Biografi Alexey Lukatsky. Mengapa Anda tidak bisa membuat blog seperti Lukatsky? Bagaimana meningkatkan keselamatan kendaraan
Tamu kami hari ini adalah Alexey Lukatsky, seorang spesialis terkenal di bidang keamanan informasi dan konsultan bisnis Cisco. Area yang sangat menarik dipilih sebagai topik utama untuk percakapan - keselamatan mobil modern dan lainnya. Kendaraan... Jika Anda ingin tahu mengapa drone lebih sering masuk ke mobil dan mengapa produsen peralatan pertanian memblokir perbaikan mobil mereka yang tidak sah di tingkat firmware, baca terus!
Tentang keamanan mobil modern
Ada kesalahpahaman yang berbahaya di antara kebanyakan orang bahwa mobil adalah sesuatu yang unik, berbeda dengan komputer biasa. Faktanya, ini tidak terjadi.
Di Israel, Cisco memiliki divisi terpisah yang didedikasikan untuk keamanan siber otomotif. Itu muncul setelah akuisisi salah satu start-up Israel yang bekerja di lapangan.
Mobil tidak berbeda dengan rumah atau jaringan perusahaan,
sebagaimana dibuktikan oleh berbagai penelitian yang meneliti apa yang dapat dilakukan penyerang terhadap mobil. Ternyata mobil juga memiliki komputer, hanya saja kecil dan tidak terlihat. Mereka disebut ECU (Electronic Control Unit), dan ada puluhan di dalam mobil. Setiap pengangkat jendela, sistem rem, monitor tekanan ban, sensor suhu, kunci pintu, sistem komputer terpasang, dan sebagainya adalah semua komputer, yang masing-masing mengontrol pekerjaannya sendiri. Melalui modul komputer seperti itu, Anda dapat mengubah logika mobil. Semua modul ini disatukan menjadi satu jaringan, panjang kabel terkadang diukur dalam kilometer, jumlah antarmuka dalam ribuan, dan jumlah kode adalah jutaan baris untuk komputer on-board normal dan, secara umum, seluruh pengisian elektronik (jumlahnya lebih sedikit di pesawat ruang angkasa). Menurut berbagai perkiraan, hingga 40% dari mobil modern adalah elektronik dan perangkat lunak. Jumlah perangkat lunak di mobil premium hingga gigabyte.
Saya tidak memperhitungkan produksi industri mobil Rusia, di mana, untungnya (dari sudut pandang keamanan), tidak ada pengisian komputer yang serius. Tetapi jika kita mempertimbangkan hampir semua produsen mobil asing, maka semuanya sekarang mengkomputerisasi bahkan model mobil mereka yang paling murah sekalipun.
Ya, mobil memiliki komputer. Ya, mereka memiliki protokol pertukaran data sendiri, yang bukan merupakan sesuatu yang rahasia: Anda dapat menghubungkannya, mencegat data, dan memodifikasinya. Seperti kasus dari praktek pabrikan seperti Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge dan Mercedes-Benz menunjukkan, penyerang telah belajar untuk menganalisis dengan baik apa yang terjadi di dalam mobil, mereka telah belajar untuk menganalisis interaksi dari dunia luar dengan mobil. Menurut para ahli, 98% dari semua aplikasi perangkat lunak yang diuji di mobil (dan mereka menyediakan hingga 90% dari semua inovasi) memiliki cacat serius, dan beberapa aplikasi memiliki lusinan cacat seperti itu.
Sekarang, dalam kerangka berbagai proyek di Eropa dan Amerika, apa yang disebut jalan pintar sedang dibuat.(misalnya, proyek EVITA, VANET, simTD). Mereka memungkinkan mobil untuk berkomunikasi dengan permukaan jalan, lampu lalu lintas, tempat parkir, pusat pengiriman lalu lintas jalan... Mobil akan dapat secara otomatis, tanpa campur tangan manusia, mengatur lalu lintas, kemacetan lalu lintas, parkir, memperlambat, menerima informasi tentang insiden lalu lintas, sehingga navigator internal dapat secara mandiri merutekan ulang dan mengarahkan mobil di sepanjang jalan raya yang tidak terlalu padat. Sayangnya, semua interaksi ini sekarang terjadi dalam mode yang hampir tidak terlindungi. Baik mobil itu sendiri maupun interaksi ini hampir tidak dilindungi dengan cara apa pun. Hal ini disebabkan oleh kesalahpahaman umum bahwa sistem semacam ini sangat sulit untuk dipelajari dan kurang menarik bagi siapa pun.
Ada juga masalah bisnis. Dalam bisnis, yang pertama memasuki aturan pasar. Dengan demikian, jika produsen adalah yang pertama meluncurkan hal baru di pasar, ia mengambil bagian besar di pasar ini. Oleh karena itu, keamanan, yang membutuhkan banyak waktu untuk diterapkan dan, yang paling penting, untuk diuji, selalu menarik banyak bisnis mundur. Seringkali karena ini, perusahaan (ini berlaku tidak hanya untuk mobil, tetapi juga untuk Internet hal-hal seperti itu) menunda keamanan untuk nanti, atau tidak menanganinya sama sekali, menyelesaikan tugas yang lebih biasa - untuk merilis produk ke pasar sesegera mungkin.
Peretasan diketahui yang terjadi sebelumnya dikaitkan dengan mengganggu kerja rem, mematikan mesin saat bepergian, mencegat data di lokasi mobil, menonaktifkan kunci pintu dari jarak jauh. Artinya, pelaku kejahatan siber memiliki peluang yang cukup menarik untuk melakukan tindakan tertentu. Untungnya, sementara tindakan seperti itu tidak dilakukan dalam kehidupan nyata, ini lebih merupakan apa yang disebut bukti konsep, yaitu, semacam demonstrasi kemungkinan mencuri mobil, menghentikannya saat bepergian, mengambil kendali, dan segera.
Apa yang dapat Anda lakukan dengan mobil hari ini? Meretas sistem kontrol kendaraan, yang akan menyebabkan kecelakaan di jalan dan kemacetan lalu lintas; mencegat sinyal PKES dan mencuri mobil; ganti rute melalui RDS; mempercepat kendaraan secara sewenang-wenang; memblokir sistem pengereman atau mesin saat bergerak; mengganti titik POI dalam sistem navigasi; mencegat lokasi atau memblokir transmisi informasi lokasi; memblokir transmisi sinyal pencurian; mencuri konten dari sistem hiburan; melakukan perubahan pada ECU dan sebagainya. Semua ini dapat dilakukan baik melalui akses fisik langsung, melalui koneksi ke port diagnostik mobil, dan melalui akses fisik tidak langsung melalui CD dengan firmware yang dimodifikasi atau melalui mekanisme PassThru, serta melalui akses nirkabel jarak dekat (untuk misalnya, Bluetooth) atau jarak jauh (misalnya, melalui Internet atau aplikasi seluler).
Dalam jangka panjang, jika vendor tidak memikirkan apa yang terjadi, ini dapat menyebabkan konsekuensi yang mengerikan. Ada contoh yang cukup sederhana yang belum menunjukkan bahwa peretas telah secara aktif mengambil mobil, tetapi sudah berlaku dalam kehidupan nyata. Misalnya, penekanan takograf bawaan yang memiliki sensor GPS atau GLONASS. Saya belum pernah mendengar tentang kasus seperti itu dengan GLONASS dalam praktik Rusia, tetapi di Amerika ada preseden dengan GPS, ketika penyerang menekan sinyal mobil pengumpul lapis baja dan membajaknya ke tempat yang tidak diketahui untuk mengambilnya dan mengambil semua barang-barang berharga. Penelitian di bidang ini dilakukan di Eropa, di Inggris. Kasus-kasus seperti itu adalah langkah pertama menuju serangan kendaraan. Karena, untungnya, saya belum pernah mendengar hal lain (menghentikan mesin, melepaskan rem saat bergerak) dalam praktik nyata. Meskipun kemungkinan serangan semacam itu menunjukkan bahwa produsen dan, yang paling penting, konsumen harus memikirkan apa yang mereka lakukan dan apa yang mereka beli.
Patut dikatakan bahwa bahkan enkripsi tidak digunakan di mana-mana. Meskipun enkripsi pada awalnya dapat disediakan oleh desain, itu jauh dari selalu disertakan, karena ini memuat saluran, menyebabkan penundaan tertentu dan dapat menyebabkan penurunan beberapa karakteristik konsumen yang terkait dengan perangkat.
Di sejumlah negara, enkripsi adalah jenis bisnis yang sangat spesifik yang memerlukan izin dari lembaga pemerintah. Ini juga memberlakukan batasan tertentu. Ekspor peralatan yang berisi fungsi enkripsi berada di bawah apa yang disebut Perjanjian Wassenaar tentang Ekspor Teknologi Penggunaan Ganda, yang mencakup enkripsi. Pabrikan diharuskan memperoleh izin ekspor dari negara produksinya, dan kemudian memperoleh izin impor ke negara di mana produk tersebut akan diimpor. Jika situasi dengan perangkat lunak sudah tenang, meskipun ada beberapa kesulitan dan keterbatasan, maka dengan hal-hal bermodel baru seperti enkripsi di Internet, masih ada masalah. Intinya tidak ada yang tahu bagaimana mengaturnya.
Namun, ada beberapa kelebihan dalam hal ini, karena regulator masih hampir tidak melihat ke arah enkripsi Internet barang dan mobil pada khususnya. Misalnya, di Rusia, FSB sangat ketat mengontrol impor perangkat lunak dan peralatan telekomunikasi yang mengandung fungsi enkripsi, tetapi secara praktis tidak mengatur enkripsi pada drone, mobil, dan isian komputer lainnya dengan cara apa pun, meninggalkannya di luar ruang lingkup regulasi. FSB tidak melihat ini sebagai masalah besar: teroris dan ekstremis tidak menggunakannya. Oleh karena itu, sementara enkripsi tersebut tetap di luar kendali, meskipun secara formal berada di bawah hukum.
Juga, enkripsi, sayangnya, sangat sering diterapkan pada tingkat dasar. Padahal, sebenarnya, ini adalah operasi XOR biasa, yaitu mengganti beberapa karakter dengan karakter lain sesuai dengan algoritma sederhana tertentu yang mudah diambil. Selain itu, enkripsi sering diterapkan oleh non-spesialis di bidang kriptografi, yang mengambil perpustakaan siap pakai yang diunduh dari Internet. Akibatnya, dalam implementasi seperti itu, Anda dapat menemukan kerentanan yang memungkinkan Anda untuk melewati algoritma enkripsi dan setidaknya mencegat data, dan terkadang menyerang saluran untuk menggantikannya.
Permintaan akan keamanan mobil
Divisi Israel kami memiliki solusi yang disebut Autoguard. Ini adalah firewall mobil kecil yang mengontrol apa yang terjadi di dalam dan berinteraksi dengan dunia luar. Faktanya, ini menganalisis perintah yang dipertukarkan antara elemen komputer dan sensor terpasang, mengontrol akses dari luar, yaitu menentukan siapa yang dapat dan siapa yang tidak dapat terhubung ke elektronik internal dan pengisian.
Pada bulan Januari 2018 di Las Vegas, di pameran terbesar CES Electronics, Cisco dan Hyundai Motor Company mengumumkan pembuatan mobil generasi baru, yang akan menggunakan arsitektur kendaraan yang ditentukan perangkat lunak (Software Defined Vehicle) dan dilengkapi dengan teknologi jaringan terkini, termasuk mekanisme keamanan siber. Mobil pertama harus meluncur dari jalur perakitan pada 2019.
Tidak seperti elektronik konsumen dan solusi TI perusahaan, keamanan otomotif adalah pasar yang sangat spesifik. Hanya ada beberapa lusin konsumen di pasar ini di seluruh dunia - menurut jumlah produsen mobil. Sayangnya, pemilik mobil itu sendiri tidak dapat meningkatkan keamanan siber "kuda besi" miliknya. Sebagai aturan, proyek semacam ini bukan karena tidak diiklankan, tetapi tidak berada dalam domain publik, karena ini bukan jutaan perusahaan yang membutuhkan router, dan bukan ratusan juta pengguna yang membutuhkan ponsel cerdas yang aman. Ini hanya tiga hingga empat lusin produsen mobil yang tidak mau memperhatikan bagaimana proses perlindungan mobil dibangun.
Banyak produsen menganggap enteng perlindungan, yang lain hanya melihat area ini, melakukan berbagai tes, karena di sini ada kekhususan yang terkait dengan lingkaran kehidupan mobil. Di Rusia, masa pakai rata-rata mobil adalah lima hingga enam tahun (di wilayah tengah dan kota-kota besar, tiga hingga empat tahun, dan di wilayah, tujuh hingga delapan tahun). Jika pabrikan sekarang berpikir untuk memperkenalkan keamanan siber ke dalam jajaran mobilnya, maka solusi ini akan memasuki pasar massal dalam sepuluh tahun, bukan lebih awal. Di Barat, situasinya sedikit berbeda. Di sana, mobil lebih sering diganti, tetapi bahkan dalam kasus ini, terlalu dini untuk mengatakan bahwa mobil cukup dilengkapi dengan sistem perlindungan. Karena itu, tidak ada yang ingin menarik banyak perhatian pada topik ini.
Penyerang sudah dapat mulai menyerang mobil atau memprovokasi penarikan mobil karena masalah keamanan komputer. Ini bisa sangat mahal bagi produsen, karena kerentanan selalu ada. Tentu saja, mereka akan ditemukan. Tetapi setiap kali terlalu mahal untuk menarik ribuan atau ratusan ribu kendaraan yang rentan karena kerentanannya. Oleh karena itu, topik ini tidak terdengar, tapi produsen besar, tentu saja, mereka bekerja dan memikirkan prospek pasar ini. Menurut perkiraan GSMA, pada tahun 2025, 100% mobil akan terhubung ke Internet (disebut mobil yang terhubung). Saya tidak tahu berapa banyak Rusia yang diperhitungkan dalam statistik ini, tetapi raksasa otomotif dunia dihitung di dalamnya.
Keamanan moda transportasi lain
Ada kerentanan di semua jenis kendaraan. Yaitu angkutan udara, angkutan laut, dan angkutan barang. Kami tidak akan memperhitungkan jaringan pipa, meskipun mereka juga dianggap sebagai moda transportasi. Setiap kendaraan modern berisi pengisian komputer yang cukup kuat, dan pengembangannya sering dilakukan oleh spesialis dan pemrogram TI biasa yang membuat kesalahan klasik saat membuat kode mereka.
Dari sudut pandang pengembangan, sikap terhadap proyek semacam itu sedikit berbeda dari Microsoft, Oracle, SAP atau Cisco. Dan pengujian dilakukan pada level yang salah. Oleh karena itu, ada kasus menemukan kerentanan dan menunjukkan kemungkinan meretas pesawat atau transportasi laut. Itulah sebabnya tidak ada kendaraan yang dapat dikecualikan dari daftar ini - keamanan siber mereka tidak pada tingkat yang sangat tinggi saat ini.
Dengan drone, situasinya sama dan bahkan lebih sederhana, karena ini adalah pasar yang lebih massal. Hampir setiap orang memiliki kesempatan untuk membeli drone dan membongkarnya untuk penelitian. Bahkan jika drone berharga beberapa ribu dolar, Anda dapat membelinya, menganalisisnya, menemukan kerentanannya. Kemudian Anda dapat mencuri perangkat tersebut, atau menanamnya dengan cepat, mencegat saluran kontrol. Anda juga dapat memprovokasi mereka untuk jatuh dan merusak pemiliknya, atau mencuri parsel yang diangkut oleh drone jika digunakan untuk mengangkut barang dan kiriman.
Mengingat jumlah drone, dapat dimengerti mengapa penyerang secara aktif mempelajari pasar khusus ini: pasar ini lebih dimonetisasi. Situasi di daerah ini bahkan lebih aktif daripada dengan mobil, karena ada manfaat langsung bagi "orang jahat". Itu tidak ada ketika mobil diretas, tidak termasuk kemungkinan pemerasan dari perhatian mobil. Selain itu, Anda bisa masuk penjara karena pemerasan, dan prosedur untuk mendapatkan uang tebusan jauh lebih rumit. Tentu saja, Anda dapat mencoba mendapatkan uang dari auto concern secara legal, tetapi hanya sedikit orang yang menghasilkan uang dengan mencari kerentanan seperti itu secara legal dan untuk uang.
Saat produsen memblokir pembaruan
Baru-baru ini ada kasus yang menarik - produsen mesin pertanian. Saya tidak melihat sesuatu yang supernatural atau bertentangan dengan praktik bisnis dari sudut pandang pabrikan dalam situasi ini. Dia ingin mengendalikan proses pembaruan perangkat lunak dan mengikat pelanggannya kepadanya. Karena dukungan garansi adalah uang, pabrikan ingin terus menghasilkan uang darinya, mengurangi risiko pelanggan pergi ke pemasok peralatan lain.
Hampir semua perusahaan yang bekerja di bidang terkait TI "hidup" dengan prinsip ini, serta perusahaan – produsen mobil, mesin pertanian, peralatan penerbangan atau drone yang menerapkan IT di tempatnya. Jelas bahwa setiap intervensi yang tidak sah dapat menimbulkan konsekuensi yang menyedihkan, oleh karena itu produsen menutup kemungkinan untuk memperbarui perangkat lunak sendiri, dan saya memahaminya dengan sempurna di sini.
Ketika konsumen tidak ingin membayar untuk dukungan garansi untuk peralatan, ia mulai mencari di berbagai situs firmware untuk pembaruan firmware. Ini dapat, di satu sisi, mengarah pada fakta bahwa ia memperbarui perangkat lunaknya secara gratis, tetapi di sisi lain, itu dapat menyebabkan kerusakan. Secara khusus, dalam praktik Cisco ada kasus ketika perusahaan tidak mau membayar untuk dukungan (dalam kasus ini, tentu saja, bukan peralatan mobil atau pertanian, tetapi peralatan jaringan biasa), mengunduh firmware di suatu tempat di forum peretas. Ternyata, firmware ini berisi "bookmark". Akibatnya, untuk sejumlah pelanggan, informasi yang melewati peralatan jaringan bocor ke orang tak dikenal. Ada beberapa perusahaan di dunia yang mengalami hal ini.
Jika kita melanjutkan analogi dan membayangkan apa yang bisa dilakukan dengan mesin pertanian, gambarannya akan menjadi menyedihkan. Secara teori, dimungkinkan untuk memblokir pengoperasian mesin pertanian dan meminta uang tebusan untuk memulihkan akses ke mesin yang menelan biaya ratusan ribu dolar atau bahkan jutaan. Untungnya, sejauh yang saya tahu, belum ada preseden seperti itu, tetapi saya tidak mengecualikan bahwa mereka mungkin muncul di masa depan jika praktik ini berlanjut.
Bagaimana meningkatkan keselamatan kendaraan
Instruksinya sangat sederhana: Anda perlu memahami bahwa masalahnya ada. Faktanya adalah bahwa bagi banyak manajer tidak ada masalah seperti itu, mereka menganggapnya terlalu mengada-ada atau tidak terlalu diminati oleh pasar dan, karenanya, tidak siap untuk mengeluarkan uang untuk itu.
Tiga atau empat tahun lalu, Moskow menjadi tuan rumah Connected Car Summit, di mana mereka membicarakan berbagai hal baru yang berkaitan dengan otomatisasi dan komputerisasi mobil. Misalnya tentang pelacakan lokasi (car sharing dengan koneksi internet) dan lain sebagainya. Saya memberikan ceramah di sana tentang keselamatan mobil. Dan ketika saya berbicara tentang berbagai contoh tentang apa yang dapat dilakukan dengan mobil, banyak perusahaan, pabrikan, dan perusahaan berbagi mobil mendatangi saya setelah pidato dan berkata: “Oh, kami bahkan tidak memikirkannya. Apa yang kita lakukan?"
Ada beberapa produsen mobil di Rusia. Setelah pidato, perwakilan dari salah satu dari mereka mendatangi saya dan mengatakan bahwa meskipun mereka bahkan tidak memikirkan keamanan komputer, karena tingkat komputerisasi sangat rendah, mereka harus terlebih dahulu memahami apa yang dapat ditambahkan ke mobil dalam hal pengisian komputer. Ketika saya bertanya kepada perwakilan ini apakah mereka akan memikirkan keamanan secara umum, dia menjawab bahwa ini dianggap dalam perspektif yang sangat panjang. Ini adalah poin kuncinya: Anda perlu memikirkan fakta bahwa keamanan komputer adalah bagian integral, ini bukan fungsi "tambahan" eksternal, tetapi properti mobil modern. Ini adalah setengah dari keberhasilan dalam keamanan transportasi.
Langkah penting kedua adalah merekrut spesialis, internal atau eksternal. Kami membutuhkan orang yang secara hukum dapat merusak solusi yang ada dan mencari kerentanan di dalamnya. Sekarang ada penggemar individu atau perusahaan yang terlibat dalam tes penetrasi atau analisis keamanan mobil dan isian komputer mereka. Tidak banyak dari mereka, karena ini adalah pasar yang agak sempit di mana Anda tidak dapat berkembang dan menghasilkan banyak uang. Di Rusia, saya tidak tahu siapa yang akan melakukan ini. Tetapi ada perusahaan yang menganalisis keamanan dan melakukan hal-hal yang cukup spesifik - menguji sistem kontrol proses otomatis dan sejenisnya. Mungkin, mereka bisa mencoba sendiri di mobil.
Elemen ketiga adalah penerapan mekanisme pembangunan yang aman. Ini telah lama akrab bagi pengembang perangkat lunak konvensional, terutama di Rusia baru-baru ini mengadopsi standar GOST yang relevan untuk pengembangan perangkat lunak yang aman. Ini adalah seperangkat pedoman tentang cara menulis kode dengan benar sehingga lebih sulit untuk dipecahkan, bagaimana menghindari konstruksi yang akan menyebabkan buffer overflows, intersepsi data, substitusi data, penolakan layanan, dan sebagainya.
Langkah keempat adalah implementasi solusi keamanan teknis, yaitu, penggunaan chip khusus di mobil, membangun arsitektur keamanan. Staf pengembangan harus mencakup arsitek yang secara khusus menangani masalah keamanan. Mereka juga dapat menangani arsitektur kendaraan dalam hal perlindungan, arsitektur sistem kontrol. Karena Anda selalu dapat menyerang bukan mobil itu sendiri - jauh lebih efektif untuk meretas sistem kontrol dan mendapatkan kendali atas semua mobil.
Seperti yang baru-baru ini terjadi dengan mesin kasir online, yang tiba-tiba berhenti bekerja pada hari keseratus FSB. Lagi pula, checkout online, secara kasar, adalah mobil yang sama: ia memiliki isi komputer, ada firmware. Firmware berhenti bekerja sekaligus, dan seperempat dari seluruh pasar ritel berdiri selama beberapa jam. Sama halnya dengan mobil: kode yang ditulis dengan buruk, kerentanan yang ditemukan di dalamnya, atau peretasan sistem kontrol dapat menyebabkan konsekuensi yang agak menyedihkan. Tetapi jika dalam kasus kerugian mesin kasir online diukur dalam miliaran, maka dalam kasus mobil akan ada korban.
Meski dengan mobil, tidak perlu menunggu peretasan atau penyadapan kendali puluhan juta kendaraan. Cukup untuk meretas hanya beberapa dari mereka, dan kekacauan sudah akan terjadi di jalan. Dan jika fakta peretasan menjadi publik, Anda dapat yakin - media akan meneriakkan seluruh dunia tentang hal itu, dan pemilik mobil akan ngeri dengan "prospek" yang telah terbuka.
Secara umum, tiga tingkat perlindungan untuk kendaraan modern dapat dibedakan. Ini adalah keamanan siber bawaan dari mobil itu sendiri (immobilizer, PKES, komunikasi internal yang aman antara ECU, deteksi anomali dan serangan, kontrol akses, modul keamanan tepercaya); keamanan komunikasi (perlindungan komunikasi eksternal dengan pusat kendali infrastruktur jalan, pabrikan mobil atau bagian-bagiannya, perlindungan pengunduhan aplikasi, konten, pembaruan, perlindungan takograf); dan keselamatan infrastruktur jalan.
Apa dan di mana harus belajar untuk spesialis
Profesional TI yang sedang atau ingin mengembangkan kode untuk mobil, kendaraan, atau drone dapat didorong untuk memulai dengan mempelajari Secure Development (SDLC). Artinya, Anda perlu mempelajari apa itu pengembangan aman secara umum. Harus diakui bahwa pengetahuan tambahan ini tidak membawa uang tambahan. Hari ini, tidak ada yang dihukum karena ketidaktahuan tentang dasar-dasar pengembangan yang aman, tidak ada tanggung jawab, jadi ini tetap pada kebijaksanaan spesialis TI itu sendiri. Awalnya mungkin keunggulan kompetitif untuk spesialis, karena ini jarang diajarkan di mana pun, yang memungkinkan Anda menonjol dari latar belakang orang lain. Namun di bidang keamanan mobil, Internet of things, drone, ini bukan persyaratan paling populer bagi seorang karyawan. Sayangnya, harus diakui bahwa para ahli TI juga tidak terlalu memperhatikan topik ini.
Perkembangan yang aman adalah murni belajar mandiri. Karena praktis tidak ada kursus semacam ini, semuanya dibuat hanya sesuai pesanan, dan, sebagai aturan, ini adalah pelatihan perusahaan. Topik ini juga tidak termasuk dalam standar pendidikan negara bagian, jadi yang tersisa hanyalah belajar mandiri atau mengikuti kursus perusahaan yang terlibat dalam analisis kode. Ada perusahaan seperti itu - di antara pemain Rusia, misalnya, Solar Security atau Positive Technologies. Ada lebih banyak lagi di Barat, misalnya IBM, Coverity, Synopsys, Black Duck. Mereka mengadakan berbagai seminar tentang topik ini (baik berbayar maupun gratis), di mana Anda bisa mendapatkan pengetahuan.
Area kedua untuk profesional TI adalah arsitek. Artinya, Anda bisa menjadi arsitek keamanan untuk proyek semacam itu, untuk Internet of Things secara umum, karena mereka, plus atau minus, dibangun menurut hukum yang sama. Ini adalah sistem kontrol pusat dari cloud dan sekumpulan sensor: baik terfokus secara sempit, seperti drone, atau sensor yang terintegrasi di dalam mobil atau kendaraan yang lebih besar, yang perlu dikonfigurasi, diterapkan, dan dirancang dengan benar. Penting untuk mempertimbangkan berbagai ancaman, yaitu, apa yang disebut pemodelan ancaman diperlukan. Penting juga untuk mempertimbangkan perilaku penyusup potensial untuk memahami potensi kemampuan dan motivasinya, dan berdasarkan ini - untuk merancang mekanisme untuk mengusir ancaman di masa depan.
Anda dapat menemukan banyak bahan bermanfaat di Internet. Anda juga dapat membaca berbagai presentasi dari konferensi seperti DEF CON dan Black Hat. Anda dapat melihat materi dari perusahaan: banyak yang mempublikasikan di situs web mereka presentasi dan kertas putih yang cukup bagus, deskripsi kesalahan tipikal dalam kode, dan sebagainya. Anda dapat mencoba menemukan presentasi dari acara keamanan kendaraan khusus (misalnya Automotive Cybersecurity Summit, Vehicle Cyber Security Summit, Connected Cars Summit, CyberSecureCar Europe).
Selain itu, sekarang regulator Rusia FSTEC Rusia ( Layanan federal pada kontrol teknis dan ekspor) memiliki sejumlah inisiatif, khususnya, diusulkan untuk memposting di Internet kesalahan khas yang dibuat oleh programmer dalam kode, untuk memelihara database tertentu dari kesalahan tersebut. Ini belum diterapkan, tetapi regulator bekerja ke arah ini, meskipun mereka tidak selalu memiliki sumber daya yang cukup.
Setelah gudang cyber CIA dan NSA bocor ke Internet, siapa pun, bahkan "peretas rumah", dapat merasa seperti agen khusus. Lagi pula, dia memiliki gudang senjata yang hampir sama. Ini memaksa arsitek untuk berpikir secara berbeda tentang bagaimana mereka membangun sistem mereka. Menurut berbagai penelitian, jika Anda memikirkan keamanan pada tahap pembuatan arsitektur, maka sumber daya X akan dihabiskan untuk implementasinya. Jika Anda mengubah arsitektur pada tahap operasi industri, ini akan membutuhkan tiga puluh kali lebih banyak sumber daya, waktu, manusia, dan uang.
Seorang arsitek adalah profesi yang sangat modis dan, yang paling penting, sangat menghasilkan uang. Saya tidak bisa mengatakan bahwa ada spesialis seperti itu di Rusia permintaan yang tinggi, tetapi di Barat, seorang arsitek keamanan adalah salah satu spesialisasi dengan bayaran tertinggi, pendapatan tahunan spesialis semacam itu adalah sekitar dua ratus ribu dolar. Di Rusia, menurut Kementerian Tenaga Kerja, ada kekurangan sekitar 50-60 ribu pekerja keamanan setiap tahun. Di antara mereka ada arsitek, administrator, manajer, dan mereka yang mensimulasikan ancaman - ini adalah spesialis keamanan yang sangat luas yang secara teratur kurang di Rusia.
Namun, arsitek juga tidak diajarkan di universitas. Pada dasarnya, ini adalah pelatihan ulang, yaitu kursus yang sesuai, atau belajar mandiri.
Di Rusia, pelatihan perusahaan terutama dipraktikkan. Karena ini bukan pasar massal dan pusat pelatihan tidak memasukkan ini dalam program mereka sebagai kursus. Ini hanya dibuat sesuai pesanan. Secara teori, hal ini pada awalnya perlu dimasukkan dalam pendidikan publik di universitas. Untuk meletakkan dasar untuk desain yang benar dari berbagai arsitektur. Sayangnya, standar pendidikan negara federal ditulis oleh orang-orang yang sangat jauh dari kenyataan dan praktik. Seringkali ini mantan orang berseragam, yang tidak selalu tahu bagaimana merancang sistem dengan benar, atau mereka sangat akrab dengan ini: pengetahuan mereka terkait dengan rahasia negara atau perang melawan dinas intelijen teknis asing, dan ini adalah pengalaman yang sedikit berbeda. Pengalaman ini tidak bisa disebut buruk, tetapi berbeda dan hampir tidak berlaku di segmen komersial dan Internet of Things. FSES diperbarui dengan sangat lambat, kira-kira sekali setiap tiga hingga empat tahun, dan sebagian besar perubahan kosmetik dilakukan pada mereka. Jelas bahwa dalam situasi seperti itu tidak ada cukup spesialis dan tidak akan cukup.
Bekerja di Cisco
Cisco memiliki perkembangan di Rusia. Pekerjaan saat ini sedang berlangsung untuk membuat platform tumpukan terbuka untuk penyedia layanan dan pusat data. Kami juga memiliki sejumlah perjanjian dengan perusahaan Rusia yang terlibat dalam proyek terpisah untuk kita. Salah satunya adalah Perspective Monitoring, yang menulis penangan terpisah untuk lalu lintas jaringan untuk mengenali aplikasi yang berbeda, yang kemudian disematkan di alat keamanan jaringan kami. Secara umum, kami, seperti kebanyakan perusahaan IT dunia, memiliki beberapa pusat pengembangan di dunia, dan kantor regional menjalankan fungsi pemasaran, dukungan, dan penjualan.
Kami memiliki program magang untuk lulusan universitas - satu tahun di Eropa, di akademi kami. Sebelum itu, mereka melalui kompetisi besar, dan kemudian mereka dikirim selama satu tahun ke salah satu ibu kota Eropa. Setelah kembali, mereka didistribusikan ke kantor kami di Rusia dan negara-negara CIS. Ini adalah insinyur yang merancang dan mendukung sistem dan orang-orang yang terlibat dalam penjualan.
Terkadang kami memiliki lowongan ketika seseorang pergi untuk promosi atau meninggalkan perusahaan. Pada dasarnya ini adalah posisi teknik atau posisi terkait penjualan. Mempertimbangkan level Cisco, dalam hal ini kami tidak merekrut siswa, tetapi orang-orang yang telah bekerja untuk posisi tertentu selama lebih dari satu tahun. Jika seorang insinyur, maka ia harus memiliki sertifikasi Cisco yang cukup. Anda tidak memerlukan CCNA dasar, sebagai aturan, minimum CCNP diperlukan, dan kemungkinan besar, seorang spesialis harus lulus sertifikasi CCIE sama sekali - ini adalah tingkat maksimum sertifikasi Cisco. Tidak banyak orang seperti itu di Rusia, jadi kami sering mengalami masalah ketika kami perlu mencari insinyur. Meskipun secara umum perputaran dalam perusahaan tidak terlalu besar, hanya berkisar 1-2% per tahun. Meskipun situasi ekonomi, perusahaan Amerika mereka membayar dengan sangat baik di Rusia, paket sosial bagus, jadi biasanya orang tidak meninggalkan kita.
Saya lahir pada tahun 1973 di Moskow, tempat saya masih tinggal, terlepas dari upaya kekuatan asing untuk memasukkan saya ke dalam jajaran warga negara mereka. Pada tahun 1996 ia lulus dari Institut Teknik Radio, Elektronika dan Otomasi (MIREA) Moskow dengan gelar Matematika Terapan (spesialisasi - Keamanan Informasi). Mencoba untuk mendapatkan gelar kandidat dua kali ilmu teknik, tetapi kedua kali, setelah menangkap pemimpin plagiarisme ilmiah masa depan, ia menghentikan jalannya sebagai mahasiswa pascasarjana. Kami tidak diadili. Saya tidak memiliki penghargaan negara bagian dan departemen.Saya telah bekerja di bidang keamanan informasi sejak tahun 1992. Dia bekerja sebagai spesialis keamanan informasi di berbagai negara bagian dan organisasi komersial... Dia telah beralih dari programmer dan administrator enkripsi menjadi analis dan manajer pengembangan bisnis di bidang keamanan informasi. Dia memiliki sejumlah sertifikasi di bidang keamanan informasi, tetapi menghentikan perlombaan untuk lencana. Saat ini saya memberikan segalanya untuk Cisco.
Menerbitkan lebih dari 600 publikasi di berbagai publikasi - "CIO", "Direktur Layanan Informasi", "Jurnal Perbankan Nasional", "PRIME-TASS", "Keamanan Informasi", "Cnews", "Teknologi Perbankan", "Jurnal Perbankan Analitik" , "Bisnis Online", "Dunia Komunikasi. Hubungkan ”,“ Ringkasan ”,“ Manajemen Perusahaan Rasional ”,“ Merger dan Akuisisi ”, dll. Pada pertengahan 2000-an, dia berhenti menghitung publikasinya sebagai pekerjaan tanpa harapan. Saat ini saya blogging di Internet "Bisnis tanpa bahaya".
Pada 2005, ia dianugerahi penghargaan Asosiasi Telekomunikasi Dokumenter "Untuk Pengembangan Infokomunikasi di Rusia", dan pada 2006 - penghargaan Infoforum dalam kategori "Publikasi Tahun Ini". Pada Januari 2007, ia termasuk dalam peringkat 100 orang di pasar TI Rusia (yang saya tidak mengerti). Pada tahun 2010 ia memenangkan kompetisi Lions and Gladiators. Pada 2011, ia dianugerahi diploma Menteri Dalam Negeri Federasi Rusia. Pada konferensi "Info Security" ia menerima Penghargaan Keamanan tiga kali - pada 2013, 2012 dan 2011 (untuk kegiatan pendidikan). Untuk kegiatan yang sama, atau lebih tepatnya untuk blogging, ia menerima Runet Anti-Hadiah pada tahun 2011 dalam nominasi Safe Roll. Pada 2012, ia dianugerahi oleh Asosiasi Bank Rusia atas kontribusinya yang besar terhadap pengembangan keamanan sistem perbankan Rusia, dan pada 2013 di forum Magnitogorsk ia menerima penghargaan "Untuk Dukungan Metodologi dan Prestasi dalam Keamanan Perbankan" . Juga pada tahun 2013 dan 2014, portal DLP-Expert dinobatkan sebagai pembicara terbaik tentang keamanan informasi. Selama berada di Cisco, ia dianugerahi sejumlah penghargaan internal.
Pada tahun 2001 ia menerbitkan buku "Deteksi Serangan" (pada tahun 2003 edisi kedua buku ini diterbitkan), dan pada tahun 2002, bekerja sama dengan I.D. Medvedovsky, P.V. Semyanov dan D.G. Leonov - buku "Serangan dari Internet". Pada tahun 2003 ia menerbitkan buku "Protect Your Information With Intrusion Detection" (di bahasa Inggris). Selama 2008-2009, ia menerbitkan buku "Mitos dan Kesalahpahaman Keamanan Informasi" di portal bankir.ru.
Saya penulis banyak kursus, termasuk "Pengantar Deteksi Serangan", "Sistem Deteksi Serangan", "Bagaimana Menghubungkan Keamanan dengan Strategi Bisnis Perusahaan", "Apa yang Menyembunyikan Undang-Undang tentang Data Pribadi", "Keamanan Informasi dan Organisasi Teori", "Mengukur Efektivitas Keamanan informasi ”,“ Arsitektur dan strategi keamanan informasi ”. Saya memberikan kuliah tentang keamanan informasi di berbagai institusi pendidikan dan organisasi. Dia adalah moderator konferensi gema RU.SECURITY di jaringan FIDO, tetapi mengabaikan kasus ini karena eksodus sebagian besar pakar di Internet.
Untuk pertama kalinya di pers Rusia ia membahas topik:
- Keamanan informasi bisnis
- Keamanan merger dan akuisisi
- Mengukur efektivitas keamanan informasi
- keamanan SOA
- Keamanan sistem penagihan
- Sistem penipuan
- Keamanan telepon IP
- Keamanan penyimpanan
- Keamanan hotspot
- Keamanan pusat panggilan
- Aplikasi pusat situasi dalam keamanan informasi
- Spam seluler
- Keamanan jaringan operator seluler
- Dan banyak lagi.
Saya sudah menikah dan memiliki seorang putra dan putri. Mencoba waktu senggang mengabdikan diri untuk keluarga, meskipun pekerjaan yang melelahkan demi kebaikan Tanah Air dan majikan hampir tidak menyisakan waktu seperti itu. Hobi berubah menjadi pekerjaan, atau pekerjaan berubah menjadi hobi - menulis dan Informasi keamanan... Saya telah terlibat dalam pariwisata sejak kecil.
sl. Foto untuk publikasi Internet (unduh di atas atau oleh
HAI tvettampak jelas. Untuk membuat blog seperti Lukatsky, Anda harus menjadi Lukatsky. Tapi mari kita gali sedikit lebih dalam tentang teknik dan motivasi untuk menjalankan blog Anda sendiri.Blog adalah obat. Bahkan jika hari ini Anda telah menulis di semua kemungkinan media sosial banyak posting, tweet, dan komentar, Anda ingin lebih dan lebih. Semakin banyak informasi yang Anda tertarik untuk membuang pada Anda, semakin Anda ingin mengkonsumsi blog, halaman, situs. Semakin banyak saluran yang Anda miliki untuk menyebarkan informasi Anda, semakin banyak cara yang Anda butuhkan untuk berkomunikasi dengan dunia luar.
Nilai sebenarnya dari setiap blog bagi pemiliknya adalah cara yang terjangkau mengkomunikasikan informasi kepada khalayak luas. Selain itu, blog memungkinkan Anda untuk meningkatkan harga diri Anda, menyembunyikan kelemahan Anda di dalam, dan, sebaliknya, mengekspos keberanian Anda.
Keinginan untuk membuat merek Anda sendiri
Alasan pertama untuk menjalankan blog Anda sendiri adalah untuk mengatakan sesuatu kepada audiens Anda. Dunia menjadi kaya akan informasi, permintaan akan informasi yang berguna dan tepat waktu semakin meningkat, memberikan peluang baru kepada orang-orang yang melihat ini sebagai cara untuk membuka potensi mereka.
Alasan kedua cukup egois - keinginan untuk membuat merek Anda sendiri, yaitu melakukan apa yang Anda sukai untuk mendapatkan keuntungan pribadi darinya (ops, dengan santai merumuskan impian peretas mana pun).
Mari kita cari tahu apakah Anda memiliki prasyarat untuk membuat merek Anda sendiri di jejaring sosial.
Pertama-tama, ketika memilih topik blogging, Anda harus fokus pada sesuatu. Anda dihadapkan pada masalah pilihan.
1. Merek informasi yang diberikan (diasumsikan bahwa ini adalah semacam eksklusif, a'la Arustamyan dari sepak bola dengan berita semunya).
2. Merek seorang ahli - itu harus diperoleh, dan ini panjang dan jalan berduri... Kolega di toko harus mengenali dalam diri Anda seorang spesialis dalam kemampuan untuk menyampaikan informasi berkualitas tinggi dalam bentuk yang dapat diakses.
3. Merek pengetahuan - untuk mengirimkan pengetahuan kepada audiens, Anda harus terlebih dahulu mendapatkannya, dan ini adalah pekerjaan yang mungkin tidak membuahkan hasil. Bagaimanapun, Anda perlu meningkatkan potensi Anda sebagai perwakilan dari profesi.
4. Yah, dan, sebagai opsi yang paling umum, Anda hanya orang yang berbakat, Anda penuh dengan keinginan untuk menjadi terkenal dan tidak masalah bagi Anda apa yang harus ditulis / dibicarakan (inilah yang dipikirkan kebanyakan blogger pemula) .
Anda perlu belajar bagaimana menyajikan materi sedemikian rupa sehingga a) dapat dimengerti, b) relevan, dan kemudian siapa yang menyukai apa: menarik, menggairahkan, kata-kata mutiara, mudah, dengan humor. Bagaimanapun, menulis atau berbicara di depan umum adalah keterampilan yang dapat dipelajari dan disertai dengan pengalaman.
Kebanyakan orang (dalam konteks artikel ini - blogger) terlibat baik dalam menafsirkan ide orang lain (persis apa yang saya lakukan sekarang), atau menggabungkan siaran pers berita (acara, lowongan, dll.), termasuk menyiarkan berita merek mereka sendiri. / produk dengan menerbitkan konten yang diinginkan dari pameran, konferensi, presentasi, dll. Tetapi bahkan dalam hal ini, tidak banyak yang dapat mengemas informasi menjadi materi berkualitas tinggi (kami tidak menganggap jurnalis profesional). Dan mengapa? Umpan berita materi cocok untuk sebagian besar audiens sasaran... Dengan kekurangan waktu saat ini dan kelimpahan bahan, pembaca tidak memiliki cukup kekuatan atau kesabaran untuk lebih.
Terlepas dari pernyataan dalam judulnya, jika tidak seperti Lukatsky, tetapi Anda memiliki semua yang Anda butuhkan untuk menjadi blogger terkenal - orang yang tahu cara menulis dan siap mencurahkan seluruh waktu luangnya untuk pekerjaan ini.
Ini hanya membutuhkan lima istilah.
Pertama, Anda membutuhkan keberuntungan. (dan ini adalah salah satu alasan mengapa Anda tidak akan menjadi Lukatsky). Tidak semua orang seberuntung Lukatsky. Dia memiliki pengetahuan, pengalaman dan yang paling penting - teknologi modern keamanan. Penting (dan ini dapat dilihat) bahwa dia mendapat dukungan dari perusahaannya. Apa yang dulunya hanya hobi bagi Lukatsky telah menjadi pendekatan baru perusahaan untuk transfer informasi yang Anda butuhkan... Karena popularitasnya di media sosial, blog Lukatsky telah menjadi merek di dalam perusahaan (saya ragu ini adalah strategi yang dipikirkan dengan matang, setidaknya pada awalnya). Ini telah menjadi bagian dari melakukan bisnis yang diwakili Lukatsky ( Cisco ). Dia dengan tulus mencintai apa yang dia lakukan dan minatnya diteruskan ke penonton. Dia tidak hanya peduli dengan bidang kegiatan, tetapi juga dengan keadaan industri secara keseluruhan, dan ini menarik.
Yang kedua adalah campuran energi batin, karisma pribadi, dan pengalaman.
Untuk berbicara di depan umum, Anda membutuhkan karisma, kepribadian yang cerah. Lukatsky diundang ke berbagai acara karena ia mampu menjelaskan hal-hal yang kompleks dalam bahasa yang sederhana (ini adalah keterampilan yang perlu dipelajari) dan fasih dalam bidang pelajaran.
Keempat - untuk melihat hutan sebelum pepohonan
Anda perlu melihat/merasakan/mengetahui masalah target audiens blog. Blogger terkemuka memberikan bantuan yang sangat berharga dalam memecahkan masalah bagi pembaca blog mereka. Mengambil materi dan mengemasnya ke dalam posting blog yang jelas dan menarik adalah sesuatu yang mereka lakukan secara teratur dan efisien.
Blog bukan hanya sebagai sarana penyampaian informasi, tetapi juga peluang untuk pengembangan karir (tidak ada nabi di tanah air Anda). Lukatsky adalah contoh menciptakan posisi baru di perusahaan - penerjemah domain untuk menarik audiens baru.
Akhirnya, kelima - blogging membutuhkan disiplin besi. untuk secara teratur (semakin sering semakin baik) mempublikasikan materi di blog Anda.
Nah, dan sebagai tambahan, opsi opsional - diinginkan untuk mengadakan seminar pelatihan reguler. untuk mempopulerkan merek Anda.
Mengutip pepatah terkenal: orang akan melupakan apa yang Anda tulis, orang akan melupakan apa yang Anda katakan, orang tidak akan lupa bahwa mereka mengerti berkat Anda. Sekarang dari setiap besi mereka menyiarkan bahwa Lukatsky akan mengadakan seminar tentang data pribadi besok (mungkin ini adalah bentuk PR, robot telah lama menyiarkan, menggunakan IVR -teknologi atau apakah masih ada desa terpencil di Kamchatka di Rusia, yang penduduknya belum menghadiri seminar Lukatsky tentang data pribadi?). Tapi serius, artikel, presentasi, slidenya direplikasi ke semua audiens dan memiliki kehidupan mereka sendiri, dan ini normal, itu memperkuat merek.
Jadi, Anda tidak akan bisa membuat blog seperti Lukatsky. Dan siapa itu ketika berhenti?! Saat Andrey Knyshev bercanda: "Orang yang naik lebih tinggi, baru saja naik lebih awal."
