Untuk bookmark

Fitur membuat dan berbisnis di Rusia

Bergabunglah dengan Vkontakte
rumah Katering umum Biografi Alexey Lukatsky. Mengapa Anda tidak bisa membuat blog seperti Lukatsky? Bagaimana meningkatkan keamanan kendaraan

Biografi Alexey Lukatsky. Mengapa Anda tidak bisa membuat blog seperti Lukatsky? Bagaimana meningkatkan keamanan kendaraan

Tamu kita hari ini adalah Alexey Lukatsky, spesialis keamanan informasi dan konsultan bisnis terkenal di Cisco. Area yang sangat menarik dipilih sebagai topik utama untuk percakapan - keamanan mobil modern dan kendaraan lain. Jika Anda ingin tahu mengapa drone lebih sering membobol mobil, dan mengapa produsen peralatan pertanian memblokir perbaikan tidak resmi mobil mereka di tingkat firmware, baca terus!

Tentang keamanan mobil modern

Ada kesalahpahaman yang berbahaya di antara kebanyakan orang bahwa mobil adalah sesuatu yang unik, berbeda dari komputer biasa. Sebenarnya tidak demikian.

Di Israel, Cisco memiliki divisi terpisah yang didedikasikan untuk keamanan siber otomotif. Itu muncul setelah akuisisi salah satu start-up Israel yang bekerja di lapangan.

Mobil tidak berbeda dengan jaringan rumah atau perusahaan, sebagaimana dibuktikan oleh berbagai penelitian yang meneliti apa yang dapat dilakukan penyerang terhadap mobil. Ternyata mobil juga punya komputer, hanya saja komputer itu kecil dan tidak terlihat. Mereka disebut ECU (Electronic Control Unit), dan ada lusinan di dalam mobil. Setiap power window, sistem rem, monitor tekanan ban, sensor suhu, kunci pintu, sistem komputer on-board, dan seterusnya adalah semua komputer, yang masing-masing mengontrol bagian pekerjaannya sendiri. Melalui modul komputer semacam itu, Anda dapat mengubah logika mobil. Semua modul ini disatukan menjadi satu jaringan, panjang kabel terkadang diukur dalam kilometer, jumlah antarmuka dalam ribuan, dan jumlah kode jutaan baris untuk komputer on-board normal dan, secara umum, seluruh pengisian elektronik (jumlahnya lebih sedikit di pesawat ruang angkasa). Menurut berbagai perkiraan, hingga 40% mobil modern adalah elektronik dan perangkat lunak. Jumlah perangkat lunak di mobil premium hingga satu gigabyte.
Saya tidak memperhitungkan produksi industri mobil Rusia, yang untungnya (dari sudut pandang keamanan), tidak ada pengisian komputer yang serius. Tetapi jika kita mempertimbangkan hampir semua pabrikan mobil asing, maka semuanya sekarang mengomputerisasi bahkan model mobil mereka yang paling murah.

Ya, mobil punya komputer. Ya, mereka memiliki protokol pertukaran datanya sendiri, yang bukan merupakan sesuatu yang rahasia: Anda dapat menyambung ke mereka, mencegat data, dan memodifikasinya. Seperti yang ditunjukkan oleh kasus dari praktik pabrikan seperti Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge dan Mercedes-Benz, para penyerang telah belajar menganalisis dengan baik apa yang terjadi di dalam mobil, mereka telah belajar bagaimana menganalisis interaksi dunia luar dengan mobil. Menurut para ahli, 98% dari semua aplikasi perangkat lunak yang diuji di mobil (dan mereka menyediakan hingga 90% dari semua inovasi) memiliki cacat yang serius, dan beberapa aplikasi memiliki lusinan cacat seperti itu.

Sekarang, dalam kerangka berbagai proyek di Eropa dan Amerika, yang disebut jalan pintar sedang dibuat. (misalnya, proyek EVITA, VANET, simTD). Mereka memungkinkan mobil untuk berkomunikasi dengan permukaan jalan, lampu lalu lintas, tempat parkir, pusat pengiriman lalu lintas. Mobil akan dapat secara otomatis, tanpa campur tangan manusia, mengelola lalu lintas, kemacetan lalu lintas, parkir, mengurangi kecepatan, menerima informasi tentang insiden lalu lintas sehingga navigator internal dapat secara mandiri mengubah rute dan memandu mobil di sepanjang jalan raya yang tidak terlalu padat. Sayangnya, semua interaksi ini sekarang terjadi dalam mode yang praktis tidak terlindungi. Baik mobil itu sendiri maupun interaksi ini hampir tidak dilindungi dengan cara apa pun. Hal ini disebabkan oleh kesalahpahaman umum bahwa sistem semacam ini sangat sulit dipelajari dan tidak menarik bagi siapa pun.

Ada juga masalah bisnis. Dalam bisnis, yang pertama memasuki aturan pasar. Karenanya, jika pabrikan adalah yang pertama meluncurkan hal baru di pasar, ia mengambil bagian besar di pasar ini. Oleh karena itu, keamanan, yang membutuhkan banyak waktu untuk diterapkan dan, yang terpenting, untuk diuji, selalu menarik banyak bisnis kembali. Seringkali karena ini, perusahaan (ini tidak hanya berlaku untuk mobil, tetapi juga untuk Internet hal-hal seperti itu) menunda keamanan untuk nanti, atau tidak terlibat sama sekali, menyelesaikan tugas yang lebih biasa - untuk merilis produk ke pasar sesegera mungkin.

Peretasan yang diketahui yang terjadi sebelumnya dikaitkan dengan gangguan pada pekerjaan rem, mematikan mesin saat bepergian, mencegat data di lokasi mobil, menonaktifkan kunci pintu dari jarak jauh. Artinya para penjahat dunia maya memiliki peluang yang cukup menarik untuk melakukan tindakan tertentu. Untungnya, sementara tindakan semacam itu tidak dilakukan dalam kehidupan nyata, ini lebih merupakan apa yang disebut bukti konsep, yaitu semacam demonstrasi kemungkinan mencuri mobil, menghentikannya saat bepergian, mengambil kendali, dan sebagainya.

Apa yang dapat Anda lakukan dengan mobil hari ini? Meretas sistem kontrol kendaraan, yang akan menyebabkan kecelakaan di jalan raya dan kemacetan lalu lintas; mencegat sinyal PKES dan mencuri mobil; mengganti rute melalui RDS; mempercepat kendaraan secara sewenang-wenang; memblokir sistem pengereman atau mesin saat bergerak; mengganti poin POI dalam sistem navigasi; mencegat lokasi atau memblokir transmisi informasi lokasi; memblokir transmisi sinyal pencurian; mencuri konten dari sistem hiburan; melakukan perubahan pada ECU dan sebagainya. Semua ini dapat dilakukan baik melalui akses fisik langsung, melalui koneksi ke port diagnostik mobil, dan melalui akses fisik tidak langsung melalui CD dengan firmware yang dimodifikasi atau melalui mekanisme PassThru, serta melalui akses nirkabel jarak dekat (misalnya, Bluetooth) atau jarak jauh. jarak (misalnya, melalui Internet atau aplikasi seluler).

Dalam jangka panjang, jika vendor tidak memikirkan apa yang terjadi, hal ini dapat menimbulkan konsekuensi yang mengerikan. Ada contoh yang cukup sederhana yang belum menunjukkan bahwa peretas telah aktif menggunakan mobil, tetapi sudah berlaku dalam kehidupan nyata. Misalnya, penindasan takograf built-in yang memiliki sensor GPS atau GLONASS. Saya belum pernah mendengar tentang kasus seperti itu dengan GLONASS dalam praktik Rusia, tetapi di Amerika ada preseden dengan GPS, ketika penyerang menekan sinyal mobil lapis baja milik kolektor dan membajaknya ke tempat yang tidak diketahui untuk mengambilnya dan mengambil semua barang berharga. Penelitian di bidang ini dilakukan di Eropa, di Inggris. Kasus seperti itu adalah langkah pertama menuju serangan kendaraan. Karena, untungnya, saya belum pernah mendengar yang lainnya (menghentikan mesin, melepas rem saat bergerak) dalam praktik nyata. Meskipun kemungkinan serangan tersebut menunjukkan bahwa produsen dan, yang paling penting, konsumen harus memikirkan tentang apa yang mereka lakukan dan apa yang mereka beli.

Perlu dikatakan bahwa bahkan enkripsi tidak digunakan di mana-mana. Meskipun enkripsi pada awalnya dapat disediakan oleh desain, itu jauh dari selalu disertakan, karena itu memuat saluran, menyebabkan penundaan tertentu dan dapat menyebabkan penurunan dalam beberapa karakteristik konsumen yang terkait dengan perangkat.

Di sejumlah negara, enkripsi adalah jenis bisnis yang sangat spesifik yang memerlukan izin dari lembaga pemerintah. Ini juga memberlakukan batasan tertentu. Ekspor peralatan yang berisi fungsi enkripsi berada di bawah apa yang disebut Perjanjian Wassenaar tentang Ekspor Teknologi Tujuan Ganda, yang mencakup enkripsi. Produsen diharuskan mendapatkan izin ekspor dari negara produksinya, dan kemudian mendapatkan izin impor ke negara tempat produk akan diimpor. Jika situasi dengan perangkat lunak sudah tenang, meskipun ada beberapa kesulitan dan batasan, maka masih ada masalah dengan hal-hal bermodel baru seperti enkripsi pada Internet of Things. Intinya adalah tidak ada yang tahu bagaimana mengaturnya.

Namun, ada beberapa kelebihan dalam hal ini, karena regulator masih sulit mencari enkripsi dari Internet hal-hal dan mobil pada khususnya. Misalnya, di Rusia, FSB sangat ketat mengontrol impor perangkat lunak dan peralatan telekomunikasi yang berisi fungsi enkripsi, tetapi secara praktis tidak mengatur enkripsi di drone, mobil, dan komputer lain yang memuat dengan cara apa pun, sehingga tidak termasuk dalam regulasi. FSB tidak melihat ini sebagai masalah besar: teroris dan ekstremis tidak menggunakannya. Oleh karena itu, untuk saat ini, enkripsi semacam itu tetap berada di luar kendali, meskipun secara formal berada di bawah hukum.

Selain itu, enkripsi, sayangnya, sangat sering diterapkan pada tingkat dasar. Sebenarnya, ini adalah operasi XOR biasa, yaitu penggantian beberapa karakter dengan karakter lain menurut algoritme sederhana tertentu yang mudah diambil. Selain itu, enkripsi sering kali diterapkan oleh non-spesialis di bidang kriptografi, yang mengambil perpustakaan siap pakai yang diunduh dari Internet. Akibatnya, dalam implementasi semacam itu, Anda dapat menemukan kerentanan yang memungkinkan Anda melewati algoritme enkripsi dan setidaknya mencegat data, dan terkadang menyerang saluran untuk menggantikannya.

Tuntutan keamanan mobil

Divisi Israel kami memiliki solusi yang disebut Autoguard. Ini adalah firewall kecil untuk mobil yang mengontrol apa yang terjadi di dalam dan berinteraksi dengan dunia luar. Bahkan, ia menganalisis perintah yang dipertukarkan antara elemen komputer dan sensor terpasang, mengontrol akses dari luar, yaitu, menentukan siapa yang dapat dan siapa yang tidak dapat terhubung ke elektronik internal dan pengisian.

Pada Januari 2018 di Las Vegas, di pameran elektronik terbesar CES, Cisco dan Hyundai Motor Company mengumumkan pembuatan kendaraan generasi baru yang akan menggunakan arsitektur kendaraan yang ditentukan perangkat lunak (Software Defined Vehicle) dan dilengkapi dengan teknologi jaringan terbaru, termasuk mekanismenya. keamanan cyber. Mobil pertama akan meluncur dari jalur perakitan pada 2019.

Tidak seperti elektronik konsumen dan solusi TI perusahaan, keamanan otomotif adalah pasar yang sangat spesifik. Hanya ada beberapa lusin konsumen di pasar ini di seluruh dunia - menurut jumlah produsen mobil. Sayangnya, pemilik mobil itu sendiri tidak dapat meningkatkan keamanan siber dari "kuda besinya". Biasanya, proyek semacam ini bukanlah karena tidak diiklankan, tetapi tidak berada dalam domain publik, karena ini bukanlah jutaan perusahaan yang membutuhkan router, dan bukan ratusan juta pengguna yang membutuhkan smartphone yang aman. Ini hanya tiga hingga empat lusin produsen mobil yang tidak ingin memperhatikan bagaimana proses perlindungan mobil dibangun.

Banyak pabrikan mengambil perlindungan dengan enteng, yang lain hanya melihat area ini, melakukan berbagai pengujian, karena ada kekhususan yang terkait dengan siklus hidup mobil. Di Rusia, masa pakai rata-rata mobil adalah lima hingga enam tahun (di kawasan tengah dan kota besar, tiga hingga empat tahun, dan di kawasan, tujuh hingga delapan tahun). Jika pabrikan sekarang berpikir untuk memperkenalkan keamanan siber ke dalam jajaran mobilnya, maka solusi ini akan memasuki pasar massal dalam sepuluh tahun, bukan lebih awal. Di Barat, situasinya sedikit berbeda. Ada mobil yang lebih sering diganti, tetapi bahkan dalam kasus ini masih terlalu dini untuk mengatakan bahwa mobil tersebut cukup dilengkapi dengan sistem perlindungan. Oleh karena itu, tidak ada yang mau menarik banyak perhatian pada topik ini.

Penyerang sudah dapat mulai menyerang mobil atau memicu penarikan mobil karena masalah keamanan komputer. Ini bisa sangat mahal bagi produsen, karena kerentanan selalu ada. Tentu saja, mereka akan ditemukan. Tetapi terlalu mahal untuk menarik ribuan atau ratusan ribu kendaraan yang rentan setiap saat karena kerentanannya. Oleh karena itu, topik ini tidak terdengar, tetapi pabrikan besar, tentu saja, bekerja dan memikirkan prospek pasar ini. Menurut GSMA, pada tahun 2025, 100% mobil akan terhubung ke Internet (yang disebut mobil yang terhubung). Saya tidak tahu seberapa banyak Rusia diperhitungkan dalam statistik ini, tetapi raksasa otomotif dunia termasuk di dalamnya.

Keamanan moda transportasi lainnya

Ada kerentanan di semua jenis kendaraan. Ini adalah transportasi udara, transportasi laut, dan angkutan barang. Kami tidak akan memperhitungkan jaringan pipa, meskipun mereka juga dianggap sebagai moda transportasi. Setiap kendaraan modern berisi pengisian komputer yang cukup kuat, dan pengembangannya sering dilakukan oleh spesialis IT dan programmer biasa yang membuat kesalahan klasik saat membuat kode mereka.

Dari sudut pandang pengembangan, sikap terhadap proyek semacam itu sedikit berbeda dari Microsoft, Oracle, SAP atau Cisco. Dan pengujian dilakukan pada level yang salah. Oleh karena itu, ada kasus yang diketahui menemukan kerentanan dan menunjukkan kemampuan meretas pesawat atau transportasi laut. Itulah mengapa tidak ada kendaraan yang dapat dikecualikan dari daftar ini - keamanan siber mereka tidak berada pada level yang sangat tinggi saat ini.

Dengan drone, situasinya sama dan bahkan lebih sederhana, karena ini adalah pasar yang lebih massal. Hampir semua orang dapat membeli drone dan membongkarnya untuk penelitian. Bahkan jika drone berharga beberapa ribu dolar, Anda dapat membelinya, menganalisisnya, menemukan kerentanan. Kemudian Anda dapat mencuri perangkat tersebut, atau menanamnya dengan cepat, mencegat saluran kontrol. Anda juga dapat memprovokasi mereka untuk jatuh dan merusak pemiliknya, atau mencuri paket yang diangkut oleh drone jika digunakan untuk mengangkut barang dan pengiriman.

Mengingat jumlah drone, jelas mengapa penyerang secara aktif mempelajari pasar khusus ini: lebih banyak menghasilkan uang. Situasi di kawasan ini bahkan lebih aktif dibandingkan dengan mobil, karena ada manfaat langsungnya bagi "orang jahat". Itu tidak ada di sana ketika sebuah mobil diretas, tidak termasuk kemungkinan pemerasan dari urusan mobil. Selain itu, Anda bisa masuk penjara karena pemerasan, dan prosedur untuk mendapatkan tebusan jauh lebih rumit. Tentu saja, Anda dapat mencoba mendapatkan uang dari perusahaan otomotif secara legal, tetapi sangat sedikit orang yang menghasilkan uang dengan mencari celah keamanan tersebut secara legal dan demi uang.

Saat vendor memblokir pembaruan

Ada kasus yang menarik baru-baru ini - produsen mesin pertanian. Saya tidak melihat sesuatu yang supernatural dan bertentangan dengan praktik bisnis dari sudut pandang pabrikan dalam situasi ini. Dia ingin mengendalikan proses pembaruan perangkat lunak dan mengikat pelanggan kepadanya. Karena dukungan garansi adalah uang, pabrikan ingin terus menghasilkan uang darinya, mengurangi risiko pelanggan pergi ke pemasok peralatan lain.

Hampir semua perusahaan yang bekerja di bidang yang berhubungan dengan IT "hidup" dengan prinsip ini, serta perusahaan - produsen mobil, mesin pertanian, peralatan penerbangan atau drone yang menerapkan IT di tempat mereka. Jelas bahwa setiap interferensi yang tidak sah dapat menimbulkan konsekuensi yang menyedihkan, oleh karena itu produsen menutup kemungkinan untuk memperbarui perangkat lunak sendiri, dan saya memahaminya dengan sempurna di sini.

Ketika konsumen tidak ingin membayar dukungan garansi untuk peralatan, dia mulai mencari di berbagai situs firmware untuk pembaruan firmware. Hal ini dapat, di satu sisi, mengarah pada fakta bahwa ia memperbarui perangkat lunaknya secara gratis, tetapi di sisi lain, dapat menyebabkan kerusakan. Secara khusus, dalam praktik Cisco, ada kasus ketika perusahaan yang tidak ingin membayar dukungan (dalam hal ini, tentu saja, bukan peralatan otomotif atau pertanian, tetapi peralatan jaringan biasa) mengunduh firmware di suatu tempat di forum peretas. Ternyata, firmware ini berisi "bookmark". Akibatnya, untuk sejumlah pelanggan, informasi yang melewati peralatan jaringan bocor ke orang tak dikenal. Ada beberapa perusahaan di dunia yang mengalami hal ini.

Jika kita melanjutkan analogi dan membayangkan apa yang bisa dilakukan dengan mesin pertanian, gambaran itu akan menjadi menyedihkan. Secara teori, pengoperasian mesin pertanian dapat diblokir dan meminta tebusan untuk memulihkan akses ke mesin yang menelan biaya ratusan ribu dolar atau bahkan jutaan. Untungnya, sejauh yang saya tahu, preseden semacam itu belum ada, tetapi saya tidak mengecualikan bahwa preseden tersebut mungkin muncul di masa depan jika praktik ini terus berlanjut.

Bagaimana meningkatkan keamanan kendaraan

Instruksi sangat sederhana: Anda perlu memahami bahwa masalahnya ada. Faktanya adalah bahwa bagi banyak manajer tidak ada masalah seperti itu, mereka menganggapnya terlalu mengada-ada atau tidak terlalu diminati di pihak pasar dan, karenanya, tidak siap mengeluarkan uang untuk itu.

Tiga atau empat tahun lalu, Moskow menjadi tuan rumah Connected Car Summit, di mana mereka berbicara tentang berbagai hal bermodel baru terkait otomatisasi dan komputerisasi mobil. Misalnya tentang pelacakan lokasi (car sharing dengan koneksi internet) dan sebagainya. Saya memberikan ceramah di sana tentang keselamatan mobil. Dan ketika saya berbicara tentang berbagai contoh tentang apa yang dapat dilakukan dengan mobil, banyak perusahaan, pabrikan, dan perusahaan berbagi mobil mendatangi saya setelah pidato dan berkata: “Oh, kami bahkan tidak memikirkannya. Apa yang kita lakukan?"

Ada beberapa produsen mobil di Rusia. Setelah pidato, salah satu perwakilan dari mereka mendatangi saya dan mengatakan bahwa meskipun mereka tidak memikirkan keamanan komputer, karena tingkat komputerisasi sangat rendah, mereka harus terlebih dahulu memahami apa yang dapat ditambahkan ke mobil dalam hal pengisian komputer. Ketika saya bertanya kepada perwakilan ini apakah mereka akan memikirkan tentang keamanan secara umum, dia menjawab bahwa ini dianggap dalam perspektif yang sangat panjang. Ini adalah poin kuncinya: Anda perlu memikirkan fakta bahwa keamanan komputer merupakan bagian integral, ini bukan fungsi "tambahan" eksternal, tetapi properti dari mobil modern. Ini adalah setengah dari keberhasilan keamanan transportasi.

Langkah kedua yang perlu dilakukan adalah merekrut spesialis, internal atau eksternal. Kami membutuhkan orang-orang yang secara legal dapat memecahkan solusi yang ada dan mencari kerentanan di dalamnya. Sekarang ada penggemar individu atau perusahaan yang terlibat dalam uji penetrasi atau analisis keamanan mobil dan isian komputer mereka. Jumlah mereka tidak banyak, karena ini adalah pasar yang agak sempit di mana Anda tidak dapat berkembang dan menghasilkan banyak uang. Di Rusia, saya tidak tahu siapa pun yang akan melakukan ini. Tetapi ada perusahaan yang menganalisis keamanan dan melakukan hal-hal yang cukup spesifik - menguji sistem kontrol proses otomatis dan sejenisnya. Mungkin, mereka bisa mencoba sendiri di dalam mobil.

Elemen ketiga adalah implementasi mekanisme pembangunan yang aman. Ini sudah lama tidak asing lagi bagi para pengembang perangkat lunak konvensional, terutama sejak Rusia baru-baru ini mengadopsi standar GOST yang relevan untuk pengembangan perangkat lunak yang aman. Ini adalah sekumpulan rekomendasi tentang cara menulis kode dengan benar sehingga lebih sulit untuk dipecahkan, cara menghindari konstruksi yang akan menyebabkan buffer overflows, intersepsi data, substitusi data, penolakan layanan, dan sebagainya.

Langkah keempat adalah implementasi solusi keamanan teknis, yaitu, menggunakan chip khusus di dalam mobil, membangun arsitektur keamanan. Staf pengembangan harus memiliki arsitek yang menangani masalah keamanan secara khusus. Mereka juga dapat menangani arsitektur kendaraan dalam hal perlindungan, arsitektur sistem kontrol. Karena Anda selalu dapat menyerang bukan mobil itu sendiri - jauh lebih efektif untuk meretas sistem kontrol dan mendapatkan kendali atas semua mobil.

Seperti yang baru-baru ini terjadi dengan mesin kasir online, yang tiba-tiba berhenti bekerja pada hari peringatan seratus tahun FSB. Lagi pula, mesin kasir online, secara kasar, adalah mobil yang sama: ada pengisian komputer, ada firmware. Firmware berhenti berfungsi sekaligus, dan seperempat dari seluruh pasar ritel berdiri selama beberapa jam. Ini sama dengan mobil: kode yang ditulis dengan buruk, kerentanan yang ditemukan di dalamnya atau peretasan sistem kontrol dapat menyebabkan konsekuensi yang agak menyedihkan. Namun jika dalam kasus kerugian mesin kasir online diukur dalam milyaran, maka dalam kasus mobil akan ada korbannya.

Meskipun dengan mobil tidak perlu menunggu peretasan atau intersepsi penguasaan puluhan juta kendaraan. Cukup meretas hanya beberapa saja, dan kekacauan sudah akan datang di jalan. Dan jika fakta peretasan diketahui publik, Anda dapat yakin bahwa media akan membesar-besarkan dunia tentang hal itu, dan pemilik mobil akan ngeri dengan "prospek" yang telah terbuka.

Secara umum, tiga tingkat perlindungan untuk kendaraan modern dapat dibedakan. Ini adalah keamanan siber internal kendaraan itu sendiri (immobilizer, PKES, komunikasi internal yang aman antara ECU, deteksi anomali dan serangan, kontrol akses, modul keamanan tepercaya); keamanan komunikasi (perlindungan komunikasi eksternal dengan pusat kendali infrastruktur jalan, pabrikan mobil atau bagian-bagiannya, perlindungan mengunduh aplikasi, konten, pembaruan, perlindungan takograf); dan keamanan infrastruktur jalan.

Apa dan di mana belajar untuk spesialis

Profesional TI yang sedang atau ingin mengembangkan kode untuk mobil, kendaraan, atau drone dapat didorong untuk memulai dengan mempelajari tentang Pengembangan Aman (SDLC). Artinya, Anda perlu mempelajari apa itu pengembangan aman secara umum. Harus diakui bahwa pengetahuan tambahan ini tidak menghasilkan uang tambahan. Saat ini, tidak ada yang dihukum karena ketidaktahuan tentang dasar-dasar pengembangan yang aman, tidak ada tanggung jawab, jadi ini tetap menjadi kebijaksanaan spesialis TI itu sendiri. Pada awalnya, ini dapat menjadi keunggulan kompetitif bagi seorang spesialis, karena ini jarang diajarkan di mana pun, sehingga Anda dapat menonjol dari yang lain. Namun di bidang keamanan mobil, Internet of things, drone, ini bukanlah persyaratan yang paling populer bagi seorang karyawan. Sayangnya, kami harus mengakui bahwa spesialis IT juga tidak terlalu memperhatikan topik ini.

Perkembangan yang aman adalah pembelajaran mandiri murni. Karena praktis tidak ada kursus semacam ini, semuanya dibuat hanya berdasarkan pesanan, dan, biasanya, ini adalah pelatihan perusahaan. Topik ini juga tidak termasuk dalam standar pendidikan negara bagian, jadi yang tersisa hanyalah belajar sendiri atau menghadiri kursus perusahaan yang terlibat dalam analisis kode. Ada perusahaan seperti itu - di antara pemain Rusia, misalnya, Solar Security atau Positive Technologies. Masih banyak lagi di Barat, misalnya IBM, Coverity, Synopsys, Black Duck. Mereka mengadakan berbagai seminar tentang topik ini (baik berbayar maupun gratis), di mana Anda bisa mendapatkan pengetahuan.

Area kedua untuk profesional TI adalah arsitek. Artinya, Anda dapat menjadi arsitek keamanan untuk proyek semacam itu, untuk Internet of Things secara umum, karena mereka, plus atau minus, dibangun menurut hukum yang sama. Ini adalah sistem kontrol pusat dari cloud dan sekumpulan sensor: baik dengan fokus sempit, seperti drone, atau sensor yang terintegrasi di dalam mobil atau kendaraan yang lebih besar, yang perlu dikonfigurasi, diterapkan, dan dirancang dengan benar. Perlu untuk memperhitungkan berbagai ancaman, yaitu yang disebut pemodelan ancaman diperlukan. Penting juga untuk mempertimbangkan perilaku calon penyusup untuk memahami kapabilitas dan motivasinya yang potensial, dan berdasarkan ini, untuk merancang mekanisme untuk menangkis ancaman di masa depan.

Anda dapat menemukan banyak materi bermanfaat di Internet. Anda juga dapat membaca berbagai presentasi dari konferensi seperti DEF CON dan Black Hat. Anda dapat melihat materi perusahaan: banyak yang mempublikasikan di situs web mereka presentasi dan kertas putih yang cukup bagus, deskripsi kesalahan umum dalam kode, dan sebagainya. Anda dapat mencoba mencari presentasi dari acara keamanan kendaraan khusus (mis. KTT Keamanan Siber Otomotif, KTT Keamanan Cyber \u200b\u200bKendaraan, KTT Mobil Terhubung, CyberSecureCar Eropa).
Selain itu, sekarang regulator Rusia FSTEC Rusia (Layanan Federal untuk Pengendalian Teknis dan Ekspor) memiliki sejumlah inisiatif, khususnya, diusulkan untuk memposting di Internet kesalahan khas yang dibuat programmer dalam kode, untuk menjaga database kesalahan tersebut. Ini belum dilaksanakan, tetapi regulator sedang bekerja ke arah ini, meskipun mereka tidak selalu memiliki sumber daya yang cukup.

Setelah persenjataan dunia maya CIA dan NSA bocor ke Internet, siapa pun, bahkan seorang "peretas rumahan", bisa merasa seperti agen khusus. Bagaimanapun, dia memiliki persenjataan yang hampir sama. Ini memaksa arsitek untuk berpikir secara berbeda tentang bagaimana mereka membangun sistem mereka. Menurut berbagai studi, jika Anda memikirkan tentang keamanan pada tahap pembuatan arsitektur, maka sumber daya X akan dihabiskan untuk implementasinya. Jika Anda sudah mengubah arsitektur pada tahap operasi industri, ini akan membutuhkan sumber daya, waktu, manusia, dan uang tiga puluh kali lebih banyak.

Seorang arsitek adalah seorang yang sangat modis dan, yang terpenting, profesi yang sangat menghasilkan uang. Saya tidak dapat mengatakan bahwa ada permintaan yang besar untuk spesialis seperti itu di Rusia, tetapi di Barat seorang arsitek keamanan adalah salah satu spesialisasi dengan bayaran tertinggi, pendapatan tahunan spesialis semacam itu sekitar dua ratus ribu dolar. Di Rusia, menurut Kementerian Tenaga Kerja, sekitar 50-60 ribu pekerja keamanan hilang setiap tahun. Di antara mereka adalah arsitek, administrator, manajer, dan mereka yang mensimulasikan ancaman - ini adalah spesialis keamanan yang sangat banyak yang biasanya kurang di Rusia.

Namun arsitek juga tidak diajarkan di universitas. Pada dasarnya, ini adalah pelatihan ulang, yaitu kursus yang sesuai, atau belajar sendiri.

Di Rusia, pelatihan perusahaan terutama dipraktikkan. Karena ini bukan pasar massal dan pusat pelatihan tidak memasukkan ini ke dalam program mereka sebagai kursus. Ini hanya dibuat sesuai pesanan. Secara teori, hal ini pada awalnya perlu dimasukkan ke dalam pendidikan umum di universitas. Untuk meletakkan dasar untuk desain yang benar dari berbagai arsitektur. Sayangnya, standar pendidikan negara bagian dibuat oleh orang-orang yang sangat jauh dari kenyataan dan praktek. Seringkali ini adalah mantan orang berseragam yang tidak selalu tahu bagaimana merancang sistem dengan benar, atau mereka sangat akrab dengan ini: pengetahuan mereka terkait dengan rahasia negara atau perang melawan badan intelijen teknis asing, dan ini adalah pengalaman yang sedikit berbeda. Pengalaman ini tidak dapat disebut buruk, tetapi berbeda dan hampir tidak dapat diterapkan di segmen komersial dan Internet of Things. Standar pendidikan negara bagian federal diperbarui dengan sangat lambat, sekitar sekali setiap tiga hingga empat tahun, dan sebagian besar perubahan kosmetik dilakukan terhadapnya. Jelas bahwa dalam situasi seperti ini tidak ada cukup spesialis dan tidak akan cukup.

Bekerja di Cisco

Cisco memiliki perkembangan di Rusia. Pekerjaan sedang dilakukan untuk membuat platform tumpukan terbuka untuk penyedia layanan dan pusat data. Kami juga memiliki sejumlah perjanjian dengan perusahaan Rusia yang terlibat dalam proyek terpisah untuk kami. Salah satunya adalah perusahaan "Perspective Monitoring", yang menulis penangan terpisah untuk lalu lintas jaringan untuk mengenali aplikasi yang berbeda, yang kemudian disematkan di alat keamanan jaringan kami. Secara umum, kami, seperti kebanyakan perusahaan IT dunia, memiliki beberapa pusat pengembangan di dunia, dan kantor regional menjalankan fungsi pemasaran, dukungan, dan penjualan.

Kami memiliki program magang untuk lulusan universitas - satu tahun di Eropa, di akademi kami. Sebelumnya, mereka melalui kompetisi besar, lalu dikirim selama setahun ke salah satu ibu kota Eropa. Sekembalinya, mereka didistribusikan ke kantor kami di Rusia dan negara-negara CIS. Mereka adalah insinyur yang merancang dan mendukung sistem serta orang-orang yang terlibat dalam penjualan.

Terkadang kami memiliki lowongan saat seseorang keluar untuk promosi atau keluar dari perusahaan. Pada dasarnya ini adalah posisi teknik atau posisi terkait penjualan. Mempertimbangkan tingkat Cisco, dalam hal ini kami tidak merekrut mahasiswa, tetapi orang yang telah bekerja untuk posisi tertentu selama lebih dari satu tahun. Jika seorang insinyur, maka dia harus memiliki sertifikasi Cisco yang cukup. Anda tidak memerlukan CCNA dasar, sebagai aturan, CCNP minimum diperlukan, dan kemungkinan besar, seorang spesialis harus lulus sertifikasi CCIE sama sekali - ini adalah tingkat maksimum sertifikasi Cisco. Tidak banyak orang seperti itu di Rusia, jadi kami sering mengalami masalah ketika kami perlu mencari insinyur. Meskipun secara umum perputaran di perusahaan tidak terlalu besar, namun diukur 1–2% per tahun. Terlepas dari situasi ekonomi, perusahaan Amerika di Rusia membayar dengan sangat baik, paket sosialnya bagus, jadi biasanya orang tidak meninggalkan kami.

Saya lahir pada tahun 1973 di Moskow, tempat saya masih tinggal, meskipun ada upaya kekuatan asing untuk memasukkan saya ke dalam jajaran warga negara mereka. Pada tahun 1996 ia lulus dari Moscow Institute of Radio Engineering, Electronics and Automation (MIREA) dengan gelar di bidang Matematika Terapan (spesialisasi - Keamanan Informasi). Dia dua kali mencoba untuk mendapatkan gelar Ph.D. dalam ilmu teknis, tetapi kedua kali, setelah menangkap pemimpin ilmiah plagiarisme masa depan, dia menghentikan jalannya sebagai mahasiswa pascasarjana. Kami tidak dihakimi. Saya tidak memiliki penghargaan negara bagian dan departemen.

Saya telah bekerja di bidang keamanan informasi sejak 1992. Dia bekerja sebagai spesialis keamanan informasi di berbagai organisasi pemerintah dan komersial. Dia telah beralih dari programmer enkripsi dan administrator menjadi analis dan manajer pengembangan bisnis di bidang keamanan informasi. Dia memiliki sejumlah sertifikasi di bidang keamanan informasi, tetapi menghentikan perebutan lencana. Saat ini saya memberikan segalanya untuk Cisco.

Telah menerbitkan lebih dari 600 publikasi dalam berbagai publikasi - CIO, Director of Information Service, National Banking Journal, PRIME-TASS, Information Security, Cnews, Banking Technologies, Analytical Banking Journal , "Bisnis Online", "Dunia Komunikasi. Hubungkan ”,“ Ringkasan ”,“ Manajemen Perusahaan yang Rasional ”,“ Merger dan Akuisisi ”, dll. Pada pertengahan 2000-an, dia berhenti menganggap terbitannya sebagai tugas tanpa harapan. Saat ini saya ngeblog di Internet "Bisnis tanpa bahaya".

Pada tahun 2005 ia dianugerahi penghargaan dari Asosiasi Telekomunikasi Dokumenter "Untuk pengembangan infokomunikasi di Rusia", dan pada tahun 2006 - penghargaan Infoforum dalam kategori "Publikasi Tahun Ini". Pada Januari 2007, ia termasuk dalam peringkat 100 orang pasar TI Rusia (yang saya tidak mengerti). Pada tahun 2010 ia memenangkan kompetisi Lions and Gladiator. Pada 2011 ia dianugerahi gelar diploma dari Menteri Dalam Negeri Federasi Rusia. Pada konferensi "Keamanan Informasi" ia menerima Penghargaan Keamanan tiga kali - pada 2013, 2012 dan 2011 (untuk kegiatan pendidikan). Untuk kegiatan yang sama, atau lebih tepatnya untuk blogging, ia menerima Runet Anti-Prize pada tahun 2011 dalam nominasi Safe Roll. Pada tahun 2012, ia dianugerahi oleh Asosiasi Bank Rusia atas kontribusinya yang besar terhadap pengembangan keamanan sistem perbankan Rusia, dan pada tahun 2013 di forum Magnitogorsk ia menerima penghargaan "Untuk dukungan metodologis dan pencapaian dalam keamanan perbankan." Juga pada tahun 2013 dan 2014, DLP-Expert portal dinobatkan sebagai pembicara terbaik tentang keamanan informasi. Selama waktunya di Cisco, dia dianugerahi sejumlah penghargaan internal.

Pada 2001 ia menerbitkan buku Attack Detection (edisi kedua buku ini diterbitkan pada 2003), dan pada 2002, bekerja sama dengan I.D. Medvedovsky, P.V. Semyanov dan D.G. Leonov - buku "Attack from the Internet". Pada tahun 2003 ia menerbitkan buku "Protect Your Information With Intrusion Detection" (dalam bahasa Inggris). Selama 2008-2009, ia menerbitkan buku "Mitos dan Kesalahpahaman tentang Keamanan Informasi" di portal bankir.ru.

Saya penulis banyak kursus, termasuk "Pengantar Deteksi Serangan", "Sistem Deteksi Serangan", "Cara Menghubungkan Keamanan dengan Strategi Bisnis Perusahaan", "Apa yang Menyembunyikan Legislasi tentang Data Pribadi", "Keamanan Informasi dan Teori Organisasi", "Mengukur Efektivitas IS "," Arsitektur dan strategi keamanan informasi ". Saya memberikan kuliah tentang keamanan informasi di berbagai institusi dan organisasi pendidikan. Dia adalah moderator konferensi gema RU.SECURITY di jaringan FIDO, tetapi kasus ini ditinggalkan karena eksodus sebagian besar spesialis di Internet.

Untuk pertama kalinya di pers Rusia dia membahas topik:

  • Keamanan informasi bisnis
  • Keamanan merger dan akuisisi
  • Mengukur efektivitas keamanan informasi
  • Keamanan SOA
  • Keamanan sistem penagihan
  • Sistem penipuan
  • Keamanan telepon IP
  • Keamanan penyimpanan
  • Keamanan hotspot
  • Keamanan pusat panggilan
  • Aplikasi pusat situasi dalam keamanan informasi
  • Spam seluler
  • Keamanan jaringan operator seluler
  • Dan banyak lagi.
Saya berpartisipasi dalam pemeriksaan tindakan hukum regulasi di bidang keamanan informasi dan data pribadi. Saya adalah anggota Sub-komite No. 1 "Perlindungan Informasi dalam Bidang Kredit dan Keuangan" dari Komite Teknis No. 122 "Standardisasi Layanan Keuangan" dari Badan Federal untuk Regulasi Teknis dan Metrologi. Saya adalah anggota Sub-komite No. 127 "Metode dan Sarana Keamanan TI" dari Komite Teknis 22 "Teknologi Informasi" dari Badan Federal untuk Regulasi Teknis dan Metrologi (menjalankan fungsi ISO / IEC JTC 1 / SC 27 di Rusia). Saya adalah anggota Komite Teknis 362 "Keamanan Informasi" dari Badan Federal untuk Regulasi Teknis dan Metrologi dan FSTEC. Saya adalah anggota kelompok kerja Dewan Federasi untuk pengembangan amandemen FZ-152 dan pengembangan Strategi Keamanan Siber Rusia. Saya adalah anggota kelompok kerja Dewan Keamanan untuk pengembangan kerangka kebijakan negara untuk pembentukan budaya keamanan informasi. Dia adalah anggota kelompok kerja Bank Sentral untuk pengembangan persyaratan keamanan untuk Sistem Pembayaran Nasional (382-P). Sebagai ahli independen, ia adalah anggota ARB Consulting Center pada Penerapan 152-FZ "Pada Data Pribadi". Ia adalah anggota panitia penyelenggara Audiensi Publik tentang harmonisasi undang-undang di bidang perlindungan hak subjek data pribadi.

Saya sudah menikah dan memiliki seorang putra dan putri. Saya mencoba mengabdikan waktu luang saya untuk keluarga, meskipun pekerjaan yang melelahkan untuk kebaikan Tanah Air dan majikan hampir tidak menyisakan waktu seperti itu. Hobi yang menjadi pekerjaan, atau pekerjaan yang menjadi hobi adalah menulis dan keamanan informasi. Saya telah berkecimpung di bidang pariwisata sejak kecil.

Shl. Foto untuk publikasi Internet (unduh di atas atau oleh

TENTANG tvettampak jelas. Untuk blog seperti Lukatsky, Anda harus menjadi Lukatsky. Tapi mari kita gali lebih dalam tentang teknik dan motivasi untuk menjalankan blog Anda sendiri.Blogging adalah obat bius. Bahkan jika hari ini Anda telah menulis banyak posting, tweet, dan komentar di semua kemungkinan media sosial, Anda menginginkan lebih dan lebih. Semakin banyak informasi yang ingin Anda buang, semakin Anda ingin mengonsumsi blog, halaman, situs. Semakin banyak saluran yang Anda miliki untuk mendistribusikan informasi Anda, semakin banyak cara yang Anda perlukan untuk berkomunikasi dengan dunia luar.

Nilai nyata dari setiap blog bagi pemiliknya adalah cara yang terjangkau untuk mengkomunikasikan informasi kepada khalayak luas. Selain itu, blog memungkinkan Anda untuk meningkatkan harga diri Anda, menyembunyikan kelemahan Anda di dalam, dan sebaliknya, mengekspos keberanian Anda.

Keinginan untuk menciptakan merek Anda sendiri

Alasan pertama menjalankan blog Anda sendiri adalah untuk mengatakan sesuatu kepada audiens Anda. Dunia menjadi kaya informasi, permintaan akan informasi yang berguna dan tepat waktu semakin meningkat, memberikan peluang baru bagi orang-orang yang melihat ini sebagai cara untuk mengeluarkan potensi mereka.

Alasan kedua cukup egois - keinginan untuk membuat merek Anda sendiri, yaitu dengan melakukan apa yang Anda sukai untuk mendapatkan keuntungan pribadi darinya (ops, dengan santai merumuskan impian setiap peretas).

Mari kita cari tahu apakah Anda memiliki prasyarat untuk membuat merek Anda sendiri di jejaring sosial.

Pertama-tama, saat memilih topik blogging, Anda perlu fokus pada sesuatu. Ini adalah masalah pilihan.

1. Merek informasi yang diberikan (diasumsikan bahwa ini semacam eksklusif, a'lya Arustamyan dari sepak bola dengan berita palsu).

2. Merek seorang ahli - itu harus diperoleh, dan ini adalah jalan yang panjang dan sulit. Rekan kerja di lantai pabrik harus mengenali dalam diri Anda seorang spesialis dalam kemampuan menyampaikan informasi berkualitas dalam bentuk yang dapat diakses.

3. Merek pengetahuan - untuk menyebarkan pengetahuan kepada audiens, Anda harus mendapatkannya terlebih dahulu, dan ini adalah pekerjaan yang mungkin tidak membuahkan hasil. Bagaimanapun, Anda perlu meningkatkan potensi Anda sebagai perwakilan dari profesi.

4. Nah, dan, sebagai pilihan paling umum, Anda hanyalah orang yang berbakat, Anda penuh dengan keinginan untuk menjadi terkenal dan tidak masalah bagi Anda apa yang harus ditulis / dibicarakan (inilah yang dipikirkan oleh kebanyakan blogger pemula).

Anda perlu belajar bagaimana menyajikan materi sedemikian rupa sehingga a) dapat dipahami, b) relevan, dan kemudian siapa pun yang menyukai sesuatu: menarik, mengasyikkan, pepatah, mudah, dengan humor. Bagaimanapun, menulis atau berbicara di depan umum adalah keterampilan yang bisa dipelajari dan datang dengan pengalaman.

Kebanyakan orang (dalam konteks artikel ini - blogger) terlibat baik dalam menafsirkan ide orang lain (seperti yang saya lakukan sekarang), atau mengumpulkan siaran pers berita (acara, lowongan, dll.), Termasuk menyiarkan berita tentang merek / produk mereka sendiri dengan menerbitkan konten yang diinginkan dari pameran, konferensi, presentasi, dll. Tetapi bahkan dalam kasus ini, tidak banyak yang dapat mengemas informasi menjadi materi berkualitas tinggi (kami tidak menganggap jurnalis profesional). Dan mengapa? Umpan berita materi sesuai dengan sebagian besar audiens target. Dengan kekurangan waktu saat ini dan banyaknya materi, pembaca tidak memiliki cukup kekuatan atau kesabaran untuk membaca lebih lanjut.

Terlepas dari pernyataan dalam judulnya, jika tidak seperti Lukatsky, tetapi Anda memiliki semua yang Anda butuhkan untuk menjadi blogger terkenal - orang yang tahu cara menulis dan siap mencurahkan seluruh waktu luangnya untuk pekerjaan ini.

Ini hanya membutuhkan lima istilah.

Pertama, Anda butuh keberuntungan (dan inilah salah satu alasan mengapa Anda tidak akan menjadi Lukatsky). Tidak semua orang seberuntung Lukatsky. Dia memiliki pengetahuan, pengalaman, dan yang terpenting, teknologi keamanan modern. Penting (dan ini bisa dilihat) bahwa dia mendapat dukungan dari perusahaannya. Apa yang dulunya hanya hobi bagi Lukatsky telah menjadi pendekatan baru bagi perusahaan untuk menyampaikan informasi yang diperlukan. Karena popularitasnya di media sosial, blog Lukatsky telah menjadi merek di dalam perusahaan (saya ragu ini adalah strategi yang dipikirkan dengan matang, setidaknya pada awalnya). Ini telah menjadi bagian dari melakukan bisnis yang diwakili oleh Lukatsky (Cisco ). Dia benar-benar menyukai apa yang dia lakukan dan minatnya diteruskan ke penonton. Dia prihatin tidak hanya dengan subjek area aktivitas, tetapi juga dengan keadaan industri secara keseluruhan, dan ini menawan.

Yang kedua adalah campuran energi batin, karisma pribadi, dan pengalaman.

Untuk berbicara di depan umum, Anda membutuhkan karisma, kepribadian yang cerdas. Lukatsky diundang ke berbagai acara karena mampu menjelaskan hal-hal yang kompleks dalam bahasa yang sederhana (ini adalah keterampilan yang perlu dipelajari) dan fasih di bidangnya.

Keempat, melihat hutan di depan pepohonan

Anda perlu melihat / merasakan / mengetahui permasalahan dari target audiens blog tersebut. Blogger terkemuka memberikan bantuan yang sangat berharga dalam memecahkan masalah bagi pembaca blog mereka. Mengambil materi dan membungkusnya dengan posting blog yang jelas dan menarik adalah sesuatu yang mereka lakukan secara teratur dan efisien.

Blog bukan hanya metode penyampaian informasi, tetapi juga peluang untuk pertumbuhan karier (tidak ada nabi di tanah air Anda). Lukatsky adalah contoh menciptakan posisi baru di perusahaan - penerjemah domain untuk menarik audiens baru.

Dan terakhir kelima - blogging membutuhkan disiplin besi. untuk secara teratur (lebih sering lebih baik) mempublikasikan materi di blog Anda.

Nah, dan sebagai tambahan, opsi opsional - diinginkan untuk melakukan seminar pelatihan secara teratur untuk mempopulerkan merek Anda.

Untuk memparafrasekan pepatah terkenal: orang akan melupakan apa yang Anda tulis, orang akan melupakan apa yang Anda katakan, orang tidak akan lupa bahwa mereka mengerti berkat Anda. Nah dari setiap besi yang mereka siarkan bahwa Lukatsky akan mengadakan seminar besok tentang data pribadi (mungkin ini bentuk PR, robot sudah lama menyiarkan menggunakanIVR -teknologi atau apakah benar-benar masih ada desa-desa terpencil di Kamchatka di Rusia, yang penduduknya belum menghadiri seminar Lukatsky tentang data pribadi?). Tapi serius, artikel, presentasi, slide-nya direplikasi ke semua audiens dan memiliki kehidupan mereka sendiri, dan ini normal, ini memperkuat merek.
Jadi, Anda tidak akan bisa membuat blog seperti Lukatsky. Dan siapa itu saat berhenti ?! Saat Andrey Knyshev bercanda: "Orang yang naik lebih tinggi baru saja naik lebih awal."

Rekomendasikan artikel lain

Bagaimana cara membuat kontrak kerja jangka tetap dengan benar dengan petugas ruang jubah?

Bagaimana cara membuat kontrak kerja jangka tetap dengan benar dengan petugas ruang jubah?

Susunan kata

Kata "gaji sesuai tabel kepegawaian" diperbolehkan. Atur gaji sesuai tabel kepegawaian