Для того чтобы понять, как вернуть специалистов по кибербезопасности в Россию, достаточно просто открыть пирамиду потребностей по Маслоу и провести анализ причин и следствий. Что мы видим на вершине пирамиды? Потребность в самовыражении через творчество, созидание, развитие. Нигде в мире сейчас специалист по кибербезу не может реализовать себя так, как в России. В стране, которую атакуют больше всех, а защищают сейчас меньше всех.

Уважаемый Шадаев называет ужасные цифры — до 100 тысяч уехавших молодых талантов и состоявшихся специалистов в важнейшем секторе экономики. Я склонен им верить, как склонен и согласиться с его позицией по программе “обратной релокации”.

Люди уезжали из-за потребности в безопасности, но если она будет удовлетворена, то они вернутся за самореализацией, ведь только в решении сложных, иногда невозможных задач человек интеллектуального труда может найти настоящее счастье.

И я рад, что государство делает правильные шаги в этом направлении, такие как отсрочка от армии, “бронь” и льготные ипотечные условия. Но этого мало. Нужно дать понять, что и они, и их близкие будут в безопасности, а затем предоставить им возможность творить и создавать, в том числе и новые русские технологии, которые сейчас так необходимы.

Классификация хакеров: Структура организованной киберпреступности

Возвращаемся к классификации хакеров. Вы должны понимать, что современная организованная киберпреступность во многом напоминает обычный бизнес или IT стартап (только вместо принесения пользы этот бизнес нацелен на зло). И в организованной преступности есть свои HR, служба поддержки, тестировщики, тимлиды, оценщики компаний, PR специалисты и даже свои менеджеры по развитию. Но есть и специфические роли и профессии.

Например:
— Разработчик вредоносного ПО (Кодер)
— Эксплойт разработчик
— Криптор
— Мул (money mule)
— Оператор ботнета\Оператор вымогателя
— Социальный инженер
— Спамер
— Траффер
— Кардер

Одна из специфичных ролей – это Кодер.
Часто с него все и начинается. Это талантливый программист, который либо получает заказ на разработку вируса, либо решает создать свой. Работая один или в команде (а мы видели, как с одного человека начинаются целые вредоносные империи), он создает вирус и предлагает его на продажу или сдает в аренду на хакерских форумах (вот почему важно за ними следить! ). Как и в индустрии обычного ПО, вместе с продажей оказывается поддержка, доработка под клиента, ежемесячные обновления и отзывы клиентов.

Помню, когда одного хорошего кодера не взяли в одну зеленую антивирусную компанию. Он очень туда хотел, но по какой-то причине не прошел собеседование и пошел по тёмному пути. В итоге человек был очень востребован и участвовал в нескольких хакерских группировках. Но любое зло рано или поздно наказывается. Его в конечном итоге поймали. :)

Как развивать SOC в 2023 году

В прошлом году, перед уходом на новогодние каникулы, я получил вопрос: «Какие наиболее эффективные стратегии развития SOC (Security Operations Center) на 2023 год?»

Для начала, если у вас нет своего или стороннего SOC, то нужно его сделать, желательно уже несколько лет назад. А если есть, то начать автоматизировать и предсказывать угрозы.

1) Правильно использовать киберразведку. Киберразведка – это не индикатор, а многомерные атрибуционные матрицы, в идеальном случае реального времени, а не использование фидов для галочки

2) ИИ позволит хорошо автоматизировать часть рутинных процессов. Недавний успех с GPT-4 хорошее тому подтверждение. Такие модели смогут анализировать историю прошлых реагирований, давать правильные и быстрые рекомендации.

3) Те SOC, которые еще не используют EDR обязательно к этому придут, иначе они не смогут реагировать на инциденты и застрянут в прошлом. Киберразведка – это атрибуция и выявление сложного будущего. К сожалению, это понимают единицы. Ну и, конечно же, реагирование, то есть использование EDR. Это то, что должно быть в базе.

4) И самое главное: нас всех ждет увлекательный путь построения независимых SOC практик. Без иностранных вендоров и проверенных временем решений, с масштабным внедрением опенсорс технологий, с ростом экспертизы специалистов и появлением новых собственных продуктов. И так как мы находимся в куда более враждебной среде, через несколько лет русский кибербез будет сильно отличаться от общемирового. В какую сторону – зависит только от нас.

Готова ли Россия защищаться от кибератак?

— Видишь суслика?
— Нет...
— И я не вижу... А он есть!

Мне на днях показали более-менее свежие новости (у меня тут немного новости запаздывают, надеюсь, понятно почему). Оказывается, Россия готова к кибератакам. Мне интересно, на основании чего сделан такой вывод? Может потому, что утечки данных россиян бьют рекорды? Или из-за того, что все обнаруженные атаки были отражены?

Открою секрет, известный каждому эксперту в области кибербеза: множество отраженных кибератак не означает отсутствие успешных атак. За редким исключением (например, DDOS или вымогательство) атакующие стараются остаться незамеченными как можно дольше, иногда годами, выкачивая необходимую информацию и ожидая необходимого момента.

Да, у нас неплохо защищен банковский сектор, крупный бизнес, часть государственного сектора и это результаты совместной работы, эволюции в очень враждебной среде.

Но в такое время мы не можем поддаться самообману и расслабиться. Нужно жить в состоянии постоянной борьбы с киберпреступностью. Искать ее в сети, проверять больницы, НИИ, промышленные предприятия, анализировать, проводить атрибуцию и защищать уязвимые места.

Как итог: в каких-то местах наше государство действительно готово к защите от кибератак, но, к сожалению, не везде. До глобального цифрового суверенитета с полноценной защищенностью от киберугроз нам еще работать и работать.

Предлагаю заключить пари

Те, кто знают меня лично, помнят, что есть у меня такое хобби – заключать пари на предсказания будущего и выигрывать их.

Итак, сегодня я предлагаю вам всем заключить пари на то, что произойдёт в России за 2023 год. Через год сверим часы.

Естественно, моя задача информированием предупреждать, а значит, вооружать. Список представлен не в хронологическом порядке и не в порядке важности. Мне кажется, что большая часть событий произойдёт за полгода, а важность каждый определит сам для себя.

1. Увеличение утечек ПД и фейковых утечек персональных данных
2. Успешная атака (скорее всего блокировка) одного из российских голосовых помощников (не самого популярного)
3. Атаки логистику, связанные с нефтью (шифровальщики)
4. Волна роста мошенничества в travel индустрии (букинг билетов и отелей в том числе на популярных площадках)
5. Атака и на предприятия, связанные с российским космосом. В особенности личные устройства, личные квартиры ключевых сотрудников + множество НИИ
6. Сильный рост вредоносной рекламы
7. Закладки аппаратные и программные компьютерной технике и смартфонах, а также в части элементов, на которых собирают отечественные компьютеры
8. Атака и на систему умного дома и видеонаблюдение политиков и ТОП менеджеров гос компаний + их личные устройства и членов их семей, а также обслуживающего персонала
9. Android трояны с новым функционалом и массовые заражения в РФ
10. Интересные ботнеты на отечественных ОС
11. Думаю, двухкратный рост продаж «удаленного доступа в российские компании»

Сохраните пост. В декабре 23 сверимся

А как вы защищаете свою почту?

Еще один тип киберзлодеев – хакеры, работающие по BEC (Business Email Compromise). Они компрометируют почтовые ящики сотрудников через фишинг или вирусы. Их главная цель - бухгалтерия, отдел закупок, отдел по работе с партнерами или поставщиками. В общем, любой сотрудник, в переписке которого может появиться договор с реквизитами или письмо с указанием, куда нужно перечислить деньги за оказанные услуги или поставленный товар.

После компрометации почты они терпеливо ждут, иногда несколько месяцев, никак не вмешиваясь в переписку и не проявляя себя. Пока в один прекрасный (для злодея, конечно), момент после всех уточнений технических заданий и условий поставки товара, злоумышленник подменяет банковские реквизиты на свои.

Есть и более примитивные схемы. Например, регистрация домена, похожего на настоящую компанию, и рассылка писем от имени другой компании: выставление счетов, подделка своего имени и заголовков письма, чтобы от имени босса отдать приказ прислать конфиденциальные данные или перевести деньги на подставной счет.

Очень много классических компаний, далеких от мира высоких технологий, начинают свое грустное знакомство с киберпреступностью как пострадавшие от Business Email Compromise. (Моих подписчиков это не касается. Предупрежден - значит вооружен!💪).

Защититься сложно, потому что в таких письмах не используются вредоносные вложения, и они очень похожи на настоящие. Но можно. Главные оружия здесь – знание и внимательность, а также двухфакторная аутентификация и BEP от Group-IB.

Ну, здравствуй, @obrazbuduschego2

Мне тут 1,5 недели назад передали, что вы сомневаетесь в моих возможностях и пишите про дно. Дно – это уровень вашего профессионализма. Ибо я могу писать из Лефортово и статьи, и заметки. Как и многое другое, что разрешает закон. Хоть 100-страничные документы и заявки на патенты. А если переписка закрыта (что у меня было до марта 22 года), то прекрасно можно диктовать письмо адвокатам.

Я бы не отвечал вам.. пока вдруг не понял, что из-за вас в моих возможностях (как и других пишущих из Лефортово) может еще кто-то усомниться. Поэтому с задержкой и отвечаю. И теперь вам быть на дне. И скорее всего всегда. Такой образ будущего нам не нужен!

А @rbc_news огромное спасибо, что поделились моим мнением! Я благодарен и на связи! Спасибо!
Хорошей недели

Илья Сачков
3.02.23

Словом начала года определенно можно считать ChatGPT.

По понятным причинам сам я с нейросетью поговорить не могу, но мои друзья и коллеги присылают мне много примеров диалогов и статей о ChatGPT.

Технология точно изменит многие индустрии, связанные с копирайтингом, составлением документов, программированием, аналитикой, диагностикой болезней и выводами из них.

К сожалению, огромное количество людей интеллектуального труда средней квалификации или интеллекта останутся без работы уже в обозримом будущем.

ChatGPT может полностью изменить цифровой мир и интернет, каким мы его знаем. Может даже случиться цифровой апокалипсис: когда весь интернет завален хорошими, правдоподобными, интересными, но ложными текстами.

Человечеству точно понадобиться технология детектирования текста языковой модели, чтобы отличить, кем написан текст: машиной или человеком. Возможно, даже потребуется регуляторно помечать те тексты, которые выпущены машиной, а не человеком.

В кибербезопасности мы пока видим больше теоретическое применение, но что точно – в 2023 году будет много примеров, когда злоумышленники и киберзащитники будут применять эту технологию.

У злоумышленников, например, принципиально изменятся качества BEC (business email compromise) и фишинговых писем. Теперь они будут выглядеть не как письмо, написанное на русинглише или содержащее явные признаки авторства из Африки, а как реальный нейтив коллега из какого-нибудь Манчестера.

А кибербезопасникам, в свою очередь, ChatGPT может сильно упростить жизнь.

Теперь не нужно скачивать шаблоны документов по политикам безопасности и долго переделывать их, многие вещи можно делегировать искусственному интеллекту, и он выдаст неплохой результат и рекомендации.

Также система будет помогать группам по реагированиям на инциденты, подсказывая, что еще в той или иной компрометации можно поискать. Можно будет сделать адаптивные плейбуки для инцидент респонсов.

ChatGTP можно подключить к обучению сотрудников по кибербезопасноти, что позволит создать больше вовлеченных секьюрити чемпионов в разных департаментах компании.

Я пока не могу понять, хорошо это или плохо, но джинн из бутылки выпущен. Лично я безумно рад, что живу в это время. Для меня это как изобретение ткацкого станка или парового двигателя.

Самое главное, чтобы хайп не помешал развитию технологии. Иначе получится как с тем самым приложением, которое должно было изменить тренд в социальных сетях. Ну, то самое приложение, помните? Клабхаус, вроде, называлось.

Государство против фишинга

Тот подход, который сейчас обсуждается на государственном уровне по борьбе с фишингом, не будет работать. Точно не даст никакого результата, кроме двух, которые России явно не нужны:

1) Трата денег не в самое подходящее время (вообще тратить деньги на неработающие вещи на этапе проектировки никогда не хорошо. Думаю с этим не поспоришь);
2) Сложные виды фишинга усилятся и в качестве, и в количестве.

Произойдет все то, что я и другие специалисты говорили с 2010-2011 года в отношении блокировок, к примеру, наркосайтов. Говорили, не блокируйте так, определяйте полностью атрибуцию, определяйте спрута полностью (читай мою статью) и отрубайте его целиком, а иначе станет сильно хуже. Что произошло с продажей наркотиков в рунете мы прекрасно знаем.

Очевидно, что с фишингом, в который вовлечено большое количество профессиональных хакеров, точно произойдет ровно тоже самое. «Большая ошибка человечества делать одно и то же и ожидать разного результата»

И если Сачков — дурак, то Эйнштейн — точно не дурак, ведь не зря ему приписывают эту цитату.

Сколько нужно создать поисковиков Спутник? К сожалению, за эти годы мой опыт показал, что ну не очень, скажем, слышат экспертов. Мы воюем с фишингом почти 20 лет и проблема может быть решена, но не так. И раз не слышат профильные коллеги, то, может, услышит Счетная Палата РФ, ибо, уверен, что лишних денег у России сейчас нет.

Вы защитники своих детей.

Я много пишу о том, как компании и государство борются с хакерами. Но есть еще один немаловажный фронт защиты: наши семьи и наши дети. Часто родители сильно отстают от детей в освоении новых технологий, средств коммуникаций и игр, ограничиваясь "бумерскими" наставлениями в стиле “Не сиди долго в телефоне”.

Поэтому, если вы хотите защитить своего ребенка, вам придется сделать усилие, разобраться в вопросе и быть с ним на одной волне.

Вот, что я предлагаю:

1. Поговорите со своим ребенком и узнайте, в каких играх и на каких платформах он проводит время. (Это вообще хорошее дело, говорить с детьми об их увлечениях)

2. Проведите собственное исследование, какие бывают схемы мошенничества и киберугрозы в его детском виртуальном пространстве. Почитайте статьи от служб поддержки платформ, например, Roblox или Steam.

3. Ознакомьтесь с материалами СМИ и экспертов.
Переведите все это на язык, понятный ему, и расскажите (можете даже презентацию сделать. ребенок оценит внимание, уделенное ему и его вопросу). Или можно делать все это вместе. Кто знает – может, это ему надо учить вас, а не наоборот.

4. Чаще рассказывайте ему о типичных уловках мошенников: предложения заработать, приобрести что-то сильно дешевле, втирание в доверие, просьбы запустить файл или перейти по ссылке.

Помните: даже если вам кажется, что масштаб детских проблем незначителен, в их мире все также драматично, как и у вас. Угнанный прокачанный аккаунт в Roblox или CS:GO может вызвать те же эмоции разочарования, обиды и гнева, как ваша угнанная машина или покупка земли под дачу у мошенников.

Когда расследование считается оконченным?

Сегодня мы поговорим о том, как реагировать на компьютерные атаки. И так как не все мои читатели работают в инфобезе, я начну с более понятной для всех аналогии, которую мы рассмотрим путем обращения к здравому смыслу.

Представим гипотетическую ситуацию:

1. Вы идете по улице домой, и кто-то подбегает к вам, бьет бейсбольной битой и убегает. Вы встаете, отряхиваетесь, решаете, что, наверное, вас ударили из-за шапки неправильного цвета – и продолжаете свой путь, навсегда забыв о случившемся, потому что так проще. Все уже случилось, и у вас и так много дел.

2. Вы идете по улице домой, и кто-то подбегает к вам, бьет бейсбольной битой и убегает. Вы идете в травмпункт, проходите обследование на предмет сотрясения, фиксируете повреждения, пишите заявление в полицию, сами просите владельцев ближайших магазинов сохранить видео с камер наблюдения и всеми силами пытаетесь узнать, кто вас ударил, зачем и почему ударили именно вас.

Какая, по вашему мнению, ситуация более вероятна и разумна с точки зрения дальнейшего планирования жизни? На мой взгляд, вторая. Потому что без ответов на «зачем?» и «почему?»непонятно, что вы сами сделали не так, есть ли угроза для ваших близких. И уж тем более нет никакой возможности обидчика наказать.

И если в нашей гипотетической ситуации выбор очевиден, то в кибербезе очень много кто поступает наоборот.

Антивирус обнаружил вредоносный файл: Удалить его и продолжить работу.
Администратор нашел системную учетку, которой не должны пользоваться, но она активна: Удалить и забыть.
Сотрудники отдела продаж получили вредоносное письмо: Никто не открыл – молодцы, проехали.

Это все реальные эпизоды атак, которые были обнаружены, но не были расследованы, и привели к большим бедам:

Хакеры загрузили новый файл, через который украли деньги.
Через другую системную учетку запустили шифровальщик.
В отдел продаж устроился инсайдер, который скопировал клиентскую базу после неудачной попытки украсть ее вредоносным письмом.

Давайте не будем забывать, что за каждой компьютерной атакой, даже автоматизированной, всегда стоит какой-то человек. Атака — это выражение его воли. Поэтому нельзя считать расследование атаки оконченным пока не будут получены ответы на следующие вопросы:

1. Что произошло? (рассылка вредоносных писем, уничтожение важных данных)
2. Почему это произошло? (неправильная настройка сервисов, не обновленный сервер, неопытный персонал)
3. Почему это произошло именно со мной? (заказ конкурента, политический акт, случайная жертва сканирования)

О цифровом рубле

Я часто слышал мнение, что в России все с технологиями плохо, что технологии отстают и что нам надо смотреть на Запад и покупать все там. Мнение в корне неверное. И я, и Group-IB многое сделали, чтобы опровергнуть его. Еще один хороший пример - это российская финансовая система и банки. Нигде в мире вы не найдете таких продвинутых и киберзащищенных финансовых сервисов, как в России. А уж я знаю, о чем говорю.

И вот очередная радостная новость из мира отечественных цифровых технологий - ЦБ РФ запускает пилот цифрового рубля. Еще два года назад я говорил, что цифровой рубль поможет бороться с кибепреступностью и сделает финансовые потоки более контролируемыми и прозрачными, а самое главное - защищенными, если цифровой рубль действительно будет реализован через систему блокчейн, а не станет очередным видом электронного платежного средства с простейшей архитектурой эмиссии и защиты (я думаю, что не станет, иначе бы он не назывался «цифровым рублем»). Для меня это неизбежное будущее, а идти в будущее всегда лучше первым, чем догоняющим.

Конечно, осторожный подход необходим, поэтому я в целом согласен с неспешной дорожной картой ЦБ (о жарких спорах ЦБ и Минфина про цифровую валюту я читал, сопереживал), но с обязательным привлечением экспертов по кибербезопасности на всех этапах проектирования, пилотирования и внедрения цифрового рубля.

Цифровой рубль, как и любая новая технология, несет, помимо удобства, еще и новые угрозы, которые только предстоит промоделировать. Для примера можно вспомнить такую простую вещь, как объявления о продаже в интернете. Даже вокруг такого простого и интуитивно понятного процесса вырастают десятки мошеннических схем, которые распространяются, множатся и эволюционируют каждый месяц. Наверняка на первоначальных этапах внедрения цифрового рубля появятся какие-нибудь псевдообменники или инвестиционные микрокомпании, которые будут заниматься обычным мошенничеством, пользуясь общественным непониманием этой новой для нашей страны технологии.

В этой связи ЦБ должен предусмотреть не только атаки на архитектуру, наличие уязвимостей в коде, но и атаки на пользователей, в том числе совсем не искушенных в цифровом мире. Как это сделать? Ждите ответ в одном из моих следующих писем в этом канале, я давно пишу интересный материал о том, как бы я видел архитектуру инфобеза в РФ при использовании цифровой валюты.

О безопасности личных устройств

Многие могли заметить, что за последнее время участились взломы крупных российских компаний, а также некоторых государственных учреждений. Но мало кто задумывается о том, насколько часто злоумышленники получают доступ к личной информации и устройствам людей, которые там работают.

Возьмем простого (или не очень простого) государственного служащего. Как и все люди, этот человек привык постоянно сохранять всю информацию на свой телефон. При этом служебная и личная информация как правило не разделяется. В мессенджерах можно увидеть чаты с близкими и переписки с коллегами, сохраненные служебные документы, личные фотографии перемешаны с фотографиями по работе. Не говоря уже про личную и рабочую почту.

И это все естественно привлекает злоумышленников. Получив доступ к почте, привязанной к любимому смартфону, можно получить всю информацию из телефона.

Обычно это происходит так – человеку присылается привлекательное письмо или сообщение. Ничего не подозревая, он переходит по ссылке вводит туда свой логин и пароль, и после этого злоумышленник получает доступ почти что ко всей служебной и личной информации.

“Как-то слишком просто…”, - скажите вы. И я вам отвечу – Вот именно, все быстро и просто!

Потом люди очень сильно удивляются, когда им неизвестный человек начинает писать и требовать N количество миллионов, чтобы вся информация не оказалась в паблике. И если для селебрити и футболистов есть риски, что их интимные фотографии и видео выложат в паблик, то у чиновников и других государственных слушающих в телефонах хранится информация куда серьезнее.

И как вы могли догадаться, судя по небольшому количеству новостей о таких взломах, люди предпочитают платить за молчание злоумышленникам.

Дабы ваша информация не оказалась в руках шантажистов, нужно следовать простым правилам:

1. Регулярно обновляй приложения и версию iOS или Android на телефоне. Кажется, что это не так важно. Но опыт показывает, многие взломы происходят именно из-за не обновленного ПО.

2. Проверь какие телефоны и устройства подключены к твоему Apple ID, почте и мессенджерам. Ты удивишься насколько там много неизвестных тебе старых устройств. Возможно, часть из них принадлежат далеко не тебе.

3. Не сохраняй пароли в заметках, мессенджерах и подобных местах. Используй для этого хранитель паролей. Поверь, это проще и удобнее, чем кажется на первый взгляд.

4. Включай везде мульти факторную аутентификацию. Там, где это возможно, используй для этого не СМС подтверждение, а специализированные приложения-аутентификаторы от известных компаний. Их легко можно найти в Интернете.

5. Не переходи по ссылкам от неизвестных отправителей, даже если кажется, что там очень заманчивая информация.

6. Во многих случаях информация, которую ты хранишь, тебе нужна только один раз. Посмотри какие документы можно удалить, какие фото и скриншоты тебе уже не нужны. Ну и конечно же проверь сохраненные файлы и информацию в мессенджераже, скорее всего там она у тебя хранится годами.

И помни, чем серьезнее ты отнесешься к безопасности своего устройства, тем больше шансов, что завтра тебя не будут обсуждать в СМИ.

О создании русских технологий

Я писал статью про формулу создания технологий в сложной ситуации. Она простая:

Вдохновленная объединенная команда
+
Решение проблемы
+
Победа в конкуренции на глобальном рынке.

Время идет. Пространство вариантов уменьшается. Но из того, что я читаю и вижу (понятно, что не все – ведь я в СИЗО, зато более концентрированно и внимательно – ведь я в СИЗО) – большинство молодых/новых проектов в России не хотят поверить, что формула работает. А жаль. Она работает, и ее использование поможет не сделать ошибок, которые многие сделали до вас, и в этом, конечно, поразительный парадокс Российского рынка: шапкозакидательство, припудренное верой в то, что законы рынка и математики тебя не коснутся.

Повторю – без экспортного потенциала будет дороже и хуже (или невозможно). Давайте с простого. Не с кибербеза. Бронирование. Допустим, отелей, квартир посуточно. Из России ушли все международные сети и кажется, что вот же, он, лакомый кусок. Да что там сложного? Да? А кто-то знает, что под капотом системы защиты от мошенничества международных компаний по бронированию? Для защиты их от «кидалова» владельца отеля, гостя? Сколько технологий там внутри? Сколько людей это обслуживает? А главное – может пользователю и не видно, но это чертовски сложно и важно, площадка кишит мошенниками, все друг друга обманывают. «Вы к нам через сайт?» - а давайте отменим заявку и будет скидка 15%? Ну и 100500 других сценариев.

Годами и серьезными бюджетами создаваемые технологии – кто-то о них думает, когда сервис по бронированию запускает в РФ только на российский рынок?

Ответа два:

"Да" – и тогда это стоит столько, что вы всю жизнь будете в мишуре,

Но чаще ответ «Нет» – и тогда энтузиазм запуска продукта при столкновении с реальностью начинает гаснуть.

Даже при (внимание!) монополии – я не уверен, что достойно защищать от мошенничества на мировом уровне кто-то реально готов. И так во всем. Вместо создания продуктов новых по смыслу и функционалу с экспортным, хоть каким-то потенциалом 90% всего – аналоги, ушедших из РФ компаний без понимания того, что у них было под капотом. И этот путь понятно, чем закончится: технологической деградацией + наполнением внутреннего рынка ширпотребом из дружественных стран.

Если единственное ваше конкурентное преимущество это отсутствие глобальных конкурентов по политическим причинам, вы обречены либо на провал, либо на отсутствие развития через несколько лет.

Поэтому прошу тех смелых инженеров, кто пытается создать что-то выдающееся из России (что стало еще сильно сложнее, чем когда я писал текст с формулой) все же на формулу взглянуть, иначе пространство вариантов простое – с одним грустным вариантом.

Кстати, слово «шапкозакидательство» связано с крымской войной и имеет интересную трагичную историю. Очень советую почитать.

Про утечки данных и штрафы

Сейчас все только и говорят, что об оборотных штрафах для компаний за утечки персональных данных. Предвкушают увеличение бюджетов на проекты по защите информации, новые поступления в бюджет, создание рабочих мест. В оправдание кивают головой на “как там у них”.

Но хочу вам сказать, что даже если построить аэродромы и радиовышки из кокосовых пальм, самолеты с чудесными диковинами все равно не прилетят.

Минцифры (@mintsifry) хочет взять регуляторную практику Евросоюза по GDPR и внедрить процентные штрафы в 3% от годового оборота компании, в случае утечки пользовательских данных.

Тут нужно понимать, что в Евросоюзе штрафы по GDPR — это лишь один из многих инструментов надзора, которые используются, наряду с разъяснениями, советами, обучением и даже вебинарами. При этом органы по защите данных DPA активно работают совместно с другими организациями, в том числе и коммерческими, чтобы эффективно и быстро предоставлять актуальную информацию по защите данных.

В идеальном мире задача регулятора это взять на себя обязанность “думать” и заставить всех следовать правилам. А бизнес эти требования должен беспрекословно выполнить и, не думая, получить защиту от рисков на рассчитанном регулятором уровне.

Пример: нет штрафов за пожар, есть штрафы за нарушения требований пожарной безопасности.

Возникает вопрос, а что делать если все требования пожарной безопасности выполнены в точности, а пожар все равно произошел? В предложенной логике предлагается штрафовать хозяина сгоревшего помещения, который виноват в том, что следовал правилам.

Очень хороший пример, как налажена и работает нормативная практика по требованиям и аудитам в совете по стандартам безопасности индустрии платежных карт PCI SSC.

Ну и конечно же вопрос будет возникать к возможным двойным стандартам и к конфликту интересов. Приведу пример.

В Евросоюзе по GDPR штрафуют не только из-за утечек информации, а, в первую очередь, за ее неправильную обработку данных. При этом регулятору данных все равно, является ли организация частной или государственной. В конце 2021 года в Нидерландах произошел большой скандал, из-за которого распустили правительство и запустили проверку налоговой администрации. В итоге управление по защите данных Нидерландов оштрафовало налоговую Нидерландов на 2,75 млн евро.

Интересно, возможно ли такое в России?

Про отказ от айфонов

Иногда вещи одного порядка очевидны на уровне здравого смысла, но дают сбой на уровне принятия важных решений. Почему все понимают, что GPS в российской армии использовать нельзя, но много кто считал, что в российском же госаппарате можно использовать айфоны? Это я про новость в свежем Коммерсанте.

Надеюсь, что источники Коммерсанта все-таки информированы не точно и в новости только половина правды. Потому что я снова вижу здесь печальную картину.

Поинтересуйтесь у специалистов, сколько информации собирает любое Андроид устройство при синхронизации с серверами. Можете даже уточнить, где эти сервера находятся и в какой стране.

Аврора ОС могла бы быть хорошим решением, и я уверен, когда-нибудь им станет: Но сколько внимания уделяется этому критичному с точки зрения безопасности страны проекту? Где налаженное взаимодействие между нашими всеми известными ИБ компаниями и разработчиками Авроры?

Операционные системы - это очень сложные и комплексные продукты. И уязвимостей в них немало. И есть проверенный способ эти уязвимости искать - Bug Bounty программы. Награды должны быть такими, чтоб заинтересовать специалистов с очень редкими и ценными знаниями (а таких у нас в России немало) потратить свое время и силы. А пока это все непрозрачно для технических экспертов. Неизвестно, какие уязвимости в операционке есть и как быстро они исправляются.

Насколько я знаю, большинство устройств с Аврора ОС работают на платформе Mediatek, которая имеет множество аппаратных уязвимостей.

Но выход есть. Причем он появился из-за американских санкций. Смартфоны от Huawei под управлением Harmony OS (не реклама, честно). Операционная система, которая точно не синхронизируется с недружественными странами. За нахождение уязвимости в которой выплачивают до миллиона евро.

Да, будет не так удобно, не очень привычно, но какое-то время на нем можно переждать, пока не убедимся, что уязвимости в Авроре ищутся нами быстрее, чем вероятными недоброжелателями

А менять iPhone на Android - это только бюджеты тратить, а не безопасность повышать

Запрещенные мессенджеры

Недавние новости говорят, что 1 марта РКН опубликовал список из 9 мессенджеров, которые попадают под запрет:

1. Discord;
2. Microsoft Teams;
3. Skype for Business;
4. Snapchat;
5. Telegram;
6. Threema;
7. Viber;
8. WhatsApp;
9. WeChat.

Этими иностранными мессенджерами запрещено пользоваться ведомствам и некоторым компаниям с 1 марта 2023 года. Список любопытный. В нем есть Wechat, но нет Tencent QQ, есть Threema, но нет Signal. Почему? Если руководствоваться принципом все, что не запрещено, разрешено, то, выходит, личные данные и государственную информацию можно передавать через iMessage.

Интересно, что РКН так и не приводит альтернативу и рекомендации по замене ПО. Иностранные мессенджеры с названиями компаний без стеснения перечислены, но вот почему-то РКН боится перечислить русские аналоги. Вдруг заподозрят в аффилированности? :)

И это очень плохо. Перечислили бы проверенные альтернативы, сразу бы стало понятно, что нужно пробовать, внедрять. А то показывать пальцем и говорить, кто плохой – можем, а привести пример хорошего – боимся. И теперь бизнесу нужно будет создавать внутренние рабочие группы и тратить время и силы на проверку отечественных мессенджеров вместо того, чтобы тратить их на более полезные дела.

Кстати, как после запрета ведется канал @rkn_tg ?:))

Технологии в Российских ВУЗах и школах.

Ну что, друзья, надо признать, что времена в России действительно тяжелые. Но не отчаивайтесь, ведь говорят: "тяжелые времена создают сильных людей, а сильные люди создают хорошие времена". Вот и мы попробуем выжать из этой ситуации что-то хорошее.

Начнем с мест, где рождаются эти "сильные люди" - с наших любимых университетов и школ. Ведь именно там, среди парт и лекций, будущее нашей страны пытается разобраться в технологиях, которые так или иначе определят наше завтра. Чем раньше студент или школьник познакомится с этими чудесами, тем больше шансов, что он сможет овладеть ими и возможно даже придумает что-то свое.

Без активного участия бизнеса нам, наверное, никак. Если корпорации хотят в будущем видеть квалифицированные кадры, им придется вкладываться в образование и предоставлять технологии, материалы и специалистов университетам и школам. Да, друзья, бесплатно. Потому что, видимо, только благородство и некий альтруизм могут спасти нас от краха и технологического отставания. Естественно, вклад в образование может и должен измеряться государством и оно может предложить льготы и поощрения наиболее активным участникам процесса.

Образование в сфере технологий в России – это наш шанс создать сильных людей, которые смогут изменить мир к лучшему. И потому это дело каждого из нас, как компаний (здесь я не только про ИБ говорю), так и государства.

Долгие годы студенты обучались западным технологиям и программам, потому что ВУЗы получали дешевые академические лицензии, а у отечественных компаний не было ни времени, ни ресурсов организовать процесс передачи знаний и экспертизы молодому поколению.

Настало время это поменять.

"Скажите государю, что у англичан ружья кирпичом не чистят: пусть чтобы и у нас не чистили, а то, храни бог войны, они стрелять не годятся."
Николай Лесков "Левша" 1881 г.

Есть у России многовековая традиция - долго запрягать, но быстро ездить. Вот только езда эта всегда сквозь великие потрясения. Мы пропустили начала всех трех прошлых промышленных революций, и за опоздание на каждую из них пришлось платить высокую цену.

Первая промышленная революция: переход от ручного и мануфактурного труда (1760-1840). Россия опоздала и заплатила за это позорной Крымской войной и утратой статуса Мирового жандарма Европы.

Вторая промышленная революция: электричество, химикаты, железные дороги (1870-1914). Россия опоздала, и Российская Империя перестала существовать.

Третья промышленная (компьютерная) революция: цифровизация экономики, персональные компьютеры (конец 20 века). Россия вновь опоздала (почитайте про Директиву Ряд и историю создания ЕС ЭВМ), заплатила распадом СССР.

Сейчас весь мир соревнуется в создании AGI (Artificial General Intelligence), или Общего Искусственного Интеллекта. Китай за последние 10 лет подал 390 тысяч заявок на патенты, связанных с ИИ. Это 74% от всего числа поданных заявок в мире. Технологические лидеры США подписывают петицию о полугодовом моратории на обучение моделей сильнее, чем GPT-4, потому что проигрывают гонку ИИ другой американской компании, выпустившей ChatGPT-4.

Страна, первой создавшая Общий ИИ (система которая способна выполнять любую интеллектуальную "человеческую" задачу), получит практически неограниченное конкурентное преимущество.

Не стоит надеяться на то, что такие технологии нам кто-то продаст или передаст по дружбе. Не тратить ресурсы на эту гонку сейчас, замораживать инвестиции в ИИ это преступление перед будущими поколениями.

Это все равно что отказаться от разработки ядерного оружия в середине 20 века или не внедрять дроны в армию 21 века.