К ранее упомянутым мероприятиям в октябре 🍃 добавилось еще несколько:
🎤 БанкИТ – 15 октября – Минск – буду выступать с темой "Управление рисками при аутсорсинге в банковской сфере" и участвовать в дискуссии "Доверенное ПО для доверенных банков".
🎤 Евразийский конгресс по защите данных (EDPC) – 23 октября – Москва – пока не решил про что, но точно в секции "Кибербезопасность: утечки и иные инциденты в банковской сфере".
🎤 Подкаст по SOCам – пока нет полных данных, но позже анонсирую детали.
🎤 Продолжаю делиться опытом на курсе SOC 2.0 и парочке программ MBA 👩‍🎓

#мероприятие

Читать полностью…

29 сентября японский 🍱 холдинг Asahi столкнулся с атакой группировки Qilin, которая пошифровала, попутно сперев 27 гигабайт разных данных, инфраструктуру компании, что привело к приостановке ряда операций, особенно функций заказов, отгрузок, call-центров и систем связи, на большинство из 30 заводов Asahi (пивоварни, напитки, продукты). Антикризисную кампанию "японца" уже разобрала Ника, а я хотел бы взглянуть на эту историю с точки зрения ущерба для компании 🍻

Компания восстановила 6 заводов, однако системы управления заказами, отгрузками и обработка внешней почты еще не восстановлены полностью 🛡 Компания не сообщает сейчас точный календарь полного восстановления. Также нет пока и финансовой оценки от самой Asahi, – компания только сообщает, что воздействие на результаты 2025 года еще находится в стадии анализа 🧮 Однако аналитики Bernstein Japan KK полагают, что Asahi придется сократить прогноз операционной прибыли в 4-м квартале в Японии примерно на 83%, а глобально – на 38%, если последствия сбоя будут продолжаться.

В японских СМИ фигурирует, что под “полным приостановлением” Bernstein оценивает ущерб в ¥1,5–¥2,0 миллиарда японских йен 💴 в день (в случае полной остановки операций). Аналогичную оценку дают и аналитики Morgan Stanley MUFG. Но мы понимаем, что это стрессовый сценарий, который, не факт, что реализуется. Но стоит помнить, что в СМИ “раздутые” цифры часто используются для драматизации; аналитики зачастую базируют свои оценки на задержках отгрузок, потере клиентов, штрафах, промо-компенсациях, но часть этих эффектов может быть смягчена или и вовсе отсутствовать 🤷‍♀️ При этом на бирже акции Asahi упали примерно на ~4 % в момент новостей о сбое.

Сама группировка Qilin 🥷 утверждает, что в результате кибератаки и перебоев в бизнесе, особенно на шести заводах, затрагивающих около тридцати марок продукции, Asahi понесет потери до $335 млн долларов. Qilin, как атакующая сторона, имеет свой интерес завысить цифры, чтобы создать страх давления, получив переговорное преимущество (сумма выкупа, правда, неизвестна). Но кто знает, возможно, они и правда смогли прикинуть потери Asahi, которые могут включать не только простои, но и потенциальные компенсации, штрафы, утрату бренда, расходы на восстановление и дополнительные инвестиции в ИБ 🤑

Заметили тенденцию? 📈 Ущерб от действий хакеров становится все серьезнее, потери масштабнее, простои длительнее... В РФ ситуация не лучше. Только вот у нас не очень принято признавать инциденты и озвучивать последствия. Да и финансовые аналитики пока не так часто обращают внимание на ущерб от инцидентов ИБ. Но, как мне кажется, это пока... 🤔

#ущерб #инцидент

Читать полностью…

я пытался сделать
soc за три рубля
но не получилось
не хватило. чёрт

30-го октября буду жечь глаголом и делиться опытом в Минске на SOCcon, которую мы проводим уже в третий раз. Так что, если будете в столице Беларуси и если будете внезапно проходить мимо кинотеатра "Москва", заходите узнать про то, как бороться со скрытой киберугрозой! 🛡

У меня на конференции будет выступление "Выжить в SOC: за кулисами кибербеза" (про что, не знаю, даже еще не думал) и ведение ток-шоу "Код качества SOC". До кучи буду конферировать еще и все происходящее в Зале №1 на протяжении всего дня – задавать спикерам каверзные вопросы и вот это вот все 💪

ЗЫ. Образ джедая прочно прикрепился ко мне. Сначала на вечеринке "Look At Sky" в 2017-м году, потом пару лет назад на Positive Security Day в кинотеатре "Октябрь", и вот теперь, на гастролях в Беларуси ⭐️

#soc #мероприятие

Читать полностью…

Внезапно, спустя неделю после публикации про южнокорейский пожар, все спохватились и стали постить эту историю, которая обрастает кучей дополнительных фактов. Меня из всего их множества зацепила история с самоубийством чиновника, который отвечал за все эти системы.

Чем больше читаешь новости об утечках и хакерских атаках, тем сильнее чувствуешь – реакция на инцидент она больше не про безопасность, а скорее про культуру. Один и тот же сценарий – украдены или уничтожены данные, пострадали клиенты – а поведение руководителей по всему миру совершенно разное. Где-то – глубокий поклон и отставка, где-то – пресс-релиз в три строчки, а где-то – гробовая тишина и бодрое "все под контролем".

То, как руководители компаний реагируют на кризисы (включая инциденты кибербезопасности), напрямую отражает культурные архетипы региона, особенности восприятия вины, стыда и ответственности. Это то, что культурологи называют "культурой стыда" и "культурой вины", а иногда еще и "культурой чести" – разные цивилизационные подходы к социальным санкциям и поведению после ошибки.

🍱 Азия. Здесь важна репутация и сохранение лица. Публичное извинение – не столько признание вины, сколько ритуал восстановления гармонии. Поэтому CEO японской или корейской компании после утечки персональных данных или иной инцидента может выйти на пресс-конференцию, поклониться и уйти в отставку (а то и покончить жизнь самоубийством), даже если лично не причастен. Главная цель тут – восстановить баланс и продемонстрировать честь, а не юридическую ответственность или желание спасти свое кресло. Не "я сделал плохо", а "я подвел общество".

🇪🇺 Европа. Тут акцент на индивидуальной ответственности и правовом аспекте. Руководитель признает ошибку, объясняет принятые меры и реформы – часто в юридически выверенной форме. Извинения звучат спокойно, рационально: отчет, анализ первопричин, план действий, дата следующего апдейта. В Старом Свете извинение – обычный управленческий инструмент, а не драма. Главная цель – вернуть доверие через прозрачность и управленческую реакцию.

🇺🇸 США. Извинения чаще подаются в управляемой форме. Главное – минимизировать ущерб для бренда и инвесторов. Часто звучит не "мы виноваты", а "мы приносим извинения за неудобства". CEO редко уходит сам, а если и уходит, то не потому, что "стыдно", а потому что "так решил совет директоров". Здесь извинения – часть антикризисной коммуникации, а не акт покаяния. Главная цель – удержать акции, клиентов и инвесторов.

🇷🇺 Постсоветское пространство. Тут доминирует модель "никто не виноват" и желание "переждать". А еще, у нас извиняться – значит признать слабость, а слабость в бизнесе и политике — табу. Нормальной стратегией считается не комментировать или списать на внешние обстоятельства. Поэтому официальные комментарии звучат бодро: "Все системы работают штатно, угрозы нейтрализованы". Главная цель – избежать потери статуса, а не восстановить доверие.

🕌 Ближний Восток и Турция. Тут репутация компании тесно связана с личным авторитетом лидера. Поэтому признание вины редко происходит публично, но внутри организации могут быть жесткие внутренние разборки. Извинение перед внешним миром – скорее акт великодушия, чем раскаяния.

Восприятие киберинцидента – это не только и не столько технический вопрос, сколько культурное зеркало общества, в котором инцидент происходит или в котором находится штаб-квартира пострадавшей компании. ИБ – это универсальная история, но реакция на ИБ-угрозу глубоко локализована: где-то ее "чувствуют сердцем", где-то "отрабатывают по протоколу", а где-то "замалчивают во благо стабильности".

#культура #антикризис

Читать полностью…

Ну и завершим трилогию "Ягуар и хакеры" размышлениями для финансового директора. Как этот топ-менеджер увидит инцидент в Jaguar Land Rover в своей отчетности? Я ненастоящий CFO, но кажется мне, что обратит он внимание на следующее:
1️⃣ Просадка по выручке в квартале инцидента, частичная компенсация "хвостов" при отгрузке отложенных машин после восстановления (ну и снижение налогооблагаемой базы за счет отсутствия продаж). Маржа будет под давлением из-за сверхурочной логистики/перезапуска и скидок в сторону дилеров и клиентов на фоне случившихся задержек.
2️⃣ Рост дебиторки/запасов (незавершенка, "узкие места" по комплектующим) при одновременной потребности ускорить платежи поставщикам, чтобы предотвратить их кассовый разрыв. Это и есть рационализация £1.5 млрд поддержки от государства.
3️⃣ Вслед за кризисом ожидаем ускоренное инвестирование в киберустойчивость компании (сегментация, бэкапы, DR, EDR/XDR/NDR, ITDR, OT-изоляция, киберучения) – часть средств уйдет единовременно (CAPEX), часть – в структуру постоянных затрат (OPEX).
4️⃣ Новое долговое плечо (гарантированная линия от государства и возможный банковский кредит в 2 ярда) увеличит процентные платежи и усложнит структуру фондирования на 3–5 лет.
5️⃣ Смена прогноза Moody’s на "negative" – сигнал, что кредитные показатели в ближайшие 12–18 месяцев будут чувствительны к темпам нормализации ситуации.
6️⃣ Если малым поставщикам и подрядчикам не хватит финансирования, возможны остановы бизнеса уже после рестарта, что растянет "хвост" влияния на финансовый результат еще на 1–2 квартала.
7️⃣ По мере уточнения статуса по утечке персональных данных (компрометация "некоторых данных", уведомления регуляторов и т.д.) не исключены претензии и затраты на уведомления пострадавших, штрафы, пересмотр стратегии ИБ.
8️⃣ Решение о госгарантии критиковали как создающее прецедент помощи даже при слабом киберстраховом покрытии (у JLR не было киберстраховки) – это может повлиять на будущую политику страхования/комплаенса в отрасли.

Видите ли вы в списке технические вопросы? Нет! CFO они не очень интересны, в отличие от упомянутых проблем, с которыми ему придется иметь дело в обозримом будущем. Так почему бы заранее с ним не обсудить это, чтобы не доводить до инцидента ИБ? Может быть CFO, увидя, что вы говорите с ним на его языке, поймет, что ИБ – это не техническая проблема, а финансовая, и в нее надо инвестировать не только ресурсы, но и свое время? 🤔

#ущерб #cxo

Читать полностью…

Если бы Уильям Тёрнер был жив, он бы нарисовал историю с атакой на Jaguar Land Rover (JLR) вот так... Ну а я попробую посмотреть на этот инцидент с финансовой точки зрения 🧮 И хотя прошло не так уж и много времени с августа, когда все и произошло, учитывая масштаб, данных для анализа оказалось предостаточно. В ответ на инцидент JLR отключил большинство своих ИТ-систем и остановил производство на многих заводах (в Великобритании, Словакии, Индии и др.). В течение приостановки производства ежедневно JLR 🐆 теряет значительные суммы – разные источники говорят о £50 млн в неделю (примерно $65–70 млн) ущерба. JLR также объявил, что получит правительственную гарантию на £1,5 млрд (посредством экспортного кредитного механизма) для поддержки ликвидности и цепочки поставок (для JLR будет стоять задача погашения банковского займа, гарантированного государством, в течение пяти лет). Кроме того, JLR ищет еще £2 млрд в банковском финансировании, чтобы компенсировать последствия кризиса. Это факты. Теперь посмотрим чуть детальнее 🔍

Некоторые аналитики предполагают, что если простои продлятся до ноября, выручка JLR 🚗 может сократиться на £4.7 млрд (в пересчете), что сделает этот инцидент самым дорогом в истории после UnitedHealthGroup с их 3+ миллиардами. Учитывая, что годовой отчет JLR за 2024 год указывал (в пересчете) прибыль до налогообложения порядка $2.4 млрд (в одном из источников) – потери от инцидента могут превысить всю операционную маржу компании за год. Пока же оптимистичная оценка потерь составляет около 220-230 млн фунтов стерлингов (при 4 неделях простоя), и 440-575 млн – при негативном развитии событий (8-10 недель влияния) 🤑

Но проблема коснулась не только самой JLR. Высока вероятность, что цепочка поставок 📇 испытывает серьезную каскадную нагрузку: многие мелкие поставщики уже испытывают нехватку cash flow. В опросе 84 компаний (≈30000 сотрудников), связанных с цепочкой поставок JLR, 45% сообщили о серьезных финансовых потерях, 35% уже перевели работников на сокращенные часы, 14% начали увольнять сотрудников. Некоторые фирмы заявляют, что рассчитаны продержаться лишь одну – две недели без поступления платежей. Существует риск, что малые поставщики, не защищенные финансово, могут обанкротиться, что затруднит восстановление производственных цепочек даже после возвращения JLR к нормальной работе 🍑

Помимо прямых финансовых потерь возможны и репутационные потери, снижение доверия партнеров и клиентов, и давление на акции материнской компании (Tata Motors). Уже сообщается об обвале курса акций Tata на ~4% после новостей об атаке 📉 Рейтинговое агентство Moody’s сохранило кредитный рейтинг JLR на уровне Ba1, но ухудшило прогноз Tata Motors до "negative" из-за неопределенности по восстановлению JLR. Также существует так называемый "моральный риск", что при таких мерах (гарантии от государства) компании в будущем могут снизить стимулы к надлежащей киберзащите ("все равно спасут") 🍑 Критики, куда без них, также отмечают, что правительственная поддержка концентрируется на JLR, а не на мелких подрядчиках, что может привести к дисбалансу и недоверию к государству (хотя куда уж ниже).

В одном из блогов говорится, что два года назад JLR заключил пятилетний контракт с Tata Consultancy Services (TCS) на сумму £800 млн (160 миллионов в год), в который входит управление сетями, цифровая трансформация и кибербезопасность как часть услуг. Если вспомнить, что обычно на ИБ тратится около 10% (а часто и того меньше вдвое) от ИТ-бюджета, то получится, что JLR тратит на ИБ порядка 16 миллионов долларов в год, что, мягко говоря, маловато 👎 Но зато теперь руководство JLR поймет всю правдивость поговорки "безопасность стоит дорого, но она того стоит".

#инцидент #ущерб

Читать полностью…

Интересный отчет, рассматривающий кибератаки через призму фондового рынка, как экономическое явление. Он объединяет результаты исследований разных компаний (Comparitech, MIT, NBER, Morningstar и др.) и известные инциденты (Equifax, MGM, SolarWinds, CrowdStrike и др.), чтобы показать закономерности падения стоимости акций и факторов, которые усиливают или ослабляют последствия.

Авторы предлагают модель многофакторной оценки ущерба, которая учитывает следующие параметры:
1️⃣ Чувствительность данных – от внутренних документов до финансов и медицинских данных.
2️⃣ Тип атаки – от легкого DDoS до разрушительных шифровальщиков или атак на цепочку поставок.
3️⃣ Индустрия – наименее уязвимы ритейл и e-commerce, наиболее – финансы, платежные системы, кредитные бюро.
4️⃣ Уровень защищенности – зрелость безопасности и ESG-практики (наличие risk-комитета, DPO и т.п.).
5️⃣ Реагирование на кризис – скорость и прозрачность реакции компании.
6️⃣ Узнаваемость компании – чем выше узнаваемость (Fortune 500, глобальный бренд), тем больнее и сильнее падение.

Какие выводы можно сделать из этого файла и исследований, на которые он ссылается:
🔤 Инвесторы "наказывают" компании не только за сам взлом, но и за реакцию на него. Прозрачность, скорость и тон коммуникации влияют на глубину падения.
🔤 Кредитные рейтинги компаний остаются заниженными до 3 лет после крупных инцидентов.
🔤 Эффект зависит от типа данных и сектора. Финансы и здравоохранение страдают сильнее, чем промышленность или ритейл.
🔤 Репутация и ESG-факторы становятся важным "амортизатором" – компании с хорошим управлением падают меньше.
🔤 Ущерб на фондовом рынке не всегда напрямую коррелирует с техническим масштабом инцидента – важнее, как компания управляет кризисом.
🔤 У крупных брендов "штраф за узнаваемость": чем громче имя, тем резче падение.
🔤 Повторяющиеся атаки вызывают эффект усталости инвесторов – реакция рынка становится менее эмоциональной, но долгосрочно вреднее и опаснее.

Для отечественного фондового рынка сами цифры, скорее всего, нерелевантны, так как рынок не очень большой. Но сами факторы, влияющие на стоимость акций, в той или иной степени вполне себе подходят. По крайней мере у меня они отторжения и вопросов не вызывают. Ну разве что кредитные рейтинги у нас пока мало связаны с ИБ 🔗

Вы все еще думаете, что инциденты ИБ – это мелочи, которые не стоят внимания вашего топ-менеджмента? 🤔

#ущерб #экономика #антикризис

Читать полностью…

За последнее время немалое количество пострадавших летом от инцидентов ИБ компаний стали публиковать финансовые результаты и можно уже оценивать реальный ущерб от действий злоумышленников. Начнем с британской сети продуктовых магазинов Co-op, которая в апреле столкнулась с кибератакой и потеряла 206 миллионов фунтов стерлингов выручки за первый полугодовой период (6 месяцев до 5 июля)

Операционная прибыль компании пострадала примерно на £80 млн за тот же период; из них £20 млн – однократные затраты в связи с реагированием на инцидент (13 млн из порчи продуктов питания, 5 млн - оплата труда и привлеченных на восстановление экспертов, 2 млн – резервы по долгам, возникшим вследствие инцидента). В результате Co-op ушла в убыток: пред-налоговый убыток около £50 млн, по сравнению с прибылью £58 млн за аналогичный период прошлого года.

Что еще известно по убыткам от казалось бы обычного инцидента ИБ:
1️⃣ Объем выручки группы за этот период: £5.5 млрд, что на 2.1% меньше, чем годом ранее. Без учета удара со стороны хакеров, по оценкам Co-op, выручка должна была быть на 1.5% выше – т. е. рост был, если бы не инцидент. В сегменте продуктового ритейла выручка снизилась на ~1.6%.
2️⃣ Co-op сообщил, что все персональные данные 6,5 миллионов членов его программы лояльности были украдены. Скомпрометированы имена, адреса, контактная информация, дата рождения. При этом Co-op заявляет, что пароли, банковские реквизиты, история транзакций не были затронуты. Мы, конечно, верим!
3️⃣ Co-op оценивает, что в течение полного финансового года удар по прибыли составит около £120 млн (с учетом дальнейших эффектов) в связи с кибератакой. Второй полугодовой период, возможно, будет легче, но эффекты “отставания” (поставки, восстановление доверия, маркетинг) могут “протянуться” и дальше. Некоторые сегменты (юридические / страховые / похоронные) могут быстрее восстановиться, но “продуктовый” ритейл наиболее чувствителен к сбоям ИТ и цепочек поставок.
4️⃣ Co-op предложил своим членам скидку £10 при покупке на £40 как компенсацию / знак благодарности за терпение. Пока сложно оценить, сколько человек воспользовались этой скидкой (автоматом ли она начисляется или надо специально об этом просить).
5️⃣ Co-op признал, что не будет требовать покрытие с страховки для “back-end losses” (операционные потери / снижение продаж). Это означает, что большая часть ущерба ложится на Co-op целиком.

Дополнительные косвенные расходы и правовые/риск-аспекты для Co-op могут включать:
➖ Затраты на восстановление, дополнительно ИТ/ИБ, аудит, мониторинг.
➖ Вероятные расходы на уведомления пострадавших, судебные иски, регуляторные штрафы (в зависимости от расследования и требований регуляторов).
➖ Репутационные потери, возможный отток клиентов, снижение членской базы и снижение лояльности.
➖ Упущенные возможности (инвестиции, расширение) из-за фокуса на восстановление и ограниченные ресурсы.

Ну и немножко выводов:
1️⃣ Ущерб от кибератак может быть гораздо больше, чем чисто технологический ущерб – операционные и сбытовые потери могут доминировать, что мы и видим у Co-op.
2️⃣ Отсутствие адекватного страхового покрытия создает значительный риск – компания вынуждена поглощать последствия удара сама, без помощи извне.
3️⃣ Участки бизнеса, тесно зависящие от ИТ и цепочек поставок (ритейл, логистика, автоматизированные складские / заказные системы) особенно уязвимы – когда ИТ сбоит или отключается, переход на бумажные / ручные процессы часто не может покрыть возросшую нагрузку на персонал.
4️⃣ У компаний с различными видами бизнеса (диверсификация) потери в одном сегменте могут быть частично сглажены другими направлениями. У компаний, сфокусированных на одной только деятельности, инцидент ИБ может повлечь за собой катастрофические последствия. У Co-op была ликвидность, кредитные линии не затронуты, с ковенантами тоже все ок.

ЗЫ. К слову, Co-op теряет 80 миллионов в год на кражах в продуктовых магазинах. То есть потери от кибератаки оказались больше более привычных потерь, которые часто учитываются топ-менеджментов в своей модели рисков, чего не скажешь о рисках ИБ.

#ущерб

Читать полностью…

Суд прекратил дело бывших топ-менеджеров "Сирена-Трэвел" 🧑‍⚖️ Про это написал Олег и я не буду повторять; только прокомментирую это странное дело. После массовой утечки персданных пассажиров, включая и особые группы лиц, компания признала утечку и получила административный штраф. Спустя год были выдвинуты обвинения против двух топ-менеджеров компании о неправомерном воздействии на КИИ (ч.5 ст.274.1 УК РФ). Эта часть относится к тяжким преступлениям и предусматривает лишение свободы на срок от 5 до 10 лет 😡

Однако осенью 2025 года дело было внезапно переквалифицировано на ч.2 этой же статьи (неправомерный доступ к охраняемой информации в КИИ) с более мягким наказанием (до пяти лет) 💃 А это уже не только преступление средней тяжести, но и применяется оно скорее к хакерам, а не к должностным лицам, которые что-то там допустили, не сделали, не реализовали и т.п. То есть, если вначале подсудимых обвиняли в "халатности", то потом перевели все стрелки на неустановленных лиц, которые и совершили это злодеяние. А найти их, и тем более покарать карающим мечом 🗡 правосудия, нереально

В статье ТАСС говорится, что дело прекращено по причине примирения сторон 🤝 И это, конечно, странная формулировка. Да, с ч.5 ст.274.1 примерения быть не может – оно только для небольшой и средней тяжести возможно. Но даже после переквалификации на более мягкое наказание, остается вопрос – кто с кем примирился? Ведь согласно ст.25 УПК РФ, это возможно если обвиняемый примирился с потерпевшим, возместил причиненный вред 🛡, и все стороны дают на это согласие. От утечки пострадали миллионы пассажиров, которым, согласно первоначальным материалам следствия, был нанесен существенный вред. И каким образом обвиняемые примирились с миллионами потерпевших, как и в каком объеме они возместили причиненный им ущерб? И как было получено согласие на это? 🤔

Как-то все странно выглядит 🤷‍♀️ Сначала обвиняют, потом примиряются. И как на это надо смотреть гражданам? Что на их права всем наплевать, если дело касается людей, власть придержащих? Что можно сначала дать надежду в том, что у нас перед законом все равны, а потом ее отобрать? Что кто-то может от имени потерпевших оценивать ущерб им, а потом его прощать? А если следствие было неправо с самого начала, то понесет ли наказание виновный? Отвечаю - вряд ли. В общем, какое-то непонятное послевкусие от всего этого 🥴

Схожая история с утечками «которых не было». Вот ты знаешь, что Госуслуги/ЕСИА протекали и у тебя на руках есть доказательства, но все говорят, что нет и даже заставляют провайдеров услуг контроля утечек замарывать название сервиса, из которой утекло 🤦‍♂️ Вот ты знаешь, что данные твоих детей утекли, но чиновники говорят, что нет (спустя 2 года, правда, косвенно признают, беря на работу тех, кто взломал). Ты видишь утечку одного из лидеров рынка доставки еды, а тебе говорят, что такого быть не могло, потому что не могло (или потому что там во владельцах «особы, приближенные к императору»?). Так и живем. Наказывают не тех, кого должно, а тех, кого можно безболезненно это сделать 😍

ЗЫ. Прекращение уголовного дела по примирению сторон не является реабилитирующим основанием, то есть лицо в таком случае не признается невиновным.

#ответственность #персональныеданные #утечка

Читать полностью…

А ведь из подписчиков никто и никогда не видел меня без усов (за исключением моей учительницы математики, которая иногда читает этот канал). Очень малое количество людей видело меня без бороды (только те, кто застал меня на заре карьеры в Cisco и до) 🧔🏼‍♂️ Лысым меня видели только подписчики в запрещенной нынче социальной сети, где я постил свои эксперименты над внешностью во время ковидной отсидки. А вот так, чтобы лысым, да еще и без бороды и усов...

Не пора ли сменить образ, подумал я?! 🆕 Может на Positive Security Day предстану обновленным, как наш подход к кибербезу и новые решения, которые мы презентуем 🤠 У меня там открывающее выступление (не буду раскрывать секретов, о чем) и последующая модерация пленарной дискуссии на тему, куда катится этот мир ИБ и как в нем выжить. А в целом, на мероприятии можно будет узнать, что делать с НДС в следующем году, как нас будут атаковать (будет интересное исследование презентовано), как можно будет выполнять 117-й приказ и вот это вот все 🤔

ЗЫ. Онлайн тоже будет; не только оффлайн с кулуарами и нетворкингом.

#мероприятие

Читать полностью…

Раньше были популярны статьи «Почему что-то лучше, чем секс». Оказывается про хакеров (на самом деле про кракеров, от английского crack, но кто сейчас помнит, кто это такие?..) тоже было такое 🥷 Но выглядит, как будто написано юношей с не самым удачным опытом (хотя у кого его не было) в описываемой области (или обеих). Будем считать, что это не самый удачный юмор или сборник шуток за 100 с подростковых форумов начала 2000-х 😃

PS. Картинку честно стащил у коллег из @POSIdev, постящих каждую пятницу порцию DevSecOps-ных мемов...

#юмор

Читать полностью…

Кто-то любит котиков, кто-то анимэ, кто-то игры, а кто-то кибербез... А кто-то все это объединяет вместе и получается CyberCamp, который пройдет 20-25 октября 🏕 Я обычно не пишу про мероприятия, на которых не был, но в данном случае это хорошо сочетается с постом "Куда пойти учиться", в котором я упоминал про способы прокачаться в кибербезе без скучного академического заунылого речитатива людей, которые и хакера-то видели только в фильме "Хакеры", а кибербез они называют по старинке "кибернетическая безопасность" 🧙🏻‍♂️🧙🏻‍♀️

Возможно я слишком стар, чтобы меня звали на CyberCamp 🤩 (хотя на КиберКэмп звали). А может опасаются, что я научу начинающих ИБшников "как регуляторов ругать" плохому. Но там участвуют многие мои позитивные коллеги, которые говорят, что там было и будет интересно. Да и до PHDays, холодными осенними вечерами надо же чем-то заниматься... Так что, если хотите прокачаться в ИБ, то забивайте свои рюкзаки ИБ-шной снарягой и вперед, на старт ⛹️‍♂️

#обучение #работа

Читать полностью…

Второй прогноз с вчерашней панельки GIS Days про большую войну и связанный с ней курс на импортозамещение и изоляционизм в контексте кибербеза 🤔 Чуть больше 2 минут

#тенденции #видео

Читать полностью…

Снова поучаствовал в проекте "Газинформсервиса" "ИБ-Пророк" с двумя материалами (прямая ссылка): ✍️
1️⃣ Годовой прогноз на системы глобальной аналитики, без которых эффективно бороться с угрозами уже невозможно,
2️⃣ Трехлетний прогноз о проблемах, с которыми мы столкнемся из-за импортозамещения.

А на сцене, где собралась часть ИБ-пророков получилось поговорить и о некоторых иных вещах, но это будет уже в следующих заметках и в формате видео 🤔

#статья #тенденции

Читать полностью…

И хотя в советское время, будучи ребенком, я оставлял ключи от квартиры под ковриком, но мысли отдавать их посторонним все равно не было 🤔 А тут мне предлагают сделать админами моих каналов абсолютно неизвестных мне людей, доверие к которым у меня отсутствует как класс, которых еще и ломали? Ага, щаз… 🖕

Сегодня на GIS Days я вновь озвучил свой прогноз 🔮 о том, что скоро у нас останется только один мессенджер с названием на латинице, и инициатива РКН только укладывается в эту историю. Мой личный совет - начните делать резервные копии каналов, которые вам интересно перечитывать 📖

ЗЫ. Интересно, можно ли считать ИБ-специалистом того, кто отдаст ключи от своего канала абсолютно неизвестным людям без описанной процедуры разбора конфликтов и реагирования на инциденты? Кто будет отвечать, если криворукий бот вдруг удалит всю базу пользователей? 🤔

ЗЗЫ. Хорошо, что я рекламу в канале не размещаю и донаты не собираю, а значит регистрироваться в РКН мне не надо.

#мессенджер #суверенитет

Читать полностью…

На сайте Positive Security Day выложили записи всех выступлений. Не буду перечислять все те десятки активностей, что там были, остановлюсь на двух; со своим участием, конечно 🤠

В открывающем все мероприятие кейноуте я попробовал сформулировать одно из возможных будущих ИБ 🔮 – конкуренция за вычислительные ресурсы на защищаемых объектах, легковесные сенсоры, консолидация данных, глобальная аналитика, shift left в инфраструктурной безопасности, новая модель потребления ИБ, commit на результат, финансовая компенсация за пропуск инцидентов и т.п. Если хотите понять, куда движется кибербез, то потратьте 15 минут своего времени и послушайте это выступление (хотя признаюсь, я бы предпочел возможность выступать подольше и с более детальным визуалом) 🦻

В последовавшей затем дискуссии, при моей модерации, мои коллеги по 🟥 продолжили рассуждать на тему смены парадигмы в ИБ – уход в "ИБ из облака" (да, на Западе это уже реальность, а мы пока отстаем), активное использование ML нападающими и защищающимися, ответственность вендоров за то, что они делают, замену человека ИИ-агентами, доверие к "черному ящику" ИБ-продуктов и много чего еще 🤔 Ну а анонсы новых продуктов можете оставить на десерт.

#тенденции #мероприятие

Читать полностью…

Пока все осмысливают отчет Счетной Палаты США, которая насчитала 434 киберподразделения в американском же МинОбороны, а Верховная Рада проголосовала за создание кибервойск на Украине, я раскопал документ 30-тилетней давности по нераспространению кибероружия ⛔️ Но дальше попыток так ничего и не пошло. В отличие от ядерного или даже биологического оружия, контролировать распространение обычного кода проблематично. Даже с первым и втором не очень получается в последнее время, а уж с третьим... Так что даже читать это не имеет смысла 💣

#регулирование

Читать полностью…

Использование Max Ⓜ️ в письмах от «майора ФСБ» было лишь вопросом времени и оно наступило. Здесь просится фраза «Помните! Настоящие государственные органы никогда не просят вас установить какое-либо программное обеспечение»… Но тут я сам заржал аки конь 😂 Особенно применительно к Махе…

ЗЫ. Спасибо подписчику за присланный скрин 🤝

#мессенджер #фишинг

Читать полностью…

Как-то так получилось, что разговор про безопасность ИИ 🧠 давно перешел от теории к практике. В эпоху, когда модели принимают решения в реальном бизнесе, просто разговора об ошибках и уязвимостях уже не хватает – требуется системный подход, который называется MLSecOps. На эфире AM Live, посвященном этой теме ▶️, эксперты, под моей чуткой модерацией, разберут, как встроить безопасность в жизненный цикл ИИ – от контроля происхождения данных до мониторинга модели в продакшене, а также о том, чем MLSecOps отличается от DevSecOps.

Попробуем привести практические примеры adversarial-атак и отравления датасетов 🤮, реальные инциденты и разбор ошибок, которые компании сделали "на проде". Будем говорить о том, что реально помогает (и что оказывается лишь маркетингом), как интегрировать сигналы моделей в SOC и какие метрики действительно имеют значение для безопасности ИИ 🤖 Обсудим и регуляторную перспективу – от NISTа до возможных отраслевых требований и поправок в 117-й приказ ФСТЭК.

Кому будет полезно посмотреть эфир AM Live ▶️: тим-лидам ML и Data Science, инженерам MLOps, специалистам по ИБ, руководителям продуктов и тем, кто отвечает за доверие к ИИ в компании. Формат классический для AM Live – дискуссия с экспертами, вопрос-ответ и, возможно, парочка мини-кейсов с разбором, но это уже не точно 🤖

А на скрине полученное мной сегодня предложение о работе 😂 Так совпало; я не виноват. Но что я хочу сказать по этому поводу. Когда я слышу «плач» про низкие зарплаты в ИБ, вижу предложение от рекрутинга и стоимость обучения по MLOps, то я понимаю, что кто-то так и будет сидеть на 40 тысячах в месяц, а кто-то потратит на обучение полмиллиона в кредит и отобьет эту инвестицию на первой же зарплате. Каждый выбирает для себя… 😔

#ии #mlsecops

Читать полностью…

В детстве я часто смотрел соревнования по прыжкам в воду; да и ходил на них тоже, благо олимпийский бассейн был под боком ⛲️ Я не был большим знатоком этого вида спорта, но одно знал точно – чем меньше брызг, тем выше оценка. Количество же брызг зависит не только от вертикальности вхождения в воду, но и от объема и размера брошенного в воду объекта; чем он больше, тем больше брызг и кругов на воде 💦

Если вспомнить вчерашнюю заметку про влияние инцидентов ИБ на фондовый рынок 📉, то мы поймем, что чем крупнее и известнее компания, тем большие "круги по воду" будут и тем большие последствия наступят и затронут большее число участников, чем первоначальный "виновник". Вернемся к JLR. Учитывая место и роль этого автогиганта в экономике Британии произошедшая кибератака имеет не только локальные последствия для самой компании и ее поставщиков, но и макроэффект – падение выпусков автопрома тянет вниз PMI обрабатывающей промышленности Британии (минимум за 5 месяцев).

И затухание этих кругов тоже будет не быстрым (чем крупнее компания и чем меньше она подготовлена была к инцидентам ИБ, тем дольше). Именно поэтому сложно сразу спрогнозировать объем совокупных потерь (прямые считать проще, косвенные – сложнее), который сейчас разнится от 400 миллионов фунтов стерлингов до 4 миллиардов. Но на что стоит обратить внимание и быть к этому готовым:
1️⃣ Восстановление производства будет постепенным и контролируемым, не одномоментным. Некоторые участки (например, моторные заводы) станут первыми в очередь к запуску, некоторые будут отложены до лучших времен. "Вжух" и все заработало – так не бывает.
2️⃣ Уязвимость цепочки поставок – главное узкое горлышко инцидентов у крупных компаний. Даже если сам JLR "встанет на ноги", недостаток комплектующих или банкротство поставщиков могут тормозить рост и возврат к запланированным показателям роста.
3️⃣ Финансовая нагрузка на JLR возрастаeт. Амортизация ущерба, возврат заемных средств (а там полтора ярда надо возвращать), возможные штрафы (особенно если выяснится, что утекли персданные) и расходы на усиление ИТ-безопасности.
4️⃣ Изменения в модели страхования и риск-менеджмента. После такого случая компании в автопроме и смежных отраслях будут пересматривать требования к покрытию киберрисков и условиям страхования.
5️⃣ Регуляторное и политическое давление. Возможны инициативы по ужесточению стандартов кибербезопасности для критических инфраструктур и компаний с масштабными цепочками поставок. Хотя в Великобритании с этим и так было неплохо, но кто когда отказывался от усиления?..
6️⃣ Репутационные эффекты. У клиентов, дилеров и партнеров могут появиться вопросы доверия к компании, особенно если будет доказано, что конфиденциальная информация была скомпрометирована, а компания не предпринимала должных усилий по ИБ.
7️⃣ Долгосрочный стратегический сдвиг. Компании, подобные JLR, могут пересмотреть свою цифровую архитектуру, увеличить резервные мощности, диверсифицировать цепочки поставок, требовать более строгих стандартов ИТ-безопасности от подрядчиков. И только этот пункт несет хоть какой-то позитив.

Так что инцидент ИБ – это не просто техническая проблема, которую мы решили и забыли. Это еще и вопрос стратегический, недооценка которого может повлиять на многое, в том числе и на восприятие ИБшника внутри компании 🧐 И чудится мне, что и в России начинают потихоньку задумываться, нет, не о том, как бы защищить детей и персональные данные, а о том, что киберез – это уже не локальная проблема одной компании. Это реально становится отраслевой, а может и национальной проблемой. И чем крупнее пострадавший, тем более вероятен каскадный сбой и катастрофические последствия, измеряемые десятками и сотнями миллиардов рублей, а также иными формами потерь 🤔

#ущерб #стратегия #недопустимое

Читать полностью…

ВЦИОМ подсобрал Топ10 цифровых фобий и страхов россиян...

#статистика

Читать полностью…

А у Center for Threat-Informed Defense обновление инструмента для визуализации и обмена информацией о цепочках атак Attack Flow, о котором я писал год назад 📇 Как отмечают авторы в своем блоге, основное изменение коснулось визуализации (ну еще бы). Отныне одна и та же цепочка ("flow") может быть преобразована в разные визуальные представления (views), что помогает по-новому взглянуть на данные атаки и выявить какие-то инсайты, понять свои слабые и сильные противника места 💡

Появилась возможность создавать представление в виде матрицы ATT&CK из JSON-файла с цепочкой, котопый может, возможно, генериться какими-то средствами ИБ, например, SIEMами. Созданные визуализации можно экспортировать в виде качественных изображений для использования в отчетах или презентациях, а также можно внедрять интерактивные цепочки в веб-страницы, что бывает полезно при наполнении базы знаний или портала обучения аналитиков SOC 🛡 В общем, годная история.

#mitre #визуализация

Читать полностью…

Читаю тут книгу (потом напишу мини-обзор), которая имеет опосредованное отношение к безопасности. И вот там приводится пример, как кардиологи ❤️‍🔥 американского вице-президента Дика Чейни отключили функцию удаленного управления на вживленном ему электрокардиостимуляторе, опасаясь негативных последствий возможной кибератаки. Это было еще до соответствующего сюжета в сериале "Родина", но уже после известного доклада Барнаби Джека про возможность удаленного взлома инсулиновых помп у диабетиков и кардиостимуляторов у сердечников... 💔

О, чудный, новый мир… По мере старения человечества, роста медтеха 💉 и внедрения биохакинга в нашу жизнь, киберпанк становится все ближе и не за горами массовое внедрение чипов, подключенных к Интернет/приложениям, в человеческие организм. А это ставит совсем новые вызовы и задачи для ИБ, которая привыкла к тому, что на хостах ставятся тяжеловесные сенсоры, которые грузят процессоры излишней работой и анализом событий в реальном времени ⌛ А все это жрёт ресурсы, которых на автономных IoT-устройствах (кардиостимуляторах и т.п.) просто нет. И значит нужны совершенно новые подходы к ИБ, которые будут применимы и к корпоративным сетям, и к личным устройствам, и к IoT-сенсорам и датчикам. Что-то легковесное, что будет требовать меньше энергопотребления, решать базовые задачи, а за сложной аналитикой ходить в облака, где и будет решаться основной пласт активностей по обнаружения чего-то опасного и вредоносного 🤔

#уязвимость #iot #недопустимое #модельугроз

Читать полностью…

Европейская ENISA выпустила новый отчет о киберугрозах на страны ЕС, охватывающий период с 1 июля 2024 по 31 июня 2025 года. Отчет базируется на 4875 инцидентах, объединяющих случаи как из открытых источников, так и добровольно предоставленных странами ЕС и их партнерами. Из интересных моментов я для себя выделил несколько:
1️⃣ Идет смешение типов хакеров и стирание границ между ними – хактивисты, киберкриминал, прогосударственные APT... Это к разговору о том, что при моделировании угроз фокусировка на том, кто вас атакует, уже теряет смысл, так как инструментарий у многих схожий, техники и тактики тоже, и группы пользуются услугами других групп и типов хакеров. Да и атрибуция усложняется 👮‍♀️
2️⃣ Интересный термин ввели "фейктивизм", когда прогосударственные группировки прикрываются имиджем хактивистов 🥷
3️⃣ Активное таргетирование мобильных устройств, особенно на базе Андроида – RAT-ы, банковские трояны, шпионское ПО, манипуляции QR-кодами и атаки на мессенджеры 📱
4️⃣ Использование ИИ при генерации фишинга не новость, но значение в > 80% я раньше не видел.
5️⃣ 79,4% всех инцидентов носят явную идеологическую окраску. Как по мне, так это было лишнее для отчета по киберугрозам и скорее отдает заказухой и очередным разговором о том, что все зло идет из России (формирование образа врага).
6️⃣ Из новых методов атак отмечаются ClickFix, троянизированные репозитории, подмененные пакеты в экосистемах ML/ИИ и расширения браузеров как точка входа и распространения вредоносного ПО 🦠

Все остальное не то, чтобы и новое и интересное.

#статистика #тенденции

Читать полностью…

Когда никакой хакер, проникший в дом, не страшен, так как для доступа к банковским счетам ему придется пройти последний рубеж обороны. И это не какая-то там MFA, а что-то пострашнее 🐈

PS. Спасибо подписчице за присланную фотографию своего домашнего киберохранника 🐱

Читать полностью…

Ну и финальный прогноз с позавчерашней панельки GIS Days уже про более приземленные вещи – блокировки мессенджеров, необходимость самообразования, а также создание собственной библиотеки книг по ИБ 🤔 Всего 1 минута. На сим тему с прогнозами пока заканчиваем.

#тенденции #видео

Читать полностью…

В это воскресенье, то есть завтра, в 11 утра по Москве, буду участвовать в эфире IT Radio 🎙, где коллеги обсуждают различные новости по ИБ и ИТ за прошедшую неделю. В этот раз пригласили и меня. Не знаю, что я могу сказать доброго в воскресенье в 11 утра, но что-то да скажу. Так что если вы не сова, а жаворонок, то приходите онлайн; а если сова, как я, и вам интересно новости слушать вместе с комментариями экспертов, то можно будет послушать запись ⏺️

Читать полностью…

Первый прогноз с вчерашней панельки GIS Days про глобальную аналитику, искусственный интеллект, летние нашумевшие взломы и свалку истории 🤔 Всего 4 минуты.

#тенденции #видео

Читать полностью…

Везде знаки… Особенно, когда ты видишь такой баннер напротив здания ФСТЭК...

#риски

Читать полностью…

Знаете ли вы как квантовая физика может объяснить происходящее в ИБ и с ИБшниками? 🤔 Например, принцип суперпозиции, когда частица может находиться в нескольких состояниях одновременно, пока ты ее не измеришь. Так и у начинающего ИБшника возможны все сценарии развития и все возможные карьерные треки одновременно, но реализуется только тот, который он выберет, на который настроится, по которому будет действовать. И как он настроен на него, такого результата он и достигнет 🚶‍♂️ В квантовой механике измерение формирует результат. Настроился на успех – сформировал путь к нему. Настроился на неудачу и "у меня не получится", "меня не понимают", "в моем городе нет перспектив" – ну, извини, чувак, это был только твой выбор, ты сам его сделал и ты получил ровно то, что хотел 🎓

Есть так называемый эксперимент с двумя щелями, в котором простое наблюдение меняет поведение частиц 👉 Иными словами, ты не просто наблюдатель за событиями, ты автоматически становишься их соавтором. Смотришь на ИБ как на возможность – получишь именно их; смотришь как на жопу и ворох проблем – ну, опять извини, чувак, ты сам этого хотел, сам об этом думал, сам притянул 🦆

Идем дальше 💆‍♂️ Квантовая физика говорит, что наш мир работает не через причинно-следственные связи, а через вероятности и полной предсказуемости нет. Даже при одинаковых входных условиях, результат может сильно отличаться. А все потому, что помимо очевидных вещей, есть и неочевидное, но влияющее, – настрой, окружение, ожидания и т.п. И в таком случае удача или неудача – это не про везение, а про очередной пример вероятностной картины мира 🤹 Если тебе не подняли зарплату или ты не понял, почему регулятор действует именно так, это не потому что ты слоупок, не достоин или "регуляторы – уроды". Просто так случилось именно сейчас; это просто одна из вероятностей. Измени настрой и вероятности тоже поменяются 😼

Наконец, квантовая запутанность, то есть состояние двух частиц, которые остаются связанными даже на огромном расстоянии и изменение одной частицы приводит к изменению другой 🐇 Когда ты любишь свое дело, ты находишься в состоянии потока или тебя просто прёт, то кажется, что тебе "везет" – все складывается настолько хорошо, что удача сама идет к тебе в руки. Но это не мистика, это квантовая запутанность. Настроился на позитив – притягиваешь его и все идет хорощо. Настроился на негатив и... 🗜

Удача – это не случайность. А неудача – это просто сигнал, что ты не в том состоянии. Измени его и тебя накроет позитивом ⛺️ Измени свое отношение и оно начнет влиять на окружающий мир. Атак может быть не станет меньше, если ты будешь мечтать об этом (тут я не настолько прогрессивно мыслю, хотя хрен его знает), но жить точно станет легче, перспективнее и результативнее. Поверьте моему опыту – так все и работает 🤔

А вообще я не физик, а математик и могу ошибаться. Но лучше ошибаться и думать в позитивном ключе, чем быть «реалистом» и прозябать на свалке истории 😎

#рефлексия #наука

Читать полностью…