Итак, сюрприз, мессенджер Мах признан национальной платформой 💬 И у меня есть что сказать по этому поводу, но для начала недоумение. Если вспомнить принятое законодательство о том, что у нас теперь на первое место выходят русскоязычные названия, то как надо читать платформу, упомянутую в распоряжении - Мах (по-русски) или Max (по-английски)? Но это лирика, на самом деле у меня комментарий будет все-таки в тему канала 🤔

Когда принимали оборотные штрафы 🤑 за инциденты с ПДн, то одним из сценариев ухода от этого наказания, называли фирмы-однодневки, которые и будут становиться операторами персональных данных вместо своих "мам" и "пап". И вот яркий пример, когда государство само показывает "как надо делать". Чтобы не подставлять ВК, статусом оператора нацмессенджера наградили некое ООО "Коммуникационная платформа" (на сайт без слез не взглянешь). Теперь, если что и произойдет, то... Будет ли ВК нести ответственность за инциденты? ❓

Если посмотреть реестр операторов персональных данных, то мы увидим, что для ООО "Коммуникационная платформа" ответственным за организацию обработки ПДн является ООО "ВК", которому принадлежит 15% в операторе нацплатформы. 84,99% принадлежат ООО "В КОНТАКТЕ", а оставшийся 0,01% ООО "КОМПАНИЯ ВК" 📊 Устанавливая Max, вы кому даете согласие на обработку ПДн? И кто в реальности их обрабатывает? Кстати, обратите внимание, между датой регистрации уведомления и датой внесения в реестр прошел... 1 (один) день! Я не вспомню больше ни одного такого случая, чтобы РКН столь оперативно регистрировал операторов ПДн 🛡

Дальше больше. Смотрим публичную информацию по компании (в СПАРКе и т.п. сервисах данных еще больше). Среднесписочная численность персонала в 2024 году - 2️⃣ человека (и по ФОТу похоже). Согласно реестру РКН данное ООО обрабатывает ПДн широкого спектра и точно более чем 100000 субъектов (уже загрузок более 2 миллионов). Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ 👮‍♂️ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн? 🤔

Смотрим дальше. В реестре РКН написано, что оператор передает ПДн по Интернет 🔗, но при этом, согласно тому же реестру, никаких шифровальных средств оператор нацплатформы не использует. Возникает очередной вопрос - а как, собственно, обеспечивается конфиденциальность персданных пользователей платформы? У ФСБ вроде вполне четкая позиция на этот счет? 🔑

А еще все говорят, что в Max будет интегрирован "Госключ" 🔑, а сам он будет связан с ЕСИА. И как это будет сделано без криптографии?.. А ведь криптографию еще надо внедрить в мессенджер и потом сертифицировать, что занимает в ФСБ немало времени (хотя может быть будет как при регистрации в реестре РКН - за 1 день?). И потом опять сертифицировать, и опять, и опять - ведь новые релизы с новыми функциями будут выпускаться еженедельно. И как при таких спринтах будет проверяться корректность встраивания СКЗИ? 👨‍💻

Продолжение следует...

#суверенитет #мессенджер #криптография #персональныеданные

Читать полностью…

У компании упал сайт... 🖥 Ну упал и упал, подумаете вы, с кем не бывает. А вот оказывается, что это может повлечь за собой негативные последствия, как это произошло с компанией Novabev, акции которой упали на пике на 5,5% из-за сообщений о приостановке работы торговой сети ВинЛаб – не работает сайт, принимающий заказы, не функционируют по техническим причинам торговые точки во всех регионах РФ 📉

Реальная причина проведения технических работ на сайте пока не озвучивалась, но хочу напомнить, что в ноябре 2023 года, проукраинская группировка C.A.S. уже сообщала у себя в Telegram-канале о том, что группировка WASSER якобы взломала 🔓 инфраструктуру Novabev, в подтверждение чего выложила скриншоты почтовой переписки, персональных данных и т.п. Остается надеяться, что компания в прошлый раз извлекла уроки из ситуации и сегодняшняя история и правда связана с оптимизацией и улучшением качества обслуживания, а не инцидентом ИБ 🥂

#инцидент #ущерб

Читать полностью…

Есть такой законопроект №960721-8 "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", который в Госдуму внесло Правительство и который должен поставить точку в многолетние споры о том, что такое государственная информационная система 📃 Если законопроект примут, а вероятность этого велика, то все информационные системы,

созданные в целях исполнения государственных и иных публичных полномочий и функций государственных органов или предусмотренных федеральными законами государственных корпораций (компаний), публично-правовых компаний, в том числе для обеспечения в указанных целях межведомственного взаимодействия, сбора статистических и иных данных из внешних источников, а также созданные в иных установленных федеральным законом целях информационные системы в случае, если такие информационные системы определены федеральным законом в качестве государственной информационной системы

будут считаться ГИСами, и все уже созданные системы, официально ГИСами не признаваемые, будут признаны таковыми 🤔

А теперь о кибербезопасности 🛡 Помимо запрета размещения технических средств, используемых для обеспечения функционирования ГИС, за пределами РФ (это уже не новость), в законопроекте есть норма об обязательном подключении и непрерывном взаимодействии с ГосСОПКА всех ГИС, а также всех иных

информационных систем государственных учреждений, государственных внебюджетных фондов Российской Федерации, государственных компаний и государственных корпораций в случае, если такими иными ИС осуществляется обработка информации, содержащейся в ГИС, МИС (муниципальная) и ВИС (ведомственная).

Также операторы ГИС должны уведомлять ФСБ 👮‍♂️ обо всех компьютерных инцидентах,

повлекших неправомерную передачу (предоставление, распространение, доступ) содержащейся в указанных информационных системах информации.

Небольшое изменение в ФЗ-149 и существенное расширение числа систем, подключаемых к ГосСОПКА. Кроме того, это потребует перестройки процессов управления инцидентами и внедрения нового инструментария, который бы смог собирать все данные, необходимые для отправки в НКЦКИ 👊

#управлениеинцидентами #регулирование

Читать полностью…

Сидим мы, значит, с мужиками в бане 🧼, обсуждаем экзистенциализм. Дошли до древнегреческого мифа о Сизифе, которого, как мы все помним боги обрекли на закатывание камня на гору, который все время скатывается вниз, заставляя Сизифа начинать все cнова и снова... и так до бесконечности 🪨

И подумалось мне, что Сизиф лучше самурая подходит в качестве аналогии для CISO. Такая же тяжелая работа для достижения цели, которая так и не приводит к результату 😫 Отсюда стресс, выгорание и, по меткому выражению Володи Бенгина, остается только бухать. Но... Тут банный разговор свернул на Камю и его эссе "Миф о Сизифе", в котором утверждается очень интересная и небанальная мысль ✍️ Сизиф, осознав бесцельность своей задачи и невозможность изменить свою судьбу, обрел свободу и достиг принятия и умиротворения! А значит Сизиф счастлив и наказание богов уже не такое жесткое, как казалось изначально 🥳

Может и CISO надо выйти за рамки привычной оценки своего труда и воспарить над бессмысленностью этого мира? Тогда не будет ни стресса, ни выгорания. И можно будет спокойно пить травяной чай! ☕️

#философия #CISO

Читать полностью…

Киберпанк, который мы заслужили.

Читать полностью…

Возвращаясь к январскому посту про будущее поиска работы ИБшниками и активное использование ИИ в процессе найма... 🤖 Два примера. В одном опытный пользователь LinkedIn выводит на чистую воду рекрутинговых ИИ-ботов. В другом пользователь получил отказ в найме, но что-то пошло не так и вместо письма прилетел незаполненный шаблон 🖕

#работа #ии

Читать полностью…

Интересное сообщение от Спортмастера 🥊 Ни сайт, ни кассы в оффлайн-магазинах, ни система лояльности, не работают по всей России. Ссылаются на вчерашнее затопление ЦОДа из-за дождя (под открытым небом он что ли стоял?). Интересная версия 🤔

К архитектуре здания ЦОДа, которое затопил не самый сильный дождик 💧, и к инфраструктуре, не учитывающей такие отказы, у меня вопросы. Особенно учитывая, что в сообщении слово ЦОД во множественном числе 🏪 То есть затопило все хранилища?..

Если, конечно, это не инцидент ИБ; тогда все встанет на свои места 🔓 Подождем, как быстро просохнут и расскажут детали.

ЗЫ. Подписчику спасибо за ссылку.

#архитектура #инцидент

Читать полностью…

А вы в любой момент времени можете ответить, сколько у вас подрядчиков и субподрядчиков? 🤔 Ведь атака может начаться не с вас, а именно с них. Наличие карты ваших киберсвязей сегодня является критически важным для ситуационной осведомленности в вопросах кибербезопасности 🗺

Составить такую карту, кстати, не так сложно 🗺 Можно начать с анализа имеющихся в бухгалтерии и у юристов договоров (не забудьте про оферты), а дополнить данными от NGFW и NTA, которые позволят составить карту сетевых потоков. Ну и не забывайте поддерживать ее в актуальном состоянии 🔄

Обидно будет, если всю вашу неприступную систему защиты обойдут только потому, что вы не подумали о контроле подрядчиков 🤔

ЗЫ. Примеры подрядчиков (в виде списков для пяти отраслей) выложены у нас на сайте (без смс и регистрации).

#supplychain

Читать полностью…

Инцидент с бывшим главой РАЭК, осужденного за распространение наркотиков, пополнилась новым эпизодом, - Сергея Гребенникова обвиняют в госизмене 🙂 Деталей, как обычно по таким статьям, нет, но история почему-то напомнила мне сразу несколько дел, которые были возбуждены в нашей ИБ-отрасли за последние 10 лет по этой же статье 🏴‍☠️

Учитывая, что наказание по 275-й УК РФ наступает не только за шпионаж или передачу гостайны иностранным государствам или организациям, но и оказание им финансовой, материально-технической, консультационной или иной помощи, гадать бессмысленно 🇺🇸

#ответственность

Читать полностью…

Тут выяснилось, что инфраструктура для зарядки электромобилей (EV) становится все более популярной мишенью 🤕 Почему? Потому что зарядки — это не просто "умные розетки", а полноценные IoT-устройства с Интернет-доступом, API и связью с корпоративной сетью оператора. И многие из них подключены к Интернету и управляются через облако или удаленные сервера ⚡️

Исследователи нашли, что:
1️⃣ Многие зарядные станции подключаются к управляемым облачным панелям — они позволяют следить за состоянием зарядки, включать/выключать устройства, управлять тарифами 🤑
2️⃣ В ряде случаев нет базовой аутентификации или она настроена "для галочки" - админ-панели открыты в Интернет без ограничения IP или без MFA.
3️⃣ Слабый или дефолтный пароль — типичная проблема 🤦‍♂️

Как результат хакеры могут:
1️⃣ Дистанционно отключать сотни зарядок, а это недопустимый риск для бизнеса операторов, городского трафика и даже целых транспортных сетей 🔋
2️⃣ Манипулировать тарифами и перенаправлять платежи на левые реквизиты.
3️⃣ Украсть персданные, так как многие зарядки хранят или передают данные профилей водителей — включая платежные данные, историю зарядок и даже геолокацию.
4️⃣ Получить черный ход во внутренние сети операторов зарядных хабов или даже энергокомпаний 🚪

В теории, по мере массового внедрения зарядок в городскую инфраструктуру мегаполисы становятся зависимыми от распределенной сети EV. Спланированная атака может привести к недопустимому событию и катастрофическим последствиям. В этом случае, в отличие от бензина, электроэнернию в канистре не привезешь 🚗

#уязвимость #недопустимое

Читать полностью…

Видеозапись, презентации и сопутствующие материалы с вебинара "Остается ли в тайне ваш диалог с LLM? 📱 Как использовать большие языковые модели безопасно!" выложены на сайте. Это первый вебинар из серии. Второй, "Не словом, а кодом. Как организовать защиту LLM без потерь производительности?", уже тоже запланирован. Он пройдет 31 июля - регистрация уже открыта 🤖

Третий мы проведем во второй половине августе и он будет посвящен тому, как разворачивать свой собственный фреймворк с локальными моделями 🤖 во внутренней инфраструктуре компании; мы будем делиться собственным опытом разворачивания LLM для собственных задач в 🟥 Четвертый вебинар будет рассказывать про использование ИИ в продуктах ИБ. Вот так, вебинар за вебинаром, и набралось на целую серию!!! 🎬

#ии #мероприятие

Читать полностью…

Кстати, интересное наблюдение. Сначала ты смотришь на изменение климата, выбросы CO2 в атмосферу, рост числа войн и беженцев, пандемии, смену менталитета молодежи и т.п. 🔄 Потом ты на основе этих изменений прогнозируешь куда это все придет (если мы не убьем себя до этого) и смотришь, какие технологии позволят нам выживать в новых условиях. А потом уже приземляешь на все это кибербез 🛡

А попутно вдруг становится понятно, что фильмы 🎬 "Джонни Мнемоник", "Робокоп", "Судья Дредд", "Бегущий по лезвию", "Голодные игры", "Бегущий человек", "Разрушитель", "Искусственный интеллект" и т.п., вполне себе отражают будущее. Не самое приятное, но уж какое есть при текущем сценарии развития событий. Можно, конечно, предположить, что наше будущее показано в фильмах "Трон", "Матрица", "Пятый элемент", "Я, робот", "Первому игроку приготовиться" и др., но это менее вероятная ветка развития событий 🍿

Будем наблюдать... 🍿

#кино #тенденции

Читать полностью…

Иногда, когда мне доводится попадать на встречи CxO 🧐 и CISO в разных компаниях, их диалог похож на этот эпизод из "Кремниевой долины" 😃

Надысь один CISO, рассказывая своему CEO стратегию по ИБ, ввернул следующую фразу:

«они пробросили шелл на сервак, используя зеродей крит и эксфильтранули базу с кредами».

CEO был немного фрустрирован этой фразой, мягко скажем. Диалог не задался. CISO потом удивлялся, почему, он же все так понятно рассказал 😂 CISO часто забывают, что в аббревиатуре должности, которую они пишут на визитках, самая главная буква - C, а не S. Перефразируя известную фразу про IoT:

В аббревиатуре CISO буква B означает Business!

ЗЫ. И да, никакая она не "Силиконовая долина". Ни с точки зрения английского языка, ни с точки зрения смысла 😫

#кино #ciso #cxo

Читать полностью…

Сергей Солдатов рассказал о секретном мероприятии, Kaspersky Cybercamp, которое проходило уже в 4-й раз в Тверской области 🏕 Формат мероприятия - TLP:RED, то есть контент только для участников, фотографировать и рассказывать о происходящем на мероприятии нельзя. Ну разве что о вечернем и ночном нетворкинге, песнях под гитару... 🎸 Я выступал и в этом году тоже, причем не только с презентацией.

Также по приглашению коллег я принимал участие в дебатах, в которых вам дают возможность защитить позицию по одной из холиварных тем 🤜 На полуфинале тема известна участникам заранее и они могут подготовиться к ней, а вот на финале (если пройдешь) тема неизвестна. Кроме того, путем жеребьевки ты выбираешь, какую позицию, ЗА или ПРОТИВ, ты будет отстаивать (независимо от твоего собственного мнения) 🎲

Сергей расписал темы дебатов у себя в канале, правда, забыв про одну из них, которая попала мне на первом полуфинале, в котором я сражался с Женей Волошиным из БИЗОНа. Это была холиварная история про "Анонимность в Интернете - это хорошо или плохо" 🤐 Судьба уготовила для меня позицию противника анонимности 🥸 Приводить свои тезисы я не буду, а то еще РКН прочитает и начнет их использовать, ссылаясь на меня. Но формат для отработки публичных выступлений интересный. Именно выступлений. Смысловая часть не так уж и важна - главное, насколько вы убедительны в кратком монологе на 1,5 минуты. Чем-то напоминает elevator pitch 🙌

В финале я сразился с Рустемом Хайретдиновым и проиграл ему в словесных баталиях на тему "Убьет ли нас AGI?" Жребий выдал мне шанс защитить ИИ, но увы, 55% зрителей придерживалось позиции, что ИИ все-таки нас грохнет 🤖 Ну или Рустем был просто убедительнее, доказывая эту мысль. В любом случае было живенько. Но сразу хочу отметить, что проводить такие дебаты имеет смысл только с опытными спикерами - все-таки уложиться в 90 секунд, разложив позицию по полочкам, четко и недвусмысленно подсветив все тезисы, непросто. Даже если вы готовились 🤔

ЗЫ. Я боялся, что в финале будет вопрос "Нужен ли антивирус?" или "Нужна ли L1 в SOC?" и мне придется защищать позицию "Да" 😱 Но пронесло...

#мероприятие #выступление

Читать полностью…

Когда месяц назад я написал про планы Правительства перевести операторов ПДн на отечественное ПО, это не вызвало такой реакции, как тоже самое, написанное в КоммерсантеЪ. Вот она, сила СМИ 💪 Поправки в законодательство должны появиться до 1 декабря 2025 года, а срок вступления в силу этой нормы (если ее примут) - 1 сентября 2027 года 😕

Правительство ссыт выйти с инициативой тотального запрета ⛔️ всего иностранного ПО и поэтому делает это витиевато - через требование использование отечественного операторами ПДн. А так как у нас каждое юрлицо, индивидуальный предприниматель и даже самозанятый ❌ считаются операторами ПДн, то по сути любая контора должна отказаться от Windows, macOS, iOS, Android и т.п. И только рядовые граждане, неявляющиеся ИП и самозанятыми, смогут пока еще пользоваться тем, что хотят, а не тем, чем заставляют. Но это тоже временно, я так думаю 🤔

#персональныеданные #суверенитет

Читать полностью…

Лучшие практики безопасной разработки в вайб кодинге 👍

😆 Айти мемы | поддержать

Читать полностью…

Давайте представим себе ситуацию 🤔 Некие люди звонят человеку и представившись именами известных политиков или чиновников и подражая их голосам, заставили "жертву" совершить действия (словом или делом), подпадающие под действия уголовного кодекса. Представили? 🤔

Первая ваша ассоциация, скорее всего, будет связана с мошенниками, звонящими ничего не подозревающим гражданам и заставляющими их поджигать военкоматы, бросать бутылки с зажигательной смесью в отделения банков и т.п. 📞 В данном случае действия мошенников очевидно являются преступлением, как и действия жертвы, под каким бы давлением она не действовала 😡

Теперь представим, что жертву заставили перевести деньги на "безопасный счет", а оттуда они пошли на финансирование ВСУ. Звонящие 📞, опять же, однозначно, мошенники. А что с жертвой? Совершила ли она преступление? Уже не так однозначно, хотя факт перевода денег зафиксирован документально 🤑

Третий пример. Некто звонят 📞 человеку и фальшивыми голосами разводят его на критические высказывания в адрес действующей власти, что также попадает под действие Уголовного Кодекса. Какова тут будет ваша оценка? Подумайте прежде чем ответить 🤔

А если теперь я скажу, что речь идет о звонке мошенников пранкеров Вована и Лексуса писателю написавшему серию романов про Эраста Фандорина, после которого автора внесли в список террористов и экстремистов 😈 Поменялась ли теперь ваша оценка?

Причем тут кибербезопасность, спросите вы. А все просто. Неким людям попал в руки якобы номер некоего Бориса Акунина. Они записали 🎤 голос говорящего с ними человека, который был признан лицом, скрывающимся под всем известным псевдонимом (не знаю, проводилась ли экспертиза и кто подписался под тем, что по телефону можно однозначно идентифицировать гражданина). На основании данной записи (ее, вроде, как никто и не выкладывал в паблик) Следственный Комитет возбудил дело и человека внесли в список террористов 🫡

И как можно квалифицировать действия пранкеров Вована и Лексуса 🎭, которые каким-то образом нашли персональные данные писателя (связка номер телефона с ФИО и родом деятельности человека), обработали их (предположу, что без согласия), записали биометрические персональные данные (если на основе голоса идентифицировали гражданина) 🎭 и передали в органы правопорядка?

Внимание вопрос - нарушили ли пранкеры закон "О персональных данных"? 🤬

#персональныеданные #ответственность

Читать полностью…

💃 У каждой аудитории своя ИБ… Свои проблемы, свои аналогии, своя терминология 🙌 Но это все равно ИБ!

Читать полностью…

Когда только открыли платную трассу М-11 «Нева», я решил съездить в Питер 🚘 Привыкнув к тому, что на Ленинградском шоссе полно заправок, я думал, что и на платнике та же история, но увы… Ощущения, когда у тебя датчик километража, на который хватит оставшегося топлива, показывает даже не 20 км, а две черточки, а за спиной у тебя двое детей и жена рядом, такое себе… Повезло, успел доехать до заправки перед самым Питером. Но что делать, если бы я встал посередине трассы?.. Я бы проверять это на себе не хотел. Что будет, когда у нас все авто станут электрическими? ⛽️

Про рост числа атак на зарядные станции автомобилей я уже писал в мае. В пятницу я вновь вернулся к этой теме. Но началось все в феврале 2022-го года, когда на трассе М-11 были атакованы зарядные станции, установленные вдоль платной трассы 🚗 Они были приобретены еще в 2020 году у российского поставщика, но позднее оказалось, что основные компоненты, включая и контроллер, были произведены украинским предприятием, а российский поставщик просто произвел отверточную сборку 🔋

Производитель оставил в контролере "закладку", которая давала ему возможность скрытого доступа через Интернет 🔓 3 года назад этот вопрос публично никто не задавал, но нафига у работающей зарядки был доступ в Интернет? Или это была неотъемлемая часть всего процесса? Но факт есть факт, отключение заправок на целой трассе - это прям недопустимое событие для владельцев электротранспорта. А вы говорите... 🤔

#недопустимое #инцидент #supplychain

Читать полностью…

SC World рассказывает, что согласно последним прогнозам киберпреступность может стать третьей крупнейшей экономикой мира, если измерить ее ущерб и обороты 📊 И если она была бы страной – она уступала бы по масштабу только США и Китаю. По оценке Cybersecurity Ventures, общий ущерб от киберпреступности к 2025 году достигнет 10,5 триллионов долларов в год (для сравнения – в 2015 году эта цифра была "всего" 3 триллиона) ↗️ Для сравнения – мировой ВВП составляет около 110 триллионов; так что доля "черной" ИТ-экономики составляет около 10% (почти как затраты ИБ от ИТ). Еще в копилку - по данным Mastercard в 2029 году ущерб достигнет уже 15,6 триллионов 💵

В эти 10 триллионов входят не только заработки мошенников 💸, но и другие статьи:
6️⃣ Прямые выплаты выкупов.
2️⃣ Затраты бизнеса на ликвидацию последствий – расследование, восстановление данных, юристы, штрафы.
3️⃣ Простой бизнеса – потерянная выручка из-за простаивающих сервисов.
4️⃣ Репутационные потери, утрата клиентов.
5️⃣ Страховые выплаты и рост страховых премий.
6️⃣ Судебные и регуляторные издержки.
7️⃣ Сюда включают даже оценку косвенного ущерба для экономики – например, если крупная атака затронула цепочку поставок 💰

Основные же статьи "дохода" киберпреступников включают:
6️⃣ Шифровальщики — выкупы за вымогательство и продажу утечек данных.
2️⃣ Компрометации бизнес-почты (BEC).
3️⃣ Мошенничество через фишинг 🎣
4️⃣ Кража и продажа данных.
5️⃣ Темные рынки, где продают все – от доступа к сетям до фейковых документов 🪪

Эксперты называют следующие ключевые причины роста рынка киберпреступности: 📈
6️⃣ Массовая цифровизация и все большее выкладывание данных онлайн.
2️⃣ Легкий доступ к инструментам взлома – скрипты, боты, фишинговые наборы.
3️⃣ Преступные группировки становятся все более организованными и сотрудничающими между собой 🤝
4️⃣ Появляется "теневой рынок" фрилансеров, которые зарабатывают на киберпреступлениях на заказ.
5️⃣ ИИ и автоматизация дают новые способы масштабировать атаки 🤖

Киберпреступность — это уже не "интернет-мелочь по карманам тырить" и не про хулиганов в подвале. Это банды, операторы и даже "теневые стартапы" с миллиардными оборотами 👨‍💻 И по прогнозам, если ничего не менять, этот "черный рынок" по масштабу уступать будет разве что экономикам целых стран. Похоже, мир только входит в эру, когда кибербезопасность перестает быть только ИБ и даже ИТ-проблемой – и становится экономическим и политическим фактором 😲

#киберпреступность #экономика #ущерб #статистика

Читать полностью…

Два кардинально противоположных мнения 🗡 о том, сообщать ли зарубежным вендорам о найденным в их продуктах уязвимостях. Одну позицию высказал Александр - сдавать, мол, надо в ФСТЭК или ФСБ, а те сами решат, обрадовать вендора супостатного или приберечь для спецоперации в киберпространстве 🗂 По сути Александр предлагает ничего не отдавать, так как наши регуляторы (один из них так уж точно) вряд ли будут делиться с врагом.

Вторая позиция у Олега - передавать надо, так как это повышает безопасность россиян и российских организаций, продолжающих использовать зарубежное ПО в личных и служебных целях 👨‍💻

Мне позиция Олега намного ближе, так как у меня нет отечественного ПО ни на одном из 40+ гаджетов 🏡 - смартфоны, ноутбуки, принтеры, телевизоры, пианино дочери… Все это использует зарубежное ПО, которое не будет обновляться, если не отправлять найденные россиянами уязвимости. А это значит, что все это можно будет легко хакнуть 🔓

Вот когда мы импортозаместим все ИТ, когда все добровольно 🤬 начнут пользоваться отечественным, потому что оно лучше, а не потому что так сказали те, кто продолжает ездить на зарубежных служебных авто, вот тогда и можно будет подумать о запрете обмена данными об уязвимостях 🤔

#суверенитет #уязвимость #оценказащищенности

Читать полностью…

Чтобы на сегодня тему с гостайной закрыть. Госдума в первом чтении приняла законопроект, который расширил основания для лишения приобретенного гражданства РФ 🇷🇺 К имевшимся ранее основаниям (шпионаж, государственная измена, разглашение государственной тайны) добавились, среди прочего, и новые:
1️⃣ Оказание помощи противнику в деятельности, заведомо направленной против безопасности России 🇺🇸
2️⃣ Сотрудничество на конфиденциальной основе с иностранным государством, международной либо иностранной организацией против безопасности нашей страны
3️⃣ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации 🔓

Хорошо, что пока лишают только приобретенного, а не по факту рождения, гражданства. Ну и не расстреливают пока за атаки на КИИ, что тоже положительно! 🔫 Но лишать гражданства за кибератаку... Надо осмыслить.

#ответственность #кии

Читать полностью…

- Вы все еще не обновили Fortinet? Тогда мы идем к вам! (с) Безымянные хакеры

#уязвимость

Читать полностью…

📸 Вы давно мечтали это услышать: мы выложили фото с PHDays

Несколько сотен снимков всех трех дней киберфестиваля можно найти на сайте в разделе «Как это было».

Ищите себя и друзей, выкладывайте в соцсети и не забывайте отмечать наш канал — @PHDays или ставить хэштег #PHDays.

Вам не сложно, а нам приятно ❤️

Читать полностью…

Хорошо, что в свое время Роскомнадзор, алчущий порегулировать еще и тему технической защиты ПДн у негосударственных операторов ПДн получил по рукам от ФСТЭК и ФСБ. А то он бы еще и в этой сфере нарегулировал бы так, что "мама, не горюй".

Если посмотреть ответ РКН про хэш-функцию, то можно заметить, что регулятор не умеет читать. В упомянутом ГОСТе 34.11-2012 нигде не сказано, что хеш-функция - это средство криптографической защиты информации. Там сказано, что это "функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам...". В этом стандарте слово "средство" вообще не встречается ни разу! Средством криптографической защиты является средство имитозащиты, упомянутое в ПП-313 от 2012 года.

И да, хэшированные данные перестают быть персональными. Ну а чтобы вам жизнь медом не казалась знайте - РКН 7-го июля на вопрос гражданина ответил, что логин и никнейм - это персональные данные. Правда, в сентябре прошлого года тот же РКН отвечал, что TelegramID (а это логин по сути) не является персональными данными. У РКН закон что дышло... Тем и живут 🤦‍♂️

#регулирование #персональныеданные

Читать полностью…

Сегодня на стратсессии меня спросили, как мы можем обеспечить цифровой суверенитет без собственной микроэлектроники📝, ведь надежды на то, что голландская ASML будет с нами сотрудничать, нет. Я ответил, что вижу два варианта - «шарашкины конторы» или шпионаж и кража технологий 🕵️‍♀️ Причем во вторую версию я верю больше. И вот доказательство - россиянина обвиняют в краже технологий у ASML 💰

#суверенитет #утечка

Читать полностью…

Немного отъем хлеба у Руслана, уйдя в своих прогнозах аж в 2050 год 🔮 Пригласили на стратегическую сессию одной очень крупной компании и я на ней попробовал поразмышлять над тем, как изменится кибербез на горизонте 25 лет и какие триггеры таких изменений мы видим уже сейчас 🤔

Кто-то будет на пенсии, а кто-то будет в самом расцвете сил и будет заниматься ИБ в совершенно иных условиях, чем мы видим сейчас. Кстати, сейчас у нас прям почти идеальные условия для кибербеза - в будущем мир будет более жестоким 🗡 Об этом и говорил, пробрасывая мостики из дней сегодняшних в будущее и обратно.

#тенденции

Читать полностью…

Усилиями государства в области защиты прав субъектов персональных данных нас загоняют в сценарий, прекрасно продемонстрированный в этом несмешном ролике... 😫

#видео #персональныеданные

Читать полностью…

Можно ли без копейки в бюджете ИБ начать автоматизировать простые и рутинные задачи, встречающиеся в повседневной деятельности? 🛡 Да, если вы умеете программировать. А если не умеете? Тоже да. Первый пример уже в блоге.

#ии #автоматизация #аутентификация

Читать полностью…

Gartner разродился новой кривой по SecOps 🔍 Из интересного, если сравнивать с прошлогодней кривой, то американские аналитики к "убитому" в прошлом году SOAR, подложили трупы EASM (External Attack Surface Management), CAASM (Cyber Asset Attack Surface Management) и DRP (Digital Risl Protection) 🪦 Первые два, похоже, заменяются на растущие сегменты TEM (Threat Exposure Management) и EAP (Exposure Assessment Platforms). Сути это, как по мне, не меняет. Одни аббревиатуры заменяются на другие, а задачи управления уязвимостями и активами остаются 🤕

DRP начинают включать в Threat Intelligence; хотя раньше это было наоборот - TI включали в DRP. Но суть снова не меняется - сюрвейинг позволяет оценить разные угрозы для компании - в даркнете, в утечках, в атаках, в уязвимостях и т.п. 🧑‍💻

Помимо убиения трех категорий, родился 👶 и ряд новичков - Cybersecurity AI Assistant, AI SOC Agents и Predictive Modeling for Cybersecurity. С первыми двумя все понятно - автономным SOC, ИИ-агенты для мониторинга и реагирования, ко-пилоты... За последний год эти технологии сделали просто гигантский скачок и сегодня вообще сложно найти вендора, который бы не применял это в своих продуктах 🤖 Последний "новорожденный" отвечает за прогнозирование атак и уязвимостей.

#soc #оценказащищенности #threatintelligence #ии

Читать полностью…