ทำไมคุณไม่สามารถบล็อกเหมือน Lukatsky? อเล็กเซย์ ลูคัตสกี้. สัมภาษณ์ชีวประวัติของ Alexey Lukatsky ที่ปรึกษาทางธุรกิจของ Cisco
เกี่ยวกับ ทวีตดูเหมือนจะชัดเจน หากต้องการบล็อกแบบ Lukatsky คุณต้องเป็น Lukatsky แต่ลองมาดูวิธีการและแรงจูงใจในการทำงานบล็อกของคุณเองให้ลึกซึ้งยิ่งขึ้นบล็อกเป็นยา แม้ว่าวันนี้คุณได้เขียนโพสต์ ทวีต และแสดงความคิดเห็นบนโซเชียลมีเดียที่เป็นไปได้ทั้งหมดไปแล้ว แต่คุณก็ยังต้องการมากขึ้นเรื่อยๆ ยิ่งคุณสนใจข้อมูลมากเท่าใด บล็อก เพจ และไซต์ต่างๆ ที่คุณต้องการบริโภคก็จะยิ่งมากขึ้นเท่านั้น ยิ่งมีช่องทางในการเผยแพร่ข้อมูลมากเท่าไรก็ยิ่งมากขึ้นเท่านั้น วิธีเพิ่มเติมคุณต้องการการเชื่อมต่อกับโลกภายนอก
คุณค่าที่แท้จริงของบล็อกสำหรับเจ้าของคือ วิธีที่เหมาะสมสื่อสารข้อมูลไปยังผู้ชมในวงกว้าง นอกจากนี้ บล็อกยังช่วยให้คุณเพิ่มความนับถือตนเอง ซ่อนจุดอ่อนภายใน และในทางกลับกัน ดึงคุณธรรมของคุณออกมา
ความปรารถนาที่จะสร้างแบรนด์ของคุณเอง
เหตุผลแรกในการเริ่มต้นบล็อกของคุณเองคือความปรารถนาที่จะพูดอะไรกับผู้ชมของคุณ โลกกำลังเต็มไปด้วยข้อมูล ความต้องการที่มีประโยชน์และ ข้อมูลทันเวลากำลังเติบโต โดยมอบโอกาสใหม่ๆ ให้กับผู้คนที่มองว่านี่เป็นช่องทางในการปลดล็อกศักยภาพของตนเอง
เหตุผลที่สองค่อนข้างเห็นแก่ตัว - ความปรารถนาที่จะสร้างแบรนด์ของคุณเอง นั่นคือ การทำในสิ่งที่คุณรัก เพื่อให้ได้มาซึ่งผลประโยชน์ส่วนตัวจากมัน (สหกรณ์ เป็นผู้สร้างความฝันของแฮ็กเกอร์คนใดก็ตาม)
มาดูกันว่าคุณมีข้อกำหนดเบื้องต้นในการสร้างหรือไม่ แบรนด์ของตัวเองบนเครือข่ายโซเชียล
ก่อนอื่น เมื่อเลือกหัวข้อสำหรับบล็อก คุณต้องให้ความสำคัญกับบางสิ่งบางอย่าง คุณมีปัญหาในการเลือก
1. แบรนด์ของข้อมูลที่รายงาน (สันนิษฐานว่าเป็นข้อมูลเฉพาะบางประเภท a la Arustamyan จากฟุตบอลที่มีข่าวปลอม)
2. ต้องได้รับแบรนด์ของผู้เชี่ยวชาญ - จะต้องได้รับและนี่คือเส้นทางที่ยาวและยุ่งยาก เพื่อนร่วมงานในเวิร์กช็อปควรยกย่องคุณในฐานะผู้เชี่ยวชาญในการถ่ายทอดข้อมูลคุณภาพสูงในรูปแบบที่เข้าถึงได้
3. ตราสินค้าของความรู้ - ในการถ่ายทอดความรู้ไปยังผู้ชม คุณต้องได้รับมันก่อน และนี่คืองานที่อาจไม่ได้ผลตอบแทน ไม่ว่าในกรณีใดคุณต้องเพิ่มศักยภาพในการเป็นตัวแทนของอาชีพ
4. และเป็นตัวเลือกที่พบบ่อยที่สุด คุณเป็นเพียงคนที่มีความสามารถ คุณเต็มไปด้วยความปรารถนาที่จะมีชื่อเสียง และไม่สำคัญว่าคุณจะเขียน/พูดถึงอะไร (บล็อกเกอร์มือใหม่ส่วนใหญ่คิดเช่นนั้น)
คุณต้องเรียนรู้ที่จะนำเสนอเนื้อหาในลักษณะที่ ก) เข้าใจได้ ข) เกี่ยวข้อง จากนั้นสิ่งที่คุณต้องการ: น่าสนใจ น่าตื่นเต้น คำพังเพย ง่าย และมีอารมณ์ขัน ท้ายที่สุดแล้ว การเขียนหรือการพูดในที่สาธารณะเป็นทักษะที่สามารถเรียนรู้และมาพร้อมกับประสบการณ์ได้
คนส่วนใหญ่ (ในบริบทของบทความนี้ - บล็อกเกอร์) มีส่วนร่วมในการตีความความคิดของผู้อื่น (ตรงกับสิ่งที่ฉันทำอยู่ตอนนี้) หรือรวบรวมข่าวประชาสัมพันธ์ (งานกิจกรรม ตำแหน่งงานว่าง ฯลฯ ) รวมถึงการออกอากาศข่าวของแบรนด์ของตนเอง /product เผยแพร่เนื้อหาที่จำเป็นจากนิทรรศการ การประชุม การนำเสนอ ฯลฯ แต่ในกรณีนี้ มีเพียงไม่กี่คนที่สามารถบรรจุข้อมูลเป็นสื่อคุณภาพสูงได้ (เราไม่ได้พิจารณานักข่าวมืออาชีพ) แล้วทำไมล่ะ? การนำเสนอข่าวด้วยเนื้อหาที่เหมาะสมที่สุด กลุ่มเป้าหมาย- ด้วยปัญหาการขาดแคลนเวลาและวัสดุที่มีอยู่มากมายทำให้ผู้อ่านไม่มีความแข็งแกร่งหรือความอดทนเพียงพอ
แม้จะมีข้อความในชื่อแม้ว่าจะไม่เหมือน Lukatsky แต่คุณก็มีทุกสิ่งที่จำเป็นในการเป็นบล็อกเกอร์ชื่อดัง - บุคคลที่รู้วิธีเขียนและพร้อมที่จะอุทิศเวลาว่างทั้งหมดให้กับกิจกรรมนี้
สิ่งนี้ต้องการเพียงห้าเงื่อนไขเท่านั้น
ก่อนอื่นคุณต้องมีโชค (และนี่คือสาเหตุหนึ่งว่าทำไมคุณถึงไม่กลายเป็น Lukatsky) ไม่ใช่ทุกคนที่โชคดีเหมือน Lukatsky เขามีความรู้ประสบการณ์และที่สำคัญที่สุด - เทคโนโลยีที่ทันสมัยความปลอดภัย. เป็นสิ่งสำคัญ (และแสดงให้เห็น) ว่าเขาได้รับการสนับสนุนจากบริษัทของเขา สิ่งที่ครั้งหนึ่งเคยเป็นเพียงแค่งานอดิเรกสำหรับ Lukatsky ได้กลายเป็นแนวทางใหม่สำหรับบริษัทในการถ่ายทอดข้อมูลที่จำเป็น เนื่องจากความนิยมในโซเชียลมีเดีย บล็อกของ Lukatsky จึงกลายเป็นแบรนด์ภายในบริษัท (ฉันสงสัยว่านี่เป็นกลยุทธ์ที่มีการคิดมาอย่างดี อย่างน้อยในตอนแรก) สิ่งนี้ได้กลายมาเป็นส่วนหนึ่งของธุรกิจที่ Lukatsky เป็นตัวแทน (ซิสโก้ - เขารักในสิ่งที่เขาทำอย่างจริงใจและความสนใจของเขาก็ถูกส่งไปยังผู้ชม เขาไม่เพียงแต่ใส่ใจในสาขาวิชาของกิจกรรมของเขาเท่านั้น แต่ยังรวมถึงสถานะของอุตสาหกรรมโดยรวมด้วย และนี่เป็นสิ่งที่น่าดึงดูดใจ
อย่างที่สองคือค็อกเทลแห่งพลังงานภายใน ความสามารถพิเศษส่วนตัว และประสบการณ์
การพูดในที่สาธารณะต้องอาศัยความสามารถพิเศษและบุคลิกภาพที่แข็งแกร่ง Lukatsky ได้รับเชิญให้เข้าร่วมกิจกรรมต่างๆ เพราะเขาสามารถอธิบายสิ่งที่ซับซ้อนด้วยภาษาง่ายๆ (ซึ่งเป็นทักษะที่ต้องเรียนรู้) และมีความรู้เป็นเลิศในสาขาวิชานั้น
ประการที่สี่ - ชมป่าก่อนต้นไม้
คุณต้องเห็น/รู้สึก/ทราบปัญหาของกลุ่มเป้าหมายของบล็อก บล็อกเกอร์ชั้นนำให้ความช่วยเหลืออันล้ำค่าในการแก้ปัญหาให้กับผู้อ่านบล็อกของตน การนำเนื้อหาและบรรจุภัณฑ์มาไว้ในบล็อกโพสต์ที่ชัดเจนและน่าสนใจเป็นสิ่งที่พวกเขาทำเป็นประจำและดี
บล็อกไม่ได้เป็นเพียงวิธีการถ่ายทอดข้อมูลเท่านั้น แต่ยังเป็นโอกาสอีกด้วย การเติบโตของอาชีพ(ไม่มีศาสดาพยากรณ์ในประเทศของเขาเอง) Lukatsky คือตัวอย่างของการสร้าง ตำแหน่งใหม่ในบริษัท - ล่ามสาขาวิชาเพื่อดึงดูดผู้ชมใหม่
และสุดท้าย ประการที่ห้า การเขียนบล็อกต้องมีวินัยอย่างมาก เพื่อเผยแพร่เนื้อหาบนบล็อกของคุณเป็นประจำ (ยิ่งบ่อยยิ่งดี)
ขอแนะนำให้จัดสัมมนาฝึกอบรมเป็นประจำเพื่อเป็นทางเลือกเพิ่มเติม เพื่อทำให้แบรนด์ของคุณเป็นที่นิยม
เพื่อถอดความคำพูดที่มีชื่อเสียง: ผู้คนจะลืมสิ่งที่คุณเขียน ผู้คนจะลืมสิ่งที่คุณพูด ผู้คนจะไม่ลืมสิ่งที่พวกเขาเข้าใจ ต้องขอบคุณคุณ ตอนนี้ใครๆ ก็แจ้งว่า Lukatsky จะจัดสัมมนาเรื่องข้อมูลส่วนบุคคลในวันพรุ่งนี้ (อาจเป็นรูปแบบหนึ่งของ PR หุ่นยนต์ก็ออกอากาศมานานแล้วโดยใช้ระบบไอวีอาร์ -เทคโนโลยีหรือยังมีหมู่บ้านห่างไกลในรัสเซียใน Kamchatka ซึ่งผู้อยู่อาศัยไม่ได้เข้าร่วมการสัมมนาของ Lukatsky ตามข้อมูลส่วนบุคคล?) แต่จริงๆ แล้วบทความ การนำเสนอ สไลด์ของเขาถูกเผยแพร่ไปยังผู้ชมทุกคนและใช้ชีวิตของตัวเอง ซึ่งเป็นเรื่องปกติ มันทำให้แบรนด์แข็งแกร่งขึ้น
ดังนั้น คุณจะไม่สามารถเขียนบล็อกแบบ Lukatsky ได้ แล้วใครเคยหยุดเรื่องนี้บ้าง! ดังที่ Andrey Knyshev พูดติดตลก: “คนที่ปีนได้สูงกว่าก็ปีนก่อนหน้านี้”
แขกรับเชิญของเราในวันนี้คือ Alexey Lukatsky ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลและที่ปรึกษาทางธุรกิจที่มีชื่อเสียงของ Cisco หัวข้อหลักของการสนทนาคือประเด็นที่น่าสนใจอย่างยิ่ง - ความปลอดภัยของรถยนต์สมัยใหม่และยานพาหนะอื่น ๆ หากคุณต้องการทราบว่าเหตุใดโดรนจึงถูกแฮ็กบ่อยกว่ารถยนต์ และเหตุใดผู้ผลิตเครื่องจักรกลการเกษตรจึงบล็อกการซ่อมแซมเครื่องจักรในระดับเฟิร์มแวร์โดยไม่ได้รับอนุญาต โปรดอ่านต่อ!
เกี่ยวกับความปลอดภัยของรถยนต์ยุคใหม่
มีความเข้าใจผิดที่เป็นอันตรายในหมู่คนส่วนใหญ่ว่ารถยนต์เป็นสิ่งที่มีเอกลักษณ์เฉพาะตัวแตกต่างจากคอมพิวเตอร์ทั่วไป จริงๆแล้วสิ่งนี้ไม่เป็นความจริง
ในอิสราเอล ซิสโก้ได้ แยกส่วนซึ่งเกี่ยวข้องกับความปลอดภัยทางไซเบอร์ของยานยนต์ปรากฏขึ้นหลังจากการเข้าซื้อกิจการสตาร์ทอัพสัญชาติอิสราเอลรายหนึ่งที่ทำงานในพื้นที่นี้
รถยนต์ก็ไม่ต่างจากเครือข่ายภายในบ้านหรือองค์กรตามหลักฐานจากการศึกษาวิจัยต่างๆ ที่ตรวจสอบว่าผู้โจมตีสามารถทำอะไรกับรถยนต์ได้บ้าง ปรากฎว่ารถยนต์ก็มีคอมพิวเตอร์เช่นกัน มีเพียงขนาดเล็กและไม่เด่นเท่านั้น พวกมันถูกเรียกว่า ECU (หน่วยควบคุมอิเล็กทรอนิกส์) และมีอยู่หลายสิบตัวในรถยนต์ กระจกไฟฟ้า, ระบบเบรก, การตรวจสอบแรงดันลมยาง, เซ็นเซอร์อุณหภูมิ, ล็อคประตู, ระบบคอมพิวเตอร์ออนบอร์ด และอื่นๆ แต่ละเครื่องล้วนแต่ควบคุมชิ้นงานของตัวเอง คุณสามารถเปลี่ยนตรรกะของรถผ่านโมดูลคอมพิวเตอร์ดังกล่าวได้ โมดูลทั้งหมดเหล่านี้จะรวมกันเป็น เครือข่ายเดียวบางครั้งความยาวของสายเคเบิลวัดเป็นกิโลเมตร จำนวนอินเทอร์เฟซเป็นพัน และปริมาณของโค้ดคือหลายล้านบรรทัดสำหรับคอมพิวเตอร์ออนบอร์ดปกติ และโดยทั่วไปแล้ว การบรรจุทางอิเล็กทรอนิกส์ทั้งหมด (ใน ยานอวกาศมีน้อยกว่า) ตามการประมาณการต่างๆ รถยนต์สมัยใหม่ถึง 40% เป็นอุปกรณ์อิเล็กทรอนิกส์และซอฟต์แวร์ ปริมาณของซอฟต์แวร์ในรถยนต์ระดับพรีเมี่ยมนั้นสูงถึงหนึ่งกิกะไบต์
ฉันไม่ได้คำนึงถึงการผลิตของอุตสาหกรรมยานยนต์ของรัสเซียซึ่งโชคดี (จากมุมมองด้านความปลอดภัย) ที่ไม่มีการบรรจุคอมพิวเตอร์อย่างจริงจัง แต่ถ้าเราพิจารณาผู้ผลิตรถยนต์ต่างประเทศเกือบทั้งหมด ตอนนี้พวกเขาทั้งหมดกำลังใช้คอมพิวเตอร์แม้แต่รถยนต์รุ่นราคาประหยัดที่สุดของพวกเขา
ใช่ มีคอมพิวเตอร์อยู่ในรถยนต์ใช่ พวกเขามีโปรโตคอลการแลกเปลี่ยนข้อมูลของตัวเอง ซึ่งไม่ได้เป็นความลับ คุณสามารถเชื่อมต่อ สกัดกั้นข้อมูล และแก้ไขได้ ดังกรณีจากการปฏิบัติของผู้ผลิตเช่น Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge และ Mercedes-Benz ผู้โจมตีค่อนข้างเก่งในการวิเคราะห์สิ่งที่เกิดขึ้นภายในรถและได้เรียนรู้ที่จะวิเคราะห์ปฏิสัมพันธ์ของภายนอก โลกกับรถยนต์ ผู้เชี่ยวชาญประเมินว่า 98% ของแอปพลิเคชันซอฟต์แวร์ที่ผ่านการทดสอบทั้งหมดในรถยนต์ (ซึ่งคิดเป็น 90% ของนวัตกรรมทั้งหมด) มีข้อบกพร่องร้ายแรง และแอปพลิเคชันบางรายการมีข้อบกพร่องดังกล่าวหลายสิบรายการ
ปัจจุบันสิ่งที่เรียกว่าถนนอัจฉริยะกำลังถูกสร้างขึ้นโดยเป็นส่วนหนึ่งของโครงการต่างๆ ในยุโรปและอเมริกา(เช่น โครงการ EVITA, VANET, simTD) ช่วยให้รถสามารถแลกเปลี่ยนข้อมูลกับพื้นผิวถนน สัญญาณไฟจราจร ลานจอดรถ ศูนย์ควบคุม การจราจร- รถจะสามารถควบคุมการจราจร รถติด ที่จอดรถ ลดความเร็ว รับข้อมูลเกี่ยวกับเหตุการณ์การจราจรได้โดยอัตโนมัติโดยไม่มีการแทรกแซงของมนุษย์ เพื่อให้ระบบนำทางในตัวสามารถสร้างเส้นทางขึ้นมาใหม่ได้อย่างอิสระและนำทางรถไปตามทางหลวงที่มีผู้คนพลุกพล่านน้อยลง น่าเสียดายที่การโต้ตอบทั้งหมดนี้เกิดขึ้นในโหมดที่ไม่มีการป้องกันในทางปฏิบัติ ทั้งตัวรถและการโต้ตอบนี้แทบจะไม่ได้รับการปกป้องเลย นี่เป็นเพราะความเข้าใจผิดทั่วไปว่าระบบประเภทนี้ศึกษาได้ยากมากและไม่มีใครสนใจเลย
ยังมีปัญหาเกี่ยวกับธุรกิจอีกด้วยในธุรกิจใครก็ตามที่ทำตลาดได้ก่อนจะถือเป็นกฎ ดังนั้น หากผู้ผลิตเป็นคนแรกที่แนะนำผลิตภัณฑ์ใหม่ออกสู่ตลาด ผู้ผลิตก็จะครองส่วนแบ่งขนาดใหญ่ของตลาดนี้ ดังนั้นการรักษาความปลอดภัยซึ่งต้องใช้เวลาอย่างมากในการดำเนินการและที่สำคัญที่สุดคือสำหรับการทดสอบมักจะดึงธุรกิจจำนวนมากกลับมาเสมอ บ่อยครั้งด้วยเหตุนี้ บริษัท ต่างๆ (สิ่งนี้ไม่เพียงใช้กับรถยนต์เท่านั้น แต่ยังรวมถึง Internet of Things ด้วยเช่นกัน) เลื่อนการรักษาความปลอดภัยออกไปในภายหลังหรือไม่จัดการกับมันเลยเพื่อแก้ไขงานทางโลกที่มากขึ้น - เพื่อปล่อยผลิตภัณฑ์อย่างรวดเร็ว ไปตลาด
การแฮ็กที่ทราบซึ่งเกิดขึ้นก่อนหน้านี้เกี่ยวข้องกับการงัดเบรก การดับเครื่องยนต์ขณะขับรถ การสกัดกั้นข้อมูลตำแหน่งของยานพาหนะ และการปิดใช้งานการล็อคประตูจากระยะไกล ซึ่งหมายความว่าผู้โจมตีมีโอกาสที่น่าสนใจในการดำเนินการบางอย่าง โชคดีที่มีการกระทำดังกล่าวชีวิตจริง
ไม่ได้ถูกผลิตขึ้น แต่เป็นสิ่งที่เรียกว่าการพิสูจน์แนวคิด ซึ่งก็คือการสาธิตความสามารถในการขโมยรถ การหยุดรถขณะเคลื่อนที่ การสกัดกั้นการควบคุม และอื่นๆวันนี้คุณทำอะไรกับรถได้บ้าง? การเข้าถึงแบบไร้สายในระยะใกล้ (เช่น บลูทูธ) หรือระยะไกล (เช่น ผ่านทางอินเทอร์เน็ตหรือแอปพลิเคชันมือถือ)
ในอนาคต หากผู้ขายไม่คำนึงถึงสิ่งที่เกิดขึ้น อาจนำไปสู่ผลที่ตามมาร้ายแรงได้มีเพียงพอ ตัวอย่างง่ายๆซึ่งยังไม่ได้ระบุว่าแฮกเกอร์โจมตีรถยนต์อย่างจริงจัง แต่นำไปใช้ได้ในชีวิตจริงแล้ว ตัวอย่างเช่น การปราบปรามกราฟวัดความเร็วในตัวที่มีเซ็นเซอร์ GPS หรือ GLONASS ฉันไม่เคยได้ยินเกี่ยวกับกรณีดังกล่าวกับ GLONASS ในทางปฏิบัติของรัสเซีย แต่ในอเมริกามีแบบอย่างกับ GPS เมื่อผู้โจมตีระงับสัญญาณของรถหุ้มเกราะของนักสะสมและขับไปยังสถานที่ที่ไม่รู้จักเพื่อทำลายและนำของมีค่าทั้งหมดออกไป . การวิจัยในพื้นที่นี้ดำเนินการในยุโรป ในสหราชอาณาจักร กรณีดังกล่าวถือเป็นก้าวแรกสู่การโจมตีรถยนต์ เพราะโชคดีที่ฉันไม่เคยได้ยินเรื่องอื่นอีกเลย (การดับเครื่องยนต์ ปิดเบรกขณะขับรถ) ในทางปฏิบัติ แม้ว่าความเป็นไปได้อย่างมากของการโจมตีดังกล่าวจะชี้ให้เห็นว่าผู้ผลิตและที่สำคัญที่สุดคือผู้บริโภคควรคิดถึงสิ่งที่พวกเขากำลังทำและสิ่งที่พวกเขากำลังซื้อ
เป็นเรื่องที่คุ้มค่าที่จะบอกว่าแม้แต่การเข้ารหัสก็ไม่ได้ถูกนำมาใช้ทุกที่แม้ว่าการออกแบบอาจให้การเข้ารหัสในตอนแรก แต่ก็ไม่ได้เปิดใช้งานเสมอไป เนื่องจากจะทำให้ช่องสัญญาณโหลด ทำให้เกิดความล่าช้า และอาจส่งผลให้คุณลักษณะผู้บริโภคบางอย่างที่เกี่ยวข้องกับอุปกรณ์เสื่อมลง
ในหลายประเทศ การเข้ารหัสเป็นธุรกิจประเภทหนึ่งที่เฉพาะเจาะจงมากซึ่งต้องได้รับอนุญาตจากหน่วยงานของรัฐ
นอกจากนี้ยังกำหนดข้อจำกัดบางประการด้วย การส่งออกอุปกรณ์ที่มีฟังก์ชันการเข้ารหัสอยู่ภายใต้สิ่งที่เรียกว่า Wassenaar Arrangements ในการส่งออกเทคโนโลยีแบบใช้สองทาง ซึ่งรวมถึงการเข้ารหัสด้วย ผู้ผลิตจะต้องได้รับใบอนุญาตส่งออกจากประเทศผู้ผลิต จากนั้นจึงได้รับใบอนุญาตนำเข้าจากประเทศที่จะนำเข้าผลิตภัณฑ์ หากสถานการณ์ซอฟต์แวร์คลี่คลายลงแล้วแม้ว่าจะมีปัญหาและข้อจำกัดของตัวเอง แต่ก็ยังมีปัญหากับสิ่งใหม่ๆ เช่นการเข้ารหัสใน Internet of Things ความจริงก็คือไม่มีใครรู้วิธีควบคุมสิ่งนี้ อย่างไรก็ตาม ยังมีข้อดีในเรื่องนี้ด้วย เนื่องจากหน่วยงานกำกับดูแลแทบจะไม่สนใจการเข้ารหัสอินเทอร์เน็ตของสิ่งของและรถยนต์โดยเฉพาะและอุปกรณ์โทรคมนาคมที่มีฟังก์ชันการเข้ารหัส แต่ไม่มีการควบคุมการเข้ารหัสในโดรน รถยนต์ และฮาร์ดแวร์คอมพิวเตอร์อื่นๆ เพียงเล็กน้อย ปล่อยให้อยู่นอกขอบเขตของกฎระเบียบ FSB ไม่เห็นสิ่งนี้ ปัญหาใหญ่: ผู้ก่อการร้ายและพวกหัวรุนแรงไม่ใช้สิ่งนี้ ดังนั้นในตอนนี้ การเข้ารหัสดังกล่าวจึงยังคงอยู่นอกเหนือการควบคุม แม้ว่าอย่างเป็นทางการจะอยู่ภายใต้กฎหมายก็ตาม
น่าเสียดายที่การเข้ารหัสมักถูกนำมาใช้ในระดับพื้นฐานในความเป็นจริงนี่คือการดำเนินการ XOR ปกตินั่นคือการแทนที่อักขระบางตัวด้วยอักขระอื่นตามอัลกอริทึมง่ายๆ ที่ง่ายต่อการเลือก นอกจากนี้ การเข้ารหัสมักถูกนำมาใช้โดยผู้ที่ไม่ใช่ผู้เชี่ยวชาญในสาขาการเข้ารหัส ซึ่งรับไลบรารีสำเร็จรูปที่ดาวน์โหลดจากอินเทอร์เน็ต เป็นผลให้สามารถพบช่องโหว่ในการใช้งานดังกล่าวที่อนุญาตให้คุณข้ามอัลกอริธึมการเข้ารหัสและอย่างน้อยก็สกัดกั้นข้อมูลและบางครั้งก็บุกรุกช่องทางเพื่อแทนที่
ความต้องการความปลอดภัยของรถยนต์
แผนกอิสราเอลของเรามีโซลูชันที่เรียกว่า Autoguardนี่คือไฟร์วอลล์ขนาดเล็กสำหรับรถยนต์ที่ควบคุมสิ่งที่เกิดขึ้นภายในและสื่อสารกับโลกภายนอก โดยพื้นฐานแล้ว จะวิเคราะห์คำสั่งที่แลกเปลี่ยนกันระหว่างองค์ประกอบของคอมพิวเตอร์ออนบอร์ดและเซ็นเซอร์ ควบคุมการเข้าถึงจากภายนอก กล่าวคือ จะกำหนดว่าใครได้รับอนุญาตและใครไม่ได้รับอนุญาตให้เชื่อมต่อกับอุปกรณ์อิเล็กทรอนิกส์และฮาร์ดแวร์ภายใน
ในเดือนมกราคม 2018 ที่ลาสเวกัส ที่งานแสดงสินค้าอิเล็กทรอนิกส์ที่ใหญ่ที่สุด CES บริษัท Cisco และ Hyundai Motor ได้ประกาศการสร้างรถยนต์ คนรุ่นใหม่ซึ่งจะใช้สถาปัตยกรรม Software Defined Vehicle และติดตั้งเทคโนโลยีเครือข่ายล่าสุด รวมถึงกลไกความปลอดภัยทางไซเบอร์ รถยนต์คันแรกควรออกจากสายการผลิตในปี 2562
แตกต่างจากอุปกรณ์อิเล็กทรอนิกส์สำหรับผู้บริโภคและโซลูชันไอทีระดับองค์กร ความปลอดภัยของยานยนต์เป็นตลาดที่มีความเฉพาะเจาะจงมาก ผู้บริโภคมีเพียงไม่กี่โหลทั่วโลก - จำนวนผู้ผลิตรถยนต์ น่าเสียดายที่เจ้าของรถเองก็ไม่สามารถปรับปรุงความปลอดภัยทางไซเบอร์ของ "ม้าเหล็ก" ของเขาได้ ตามกฎแล้ว โครงการประเภทนี้ไม่ได้รับการโฆษณา แต่ไม่สามารถเปิดเผยต่อสาธารณะได้ เนื่องจากไม่ใช่บริษัทหลายล้านแห่งที่ต้องการเราเตอร์ และไม่ใช่ผู้ใช้หลายร้อยล้านรายที่ต้องการสมาร์ทโฟนที่ปลอดภัย ผู้ผลิตรถยนต์เหล่านี้เป็นเพียงสามถึงสี่สิบรายที่ไม่ต้องการดึงความสนใจว่ากระบวนการปกป้องรถยนต์มีโครงสร้างอย่างไร
ผู้ผลิตหลายรายให้ความคุ้มครองอย่างไม่เข้มงวดคนอื่นๆ กำลังพิจารณาพื้นที่นี้อย่างใกล้ชิดยิ่งขึ้น และดำเนินการทดสอบต่างๆ เนื่องจากมีข้อมูลเฉพาะที่เกี่ยวข้องที่นี่ วงจรชีวิตรถ. ในรัสเซีย อายุขัยเฉลี่ยของรถยนต์อยู่ที่ 5-6 ปี (ในภาคกลางและเมืองใหญ่ 3-4 ปี และในภูมิภาค 7-8 ปี) หากผู้ผลิตคิดที่จะนำระบบรักษาความปลอดภัยทางไซเบอร์มาสู่กลุ่มผลิตภัณฑ์รถยนต์ของตน โซลูชันนี้จะเข้าถึงตลาดมวลชนภายในสิบปี ไม่ใช่เร็วกว่านั้น ในประเทศตะวันตก สถานการณ์แตกต่างออกไปเล็กน้อย รถมีการเปลี่ยนแปลงบ่อยขึ้น แต่ในกรณีนี้ ยังเร็วเกินไปที่จะบอกว่ารถยนต์มีระบบป้องกันที่เพียงพอ ดังนั้นจึงไม่มีใครอยากดึงดูดความสนใจไปที่หัวข้อนี้มากนัก
ผู้โจมตีอาจเริ่มโจมตีรถยนต์หรือกระตุ้นให้เกิดการเรียกคืนยานพาหนะเนื่องจากปัญหาด้านความปลอดภัยของคอมพิวเตอร์ ซึ่งอาจมีค่าใช้จ่ายสูงสำหรับผู้ผลิตเนื่องจากมีช่องโหว่อยู่เสมอ แน่นอนว่าพวกเขาจะได้พบ แต่การเรียกคืนรถยนต์ที่มีช่องโหว่หลายพันหรือหลายแสนคันในแต่ละครั้งเนื่องจากช่องโหว่นั้นมีราคาแพงเกินไป ดังนั้นหัวข้อนี้จึงไม่ได้ยินกันอย่างแพร่หลายแต่ผู้ผลิตรายใหญ่
แน่นอนว่าพวกเขากำลังทำงานและคิดถึงโอกาสของตลาดนี้ ตามการประมาณการของ GSMA ภายในปี 2568 รถยนต์ 100% จะเชื่อมต่อกับอินเทอร์เน็ต (หรือที่เรียกว่ารถยนต์ที่เชื่อมต่อ) ฉันไม่รู้ว่ารัสเซียรวมอยู่ในสถิติเหล่านี้มากน้อยเพียงใด แต่มีบริษัทยักษ์ใหญ่ด้านรถยนต์ของโลกรวมอยู่ในนั้นด้วย
ความปลอดภัยของการขนส่งรูปแบบอื่นช่องโหว่มีอยู่ในยานพาหนะทุกประเภท
จากมุมมองของการพัฒนา แนวทางสำหรับโครงการดังกล่าวแตกต่างจากที่ Microsoft, Oracle, SAP หรือ Cisco ทำอยู่เล็กน้อย และการทดสอบไม่ได้ดำเนินการในระดับเดียวกัน ดังนั้นจึงมีกรณีที่ทราบกันดีอยู่แล้วในการค้นหาช่องโหว่และสาธิตความสามารถในการแฮ็กเครื่องบินหรือการขนส่งทางทะเล
- นั่นคือเหตุผลที่ไม่ควรแยกยานพาหนะใดออกจากรายการนี้ เนื่องจากความปลอดภัยทางไซเบอร์ในปัจจุบันไม่ได้อยู่ในระดับที่สูงมากเมื่อใช้โดรน สถานการณ์จะเหมือนเดิมทุกประการและง่ายกว่า เนื่องจากเป็นตลาดที่มีมวลชนมากกว่า
เกือบทุกคนมีโอกาสที่จะซื้อโดรนและแยกชิ้นส่วนเพื่อการวิจัย แม้ว่าโดรนจะมีราคาหลายพันดอลลาร์ แต่คุณสามารถซื้อร่วมกัน วิเคราะห์ และค้นหาช่องโหว่ได้ จากนั้นคุณสามารถจี้อุปกรณ์ดังกล่าวหรือลงจอดได้ทันทีโดยขัดขวางช่องควบคุม คุณยังสามารถทำให้พวกเขาตกลงมาและสร้างความเสียหายให้กับเจ้าของหรือขโมยพัสดุที่โดรนกำลังขนส่งหากใช้ในการขนส่งสินค้าและการขนส่ง
เมื่อพิจารณาจากจำนวนโดรน เห็นได้ชัดว่าเหตุใดผู้โจมตีจึงศึกษาตลาดนี้โดยเฉพาะ: สร้างรายได้ได้มากกว่า
สถานการณ์ในพื้นที่นี้มีความกระตือรือร้นมากกว่ารถยนต์เพราะว่า "คนเลว" มีประโยชน์โดยตรง ไม่ปรากฏเมื่อมีรถถูกบุกรุก ไม่นับการขู่กรรโชกที่อาจเกิดขึ้นจากผู้ผลิตรถยนต์ นอกจากนี้คุณสามารถเข้าคุกเพื่อขู่กรรโชกได้และขั้นตอนการรับค่าไถ่นั้นซับซ้อนกว่ามาก แน่นอนคุณสามารถลองรับเงินจากผู้ผลิตรถยนต์ได้อย่างถูกกฎหมาย แต่มีเพียงไม่กี่คนที่ทำเงินโดยการค้นหาช่องโหว่ดังกล่าวอย่างถูกกฎหมายและเพื่อหาเงินเมื่อผู้ผลิตบล็อกการอัพเดต
ล่าสุดมีกรณีที่น่าสนใจคือผู้ผลิตเครื่องจักรกลการเกษตรฉันไม่เห็นสิ่งที่เหนือธรรมชาติหรือขัดแย้งกับการดำเนินธุรกิจจากมุมมองของผู้ผลิตในสถานการณ์นี้ เขาต้องการควบคุมกระบวนการอัปเดตซอฟต์แวร์และผูกมัดลูกค้าไว้กับเขา เนื่องจากการสนับสนุนการรับประกันคือเงิน ผู้ผลิตจึงต้องการสร้างรายได้จากการสนับสนุนดังกล่าวต่อไป ซึ่งจะช่วยลดความเสี่ยงที่ลูกค้าจะออกจากซัพพลายเออร์อุปกรณ์รายอื่น บริษัทเกือบทั้งหมดที่ทำงานในด้านที่เกี่ยวข้องกับไอที “ดำเนินชีวิต” ตามหลักการนี้ตลอดจนบริษัทผู้ผลิตรถยนต์ เครื่องจักรกลการเกษตร
เมื่อผู้บริโภคไม่ต้องการจ่ายค่าสนับสนุนการรับประกันสำหรับอุปกรณ์ เขาจะเริ่มค้นหาการอัปเดตเฟิร์มแวร์บนเว็บไซต์ต่างๆ ของ Varez
ในด้านหนึ่งอาจทำให้เขาอัปเดตซอฟต์แวร์ได้ฟรี แต่ในทางกลับกันก็อาจทำให้เกิดความเสียหายได้ โดยเฉพาะอย่างยิ่งในแนวทางปฏิบัติของ Cisco มีกรณีที่บริษัทที่ไม่ต้องการจ่ายเงินสำหรับการสนับสนุน (ในกรณีนี้ แน่นอนว่าไม่ใช่สำหรับรถยนต์หรือเครื่องจักรกลการเกษตร แต่สำหรับอุปกรณ์เครือข่ายทั่วไป) ดาวน์โหลดเฟิร์มแวร์ที่ไหนสักแห่งในฟอรัมแฮ็กเกอร์ เมื่อปรากฎว่าเฟิร์มแวร์เหล่านี้มี "บุ๊กมาร์ก" เป็นผลให้สำหรับลูกค้าจำนวนหนึ่ง ข้อมูลที่ส่งผ่านอุปกรณ์เครือข่ายรั่วไหลไปยังบุคคลที่ไม่ปรากฏชื่อ มีบริษัทหลายแห่งในโลกที่ประสบปัญหานี้หากเรายังคงเปรียบเทียบและจินตนาการถึงสิ่งที่สามารถทำได้ด้วยเครื่องจักรกลการเกษตร ภาพนั้นคงจะเศร้า
ตามทฤษฎีแล้ว มีความเป็นไปได้ที่จะปิดกั้นการทำงานของเครื่องจักรกลการเกษตร และเรียกร้องค่าไถ่เพื่อฟื้นฟูการเข้าถึงเครื่องจักรที่มีมูลค่าหลายแสนดอลลาร์หรือหลายล้านดอลลาร์ โชคดีที่เท่าที่ฉันรู้ ยังไม่มีแบบอย่างดังกล่าว แต่ฉันไม่ได้ปฏิเสธว่าสิ่งเหล่านั้นอาจปรากฏขึ้นในอนาคตหากการปฏิบัตินี้ดำเนินต่อไป
วิธีการปรับปรุงความปลอดภัยของยานพาหนะคำแนะนำนั้นง่ายมาก: คุณต้องเข้าใจว่ามีปัญหาอยู่
ความจริงก็คือว่าสำหรับผู้จัดการหลายคนไม่มีปัญหาดังกล่าว พวกเขาคิดว่ามันเป็นที่ต้องการของตลาดมากเกินไปหรือไม่เป็นที่ต้องการมากนักและด้วยเหตุนี้จึงไม่พร้อมที่จะจ่ายเงินกับมัน เมื่อสามหรือสี่ปีที่แล้ว Connected Car Summit จัดขึ้นที่มอสโก ซึ่งพวกเขาพูดคุยเกี่ยวกับสิ่งใหม่ๆ ที่เกี่ยวข้องกับระบบอัตโนมัติและคอมพิวเตอร์ของรถยนต์ตัวอย่างเช่น เกี่ยวกับการติดตามตำแหน่ง (การแชร์รถที่เชื่อมต่อกับอินเทอร์เน็ต) และอื่นๆ ฉันได้ไปบรรยายเรื่องความปลอดภัยของรถยนต์ที่นั่น และเมื่อฉันพูดถึง
ตัวอย่างต่างๆหลังจากกล่าวสุนทรพจน์ ตัวแทนคนหนึ่งเดินเข้ามาหาฉันและบอกว่าตอนนี้พวกเขาไม่ได้คิดถึงความปลอดภัยของคอมพิวเตอร์ด้วยซ้ำ เพราะระดับการใช้คอมพิวเตอร์ต่ำมาก ก่อนอื่นพวกเขาต้องเข้าใจก่อนว่าสามารถเพิ่มอะไรลงในรถได้บ้าง ในแง่ของการบรรจุคอมพิวเตอร์ เมื่อผมถามตัวแทนรายนี้ว่าพวกเขาจะคิดถึงเรื่องความปลอดภัยหรือไม่ เขาตอบว่า เรื่องนี้ถือเป็นการพิจารณาในระยะยาวมาก นี่คือประเด็นสำคัญ: คุณต้องคิดถึงความจริงที่ว่าความปลอดภัยของคอมพิวเตอร์เป็นส่วนสำคัญไม่ใช่ฟังก์ชัน "ส่วนเสริม" ภายนอก แต่เป็นทรัพย์สินของรถยนต์สมัยใหม่ ถือเป็นความสำเร็จเพียงครึ่งหนึ่งในการรับรองความปลอดภัยในการขนส่ง
ขั้นตอนที่สองที่จำเป็นคือการจ้างผู้เชี่ยวชาญทั้งภายในหรือภายนอกเราต้องการคนที่สามารถทำได้ ถูกต้องตามกฎหมายหยุดพัก โซลูชั่นที่มีอยู่และมองหาจุดอ่อนในตัวพวกเขา ขณะนี้มีผู้ที่ชื่นชอบหรือบริษัทแต่ละรายที่มีส่วนร่วมในการทดสอบเจาะลึกหรือการวิเคราะห์ความปลอดภัยของรถยนต์และฮาร์ดแวร์คอมพิวเตอร์ของพวกเขา มีเพียงไม่กี่รายเนื่องจากนี่เป็นตลาดที่ค่อนข้างแคบซึ่งคุณไม่สามารถขยายและสร้างรายได้จำนวนมากได้ ฉันไม่รู้จักใครในรัสเซียที่จะทำอะไรแบบนี้ แต่มีบริษัทหลายแห่งที่มีส่วนร่วมในการวิเคราะห์ความปลอดภัยและทำสิ่งที่ค่อนข้างเฉพาะเจาะจง เช่น การทดสอบระบบควบคุมกระบวนการแบบอัตโนมัติและอื่นๆ ที่คล้ายกัน พวกเขาอาจจะลองใช้รถยนต์ได้
องค์ประกอบที่สามคือการนำกลไกการพัฒนาที่ปลอดภัยไปใช้สิ่งนี้เป็นที่คุ้นเคยของนักพัฒนาซอฟต์แวร์ทั่วไปมานานแล้ว โดยเฉพาะอย่างยิ่งเมื่อรัสเซียเพิ่งนำมาตรฐาน GOST ที่สอดคล้องกันเพื่อการพัฒนาซอฟต์แวร์ที่ปลอดภัยมาใช้ นี่คือชุดคำแนะนำเกี่ยวกับวิธีการเขียนโค้ดอย่างถูกต้องเพื่อให้แฮ็กได้ยากยิ่งขึ้น วิธีหลีกเลี่ยงโครงสร้างที่จะนำไปสู่การบัฟเฟอร์ล้น การสกัดกั้นข้อมูล การดัดแปลงข้อมูล การปฏิเสธการให้บริการ และอื่นๆ
ขั้นตอนที่สี่คือการนำโซลูชันความปลอดภัยทางเทคนิคไปใช้นั่นคือการใช้ชิปพิเศษในรถยนต์ การสร้างสถาปัตยกรรมความปลอดภัย นักพัฒนาควรมีสถาปนิกที่จัดการปัญหาด้านความปลอดภัยโดยเฉพาะ พวกเขายังสามารถจัดการกับสถาปัตยกรรมของรถจากมุมมองของการป้องกัน สถาปัตยกรรมของระบบควบคุม เนื่องจากคุณไม่สามารถโจมตีรถได้เสมอ - การแฮ็กระบบควบคุมและเข้าควบคุมรถทุกคันจะมีประสิทธิภาพมากกว่ามาก
อย่างที่เพิ่งเกิดขึ้นกับเครื่องบันทึกเงินสดออนไลน์ซึ่งหยุดทำงานกะทันหันในวันที่หนึ่งร้อยปีของ FSBท้ายที่สุดแล้ว เครื่องบันทึกเงินสดออนไลน์ก็คือรถคันเดียวกัน: มีฮาร์ดแวร์คอมพิวเตอร์และเฟิร์มแวร์ เฟิร์มแวร์หยุดทำงานทันที และหนึ่งในสี่ของตลาดค้าปลีกทั้งหมดหยุดทำงานเป็นเวลาหลายชั่วโมง เช่นเดียวกับรถยนต์: โค้ดที่เขียนไม่ดี มีช่องโหว่ที่พบในนั้น หรือการแฮ็กระบบควบคุมสามารถนำไปสู่ผลลัพธ์ที่เลวร้ายได้ แต่หากในกรณีของเครื่องบันทึกเงินสดออนไลน์ ความสูญเสียวัดเป็นพันล้าน ในกรณีของรถยนต์ก็จะมีผู้เสียชีวิต
แม้ว่าสำหรับรถยนต์จะไม่จำเป็นต้องคาดหวังว่าจะมีการแฮ็กหรือการสกัดกั้นการควบคุมยานพาหนะหลายสิบล้านคัน
แค่แฮ็กเพียงไม่กี่อันก็เพียงพอแล้ว และจะเกิดความสับสนวุ่นวายบนท้องถนน และหากข้อเท็จจริงของการแฮ็กเปิดเผยต่อสาธารณะ คุณสามารถมั่นใจได้ว่าสื่อจะส่งเสียงไปทั่วโลก และเจ้าของรถจะต้องตกใจกับ "ผู้มีแนวโน้มเป็นลูกค้า" ที่เปิดกว้าง โดยทั่วไปแล้วการป้องกันสมัยใหม่มีสามระดับ. ยานพาหนะ
นี่คือความปลอดภัยทางไซเบอร์ในตัวของตัวรถ (ระบบป้องกันการโจรกรรม, PKES, การสื่อสารภายในที่ปลอดภัยระหว่าง ECU, การตรวจจับความผิดปกติและการโจมตี, การควบคุมการเข้าถึง, โมดูลความปลอดภัยที่เชื่อถือได้) ความปลอดภัยของการสื่อสาร (การป้องกันการสื่อสารภายนอกกับศูนย์ควบคุมโครงสร้างพื้นฐานของถนน ผู้ผลิตรถยนต์หรือชิ้นส่วนแต่ละชิ้น การป้องกันการดาวน์โหลดแอปพลิเคชัน เนื้อหา การอัพเดต การป้องกันกราฟวัดความเร็ว) และความปลอดภัยของโครงสร้างพื้นฐานทางถนน
จะเรียนอะไรและที่ไหนสำหรับผู้เชี่ยวชาญ ผู้เชี่ยวชาญด้านไอทีที่เป็นหรือต้องการพัฒนาโค้ดสำหรับรถยนต์ ยานพาหนะ หรือโดรนอาจต้องการเริ่มต้นด้วยการเรียนรู้ภาษาการพัฒนาที่ปลอดภัย (SDLC)นั่นคือคุณต้องศึกษาว่าการพัฒนาที่ปลอดภัยโดยทั่วไปเป็นอย่างไร ต้องยอมรับว่าไม่ได้นำมาซึ่งความรู้เพิ่มเติมนี้ เงินพิเศษ- ทุกวันนี้ ไม่มีใครถูกลงโทษเนื่องจากความไม่รู้พื้นฐานของการพัฒนาที่ปลอดภัย และไม่มีความรับผิดชอบ ดังนั้นจึงขึ้นอยู่กับดุลยพินิจของผู้เชี่ยวชาญด้านไอทีเอง ในตอนแรกมันอาจจะเป็น
ความได้เปรียบในการแข่งขันเนื่องจากไม่มีหลักสูตรประเภทนี้เลย หลักสูตรทั้งหมดจึงจัดทำขึ้นตามคำสั่งซื้อเท่านั้น และตามกฎแล้ว นี่คือการฝึกอบรมขององค์กร หัวข้อนี้ไม่รวมอยู่ในมาตรฐานการศึกษาของรัฐบาลกลาง ดังนั้นสิ่งที่เหลืออยู่คือการศึกษาด้วยตนเองหรือเรียนหลักสูตรจากบริษัทที่เกี่ยวข้องกับการวิเคราะห์โค้ด มีบริษัทดังกล่าวอยู่ ในบรรดาผู้เล่นชาวรัสเซีย เช่น Solar Security หรือ Positive Technologies ในโลกตะวันตกยังมีอีกหลายบริษัท เช่น IBM, Coverity, Synopsys, Black Duck พวกเขาจัดการสัมมนาต่างๆ ในหัวข้อนี้ (ทั้งแบบเสียเงินและฟรี) ซึ่งคุณจะได้รับความรู้
ทิศทางที่สองสำหรับผู้เชี่ยวชาญด้านไอทีคือสถาปนิกนั่นคือคุณสามารถเป็นสถาปนิกด้านความปลอดภัยสำหรับโครงการประเภทนี้สำหรับอินเทอร์เน็ตของสิ่งต่าง ๆ โดยทั่วไปได้เพราะมันถูกสร้างขึ้นบวกหรือลบตามกฎหมายเดียวกัน นี่คือระบบควบคุมส่วนกลางจากคลาวด์และเซ็นเซอร์จำนวนมาก: ไม่ว่าจะโฟกัสแบบแคบ เช่น โดรน หรือเซ็นเซอร์ที่รวมอยู่ในรถยนต์หรือยานพาหนะขนาดใหญ่ที่จำเป็นต้องกำหนดค่า ใช้งาน และออกแบบอย่างเหมาะสม จำเป็นต้องคำนึงถึงภัยคุกคามต่างๆ ซึ่งเรียกว่าการสร้างแบบจำลองภัยคุกคามเป็นสิ่งที่จำเป็น นอกจากนี้ยังจำเป็นต้องคำนึงถึงพฤติกรรมของผู้ที่อาจฝ่าฝืนเพื่อทำความเข้าใจความสามารถและแรงจูงใจที่เป็นไปได้ของเขา และจากสิ่งนี้ กลไกการออกแบบเพื่อขับไล่ภัยคุกคามในอนาคต
คุณสามารถค้นหาสื่อที่มีประโยชน์มากมายบนอินเทอร์เน็ตคุณยังสามารถอ่านการนำเสนอต่างๆ จากการประชุม เช่น DEF CON และ Black Hat คุณสามารถดูเอกสารของบริษัทต่างๆ ได้: หลายแห่งเผยแพร่การนำเสนอและเอกสารไวท์เปเปอร์ที่ดีบนเว็บไซต์ของตน คำอธิบายข้อผิดพลาดทั่วไปในโค้ด และอื่นๆ คุณสามารถลองค้นหาการนำเสนอจากกิจกรรมพิเศษเกี่ยวกับความปลอดภัยของรถยนต์ (เช่น Automotive Cybersecurity Summit, Vehicle Cyber Security Summit, Connected Cars Summit, CyberSecureCar Europe)
นอกจากนี้ ขณะนี้หน่วยงานกำกับดูแล FSTEC ของรัสเซีย ( บริการของรัฐบาลกลางเกี่ยวกับการควบคุมด้านเทคนิคและการส่งออก) มีความคิดริเริ่มหลายประการ โดยเฉพาะอย่างยิ่งเสนอให้โพสต์ข้อผิดพลาดทั่วไปที่โปรแกรมเมอร์ทำในโค้ดบนอินเทอร์เน็ต และเพื่อรักษาฐานข้อมูลข้อผิดพลาดดังกล่าว สิ่งนี้ยังไม่ได้ถูกนำมาใช้ แต่หน่วยงานกำกับดูแลกำลังทำงานในทิศทางนี้ แม้ว่าจะมีทรัพยากรไม่เพียงพอเสมอไป
หลังจากการรั่วไหลของคลังแสงไซเบอร์ของ CIA และ NSA บนอินเทอร์เน็ต ใครๆ แม้แต่ "แฮกเกอร์ประจำบ้าน" ก็รู้สึกเหมือนเป็นตัวแทนพิเศษได้
ท้ายที่สุดเขาเป็นเจ้าของคลังแสงเกือบจะเหมือนกัน สิ่งนี้บังคับให้สถาปนิกคิดแตกต่างไปจากเดิมอย่างสิ้นเชิงเกี่ยวกับวิธีการสร้างระบบของตน จากการศึกษาต่างๆ หากคุณคิดถึงความปลอดภัยในขั้นตอนการออกแบบ ทรัพยากรจำนวน X จะถูกนำมาใช้ในการนำไปใช้งาน หากคุณเปลี่ยนสถาปัตยกรรมที่อยู่ในขั้นตอนการดำเนินงานทางอุตสาหกรรมแล้ว จะต้องใช้ทรัพยากร เวลา คน และเงินมากกว่าสามเท่าสถาปนิกเป็นอาชีพที่ทันสมัยและที่สำคัญที่สุดคืออาชีพที่ร่ำรวยมาก ฉันไม่สามารถพูดได้ว่าในรัสเซียมีผู้เชี่ยวชาญเช่นนี้ความต้องการที่ดี
แต่ในโลกตะวันตก สถาปนิกด้านความปลอดภัยเป็นหนึ่งในอาชีพที่ได้รับค่าตอบแทนสูงสุด รายได้ต่อปีของผู้เชี่ยวชาญดังกล่าวอยู่ที่ประมาณสองแสนดอลลาร์ ในรัสเซีย ตามที่กระทรวงแรงงานระบุว่า มีการขาดแคลนพนักงานรักษาความปลอดภัยประมาณ 50-60,000 คนทุกปี หนึ่งในนั้นคือสถาปนิก ผู้ดูแลระบบ ผู้จัดการ และผู้ที่จำลองภัยคุกคาม ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากที่ขาดแคลนในรัสเซียเป็นประจำอย่างไรก็ตาม สถาปนิกก็ไม่ได้สอนในมหาวิทยาลัยเช่นกัน
โดยพื้นฐานแล้วนี่คือการฝึกอบรมใหม่นั่นคือหลักสูตรที่เหมาะสมหรือการศึกษาด้วยตนเองในรัสเซีย การฝึกอบรมขององค์กรส่วนใหญ่จะฝึกปฏิบัติ เพราะไม่ใช่ตลาดมวลชนและศูนย์ฝึกอบรม อย่ารวมสิ่งนี้เป็นหลักสูตรในโปรแกรมของพวกเขา นี้จะกระทำตามคำสั่งเท่านั้น ตามทฤษฎีแล้ว สิ่งนี้ควรรวมอยู่ในการศึกษาสาธารณะในมหาวิทยาลัยตั้งแต่แรก เพื่อวางรากฐานการออกแบบสถาปัตยกรรมต่างๆ อย่างเหมาะสม น่าเสียดายที่มาตรฐานการศึกษาของรัฐบาลกลางเขียนโดยผู้ที่อยู่ห่างไกลจากความเป็นจริงและการปฏิบัติ บ่อยครั้งนี้อดีตคน
ในเครื่องแบบซึ่งไม่ทราบวิธีออกแบบระบบอย่างถูกต้องเสมอไปหรือคุ้นเคยกับสิ่งนี้ในลักษณะเฉพาะเจาะจง: ความรู้ของพวกเขาเกี่ยวข้องกับความลับของรัฐหรือการต่อสู้กับข่าวกรองทางเทคนิคจากต่างประเทศ และนี่เป็นประสบการณ์ที่แตกต่างออกไปเล็กน้อย ประสบการณ์นี้ไม่อาจเรียกว่าแย่ได้ แต่มีความแตกต่างและมีประโยชน์เพียงเล็กน้อยในส่วนการค้าและอินเทอร์เน็ตในทุกสิ่ง มาตรฐานการศึกษาของรัฐบาลกลางได้รับการปรับปรุงช้ามาก ประมาณทุกๆ 3-4 ปี และส่วนใหญ่จะมีการเปลี่ยนแปลงเล็กน้อย เห็นได้ชัดว่าในสถานการณ์เช่นนี้ผู้เชี่ยวชาญไม่เพียงพอและจะขาดแคลน
ทำงานที่ซิสโก้ Cisco มีการพัฒนาในรัสเซีย บริษัท รัสเซียผู้ที่มีส่วนร่วมในโครงการส่วนบุคคลสำหรับเรา หนึ่งในนั้นคือบริษัท Perspective Monitoring ซึ่งเขียนตัวจัดการแยกต่างหากให้ การรับส่งข้อมูลเครือข่ายเพื่อจดจำแอปพลิเคชันต่างๆ ซึ่งจากนั้นจะรวมอยู่ในเครื่องมือรักษาความปลอดภัยเครือข่ายของเรา โดยทั่วไป เราก็เหมือนกับบริษัทไอทีระดับโลกส่วนใหญ่ที่มีศูนย์การพัฒนาหลายแห่งทั่วโลก และสำนักงานระดับภูมิภาคก็ทำหน้าที่ด้านการตลาด การสนับสนุน และการขาย
เรามีโครงการฝึกงานสำหรับผู้สำเร็จการศึกษาระดับมหาวิทยาลัย - หนึ่งปีในยุโรปที่สถาบันการศึกษาของเราก่อนที่พวกเขาจะผ่านไป การแข่งขันครั้งใหญ่จากนั้นพวกเขาก็ถูกส่งไปยังเมืองหลวงแห่งหนึ่งของยุโรปเป็นเวลาหนึ่งปี เมื่อส่งคืนแล้วจะแจกจ่ายไปยังสำนักงานของเราในรัสเซียและกลุ่มประเทศ CIS คนเหล่านี้คือวิศวกรที่ออกแบบระบบและสนับสนุนระบบ รวมถึงคนที่ทำหน้าที่ขายด้วย
บางครั้งเรามีตำแหน่งงานว่างเมื่อมีคนได้เลื่อนตำแหน่งหรือออกจากบริษัทส่วนใหญ่เป็นตำแหน่งวิศวกรหรือตำแหน่งที่เกี่ยวข้องกับการขาย เมื่อพิจารณาถึงระดับของ Cisco ในกรณีนี้ เราไม่ได้รับสมัครนักศึกษา แต่รับสมัครผู้ที่ทำงานในตำแหน่งใดตำแหน่งหนึ่งมามากกว่าหนึ่งปี หากเขาเป็นวิศวกร เขาจะต้องมีใบรับรอง Cisco เพียงพอ สิ่งที่จำเป็นไม่ใช่ CCNA พื้นฐาน ตามกฎแล้ว ต้องมี CCNP ขั้นต่ำ และเป็นไปได้มากที่ผู้เชี่ยวชาญจะต้องผ่านการรับรอง CCIE ซึ่งเป็นระดับสูงสุดของการรับรองของ Cisco ในรัสเซียมีคนแบบนี้ไม่กี่คน ดังนั้นเราจึงมักประสบปัญหาเมื่อต้องการหาวิศวกร แม้ว่าการหมุนเวียนในบริษัทโดยทั่วไปจะมีไม่มากนัก แต่ก็วัดกันที่ 1–2% ต่อปี แม้ว่าสถานการณ์ทางเศรษฐกิจ บริษัทอเมริกันในรัสเซียพวกเขาจ่ายเงินดีมาก มีแพ็คเกจทางสังคมที่ดี ดังนั้นโดยปกติแล้วผู้คนจะไม่ทิ้งเราไป
ฉันเกิดในปี 1973 ในกรุงมอสโก ซึ่งฉันยังคงอาศัยอยู่ แม้ว่ามหาอำนาจต่างชาติจะพยายามดึงฉันขึ้นสู่ตำแหน่งพลเมืองของพวกเขาก็ตาม ในปี 1996 เขาสำเร็จการศึกษาจากสถาบันวิศวกรรมวิทยุ อิเล็กทรอนิกส์ และระบบอัตโนมัติแห่งมอสโก (MIREA) ด้วยปริญญาคณิตศาสตร์ประยุกต์ (ความเชี่ยวชาญ - ความปลอดภัยของข้อมูล) เขาพยายามหาผู้สมัครสาขาวิทยาศาสตร์เทคนิคสองครั้ง แต่ทั้งสองครั้งเมื่อถูกตัดสินว่าเป็นผู้บังคับบัญชาทางวิทยาศาสตร์เรื่องการลอกเลียนแบบในอนาคต เขาก็หยุดเส้นทางของเขาในฐานะนักศึกษาระดับบัณฑิตศึกษา เราไม่ตัดสิน ฉันไม่ได้รับรางวัลจากรัฐหรือแผนกฉันทำงานด้านการรักษาความปลอดภัยข้อมูลมาตั้งแต่ปี 1992 ทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลในหน่วยงานภาครัฐต่างๆ และ องค์กรการค้า- ก้าวขึ้นมาจากโปรแกรมเมอร์และผู้ดูแลระบบซอฟต์แวร์เข้ารหัส มาเป็นนักวิเคราะห์และผู้จัดการฝ่ายพัฒนาธุรกิจในด้านความปลอดภัยข้อมูล เขามีใบรับรองหลายใบในด้านความปลอดภัยข้อมูล แต่หยุดการไล่ล่าป้ายสถานะ ในขณะนี้ ฉันกำลังมอบทุกสิ่งให้กับ Cisco
ตีพิมพ์ผลงานพิมพ์มากกว่า 600 ชิ้นในสิ่งพิมพ์ต่างๆ - "CIO", "ผู้อำนวยการฝ่ายบริการข้อมูล", "วารสารการธนาคารแห่งชาติ", "PRIME-TASS", "ความปลอดภัยข้อมูล", "Cnews", " เทคโนโลยีการธนาคาร", "วารสารวิเคราะห์การธนาคาร", "ธุรกิจออนไลน์", "โลกแห่งการสื่อสาร เชื่อมต่อ", "ผลลัพธ์", "การจัดการองค์กรที่มีเหตุผล", "การควบรวมกิจการและการเข้าซื้อกิจการ" ฯลฯ ในช่วงกลางทศวรรษ 2000 เขาหยุดนับสิ่งพิมพ์ของเขาว่าเป็นแบบฝึกหัดที่ไร้ประโยชน์ ขณะนี้ฉันกำลังเขียนบล็อกบนอินเทอร์เน็ตเรื่อง “ธุรกิจไร้อันตราย”
ในปี 2548 เขาได้รับรางวัลสมาคมโทรคมนาคมสารคดี "เพื่อการพัฒนาการสื่อสารสารสนเทศในรัสเซีย" และในปี 2549 - รางวัล InfoForum ในประเภท "สิ่งพิมพ์แห่งปี" ในเดือนมกราคม 2550 เขาถูกรวมอยู่ในการจัดอันดับ 100 คนในตลาดไอทีรัสเซีย (ฉันยังไม่เข้าใจว่าทำไม) ในปี 2010 เขาชนะการแข่งขัน Lions and Gladiators ในปี 2554 เขาได้รับประกาศนียบัตรจากรัฐมนตรีว่าการกระทรวงกิจการภายในของสหพันธรัฐรัสเซีย ในการประชุม Infosecurity เขาได้รับรางวัล Security Awards สามครั้ง - ในปี 2013, 2012 และ 2011 (สำหรับกิจกรรมด้านการศึกษา) สำหรับกิจกรรมเดียวกันหรือสำหรับการเขียนบล็อกในปี 2554 เขาได้รับรางวัล Runet Anti-Prize ในการเสนอชื่อ "Safe Roulette" ในปี 2012 เขาได้รับรางวัลจากสมาคมธนาคารรัสเซียสำหรับการมีส่วนร่วมอย่างมากในการพัฒนาความปลอดภัยของระบบธนาคารของรัสเซีย และในปี 2013 ที่ฟอรัม Magnitogorsk เขาได้รับรางวัล "สำหรับการสนับสนุนด้านระเบียบวิธีและความสำเร็จในการรักษาความปลอดภัยของธนาคาร ” นอกจากนี้ในปี 2013 และ 2014 พอร์ทัล DLP-Expert ยังได้รับเลือกให้เป็นวิทยากรที่ดีที่สุดในด้านความปลอดภัยของข้อมูล ในระหว่างที่เขาทำงานที่ Cisco เขายังได้รับรางวัลภายในหลายรางวัลอีกด้วย
ในปี 2544 เขาได้ตีพิมพ์หนังสือ “Attack Detection” (ฉบับที่สองของหนังสือเล่มนี้ตีพิมพ์ในปี 2546) และในปี 2545 ได้ร่วมเขียนร่วมกับ I.D. Medvedovsky, P.V. เซมยานอฟ และ D.G. Leonov - หนังสือ "การโจมตีจากอินเทอร์เน็ต" ในปี 2546 เขาได้ตีพิมพ์หนังสือ “ปกป้องข้อมูลของคุณด้วยการตรวจจับการบุกรุก” (บน ภาษาอังกฤษ- ตลอดปี 2551-2552 เขาได้ตีพิมพ์หนังสือ "ตำนานและความเข้าใจผิดเกี่ยวกับความปลอดภัยของข้อมูล" บนพอร์ทัล bankir.ru
ฉันเป็นผู้เขียนหลักสูตรหลายหลักสูตร รวมถึง “ความรู้เบื้องต้นเกี่ยวกับการตรวจจับการโจมตี”, “ระบบตรวจจับการโจมตี”, “วิธีเชื่อมโยงความปลอดภัยกับกลยุทธ์ทางธุรกิจขององค์กร”, “สิ่งที่ซ่อนอยู่ในกฎหมายว่าด้วยข้อมูลส่วนบุคคล”, “ความปลอดภัยของข้อมูลและ ทฤษฎีองค์กร”, “การวัดประสิทธิภาพความปลอดภัยของข้อมูล”, “สถาปัตยกรรมและกลยุทธ์ความปลอดภัยของข้อมูล” ฉันบรรยายเรื่องความมั่นคงปลอดภัยสารสนเทศในด้านต่างๆ สถาบันการศึกษาและองค์กรต่างๆ ฉันเป็นผู้ดูแลการประชุม Echo ของ RU.SECURITY บนเครือข่าย FIDO แต่ละทิ้งเรื่องนี้เนื่องจากการอพยพของผู้เชี่ยวชาญส่วนใหญ่ไปยังอินเทอร์เน็ต
เป็นครั้งแรกในสื่อรัสเซียที่ฉันพูดถึงหัวข้อ:
- ความปลอดภัยของข้อมูลทางธุรกิจ
- ความปลอดภัยของการควบรวมและซื้อกิจการ
- การวัดประสิทธิภาพของการรักษาความปลอดภัยของข้อมูล
- การรักษาความปลอดภัย SOA
- ความปลอดภัยของระบบการเรียกเก็บเงิน
- ระบบหลอกลวง
- ความปลอดภัยทางโทรศัพท์ไอพี
- ความปลอดภัยของระบบจัดเก็บข้อมูล
- การรักษาความปลอดภัยฮอตสปอต
- ความปลอดภัยของคอลเซ็นเตอร์
- การประยุกต์ศูนย์สถานการณ์ในด้านความมั่นคงปลอดภัยสารสนเทศ
- สแปมบนมือถือ
- ความปลอดภัยของเครือข่ายผู้ให้บริการมือถือ
- และอื่น ๆ อีกมากมาย
แต่งงานแล้วเลี้ยงลูกชายและลูกสาว ฉันพยายามอุทิศเวลาว่างให้กับครอบครัวของฉันแม้ว่างานที่เหน็ดเหนื่อยเพื่อประโยชน์ของมาตุภูมิและนายจ้างก็แทบจะไม่มีเวลาดังกล่าวเลย งานอดิเรกที่กลายเป็นงานหรืองานที่กลายเป็นงานอดิเรกคือการเขียนและ ความปลอดภัยของข้อมูล- ฉันมีส่วนร่วมในการท่องเที่ยวมาตั้งแต่เด็ก
ป.ล. ภาพถ่ายเพื่อเผยแพร่ทางอินเทอร์เน็ต (ดาวน์โหลดด้านบนหรือทาง
