Тут в Даркнете прошла информация о взломе двух очень крупных в России SMS-агрегаторов и сливе 3 ТБ данных 💬 (новости про взлом и утечку данных из трех российских ВУЗов оставим пока в стороне) Сначала думаешь: "Да что там страшного - одноразовые коды долго не живут и ими просто не успеют воспользоваться, а ничего другого ценного в смсках и нет". Потом садишься и начинаешь моделировать угрозы. Становится чуть печальнее. Давайте посмотрим, чем грозит эта "supply chain" атака на канал, через который тысячи сервисов шлют одноразовые пароли, ссылки на сброс пароля, коды подтверждения платежей, PIN-коды и служебные уведомления 💬

1️⃣ Коды 2FA/OTP и ссылки на сброс пароля можно читать, задерживать или подменять, что приводит к массовым захватам учетных записей (почта, банки, мессенджеры, криптосервисы, соцсети). Пример масштаба: взлом Twilio в 2022 затронул 163 клиентов; вторично пострадали Signal и другие (у Signal – до 1900 аккаунтов для перерегистрации).
2️⃣ Из личного кабинета агрегатора можно слать SMS с доверенных имен/номеров (short code/альфа-ID), обходя фильтры – идеальный канал для фишинга, BEC и мошенничества.
3️⃣ Базы номеров, тексты сообщений, метаданные (кто с кем, когда) – ценны для целевого фишинга, слежки, шантажа. Пятилетней длительности компрометация Syniverse – крупнейшего роутера межоператорских SMS – показал уязвимость таких “узлов” (риск раскрытия миллиардов сообщений/метаданных).
4️⃣ Доступ к инфраструктуре A2P-провайдера может использоваться для отслеживания людей и их коммуникаций (скандал вокруг Mitto показал, что такие злоупотребления реальны).
5️⃣ Через агрегатор атакуют MFA-канал ваших админов → дальше – почта, облака, CI/CD. Компромат по пользователям (например, списки номеров пользователей Authy) упрощает целевые фишинговые/​SIM-swap кампании. В 2024 в Authy через неаутентифицированный узел подтвердили до 33 миллионов номеров пользователей.
6️⃣ Непредвиденные расходы за отправку, штрафы за утечки (GDPR/CCPA/ФЗ-152), удар по надежности и репутации.

Что делать, спросите вы? А я отвечу... но попозже ⏳

ЗЫ. Вы же предусмотрели это в своей модели угроз? 🤔

#инцидент #модельугроз #утечка

Читать полностью…

Сегодня я в гостеприимном Минске 🇧🇾 на конференции "Банк-ИТ" рассказываю для топ-менеджмента белорусских банков про безопасность аутсорсинга. В отличие от летнего выступления про безопасность подрядчиков, ориентированного больше на технических специалистов, в столице Беларуси я рассказывал эту тему на более высоком уровне, с прицелом на Правление финансовых организаций 🧐

ЗЫ. Презентацию позже выложу, если организаторы будут не против.

ЗЗЫ. На ИБ-конференции Нацбанка Армении был. Теперь вот и на конференции Нацбанка Беларуси был. Правда, в Минске перед выступлением спикерам не наливали для снятия напряжения и звонкости голоса 🥃

#мероприятие #supplychain #cxo

Читать полностью…

Тут Олег публикует материалы заявления в полицию руководства красноярского оператора связи "Орион Телеком" 📡, который летом пострадал от рук хакеров (первые следы активности внутри инфраструктуры оператора были зафиксированы полугодом ранее). Там много всего интересного, но меня заинтересовала сумма предварительных убытков, которые насчитала пострадавшая компания (которую надо будет доказать в суде), – 66 миллионов рублей 🤑

Согласно опубликованным в Интернете данным выручка "Орион Телеком" за 2024 год составила 681 миллион рублей (чистая прибыль – 582 тысячи рублей) 🌐 То есть ущерб от атаки оценивается в 9,7% от годового дохода. Нечасто у нас сами жертвы считают и показывают свои потери от действий хакеров, а тут компания посчитала все до копейки. Хотел бы я посмотреть на всю калькуляцию и увидеть, какие именно статьи легли в основу этого расчета. Но может и увижу когда-нибудь... ⏳

ЗЫ. Первоначально "Орион Телеком" не признавал факт утечки ПДн, но в заявлении в полицию он "отказывается" от первоначальных показаний и признает факт незаконного копирования и размещения в Интернет персданных своих абонентов 😡

#ущерб

Читать полностью…

Тема кибербезопасности потихонечку включается в корпоративную отчетность ✍️ В августе я уже про это писал и вот новый пример с "Ашан Ритейл", который в отчет об устойчивом развитии за 2024 год включил отдельным разделом инфобез. Меня только один вопрос заинтересовал – какой scope попал под сертификацию по ISO 27001? А в остальном, для документа такого уровня, вопросов нет 🛒

Да, можно сказать, что это позакуха и топ-менеджмент сам не читает такие отчеты и не интересуется кибербезом 🏖 Можно. Но можно сказать и иначе – запрос на раскрытие такой информации появляется у инвесторов и акционеров, а значит, хочешь, не хочешь, но надо быть более открытым и писать, хотя бы поверхности, что там делается в ИБ 🛡 И, главное, сильно не врать. А то напишешь, что ты весь из себя такой сертифицированный, работники обучены, SOC функционирует круглосуточно, а тебя, бац, и поломали. Будет неудобно. А инвесторы еще и "отомстят" 📉

#cxo

Читать полностью…

Есть такая теория творческого разрушения (creative destruction), которая вчера оказалась в центре внимания: Нобелевскую премию по экономике 2025 года присудили Жоэлу Мокиру (Joel Mokyr), Филиппу Ажьону (Philippe Aghion) и Питеру Хауитту (Peter Howitt) "за объяснение экономического роста, основанного на инновациях (creative destruction)" 💥

Сам термин "creative destruction" восходит к Йозефу Шумпетеру ✍️ Он описывает динамику развития капиталистической экономики, где новые технологии, новые бизнес-модели и инновации заменяют устаревшие предприятия и способы производства. То есть процессы создания нового часто сопряжены с исчезновением старого и с этим ничего не поделать. Ну а вклад новых нобелевских лауреатов заключается в систематизации и количественном понимании того, как творческое разрушение работает в реальной экономике, а не просто как красивая метафора 🤔

Ключевые идеи Шумпетера:
💡 Инновации не просто дополняют старое, часто они замещают его.
💡 В этом замещении и заключается движущая сила экономического роста: появляются новые отрасли, рынки, рабочие места.
💡 Но этот процесс очень болезненный: компании, которые не адаптируются, проигрывают; ресурсы и кадры перераспределяются.
💡 Те, кто выигрывает эту инновационную конкуренцию, могут устанавливать новую технологическую платформу, новые стандарты и доминировать до следующей волны разрушения.

Теория творческого разрушения вполне себе применима и к кибербезопасности 🛡 Более того, ИБ – одна из тех сфер, где этот процесс происходит в ускоренном и цикличном режиме, ведь каждая новая технология сразу же вызывает и новую волну угроз, и, следовательно, новую волну защитных инноваций, часто приводящих к тому, что старые лидеры умирают, будучи выброшенными на свалку истории молодыми и дерзкими 😵 Например, нулевое доверие. Под влиянием массовой удаленки в конце 2010-х годов, облаков, SaaS, микросервисов, роста атак на supply chain исчезает классическая модель "защиты периметра" с комбинацией МСЭ + VPN + сегментация (да, VPN потихоньку вымирают) и ей на смену приходит архитектура Zero Trust, где доверие не предполагается ни к кому и ни к чему по умолчанию 😠

Другие примеры из ИБ (о части из них я говорил на прошедшем Positive Security Day):
➡️ Из-за взрывного роста новых вариантов вредоносного ПО, скорости обфускации кода и его мутаций, антивирусы и IPS на основе сигнатур умирают, замещаясь EDR, XDR, NDR и ИИ-аналитикой.
➡️ Традиционные SIEM с ручной корреляцией и статичными правилами уходят в небытие – им на смену аналитика на базе больших данных в облачных хранилищах, автоматизация и SOAR, решения класса Continuous Threat Exposure Management.
➡️ "Однократный аудит" и бумажные аттестации/сертификации канут постепенно в Лету будучи замененными постоянными симуляциями (BAS) и автопентестами, Red Team-as-a-Service, непрерывным мониторингом защитных мер, Bug Bounty и кибериспытаниями 🤕

Каждая волна атак становится механизмом естественного отбора 🙈 WannaCry привел к взрывному росту patch-менеджмента и EDR, кейс SolarWinds заставил нас активнее переходить на Zero Trust и внедрять защиту от подрядчиков, история с Colonial Pipeline привела к обязательным сценариям кризисного реагирования и пониманию каскадных ИБ-сбоев 🌊 ИБ-рынок, пожалуй, наиболее чистый пример динамики Шумпетера: защита живет, пока ее не сломали, – и именно это разрушение дает стимул к созданию следующего поколения технологий. Ну а те, кто не понимает этого и не может перестроиться, уходит в небытие 😵

Динамика Шумпетера и теория творческого разрушения объясняет ☝️, почему старые подходы в ИБ обречены – не из-за плохих инженеров, а из-за смены технологического контекста. Она отвечает на вопрос, почему вендоры постоянно "умирают" и рождаются новые, а также почему кибербезопасность – вечное движение, а не состояние 👉

#тенденции #наука

Читать полностью…

А у нас в отрасли новое специализированное ИБ-издание, что не может не радовать 🎆 Хотя, не могу не задаться вопросом, пока не до конца понятна его модель существования. Это либо нагон трафика и продажа рекламы, либо платное размещение материалов от участников рынка. Оба сценария достаточно типичны и лежат на поверхности, но и конкуренция со стороны SecurityLab, Antimalware и CISO Club будет нешуточная ⚔️

Подписочная модель и получение денег от рядовых ИБшников, которые захотят получать доступ к качественному и закрытому для всех контенту? 🤑 Я в конце 90-х годов пытался запускать такое в Информзащите – не взлетело, люди не готовы были тогда платить за контент, предпочитая его пиратские версии. Сейчас ситуация мало изменилась, как мне кажется. Возможно найдена иная модель монетизации СМИ? Их даже у SOCа существует восемь! Будем посмотреть... 👀

#сми #стартап

Читать полностью…

Тут Майк выпустил фреймворк ИИ-ответственности, призванный прояснить, кто за что отвечает в обеспечении безопасности ИИ-систем, по аналогии с моделью "shared responsibility" в облаках. В нём даётся карта ответственности (responsibility matrix) между провайдером и заказчиком (или разработчиком), охватывающая разные модели развёртывания AI и разные домены безопасности. Проект охватывает 8 моделей развёртывания AI и 16 доменов безопасности (традиционные + специфичные для AI).

8 моделей развертывания ИИ:
6️⃣ Публичная LLM-платформа → ChatGPT, Gemini, Claude
2️⃣ Публичная LLM-платформа с API-интеграцией → API-доступ к GPT, Anthropic, Cohere
3️⃣ SaaS-продукт с AI-функциями → Notion AI, GitHub Copilot
4️⃣ Вендорская модель, размещённая в облаке клиента (Managed AI) → Azure OpenAI, Bedrock, Vertex AI
5️⃣ Самостоятельно развёрнутая LLM (on-prem / частное облако) → Llama 3, Mistral, Falcon на своих серверах
6️⃣ Встроенный AI-модуль в программный продукт → ERP с ML-анализом или рекомендациями
7️⃣ Специализированное AI-решение под конкретный домен → AI для SOC, антифрод, медицинская диагностика
8️⃣ Разработка собственной модели с нуля / fine-tuning → внутренние R&D-команды

16 доменов ИБ:
6️⃣ Управление идентификацией и доступом (IAM)
2️⃣ Управление данными и приватностью
3️⃣ Шифрование данных "на лету" и "на хранении"
4️⃣ Регистрация событий/промптов и аудит обращений к модели
5️⃣ Управление уязвимостями и патчами
6️⃣ Безопасность кода и зависимостей
7️⃣ Управление жизненным циклом модели (ModelOps)
8️⃣ Управление обучающими данными
9️⃣ Мониторинг дрейфа модели и метрик
6️⃣1️⃣ Обнаружение атак на модель (poisoning, inversion, extraction)
6️⃣6️⃣ Безопасность API и оконечных устройств
6️⃣2️⃣ Соответствие нормативным требованиям (compliance, GDPR, ИИ-акты и т.п.)
6️⃣3️⃣ Этические и репутационные риски
6️⃣4️⃣ Непрерывность бизнеса и отказоустойчивость ИИ-сервисов
6️⃣5️⃣ Реагирование на инциденты и реагирование на утечки / атаки
6️⃣6️⃣ Поверхность атаки и тестирование безопасности (red teaming / оценка защищенности).

Очень хороший фреймворк...

#ии #mlsecops #framework

Читать полностью…

Пока писал предыдущий пост, вспомнил, как принимали серию ЦБшных ГОСТов 57580. В ТК122 участвовали только очень крупные банки и ИБ-компании, которые могли себе позволить выделять людей, ходивших на заседания и голосовавших так, как надо 🧐 А небольшие кредитные организации не были представлены в техническом комитете по понятной причине – один ИБшник на все и у него нет времени ходить по совещаниям и молчаливо соглашаться с тем, что тебе навязывает твой регулятор. Этот ИБшник один на всех и за все; даже за лифтовое хозяйство, которое, как известно, находится в ведении ФСБ, а значит за это тоже должно отвечать ИБ 😲

Потом ГОСТ приняли почти единогласно (всего 3 человека было против) 🗳 и с мест (от региональных небольших банков) сразу полетела критика, мол, ЭТО выполнить нельзя, ЭТО не работает... На что им, предсказуемо, стали отвечать, что надо было участвовать в работе над текстом и в голосовании (тут должен быть мем с Олегом Тиньковым про "сомнительно, но ОК") 😠

С нормативкой других регуляторов, например, ФСТЭК, та же история, кстати. В обсуждении если и участвуют, то обычно лицензиаты, а это компании с измененным сознанием 🧟‍♀️ Во-первых, это приближенные к регуляторы люди или ранее там работавшие. Во-вторых, их сознание жестко запрограммировано и привычно к сертификации, аттестации и другим темам, которые не способны выполнять маленькие организации – как потребители, так и стартапы. Последние вообще не могут участвовать в работе вдолгую (жизненный цикл нормативки – это 1-2 года минимум) – им нужно зарабатывать здесь и сейчас 🤬 В итоге, они не могут вставить свое веское слово в нормативку, они не могут пройти требования по сертификации, они не могут попасть в реестры Минцифры или Минпромторга... И они сваливают из страны делать бизнес там, где, как им кажется, проще. А мы остаемся с теми же игроками, что и всегда.

В итоге получается все как в "эффекте Матфея", когда "богатые богатеют, а бедные беднеют" 🥳 А в ИБ - известные или громкие снова первые и получают все, что нужно, а маленькие и тихие, продолжают пахать, не рассчитывая, что их услышат. У ИБ-блогеров та же фигня, кстати. Если измерять каналы по цитируемости, количеству подписчиков и т.п., то выигрывать будут одни и те же из года в год, а начинающим будет пробиться сложно. По этой причине, кстати, на разных зарубежных ИБ-выставках проводят конкурсы стартапов или выделяют им удобные площадки, чтобы дать им возможность заявить о себе на фоне монстров ИБ. И ИБ-спикеры у нас тоже часто одни и те же, так как проще брать известных и проверенных, чем новичков, от которых непонятно чего ждать. И в премии "Киберпризнание" нас ждет та же история 🤷‍♀️ Хотя и хотелось бы верить, что нет...

#рынок #экономика #регулирование

Читать полностью…

Интересные цифры 0️⃣ тут нашел – по различным зарубежным отчетам, средний срок пребывания CISO в должности остается тревожно низким и составляет всего от 18 до 26 месяцев. Эта цифра резко контрастирует со средним сроком пребывания в должности других руководителей высшего звена, который составляет от 4,9 до 5,3 лет 🎁 Такой быстрый отток кадров приводит к отсутствию преемственности в стратегиях кибербезопасности и другим сложностям.

Хочется понять, насколько эта статистика применима к российской реальности. У нас картина такая же или все-таки поспокойнее? 🤔

#ciso #работа

Читать полностью…

Необычный номер журнала "Русский пионер" 🇷🇺, первая часть которого, посвящена кибербезу и технологиям, поиску нестандартных решений и хакерскому мышлению. Необычность в том, что своими мыслями делятся люди, от которых сложно ожидать погружения в эту тему. Глава Росатома и Северстали, епископ, режиссер, владелец "Абрау-Дюрсо", руководитель "Сириуса", кинокритик, основатель Российского квантового центра, футуролог, психолог... Это не CISO и даже не вице-президенты по ИТ. Это совершенно иной взгляд на тему. Очень интересное чтение; как раз на выходных... ☝️

Читать полностью…

Объяснение необходимости соблюдения правил ИБ должно быть понятным, а кара за нарушение неотвратимой. Иначе бессмысленно 🤔 И да, не забывайте улыбаться 😉

#awareness

Читать полностью…

На сайте Positive Security Day выложили записи всех выступлений. Не буду перечислять все те десятки активностей, что там были, остановлюсь на двух; со своим участием, конечно 🤠

В открывающем все мероприятие кейноуте я попробовал сформулировать одно из возможных будущих ИБ 🔮 – конкуренция за вычислительные ресурсы на защищаемых объектах, легковесные сенсоры, консолидация данных, глобальная аналитика, shift left в инфраструктурной безопасности, новая модель потребления ИБ, commit на результат, финансовая компенсация за пропуск инцидентов и т.п. Если хотите понять, куда движется кибербез, то потратьте 15 минут своего времени и послушайте это выступление (хотя признаюсь, я бы предпочел возможность выступать подольше и с более детальным визуалом) 🦻

В последовавшей затем дискуссии, при моей модерации, мои коллеги по 🟥 продолжили рассуждать на тему смены парадигмы в ИБ – уход в "ИБ из облака" (да, на Западе это уже реальность, а мы пока отстаем), активное использование ML нападающими и защищающимися, ответственность вендоров за то, что они делают, замену человека ИИ-агентами, доверие к "черному ящику" ИБ-продуктов и много чего еще 🤔 Ну а анонсы новых продуктов можете оставить на десерт.

#тенденции #мероприятие

Читать полностью…

Пока все осмысливают отчет Счетной Палаты США, которая насчитала 434 киберподразделения в американском же МинОбороны, а Верховная Рада проголосовала за создание кибервойск на Украине, я раскопал документ 30-тилетней давности по нераспространению кибероружия ⛔️ Но дальше попыток так ничего и не пошло. В отличие от ядерного или даже биологического оружия, контролировать распространение обычного кода проблематично. Даже с первым и втором не очень получается в последнее время, а уж с третьим... Так что даже читать это не имеет смысла 💣

#регулирование

Читать полностью…

Использование Max Ⓜ️ в письмах от «майора ФСБ» было лишь вопросом времени и оно наступило. Здесь просится фраза «Помните! Настоящие государственные органы никогда не просят вас установить какое-либо программное обеспечение»… Но тут я сам заржал аки конь 😂 Особенно применительно к Махе…

ЗЫ. Спасибо подписчику за присланный скрин 🤝

#мессенджер #фишинг

Читать полностью…

Как-то так получилось, что разговор про безопасность ИИ 🧠 давно перешел от теории к практике. В эпоху, когда модели принимают решения в реальном бизнесе, просто разговора об ошибках и уязвимостях уже не хватает – требуется системный подход, который называется MLSecOps. На эфире AM Live, посвященном этой теме ▶️, эксперты, под моей чуткой модерацией, разберут, как встроить безопасность в жизненный цикл ИИ – от контроля происхождения данных до мониторинга модели в продакшене, а также о том, чем MLSecOps отличается от DevSecOps.

Попробуем привести практические примеры adversarial-атак и отравления датасетов 🤮, реальные инциденты и разбор ошибок, которые компании сделали "на проде". Будем говорить о том, что реально помогает (и что оказывается лишь маркетингом), как интегрировать сигналы моделей в SOC и какие метрики действительно имеют значение для безопасности ИИ 🤖 Обсудим и регуляторную перспективу – от NISTа до возможных отраслевых требований и поправок в 117-й приказ ФСТЭК.

Кому будет полезно посмотреть эфир AM Live ▶️: тим-лидам ML и Data Science, инженерам MLOps, специалистам по ИБ, руководителям продуктов и тем, кто отвечает за доверие к ИИ в компании. Формат классический для AM Live – дискуссия с экспертами, вопрос-ответ и, возможно, парочка мини-кейсов с разбором, но это уже не точно 🤖

А на скрине полученное мной сегодня предложение о работе 😂 Так совпало; я не виноват. Но что я хочу сказать по этому поводу. Когда я слышу «плач» про низкие зарплаты в ИБ, вижу предложение от рекрутинга и стоимость обучения по MLOps, то я понимаю, что кто-то так и будет сидеть на 40 тысячах в месяц, а кто-то потратит на обучение полмиллиона в кредит и отобьет эту инвестицию на первой же зарплате. Каждый выбирает для себя… 😔

#ии #mlsecops

Читать полностью…

Решил я тут себе кофе сварить ☕️ Смолол зерен, забросил в турку, поставил на огонь, подогрел, залил водой, дождался поднятия пенки и даже вовремя снял турку с огня, чтобы кофе не убежал. Взял с полки первую попавшуюся кружку, налил в нее дымящийся ароматный напиток, сел у камина и задумался... 🤔

Этой кружке уже 26-27 лет, а она как новая. Почти как я ✌️ Пока пил кофе из этого раритета, на который никак не повлияли множественные циклы в посудомойке, вспоминал, какие роли я перепробовал в кибербезе за последние три десятка лет. Был разработчиком средств криптографической защиты информации. Был админом. Был аудитором. Выводил зарубежные продукты, а именно ISS, на российский рынок. Был продавцом средств защиты информации 🧾 Запускал контентный проект, пытаясь создать российский Gartner. Защищал веб-сайты. Работал с подрядчиками, устанавливая и контролируя требования по кибербезу. Был (и есть) преподавателем. Выполнял функцию CISO в российской Cisco (хотя это совсем не та роль CISO, которую все представляют). Был vCISO у несколько компаний. Писал нормативку. Был бизнес-консультантом и архитектором. Занимался маркетингом и развитием бизнеса. Даже обходом средств защиты занимался (в исследовательских целях, конечно). Попробовал себя почти во всех ролях в области кибербеза; где-то в большей степени, где-то в меньшей 🛡

К чему я это все написал. Да ни к чему. Просто вспомнилось...

ЗЫ. А кружки раньше делали не чета нынешним, которые помоешь пару раз и вся краска слезла, эмаль облупилась... ☕️

#рефлексия

Читать полностью…

Пока специалисты озабочены взломом СМС-агрегаторов, а неспециалисты задаются вопросом: «Что опасного в сливе 3 ТБ смсок?», я продолжу про корпоративную отчетность. Но теперь про МСФО и Позитив 🟥, который в своей промежуточной сокращенной консолидированной финансовой отчетности за шесть месяцев раскрыл интересные данные по своей внутрянке кибербеза. Тут и суммы выплаченных компанией вознаграждений по программам Bug Bounty, Positive Dream Hunting, Positive Bug Hunting, и количество прошедших обучение по ИБ работников компании в соответствие с их ролями (все, как я писал ранее про адаптированное обучение), и время реагирования на инциденты, и даже фонд оплаты труда службы ИБ компании 🧮

А вы готовы к такой открытости и демонстрации не просто устойчивого развития, в том числе и по вопросам ИБ, но и указания конкретных численных показателей? 🤔

#cxo

Читать полностью…

Украл из "Молчаливого CISO"...

#мем #юмор #утечки #персональныеданные

Читать полностью…

Коллеги выпустили большой отчет об актуальных киберугрозах для российских организаций, а также о прогнозах на 2026 год. Представленные данные, выводы и прогнозы основаны на экспертизе Positive Technologies 🟥, исследованиях команд Threat Intelligence и Incident Response экспертного центра безопасности PT ESC, результатах проектов по анализу защищенности веб-приложений и тестированию на проникновение, выполненных специалистами PT SWARM, анализе объявлений на специализированных дарквеб-площадках, проведенном командой PT Cyber Analytics, а также на информации из авторитетных открытых источников 😂

Отчет включает в себя и описание атакующих Россию кибергруппировок 🇷🇺, и анализ самых атакуемых отраслей, и используемые техники и тактики, а также последствия, к которым это все приводит, интересные наблюдения и инсайты из реализованных проектов. Не могу выделить какие-то явные тезисы – слишком уж много там всего написано. Поэтому просто читайте интересное в долгие осенние холодные вечера 🍃

#ttp #тенденции #статистика #хакеры #атрибуция #apt #threatintelligence

Читать полностью…

Сегодня, 13 октября, начинает своё вещание сайт и Телеграм-канал независимого российского издания о кибербезопасности SecPost😍, здравствуйте, дамы и господа.

Наше знакомство мы предлагаем начать с подборки статей и эксклюзивных новостей, полную версию которых вы можете прочитать на нашем портале.

🤑Как убедить гендиректора вкладываться в информационную безопасность - колонка CISO "МойОфис".

💬 Интервью с вице-президентом Kraftway о перспективах, сложности и развитии производства NGFW в России.

🚗 Взрывной рост спроса на мультитулы для взлома автомобилей в РФ.

🧑‍⚖️ Правовые перспективы "белых" хакеров в России.

❓ Кто такой Лукацкий? Зачем ИБ компании нанимают бизнес-консультантов.

👾 Почему ИБ-продукты с ИИ-функциями стоят на 50% дороже.

Это далеко не все, чем мы можем вас порадовать на старте.

Другие эксклюзивные материалы с участием CISO группы «Астра» Дмитрия Сатанина, руководителя Cloud Security Operations Yandex Cloud Юрия Наместникова, директора по безопасности РТК-ЦОД Дениса Поладьева, депутата Госдумы Антона Немкина, экспертов VK, «Лаборатории Касперского», F6, Positive Technologies, "Инфосистемы Джет", "Солар", BI.ZONE и др. вы найдете на нашем сайте!

Читать полностью…

Сегодня пригласили выступить перед топ-менеджерами и руководителями среднего звена 🧐 одной крупной российской компании про кибербезопасность в эпоху генеративного искусственного интеллекта. Подготовил новую презентацию, разделив ее на три блока - безопасность ИИ в повседневной жизни, безопасность ИИ на рабочем месте, безопасность ИИ в корпоративных проектах. Вроде получилось неплохо. Но опять мало времени на такую тему... 🕙

#ии #mlsecops #обучение

Читать полностью…

Упомянутый вчера "эффект Матфея" назван по цитате из Притчи о талантах в Евангелии от Матфея:

…ибо всякому имеющему дастся и приумножится, а у неимеющего отнимется и то, что имеет

Это реальная и очень коварная проблема для любых профессиональных премий; да и не только. Их часто дают тем, кто уже давно "на слуху". Что можно было было с этим поделать в контексте ранее упомянутой ИБ-премии? Я бы выделил следующие направления:

1️⃣ Разделить категории по масштабу и известности. Например, создать двухуровневую систему номинаций, например (очень условно):
➖ "Открытие года" / "Новые лица ИБ" – для тех, кто впервые заявляет о себе.
➖ "Лидер года" / "За вклад" – для ветеранов и публичных фигур.
Так новые специалисты не будут конкурировать с уже "раскрученными брендами".

2️⃣ Анонимизировать первый этап отбора. На ранней стадии оценки можно скрывать имена, компании и должности. Жюри получает описания проектов, результатов и эффектов, но без указания, кто их реализовал. Это резко снижает предвзятость и делает фокус на сути, а не на именах.

3️⃣ Ввести "народное голосование" с балансом. Экспертное голосование жюри можно оставить, но только как один из факторов (например, 70%), Остальные 30% – решение публичного голосования. Так мы находим баланс между vox populi и мнение жюри.

4️⃣ Ограничить участие "вечных финалистов". Если человек или компания уже выигрывала в категории 2–3 года подряд – пусть временно становится членом жюри или ментором. Это не только сдерживает эффект Матфея, но и символически передает эстафету новым участникам. Но это правило должно быть оговорено заранее. Помню был у меня случай – перед одной конференцией орги проводили конкурс заметок, который я выиграл, получив часы Apple Watch. Через год, орги выставили на конкурс уже iPad и я снова выиграл, но приз мне не выдали, так как "тогда другие участники больше не будут участвовать, зная, что все равно выиграет Лукацкий" (так мне сказали орги в личной беседе). Менять правила по ходу игры категорически нельзя – это подрывает доверие еще больше.

5️⃣ Сделать критерии оценки максимально прозрачными. Не "лучший проект" или "вдохновляющий лидер", а четкие и измеримые формулировки, показывающие понятный результат. И критерии должны быть опубликованы до начала конкурса.

6️⃣ Создать независимую часть жюри, добавив к вендорам других CISO, преподавателей, журналистов, бизнесменов, не имеющих отношение к ИБ, айтишников. Это уменьшает "замкнутую экосистему", где все друг друга знают и награждают.

7️⃣ Расширить понятие успеха. Премия должна поощрять разные формы вклада – не только громкие проекты, но и, например, развитие команды, наставничество и т.п. Так шансы на признание получают те, кто реально укрепляет отрасль, но не стремится к медийности.

ЗЫ. Засим триптих про награду и "эффект Матфея" завершаю. А был бы блог жив, все бы в одну статью уместил ✍️

#мероприятие

Читать полностью…

В кибербезопасности давно не хватало позитивной повестки. Сколько угодно можно говорить о кибератаках, утечках и фишинге, но почти никто не говорит о признании – о людях, которые каждый день делают невозможное, обеспечивая безопасность бизнеса. И вот – появляется премия "Киберпризнание". Звучит громко: "новый культурный стандарт признания в сфере кибербезопасности", "сигнал миру, что Россия задает стандарты". Казалось бы – именно то, чего не хватало. Но чем ближе смотришь... 👀

Начнем с иллюзии признания. В теории все красиво. Премия 🎖 охватывает людей, компании, регионы, общественные инициативы. Есть номинации вроде "CISO года", "вдохновитель отрасли", "трендсеттер года". На практике все выглядит немного иначе: подаваться могут только компании-заказчики (хотя это и неплохо само по себе), а вот оценивать их будут… руководители вендоров. То есть судьи оценивают своих же клиентов, нынешних и будущих. И даже если каждый из них будет предельно честен, доверия к системе не будет по определению. Любая победа автоматически воспринимается как "подарок за лояльность" или "ответная услуга" 🤔 В мире ИБ, где прозрачность и независимость должны быть главными добродетелями (хотя CISO – те еще циники), это особенно режет глаз.

А кто будет подаваться? 🤔 Не CISO (я не верю, что у них будет время заполнять кучу заявок и описаний своих проектов), не руководители SOCов, не архитекторы безопасности. Подачу, скорее всего, будут делать маркетинговые и PR-департаменты компаний. Потому что именно у них есть ресурсы и мотивация заполнять заявки. А дальше – привычная история: вместо реальных достижений в области кибербеза мы увидим "яркие коммуникационные кейсы", "вдохновляющие инициативы" и "модернизацию культуры безопасности через вдохновляющий сторителлинг" 🏆

Самое парадоксальное в этой истории – то, что настоящие достижения в ИБ часто невозможно вынести на публику 🤐 Ты не можешь подробно рассказать, как закрывал критичные уязвимости, как спас компанию от шифровальщика, как выстроил SOC в условиях нехватки ресурсов или как отжал скидку у вендора. Во-первых, это и так твоя ежедневная работа, хотя что-то героическое в ней есть, как говорилось в советском фильме "Тот самый Мюнхгаузен" 🦸🏼‍♂️ Но многие просто не посчитают нужным про это рассказывать, хотя именно деятельность ИБ в условиях нехватки ресурсов (когда ты один на всю компанию) и должна быть награждена. Но "это фантастика", – реальные профессионалы и достойные компании останутся в тени, а награду получит тот, кто умеет красиво рассказать о "цифровой трансформации с элементами Zero Trust". Это тоже важно, но это только верхушка айсберга 🦸‍♂️

CISO живет в мире, где он не управляет бюджетами (почти), не выбирает подрядчиков (почти) и не принимает финальных решений (почти) 🤷‍♀️ Он отвечает за безопасность – но не за политику. И в этом смысле премия лишь усиливает разрыв между видимостью и реальностью. Те, кто каждый день борется с инцидентами, а не ходят по конференциям (хотя те, кто ходят, скорее просто имеют большую службу ИБ, выстроили процессы, и могут позволить себе делиться опытом с другими), будут смотреть на церемонию и думать: "А где награда за выживание?" 🤔

Премия, которая задумывалась как символ уважения, рискует превратиться в симуляцию признания 🪞
🎈 Когда нет прозрачных критериев – побеждает тот, у кого больше бюджет связей.
🎈 Когда судят вендоры – пропадает доверие.
🎈 Когда маркетинг подает вместо CISO – исчезает смысл.
В итоге мы получаем не киберпризнание, а кибериллюзию – красивую обертку, в которой не осталось самого главного: уважения к профессионализму 😔

Возможно, настоящая награда для CISO – это не статуэтка на сцене, а день, когда ничего не долбануло. Когда CEO не вспомнил о тебе, потому что все работает. Когда Лукацкий не прошелся по тому, как твоя компания не смогла в антикризис (а это даже не ты решаешь). Когда команда уходит домой вовремя. Но премия за это вряд ли появится 😭

Читать полностью…

Интересная статья про пароли 🤒, в которой авторы попробовали собрать не только распространенные мифы о паролях, но и то, как сегодня взламывают пароли (тут неполные данные), как придумать и запомнить сложный пароль, обзор парольных менеджеров и иные способы хранения паролей, беспарольная аутентификация, а также чеклист и шпаргалка по безопасности паролей. Для специалистов вряд ли будет что-то новое, но для рядового пользователя вполне себе 🤔

ЗЫ. Из статьи узнал имя человека, придумавшего первую систему парольного доступа в 1960-м году... 🔏

#аутенификация

Читать полностью…

Вчера прошел эфир AM Live, посвященный теме MLSecOps. Эта тема, в отличие от многих других, впервые была представлена на проекте и, также впервые уже в моей практике модерации, по итогам эфира 0% зрителей ответили, что они ничего не поняли из эфира. Даже на последнем эфире по SIEM, а эта тема на AM Live звучит не первый год уже, 17% ответили, что ничего не поняли. А тут первый блин и не комом!

С другой стороны, тема совсем новая и поэтому по ней еще нет какой-то сложившейся практики, продуктов, технологий и прошедший эфир это четко продемонстрировал. Я не буду пересказывать все 2,7 часа разговоров с коллегами, отмечу только несколько сделанных мной инсайтов или озвученных коллегами выводов:
1️⃣ В MLSecOps лучше идти из ML или, на крайнем случае, из DevOps. Безопасникам в этой теме очень тяжело, так как надо знать много нетипичного, включая математику машинного обучения и различные архитектуры в этой сфере. Ну и без знания DevOps там тоже делать нечего.
2️⃣ Все участники прям жаждут нормативку по безопасности ИИ, в первую очередь, требования к средствам защиты ИИ (LLM Firewall и т.п.). Никогда не понимал вот этого стремления к получению требований; как будто без них продукт не продастся (тогда у меня вопросы к самому средству).
3️⃣ Многие воспринимают MLSecOps как развитие DevSecOps, но с несколькими дополнительными компонентами, например, в виде защиты датасетов, определения их происхождения и т.п.
4️⃣ Владельцем MLSecOps-процесса должно быть ML-подразделение, но никак не ИБ. Может быть потом, спустя какое-то время, как это происходит постепенно с DevSecOps, который от разработчиков постепенно сдвигается в ИБ.
5️⃣ Мониторить LLM/ML с точки зрения ИБ без наложенных средств защиты а-ля LLM Firewall или guardrail бесполезно. И сама по себе задача мониторинга требует более глубокого погружения в контекст, чем обычно в ИБ.
6️⃣ DLP для мониторинга доступа к LLM не работает.
7️⃣ Для большинства атак на ML недостаточно иметь наложенные средства защиты – надо встраиваться во все этапы жизненного цикла – от работы с данными и пайплайном до отправки промптов через Web UI или API и межагентского взаимодействия. И делать это можно с помощью либо специализированных библиотек, либо путем зашумления датасетов или результатов работы ML, либо путем обучения моделей на атаках, сгенерированных GAN, либо... (тут много либо, но большинство из них не из области готовых продуктов).
8️⃣ Даже LLM Firewall, как самостоятельный продукт, вряд ли готов быть отчуждаемым от вендора, который должен сопровождать свое детище у заказчика, внедряя его, тестируя, создавая правила обработки запросов и ответов, и вот это вот все (не все участники были согласны с этой позицией). MLDR / MLSecOps-as-a-Service – это возможное будущее.
9️⃣ Рынок MLSecOps очень быстро растущий и в 2026-м году будет уже достаточно существенным, чтобы заинтересовать стартапы и специалистов, идти в эту область.

Ну а про остальные интересные советы, идеи, инсайты вы можете узнать из уже сделанной записи эфира, которую можно найти по ссылке 👇

#mlsecops

Читать полностью…

К ранее упомянутым мероприятиям в октябре 🍃 добавилось еще несколько:
🎤 БанкИТ – 15 октября – Минск – буду выступать с темой "Управление рисками при аутсорсинге в банковской сфере" и участвовать в дискуссии "Доверенное ПО для доверенных банков".
🎤 Евразийский конгресс по защите данных (EDPC) – 23 октября – Москва – пока не решил про что, но точно в секции "Кибербезопасность: утечки и иные инциденты в банковской сфере".
🎤 Подкаст по SOCам – пока нет полных данных, но позже анонсирую детали.
🎤 Продолжаю делиться опытом на курсе SOC 2.0 и парочке программ MBA 👩‍🎓

#мероприятие

Читать полностью…

29 сентября японский 🍱 холдинг Asahi столкнулся с атакой группировки Qilin, которая пошифровала, попутно сперев 27 гигабайт разных данных, инфраструктуру компании, что привело к приостановке ряда операций, особенно функций заказов, отгрузок, call-центров и систем связи, на большинство из 30 заводов Asahi (пивоварни, напитки, продукты). Антикризисную кампанию "японца" уже разобрала Ника, а я хотел бы взглянуть на эту историю с точки зрения ущерба для компании 🍻

Компания восстановила 6 заводов, однако системы управления заказами, отгрузками и обработка внешней почты еще не восстановлены полностью 🛡 Компания не сообщает сейчас точный календарь полного восстановления. Также нет пока и финансовой оценки от самой Asahi, – компания только сообщает, что воздействие на результаты 2025 года еще находится в стадии анализа 🧮 Однако аналитики Bernstein Japan KK полагают, что Asahi придется сократить прогноз операционной прибыли в 4-м квартале в Японии примерно на 83%, а глобально – на 38%, если последствия сбоя будут продолжаться.

В японских СМИ фигурирует, что под “полным приостановлением” Bernstein оценивает ущерб в ¥1,5–¥2,0 миллиарда японских йен 💴 в день (в случае полной остановки операций). Аналогичную оценку дают и аналитики Morgan Stanley MUFG. Но мы понимаем, что это стрессовый сценарий, который, не факт, что реализуется. Но стоит помнить, что в СМИ “раздутые” цифры часто используются для драматизации; аналитики зачастую базируют свои оценки на задержках отгрузок, потере клиентов, штрафах, промо-компенсациях, но часть этих эффектов может быть смягчена или и вовсе отсутствовать 🤷‍♀️ При этом на бирже акции Asahi упали примерно на ~4 % в момент новостей о сбое.

Сама группировка Qilin 🥷 утверждает, что в результате кибератаки и перебоев в бизнесе, особенно на шести заводах, затрагивающих около тридцати марок продукции, Asahi понесет потери до $335 млн долларов. Qilin, как атакующая сторона, имеет свой интерес завысить цифры, чтобы создать страх давления, получив переговорное преимущество (сумма выкупа, правда, неизвестна). Но кто знает, возможно, они и правда смогли прикинуть потери Asahi, которые могут включать не только простои, но и потенциальные компенсации, штрафы, утрату бренда, расходы на восстановление и дополнительные инвестиции в ИБ 🤑

Заметили тенденцию? 📈 Ущерб от действий хакеров становится все серьезнее, потери масштабнее, простои длительнее... В РФ ситуация не лучше. Только вот у нас не очень принято признавать инциденты и озвучивать последствия. Да и финансовые аналитики пока не так часто обращают внимание на ущерб от инцидентов ИБ. Но, как мне кажется, это пока... 🤔

#ущерб #инцидент

Читать полностью…

я пытался сделать
soc за три рубля
но не получилось
не хватило. чёрт

30-го октября буду жечь глаголом и делиться опытом в Минске на SOCcon, которую мы проводим уже в третий раз. Так что, если будете в столице Беларуси и если будете внезапно проходить мимо кинотеатра "Москва", заходите узнать про то, как бороться со скрытой киберугрозой! 🛡

У меня на конференции будет выступление "Выжить в SOC: за кулисами кибербеза" (про что, не знаю, даже еще не думал) и ведение ток-шоу "Код качества SOC". До кучи буду конферировать еще и все происходящее в Зале №1 на протяжении всего дня – задавать спикерам каверзные вопросы и вот это вот все 💪

ЗЫ. Образ джедая прочно прикрепился ко мне. Сначала на вечеринке "Look At Sky" в 2017-м году, потом пару лет назад на Positive Security Day в кинотеатре "Октябрь", и вот теперь, на гастролях в Беларуси ⭐️

#soc #мероприятие

Читать полностью…

Внезапно, спустя неделю после публикации про южнокорейский пожар, все спохватились и стали постить эту историю, которая обрастает кучей дополнительных фактов. Меня из всего их множества зацепила история с самоубийством чиновника, который отвечал за все эти системы.

Чем больше читаешь новости об утечках и хакерских атаках, тем сильнее чувствуешь – реакция на инцидент она больше не про безопасность, а скорее про культуру. Один и тот же сценарий – украдены или уничтожены данные, пострадали клиенты – а поведение руководителей по всему миру совершенно разное. Где-то – глубокий поклон и отставка, где-то – пресс-релиз в три строчки, а где-то – гробовая тишина и бодрое "все под контролем".

То, как руководители компаний реагируют на кризисы (включая инциденты кибербезопасности), напрямую отражает культурные архетипы региона, особенности восприятия вины, стыда и ответственности. Это то, что культурологи называют "культурой стыда" и "культурой вины", а иногда еще и "культурой чести" – разные цивилизационные подходы к социальным санкциям и поведению после ошибки.

🍱 Азия. Здесь важна репутация и сохранение лица. Публичное извинение – не столько признание вины, сколько ритуал восстановления гармонии. Поэтому CEO японской или корейской компании после утечки персональных данных или иной инцидента может выйти на пресс-конференцию, поклониться и уйти в отставку (а то и покончить жизнь самоубийством), даже если лично не причастен. Главная цель тут – восстановить баланс и продемонстрировать честь, а не юридическую ответственность или желание спасти свое кресло. Не "я сделал плохо", а "я подвел общество".

🇪🇺 Европа. Тут акцент на индивидуальной ответственности и правовом аспекте. Руководитель признает ошибку, объясняет принятые меры и реформы – часто в юридически выверенной форме. Извинения звучат спокойно, рационально: отчет, анализ первопричин, план действий, дата следующего апдейта. В Старом Свете извинение – обычный управленческий инструмент, а не драма. Главная цель – вернуть доверие через прозрачность и управленческую реакцию.

🇺🇸 США. Извинения чаще подаются в управляемой форме. Главное – минимизировать ущерб для бренда и инвесторов. Часто звучит не "мы виноваты", а "мы приносим извинения за неудобства". CEO редко уходит сам, а если и уходит, то не потому, что "стыдно", а потому что "так решил совет директоров". Здесь извинения – часть антикризисной коммуникации, а не акт покаяния. Главная цель – удержать акции, клиентов и инвесторов.

🇷🇺 Постсоветское пространство. Тут доминирует модель "никто не виноват" и желание "переждать". А еще, у нас извиняться – значит признать слабость, а слабость в бизнесе и политике — табу. Нормальной стратегией считается не комментировать или списать на внешние обстоятельства. Поэтому официальные комментарии звучат бодро: "Все системы работают штатно, угрозы нейтрализованы". Главная цель – избежать потери статуса, а не восстановить доверие.

🕌 Ближний Восток и Турция. Тут репутация компании тесно связана с личным авторитетом лидера. Поэтому признание вины редко происходит публично, но внутри организации могут быть жесткие внутренние разборки. Извинение перед внешним миром – скорее акт великодушия, чем раскаяния.

Восприятие киберинцидента – это не только и не столько технический вопрос, сколько культурное зеркало общества, в котором инцидент происходит или в котором находится штаб-квартира пострадавшей компании. ИБ – это универсальная история, но реакция на ИБ-угрозу глубоко локализована: где-то ее "чувствуют сердцем", где-то "отрабатывают по протоколу", а где-то "замалчивают во благо стабильности".

#культура #антикризис

Читать полностью…

Ну и завершим трилогию "Ягуар и хакеры" размышлениями для финансового директора. Как этот топ-менеджер увидит инцидент в Jaguar Land Rover в своей отчетности? Я ненастоящий CFO, но кажется мне, что обратит он внимание на следующее:
1️⃣ Просадка по выручке в квартале инцидента, частичная компенсация "хвостов" при отгрузке отложенных машин после восстановления (ну и снижение налогооблагаемой базы за счет отсутствия продаж). Маржа будет под давлением из-за сверхурочной логистики/перезапуска и скидок в сторону дилеров и клиентов на фоне случившихся задержек.
2️⃣ Рост дебиторки/запасов (незавершенка, "узкие места" по комплектующим) при одновременной потребности ускорить платежи поставщикам, чтобы предотвратить их кассовый разрыв. Это и есть рационализация £1.5 млрд поддержки от государства.
3️⃣ Вслед за кризисом ожидаем ускоренное инвестирование в киберустойчивость компании (сегментация, бэкапы, DR, EDR/XDR/NDR, ITDR, OT-изоляция, киберучения) – часть средств уйдет единовременно (CAPEX), часть – в структуру постоянных затрат (OPEX).
4️⃣ Новое долговое плечо (гарантированная линия от государства и возможный банковский кредит в 2 ярда) увеличит процентные платежи и усложнит структуру фондирования на 3–5 лет.
5️⃣ Смена прогноза Moody’s на "negative" – сигнал, что кредитные показатели в ближайшие 12–18 месяцев будут чувствительны к темпам нормализации ситуации.
6️⃣ Если малым поставщикам и подрядчикам не хватит финансирования, возможны остановы бизнеса уже после рестарта, что растянет "хвост" влияния на финансовый результат еще на 1–2 квартала.
7️⃣ По мере уточнения статуса по утечке персональных данных (компрометация "некоторых данных", уведомления регуляторов и т.д.) не исключены претензии и затраты на уведомления пострадавших, штрафы, пересмотр стратегии ИБ.
8️⃣ Решение о госгарантии критиковали как создающее прецедент помощи даже при слабом киберстраховом покрытии (у JLR не было киберстраховки) – это может повлиять на будущую политику страхования/комплаенса в отрасли.

Видите ли вы в списке технические вопросы? Нет! CFO они не очень интересны, в отличие от упомянутых проблем, с которыми ему придется иметь дело в обозримом будущем. Так почему бы заранее с ним не обсудить это, чтобы не доводить до инцидента ИБ? Может быть CFO, увидя, что вы говорите с ним на его языке, поймет, что ИБ – это не техническая проблема, а финансовая, и в нее надо инвестировать не только ресурсы, но и свое время? 🤔

#ущерб #cxo

Читать полностью…