Моя поліція мене береже

Що вам треба знати про додаток My Pol (Моя поліція, SOS etc.) перед його встановленням.

  1. Додаток вимагає доступу до вашої геолокації: по базових станціях мобільного зв’язку, по точках доступу Wi-Fi, по GPS. Тобто з точністю до 1-2 метрів.
  2. Додаток може здійснювати дзвінки без вашого відома.
  3. Без надання додатку цих дозволів він не працює.

Що вам треба знати про додаток My Pol (Моя поліція, SOS etc.) перед його встановленням.

  1. Додаток вимагає доступу до вашої геолокації: по базових станціях мобільного зв’язку, по точках доступу Wi-Fi, по GPS. Тобто з точністю до 1-2 метрів.
  2. Додаток може здійснювати дзвінки без вашого відома.
  3. Без надання додатку цих дозволів він не працює.

В жодному з можливих трактувань поняття “демократична держава” силові структури не повинні мати такої можливості втручатися в приватність громадян.

Логічним рішенням було б створення організації, яка відіграє роль проксі між силовиками та оператором приватних даних. Або покласти цю роль на МЧС чи ще когось, хто не матиме спокуси їх використання під час негласних слідчих дій. Але наш уряд не вміє в логіку, він вміє в дешевий популізм.

В будь-якому разі, якщо ви не маєте 100% довіри до МВС, я б не радив це встановлювати.

Security Humble Bundle 2020

Сьогодні всі ці книжки сумарною вартістю майже 1,000 доларів можна купити за 700 гривень. А ще це крутий спосіб підтримати EFF та LetsEncrypt.

Сьогодні всі ці книжки сумарною вартістю майже 1,000 доларів можна купити за 700 гривень. А ще це крутий спосіб підтримати EFF та LetsEncrypt.

Найпоширеніше запитання, яке я чую, окрім, звичайно ж, який месенджер найбезпечніший, – як почати кар’єру в кібербезпеці. Десь 5 років тому я втратив ентузіазм в пошуку універсальної відповіді на це запитання. З того часу я різним людям відповідаю різні речі та даю різні поради, і дивлюся, що вийде. І виходить, мушу зізнатися, непогано.

Але сьогодні на Humble Bundle я придбав всі ці книжки, і напевно це найкраща відповідь відтепер і на деякий час. Всі ці речі я колись дуже хотів прочитати, а більшість таки прочитав. Пам’ятаю як нетерпляче очікував їх надходження з Амазону Укрпоштою, як радів коли отримував їх у відділенні. І не дарма, адже вони великою мірою сформували мою професійну траєкторію та відбилися на моїх поглядах. Стали ґрунтом для моїх принципів. Буду насолоджуватись.

https://www.humblebundle.com/books/cybersecurity-2020-wiley-books

Про виступи на конференціях

У відповідь на мою згадку про відмову у доповіді на OWASP Poland продовжується така дивна (для мене) реакція, що напевно ситуація вимагає пояснень.

По-перше, дивіться, як працює Call for Proposals (або Call for Papers чи просто CFP) на конференціях. Є період подачі заявок на виступ, протягом якого всі доповідачі, окрім запрошених “ключових” (keynote), ідуть на спеціальний сайт, на якому докладно описують, про що вони хочуть розповісти. Подаючи заявку, вони погоджуються на умови виступу: формат, обмеження по тематиці і формі, згода на запис та трансляцію, відшкодування частини, всіх або жодних витрат, вимоги до унікальності вмісту тощо. Зокрема, кожен із них погоджується віддати право вирішувати їхню долю Програмному комітету конференції.

Програмний комітет може бути частиною команди організаторів, а може бути незалежним – це коли його члени не беруть участь в організації конфи. Задача комітету – оцінити всі заявки, проголосувати (скажімо по шкалі 1-5) та дійти згоди щодо майбутньої програми. Що коїться за лаштунками ПК – велика таємниця, це свята святих будь-якої конференції, тому лізти туди з порадами чи рекомендаціями зась. І рішення ПК не оскаржують. Точніше, деколи оскаржують, але це є дуже поганим тоном.

По-друге, дивіться, які справи із контентом, тобто з доповідями. Попри сором’язливість та інтровертність представників нашої професії, відбою в заявках великі конференції зазвичай не мають. Тому ПК доводиться відмовляти, деколи багатьом. З різних причин: деякий контент відверто не вписується в концепцію конференції та не буде цікавий цільовій аудиторії. Деякі спікери вже доповідали по своїй темі та відео виступів вже є в інтернеті. В деяких випадках доставити доповідача на конференцію і назад буде коштувати настільки дорого, що організатори банально змушені відмовляти з матеріальних причин. А ще деколи в заявках пишуть таке… що зі спокусою відповісти відмовою без голосування доводиться боротися. Для довідки: навіть на NoNameCon 2019, конференції, якій аж два рочки, нам довелося відмовити майже половині бажаючих виступити. Що вже казати про розпіарені події з міжнародним ім’ям та традиціями?

Отже, по-третє, і це моя головна думка, відмова – це нормальна частина життя спікера. В цьому немає нічого образливого чи сумного, просто в когось була краща заявка, або когось “кинули” спонсори. Комусь може здатися, що я себе так заспокоюю, щоб дуже не перейматися через численні відмови. Але насправді це не так, я дійсно дуже по-філософськи ставлюся до реджектів. Тому що отримати реджект набагато легше та простіше, ніж його написати та надіслати. А такого досвіду в мене теж достатньо.

Мораль: якщо потенційна відмова Програмного комітету – це єдина причина, яка стримує вас від подання заявки на виступ, то це не причина. Насправді нічого поганого у відмові немає, навіть навпаки: кожна відмова це привід запитати обґрунтовану критику, тобто попросити пояснити, чому саме вам відмовили, та наступного разу взяти це до уваги. Але нагадую: в жодному разі не піддавайте рішення ПК сумніву – ось це справді табу на конференц-сцені.

Ще один важливий плюс відмов – це “приземлення” амбіцій та приборкування власного его. Тому що якщо тобі відмовляють, то напевно не такий ти вже й суперський доповідач в універсальному контексті, і не такий вже в тебе й цікавий матеріал, коли є з чим порівнювати. Іди і try harder.

Мовне питання

В останні дні потрапили мені на очі декілька постів місцевих “селебрітіз”, які на піднесенні від прийняття закону про мову побідкалися про свою сумну русифіковану долю та виступили їх закликом всіляко підтримати розвиток української мови. При цьому, і це було б парадоксально, якби відбувалося не в Україні, ці відомі артисти та суспільні діячі скрізь і завжди, навіть під час цих своїх закликів, використовують російську як основну та, власне, єдину мову спілкування.

В останні дні потрапили мені на очі декілька постів місцевих “селебрітіз”, які на піднесенні від прийняття закону про мову побідкалися про свою сумну русифіковану долю та виступили їх закликом всіляко підтримати розвиток української мови. При цьому, і це було б парадоксально, якби відбувалося не в Україні, ці відомі артисти та суспільні діячі скрізь і завжди, навіть під час цих своїх закликів, використовують російську як основну та, власне, єдину мову спілкування.

Жалюгідно звучать такі заклики від людей, які у своїй професійній діяльності всіляко пропагують мову, що вже скоро 30 років змушує Україну залишатися уламком імперії та не дозволяє сконцентруватися на відновленні та розвитку власної культури. Щоб стоврити вам уявлення про історичні процеси, які десятками знищують народи та культури, я наведу приклад. 

Була в давнину така місцина, Дакія. Жили в ній собі люди, була в них своя мова, вони нею спілкувалися і мали певну перспективу утворити довготривалу державу. Але прийшла по їхні землі така собі Римська імперія і перетворила їх у свою провінцію. Римська імперія існувала довго, за таких умов даки зрештою інтегрувалися та асимілювалися, за декілька поколінь перетворившись у “римлян”. Нащадками яких вони й досі себе вважають.

Така сама доля спіткала сотні народів в усьому світі. Через певний проміжок часу окуповані території спочатку ставали колоніями, далі отримували статус провінції, та після остаточної асиміляції повністю втрачали свою ідентичність. Процес підсилювався за участі місцевих “еліт” яких імперська аристократія допускала до керівництва регіоном, а згодом і усією імперією. Але навіть без цього каталізатора знищення малих народів так чи інакше відбувалося з плином часу. Головне, щоб імперія проіснувала достатньо довго.

Я пишу це без жодного негативного настрю: в глобальному сенсі в існуванні імперій немає нічого поганого. Імперії, здебільшого, це стабільність та поступ, періоди миру та економічного розвитку. Щоправда, ціною зникнення цілих народів. І в нашому випадку, якби СРСР проіснував ще років з 50, мені здається, така б сама доля чекала і на українців. Згодом, після розпаду союзу, на цій території утворилася б якась нова держава, але вона була б “спадкоємицею” совка, так само, як Румунія вважає себе продовженням Риму.

На великий дистанції це все, насправді, не має жодного значення. За тисячу років не буде ані Росії, ані України в тому вигляді, в якому ми їх спостерігаємо зараз. Але якщо вже тут і зараз ми говоримо про націю, мову та державу, то варто пам’ятати ці прості уроки історії. Те, що Україна досі існує, є дуже великим історичним дивом. І лицемірство “еліт” з приводу важливості української мови на фоні їхнього сталого використання російської повинно відбиватися на продажі квитків на їхні шоу та голосах виборців. В противному випадку нам треба глянути правді у вічі та відмовитися від перспективи існування нації як такої.

Більшість російськомовних в Україні вважають себе двомовними тому, що можуть скласти речення українською, хоча й не користуються цим вмінням. Якщо це двомовність, тоді я, бляха, – поліглот.

Першочергові дії з кібербезпеки в організації

Колеги не припиняють критикувати мене за “абстрактність” рекомендацій з кібербезпеки для організацій. Власне, я дотримуюся думки, що ці рекомендації повинні розробляти штатні спеціалісти з кібербезпеки таких організацій. Але добре, щоб не залишати місця для інформаційного вакууму, спробуймо накидати ескіз стратегії кібербезпеки для деякої теоретичної середньостатистичної корпорації, в якої в плані ІБ (інформаційної безпеки) ще кінь не валявся.

Колеги не припиняють критикувати мене за “абстрактність” рекомендацій з кібербезпеки для організацій. Власне, я дотримуюся думки, що ці рекомендації повинні розробляти спеціалісти з кібербезпеки таких організацій. Але добре, щоб не залишати місця для інформаційного вакууму, спробуймо накидати ескіз стратегії кібербезпеки для деякої теоретичної корпорації, в якої в плані ІБ (інформаційної безпеки) ще кінь не валявся.

1. Найміть Головного з ІБ (Chief Information Security Officer, CISO) та розташуйте його в організаційній структурі якомога ближче до CEO, CFO або ради директорів. Хто у вас в пантеоні завідує контрольними функціями – тому і підпорядкуйте. Дуже важливо відокремити CISO від CIO і в жодному разі не підпорядковувати його “в операції”. Тому що у цих підрозділів перманентний конфлікт – одним треба швидко і дешево, а ІБ треба супернадійно. Виключіть конфлікт інтересів на самому початку, тому що потім щось змінити буде значно дорожче. В противному випадку ви отримаєте нефункціональну організацію ІБ, яка нічого сама зробити не може і змушена “домовлятися” та йти на компроміси, які завжди знижують ефективність прийнятих рішень.

2. Вимагайте від CISO розробки стратегічних, тактичних та операційних контролів – засобів захисту від актуальних загроз. Для цього, в першу чергу, вимагайте розуміння ним та пояснення вам цих загроз: хто вам може нашкодити, як, наскільки серйозні можуть бути наслідки, що можна зробити щоб убезпечитися від або відновитися після настання інциденту. Поки він, ви, та всі інші небожителі не зрозуміють, в якому risk environment ви ведете бізнес, діла не буде. Коли це нарешті станеться, давайте CISO в руки кайло (бюджет, повноваження, проектний офіс, карт-бланш, хед-каунт, інвестиції – потрібне підкреслити) та вимагайте план дій з чіткими датами очікуваних результатів. Дрюкайте CISO за прогрес виконання цього плану, та дайте йому повноваження дрюкати всіх, від кого цей прогрес залежить.

3. Перевіряйте ефективність системи безпеки. Це можна робити різними способами: спробувати зламати себе самостійно або за допомогою зовнішнього підрядника, провести аудит ІБ власними силами або ресурсом зовнішнього аудитора тощо. Основна вимога: перевірка повинна бути репрезентативною (аудитори в курсі) та регулярною. Не треба одразу вибудовувати метрики, це в безпеці зайва метушня, тому що показником ефективної системи ІБ є відсутність показників. Просто перевіряйте, функціонально та агресивно – і, як казав класик, то зразу буде видно.

4. Трансформуйте культуру. Використовувати піратське ПЗ, клікати підозрілі посилання, відкривати файли .xlsm, теревенити про роботу поза роботою тощо – має стати не просто страшно, це має стати соромно. Питання зміни звичок людей та колективів цікаве та складне, але не є нездійсненною мрією. Повірте, все набагато простіше, ніж здається. Ідентифікуйте найбільш соціально активних та авторитетних працівників в колективі. Проведіть для них спеціальний тренінг з висвітлення сучасних кіберзагроз та способів боротьби з ними. Поверніть працівників в робоче середовище, спостерігайте за змінами та скеровуйте їх. Культурні трансформації можливі, їхній ефект надпотужний, іншого шляху перемогти цілеспрямованого хакера немає.

5. Не купуйте каку. Безпека це не лише фаєрвол, антивірус, чи Security Operations Center (SOC). Це стан вашої організації, її властивість, що допомагає вам спокійно спати в ночі та не стидатися дивитися клієнтам у вічі. Прок’юрмент та інвестиції вам безпеку не забезпечать, вам її забезпечать люди. Ваші люди, або люди, яких ви покличете на допомогу.

Бережіться.