Meie tänane külaline on Aleksei Lukatski, tuntud infoturbe valdkonna ekspert ja Cisco ärikonsultant. Vestluse peateemaks oli äärmiselt huvitav valdkond - kaasaegsete autode ja muude sõidukite ohutus. Kui soovite teada, miks droonid häkivad veelgi sagedamini kui autod ja miks põllumajandusseadmete tootjad blokeerivad oma masinate volitamata remonditööd püsivara tasemel, lugege edasi!

Kaasaegsete autode ohutusest

Enamiku inimeste seas on ohtlik eksiarvamus, et auto on midagi ainulaadset, erineb tavalisest arvutist. Tegelikult ei ole.

Iisraelis on Ciscol eraldi osakond, mis tegeleb autode küberturvalisusega. See ilmus pärast ühe selles valdkonnas töötanud Iisraeli idufirma omandamist.

Auto ei erine kodust või ettevõtte võrk, nagu tõestavad erinevad uuringud, mis uurivad, mida sissetungija autoga teha võib. Selgub, et autodel on ka arvutid, ainult et need on väikesed ja silmapaistmatud. Neid nimetatakse ECU-ks (Electronic Control Unit) ja neid on autos kümneid. Iga elektriline aken, pidurisüsteem, rehvirõhu monitor, temperatuuriandur, ukselukk, pardaarvuti süsteem ja nii edasi on kõik arvutid, millest igaüks juhib erinevat tööd. Selliste arvutimoodulite kaudu saate muuta auto loogikat. Kõik need moodulid on ühendatud ühtsesse võrku, kaablite pikkust mõõdetakse mõnikord kilomeetrites, liideste arv ulatub tuhandetesse ja koodi hulk on miljonid read tavalise pardaarvuti ja üldiselt , kogu elektroonilise täitmise jaoks (sisse kosmoselaev neid on vähem). Erinevatel hinnangutel moodustab kuni 40% kaasaegsest autost elektroonika ja tarkvara. Premium-autode tarkvara maht ulatub gigabaidini.
Ma ei võta arvesse Venemaa autotööstuse toodangut, kus õnneks (turvalisuse mõttes) pole tõsist arvutitäit. Kuid kui arvestada peaaegu kõiki välismaiseid autotootjaid, siis kõik nad arvutiseerivad nüüd isegi oma autode kõige soodsamaid mudeleid.

Jah, autodel on arvutid. Jah, neil on oma andmevahetusprotokollid, mis pole midagi salajast: saate nendega ühenduse luua, andmeid pealt kuulata ja neid muuta. Nagu näitavad juhtumid selliste tootjate nagu Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge ja Mercedes-Benz praktikast, on ründajad õppinud üsna hästi auto sees toimuvat analüüsima, nad on õppinud analüüsima autode interaktsiooni. välismaailma autoga. Ekspertide hinnangul on 98% kõigist autode testitud tarkvararakendustest (ja need pakuvad kuni 90% kõigist uuendustest) tõsiseid defekte ja mõnel rakendusel on selliseid defekte kümneid.

Nüüd luuakse erinevate projektide raames Euroopas ja Ameerikas nn nutikaid teid.(näiteks projektid EVITA, VANET, simTD). Need võimaldavad autol suhelda teekatte, fooride, parklate, dispetšerjuhtimiskeskustega maanteeliiklus. Auto suudab automaatselt, ilma inimese sekkumiseta juhtida liiklust, ummikuid, parklaid, aeglustada, saada teavet liiklusjuhtumite kohta, et sisseehitatud navigaator saaks iseseisvalt marsruudi ümber ehitada ja suunata auto mööda vähem hõivatud kiirteid. Kahjuks toimub kogu see suhtlus praegu peaaegu kaitsmata režiimis. Nii auto ise kui ka see koostoime pole peaaegu kuidagi kaitstud. Selle põhjuseks on levinud eksiarvamus, et sedalaadi süsteeme on väga raske uurida ja need ei paku kellelegi suurt huvi.

Samuti on ettevõtlusega seotud probleeme.Äri juhib see, kes esimesena turule tuleb. Seega, kui tootja oli esimene, kes tõi turule teatud uudsuse, võttis ta sellel turul suure osa. Seetõttu tõmbab turvalisus, mille juurutamine ja mis kõige tähtsam – testimine nõuab palju aega, paljusid ettevõtteid alati tagasi. Tihtipeale seetõttu ettevõtted (see ei kehti ainult autode, vaid asjade interneti kui sellise kohta) kas lükkavad turvalisuse hilisemaks või ei tegele sellega üldse, lahendades argisema ülesande - toote kiiresti välja anda. turule.

Varem toimunud teadaolevad häkkimised olid seotud pidurite töö häirimisega, käigu pealt mootori seiskamisega, auto asukoha andmete pealtkuulamisega, uste lukkude kaugblokeerimisega. See tähendab, et ründajatel on teatud toimingute tegemiseks üsna huvitavad võimalused. Õnneks, kui sellised tegevused sisse päris elu ei toodeta, pigem on see nn proof-of-concept ehk teatud demonstratsioon võimalustest auto varastada, käigu pealt peatada, juhtimine üle võtta jne.

Mida saab täna autoga teha? Häkkige transpordihaldussüsteemi, mis põhjustab liiklusõnnetusi ja ummikuid; peatada PKES signaali ja varastada auto; muuta marsruute RDS-i kaudu; suvaliselt kiirendada autot; blokeerige pidurisüsteem või mootor liikvel olles; muuta POI-punkte navigatsioonisüsteemis; peatada asukoht või blokeerida asukohateabe edastamine; blokeerida varguse signaali edastamine; varastada meelelahutussüsteemi sisu; teha muudatusi ECU-s ja nii edasi. Seda kõike saab teha nii otsese füüsilise juurdepääsu kaudu, ühenduse kaudu auto diagnostikapordiga kui ka kaudse füüsilise juurdepääsu kaudu modifitseeritud püsivaraga CD või PassThru mehhanismi kaudu, samuti juhtmevaba juurdepääsu kaudu lähedal (näiteks , Bluetooth) või kaugete vahemaade tagant (näiteks Interneti või mobiilirakenduse kaudu).

Kui müüjad ei mõtle toimuvale pikemas perspektiivis, võib see kaasa tuua kurbaid tagajärgi. On üsna lihtsaid näiteid, mis veel ei viita sellele, et häkkerid on aktiivselt autosid kätte võtnud, vaid on juba reaalses elus rakendatavad. Näiteks GPS- või GLONASS-anduritega sisseehitatud sõidumeerikute mahasurumine. Ma ei ole kuulnud sellistest juhtumitest GLONASS-iga Vene praktika, kuid Ameerikas oli GPS-iga pretsedente, kui ründajad summutasid kollektsionääride soomusauto signaali ja varastasid selle teadmata kohta, et see lahti võtta ja kõik väärtuslikud asjad välja tõmmata. Selle valdkonna uuringud viidi läbi Euroopas, Ühendkuningriigis. Sellised juhtumid on esimene samm auto vastu suunatud rünnakute suunas. Sest kõike muud (mootori seiskamist, käigu pealt pidurite väljalülitamist) pole ma õnneks praktikas kuulnud. Kuigi juba selliste rünnakute võimalus viitab sellele, et tootjad ja mis kõige tähtsam – tarbijad peaksid mõtlema, mida nad teevad ja mida ostavad.

Tasub öelda, et isegi krüpteerimist ei kasutata kõikjal. Kuigi krüptimist võib algselt pakkuda konstruktsioon, pole see kaugeltki alati lubatud, kuna see koormab kanalit, toob kaasa teatud viivitusi ja võib põhjustada mõningate seadmega seotud tarbijaomaduste halvenemist.

Paljudes riikides on krüpteerimine väga spetsiifiline äritegevus, mis nõuab valitsusasutustelt loa saamist. See seab ka teatud piirangud. Krüpteerimisfunktsioone sisaldavate seadmete ekspordile kehtivad nn Wassenaari kaheotstarbelise tehnoloogia ekspordilepingud, mis hõlmavad krüptimist. Tootja on kohustatud hankima ekspordiloa oma tootjariigist ja seejärel hankima impordiloa selle riigi jaoks, kuhu toode imporditakse. Kui tarkvaraga on olukord juba rahunenud, kuigi seal on raskusi ja piiranguid, siis selliste uudsete asjadega nagu asjade interneti krüpteerimine on endiselt probleeme. Asi on selles, et keegi ei tea, kuidas seda reguleerida.

Sellel on aga oma eelised, sest regulaatorid ei vaata endiselt asjade ja autode interneti krüpteerimise poole. Näiteks Venemaal kontrollib FSB importi tarkvara ja telekommunikatsiooniseadmed, mis sisaldavad krüpteerimisfunktsioone, kuid praktiliselt ei reguleeri krüpteerimist droonides, autodes ja muus arvutis, jättes selle reguleerimisalast välja. FSB ei näe selles suurt probleemi: terroristid ja äärmuslased seda ei kasuta. Seega, kuigi selline krüpteerimine jääb kontrolli alt välja, kuigi formaalselt kuulub see seaduse alla.

Samuti rakendatakse krüpteerimist kahjuks väga sageli algtasemel. Kui tegelikult on see tavaline XOR-operatsioon, st mõne tähemärgi asendamine teistega vastavalt teatud lihtsale algoritmile, mida on lihtne üles võtta. Lisaks rakendavad krüptimist sageli krüptograafia valdkonna mitteeksperdid, kes võtavad Internetist alla laaditud valmis teegid. Selle tulemusena võib sellistes rakendustes leida turvaauke, mis võimaldavad krüpteerimisalgoritmist mööda minna ja vähemalt andmeid pealt kuulata ning mõnikord kanalisse tungida, et neid asendada.

Nõudlus auto ohutuse järele

Meie Iisraeli divisjonil on lahendus nimega Autoguard. See on väike autodele mõeldud tulemüür, mis kontrollib sees toimuvat ja suhtleb välismaailmaga. Tegelikult analüüsib see pardaarvuti elementide ja andurite vahel vahetatavaid käske, kontrollib juurdepääsu väljastpoolt ehk määrab, kes saab ja kes ei saa ühendada sisemise elektroonika ja täidisega.

2018. aasta jaanuaris Las Vegases, suurimal elektroonikanäitusel CES, teatasid Cisco ja Hyundai Motor Company auto loomisest. uus põlvkond, mis hakkab kasutama tarkvarapõhise sõiduki (Software Defined Vehicle) arhitektuuri ja olema varustatud uusimate võrgutehnoloogiatega, sealhulgas küberturvalisuse mehhanismidega. Esimesed autod peaksid konveierilt maha veerema 2019. aastal.

Erinevalt olmeelektroonikast ja ettevõtete IT-lahendustest on autode turvalisus väga spetsiifiline turg. Tarbijaid on sellel turul üle maailma vaid paarkümmend – autotootjate arvu järgi. Paraku ei suuda autoomanik ise oma "raudhobuse" küberturvalisust tõsta. Reeglina selliseid projekte täpselt ei reklaamita, kuid need ei ole avalikud, sest tegemist ei ole miljonite ettevõtetega, kes vajavad ruutereid, ja mitte sadade miljonite kasutajatega, kes vajavad turvalisi nutitelefone. Need on vaid kolm-neli tosinat autotootjat, kes ei taha juhtida tähelepanu sellele, kuidas autode kaitseprotsess on üles ehitatud.

Paljud tootjad suhtuvad kaitsesse kergelt, teised ainult vaatavad seda ala, kulutavad erinevaid teste, sest siin on auto elutsükliga seotud eripära. Venemaal on auto keskmine eluiga viis kuni kuus aastat (keskpiirkondades ja suurtes linnades kolm kuni neli aastat ning piirkondades seitse kuni kaheksa aastat). Kui praegu mõtleb tootja oma autosarja küberturvalisuse sissetoomisele, siis massiturule jõuab see lahendus kümne aasta pärast, mitte varem. Läänes on olukord veidi erinev. Seal vahetatakse autosid sagedamini, kuid ka sel juhul on vara öelda, et autod on piisavalt varustatud kaitsesüsteemidega. Seetõttu ei taha keegi sellele teemale erilist tähelepanu tõmmata.

Ründajad võivad nüüd arvutiturbeprobleemide tõttu hakata autosid ründama või provotseerida autode tagasikutsumist. See võib olla tootjatele väga kulukas, sest alati leidub turvaauke. Muidugi neid leitakse. Kuid iga kord tuhandete või sadade tuhandete haavatavate sõidukite tagasikutsumine haavatavuse tõttu on liiga kallis. Seetõttu see teema laiemalt ei kõla, kuid suurtootjad muidugi töötavad ja mõtlevad selle turu väljavaadete üle. GSMA hinnangul on aastaks 2025 100% autodest Internetiga ühendatud (nn ühendatud autod). Ma ei tea, kuivõrd selles statistikas Venemaad arvesse on võetud, aga maailma autohiiglased on sellesse arvestatud.

Teiste transpordiliikide ohutus

Turvaauke on igat tüüpi sõidukites. Need on õhutransport, meretransport, kaubavedu. Torujuhtmeid ei võeta arvesse, kuigi ka neid peetakse transpordiliigiks. Iga kaasaegne sõiduk sisaldab üsna võimsat arvutitäidist ja seda arendavad sageli tavalised IT-spetsialistid ja programmeerijad, kes teevad oma koodi loomisel klassikalisi vigu.

Arengu osas on suhtumine sellistesse projektidesse veidi erinev sellest, mida teevad Microsoft, Oracle, SAP või Cisco. Ja testimist ei tehta samal tasemel. Seetõttu on teada haavatavuste leidmise ja õhusõidukite või meretranspordi häkkimise võimaluse demonstreerimise juhtumid. Seetõttu ei saa sellest nimekirjast välja jätta ühtegi sõidukit – nende küberturvalisus ei ole täna kuigi kõrgel tasemel.

Droonidega on olukord täpselt sama ja veelgi lihtsam, sest tegemist on massilisema turuga. Peaaegu igaühel on võimalus osta droon ja see uurimise jaoks lahti võtta. Isegi kui droon maksab mitu tuhat dollarit, saate selle kotis osta, analüüsida ja turvaauke leida. Seejärel saate selliseid seadmeid varastada või lennult maanduda, peatades juhtkanali. Samuti on võimalik neid provotseerida kukkuma ja omanikule kahju tekitama või varastada pakke, mida droonid transpordivad, kui neid kasutatakse kaupade ja saadetiste transportimiseks.

Arvestades droonide arvu, on arusaadav, miks ründajad seda konkreetset turgu aktiivselt uurivad: see on rohkem raha teeninud. Selles vallas on olukord isegi aktiivsem kui autodega, sest sellest on otsene kasu “pahadele”. Autosse sissemurdmisel seda pole, arvestamata autotootja võimalikku väljapressimist. Lisaks võib väljapressimine sattuda vangi ja lunaraha saamise protseduur on palju keerulisem. Loomulikult võite proovida autotootjalt legaalselt raha saada, kuid väga vähe on inimesi, kes teenivad raha selliste haavatavuste legaalselt ja raha eest otsimisega.

Kui tootjad blokeerivad värskendusi

Hiljuti oli huvitav juhtum - põllumajandusmasinate tootja. Ma ei näe selles olukorras midagi üleloomulikku ja äritavaga vastuolus olevat tootja seisukohalt. Ta tahab tarkvarauuenduse protsessi enda kätte võtta ja oma kliendid endasse lukustada. Kuna garantiitoetus on raha, soovib tootja sellega ka edaspidi teenida, vähendades riske, et kliendid lahkuvad teiste seadmete tarnijate juurde.

Selle põhimõtte kohaselt "elavad" peaaegu kõik IT-ga seotud valdkondades tegutsevad ettevõtted, samuti ettevõtted - autode, põllumajandusmasinate, lennutehnika või droonide tootjad, kes rakendavad IT-d kodus. On selge, et igasugune volitamata sekkumine võib viia kurbade tagajärgedeni, nii et tootjad sulgevad tarkvara isevärskendamise võimaluse ja ma mõistan neid siin suurepäraselt.

Kui tarbija ei soovi seadmete garantiitoe eest maksta, hakkab ta otsima püsivara värskendusi erinevatest warez saitidest. See võib ühelt poolt viia selleni, et ta uuendab oma tarkvara tasuta, kuid teisest küljest võib see põhjustada kahju. Eelkõige oli Cisco praktikas juhtum, kui ettevõtted, kes ei soovinud toetust maksta (antud juhul muidugi mitte auto- või põllumajandustehnika, vaid tavaliste võrguseadmete eest), laadisid kuskilt häkkerite foorumitest alla püsivara. Nagu selgus, sisaldas see püsivara "järjehoidjaid". Selle tulemusena lekkis mitmete klientide jaoks võrguseadmete kaudu liikunud teave tuvastamata isikuteni. Maailmas oli mitu ettevõtet, kes sellega silmitsi seisid.

Kui jätkata analoogiat ja kujutada ette, mida põllumajandustehnikaga teha saab, siis kujuneb pilt kurvaks. Teoreetiliselt on võimalik põllumajandusmasinate tööd blokeerida ja sadu tuhandeid dollareid või isegi miljoneid maksvatele masinatele juurdepääsu taastamise eest lunaraha nõuda. Õnneks pole minu teada selliseid pretsedente veel olnud, kuid ma ei välista, et sellise praktika jätkumisel võivad need ka tulevikus tekkida.

Kuidas parandada sõiduki ohutust

Juhend on väga lihtne: peate mõistma, et probleem on olemas. Fakt on see, et paljude juhtide jaoks sellist probleemi pole, nad peavad seda kas kaugeleulatuks või turu poolt mitte eriti populaarseks ega ole seetõttu valmis sellele raha kulutama.

Kolm-neli aastat tagasi toimus Moskvas Connected Car Summit, kus räägiti erinevatest uudsetest asjadest, mis on seotud autode automatiseerimise ja arvutiseerimisega. Näiteks asukoha jälgimise kohta (auto jagamine Interneti-ühendusega) ja nii edasi. Rääkisin seal autoohutuse raportiga. Ja kui ma rääkisin erinevatest näidetest, mida autoga teha saab, tulid paljud ettevõtted, tootjad ja autojagamisettevõtted pärast kõnet minu juurde ja ütlesid: “Oh, me ei mõelnudki sellele. Mida me siis teeme?"

Venemaal on vähe autotootjaid. Peale kõnet astus minu juurde ühe esindaja ja ütles, et kuigi nad ei mõtlegi arvutiturbe peale, kuna arvutistatuse tase on väga madal, tuleb kõigepealt aru saada, mida arvuti osas autole lisada saab. täidis. Kui küsisin sellelt esindajalt, kas nad üldse kavatsevad turvalisusele mõelda, vastas ta, et seda kaalutakse väga pikaajaline. See on võtmepunkt: peate mõtlema sellele, et arvuti turvalisus on lahutamatu osa, see pole väline "monteeritud" funktsioon, vaid kaasaegse auto omadus. See on pool edust transpordiohutuse tagamisel.

Teiseks vajalik samm- palgata sise- või välisspetsialiste. Vajame inimesi, kes suudavad seaduslikult olemasolevaid lahendusi murda ja neis haavatavust otsida. Nüüd on üksikuid entusiaste või ettevõtteid, kes tegelevad autode ja nende arvutite turvalisuse katsetamise või analüüsimisega. Neid pole palju, sest see on üsna kitsas turg, kus ei saa ümber pöörata ja palju raha teenida. Venemaal ei tea ma kedagi, kes seda teeks. Aga on ettevõtteid, kes tegelevad turvaanalüüsiga ja teevad üsna spetsiifilisi asju – testivad automatiseeritud protsesside juhtimissüsteeme jms. Võib-olla saaksid nad autoga kätt proovida.

Kolmas element on turvaliste arendusmehhanismide rakendamine. See on tavatarkvara arendajatele juba ammu tuttav, eriti Venemaal võeti hiljuti vastu asjakohased GOST-id turvalise tarkvara arendamiseks. See on soovituste kogum selle kohta, kuidas koodi õigesti kirjutada, et muuta seda raskemaks murda, kuidas vältida konstruktsioone, mis tooksid kaasa puhvri ületäitumise, andmete pealtkuulamise, andmete võltsimise, teenuse keelamise ja nii edasi.

Neljas samm on tehniliste turvalahenduste rakendamine, ehk spetsiaalsete kiipide kasutamine autodes, turvaarhitektuuri ehitamine. Arendajate töötajate hulgas peaksid olema arhitektid, kes tegelevad spetsiaalselt turvaküsimustega. Samuti saavad nad tegeleda auto arhitektuuriga kaitse osas, juhtimissüsteemi arhitektuuriga. Kuna alati on võimalik rünnata mitte autot ennast – palju tõhusam on häkkida juhtimissüsteemi ja saavutada kontroll kõigi autode üle.

Nagu hiljuti juhtus online kassaaparaatidega, mis FSB sajanda sünnipäeva päeval ootamatult töö lõpetasid. Internetikassa on ju laias laastus sama auto: sellel on arvutitäide, püsivara olemas. Püsivara lakkas korraga töötamast ja veerand kogu jaemüügiturust tõusis mitu tundi üles. Autodega on sama lugu: halvasti kirjutatud kood, selles leitud haavatavused või juhtimissüsteemi häkkimine võib kaasa tuua üsna kurvad tagajärjed. Aga kui online-kassade puhul mõõdeti kahjusid miljardites, siis autode puhul on ohvreid.

Kuigi autode puhul ei pea ootama häkkimist või kümnete miljonite sõidukite kontrolli alla võtmist. Piisab vaid mõne neist lahti murdmisest ja juba tuleb kaos teele. Ja kui häkkimise fakt avalikuks tuleb, võib olla kindel, et meedia trompeteerib selle kogu maailmale ning autoomanikke kohkuvad avanenud “väljavaated”.

Üldiselt on tänapäevasel kolmel kaitsetasemel sõidukit. See on auto enda sisseehitatud küberturvalisus (immobilisaator, PKES, kaitstud sisekommunikatsioonid ECU-de vahel, anomaaliate ja rünnakute tuvastamine, juurdepääsu kontroll, usaldusväärsed turvamoodulid); side turvalisus (välisside kaitse maanteeinfrastruktuuri juhtimiskeskusega, auto või selle üksikute osade tootjaga, allalaaditavate rakenduste kaitse, sisu, uuendused, sõidumeerikute kaitse); ja teede infrastruktuuri ohutust.

Mida ja kus õppida spetsialistiks

IT-spetsialistidele, kes tegelevad või soovivad arendada autodele, sõidukitele või droonidele koodi, võib soovitada alustada turvalise arenduse (SDLC) õppega. See tähendab, et peate uurima, mis on turvaline areng üldiselt. Tuleb tunnistada, et need lisateadmisiära too lisaraha. Tänapäeval ei karistata kedagi turvalise arenduse põhitõdede mittetundmise eest, vastutus puudub, seega jääb see IT-spetsialisti enda otsustada. Alguses võib see nii olla konkurentsieelis spetsialistile, sest seda ei õpetata kuskil, mis võimaldab teiste taustast eristuda. Aga autoturvalisuse, asjade interneti, droonide vallas pole see töötajale kõige populaarsem nõue. Paraku tuleb tõdeda, et IT-spetsialistid sellele teemale eriti tähelepanu ei pööra.

Turvaline areng on iseõppimine selle puhtaimal kujul. Kuna selliseid kursusi praktiliselt pole, tehakse neid kõiki ainult eritellimusel ja reeglina ka seda ettevõtte koolitus. See teema ei kuulu ka liidumaa haridusstandardite hulka, seega jääb üle vaid iseõppimine või koodianalüüsiga tegelevate ettevõtete kursustel käimine. Selliseid ettevõtteid on - Venemaa mängijate hulgas näiteks Solar Security või Positive Technologies. Läänes on neid palju rohkem, näiteks IBM, Coverity, Synopsys, Black Duck. Nad korraldavad sellel teemal erinevaid seminare (nii tasulisi kui ka tasuta), kus saab teadmisi omandada.

IT-spetsialistide teine ​​suund on arhitektid. See tähendab, et võite saada selliste projektide turvalisuse, asjade Interneti üldiselt arhitektiks, sest need on pluss või miinus ehitatud samade seaduste järgi. See on keskne juhtimissüsteem pilvest ja hunnik andureid: kas kitsalt fokusseeritud, näiteks droon, või autosse või suuremasse sõidukisse integreeritud andurid, mis tuleb korralikult konfigureerida, juurutada ja kujundada. Arvestama peab erinevate ohtudega ehk siis on vajalik nn ohu modelleerimine. Samuti on vaja arvestada potentsiaalse sissetungija käitumisega, et mõista tema potentsiaalseid võimeid ja motivatsiooni ning selle põhjal kavandada mehhanismid tulevaste ohtude tõrjumiseks.

Internetist leiate palju kasulikke materjale. Samuti saate lugeda erinevaid ettekandeid konverentsidelt nagu DEF CON ja Black Hat. Saate vaadata ettevõtete materjale: paljud avaldavad oma veebisaitidel üsna häid esitlusi ja valgeid pabereid, koodi tüüpiliste vigade kirjeldusi jne. Võite proovida leida esitlusi spetsiaalsetelt autoturbeüritustelt (nt Automotive Cyber ​​​​Security Summit, Vehicle Cyber ​​​​Security Summit, Connected Cars Summit, CyberSecureCar Europe).
Lisaks on nüüd Venemaa Venemaa regulaatoril FSTEC (föderaalne tehnilise ja ekspordikontrolli teenistus) mitmeid algatusi, eelkõige tehakse ettepanek postitada Internetti tüüpilised vead, mida programmeerijad koodis teevad, et säilitada teatud andmebaas. sellistest vigadest. Seda pole veel rakendatud, kuid regulaator töötab selles suunas, kuigi neil pole alati piisavalt ressursse.

Pärast CIA ja NSA küberarsenali internetti lekkimist võib igaüks, isegi "koduhäkker", tunda end eriagendina. Lõppude lõpuks on tal peaaegu sama arsenal. See sunnib arhitekte oma süsteemide ehitamisele täiesti erinevat lähenemist. Erinevate uuringute kohaselt, kui mõelda turvalisusele arhitektuuri loomise etapis, kulub selle rakendamiseks X ressurssi. Kui muudate arhitektuuri juba äritegevuse etapis, nõuab see kolmkümmend korda rohkem ressursse, aega, inimkonda ja raha.

Arhitekt on väga moekas ja mis peamine – väga tulus elukutse. Ma ei saa öelda, et Venemaal selliseid spetsialiste oleks kõrge nõudlus, aga läänes on turvaarhitekt üks kõrgemalt tasustatud erialasid, sellise spetsialisti aastasissetulek on umbes kakssada tuhat dollarit. Venemaal on tööministeeriumi andmetel igal aastal puudu umbes 50 000-60 000 turvameest. Nende hulgas on arhitekte, administraatoreid, juhte ja ohtude modelleerijaid, väga lai valik turvaspetsialiste, keda Venemaal regulaarselt napib.

Arhitekte aga ka ülikoolides ei õpetata. Põhimõtteliselt on see ümberõpe ehk siis vastavad kursused ehk iseõppimine.

Venemaal praktiseeritakse peamiselt ettevõtete koolitust. Sest see pole massiturg ja koolituskeskused ei lisa seda oma programmidesse kursustena. Seda tehakse ainult eritellimusel. Teoreetiliselt on vaja see esialgu lisada ülikoolide avalikku haridusse. Et panna alus erinevate arhitektuuride õigele projekteerimisele. Kahjuks on liidumaa haridusstandardeid koostanud inimesed, kes on tegelikkusest ja praktikast väga kaugel. Sageli see endised inimesed mundris, kes ei oska alati süsteeme õigesti projekteerida või on sellega kursis väga spetsiifiliselt: nende teadmised on seotud riigisaladuse või välismaise tehnilise luurega võitlemisega ja see on veidi teistsugune kogemus. Sellist kogemust ei saa nimetada halvaks, kuid see on teistsugune ja kommertssegmendis ja asjade internetis vähe kasu. Föderaalosariigi haridusstandardeid ajakohastatakse väga aeglaselt, umbes kord kolme kuni nelja aasta jooksul, ja nendes tehakse enamasti kosmeetilisi muudatusi. On selge, et sellises olukorras spetsialiste ei jätku ega jätku.

Töötamine Ciscos

Cisco arendus Venemaal. Praegu käib töö teenusepakkujatele ja andmekeskustele avatud virnaplatvormi loomise nimel. Meil on ka mitmeid lepinguid Venemaa ettevõtted kes tegelevad meie jaoks üksikute projektidega. Üks neist on Perspective Monitoring, mis kirjutab erinevate rakenduste tuvastamiseks võrguliikluse jaoks eraldi töötlejad, mis seejärel manustatakse meie võrguturbe tööriistadesse. Üldiselt on meil, nagu enamikul globaalsetel IT-ettevõtetel, maailmas mitmeid arenduskeskusi ning turunduse, toe ja müügi ülesandeid täidavad regionaalsed kontorid.

Meil on praktikaprogramm ülikoolilõpetajatele – aasta Euroopas, meie akadeemias. Enne seda tehakse läbi suur konkurss ja siis saadetakse aastaks mõnda Euroopa pealinna. Pärast nende tagastamist jagatakse need meie esindustesse Venemaal ja SRÜ riikides. Need on nii süsteeme projekteerivad ja neid toetavad insenerid kui ka müügiga tegelevad inimesed.

Mõnikord on meil vabu kohti, kui keegi läheb ametikõrgendusele või lahkub ettevõttest. Põhimõtteliselt on need kas inseneri ametikohad või müügiga seotud ametikohad. Arvestades Cisco taset, siis antud juhul ei värba me tudengeid, vaid inimesi, kes on mõnel ametikohal töötanud üle aasta. Kui see on insener, peab tal olema piisavalt Cisco sertifikaati. Vaja pole põhilist CCNA-d, reeglina on vaja minimaalselt CCNP-d, kuid tõenäoliselt peab spetsialist CCIE sertifikaadi üldse läbima - see on Cisco sertifikaadi maksimaalne tase. Venemaal on selliseid inimesi vähe, nii et meil on sageli probleem, kui peame leidma insenere. Kuigi üldiselt pole rotatsioon ettevõttes väga suur, mõõdetakse seda 1-2% aastas. Vaatamata majanduslikule olukorrale maksavad Ameerika ettevõtted Venemaal väga hästi, sotsiaalpakett on hea, nii et tavaliselt inimesed meie hulgast ei lahku.

Olen infoturbe valdkonnas töötanud alates 1992. aastast. Töötanud infoturbe spetsialistina erinevates valitsus- ja äriorganisatsioonid. Ta on saanud krüpteerimisvahendite programmeerijast ja administraatorist infoturbe valdkonna analüütikuks ja äriarendusjuhiks. Tal oli mitmeid sertifikaate infoturbe vallas, kuid ta katkestas võidujooksu märkide pärast. Hetkel annan endast kõik Ciscole.

Avaldanud üle 600 trükiteose erinevates väljaannetes - CIO, teabeteenistuse direktor, National Banking Journal, PRIME-TASS, Infoturve, Cnews, Banking Technologies, Analytical Banking Journal, "Business Online", "The world of communication. Ühenda“, „Tulemused“, „Ratsionaalne ettevõtte juhtimine“, „Ühenemised ja omandamised“ jne. 2000. aastate keskel lõpetas ta oma väljaannete lootusetuks tegevuseks lugemise. Hetkel blogin internetis "Ohuta äri".

2005. aastal pälvis ta dokumentaaltelekommunikatsiooni ühingu "Infokommunikatsiooni arendamise eest Venemaal" ja 2006. aastal Infofoorumi auhinna nominatsioonis "Aasta väljaanne". Jaanuaris 2007 arvati ta Venemaa IT-turu 100 inimese reitingusse (millest ma aru ei saanud). 2010. aastal võitis ta võistluse Lõvid ja gladiaatorid. 2011. aastal pälvis ta Vene Föderatsiooni siseministri diplomi. Infosecurity konverentsil pälvis ta kolm korda turvaauhinnad - aastatel 2013, 2012 ja 2011 (haridustegevuse eest). Sama tegevuse või õigemini blogimise eest sai ta 2011. aastal Runeti antiauhinna nominatsioonis "Turvaline rull". 2012. aastal pälvis ta Venemaa Pankade Liidu auhinna suure panuse eest turvalisuse arendamisse pangandussüsteem Venemaa ja 2013. aastal Magnitogorski foorumil sai ta auhinna "Metoodilise toe ja saavutuste eest pangandusturvalisuses". Ka 2013. ja 2014. aastal tunnistati portaal DLP-Expert parimaks infoturbeteemaliseks esinejaks. Ciscos töötamise ajal pälvis ta ka mitmeid ettevõttesiseseid auhindu.

2001. aastal avaldas ta raamatu Attack Detection (selle raamatu teine ​​trükk ilmus 2003. aastal) ja 2002. aastal koostöös I.D. Medvedovski, P.V. Semjanov ja DG. Leonov - raamat "Rünnak Internetist". Aastal 2003 avaldas ta raamatu "Protect Your Information With Intrusion Detection" (on inglise keel). Aastatel 2008-2009 avaldas ta portaalis bankir.ru raamatu "Infoturbe müüdid ja eksid".

Olen paljude kursuste autor, sealhulgas "Sissejuhatus sissetungimise tuvastamisse", "Sissetungimise tuvastamise süsteemid", "Kuidas siduda turvalisus ettevõtte äristrateegiaga", "Mida peidab isikuandmete seadus", "ISIS ja organisatsiooniteooria" , "Toimivuse infoturbe mõõtmine", "IS-i arhitektuur ja strateegia". Pean infoturbe teemalisi loenguid erinevates õppeasutused ja organisatsioonid. Ta oli FIDO võrgus RU.SECURITY kajakonverentsi moderaator, kuid loobus sellest ärist, kuna enamik spetsialiste lahkus Internetti.

Esimest korda Venemaa ajakirjanduses käsitles ta teemat:

• Äriinfo turvalisus
• M&A turvalisus
• Infoturbe efektiivsuse mõõtmine
• SOA turvalisus
• Arveldussüsteemide turvalisus
• petlikud süsteemid
• IP-telefoni turvalisus
• Andmesalvestussüsteemide turvalisus (salvestus)
• Leviala turvalisus
• Kõnekeskuse turvalisus
• Olukorrakeskuste rakendused infoturbes
• mobiili rämpspost
• Mobiilsidevõrgu turvalisus
• Ja paljud teised.

Olen abielus ja mul on poeg ja tütar. Üritan oma vaba aja pühendada perele, kuigi kurnav töö kodumaa ja tööandja heaks seda peaaegu ei jäta. Tööks tehtud hobid või hobiks tehtud töö on kirjutamine ja infoturve. Turismiga olen tegelenud lapsepõlvest peale.

PS. Fotod Interneti-väljaannete jaoks (laadige alla ülalt või

KOHTA vastatanäiliselt ilmne. Lukatsky moodi blogimiseks peate olema Lukatsky. Vaatame aga lähemalt oma ajaveebi pidamise meetodeid ja motivatsioone.Blogimine on narkootikum. Isegi kui olete täna juba kirjutanud hunniku postitusi, säutse ja kommentaare kõigis võimalikes sotsiaalmeedias, soovite rohkem ja rohkem. Mida rohkem teavet teid huvitab, seda rohkem soovite ajaveebe, lehti, saite tarbida. Mida rohkem kanaleid teil on oma teabe levitamiseks, seda rohkem on teil vaja välismaailmaga suhelda.

Iga ajaveebi tegelik väärtus selle omaniku jaoks on taskukohane viis edastada teavet laiale publikule. Lisaks võimaldab ajaveebi tõsta enda enesehinnangut, peita oma nõrkused sees ja, vastupidi, paljastada oma voorused väljapoole.

Soov luua oma bränd

Blogimise esimene põhjus on see, et oleks midagi publikule öelda. Maailm on teabest küllastunud, nõudlus kasuliku ja õigeaegse teabe järele kasvab, pakkudes uusi võimalusi inimestele, kes näevad selles võimalust oma potentsiaali vallandamiseks.

Teine põhjus on üsna isekas – soov luua oma bränd, st teha seda, mida armastad, et sellest isiklikku kasu saada (oeh, sõnastas juhuslikult iga häkkeri unistus).

Vaatame, kas sul on loomiseks eeldused enda kaubamärk sotsiaalvõrgustikes.

Esiteks tuleb blogimise teemat valides millelegi keskenduda. Sul on valikuprobleem.

1. Teatatud info kaubamärk (oletatakse, et see on mingi eksklusiivne, a’la Arustamyan jalgpallist oma pseudouudistega).

2. Asjatundja bränd – see tuleb välja teenida ja see on pikk ja okkaline tee. Töötoas osalevad kolleegid peaksid teie isikus ära tundma spetsialisti, kes suudab kvaliteetset teavet kättesaadaval kujul edastada.

3. Teadmiste bränd – selleks, et teadmisi publikule edastada, tuleb need kõigepealt omandada ja see on töö, mis ei pruugi end ära tasuda. Igal juhul peate suurendama oma potentsiaali eriala esindajana.

4. Kõige tavalisema variandina sa lihtsalt andekas inimene, sa pakatab soovist kuulsaks saada ja sulle pole vahet, millest kirjutada/rääkida (enamik algajaid blogijaid arvab nii).

Peate õppima, kuidas materjali esitada nii, et see oleks a) arusaadav, b) asjakohane ja siis mis iganes meeldib: huvitav, põnev, aforistlik, lihtne, huumoriga. Kirjutamine või avalik esinemine on ju oskused, mida saab õppida ja mis tulevad kogemusega.

Enamik inimesi (selle artikli kontekstis - blogijad) tõlgendavad teiste inimeste ideid (täpselt seda, mida ma praegu teen) või koondavad pressiteateid (sündmused, vabad töökohad jne), sealhulgas edastavad oma kaubamärgi uudiseid / toode , vajaliku sisu avaldamine näitustelt, konverentsidelt, esitlustelt jne. Kuid isegi sel juhul ei suuda paljud inimesed teavet kvaliteetsesse materjali pakkida (me ei pea professionaalseteks ajakirjanikeks). Ja miks? Kõige rohkem sobib materjalide uudisesitlus sihtgrupp. Praeguse ajapuuduse ja materjalide ülekülluse juures ei jätku lugejal jõudu ega kannatust.

Vaatamata pealkirjas olevale väitele, kui mitte nagu Lukatsky, kuid teil on kõik, mida vajate, et saada kuulsaks blogijaks - inimeseks, kes teab, kuidas kirjutada ja on valmis kogu oma vaba aja sellele tegevusele pühendama.

See nõuab ainult viit terminit.

Esiteks vajate õnne. (ja see on üks põhjusi, miks teist ei saa Lukatskiks). Kõigil pole nii vedanud kui Lukatskil. Tal on teadmised, kogemused ja mis kõige tähtsam - kaasaegsed tehnoloogiad turvalisus. On oluline (ja see näitab), et ta saab oma ettevõttelt tuge. See, mis kunagi oli Lukatsky jaoks vaid hobi, on muutunud ettevõtte jaoks uueks lähenemiseks vajaliku teabe edastamiseks. Tänu oma populaarsusele sotsiaalmeedias on Lukatsky blogist saanud bränd ka ettevõtte sees (ma kahtlen, et see oli vähemalt esialgu läbimõeldud strateegia). Sellest on saanud osa ettevõttest, mida Lukatsky esindab ( Cisco ). Ta armastab siiralt oma tööd ja tema huvi kandub üle ka publikule. Teda ei huvita mitte ainult tegevusvaldkond, vaid ka kogu tööstuse olukord ja see on kütkestav.

Teine on sisemise energia, isikliku karisma ja kogemuste kokteil

Avalik esinemine nõuab karismat, säravat isiksust. Lukatskit kutsutakse erinevatele üritustele, sest ta oskab keerulisi asju lihtsal viisil lahti seletada (oskus, mida tuleb õppida) ja valdab ainevaldkonda suurepäraselt.

Neljandaks – näe metsa enne puid

Peate nägema / tunnetama / teadma ajaveebi sihtrühma probleeme. Tippblogijad pakuvad oma ajaveebi lugejatele probleemide lahendamisel hindamatut abi. Materjali võtmine ja pakkimine selgeteks ja huvitavateks ajaveebipostitusteks on midagi, mida nad teevad regulaarselt ja hästi.

Blogi pole mitte ainult teabe edastamise meetod, vaid ka võimalus karjääri areng(tema omal maal pole prohvetit). Lukatsky on loomingu näide uus positsioon ettevõttes - ainevaldkonna tõlk, et meelitada uut publikut.

Ja lõpuks viies – blogimine nõuab raudset distsipliini regulaarselt (mida sagedamini, seda parem) avaldada oma ajaveebis materjali.

Noh, ja täiendava valikulise võimalusena on soovitav regulaarselt läbi viia koolitusseminare oma brändi reklaamimiseks.

Parafraseerides kuulsat ütlust: inimesed unustavad, mida sa kirjutasid, inimesed unustavad, mida sa ütlesid, inimesed ei unusta seda, mida nad tänu sulle aru said. Nüüd edastab iga raud, et Lukatski peab homme isikuandmete seminari (võib-olla on see PR vorm, robotid on juba pikka aega edastanud, kasutades IVR -tehnoloogiad või on tõesti Venemaale jäänud Kamtšatka kauged külad, mille elanikud ei käinud Lukatski isikuandmete seminaridel?). Aga tõsiselt, tema artikleid, esitlusi, slaide kopeeritakse kõigile vaatajaskondadele ja nad elavad oma elu ning see on normaalne, tugevdab brändi.
Seega ei saa te ajaveebi pidada nagu Lukatsky. Ja kes seda tegi, millal see peatus ?! Nagu Andrei Knõšev naljatas: "See, kes ronis kõrgemale, ronis lihtsalt varem."