Unser heutiger Gast ist Alexey Lukatsky, ein bekannter Iund Unternehmensberater bei Cisco. Das Hauptthema des Gesprächs war ein äußerst interessanter Bereich – die Sicherheit moderner Autos und anderer Fahrzeuge. Wenn Sie wissen wollen, warum Drohnen noch häufiger gehackt werden als Autos und warum Landmaschinenhersteller unbefugte Reparaturen ihrer Maschinen auf Firmware-Ebene blockieren, lesen Sie weiter!

Über die Sicherheit moderner Autos

Bei den meisten Menschen herrscht der gefährliche Irrglaube, dass ein Auto etwas Einzigartiges sei. anders als ein normaler Computer. Eigentlich stimmt das nicht.

In Israel verfügt Cisco über eine eigene Abteilung, die sich mit der Cybersicherheit im Automobilbereich befasst. Es erschien nach der Übernahme eines der in diesem Bereich tätigen israelischen Startups.

Ein Auto unterscheidet sich nicht von einem Zuhause oder Firmennetzwerk, Dies belegen verschiedene Studien, die untersuchen, was ein Angreifer einem Auto antun kann. Es stellt sich heraus, dass Autos auch Computer haben, nur dass sie klein und unauffällig sind. Sie heißen ECU (Electronic Control Unit) und es gibt Dutzende davon in einem Auto. Jeder elektrische Fensterheber, jedes Bremssystem, jede Reifendrucküberwachung, jeder Temperatursensor, jedes Türschloss, jedes Bordcomputersystem usw. sind allesamt Computer, von denen jeder seine eigene Arbeit steuert. Durch solche Computermodule können Sie die Logik des Autos ändern. Alle diese Module sind zu einem einzigen Netzwerk zusammengefasst, die Länge der Kabel wird manchmal in Kilometern gemessen, die Anzahl der Schnittstellen geht in die Tausende und die Codemenge beträgt Millionen von Zeilen für einen normalen Bordcomputer und im Allgemeinen , alle elektronischen Komponenten (inkl Raumschiff es gibt weniger davon). Verschiedenen Schätzungen zufolge bestehen bis zu 40 % eines modernen Autos aus Elektronik und Software. Das Softwarevolumen in Premiumautos beträgt bis zu einem Gigabyte.
Ich berücksichtige nicht die Produktion der russischen Automobilindustrie, wo es glücklicherweise (aus Sicherheitsgründen) keine ernsthafte Computerfüllung gibt. Aber wenn wir fast alle ausländischen Autohersteller betrachten, dann computerisieren sie mittlerweile alle selbst die preisgünstigsten Modelle ihrer Autos.

Ja, es gibt Computer in Autos. Ja, sie verfügen über eigene Datenaustauschprotokolle, die nichts Geheimnisvolles sind: Man kann sich mit ihnen verbinden, Daten abfangen und ändern. Wie Fälle aus der Praxis von Herstellern wie Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge und Mercedes-Benz zeigen, sind Angreifer mittlerweile recht gut darin, das Geschehen im Inneren des Autos zu analysieren und haben gelernt, die Interaktion mit der Außenwelt zu analysieren Welt mit dem Auto. Experten schätzen, dass 98 % aller getesteten Softwareanwendungen in Autos (die bis zu 90 % aller Innovationen ausmachen) schwerwiegende Mängel aufweisen, und einige Anwendungen weisen Dutzende solcher Mängel auf.

Nun entstehen im Rahmen verschiedener Projekte in Europa und Amerika sogenannte Smart Roads(zum Beispiel Projekte EVITA, VANET, simTD). Sie ermöglichen dem Auto den Datenaustausch mit der Straßenoberfläche, Ampeln, Parkplätzen und Kontrollzentren Verkehr. Das Auto wird in der Lage sein, automatisch und ohne menschliches Eingreifen den Verkehr, Staus und das Parken zu kontrollieren, die Geschwindigkeit zu reduzieren und Informationen über Verkehrsstörungen zu erhalten, sodass der eingebaute Navigator die Route selbstständig neu erstellen und das Auto über weniger überfüllte Autobahnen führen kann. All diese Interaktionen finden heute leider in einem praktisch ungeschützten Modus statt. Sowohl das Auto selbst als auch dieses Zusammenspiel sind nahezu in keiner Weise geschützt. Dies liegt an der allgemeinen Fehleinschätzung, dass Systeme dieser Art sehr schwer zu studieren und für niemanden von geringem Interesse seien.

Es gibt auch geschäftliche Probleme. Im Geschäftsleben gilt, wer als Erster auf den Markt kommt. Wenn also ein Hersteller als Erster ein bestimmtes neues Produkt auf den Markt brachte, besetzte er einen großen Marktanteil. Daher zieht die Sicherheit, die viel Zeit für die Implementierung und vor allem für die Tests erfordert, viele Unternehmen immer wieder zurück. Aus diesem Grund verschieben Unternehmen (dies gilt nicht nur für Autos, sondern für das Internet der Dinge als solches) die Sicherheit oft auf einen späteren Zeitpunkt oder beschäftigen sich überhaupt nicht damit und lösen eine alltäglichere Aufgabe – die schnelle Veröffentlichung eines Produkts zum Markt.

Bekannte Hackerangriffe, die früher stattfanden, standen im Zusammenhang mit der Manipulation von Bremsen, dem Abstellen des Motors während der Fahrt, dem Abfangen von Fahrzeugstandortdaten und der Ferndeaktivierung von Türschlössern. Dies bedeutet, dass Angreifer durchaus interessante Möglichkeiten haben, bestimmte Aktionen auszuführen. Glücklicherweise haben solche Aktionen bisher stattgefunden wahres Leben wird nicht produziert, es handelt sich vielmehr um einen sogenannten Proof-of-Concept, also eine Art Demonstration der Möglichkeiten, ein Auto zu stehlen, es während der Fahrt anzuhalten, die Kontrolle zu übernehmen usw.

Was können Sie heute mit Ihrem Auto machen? Hacken Sie das Transportmanagementsystem, was zu Verkehrsunfällen und Staus führen wird; das PKES-Signal abfangen und das Auto stehlen; Routen über RDS ersetzen; das Auto willkürlich beschleunigen; Blockieren Sie die Bremsanlage oder den Motor während der Fahrt. POI-Punkte im Navigationssystem ersetzen; den Standort abfangen oder die Übertragung von Standortinformationen blockieren; die Übertragung eines Diebstahlsignals blockieren; Inhalte aus dem Unterhaltungssystem stehlen; Nehmen Sie Änderungen am Betrieb des Steuergeräts vor und so weiter. All dies kann sowohl durch direkten physischen Zugriff, durch eine Verbindung zum Diagnoseport des Fahrzeugs und durch indirekten physischen Zugriff über eine CD mit modifizierter Firmware oder durch den PassThru-Mechanismus, als auch durch drahtlosen Zugriff aus nächster Nähe (z. B. Bluetooth) oder große Entfernungen (z. B. über das Internet oder eine mobile Anwendung).

Wenn Anbieter in Zukunft nicht darüber nachdenken, was passiert, kann dies schlimme Folgen haben. Es gibt ganz einfache Beispiele, die noch nicht darauf hindeuten, dass Hacker sich aktiv mit Autos beschäftigt haben, aber bereits im wirklichen Leben anwendbar sind. Beispielsweise die Unterdrückung von eingebauten Fahrtenschreibern, die über GPS- oder GLONASS-Sensoren verfügen. Ich habe noch nie von solchen Fällen mit GLONASS gehört Russische Praxis, aber in Amerika gab es Präzedenzfälle mit GPS, als Angreifer das Signal eines Panzerwagens von Sammlern unterdrückten und ihn an einen unbekannten Ort fuhren, um ihn zu zerstören und alle Wertsachen mitzunehmen. Forschungen auf diesem Gebiet wurden in Europa, im Vereinigten Königreich, durchgeführt. Solche Fälle sind der erste Schritt zu Angriffen auf ein Auto. Denn von allem anderen (Motor abstellen, Bremsen während der Fahrt ausschalten) habe ich zum Glück noch nie in der Praxis gehört. Obwohl die bloße Möglichkeit solcher Angriffe darauf hindeutet, dass Hersteller und vor allem Verbraucher darüber nachdenken sollten, was sie tun und was sie kaufen.

Es ist erwähnenswert, dass selbst Verschlüsselung nicht überall eingesetzt wird. Obwohl die Verschlüsselung anfangs möglicherweise vom Design vorgesehen ist, ist sie nicht immer aktiviert, da sie den Kanal belastet, bestimmte Verzögerungen mit sich bringt und zur Verschlechterung einiger mit dem Gerät verbundener Verbrauchereigenschaften führen kann.

In einer Reihe von Ländern handelt es sich bei der Verschlüsselung um eine sehr spezielle Art von Geschäft, für das die Genehmigung staatlicher Behörden erforderlich ist. Dies bringt auch gewisse Einschränkungen mit sich. Der Export von Geräten mit Verschlüsselungsfunktion unterliegt den sogenannten Wassenaar-Abkommen über den Export von Dual-Use-Technologien, zu denen auch die Verschlüsselung gehört. Der Hersteller muss eine Ausfuhrgenehmigung seines Produktionslandes und anschließend eine Einfuhrgenehmigung des Landes einholen, in das das Produkt importiert werden soll. Wenn sich die Situation bei Software bereits beruhigt hat, obwohl sie ihre eigenen Schwierigkeiten und Einschränkungen hat, dann gibt es immer noch Probleme mit so neuen Dingen wie der Verschlüsselung im Internet der Dinge. Tatsache ist, dass niemand weiß, wie man das regeln kann.

Dies hat jedoch auch Vorteile, denn die Regulierungsbehörden blicken noch immer kaum auf eine Verschlüsselung insbesondere des Internets der Dinge und Autos. In Russland beispielsweise kontrolliert der FSB die Einfuhr von Software und Telekommunikationsgeräte mit Verschlüsselungsfunktionen, trägt aber kaum zur Regulierung der Verschlüsselung in Drohnen, Autos und anderer Computerhardware bei und bleibt daher außerhalb des Geltungsbereichs der Regulierung. Der FSB sieht darin kein großes Problem: Terroristen und Extremisten machen sich das nicht zunutze. Daher bleibt eine solche Verschlüsselung vorerst außerhalb der Kontrolle, obwohl sie formal unter das Gesetz fällt.

Außerdem wird die Verschlüsselung leider sehr oft auf einer Basisebene implementiert. Dabei handelt es sich tatsächlich um eine reguläre XOR-Operation, d. h. das Ersetzen einiger Zeichen durch andere gemäß einem bestimmten einfachen Algorithmus, der leicht auszuwählen ist. Darüber hinaus wird die Verschlüsselung häufig von Laien auf dem Gebiet der Kryptographie implementiert, die vorgefertigte Bibliotheken aus dem Internet herunterladen. Infolgedessen können in solchen Implementierungen Schwachstellen gefunden werden, die es Ihnen ermöglichen, den Verschlüsselungsalgorithmus zu umgehen und zumindest Daten abzufangen und manchmal in den Kanal einzudringen, um sie zu ersetzen.

Forderung nach Autosicherheit

Unsere israelische Abteilung hat eine Lösung namens Autoguard. Dabei handelt es sich um eine kleine Firewall für Autos, die das Geschehen im Inneren kontrolliert und mit der Außenwelt kommuniziert. Im Wesentlichen analysiert es die zwischen den Elementen des Bordcomputers und den Sensoren ausgetauschten Befehle, kontrolliert den Zugriff von außen, d. h. es bestimmt, wer sich mit der internen Elektronik und Hardware verbinden darf und wer nicht.

Im Januar 2018 kündigten Cisco und Hyundai Motor Company in Las Vegas auf der größten Elektronikmesse CES die Entwicklung eines Autos an neue Generation, das eine Software-Defined-Vehicle-Architektur nutzen und mit den neuesten Netzwerktechnologien, einschließlich Cybersicherheitsmechanismen, ausgestattet sein wird. Die ersten Autos sollen 2019 vom Band rollen.

Im Gegensatz zu Unterhaltungselektronik- und Unternehmens-IT-Lösungen ist die Automobilsicherheit ein sehr spezifischer Markt. Auf diesem Markt gibt es weltweit nur wenige Dutzend Verbraucher – so viele Automobilhersteller. Leider ist es dem Autobesitzer selbst nicht möglich, die Cybersicherheit seines „eisernen Pferdes“ zu verbessern. Projekte dieser Art werden in der Regel nicht nur nicht beworben, sie sind auch nicht gemeinfrei, denn es handelt sich nicht um Millionen von Unternehmen, die Router benötigen, und nicht um Hunderte Millionen Nutzer, die sichere Smartphones benötigen. Das sind nur drei bis vier Dutzend Automobilhersteller, die nicht darauf aufmerksam machen wollen, wie der Autoschutzprozess aufgebaut ist.

Viele Hersteller nehmen den Schutz auf die leichte Schulter, andere beschäftigen sich gerade mit diesem Bereich, dem Dirigieren verschiedene Tests, denn hier gibt es Besonderheiten im Zusammenhang mit dem Lebenszyklus des Autos. In Russland beträgt die durchschnittliche Lebensdauer eines Autos fünf bis sechs Jahre (in den zentralen Regionen und Großstädten drei bis vier Jahre und in den Regionen sieben bis acht Jahre). Wenn ein Hersteller jetzt darüber nachdenkt, Cybersicherheit in seine Automobilpalette einzuführen, wird diese Lösung nicht früher, sondern in zehn Jahren den Massenmarkt erreichen. Im Westen ist die Situation etwas anders. Autos werden dort häufiger gewechselt, aber auch in diesem Fall ist es noch zu früh zu sagen, dass die Autos ausreichend mit Schutzsystemen ausgestattet sind. Deshalb möchte niemand viel Aufmerksamkeit auf dieses Thema lenken.

Aufgrund von Computersicherheitsproblemen können Angreifer jetzt beginnen, Autos anzugreifen oder Fahrzeugrückrufe zu provozieren. Dies kann für Hersteller sehr kostspielig sein, da es immer wieder Schwachstellen gibt. Natürlich werden sie gefunden. Aber es ist zu teuer, jedes Mal Tausende oder Hunderttausende gefährdeter Fahrzeuge wegen einer Schwachstelle zurückzurufen. Daher ist dieses Thema nicht weit verbreitet, aber große Hersteller arbeiten und denken natürlich über die Perspektiven dieses Marktes nach. Nach Schätzungen der GSMA werden bis 2025 100 % der Autos mit dem Internet verbunden sein (sogenannte Connected Cars). Ich weiß nicht, inwieweit Russland in dieser Statistik enthalten ist, aber die Autogiganten der Welt sind darin enthalten.

Sicherheit anderer Transportmittel

Schwachstellen gibt es bei allen Fahrzeugtypen. Dies sind Lufttransport, Seetransport, Gütertransport. Wir werden Pipelines nicht berücksichtigen, obwohl sie auch als Transportmittel gelten. Jedes moderne Fahrzeug verfügt über recht leistungsstarke Computerhardware, und ihre Entwicklung wird oft von gewöhnlichen IT-Spezialisten und Programmierern durchgeführt, die bei der Erstellung ihres Codes klassische Fehler machen.

Aus entwicklungstechnischer Sicht unterscheidet sich die Herangehensweise an solche Projekte geringfügig von der Vorgehensweise von Microsoft, Oracle, SAP oder Cisco. Und Tests werden nicht auf dem gleichen Niveau durchgeführt. Daher sind Fälle bekannt, in denen Schwachstellen gefunden und die Fähigkeit zum Hacken von Flugzeugen oder Seetransporten nachgewiesen wurden. Deshalb sollten keine Fahrzeuge von dieser Liste ausgeschlossen werden – ihre Cybersicherheit ist heute nicht auf einem sehr hohen Niveau.

Bei Drohnen ist die Situation genau die gleiche und noch einfacher, da es sich um einen Massenmarkt handelt. Fast jeder hat die Möglichkeit, eine Drohne zu kaufen und sie für Forschungszwecke auseinanderzunehmen. Selbst wenn eine Drohne mehrere tausend Dollar kostet, kann man sie zusammen kaufen, analysieren und Schwachstellen finden. Dann können Sie solche Geräte entweder kapern oder sie im laufenden Betrieb landen und so den Kontrollkanal abfangen. Sie können auch dazu führen, dass sie herunterfallen und dem Besitzer Schaden zufügen, oder Pakete stehlen, die Drohnen transportieren, wenn sie zum Transport von Waren und Sendungen eingesetzt werden.

Angesichts der Anzahl der Drohnen ist klar, warum Angreifer diesen speziellen Markt aktiv untersuchen: Er ist stärker monetarisiert. Die Situation ist in diesem Bereich noch aktiver als beim Auto, da hier ein direkter Nutzen für die „Bösen“ besteht. Dies liegt nicht vor, wenn in ein Auto eingebrochen wird, ganz zu schweigen von einer möglichen Erpressung durch den Autohersteller. Darüber hinaus kann man wegen Erpressung ins Gefängnis gehen, und das Verfahren zur Erlangung eines Lösegelds ist viel komplizierter. Natürlich kann man versuchen, auf legalem Weg Geld vom Autohersteller zu bekommen, aber es gibt nur sehr wenige Menschen, die Geld verdienen, indem sie legal und gegen Geld nach solchen Schwachstellen suchen.

Wenn Hersteller Updates blockieren

Kürzlich gab es einen interessanten Fall – einen Hersteller von Landmaschinen. Ich sehe in dieser Situation nichts Übernatürliches oder Geschäftswidriges aus Sicht des Herstellers. Er möchte die Kontrolle über den Software-Update-Prozess übernehmen und seine Kunden an sich binden. Da es sich bei der Garantieunterstützung um Geld handelt, möchte der Hersteller damit weiterhin Geld verdienen und so das Risiko verringern, dass Kunden zu anderen Gerätelieferanten wechseln.

Fast alle Unternehmen, die in IT-nahen Bereichen tätig sind, „leben“ nach diesem Prinzip. sowie Unternehmen – Hersteller von Autos, Landmaschinen, Flugzeugen oder Drohnen, die IT zu Hause implementieren. Es ist klar, dass jeder unbefugte Eingriff schwerwiegende Folgen haben kann, daher schließen die Hersteller die Möglichkeit, die Software selbst zu aktualisieren, und ich verstehe sie hier vollkommen.

Wenn ein Verbraucher nicht für die Garantieunterstützung für Geräte bezahlen möchte, beginnt er, auf verschiedenen Warez-Websites nach Firmware zu suchen, die aktualisiert werden kann. Dies kann einerseits dazu führen, dass er seine Software kostenlos aktualisiert, andererseits aber auch Schaden anrichten. Insbesondere in der Praxis von Cisco gab es einen Fall, in dem Unternehmen, die nicht für den Support bezahlen wollten (in diesem Fall natürlich nicht für Automobile oder landwirtschaftliche Maschinen, sondern für gewöhnliche Netzwerkgeräte), Firmware irgendwo in Hackerforen herunterluden. Wie sich herausstellte, enthielten diese Firmwares „Lesezeichen“. Dies führte dazu, dass bei einer Reihe von Kunden Informationen, die über Netzwerkgeräte übertragen wurden, an nicht identifizierte Personen weitergegeben wurden. Es gab mehrere Unternehmen auf der Welt, bei denen dies der Fall war.

Wenn wir die Analogie fortsetzen und uns vorstellen, was man mit landwirtschaftlichen Maschinen machen kann, wird das Bild traurig sein. Theoretisch ist es möglich, den Betrieb landwirtschaftlicher Maschinen zu blockieren und ein Lösegeld zu verlangen, um den Zugang zu Maschinen wiederherzustellen, was Hunderttausende Dollar oder sogar Millionen kostet. Glücklicherweise gab es meines Wissens noch keine derartigen Präzedenzfälle, aber ich schließe nicht aus, dass sie in Zukunft auftreten könnten, wenn diese Praxis fortbesteht.

So verbessern Sie die Fahrzeugsicherheit

Die Anweisungen sind sehr einfach: Sie müssen verstehen, dass das Problem besteht. Tatsache ist, dass für viele Manager ein solches Problem nicht besteht; sie halten es entweder für weit hergeholt oder auf dem Markt nicht sehr gefragt und sind dementsprechend nicht bereit, dafür Geld auszugeben.

Vor drei oder vier Jahren fand in Moskau der Connected Car Summit statt, bei dem über verschiedene neue Dinge im Zusammenhang mit der Automatisierung und Computerisierung von Autos gesprochen wurde. Zum Beispiel über Standortverfolgung (mit dem Internet verbundenes Carsharing) und so weiter. Ich habe dort einen Vortrag zum Thema Autosicherheit gehalten. Und als ich verschiedene Beispiele erzählte, was man mit einem Auto machen kann, kamen nach dem Vortrag viele Unternehmen, Hersteller und Carsharing-Unternehmen auf mich zu und sagten: „Oh, darüber haben wir gar nicht nachgedacht.“ Was machen wir?"

In Russland gibt es nur wenige Automobilhersteller. Nach der Rede kam ein Vertreter von einem von ihnen auf mich zu und sagte, dass sie im Moment noch nicht einmal an Computersicherheit denken, da der Grad der Computerisierung sehr gering sei – sie müssten zunächst verstehen, was dem Auto hinzugefügt werden könne in Sachen Computer-Stuffing. Als ich diesen Vertreter fragte, ob sie überhaupt über Sicherheit nachdenken würden, antwortete er, dass dies sehr erwogen werde langfristig. Das ist der entscheidende Punkt: Sie müssen darüber nachdenken, dass Computersicherheit ein integraler Bestandteil ist, keine externe „Zusatzfunktion“, sondern eine Eigenschaft eines modernen Autos. Das ist schon der halbe Erfolg bei der Gewährleistung der Transportsicherheit.

Zweite notwendiger Schritt- Stellen Sie interne oder externe Spezialisten ein. Wir brauchen Menschen, die bestehende Lösungen legal aufbrechen und nach Schwachstellen darin suchen können. Mittlerweile gibt es einzelne Enthusiasten oder Unternehmen, die sich entweder mit Penetrationstests oder Sicherheitsanalysen von Autos und ihrer Computerhardware befassen. Davon gibt es nur wenige, denn es handelt sich um einen recht engen Markt, in dem man nicht expandieren und viel Geld verdienen kann. Ich kenne niemanden in Russland, der so etwas tun würde. Aber es gibt Unternehmen, die sich mit Sicherheitsanalysen befassen und ganz bestimmte Dinge tun – automatisierte Prozessleitsysteme testen und dergleichen. Sie könnten sich wahrscheinlich an Autos versuchen.

Das dritte Element ist die Implementierung sicherer Entwicklungsmechanismen. Dies ist den Entwicklern konventioneller Software längst bekannt, insbesondere seit Russland kürzlich die entsprechenden GOST-Standards für sichere Softwareentwicklung verabschiedet hat. Hierbei handelt es sich um eine Reihe von Empfehlungen dazu, wie man Code richtig schreibt, damit er schwieriger zu hacken ist, und wie man Konstrukte vermeidet, die zu Pufferüberläufen, Datenabfang, Datenmanipulation, Denial-of-Service usw. führen würden.

Der vierte Schritt ist die Implementierung technischer Sicherheitslösungen, das heißt, der Einsatz spezieller Chips in Autos, der Aufbau einer Sicherheitsarchitektur. Die Entwickler sollten Architekten haben, die sich speziell mit Sicherheitsfragen befassen. Sie können sich auch unter dem Gesichtspunkt des Schutzes mit der Architektur des Fahrzeugs befassen, der Architektur des Steuerungssystems. Da Sie immer nicht das Auto selbst angreifen können, ist es viel effektiver, das Kontrollsystem zu hacken und die Kontrolle über alle Autos zu erlangen.

Wie kürzlich bei Online-Registrierkassen, die am Tag des 100-jährigen Bestehens des FSB plötzlich nicht mehr funktionierten. Schließlich ist eine Online-Registrierkasse im Großen und Ganzen dasselbe Auto: Sie verfügt über Computer-Hardware und Firmware. Die Firmware funktionierte sofort nicht mehr und ein Viertel des gesamten Einzelhandelsmarktes funktionierte mehrere Stunden lang nicht mehr. Das Gleiche gilt auch für Autos: Schlecht geschriebener Code, darin gefundene Schwachstellen oder das Hacken des Steuerungssystems können ganz schön schlimme Folgen haben. Aber wenn bei Online-Kassen die Verluste in Milliardenhöhe liegen, dann wird es bei Autos Verluste geben.

Allerdings ist bei Autos nicht damit zu rechnen, dass Dutzende Millionen Fahrzeuge gehackt oder die Kontrolle über sie abgefangen werden. Es genügt, nur ein paar davon zu hacken, und schon herrscht Chaos auf der Straße. Und wenn die Tatsache des Hacks an die Öffentlichkeit gelangt, können Sie sicher sein, dass die Medien es in die ganze Welt hinausposaunen werden und die Autobesitzer von den „Perspektiven“, die sich eröffnet haben, entsetzt sein werden.

Im Allgemeinen gibt es drei moderne Schutzstufen Fahrzeug. Dabei handelt es sich um die eingebaute Cybersicherheit des Autos selbst (Wegfahrsperre, PKES, sicher). Interne Kommunikation zwischen Steuergeräten, Erkennung von Anomalien und Angriffen, Zugangskontrolle, vertrauenswürdige Sicherheitsmodule); Sicherheit der Kommunikation (Schutz der externen Kommunikation mit der Leitstelle der Straßeninfrastruktur, dem Hersteller des Fahrzeugs oder seiner Einzelteile, Schutz beim Herunterladen von Anwendungen, Inhalten, Updates, Schutz von Fahrtenschreibern); und die Sicherheit der Straßeninfrastruktur.

Was und wo man für einen Spezialisten studieren kann

IT-Experten, die Code für Autos, Fahrzeuge oder Drohnen entwickeln oder entwickeln möchten, möchten möglicherweise zunächst etwas über sichere Entwicklung (SDLC) lernen. Das heißt, Sie müssen untersuchen, was sichere Entwicklung im Allgemeinen ist. Es muss zugegeben werden, dass diese zusätzliches Wissen Bringen Sie kein zusätzliches Geld ein. Heutzutage wird niemand mehr dafür bestraft, dass er die Grundlagen einer sicheren Entwicklung nicht kennt, es gibt keine Verantwortung, es liegt also im Ermessen des IT-Spezialisten selbst. Im ersten Moment mag es so sein Wettbewerbsvorteil für einen Spezialisten, denn nur wenige Orte lehren dies, wodurch man sich von anderen abheben kann. Doch im Bereich der Autosicherheit, des Internets der Dinge und Drohnen ist dies nicht die beliebteste Anforderung an einen Mitarbeiter. Leider müssen wir zugeben, dass IT-Spezialisten diesem Thema keine große Aufmerksamkeit schenken.

Sichere Entwicklung ist Selbstlernen in seiner reinsten Form. Da es praktisch keine Kurse dieser Art gibt, werden sie alle nur auf Bestellung angefertigt, und zwar in der Regel Unternehmensschulungen. Auch in den Bildungsstandards der Länder ist dieses Thema nicht enthalten, sodass nur noch das Selbststudium oder die Teilnahme an Kursen von Unternehmen, die sich mit Code-Analyse befassen, bleibt. Es gibt solche Unternehmen – unter den russischen Playern zum Beispiel Solar Security oder Positive Technologies. Im Westen gibt es noch viel mehr davon, zum Beispiel IBM, Coverity, Synopsys, Black Duck. Sie führen verschiedene Seminare zu diesem Thema durch (sowohl kostenpflichtige als auch kostenlose), in denen Sie sich etwas Wissen aneignen können.

Die zweite Richtung für IT-Spezialisten sind Architekten. Das heißt, Sie können ein Sicherheitsarchitekt für diese Art von Projekten, für das Internet der Dinge im Allgemeinen, werden, da diese im Plus oder Minus nach denselben Gesetzen aufgebaut sind. Hierbei handelt es sich um ein zentrales Steuerungssystem aus der Cloud und einer Reihe von Sensoren: entweder eng fokussierte Sensoren, wie etwa eine Drohne, oder Sensoren, die in ein Auto oder ein größeres Fahrzeug integriert sind und ordnungsgemäß konfiguriert, implementiert und entworfen werden müssen. Es ist notwendig, verschiedene Bedrohungen zu berücksichtigen, das heißt, es ist eine sogenannte Bedrohungsmodellierung erforderlich. Es ist auch notwendig, das Verhalten eines potenziellen Täters zu berücksichtigen, um seine potenziellen Fähigkeiten und Motivation zu verstehen und darauf basierend Mechanismen zur Abwehr zukünftiger Bedrohungen zu entwerfen.

Im Internet finden Sie viele nützliche Materialien. Sie können auch verschiedene Präsentationen von Konferenzen wie DEF CON und Black Hat lesen. Sie können sich die Materialien der Unternehmen ansehen: Viele veröffentlichen auf ihren Websites recht gute Präsentationen und Whitepapers, Beschreibungen typischer Fehler im Code und so weiter. Sie können versuchen, Präsentationen von Fachveranstaltungen zum Thema Fahrzeugsicherheit zu finden (z. B. Automotive Cybersecurity Summit, Vehicle Cyber ​​Security Summit, Connected Cars Summit, CyberSecureCar Europe).
Darüber hinaus hat die russische Regulierungsbehörde FSTEC Russlands (Föderaler Dienst für technische und Exportkontrolle) jetzt eine Reihe von Initiativen ergriffen, insbesondere wird vorgeschlagen, typische Fehler, die Programmierer im Code machen, im Internet zu veröffentlichen und eine bestimmte Datenbank zu pflegen solcher Fehler. Dies wurde noch nicht umgesetzt, aber die Regulierungsbehörde arbeitet in diese Richtung, obwohl sie nicht immer über genügend Ressourcen verfügt.

Nach dem Durchsickern des Cyber-Arsenals von CIA und NSA im Internet kann sich jeder, selbst ein „Heimhacker“, wie ein Spezialagent fühlen. Schließlich besitzt er fast das gleiche Arsenal. Dies zwingt Architekten dazu, völlig anders darüber nachzudenken, wie sie ihre Systeme bauen. Verschiedenen Studien zufolge werden, wenn man bereits in der Entwurfsphase über Sicherheit nachdenkt, X Ressourcen für die Implementierung aufgewendet. Wenn Sie die Architektur bereits im Stadium des industriellen Betriebs ändern, wird dies das Dreißigfache an Ressourcen, Zeit, Personal und Geld erfordern.

Ein Architekt ist ein sehr modischer und vor allem sehr lukrativer Beruf. Ich kann nicht sagen, dass es in Russland solche Spezialisten gibt hohe Nachfrage, aber im Westen ist ein Sicherheitsarchitekt einer der bestbezahlten Berufe; das Jahreseinkommen eines solchen Spezialisten beträgt etwa zweihunderttausend Dollar. In Russland fehlen nach Angaben des Arbeitsministeriums jedes Jahr etwa 50.000 bis 60.000 Sicherheitskräfte. Darunter sind Architekten, Administratoren, Manager und diejenigen, die Bedrohungen modellieren – das ist ein sehr breites Spektrum an Sicherheitsspezialisten, die in Russland regelmäßig Mangelware sind.

Allerdings werden Architekten auch nicht an Universitäten gelehrt. Im Grunde handelt es sich dabei um eine Umschulung, also entsprechende Kurse, oder um ein Selbststudium.

In Russland wird hauptsächlich Unternehmensschulung praktiziert. Weil es kein Massenmarkt ist und Ausbildungszentren Nehmen Sie dies nicht als Kurs in ihre Programme auf. Dies geschieht nur auf Bestellung. Theoretisch sollte dies zunächst in die öffentliche Bildung an Universitäten einbezogen werden. Den Grundstein für die richtige Gestaltung verschiedener Architekturen legen. Leider werden die Bildungsstandards der Bundesländer von Menschen geschrieben, die sehr weit von der Realität und der Praxis entfernt sind. Oftmals ist dies der Fall ehemalige Leute in Uniform, die nicht immer wissen, wie man Systeme richtig gestaltet, oder sie kennen sich damit auf ganz bestimmte Weise aus: Ihr Wissen hängt mit Staatsgeheimnissen oder dem Kampf gegen ausländische technische Geheimdienste zusammen, und das ist eine etwas andere Erfahrung. Diese Erfahrung kann nicht als schlecht bezeichnet werden, aber sie ist anders und im kommerziellen Bereich und im Internet der Dinge von geringem Nutzen. Die Bildungsstandards der Bundesstaaten werden sehr langsam aktualisiert, etwa alle drei bis vier Jahre, und es werden meist kosmetische Änderungen daran vorgenommen. Es ist klar, dass es in einer solchen Situation nicht genügend Fachkräfte gibt und es zu einem Mangel kommen wird.

Arbeiten bei Cisco

Cisco hat eine Entwicklung in Russland. Derzeit wird daran gearbeitet, eine Open-Stack-basierte Plattform für Dienstleister und Rechenzentren zu schaffen. Wir haben auch eine Reihe von Vereinbarungen mit Russische Unternehmen, die sich für uns in einzelnen Projekten engagieren. Eines davon ist das Unternehmen Perspective Monitoring, das separate Handler für den Netzwerkverkehr schreibt, um verschiedene Anwendungen zu erkennen, die dann in unsere Netzwerksicherheitstools eingebettet werden. Im Allgemeinen verfügen wir, wie die meisten globalen IT-Unternehmen, über mehrere Entwicklungszentren auf der ganzen Welt, und regionale Niederlassungen übernehmen die Funktionen Marketing, Support und Vertrieb.

Wir haben ein Praktikumsprogramm für Hochschulabsolventen – ein Jahr in Europa, an unserer Akademie. Zuvor durchlaufen sie einen großen Wettbewerb und werden dann für ein Jahr in eine der europäischen Hauptstädte geschickt. Nach der Rückkehr werden sie an unsere Büros in Russland und den GUS-Staaten verteilt. Das sind Ingenieure, die Systeme entwerfen und unterstützen, aber auch Leute, die im Vertrieb tätig sind.

Manchmal haben wir freie Stellen, wenn jemand befördert wird oder das Unternehmen verlässt. Dabei handelt es sich hauptsächlich um Positionen im Ingenieurwesen oder im vertrieblichen Bereich. In Anbetracht des Cisco-Niveaus rekrutieren wir in diesem Fall keine Studenten, sondern Personen, die länger als ein Jahr in einer bestimmten Position gearbeitet haben. Wenn er Ingenieur ist, muss er über eine ausreichende Cisco-Zertifizierung verfügen. Was benötigt wird, ist kein grundlegender CCNA; in der Regel ist ein Minimum an CCNP erforderlich, und höchstwahrscheinlich muss sich ein Spezialist einer CCIE-Zertifizierung unterziehen – dies ist die maximale Stufe der Cisco-Zertifizierung. In Russland gibt es nur wenige solcher Leute, daher haben wir oft ein Problem, wenn wir Ingenieure finden müssen. Obwohl die Rotation im Unternehmen im Allgemeinen nicht sehr groß ist, wird sie mit 1–2 % pro Jahr gemessen. Trotz der wirtschaftlichen Situation zahlen amerikanische Unternehmen in Russland sehr gut, das Sozialpaket ist gut, sodass uns die Leute normalerweise nicht verlassen.

Ich arbeite seit 1992 im Bereich Informationssicherheit. Arbeitete als Iin verschiedenen Regierungs- und kommerzielle Organisationen. Hat sich vom Programmierer und Administrator für Verschlüsselungssoftware zum Analysten und Business Development Manager im Bereich Informationssicherheit hochgearbeitet. Er verfügte über eine Reihe von Zertifizierungen im Bereich Informationssicherheit, hörte jedoch auf, Abzeichen zu jagen. Im Moment gebe ich alles für Cisco.

Veröffentlichte über 600 gedruckte Werke in verschiedenen Publikationen – „CIO“, „Director of Information Service“, „National Banking Journal“, „PRIME-TASS“, „Information Security“, „Cnews“, „Banking Technologies“, „Analytical Banking Journal“. ”, „Business Online“, „Welt der Kommunikation. Connect“, „Results“, „Rational Enterprise Management“, „Mergers and Acquisitions“ usw. Mitte der 2000er Jahre hörte er auf, seine Veröffentlichungen als vergebliche Übung zu betrachten. Derzeit betreibe ich im Internet einen Blog mit dem Titel „Business Without Danger“.

Im Jahr 2005 erhielt er den Preis der Documentary Telecommunication Association „Für die Entwicklung der Infokommunikation in Russland“ und im Jahr 2006 den InfoForum-Preis in der Kategorie „Publikation des Jahres“. Im Januar 2007 wurde er in die Bewertung von 100 Personen des russischen IT-Marktes aufgenommen (ich verstehe immer noch nicht warum). Im Jahr 2010 gewann er den Lions- und Gladiators-Wettbewerb. Im Jahr 2011 erhielt er ein Diplom des Innenministers der Russischen Föderation. Auf der Infosecurity-Konferenz erhielt er dreimal die Security Awards – 2013, 2012 und 2011 (für Bildungsaktivitäten). Für die gleiche Tätigkeit bzw. für das Bloggen erhielt er 2011 den Runet Anti-Prize in der Nominierung „Safe Roulette“. Im Jahr 2012 wurde er vom Verband russischer Banken für seinen großen Beitrag zur Entwicklung der Sicherheit ausgezeichnet Bankensystem Russland und erhielt 2013 auf dem Magnitogorsk-Forum die Auszeichnung „Für methodische Unterstützung und Erfolge im Bereich der Bankensicherheit“. Auch 2013 und 2014 wurde das DLP-Expert-Portal zum besten Redner zum Thema Informationssicherheit gekürt. Während seiner Zeit bei Cisco wurde er auch mit einer Reihe interner Auszeichnungen ausgezeichnet.

2001 veröffentlichte er das Buch „Attack Detection“ (die zweite Auflage dieses Buches erschien 2003) und war 2002 gemeinsam mit I.D. Autor. Medvedovsky, P.V. Semyanov und D.G. Leonov – das Buch „Angriff aus dem Internet“. Im Jahr 2003 veröffentlichte er das Buch „Protect Your Information With Intrusion Detection“ (am Englische Sprache). Von 2008 bis 2009 veröffentlichte er das Buch „Mythen und Missverständnisse der Informationssicherheit“ auf dem Portal bankir.ru.

Ich bin Autor zahlreicher Kurse, darunter „Einführung in die Angriffserkennung“, „Angriffserkennungssysteme“, „Wie man Sicherheit mit der Geschäftsstrategie eines Unternehmens verbindet“, „Was in der Gesetzgebung zu personenbezogenen Daten verborgen ist“, „Informationssicherheit und Organisationstheorie“, „Effizienzmessung Informationssicherheit“, „Inund -strategie“. Ich halte Vorträge zum Thema Informationssicherheit in verschiedenen Bereichen Bildungsinstitutionen und Organisationen. Ich war Moderator der Echo-Konferenz RU.SECURITY im FIDO-Netzwerk, habe diese Angelegenheit jedoch aufgrund der Abwanderung der meisten Spezialisten ins Internet aufgegeben.

Zum ersten Mal in der russischen Presse habe ich das Thema angesprochen:

• Sicherheit von Geschäftsinformationen
• Sicherheit bei Fusionen und Übernahmen
• Messung der Wirksamkeit der Informationssicherheit
• SOA-Sicherheit
• Sicherheit des Abrechnungssystems
• Täuschende Systeme
• Sicherheit der IP-Telefonie
• Sicherheit des Datenspeichersystems
• Hotspot-Sicherheit
• Sicherheit im Callcenter
• Anwendungen von Lagezentren in der Informationssicherheit
• Mobiler Spam
• Netzwerksicherheit von Mobilfunkbetreibern
• Und viele andere.

Verheiratet, Erziehung eines Sohnes und einer Tochter. Ich versuche, meine Freizeit meiner Familie zu widmen, obwohl die anstrengende Arbeit zum Wohle des Vaterlandes und des Arbeitgebers fast keine solche Zeit lässt. Ein Hobby, das zum Beruf gemacht wurde, oder ein Job, der zum Hobby wurde, ist das Schreiben und die Informationssicherheit. Ich beschäftige mich seit meiner Kindheit mit dem Tourismus.

PS. Fotos für Internetpublikationen (Download oben oder über

UM twittern, es scheint offensichtlich. Um wie Lukatsky zu bloggen, muss man Lukatsky sein. Aber werfen wir einen genaueren Blick auf die Methoden und die Motivation, einen eigenen Blog zu betreiben.Bloggen ist eine Droge. Auch wenn man heute schon jede Menge Posts, Tweets und Kommentare auf allen möglichen sozialen Medien geschrieben hat, möchte man immer mehr. Je mehr Informationen, die Sie interessieren, auf Sie zukommen, desto mehr Blogs, Seiten und Websites möchten Sie nutzen. Je mehr Kanäle Ihnen zur Verbreitung Ihrer Informationen zur Verfügung stehen, desto mehr Möglichkeiten benötigen Sie zur Kommunikation mit der Außenwelt.

Der wahre Wert eines Blogs für seinen Besitzer ist erschwinglicher Weg Informationen einem breiteren Publikum zugänglich machen. Darüber hinaus ermöglicht Ihnen ein Blog, Ihr eigenes Selbstwertgefühl zu steigern, Ihre Schwächen im Inneren zu verbergen und im Gegenteil Ihre Tugenden hervorzuheben.

Wunsch, eine eigene Marke zu schaffen

Der erste Grund, einen eigenen Blog zu starten, ist der Wunsch, Ihrem Publikum etwas zu sagen. Die Welt wird zunehmend mit Informationen gesättigt, die Nachfrage nach nützlichen und aktuellen Informationen wächst und bietet Menschen, die darin eine Möglichkeit sehen, ihr Potenzial auszuschöpfen, neue Möglichkeiten.

Der zweite Grund ist ziemlich egoistisch – der Wunsch, eine eigene Marke zu schaffen, das heißt, indem man das tut, was man liebt, um daraus persönlichen Nutzen zu ziehen (ops, salopp formuliert den Traum eines jeden Hackers).

Lassen Sie uns herausfinden, ob Sie über die Voraussetzungen zum Erstellen verfügen Eigenmarke in sozialen Netzwerken.

Wenn Sie ein Thema zum Bloggen auswählen, müssen Sie sich zunächst auf etwas konzentrieren. Sie haben ein Problem mit der Wahl.

1. Marke der gemeldeten Informationen (es wird davon ausgegangen, dass es sich um eine Art Exklusivität handelt, à la Arustamyan aus dem Fußball mit seinen Pseudonachrichten).

2. Das Markenzeichen eines Experten – es muss verdient werden, und das ist ein langer und dorniger Weg. Die Kollegen in der Werkstatt sollten Sie als Spezialisten für die Fähigkeit anerkennen, qualitativ hochwertige Informationen in einer zugänglichen Form zu vermitteln.

3. Art des Wissens – um einem Publikum Wissen zu vermitteln, muss man es sich zunächst aneignen, und das ist Arbeit, die sich möglicherweise nicht auszahlt. In jedem Fall müssen Sie Ihr Potenzial als Berufsvertreter steigern.

4. Nun, die häufigste Option ist einfach talentierte Person, Sie strotzen vor dem Wunsch, berühmt zu werden, und es ist Ihnen egal, worüber Sie schreiben/reden sollen (die meisten Blogger-Neulinge denken das).

Sie müssen lernen, den Stoff so zu präsentieren, dass er a) verständlich, b) relevant und dann wie immer Sie möchten: interessant, spannend, aphoristisch, leicht, mit Humor. Schließlich sind Schreiben oder öffentliches Reden erlernbare Fähigkeiten, die mit Erfahrung einhergehen.

Die meisten Menschen (im Kontext dieses Artikels: Blogger) sind entweder damit beschäftigt, die Ideen anderer Leute zu interpretieren (genau das, was ich gerade mache) oder Pressemitteilungen (Veranstaltungen, Stellenangebote usw.) zusammenzustellen, einschließlich der Ausstrahlung von Nachrichten ihrer eigenen Marke /product , Veröffentlichung der notwendigen Inhalte von Ausstellungen, Konferenzen, Präsentationen usw. Aber selbst in diesem Fall können nicht viele Menschen Informationen in qualitativ hochwertiges Material verpacken (wir denken nicht an professionelle Journalisten). Und warum? Die Nachrichtenpräsentation von Materialien passt am besten Zielgruppe. Angesichts des modernen Zeitmangels und der Fülle an Materialien fehlt dem Leser die Kraft oder Geduld für mehr.

Trotz der Aussage im Titel haben Sie, wenn auch nicht wie Lukatsky, alles, was Sie brauchen, um ein berühmter Blogger zu werden – eine Person, die schreiben kann und bereit ist, diese ganze Freizeit dieser Aktivität zu widmen.

Dafür sind nur fünf Begriffe erforderlich.

Zuerst braucht man Glück (Und das ist einer der Gründe, warum Sie nicht Lukatsky werden). Nicht jeder hat so viel Glück wie Lukatsky. Er verfügt über Wissen, Erfahrung und vor allem - moderne Technologien Sicherheit. Es ist wichtig (und das zeigt sich), dass er die Unterstützung seines Unternehmens erhält. Was für Lukatsky einst nur ein Hobby war, ist für das Unternehmen zu einem neuen Ansatz zur Vermittlung der notwendigen Informationen geworden. Aufgrund seiner Beliebtheit in den sozialen Medien wurde Lukatskys Blog zu einer Marke innerhalb des Unternehmens (ich bezweifle, dass dies zumindest anfangs eine gut durchdachte Strategie war). Dies ist Teil des Geschäfts geworden, das Lukatsky vertritt ( Cisco ). Er liebt aufrichtig, was er tut, und sein Interesse überträgt sich auf das Publikum. Ihm liegt nicht nur das Fachgebiet seiner Tätigkeit am Herzen, sondern auch die Lage der gesamten Branche, und das ist faszinierend.

Der zweite ist ein Cocktail aus innerer Energie, persönlichem Charisma und Erfahrung

Öffentliches Reden erfordert Charisma und eine starke Persönlichkeit. Lukatsky wird zu verschiedenen Veranstaltungen eingeladen, weil er in der Lage ist, komplexe Dinge in einfacher Sprache zu erklären (diese Fähigkeit muss erlernt werden) und über ausgezeichnete Kenntnisse des Fachgebiets verfügt.

Viertens – den Wald vor den Bäumen sehen

Sie müssen die Probleme der Zielgruppe des Blogs sehen/fühlen/kennen. Führende Blogger leisten wertvolle Hilfe bei der Lösung von Problemen unter den Lesern ihrer Blogs. Sie nehmen regelmäßig und gut Material auf und verpacken es in klare und interessante Blogbeiträge.

Ein Blog ist nicht nur eine Möglichkeit zur Informationsvermittlung, sondern auch eine Möglichkeit dazu Karriere Wachstum(Es gibt keinen Propheten in seinem eigenen Land). Lukatsky ist ein Beispiel für das Schaffen neue Position im Unternehmen - ein Interpret des Themengebiets, um neue Zielgruppen zu gewinnen.

Und schließlich, fünftens, erfordert das Bloggen eiserne Disziplin. regelmäßig (je öfter, desto besser) Material auf Ihrem Blog zu veröffentlichen.

Als zusätzliche, optionale Option empfiehlt sich die regelmäßige Durchführung von Schulungsseminaren um Ihre Marke bekannt zu machen.

Um ein berühmtes Sprichwort zu paraphrasieren: Die Menschen werden vergessen, was Sie geschrieben haben, die Menschen werden vergessen, was Sie gesagt haben, die Menschen werden nicht vergessen, was sie dank Ihnen verstanden haben. Jetzt verbreiten alle, dass Lukatsky morgen ein Seminar über personenbezogene Daten abhält (vielleicht ist das eine Form der PR, die Roboter schon seit langem verbreiten). IVR -Technologie oder gibt es in Russland in Kamtschatka wirklich noch abgelegene Dörfer, deren Bewohner nach persönlichen Angaben nicht an Lukatskys Seminaren teilgenommen haben?). Aber im Ernst, seine Artikel, Präsentationen und Folien werden an alle Zielgruppen verteilt und leben ihr eigenes Leben, und das ist normal, es stärkt die Marke.
Sie werden also nicht wie Lukatsky bloggen können. Und wer hat das jemals gestoppt?! Wie Andrey Knyshev scherzte: „Wer höher kletterte, kletterte einfach früher.“