О грядущем PHDays III, Жириновском, будущем молодежи, SDLC и другие размышления

О грядущем PHDays III, Жириновском, будущем молодежи, SDLC и другие размышления
Осталось всего два дня до начала третьего форума Positive Hack Days . Пора уже рассказать о том, что я там буду делать и прокомментировать некоторые одиозные высказывания людей, далеких от понимания того, что и ради чего организовывается на PHD.

Начну с конца - в первый день я буду модерировать секцию про SDLC, в которой примут участие Антон Карпов (руководитель службы ИБ Яндекса), Денис Баранов (руководитель группы по безопасности Web-приложений), Рустем Хайретдинов (генеральный директор Appercut Security) и ваш покорный слуга. Говорить мы будем о анализе качества кода с точки зрения информационной безопасности. Антон и я будем делиться практическим опытом того, как это устроено в наших компаниях (Яндекс и Cisco), а Денис и Рустем расскажут о том, как использовать SAST/DAST/IAST в контексте поиска уязвимостей и поиске закладок в исходном коде. Ну и нельзя будет обойти вниманием вопрос реализации механизма работы автоматического анализа в виде локального сканера и облачного сервиса. И хотя времени на секцию выделено немного, попробуем осветить ключевые моменты и сделать ее практической.

Вторая секция является "молодежной". Аннотация у нее следующая: "Сегодня, в 2013-м году мы находимся на пороге серьезных изменений в отрасли информационной безопасности, которые коренным образом меняют современную картину мира многих специалистов в области ИБ. Stuxnet, Duqu, Flame, Red October, Wikileaks, «Лунный лабиринт», операция «Аврора»… Атаки становятся изощреннее, а методы борьбы с ними остаются прежними. Прежние люди, отдавшие службе Родине не один десяток лет, прежние документы, мало поменявшиеся с 90-х годов. При этом современная молодежь чувствует себя лишней на этом «празднике жизни». Снижение качества образования в области информационной безопасности, нехватка специалистов, ориентация на «бумажную безопасность»… Все это отторгает молодежь от современной отечественной отрасли ИБ. Она не до конца понимает, чем она может пригодиться своей Родине. У многих молодых выпускников возникает понятное желание побыстрее заработать на своих знания, что зачастую приводит к уходу одаренных специалистов в полукриминальный или полностью криминальный бизнес; в киберпреступность. Как бороться с этой проблемой? Какие шаги предпринимают государство и бизнес для решения данной задачи? Как направить свои знания и умения в правильное русло? Об этом пойдет разговор на секции, куда приглашены представители всех основных «профильных» организаций, ответственных за информационную безопасность в Российской Федерации".

Иными словами на этой секции не будет хардкора, не будет техники, не будет шоу. Будет серьезный разговор представителей Совета Федерации, Министерства связи и массовых коммуникаций,  ЦИБ ФСБ, представителей ruCTF и Defcon Russia, представителей бизнеса с участниками PHD, с молодежью. Не будет нравоучений. Будет интересная дисскусия. Причем не односторонняя, а с активным участием тех, на кого и рассчитана секция.

Теперь насчет Жириновского. В Твиттере и ФБ началась истерия с использованием эпитетов к самому спикеру и PHD - "шапито", "клоуны", "цирк" и т.п. Отдельные личности, которым, видимо, не дает спокойно спать успех PHD, заявляют о том, что организаторы, не умея рекламировать PHD (хотя хорошее мероприятие в рекламе не нуждается), пытаются завлечь "левую" аудиторию и прессу на свою конференцию. Они же заявляют о том, что не дело на хардкорной конференции привлекать "Сару Пейлин" местного разлива. Отвечаю. Где, написано, что PHD - это хардкорное мероприятие? Где написано, что вообще техническое?

Заходим на сайт и читаем "международный форум по практической безопасности, организованный компанией Positive Technologies. Беспрецедентный по масштабу ИБ-марафон, объединяющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревнования. На PHDays III соберется рекордное число участников — более 2000 человек, среди которых ведущие эксперты в области ИБ, важнейшие фигуры хакерской сцены, студенты и молодые ученые, представители государственных организаций, CIO и CISO крупнейших российских и зарубежных компаний". Что видим? Теория и практика, разные стороны баррикад, госорганы и бизнес, ученые и студенты... Где хардкор? В том-то и прелесть этого мероприятия, что в нем найдет баланс между техническими и бизнесовыми докладами, между правовыми и практическими аспектами ИБ, между выступления бизнеса и госорганов. Я уже в третий раз буду участвовать в PHD и могу сказать, что никогда не рассматривать его как хакерскую тусовку. даже в самый первый раз я там читал тему про кибервойны и про законодательное регулирование криптографии в России. Во второй раз говорил опять про законодательство и про плохие документы ФСТЭК. В этот раз с моими темами докладов (опять про законодательство и про безопасность M2M) меня завернули, но и без этого в программе немало "бизнесовых" выступлений, которые не тянут на хардкор, но при этом не менее интересны.

Могу отметить один интересный момент в программе. Речь идет об активном участии ФСТЭК в мероприятии. В этом году будет закрытая сессия ФСТЭК с рассказом об инспекционных проверках, а также сессия ФСТЭК про сертифицированные СЗИ и недостатки современной системы сертификации средств защиты, а также пути выхода из сложившейся ситуации. Один из редких случаев, когда регулятор готов выслушать пожелания индустрии и учесть их в своих нормативных документах (а они готовятся).

Но вернемся к Жириновскому. На этом фоне, выступление чиновника (пусть даже и уровня вицеспикера Госдумы) не выглядит чем-то из ряда вон выходящим. А в секции про роль молодежи в России и подавно. Он не будет участвовать в секциях по безопасности АСУ ТП (а их много на PHD), и слушать про бизнес-модели киберпреступности тоже. Его задача ответить на вопросы касательно усилий государства в части поддержки молодежи. И для этой задачи он как никто лучше подходит. Кстати, на тему клоунады. Мне довелось на Парламентских слушаниях (не под камеру) его несколько раз видеть и слышать и могу сказать, что глупостей он не говорит. Более того, если отбросить его особую манеру говорить, то в его словах обычно скрывает потаенный смысл (особенно учитывая, что он часто говорит то, что потом наши власти реализуют на практике). Поэтому его будет интересно послушать. Но это далеко не все сюрпризы, которые будут на "молодежной" секции. Будет очень интересное выступление от Центра информационной безопасности ФСБ России, но предвосхищать его я не буду. Вас ждут два сюрприза! Приходите - сами все увидите и услышите ;-) Будет интересно!

PS. Да, кстати. Будет у меня еще одно выступления, как от представителя спонсора ;-) Расскажу о предлагаемых Cisco продуктах в области ИБ, о которых мало кто вообще слышал в России - о CTD, о WAF, и о AntiDDoS ;-) Аккурат на 15 минут ;-)
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!