bezpečného vývoja sa dnes nikto netrestá, zodpovednosť neexistuje, takže ostáva na rozhodnutí samotného IT špecialistu. Spočiatku to môže byť pre špecialistu konkurenčná výhoda, pretože je málo miest, kde sa to dá vyučovať, čo vám umožňuje vyčnievať z pozadia ostatných. Ale v oblasti zabezpečenia auta, internetu vecí, dronov to nie je najpopulárnejšia požiadavka na zamestnanca. Žiaľ, treba priznať, že IT špecialisti sa tejto téme príliš nevenujú.

Bezpečný rozvoj je samoučenie vo svojej najčistejšej forme. Keďže kurzy tohto druhu prakticky neexistujú, všetky sa vyrábajú na objednávku a spravidla ide o firemné školenia. Táto téma tiež nie je zahrnutá vo federálnych štátnych vzdelávacích štandardoch, takže zostáva len samoštúdium alebo chodenie na kurzy spoločností, ktoré sa zaoberajú analýzou kódu. Existujú také spoločnosti - medzi ruskými hráčmi napríklad Solar Security alebo Positive Technologies. Na západe je ich oveľa viac, napríklad IBM, Coverity, Synopsys, Black Duck. Na túto tému organizujú rôzne semináre (platené aj bezplatné), kde sa môžete dozvedieť nejaké poznatky.

Druhým smerom pre IT-špecialistov sú architekti. To znamená, že sa môžete stať architektom pre bezpečnosť takýchto projektov, pre internet vecí vo všeobecnosti, pretože sú plus mínus postavené podľa rovnakých zákonov. Ide o centrálny riadiaci systém z cloudu a množstvo senzorov: buď úzko zamerané, ako napríklad dron, alebo senzory integrované v aute alebo väčšom vozidle, ktoré je potrebné správne nakonfigurovať, implementovať a navrhnúť. Je potrebné brať do úvahy rôzne hrozby, to znamená, že je potrebné takzvané modelovanie hrozieb. Je tiež potrebné vziať do úvahy správanie potenciálneho narušiteľa, aby sme pochopili jeho potenciálne schopnosti a motiváciu a na základe toho navrhli mechanizmy na odpudzovanie budúcich hrozieb.

Na internete nájdete množstvo užitočných materiálov. Môžete si prečítať aj rôzne prezentácie z konferencií ako DEF CON a Black Hat. Môžete si pozrieť materiály spoločností: mnohé na svojich webových stránkach publikujú celkom dobré prezentácie a whitepapery, popisy typických chýb v kóde atď. Môžete sa pokúsiť nájsť prezentácie zo špecializovaných podujatí na zabezpečenie automobilov (napríklad Automotive Cybersecurity Summit, Vehicle Cyber ​​​​Security Summit, Connected Cars Summit, CyberSecureCar Europe).
Okrem toho má teraz ruský regulátor FSTEC Ruska (Federálna služba pre technickú a exportnú kontrolu) niekoľko iniciatív, najmä sa navrhuje zverejňovať na internete typické chyby, ktoré programátori robia v kóde, aby sa zachovala určitá databáza. takýchto chýb. Zatiaľ sa to nerealizovalo, ale regulátor v tomto smere pracuje, hoci nie vždy majú dostatok zdrojov.

Po úniku kybernetického arzenálu CIA a NSA na internet sa môže každý, dokonca aj „domáci hacker“, cítiť ako špeciálny agent. Veď vlastní takmer rovnaký arzenál. To núti architektov zaujať úplne odlišný prístup k tomu, ako budujú svoje systémy. Podľa rôznych štúdií, ak premýšľate o bezpečnosti vo fáze vytvárania architektúry, potom sa na jej implementáciu vynaloží X zdrojov. Ak zmeníte architektúru už v štádiu komerčnej prevádzky, bude si to vyžadovať tridsaťkrát viac zdrojov, času, ľudí a peňazí.

Architekt je veľmi módne a hlavne veľmi výnosné povolanie. Nemôžem povedať, že v Rusku je po takýchto špecialistoch veľký dopyt, ale na Západe je bezpečnostný architekt jednou z najlepšie platených špecialít, ročný príjem takéhoto špecialistu je asi dvestotisíc dolárov. V Rusku je podľa ministerstva práce každoročne nedostatok asi 50 000 – 60 000 ochrankárov. Sú medzi nimi architekti, správcovia, manažéri a modelári hrozieb, veľmi široká škála bezpečnostných profesionálov, ktorých je v Rusku pravidelne nedostatok.

Architekti sa však tiež neučia na vysokých školách. V podstate ide o rekvalifikáciu, teda vhodné kurzy, prípadne samoštúdium.

V Rusku sa praktizuje najmä firemné vzdelávanie. Pretože nejde o masový trh a školiace strediská ho nezaraďujú do svojich programov ako kurzy. Toto je len na objednávku. Teoreticky je to potrebné spočiatku zahrnúť do verejného vzdelávania na vysokých školách. Položiť základy pre správny dizajn rôznych architektúr. Bohužiaľ, federálne štátne vzdelávacie štandardy píšu ľudia, ktorí sú veľmi ďaleko od reality a praxe. Často sú to bývalí ľudia v uniformách, ktorí nie vždy vedia správne navrhnúť systémy, alebo sú v tomto veľmi špecifickí: ich znalosti súvisia so štátnymi tajomstvami alebo bojom proti cudzej technickej rozviedke, a to je trochu iná skúsenosť. Takáto skúsenosť sa nedá nazvať zlou, no je iná a v komerčnom segmente a internete vecí málo využiteľná. Federálne štátne vzdelávacie štandardy sa aktualizujú veľmi pomaly, približne raz za tri až štyri roky, a väčšinou sa v nich robia kozmetické zmeny. Je jasné, že v takejto situácii nie je dostatok špecialistov a nebude dosť.

Práca v Cisco

Cisco má vývoj v Rusku. V súčasnosti sa pracuje na vytvorení otvorenej zásobníkovej platformy pre poskytovateľov služieb a dátové centrá. Máme tiež množstvo zmlúv s ruskými spoločnosťami, ktoré pre nás riešia jednotlivé projekty. Jedným z nich je Perspective Monitoring, ktorý píše samostatné obslužné programy pre sieťovú prevádzku na rozpoznanie rôznych aplikácií, ktoré sú potom zabudované do našich nástrojov na zabezpečenie siete. Vo všeobecnosti máme, ako väčšina globálnych IT spoločností, vo svete niekoľko vývojových centier a regionálne kancelárie vykonávajú funkcie marketingu, podpory a predaja.

Máme program stáží pre absolventov vysokých škôl - rok v Európe, v našej akadémii. Predtým prejdú veľkou súťažou a potom ich na rok pošlú do niektorej z európskych metropol. Po návrate sú distribuované do našich kancelárií v Rusku a krajinách SNŠ. Sú to inžinieri, ktorí navrhujú systémy a podporujú ich, ako aj ľudia, ktorí sa podieľajú na predaji.

Niekedy máme voľné miesta, keď niekto ide na povýšenie alebo odíde z firmy. V podstate ide buď o inžinierske pozície, alebo o pozície súvisiace s predajom. Vzhľadom na úroveň spoločnosti Cisco v tomto prípade neprijímame študentov, ale ľudí, ktorí na nejakej pozícii pracujú viac ako jeden rok. Ak ide o inžiniera, potom musí mať dostatočné množstvo certifikácie Cisco. Nie je potrebná základná CCNA, spravidla sa vyžaduje minimálne CCNP, ale s najväčšou pravdepodobnosťou musí odborník prejsť certifikáciou CCIE - to je maximálna úroveň certifikácie Cisco. V Rusku je takých ľudí málo, preto máme často problém, keď potrebujeme nájsť inžinierov. Hoci vo všeobecnosti nie je rotácia v spoločnosti príliš veľká, meria sa na úrovni 1-2 % ročne. Americké firmy v Rusku napriek ekonomickej situácii platia veľmi dobre, sociálny balíček je dobrý, takže od nás väčšinou ľudia neodchádzajú.

O odpovedaťzdanlivo zrejmé. Ak chcete blogovať ako Lukatsky, musíte byť Lukatsky. Poďme sa však pozrieť hlbšie na metódy a motiváciu vedenia vlastného blogu.Blogovanie je droga. Aj keď ste už dnes napísali kopu príspevkov, tweetov a komentárov na všetky možné sociálne siete, chcete stále viac. Čím viac informácií vás zaujíma, tým viac chcete konzumovať blogy, stránky, weby. Čím viac kanálov máte na distribúciu svojich informácií, tým viac spôsobov musíte komunikovať s vonkajším svetom.

Skutočnou hodnotou každého blogu pre jeho majiteľa je cenovo dostupný spôsob komunikácie informácií širokému publiku. Blog vám navyše umožňuje zvýšiť si vlastnú sebaúctu, skryť svoje slabosti vo vnútri a naopak vystaviť svoje prednosti navonok.

Túžba vytvoriť si vlastnú značku

Prvým dôvodom blogovania je mať čo povedať publiku. Svet je presýtený informáciami, dopyt po užitočných a aktuálnych informáciách rastie, čo dáva nové príležitosti ľuďom, ktorí to považujú za spôsob, ako odomknúť svoj potenciál.

Druhý dôvod je dosť sebecký – túžba vytvoriť si vlastnú značku, teda robiť to, čo milujete, aby ste z toho mali osobný prospech (ups, nenútene sformulovaný sen každého hackera).

Poďme zistiť, či máte predpoklady na vytvorenie vlastnej značky v sociálnych sieťach.

V prvom rade sa treba pri výbere témy na blogovanie na niečo zamerať. Máte problém s výberom.

1. Značka hlásenej informácie (predpokladá sa, že ide o nejakú exkluzivitu, a’la Arustamyan z futbalu so svojimi pseudonovinkami).

2. Značka odborníka – treba si ju zaslúžiť, a to je dlhá a tŕnistá cesta. Kolegovia v dielni by mali vo vašej osobe rozpoznať špecialistu na schopnosť sprostredkovať kvalitné informácie prístupnou formou.

3. Značka znalostí – na to, aby sa vedomosti odvysielali publiku, musia sa najskôr získať, a to je práca, ktorá sa nemusí vyplatiť. V každom prípade musíte zvýšiť svoj potenciál ako zástupca profesie.

4. No, a ako najčastejšia možnosť, si len talentovaný človek, sršíš túžbou stať sa slávnym a je ti jedno, o čom budeš písať/hovoriť (väčšina začínajúcich blogerov si to myslí).

Musíte sa naučiť, ako podať látku tak, aby bola a) zrozumiteľná, b) relevantná a potom čokoľvek sa vám páči: zaujímavé, vzrušujúce, aforistické, ľahké, s humorom. Koniec koncov, písanie alebo verejné vystupovanie sú zručnosti, ktoré sa dajú naučiť a prísť so skúsenosťami.

Väčšina ľudí (v kontexte tohto článku - blogeri) sa zaoberá buď interpretáciou myšlienok iných ľudí (presne to, čo teraz robím ja), alebo agregovaním tlačových správ (udalosti, voľné miesta atď.), vrátane vysielania vlastných správ. značka / produkt , publikovanie potrebného obsahu z výstav, konferencií, prezentácií a pod. No ani v tomto prípade málokto dokáže zabaliť informácie do kvalitného materiálu (neberieme do úvahy profesionálnych novinárov). A prečo? Spravodajská prezentácia materiálov vyhovuje väčšine cieľového publika. Pri súčasnom nedostatku času a nadbytku materiálov na ďalšie nemá čitateľ dostatok síl ani trpezlivosti.

Napriek tvrdeniu v názve, ak nie ako Lukatsky, ale máte všetko, čo potrebujete, aby ste sa stali slávnym blogerom - človekom, ktorý vie, ako písať a je pripravený venovať všetok svoj voľný čas tejto činnosti.

To si vyžaduje iba päť termínov.

Najprv potrebujete šťastie. (a to je jeden z dôvodov, prečo sa nestanete Lukatským). Nie každý má také šťastie ako Lukatsky. Má znalosti, skúsenosti a hlavne moderné bezpečnostné technológie. Je dôležité (a je to vidieť), aby dostal podporu od svojej spoločnosti. To, čo bolo pre Lukatského len koníčkom, sa pre spoločnosť stalo novým prístupom k sprostredkovaniu potrebných informácií. Lukatského blog sa vďaka svojej popularite na sociálnych sieťach stal značkou aj v rámci spoločnosti (pochybujem, že to bola aspoň spočiatku dobre premyslená stratégia). Toto sa stalo súčasťou podnikania, ktoré Lukatsky zastupuje ( Cisco ). Prácu, ktorú robí, úprimne miluje a jeho záujem sa prenáša aj na divákov. Zaoberá sa nielen predmetom činnosti, ale aj stavom odvetvia ako celku, a to je podmanivé.

Druhým je kokteil vnútornej energie, osobnej charizmy a skúseností

Vystupovanie na verejnosti si vyžaduje charizmu, bystrú osobnosť. Lukatsky je pozývaný na rôzne podujatia, pretože je schopný vysvetliť zložité veci jednoduchými pojmami (zručnosť, ktorú sa treba naučiť) a výborne ovláda predmetnú oblasť.

Po štvrté - vidieť les pred stromami

Potrebujete vidieť / cítiť / poznať problémy cieľového publika blogu. Špičkoví blogeri poskytujú čitateľom svojich blogov neoceniteľnú pomoc pri riešení problémov. Preberanie materiálu a jeho balenie do jasných a zaujímavých blogových príspevkov je niečo, čo robia pravidelne a dobre.

Blog nie je len spôsob komunikácie informácií, ale aj príležitosť na kariérny rast (nikto nie je prorokom vo vlastnej krajine). Lukatsky je príkladom vytvorenia novej pozície vo firme – doménového tlmočníka na prilákanie nového publika.

A nakoniec piate – blogovanie si vyžaduje železnú disciplínu pravidelne (čím častejšie, tým lepšie) uverejňovať materiály na svojom blogu.

No, ako ďalšia voliteľná možnosť - je žiaduce pravidelne organizovať školiace semináre na propagáciu vašej značky.

Aby som parafrázoval známy výrok: ľudia zabudnú, čo si napísal, ľudia zabudnú, čo si povedal, ľudia nezabudnú, čo vďaka tebe pochopili. Teraz každé železo vysiela, že Lukatsky má zajtra seminár o osobných údajoch (možno je to forma PR, roboty už dávno vysielajú pomocou IVR -technológie, alebo naozaj ešte v Rusku zostali odľahlé dediny na Kamčatke, ktorých obyvatelia nenavštevovali Lukatského semináre o osobných údajoch?). Ale vážne, jeho články, prezentácie, slajdy sa replikujú všetkým publikám a žijú si vlastným životom, a to je normálne, posilňuje to značku.
Takže nebudete môcť blogovať ako Lukatsky. A kto to urobil, kedy to prestalo?! Ako vtipkoval Andrei Knyshev: "Ten, kto vyliezol vyššie, vyliezol skôr."

Narodil som sa v roku 1973 v Moskve, kde aj napriek snahám cudzích mocností dostať ma do radov svojich občanov dodnes žijem. V roku 1996 ukončil štúdium na Moskovskom inštitúte rádiového inžinierstva, elektroniky a automatizácie (MIREA) v odbore aplikovaná matematika (špecializácia - informačná bezpečnosť). Dvakrát sa pokúsil získať doktorát z technických vied, ale v oboch prípadoch, keď usvedčil budúcich vedeckých lídrov z plagiátorstva, ukončil svoju postgraduálnu kariéru. My nesúdime. Nemám žiadne štátne ani rezortné vyznamenanie.

V oblasti informačnej bezpečnosti pôsobím od roku 1992. Pracoval ako špecialista na informačnú bezpečnosť v rôznych vládnych a komerčných organizáciách. Z programátora a správcu šifrovania sa stal analytikom a manažérom rozvoja podnikania v oblasti informačnej bezpečnosti. Mal množstvo certifikácií v oblasti informačnej bezpečnosti, ale preteky o odznaky zastavil. Momentálne dávam všetko do Cisco.

Publikovalo viac ako 600 tlačených prác v rôznych publikáciách - CIO, riaditeľ informačných služieb, National Banking Journal, PRIME-TASS, Information Security, Cnews, Banking Technologies, Analytical Banking Journal, "Business Online", "Svet komunikácie". Pripojiť", "Výsledky", "Rational Enterprise Management", "Fúzie a akvizície" atď. V polovici roku 2000 prestal počítať svoje publikácie ako beznádejné cvičenie. Momentálne blogujem na internete „Podnikanie bez nebezpečenstva“.

V roku 2005 získal ocenenie Asociácie dokumentárnych telekomunikácií „Za rozvoj infokomunikácií v Rusku“ av roku 2006 cenu Infoforum v nominácii „Publikácia roka“. V januári 2007 bol zaradený do hodnotenia 100 osôb ruského IT trhu (čomu som nerozumel). V roku 2010 vyhral súťaž Lions and Gladiators. V roku 2011 mu bol udelený diplom ministra vnútra Ruskej federácie. Na konferencii Infosecurity získal trikrát ocenenie Security Awards - v rokoch 2013, 2012 a 2011 (za vzdelávacie aktivity). Za rovnakú činnosť, či skôr za blogovanie, v roku 2011 získal Anticenu Runet v nominácii „Bezpečný kotúč“. V roku 2012 bol ocenený Asociáciou ruských bánk za veľký prínos k rozvoju bezpečnosti ruského bankového systému a v roku 2013 na fóre Magnitogorsk získal ocenenie „Za metodickú podporu a úspechy v bankovej bezpečnosti ." Aj v rokoch 2013 a 2014 bol portál DLP-Expert vyhlásený za najlepšieho rečníka o informačnej bezpečnosti. Počas svojho pôsobenia v spoločnosti Cisco získal aj množstvo interných ocenení.

V roku 2001 vydal knihu Detekcia útokov (druhé vydanie tejto knihy vyšlo v roku 2003) a v roku 2002 v spolupráci s I.D. Medvedovský, P.V. Semyanov a D.G. Leonov - kniha "Útok z internetu". V roku 2003 vydal knihu „Protect Your Information With Intrusion Detection“ (v angličtine). Počas rokov 2008-2009 vydal na portáli bankir.ru knihu „Mýty a omyly informačnej bezpečnosti“.

Som autorom mnohých kurzov vrátane "Úvod do detekcie narušenia", "Systémy detekcie narušenia", "Ako prepojiť bezpečnosť s obchodnou stratégiou podniku", "Čo skrýva zákon o osobných údajoch", "ISIS a teória organizácie" ", "Meranie výkonu informačnej bezpečnosti", "Architektúra a stratégia IS". Prednášam o informačnej bezpečnosti v rôznych vzdelávacích inštitúciách a organizáciách. Bol moderátorom echo konferencie RU.SECURITY v sieti FIDO, ale tento biznis opustil kvôli exodu väčšiny špecialistov na internet.

Prvýkrát sa v ruskej tlači venoval téme:

  • Bezpečnosť obchodných informácií
  • Zabezpečenie M&A
  • Meranie efektívnosti informačnej bezpečnosti
  • Bezpečnosť SOA
  • Bezpečnosť fakturačných systémov
  • klamlivé systémy
  • Zabezpečenie IP telefónie
  • Bezpečnosť systémov na ukladanie údajov (úložisko)
  • Zabezpečenie hotspotu
  • Zabezpečenie call centra
  • Aplikácie situačných centier v informačnej bezpečnosti
  • mobilný spam
  • Bezpečnosť mobilnej siete
  • A veľa ďalších.
Zúčastňujem sa preverovania právnych úkonov v oblasti informačnej bezpečnosti a osobných údajov. Som členom podvýboru č. 1 „Ochrana informácií v úverovej a finančnej sfére“ technického výboru č. 122 „Štandardizácia finančných služieb“ Federálnej agentúry pre technickú reguláciu a metrológiu. Som členom podvýboru č. 127 "Metódy a prostriedky na zaistenie bezpečnosti IT" Technického výboru 22 "Informačné technológie" Federálnej agentúry pre technickú reguláciu a metrológiu (vykonáva funkcie ISO / IEC JTC 1 / SC 27 v Rusku ). Som členom Technického výboru 362 „Bezpečnosť informácií“ Federálnej agentúry pre technickú reguláciu a metrológiu a FSTEC. Som členom pracovnej skupiny Rady federácie pre vývoj zmien federálneho zákona-152 a rozvoj ruskej stratégie kybernetickej bezpečnosti. Som členom pracovnej skupiny Bezpečnostnej rady pre rozvoj rámca štátnej politiky pre formovanie kultúry informačnej bezpečnosti. Bol členom pracovnej skupiny centrálnej banky pre vývoj bezpečnostných požiadaviek pre Národný platobný systém (382-P). Ako nezávislý odborník bol členom Poradenského centra ARB pre aplikáciu 152-FZ „O osobných údajoch“. Bol členom organizačného výboru Verejných prerokovaní o harmonizácii legislatívy v oblasti ochrany práv subjektov osobných údajov.

Som ženatý a mám syna a dcéru. Voľný čas sa snažím venovať rodine, aj keď vyčerpávajúca práca pre dobro vlasti a zamestnávateľa mi takmer žiadny čas nedáva. Záľuby premenené na prácu alebo práca premenená na hobby sú písanie a informačná bezpečnosť. Turistike sa venujem od detstva.

PS. Fotografie pre internetové publikácie (stiahnite si vyššie alebo

Páčil sa vám článok? Zdieľaj to
Odporúčané súvisiace články
Krok za krokom majstrovská trieda. Maľba matrioška. Krok za krokom majstrovská trieda Obrázok hniezdiacich bábik pre detiKrok za krokom majstrovská trieda. Maľba matrioška. Krok za krokom majstrovská trieda Obrázok hniezdiacich bábik pre deti
Pravidlá pre poskytovanie dodatočných dní dovolenky za nepravidelný pracovný čas Dodatočné platené voľno za nepravidelný pracovný časPravidlá pre poskytovanie dodatočných dní dovolenky za nepravidelný pracovný čas Dodatočné platené voľno za nepravidelný pracovný čas
Zriadenie brigádyZriadenie brigády
Návštevníci teraz diskutujú
Charitatívna nadácia Chulpan Khamatova Darujte život dobročinnostiCharitatívna nadácia Chulpan Khamatova Darujte život dobročinnosti DPH
List od Santa Clausa - generátorList od Santa Clausa - generátor Finančné výkazy
Šablóny listov Santa ClausaŠablóny listov Santa Clausa Finančné výkazy
Ako urobiť najlepšiu selfie fotografiu pre chlapaAko urobiť najlepšiu selfie fotografiu pre chlapa Poistné