Прокляття знанням

Прокляття знанням (Curse of Knowledge) полягає в тому, що коли ми щось взнали, нам дуже важко уявити свій стан, в якому ми про це не маємо жодного уявлення.

Прірва між знавцями та обивателями, спеціалістами та аматорами, зумовлена саме цим когнітивним явищем: перші не в змозі популярно пояснити другим те, що варто було б знати кожному. Деколи через те, що просто не вміють доступно сформулювати думку, засипають публіку жаргоном, та взагалі цураються великої аудиторії. Деколи, через те, що обивателі просто не сприймають позицію спеціаліста: це інтернет, і з невеличкими навичками користування Гуглом та Вікіпедією, у нас тут всі ксперти. Деколи, це рідше, через те, що спеціаліст вважає заглиблення в пояснення та трактування жаргону образливим, принизливим недооцінюванням рівня інтелекту та освіти аудиторії.

Ось чому більшість Експертів такі зашорені. Ось чому ми мало про них знаємо та рідко про них чуємо. Ось чому на поверхню спливають ксперти, які замість того, щоб практикувати та вивчати свою предметну область, лізуть на сцену з історією свого життя, на камеру з нецілісними порадами, та в політику з популістськими гаслами.

Ось через що була створена та щорічно проводиться наймасштабніша в Україні професійна конференція UISGCON.

Чесно кажучи, я не планував писати цей пост, тому що цього року не беру участі в організації заходу, а моя доповідь була офіційно забракована програмним комітетом. Подія, яка змусила мене змінити наміри, — це невеличкий діалог з колегою з іншого міста, під час якого з’ясувалося: моя впевненість в тому, що про UISGCON знають буквально всі спеціалісти з кібербезпеки в Україні — це не більше ніж омана. Прикре непорозуміння, викликане прокляттям знаючого. Це слід виправити.

Отже, дорогенькі, якщо ви з якихось причин не в курсі, що таке UISGCON, для мене честь повідомити, що це найстаріша та найвизначніша подія в тусовці кібер-безпеки України. Яка розпочалася хто зна коли з стихійних зібрань в Київських пабах, а з п’ятого (чи з четвертого?) разу почала поступово перетворюватися на справжні щорічні конференції. Згодом, навколо конференції було утворено громадську організацію Українська група інформаційної безпеки (УГІБ або UISG), яка власне й концентрується на розвитку цього руху.

Отже, якщо ви працюєте в кібербезпеці, або цікавитеся нею, у вас практично немає вибору. Цього року програма просто пісня, будуть хлопці з Талосу, які безпосередньо препарували НеПєтю, буде Кім Зеттер, авторка суперової книжки про Стакснет (перша кібер-зброя в історії), буде Коля Коваль, Артьом Іванич і ціла купа інших цікавих доповідачів. Буде нетвіоркінг і туса на різних рівнях та в різних контекстах професії та бізнесу. Не буде CTF та Золотого фаєрволу, але про це згодом: давайте будемо критикувати те, що вже відбулося 🙂 Не буде халяви, а отже — всі за квитками, тому що в останній тиждень перед конференцією а) квитків вже скоріш за все не буде та б) ваші грошики оргкомітету вже ніц не потрібні.

В пості тегаю тіла, які безпосередньо брали участь в започаткуванні та розвитку цього культурного феномену. Не можу тегнути Гліба Пахаренко та Вову Ткаченко з технічних причин. Кого забув — пніть, я виправлюся. Най вам усім бережеться.

Прості рішення та коли вони ефективні

Керівництво любить прості рішення. І кібербезпека — не виключення. Давайте перенесемо все в хмару. Давайте змінимо антивірус. Давайте поставимо всім Linux. Такі радикальні рішення надихають і здаються дуже ефективними: ну як же ж, ми ж щось робимо, це дуже важко, значить і ефект буде пропорційний.

На жаль, простих рішень в кібербезпеці не буває. Власне, як і скрізь. Але існують аргументи на користь деяких радикальних змін в ІТ-інфраструктурі, вірніше навіть в ІТ-культурі, які одночасно й ефективні. Наприклад, і це дуже поширене питання, чи варто компанії перейти на використання macOS та відповідно техніки Apple. Скажу чесно, більшість колег не поспішають відповідати на нього, тому що не хочуть отримати репутацію фанбоїв Apple. Але мені втрачати нічого, отже.

Так, відмова від Windows як базису інфраструктури може бути дуже ефективним засобом радикально покращити рівень кібербезпеки в компанії. Більше того, на великій дистанції це буде навіть дешевше, адже за результатами такої міграції в IBM ми знаємо, що перехід на макбуки фінансово «відбивається» за 2–3 роки. Але, залишаючись в темі безпеки, чому це доцільно?

Одразу ж попереджаю: аргументи типу «під маки немає вірусів» це повна маячня, женіть в шию кожного, хто вам таке каже. Але наразі macOS дійсно менш вразлива та більш захищена система, і ось чому. По-перше, це фактично BSD Unix і Apple ще не встигла його достатньо зіпсувати. А комерційний юнікс це вам не подєлка фінських студентів, це серйозна річ, там все продумано. По-друге, Apple контролює ланцюг поставок і програмного, і апаратного забезпечення своїх продуктів, отже вразливості такого типу теж менш ймовірні. Вони можливі, але буквально менш ймовірні, ніж на пристроях під Android та ноутбуках під Windows. І по-третє, в macOS шо називається із коробки доступні практично всі необхідні інструменти безпеки, такі як повне шифрування диску, безпечне збереження паролів і таке інше. І на останок, підкреслюю — в останню чергу, варто згадати, що шкідливих програм під макось об’єктивно менше.

А тепер фокус. Ви отримаєте майже такий самий приріст безпеки, якщо переведете інфраструктуру на використання хромбуків та «рідних» мобільних пристроїв від Google. Всі перелічені аргументи працюють і ви економите трохи грошей. Але пам’ятайте, що об’єм та деталізація телеметрії, яку з ваших систем отримують Apple та Google, дуже відрізняються.

На жаль, прості та радикальні рішення працюють не скрізь. Якщо ви — величезна корпорація, перехід на іншу платформу це дуже дорога процедура. Але в разі, якщо ви невеличка юридична фірма, технологічний стартап, або домогосподарство — тут вигода очевидна.

Бережіться.

WhatsApp як заміна Skype

у бізнес-середовищі

Часто запитують, яка є заміна Skype у бізнес-середовищі. Здається, тепер я маю відповідь. Якщо колеги мене підтримають, можемо зробити це фірмовою порадою.

TL;RD: WhatsApp group chats.

Тепер докладніше: чому не Skype, та чому саме WhatsApp.

Не Skype з багатьох причин, але назву дві. По-перше, у Microsoft ну дуже високий профіль загроз, адже їхні продукти використовуються чи не усіма компаніями та урядами на планеті. Тому, зважаючи на сучасний геополітичний клімат в кібер-просторі, сподіватися на те, що мережі цього вендора не заражені імплантатами основних учасників кібер-війни — що найменше наївно. По-друге, у Microsoft дуже широка та лояльна програма співпраці з правоохоронними органами тих держав, де у вендора є ключові сегменти ринку. Продовжуйте думку.

Чому ж WhatsApp, а не, скажімо, Telegram, Slack або Signal чи ще щось? Не Telegram, тому ж чому й не Skype. Закритий код, сумнівне походження, тісні зв’язки з геополітичними гравцями. Не Slack, тому що, вибачте, але старші люди до нього звикають дуже болісно. Молода команда користується залюбки, олдфаги — лише страждають. Не Signal, тому що, при всій повазі до рівня захисту, десктопний клієнт у вигляді Chrome-розширення — це жалюгідно. Розумію, що в противному випадку треба йти на компроміси між безпекою та зручністю, але ми хлопці дорослі і до цього готові.

Тому, WhatsApp. Достатній рівень захисту (шифрування з кінця в кінець, двохетапна автентифікація, використання Signal API тощо) + достатній рівень зручності (нормальний десктопний застосунок). З особливостей — ваш смартфон завжди повинен бути поруч, але куди зараз без нього?

Сподіваюся, це допоможе комусь позбавитися залежності від Skype в корпоративному середовищі та почати використовувати більш цивілізовані засоби спілкування. Бережіться.


Originally published at blog.styran.com on September 22, 2017.

Приватність та бізнес-модель

найбільших світових корпорацій

Дуже цікава ілюстрація, яку багато вже хто бачив, але ця тема досить часто виникає в дискусіях, тому ще раз:

Подивіться на цей чарт. Бачите, дві з п’яти найбагатших компаній планети основним своїм прибутком мають рекламу. Це означає, що вони збирають та систематизують дані про нас, про наші дії, наші пересування, наші вподобання тощо, а потім продають отримані знання тим, хто заплатить за це гроші — рекламодавцям.

Саме рекламодавці є їхніми справжніми клієнтами. Ми з вами для них — товар. Тому, власне, аналогічні продукти (скажімо iPhone vs an Android phone) у компаній, які не приторговують рекламою, зазвичай “трохи” дорожчі. Вони не закладають в бізнес-модель слідкування за користувачами, тому не можуть собі дозволити зробити їм знижку. Але повернемося до кібер-безпеки: які тут треба зробити висновки?

По-перше, якщо ви хочете залишати в базах даних цих компаній менше слідів, змушений вас розчарувати: це майже неможливо. Для цього не достатньо менше користуватися або зовсім не користуватися Google або Facebook. Навіть якщо у вас нема аккаунтів в їх системах, вони все одно будуть отримувати дані про вас від веб-сайтів, на яких розміщений їхній код.

І по-друге, кібер-безпека Google, Facebook та інших інтернет-гігантів відбивається на всіх нас, тих, хто користується цим інтернетом. Тому будьте пильні, слідкуйте за новинами, звертайте увагу на атаки, рапортуйте підозрілі веб-сайти та електронні листи, беріть участь в Bug Bounty. Тому що безпека інтернету це задача не лише Google, Facebook, Вови Стирана та його друзів по пубкам — це справа всіх і кожного.

Бережіться.

P.S. Посилання на абсолютно нерелевантну, але дуже цікаву статтю, в якій наведено цей чарт: https://www.businessinsider.com/how-google-apple-facebook-amazon-microsoft-make-money-chart-2017-5

Першочергові дії з кібербезпеки в організації

Колеги не припиняють критикувати мене за “абстрактність” рекомендацій з кібербезпеки для організацій. Власне, я дотримуюся думки, що ці рекомендації повинні розробляти штатні спеціалісти з кібербезпеки таких організацій. Але добре, щоб не залишати місця для інформаційного вакууму, спробуймо накидати ескіз стратегії кібербезпеки для деякої теоретичної середньостатистичної корпорації, в якої в плані ІБ (інформаційної безпеки) ще кінь не валявся.

Колеги не припиняють критикувати мене за “абстрактність” рекомендацій з кібербезпеки для організацій. Власне, я дотримуюся думки, що ці рекомендації повинні розробляти спеціалісти з кібербезпеки таких організацій. Але добре, щоб не залишати місця для інформаційного вакууму, спробуймо накидати ескіз стратегії кібербезпеки для деякої теоретичної корпорації, в якої в плані ІБ (інформаційної безпеки) ще кінь не валявся.

1. Найміть Головного з ІБ (Chief Information Security Officer, CISO) та розташуйте його в організаційній структурі якомога ближче до CEO, CFO або ради директорів. Хто у вас в пантеоні завідує контрольними функціями – тому і підпорядкуйте. Дуже важливо відокремити CISO від CIO і в жодному разі не підпорядковувати його “в операції”. Тому що у цих підрозділів перманентний конфлікт – одним треба швидко і дешево, а ІБ треба супернадійно. Виключіть конфлікт інтересів на самому початку, тому що потім щось змінити буде значно дорожче. В противному випадку ви отримаєте нефункціональну організацію ІБ, яка нічого сама зробити не може і змушена “домовлятися” та йти на компроміси, які завжди знижують ефективність прийнятих рішень.

2. Вимагайте від CISO розробки стратегічних, тактичних та операційних контролів – засобів захисту від актуальних загроз. Для цього, в першу чергу, вимагайте розуміння ним та пояснення вам цих загроз: хто вам може нашкодити, як, наскільки серйозні можуть бути наслідки, що можна зробити щоб убезпечитися від або відновитися після настання інциденту. Поки він, ви, та всі інші небожителі не зрозуміють, в якому risk environment ви ведете бізнес, діла не буде. Коли це нарешті станеться, давайте CISO в руки кайло (бюджет, повноваження, проектний офіс, карт-бланш, хед-каунт, інвестиції – потрібне підкреслити) та вимагайте план дій з чіткими датами очікуваних результатів. Дрюкайте CISO за прогрес виконання цього плану, та дайте йому повноваження дрюкати всіх, від кого цей прогрес залежить.

3. Перевіряйте ефективність системи безпеки. Це можна робити різними способами: спробувати зламати себе самостійно або за допомогою зовнішнього підрядника, провести аудит ІБ власними силами або ресурсом зовнішнього аудитора тощо. Основна вимога: перевірка повинна бути репрезентативною (аудитори в курсі) та регулярною. Не треба одразу вибудовувати метрики, це в безпеці зайва метушня, тому що показником ефективної системи ІБ є відсутність показників. Просто перевіряйте, функціонально та агресивно – і, як казав класик, то зразу буде видно.

4. Трансформуйте культуру. Використовувати піратське ПЗ, клікати підозрілі посилання, відкривати файли .xlsm, теревенити про роботу поза роботою тощо – має стати не просто страшно, це має стати соромно. Питання зміни звичок людей та колективів цікаве та складне, але не є нездійсненною мрією. Повірте, все набагато простіше, ніж здається. Ідентифікуйте найбільш соціально активних та авторитетних працівників в колективі. Проведіть для них спеціальний тренінг з висвітлення сучасних кіберзагроз та способів боротьби з ними. Поверніть працівників в робоче середовище, спостерігайте за змінами та скеровуйте їх. Культурні трансформації можливі, їхній ефект надпотужний, іншого шляху перемогти цілеспрямованого хакера немає.

5. Не купуйте каку. Безпека це не лише фаєрвол, антивірус, чи Security Operations Center (SOC). Це стан вашої організації, її властивість, що допомагає вам спокійно спати в ночі та не стидатися дивитися клієнтам у вічі. Прок’юрмент та інвестиції вам безпеку не забезпечать, вам її забезпечать люди. Ваші люди, або люди, яких ви покличете на допомогу.

Бережіться.