Min virksomhet er franchising. Vurderinger. Suksesshistorier. Ideer. Arbeid og utdanning
Om nettstedet Kontakter
Meny
Kontakter
Nettstedsøk

hjem Tolk Blogg Lukatsky informasjonssikkerhet. Hvorfor kan du ikke blogge som Lukatsky? Hvordan forbedre kjøretøysikkerheten

Blogg Lukatsky informasjonssikkerhet. Hvorfor kan du ikke blogge som Lukatsky? Hvordan forbedre kjøretøysikkerheten

Jeg ble født i 1973 i Moskva, hvor jeg fortsatt bor, til tross for forsøk fra fremmede makter på å få meg inn i rekkene til deres borgere. I 1996 ble han uteksaminert fra Moscow Institute of Radio Engineering, Electronics and Automation (MIREA) med en grad i anvendt matematikk (spesialisering - Informasjonssikkerhet). To ganger prøvde han å få graden Candidate of Technical Sciences, men begge gangene, etter å ha dømt fremtidige vitenskapelige ledere for plagiat, stoppet han sin doktorgradskarriere. Vi dømmer ikke. Stat og avdelingspriser Jeg har ikke.

Jeg har jobbet med informasjonssikkerhet siden 1992. Jobbet som i ulike offentlige og kommersielle organisasjoner. Han har gått fra programmerer av krypteringsverktøy og administrator til analytiker og forretningsutviklingssjef innen informasjonssikkerhet. Han hadde en rekke sertifiseringer innen informasjonssikkerhet, men stoppet kampen om merker. For øyeblikket gir jeg alt til Cisco.

Publisert over 600 publikasjoner i ulike publikasjoner - CIO, Director of Information Service, National Banking Journal, PRIME-TASS, Information Security, Cnews, bankteknologier", "Analytisk bankjournal", "Business Online", "World of Communications. Connect", "Resultater", "Rational Enterprise Management", "Fusjoner og oppkjøp" etc. På midten av 2000-tallet sluttet han å regne publikasjonene sine som en håpløs øvelse. For øyeblikket blogger jeg på Internett "Business without danger".

I 2005 ble han tildelt Association of Documentary Telecommunications "For the Development of Infocommunications in Russia", og i 2006 - Infoforum-prisen i nominasjonen "Publication of the Year". I januar 2007 ble han inkludert i vurderingen av 100 personer i det russiske IT-markedet (som jeg ikke forsto). I 2010 vant han Lions and Gladiators-konkurransen. I 2011 ble han tildelt diplomet til den russiske føderasjonens innenriksminister. På Infosecurity-konferansen mottok han Security Awards tre ganger – i 2013, 2012 og 2011 (for utdanningsaktiviteter). For den samme aktiviteten, eller rettere sagt for blogging, mottok han i 2011 Runet Anti-Prize i «Sikker rulle»-nominasjonen. I 2012 ble han tildelt av Association of Russian Banks for sitt store bidrag til utviklingen av sikkerheten til det russiske banksystemet, og i 2013, på Magnitogorsk-forumet, mottok han prisen "For metodologisk støtte og prestasjoner innen banksikkerhet ." Også i 2013 og 2014 ble portalen DLP-Expert kåret til den beste foredragsholderen på informasjonssikkerhet. I løpet av sin tid i Cisco ble han også tildelt en rekke interne priser.

I 2001 ga han ut boken Attack Detection (den andre utgaven av denne boken ble utgitt i 2003), og i 2002, i samarbeid med I.D. Medvedovsky, P.V. Semyanov og D.G. Leonov - boken "Angrep fra Internett". I 2003 ga han ut boken "Protect Your Information With Intrusion Detection" (på engelske språk). I løpet av 2008-2009 publiserte han boken "Myths and Fallacies of Information Security" på bankir.ru-portalen.

Jeg er forfatter av mange kurs, inkludert "Introduksjon til inntrengningsdeteksjon", "Intrusion Detection Systems", "Hvordan koble sikkerhet til forretningsstrategi for en bedrift", "Hva er personopplysningslov å skjule", "ISIS og organisasjonsteori" , "Measuring Performance Information Security", "IS-arkitektur og strategi". Jeg holder foredrag om informasjonssikkerhet innen div utdanningsinstitusjoner og organisasjoner. Han var moderator for RU.SECURITY ekkokonferansen i FIDO-nettverket, men forlot denne virksomheten på grunn av de fleste spesialisters utvandring til Internett.

For første gang i russisk presse tok han opp temaet:

  • Bedriftsinformasjonssikkerhet
  • M&A sikkerhet
  • Måling av effektiviteten til informasjonssikkerhet
  • SOA-sikkerhet
  • Sikkerhet for faktureringssystemer
  • villedende systemer
  • IP-telefoni sikkerhet
  • Sikkerhet for datalagringssystemer (lagring)
  • Hotspot-sikkerhet
  • Call center sikkerhet
  • Anvendelser av situasjonssentre innen informasjonssikkerhet
  • mobil spam
  • Mobilnettverkssikkerhet
  • Og mange andre.
Jeg deltar i undersøkelsen av rettsakter innen informasjonssikkerhet og personopplysninger. Jeg er medlem av underutvalg nr. 1 "Informasjonsbeskyttelse på kreditt- og finansområdet" i teknisk komité nr. 122 "Standardisering finansielle tjenester» Federal Agency for Technical Regulation and Metroology. Jeg er medlem av underutvalg nr. 127 "Metoder og midler for å sikre IT-sikkerhet" i den tekniske komité 22 " Informasjonsteknologi» Federal Agency for Technical Regulation and Metrology (fungerer som ISO/IEC JTC 1/SC 27 i Russland). Jeg er medlem av den tekniske komiteen 362 "Informasjonssikkerhet" til Federal Agency for Technical Regulation and Metrology og FSTEC. jeg går inn arbeidsgruppe Føderasjonsråd om utvikling av endringer i føderal lov-152 og utvikling av Russlands nettsikkerhetsstrategi. Jeg er medlem av Sikkerhetsrådets arbeidsgruppe om utvikling av det statlige politiske rammeverket for dannelsen av en informasjonssikkerhetskultur. Han var medlem av sentralbankens arbeidsgruppe for utvikling av sikkerhetskrav for det nasjonale betalingssystemet (382-P). Som uavhengig ekspert var medlem av ARB Consulting Center for anvendelse av 152-FZ "On Personal Data". Han var medlem av organisasjonskomiteen for offentlige høringer om harmonisering av lovgivning innen beskyttelse av rettighetene til subjekter av personopplysninger.

Jeg er gift og har en sønn og en datter. Jeg prøver å vie fritiden min til familien min, selv om utmattende arbeid til beste for fedrelandet og arbeidsgiveren nesten ikke etterlater seg slik tid. Hobby ble til arbeid eller arbeid ble til en hobby - skriving og Informasjonssikkerhet. Jeg har drevet med reiseliv siden barndommen.

PS. Bilder for Internett-publikasjoner (last ned ovenfor eller

Vår gjest i dag er Alexey Lukatsky, en velkjent ekspert innen informasjonssikkerhet og forretningskonsulent for Cisco. Hovedtemaet for samtalen var et ekstremt interessant område - sikkerheten til moderne biler og annet Kjøretøy. Hvis du vil vite hvorfor droner hacker enda oftere enn biler og hvorfor produsenter av landbruksutstyr blokkerer uautoriserte reparasjoner på maskinene deres på fastvarenivå, les videre!

Om sikkerheten til moderne biler

Det er en farlig misforståelse blant folk flest at en bil er noe unikt, forskjellig fra en vanlig datamaskin. Det er det faktisk ikke.

I Israel har Cisco en egen divisjon som omhandler cybersikkerhet i biler. Det dukket opp etter oppkjøpet av en av de israelske startupene som jobbet på dette området.

En bil er ikke forskjellig fra et hjem eller bedriftsnettverk, som dokumentert av ulike studier som undersøker hva en inntrenger kan gjøre med en bil. Det viser seg at biler også har datamaskiner, bare de er små og lite iøynefallende. De kalles ECU (Electronic Control Unit) og det er dusinvis av dem i bilen. Hvert strømvindu, bremsesystem, dekktrykkmonitor, temperatursensor, dørlås, kjørecomputersystem og så videre er alle datamaskiner, som hver håndterer et annet stykke arbeid. Gjennom slike datamoduler kan du endre logikken til bilen. Alle disse modulene er kombinert til enkelt nettverk, lengden på kablene måles noen ganger i kilometer, antall grensesnitt - i tusenvis, og mengden kode er millioner av linjer for en vanlig datamaskin ombord og generelt for all elektronisk fylling (det er færre av dem i et romfartøy). I følge ulike estimater er opptil 40 % av en moderne bil elektronikk og programvare. Mengden programvare i premiumbiler er opptil en gigabyte.
Jeg tar ikke hensyn til produksjonen til den russiske bilindustrien, hvor det heldigvis (med hensyn til sikkerhet) ikke er noen seriøs datamaskinstuffing. Men hvis vi tar i betraktning nesten alle utenlandske bilprodusenter, så datamaskiniserer alle nå selv de mest budsjettmodeller av bilene sine.

Ja, biler har datamaskiner. Ja, de har sine egne datautvekslingsprotokoller, som ikke er noe hemmelig: du kan koble til dem, fange opp data og endre dem. Som eksempler fra praksis fra produsenter som Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge og Mercedes-Benz viser, har angripere lært ganske godt å analysere hva som skjer inne i bilen, de har lært å analysere samspillet mellom verden utenfor med bilen. Eksperter anslår at 98 % av alle testede programvareapplikasjoner i biler (og de gir opptil 90 % av alle innovasjoner) har alvorlige defekter, og noen applikasjoner har dusinvis av slike defekter.

Nå, innenfor rammen av ulike prosjekter i Europa og Amerika, lages såkalte smarte veier.(f.eks. EVITA, VANET, simTD-prosjekter). De lar bilen kommunisere med veibanen, trafikklys, parkeringsplasser, utsendelseskontrollsentre veitrafikk. Bilen vil kunne automatisk modus, uten menneskelig innblanding, administrere trafikk, trafikkork, parkeringsplasser, senke farten, motta informasjon om trafikkhendelser slik at den innebygde navigatoren uavhengig kan bygge om ruten og lede bilen langs mindre trafikkerte motorveier. All denne interaksjonen nå, dessverre, foregår i en nesten ubeskyttet modus. Både selve bilen og denne interaksjonen er nesten ikke beskyttet på noen måte. Dette skyldes den vanlige misoppfatningen at systemer av denne typen er svært vanskelige å studere og av liten interesse for noen.

Det er også forretningsrelaterte problemer. Næringslivet styres av den som kommer inn på markedet først. Følgelig, hvis produsenten var den første som lanserte en viss nyhet på markedet, tok han en stor andel i dette markedet. Derfor trekker sikkerhet, som krever mye tid å implementere og, viktigst av alt, å teste, alltid mange virksomheter tilbake. Ofte, på grunn av dette, utsetter selskaper (dette gjelder ikke bare biler, men tingenes internett som sådan) enten sikkerheten til senere, eller takler det ikke i det hele tatt, og løser en mer hverdagslig oppgave - å raskt gi ut et produkt til markedet.

Kjente hacks som har skjedd tidligere var relatert til forstyrrelse av bremsenes drift, avslåing av motoren på farten, avskjæring av data om plasseringen av bilen, fjerndeaktivering av dørlåser. Dette betyr at angripere har ganske interessante muligheter til å utføre visse handlinger. Heldigvis, mens slike handlinger i det virkelige liv er ikke produsert, snarere er det såkalt proof-of-concept, det vil si en viss demonstrasjon av mulighetene for å stjele en bil, stoppe den på farten, ta kontroll, og så videre.

Hva kan gjøres med bilen i dag? Hack transportstyringssystemet, som vil føre til trafikkulykker og trafikkork; avskjære PKES-signalet og stjele bilen; endre ruter via RDS; vilkårlig akselerere bilen; blokker bremsesystemet eller motoren mens du er på farten; endre POI-punkter i navigasjonssystemet; avskjære posisjonen eller blokkere overføring av posisjonsinformasjon; blokkere overføringen av et signal om tyveri; stjele innhold i underholdningssystemet; gjøre endringer i ECU og så videre. Alt dette kan gjøres både gjennom direkte fysisk tilgang, gjennom en tilkobling til diagnoseporten på bilen, og gjennom indirekte fysisk tilgang via en CD med modifisert firmware eller gjennom PassThru-mekanismen, samt gjennom trådløs tilgang på nært hold (f.eks. , Bluetooth) eller lange avstander (for eksempel via Internett eller en mobilapplikasjon).

På lang sikt, hvis leverandører ikke tenker over hva som skjer, kan dette føre til triste konsekvenser. Det er ganske enkle eksempler som ennå ikke indikerer at hackere aktivt har tatt opp biler, men allerede er anvendelige i det virkelige liv. For eksempel undertrykkelse av innebygde fartsskrivere som har GPS- eller GLONASS-sensorer. Jeg har ikke hørt om slike tilfeller med GLONASS i russisk praksis, men i Amerika var det presedenser med GPS, da angripere undertrykte signalet fra en pansret bil av samlere og stjal den til et ukjent sted for å demontere den og trekke ut alle verdisakene. Forskning på dette området ble utført i Europa, i Storbritannia. Slike tilfeller er første skritt til angrep på bilen. Fordi alt annet (stoppe motoren, skru av bremsene mens du er på farten) har jeg heldigvis aldri hørt om ekte praksis. Selv om selve muligheten for slike angrep tilsier at produsenter og, viktigst av alt, forbrukere, bør tenke på hva de gjør og hva de kjøper.

Det er verdt å si at selv kryptering ikke brukes overalt. Selv om kryptering i utgangspunktet kan leveres av designet, er den langt fra alltid aktivert, fordi den laster kanalen, introduserer visse forsinkelser og kan føre til en forringelse av enkelte forbrukeregenskaper knyttet til enheten.

I en rekke land er kryptering en veldig spesifikk type virksomhet som krever innhenting av tillatelse fra offentlige etater. Dette medfører også visse begrensninger. Eksport av utstyr som inneholder krypteringsfunksjonalitet er underlagt de såkalte Wassenaar Dual-Use Technology Export Agreements, som inkluderer kryptering. Produsenten er pålagt å innhente eksporttillatelse fra produksjonslandet og deretter få importtillatelse for landet produktet skal importeres til. Hvis situasjonen allerede har roet seg ned med programvaren, selv om det er vanskeligheter og begrensninger der, så er det fortsatt problemer med så nymotens ting som kryptering på tingenes internett. Saken er at ingen vet hvordan de skal regulere det.

Det er imidlertid fordeler med dette, fordi regulatorene fortsatt nesten ikke ser på å kryptere tingenes internett og spesielt biler. For eksempel, i Russland, kontrollerer FSB importen av programvare og telekommunikasjonsutstyr som inneholder krypteringsfunksjoner, men som praktisk talt ikke regulerer kryptering i droner, biler og annen datastopping, og lar det ligge utenfor reguleringsområdet. FSB ser ikke på dette som et stort problem: terrorister og ekstremister bruker det ikke. Derfor, mens slik kryptering forblir ute av kontroll, selv om den formelt faller inn under loven.

Dessuten er kryptering, dessverre, veldig ofte implementert på et grunnleggende nivå. Når dette faktisk er en vanlig XOR-operasjon, det vil si å erstatte noen tegn med andre i henhold til en viss enkel algoritme som er lett å plukke opp. I tillegg blir kryptering ofte implementert av ikke-eksperter innen kryptografi, som tar ferdige biblioteker lastet ned fra Internett. Som et resultat, i slike implementeringer, kan det bli funnet sårbarheter som lar deg omgå krypteringsalgoritmen og i det minste fange opp data, og noen ganger trenge inn i kanalen for å erstatte den.

Krav til bilsikkerhet

Vår israelske avdeling har en løsning som heter Autoguard. Dette er en liten brannmur for biler som styrer hva som skjer inne og samhandler med omverdenen. Faktisk analyserer den kommandoene som utveksles mellom elementene til datamaskinen ombord og sensorer, kontrollerer tilgangen fra utsiden, det vil si bestemmer hvem som kan og hvem som ikke kan koble til den interne elektronikken og fyllingen.

I januar 2018 i Las Vegas, på den største elektronikkutstillingen CES, kunngjorde Cisco og Hyundai Motor Company opprettelsen av en bil ny generasjon, som vil bruke arkitekturen til et programvaredefinert kjøretøy (Software Defined Vehicle) og være utstyrt med de nyeste nettverksteknologiene, inkludert cybersikkerhetsmekanismer. De første bilene skal rulle av samlebåndet i 2019.

I motsetning til forbrukerelektronikk og IT-løsninger for bedrifter, er bilsikkerhet et veldig spesifikt marked. Det er bare noen få titalls forbrukere i dette markedet over hele verden – målt i antall bilprodusenter. Akk, bileieren selv er ikke i stand til å øke cybersikkerheten til sin "jernhest". Som regel blir prosjekter av denne typen ikke akkurat annonsert, men de er ikke i det offentlige domene, fordi dette ikke er millioner av selskaper som trenger rutere, og ikke hundrevis av millioner brukere som trenger sikre smarttelefoner. Dette er bare tre-fire dusin bilprodusenter som ikke ønsker å gjøre oppmerksom på hvordan bilvernprosessen er bygget opp.

Mange produsenter tar lett på beskyttelse, andre ser bare på dette området, gjennomfører ulike tester, fordi det er sin egen spesifisitet knyttet til Livssyklus bil. I Russland er gjennomsnittlig levetid for en bil fem til seks år (i sentrale regioner og store byer er det tre til fire år, og i regionene er det syv til åtte år). Hvis en produsent nå tenker på å introdusere cybersikkerhet i bilserien sin, vil denne løsningen komme inn på massemarkedet om ti år, ikke tidligere. I Vesten er situasjonen litt annerledes. Der skiftes biler oftere, men selv i dette tilfellet er det for tidlig å si at bilene er tilstrekkelig utstyrt med beskyttelsessystemer. Derfor er det ingen som ønsker å trekke mye oppmerksomhet til dette temaet.

Angripere kan nå begynne å angripe biler eller provosere tilbake en tilbakekalling av biler på grunn av datasikkerhetsproblemer. Dette kan være svært kostbart for produsenter, fordi det alltid er sårbarheter. Selvfølgelig vil de bli funnet. Men å tilbakekalle tusenvis eller hundretusenvis av sårbare kjøretøy hver gang på grunn av en sårbarhet er for dyrt. Derfor er dette emnet ikke hørt, men store produsenter, selvfølgelig, jobber og tenker på utsiktene til dette markedet. I følge GSMA-estimater vil 100 % av bilene innen 2025 være koblet til Internett (de såkalte tilkoblede bilene). Jeg vet ikke i hvilken grad Russland er tatt med i denne statistikken, men verdens bilgiganter er regnet med.

Sikkerhet for andre transportformer

Det er sårbarheter i alle typer kjøretøy. Dette er lufttransport, sjøtransport, godstransport. Rørledninger vil ikke bli tatt i betraktning, selv om de også regnes som en transportmåte. Ethvert moderne kjøretøy inneholder en ganske kraftig datamaskinfylling, og den er ofte utviklet av vanlige IT-spesialister og programmerere som gjør klassiske feil når de lager koden sin.

Utviklingsmessig er holdningen til slike prosjekter litt annerledes enn det som gjøres av Microsoft, Oracle, SAP eller Cisco. Og testing gjøres ikke på samme nivå. Derfor er det kjent tilfeller av å finne sårbarheter og demonstrasjoner av muligheten for hacking av fly eller sjøtransport. Det er derfor ingen kjøretøy kan ekskluderes fra denne listen - deres cybersikkerhet er ikke på et veldig høyt nivå i dag.

Med droner er situasjonen akkurat den samme og enda enklere, fordi dette er et mer massemarked. Nesten alle har muligheten til å kjøpe en drone og ta den fra hverandre for forskning. Selv om en drone koster flere tusen dollar, kan du kjøpe den i en pose, analysere den og finne sårbarheter. Deretter kan du enten stjele slike enheter, eller lande dem på flukt, og avskjære kontrollkanalen. Det er også mulig å provosere dem til å falle og forårsake skade på eieren, eller å stjele pakkene som droner transporterer dersom de brukes til å frakte varer og forsendelser.

Gitt antallet droner, er det forståelig hvorfor angripere aktivt utforsker dette bestemte markedet: det er mer inntektsgivende. Situasjonen i dette området er enda mer aktiv enn med biler, fordi det er en direkte fordel for de "slemme gutta". Det er ikke tilstede når en bil brytes inn, ikke medregnet den mulige utpressingen til bilprodusenten. I tillegg kan utpressing gå i fengsel, og prosedyren for å få løsepenger er mye mer komplisert. Selvfølgelig kan du prøve å få penger fra bilprodusenten på lovlig vis, men det er svært få mennesker som tjener penger på å lete etter slike sårbarheter på lovlig vis og etter penger.

Når produsenter blokkerer oppdateringer

Nylig var det en interessant sak - en produsent av landbruksmaskiner. Jeg ser ikke noe overnaturlig og i strid med forretningspraksis fra produsentens synspunkt i denne situasjonen. Han ønsker å ta kontroll over og låse inn kundene sine. Siden garantistøtte er penger, ønsker produsenten å fortsette å tjene på det, og redusere risikoen for at kunder drar til andre utstyrsleverandører.

I henhold til dette prinsippet "lever" nesten alle selskaper som opererer i IT-relaterte områder, samt bedrifter – produsenter av biler, landbruksmaskiner, flyutstyr eller droner som implementerer IT hjemme. Det er klart at enhver uautorisert interferens kan føre til triste konsekvenser, så produsenter stenger muligheten for selvoppdatering av programvare, og jeg forstår dem perfekt her.

Når en forbruker ikke vil betale for garantistøtte for utstyr, begynner han å se på forskjellige warez-sider for fastvareoppdateringer. Dette kan på den ene siden føre til at han oppdaterer programvaren sin gratis, men på den annen side kan dette føre til skade. Spesielt var det et tilfelle i Cisco-praksis da selskaper som ikke ønsket å betale for støtte (i dette tilfellet selvfølgelig ikke for bil- eller landbruksutstyr, men for vanlig nettverksutstyr) lastet ned fastvare et sted på hackerfora. Det viste seg at denne fastvaren inneholdt "bokmerker". Som et resultat, for en rekke kunder, lekket informasjon som passerte gjennom nettverksutstyr ut til uidentifiserte personer. Det var flere selskaper i verden som møtte dette.

Hvis vi fortsetter analogien og ser for oss hva som kan gjøres med landbruksmaskiner, vil bildet vise seg å være trist. I teorien er det mulig å blokkere arbeidet til landbruksmaskiner og kreve løsepenger for å gjenopprette tilgang til maskiner som koster hundretusenvis av dollar eller til og med millioner. Heldigvis har det, så vidt jeg vet, ikke vært slike presedenser ennå, men jeg ser ikke bort fra at de kan dukke opp i fremtiden dersom denne praksisen fortsetter.

Hvordan forbedre kjøretøysikkerheten

Instruksjonen er veldig enkel: du må forstå at problemet eksisterer. Faktum er at for mange ledere er det ikke noe slikt problem, de anser det enten som langsøkt eller lite populært fra markedet og er følgelig ikke klare til å bruke penger på det.

For tre-fire år siden ble Connected Car Summit holdt i Moskva, hvor de snakket om ulike nymotens ting knyttet til automatisering og databehandling av biler. For eksempel om stedssporing (bildeling med Internett-tilkobling) og så videre. Jeg snakket der med en rapport om bilsikkerhet. Og når jeg snakket om ulike eksempler hva kan gjøres med en bil, mange selskaper, produsenter og bildelingsselskaper kom bort til meg etter talen og sa: «Å, vi tenkte ikke på det engang. Hva skal vi gjøre?"

Det er få bilprodusenter i Russland. Etter talen kom en representant for en av dem til meg og sa at selv om de ikke engang tenker på datasikkerhet, fordi databehandlingsnivået er veldig lavt, må de først forstå hva som kan legges til bilen når det gjelder datamaskin fyll. Da jeg spurte denne representanten om de i det hele tatt skulle tenke på sikkerhet, svarte han at det ble vurdert på veldig lang sikt. Dette er nøkkelpunktet: du må tenke på det faktum at datasikkerhet er en integrert del, det er ikke en ekstern "montert" funksjon, men en egenskap til en moderne bil. Dette er halvparten av suksessen med å sikre transportsikkerheten.

Sekund nødvendig skritt- ansette spesialister, interne eller eksterne. Vi trenger folk som lovlig kan bryte eksisterende løsninger og se etter sårbarheter i dem. Nå er det individuelle entusiaster eller firmaer som er engasjert i enten å prøve eller analysere sikkerheten til biler og datamaskinen deres. Det er ikke mange av dem, fordi dette er et ganske smalt marked hvor du ikke kan snu og tjene mye penger. I Russland kjenner jeg ingen som ville gjort dette. Men det finnes selskaper som driver med sikkerhetsanalyser og gjør ganske spesifikke ting – de tester ut automatiserte prosesskontrollsystemer og lignende. Kanskje de kunne prøve seg på biler.

Det tredje elementet er implementering av sikre utviklingsmekanismer. Dette har lenge vært kjent for utviklere av konvensjonell programvare, spesielt i Russland har de relevante GOST-ene for sikker programvareutvikling nylig blitt tatt i bruk. Dette er et sett med anbefalinger om hvordan man skriver kode riktig for å gjøre det vanskeligere å knekke, hvordan man unngår konstruksjoner som vil føre til bufferoverløp, dataavskjæring, dataforfalskning, tjenestenekt og så videre.

Fjerde trinn - implementering tekniske løsninger sikkerhet, det vil si bruk av spesielle brikker i biler, bygge en sikkerhetsarkitektur. Utviklerstaben bør inkludere arkitekter som arbeider spesifikt med sikkerhetsspørsmål. De kan også forholde seg til arkitekturen til bilen når det gjelder beskyttelse, arkitekturen til kontrollsystemet. Fordi det alltid er mulig å angripe ikke selve bilen – det er mye mer effektivt å hacke kontrollsystemet og få kontroll over alle bilene.

Som nylig skjedde med online kasseapparater, som plutselig sluttet å fungere på dagen for hundreårsdagen til FSB. Tross alt er et nettkasseapparat, grovt sett, den samme bilen: den har en datamaskinfylling, det er en fastvare. Fastvaren sluttet å fungere med en gang, og en fjerdedel av hele detaljmarkedet reiste seg i flere timer. Det er det samme med biler: dårlig skrevet kode, sårbarheter funnet i den, eller hacking av kontrollsystemet kan føre til ganske triste konsekvenser. Men hvis i tilfelle av online kasseapparater tapene ble målt i milliarder, så vil det i tilfelle av biler være ofre.

Selv med biler er det ikke nødvendig å vente på hacking eller ta kontroll over titalls millioner kjøretøy. Det er nok å knekke bare noen få av dem, og kaos vil allerede komme på veien. Og hvis faktumet med hacking blir offentlig, kan du være sikker på at media vil utbasunere det for hele verden, og bileiere vil bli forferdet over "prospektene" som har åpnet seg.

Generelt er det tre beskyttelsesnivåer for et moderne kjøretøy. Dette er den innebygde cybersikkerheten til selve bilen (startsperre, PKES, beskyttet intern kommunikasjon mellom ECU, anomali og angrepsdeteksjon, tilgangskontroll, pålitelige sikkerhetsmoduler); sikkerhet for kommunikasjon (beskyttelse av ekstern kommunikasjon med veiinfrastrukturens kontrollsenter, produsenten av bilen eller dens individuelle deler, beskyttelse av nedlastingsapplikasjoner, innhold, oppdateringer, beskyttelse av fartsskrivere); og sikkerheten til veiinfrastruktur.

Hva og hvor du skal studere som spesialist

IT-fagfolk som er eller ønsker å utvikle kode for biler, kjøretøy eller droner kan anbefales å starte med studiet av sikker utvikling (SDLC). Det vil si at du må studere hva trygg utvikling er generelt. Det må innrømmes at denne tilleggskunnskapen ikke gir ekstra penger. I dag blir ingen straffet for ikke å kunne det grunnleggende om sikker utvikling, det er ikke noe ansvar, så det forblir etter IT-spesialistens skjønn. I begynnelsen kan dette være konkurransefordel for en spesialist, fordi dette ikke læres noe sted, noe som lar deg skille deg ut fra bakgrunnen til andre. Men innen bilsikkerhet, tingenes internett, droner, er ikke dette det mest populære kravet for en ansatt. Dessverre må det innrømmes at IT-spesialister ikke har mye oppmerksomhet rundt dette temaet.

Sikker utvikling er selvlærende i sin reneste form. Fordi det praktisk talt ikke finnes slike kurs, lages alle på bestilling, og som regel er dette bedriftsopplæring. I den føderale regjeringen pedagogiske standarder dette temaet er heller ikke inkludert, så det eneste som gjenstår er selvstudier eller å gå på kurs hos bedrifter som driver med kodeanalyse. Det er slike selskaper - blant de russiske aktørene, for eksempel Solar Security eller Positive Technologies. Det er mange flere av dem i Vesten, for eksempel IBM, Coverity, Synopsys, Black Duck. De holder ulike seminarer om dette temaet (både betalt og gratis), hvor du kan lære litt kunnskap.

Den andre retningen for IT-spesialister er arkitekter. Det vil si at du kan bli en arkitekt for sikkerheten til slike prosjekter, for tingenes internett generelt, fordi de er, pluss eller minus, bygget i henhold til de samme lovene. Dette er et sentralt kontrollsystem fra skyen og en haug med sensorer: enten smalt fokusert, for eksempel en drone, eller sensorer integrert i en bil eller et større kjøretøy som må konfigureres, implementeres og utformes riktig. Det er nødvendig å ta hensyn til ulike trusler, det vil si at den såkalte trusselmodelleringen er nødvendig. Det er også nødvendig å ta hensyn til atferden til en potensiell inntrenger for å forstå dens potensielle evner og motivasjon, og på dette grunnlag utforme mekanismer for å avvise fremtidige trusler.

På Internett kan du finne mye nyttig materiale. Du kan også lese ulike presentasjoner fra konferanser som DEF CON og Black Hat. Du kan se på materialet til selskaper: mange publiserer ganske gode presentasjoner og whitepapers på sine nettsider, beskrivelser av typiske feil i koden, og så videre. Du kan prøve å finne presentasjoner fra spesialiserte bilsikkerhetsarrangementer (for eksempel Automotive Cybersecurity Summit, Vehicle Cyber ​​​​Security Summit, Connected Cars Summit, CyberSecureCar Europe).
I tillegg, nå den russiske regulatoren FSTEC i Russland ( føderal tjeneste på teknisk og eksportkontroll) har en rekke initiativer, spesielt foreslås det å legge ut på Internett typiske feil som programmerere gjør i koden, for å opprettholde en viss database med slike feil. Dette er ennå ikke implementert, men regulatoren jobber i denne retningen, selv om de ikke alltid har nok ressurser.

Etter at cyberarsenalet til CIA og NSA ble lekket til Internett, kan hvem som helst, til og med en "hjemmehacker", føle seg som en spesialagent. Tross alt eier han nesten det samme arsenalet. Dette tvinger arkitekter til å ta en helt annen tilnærming til hvordan de bygger systemene sine. I følge ulike studier, hvis du tenker på sikkerhet på stadiet for å lage en arkitektur, vil X ressurser bli brukt på implementeringen. Hvis du endrer arkitekturen allerede på scenen industriell drift, vil det kreve tretti ganger mer ressurser, tid, mennesker og penger.

En arkitekt er et veldig fasjonabelt og, viktigst av alt, et veldig lønnsomt yrke. Jeg kan ikke si at i Russland er det stor etterspørsel etter slike spesialister, men i Vesten er en sikkerhetsarkitekt en av de mest høyt betalte spesialiteter, den årlige inntekten til en slik spesialist er omtrent to hundre tusen dollar. I Russland er det ifølge Arbeidsdepartementet en mangel på rundt 50 000-60 000 sikkerhetsvakter hvert år. Blant dem er arkitekter, administratorer, ledere og trusselmodellere, et veldig bredt spekter av sikkerhetseksperter som regelmessig er mangelvare i Russland.

Arkitekter undervises imidlertid heller ikke på universiteter. I utgangspunktet er dette omskolering, det vil si passende kurs, eller selvstudium.

I Russland praktiseres hovedsakelig bedriftsopplæring. Fordi det ikke er et massemarked og treningssentre ikke inkludere det i sine programmer som kurs. Denne lages kun på bestilling. I teorien er det nødvendig i første omgang å inkludere dette i offentlig utdanning ved universitetene. Å legge grunnlaget for riktig utforming av ulike arkitekturer. Dessverre er føderale statlige utdanningsstandarder skrevet av mennesker som er veldig langt fra virkeligheten og praksisen. Ofte dette tidligere mennesker i uniform, som ikke alltid vet hvordan de skal designe systemer riktig, eller de er kjent med dette på en veldig spesifikk måte: deres kunnskap er knyttet til statshemmeligheter eller kampen mot utenlandsk teknisk etterretning, og dette er en litt annen opplevelse. En slik opplevelse kan ikke kalles dårlig, men den er annerledes og til liten nytte i det kommersielle segmentet og tingenes internett. Federal State Education Standards oppdateres veldig sakte, omtrent en gang hvert tredje til fjerde år, og det gjøres for det meste kosmetiske endringer i dem. Det er klart at i en slik situasjon er det ikke nok spesialister og vil ikke være nok.

Jobber i Cisco

Cisco har en utvikling i Russland. For tiden jobbes det med å lage en åpen stackplattform for tjenesteleverandører og datasentre. Vi har også en rekke avtaler med russiske selskaper som er engasjert i individuelle prosjekter for oss. En av dem er Perspective Monitoring, som skriver separate behandlere for nettverkstrafikk for å gjenkjenne ulike applikasjoner, som deretter er innebygd i nettverkssikkerhetsverktøyene våre. Generelt har vi, som de fleste globale IT-selskaper, flere utviklingssentre i verden, og regionale kontorer utføre funksjonene markedsføring, support, salg.

Vi har et praksisprogram for universitetsutdannede - et år i Europa, i akademiet vårt. Før det går de gjennom en stor konkurranse, og deretter sendes de et år til en av de europeiske hovedstedene. Når de kommer tilbake, blir de distribuert til våre kontorer i Russland og CIS-landene. Dette er ingeniører som designer systemer og støtter dem, samt personer som er involvert i salg.

Noen ganger har vi ledige stillinger når noen går for opprykk eller forlater selskapet. I utgangspunktet er dette enten ingeniørstillinger eller stillinger knyttet til salg. Gitt nivået til Cisco, i dette tilfellet rekrutterer vi ikke studenter, men folk som har jobbet i mer enn ett år i en eller annen stilling. Hvis dette er en ingeniør, må han ha en tilstrekkelig mengde Cisco-sertifisering. Det som trengs er ikke en grunnleggende CCNA, som regel kreves et minimum av CCNP, men mest sannsynlig må en spesialist bestå CCIE-sertifisering i det hele tatt - dette er det maksimale nivået for Cisco-sertifisering. Det er få slike mennesker i Russland, så vi har ofte et problem når vi skal finne ingeniører. Selv om generelt rotasjonen i selskapet ikke er særlig stor, måles den til 1-2 % per år. Til tross for den økonomiske situasjonen betaler amerikanske selskaper i Russland veldig bra, sosial pakke bra, så vanligvis forlater ikke folk oss.

O svaretilsynelatende opplagt. For å blogge som Lukatsky, må du være Lukatsky. Men la oss ta en dypere titt på metodene og motivasjonene for å drive din egen blogg.Blogging er et stoff. Selv om du allerede har skrevet en haug med innlegg, tweets og kommentarer i alle mulige sosiale medier i dag, vil du ha mer og mer. Jo mer informasjon du er interessert i dumper på deg, jo mer vil du konsumere blogger, sider, nettsteder. Jo flere kanaler du har for å distribuere informasjonen din, jo flere måter trenger du å kommunisere med omverdenen på.

Den virkelige verdien av en blogg for eieren er rimelig måte formidle informasjon til et bredt publikum. I tillegg lar en blogg deg øke din egen selvtillit, skjule svakhetene dine på innsiden, og tvert imot eksponere dine dyder til utsiden.

Ønske om å skape ditt eget merke

Den første grunnen til å blogge er å ha noe å si til publikum. Verden blir mettet med informasjon, etterspørselen etter nyttig og tidsriktig informasjon øker, noe som gir nye muligheter til folk som ser dette som en måte å frigjøre potensialet sitt på.

Den andre grunnen er ganske egoistisk - ønsket om å lage din egen merkevare, det vil si å gjøre det du elsker for å få personlig nytte av det (oops, tilfeldig formulert drømmen til enhver hacker).

La oss finne ut om du har forutsetninger for å skape din egen merkevare i sosiale nettverk.

Først av alt, når du velger et emne for blogging, må du fokusere på noe. Du har et valgproblem.

1. Merket til den rapporterte informasjonen (det antas at dette er en slags eksklusiv, a'la Arustamyan fra fotball med sine pseudo-nyheter).

2. Ekspertmerke - du må tjene det, og dette er en lang og tornefull sti. Kolleger på verkstedet bør gjenkjenne i din person en spesialist i evnen til å formidle informasjon av høy kvalitet i en tilgjengelig form.

3. Kunnskapsmerke – for å kunne kringkaste kunnskap til publikum må de først innhentes, og dette er arbeid som kanskje ikke lønner seg. Uansett må du øke potensialet ditt som representant for profesjonen.

4. Vel, og, som det vanligste alternativet, er du bare en talentfull person, du sprudler av et ønske om å bli berømt, og det spiller ingen rolle for deg hva du skal skrive / snakke om (de fleste nybegynnere bloggere tror det).

Du må lære å presentere stoffet på en slik måte at det er a) forståelig, b) relevant og deretter hva du liker: interessant, spennende, aforistisk, enkelt, med humor. Til slutt skrive tekster eller offentlig opptreden er ferdigheter som kan læres og kommer med erfaring.

De fleste mennesker (i sammenheng med denne artikkelen - bloggere) tolker enten andres ideer (nøyaktig det jeg gjør nå), eller samler pressemeldinger (begivenheter, ledige stillinger osv.), inkludert kringkasting av nyheter om sitt eget merke / produkt , publisere nødvendig innhold fra utstillinger, konferanser, presentasjoner m.m. Men selv i dette tilfellet er det ikke mange som kan pakke informasjon inn i materiale av høy kvalitet (vi vurderer ikke profesjonelle journalister). Og hvorfor? Nyhetspresentasjonen av materialer passer de fleste målgruppe. Med dagens knapphet på tid og en overflod av materialer til mer, har ikke leseren nok styrke eller tålmodighet.

Til tross for uttalelsen i tittelen, om ikke som Lukatsky, men du har alt du trenger for å bli en berømt blogger - en person som vet hvordan man skriver og er klar til å vie all sin fritid til denne aktiviteten.

Dette krever bare fem terminer.

Først trenger du flaks. (og dette er en av grunnene til at du ikke blir Lukatsky). Ikke alle er like heldige som Lukatsky. Han har kunnskap, erfaring og viktigst av alt - moderne teknologier sikkerhet. Det er viktig (og det viser) at han får støtte fra selskapet sitt. Det som en gang bare var en hobby for Lukatsky har blitt en ny tilnærming for selskapet å overføre nødvendig informasjon. På grunn av sin popularitet i sosiale medier, har Lukatskys blogg blitt en merkevare også innad i selskapet (jeg tviler på at dette var en gjennomtenkt strategi, i hvert fall i utgangspunktet). Dette har blitt en del av virksomheten som Lukatsky representerer ( Cisco ). Han elsker oppriktig arbeidet han gjør, og hans interesse overføres til publikum. Han er ikke bare opptatt av fagområdet aktivitet, men også av tilstanden til bransjen som helhet, og dette er fengslende.

Den andre er en cocktail av indre energi, personlig karisma og erfaring

Offentlig tale krever karisma, en lys personlighet. Lukatsky er invitert til ulike arrangementer fordi han er i stand til å forklare komplekse ting på en enkel måte (en ferdighet som må læres) og har en utmerket beherskelse av fagområdet.

For det fjerde - se skogen før trærne

Du må se / føle / kjenne problemene til bloggens målgruppe. Toppbloggere gir uvurderlig hjelp til å løse problemer for lesere av bloggene deres. Å ta materiale og pakke det inn i oversiktlige og interessante blogginnlegg er noe de gjør regelmessig og godt.

En blogg er ikke bare en metode for å formidle informasjon, men også en mulighet for karriereutvikling(det er ingen profet i hans eget land). Lukatsky er et eksempel på skapelsen ny stilling i selskapet - en tolk av fagområdet for å tiltrekke seg et nytt publikum.

Og til slutt, det femte – blogging krever jerndisiplin å regelmessig (jo oftere jo bedre) publisere materiale på bloggen din.

Vel, som et ekstra, valgfritt alternativ - det er ønskelig å regelmessig gjennomføre treningsseminarer for å markedsføre merkevaren din.

For å parafrasere et kjent ordtak: folk vil glemme det du skrev, folk vil glemme det du sa, folk vil ikke glemme det de forsto takket være deg. Nå kringkaster hvert jern at Lukatsky holder et seminar om persondata i morgen (kanskje er dette en form for PR, roboter har kringkastet lenge, vha. IVR -teknologier, eller er avsidesliggende landsbyer i Kamchatka virkelig fortsatt igjen i Russland, hvis innbyggere ikke deltok på Lukatskys seminarer om personopplysninger?). Men seriøst, artiklene hans, presentasjonene, lysbildene hans er replikert til alle publikummere og lever sine egne liv, og dette er normalt, det styrker merkevaren.
Så du vil ikke kunne blogge som Lukatsky. Og hvem gjorde det, når stoppet det?! Som Andrei Knyshev spøkte: "Den som klatret høyere klatret bare tidligere."

avtovsamare.ru - Min bedrift - Franchising. Vurderinger. Suksesshistorier. Ideer. Arbeid og utdanning

Massemedieregistreringsbevis EL nr. FS 77 - 57771 datert 18. april 2014.
Copyright © 2006-2017. Alt materiale er beskyttet av opphavsrett
Massemedier "BusinessGarant" er registrert av Federal Service for Supervision of Communications, Information Technologies and Mass Communications