Prečo nemôžeš blogovať ako Lukatsky? Alexey Lukatsky. Rozhovor s obchodným konzultantom Cisco Blog Lukatsky informačná bezpečnosť

O tweetovať, zdalo by sa zrejmé. Ak chcete blogovať ako Lukatsky, musíte byť Lukatsky. Poďme sa však pozrieť hlbšie na metódy a motiváciu vedenia vlastného blogu.Blogovanie je droga. Aj keď ste dnes už napísali kopu príspevkov, tweetov a komentárov na všetky možné sociálne siete, chcete stále viac. Čím viac informácií, ktoré vás zaujímajú, padne na vás, tým viac blogov, stránok a stránok chcete konzumovať. Čím viac kanálov musíte distribuovať svoje informácie, tým viac spôsobov, ako sa môžete spojiť vonkajší svet potrebuješ.

Skutočnou hodnotou každého blogu pre jeho vlastníka je prístupný spôsob komunikácie informácií širokému publiku. Blog vám navyše umožňuje zvýšiť si vlastné sebavedomie, skryť v sebe svoje slabosti a naopak dať von svoje cnosti.

Túžba vytvoriť si vlastnú značku

Prvým dôvodom založenia vlastného blogu je túžba povedať niečo svojmu publiku. Svet je presýtený informáciami, rastie dopyt po užitočných a aktuálnych informáciách, čo dáva nové príležitosti ľuďom, ktorí v tom vidia spôsob, ako uvoľniť svoj potenciál.

Druhý dôvod je dosť sebecký – túžba vytvárať si vlastnú značku, teda tým, že robíte to, čo milujete, získavať z toho osobný prospech (ops, nenútene sformulovaný sen každého hackera).

Poďme zistiť, či máte predpoklady na vytvorenie vlastnej značky na sociálnych sieťach.

V prvom rade sa pri výbere témy na blogovanie treba na niečo zamerať. Máte problém s výberom.

1. Značka hlásenej informácie (predpokladá sa, že ide o nejakú exkluzivitu, a la Arustamyan z futbalu s jeho pseudonovinkami).

2. Značka odborníka – tú si treba zaslúžiť, a to je dlhá a tŕnistá cesta. Kolegovia v dielni by vás mali uznať ako špecialistu v schopnosti sprostredkovať kvalitné informácie prístupnou formou.

3. Značka znalostí – aby ste mohli odovzdať vedomosti publiku, musíte ich najskôr získať, a to je práca, ktorá sa nemusí vyplatiť. V každom prípade musíte zvýšiť svoj potenciál ako reprezentant profesie.

4. No a ako najčastejšia možnosť si jednoducho talentovaný človek, sršíš túžbou stať sa slávnym a je ti jedno, o čom budeš písať/hovoriť (myslí si to väčšina začínajúcich blogerov).

Musíte sa naučiť prezentovať látku tak, aby bola a) zrozumiteľná, b) relevantná a potom čokoľvek sa vám páči: zaujímavé, vzrušujúce, aforistické, ľahké, s humorom. Veď písanie textov resp verejné vystúpenie Sú to zručnosti, ktoré sa dajú naučiť a prísť so skúsenosťami.

Väčšina ľudí (v kontexte tohto článku - blogeri) sa zaoberá buď interpretáciou myšlienok iných ľudí (presne to, čo teraz robím ja), alebo agregovaním tlačových správ (udalosti, voľné miesta atď.), vrátane vysielania správ vlastnej značky /produkt , publikovanie potrebného obsahu z výstav, konferencií, prezentácií a pod. Ale ani v tomto prípade málokto dokáže zabaliť informácie do kvalitného materiálu (neuvažujeme o profesionálnych novinároch). A prečo? Najviac vyhovuje spravodajská prezentácia materiálov cieľové publikum. Pri modernom nedostatku času a nadbytku materiálov nemá čitateľ na viac síl ani trpezlivosti.

Napriek tvrdeniu v názve, aj keď nie ako Lukatsky, máte všetko, čo potrebujete, aby ste sa stali slávnym blogerom - človekom, ktorý vie, ako písať a je pripravený venovať všetok svoj čas tejto činnosti. voľný čas.

To si vyžaduje iba päť termínov.

Najprv potrebujete šťastie (a to je jeden z dôvodov, prečo sa nestanete Lukatským). Nie každý má také šťastie ako Lukatsky. Má znalosti, skúsenosti a čo je najdôležitejšie - moderné technológie bezpečnosť. Je dôležité (a ukazuje to), že dostáva podporu svojej firmy. To, čo bolo pre Lukatského len koníčkom, sa stalo novým prístupom spoločnosti k sprostredkovaniu potrebných informácií. Vďaka svojej popularite v sociálnych médiách sa Lukatskyho blog stal značkou v rámci spoločnosti (pochybujem, že to bola dobre premyslená stratégia, aspoň spočiatku). Toto sa stalo súčasťou podnikania, ktoré Lukatsky zastupuje ( Cisco ). To, čo robí, úprimne miluje a jeho záujem sa prenáša aj na publikum. Stará sa nielen o predmet svojej činnosti, ale aj o stav odvetvia ako celku, a to je podmanivé.

Druhým je kokteil vnútornej energie, osobnej charizmy a skúseností

Vystupovanie na verejnosti si vyžaduje charizmu a silnú osobnosť. Lukatsky je pozývaný na rôzne podujatia, pretože dokáže vysvetliť zložité veci jednoduchým jazykom (toto je zručnosť, ktorú sa treba naučiť) a má vynikajúce znalosti z oblasti.

Po štvrté - vidieť les pred stromami

Potrebujete vidieť/cítiť/poznať problémy cieľovej skupiny blogu. Poprední blogeri poskytujú neoceniteľnú pomoc pri riešení problémov medzi čitateľmi svojich blogov. Preberanie materiálu a jeho balenie do jasných a zaujímavých blogových príspevkov je niečo, čo robia pravidelne a dobre.

Blog nie je len spôsob odovzdávania informácií, ale aj príležitosť kariérny rast(v jeho vlastnej krajine nie je žiadny prorok). Lukatsky je príkladom vytvorenia novej pozície vo firme – doménového tlmočníka na prilákanie nového publika.

A nakoniec, po piate, blogovanie si vyžaduje železnú disciplínu. pravidelne (čím častejšie, tým lepšie) uverejňovať materiály na svojom blogu.

Ako ďalšiu voliteľnú možnosť je vhodné pravidelne organizovať školiace semináre popularizovať svoju značku.

Aby som parafrázoval známy výrok: ľudia zabudnú, čo si napísal, ľudia zabudnú, čo si povedal, ľudia nezabudnú, čo vďaka tebe pochopili. Teraz všetci vysielajú, že Lukatsky zajtra organizuje seminár o osobných údajoch (možno je to forma PR, roboty už dávno vysielajú IVR -technológia alebo naozaj ešte stále existujú odľahlé dediny v Rusku na Kamčatke, ktorých obyvatelia sa podľa osobných údajov nezúčastnili Lukatského seminárov?). Ale vážne, jeho články, prezentácie, diapozitívy sú distribuované všetkým publikom a žijú si vlastným životom, a to je normálne, posilňuje to značku.
Takže nebudete môcť blogovať ako Lukatsky. A kto to kedy zastavil?! Ako žartoval Andrey Knyshev: "Ten, kto vyliezol vyššie, jednoducho vyliezol skôr."

Narodil som sa v roku 1973 v Moskve, kde napriek pokusom cudzích mocností dostať ma do radov svojich občanov dodnes žijem. V roku 1996 ukončil štúdium na Moskovskom inštitúte rádiového inžinierstva, elektroniky a automatizácie (MIREA) v odbore aplikovaná matematika (špecializácia - informačná bezpečnosť). Dvakrát som sa pokúsil získať kandidáta technických vied, ale v oboch prípadoch som sa snažil o budúcnosť vedeckí školitelia v plagiátorstve, zastavil svoju cestu ako postgraduálny študent. My nesúdime. Nemám žiadne štátne ani rezortné vyznamenanie.

V oblasti informačnej bezpečnosti pôsobím od roku 1992. Pracoval ako špecialista na informačnú bezpečnosť v rôznych vládnych a komerčných organizáciách. Vypracoval sa z programátora a správcu šifrovacieho softvéru na analytika a manažéra rozvoja podnikania v oblasti informačnej bezpečnosti. Mal množstvo certifikácií v oblasti informačnej bezpečnosti, no prestal stíhať odznaky. Momentálne dávam všetko do Cisco.

Publikovalo viac ako 600 tlačených prác v rôznych publikáciách – „CIO“, „Director of Information Service“, „National Banking Journal“, „PRIME-TASS“, „Informačná bezpečnosť“, „Cnews“, „Banking Technologies“, „Analytical Banking Journal “, “Business Online”, “World of Communications. Pripojiť", "Výsledky", "Rational Enterprise Management", "Fúzie a akvizície" atď. V polovici roku 2000 prestal počítať svoje publikácie ako márne cvičenie. V súčasnosti vediem na internete blog „Podnikanie bez nebezpečenstva“.

V roku 2005 získal cenu Documentary Telecommunication Association „Za rozvoj infokomunikácií v Rusku“ a v roku 2006 cenu InfoForum v kategórii „Publikácia roka“. V januári 2007 bol zaradený do hodnotenia 100 ľudí na ruskom trhu IT (stále nechápem prečo). V roku 2010 vyhral súťaž Lions and Gladiators. V roku 2011 mu bol udelený diplom ministra vnútra Ruskej federácie. Na konferencii Infosecurity získal trikrát ocenenie Security Awards - v rokoch 2013, 2012 a 2011 (za vzdelávacie aktivity). Za rovnakú činnosť, alebo skôr za blogovanie, získal v roku 2011 anticenu Runet v nominácii „Bezpečná ruleta“. V roku 2012 bol ocenený Asociáciou ruských bánk za veľký prínos k rozvoju bezpečnosti ruského bankového systému a v roku 2013 na fóre Magnitogorsk získal ocenenie „Za metodickú podporu a úspechy v bankovej bezpečnosti .“ Aj v rokoch 2013 a 2014 bol portál DLP-Expert vyhlásený za najlepšieho rečníka o informačnej bezpečnosti. Počas svojho pôsobenia v spoločnosti Cisco mu bolo udelených aj množstvo interných ocenení.

V roku 2001 vydal knihu „Attack Detection“ (druhé vydanie tejto knihy vyšlo v roku 2003) a v roku 2002 v spoluautorstve s I.D. Medvedovský, P.V. Semyanov a D.G. Leonov - kniha „Útok z internetu“. V roku 2003 vydal knihu „Chráňte svoje informácie pomocou detekcie narušenia“ (na anglický jazyk). V rokoch 2008-2009 publikoval na portáli bankir.ru knihu „Mýty a mylné predstavy o informačnej bezpečnosti“.

Som autorom mnohých kurzov vrátane „Úvod do detekcie útokov“, „Systémy detekcie útokov“, „Ako prepojiť bezpečnosť s obchodnou stratégiou podniku“, „Čo sa skrýva v legislatíve o osobných údajoch“, „Informačná bezpečnosť a organizačná teória“, „Meranie efektívnosti Informačná bezpečnosť“, „Architektúra a stratégia informačnej bezpečnosti“. Prednášam o informačnej bezpečnosti v rôznych vzdelávacie inštitúcie a organizácie. Bol som moderátorom echo konferencie RU.SECURITY na sieti FIDO, ale opustil som túto záležitosť kvôli exodu väčšiny špecialistov na internet.

Prvýkrát som sa v ruskej tlači venoval téme:

• Bezpečnosť obchodných informácií
• Bezpečnosť fúzií a akvizícií
• Meranie efektívnosti informačnej bezpečnosti
• Bezpečnosť SOA
• Zabezpečenie fakturačného systému
• Klamlivé systémy
• Zabezpečenie IP telefónie
• Zabezpečenie systému ukladania dát
• Zabezpečenie hotspotu
• Zabezpečenie call centra
• Aplikácie situačných centier v informačnej bezpečnosti
• Mobilný spam
• Zabezpečenie siete mobilného operátora
• A veľa ďalších.

Zúčastňujem sa preverovania predpisov v oblasti informačnej bezpečnosti a osobných údajov. Som členom podvýboru č. 1 „Ochrana informácií v úverovej a finančnej sfére“ technického výboru č. 122 „Štandardizácia finančné služby» Federálna agentúra pre technickú reguláciu a metrológiu. Som členom podvýboru č. 127 „Metódy a prostriedky zaistenia bezpečnosti IT“ technickej komisie 22 „ Informačné technológie» Federálna agentúra pre technickú reguláciu a metrológiu (vykonáva funkcie ISO/IEC JTC 1/SC 27 v Rusku). Som členom Technickej komisie 362 „Ochrana informácií“ Federálnej agentúry pre technickú reguláciu a metrológiu a FSTEC. vstupujem pracovná skupina Rada federácie o vývoji zmien federálneho zákona-152 a rozvoji ruskej stratégie kybernetickej bezpečnosti. Som členom pracovnej skupiny Bezpečnostnej rady na rozvoj základov štátnej politiky pre formovanie kultúry informačnej bezpečnosti. Bol členom pracovnej skupiny centrálnej banky na vypracovanie bezpečnostných požiadaviek pre národný platobný systém (382-P). Ako nezávislý odborník bol členom konzultačného centra ARB pre aplikáciu 152-FZ „O osobných údajoch“. Bol členom organizačného výboru Verejného vypočutia o harmonizácii legislatívy v oblasti ochrany práv dotknutých osôb.

Ženatý, vychováva syna a dcéru. Voľný čas sa snažím venovať svojej rodine, aj keď vyčerpávajúca práca v prospech vlasti a zamestnávateľa ho takmer vôbec nenecháva. Záľuba premenená na prácu, alebo práca premenená na hobby, je písanie a informačná bezpečnosť. Turistike sa venujem od detstva.

PS. Fotografie pre internetové publikácie (stiahnite si vyššie alebo cez

Naším dnešným hosťom je Alexey Lukatsky, známy špecialista na informačnú bezpečnosť a obchodný konzultant spoločnosti Cisco. Hlavnou témou rozhovoru bola mimoriadne zaujímavá oblasť – bezpečnosť moderných áut a iných vozidiel. Ak chcete vedieť, prečo sú drony hacknuté ešte častejšie ako autá a prečo výrobcovia poľnohospodárskych strojov blokujú neoprávnené opravy svojich strojov na úrovni firmvéru, čítajte ďalej!

O bezpečnosti moderných áut

Medzi väčšinou ľudí existuje nebezpečná mylná predstava, že auto je niečo jedinečné, odlišný od bežného počítača. V skutočnosti to nie je pravda.

V Izraeli má Cisco samostatnú divíziu, ktorá sa zaoberá automobilovou kybernetickou bezpečnosťou. Objavil sa po akvizícii jedného z izraelských startupov pôsobiacich v tejto oblasti.

Auto sa nelíši od domácej alebo firemnej siete, o čom svedčia rôzne štúdie skúmajúce, čo dokáže útočník urobiť s autom. Ukazuje sa, že aj autá majú počítače, len sú malé a nenápadné. Volajú sa ECU (Electronic Control Unit) a v aute sú ich desiatky. Každé elektricky ovládané okno, brzdový systém, monitorovanie tlaku v pneumatikách, snímač teploty, zámok dverí, systém palubného počítača atď., To všetko sú počítače, z ktorých každý riadi svoju prácu. Prostredníctvom takýchto počítačových modulov môžete zmeniť logiku auta. Všetky tieto moduly sú spojené do jednej siete, dĺžka káblov sa niekedy meria v kilometroch, počet rozhraní sa pohybuje v tisícoch a množstvo kódu je milióny riadkov pre bežný palubný počítač a vo všeobecnosti , všetky elektronické komponenty (vrátane vesmírna loď je ich menej). Podľa rôznych odhadov až 40 % moderného auta tvorí elektronika a softvér. Objem softvéru v prémiových autách je až gigabajt.
Neberiem do úvahy produkciu ruského automobilového priemyslu, kde našťastie (z bezpečnostného hľadiska) nie je seriózne vypchávanie počítačov. Ale ak vezmeme do úvahy takmer všetky zahraničné automobilky, potom všetci v súčasnosti využívajú počítače aj tie najlacnejšie modely svojich áut.

Áno, v autách sú počítače.Áno, majú svoje vlastné protokoly na výmenu údajov, ktoré nie sú tajné: môžete sa k nim pripojiť, zachytávať údaje a upravovať ich. Ako ukazujú prípady z praxe takých výrobcov ako Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge a Mercedes-Benz, útočníci sa celkom dobre naučili analyzovať, čo sa deje vo vnútri auta a naučili sa analyzovať interakciu zvonku. svet s autom. Odborníci odhadujú, že 98 % všetkých testovaných softvérových aplikácií v automobiloch (ktoré tvoria až 90 % všetkých inovácií) má vážne chyby a niektoré aplikácie majú takýchto chýb desiatky.

Teraz v rámci rôznych projektov v Európe a Amerike vznikajú takzvané inteligentné cesty(napríklad projekty EVITA, VANET, simTD). Umožňujú vozidlu vymieňať si údaje s povrchom vozovky, semaformi, parkoviskami a centrami riadenia dopravy. Auto bude schopné automaticky, bez ľudského zásahu, riadiť premávku, zápchy, parkovanie, znižovať rýchlosť, prijímať informácie o dopravných nehodách tak, aby vstavaný navigátor mohol samostatne prestavať trasu a viesť auto po menej preplnených diaľniciach. Celá táto interakcia teraz, žiaľ, prebieha v prakticky nechránenom režime. Samotné auto ani táto interakcia nie sú takmer nijak chránené. Je to spôsobené všeobecnou mylnou predstavou, že systémy tohto druhu sa veľmi ťažko študujú a nikoho nezaujímajú.

Existujú aj problémy súvisiace s podnikaním. V biznise vládne ten, kto sa skôr dostane na trh. Ak teda výrobca ako prvý uviedol na trh určitý nový výrobok, zaujímal veľký podiel na tomto trhu. Preto bezpečnosť, ktorá si vyžaduje veľa času na implementáciu a hlavne na testovanie, vždy stiahne mnoho podnikov späť. Často kvôli tomu firmy (týka sa to nielen áut, ale internetu vecí ako takého) buď odkladajú zabezpečenie na neskôr, alebo sa ním vôbec nezaoberajú, riešia prízemnejšiu úlohu – rýchlo vydať produkt na trh.

Známe hacky, ktoré sa vyskytli skôr, boli spojené s manipuláciou s brzdami, vypínaním motora počas jazdy, zachytávaním údajov o polohe vozidla a diaľkovým vypínaním zámkov dverí. To znamená, že útočníci majú celkom zaujímavé možnosti na vykonanie určitých akcií. Našťastie, zatiaľ takéto akcie majú skutočný život sa nevyrába, ide skôr o takzvaný proof-of-concept, teda o akúsi ukážku schopností ukradnúť auto, zastaviť ho počas pohybu, odpočúvať kontrolu a pod.

Čo môžete dnes robiť so svojím autom? Hacknite systém riadenia dopravy, čo povedie k dopravným nehodám a dopravným zápcham; zachytiť signál PKES a ukradnúť auto; nahradiť trasy cez RDS; svojvoľne zrýchliť auto; zablokovať brzdový systém alebo motor počas jazdy; nahradiť body POI v navigačnom systéme; zachytiť polohu alebo zablokovať prenos informácií o polohe; blokovať prenos signálu krádeže; kradnúť obsah zo zábavného systému; vykonať zmeny v prevádzke ECU a pod. To všetko je možné dosiahnuť tak priamym fyzickým prístupom, prostredníctvom pripojenia k diagnostickému portu vozidla, ako aj nepriamym fyzickým prístupom cez CD s upraveným firmvérom alebo cez mechanizmus PassThru, ako aj bezdrôtovým prístupom na blízko (napr. Bluetooth) alebo na veľké vzdialenosti (napríklad cez internet alebo mobilnú aplikáciu).

Ak predajcovia v budúcnosti nebudú premýšľať o tom, čo sa deje, môže to viesť k strašným následkom. Je ich dosť jednoduché príklady, ktoré ešte nenaznačujú, že by sa hackeri aktívne chopili áut, no už sú použiteľné v reálnom živote. Napríklad potlačenie zabudovaných tachografov, ktoré majú senzory GPS alebo GLONASS. V ruskej praxi som o takýchto prípadoch s GLONASS nepočul, ale v Amerike boli precedensy s GPS, keď útočníci potlačili signál obrneného auta zberateľov a odviezli ho na neznáme miesto, aby ho zničili a vyniesli všetky cennosti. . Výskum v tejto oblasti sa uskutočnil v Európe, vo Veľkej Británii. Takéto prípady sú prvým krokom k útokom na auto. Pretože o všetkom inom (vypnutie motora, vypnutie bŕzd počas jazdy) som v reálnej praxi nikdy nepočul. Aj keď samotná možnosť takýchto útokov naznačuje, že výrobcovia a hlavne spotrebitelia by sa mali zamyslieť nad tým, čo robia a čo kupujú.

Stojí za to povedať, že ani šifrovanie sa nepoužíva všade. Hoci šifrovanie môže byť pôvodne zabezpečené dizajnom, nie je vždy povolené, pretože to zaťažuje kanál, zavádza určité oneskorenia a môže viesť k zhoršeniu niektorých spotrebiteľských charakteristík spojených so zariadením.

V mnohých krajinách je šifrovanie veľmi špecifickým typom podnikania, ktoré si vyžaduje povolenie od vládnych agentúr. Z toho vyplývajú aj určité obmedzenia. Vývoz zariadení obsahujúcich šifrovaciu funkciu podlieha takzvaným Wassenaarskym dohodám o vývoze technológií dvojakého použitia, ktoré zahŕňajú aj šifrovanie. Výrobca je povinný získať povolenie na vývoz od krajiny výroby a následne povolenie na dovoz z krajiny, do ktorej bude výrobok dovezený. Ak sa situácia so softvérom už upokojila, hoci má svoje vlastné ťažkosti a obmedzenia, stále existujú problémy s takými novotvarmi, ako je šifrovanie v internete vecí. Faktom je, že nikto nevie, ako to regulovať.

Má to však aj výhody, pretože regulačné orgány stále takmer nehľadia na šifrovanie internetu vecí a najmä áut. Napríklad v Rusku FSB veľmi prísne kontroluje dovoz softvér a telekomunikačné zariadenia obsahujúce šifrovacie funkcie, ale len málo regulujú šifrovanie v dronoch, autách a inom počítačovom hardvéri, čím sa vymykajú z rozsahu regulácie. FSB to nevidí ako veľký problém: teroristi a extrémisti to nevyužívajú. Preto zatiaľ takéto šifrovanie zostáva mimo kontroly, hoci formálne spadá pod zákon.

Šifrovanie je, žiaľ, veľmi často implementované na základnej úrovni. Keď v skutočnosti ide o bežnú operáciu XOR, teda nahradenie niektorých znakov inými podľa určitého jednoduchého algoritmu, ktorý sa dá ľahko vybrať. Šifrovanie navyše často realizujú neodborníci v oblasti kryptografie, ktorí berú hotové knižnice stiahnuté z internetu. Výsledkom je, že v takýchto implementáciách možno nájsť slabé miesta, ktoré vám umožňujú obísť šifrovací algoritmus a prinajmenšom zachytiť údaje a niekedy napadnúť kanál, aby ste ich nahradili.

Požiadavka na bezpečnosť auta

Naša izraelská divízia má riešenie s názvom Autoguard. Toto je malý firewall pre autá, ktorý kontroluje, čo sa deje vo vnútri, a interaguje s vonkajším svetom. V podstate analyzuje príkazy vymieňané medzi prvkami palubného počítača a senzorov, kontroluje prístup zvonku, čiže určuje, kto sa môže a kto nesmie pripojiť k vnútornej elektronike a hardvéru.

V januári 2018 v Las Vegas na najväčšej výstave elektroniky CES oznámili Cisco a Hyundai Motor Company vytvorenie automobilu Nová generácia, ktorá bude využívať softvérovo definovanú architektúru vozidla a bude vybavená najnovšími sieťovými technológiami vrátane mechanizmov kybernetickej bezpečnosti. Prvé autá by mali zísť z montážnej linky v roku 2019.

Na rozdiel od spotrebnej elektroniky a podnikových IT riešení je automobilová bezpečnosť veľmi špecifickým trhom. Na tomto trhu je na celom svete len niekoľko desiatok spotrebiteľov – čo sa rovná počtu výrobcov automobilov. Bohužiaľ, samotný majiteľ auta nie je schopný zlepšiť kybernetickú bezpečnosť svojho „železného koňa“. Projekty tohto druhu sa spravidla nepropagujú, ale nie sú verejne dostupné, pretože nejde o milióny spoločností, ktoré potrebujú smerovače, a nie o stovky miliónov používateľov, ktorí potrebujú bezpečné smartfóny. Ide len o tri až štyri desiatky výrobcov automobilov, ktorí nechcú upozorňovať na to, ako je štruktúrovaný proces ochrany auta.

Mnoho výrobcov berie ochranu na ľahkú váhu, iní sa na túto oblasť len bližšie pozerajú, vykonávajú rôzne testy, pretože sú tu spojené špecifiká životný cyklus auto. V Rusku je priemerná životnosť automobilu päť až šesť rokov (v centrálnych regiónoch a veľké mestá tri až štyri roky av regiónoch sedem až osem rokov). Ak teraz výrobca uvažuje o zavedení kybernetickej bezpečnosti do svojho automobilového radu, potom sa toto riešenie dostane na masový trh o desať rokov, nie skôr. Na západe je situácia trochu iná. Autá sa tam menia častejšie, no aj v tomto prípade je predčasné povedať, že autá sú dostatočne vybavené ochrannými systémami. Nikto preto nechce na túto tému veľmi upozorňovať.

Útočníci môžu teraz začať útočiť na autá alebo vyprovokovať zvolávanie vozidiel kvôli problémom s počítačovou bezpečnosťou. To môže byť pre výrobcov veľmi nákladné, pretože vždy existujú slabé miesta. Samozrejme, že sa nájdu. Ale zvolávanie tisícok alebo stoviek tisíc zraniteľných vozidiel zakaždým z dôvodu zraniteľnosti je príliš drahé. Preto táto téma nie je veľmi počúvaná, no veľkí výrobcovia, samozrejme, pracujú a premýšľajú o perspektívach tohto trhu. Podľa odhadov GSMA bude do roku 2025 100 % áut pripojených na internet (tzv. pripojené autá). Neviem, do akej miery je Rusko zahrnuté v týchto štatistikách, ale sú v nich zahrnuté svetové automobilové giganty.

Bezpečnosť iných druhov dopravy

Zraniteľnosť sa vyskytuje vo všetkých typoch vozidiel. Ide o leteckú dopravu, námornú dopravu, nákladnú dopravu. Potrubia nebudeme brať do úvahy, hoci sa tiež považujú za spôsob dopravy. Akékoľvek moderné vozidlo obsahuje pomerne výkonný počítačový hardvér a na jeho vývoji sa často podieľajú bežní IT špecialisti a programátori, ktorí pri tvorbe kódu robia klasické chyby.

Z pohľadu vývoja je prístup k takýmto projektom mierne odlišný od toho, čo robí Microsoft, Oracle, SAP či Cisco. A testovanie sa nevykonáva na rovnakej úrovni. Preto sú známe prípady nájdenia slabín a preukázania schopnosti hackovať lietadlá či námornú dopravu. Z tohto zoznamu by preto nemali byť vylúčené žiadne vozidlá – ich kybernetická bezpečnosť dnes nie je na veľmi vysokej úrovni.

S dronmi je situácia úplne rovnaká a ešte jednoduchšia, pretože ide o masovejší trh. Takmer každý má možnosť kúpiť si dron a rozobrať ho na výskum. Aj keď stojí dron niekoľko tisíc dolárov, môžete si ho kúpiť spolu, analyzovať ho a nájsť zraniteľné miesta. Potom môžete takéto zariadenia uniesť alebo s nimi pristáť za chodu a zachytiť tak riadiaci kanál. Môžete tiež spôsobiť ich pád a spôsobiť škodu majiteľovi alebo ukradnúť balíky, ktoré drony prepravujú, ak sa používajú na prepravu tovaru a zásielok.

Vzhľadom na počet dronov je jasné, prečo útočníci aktívne študujú tento konkrétny trh: je viac monetizovaný. Situácia v tejto oblasti je ešte aktívnejšia ako pri autách, pretože z toho majú priamy prospech „zlí“. Nie je prítomný pri vlámaní do auta, nepočítajúc možné vydieranie automobilky. Navyše za vydieranie môžete ísť do väzenia a postup na získanie výkupného je oveľa komplikovanejší. Samozrejme, môžete sa pokúsiť získať peniaze od automobilky legálnou cestou, ale je len veľmi málo ľudí, ktorí zarábajú peniaze hľadaním takýchto zraniteľností legálne a za peniaze.

Keď výrobcovia blokujú aktualizácie

Nedávno sa stal zaujímavý prípad – výrobca poľnohospodárskych strojov. V tejto situácii nevidím nič nadprirodzené alebo v rozpore s obchodnou praxou z pohľadu výrobcu. Chce prevziať kontrolu nad procesom aktualizácie softvéru a zaviazať svojich zákazníkov k sebe. Keďže záručná podpora sú peniaze, výrobca chce na tom aj naďalej zarábať, čím sa zníži riziko odchodu zákazníkov k iným dodávateľom zariadení.

Týmto princípom „žijú“ takmer všetky spoločnosti pracujúce v oblastiach súvisiacich s IT. ako aj firmy – výrobcovia áut, poľnohospodárskych strojov, lietadiel či dronov, ktorí implementujú IT doma. Je jasné, že akýkoľvek neoprávnený zásah môže viesť k strašným následkom, preto výrobcovia uzatvárajú možnosť samostatnej aktualizácie softvéru a tu im rozumiem úplne dobre.

Keď spotrebiteľ nechce platiť za záručnú podporu zariadenia, začne na rôznych warez stránkach hľadať firmvér na aktualizáciu. To môže na jednej strane viesť k tomu, že si bezplatne aktualizuje softvér, no na druhej strane môže spôsobiť škodu. V praxi spoločnosti Cisco sa vyskytol najmä prípad, keď spoločnosti, ktoré nechceli platiť za podporu (v v tomto prípade, samozrejme, nie automobilové alebo poľnohospodárske zariadenia, ale bežné sieťové zariadenia), stiahli firmvér niekde na hackerských fórach. Ako sa ukázalo, tieto firmvéry obsahovali „záložky“. V dôsledku toho u viacerých zákazníkov unikli informácie prechádzajúce cez sieťové zariadenia k neznámym osobám. Vo svete sa s tým stretli viaceré firmy.

Ak budeme pokračovať v prirovnaní a predstavíme si, čo všetko sa dá robiť s poľnohospodárskymi strojmi, obraz bude smutný. Teoreticky je možné zablokovať prevádzku poľnohospodárskych strojov a požadovať výkupné za obnovenie prístupu k strojom, ktoré stoja státisíce dolárov alebo dokonca milióny. Našťastie, pokiaľ viem, zatiaľ k takýmto precedensom nedošlo, no nevylučujem, že sa môžu v budúcnosti objaviť, ak bude táto prax pokračovať.

Ako zvýšiť bezpečnosť vozidla

Pokyny sú veľmi jednoduché: musíte pochopiť, že problém existuje. Faktom je, že pre mnohých manažérov takýto problém nie je, považujú ho za prehnaný alebo málo žiadaný na trhu, a preto naň nie sú pripravení míňať peniaze.

Pred tromi alebo štyrmi rokmi sa v Moskve konal Connected Car Summit, kde sa hovorilo o rôznych novodobých veciach súvisiacich s automatizáciou a informatizáciou áut. Napríklad o sledovaní polohy (zdieľanie auta pripojené na internet) a podobne. Mal som tam prezentáciu o bezpečnosti áut. A keď som hovoril o rôznych príkladoch toho, čo sa dá urobiť s autom, po rozhovore za mnou prišlo mnoho spoločností, výrobcov a spoločností zdieľajúcich autá a povedali: „Ach, o tom sme ani nepremýšľali. Čo urobíme?"

V Rusku je málo výrobcov automobilov. Po prejave za mnou prišiel zástupca jedného z nich a povedal, že zatiaľ o počítačovej bezpečnosti ani neuvažujú, pretože úroveň informatizácie je veľmi nízka - najprv musia pochopiť, čo sa dá do auta pridať z hľadiska vypchávky počítača. Keď som sa tohto zástupcu spýtal, či vôbec budú uvažovať o bezpečnosti, odpovedal, že sa o tom uvažuje vo veľmi dlhodobom horizonte. Tak to je kľúčový moment: treba myslieť na to, že počítačová bezpečnosť je neoddeliteľnou súčasťou, nie je to externá „doplnková“ funkcia, ale vlastnosť moderného auta. To je polovica úspechu pri zabezpečovaní bezpečnosti dopravy.

Druhým nevyhnutným krokom je najatie špecialistov, interných alebo externých. Potrebujeme ľudí, ktorí môžu legálne prelomiť existujúce riešenia a hľadať v nich slabiny. Teraz existujú individuálni nadšenci alebo spoločnosti, ktoré sa zaoberajú testovaním alebo bezpečnostnou analýzou automobilov a ich počítačového hardvéru. Je ich málo, pretože ide o dosť úzky trh, na ktorom nemôžete expandovať a zarobiť veľa peňazí. Nepoznám nikoho v Rusku, kto by niečo také urobil. Ale sú firmy, ktoré sa zaoberajú bezpečnostnou analýzou a robia celkom špecifické veci – testujú automatizované systémy riadenia procesov a podobne. Pravdepodobne by si mohli vyskúšať autá.

Tretím prvkom je implementácia bezpečných rozvojových mechanizmov. Vývojárom konvenčného softvéru je to už dlho známe, najmä odkedy Rusko nedávno prijalo zodpovedajúce normy GOST pre bezpečný vývoj softvéru. Ide o súbor odporúčaní, ako správne napísať kód, aby bol náročnejší na hacknutie, ako sa vyhnúť konštrukciám, ktoré by viedli k pretečeniu vyrovnávacej pamäte, zachyteniu dát, manipulácii s dátami, odmietnutiu služby a pod.

Štvrtým krokom je implementácia technických bezpečnostných riešení, teda používanie špeciálnych čipov v autách, budovanie bezpečnostnej architektúry. Vývojári by mali mať architektov, ktorí sa špeciálne zaoberajú otázkami bezpečnosti. Poradia si aj s architektúrou auta z pohľadu ochrany, architektúrou riadiaceho systému. Pretože vždy môžete zaútočiť nie na auto samotné - oveľa efektívnejšie je hacknúť riadiaci systém a získať kontrolu nad všetkými autami.

Ako sa to nedávno stalo s online pokladnicami, ktoré zrazu prestali fungovať v deň stého výročia FSB. Online pokladnica je totiž, zhruba povedané, to isté auto: má počítačový hardvér a firmvér. Firmvér okamžite prestal fungovať a štvrtina celého maloobchodného trhu prestala fungovať na niekoľko hodín. S autami je to rovnaké: zle napísaný kód, v ňom nájdené zraniteľnosti alebo hacknutie riadiaceho systému môže viesť k dosť hrozným následkom. Ale ak v prípade online pokladníc boli straty merané v miliardách, tak v prípade áut budú obete.

Aj keď pri autách netreba očakávať hacknutie či odpočúvanie kontroly desiatok miliónov vozidiel. Stačí ich hacknúť len pár a na ceste bude chaos. A ak sa fakt o hacknutí dostane na verejnosť, môžete si byť istí, že ho médiá vytrúbi do celého sveta a majitelia áut budú zhrození z „vyhliadok“, ktoré sa im otvorili.

Vo všeobecnosti tri úrovne ochrany moderných vozidlo. Ide o vstavanú kybernetickú bezpečnosť samotného auta (imobilizér, PKES, zabezpečená interná komunikácia medzi ECU, detekcia anomálií a útokov, kontrola prístupu, dôveryhodné bezpečnostné moduly); bezpečnosť komunikácie (ochrana externej komunikácie s riadiacim centrom cestnej infraštruktúry, výrobcom automobilu alebo jeho jednotlivých častí, ochrana sťahovania aplikácií, obsahu, aktualizácií, ochrana tachografov); a bezpečnosť cestnej infraštruktúry.

Čo a kde študovať pre špecialistu

IT profesionáli, ktorí sú alebo chcú vyvíjať kód pre autá, vozidlá alebo drony, možno budú chcieť začať tým, že sa budú učiť o zabezpečenom vývoji (SDLC). To znamená, že si musíte naštudovať, čo je bezpečný rozvoj vo všeobecnosti. Treba uznať, že tieto dodatočné znalosti neprinášajú ďalšie peniaze. Za neznalosť základov bezpečného vývoja dnes nikto nie je trestaný, zodpovednosť neexistuje, takže zostáva na rozhodnutí samotného IT špecialistu. Spočiatku to môže byť pre špecialistu konkurenčná výhoda, pretože to učí len málo miest, čo vám umožňuje odlíšiť sa od ostatných. Ale v oblasti zabezpečenia auta, internetu vecí a dronov to nie je najpopulárnejšia požiadavka na zamestnanca. Žiaľ, musíme priznať, že IT špecialisti sa tejto téme príliš nevenujú.

Bezpečný rozvoj je samoučenie vo svojej najčistejšej forme. Keďže kurzy tohto druhu prakticky neexistujú, všetky sa vyrábajú len na objednávku a spravidla ide o firemné školenia. Táto téma tiež nie je zahrnutá vo federálnych štátnych vzdelávacích štandardoch, takže zostáva len samoštúdium alebo absolvovanie kurzov od spoločností, ktoré sa zaoberajú analýzou kódu. Existujú také spoločnosti - medzi ruskými hráčmi napríklad Solar Security alebo Positive Technologies. Na západe je ich oveľa viac, napríklad IBM, Coverity, Synopsys, Black Duck. Na túto tému vedú rôzne semináre (platené aj bezplatné), kde môžete získať nejaké vedomosti.

Druhým smerom pre IT špecialistov sú architekti. To znamená, že sa môžete stať bezpečnostným architektom pre tento druh projektov, pre internet vecí vo všeobecnosti, pretože sú postavené plus-mínus podľa rovnakých zákonov. Ide o centrálny riadiaci systém z cloudu a kopu senzorov: buď úzko zameraných, ako napríklad dron, alebo senzory integrované v aute či väčšom vozidle, ktoré treba správne nakonfigurovať, implementovať, navrhnúť. Je potrebné brať do úvahy rôzne hrozby, to znamená, že je potrebné takzvané modelovanie hrozieb. Aby sme to pochopili, je potrebné vziať do úvahy aj správanie potenciálneho porušovateľa potenciálne príležitosti a motiváciu a na základe toho navrhnúť mechanizmy na odpudzovanie budúcich hrozieb.

Na internete nájdete množstvo užitočných materiálov. Môžete si prečítať aj rôzne prezentácie z konferencií ako DEF CON a Black Hat. Môžete sa pozrieť na materiály spoločností: mnohé z nich publikujú na svojich webových stránkach celkom dobré prezentácie a whitepapery, popisy typických chýb v kóde atď. Môžete si skúsiť vyhľadať prezentácie zo špecializovaných podujatí o zabezpečení áut (napríklad Automotive Cybersecurity Summit, Vehicle Cyber ​​​​Security Summit, Connected Cars Summit, CyberSecureCar Europe).
Okrem toho má teraz ruský regulátor FSTEC Ruska (Federálna služba pre technickú a exportnú kontrolu) niekoľko iniciatív, najmä sa navrhuje zverejňovať na internete typické chyby, ktoré programátori robia v kóde, a udržiavať určitú databázu. takýchto chýb. Zatiaľ sa to nerealizovalo, ale regulátor v tomto smere pracuje, hoci nie vždy majú dostatok zdrojov.

Po úniku kybernetického arzenálu CIA a NSA na internet sa každý, dokonca aj „domáci hacker“, môže cítiť ako špeciálny agent. Veď vlastní takmer rovnaký arzenál. To núti architektov uvažovať úplne inak o tom, ako budujú svoje systémy. Podľa rôznych štúdií, ak uvažujete o bezpečnosti vo fáze architektúry, potom sa na jej implementáciu vynaloží X množstvo zdrojov. Ak zmeníte architektúru už v štádiu priemyselnej prevádzky, bude si to vyžadovať tridsaťkrát viac zdrojov, času, ľudí a peňazí.

Architekt je veľmi módne a hlavne veľmi lukratívne povolanie. Nemôžem povedať, že v Rusku je po takýchto špecialistoch veľký dopyt, ale na Západe je bezpečnostný architekt jednou z najvyššie platených špecialít, ročný príjem takéhoto špecialistu je asi dvesto tisíc dolárov. V Rusku podľa ministerstva práce každoročne chýba približne 50–60 tisíc bezpečnostných pracovníkov. Medzi nimi sú architekti, správcovia, manažéri a tí, ktorí modelujú hrozby - to je veľmi veľký rozsah bezpečnostných špecialistov, ktorí v Rusku pravidelne chýbajú.

Architekti sa však tiež neučia na vysokých školách. V podstate ide o rekvalifikáciu, teda vhodné kurzy, prípadne samoštúdium.

V Rusku sa praktizuje najmä firemné vzdelávanie. Pretože nejde o masový trh a školiace strediská ho nezaraďujú ako kurzy do svojich programov. Toto sa robí len na objednávku. Teoreticky by to malo byť spočiatku zahrnuté do verejného vzdelávania na univerzitách. Položiť základy pre správny dizajn rôznych architektúr. Bohužiaľ, federálne štátne vzdelávacie štandardy píšu ľudia, ktorí sú veľmi ďaleko od reality a praxe. Často toto bývalých ľudí v uniforme, ktorí nie vždy vedia správne navrhovať systémy, alebo to poznajú veľmi špecifickým spôsobom: ich znalosti súvisia so štátnymi tajomstvami alebo bojom proti cudzej technickej rozviedke, a to je trochu iná skúsenosť. Táto skúsenosť sa nedá nazvať zlou, ale je iná a málo využiteľná v komerčnom segmente a internete vecí. Federálne štátne vzdelávacie štandardy sa aktualizujú veľmi pomaly, približne raz za tri až štyri roky, a väčšinou sa v nich robia kozmetické úpravy. Je jasné, že v takejto situácii nie je dostatok špecialistov a bude ich nedostatok.

Práca v Cisco

Cisco má vývoj v Rusku. V súčasnosti sa pracuje na vytvorení otvorenej platformy založenej na zásobníku pre poskytovateľov služieb a dátové centrá. Máme tiež niekoľko dohôd s Ruské spoločnosti, ktorí sa pre nás venujú individuálnym projektom. Jednou z nich je spoločnosť Perspective Monitoring, ktorá píše samostatné obslužné programy pre sieťovú prevádzku na rozpoznávanie rôznych aplikácií, ktoré sú následne začlenené do našich nástrojov na zabezpečenie siete. Vo všeobecnosti máme, ako väčšina globálnych IT spoločností, niekoľko vývojových centier po celom svete a regionálne kancelárie vykonávajú funkcie marketingu, podpory a predaja.

Máme program stáží pre absolventov vysokých škôl - rok v Európe, na našej akadémii. Predtým prejdú veľkou súťažou a potom sú poslaní do jedného z nich európske hlavné mestá. Po návrate sú distribuované do našich kancelárií v Rusku a krajinách SNŠ. Sú to inžinieri, ktorí navrhujú systémy a podporujú ich, ako aj ľudia, ktorí sa venujú predaju.

Niekedy máme voľné miesta, keď niekoho povýšia alebo odíde z firmy. Ide najmä o inžinierske pozície alebo o pozície súvisiace s predajom. Vzhľadom na úroveň spoločnosti Cisco v tomto prípade neprijímame študentov, ale ľudí, ktorí na nejakej pozícii pracujú viac ako jeden rok. Ak je inžinier, potom musí mať dostatočnú certifikáciu Cisco. Spravidla nie je potrebná základná CCNA, vyžaduje sa minimálne CCNP a s najväčšou pravdepodobnosťou musí odborník prejsť certifikáciou CCIE - to je maximálna úroveň certifikácie Cisco. V Rusku je takých ľudí málo, preto máme často problém, keď potrebujeme nájsť inžinierov. Hoci vo všeobecnosti nie je rotácia v spoločnosti príliš veľká, meria sa na 1–2 % ročne. Napriek ekonomickej situácii americké firmy v Rusku platia veľmi dobre, sociálny balíček je dobrý, takže ľudia od nás väčšinou neodchádzajú.