Пришли тут ко мне в личку солидные люди в черных пиджаках 😕 и говорят, мол, Алексей Викторович, негоже лить воду на мельницу врага, раскачивать лодку и дискредитировать власть. Да и вообще, в наше неспокойное время, мы должны все как один встать плечом к плечу дабы не посрамить и бла-бла-бла... 🧐

И вот что я хочу на это все сказать. Нет, не про то, что дискредитировать можно только то, что еще себя само не дискредитировало. Я же про кибербез только тут пишу. Так вот мне, если честно, глубоко фиолетово на то, что там утекло или не утекло у ООО "Коммуникационная платформа". Инциденты происходили, происходят и будут происходить. Все, что может утечь, утечет 🤷‍♀️

Да, судя по предварительному анализу реальной утечки не было 😎 и речь идет о компиляции или фейке (ник "титушко" как бы тоже намекает). Но, повторю, важен не сам факт утечки или ее отсутствия, а реакция на вброс. Ника, возможно, сделает у себя в канале @PR_machine_Nika разбор этой истории с точки зрения антикризисного PR, а меня больше интересует процессная часть ИБ 🛡

Есть заявление об утечке, которое должно быть отработано в соответствие с требованиями законодательства (уведомление РКН и НКЦКИ) 👮‍♂️🚫 Есть правило хорошего тона – разобрать с технической точки зрения данный "инцидент" и показать все несуразности (в пределах допустимого). Это правило не для всех, но учитывая, с какой помпой раскручивали MAX, это напрашивается. Ровно это и надо сейчас делать, а не включать PR-машину и разгонять по всем каналам "вы фсё вриёте" Ⓜ️ Так доверие не заработать – скорее наоборот, пользователи еще больше уверятся в том, что утечка имела место быть. Коль скоро государство хочет всех пересадить на MAX, соблюдая при этом приличия, то и надо вести себя корректно до конца (хотя государству это и не свойственно).

Чтобы я сделал, ну если бы меня спросили: 🤔
1️⃣ Провел бы внутреннюю проверку и публично сообщил о ней в формате технического отчета. Для независимости бы пригласил внешнюю компанию с именем в ИБ. Учитывая, что это первая такая "утечка", то сразу бы заложил и различные PR-мероприятия по факту расследования с участием внешних экспертов и т.п.
2️⃣ В рамках коммуникации не начинал бы сразу отрицать, а объяснял бы, почему это фейк или компиляция. Опять бы привлек внешних экспертов, у которых имя и которым верят, как минимум, в комьюнити и которые дорожат своей репутацией (если согласятся, конечно же). Тем более, что в ВК уже были утечки; отрицание в таком варианте не работает вообще.
3️⃣ Провести AMA-сессию с разработчиками и безопасниками, отвечая на вопросы без бюрократических формулировок и корпоративного булшита 🧑‍💻

Это базовый минимум, который бы делал я. Посмотрим, что будет делать ООО "Коммуникационная платформа", у которой на сайте нет ни слова... ни о чем... 🤦‍♂️

#управлениеинцидентами

Читать полностью…

Никогда такого не было и вот снова... Либо кто-то хочет вбросить "супротив" и это просто фейк, либо... 😂 У ООО "Коммуникационная платформа" есть сутки на то, чтобы уведомить РКН о произошедшем и потом еще чуть-чуть времени, чтобы представить детали инцидента или доказать, что это фейк Ⓜ️

Главное, чтобы сам РКН не поторопился заявить, что факт утечки не подтвердился, как это было в кейсе с Аэрофлотом, когда через день после выступления уполномоченного органа хакеры выложили в паблик медицинские данные пилотов и бортпроводников 🚰 Еще и НКЦКИ надо уведомить, так как ООО, владеющее MAXом, подпадает под определение субъекта КИИ, как обеспечивающее взаимодействие между иными субъектами КИИ.

Если утечка подтвердится, а оператором ПДн для MAXа числится у нас 💬, то это уже, как минимум, будет вторая утечка персданных у компании и... будет ли применена норма по оборотному штрафу, вопрошает все прогрессивное DPO-комьюнити ❓

Но, признаюсь честно, мне почему-то кажется, что будет принято решение все отрицать, как, например, было принято решение, что ООО "Коммуникационная платформа" - не организатор распространения информации (да-да, вот такой вот пердимонокль). А это забьет очередной гвоздь в крышку гроба под названием "адекватная защита прав субъектов ПДн в России". Когда государство само демонстрирует, что есть те, "кто ровнее перед законом", то все его потуги по выстраиванию правильного процесса обречены на неудачу 🤔

ЗЫ. Утекло 46203590 строк персональных данных!

ЗЗЫ. Упоминание salesforce смущает, но думаю, имеется ввиду не SFDC, а просто внутренняя CRM... Ибо если там до сих пор облачная зарубежная Salesforce применяется... 😲

#утечка #мессенджер #персональныеданные данные

Читать полностью…

Если вдруг вы пользуетесь 1Password 🔏 в качестве парольного менеджера, то будьте бдительны – скамеры с помощью фишинговых сообщений могут выведать ваши учетные данные для доступа к хранилище всех паролей, Пользователи LastPass столкнулись пару дней назад с той же проблемой – фишинг якобы о взломе парольного менеджера. Вы удивитесь, но пользователи еще одной хранилки паролей, Bitwarden, сейчас лицом к лицу встречаются с той же проблемой 🥷

Три парольных менеджера под угрозой... 🤕 Но только ли три? Может быть и другие тоже? По крайней мере стоит оповестить работников об этой угрозе. Даже если вы в компании это ПО не используете, то ваши пользователи, которые это могут делать на личных устройствах, скажут вам спасибо. А это уже немало и еще один шаг к формированию доверия между пользователями и службой ИБ 🤝

#фишинг #аутентификация

Читать полностью…

📥Фреймворк психологии кибербезопасности

Пожалуй, интересное с точки зрения психологии принятия решений исследование и модель, призванная попытаться разрешить (или хотя бы понять) проблему человеческого фактора в кибербезопасности.
Да, конечная цель утопична ибо это попытка победить подсознательное: сам автор исследования подчеркивает, что большинство решений в области безопасности происходят на подсознательном уровне за 300-500 миллисекунд до того, как мы их осознаем, но выявление групповых факторов (подверженности персонала) и расчет оценки риска может позволить улучшить систему защиты организации.

Сама модель представляет собой 100 индикаторов поведения, сгруппированных по 10 категориям:
🔗Подчинение авторитету — когда люди слепо выполняют указания начальства или тех, кто представляется авторитетом.
🔗Временные уязвимости — поспешные решения под давлением времени.
🔗Социальное влияние — склонность делать то, что делают другие.
🔗Эмоциональные уязвимости — решения под влиянием страха, стресса или других эмоций.
🔗Когнитивная перегрузка — когда слишком много информации мешает принимать правильные решения.
🔗Групповая динамика — как поведение группы влияет на безопасность.
🔗Стрессовые реакции — как стресс влияет на решения по безопасности.
🔗Бессознательные процессы — скрытые мотивы и страхи.
🔗ИИ-специфичные предрассудки — новые уязвимости при работе с искусственным интеллектом. Например, излишнее доверие рекомендациям генеративных ИИ.
🔗Критические состояния — когда несколько факторов действуют одновременно.

Все группы индикаторов соотносят с научными работами и подходами известных психологов и экономистов: например, с теорией групповой динамики Уильяма Биона, в рамках которой описаны три базовых допущения, которые бессознательно принимаются группой людей при столкновении с тревогой. В контексте кибербезопасности эти допущения проявляются как уязвимости групповой динамики:
🟠"Зависимость" — чрезмерная зависимость от поставщиков безопасности и поиска серебряной пули (технологии, дающей 100% защиту).
🟠"Бей-беги" — агрессивная защита периметра при игнорировании внутренних угроз.
🟠"Объединение" — постоянное приобретение новых инструментов без устранения фундаментальных уязвимостей.

Как видите, речь здесь не только про поведение рядовых сотрудников, нажимающих на ссылки в фишинговых письмах, но и ИБ-специалистов и руководство в том числе.

p.s. Такими темпами придется скоро психолога в SOC брать😄

#awareness #framework #psychology

Читать полностью…

Глава ФСБ заявил о том, что западные государства могут снизить стойкость всей криптографической защиты к 2030-2035 годам 🇷🇺 Интересная оценка, которая соотносится с тем, о чем я писал летом (как раз 2030-й год прогнозировался при наличии научных прорывов). Более реалистичная оценка метила в 2035-2040 годы при текущем развитии исследований в этой области ⚛️

На этом фоне интересным выглядит недавно опубликованный Ассоциацией ФинТех шестой выпуск аналитического фреймворка Финтех-Радар 📡, который посвящен постквантовой криптографии и квантово-устойчивой защите данных финансовой отрасли. В нем дан неплохой высокоуровневый обзор текущего состояния этой области – полезно для первичного погружения в тематику. По оценкам экспертов, уже к 2030 году квантовые компьютеры достигнут достаточной мощности для взлома существующих криптографических алгоритмов 🔑

Одна сложность со всей этой историей, что адекватных мер нейтрализации этой угрозы у нас в стране пока не существует 🤷‍♀️ Хотя вроде как эксперты 8-го Центра говорят, что наши текущие криптографические алгоритмы вполне себе стойки к квантовой угрозе, но кто знает, насколько долго это все продлится. Нужны новые алгоритмы и решения их реализующие, но пока этого нет (хотя работы и ведутся) 🤔

#pqc #криптография #модельугроз

Читать полностью…

Вчера министр цифрового развития заявил, что по данным Роскомнадзора 🚫 у нас стало меньше утечек персональных данных и, возможно, это следствие принятого закона об оборотных штрафах за утечки персональных данных. И у меня есть, что сказать по этому поводу. И, возможно, это будет противоречить мнению министра и статистике Роскомнадзора. Ну да не впервой 🤠

В разговоре с близким другом проскользнуло упоминание об утечке из одного отечественного маркетплейса, о которой в паблике ни слова 🤐 Пошел выяснять – действительно, на привычных площадках, где выкладываются объявления о продаже или раздаче утекших баз, ни одного упоминания. Ищем дальше. Есть частичное доказательство в Химере, парочку запросов на покупку этой базы на различных ресурсах, а в дискуссии с другим коллегой эта утечка также была упомянута, но в совершенно иной ситуации. Случайность? Возможно. Потом всплывают факты утечек у еще двух компаний, одна – один из лидеррв российского бигтеха, другая – один из крупнейших банков 🚰 И снова в паблике про это ни сном, ни духом. На случайность уже не тянет; да и в совпадения я уже не верю. Что же тогда происходит? Я бы выделил следующие моменты:

1️⃣ С введением оборотных штрафов 🤑 за утечки любая публичность сразу повышает юридические риски для пострадавшей компании. Это создает сильный мотив "не светить" эпизод (минимизировать следы, сдержанно коммуницировать, идти в частные переговоры). Для злоумышленников это тоже сигнал: чем меньше шума – тем дольше продается и дороже стоит. Об этом, кстати, предупреждали, когда принимали закон об оборотных штрафах.

2️⃣ Серии операций правоохранителей против крупных хакерских форумов (RaidForums → BreachForums и его повторные изъятия доменов/каналов) разогнали часть аудитории в закрытые чаты и приватные брокерские "OTC-сделки". Меньше открытых площадок – меньше полноценных дампов "в свободном доступе" 😂

3️⃣ Телеграм-экоcистема и invitation-only группы стали удобной плошадкой для торговли базами, обмена "тизерами" (1 запись, небольшой фрагмент) и поиска покупателя – без публичного выкладывания всего массива. Это осознанная стратегия сливоделов для сохранения ценности данных 🥷

4️⃣Растет доля "утечка-без-витрины": вместо шифрования и громкого "сливного сайта" (DLS) – тихая выгрузка и давление на жертву напрямую через почту/мессенджеры; в паблик попадают лишь крошечные пробники в качестве доказательства. Это хорошо видно по отчетам за 2024–2025 гг. 🥷

5️⃣Много "мелочи" из инфостилеров и сборных "лог-паков": из-за этого внешне видны лишь отдельные записи, запросы "где достать такую-то базу", разрозненные скрины. Полного дампа в паблике нет – он "ходит" в приватных каналах и по руках 🤝

В сумме это дает картину, в котором нам теперь придется существовать. Роскомнадзор будет вливать всем в уши о победе над утечками и снижении их числа, а те, кому надо, будут по-прежнему иметь доступ к самым свежим данным по россиянам 🤷‍♀️ Службам Threat Intelligence придется изучать косвенные следы (единичные записи/фрагменты/намеки), которые, сложенные вместе, указывают на утечку – но без привычного публичного "большого файла". Но в чем-то министр цифрового развития прав – оборотные штрафы и правда привели к снижению числа утечек; публичных утечек, которые попадают в прицел РКН 🧐

И это я еще не говорю про целенаправленную работу отдельных компаний по зачистке Интернета от фактов, доказывающих наличие утечки. Некоторые *техи имеют ресурсы, чтобы таким заниматься 🤔 Поэтому, когда вы слышите об утечке, которой нет в паблике, это не значит, что ее нет!

#утечка #персональныеданные #тенденции

Читать полностью…

В августе 2025 года ИБ-компания F5 обнаружила и сообщила 🫡 в Комиссию по ценным бумагам, что неизвестные преступники уровня государственных APT (ну а кто еще?), получили несанкционированный доступ к среде разработки продукта BIG-IP, системе управления знаниями инженерного персонала и связанные с ними хранилища, оставаясь там незамеченными длительное время. Из компании были украдены некоторые файлы, в том числе части исходного кода 👨‍💻 BIG-IP и информация о неопубликованных уязвимостях, которые F5 исследовала на момент взлома.

F5 утверждает ("всегда так делаю"), что нет доказательств 🙅‍♂️ внедрения имплантов в их программное обеспечение, конвейер сборки и что атаку не удалось использовать для подмены кода, поставляемого заказчикам. Также F5 заявляет, что не наблюдает признаков активного использования тех неопубликованных уязвимостей. CISA выпустило экстренную директиву с требованием всем государственным структурам срочно обновить продукты F5, поскольку взлом может представить непосредственную угрозу для федеральных систем. При этом Министерство юстиции США разрешило отсрочить публичное раскрытие инцидента, с чем и связана задержка (с начала августа до середины октября) ❌

Что неясно или вызывает сомнения, как минимум у меня: 🤔
➡️ Как именно был получен доступ? Через какое уязвимое звено (внутренняя ошибка, фишинг, инсайдер и т.п.) это произошло, компания не раскрывает.
➡️ Насколько глубоко проникновение? Возможно, были затронуты и другие системы, но они еще не обнаружены или F5 их не разглашает.
➡️ Использованы ли украденные уязвимости? F5 заявляет, что не "осведомлена" об этом, но отсутствие знания – не доказательство отсутствия использования.
➡️ Какова длительность доступа? Насколько долго злоумышленники были в системе до обнаружения, и сколько времени потребовалось, чтобы вывести украденные файлы?
➡️ Кто конкретно стоит за атакой? F5 называет "nation-state actor", но имя государства или группы не раскрывается. Хотя это менее всего интересно на текущий момент.
➡️ Пострадали ли клиентские конфигурации? F5 говорит, что некоторые файлы конфигураций клиентов были затронуты, но не публикует полный список пострадавших.

Пока это все, что у нас есть. Утверждать, что это второй SolarWinds 🔗 еще рано, как и отрицать это. Но этот кейс хорошо иллюстрирует вчерашнюю дискуссию на БанкИТ в Минске про доверенное ПО. Я там упоминал, что доверие складывается не только из выстроенного процесса безопасной разработки, но и защиты самой среды разработки и подступов к ней. И кейс F5 это как раз подсвечивает во всей красе. Так что будем наблюдать... 👀

ЗЫ. Пока курс акций F5 на новостях о взломе упал на 6% 📉

#инцидент #проблемыибкомпаний #supplychain #devsecops

Читать полностью…

Решил я тут себе кофе сварить ☕️ Смолол зерен, забросил в турку, поставил на огонь, подогрел, залил водой, дождался поднятия пенки и даже вовремя снял турку с огня, чтобы кофе не убежал. Взял с полки первую попавшуюся кружку, налил в нее дымящийся ароматный напиток, сел у камина и задумался... 🤔

Этой кружке уже 26-27 лет, а она как новая. Почти как я ✌️ Пока пил кофе из этого раритета, на который никак не повлияли множественные циклы в посудомойке, вспоминал, какие роли я перепробовал в кибербезе за последние три десятка лет. Был разработчиком средств криптографической защиты информации. Был админом. Был аудитором. Выводил зарубежные продукты, а именно ISS, на российский рынок. Был продавцом средств защиты информации 🧾 Запускал контентный проект, пытаясь создать российский Gartner. Защищал веб-сайты. Работал с подрядчиками, устанавливая и контролируя требования по кибербезу. Был (и есть) преподавателем. Выполнял функцию CISO в российской Cisco (хотя это совсем не та роль CISO, которую все представляют). Был vCISO у несколько компаний. Писал нормативку. Был бизнес-консультантом и архитектором. Занимался маркетингом и развитием бизнеса. Даже обходом средств защиты занимался (в исследовательских целях, конечно). Попробовал себя почти во всех ролях в области кибербеза; где-то в большей степени, где-то в меньшей 🛡

К чему я это все написал. Да ни к чему. Просто вспомнилось...

ЗЫ. А кружки раньше делали не чета нынешним, которые помоешь пару раз и вся краска слезла, эмаль облупилась... ☕️

#рефлексия

Читать полностью…

Пока специалисты озабочены взломом СМС-агрегаторов, а неспециалисты задаются вопросом: «Что опасного в сливе 3 ТБ смсок?», я продолжу про корпоративную отчетность. Но теперь про МСФО и Позитив 🟥, который в своей промежуточной сокращенной консолидированной финансовой отчетности за шесть месяцев раскрыл интересные данные по своей внутрянке кибербеза. Тут и суммы выплаченных компанией вознаграждений по программам Bug Bounty, Positive Dream Hunting, Positive Bug Hunting, и количество прошедших обучение по ИБ работников компании в соответствие с их ролями (все, как я писал ранее про адаптированное обучение), и время реагирования на инциденты, и даже фонд оплаты труда службы ИБ компании 🧮

А вы готовы к такой открытости и демонстрации не просто устойчивого развития, в том числе и по вопросам ИБ, но и указания конкретных численных показателей? 🤔

#cxo

Читать полностью…

Украл из "Молчаливого CISO"...

#мем #юмор #утечки #персональныеданные

Читать полностью…

Коллеги выпустили большой отчет об актуальных киберугрозах для российских организаций, а также о прогнозах на 2026 год. Представленные данные, выводы и прогнозы основаны на экспертизе Positive Technologies 🟥, исследованиях команд Threat Intelligence и Incident Response экспертного центра безопасности PT ESC, результатах проектов по анализу защищенности веб-приложений и тестированию на проникновение, выполненных специалистами PT SWARM, анализе объявлений на специализированных дарквеб-площадках, проведенном командой PT Cyber Analytics, а также на информации из авторитетных открытых источников 😂

Отчет включает в себя и описание атакующих Россию кибергруппировок 🇷🇺, и анализ самых атакуемых отраслей, и используемые техники и тактики, а также последствия, к которым это все приводит, интересные наблюдения и инсайты из реализованных проектов. Не могу выделить какие-то явные тезисы – слишком уж много там всего написано. Поэтому просто читайте интересное в долгие осенние холодные вечера 🍃

#ttp #тенденции #статистика #хакеры #атрибуция #apt #threatintelligence

Читать полностью…

Сегодня, 13 октября, начинает своё вещание сайт и Телеграм-канал независимого российского издания о кибербезопасности SecPost😍, здравствуйте, дамы и господа.

Наше знакомство мы предлагаем начать с подборки статей и эксклюзивных новостей, полную версию которых вы можете прочитать на нашем портале.

🤑Как убедить гендиректора вкладываться в информационную безопасность - колонка CISO "МойОфис".

💬 Интервью с вице-президентом Kraftway о перспективах, сложности и развитии производства NGFW в России.

🚗 Взрывной рост спроса на мультитулы для взлома автомобилей в РФ.

🧑‍⚖️ Правовые перспективы "белых" хакеров в России.

❓ Кто такой Лукацкий? Зачем ИБ компании нанимают бизнес-консультантов.

👾 Почему ИБ-продукты с ИИ-функциями стоят на 50% дороже.

Это далеко не все, чем мы можем вас порадовать на старте.

Другие эксклюзивные материалы с участием CISO группы «Астра» Дмитрия Сатанина, руководителя Cloud Security Operations Yandex Cloud Юрия Наместникова, директора по безопасности РТК-ЦОД Дениса Поладьева, депутата Госдумы Антона Немкина, экспертов VK, «Лаборатории Касперского», F6, Positive Technologies, "Инфосистемы Джет", "Солар", BI.ZONE и др. вы найдете на нашем сайте!

Читать полностью…

Сегодня пригласили выступить перед топ-менеджерами и руководителями среднего звена 🧐 одной крупной российской компании про кибербезопасность в эпоху генеративного искусственного интеллекта. Подготовил новую презентацию, разделив ее на три блока - безопасность ИИ в повседневной жизни, безопасность ИИ на рабочем месте, безопасность ИИ в корпоративных проектах. Вроде получилось неплохо. Но опять мало времени на такую тему... 🕙

#ии #mlsecops #обучение

Читать полностью…

Упомянутый вчера "эффект Матфея" назван по цитате из Притчи о талантах в Евангелии от Матфея:

…ибо всякому имеющему дастся и приумножится, а у неимеющего отнимется и то, что имеет

Это реальная и очень коварная проблема для любых профессиональных премий; да и не только. Их часто дают тем, кто уже давно "на слуху". Что можно было было с этим поделать в контексте ранее упомянутой ИБ-премии? Я бы выделил следующие направления:

1️⃣ Разделить категории по масштабу и известности. Например, создать двухуровневую систему номинаций, например (очень условно):
➖ "Открытие года" / "Новые лица ИБ" – для тех, кто впервые заявляет о себе.
➖ "Лидер года" / "За вклад" – для ветеранов и публичных фигур.
Так новые специалисты не будут конкурировать с уже "раскрученными брендами".

2️⃣ Анонимизировать первый этап отбора. На ранней стадии оценки можно скрывать имена, компании и должности. Жюри получает описания проектов, результатов и эффектов, но без указания, кто их реализовал. Это резко снижает предвзятость и делает фокус на сути, а не на именах.

3️⃣ Ввести "народное голосование" с балансом. Экспертное голосование жюри можно оставить, но только как один из факторов (например, 70%), Остальные 30% – решение публичного голосования. Так мы находим баланс между vox populi и мнение жюри.

4️⃣ Ограничить участие "вечных финалистов". Если человек или компания уже выигрывала в категории 2–3 года подряд – пусть временно становится членом жюри или ментором. Это не только сдерживает эффект Матфея, но и символически передает эстафету новым участникам. Но это правило должно быть оговорено заранее. Помню был у меня случай – перед одной конференцией орги проводили конкурс заметок, который я выиграл, получив часы Apple Watch. Через год, орги выставили на конкурс уже iPad и я снова выиграл, но приз мне не выдали, так как "тогда другие участники больше не будут участвовать, зная, что все равно выиграет Лукацкий" (так мне сказали орги в личной беседе). Менять правила по ходу игры категорически нельзя – это подрывает доверие еще больше.

5️⃣ Сделать критерии оценки максимально прозрачными. Не "лучший проект" или "вдохновляющий лидер", а четкие и измеримые формулировки, показывающие понятный результат. И критерии должны быть опубликованы до начала конкурса.

6️⃣ Создать независимую часть жюри, добавив к вендорам других CISO, преподавателей, журналистов, бизнесменов, не имеющих отношение к ИБ, айтишников. Это уменьшает "замкнутую экосистему", где все друг друга знают и награждают.

7️⃣ Расширить понятие успеха. Премия должна поощрять разные формы вклада – не только громкие проекты, но и, например, развитие команды, наставничество и т.п. Так шансы на признание получают те, кто реально укрепляет отрасль, но не стремится к медийности.

ЗЫ. Засим триптих про награду и "эффект Матфея" завершаю. А был бы блог жив, все бы в одну статью уместил ✍️

#мероприятие

Читать полностью…

В кибербезопасности давно не хватало позитивной повестки. Сколько угодно можно говорить о кибератаках, утечках и фишинге, но почти никто не говорит о признании – о людях, которые каждый день делают невозможное, обеспечивая безопасность бизнеса. И вот – появляется премия "Киберпризнание". Звучит громко: "новый культурный стандарт признания в сфере кибербезопасности", "сигнал миру, что Россия задает стандарты". Казалось бы – именно то, чего не хватало. Но чем ближе смотришь... 👀

Начнем с иллюзии признания. В теории все красиво. Премия 🎖 охватывает людей, компании, регионы, общественные инициативы. Есть номинации вроде "CISO года", "вдохновитель отрасли", "трендсеттер года". На практике все выглядит немного иначе: подаваться могут только компании-заказчики (хотя это и неплохо само по себе), а вот оценивать их будут… руководители вендоров. То есть судьи оценивают своих же клиентов, нынешних и будущих. И даже если каждый из них будет предельно честен, доверия к системе не будет по определению. Любая победа автоматически воспринимается как "подарок за лояльность" или "ответная услуга" 🤔 В мире ИБ, где прозрачность и независимость должны быть главными добродетелями (хотя CISO – те еще циники), это особенно режет глаз.

А кто будет подаваться? 🤔 Не CISO (я не верю, что у них будет время заполнять кучу заявок и описаний своих проектов), не руководители SOCов, не архитекторы безопасности. Подачу, скорее всего, будут делать маркетинговые и PR-департаменты компаний. Потому что именно у них есть ресурсы и мотивация заполнять заявки. А дальше – привычная история: вместо реальных достижений в области кибербеза мы увидим "яркие коммуникационные кейсы", "вдохновляющие инициативы" и "модернизацию культуры безопасности через вдохновляющий сторителлинг" 🏆

Самое парадоксальное в этой истории – то, что настоящие достижения в ИБ часто невозможно вынести на публику 🤐 Ты не можешь подробно рассказать, как закрывал критичные уязвимости, как спас компанию от шифровальщика, как выстроил SOC в условиях нехватки ресурсов или как отжал скидку у вендора. Во-первых, это и так твоя ежедневная работа, хотя что-то героическое в ней есть, как говорилось в советском фильме "Тот самый Мюнхгаузен" 🦸🏼‍♂️ Но многие просто не посчитают нужным про это рассказывать, хотя именно деятельность ИБ в условиях нехватки ресурсов (когда ты один на всю компанию) и должна быть награждена. Но "это фантастика", – реальные профессионалы и достойные компании останутся в тени, а награду получит тот, кто умеет красиво рассказать о "цифровой трансформации с элементами Zero Trust". Это тоже важно, но это только верхушка айсберга 🦸‍♂️

CISO живет в мире, где он не управляет бюджетами (почти), не выбирает подрядчиков (почти) и не принимает финальных решений (почти) 🤷‍♀️ Он отвечает за безопасность – но не за политику. И в этом смысле премия лишь усиливает разрыв между видимостью и реальностью. Те, кто каждый день борется с инцидентами, а не ходят по конференциям (хотя те, кто ходят, скорее просто имеют большую службу ИБ, выстроили процессы, и могут позволить себе делиться опытом с другими), будут смотреть на церемонию и думать: "А где награда за выживание?" 🤔

Премия, которая задумывалась как символ уважения, рискует превратиться в симуляцию признания 🪞
🎈 Когда нет прозрачных критериев – побеждает тот, у кого больше бюджет связей.
🎈 Когда судят вендоры – пропадает доверие.
🎈 Когда маркетинг подает вместо CISO – исчезает смысл.
В итоге мы получаем не киберпризнание, а кибериллюзию – красивую обертку, в которой не осталось самого главного: уважения к профессионализму 😔

Возможно, настоящая награда для CISO – это не статуэтка на сцене, а день, когда ничего не долбануло. Когда CEO не вспомнил о тебе, потому что все работает. Когда Лукацкий не прошелся по тому, как твоя компания не смогла в антикризис (а это даже не ты решаешь). Когда команда уходит домой вовремя. Но премия за это вряд ли появится 😭

Читать полностью…

В даркнете выставили на продажу базу данных пользователей мессенджера MAX.
Продавец утверждает, что в его распоряжении находится более 46,2 млн записей, а также что у него сохраняется VPN-доступ к Salesforce и другим внутренним системам сервиса.
В качестве подтверждения он опубликовал небольшую выборку (sample) данных.

Актуальность - 19.10.2025

Состав
▪️ID
▪️ФИО
▪️Телефон
▪️Статус активации на Госуслугах
▪️ID номер на Госуслугах

#утечка #max #госуслуги #vk

Читать полностью…

Очередной взгляд на перечень возможностей, которыми должны обладать современные SIEMы (хотите, называйте SIEM NG).

#siem #тенденции

Читать полностью…

Помните летнюю историю с белой хакершей Bobdahacker, которая нашла критический баг на портале McDonald's 🍔 для партнеров и сотрудников, позволявший получить админские права, размещать бесплатные онлайн-заказы еды, читать корпоративную почту и т.п. Первые попытки достучаться до компании закончились неуспешно 🍔 и тогда Bobdahacker обратилась к другу, работающему в McDonald's, с целью помочь провести исследование до конца и достучаться до руководства "бургерной". И вот тут интересно – компания, вместо того, чтобы похвалить своего работника за помощь в улучшении ИБ, сделать его Security Champion, наградить карточкой Amazon Gift на 50 баксов (я такие получал в Cisco) и т.п., просто его (или ее) уволила! 🖕

И вот новая история. Аттаюла Бейг (Attaullah Baig), бывший руководитель по безопасности в WhatsApp 📱, подал в суд на своего работодател, заявив, что за время работы обнаружил серьезные нарушения в защите данных пользователей, которые компания не планировала устранять. По словам Бейга при проведении внутреннего red-team он обнаружил, что около 1500 инженеров WhatsApp имели неограниченный доступ к пользовательским данным, включая чувствительную информацию (контакты, IP-адреса, профили), и могли "перемещать или похищать" такие данные без следов 😡 Также истец утверждает, что WhatsApp не вел надлежащий учет того, какие данные собираются, где они хранятся, и кто получает к ним доступ, нарушением тем самым требования к ИБ, в том числе в рамках постановления Федеральной торговой комиссии (FTC) 2020 года, вынесенного после скандала с Cambridge Analytica. Наконец, утверждается, что якобы ежедневно происходило порядка 100000 взломов учеток WhatsApp – и компания не предпринимала адекватных мер для предотвращения этих инцидентов 😂 После того как Бейг поднял эти вопросы перед руководством (включая Марка Цукерберга), он подвергся "корпоративному унижению": ухудшились оценки в рамках performance review, были ограничены его полномочия, а впоследствии его уволили под предлогом "плохой работы" 🤸

Оставим в стороне вопросы мотивации Бейга (кто-то говорит, что он реально за правду, кто-то – что он обижен и хочет срубить бабла). Для специалистов по кибербезу и compliance дело может служить очередным прецедентом – внутренний сотрудник безопасности (whistle-blower) предъявляет претензии к работодателю за то, что опасные уязвимости не были устранены, и затем идет против компании в суд ✋

Интересно, что это не первый такой кейс. Уже был случай с бывшим старшим директором по кибербезопасности, контроля и соответствия в Aerojet Rocketdyne ✈️ Он утверждал, что обещанный бюджет и ресурсы для безопасности были сильно урезаны (ахаха), компания не соблюдала требуемые правила по кибербезопасности, а когда он поднял вопрос – его уволили 😔 Также в одном калифорнийском государственном университете руководитель ИБ подала иск за незаконное увольнение ("wrongful termination and whistleblower retaliation") после того как она сообщила об инциденте и компания отказалась исправлять соответствующую уязвимость. Аналогичный кейс был и с ИТ-директором Penn State University & Matthew Decker 🫤

У нас такие кейсы, что характерно, тоже были. Знаю, как минимум, один случай ☝️

#ответственность #ciso

Читать полностью…

Как мы помним, гомоморфное шифрование 🔑 уже использовалось на дистанционном электронном голосовании в Москве пару лет назад. И видится мне, что эту тему начинают потихоньку раскручивать у нас в стране. Вот и Ассоциация больших данных совместно с компаниями Guardora и Privacy Advocates выпустила достаточно неплохой обзор этой технологии в сценарии ее использования для конфиденциальных вычислений и доверенных сред исполнения; с прицелом на обработку персональных данных 🎯

Правда, авторы честно пишут ✍️, что законодательство сегодня не допускает применения технологии гомоморфного шифрования для защиты персданных, так как решения на ее основе не проходили оценки соответствия (неявно, но подразумевается сертификация в ФСБ как СКЗИ). Но вот как дополнительную технологию... 🤔

Помню лет 6-7, а может и больше, я выступал на РусКрипто с докладом о применении технологий шифрования в качестве инструмента обезличивания ПДн 🔐 Так вот доклад АБД говорит ровно о том же, но не называя это прямо обезличиванием, так как по дурости одного регулятора у нас почему-то обезличивание разрешено только для госов, а для коммерческих компаний запрещено (хотя такой нормы в законе никогда не было – это очень странная трактовка). Так что по мере развития темы гомоморфного шифрования в стране, ожидаю, что трехбуквенный регулятор (но не тот, о котором вы подумали) возьмет стойку. Так что будем посмотреть... 🤔

#криптография #персональныеданные

Читать полностью…

Гостеприимные коллеги в Минске, памятуя о моей заметке про шатанов, подарили мне прекрасную книгу про мифологических существ Беларуси 🇧🇾 Ну а я выкладываю свою презентацию про безопасность подрядчиков аутсорсеров в финансовом секторе, которую прочитал позавчера 👇 Что характерно, SMS-агрегаторы в ней тоже упомянуты в разделе поставщиков с максимальным, критическим уровнем опасности.

ЗЫ. А я уже придумал, чем буду иллюстрировать свою презентацию на грядущей через пару недель в Минске SOCcon 🏰 Мы там планируем нечто интересное по контенту на обоих потоках. Ну и по формату тоже; куда ж без этого.

#supplychain #презентация

Читать полностью…

Как же нам защититься от взлома SMS-агрегатора, спросите вы? 🤔 Настал черёд ответить и на этот вопрос! Первый и очевидный шаг – убрать "SMS как единственный фактор" из критичных процессов, которые должны у вас быть определены. Для входа и подтверждения операций используйте Passkeys/WebAuthn, аппаратные ключи, TOTP/приложения, а SMS – только как резервный канал для низкорисковых коммуникаций 💬

Второй шаг – снизить ценность SMS даже при перехвате или утечке 📉 Откажитесь от кликабельных ссылок в смсках; используйте короткий код и внеполосное (никогда не знал как out-of-band нормально перевести) подтверждение в приложении. Также стоит привязать OTP к контексту (сумма/операция/время/гео) и валидировать их на сервере. Это, кстати, приблизит OTP к реальной ПЭП, а не вот это вот все 🛠

Дальше стоит перейти к воздействию на SMS-провайдера (тут можно посмотреть мою презентацию из Минска или вебинар по безопасность подрядчиков): 🔨
✉️ Двух- или мульти-провайдерная схема с “kill-switch” на канал SMS.
✉️ Включение в договор требований по ИБ: SSO+MFA для личного кабинета, белый список IP/mTLS для API, ротация ключей, RBAC и раздельные учётки, журналы событий с экспортом в ваши SIEM/SOC, различные уведомления о шаблонах/отправителях.
✉️ Мониторинг аномалий: всплески OTP, изменение шаблонов/альфа-ID, уведомления о росте недоставок/задержек, отправка сообщений в необычные страны.
✉️ "Canary-номера” (обманки) и синтетический трафик для раннего обнаружения подмен/утечек 👀

Наконец, будьте готовы к инцидентам и управлению ими: 🤓
✉️ План мгновенного отключения SMS-аутентификации и переключения на альтернативный фактор аутентификации. Хотя лучше не ждать и уже заменить OTP по SMS на что-то иное, более надежное.
✉️ Скрипт информирования пользователей и принудительные меры (как у Signal – форс-перерегистрация/registration lock) 🚨

ЗЫ. Ну и помните, что одноразовый пароль по СМС – это не двухфакторная аутентификация, чтобы вам кто не говорил, это всего лишь двухшаговая верификация, которая не так чтобы и сильно влияет на уровень безопасности 🤔

#управлениеинцидентами #supplychain

Читать полностью…

Тут в Даркнете прошла информация о взломе двух очень крупных в России SMS-агрегаторов и сливе 3 ТБ данных 💬 (новости про взлом и утечку данных из трех российских ВУЗов оставим пока в стороне) Сначала думаешь: "Да что там страшного - одноразовые коды долго не живут и ими просто не успеют воспользоваться, а ничего другого ценного в смсках и нет". Потом садишься и начинаешь моделировать угрозы. Становится чуть печальнее. Давайте посмотрим, чем грозит эта "supply chain" атака на канал, через который тысячи сервисов шлют одноразовые пароли, ссылки на сброс пароля, коды подтверждения платежей, PIN-коды и служебные уведомления 💬

1️⃣ Коды 2FA/OTP и ссылки на сброс пароля можно читать, задерживать или подменять, что приводит к массовым захватам учетных записей (почта, банки, мессенджеры, криптосервисы, соцсети). Пример масштаба: взлом Twilio в 2022 затронул 163 клиентов; вторично пострадали Signal и другие (у Signal – до 1900 аккаунтов для перерегистрации).
2️⃣ Из личного кабинета агрегатора можно слать SMS с доверенных имен/номеров (short code/альфа-ID), обходя фильтры – идеальный канал для фишинга, BEC и мошенничества.
3️⃣ Базы номеров, тексты сообщений, метаданные (кто с кем, когда) – ценны для целевого фишинга, слежки, шантажа. Пятилетней длительности компрометация Syniverse – крупнейшего роутера межоператорских SMS – показал уязвимость таких “узлов” (риск раскрытия миллиардов сообщений/метаданных).
4️⃣ Доступ к инфраструктуре A2P-провайдера может использоваться для отслеживания людей и их коммуникаций (скандал вокруг Mitto показал, что такие злоупотребления реальны).
5️⃣ Через агрегатор атакуют MFA-канал ваших админов → дальше – почта, облака, CI/CD. Компромат по пользователям (например, списки номеров пользователей Authy) упрощает целевые фишинговые/​SIM-swap кампании. В 2024 в Authy через неаутентифицированный узел подтвердили до 33 миллионов номеров пользователей.
6️⃣ Непредвиденные расходы за отправку, штрафы за утечки (GDPR/CCPA/ФЗ-152), удар по надежности и репутации.

Что делать, спросите вы? А я отвечу... но попозже ⏳

ЗЫ. Вы же предусмотрели это в своей модели угроз? 🤔

#инцидент #модельугроз #утечка

Читать полностью…

Сегодня я в гостеприимном Минске 🇧🇾 на конференции "Банк-ИТ" рассказываю для топ-менеджмента белорусских банков про безопасность аутсорсинга. В отличие от летнего выступления про безопасность подрядчиков, ориентированного больше на технических специалистов, в столице Беларуси я рассказывал эту тему на более высоком уровне, с прицелом на Правление финансовых организаций 🧐

ЗЫ. Презентацию позже выложу, если организаторы будут не против.

ЗЗЫ. На ИБ-конференции Нацбанка Армении был. Теперь вот и на конференции Нацбанка Беларуси был. Правда, в Минске перед выступлением спикерам не наливали для снятия напряжения и звонкости голоса 🥃

#мероприятие #supplychain #cxo

Читать полностью…

Тут Олег публикует материалы заявления в полицию руководства красноярского оператора связи "Орион Телеком" 📡, который летом пострадал от рук хакеров (первые следы активности внутри инфраструктуры оператора были зафиксированы полугодом ранее). Там много всего интересного, но меня заинтересовала сумма предварительных убытков, которые насчитала пострадавшая компания (которую надо будет доказать в суде), – 66 миллионов рублей 🤑

Согласно опубликованным в Интернете данным выручка "Орион Телеком" за 2024 год составила 681 миллион рублей (чистая прибыль – 582 тысячи рублей) 🌐 То есть ущерб от атаки оценивается в 9,7% от годового дохода. Нечасто у нас сами жертвы считают и показывают свои потери от действий хакеров, а тут компания посчитала все до копейки. Хотел бы я посмотреть на всю калькуляцию и увидеть, какие именно статьи легли в основу этого расчета. Но может и увижу когда-нибудь... ⏳

ЗЫ. Первоначально "Орион Телеком" не признавал факт утечки ПДн, но в заявлении в полицию он "отказывается" от первоначальных показаний и признает факт незаконного копирования и размещения в Интернет персданных своих абонентов 😡

#ущерб

Читать полностью…

Тема кибербезопасности потихонечку включается в корпоративную отчетность ✍️ В августе я уже про это писал и вот новый пример с "Ашан Ритейл", который в отчет об устойчивом развитии за 2024 год включил отдельным разделом инфобез. Меня только один вопрос заинтересовал – какой scope попал под сертификацию по ISO 27001? А в остальном, для документа такого уровня, вопросов нет 🛒

Да, можно сказать, что это позакуха и топ-менеджмент сам не читает такие отчеты и не интересуется кибербезом 🏖 Можно. Но можно сказать и иначе – запрос на раскрытие такой информации появляется у инвесторов и акционеров, а значит, хочешь, не хочешь, но надо быть более открытым и писать, хотя бы поверхности, что там делается в ИБ 🛡 И, главное, сильно не врать. А то напишешь, что ты весь из себя такой сертифицированный, работники обучены, SOC функционирует круглосуточно, а тебя, бац, и поломали. Будет неудобно. А инвесторы еще и "отомстят" 📉

#cxo

Читать полностью…

Есть такая теория творческого разрушения (creative destruction), которая вчера оказалась в центре внимания: Нобелевскую премию по экономике 2025 года присудили Жоэлу Мокиру (Joel Mokyr), Филиппу Ажьону (Philippe Aghion) и Питеру Хауитту (Peter Howitt) "за объяснение экономического роста, основанного на инновациях (creative destruction)" 💥

Сам термин "creative destruction" восходит к Йозефу Шумпетеру ✍️ Он описывает динамику развития капиталистической экономики, где новые технологии, новые бизнес-модели и инновации заменяют устаревшие предприятия и способы производства. То есть процессы создания нового часто сопряжены с исчезновением старого и с этим ничего не поделать. Ну а вклад новых нобелевских лауреатов заключается в систематизации и количественном понимании того, как творческое разрушение работает в реальной экономике, а не просто как красивая метафора 🤔

Ключевые идеи Шумпетера:
💡 Инновации не просто дополняют старое, часто они замещают его.
💡 В этом замещении и заключается движущая сила экономического роста: появляются новые отрасли, рынки, рабочие места.
💡 Но этот процесс очень болезненный: компании, которые не адаптируются, проигрывают; ресурсы и кадры перераспределяются.
💡 Те, кто выигрывает эту инновационную конкуренцию, могут устанавливать новую технологическую платформу, новые стандарты и доминировать до следующей волны разрушения.

Теория творческого разрушения вполне себе применима и к кибербезопасности 🛡 Более того, ИБ – одна из тех сфер, где этот процесс происходит в ускоренном и цикличном режиме, ведь каждая новая технология сразу же вызывает и новую волну угроз, и, следовательно, новую волну защитных инноваций, часто приводящих к тому, что старые лидеры умирают, будучи выброшенными на свалку истории молодыми и дерзкими 😵 Например, нулевое доверие. Под влиянием массовой удаленки в конце 2010-х годов, облаков, SaaS, микросервисов, роста атак на supply chain исчезает классическая модель "защиты периметра" с комбинацией МСЭ + VPN + сегментация (да, VPN потихоньку вымирают) и ей на смену приходит архитектура Zero Trust, где доверие не предполагается ни к кому и ни к чему по умолчанию 😠

Другие примеры из ИБ (о части из них я говорил на прошедшем Positive Security Day):
➡️ Из-за взрывного роста новых вариантов вредоносного ПО, скорости обфускации кода и его мутаций, антивирусы и IPS на основе сигнатур умирают, замещаясь EDR, XDR, NDR и ИИ-аналитикой.
➡️ Традиционные SIEM с ручной корреляцией и статичными правилами уходят в небытие – им на смену аналитика на базе больших данных в облачных хранилищах, автоматизация и SOAR, решения класса Continuous Threat Exposure Management.
➡️ "Однократный аудит" и бумажные аттестации/сертификации канут постепенно в Лету будучи замененными постоянными симуляциями (BAS) и автопентестами, Red Team-as-a-Service, непрерывным мониторингом защитных мер, Bug Bounty и кибериспытаниями 🤕

Каждая волна атак становится механизмом естественного отбора 🙈 WannaCry привел к взрывному росту patch-менеджмента и EDR, кейс SolarWinds заставил нас активнее переходить на Zero Trust и внедрять защиту от подрядчиков, история с Colonial Pipeline привела к обязательным сценариям кризисного реагирования и пониманию каскадных ИБ-сбоев 🌊 ИБ-рынок, пожалуй, наиболее чистый пример динамики Шумпетера: защита живет, пока ее не сломали, – и именно это разрушение дает стимул к созданию следующего поколения технологий. Ну а те, кто не понимает этого и не может перестроиться, уходит в небытие 😵

Динамика Шумпетера и теория творческого разрушения объясняет ☝️, почему старые подходы в ИБ обречены – не из-за плохих инженеров, а из-за смены технологического контекста. Она отвечает на вопрос, почему вендоры постоянно "умирают" и рождаются новые, а также почему кибербезопасность – вечное движение, а не состояние 👉

#тенденции #наука

Читать полностью…

А у нас в отрасли новое специализированное ИБ-издание, что не может не радовать 🎆 Хотя, не могу не задаться вопросом, пока не до конца понятна его модель существования. Это либо нагон трафика и продажа рекламы, либо платное размещение материалов от участников рынка. Оба сценария достаточно типичны и лежат на поверхности, но и конкуренция со стороны SecurityLab, Antimalware и CISO Club будет нешуточная ⚔️

Подписочная модель и получение денег от рядовых ИБшников, которые захотят получать доступ к качественному и закрытому для всех контенту? 🤑 Я в конце 90-х годов пытался запускать такое в Информзащите – не взлетело, люди не готовы были тогда платить за контент, предпочитая его пиратские версии. Сейчас ситуация мало изменилась, как мне кажется. Возможно найдена иная модель монетизации СМИ? Их даже у SOCа существует восемь! Будем посмотреть... 👀

#сми #стартап

Читать полностью…

Тут Майк выпустил фреймворк ИИ-ответственности, призванный прояснить, кто за что отвечает в обеспечении безопасности ИИ-систем, по аналогии с моделью "shared responsibility" в облаках. В нём даётся карта ответственности (responsibility matrix) между провайдером и заказчиком (или разработчиком), охватывающая разные модели развёртывания AI и разные домены безопасности. Проект охватывает 8 моделей развёртывания AI и 16 доменов безопасности (традиционные + специфичные для AI).

8 моделей развертывания ИИ:
6️⃣ Публичная LLM-платформа → ChatGPT, Gemini, Claude
2️⃣ Публичная LLM-платформа с API-интеграцией → API-доступ к GPT, Anthropic, Cohere
3️⃣ SaaS-продукт с AI-функциями → Notion AI, GitHub Copilot
4️⃣ Вендорская модель, размещённая в облаке клиента (Managed AI) → Azure OpenAI, Bedrock, Vertex AI
5️⃣ Самостоятельно развёрнутая LLM (on-prem / частное облако) → Llama 3, Mistral, Falcon на своих серверах
6️⃣ Встроенный AI-модуль в программный продукт → ERP с ML-анализом или рекомендациями
7️⃣ Специализированное AI-решение под конкретный домен → AI для SOC, антифрод, медицинская диагностика
8️⃣ Разработка собственной модели с нуля / fine-tuning → внутренние R&D-команды

16 доменов ИБ:
6️⃣ Управление идентификацией и доступом (IAM)
2️⃣ Управление данными и приватностью
3️⃣ Шифрование данных "на лету" и "на хранении"
4️⃣ Регистрация событий/промптов и аудит обращений к модели
5️⃣ Управление уязвимостями и патчами
6️⃣ Безопасность кода и зависимостей
7️⃣ Управление жизненным циклом модели (ModelOps)
8️⃣ Управление обучающими данными
9️⃣ Мониторинг дрейфа модели и метрик
6️⃣1️⃣ Обнаружение атак на модель (poisoning, inversion, extraction)
6️⃣6️⃣ Безопасность API и оконечных устройств
6️⃣2️⃣ Соответствие нормативным требованиям (compliance, GDPR, ИИ-акты и т.п.)
6️⃣3️⃣ Этические и репутационные риски
6️⃣4️⃣ Непрерывность бизнеса и отказоустойчивость ИИ-сервисов
6️⃣5️⃣ Реагирование на инциденты и реагирование на утечки / атаки
6️⃣6️⃣ Поверхность атаки и тестирование безопасности (red teaming / оценка защищенности).

Очень хороший фреймворк...

#ии #mlsecops #framework

Читать полностью…

Пока писал предыдущий пост, вспомнил, как принимали серию ЦБшных ГОСТов 57580. В ТК122 участвовали только очень крупные банки и ИБ-компании, которые могли себе позволить выделять людей, ходивших на заседания и голосовавших так, как надо 🧐 А небольшие кредитные организации не были представлены в техническом комитете по понятной причине – один ИБшник на все и у него нет времени ходить по совещаниям и молчаливо соглашаться с тем, что тебе навязывает твой регулятор. Этот ИБшник один на всех и за все; даже за лифтовое хозяйство, которое, как известно, находится в ведении ФСБ, а значит за это тоже должно отвечать ИБ 😲

Потом ГОСТ приняли почти единогласно (всего 3 человека было против) 🗳 и с мест (от региональных небольших банков) сразу полетела критика, мол, ЭТО выполнить нельзя, ЭТО не работает... На что им, предсказуемо, стали отвечать, что надо было участвовать в работе над текстом и в голосовании (тут должен быть мем с Олегом Тиньковым про "сомнительно, но ОК") 😠

С нормативкой других регуляторов, например, ФСТЭК, та же история, кстати. В обсуждении если и участвуют, то обычно лицензиаты, а это компании с измененным сознанием 🧟‍♀️ Во-первых, это приближенные к регуляторы люди или ранее там работавшие. Во-вторых, их сознание жестко запрограммировано и привычно к сертификации, аттестации и другим темам, которые не способны выполнять маленькие организации – как потребители, так и стартапы. Последние вообще не могут участвовать в работе вдолгую (жизненный цикл нормативки – это 1-2 года минимум) – им нужно зарабатывать здесь и сейчас 🤬 В итоге, они не могут вставить свое веское слово в нормативку, они не могут пройти требования по сертификации, они не могут попасть в реестры Минцифры или Минпромторга... И они сваливают из страны делать бизнес там, где, как им кажется, проще. А мы остаемся с теми же игроками, что и всегда.

В итоге получается все как в "эффекте Матфея", когда "богатые богатеют, а бедные беднеют" 🥳 А в ИБ - известные или громкие снова первые и получают все, что нужно, а маленькие и тихие, продолжают пахать, не рассчитывая, что их услышат. У ИБ-блогеров та же фигня, кстати. Если измерять каналы по цитируемости, количеству подписчиков и т.п., то выигрывать будут одни и те же из года в год, а начинающим будет пробиться сложно. По этой причине, кстати, на разных зарубежных ИБ-выставках проводят конкурсы стартапов или выделяют им удобные площадки, чтобы дать им возможность заявить о себе на фоне монстров ИБ. И ИБ-спикеры у нас тоже часто одни и те же, так как проще брать известных и проверенных, чем новичков, от которых непонятно чего ждать. И в премии "Киберпризнание" нас ждет та же история 🤷‍♀️ Хотя и хотелось бы верить, что нет...

#рынок #экономика #регулирование

Читать полностью…

Интересные цифры 0️⃣ тут нашел – по различным зарубежным отчетам, средний срок пребывания CISO в должности остается тревожно низким и составляет всего от 18 до 26 месяцев. Эта цифра резко контрастирует со средним сроком пребывания в должности других руководителей высшего звена, который составляет от 4,9 до 5,3 лет 🎁 Такой быстрый отток кадров приводит к отсутствию преемственности в стратегиях кибербезопасности и другим сложностям.

Хочется понять, насколько эта статистика применима к российской реальности. У нас картина такая же или все-таки поспокойнее? 🤔

#ciso #работа

Читать полностью…