🇺🇿 Локализация данных обходится Узбекистану в $4,2 млрд ежегодно: Страна остаётся закрытой для 87% глобальных IT-компаний и теряет до 5,7% ВВП
🔸Жесткие требования к локализации персональных данных тормозят развитие цифровой экономики Узбекистана, ограничивают приток инвестиций и мешают интеграции в глобальные технологические процессы. Об этом стало известно из исследования Kotib AI Research.
🔸Согласно статье 27-1 Закона «О персональных данных», с 2019 года все сведения о гражданах Узбекистана подлежат обработке исключительно на серверах, расположенных внутри страны.
🔸Наиболее ощутимые потери фиксируются в следующих отраслях:
- электронная коммерция — $900–1 250 млн;
- банковский сектор — $850–1 170 млн;
- IT и стартапы — $675–975 млн;
- финтех — $575–825 млн.
🔸На узбекский рынок не выходят 87% зарубежных компаний. Среди них — PayPal, Stripe, Netflix, Spotify, AWS и Microsoft Azure. Аналитики оценивают объем упущенных инвестиций за последние три года в $1,35 млрд. Большинство современных ИИ-моделей требуют доступа к международным облачным сервисам, что делает их внедрение в Узбекистане крайне затруднительным. Это препятствует реализации национальных технологических программ, включая стратегию AI-2030.

Читать полностью…

Есть в Европе 🇪🇺 такая директива об ответственности производителя за продукцию - EU Product Liability Directive. Официально она называется Directive 85/374/EEC (Council Directive on the approximation of the laws, regulations and administrative provisions of the Member States concerning liability for defective products) и принята была еще в 1985 году. Однако сегодня ее смысл становится снова актуальным, особенно в области ИТ, цифровых сервисов и кибербезопасности 🤔

Согласно этой директиве производитель несет ответственность за ущерб, причиненный дефектом его товара (что-то похожее на наш закон о защите прав потребителей). Не нужно доказывать вину или небрежность производителя – достаточно доказать, что товар был дефектным и именно он вызвал ущерб 🛡

Сейчас директиву модернизируют и в декабре 2026 года она должна вступить в силу ✍️ На ПО, прошивки, приложения, системы на базе ИИ, IoT-устройства начнут распространяться правила, ранее действовавшие на обычные товары. И если уязвимость или ошибка приведут к физическому вреду жизни и здоровью, а также ущерб имуществу, то потребитель может требовать компенсацию 🤑

#тенденции #регулирование #оценказащищенности #ответственность

Читать полностью…

5 лет назад Gartner считал 🔮, что в 2024 году станут актуальны угрозы безопасности наносенсорам и компьютерам на базе углеродных нанотрубок. И где оно все?.. Это к разговору о том, насколько можно верить прогнозам Gartner, и на чем базируется анализ технологических тенденций и вот это вот всего... 🔮

#модельугроз #тенденции

Читать полностью…

Тут один американский ИБ-эксперт 👮, очень "любящий" Россию, выложил у себя в твиттере скриншот работы какой-то LLM (непонятно какой), которая выдала ему список APT-группировок 🇷🇺 Ему достаточно быстро накидали, что в списке не хватает Microsoft и Crowdstrike, но суть даже не в этом.

Используя кем-то обученные LLM, всегда стоит интересоваться кто и на каких данных учил эти модели, а также кем и какие веса назначены 👨‍🏫 А то будете в SOC использовать copilot, а он вам и выдаст, что вас атаковали ФСБ и ГРУ вместе взятые. А вы примете это за чистую монету 🤔

#ии #хакеры #apt

Читать полностью…

А вы знали, что самолет тоже попадает под определение «программно-аппаратного средства доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен»? 😈 Если, конечно, это не кукурузник без бортового компьютера.

Полетите в следующий раз за пределы России, не забудьте уведомить Роскомнадзор! (шутка)

#суверенитет #юмор

Читать полностью…

Продолжаем анализировать обвязку Max... 💬

Изучаем запись в реестре операторов ПДн дальше. Там заявлено всего 5 целей обработки у ООО "Коммуникационная платформа":
1️⃣Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства
2️⃣Осуществления трудовых отношений с работниками в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами и обеспечение работников комфортными условиями труда
3️⃣Исполнение обязательств, предусмотренных действующим законодательством РФ, включая подзаконные акты
4️⃣Оформление гостевых пропусков для однократного прохода на территорию оператора
5️⃣Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ.

Как вы думаете, какая цель описывает работу мессенджера? 🤔 Я вот думал-думал и не нашел никаких вариантов в этой пятерке. Не контрагентами же пользователей называют. А тогда на каком основании мессенджер вообще получает персональные данные своих абонентов? Кстати, заявляется об интеграции в Max еще и биометрии 🎭 Но в списке обрабатываемых данных для всех пяти целей биометрия не заявлена. Вообще там много чего не внесено из того, что с высоких трибун заявляют чиновники относительно функционала национальной платформы 🧐

Возвращаясь к первоначальному вопросу - будет ли нести ООО "ВК" ответственность за инциденты с ПДн в мессенджере? 🤔 Вроде как формулировка в реестре говорит, что ООО "Коммуникационная платформа" поручает обработку ПДн именно ВК, но... на самом деле там "поручена" организация обработки, а не сама обработка. И оператором продолжает оставаться именно оператор нацплатформы. На него и ляжет в случае чего вся тяжесть ответственности за инцидент 🚰

Кстати, по закону и многократным разъяснениям РКН политика обработки ПДн должна быть опубликована на сайте компании, чего мы не наблюдаем. Можно, конечно, сказать, что на этот кейс распространяется политика ВК, но, увы, соглашение об обработке ПДн самого ВК ни разу не упоминает ООО "Коммуникационная платформа" 🫢 Но вдруг что-то сказано в соглашении об обработке ПДн всей экосистемы ВК. Тоже пустота. Я вам скажу больше - если отбросить в сторону местами странные юридические обороты (я все-таки не юрист), историю с конклюдентным согласием (кого-то другого РКН за такой фокус выдрал бы) и отказ упоминания конкретных юрлиц, которым передаются ПДн пользователей, то мы увидим, что мессенджер Мах вообще не входит в экосистему ВК и общее соглашение для сервисов экосистемы на нацплатформу не распространяется 🫢

Как пишет Ника, продвижение нацмессенджера - это задача со звездочкой ⭐️ Соглашусь с ней в этом вопросе. Слишком уж быстро раскручивается вся ситуация, как будто кто-то дал указание срочно заместить Telegram и Whatsapp и все взяли под козырек, но делают все настолько топорно, что диву даешься 🤠 Ну как можно было не подумать об очевидных вещах, которые пробиваются на раз-два и доступны любому желающему - реестр РКН, информация о компании (и да, это не фейк, - все данные проверяются и перепроверяются по нескольким источникам), наличие лицензий ФСТЭК и ФСБ (их нет), согласие на обработку ПДн...

Окончание следует...

#суверенитет #мессенджер #персональныеданные

Читать полностью…

Лучшие практики безопасной разработки в вайб кодинге 👍

😆 Айти мемы | поддержать

Читать полностью…

Давайте представим себе ситуацию 🤔 Некие люди звонят человеку и представившись именами известных политиков или чиновников и подражая их голосам, заставили "жертву" совершить действия (словом или делом), подпадающие под действия уголовного кодекса. Представили? 🤔

Первая ваша ассоциация, скорее всего, будет связана с мошенниками, звонящими ничего не подозревающим гражданам и заставляющими их поджигать военкоматы, бросать бутылки с зажигательной смесью в отделения банков и т.п. 📞 В данном случае действия мошенников очевидно являются преступлением, как и действия жертвы, под каким бы давлением она не действовала 😡

Теперь представим, что жертву заставили перевести деньги на "безопасный счет", а оттуда они пошли на финансирование ВСУ. Звонящие 📞, опять же, однозначно, мошенники. А что с жертвой? Совершила ли она преступление? Уже не так однозначно, хотя факт перевода денег зафиксирован документально 🤑

Третий пример. Некто звонят 📞 человеку и фальшивыми голосами разводят его на критические высказывания в адрес действующей власти, что также попадает под действие Уголовного Кодекса. Какова тут будет ваша оценка? Подумайте прежде чем ответить 🤔

А если теперь я скажу, что речь идет о звонке мошенников пранкеров Вована и Лексуса писателю написавшему серию романов про Эраста Фандорина, после которого автора внесли в список террористов и экстремистов 😈 Поменялась ли теперь ваша оценка?

Причем тут кибербезопасность, спросите вы. А все просто. Неким людям попал в руки якобы номер некоего Бориса Акунина. Они записали 🎤 голос говорящего с ними человека, который был признан лицом, скрывающимся под всем известным псевдонимом (не знаю, проводилась ли экспертиза и кто подписался под тем, что по телефону можно однозначно идентифицировать гражданина). На основании данной записи (ее, вроде, как никто и не выкладывал в паблик) Следственный Комитет возбудил дело и человека внесли в список террористов 🫡

И как можно квалифицировать действия пранкеров Вована и Лексуса 🎭, которые каким-то образом нашли персональные данные писателя (связка номер телефона с ФИО и родом деятельности человека), обработали их (предположу, что без согласия), записали биометрические персональные данные (если на основе голоса идентифицировали гражданина) 🎭 и передали в органы правопорядка?

Внимание вопрос - нарушили ли пранкеры закон "О персональных данных"? 🤬

#персональныеданные #ответственность

Читать полностью…

💃 У каждой аудитории своя ИБ… Свои проблемы, свои аналогии, своя терминология 🙌 Но это все равно ИБ!

Читать полностью…

Когда только открыли платную трассу М-11 «Нева», я решил съездить в Питер 🚘 Привыкнув к тому, что на Ленинградском шоссе полно заправок, я думал, что и на платнике та же история, но увы… Ощущения, когда у тебя датчик километража, на который хватит оставшегося топлива, показывает даже не 20 км, а две черточки, а за спиной у тебя двое детей и жена рядом, такое себе… Повезло, успел доехать до заправки перед самым Питером. Но что делать, если бы я встал посередине трассы?.. Я бы проверять это на себе не хотел. Что будет, когда у нас все авто станут электрическими? ⛽️

Про рост числа атак на зарядные станции автомобилей я уже писал в мае. В пятницу я вновь вернулся к этой теме. Но началось все в феврале 2022-го года, когда на трассе М-11 были атакованы зарядные станции, установленные вдоль платной трассы 🚗 Они были приобретены еще в 2020 году у российского поставщика, но позднее оказалось, что основные компоненты, включая и контроллер, были произведены украинским предприятием, а российский поставщик просто произвел отверточную сборку 🔋

Производитель оставил в контролере "закладку", которая давала ему возможность скрытого доступа через Интернет 🔓 3 года назад этот вопрос публично никто не задавал, но нафига у работающей зарядки был доступ в Интернет? Или это была неотъемлемая часть всего процесса? Но факт есть факт, отключение заправок на целой трассе - это прям недопустимое событие для владельцев электротранспорта. А вы говорите... 🤔

#недопустимое #инцидент #supplychain

Читать полностью…

SC World рассказывает, что согласно последним прогнозам киберпреступность может стать третьей крупнейшей экономикой мира, если измерить ее ущерб и обороты 📊 И если она была бы страной – она уступала бы по масштабу только США и Китаю. По оценке Cybersecurity Ventures, общий ущерб от киберпреступности к 2025 году достигнет 10,5 триллионов долларов в год (для сравнения – в 2015 году эта цифра была "всего" 3 триллиона) ↗️ Для сравнения – мировой ВВП составляет около 110 триллионов; так что доля "черной" ИТ-экономики составляет около 10% (почти как затраты ИБ от ИТ). Еще в копилку - по данным Mastercard в 2029 году ущерб достигнет уже 15,6 триллионов 💵

В эти 10 триллионов входят не только заработки мошенников 💸, но и другие статьи:
6️⃣ Прямые выплаты выкупов.
2️⃣ Затраты бизнеса на ликвидацию последствий – расследование, восстановление данных, юристы, штрафы.
3️⃣ Простой бизнеса – потерянная выручка из-за простаивающих сервисов.
4️⃣ Репутационные потери, утрата клиентов.
5️⃣ Страховые выплаты и рост страховых премий.
6️⃣ Судебные и регуляторные издержки.
7️⃣ Сюда включают даже оценку косвенного ущерба для экономики – например, если крупная атака затронула цепочку поставок 💰

Основные же статьи "дохода" киберпреступников включают:
6️⃣ Шифровальщики — выкупы за вымогательство и продажу утечек данных.
2️⃣ Компрометации бизнес-почты (BEC).
3️⃣ Мошенничество через фишинг 🎣
4️⃣ Кража и продажа данных.
5️⃣ Темные рынки, где продают все – от доступа к сетям до фейковых документов 🪪

Эксперты называют следующие ключевые причины роста рынка киберпреступности: 📈
6️⃣ Массовая цифровизация и все большее выкладывание данных онлайн.
2️⃣ Легкий доступ к инструментам взлома – скрипты, боты, фишинговые наборы.
3️⃣ Преступные группировки становятся все более организованными и сотрудничающими между собой 🤝
4️⃣ Появляется "теневой рынок" фрилансеров, которые зарабатывают на киберпреступлениях на заказ.
5️⃣ ИИ и автоматизация дают новые способы масштабировать атаки 🤖

Киберпреступность — это уже не "интернет-мелочь по карманам тырить" и не про хулиганов в подвале. Это банды, операторы и даже "теневые стартапы" с миллиардными оборотами 👨‍💻 И по прогнозам, если ничего не менять, этот "черный рынок" по масштабу уступать будет разве что экономикам целых стран. Похоже, мир только входит в эру, когда кибербезопасность перестает быть только ИБ и даже ИТ-проблемой – и становится экономическим и политическим фактором 😲

#киберпреступность #экономика #ущерб #статистика

Читать полностью…

Два кардинально противоположных мнения 🗡 о том, сообщать ли зарубежным вендорам о найденным в их продуктах уязвимостях. Одну позицию высказал Александр - сдавать, мол, надо в ФСТЭК или ФСБ, а те сами решат, обрадовать вендора супостатного или приберечь для спецоперации в киберпространстве 🗂 По сути Александр предлагает ничего не отдавать, так как наши регуляторы (один из них так уж точно) вряд ли будут делиться с врагом.

Вторая позиция у Олега - передавать надо, так как это повышает безопасность россиян и российских организаций, продолжающих использовать зарубежное ПО в личных и служебных целях 👨‍💻

Мне позиция Олега намного ближе, так как у меня нет отечественного ПО ни на одном из 40+ гаджетов 🏡 - смартфоны, ноутбуки, принтеры, телевизоры, пианино дочери… Все это использует зарубежное ПО, которое не будет обновляться, если не отправлять найденные россиянами уязвимости. А это значит, что все это можно будет легко хакнуть 🔓

Вот когда мы импортозаместим все ИТ, когда все добровольно 🤬 начнут пользоваться отечественным, потому что оно лучше, а не потому что так сказали те, кто продолжает ездить на зарубежных служебных авто, вот тогда и можно будет подумать о запрете обмена данными об уязвимостях 🤔

#суверенитет #уязвимость #оценказащищенности

Читать полностью…

Чтобы на сегодня тему с гостайной закрыть. Госдума в первом чтении приняла законопроект, который расширил основания для лишения приобретенного гражданства РФ 🇷🇺 К имевшимся ранее основаниям (шпионаж, государственная измена, разглашение государственной тайны) добавились, среди прочего, и новые:
1️⃣ Оказание помощи противнику в деятельности, заведомо направленной против безопасности России 🇺🇸
2️⃣ Сотрудничество на конфиденциальной основе с иностранным государством, международной либо иностранной организацией против безопасности нашей страны
3️⃣ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации 🔓

Хорошо, что пока лишают только приобретенного, а не по факту рождения, гражданства. Ну и не расстреливают пока за атаки на КИИ, что тоже положительно! 🔫 Но лишать гражданства за кибератаку... Надо осмыслить.

#ответственность #кии

Читать полностью…

- Вы все еще не обновили Fortinet? Тогда мы идем к вам! (с) Безымянные хакеры

#уязвимость

Читать полностью…

📸 Вы давно мечтали это услышать: мы выложили фото с PHDays

Несколько сотен снимков всех трех дней киберфестиваля можно найти на сайте в разделе «Как это было».

Ищите себя и друзей, выкладывайте в соцсети и не забывайте отмечать наш канал — @PHDays или ставить хэштег #PHDays.

Вам не сложно, а нам приятно ❤️

Читать полностью…

Интересные цифры, демонстрирующие отрицательное влияние законодательства о персональных данных Узбекистана 🇺🇿 на экономику страны, ее развитие и инновации. Чем-то схожая история с оценкой ущерба от влияния законодательства о куки в Европе 🇪🇺

#персональныеданные #экономика #ущерб

Читать полностью…

Очередное, но интересное исследование шифровальщиков 😷, авторы которого объясняют, что популярная "метрика" – число опубликованных требований выкупа или утечек на DLS-сайтах – сильно искажает реальную картину и это может привести к неверным выводам и принятым решениям 👨‍💻

Во-первых, не все жертвы попадают на DLS-сайты 🤐 Есть "тихие" случаи, когда выкуп платят сразу, и данные не появляются нигде; а есть наоборот – когда группировка не успевает выложить данные или сайт ликвидируют правоохранители. Иногда группировки могут и вовсе "рисовать" фейковые требования или запускать утки и дезу 🫢

По данным Sekoia (аналитики, которых цитирует статья), в 2023 году было зафиксировано 5200 жертв на сайтах, публикующих данные по утечкам 😭 Это +55% к 2022 году, что выглядит как "рост". Но параллельно число расследованных реальных атак, включая не попавшие на Leak Sites, по их же данным – на 50% больше, чем цифра "по витрине". Все это вводит в заблуждение при оценке динамики – можно недооценить или переоценить активность ⚖️

Между атакой, публикацией требований выкупа и появлением записи на Leak Site часто проходит от нескольких дней до нескольких недель, а иногда и месяцев 🗓 Например, в некоторых группах между датой заражения и публичным "сливом" может быть задержка 30–60 дней – все это время компания может вести переговоры или решать проблему тихо. Это значит, что если в марте ты видишь резкий всплеск публикаций – часть этих атак реально произошла еще в декабре-январе 🔥 При разборе 5200 кейсов Sekoia отметила, что почти 25% атак, попавших на Leak Site в 2023 году, фактически случились во второй половине предыдущего года, но попали в статистику позже.

Счетчик жертв — это не "реальное сейчас", а срез с лагом, который зависит от моделей шантажа, стиля группировки и скорости публикации. У среднего ransom-инцидента лаг до публикации – около 44 дней 🕐 Временные лаги сбивают понимание реального тренда. Если оценивать ransomware-тренды только по свежим постам киберпреступников, можно спокойно проспать волну атак, которая уже идет, но не "подсвечена" в Leak Site. Если считать жертв по месяцам, можно сделать ложные выводы — "о, новый шифровальщик активизировался в апреле!". А атака реально произошла в феврале, а то и в декабре.

Поэтому, для тех же аналитиков SOC и CISO важно учитывать контекст:
➡️Кого бьют (сектора и индустрии)
➡️Методы проникновения
➡️Методы распространения вредоноса внутри сети
➡️Способы давления на жертву.

Что делать: 🤔
➡️Не полагаться только на Leak Sites — расширять мониторинг.
➡️Интегрировать телеметрию по событиям в собственной инфраструктуре.
➡️Использовать Threat Intel не ради "таблички с цифрами", а чтобы понять тактики и их эволюцию.

И тут, кстати, мог бы помочь сбор глобальной аналитики ИБ-вендорами 🔭 Когда к ним данные стекаются из сотен и тысяч заказчиков, каждый из них начинает видеть гораздо больше, чем ранее в одиночку. У нас это пока не очень развито - вендора часто вообще не только не знают, как используются их продукты в инфраструктуре заказчика, но и не могут на основе телеметрии улучшать качестве детекта в своих продуктах. Такое пока только у Касперского с KSN, поставщиков услуг MDR/SecaaS и регуляторов в лице НКЦКИ/ФинЦЕРТа/РКН. Но движение в эту сторону идет 🚶‍♂️

#ransomware #статистика #threatintelligence

Читать полностью…

10 лет назад я написал заметку "А что если нас отключат от CVE?" 🤔 Тогда это казалось вполне логичным сценарием - после "Крыма" российские IP-адреса массово блокировались иностранцами. Сейчас мы столкнулись с другой проблемой - доступ в мировой Интернет из России осложняется уже Роскомнадзором. А вдруг еще и Генпрокуратура посчитает MITRE нежелательной организацией? 🤬

Какой бы ни была причина недоступности CVE, должен быть альтернативный источник информации об уязвимостях. Сначала им стал БДУ ФСТЭК 🗂 Все с ним хорошо, но он ориентирован преимущественно на ПО, которое используется в "подопечных" регулятора, - госорганах и субъектах КИИ. А ведь большое число компаний продолжают использовать зарубежное ПО 📱, данные об уязвимостях которого могут и не попасть в БДУ. А есть еще дружественные страны, которые используют наше ПО, но не имеют доступа к сайту регулятора, так как доступ к нему для зарубежных диапазонов IP-адресов блокируется 🇨🇳🇮🇳🇧🇷🇿🇦

Поэтому и родился портал dbugs, который уже сейчас содержит данные по более чем 315000 уязвимостям (это больше, чем в CVE почти на 20%) 0️⃣ Ключевое отличие этой площадки, созданной 🟥, от других баз уязвимостей в том, что данные агрегируются по каждой уязвимости из множества источников (баз CVE и NVD, с площадок Reddit, X․com, Telegram и других). Затем с помощью LLM делается сводное описание 📝– более подробное по сравнению с существующими базами. Кроме того, портал предоставляет рейтинг самых трендовых недостатков безопасности, что позволяет фокусироваться на важном, а не метаться в поисках ответа на вопрос: "Что патчить в первую очередь?" ⚖️

Самое главное, что 🟥 планирует и дальше расширять функциональность портала dbugs 👨‍💻 Как минимум, должен быть упрощен поиск по конкретным продуктам, белым хакерам будет предоставлена возможность создавать личные профили и публиковать информацию о своих достижениях, а пользователи платформы смогу подписываться на интересных им исследователей и комментировать записи 👨‍💻 Возможно появятся и другие фичи, например, формирование собственного портфеля продуктов, позволяющего отслеживать не все уязвимости, а только те, продукты которых у вас используются. В любом случае будем посмотреть...

#уязвимость #оценказащищенности

Читать полностью…

История с "ВинЛаб" 🍷 проясняется - компания признала факт кибератаки на свои ресурсы и требование выкупа от преступников, от выплаты которого она отказалась. По сообщению компании утечки персональных данных не было, но это не точно, расследование продолжается 🔍

Не уверен, что мы дождемся оценки ущерба 🤑 от самой компании (как-то не стало это пока еще практикой в российском бизнесе, а регулятор не требует указывать потери от инцидентов в финансовой отчетности отдельной строкой, как это сделано в США). Поэтому можно ориентироваться на внешние оценки, которые даются в различных инвесторских чатиках: 🧮

📉 Что теряет Novabev?

🔹 ВинЛаб — половина бизнеса группы.
🔹 Выручка за 2024 год: 86,3 млрд ₽
🔹 Средняя выручка в день: ≈236 млн ₽
🔹 Оценочная прибыль (EBITDA) в день: ~105 млн ₽

🛑 То есть каждый день простоя = 100+ млн ₽ недополученной прибыли, при том что зарплаты, аренда и логистика продолжают «капать».

При этом оценка бюджета ИБ для "ВинЛаб" оценивается в 100-150 миллионов рублей в год 🛍 То есть даже поверхностный анализ убытков показывает, что выгоднее было инвестировать в ИБ; что уж говорить про косвенные потери:

Однако если сравнивать с потенциальными потерями, то ситуация становится ещё более очевидной. Один день полного простоя бизнеса обходится компании минимум в 200–250 млн рублей недополученной выручки, не считая косвенных последствий — падения доверия, роста оттока клиентов и снижения LTV. При этом изменение поведенческой привычки потребителя — особенно в сфере алкомаркетов с высокой конкуренцией — способно иметь долгосрочные последствия: пользователь может просто переключиться на более надёжного конкурента.

Кроме репутационных и операционных рисков, важно учитывать и другие аспекты информационной безопасности в ритейле. Речь идёт, например, о защите от мошенничества с бонусными картами, нецелевого использования промокодов и продажи акционных предложений через теневые каналы. При недостаточной защищённости IT-систем эти механизмы легко эксплуатируются третьими лицами, что приводит к прямому снижению маржинальности и искажению финансовых метрик по акциям и лояльности.

Дополнительный фактор давления — это и угроза штрафов за утечку персональных данных, которые в текущей регуляторной среде могут достигать десятков миллионов рублей. Таким образом, недоинвестированность в ИБ становится прямым источником будущих убытков.

Хочется надеяться, что инцидент с «ВинЛаб» станет для всей отрасли сигналом к действию. Расходы на информационную безопасность — это не абстрактные вложения, а страховой полис для всей бизнес-модели, который позволяет защитить не только данные, но и доверие клиентов, операционную устойчивость и финальную прибыльность бизнеса.

Кстати, судя по комментариям в чате ☝️ в "ВинЛаб" нет своей службы ИБ - все делается силами ИТ-службы. Косвенно это подтверждается и в официальном заявлении компании, что именно ИТ-служба занимается инцидентом.

Вот такая история 👀 Жаль, что раскрытие информации об инцидентах публичных компаний у нас не является обязательным. Мне кажется это сделало бы бизнес не только более открытым и повернутым лицом к клиентам и инвесторам, но и более защищенным 🛡

ЗЫ. Найдите отличия на главной странице сайта компании, скриншоты которой сделаны с разницей в один день! Три стадии - "мы улучшаем работу", "у нас технический сбой" и "у нас атака", но последнее уже не на основном сайте 🖥

#инцидент #антикризис #ущерб

Читать полностью…

Окончание поверхностного анализа несуразностей вокруг Мах. Начало тут и тут.

По результатам прошлого поста коллеги подсказали, что у Max выложено нечто, похожее на политику. Но все-таки это не политика по обработке ПДн, как того требует РКН. И она точно не соответствует тому, что находится в реестре РКН.

В предыдущих сообщениях я рассмотрел только отдельные, лежащие на поверхности 🏔 моменты, связанные с обработкой персональных данных и криптографической защитой в нацплатформе. Если попробовать посмотреть глубже, например, на требования нового 117-го приказа ФСТЭК, то из него вытекает (хотя и неявно), что класс защищенности информационной системы, в которой разворачивается Max, должен быть не ниже того, что у ГИС, с которыми она взаимодействует 🤝 А так как там заявлено взаимодействие с ЕСИА, то класс защищенности не должен быть ниже К1, что накладывает еще больше организационных ограничений по ИБ, которые должно выполнять ООО "Коммуникационная платформа". Но способно ли оно это выполнить? Ведь даже поручить ООО "ВК" (как в части ПДн) свою защиту оно не может, так как у ООО "ВК" нет лицензии ФСТЭК на деятельность по ТЗКИ, что требуется по закону. Такая лицензия есть у ООО "ВК Цифровые технологии", но среди указанных там видов деятельности отсутствует мониторинг ИБ.

И ведь даже до защиты самого мессенджера дело не дошло 🛡 Мне почему-то кажется, что именно в этой части там будет все нормально. Но все остальное снижает доверие и к нацплатформе, и к тому, как и кто ее продвигает... Пока это похоже на какое-то впаривание. Куда проще было просто заблокировать все мессенджеры кроме Мах. И все - задача решена. И без всех этих выкрутасов ⛔️

Я думаю, она и так будет решена, видя с каким упорством и скоростью продвигается эта нацплатформа 🤓 Будут выданы если не сертификаты, то хотя бы положительные заключения ФСБ на всю схему, будет выдан сертификат на безопасную разработку, быстро получены все лицензии, во все соглашения на обработку ПДн будут внесены изменения (да, без предупреждения субъектов), в уведомление РКН 🔢 будут внесены нужные изменения для реестра операторов ПДн, специалисты будут обучены, а в ООО "Коммуникационная платформа" будет назначен заместитель генерального директора по ИБ в соответствие с 250-м Указом (а то странно как-то, что нацплатформа не будет отнесена к стратегическим предприятиям) 🗂 И вообще будет много чего сделано... или не будет. Тут же как - у нас все равны перед законом, но есть те, кто ровнее.

Выполнить все утвержденные за долгие десятилетия нормотворчества организационные требования по ИБ и ПДн в Мах невозможно 🚫 И перед стейкхолдерами этого платформенного мессенджера встанет дилемма - забить болт на требования, попробовать их выполнить (честно скажу, нереально; особенно в столь сжатые сроки), заняться очковтирательством, запустить процесс изменения устаревших требований 🤔 Я, признаться честно, хотел бы, чтобы все пошло по последнему варианту. Собралась бы согласительная комиссия из разных ведомств, провела бы ревизию всего законодательства по ИБ и отменила бы все то говно мамонта, которое мы тянем за собой уже десятки лет. Поэтому, скорее всего, будет а вот что будет, мы посмотрим все вместе 💃

ЗЫ. Да, если, вдруг, меня читают представители ООО "Коммуникационная платформа" и на все заданные в трех заметках вопросы уже есть ответы, то был бы рад их увидеть. Готов даже про них написать, если будет продемонстрировано, что все или часть описанного не соответствуют текущей действительности ✍️ И еще раз повторю - вопросы у меня не к технической стороне защиты мессенджера, а к той обвязке, которая эту защиту должна сопровождать.

ЗЗЫ. Все-таки, куда все так торопятся с этим Мах, подставляя себя под критику иноагентов, нежелательных организаций, экстремистов, террористов, блогеров и просто интересующихся?.. ❓ Но ведь главное что? Что вся критика идет на частную компанию из двух человек. Это же не государственный мессенджер и разрабатывает его не государственная компания! И не важно, что через него будет осуществляться доступ к госуслугам (это такие "мелочи")...

Читать полностью…

Итак, сюрприз, мессенджер Мах признан национальной платформой 💬 И у меня есть что сказать по этому поводу, но для начала недоумение. Если вспомнить принятое законодательство о том, что у нас теперь на первое место выходят русскоязычные названия, то как надо читать платформу, упомянутую в распоряжении - Мах (по-русски) или Max (по-английски)? Но это лирика, на самом деле у меня комментарий будет все-таки в тему канала 🤔

Когда принимали оборотные штрафы 🤑 за инциденты с ПДн, то одним из сценариев ухода от этого наказания, называли фирмы-однодневки, которые и будут становиться операторами персональных данных вместо своих "мам" и "пап". И вот яркий пример, когда государство само показывает "как надо делать". Чтобы не подставлять ВК, статусом оператора нацмессенджера наградили некое ООО "Коммуникационная платформа" (на сайт без слез не взглянешь). Теперь, если что и произойдет, то... Будет ли ВК нести ответственность за инциденты? ❓

Если посмотреть реестр операторов персональных данных, то мы увидим, что для ООО "Коммуникационная платформа" ответственным за организацию обработки ПДн является ООО "ВК", которому принадлежит 15% в операторе нацплатформы. 84,99% принадлежат ООО "В КОНТАКТЕ", а оставшийся 0,01% ООО "КОМПАНИЯ ВК" 📊 Устанавливая Max, вы кому даете согласие на обработку ПДн? И кто в реальности их обрабатывает? Кстати, обратите внимание, между датой регистрации уведомления и датой внесения в реестр прошел... 1 (один) день! Я не вспомню больше ни одного такого случая, чтобы РКН столь оперативно регистрировал операторов ПДн 🛡

Дальше больше. Смотрим публичную информацию по компании (в СПАРКе и т.п. сервисах данных еще больше). Среднесписочная численность персонала в 2024 году - 2️⃣ человека (и по ФОТу похоже). Согласно реестру РКН данное ООО обрабатывает ПДн широкого спектра и точно более чем 100000 субъектов (уже загрузок более 2 миллионов). Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ 👮‍♂️ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн? 🤔

Смотрим дальше. В реестре РКН написано, что оператор передает ПДн по Интернет 🔗, но при этом, согласно тому же реестру, никаких шифровальных средств оператор нацплатформы не использует. Возникает очередной вопрос - а как, собственно, обеспечивается конфиденциальность персданных пользователей платформы? У ФСБ вроде вполне четкая позиция на этот счет? 🔑

А еще все говорят, что в Max будет интегрирован "Госключ" 🔑, а сам он будет связан с ЕСИА. И как это будет сделано без криптографии?.. А ведь криптографию еще надо внедрить в мессенджер и потом сертифицировать, что занимает в ФСБ немало времени (хотя может быть будет как при регистрации в реестре РКН - за 1 день?). И потом опять сертифицировать, и опять, и опять - ведь новые релизы с новыми функциями будут выпускаться еженедельно. И как при таких спринтах будет проверяться корректность встраивания СКЗИ? 👨‍💻

Продолжение следует...

#суверенитет #мессенджер #криптография #персональныеданные

Читать полностью…

У компании упал сайт... 🖥 Ну упал и упал, подумаете вы, с кем не бывает. А вот оказывается, что это может повлечь за собой негативные последствия, как это произошло с компанией Novabev, акции которой упали на пике на 5,5% из-за сообщений о приостановке работы торговой сети ВинЛаб – не работает сайт, принимающий заказы, не функционируют по техническим причинам торговые точки во всех регионах РФ 📉

Реальная причина проведения технических работ на сайте пока не озвучивалась, но хочу напомнить, что в ноябре 2023 года, проукраинская группировка C.A.S. уже сообщала у себя в Telegram-канале о том, что группировка WASSER якобы взломала 🔓 инфраструктуру Novabev, в подтверждение чего выложила скриншоты почтовой переписки, персональных данных и т.п. Остается надеяться, что компания в прошлый раз извлекла уроки из ситуации и сегодняшняя история и правда связана с оптимизацией и улучшением качества обслуживания, а не инцидентом ИБ 🥂

#инцидент #ущерб

Читать полностью…

Есть такой законопроект №960721-8 "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", который в Госдуму внесло Правительство и который должен поставить точку в многолетние споры о том, что такое государственная информационная система 📃 Если законопроект примут, а вероятность этого велика, то все информационные системы,

созданные в целях исполнения государственных и иных публичных полномочий и функций государственных органов или предусмотренных федеральными законами государственных корпораций (компаний), публично-правовых компаний, в том числе для обеспечения в указанных целях межведомственного взаимодействия, сбора статистических и иных данных из внешних источников, а также созданные в иных установленных федеральным законом целях информационные системы в случае, если такие информационные системы определены федеральным законом в качестве государственной информационной системы

будут считаться ГИСами, и все уже созданные системы, официально ГИСами не признаваемые, будут признаны таковыми 🤔

А теперь о кибербезопасности 🛡 Помимо запрета размещения технических средств, используемых для обеспечения функционирования ГИС, за пределами РФ (это уже не новость), в законопроекте есть норма об обязательном подключении и непрерывном взаимодействии с ГосСОПКА всех ГИС, а также всех иных

информационных систем государственных учреждений, государственных внебюджетных фондов Российской Федерации, государственных компаний и государственных корпораций в случае, если такими иными ИС осуществляется обработка информации, содержащейся в ГИС, МИС (муниципальная) и ВИС (ведомственная).

Также операторы ГИС должны уведомлять ФСБ 👮‍♂️ обо всех компьютерных инцидентах,

повлекших неправомерную передачу (предоставление, распространение, доступ) содержащейся в указанных информационных системах информации.

Небольшое изменение в ФЗ-149 и существенное расширение числа систем, подключаемых к ГосСОПКА. Кроме того, это потребует перестройки процессов управления инцидентами и внедрения нового инструментария, который бы смог собирать все данные, необходимые для отправки в НКЦКИ 👊

#управлениеинцидентами #регулирование

Читать полностью…

Сидим мы, значит, с мужиками в бане 🧼, обсуждаем экзистенциализм. Дошли до древнегреческого мифа о Сизифе, которого, как мы все помним боги обрекли на закатывание камня на гору, который все время скатывается вниз, заставляя Сизифа начинать все cнова и снова... и так до бесконечности 🪨

И подумалось мне, что Сизиф лучше самурая подходит в качестве аналогии для CISO. Такая же тяжелая работа для достижения цели, которая так и не приводит к результату 😫 Отсюда стресс, выгорание и, по меткому выражению Володи Бенгина, остается только бухать. Но... Тут банный разговор свернул на Камю и его эссе "Миф о Сизифе", в котором утверждается очень интересная и небанальная мысль ✍️ Сизиф, осознав бесцельность своей задачи и невозможность изменить свою судьбу, обрел свободу и достиг принятия и умиротворения! А значит Сизиф счастлив и наказание богов уже не такое жесткое, как казалось изначально 🥳

Может и CISO надо выйти за рамки привычной оценки своего труда и воспарить над бессмысленностью этого мира? Тогда не будет ни стресса, ни выгорания. И можно будет спокойно пить травяной чай! ☕️

#философия #CISO

Читать полностью…

Киберпанк, который мы заслужили.

Читать полностью…

Возвращаясь к январскому посту про будущее поиска работы ИБшниками и активное использование ИИ в процессе найма... 🤖 Два примера. В одном опытный пользователь LinkedIn выводит на чистую воду рекрутинговых ИИ-ботов. В другом пользователь получил отказ в найме, но что-то пошло не так и вместо письма прилетел незаполненный шаблон 🖕

#работа #ии

Читать полностью…

Интересное сообщение от Спортмастера 🥊 Ни сайт, ни кассы в оффлайн-магазинах, ни система лояльности, не работают по всей России. Ссылаются на вчерашнее затопление ЦОДа из-за дождя (под открытым небом он что ли стоял?). Интересная версия 🤔

К архитектуре здания ЦОДа, которое затопил не самый сильный дождик 💧, и к инфраструктуре, не учитывающей такие отказы, у меня вопросы. Особенно учитывая, что в сообщении слово ЦОД во множественном числе 🏪 То есть затопило все хранилища?..

Если, конечно, это не инцидент ИБ; тогда все встанет на свои места 🔓 Подождем, как быстро просохнут и расскажут детали.

ЗЫ. Подписчику спасибо за ссылку.

#архитектура #инцидент

Читать полностью…

А вы в любой момент времени можете ответить, сколько у вас подрядчиков и субподрядчиков? 🤔 Ведь атака может начаться не с вас, а именно с них. Наличие карты ваших киберсвязей сегодня является критически важным для ситуационной осведомленности в вопросах кибербезопасности 🗺

Составить такую карту, кстати, не так сложно 🗺 Можно начать с анализа имеющихся в бухгалтерии и у юристов договоров (не забудьте про оферты), а дополнить данными от NGFW и NTA, которые позволят составить карту сетевых потоков. Ну и не забывайте поддерживать ее в актуальном состоянии 🔄

Обидно будет, если всю вашу неприступную систему защиты обойдут только потому, что вы не подумали о контроле подрядчиков 🤔

ЗЫ. Примеры подрядчиков (в виде списков для пяти отраслей) выложены у нас на сайте (без смс и регистрации).

#supplychain

Читать полностью…

Инцидент с бывшим главой РАЭК, осужденного за распространение наркотиков, пополнилась новым эпизодом, - Сергея Гребенникова обвиняют в госизмене 🙂 Деталей, как обычно по таким статьям, нет, но история почему-то напомнила мне сразу несколько дел, которые были возбуждены в нашей ИБ-отрасли за последние 10 лет по этой же статье 🏴‍☠️

Учитывая, что наказание по 275-й УК РФ наступает не только за шпионаж или передачу гостайны иностранным государствам или организациям, но и оказание им финансовой, материально-технической, консультационной или иной помощи, гадать бессмысленно 🇺🇸

#ответственность

Читать полностью…

Тут выяснилось, что инфраструктура для зарядки электромобилей (EV) становится все более популярной мишенью 🤕 Почему? Потому что зарядки — это не просто "умные розетки", а полноценные IoT-устройства с Интернет-доступом, API и связью с корпоративной сетью оператора. И многие из них подключены к Интернету и управляются через облако или удаленные сервера ⚡️

Исследователи нашли, что:
1️⃣ Многие зарядные станции подключаются к управляемым облачным панелям — они позволяют следить за состоянием зарядки, включать/выключать устройства, управлять тарифами 🤑
2️⃣ В ряде случаев нет базовой аутентификации или она настроена "для галочки" - админ-панели открыты в Интернет без ограничения IP или без MFA.
3️⃣ Слабый или дефолтный пароль — типичная проблема 🤦‍♂️

Как результат хакеры могут:
1️⃣ Дистанционно отключать сотни зарядок, а это недопустимый риск для бизнеса операторов, городского трафика и даже целых транспортных сетей 🔋
2️⃣ Манипулировать тарифами и перенаправлять платежи на левые реквизиты.
3️⃣ Украсть персданные, так как многие зарядки хранят или передают данные профилей водителей — включая платежные данные, историю зарядок и даже геолокацию.
4️⃣ Получить черный ход во внутренние сети операторов зарядных хабов или даже энергокомпаний 🚪

В теории, по мере массового внедрения зарядок в городскую инфраструктуру мегаполисы становятся зависимыми от распределенной сети EV. Спланированная атака может привести к недопустимому событию и катастрофическим последствиям. В этом случае, в отличие от бензина, электроэнернию в канистре не привезешь 🚗

#уязвимость #недопустимое

Читать полностью…