Алексей лукацкий биография. Алексей Лукацкий. Интервью с бизнес-консультантом компании Cisco. Что и где изучать специалисту
В области информационной безопасности работаю с 1992 года. Работал специалистом по защите информации в различных государственных и коммерческих организациях. Прошел путь, начиная от программиста средств шифрования и администратора и заканчивая аналитиком и менеджером по развитию бизнеса в области информационной безопасности. Имел ряд сертификаций в области информационной безопасности, но прекратил гонку за бляхами. В настоящий момент отдаю всего себя компании Cisco.
Опубликовал свыше 600 печатных работ в различных изданиях – «CIO», «Директор информационной службы», «Национальный банковский журнал», «ПРАЙМ-ТАСС», «Information Security», «Cnews», «Банковские технологии», «Аналитический банковский журнал», «Business Online», «Мир связи. Connect», «Итоги», «Rational Enterprise Management», «Слияния и поглощения» и т.д. В середине 2000-х годов прекратил подсчет своих публикаций как бесперспективное занятие. В настоящий момент веду блог в Интернете «Бизнес без опасности».
В 2005 году был удостоен награды Ассоциации документальной электросвязи «За развитие инфокоммуникаций в России», а в 2006 - награды Инфофорума в номинации «Публикация года». В январе 2007 года был включен в рейтинг 100 персон российского ИТ-рынка (за что, так и не понял). В 2010-м году выиграл на конкурсе "Львы и гладиаторы". В 2011-м году был удостоен грамоты министра внутренних дел РФ. На конференции "Инфобезопасность" трижды получал награду Security Awards - в 2013-м, 2012-м и 2011-м годах (за просветительскую деятельность). За эту же деятельность, а точнее за ведение блога, получил в 2011-м году Антипремию Рунета в номинации "Безопасный Рулет". В 2012-м году был награжден Ассоциацией российских банков за большой вклад в развитие безопасности банковской системы России, а в 2013-м на магнитогорском форуме получил награду "За методологическую поддержку и достижения в банковской безопасности". Также в 2013-м и 2014-м годах порталом DLP-Expert был назван лучшим спикером по информационной безопасности. За время работы в Cisco был удостоен и рядом внутренних наград.
В 2001 году выпустил книгу «Обнаружение атак» (в 2003 году вышло второе издание этой книги), а в 2002 в соавторстве с И.Д. Медведовским, П.В. Семьяновым и Д.Г. Леоновым - книгу «Атака из Internet». В 2003 году выпустил книгу «Protect Your Information With Intrusion Detection» (на английском языке). На протяжении 2008-2009-го годов публиковал на портале bankir.ru книгу «Мифы и заблуждения информационной безопасности».
Являюсь автором множества курсов, среди которых «Введение в обнаружение атак», «Системы обнаружения атак», «Как увязать безопасность с бизнес-стратегией предприятия», «Что скрывает законодательство о персональных данных», «ИБ и теория организации», «Измерение эффективности ИБ», «Архитектура и стратегия ИБ». Читаю лекции по информационной безопасности в различных учебных заведениях и организациях. Являлся модератором эхоконференции RU.SECURITY в сети FIDO, но забросил это дело ввиду исхода большинства специалистов в Интернет.
Впервые в российской прессе обратился к теме:
- Информационной безопасности бизнеса
- Безопасности сделок слияния и поглощения
- Измерению эффективности ИБ
- Безопасности SOA
- Безопасности биллинговых систем
- Обманных систем
- Безопасности IP-телефонии
- Безопасности систем хранения данных (storage)
- Безопасности хотспотов
- Безопасности центров обработки вызовов (call center)
- Применения ситуационных центров в информационной безопасности
- Мобильного спама
- Безопасности сетей операторов мобильной связи
- И многие другие.
Женат, воспитываю сына и дочь. Стараюсь свободное время уделять семье, хотя изнуряющая работа на благо Родины и работодателя такого времени почти не оставляет. Хобби, превратившееся в работу, или работа, ставшая хобби, - писательство и информационная безопасность. С детства занимаюсь туризмом.
ЗЫ. Фото для Интернет-публикаций (качайте выше или по
Ответ , казалось бы, очевидный. Чтобы вести блог как Лукацкий, надо быть Лукацким. Но давайте разберемся поглубже в методах и мотивации ведения собственного блога. Блог – это наркотик. Даже, если вы сегодня уже написали во все возможные соц.медиа кучу постов, твитов и комментариев, вам хочется еще и еще. Чем больше интересующей вас информации сваливается на вас, тем больше вам хочется потреблять блогов, страниц, сайтов. Чем больше каналов для распространения вашей информации у вас есть, тем больше способов связи с внешним миром вам нужно.
Реальная ценность любого блога для его обладателя – доступный способ сообщить информацию широкой аудитории. К тому же блог позволяет повышать собственную самооценку, прятать свои слабости внутрь, а доблести, наоборот, выставлять наружу.
Желание создать свой бренд
Первая причина ведения собственного блога – желание что-то сказать аудитории. Мир становится информационно насыщенным, спрос на полезную и своевременную информацию растет, давая новые возможности людям, которые видят в этом способ раскрытия своего потенциала.
Вторая причина достаточно эгоистичная – желание создать собственный бренд, то есть, занимаясь любимым делом извлекать личную выгоду из этого (опс, походя сформулировал мечту любого хакера).
Давайте разбираться, есть ли у вас предпосылки для создания собственного бренда в соц.сетях.
Прежде всего, выбирая тематику ведения блога, надо на чем-то сфокусироваться. Перед вами проблема выбора.
1. Бренд сообщаемой информации (предполагается, что это некий эксклюзив, а’ля Арустамян от футбола с его псевдоновостями).
2. Бренд эксперта – его надо заслужить, а это долгий и тернистый путь. Коллеги по цеху должны признать в вашем лице специалиста по умению передать качественную информацию в доступной форме.
3. Бренд знаний – чтобы знания транслировать аудитории их надо сначала получить, а это труд, который может и не окупиться. В любом случае, надо повышать свой потенциал в качестве представителя профессии.
4. Ну, и, как самый распространенный вариант, вы просто талантливый человек, вас распирает желание стать известным и вам не важно, о чем писать/говорить (так думает большинство начинающих блогеров).
Нужно научиться излагать материал так, чтобы это было а)понятно, б)актуально и далее кому что по душе: интересно, увлекательно, афористично, легко, с юмором. В конце концов написание текстов или публичные выступления – это навыки, которым можно обучиться и которые приходят с опытом.
Большинство людей (в контексте этой статьи – блогеров) занимаются либо интерпретацией чужих идей (как раз то, чем я сейчас занимаюсь), либо агрегацией новостных пресс-релизов (событий, вакансий и проч.), в том числе трансляцией новостей собственного бренда/продукта, публикуя нужный контент с выставок, конференций, презентаций и т.д. Но даже и в этом случае упаковать информацию в качественный материал могут не многие (профессионалов-журналистов не рассматриваем). Да и зачем? Новостная подача материалов устраивает большую часть целевой аудитории. При современном дефиците времени и обилии материалов на большее у читателя не хватает ни сил, ни терпения.
Несмотря на утверждение в заголовке, пусть не как Лукацкий, но у вас есть всё необходимое, чтобы стать известным блогером - человеком, который умеет писать и готовым посвящать этому занятию все свое свободное время.
Для этого потребуется всего лишь пять слагаемых.
Первое - нужна удача (и это одна из причин из-за чего вы не станете Лукацким). Не всем везет так, как Лукацкому. У него есть знания, опыт и самое главное – современные технологии безопасности. Важно (и это видно), что он получает поддержку у своей компании. То, что когда-то для Лукацкого было просто хобби, стало новым подходом компании к передаче нужной информации. Блог Лукацкого за счет популярности в соц.медиа стал брендом и внутри компании (сомневаюсь, что это была продуманная стратегия, по крайней мере, изначально). Это стало частью ведения бизнеса, который Лукацкий представляет (Cisco ). Он искренне любит дело, которым занимается и его интерес передается аудитории. Его волнует не только предметная область деятельности, но и состояние отрасли в целом и это подкупает.
Второе – это коктейль из внутренней энергии, личной харизмы и опыта
Для публичных выступлений нужна харизма, яркая индивидуальность. Лукацкого приглашают на разные мероприятия потому, что он в состоянии объяснить сложные вещи простым языком (это навык, которому надо учиться) и отлично владеет предметной областью.
Четвертое - увидеть лес раньше деревьев
Нужно видеть/чувствовать/знать проблемы целевой аудитории блога. Ведущие блогеры оказывают неоценимую помощь в решении проблем у читателей их блогов. Брать материал и упаковывать его в понятные и интересные сообщения блога – это то, что они делают регулярно и качественно.
Блог – это не только метод передачи информации, но еще и возможности для карьерного роста (нет пророка в своем отечестве). Лукацкий – это пример создания новой должности в компании – интерпретатор предметной области для привлечения новой аудитории.
И наконец пятое – для ведения блога нужна железная дисциплина , чтобы регулярно (чем чаще, тем лучше) публиковать материал в своем блоге.
Ну, и как дополнительная, необязательная опция – желательно регулярное ведение обучающих семинаров для популяризации своего бренда.
Перефразируя ивестное
высказывание: люди забудут, что вы писали, люди забудут, что вы говорили, люди
не забудут, что они поняли благодаря вам. Сейчас из каждого утюга вещают, что
Лукацкий завтра проводит семинар по перс.данным (может это форма пиара такая,
вещают давно уже роботы, используя
IVR
-технологии
или реально еще остались в России отдаленные селения на Камчатке, жители
которых не побывали на семинарах Лукацкого по перс.данным?). А если серьезно,
его статьи, презентации, слайды растиражированы по всем аудиториям и живут
собственной жизнью и это нормально, это укрепляет бренд.
Итак, у вас не получится вести блог как Лукацкий. А кого это, когда останавливало?! Как пошутил Андрей Кнышев: "Тот, кто поднялся выше, просто полез раньше".
Нашим сегодняшним гостем стал Алексей Лукацкий, известный специалист в области информационной безопасности и бизнес-консультант компании Cisco. Основной темой для беседы была выбрана крайне интересная сфера - безопасность современных автомобилей и других транспортных средств. Если хочешь узнать, почему дроны взламывают даже чаще автомобилей и зачем производители сельскохозяйственной техники блокируют неавторизованный ремонт своих машин на уровне прошивок, читай дальше!
О безопасности современных автомобилей
Среди большинства людей бытует опасное заблуждение, что автомобиль - это нечто уникальное, отличающееся от обычного компьютера. На самом деле это не так.
В Израиле у Cisco есть отдельное подразделение, которое занимается автомобильной кибербезопасностью. Оно появилось после приобретения одного из израильских стартапов, работавшего в данной области.
Автомобиль ничем не отличается от домашней или корпоративной сети,
о чем свидетельствуют различные исследования, изучающие, что злоумышленник может сделать с автомобилем. Оказывается, в машинах тоже есть компьютеры, только они маленькие и незаметные. Они называются ECU (Electronic Control Unit), и в автомобиле их десятки. Каждый стеклоподъемник, система тормозов, контроль давления в шинах, датчик температуры, блокиратор дверей, система бортового компьютера и так далее - это всё компьютеры, каждый из которых управляет своим кусочком работы. Через такие компьютерные модули можно изменять логику работы автомобиля. Все эти модули объединены в единую сеть, протяженность кабелей порой измеряется километрами, количество интерфейсов - тысячами, а объем кода составляет миллионы строк для нормального бортового компьютера и вообще всей электронной начинки (в космическом корабле их меньше). По разным оценкам, до 40% современного автомобиля - это электроника и программное обеспечение. Объем ПО в премиальных авто составляет до гигабайта.
Я не беру в расчет производство российского автопрома, где, к счастью (с точки зрения безопасности), нет какой-либо серьезной компьютерной начинки. Но если рассматривать практически всех зарубежных автопроизводителей, то все они сейчас компьютеризируют даже самые бюджетные модели своих авто.
Да, в автомобилях есть компьютеры. Да, в них есть свои протоколы обмена данными, которые не являются чем-то секретным: к ним можно подключиться, перехватить данные и модифицировать их. Как показывают случаи из практики таких производителей, как Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge и Mercedes-Benz, злоумышленники неплохо научились анализировать то, что происходит внутри автомобиля, научились анализировать взаимодействие внешнего мира с автомобилем. По оценкам экспертов, 98% всех протестированных программных приложений в автомобилях (а они обеспечивают до 90% всех инноваций) имеют серьезные дефекты, и некоторые приложения насчитывают десятки таких дефектов.
Сейчас в рамках различных проектов в Европе и Америке создаются так называемые умные дороги (например, проекты EVITA, VANET, simTD). Они позволяют автомобилю обмениваться данными с дорожным покрытием, светофорами, парковками, центрами диспетчерского управления дорожным движением. Автомобиль сможет в автоматическом режиме, без участия человека, управлять дорожным движением, пробками, парковками, снижать скорость, получать информацию о дорожных происшествиях, чтобы встроенный навигатор мог самостоятельно перестраивать маршрут и направлять автомобиль по менее загруженным магистралям. Все это взаимодействие сейчас, к сожалению, происходит в практически незащищенном режиме. И сам автомобиль, и это взаимодействие почти никак не защищаются. Это связано с общим заблуждением, что системы такого рода очень сложны в изучении и мало кому интересны.
Также существуют проблемы, связанные с бизнесом. В бизнесе правит тот, кто первым вышел на рынок. Соответственно, если производитель первым выпустил на рынок некую новинку, он занял большую долю на этом рынке. Поэтому безопасность, которая требует много времени на реализацию и, главное, на тестирование, всегда тянет многие бизнесы назад. Зачастую из-за этого компании (это касается не только автомобилей, но интернета вещей как такового) либо откладывают безопасность на потом, либо вообще ею не занимаются, решая более приземленную задачу - поскорее выпустить продукт на рынок.
Известные взломы, которые происходили ранее, были связаны с вмешательством в работу тормозов, гашением двигателя на ходу, перехватом данных о местоположении автомобиля, дистанционным отключением блокираторов дверей. Это означает, что у злоумышленников появляются достаточно интересные возможности совершить те или иные действия. К счастью, пока таких действий в реальной жизни не производится, скорее это так называемый proof-of-concept, то есть некая демонстрация возможностей угона автомобиля, его остановки на ходу, перехвата управления и так далее.
Что можно сделать сегодня с автомобилем? Взломать систему управления транспортом, что приведет к авариям на дорогах и пробкам; перехватить сигнал PKES и украсть автомобиль; подменить маршруты через RDS; произвольно ускорить автомобиль; заблокировать тормозную систему или двигатель на ходу; подменить точки POI в навигационной системе; перехватить местоположение или заблокировать передачу информации о местоположении; блокировать передачу сигнала о краже; украсть контент в развлекательной системе; внести изменения в работу ECU и так далее. Осуществить все это можно как за счет прямого физического доступа, через подключение к диагностическому порту автомобиля, так и за счет непрямого физического доступа через CD с модифицированной прошивкой или через механизм PassThru, а также за счет беспроводного доступа на близкой (например, Bluetooth) или дальней дистанции (например, через интернет или мобильное приложение).
В перспективе, если вендоры не задумаются о происходящем, это может привести к печальным последствиям. Существуют достаточно простые примеры, которые еще не говорят о том, что хакеры активно взялись за автомобили, но уже применимы в реальной жизни. К примеру, подавление встроенных тахографов, у которых есть GPS- или ГЛОНАСС-датчики. Я не слышал про такие случаи с ГЛОНАСС в российской практике, но в Америке были прецеденты с GPS, когда злоумышленники подавляли сигнал броневика инкассаторов и угоняли его в неизвестное место, чтобы там раскурочить и вытащить все ценности. Исследования в этой области проводились в Европе, в Великобритании. Такие кейсы являются первым шагом к атакам на автомобиль. Потому что обо всем остальном (остановке двигателя, отключении тормозов на ходу) я, к счастью, пока ни разу не слышал в реальной практике. Хотя сама возможность подобных атак говорит о том, что производителям и, самое главное, потребителям, стоит задуматься, что они делают и что покупают.
Стоит сказать, что даже шифрование применяется далеко не везде. Хотя шифрование может быть изначально предусмотрено конструкцией, его далеко не всегда включают, ведь это нагружает канал, вносит определенные задержки и может повлечь за собой ухудшение каких-то потребительских характеристик, связанных с устройством.
В ряде стран шифрование - это очень специфический вид бизнеса, который требует получения разрешения в госорганах. Это тоже накладывает определенные ограничения. Экспорт оборудования, содержащего функцию шифрования, подпадает под так называемые Вассенаарские соглашения об экспорте технологий двойного назначения, к которым в том числе относится шифрование. От производителя требуется получить разрешение на экспорт из своей страны производства, а потом получить разрешение на импорт в страну, в которую продукт будет ввезен. Если с программным обеспечением ситуация уже успокоилась, хотя и там бывают свои сложности и ограничения, то с такими новомодными вещами, как шифрование в интернете вещей, пока есть проблемы. Дело в том, что никто не знает, как это регулировать.
Впрочем, в этом есть и плюсы, потому что регуляторы пока почти не смотрят в сторону шифрования интернета вещей и автомобилей в частности. Например, в России ФСБ очень жестко контролирует ввоз программного обеспечения и телекоммуникационного оборудования, содержащего функции шифрования, но практически никак не регулирует шифрование в дронах, автомобилях и другой компьютерной начинке, оставляя это за рамками регулирования. В ФСБ не видят в этом большой проблемы: террористы и экстремисты этим не пользуются. Поэтому пока такое шифрование остается вне контроля, хотя формально подпадает под законодательство.
Также шифрование, к сожалению, очень часто реализуется на базовом уровне. Когда, по сути, это обычная операция XOR, то есть замена одних символов другими по определенному простому алгоритму, который легко подобрать. Кроме того, шифрование часто реализуется неспециалистами в области криптографии, которые берут готовые, скачанные из интернета библиотеки. В итоге в таких реализациях можно найти уязвимости, которые позволяют обойти алгоритм шифрования и как минимум перехватить данные, а иногда вторгнуться в канал для их подмены.
Спрос на безопасность автомобилей
В нашем израильском подразделении есть решение, которое называется Autoguard. Это небольшой файрвол для автомобилей, который контролирует, что происходит внутри, и взаимодействует с внешним миром. По сути, он анализирует команды, которыми обмениваются элементы бортового компьютера и датчики, контролирует доступ извне, то есть определяет, кому можно, а кому нельзя подключаться к внутренней электронике и начинке.
В январе 2018 года в Лас-Вегасе, на крупнейшей выставке электроники CES, компании Cisco и Hyundai Motor Company объявили о создании автомобиля нового поколения, который будет использовать архитектуру программно определяемого автомобиля (Software Defined Vehicle) и оснащаться самыми современными сетевыми технологиями, включая и механизмы кибербезопасности. Первые автомобили должны сойти с конвейера уже в 2019 году.
В отличие от потребительской электроники и корпоративных IT-решений, автомобильная безопасность - это очень специфический рынок. Потребителей у данного рынка насчитывается всего несколько десятков во всем мире - по количеству автомобильных производителей. Увы, сам автовладелец не в состоянии повысить кибербезопасность своего «железного коня». Как правило, проекты такого рода не то чтобы не афишируются, но они не являются достоянием широкой общественности, ведь это не миллионы компаний, которым нужны маршрутизаторы, и не сотни миллионов пользователей, которым нужны защищенные смартфоны. Это лишь три-четыре десятка автомобильных производителей, которые не хотят привлекать внимание к тому, как выстроен процесс защиты автомобиля.
Многие производители относятся к защите легкомысленно, другие только присматриваются к этой сфере, проводя различные тесты, потому как здесь существует своя специфика, связанная с жизненным циклом автомобиля. В России среднее время жизни автомобиля составляет пять-шесть лет (в центральных областях и больших городах три-четыре года, а в регионах семь-восемь лет). Если производитель сейчас задумается о внедрении кибербезопасности в свою автомобильную линейку, то это решение выйдет на массовый рынок лет через десять, не раньше. На Западе ситуация немного иная. Там автомобили меняют чаще, но даже в этом случае рано говорить, что авто в достаточной степени оснащены системами защиты. Поэтому никто не хочет привлекать большого внимания к этой теме.
Злоумышленники уже сейчас могут начать атаковать автомобили или провоцировать отзыв автомобилей из-за проблем с компьютерной безопасностью. Это может очень дорого обойтись производителям, потому что уязвимости есть всегда. Конечно, их будут находить. Но каждый раз отзывать тысячи или сотни тысяч уязвимых автомобилей из-за уязвимости - это слишком дорого. Поэтому эта тема не на слуху, но крупные производители, разумеется, ведут работу и задумываются о перспективах этого рынка. По оценкам GSMA, к 2025 году уже 100% автомобилей будет подключены к интернету (так называемые connected cars). Я не знаю, насколько в данной статистике учтена Россия, но мировые автогиганты в ней посчитаны.
Безопасность других видов транспорта
Уязвимости есть во всех видах транспортных средств. Это авиационный транспорт, морской транспорт, грузовой транспорт. Трубопроводы в расчет принимать не будем, хотя они тоже считаются видом транспорта. Любое современное транспортное средство содержит достаточно мощную компьютерную начинку, а ее разработкой зачастую занимаются обычные IT-специалисты и программисты, которые допускают классические ошибки при создании своего кода.
С точки зрения разработки отношение к таким проектам немного отличается от того, что делается у Microsoft, Oracle, SAP или Cisco. И тестирование проводится совсем не на том уровне. Поэтому известны случаи нахождения уязвимостей и демонстраций возможностей взлома самолетов или морского транспорта. Именно поэтому никакие транспортные средства нельзя исключать из этого списка - их кибербезопасность находится сегодня на не очень высоком уровне.
С дронами ситуация обстоит точно так же и даже проще, ведь это более массовый рынок. Почти у любого человека есть возможность купить дрон и разобрать его для исследования. Даже если дрон стоит несколько тысяч долларов, его можно купить вскладчину, проанализировать, найти уязвимости. Потом можно либо угонять такие аппараты, либо сажать их на лету, перехватывая канал управления. Также можно провоцировать их падение и нанесение ущерба владельцу либо красть посылки, которые дроны перевозят, если их используют для перевозки грузов и отправлений.
Учитывая количество дронов, понятно, почему злоумышленники активно изучают именно этот рынок: он более монетизирован. Ситуация в этой сфере даже активнее, чем с автомобилями, потому что здесь существует прямая выгода для «плохих парней». Ее нет при взломе автомобиля, не считая возможного шантажа автоконцерна. К тому же за шантаж можно сесть в тюрьму, а процедура получения выкупа гораздо сложнее. Конечно, можно попытаться получить деньги от автоконцерна легально, но людей, которые зарабатывают поиском таких уязвимостей законно и за деньги, совсем немного.
Когда производители блокируют обновления
Недавно был интересный случай - производитель сельскохозяйственной техники . Я не вижу в этой ситуации ничего сверхъестественного и противоречащего бизнес-практике с точки зрения производителя. Он хочет взять под контроль процесс обновления программного обеспечения и привязать к себе своих потребителей. Поскольку гарантийная поддержка - это деньги, производитель хочет и дальше зарабатывать на ней, снизив риски ухода клиентов к другим поставщикам техники.
По этому принципу «живут» практически все компании, работающие в связанных с IT сферах, а также компании - производители автомобилей, сельхозтехники, авиационной техники или дронов, внедряющие IT у себя. Понятно, что любое несанкционированное вмешательство может повлечь за собой печальные последствия, поэтому производители закрывают возможности для самостоятельного обновления программного обеспечения, и я здесь их прекрасно понимаю.
Когда потребитель не хочет платить за гарантийную поддержку техники, он начинает искать на различных варезных сайтах прошивки для обновления. Это может, с одной стороны, привести к тому, что он бесплатно обновит свое программное обеспечение, но, с другой стороны, это может привести к ущербу. В частности, в практике Cisco был случай, когда компании, которые не хотели платить за поддержку (в данном случае, конечно, не автомобильной или сельхозтехники, а обычного сетевого оборудования), скачивали прошивки где-то на хакерских форумах. Как оказалось, в этих прошивках содержались «закладки». В итоге у ряда заказчиков информация, проходившая через сетевое оборудование, утекала наружу к неустановленным лицам. Было несколько компаний в мире, которые с этим столкнулись.
Если продолжить аналогию и представить, что можно сделать с сельхозтехникой, картина получится печальная. В теории возможно блокирование работы сельхозтехники и требование выкупа за восстановление доступа к машинам, которые стоят сотни тысяч долларов или даже миллионы. К счастью, таких прецедентов, насколько мне известно, пока не было, но не исключаю, что они могут появиться в будущем, если такая практика продолжится.
Как улучшить безопасность транспортных средств
Инструкция очень проста: нужно понять, что проблема существует. Дело в том, что для многих руководителей такой проблемы нет, они считают ее либо надуманной, либо не очень востребованной со стороны рынка и, соответственно, не готовы тратить на это деньги.
Три-четыре года назад в Москве проходил Connected Car Summit, на котором рассказывали о различных новомодных вещах, связанных с автоматизацией и компьютеризацией автомобилей. К примеру, про отслеживание местоположения (каршеринг с привязкой к интернету) и так далее. Я выступал там с докладом, посвященным безопасности автомобилей. И когда я рассказывал о различных примерах того, что можно сделать с автомобилем, многие компании, производители и каршеринговые компании подходили ко мне после выступления и говорили: «Ой, мы даже об этом не думали. Что же нам делать?»
Производителей автомобилей в России немного. После выступления ко мне подошел представитель одного из них и рассказал, что пока они даже не думают о компьютерной безопасности, потому что уровень компьютеризации очень низкий, - сначала им нужно понять, что вообще можно добавить в автомобиль с точки зрения компьютерной начинки. Когда я поинтересовался у этого представителя, собираются ли они думать о безопасности вообще, он ответил, что это рассматривается в очень дальней перспективе. Это и есть ключевой момент: нужно задуматься о том, что компьютерная безопасность является неотъемлемой частью, это не внешняя «навесная» функция, а именно свойство современного автомобиля. В этом лежит половина успеха в деле обеспечения безопасности транспорта.
Второй необходимый шаг - нанять специалистов, своих или внешних. Нужны люди, которые могут на законных основаниях поломать существующие решения и поискать уязвимости в них. Сейчас есть отдельные энтузиасты или фирмы, которые занимаются либо пентестом, либо анализом защищенности автомобилей и их компьютерной начинки. Их немного, потому что это достаточно узкий рынок, на котором не развернешься и не заработаешь много денег. В России я не знаю никого, кто бы занимался подобным. Но существуют компании, которые занимаются анализом защищенности и делают достаточно специфические вещи - тестируют АСУ ТП и тому подобное. Наверное, они могли бы попробовать себя и в автомобилях.
Третий элемент - это внедрение механизмов безопасной разработки. Это давно знакомо разработчикам обычного софта, тем более в России недавно были приняты соответствующие ГОСТы по безопасной разработке программного обеспечения. Это набор рекомендаций о том, как правильно писать код, чтобы его было сложнее взломать, как не допускать конструкций, которые приводили бы к переполнению буфера, перехвату данных, подмене данных, отказу в обслуживании и так далее.
Четвертый шаг - реализация технических решений безопасности, то есть использование специальных чипов в автомобилях, выстраивание архитектуры безопасности. В штате разработчиков должны быть архитекторы, которые занимаются именно проблемами безопасности. Они также могут заниматься и архитектурой автомобиля с точки зрения защиты, архитектурой системы управления. Потому что всегда можно атаковать не сам автомобиль - гораздо эффективнее взломать систему управления и получить контроль над всеми автомобилями.
Как недавно произошло с онлайн-кассами, которые вдруг перестали работать в день столетия ФСБ. Ведь онлайн-касса - это, грубо говоря, тот же автомобиль: у нее есть компьютерная начинка, есть прошивка. Прошивка перестала работать одномоментно, и четверть всего рынка ритейла встала на несколько часов. Так же с автомобилями: некачественно написанный код, найденные в нем уязвимости или взлом системы управления могут привести к достаточно печальным последствиям. Но если в случае с онлайн-кассами потери измерялись миллиардами, то в случае с автомобилями будут жертвы.
Хотя с автомобилями не обязательно ждать взлома или перехвата управления десятками миллионов транспортных средств. Достаточно взломать всего несколько из них, и на дороге уже наступит хаос. А если факт взлома станет достоянием гласности, можно быть уверенным - СМИ раструбят об этом на весь мир, и автовладельцы ужаснутся открывшимся «перспективам».
В целом можно выделить три уровня защиты современного транспортного средства. Это встроенная кибербезопасность самого автомобиля (иммобилайзер, PKES, защищенные внутренние коммуникации между ECU, обнаружение аномалий и атак, контроль доступа, доверенные модули безопасности); безопасность коммуникаций (защита внешних коммуникаций с центром управления дорожной инфраструктурой, производителем автомобиля или отдельных его частей, защита загрузки приложений, контента, обновлений, защита тахографов); а также безопасность дорожной инфраструктуры.
Что и где изучать специалисту
IT-специалистам, которые занимаются или хотят заниматься разработкой кода для автомобилей, транспорта или дронов, можно рекомендовать начать с изучения безопасной разработки (SDLC). То есть нужно изучать, что такое безопасная разработка в целом. Нужно признать, что эти дополнительные знания не приносят дополнительных денег. На сегодняшний день за незнание основ безопасной разработки никого не наказывают, нет никакой ответственности, так что это остается на усмотрение самого IT-специалиста. На первых порах это может быть конкурентным преимуществом для специалиста, ведь этому мало где обучают, что позволяет выделиться на фоне других. Но в сфере безопасности автомобилей, интернета вещей, дронов это не самое популярное требование к сотруднику. К сожалению, нужно признать, что и большого внимания к этой теме у IT-специалистов нет.
Безопасная разработка - это самообучение в чистом виде. Потому что курсов такого рода практически нет, все они делаются только под заказ, и, как правило, это корпоративное обучение. В федеральные государственные образовательные стандарты эта тема тоже не входит, поэтому остается только самообучение либо хождение на курсы компаний, которые занимаются анализом кода. Такие компании есть - из российских игроков это, например, Solar Security или Positive Technologies. На Западе их гораздо больше, к примеру IBM, Coverity, Synopsys, Black Duck. Они проводят различные семинары на эту тему (как платные, так и бесплатные), где можно почерпнуть какие-то знания.
Второе направление для IT-специалистов - это архитекторы. То есть можно стать архитектором по безопасности такого рода проектов, по интернету вещей в целом, потому что они плюс-минус построены по одним и тем же законам. Это центральная система управления из облака и куча сенсоров: либо узконаправленных, типа дрона, либо сенсоров, объединенных в рамках автомобиля или более крупного транспортного средства, которые нужно правильно настроить, внедрить, спроектировать. Нужно учесть различные угрозы, то есть необходимо так называемое моделирование угроз. Также необходимо учесть поведение потенциального нарушителя, чтобы понять его потенциальные возможности и мотивацию, а исходя из этого - спроектировать механизмы отражения будущих угроз.
В интернете можно найти достаточно много полезных материалов.
Можно почитать и различные презентации с конференций, типа DEF CON и Black Hat. Можно посмотреть материалы компаний: многие публикуют у себя на сайтах достаточно неплохие презентации и whitepaper’ы, описания типовых ошибок в коде и так далее. Можно попробовать найти презентации со специализированных мероприятий по безопасности автомобилей (например, Automotive Cybersecurity Summit, Vehicle Cyber Security Summit, Connected Cars Summit, CyberSecureCar Europe).
Кроме того, сейчас российский регулятор ФСТЭК России (Федеральная служба по техническому и экспортному контролю) имеет ряд инициатив, в частности предлагается выкладывать в интернет типовые ошибки, которые допускают программисты в коде, вести некую базу таких ошибок. Пока это еще не реализовано, но регулятор работает в этом направлении, хотя ресурсов у них не всегда хватает.
После утечки киберарсенала ЦРУ и АНБ в интернет любой желающий, даже «домашний хакер», может почувствовать себя спецагентом. Ведь он владеет почти тем же арсеналом. Это заставляет архитекторов совершенно по-другому относиться к тому, как они выстраивают свои системы. Согласно различным исследованиям, если продумать безопасность на этапе создания архитектуры, то будет затрачено X ресурсов на ее реализацию. Если же изменять архитектуру уже на этапе промышленной эксплуатации, на это потребуется в тридцать раз больше ресурсов, временных, людских и денежных.
Архитектор - это очень модная и, самое главное, очень денежная профессия. Не могу сказать, что в России на таких специалистов есть большой спрос, но на Западе архитектор безопасности - это одна из самых высокооплачиваемых специальностей, годовой доход такого специалиста составляет порядка двухсот тысяч долларов. В России, по оценкам Минтруда, ежегодно не хватает примерно 50–60 тысяч безопасников. Среди них есть архитекторы, администраторы, управленцы и те, кто моделирует угрозы, - это очень широкий спектр специалистов по безопасности, которых регулярно не хватает в России.
Однако архитекторов тоже не учат в вузах. В основном это переподготовка, то есть соответствующие курсы, или самообучение.
В России в основном практикуется корпоративное обучение. Потому что это не массовый рынок и учебные центры не включают это в свои программы в качестве курсов. Это делается только под заказ. По идее, нужно изначально включать это в образование государственное в вузах. Чтобы закладывать основы правильного проектирования различных архитектур. К сожалению, федеральные государственные образовательные стандарты пишутся людьми, которые очень далеки от реалий и практики. Зачастую это бывшие люди в погонах, которые не всегда знают, как правильно проектировать системы, либо они знакомы с этим очень специфически: их знания связаны с гостайной или борьбой с иностранными техническими разведками, а это немного другой опыт. Такой опыт нельзя назвать плохим, однако он другой и малоприменим в коммерческом сегменте и интернете вещей. ФГОСы обновляются очень небыстро, примерно раз в три-четыре года, и в основном в них вносят косметические правки. Понятно, что в такой ситуации специалистов не хватает и будет не хватать.
Работа в Cisco
У Cisco есть разработка в России. Сейчас ведется работа над созданием платформы на базе open stack для сервис-провайдеров и центров обработки данных. Также у нас есть ряд договоренностей с российскими компаниями, которые занимаются для нас отдельными проектами. Одна из них - компания «Перспективный мониторинг», которая пишет отдельные обработчики для сетевого трафика, для распознавания различных приложений, которые затем закладываются в наши средства сетевой безопасности. В целом мы, как и большинство мировых IT-компаний, имеем несколько центров разработки в мире, а региональные представительства выполняют функции маркетинга, поддержки, продажи.
У нас есть программа стажировки для выпускников вузов - год в Европе, в нашей академии. Перед этим они проходят большой конкурс, а потом их отправляют на год в одну из европейских столиц. По возвращении они распределяются по нашим офисам в России и странах СНГ. Это инженеры, которые занимаются проектированием систем и их поддержкой, а также люди, которые занимаются продажами.
Иногда у нас появляются вакансии, когда кто-либо уходит на повышение или покидает компанию. В основном это либо инженерные позиции, либо позиции, связанные с продажами. Учитывая уровень Cisco, в этом случае мы набираем не студентов, а людей, которые уже не один год отработали на какой-то позиции. Если это инженер, то он должен обладать достаточным количеством сертификации Cisco. Нужен не базовый CCNA, как правило, требуется минимум CCNP, а скорее всего, специалист и вовсе должен пройти сертификацию CCIE - это максимальный уровень сертификации Cisco. Таких людей в России немного, поэтому у нас часто возникает проблема, когда нужно найти инженеров. Хотя в целом ротация в компании не очень большая, она измеряется 1–2% в год. Несмотря на экономическую ситуацию, американские компании в России платят очень хорошо, социальный пакет хороший, поэтому обычно люди от нас не уходят.