Month: November 2016

Профессиональное проведение интервью при расследовании

Профессиональное проведение интервью при расследовании

На картинке выше – программа тренинга “Профессиональное проведение интервью при внутреннем расследовании”. Поучиться этому будет полезно не только сотрудникам СБ, но и внутренним аудиторам и всем другим профессиям, кто проводит интервью, стремясь выявить ложь собеседника и узнать то, что ваш собеседник хочет скрыть.

Несмотря на бурное развитие технических средств подслушивания и подглядывания, интернета вещей, больших данных, самым важным источником информации остаются люди. Люди – это маленькие компьютеры, которые всё видят, перерабатывают информацию, запоминают её, даже не всегда понимая её смысл. В Вашей организации, может быть, работают тысячи таких биологических устройств для сбора информации, и информация в их головах – уникальна, хотя не всегда точная и полная. Это в полной мере Big Data – со всеми достоинствами и недостатками, только хранятся данные в специфичной среде – головах персонала. И с этими Big Data тоже надо уметь работать.

Есть ещё один плюс по сравнению с информационными системами: защита доступа к информации в головах людей весьма архаична, последние 30000 лет не апгрейдилась и легко взламывается средствами социальной инженерии. Если уметь ими пользоваться. К тому же психофизиологические особенности конструкции позволяют легко выявлять, когда собеседник вам лжёт или пытается что-то скрыть. Если тоже уметь.

Почему успешны 80% кибератак.

Почему успешны 80% кибератак.

Первое фото я сделал на объекте инфраструктуры повышенной опасности. Там двери во все служебные помещения должны быть оснащены замками повышенной секретности. Вы видите, что требование выполнено. Современный замок установлен, он удовлетворяет всем требованиям регламента. Это шикарный замок стоимостью более тысячи евро. Я мечтал бы иметь такой в своём доме. Нет, в своём банке. Но вот проблема – стена и дверь, на которой установлен замок – это рамка из дощечек, обтянутая тканью.

Это самая наглядная картинка состояния системы защиты от киберугроз в вашей компании.

Я проводил аудит одной достаточно крупной компании в прошлом году. Она находится в списке Форбс. Её ИТ директор купил целый зоопарк всяких решений по ИБ. Он энтузиаст ИБ. Он покупает все новое, а чтобы получить на это деньги, пугает акционеров всякими новыми пугалками и инцидентами. И напуганные акционеры дают очередную сотню тысяч тугриков на приобретение новой защиты от новой страшилки.

Но вот что интересно. Я поговорил с ним, и после этого отправился к бухгалтерам. В отдел, который обрабатывает всякие платежи. И они мне сказали, что у них проблемы. Система не позволяет взаимодействовать с контрагентами, делать то или это. И они нашли решение. Они подкупили (применили методы социальной инженерии) сотрудника ИТ отдела, и он им рассказал, как обойти все ограничения DLP. Они использовали для этого самую красивую девочку в отделе, и пообещали ей много проблем, если она не найдёт решение общей для подразделения задачи. Она нашла решение. И не только производственных, но и своих личных. Вот что значит правильная мотивация!

Почему это произошло? Потому, что никто не настроил систему на пользователей и их потребности. Никто не научил пользователей этим всем пользоваться. ИТ директор считает, что это не его проблема. Он разослал по почте инструкции, которые написаны на языке инопланетян. Так мне сказал главный бухгалтер. И, как оказалось в итоге, это ничья проблема.

А ничья проблема, то есть проблема, которую не хочет решать никто, быстро становится общей проблемой, то есть проблемой каждого.

А вот ещё одно фото. Тоже из реальной жизни. Вы видите сумку с ярлыком “Не выносить из самолёта”. Одна деталь – фото сделано в супермаркете.

В любой компьютерной системе есть самое слабое звено – это человек. Техника совершенствуется, но системы управления человека остаются теми же самыми, что и 3000 лет назад. Те же самые инстинкты, эмоции. И мотивация поведения.

ИТ-производители всего мира тратят огромные деньги на продвижение и рекламу своих новых средств защиты от кибератак. И у нас складывается впечатление, что в постоянном обновлении инфраструктуры есть ключ к решению проблемы киберпреступности.

В итоге: – ваше мировосприятие искажено рекламой. Тренинги для персонала по социальной инженерии стоят в 100 раз дешевле, чем очередная DLP система. Поэтому их никто не рекламирует, – на них ничего не заработаешь.  Хотя они бы решили 80% проблем с информационной безопасностью вашей компании.

Но это так, присказки. А самое интересное я расскажу 7-8 ноября на конференции ELECTRONIC EVIDENCE DIGITAL FORENSICS CYBER SECURITY. Судя по программе, будет масса интересных людей и мнений! www.lawtecheuropecongress.com

Учиться, учиться и учиться!

Учиться, учиться и учиться!

  Как завещал агент германских спецслужб и американского империализма. Только вместо “импортозамещение” нужно “мозгозамещение”. Не, даже не это – и мозги-то есть. Вот, придумалось правильное: “мозгоупотребление”. Без обидок.

Вот, например,  как должна работать розница. На примере голландцев. Так сказать, case-study.

Итак, у вас в доме сломалась неведомая фигня в отопительной машине (мне на них везет, от одного взгляда ломаются). Вылимши полведра воды на пол и как-то особенно жалостливо пискнув, скончался “circulatienpomp “. Он же, по-ихнему, “насос циркулярный”.

Естественно, это произошло в пятницу вечером – по-другому в этой жизни просто не бывает. В результате открылись перспективы: в ближняя – жить без горячей воды, и дальняя – и без отопления тоже. Жена поднимает вас с дивана совершенно нечеловеческим усилием, которое у них генетически рассчитано на остановку коня на скаку. Ладно, пережили. Извлекаете эту помпу, изучаете, понимаете, что по ошибке вместо положенных 10 лет она отработала 12. То-то она последний год так жаловалась!

В 22:00 в пятницу (!) находите эту гадость на сайте голландского магазинчика, который обещает доставить вам всё в понедельник. Оплачиваете и, злорадно посмеиваясь (счас, в понедельник) отступаете обратно на позицию постоянного базирования (диван).

В воскресенье ближе к полуночи получаете мэйл, что всё отгружено, и доставку можно отслеживать по ссылке в интернете. Отмахиваетесь, как от спама, и заодно информируете супругу о способах, коими мылись наши предки в недалёком прошлом, а также намекаете на чистоту воды в ближайшем городском пруду.

В понедельник утром заходите по ссылке, чисто полюбопытствовать, вышли ли они на работу после выходных, и сколь глубоко их похмелье. Увидев картинку с трекера покупки (см.выше), понимаете, что чего-то в этой жизни не понимаете. А именно, как случилось, что:

– в воскресенье(!), в 14:43 ваша покупка где-то там зарегистрирована

– в воскресенье(!), в 23:31 отгрузка одобрена

– в понедельник, в 02:11 (!) утра она передана в офис отгрузки

– в понедельник , в 02:23 (!) утра она передана в офис отгрузки в Бельгии

– в понедельник, в 10:01 утра она вручена курьеру для доставки (кстати, бесплатной)

Я мысленно сравнил всё это безобразие с практикой работы лучших отечественных интернет-магазинов и понял, что нам, мягко говоря, ещё есть куда стремится. Было бы желание.

Зигмунд Фрейд и этика бизнеса

Зигмунд Фрейд и этика бизнеса

   Основатель психоанализа  утверждал, что все наши проблемы – родом из детства.

То же самое могу сказать про бизнес. Да вы и сами, наверное, не раз останавливались в какой-нибудь бывшей совковой гостинице, которая сейчас гордо называется словом Hotel. Наверное, действительно хотэли как лучше. Но что бы ни делали, какие бы евроремонты не проводили, как бы не меняли персонал, совок всё равно прёт из каждой щели – криво приделанные краны, отваливающиеся панели, качество еды в буфете, хамоватость и ненавязчивость сервиса – на каждом шагу живо видишь, что и как тут было до Хотел. Казалось бы, прошло 30 лет, сменился весь персонал, а совок в этом заведении как Ленин – живее всех живых.

И с крупными компаниями, со столпами, так сказать, то же самое. Некоторые ничем особенным не прославились, работают себе, живут помаленьку. Другие – то и дело попадают в громкие коррупционные скандалы. Только из одного выбрались, в прессе полоскать перестали – а тут новый на подходе. И отчего они такие невезучие? Вроде всё как у людей, евроремонт сделали (комплайенс завели), риск менеджеры, внутренние аудиторы, советы директоров независимые – а не берёт. Как говорил классик “точно по формуле СНСОСН плюс метилхлотилгидрат на пару — не помогает. И, что особенно противно, названия у них одинаковые“. И не помогает даже рекомендация классика: “Тщательней надо, ребята. Общим видом овладели, теперь подробности не надо пропускать“.

Рекомендация тщательнее – не помогает. И сейчас объясню, почему.

Когда эта сегодня большая и знаменитая компания была ещё совсем маленькой, а владеющие ей олигархи – молодыми ребятами в варёных джинсах, в те незапямятные 90-е, в какой-то момент времени хозяин дал отмашку на небольшой обман клиентов – с целью повышения показателей роста бизнеса. Как говорил Раскольников, если с каждой старушки по гривенничку, то с миллиона старушек – уже бонус получается. Клиент – он овца безмозглая, никуда не денется на монопольном рынке, помычит и утрётся, а милицию купим,  и будет всем счастье. Так они рассуждали. Знаю, потому что сам там работал.

Шли годы, те молодые шустрые становились менеджерами, потом топ-менеджерами, и нанимали и учили молодых практикантов (с горящими глазами). Только вот одна беда – учили они их тому, что умели сами. А кроме того, как обманывать клиентов, они научились также приворовывать у хозяина, сливать его доходы на свои карманные фирмочки, заключать коррупционные сделки для получения бонусов – то есть, вот такая корпоративная культура образовалась.

Те менеджеры давно уже наворовались и ушли на заслуженный отдых, барин давно в Париже (Лондоне) живёт, и хочет быть теперь красавицей, комсомолкой и спортсменкой в одном лице. Да вот только проблемы родом из детства не отпускают. Корпоративная культура в компании живёт и побеждает.  “Ну наймите, б-ть, самых крутых консультантов”  – кричит барин на менеджеров и топает ножками. Вваливается очередной миллион долларов во всяких советчиков, как жить правильно. А – не берёт… На пару – и всё равно не берёт…

Коррупционные скандалы продолжают вылазить отовсюду, как тараканы в старой совковой гостинице. И иногда думаю, глядя на всё это, что вывести их можно единственным способом – снеся этот хотель на фиг.

Это было наблюдение из личной корпоративной жизни. Оно про этику бизнеса и корпоративную культуру – зачем она нужна с детства.

З.Ы. А то ведь кажется – сейчас мы всё как изменим, и будет у нас не хуже, чем там. А не будет. В компании, условно, 15 тысяч человек работает. Они передают корпоративную культуру коррупции и мошенничества как эстафету – из поколения в поколение, и никто с этим уже ничего сделать не сможет. Любой, пришедший в такую компанию, быстро “сварится” в этом супе и станет не хуже других.

Вспоминаю, как один из моих аудиторов как-то признался:

– Эх, мне бы на должность директора по закупкам, на погодика.

– Маловато будет – полгодика-то, – говорю. Отвечает на полном серьёзе:

– Нет, хватит. Я всё рассчитал. 🙂

Почему убили ЛинкедИн

Почему убили ЛинкедИн

Давайте я объясню популярно, почему заблокировали ЛинкедИн. И тому есть пара причин.

Причина №1. Государства вступили в эпоху раздела рынка информации, так же, как лет сто-двести назад делили рынки нефти, какао и прочих природных ресурсов. Сегодня информация – это нефть современного общества. А персональная информация – ну, просто золото в самородках. До всех понемногу дошло, что это – инструмент управления людьми, их желаниями, их взглядами и их кошельком. Кто думает, что это чудит только Россия – почитайте документы Евросоюза, например, REGULATION (EU) 2016/679 от 27 апреля 2016 года. Если лень искать: http://bit.ly/2emtQij Там всё то же, что в России, только в профиль. Но пограмотнее будет, однако. Об этой самой регуляции и говорили пару дней назад на конференции LTEC2016. И я в том числе. Кто пропустил – я не виноват.

Причина №2. Ибо не фиг. Ну в самом деле, почему не Мордокнига? А вот почему. Много вас тут на ЛинкедИне, шибко грамотных, что-то собралось. Иностранные языки знаете. Общаетесь с иностранцами не по делу. Гадости всякие про президента и правительство пишете. Фэйсбук – он же четко сегментирован по языковому признаку. Пролетарии разных стран  общаются только в своём национальном кругу, обсуждая, кто что съел и сколько выпил. Языками, кроме матерного, не владеют. Что никому не мешает. Так что пусть пока живут.

Ну вот и всё. С содержательной точки зрения, требование хранения персональной информации граждан внутри отдельно взятой страны (или Евросоюза) не имеет физического смысла. Во-первых, гражданин сам даёт разрешение на хранение и сообщает свою персональную информацию оператору. Какие вопросы-то? Как говорила Раневская на партсобрании, где клеймили нетрадиционного:  -Что, уже и своей жопой человек не может распоряжаться?

И понятное дело, хранить-то данные можно где угодно. А кто запрещает их копировать с сервера, расположенного на территории суверенного государства, в юрисдикцию не менее суверенного, но другого государства? Да никто. Имей сервер в России, пусть он жужжит и мигает, а данные с него всё также утекают куда надо…

А вообще явление положительное. В такую помойку ЛиН превратился в последнее время! Об этом не говорил только ленивый. Пора что-то новенькое придумать. Думаю, этим новеньким станет “интернет в интернете” – содружество отдельных сайтов, которые анонсируют друг друга и связаны более-менее единой тематикой. Так рождался когда-то и сам интернет как неубиваемая локальными попаданиями снарядов сеть связи…

З.Ы. Кстати, кто еще находится в режиме “подслушивания и подглядывания” – чтобы остаться на связи, присылайте запрос на добавление в контакты. Будем писать друг другу письма.