Naš današnji gost je Alexey Lukatsky, poznati stručnjak u području informacijske sigurnosti i poslovni savjetnik tvrtke Cisco. Glavna tema razgovora bilo je izuzetno zanimljivo područje - sigurnost suvremenih automobila i drugih vozila. Ako želite znati zašto dronovi hakiraju čak i češće od automobila i zašto proizvođači poljoprivredne opreme blokiraju neovlaštene popravke na svojim strojevima na razini firmvera, čitajte dalje!

O sigurnosti modernih automobila

Kod većine ljudi postoji opasno pogrešno mišljenje da je automobil nešto jedinstveno, razlikuje od normalnog računala. Zapravo nije.

U Izraelu Cisco ima zaseban odjel koji se bavi kibersigurnošću u automobilima. Pojavio se nakon akvizicije jednog od izraelskih startupa koji su radili na ovom području.

Auto se ne razlikuje od doma ili korporativna mreža, o čemu svjedoče razne studije koje ispituju što uljez može učiniti automobilu. Ispostavilo se da i auti imaju računala, samo što su mala i neugledna. Zovu se ECU (Electronic Control Unit) i ima ih na desetke u autu. Svaki električni podizač prozora, kočioni sustav, nadzor tlaka u gumama, senzor temperature, brava na vratima, sustav putnog računala i tako dalje su računala, a svako upravlja različitim dijelom posla. Kroz takve računalne module možete promijeniti logiku automobila. Svi ti moduli kombinirani su u jednu mrežu, duljina kabela ponekad se mjeri u kilometrima, broj sučelja je u tisućama, a količina koda je milijuni redaka za normalno putno računalo i, općenito , za cjelokupno elektroničko punjenje (in svemirski brod manje ih je). Prema različitim procjenama, do 40% modernog automobila čine elektronika i softver. Količina softvera u premium automobilima je do gigabajta.
Ne uzimam u obzir proizvodnju ruske automobilske industrije, gdje, na sreću (što se tiče sigurnosti), nema ozbiljnog kompjutorskog punjenja. Ali ako uzmemo u obzir gotovo sve strane proizvođače automobila, svi oni sada kompjuteriziraju čak i najprofitabilnije modele svojih automobila.

Da, automobili imaju računala. Da, imaju svoje protokole za razmjenu podataka, koji nisu neka tajna: možete se spojiti na njih, presresti podatke i modificirati ih. Kako pokazuju slučajevi iz prakse proizvođača kao što su Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge i Mercedes-Benz, napadači su prilično dobro naučili analizirati što se događa unutar automobila, naučili su analizirati interakciju vanjski svijet s automobilom. Stručnjaci procjenjuju da 98% svih testiranih softverskih aplikacija u automobilima (a one pružaju do 90% svih inovacija) ima ozbiljne nedostatke, a neke aplikacije imaju desetke takvih nedostataka.

Sada se u okviru raznih projekata u Europi i Americi stvaraju tzv. pametne ceste.(npr. projekti EVITA, VANET, simTD). Omogućuju automobilu komunikaciju s površinom ceste, semaforima, parkiralištima, dispečerskim kontrolnim centrima cestovni promet. Automobil će moći automatski, bez ljudske intervencije, kontrolirati promet, prometne gužve, parkirališta, usporavati, primati informacije o prometnim nezgodama kako bi ugrađeni navigator mogao samostalno obnoviti rutu i usmjeriti automobil manje prometnim autocestama. Sva ta interakcija sada se, nažalost, odvija u gotovo nezaštićenom načinu rada. I sam automobil i ta interakcija gotovo da nisu ni na koji način zaštićeni. To je zbog uvriježenog pogrešnog mišljenja da je sustave ove vrste vrlo teško proučavati i da nikoga malo zanimaju.

Tu su i pitanja vezana uz posao. Posao vodi tko prvi uđe na tržište. Sukladno tome, ako je proizvođač prvi izbacio određeni novitet na tržište, zauzeo je veliki udio na tom tržištu. Stoga sigurnost, čija implementacija i, što je najvažnije, testiranje, zahtijeva puno vremena, mnoge tvrtke uvijek povuče nazad. Često zbog toga tvrtke (ovo se ne odnosi samo na automobile, već i na internet stvari kao takav) ili odgađaju sigurnost za kasnije, ili se njome uopće ne bave, rješavajući prizemniji zadatak - brzo izdati proizvod na tržište.

Poznati hakovi koji su se događali u prošlosti odnosili su se na ometanje rada kočnica, gašenje motora u pokretu, presretanje podataka o lokaciji automobila, daljinsko onesposobljavanje brava na vratima. To znači da napadači imaju vrlo zanimljive mogućnosti za izvođenje određenih radnji. Srećom, dok takve akcije u stvaran život se ne proizvodi, već je to takozvani proof-of-concept, odnosno određena demonstracija mogućnosti krađe automobila, zaustavljanja u hodu, preuzimanja kontrole i sl.

Što se danas može napraviti s automobilom? Hakirajte sustav upravljanja prijevozom, što će dovesti do prometnih nesreća i prometnih gužvi; presresti signal PKES i ukrasti automobil; promjena ruta putem RDS-a; samovoljno ubrzati automobil; blokirajte kočioni sustav ili motor u pokretu; promijeniti POI točke u navigacijskom sustavu; presresti lokaciju ili blokirati prijenos informacija o lokaciji; blokirati prijenos signala o krađi; ukrasti sadržaj u sustavu zabave; napraviti promjene na ECU i tako dalje. Sve to moguće je učiniti izravnim fizičkim pristupom, povezivanjem s dijagnostičkim priključkom automobila, neizravnim fizičkim pristupom putem CD-a s modificiranim firmwareom ili putem PassThru mehanizma, kao i bežičnim pristupom izbliza (npr. , Bluetooth) ili velike udaljenosti (na primjer, putem interneta ili mobilne aplikacije).

Dugoročno, ako prodavači ne razmišljaju o tome što se događa, to može dovesti do tužnih posljedica. Postoje prilično jednostavni primjeri koji još ne pokazuju da su hakeri aktivno preuzeli automobile, ali su već primjenjivi u stvarnom životu. Na primjer, potiskivanje ugrađenih tahografa koji imaju GPS ili GLONASS senzore. Nisam čuo za takve slučajeve s GLONASS-om Ruska praksa, ali u Americi je bilo presedana s GPS-om, kada su napadači potisnuli signal blindiranog automobila kolekcionara i ukrali ga na nepoznato mjesto kako bi ga rastavili i izvukli sve dragocjenosti. Istraživanje na ovom području provedeno je u Europi, u Velikoj Britaniji. Takvi slučajevi su prvi korak do napada na automobil. Jer sve ostalo (gašenje motora, gašenje kočnica u hodu) u stvarnoj praksi, srećom, nisam čuo. Iako sama mogućnost ovakvih napada sugerira da bi proizvođači i što je najvažnije potrošači trebali razmisliti o tome što rade i što kupuju.

Vrijedno je reći da se čak ni šifriranje ne koristi svugdje. Iako je kodiranje možda inicijalno omogućeno dizajnom, daleko je od toga da je uvijek omogućeno jer opterećuje kanal, uvodi određena kašnjenja i može dovesti do pogoršanja nekih potrošačkih karakteristika povezanih s uređajem.

U brojnim je zemljama enkripcija vrlo specifična vrsta poslovanja za koju je potrebno pribaviti dopuštenje državnih agencija. Ovo također nameće određena ograničenja. Izvoz opreme koja sadrži funkciju šifriranja podliježe takozvanim Wassenaarskim sporazumima o izvozu tehnologije dvojne namjene, koji uključuju enkripciju. Proizvođač je dužan ishoditi izvoznu dozvolu iz zemlje proizvodnje, a zatim dobiti uvoznu dozvolu za zemlju u koju će se proizvod uvoziti. Ako se već kod softvera situacija smirila, iako tu ima poteškoća i ograničenja, onda još uvijek ima problema s tako novonastalim stvarima kao što je enkripcija na Internetu stvari. Stvar je u tome što nitko ne zna kako to regulirati.

Međutim, to ima prednosti, jer regulatori još uvijek gotovo da i ne gledaju prema enkripciji interneta stvari, a posebno automobila. Na primjer, u Rusiji FSB kontrolira uvoz softver i telekomunikacijske opreme koja sadrži enkripcijske funkcije, ali praktički ne regulira enkripciju u dronovima, automobilima i drugim računalnim sitnicama, ostavljajući je izvan okvira regulative. FSB to ne vidi kao veliki problem: teroristi i ekstremisti to ne koriste. Stoga, dok takva enkripcija ostaje izvan kontrole, iako formalno potpada pod zakon.

Također, enkripcija je, nažalost, vrlo često implementirana na osnovnoj razini. Kad se, zapravo, radi o običnoj XOR operaciji, odnosno zamjeni jednih znakova drugima prema određenom jednostavnom algoritmu koji je lako shvatiti. Osim toga, šifriranje često provode nestručnjaci u području kriptografije, koji uzimaju gotove biblioteke preuzete s interneta. Kao rezultat toga, u takvim implementacijama mogu se pronaći ranjivosti koje vam omogućuju da zaobiđete algoritam šifriranja i barem presretnete podatke, a ponekad i upadnete u kanal kako biste ga zamijenili.

Zahtjev za sigurnošću automobila

Naš izraelski odjel ima rješenje koje se zove Autoguard. Ovo je mali vatrozid za automobile koji kontrolira ono što se događa unutra i komunicira s vanjskim svijetom. Zapravo, analizira naredbe koje se razmjenjuju između elemenata putnog računala i senzora, kontrolira pristup izvana, odnosno određuje tko se može, a tko ne može spojiti na unutarnju elektroniku i punjenje.

U siječnju 2018. u Las Vegasu, na najvećoj izložbi elektronike CES, Cisco i Hyundai Motor Company najavili su stvaranje automobila nova generacija, koji će koristiti arhitekturu softverski definiranog vozila (Software Defined Vehicle) i biti opremljen najnovijim mrežnim tehnologijama, uključujući mehanizme kibernetičke sigurnosti. Prvi automobili trebali bi sići s proizvodne trake 2019. godine.

Za razliku od potrošačke elektronike i IT rješenja za poduzeća, automobilska sigurnost vrlo je specifično tržište. Na ovom tržištu u cijelom svijetu postoji svega nekoliko desetaka potrošača - u odnosu na broj proizvođača automobila. Nažalost, sam vlasnik automobila nije u mogućnosti povećati kibernetičku sigurnost svog "željeznog konja". U pravilu se projekti ove vrste baš i ne reklamiraju, ali nisu ni u javnoj domeni, jer to nisu milijuni tvrtki kojima trebaju routeri, a ne stotine milijuna korisnika kojima trebaju sigurni pametni telefoni. Riječ je o samo tri ili četiri tuceta proizvođača automobila koji ne žele skrenuti pozornost na to kako je izgrađen proces zaštite automobila.

Mnogi proizvođači olako shvaćaju zaštitu, drugi samo gledaju ovo područje, troše razni testovi, jer ovdje postoji specifičnost povezana sa životnim ciklusom automobila. U Rusiji je prosječni životni vijek automobila pet do šest godina (u središnjim regijama i velikim gradovima tri do četiri godine, au regijama sedam do osam godina). Ako proizvođač sada razmišlja o uvođenju kibernetičke sigurnosti u svoju liniju automobila, onda će ovo rješenje ući na masovno tržište za deset godina, ne ranije. Na Zapadu je situacija nešto drugačija. Tamo se automobili mijenjaju češće, ali čak iu ovom slučaju prerano je reći da su automobili dovoljno opremljeni zaštitnim sustavima. Stoga nitko ne želi privlačiti veliku pozornost na ovu temu.

Napadači sada mogu početi napadati automobile ili provocirati povlačenje automobila zbog sigurnosnih problema računala. To može biti vrlo skupo za proizvođače, jer uvijek postoje ranjivosti. Naravno da će se naći. Ali povlačenje tisuća ili stotina tisuća ranjivih vozila svaki put zbog ranjivosti je preskupo. Stoga se o ovoj temi ne čuje mnogo, ali veliki proizvođači, naravno, rade i razmišljaju o perspektivama ovog tržišta. Prema procjenama GSMA-e do 2025. godine 100% automobila bit će spojeno na internet (tzv. povezani automobili). Ne znam koliko je Rusija uzeta u obzir u ovoj statistici, ali u nju se ubrajaju svjetski auto divovi.

Sigurnost drugih oblika prijevoza

Ranjivosti postoje u svim vrstama vozila. To su zračni promet, pomorski promet, teretni promet. Cjevovodi neće biti uzeti u obzir, iako se i oni smatraju načinom transporta. Svako moderno vozilo sadrži prilično moćan računalni dodatak, a često ga razvijaju obični informatičari i programeri koji rade klasične pogreške pri izradi svog koda.

Što se tiče razvoja, odnos prema ovakvim projektima malo je drugačiji od onoga što rade Microsoft, Oracle, SAP ili Cisco. A testiranje se uopće ne provodi na toj razini. Stoga su poznati slučajevi pronalaženja ranjivosti i demonstracija mogućnosti hakiranja zrakoplova ili pomorskog prometa. Zato se nijedno vozilo ne može isključiti s ovog popisa – njihova kibernetička sigurnost danas nije baš na visokoj razini.

S dronovima je situacija potpuno ista pa čak i jednostavnija jer se radi o masovnijem tržištu. Gotovo svatko ima priliku kupiti dron i rastaviti ga za istraživanje. Čak i ako dron košta nekoliko tisuća dolara, možete ga kupiti u torbi, analizirati ga i pronaći ranjivosti. Tada možete ukrasti takve uređaje ili ih spustiti u letu, presrećući kontrolni kanal. Također ih je moguće isprovocirati na pad i oštetiti vlasnika ili pak ukrasti pakete koje dronovi prevoze ako se koriste za prijevoz robe i pošiljaka.

S obzirom na broj dronova, razumljivo je zašto napadači aktivno istražuju upravo ovo tržište: ono je više monetizirano. Situacija na ovom području je još aktivnija nego s automobilima, jer postoji izravna korist za “loše momke”. Nema ga kad se auto razbije, ne računajući eventualnu ucjenu proizvođača automobila. Osim toga, za ucjenu se može ići u zatvor, a procedura dobivanja otkupnine puno je kompliciranija. Naravno, možete pokušati dobiti novac od proizvođača automobila legalno, ali vrlo je malo ljudi koji zarađuju novac tražeći takve ranjivosti legalno i za novac.

Kada proizvođači blokiraju ažuriranja

Nedavno je bio zanimljiv slučaj - proizvođač poljoprivrednih strojeva. Ne vidim ništa nadnaravno i suprotno poslovnoj praksi sa stajališta proizvođača u ovoj situaciji. Želi preuzeti kontrolu nad procesom ažuriranja softvera i zaključati svoje klijente. Budući da je jamstvena podrška novac, proizvođač želi nastaviti zarađivati ​​na njoj, smanjujući rizike odlaska kupaca drugim dobavljačima opreme.

Po ovom principu "žive" gotovo sve tvrtke koje posluju u IT područjima. kao i tvrtke – proizvođači automobila, poljoprivrednih strojeva, zrakoplovne opreme ili dronova koji IT implementiraju kod kuće. Jasno je da svako neovlašteno uplitanje može dovesti do tužnih posljedica, stoga proizvođači zatvaraju mogućnost samostalnog ažuriranja softvera i ja ih ovdje savršeno razumijem.

Kada kupac ne želi platiti jamstvenu podršku za opremu, počinje tražiti ažuriranja firmware-a na različitim web stranicama za robu. To može, s jedne strane, dovesti do toga da on besplatno ažurira svoj softver, ali, s druge strane, to može dovesti do štete. Konkretno, bio je slučaj u praksi Cisca kada su tvrtke koje nisu htjele platiti podršku (u ovom slučaju, naravno, ne za automobilsku ili poljoprivrednu opremu, već za običnu mrežnu opremu) preuzele firmware negdje na hakerskim forumima. Kako se ispostavilo, ovi firmware sadržavali su "bookmarks". Kao rezultat toga, za određeni broj korisnika, informacije koje su prošle kroz mrežnu opremu procurile su do neidentificiranih osoba. Bilo je nekoliko tvrtki u svijetu koje su se suočile s tim.

Ako nastavimo analogiju i zamislimo što se može učiniti s poljoprivrednim strojevima, slika će biti tužna. U teoriji je moguće blokirati rad poljoprivrednih strojeva i tražiti otkupninu za vraćanje pristupa strojevima koji koštaju stotine tisuća dolara ili čak milijune. Srećom, koliko znam, takvih presedana još nije bilo, ali ne isključujem da bi se mogli pojaviti u budućnosti ako se ova praksa nastavi.

Kako poboljšati sigurnost vozila

Uputa je vrlo jednostavna: morate shvatiti da problem postoji.Činjenica je da za mnoge menadžere takav problem ne postoji, oni ga smatraju ili nategnutim ili ne baš popularnim na tržištu i, shodno tome, nisu spremni trošiti novac na njega.

Prije tri-četiri godine u Moskvi je održan Connected Car Summit na kojem se govorilo o raznim novotarijama vezanim uz automatizaciju i informatizaciju automobila. Na primjer, o praćenju lokacije (dijeljenje automobila s internetskom vezom) i tako dalje. Tamo sam govorio s izvješćem o sigurnosti automobila. A kad sam pričao o raznim primjerima što se može napraviti s automobilom, mnoge tvrtke, proizvođači i car sharing tvrtke su mi prišle nakon govora i rekle: “Oh, nismo ni razmišljali o tome. Što nam je činiti?"

Malo je proizvođača automobila u Rusiji. Nakon govora, prišao mi je predstavnik jednog od njih i rekao da, dok oni uopće ne razmišljaju o računalnoj sigurnosti, jer je stupanj informatizacije vrlo nizak, prvo trebaju shvatiti što se u kompjuterskom smislu može dodati automobilu punjenje. Kada sam pitao ovog zastupnika hoće li uopće razmišljati o sigurnosti, odgovorio je da se o tome razmišlja vrlo ozbiljno dugoročno. Ovo je ključna točka: morate razmišljati o činjenici da je računalna sigurnost sastavni dio, to nije vanjska "montirana" funkcija, već svojstvo modernog automobila. Ovo je polovica uspjeha u osiguravanju sigurnosti prijevoza.

Drugi potreban korak- angažirati stručnjake, unutarnje ili vanjske. Trebamo ljude koji mogu legalno razbijati postojeća rješenja i tražiti ranjivosti u njima. Sada postoje pojedinačni entuzijasti ili tvrtke koje se bave ili pentestiranjem ili analizom sigurnosti automobila i njihove kompjutorske opreme. Nema ih puno, jer je ovo prilično usko tržište na kojem se ne možete okrenuti i zaraditi puno novca. U Rusiji ne znam nikoga tko bi to radio. Ali postoje tvrtke koje se bave sigurnosnim analizama i rade sasvim specifične stvari - testiraju automatizirane sustave upravljanja procesima i slično. Možda bi se mogli okušati u automobilima.

Treći element je implementacija sigurnih razvojnih mehanizama. Ovo je odavno poznato razvojnim programerima konvencionalnog softvera, posebice u Rusiji su nedavno usvojeni relevantni GOST-ovi za siguran razvoj softvera. Ovo je skup preporuka o tome kako ispravno pisati kod da bi ga bilo teže probiti, kako izbjeći konstrukcije koje bi dovele do prekoračenja međuspremnika, presretanja podataka, lažiranja podataka, uskraćivanja usluge i tako dalje.

Četvrti korak je implementacija tehničkih sigurnosnih rješenja, odnosno korištenje posebnih čipova u automobilima, izgradnja sigurnosne arhitekture. Osoblje programera mora uključivati ​​arhitekte koji se posebno bave sigurnosnim pitanjima. Mogu se baviti i arhitekturom automobila u smislu zaštite, arhitekturom upravljačkog sustava. Budući da je uvijek moguće napasti ne sam automobil - puno je učinkovitije hakirati kontrolni sustav i preuzeti kontrolu nad svim automobilima.

Kao što se nedavno dogodilo s internetskim blagajnama, koje su iznenada prestale raditi na dan stote obljetnice FSB-a. Uostalom, internetska blagajna je, grubo govoreći, isti automobil: ima računalno punjenje, postoji firmware. Firmware je odmah prestao raditi, a četvrtina cjelokupnog maloprodajnog tržišta ustala je nekoliko sati. Isto je i s automobilima: loše napisan kod, ranjivosti pronađene u njemu ili hakiranje kontrolnog sustava mogu dovesti do prilično tužnih posljedica. No, ako su se u slučaju internetskih blagajni gubici mjerili milijardama, onda će u slučaju automobila biti žrtava.

Iako s automobilima nije potrebno čekati hakiranje ili preuzimanje kontrole nad desecima milijuna vozila. Dovoljno je puknuti samo nekoliko njih i već će na cestu doći kaos. A ako činjenica o hakiranju postane javna, možete biti sigurni da će mediji o tome protrubiti cijelom svijetu, a vlasnici automobila će biti užasnuti "perspektivama" koje su se otvorile.

Općenito, postoje tri razine zaštite modernog vozilo. Ovo je ugrađena kibernetička sigurnost samog automobila (imobilizator, PKES, zaštićeni interne komunikacije između ECU-ova, otkrivanje anomalija i napada, kontrola pristupa, pouzdani sigurnosni moduli); sigurnost komunikacija (zaštita vanjskih komunikacija s nadzornim centrom cestovne infrastrukture, proizvođačem automobila ili njegovih pojedinih dijelova, zaštita preuzimanja aplikacija, sadržaja, ažuriranja, zaštita tahografa); i sigurnost cestovne infrastrukture.

Što i gdje studirati kao specijalist

IT stručnjacima koji jesu ili žele razvijati kod za automobile, vozila ili bespilotne letjelice može se preporučiti da započnu s proučavanjem sigurnog razvoja (SDLC). Odnosno, trebate proučiti što je uopće siguran razvoj. Mora se priznati da ovi dodatna znanja ne donosi dodatni novac. Danas nitko nije kažnjen zbog nepoznavanja osnova sigurnog razvoja, odgovornosti nema, pa to ostaje na procjeni samog informatičara. U početku, ovo može biti konkurentska prednost za stručnjaka, jer se to nigdje ne uči, što vam omogućuje da se izdvojite od pozadine drugih. Ali u području sigurnosti automobila, interneta stvari, dronova, to nije najpopularniji zahtjev za zaposlenika. Nažalost, mora se priznati da informatičari ovoj temi ne posvećuju previše pažnje.

Siguran razvoj je samoučenje u svom najčišćem obliku. Budući da tečajeva ove vrste praktički nema, svi se rade samo po narudžbi, i to u pravilu korporativni trening. Ova tema također nije uključena u savezne državne obrazovne standarde, tako da jedino što preostaje je samostalno učenje ili odlazak na tečajeve tvrtki koje se bave analizom koda. Postoje takve tvrtke - među ruskim igračima, na primjer, Solar Security ili Positive Technologies. Ima ih puno više na zapadu, recimo IBM, Coverity, Synopsys, Black Duck. Održavaju razne seminare na ovu temu (i plaćene i besplatne), na kojima možete naučiti nešto znanja.

Drugi smjer za IT stručnjake su arhitekti. Odnosno, možete postati arhitekt za sigurnost takvih projekata, za Internet stvari općenito, jer su, plus ili minus, izgrađeni prema istim zakonima. Ovo je centralni sustav upravljanja iz oblaka i hrpa senzora: bilo usko usmjerenih, poput drona, ili senzora integriranih u automobil ili veće vozilo koje je potrebno ispravno konfigurirati, implementirati i dizajnirati. Potrebno je uzeti u obzir različite prijetnje, odnosno potrebno je tzv. modeliranje prijetnji. Također je potrebno uzeti u obzir ponašanje potencijalnog uljeza kako bi se razumjele njegove potencijalne sposobnosti i motivacija te na temelju toga osmislili mehanizmi za odbijanje budućih prijetnji.

Na internetu možete pronaći mnogo korisnih materijala. Također možete pročitati razne prezentacije s konferencija kao što su DEF CON i Black Hat. Možete pogledati materijale tvrtki: mnoge objavljuju prilično dobre prezentacije i bijele knjige na svojim web stranicama, opise tipičnih pogrešaka u kodu i tako dalje. Možete pokušati pronaći prezentacije sa specijaliziranih događaja o sigurnosti automobila (na primjer, Automotive Cybersecurity Summit, Vehicle Cyber ​​​​Security Summit, Connected Cars Summit, CyberSecureCar Europe).
Osim toga, sada ruski regulator FSTEC Rusije (Savezna služba za tehničku i izvoznu kontrolu) ima niz inicijativa, posebno se predlaže objavljivanje tipičnih pogrešaka koje programeri čine u kodu na Internetu, radi održavanja određene baze podataka takvih grešaka. To još nije provedeno, ali regulator radi u tom smjeru, iako nemaju uvijek dovoljno sredstava.

Nakon što je cyber arsenal CIA-e i NSA-e procurio na internet, svatko, čak i "kućni haker", može se osjećati kao specijalni agent. Uostalom, on posjeduje gotovo isti arsenal. To prisiljava arhitekte da zauzmu potpuno drugačiji pristup izgradnji svojih sustava. Prema raznim studijama, ako razmišljate o sigurnosti u fazi stvaranja arhitekture, tada će se X resursa potrošiti na njezinu implementaciju. Ako promijenite arhitekturu već u fazi komercijalnog rada, to će zahtijevati trideset puta više resursa, vremena, ljudi i novca.

Arhitekt je vrlo moderno i, što je najvažnije, vrlo isplativo zanimanje. Ne mogu reći da u Rusiji postoje takvi stručnjaci Velika potražnja, ali na Zapadu je sigurnosni arhitekt jedna od najbolje plaćenih specijalnosti, godišnji prihod takvog stručnjaka je oko dvjesto tisuća dolara. U Rusiji, prema podacima Ministarstva rada, svake godine nedostaje oko 50.000-60.000 zaštitara. Među njima su arhitekti, administratori, menadžeri i modeliri prijetnji, vrlo širok raspon sigurnosnih stručnjaka kojih u Rusiji redovito nedostaje.

Međutim, arhitekti se također ne uče na sveučilištima. U osnovi, ovo je prekvalifikacija, odnosno odgovarajući tečajevi ili samoučenje.

U Rusiji se uglavnom prakticira korporativna obuka. Budući da to nije masovno tržište i centri za obuku ne uključuju u svoje programe kao tečajeve. Ovo se radi samo po narudžbi. U teoriji, potrebno je prvo ovo uključiti u javno obrazovanje na sveučilištima. Postaviti temelje za pravilno projektiranje raznih arhitektura. Nažalost, savezne državne obrazovne standarde pišu ljudi koji su jako daleko od stvarnosti i prakse. Često ovo bivši ljudi u uniformi, koji ne znaju uvijek ispravno projektirati sustave, ili im je to vrlo specifično: znanje im je vezano uz državne tajne ili borbu protiv stranih tehničkih obavještajaca, a ovo je malo drugačije iskustvo. Takvo iskustvo se ne može nazvati lošim, ali je drugačije i malo korisno u komercijalnom segmentu i Internetu stvari. Savezni državni obrazovni standardi ažuriraju se vrlo sporo, otprilike jednom svake tri do četiri godine, i uglavnom se u njih unose kozmetičke promjene. Jasno je da u takvoj situaciji stručnjaka nema niti će ih biti dovoljno.

Radim u Ciscu

Cisco ima razvoj u Rusiji. Trenutno je u tijeku rad na stvaranju otvorene platforme za pružatelje usluga i podatkovne centre. Imamo i brojne ugovore sa ruske tvrtke koji za nas rade individualne projekte. Jedan od njih je Perspective Monitoring, koji piše zasebne rukovatelje za mrežni promet za prepoznavanje raznih aplikacija, koje se zatim ugrađuju u naše alate za mrežnu sigurnost. Općenito, mi, kao i većina svjetskih IT tvrtki, imamo nekoliko razvojnih centara u svijetu, a regionalni uredi obavljaju funkcije marketinga, podrške i prodaje.

Imamo program stažiranja za sveučilišne studente - godinu dana u Europi, na našoj akademiji. Prije toga prolaze veliko natjecanje, a onda ih šalju na godinu dana u neku od europskih metropola. Po povratku se distribuiraju našim uredima u Rusiji i zemljama ZND-a. To su inženjeri koji projektiraju sustave i podržavaju ih, kao i ljudi koji se bave prodajom.

Ponekad imamo slobodna radna mjesta kada netko ode na unapređenje ili napusti tvrtku. Uglavnom, to su ili inženjerske pozicije ili pozicije vezane uz prodaju. S obzirom na razinu Cisca, u ovom slučaju ne zapošljavamo studente, već ljude koji su radili više od godinu dana na nekoj poziciji. Ako je to inženjer, onda mora imati dovoljnu količinu Cisco certifikata. Ono što je potrebno nije osnovni CCNA, u pravilu je potreban minimum CCNP, ali najvjerojatnije stručnjak mora uopće proći CCIE certifikaciju - ovo je maksimalna razina Cisco certifikacije. U Rusiji je takvih ljudi malo, pa često imamo problem kada trebamo pronaći inženjere. Iako općenito rotacija u tvrtki nije velika, ona se mjeri na 1-2% godišnje. Unatoč ekonomskoj situaciji, američke tvrtke u Rusiji jako dobro plaćaju, socijalni paket je dobar, pa nas ljudi obično ne napuštaju.

U području informacijske sigurnosti radim od 1992. godine. Radio je kao stručnjak za informacijsku sigurnost u raznim vladinim i komercijalne organizacije. Prošao je put od programera alata za šifriranje i administratora do analitičara i voditelja poslovnog razvoja u području informacijske sigurnosti. Imao je niz certifikata iz područja informacijske sigurnosti, ali je prekinuo utrku za bedževe. Trenutno sve dajem Ciscu.

Objavio više od 600 tiskanih radova u raznim publikacijama - CIO, direktor informacijske službe, National Banking Journal, PRIME-TASS, Information Security, Cnews, Banking Technologies, Analytical Banking Journal, "Business Online", "The world of communication. Connect", "Rezultati", "Racionalno upravljanje poduzećem", "Spajanja i akvizicije" itd. Sredinom 2000-ih svoje je publikacije prestao smatrati beznadnom vježbom. Trenutno pišem blog na Internetu "Poslovanje bez opasnosti".

Godine 2005. dobio je nagradu Udruge dokumentarnih telekomunikacija "Za razvoj infokomunikacija u Rusiji", a 2006. - nagradu Infoforum u nominaciji "Publikacija godine". U siječnju 2007. uvršten je u ocjenu 100 osoba ruskog IT tržišta (što nisam razumio). 2010. godine pobijedio je na natjecanju Lions and Gladiators. Godine 2011. dobio je diplomu ministra unutarnjih poslova Ruske Federacije. Na konferenciji Infosecurity tri je puta dobio Security Awards - 2013., 2012. i 2011. (za obrazovne aktivnosti). Za istu aktivnost, odnosno za bloganje, 2011. godine dobio je Runet Anti-Prize u nominaciji "Safe Roll". Godine 2012. dobio je nagradu Udruge ruskih banaka za veliki doprinos razvoju sigurnosti bankarski sustav Rusija, a 2013. godine na Magnitogorskom forumu dobio je nagradu "Za metodološku potporu i postignuća u bankarskoj sigurnosti". I 2013. i 2014. godine portal DLP-Expert proglašen je najboljim govornikom o informacijskoj sigurnosti. Tijekom svog vremena u Ciscu također je nagrađen nizom internih nagrada.

Godine 2001. objavio je knjigu Detekcija napada (drugo izdanje ove knjige izašlo je 2003. godine), a 2002. godine, u suradnji s I.D. Medvedovski, P.V. Semyanov i D.G. Leonov - knjiga "Napad s Interneta". Godine 2003. objavio je knjigu "Zaštitite svoje podatke detekcijom upada" (on Engleski jezik). Tijekom 2008.-2009., na portalu bankir.ru objavio je knjigu "Mitovi i zablude informacijske sigurnosti".

Autor sam mnogih tečajeva, uključujući "Uvod u otkrivanje upada", "Sustavi za otkrivanje upada", "Kako povezati sigurnost s poslovnom strategijom poduzeća", "Što skriva zakon o osobnim podacima", "ISIS i organizacijska teorija" , "Mjerenje sigurnosti informacija o performansama", "Arhitektura i strategija IS-a". Držim predavanja o informacijskoj sigurnosti u raznim obrazovne ustanove i organizacije. Bio je moderator RU.SECURITY echo konferencije u mreži FIDO, ali je napustio ovaj posao zbog egzodusa većine stručnjaka na Internet.

Prvi put se u ruskom tisku osvrnuo na tu temu:

• Sigurnost poslovnih informacija
• Sigurnost spajanja i preuzimanja
• Mjerenje učinkovitosti informacijske sigurnosti
• SOA sigurnost
• Sigurnost sustava naplate
• varljivi sustavi
• Sigurnost IP telefonije
• Sigurnost sustava za pohranu podataka (storage)
• Sigurnost žarišne točke
• Sigurnost pozivnog centra
• Primjene situacijskih centara u informacijskoj sigurnosti
• mobilni spam
• Sigurnost mobilne mreže
• I mnogi drugi.

Oženjen sam i imam sina i kćer. Svoje slobodno vrijeme nastojim posvetiti svojoj obitelji, iako naporan rad za dobrobit domovine i poslodavca gotovo da ne ostavlja takvo vrijeme. Hobiji pretvoreni u posao ili posao pretvoren u hobi su pisanje i informacijska sigurnost. Od djetinjstva se bavim turizmom.

P.S. Fotografije za internetske publikacije (preuzmite iznad ili

OKO odgovornaizgled očito. Da biste blogirali kao Lukatsky, morate biti Lukatsky. Ali pogledajmo dublje metode i motive za vođenje vlastitog bloga.Bloganje je droga. Čak i ako ste danas već napisali hrpu postova, tweetova i komentara na svim mogućim društvenim mrežama, želite još i još. Što više informacija koje vas zanimaju bacaju na vas, to više želite konzumirati blogove, stranice, stranice. Što više kanala imate za distribuciju svojih informacija, potrebno vam je više načina za komunikaciju s vanjskim svijetom.

Prava vrijednost svakog bloga za njegovog vlasnika je pristupačan način prenijeti informacije širokoj publici. Osim toga, blog vam omogućuje da povećate vlastito samopoštovanje, sakrijete svoje slabosti iznutra i, naprotiv, izložite svoje vrline prema van.

Želja za stvaranjem vlastitog brenda

Prvi razlog za bloganje je imati što reći publici. Svijet postaje zasićen informacijama, potražnja za korisnim i pravovremenim informacijama raste, dajući nove prilike ljudima koji to vide kao način da otključaju svoj potencijal.

Drugi razlog je prilično sebičan - želja za stvaranjem vlastitog brenda, odnosno bavljenje onim što volite kako biste iz toga izvukli osobnu korist (ups, ležerno formuliran san svakog hakera).

Da vidimo imate li preduvjete za stvaranje vlastita marka u društvenim mrežama.

Prije svega, kada birate temu za bloganje, morate se fokusirati na nešto. Imate problem izbora.

1. Marka objavljene informacije (pretpostavlja se da je riječ o nekakvoj ekskluzivi, a’la Arustamyan iz nogometa sa svojim pseudo-vijestima).

2. Brend stručnjaka – mora se zaslužiti, a to je dug i trnovit put. Kolege u radionici trebali bi u vašoj osobi prepoznati stručnjaka u sposobnosti prenošenja kvalitetnih informacija u pristupačnom obliku.

3. Brend znanja - da bi se znanje emitiralo publici, ono se prvo mora dobiti, a to je rad koji se možda neće isplatiti. U svakom slučaju, morate povećati svoj potencijal kao predstavnik struke.

4. Pa, kao najčešća opcija, vi samo talentirana osoba, pucate od želje da se proslavite i nije vam bitno o čemu ćete pisati/pričati (tako misli većina blogera početnika).

Morate naučiti izložiti gradivo tako da bude a) razumljivo, b) relevantno i onda kako god želite: zanimljivo, uzbudljivo, aforistično, lako, s humorom. Uostalom, pisanje ili javni govor vještine su koje se mogu naučiti i dolaze s iskustvom.

Većina ljudi (u kontekstu ovog članka - blogeri) ili tumače tuđe ideje (upravo ono što ja sada radim), ili skupljaju novosti o priopćenjima (događaji, natječaji itd.), uključujući emitiranje vijesti vlastitog brenda / proizvod , objavljivanje potrebnih sadržaja sa izložbi, konferencija, prezentacija i sl. Ali čak iu ovom slučaju malo tko može upakirati informacije u kvalitetan materijal (ne smatramo profesionalnim novinarima). I zašto? Novinska prezentacija materijala najviše odgovara ciljanu publiku. Uz sadašnji nedostatak vremena i obilje materijala za više, čitatelj nema dovoljno snage ni strpljenja.

Unatoč izjavi u naslovu, ako ne kao Lukatsky, ali imate sve što vam je potrebno da postanete poznati bloger - osoba koja zna pisati i spremna je posvetiti sve svoje slobodno vrijeme ovoj aktivnosti.

Za to je potrebno samo pet mandata.

Prvo, treba vam sreća. (i to je jedan od razloga zašto nećeš postati Lukatsky). Nemaju svi sreće kao Lukatsky. Ima znanje, iskustvo i ono najvažnije - moderne tehnologije sigurnosti. Važno je (i vidi se) da dobiva potporu svoje tvrtke. Ono što je Lukatskyju nekada bio samo hobi, za tvrtku je postalo novi pristup prenošenju potrebnih informacija. Zbog svoje popularnosti na društvenim mrežama, Lukatskyjev blog je postao brend i unutar tvrtke (sumnjam da je to bila dobro promišljena strategija, barem u početku). Ovo je postalo dio posla koji Lukatsky predstavlja ( Cisco ). Iskreno voli posao koji radi i svoj interes prenosi na publiku. Zabrinut je ne samo za predmetno područje djelovanja, već i za stanje industrije u cjelini, a to je zadivljujuće.

Drugi je koktel unutarnje energije, osobne karizme i iskustva

Za javni govor potrebna je karizma, svijetla osobnost. Lukatsky je pozvan na razna događanja jer je u stanju objasniti složene stvari jednostavnim riječima (vještina koju treba naučiti) i izvrsno vlada temom.

Četvrto - vidjeti šumu prije drveća

Morate vidjeti / osjetiti / znati probleme ciljane publike bloga. Vrhunski blogeri pružaju neprocjenjivu pomoć u rješavanju problema čitateljima svojih blogova. Uzimanje materijala i njegovo pakiranje u jasne i zanimljive postove na blogu nešto je što rade redovito i dobro.

Blog nije samo način prenošenja informacija, već i prilika za razvoj karijere(nema proroka u svojoj zemlji). Lukatsky je primjer stvaranja novi položaj u poduzeću - tumač predmetnog područja za privlačenje nove publike.

I konačno, peto – bloganje zahtijeva željeznu disciplinu da redovito (što češće to bolje) objavljujete materijal na svom blogu.

Pa, kao dodatna, izborna opcija - poželjno je redovito provoditi seminare obuke za promociju vašeg brenda.

Da parafraziramo poznatu izreku: ljudi će zaboraviti što ste napisali, ljudi će zaboraviti što ste rekli, ljudi neće zaboraviti što su shvatili zahvaljujući vama. Sada svaka pegla emitira da Lukatsky sutra drži seminar o osobnim podacima (možda je ovo oblik PR-a, roboti već dugo emitiraju, koristeći IVR -tehnologije, ili su udaljena sela na Kamčatki doista još uvijek ostala u Rusiji, čiji stanovnici nisu pohađali Lukatskyjeve seminare o osobnim podacima?). Ali ozbiljno, njegovi članci, prezentacije, slajdovi repliciraju se za svu publiku i žive svoje živote, i to je normalno, jača brend.
Dakle, nećete moći blogirati kao Lukatsky. A tko je to učinio, kada je prestalo?! Kao što se Andrej Knišev našalio: "Onaj koji se popeo više, popeo se ranije."