Category: IT

Личная информационная безопасность. Урок №3.

Личная информационная безопасность. Урок №3.

Предыдущие – №1 (http://bit.ly/2sUBnsb) и №2 (http://bit.ly/2ryGilt). Напоминаю: пишу только о том, “чему не учат в школе” – то есть никто другой об этом не пишет. По разным материальным соображениям.

Вы, наверное, любите “умные вещи”? Зачем же тогда покупать обыкновенный телевизор? Лучше купить такой, который по команде, данной человеческим голосом, поворачивается “ко мне передом, к лесу задом”. То есть распознаёт команды управления, как избушка на курьих ножках. Такой вот был интернет вещей в эпоху бабы Яги и Кащея Бессмертного.

Вот и телевизоры Самсунг (для примера) – внимательно подслушивают всё помещение – с целью “выявления в потоке речи команд управления телевизиором”. Если выявят – то выполнят. А не выявят – не обессудьте. Но прослушивают всё подряд, и отправляют – для распознавания – х.з. куда по интернету. Вроде бы какому-то субчику Самсунга, который неизвестно откуда взялся и неизвестно куда потом денется. И ответственности за то, что ваши словесные упражнения стали известны кому надо, не понесёт. Ведь прослушивается-то всё подряд, и отправляется х.з. куда – тоже.

В принципе, ещё Д. Оруэлл описал такой телевизор Самсунг в своём бессмертном романе “1984”. Пока не запретили (не телевизор, а роман), крайне рекомендую почитать. Конечно, делайте поправки на то, что писано всё это было ещё в 1948 году, когда и телевизоров-то толком не было. Но тем приятнее.

Так вот, живите проще. Никогда не приносите домой всякой гадости, которая хочет жить с подключением к интернету. Что может быть лучше старых простых чайников, кофеварок, телевизоров, хлебопечек, пылесосов, которые можно было выключить легким движением руки?

Кстати, о пылесосах. Есть такой шибко умный пылесос Roomba (I-Robot), который, (естественно!) “для улучшения качества бла-бла-бла” собирает всю информацию вокруг себя – о площади и планировке квартиры, температуре, как часто вы занимаетесь уборкой и т.д. – и отправляет её в компанию-производитель пылесоса. Всё бы прошло незаметно, но тут Colin Angle (CEO этого пылесоса) проболтался, что поделится всей накопленной за два-три года информацией с теми, кто – то ли заплатит больше, то ли имеет более красивые глаза. Кто не верит – читайте вот тут (http://reut.rs/2tP4fSR). Ну, может, уставший он был, слегка. Короче, сморозил.

Ох, какой же был скандал! Просто как у Луи в песне Пугачёвой. Через неделю, правда, появилась статья (http://bit.ly/2eZsbQL), что его не правильно поняли, и тому подобное. Ну, как всегда в таких случаях. И информацию он не продаст, а подарит бесплатно, и не все данные, а только те, которые вы согласились отдать, бла-бла-бла.

А для тех, кто дочитал досюда, мораль: а ну их на фиг, эти умные вещи. Живите проще, пока можно. А то ведь скоро на аукционах будут продавать “бесценный металлический чайник 20 века, который может работать без подключения к интернет”. А на покупку такого чайника надо будет получать лицензию, как на огнестрельное оружие.

Всем хорошей трудовой недели!

Так у вас большие данные или маленький компьютер?

Так у вас большие данные или маленький компьютер?

 Товарищи учёные, доценты с кандидатами уже не первый год совещаются в поте лица, сочиняют определение термина “Big Data”, чтобы потом увековечить его в очередном эпохальном ФЗ. А тем временем я расскажу вам, что это такое.

Многие думают, что Big Data – это когда много данных. А что такое много? Гига-, тера-, пента-? Неспособность вашего компьютера обработать ваши данные (“многа буковок ниасилил”) не делает ваши данные Big Data. Скорее всего, у вас не большие данные, а маленький компьютер.

Главное отличительное свойство Big Data, о котором я сейчас скажу, приведет немало почтеннейшей публики в состояние разрыва шаблона. Оно, это свойство, заключается в том, что, работая с большими данными, вы никогда не получите точный ответ на свой запрос. Как же так? Мы привыкли, что если уж компьютер посчитал – это точно.

Существуют ряд причин, по которым получаемая вами из Big Data информация будет всегда приблизительной, с большей или меньшей степенью ошибки.

Если вы пишете запрос к обычной базе данных найти всех людей по фамилии Иванов, вы уверены, что полученный список будет включать всех существующих Ивановых. В случае с Big Data это не так.

В любой момент времени точное количество Ивановых неизвестно. Часть из них умерла, но информация об этом ещё не занесена в базу данных, а часть – родилась, но тоже ещё не зарегистрированы, потому что в Петропавловске-Камчатском – полночь. У некоторых Ивановых фамилия занесена в базу данных с ошибкой, например – Ивонов, Ивнов и т.д., и они не будут найдены. Часть базы данных, находящаяся в на Дальнем востоке, подверглась кибератаке и не ответила на запрос, поэтому все находящиеся в этом сегменте Ивановы тоже не были найдены. Так как с большими данными работают сотни приложений, сочинённых не совсем пряморукими кодерами, всегда часть из этих приложений глючит (как наш с вами любимый ЛинкедИн), и в любой конкретный момент времени  что-нибудь, да не работает.

То есть, работая с Big Data, вы всегда получаете не точный, а более-менее правильный ответ – с некоторой степенью ошибки. Как в известном анекдоте: «Сколько будет 2х2? – Ну, в основном четыре, редко – пять, а совсем редко – даже 8 бывает». Раньше это был анекдот. А теперь это – нормальный результат работы с Big Data.

Поэтому одна из самых важных проблем, которую приходится решать при работе с большими данными – как при неточных, содержащих ошибки, искажения и тому подобные прелести исходных данных, получить результат с необходимой (приемлемой) точностью. А если вы всё же нашли способ получать в любой момент времени совершенно точный результат при работе с данными – извиняюсь, у вас уже не Big Data, сколько бы тера и пентабайт данных там не было.

Собственно, для получения достаточно точных результатов при некачественных исходных данных существуют всего два метода. Но об этом в другой раз.

Личная информационная безопасность. Урок 2.

Личная информационная безопасность. Урок 2.

Напоминаю, что рассказываю здесь о таких правилах информационной безопасности, о которых не пишут и информация о которых не так легко доступна. Причина – широкое распространение знаний в массах сделает эти массы менее уязвимыми, а бизнес и управление ими – менее прибыльным. Так вот, сегодня поговорим о публичных WiFi.

У меня есть хорошее сравнение: «Пользоваться бесплатным интернетом – это всё равно, что облизывать тарелки в столовой. И не наешься, и заразу подхватить шансов в сто раз больше».

Придумал специально, чтобы мозги вправлять, воздействуя на эмоциональном уровне. Тем, кто падок на халяву. Основные точки опасности, которые предлагают вам бесплатный интернет: кафе (рестораны), публичный транспорт (московское метро, например), отели и курорты.

Возможны два варианта атаки: 1) от владельца сети (уж не думаете ли вы, что сыр вам бесплатно предлагают?). Кто-то за это платит. Кто бы это мог быть? Угадайте с трёх раз. 2) От некоего частного субъекта (хакера), подключившегося к этой сети с недостаточно чистыми помыслами.

И один из этих вариантов с вами случится в 100% случаев. Помню, отдыхая в Венгрии, в очень неплохом отеле, я как-то необдуманно подключился к местному WiFi. И потом оставшиеся две недели боролся с попытками перехватить все мои пароли и получить доступ ко всему, что только возможно. А рядовой, не отягощенный премудростями ИБ человек ничего бы и не заметил.

Да и скорость у этих публичных WiFi, надо сказать, очень напоминает объедки на тарелке. То пусто, то густо. А то – вообще никак.

Поэтому, друзья – никаких публичных WiFi. Неужели так сложно чуток потерпеть? Или, как я, возите с собой чистый от всяких значимых паролей смартфон. Ну, посерфить там всякие сайты, узнать новости. Если уж невтерпежь.

З.Ы. Наша ежегодная конференция по обеспечению безопасности бизнеса: http://bit.ly/2otLfpw

Ближайший вебинар по большим данным и технологиям интернета вещей во внутреннем контроле (28 июня): http://bit.ly/2rynPpu

Внутренний контроль в эпоху интернета вещей и больших данных

Внутренний контроль в эпоху интернета вещей и больших данных

Задумывались ли вы, что затраты на внутренний контроль составляют не менее 20% от общих затрат любого бизнеса, а кое-где и гораздо больше. В отличие от затрат на сырье, заработную плату и другие составляющие себестоимости, расходы на внутренний контроль “размазаны” по всем операциям бизнес-процессов. Это затраты на то, чтобы результаты процесса и его основные параметры не сильно отличались от ожидаемых владельцем бизнеса. Чтобы продукция и сырьё не разворовывалось и не пропадало от бесхозяйственности, чтобы налоги платились как положено, природоохранные мероприятия выполнялись и на строителя Васю не упала бетонная плита. И много чего ещё.

Вторая особенность, о которой мало кто думает: проверить и оценить эффективность затрат на внутренний контроль довольно сложно. Если ничего плохого не случается – значит, это потому, что внутренний контроль у нас замечательный. Выступаем на конференциях, хвалим себя за величие во внутреннем контроле. Если таки что-то случилось – типа украли 200 миллионов трейдеры – это же человеческий фактор, природа и погода подвели. И продолжаем выступать на конференциях и расхваливать свой внутренний контроль и заодно себя любимых.

И скажу я вам, джентльмены, что главное для выживания бизнеса среди конкурентов при прочих равных условиях заключается в двух вещах:

   1) научиться оценивать затраты на внутренний контроль

   2) научиться сокращать затраты на внутренний контроль

Этот простой закон я вывел, наблюдая в течение лет 20 за организацией внутреннего контроля в десятках компаний, российских и не очень.

Предоставленный самому себе, внутренний контроль внутри организации разрастается на манер раковой опухоли, придумывая новые формы отчётности, контрольные процедуры, вынося мозг менеджерам и простым сотрудникам в особо извращённой форме, без какого-либо полезного результата. И даже наоборот.

Собирался я поговорить об этой проблемке и путях её решения на тренинге по стандартизации и унификации внутреннего контроля в конце мая. Но пришлось его отменить. Записалось всего семь человек. Выходит, тема не актуальная для широких масс трудящихся.

С другой стороны, все записавшиеся работают исключительно в топовых компаниях российского бизнеса. В этих самых компаниях, если сложить вместе, работают больше полмиллиона сотрудников. В каждой – много больше чем 100 сотрудников внутреннего контроля и аудита. О чём это как бы намекает? Что тема всё-таки очень актуальная, но для крупного бизнеса. Как говорится, кто был в трубе, тот знает дымоходы.

И чем крупнее бизнес, тем проблема неэффективности внутреннего контроля становится актуальнее. Но принцип экономии бюджета прост: сходи на концерт Карузо, послушай, потом остальным напоёшь. А зачем платить больше? Презентации же раздают. Диктофончик включил и можно даже вздремнуть после вчерашнего.

На самом деле таким компаниям надо весь персонал контрольных подразделений пропускать через такие тренинги. А лучше вести непрерывное обучение, один день в неделю – по видеосвязи, с выполнением домашней работы, сдачей зачётов и так далее.

Но это была мотивирующая присказка. А сейчас приступим к самой сказке про внутренний контроль.

Начнем с общего представления о внутреннем контроле. Только сначала забудем его определение, которое даёт COSO, как обобщенное до неприличия и потому практически бесполезное. И замахнемся на Вильяма, понимаете ли, нашего, Шекспира.

Давайте определим внутренний контроль как процесс мониторинга операций, который состоит из:

1) установления критериев отклонений процесса от желаемых параметров, отслеживания реальных значений параметров,

2) выявления отклонений процесса от заданных параметров,

3) выдачи сигнала тревоги.

-А где корректирующие мероприятия? – вскрит здесь многоопытный внутренний аудитор. А нету их тут. Всё, что происходит дальше – что делать по сигналу тревоги – принимать (или не принимать) корректирующие меры, и какие меры принимать – является уже процессом управления (его же называют “менеджмент”). И нечего туда лезть внутреннему контролю.

Эта граница между внутренним контролем и менеджментом должна быть проведена достаточно чётко. Мониторинг – функция внутреннего контроля; принятие всяких решений по управлению процессами и операциями – функция менеджмента. Конечно, граница эта условная, но принципиально важная. Например, контрольная процедура в турникете на проходной считывает пропуск, сравнивает его с заданным значением, и, если отклонения не обнаружены, выдаёт сигнал на электрический замок, который открывает калитку.

Здесь предпринимаемое действие – открывание электрического замка, строго говоря, уже не относится к контрольной процедуре. А вот если пропуск недействительный? Предположим, в этом случае звучит зелёный свисток и вахтер реагирует соответственно – выходит из сонамбулического состояния и начинает подавать признаки жизни. Что конкретно он будет делать, нашу контрольную процедуру это уже не волнует.

Кстати, в предлагаемой здесь формулировке внутренний контроль как составная часть входит во многие известные методики менеджмента – контроллинг, кайдзен, тот же НОТ. Что не удивительно.

Теперь дальше. Итак, у нас есть набор функций, который должна иметь каждая контрольная процедура:

– 1) установление контролируемых параметров операции, заданных значений и пограничных значений отклонений от них.

2) постоянный, периодический или выброчный мониторинг заданных параметров в «живом» процессе или отдельной операции.

3) выработка сигнала тревоги при превышении отклонений заданных пределов и подача этого сигнала куда надо.

На этом – всё. То есть, всё остальное (реакция на отклонение) тоже может быть, но функционально это относится не к внутреннему контролю, а к менеджменту.

А теперь давайте посмотрим на пирамиду внутреннего контроля с несколько необычной точки зрения.

На самом нижнем уровне (Уровень 1) находятся технологические контрольные процедуры, больше известные под именем систем АСУТП или, по-ихнему, SCADA. Многочисленные датчики собирают информацию о состоянии и режимах работы различного оборудования и система АСУТП сама принимает решения о том, что надо подрегулировать, отключить-выключить – словом, чтобы контролируемые параметры остались в допустимых, заданных пределах. Участие человека здесь происходит в виде наблюдения за работой системы оператором и задания вручную определённых режимов работы в тех ситуациях, которые не заложены в алгоритмы программного обеспечения. http://bit.ly/2oXX0br

Отметим особенности технологического уровня внутреннего контроля:

– доля автоматизированных контрольных процедур намного превышает количество выполняемых вручную, алгоритмы выявления отклонений и реакции на них хорошо известны,

– перестройка перечня контролируемых параметров и уровня предельных отклонений выполняется крайне редко.

То есть встроенность в систему человека как анализирующего и принимающего решения элемента контрольной процедуры на этом уровне контроля минимальна.

Переходим на следующий уровень. Уровень 2. Здесь организационные контроли, назначение которых – участвовать в координации действий людей, работающих в бизнес-процессах. Люди плохо понимают электрические сигналы (кроме сигналов электрошокера), поэтому для них пишутся регламенты, инструкции, приказы. По сути, каждый такой приказ или регламент (если он толко не тривиальное указание типа «пойди и сделай!») содержит в своем составе контрольную процедуру. Например:

«Договор согласует юридический и финансовый отдел” (это косвенно определяет перечень контролируемых параметров);

«Допустимым значением является наличие всех согласований у договора» (это перечень допустимых значений контролируемых параметров) ;

«Проверить, есть ли у договора все необходимые согласования» (это компонента мониторинга);

«Если хотя бы одно согласование отсутствует, включить в голове сигнал тревоги (красный свет) и перейти к исполнению неких заданных действий» (это выработка сигнала о недопустимом отклонении параметра)

Этот уровень внутреннего контроля хорошо известен внутренним аудиторам, контролёрам и ревизорам. Особенностями его являются:

– несмотря на некоторый уровень автоматизации контрольных процедур (который постоянно растёт и будет нашей главной темой обсуждения), подавляющее большинство контрольных процедур исполняется всё же людьми, которые играют роль датчиков и логики обработки их сигналов.

– перестройка алгоритмов контроля (перечня контролируеых параметров и их предельных значений) достаточно проста – надо только написать новый регламент или отдать приказ.

– Система очень ненадежна, потому что люди – как компоненты контроля имеют своё собственное мнение относительно исполнения контроля, лень, халатность, желание украсть и так далее. То есть они могут намеренно не выполнить контрольную процедуру или имитировать её выполнение, что и происходит отнюдь не как исключение, а скорее как правило.

– В системе появляется новая составляющая – корпоративная культура. Это то, что находится в головах людей – их ценности, убеждения и привычки по отношению к выполнению своей работы и в том числе, контрольных процедур. И некоторые специалисты полагают, что не столько регламенты, а именно корпоративная культура в основном определяет надёжность системы внутреннего контроля в целом. Я с ними согласен.

Уровень 3. Переходим на следующий уровень корпоративных процессов. Здесь у нас обитает менеджмент, высший и к нему приближённый, совет директоров и акционеры. Здесь уже нет писаных в виде регламентов правил, да и неписанных немного. Перечень контролируемых параметров и предельные значения отклонений формируются в решениях СД, и чаще всего в расплывчатых формулировках (http://bit.ly/2atymtE).

Вот они, все три уровня внутреннего контроля современного бизнеса. Назову их: «технологический», «организационный», и «божественный» :). На нижнем, технологическом уровне, у подножия Олимпа, обитают специалисты по автоматизации производственных процессов, такие, как айтишник Петя в своей каморке под лестницей (http://bit.ly/1XuAKBW). На среднем шуршат регламентами внутренние аудиторы аудиторы, рассуждая о модели COSOв неэвклидовом пространстве и тепловой смерти карты рисков. На верхнем ярусе Олимпа атмосфера очень разряженная и внутренний контроль выживает среди богов только на уровне бактерий и формальных деклараций.

Экосистема бизнеса сложилась исторически, аудиторы не суют нос в технологические контроли (потому что ничего в них не понимают), ни в высокие сферы совета директоров (голову откусят и не заметят).

Но тут начались тектонические (то есть технологические) сдвиги в окружающем мире (ссылка на статью о смерти внутреннего контроля), и Олимп зашатался. Милых олимийцев в ближайшие времена ждут небывалые изменения. Тех из них, которые выживут. Потому что внутренний контроль меняется по своей сути. Что происходит:

– технологии всяких датчиков, микроконтроллеров и систем беспроводной связи перешагнули рубеж, и перестали быть элитным и дорогим упражнением. Стоимость компьютерных «железок» упала настолько, что сегодня написать регламент некоторых контрольных процедур «для людей» стоит дороже, чем реализовать его «в железе и программе» в виде маленькой коробочки размером с пачку сигарет. А ведь людей ещё надо научить исполнять его, мотивировать на исполнение, контролировать, чтобы не украл. Да и затраты времени на исполнение регламента приходится оплачивать. Поэтому умер усатый охранник на проходной ( http://bit.ly/2lNaODF http://bit.ly/2m3v9po), и эта смерть была не последней. А скорее наоборот.

– системы контроля, благодаря беспроводной связи, становятся распределёнными. И, следовательно, неубиваемыми. Вместо архаической системы, в которой сотни датчиков по проводам слали сигналы в единый центральный компьютер, который анализировал, всё ли в порядке в датском королевстве, системы стали распределёнными (http://bit.ly/2eOobhu). Тысячи микроконтроллеров и микропроцессоров работают каждый со своими датчиками и принимают решения о наличии отклонений. Да ещё одновременно передают собранную информацию куда надо, например – в аналитический центр. Пора осваивать технологии интернета вещей (IoT), товарищи аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/2fmzyQz

– конечно, если у вас тысячи точек сбора информации, то какие-то из них могут и сломаться вообще или начать врать, или будут отключены умышленно шибко грамотными сотрудниками. То есть возникают типичные Большие Данные (Big Data), как я их определяю (http://bit.ly/2izu0Ek). Которые могут содержать некоторый уровень шума по определению. Раньше черное было чёрным, а белое – белым. Теперь чёрное может быть чёрным на 83% и одновременно белым на 38%. Что не укладывается в логику ни внутренних аудиторов, ни старой теории внутреннего контроля. Что начинает беспокоить тех, кто занимается внутренним контролем по старинке и в то же время ощущает что-то неладное вокруг. Пора осваивать технологии Big Data, товарищи аудиторы и контролёры! Настойчиво овладевайте!

– получая неточную, неполную, противоречивую информацию информацию, да ещё в больших количествах, приходится использовать её для построения контрольных процедур. И самое интересное здесь – вопрос: как принимать решения о том, что отклонения процесса вышли за пределы нормы. Простым сравнением с эталоном здесь не обойдешься, ведь параметров процесса, которые мониторятся – десятки. Решение: применять методики интеллидженс, которые позволяют на основе косвенных признаков выбирать наиболее вероятную гипотезу. Алгоритмы интеллидженс, кстати, легко реализуются вычислительными мощностями современных микроконтроллеров или их гибридами с микрокомпьютерами. Если надо. Пора осваивать методики интеллидженс, товарищи внутренние аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/1PdcED3

И как-то так само собой, в процессе ежедневных практических упражнений, у меня сформировалась новая теория внутреннего контроля, которая, как любая истина, сейчас воспринимается как ересь, но лет через пять (или меньше) станет истиной, а потом умрет, как предрассудок. В этой новой теории нет, например, места традиционному разделению прав и полномочий между тремя тетками в бухгалтерии, на складе и отделе закупок. И поэтому часть этих теток неизбежно умрет (как штатные единицы). Да-да, машины опять съедят людей.

Те бизнесы, которые не позволят съесть тёток из гуманитарных побуждений, будут сами съедены конкурентами, у которых себестоимость продукции и уровень непроизводительных затрат и затрат на внутренний контроль станет намного ниже.

А ещё, на основе новой теории внутреннего контроля можно будет сделать самое главное – стандартизировать и унифицировать контрольные процедуры. Стандартизация и унификация КП – ключ к повышению эффективности контроля в целом. Даже неавтоматизированные контроли нужно унифицировать, так же, как сегодня стандартизирован и унифицирован бухучёт. Разрабатывать КП и аудиторвать их после этого будет настолько же проще, как и делать кап ремонт в доме, который построен из деталей стандартных типоразмеров.

Вот об этом всём и хотел рассказать кратенько, дня на два, на том самом тренинге, который не состоялся.

А ещё придумал одну забавную фишку с практическими упражнениями по анализу больших данных и интеллидженс, и вкладыванию этой логики в контрольную процедуру. Для практического примера всегда нужен набор данных из некоторой прикладной области, на котором будем тренироваться. Эти данные должны обладать всеми свойствами больших данных (искажения, неточности, неполнота). Вот с выбором прикладной области всегда бывали проблемы. Работникам банков неинтересно слушать про производство кирпича, в розничной торговле ничего не понимают про калорийность угля, и все вместе они ничего не понимают в производстве и дистрибуции лекарств. Нужно было найти всем понятную и интересную прикладную область. И нашел.

Будем тренироваться на данных в интересном для большинства процессе – снижении веса. Собственного тела. Посмотрим поток реальных данных о калориях, гликемической нагрузке, активности, потреблении углеводов, содержании сахара в крови и так далее (чем не Big Data?), применим к этим наборам данных методики интеллидженс и статистического анализа и построим вместе полезную в обычной жизни контрольную процедуру, которая поможет при желании снижать вес в среднем на 300 грамм в день без голоданий, изнурительной физической нагрузки и волшебных таблеток.

И ещё один интересный факт. Решил узнать, кто ещё в мире занимается той же самой темой. Для этого проще всего посмотреть, кто набирает специалистов подобного профиля. Набрал на LinkedIn Job Search ключевые слова “IoT Internal control Intelligence”. И таки нашлась одна вакансия – в американской компании, которая работает на министерство обороны США ( https://www.linkedin.com/jobs/view/298874415/ ). Подробности узнать не получится – претенденты должны иметь уровень допуска Top Secrets. Интересно, чего они там замышляют? Хотя примерно догадываюсь.

З.Ы. А до 31 мая еще можно зарегистрироваться и оплатить участие в нашей ежегодной конференции (12 по счёту) о противодействии хищениям в бизнесе – по льготной цене. Там мы обо всём этом и поговорим подробнее. Пишите на info@acfe-rus.org

Как узнать о контрагенте больше, чем он знает о себе сам.

Как узнать о контрагенте больше, чем он знает о себе сам.

До чего дошёл прогресс, однако. Вообще-то я в интернетах если что и ищу, то только не мази и кремы, сами понимаете. И посему контекстную рекламу в браузере получаю совсем не про них. А тут шел по улице, никого не трогал. Вдруг “звонок друга” – “Аптеку поблизости видишь? Зайди, купи крем”. Далее внимательно следим за руками.

Захожу в аптеку, покупаю крем, расплачиваюсь наликом, ухожу. Вечером открываю трубу посмотреть для души фильмик на халяву, и на тебе: повалилась контекстная реклама про средства лечения прыщей, от которых покупал сей кремчик. Чего в жизни никогда не было. Узнал много интересного про них, прыщей, аж жутко стало. Задумался, однако.

Откуда же эти гады узнали, что я этот кремчик покупал, и стали грузить прыщавой рекламой по самые гланды? Получается, по всей раскладке, так: зашёл в аптеку, смартфон в кармане. Опсос или Гугл сразу продал рекламщикам моё местонахождение. Дальше касса аптеки выбивает чек, и информация о том, что куплено, тут же сливается рекламщикам. Вроде бы всё анонимно, чинно-благородно, (как бы даже) закон о персональных данных не нарушается.

Дальше, сопоставляя дважды два (где я и что куплено), рекламщики принимают решение, что это я купил кремчик от прыщей, и для меня на сей день нету более актуальной проблемы. И начинают продавать, продавать и продавать мне во все дыры изо всех щелей.

Страшно подумать, что бы было, если бы я, как еврей в анекдоте, вышел с кладбища. Какой бы я рекламы тогда насмотрелся? Порубили все дубы на гробы…

Это называется интеллидженс – когда по косвенным признакам делают выводы о свойствах объекта (то есть меня), как покупателя. Пример хорош ещё и тем, как показывает, что интеллидженс не даёт гарантированно правильного решения – всегда есть вероятность ошибки. Но небольшая. Ну, со мной не повезло, а с сотнями других – в точку. Так что в целом всё окупается, да ещё как.

Скоро наступит полная благодать: как только пукнешь, тут же получишь от своего смартфона кучу советов по поводу лечения метеоризма и список адресов ближайших туалетов.

А теперь – самое главное: Без-воз-мезд-но, то есть даром!  Прямо как здесь: https://www.youtube.com/watch?v=gO1PIg6i0FU

Жизнь такова, что иногда, правда редко-редко, бесплатный сыр бывает не только в мышеловке. Просто места знать надо. Вот пара мест, для тех, кто хочет послушать про практическое применение интеллидженс для защиты бизнеса:

Учебный центр «Интерфакса» при информационной поддержке российского отделения ACFE, приглашает всех неравнодушных к безопасности бизнеса: руководителей компаний и бизнес-подразделений, а также руководителей и специалистов служб безопасности принять участие в конференции

 “Безопасность бизнеса. Современные информационные системы оценки рисков”.

Где и когда:

·       Краснодар – 29 марта – Регистрация по ссылке http://event.interfax.ru/meetings/159?utm_source=29.03.17&utm_medium=acfe

·        Казань – 5 апреля – Регистрация по ссылке http://event.interfax.ru/meetings/154?utm_source=05.04.17&utm_medium=acfe

В интереснейшей программе:

  • Современные тенденции и новеллы в области управления рисками
  • Риски, связанные с «качеством» контрагентов
  • Выявление фирм-однодневок
  • Индекс должной осмотрительности: методология расчета, интерпретация результатов
  • Выработка критериев благонадежности, типичные портреты рискованных контрагентов
  • Смена статуса и ключевые источники деловой информации
  • Оперативный мониторинг контрагентов
  • Анализ корпоративных связей
  • Платежная дисциплина – как заранее узнать о надвигающихся проблемах
  • Матрица рисков по всему портфелю контрагентов

Спикеры:

Сергей Яковлев – к.э.н., заместитель генерального директора, Международная информационная группа “Интерфакс”

Андрей Захаров – к.э.н., руководитель учебных проектов, директор по развитию проекта СПАРК, Международная информационная группа “Интерфакс”

Количество мест, ясно дело, ограничено!

Задать вопросы можно по тел.:

·        Москва: +7 (495) 357-39-77

·        Интерфакс-Юг: +7 (861) 274-88-15

·        Интерфакс-Поволжье: +7 (831) 439-73-48

Почему успешны 80% кибератак.

Почему успешны 80% кибератак.

Первое фото я сделал на объекте инфраструктуры повышенной опасности. Там двери во все служебные помещения должны быть оснащены замками повышенной секретности. Вы видите, что требование выполнено. Современный замок установлен, он удовлетворяет всем требованиям регламента. Это шикарный замок стоимостью более тысячи евро. Я мечтал бы иметь такой в своём доме. Нет, в своём банке. Но вот проблема – стена и дверь, на которой установлен замок – это рамка из дощечек, обтянутая тканью.

Это самая наглядная картинка состояния системы защиты от киберугроз в вашей компании.

Я проводил аудит одной достаточно крупной компании в прошлом году. Она находится в списке Форбс. Её ИТ директор купил целый зоопарк всяких решений по ИБ. Он энтузиаст ИБ. Он покупает все новое, а чтобы получить на это деньги, пугает акционеров всякими новыми пугалками и инцидентами. И напуганные акционеры дают очередную сотню тысяч тугриков на приобретение новой защиты от новой страшилки.

Но вот что интересно. Я поговорил с ним, и после этого отправился к бухгалтерам. В отдел, который обрабатывает всякие платежи. И они мне сказали, что у них проблемы. Система не позволяет взаимодействовать с контрагентами, делать то или это. И они нашли решение. Они подкупили (применили методы социальной инженерии) сотрудника ИТ отдела, и он им рассказал, как обойти все ограничения DLP. Они использовали для этого самую красивую девочку в отделе, и пообещали ей много проблем, если она не найдёт решение общей для подразделения задачи. Она нашла решение. И не только производственных, но и своих личных. Вот что значит правильная мотивация!

Почему это произошло? Потому, что никто не настроил систему на пользователей и их потребности. Никто не научил пользователей этим всем пользоваться. ИТ директор считает, что это не его проблема. Он разослал по почте инструкции, которые написаны на языке инопланетян. Так мне сказал главный бухгалтер. И, как оказалось в итоге, это ничья проблема.

А ничья проблема, то есть проблема, которую не хочет решать никто, быстро становится общей проблемой, то есть проблемой каждого.

А вот ещё одно фото. Тоже из реальной жизни. Вы видите сумку с ярлыком “Не выносить из самолёта”. Одна деталь – фото сделано в супермаркете.

В любой компьютерной системе есть самое слабое звено – это человек. Техника совершенствуется, но системы управления человека остаются теми же самыми, что и 3000 лет назад. Те же самые инстинкты, эмоции. И мотивация поведения.

ИТ-производители всего мира тратят огромные деньги на продвижение и рекламу своих новых средств защиты от кибератак. И у нас складывается впечатление, что в постоянном обновлении инфраструктуры есть ключ к решению проблемы киберпреступности.

В итоге: – ваше мировосприятие искажено рекламой. Тренинги для персонала по социальной инженерии стоят в 100 раз дешевле, чем очередная DLP система. Поэтому их никто не рекламирует, – на них ничего не заработаешь.  Хотя они бы решили 80% проблем с информационной безопасностью вашей компании.

Но это так, присказки. А самое интересное я расскажу 7-8 ноября на конференции ELECTRONIC EVIDENCE DIGITAL FORENSICS CYBER SECURITY. Судя по программе, будет масса интересных людей и мнений! www.lawtecheuropecongress.com

О текущем моменте

О текущем моменте

Так любили называть свои статьи большевики. Он действительно момент, и текущий. Даже слишком текущий, как справа на этой картинке.

Интернет вещей (The Internet of Things) появился несколько лет назад как некий термин, описывающий всякие утилитарные вещи, подключенные к интернет и самостоятельно обменивающиеся информацией. Но никого это особенно не беспокоило, кроме профессиональных параноиков типа меня.

А тем временем, в подвале, большевики печатали газету Искра все эти микроконтроллеры, сенсоры и сервоприводы становились всё миниатюрнее и миниатюрнее, и когда по цене сравнялись с ценой глотка питьевой воды, тираж их выпуска составил десятки миллиардов штук в год. И – вот беда – каждая из этих маленьких штучек куда-то встроена и что-то делает.

Времена, когда самый младший член семьи работал пультом дистанционного управления, прошли. Изобрели инфракрасный пульт, и жизнь начала налаживаться. Нажал кнопочку – включил кондиционер, нажал другую – запер автомашину или выключил свет в доме.

На следующей стадии эволюции окружающих нас вещей появилась возможность программировать их поведение – например, задать время включения кофеварки или последовательность режимов микроволновки.

Следующее поколение вещей стало управляться через интернет, а значит – хоть из другой страны. Здесь уже шизофреники и параноики забеспокоились. А что, если кто-то, кое-где и у нас порой? Возьмёт и выключит отопление в вашем доме в 30-градусный мороз. Как оказалось, это не так уж и сложно, с учётом того, что интернет вещей разрабатывался по упрощенной схеме – никаких стандартов защиты, обязательных к соблюдению, не было. Каждый разработчик чудил в меру своей испорченности. Наступил легкий хаос и замешательство. Но не везде. Только среди специалистов по ИБ. И было это года три назад.

И вот подрастает следующее поколение вещей. В обстановке правового вакуума и беспредела со стороны разработчиков. И что же умеет это поколение?

Вот теперь – о “текущем моменте”, о котором твердили большевики:)

Кроме перечисленного выше (управляться через интернет дистанционно и выполнять разные сложные команды) оно, как оказывается, имеет кучу нужных и не очень нужных датчиков, с которых собирает информацию о том и сём вокруг себя, и отправляет её куда-то там (а может быть, и куда надо тоже). Тут давеча прославилась фирма Самсунг со своим смарт-ТВ. Телевизор слушает всё, что говорится в комнате, и отправляет эти данные третьей стороне для “выделения из потока речи команд управления телевизором”. Только для этого, и ни для чего другого, нужно посылать всё, что вы говорите, куда-то там (кому – не раскрывается). Не могу представить себе идиота, который в это поверит.

Ну и что может, скажем, система контроля расхода воды в вашем доме? А она может анализировать расход воды по литрам и часам и выяснять ваши привычки: когда вы встаёте, когда ложитесь спать, когда ужинаете, моетесь вы или нет по утрам, как часто ходите в туалет ночью и просто – когда вы обычно дома, а когда вас нет. И всю эту информацию получает некто (якобы для того, чтобы улучшить и углубить сервис). Сколько стоит эта информация для страховой компании (чтобы оценить ваше здоровье), для потенциального работодателя, для грабителя, который хочет посетить ваш дом непременно пока вас там нет?

И вот тут мы упираемся в полный правовой вакуум. Ни одно законодательство мира не запрещает вашим вещам собирать о вас самую интимную информацию и делать с ней что угодно. Достаточно где-то в сто первом пункте меню на десятом уровне вложенности спрятать опцию отключения сбора информации (до которой никто никогда не докопается), и в инструкции по эксплуатации на 599-ой странице предупредить пользователя о том, что информация собирается по умолчанию. До этой страницы инструкцию не дочитывают даже параноики.

Об этом, и даже больше я буду рассказывать 7-8 ноября на конференции ELECTRONIC EVIDENCE DIGITAL FORENSICS CYBER SECURITY. Судя по программе, будет масса интересных людей и мнений! http://www.lawtecheuropecongress.com

Встречаемся: 6th of November, 4 p.m. Primus, Place Jourdan. Отвечу на все вопросы и помогу решить некоторые проблемы:) – пишите мне заранее.