Пост Лукацкого

05 October 2025 08:40

Кто-то любит котиков, кто-то анимэ, кто-то игры, а кто-то кибербез... А кто-то все это объединяет вместе и получается CyberCamp, который пройдет 20-25 октября 🏕 Я обычно не пишу про мероприятия, на которых не был, но в данном случае это хорошо сочетается с постом "Куда пойти учиться", в котором я упоминал про способы прокачаться в кибербезе без скучного академического заунылого речитатива людей, которые и хакера-то видели только в фильме "Хакеры", а кибербез они называют по старинке "кибернетическая безопасность" 🧙🏻‍♂️🧙🏻‍♀️

Возможно я слишком стар, чтобы меня звали на CyberCamp 🤩 (хотя на КиберКэмп звали). А может опасаются, что я научу начинающих ИБшников "как регуляторов ругать" плохому. Но там участвуют многие мои позитивные коллеги, которые говорят, что там было и будет интересно. Да и до PHDays, холодными осенними вечерами надо же чем-то заниматься... Так что, если хотите прокачаться в ИБ, то забивайте свои рюкзаки ИБ-шной снарягой и вперед, на старт ⛹️‍♂️

#обучение #работа

Пост Лукацкого

04 October 2025 17:28

Второй прогноз с вчерашней панельки GIS Days про большую войну и связанный с ней курс на импортозамещение и изоляционизм в контексте кибербеза 🤔 Чуть больше 2 минут

#тенденции #видео

Пост Лукацкого

04 October 2025 08:40

Снова поучаствовал в проекте "Газинформсервиса" "ИБ-Пророк" с двумя материалами (прямая ссылка): ✍️
1️⃣ Годовой прогноз на системы глобальной аналитики, без которых эффективно бороться с угрозами уже невозможно,
2️⃣ Трехлетний прогноз о проблемах, с которыми мы столкнемся из-за импортозамещения.

А на сцене, где собралась часть ИБ-пророков получилось поговорить и о некоторых иных вещах, но это будет уже в следующих заметках и в формате видео 🤔

#статья #тенденции

Пост Лукацкого

03 October 2025 18:26

И хотя в советское время, будучи ребенком, я оставлял ключи от квартиры под ковриком, но мысли отдавать их посторонним все равно не было 🤔 А тут мне предлагают сделать админами моих каналов абсолютно неизвестных мне людей, доверие к которым у меня отсутствует как класс, которых еще и ломали? Ага, щаз… 🖕

Сегодня на GIS Days я вновь озвучил свой прогноз 🔮 о том, что скоро у нас останется только один мессенджер с названием на латинице, и инициатива РКН только укладывается в эту историю. Мой личный совет - начните делать резервные копии каналов, которые вам интересно перечитывать 📖

ЗЫ. Интересно, можно ли считать ИБ-специалистом того, кто отдаст ключи от своего канала абсолютно неизвестным людям без описанной процедуры разбора конфликтов и реагирования на инциденты? Кто будет отвечать, если криворукий бот вдруг удалит всю базу пользователей? 🤔

ЗЗЫ. Хорошо, что я рекламу в канале не размещаю и донаты не собираю, а значит регистрироваться в РКН мне не надо.

#мессенджер #суверенитет

Пост Лукацкого

03 October 2025 11:34

Второй популярный вопрос, который мне задают в личке, звучит схожим образом: "Какую литературу вы посоветуете по ИБ?" 📚 На этот вопрос отвечать еще сложнее, чем на вопрос про ВУЗ. И не только потому, что в моей личной библиотеке 2-3 сотни бумажных книг по ИБ и несколько тысяч электронных. Просто в кибербезе нет одной "библии", которая сделает из человека специалиста. Я бы условно разделил книги на несколько категорий 📖

Во-первых, это фундамент и база, то есть книги, которые дают понимание основ устройства систем, сетей, криптографии. К ним я мог бы отнести (не претендуя на полноту и истину): 📖
📌 Уильям Столлингс "Криптография и безопасность сетей" – классика по криптографии и протоколам.
📌 Эндрю Таненбаум "Компьютерные сети" – фундаментальные знания о сетевых технологиях. Хотя кто-то предпочитает семейство Олиферов.
📌 Росс Андерсон "Security Engineering" – системный взгляд на построение безопасных систем, от банкоматов до протоколов.

В категории "Управление и стратегия" можно посмотреть на: 📕
📌 "Искусство обмана" Кевина Митника – о социальной инженерии и человеческом факторе.
📌 «Секреты и ложь» или "Beyond Fear" Брюса Шнайера – о том, как мыслить в терминах рисков и угроз.
📌 Адама Шостака и его "Моделирование угроз" – про, да-да, мою любимую тему.
📌 Дугласа (Дага) Хаббарда и его "Как измерить все, что угодно" и "Как оценить риски в кибербезопасности" – про измерение ИБ с разных сторон.

Для развития кругозора можно почитать: 📓
📌 "Проект "Феникс" Джорджа Спаффорда (не путать с Юджином) и Ким Джин – роман о DevOps, ИТ и безопасности в бизнесе.
📌 Клиффорд Столлl "Яйцо кукушки" – документальная история о расследовании хакерской атаки.
📌 ... и тут еще можно перечислить десятки и сотни книг, в каждой из которых можно найти что-то свое, интересное именно в данный момент времени.

Заметили, что я никаких "практических" книг не советовал – по хакингу, по защите, по использованию Python для автоматизации задач ИБ, по SOCостроению?.. ☺️ Это тоже не просто так – много их. Книги в ИБ – это ориентиры, которые помогают формировать мышление. Но я советую не просто читать книги по ИБ, а строить из них свою библиотеку: фундаментальные – чтобы понимать базу, практические – чтобы работать руками, стратегические – чтобы видеть картину шире. И обязательно совмещать чтение с практикой. И не забывайте, что помимо книг есть еще статьи, в которых часто не менее полезная и более свежая информация 🤔

ЗЫ. А вы что могли бы порекомендовать из книг по ИБ?

#книга #обучение

Пост Лукацкого

02 October 2025 19:45

🇷🇺 Прокуратура Московской области сняла очередной креативный ролик о борьбе с телефонными мошенниками. А могли бы просто видео ракетных ударов по мошенническим колл-центрам показать. Гуманисты...

#мошенничество

Пост Лукацкого

02 October 2025 11:34

Вот так зайдешь кофе попить перед встречей, возьмешь в руки журнальчик для детей полистать, а даже там про защиту информации пишут…

#awareness

Пост Лукацкого

01 October 2025 19:37

Комикс "Безопасность в сети" для детей от отечественной киберполиции (исходники) 👦🏻👧🏼

#awareness

Пост Лукацкого

01 October 2025 11:33

Помните заметку про методику оценки стоимости 🧮 кибератаки от Димы Каталкова, которую он презентовал на PHDays? Так вот пришло время поделиться и инструментом, который позволяет автоматизировать такие расчеты. Веб-версия и исходники доступны на Github.

Сам рассказ про то, как считаются квалификация и временные параметры нарушителя, стоимость инструментов и эксплойтов, инфраструктуры атакующих и зрелость ИБ в компании-жертвах с учетом отраслевой привязки, может быть найден на ресурсах PHDays 🤔

#экономика #метрики #киберпреступность #threatintelligence

Пост Лукацкого

30 September 2025 19:30

Феликс Эдмундович со своим отлитым в граните:

"Отсутствие у вас судимости – это не ваша заслуга, а наша недоработка"

Пост Лукацкого

30 September 2025 11:34

Итак, я выложил статью про накопители и хранилища для SIEM ✍️ Там и HDD vs SSD, и SAN vs NAS, и Data Lake, и горячие/теплые/холодные корзины, и рекомендации по выбору для компаний разного масштаба. В общем подсобрал все, что у меня было, в один материал. Может и на курсе по SOC смогу про это упомянуть 🤠

#soc #siem

Пост Лукацкого

29 September 2025 19:22

В последней iOS от Apple появились свои фишки по борьбе с телефонным мошенничеством 📞 Пока не пробовал в деле.

#мошенничество

Пост Лукацкого

29 September 2025 11:34

Вы же знаете, как я люблю моделирование угроз? 💋 Поэтому на вчерашнем Underconf 2 я не мог пройти мимо карточной игры, посвященной этому важному процессу, с которого должна начинаться любая ИБ. Это была карточная игра Elevation of Privilege, первоначально разработанная Адамом Шостаком (известный гуру моделирования угроз и ИБ-геймификации), а сейчас переведенная на русский язык коллегами из Ever Secure и которая позволяет проверить свой проект на предмет учета угроз по методике STRIDE. Вешаете на доску архитектуру своей проектируемой или спроектированной системы и вперед, начинаете в игровой форме 🕹 задавать себе важные вопросы, подсвечивающие то, что вы могли упустить и что может привести к реализации негативных, а местами и катастрофических, последствий.

Жду, когда коллеги выпустят эту колоду в мир и ее можно будет купить. Главное, успеть, это сделать, чтобы не попасть в лист ожидания, как с книгой "На⭐️уй безопасность" тех же авторов ⏳

ЗЫ. Кстати, хотите почувствовать себя багхантером? Найдите на одной из фотографию явную ошибку 🤔

#модельугроз #геймификация

Пост Лукацкого

29 September 2025 06:40

6 августа 2025 года Национальный центр кибербезопасности Великобритании (NCSC) 🇬🇧 официально выпустил новую версию Cyber Assessment Framework v4.0 (CAF v4.0), своей рамочной модели ИБ, предназначенной для организаций, особенно тех, кто работает в критически важных секторах (энергетика, транспорт, здравоохранение, цифровая инфраструктура и др.). Этот фреймворк помогает оценивать и управлять киберрисками, выстраивать киберустойчивость и соответствовать нормативным требованиям (например, европейским NIS и NIS2). Новая версия ориентирована на то, чтобы "поднять планку" ожиданий – не просто адаптировать старые требования, а переместить акцент с реактивных мер к более проактивной, интеллектуальной защите.

Из нововведений:
1️⃣ Понимание угроз (новый элемент A2.b "Understanding Threat"). Теперь организациям требуется не просто учитывать актуальные угрозы, но документировать методы анализа угроз, моделировать возможные сценарии атак (например, с помощью "деревьев атак") и демонстрировать четкое понимание мотивов, методов и возможностей злоумышленников. Напоминает отечественную методику оценки угроз ФСТЭК, но не столь детально. Это изменение переводит моделирование угроз из "фоновой" задачи в одну из ключевых составляющих оценки ИБ.

2️⃣ Безопасная разработка и поддержка ПО (новый элемент A4.b "Secure Software Development and Support"). CAF v4.0 требует, чтобы программное обеспечение (как внутренней разработки, так и внешних поставщиков) строилось и обслуживалось с учетом безопасных практик: отслеживание происхождения компонентов, анализ кода (статический/динамический), проверка надежности каналов обновлений, контроль уязвимостей библиотек и зависимостей. Поставщики должны иметь возможность показать, что используют признанные методологии безопасной разработки (например, NIST SSDF, Microsoft SDL).

3️⃣ Усиление мониторинга и охоты за угрозами (C1 и C2). В разделе мониторинга (C1) добавлены требования по оценке поведения пользователей и систем, интеграции данных TI и использованию обнаружения аномалий, а не просто сигнатурных подходов. В разделе threat hunting (C2) появились требования к документированному, повторяемому и улучшаемому подходу: охота за угрозами должна быть основана на данных TI, она должна документироваться, и ее результаты должны трансформироваться в автоматические детекты там, где это возможно. Таким образом, CAF v4.0 подталкивает организации от пассивного к активному поиску скрытых атак, даже тех, которые не попадают под стандартные индикаторы компрометации.

4️⃣ Усиление требований к планированию реагирования и восстановления (D1 и др.). План реагирования на инциденты теперь должен опираться на глубокое понимание инфраструктуры и зависимостей, быть адаптивным, регулярно пересматриваться и включать взаимодействие с поставщиками. Также отмечается, что существует интеграция ИИ-рисков в разные части фреймворка, поскольку технологии автоматизации и ИИ все больше входят в область как защиты, так и атак.

5️⃣ Интеграция рисков, связанных с ИИ и автоматизацией. CAF v4.0 не создает отдельный раздел только для ИИ, но включает требования, чтобы новые и автоматизированные технологии учитывались при управлении рисками, контролировались и проектировались с учетом безопасности (например, предотвращение использования ИИ как вектора атаки).

6️⃣ Уточнение и расширение индикаторов хорошей практики (Indicators of Good Practice, IGP). CAF v4.0 добавляет множество новых IGP, порядка 108 новых элементов – то есть фреймворк стал более детализированным. Эти индикаторы помогают организациям оценивать, достигнут ли тот или иной уровень (achieved / partially achieved / not achieved) по каждому из достигаемых результатов фреймворка. На второй картинке как раз показан пример IGP и можно сразу понять, достигнут у вас уровень зрелости по этому направлению или нет. Вот эти IGP прям хорошая идея для многих регуляторных документов, ибо четко дает понять, выполнен то или иное требование или нет 🤔

#регулирование #framework

Пост Лукацкого

28 September 2025 17:23

Французы знают толк в управлении рисками...

#юмор #риски

Пост Лукацкого

04 October 2025 19:48

В это воскресенье, то есть завтра, в 11 утра по Москве, буду участвовать в эфире IT Radio 🎙, где коллеги обсуждают различные новости по ИБ и ИТ за прошедшую неделю. В этот раз пригласили и меня. Не знаю, что я могу сказать доброго в воскресенье в 11 утра, но что-то да скажу. Так что если вы не сова, а жаворонок, то приходите онлайн; а если сова, как я, и вам интересно новости слушать вместе с комментариями экспертов, то можно будет послушать запись ⏺️

Пост Лукацкого

04 October 2025 13:17

Первый прогноз с вчерашней панельки GIS Days про глобальную аналитику, искусственный интеллект, летние нашумевшие взломы и свалку истории 🤔 Всего 4 минуты.

#тенденции #видео

Пост Лукацкого

03 October 2025 19:41

Везде знаки… Особенно, когда ты видишь такой баннер напротив здания ФСТЭК...

#риски

Пост Лукацкого

03 October 2025 15:42

Знаете ли вы как квантовая физика может объяснить происходящее в ИБ и с ИБшниками? 🤔 Например, принцип суперпозиции, когда частица может находиться в нескольких состояниях одновременно, пока ты ее не измеришь. Так и у начинающего ИБшника возможны все сценарии развития и все возможные карьерные треки одновременно, но реализуется только тот, который он выберет, на который настроится, по которому будет действовать. И как он настроен на него, такого результата он и достигнет 🚶‍♂️ В квантовой механике измерение формирует результат. Настроился на успех – сформировал путь к нему. Настроился на неудачу и "у меня не получится", "меня не понимают", "в моем городе нет перспектив" – ну, извини, чувак, это был только твой выбор, ты сам его сделал и ты получил ровно то, что хотел 🎓

Есть так называемый эксперимент с двумя щелями, в котором простое наблюдение меняет поведение частиц 👉 Иными словами, ты не просто наблюдатель за событиями, ты автоматически становишься их соавтором. Смотришь на ИБ как на возможность – получишь именно их; смотришь как на жопу и ворох проблем – ну, опять извини, чувак, ты сам этого хотел, сам об этом думал, сам притянул 🦆

Идем дальше 💆‍♂️ Квантовая физика говорит, что наш мир работает не через причинно-следственные связи, а через вероятности и полной предсказуемости нет. Даже при одинаковых входных условиях, результат может сильно отличаться. А все потому, что помимо очевидных вещей, есть и неочевидное, но влияющее, – настрой, окружение, ожидания и т.п. И в таком случае удача или неудача – это не про везение, а про очередной пример вероятностной картины мира 🤹 Если тебе не подняли зарплату или ты не понял, почему регулятор действует именно так, это не потому что ты слоупок, не достоин или "регуляторы – уроды". Просто так случилось именно сейчас; это просто одна из вероятностей. Измени настрой и вероятности тоже поменяются 😼

Наконец, квантовая запутанность, то есть состояние двух частиц, которые остаются связанными даже на огромном расстоянии и изменение одной частицы приводит к изменению другой 🐇 Когда ты любишь свое дело, ты находишься в состоянии потока или тебя просто прёт, то кажется, что тебе "везет" – все складывается настолько хорошо, что удача сама идет к тебе в руки. Но это не мистика, это квантовая запутанность. Настроился на позитив – притягиваешь его и все идет хорощо. Настроился на негатив и... 🗜

Удача – это не случайность. А неудача – это просто сигнал, что ты не в том состоянии. Измени его и тебя накроет позитивом ⛺️ Измени свое отношение и оно начнет влиять на окружающий мир. Атак может быть не станет меньше, если ты будешь мечтать об этом (тут я не настолько прогрессивно мыслю, хотя хрен его знает), но жить точно станет легче, перспективнее и результативнее. Поверьте моему опыту – так все и работает 🤔

А вообще я не физик, а математик и могу ошибаться. Но лучше ошибаться и думать в позитивном ключе, чем быть «реалистом» и прозябать на свалке истории 😎

#рефлексия #наука

Пост Лукацкого

03 October 2025 06:40

Мне в последнее время часто задают вопрос в личке: "Какой ВУЗ выбрать, чтобы стать специалистом по ИБ?" ❓ Если честно, то я не тот человек, который может дать ответ на этот вопрос и тому есть несколько причин. Во-первых, я сам поступал в ВУЗ 30+ лет назад и тогда на гражданке ИБшных специальностей не было вообще. А во-вторых, за это время ситуация кардинально поменялась и в образовании вообще и в ИБ в частности. Но раз уж меня спрашивают и часто, то лучше напишу заметку, чтобы давать ссылку на нее ✍️

Сегодня в России действительно есть профильные программы по информационной безопасности: в МГУ, МФТИ, МИФИ, МГТУ им. Баумана, СПбГУ, ИТМО, РТУ МИРЭА, Центральном Университете, Иннополисе и многих других ВУЗах 👨‍🏫 Почти в каждом крупном техническом университете можно найти кафедры или магистратуры по ИБ. Но ключевой момент в том, что сам факт поступления в "правильный ВУЗ" не сделает из студента специалиста. Университет дает базу (ее еще тоже надо уметь понять и принять): математику, алгоритмы, понимание архитектуры систем, базовую криптографию и сетевые технологии 👨‍🎓

Кибербезопасность – это область, которая быстрее любой академической программы 👩‍🎓 меняется под давлением времени, реальных атак, технологий и нормативки. Поэтому ценность для будущего специалиста в том, чтобы:
➡️ участвовать в практических соревнованиях (CTF, хакатоны, кибербитвы),
➡️ проходить стажировки в ИБ-компаниях или ИТ-департаментах,
➡️ пробовать себя в bug bounty, искать уязвимости,
➡️ работать руками с SIEM, EDR, SOC-процессами.

Те, кто с первого курса совмещает учебу с практикой 👩🏼‍🔬, обычно вырастают в сильных специалистов к моменту выпуска – вне зависимости от "брендовости" диплома. И вообще, ИБ – это профессия с "вечным" обучением. Новые уязвимости, новые методы атак, новые стандарты, новые ведомственные приказы, новые регуляторы. Даже если человек получил блестящую теоретическую подготовку, через пару лет без саморазвития его знания устареют ❔ Поэтому главное – выработать привычку учиться: читать отчеты вендоров, проходить онлайн-курсы, получать локальные или международные сертификаты (как способ систематизации знаний, а не получения корочек), обмениваться опытом в профессиональном сообществе 🤝

Где учиться помимо ВУЗа?
➡️ Онлайн-платформы: Coursera, Stepik, Udemy, Skillbox, "Нетология" и т.п.
➡️ Лаборатории и песочницы: Standoff Cyber Bones, HackTheBox, TryHackMe и т.п.
➡️ Сообщества: конференции (PHDays, OFFZONE, CTF), телеграм- и дискорд-группы (пока это все не заблокировали), локальные митапы 👨‍🔬

Хорошая программа по ИБ в университете – это стартовая точка 👨🏻‍🎓 Но успех в профессии зависит от того, как человек учится сам: насколько активно ищет практику, пробует новое, ошибается и делает выводы. Из ИБ-специалиста "делает" не диплом, а проекты, задачи и постоянное саморазвитие. Резюмируя: важен не ВУЗ, а путь 🤔 Да, это вроде очевидная мысль, но вопрос: "Куда поступать?" все равно задают.

#обучение

Пост Лукацкого

02 October 2025 15:41

Презентация по упрощенной схеме финанасовой 🍍 оценки ущерба от инцидентов ИБ, которую я читал на КибеРИТорике в Питере 🧮

#презентация #ущерб

Пост Лукацкого

02 October 2025 06:40

Прекрасное подогнал коллега из "the capital of Great Britain" 🇬🇧 В метро прекрасная реклама по ИБ, которая прям очень красиво обыгрывает английский язык, попутно показывая, что кибербезопасность - это не только и не столько про нормативку 🤔

#маркетинг #регулирование

Пост Лукацкого

01 October 2025 15:41

Выкладываю презентацию по когнитивным искажениям (некоторым) в деятельности ИБшника с Positive Tech Day в Санкт-Петербурге 🤯

ЗЫ. Остальные презентации уже тоже на сайте.

#презентация #психология

Пост Лукацкого

01 October 2025 06:39

В середине 20-го века кибернетик Росс Эшби сформулировал закон необходимого разнообразия, суть которого в том, чтобы эффективно контролировать систему, управляющий орган 👉 должен обладать достаточным набором состояний, сопоставимым с числом возможных состояний управляемой системы. Иными словами, если внешняя среда или объект, которым мы управляем, может вести себя множеством способов, то и управляющий механизм должен быть способен реагировать столь же разнообразно, иначе он будет неэффективен. Закон этот применим во многих сферах - в управлении организацией, в биологии и, конечно же, в ИТ и ИБ 🛡

Например, согласно этому закону если атакующий может использовать сотни векторов атак, а защитник строит оборону только от трех-четырех сценариев, то защита будет слабой и неэффективной 🔓 Чтобы быть адекватным угрозам, защита должна обладать сопоставимым "разнообразием" средств: мониторинг, сегментация, резервирование, сценарное моделирование, автоматизация, обучение пользователей, патч-менеджмент, предотвращение угроз, харденинг и т.п. (изучайте, мать его, проекты MITRE - ATT&CK, D3FEND, SHIELD и иже с ними – они как раз для этого и существуют) То есть наличие широкого спектра защитных мер и средств – это не блажь, а требование закона, по которому существует Вселенная 🤹

Отсюда вроде как возникает очевидная проблема – система управления ИБ должна быть не менее сложной, чем множество управляемых ею сущностей 🧘‍♀️ Но мы же все хотим простоты, которая подразумевает, что система управления ИБ будет максимально унифицированной, автоматизированной, работать по нажатию "одной кнопкой". То есть набор возможных реакций должен быть предельно ограничен, что вступает в конфликт с законом Эшби. Но в реальности все немного иначе 😂

Система может казаться простой снаружи ("одна кнопка", "обнаружить и остановить", автономный SOC), но внутри нее работает множество правил, алгоритмов и сценариев реагирования 🎮 Пользователь видит простое управление, а "разнообразие" скрыто в алгоритмах. Также, не обязательно, чтобы "одна система" содержала все разнообразие. Можно распределить его между слоями: часть ответственности – у продукта ИБ, часть – у SOC, часть – у облачного сервиса. В итоге совокупность экосистемы покрывает разнообразие угроз 🤕

Невозможно создать реально эффективную "одну кнопку" 🔲, которая бы решала все вопросы ИБ. Но можно создать интерфейс одной кнопки, за которым скрывается "оркестр" механизмов, соответствующих закону необходимого разнообразия. Без тех же SIEM/SOAR/мета-продуктов/whatever оператор не смог бы эффективно управлять всем разнообразием: слишком много средств, слишком много сигналов тревоги, слишком много возможных вариантов реагирования – блокировать, детектировать, предупреждать, помещать в карантин, шифровать, изолировать, уведомлять, патчить, контратаковать и т.п. 🚫 Человек бы "тонул" в событиях. SIEM и SOAR – это как раз инструменты реализации закона необходимого разнообразия на практике. Они делают так, чтобы у организации был достаточный набор реакций на угрозы, но при этом оператор не утонул в сложности 🤔

Так что в следующий раз, когда пойдете за защитой бюджета на SIEM 🧬 или SOAR 🚘, ссылайтесь на доказанный математический закон! Вдруг сработает?!

#наука

Пост Лукацкого

30 September 2025 15:42

В Дэчжоне (Южная Корея) 🇰🇷 пару дней назад произошел масштабный пожар в Национальной службе информационных ресурсов (NIRS) – ключевом государственном дата-центре, который представляет собой некий аналог наших Госуслуг. Возгорание началось при перемещении литий-ионных батарей источников бесперебойного питания (UPS): одна из них вспыхнула (в итоге нахрен сгорели все 384 батареи), огонь быстро охватил соседние модули, температура в серверных поднялась до 160 °C 🔥

Масштаб ущерба по первоначальными прикидкам нехилый: 💥
➖ Пострадало 647 государственных информационных систем.
➖ 96 из них – "Grade 1", то есть ключевые, от функционирования которых зависят критически важные сервисы, среди которых налоговые системы, государственные порталы, сервисы идентификации граждан, системы статистики и закупок.
➖ На момент публикации восстановлено лишь ~11% сервисов, работу части систем перенесли в другие центры.
➖ Восстановление может занять до 1 месяца (по предварительным оценкам).

Правительство Южной Кореи признало, что планы аварийного восстановления были недостаточными 🖕, а концентрация столь важных сервисов в одном ЦОД создала "единую точку отказа". Очередной президент (после череды импичментов и посадок местных главнокомандующих я уже потерялся в их именах; то ли дело в стабильных экономиках типа Северной Кореи или России) заявил, что он шокирован произошедшим и не ожидал, что страна, претендующая на лидерство в сфере высоких технологий так накосячит, доведя ситуацию до недопустимой (так и сказал) 🤬

Меня в этом кейсе интересует ситуация с кибербезопасностью 🛡 Деталей немного, но вот что удалось найти в разных источниках:
➖ Национальная разведка повысила уровень киберугроз: в условиях хаоса злоумышленники могут воспользоваться уязвимостями во временных или обходных схемах восстановления. Это скорее косвенный признак затронутости контуров ИБ, имеющихся в сгоревшем ЦОДе.
➖ Власти заявили, что "99% ключевого оборудования безопасности" уже восстановлено, но конкретные ИБ-системы не названы и что относится к ключевым не очень понятно 🤷‍♀️
➖ Эксперты, комментирующие инцидент, отмечают, что подобные инциденты иллюстрируют неотделимость кибербезопасности от физической инфраструктуры – пожар или сбой питания могут привести к коллапсу цифровых сервисов, открытым "окнам реализации угроз" и увеличившейся площади атаки ☺️

Длившийся 22 часа пожар в NIRS стал не только технологической, но и ИБшной катастрофой: миллионы граждан временно остались без онлайн-госуслуг, а государству пришлось срочно усиливать защиту и пересматривать планы резервирования и отказоустойчивости 🍑 Ну а мы все получили очередной очевидный урок – распределенная архитектура и реальные планы disaster recovery должны быть обязательными, иначе один инцидент может парализовать целую страну 🌎

#инцидент #недопустимое #непрерывность #киберустойчивость

Пост Лукацкого

30 September 2025 06:40

ФСТЭК 🗂 выпустила методику проведения пентестов, которая применяется в ходе аттестации информационных систем, контроля защищенности и оценки соответствия требования по ИБ и достаточности принимаемых мер по защите. Сам документ ДСПшный и поэтому рассказывать о нем я не буду, но сам факт движения регулятора в сторону практической оценки реального состояния ИБ не может не радовать.

Однако, чтобы не ограничиваться одним лишь только информационным фактом выхода документа, который вы не можете скачать с сайта регулятора, а можете только запросить его в своем территориальном управлении, решил, что было бы неплохо дать список национальных и наднациональных регуляторов / агентств, которые публиковали официальные методики, рекомендации или требования по проведению пентестов, чтобы можно было быстро сравнить с новым документом ФСТЭК, когда он попадет к вам в руки.
1️⃣ NIST (США) – SP 800-115 Technical Guide to Information Security Testing and Assessment – подробное руководством по планированию и проведению оценки защищенности (включая пентесты), правила согласования RoE, методики анализа результатов.
2️⃣ Банк России (Россия) – выпустил "Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка", о которых я уже писал.
3️⃣ NCSC (Великобритания) – практическое, но не очень большое руководство по проведению пентестов (commissioning, scope, reporting), ориентированное на государственные и частные структуры.
4️⃣ ENISA (ЕС) – хотя ENISA фокусируется шире (кибер-стресс-тесты и киберустойчивость в рамках NIS2), у агентства есть подробные хэндбуки и технические рекомендации, полезные для масштабных и критичных проверок (включая сценарии и методологию тестирования).
5️⃣ BSI (Германия, Федеральное бюро по ИБ) – практические рекомендации (на немецком) по проведению пентестов и проверкам веба; BSI дает практичные указания по организации, частоте и объему тестов, включая требования для операторов КИИ (KRITIS).
6️⃣ ANSSI (Франция) – ANSSI не только и не столько про пентесты, но в своих материалах (EBIOS, PASSI) они прописали требования к аудиторам/оценщикам (PASSI-квалификация), перечень видов тестов (включая пентесты) и методики риск-ориентированной оценки.
7️⃣ PCI Security Standards Council – отдельное официальное руководство по пентестам для организаций, работающих с платежными картами (детализирует требуемый охват, квалификацию тестировщиков и формат отчетов).
8️⃣ CSA / MAS (Сингапур) – сингапурские регуляторы (включая CSA и требования MAS к финсектору) публикуют руководства и условия лицензирования для провайдеров пентестов.
9️⃣ GovCERT / DPO (Гонконг) – практическое руководство "Practice Guide for Penetration Testing" для госорганов.

Если подытожить, то большинство регуляторов идут по одному сценарию: обозначить цель и охват (CDE/критичные сервисы), согласовать RoE/правовые рамки, прописать квалификацию тестировщиков, разделение типов тестов (black/grey/white), требования к отчетности и срокам исправления. ENISA в ЕС 🇪🇺 и некоторые регуляторы (APRA, BSI) сильнее фокусируются на тестировании киберустойчивости и интеграции пентестов в программу непрерывного контроля и стресс-тестирования (кибериспытания).

#регулирование #пентест #оценказащищенности

Пост Лукацкого

29 September 2025 15:42

Интересно девки пляшут 🤦‍♂️ Сначала разработали требования по защите персональных данных и сделали их обязательными. Потом решили, что этого мало, и надо ввести еще и штрафы за инциденты с ПДн; причем независимо от того, как ты их защищаешь. Ну внедряешь ты риск-ориентированный надзор, ну ты хоть прочитай, что это такое. Тут либо обязательные требования и штраф за нарушение требований, либо никакой обязаловки, но штраф за нанесение ущерба субъектам. Но зачем объединять две сущности? Это пошло еще с Банка России с его требованиями по ИБ и по рискам ИБ (ну и по операционной надежности до кучи), но потом плавно перешло и на тему персональных данных. Ну вот и успокоились бы на этом, но нет 🙅‍♂️

Теперь Всероссийский союз страховщиков (ВСС) решил присосаться к этой титьке и тоже подоить операторов ПДн. Но как это сделать? За средства и сервисы защиты бабки стригут вендора и интеграторы 🤑 Штрафы берет себе государство. А как еще остричь эту полуголую овечку? Давайте заставим операторов страховать риски утечки ПДн и пусть это будет обязательной мерой, решили в ВСС 😮 И ладно бы с этой инициативой выступил какой-нибудь Роспотребнадзор, который защищает права потребителей. Так нет же. ВСС защищает интересы страховых компаний и выступает с законодательными инициативами от их имени. То есть желание внедрить обязательное страхование ответственности за утечки личной информации – никак не влияет на защиту прав граждан – это всего лишь способ заработать бабла для страховых 🫢

Ладно, с арифметикой у ВСС не очень (вот я считал и тут); хотя считать они должны уметь 🧮 Но хотя бы подумать о том, что задача защиты прав субъектов ПДн заключается в первую очередь в предотвращении утечки ПДн, а не вероятной компенсации ничтожной суммы денег, они могли бы? Или думать у нас уже не в моде, когда на горизонте триллионы рублей маячат 🤑

#регулирование #ущерб #персональныеданные #киберстрахование

Пост Лукацкого

29 September 2025 10:16

Пишут тут, что некто взломал внутреннюю систему управления учетными записями пользователей в X (бывший Twitter) 📱 Вектор не понятен, но хакер дал понять, что это как-то связано с LinkedIn (может письмо от лже-HR с фейковым тестовым заданием?) 🔓

#инцидент

Пост Лукацкого

28 September 2025 19:37

Вернулся с Underconf 2, прекрасной ламповой ИБ-конференции. Окунулся в атмосферу мероприятий 90-х, без огромных бюджетов, без засилья спонсоров, создаваемые на энтузиазме. И с массой положительных эмоций 🙂

И вот, что я подумал 🤔 Все мероприятия по ИБ, которые мне доводится посещать, можно условно разделить на 4 типа:
1️⃣ Бесплатно для участников, засилье спонсоров, рекламные доклады, генеральские пленарки и вот это вот все. Полезного контента около нуля (исключения только подтверждают правило). Идти имеет смысл ради нетворкинга (шатанов на таких тусовках тоже масса и они вполне гармонично вписываются в атмосферу).
2️⃣ Вендорские семинары и конфы. Ну тут, вроде, все и так понятно.
3️⃣ Платные для участников (перелет и проживание за деньги или «представителям ИБ-компаний за 35000 рублей» не в счет). Тут обычно качественный контент, но мероприятия вообще не массовые. Спонсоры тут редки и нужны только для поддержания базового или среднего уровня организации (а не оплаты участия «генералов»). Рекламы около нуля. И контент, и нетворкинг на уровне.
4️⃣ «Митапы». Обычно проводятся одной компанией или при ее поддержке. Очень душевно, мало людей, на энтузиазме обычно одного человека, который хочет сделать хорошо. И контент, и нетворкинг недурны.

В последнее время все больше хочется именно третьих или четвертых, чтобы была ощутимая польза, а не вот это вот все 🙄 Но у нас такое, к сожалению, огромная редкость. Тем приятнее было в воскресный день посетить Underconf 2, начавшийся с 8.30 утра 😨, который, я надеюсь, продолжит существовать и дальше. Енот, спасибо за приглашение!!! 🤝

Ну а мы готовимся уже к PHDays, в котором пытаемся вобрать лучшее от всех форматов, но без ламповости; при таких масштабах это прям невыполнимая задача; как мне кажется.

ЗЫ. А часть докладов я бы даже пересмотрел 👀 Может в канале выложат ссылки.

#мероприятие

Пост Лукацкого

28 September 2025 14:01

Перефразируя thegrugq и адаптируя к русскому языку:

Модель основных способов получения учетных записей для взлома 🔤🔤🔤🔤, которая расшифровывается как:

🔤одобрать: подбор паролей (brute force), их угадывание
🔤красть: кража паролдей с помощью вредоносного ПО, перехват паролей в каналах связи
🔤просить: социальный инжиниринг
🔤упить: логи стилеров и брокеры первоначального доступа (IAB).

#аутентификация #ttp