MITRE выпустила новую версию матрицы ATT&CK v18 (тут и тут), в которой было сделано немало изменений, касающихся обнаружения техник и тактик. В частности: ✍️
1️⃣ Проведена полная "перестройка" раздела обнаружения (detection). ATT&CK ввела два новых объекта – Detection Strategies и Analytics, а также переработала модель связей между техниками, аналитикой и источниками телеметрии (Data Components). Это переводит рекомендации по обнаружению из "коротких заметок" в структурированные стратегии с платформенно-настраиваемой аналитикой. Рабочая среда Workbench (позволяет добавлять собственные объекты) уже поддерживает Detection Strategies; для интеграций доступны STIX-примеры и схемы совместимости.

2️⃣ Новые объекты/структуры телеметрии. Log Sources теперь встроены в Data Components (т.е. изменился способ описания, что именно нужно собирать), что делает привязку техники → стратегия → конкретная аналитика → телеметрия более модульной и машинно-дружественной.

3️⃣ Расширение покрытия Enterprise/Cloud/DevOps/Кубернетес/CI-CD и баз данных. Добавлены 14 новых техник, отражающих реальные атаки на контейнеры, Kubernetes API, конвейер CI/CD, облачные СУБД и т.п. Много изменений в уже существующих объектах матрицы.

4️⃣ Предложенная реструктуризация тактики Defense Evasion (бета-версия). MITRE предлагает разделить Defense Evasion на две тактики – Stealth (скрываться/искажать видимую картину) и Impair Defenses (активно саботировать средства защиты). При этом ряд техник будут перенесены в другие тактики (например, некоторые элементы – в Persistence или Privilege Escalation), а некоторые – удалены или переработаны. Это крупная архитектурная смена, которая может повлиять на модели сопоставления и метрики.

5️⃣ CTI (Groups / Software / Campaigns) – много нового по угрозам. Новая версия добавляет новые хакерские группы, кампании и ПО (например, 8 новых групп и ~33 новых программных семейств, 5 кампаний – на цепочки поставок, атаки на роутеры/виртуализацию и усилении активности северокорейских и китайских хакеров). Примеры: Medusa, Embargo/Qilin, RedLine Stealer и др.

6️⃣ Мобильная и ICS-части тоже обновлены. Мобильный профиль дополнили техниками, отражающими злоупотребления мессенджерами (Signal/WhatsApp) и усилением методов кражи учетных записей; в ICS расширили модель активов и связанных активов для лучшего соответствия отраслевой терминологии.

7️⃣ Запуск ATT&CK Advisory Council для формализации обратной связи сообщества и уже началось планирование версии v19.

#mitre #ttp #framework

Читать полностью…

Аккурат на эфире по автономным SOCам возник вопрос о том, кто несет ответственность #️⃣ за неверно принятые решения в SOCе, в котором нет людей, а есть только бездушные ИИ-агенты? И вот на обучении MBA меня на тумбе поймал Руслан и в свойственной ему футурологической манере спросил о развилках будущего и об ответственности ИИ... 🤯

В комменты к посту Руслана набежали боты 🤖, что заставило его написать в развитие интересный пост о будущем верификации. Но если Руслан об этом думаете с точки зрения футуролога, то я просто приземляю эту историю на ИБ и получается, что у нас будет развиваться не только рынок Human Identity или Machine Identity (а также HMI), но и рынок AI Identity, так как нам надо будет уметь отличать человека от ИИ-агента. Интересные времена ждут ИБшников... 🤖 А вы знаете, как проводить аутентификацию ИИ-ботов и ИИ-агентов?

#ии

Читать полностью…

Gartner выпустил новый магический квадрат 🟥 по SIEM, в котором произошли некоторые изменений по сравнению с прошлым годом не только с точки зрения мест участников, но и с точки зрения закрепившихся тенденций:
6️⃣ Современные решения должны быть SaaS и облачными, хотя еще не так давно идея передачи данных безопасности в облако вызывала споры, но сегодня стала практически само собой разумеющейся.
2️⃣ SIEM и SOAR слились. Последние еще встречаются как самостоятельные решения, но в контексте SIEM 2025 и далее годов SIEM это уже связка с SOAR.
3️⃣ UEBA (User & Entity Behavior Analytics) "поглощена" основным стеком обнаружения. Раньше UEBA была звездой машинного обучения и отдельной платформой у ряда вендоров, а теперь – просто еще одна функция внутри SIEM.
4️⃣ ИИ пока не показывает значительного эффекта, чтобы быть отраженным в магическом квадрате, который больше фокусируется на отзывах клиентов, которым пока важны именно базовый функционал – масштабирование, эффективное обнаружение, быстрое реагирование и т.п.

#siem #средствазащиты #тенденции

Читать полностью…

Кто помнит фильм "Привидение" с Деми Мур и Патриком Суэйзи? 🍿 Какая серьезнейшая ошибка демонстрируется в этом фрагменте с точки зрения кибербезопасности? (если вы не смотрели фильм, то даже не пробуйте угадать) 🍿

#кино

Читать полностью…

Американский штат Мэриленд 🇺🇸 опубликовал у себя на сайте формальную программу "раскрытия уязвимостей" (Vulnerability Disclosure Program, VDP) для систем, которыми владеет, управляет или эксплуатирует штат. Внешним исследователям (белым хакерам) безопасности предоставляется возможность выявлять потенциальные уязвимости. Система позволяет выявлять дефекты до того, как они будут использованы злоумышленниками, и тем самым укреплять защиту государственных систем и сервисов 🤕

Штат признает важность внешних исследователей безопасности 🤝 Если исследование проводится добросовестно (good faith), то есть без злого умысла, с целью улучшения безопасности, без вреда системе или нарушений приватности, то такое исследование считается авторизованным в рамках VDP, и DoIT OSM (Maryland Department of Information Technology и его подразделение Office of Security Management) не будет рекомендовать юридические меры воздействия против исследователя 🔒

После вступления в силу документ все подпадающие под него организации обязаны: 🧐
🔤 В течение 30 дней после публикации политики предоставить контактные данные (email и телефон) ответственных лиц для взаимодействия в рамках VDP.
🔤 Подтверждать получение каждого сообщения об уязвимости в течение 2 рабочих дней, направляя ответ в OSM.
🔤 Координировать планирование, исполнение и проверку мероприятий по устранению дыр с DoIT OSM; предоставлять нужную информацию для оценки риска и отслеживания устранения уязвимости.
🔤 Устранять (или принять решение об отказе от устранения) подтвержденные уязвимости в сроки, устанавливаемые DoIT OSM, в зависимости от оценки по степени серьезности (Critical / High / Medium / Low) и используя методологии вроде Common Vulnerability Scoring System (CVSS). Если устранение невозможно, то организовать процесс принятия риска.
🔤 Уведомлять DoIT OSM об окончании мер по устранению и сотрудничать с ним в проверке эффективности исправления.
🔤 Реализовать лучшие практики видимости VDP, например, разместить ссылку на программу в нижней части веб-сайтов, подпадающих под действие директивы (органов исполнительной власти штата, органов местного самоуправления и иных правомочных структур.

Интересная инициатива, по сути своей аналог Bug Bounty, которую запускало наше Минцифры. И никакого преследования "белых хакеров", контроля используемого ими арсенала, занесения их в реестр и вот этого вот всего... 🤔

#уязвимость #регулирование #оценказащищенности

Читать полностью…

По мнению Gartner период до 2026 года и далее станет временем, когда ИТ-компании и современный бизнес входят в фазу ускоренной трансформации – "волна инноваций, появившаяся за один год, превысила все, что мы видели ранее". На этом фоне американские аналитики под конце года разродились очередным видением 🔮 о том, какие технологии станут в следующем году превалирующими (хотя скорее надо это читать как "движение в эту сторону активизируется").

1️⃣ Платформы безопасности ИИ. Такие платформы объединяют функции защиты как сторонних, так и собственных ИИ-приложений; централизованная видимость, политики использования, защита от специфичных рисков ИИ (например, инъекции запросов, утечки данных, действия "беглых" агентов и т.п.).

2️⃣ Превентивная кибербезопасность. Gartner отмечает, что из-за экспоненциального роста атак на сети, данные и подключенные системы, компании все чаще переходят от реактивной защиты к проактивной (это точно прогноз на 2026 год?), имея ввиду SecOps на базе ИИ, обманные технологии и т.п. (про рост внимания к этим технологиям они говорят каждый год).

3️⃣ Конфиденциальные вычисления. Речь о выполнении вычислений в доверенных аппаратных средах (TEE – trusted execution environments), когда даже оператор облака или владелец инфраструктуры не может получить доступ к данным/нагрузкам. Очередная реинкарнация и развития TPM.

4️⃣ Физический ИИ. Этот тренд означает, что ИИ "входит" в реальные устройства – роботы, дроны, "умное" оборудование, машины, принимающие решения автономно. При этом появляются требования к слиянию навыков ИТ, OT и инженерии; вопросы управления изменениями и рабочих мест.

5️⃣ Цифровое происхождение. С развитием открытого ПО, компонентов третьих сторон, ИИ-генерации контента становится критичным проверять происхождение, владение и целостность софта, данных, медиа, процессов. Это про Software Bill of Materials (SBOM), базы аттестации, цифровые водяные знаки и вот это вот все.

6️⃣ Платформы суперкомпьютерного ИИ. Gartner выделяет сочетание CPU, GPU, ASIC, нейроморфных и альтернативных вычислений + оркестрация для сложных нагрузок.

7️⃣ Мультиагентские системы. Множество ИИ-агентов, действующих совместно или независимо, для достижения бизнес-целей; могут быть распределены по средам. Преимущества – автоматизация сложных процессов, масштабируемость, сотрудничество "людей + агенты".

8️⃣ Доменно-специфичные языковые модели. Поскольку универсальные LLM часто недостаточно точны для узких задач, появляются модели, обученные/донастроенные на отраслевых/функциональных данных.

9️⃣ ИИ-платформы разработки. Платформы, встроенные с GenAI, позволяют быстрее и проще создавать ПО – разработчики + бизнес-эксперты используют их совместно, с учетом требований безопасности.

1️⃣0️⃣ Геопатриация. Переезд данных и приложений из глобальных публичных облаков в локальные облака, региональных провайдеров или в собственные ЦОДы организации – из-за возросших геополитических рисков. Появляется новая архитектурная задача – контролируемое суверенное облако, локальные облака, управление данными в условиях геополитики.

Честно, ничего нового лично я в этом прогнозе не увидел, но возможно потому, что я давно погружен в тему ИИ+ИБ. Для тех, кто только погружается в эту историю отмечу ключевые изменения: ✍️
*️⃣ Безопасность ИИ становится отдельной дисциплиной, а значит нужна стратегия защиты ИИ-платформ, моделей, агентов. Это новая тема для специалистов по ИБ.
*️⃣ Проактивная кибербезопасность (предсказание, предупреждение) заменяет или дополняет традиционное реагирование.
*️⃣ Архитектуры обработки данных меняются (конфиденциальные вычисления, геопатриация, супер-вычисления), а значит обновляются требования и к безопасности.
*️⃣ Цепочки поставок и происхождение цифровых активов (software, data, активы) выходят на первый план с точки зрения рисков.
*️⃣ Разработка и применение ИИ-систем меняют роли, процессы и требуют пересмотра подходов к безопасности и управлению.

Короче, не расслабляемся, самообразовываемся, держим руку на горле пульсе ИИ 🤔

#тенденции #ии

Читать полностью…

Пока вы отдыхаете в свой законный выходной, у меня идет обучение 👩‍🎓 топ-менеджеров по программе MBA; читаю там модуль по кибербезу для руководителей и владельцев компаний из совершенно разных отраслей (строительство, рестораный бизнес, медицина, ритейл и т.п.) и с разной выручкой – от нескольких миллионов до десятков миллиардов. Очередной интересный опыт... 🤠

#обучение #cxo

Читать полностью…

Узнал тут про новую отечественную ИБ-ассоциацию, а она оказывается с 2022 года существует 😦 Сайт есть. Членов принимают. Протоколы собраний ведут. Моей НАИБАЛ (Некоммерческая Ассоциация по ИБ Алексея Лукацкого), с ее единственным членом, еще учиться и учиться у аксакалов... ☕️

Хотя фраза "организация, основанная с целью создания первой в России саморегулируемой организации" выглядит странно 🫤 Как и одна из частей миссии – "сокращать неоправданное вовлечение государственных регуляторов" (просится вопрос "куда?"). Зато деятельность ассоциации, которая "направлена прежде всего на создание благоприятных условий для профессиональной коммерческой деятельности членов Ассоциации" , предельно понятна и не требует пояснений. Может поэтому я и не встречал раньше ее на поле ИБ; даже с учетом того, что она разработала и утвердила систему добровольной сертификации "БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ" 🫤

Уж сколько было попыток создания систем добровольной сертификации средств защиты информации... А все бестолку – не понимает у нас бизнес эту историю – либо обязаловка и тогда в систему сертификации ФСТЭК или ФСБ (МО и СВР оставляем в стороне), либо "зачем нам тратить добровольно деньги?" 🤔

#рынок #оценкасоответствия

Читать полностью…

"Я понял, в чем ваша беда. Вы слишком серьезны. Умное лицо – еще не признак ума, господа. Все глупости на Земле делаются именно с этим выражением. Улыбайтесь, господа, улыбайтесь!" (с) "Тот самый Мюнхгаузен"

#биометрия

Читать полностью…

Сегодня выступал на Russia Risk 2025 в секции "Киберриски и кибербез финансовых организаций" 🏦 – на тему рисков для новых технологий (ИИ, кванты, блокчейн, ЦФА, RPA, беспилотники, IoT, ESG, открытый банкинг и т.п.). Времени было немного, но презентацию сделал с запасом, чтобы потом можно было ее расширять по необходимости и в направлении угроз и в направлении безопасности для всего того нового, что применяется и может начать применяться в финансовых организациях (и не только) 🛡

#презентация #технологии

Читать полностью…

А вот кому целую платформу, ориентированную на специалистов по кибербезопасности, где можно публиковать и обмениваться "правилами обнаружения", написанных на разных форматах 🔍 – yara, sigma, zeek, suricata, nova, elastic и др. Софинансируется этот открытый проект центром реагирования на инциденты Люксембурга CIRCL и проектом Евросоюза FETTA (Federated European Team for Threat Analysis).

ЗЫ. Github проекта - https://github.com/ngsoti/rulezet-core.

#обнаружениеугроз #soc #ttp

Читать полностью…

Почему "еще один плейбук в SOAR" – это не автономный SOC? Как перейти от ручного разбора инцидентов к системе, которая сама обнаруживает, расследует и реагирует – прозрачно, предсказуемо и под контролем? Неужели и правда наступил тот момент, когда L1 не нужен? 😂

В модерируемом мной прямом эфире AM Live разберем: ✍️
➡️ Где проходит граница между глубокой автоматизацией и настоящим автономным SOC (и почему подмена понятий опасна)?
➡️ Рабочие архитектуры: overlay над текущим стеком, интегрированные платформы, эмуляция действий аналитиков. Что выбрать на старте?
➡️ Практику внедрения: период доверия к ИИ, метрики (MTTD/MTTR, доля кейсов без участия человека), стоп-кнопки и RACI для ИИ-решений.
➡️ Технологии в связке: SIEM/UEBA/SOAR/TI/LLM – кто за что отвечает, где узкие места данных, как не попасть в vendor lock-in?
➡️ Риски и соответствие: объяснимость решений, ответственность за ошибочные действия, требования регуляторов, аудит и журналирование.
➡️ И много чего еще...

Регистрируйтесь и не говорите потом, что вас не предупреждали, когда ваше рабочее место аналитика SOC займет робот! 😆

#soc #мероприятие #ии

Читать полностью…

Ника препарирует очередной инцидент с точки зрения антикризисного PR. Отечественный облачный разработчик сканера уязвимостей Metascan столкнулся с попыткой внедрением вредоносного кода в свое ПО со стороны джуна на испытательном сроке 😱 Сообщение об инциденте было опубликовано... ботом. Ну а мне в данном инциденте интересно другое.

Это, пожалуй, первый публичный пример признания такого инцидента в российской ИБ-отрасли 🥇 Будут ли из него извлечены правильные уроки другими ИБ-разработчиками, многие из которых сталкивались с компрометациями своей инфраструктуры, но почти никогда не раскрывали деталей расследования и анализа последствий действий злоумышленников? Будет ли проверка со стороны регуляторов (а не только пугалки)? Может это станет основанием для усиления контроля за подрядчиками со стороны клиентов? 🤔

Если бы я работал в компании, которая столкнулась с таким инцидентом и имела смелость признать его (а скрыть такое, честно говоря, сложно), то я бы настаивал на следующих шагах: 👣
1️⃣ Выпустить пост-анализ (Post-Incident Review), описав это без упоминания личностей, но с указанием технологий и организационных решений. Это сразу превращает уязвимость в демонстрацию зрелости инженерных практик и этики безопасности; особенно в ИБ-компании, которая занимается работой с уязвимостями.
2️⃣ Прямая рассылка клиентам – короткое, честное письмо от компании (не от бота). Молчание воспринимается как попытка скрыть что-то нехорошее; честное объяснение – как гарантия открытости и компетенций. Может она и была в случае с Metascan, не знаю, я не их клиент.
3️⃣ Использовать ситуацию, чтобы выступить с экспертным комментарием в СМИ или на конференциях. Из “жертвы” компания превращается в эксперта, пережившего реальный инцидент и готового делиться опытом. От ИБ-компании – это особенно ценно.

Раз уж история началась с сообщения от бота, то и закольцевать ее можно было бы также, красивым сообщением от бота: 🤖

"Инсайдерские угрозы – один из самых сложных вызовов в кибербезопасности. Мы сами столкнулись с этим и теперь можем со знанием дела рассказывать, как выстроить устойчивые процессы. С тех пор мы переписали не только код, но и внутренние политики. Мы проверили наш процесс CI/CD, добавили дополнительную верификацию исходного кода и усилили контроль доступа на уровне GitLab и Jenkins. Также внедряем систему peer-review на всех этапах сборки. Не только усилили контроль за кодом, но также инвестировали в культуру доверия и ответственности среди сотрудников. Все обновлено, протестировано, проверено. Ваш обновленный бот, уже прошедший испытательный срок!".

Буду следить за ситуацией... 👀

#инцидент #антикризис #supplychain #проблемыибкомпаний #devsecops

Читать полностью…

Возникла тут тема повторить успех астрологического прогноза ♌️ по кибербезу, но уже на международной арене. И уже было почти все готово, когда, внезапно, ты узнаешь, что в исламе астрология находится под запретом и страны Ближнего Востока и многие страны Юго-Восточной Азии, где сильно присутствие Позитива, могут не воспринять твоего креатива, а еще и закидать камнями или отправить в зиндан 😡 Это все к разговору о том, что занимаясь ИБ, необходимо учитывать множество культурных и религиозных особенностей мест, где этот самый кибербез и обеспечивается.

Становится более понятным, почему фотостоки и визуализация в международных компаниях типа Cisco, IBM, Microsoft и т.п. настолько выхолощены и скучны до безобразия. А чтобы удовлетворить все возможные претензии со стороны меньшинств, религиозных течений, политических партий, гендерных групп и вот это вот все 🤔 Делать уникальный контент под каждую группу они не могут (дорого и лениво), вот и сокращают издержки...

#культура #религия

Читать полностью…

Пишут, что Департамент здравоохранения Москвы 🏥 планирует до 2027 года сделать резервные копии всех медицинских сведений из ЕМИАС... на бумаге. Если не придираться к цитате юриста, что:

"Требования к хранению персональных данных вынуждают дублировать сведения из ЕМИАС в бумажном виде для хранения в архивах"

(таких требований в законодательстве лично мне не известно), то эта история очень показательная ☝️ Последние годы российское здравоохранение активно продвигает электронный формат медицинских документов – введены правовые нормы, разрешающие или стимулирующие отказ от бумажного документооборота, а в нормативных актах прямо указано, что при хранении электронных медицинских документов должна быть организована резервная копия и возможность восстановления. При этом эксперты критикуют избыточное дублирование бумажной и электронной формы: 📄

"Эксперты НФ призвали исключить дублирование бумажных и электронных документов в здравоохранении".

Решение Депздрава идет вразрез с трендом. Почему? Если отбросить невозможное (надо срочно потратить неизрасходованный до конца года миллиард), то видится мне несколько причин: ✍️
1️⃣ Опасение, что резервные копии (электронные) не позволяют гарантировать восстановление. На практике крупные цифровые проекты часто сталкиваются с проблемами при резервировании – устаревшие форматы, миграции, отказ оборудования, человеческий фактор. Возможно, чиновники делают бумажную копию как "страховку"; если система выйдет из строя, бумага все равно останется (если хранится будет правильно).
2️⃣ Неумение в кибербез или недоверие к тем, кто это делает. В такой ситуации, бумажная копия может рассматриваться как менее уязвимая "офлайн"-страховка (хотя у нее свои риски: пожар, истирание, контроль версий, аудит изменений и т.д.).
3️⃣ Нежелание идти в ЭДО с его непостоянными требованиями и необходимостью постоянно перевыпускать ключи ЭП. Оставлю свое же предположение без комментариев 😊
4️⃣ Переходный этап / сохранение "legacy"-процессов. Медицинские учреждения часто имеют "привычку" бумажной работы, ведения бумажных карт. И даже при электронной системе документооборота могут поддерживать бумагу "на всякий случай" или из-за сопротивления изменениям. Помню в одном госоргане бухгалтера взбунтовались при попытке перевести их на Астру. Директору поставили ультиматум: "или Астра и ты без зарплаты или мы на Винде, но все как ты привык". Директор не стал сопротивляться, хотя по бумагам там 100%-е импортозамещение операционных систем и офисного ПО 😂
5️⃣ Возможно, существует бюджет на бумагу, заинтересованные подрядчики, "архивные" услуги, что стимулирует создание бумажных копий.

Если верно любое из первых двух предположений, то это плохой знак 👎 Государство не верит в кибербез, потому что не умеет выстраивать процессы. Вот тут в новом канале по ИБ об этом тоже упоминается. Одно дело в чеклисте проставить галочку "наличие бэкапа" и совсем другое дело выстроить процесс резервного копирования с регулярной проверкой возможности восстановления данных в заданное время 👎

Возможно, госорган не в состоянии выполнить растущее число разрозненных нормативных требований по ИБ от разных регуляторов ☹️ В любом случае если это станет трендом (а вот тут Евгений пишет о схожих проблемах), то это нехорошо; я уже привык к Госуслугам (ЕМИАСом не пользуюсь – раз в год только зайду посмотреть, сколько неоказанных мне в реальности услуг на меня навесили), с ними реально стало удобно и число походов по всяким госорганам за справками сократилось многократно 📉

ЗЫ. Спасибо подписчице, что подкинула новость в комментариях 🙏

#стратегия

Читать полностью…

Иду я, вижу — тумба стоит, а за тумбой — Алексей Лукацкий советы дает. И я так застеснялся, стушевался, великий все-таки, что все главные вопросы жизни, вселенной и всего такого — ну просто из головы вылетели! Спросил что-то про ответственность сильного искусственного интеллекта. А ведь мог узнать, кто мы и куда мы идем! Ну это уж в другой раз.

@yusufovruslan

Читать полностью…

Что же делать с "феноменом Баадера - Майнхофа", спросите вы, а я отвечу:
1️⃣ Осмысливать происходящее и пробовать понять, почему тот или иной объект или явление постоянно проявляются повсюду. Если все на рынке говорят, что у вас текут данные, то это подкрепляется данными ваших средств защиты от утечек и мониторингом Даркнета или нет? 🤔

2️⃣ Сохранять открытость и восприимчивость к другим мнениям и данным. Если вам говорят, что не надо платить выкуп вымогателям потому что они не вернут вам данные все равно, это подкреплено свежей статистикой или базируется на неудачном опыте одного говорящего? 🤔

3️⃣ Проверять источники информации и не фокусироваться только на одном из них, чтобы ваше восприятие не было искажено субъективностью или ИИ-алгоритмами. Если вы видите в СМИ, что основная киберугроза исходит из России, то может стоит перестать пользоваться Google и перейти на Яндекс или GPT-поисковики, которые работают немного иным способом и манипулировать которыми чуть сложнее? 🤔

4️⃣ Проверять факты, подтверждающие или опровергающие частоту встречаемости. Если вы прочитали у Gartner, что число атак на базе ИИ растет, то проверьте данный факт у кого-то из отечественных аналитиков 🤔

5️⃣ Проявлять внимательность к интерпретации вами частоты встречаемости чего-либо. Если вы только начинаете работать в ИБ и ваш опыт в этой области небольшой, то консультируйтесь у более опытных коллег (но не старперов, просиживающих штаны) 🤔

В общем, развивайте критическое мышление! 🤔

#психология #awareness

Читать полностью…

Термин "феномен Баадера – Майнхоф" возник после истории, рассказанной читателем газеты 📰 из города Сент-Пол (штат Миннесота). Он поделился на одном из форумом, что дважды за сутки случайно встретил упоминание немецкой леворадикальной группы 1970-х годов, возглавляемой Баадером и Майнхофом. Газета напечатала заметку об этом в 1994 году, и вскоре профессор Стэнфордского университета Арнольд Цвики описал похожее явление в лингвистике, назвав его "иллюзией частотности" 📊 Эффект Баадера–Майнхоф возникает, когда человек впервые сталкивается с новым понятием, а затем вдруг начинает замечать его повсюду (помните, когда вы покупали машину, то постоянно видели ту же марку вокруг?). На самом деле частота этого явления не изменилась – просто внимание стало избирательным. Психологи связывают это с когнитивным искажением (selective attention bias и confirmation bias): мозг замечает то, что подтверждает новое знание или ожидания 🧠

В кибербезопасности этот эффект тоже проявляется постоянно и об этом стоит знать, чтобы грамотно противостоять ему:
1️⃣ После участия в тренинге по фишингу сотрудники начинают "видеть фишинг везде": даже легитимные письма 💌 от ИБ-службы вызывают подозрения. Пример: после корпоративного киберквеста сотрудник видит слово "пароль" в письме и тут же репортит инцидент, даже если это письмо из HR. Или сотрудник увидел письмо, написанное стажером отдела маркетинга, не очень хорошо умеющего в русский язык, и сразу отправляет письмо в ИБ, ссылаясь на то, что во время обучения его внимание обращали, что мошенники часто делают ошибки в тексте ✍️

2️⃣ Когда СМИ или эксперты начинают активно обсуждать новый тренд – например, Zero Trust, XDR, ИИ в SOC или недопустимые события – его начинают "узнавать" повсюду, включая места, где он неприменим. Пример: компания внедрила сегментацию сети, а ИБ теперь называет это "Zero Trust", хотя это лишь его частный элемент. Или топ-менеджерам предлагают вместо сотен рисков фокусироваться на 4-6 недопустимых событиях, а вместо этого все ИБшники стали говорить о зеродеях как о недопустимом 📈

3️⃣ После громких новостей о кибератаках (Colonial Pipeline, SolarWinds, JLR, M&S, Аэрофлот, Винлаб и т.д.) руководители начинают "видеть аналогии" у себя. Пример: после новости о шифровальщике в ритейле любой сбой кассового ПО 🧾 воспринимается как "нас тоже взломали". Это усиливает тревожность, но иногда, правда, помогает быстрее реагировать.

4️⃣ После того как аналитик SOC впервые поймал атаку с использованием PowerShell, он начинает обращать внимание на любые PowerShell-события, игнорируя при этом другие важные векторы атак. Эффект усиливает туннельное зрение и снижает полноту аналитики 🧑‍🦯

5️⃣ Когда СМИ активно тиражируют тему "ИИ-хакеров" или "deepfake-утечек" 🎭, у аудитории формируется ощущение, что все угрозы теперь связаны с ИИ. В результате компании переоценивают риск новых технологий и недооценивают старые, но по-прежнему актуальные векторы – фишинг, учетные данные, RDP, непатченные уязвимости, слабые пароли, отсутствие MFA и т.п.

Почему это важно: 🤔
🔣 В обучении: помогает объяснять сотрудникам, что "чувство, будто угроз стало больше" – иллюзия восприятия (если этот факт не подкреплен цифрами).
🔣 В аналитике: требует коррекции через статистику и верификацию данных (а не интуицию).
🔣 В коммуникациях: помогает маркетологам и PR-службам осознанно не "перегревать" темы, чтобы не вызвать ложное ощущение массовости проблемы (если нет именно такой задачи).
🔣 В стратегическом управлении ИБ: защищает от избыточных инвестиций в "последнюю модную угрозу", забывая о базовых вещах (патч-менеджмент, сегментация, MFA...).

А как снизить негативный эффект от феномена Баадера - Майнхофа, мы поговорим попозже (не влезает все в один пост в Телеге) ⏳

#психология

Читать полностью…

Питер Вильямс (Peter Williams), бывший руководитель подразделения кибербезопасности компании L3Harris Technologies (конкретно, ее подразделения L3Harris Trenchant, специализирующегося на инструментах "хакерского"/ разведывательного профиля 🥷), обвинен правительством США в краже коммерческих/технологических секретов 🤒

В обвинительном документе указано, что примерно с апреля 2022 года по июнь/август 2025 года он похитил пятнадцать секретных технологических продуктов либо разработок у двух компаний. Названия компаний не раскрываются, но возможно речь идет о Azimuth и Linchpin Labs, двух стартапах, которые занимались разработкой Zero Day и продажей их спецслужбам альянса "Пяти глаз" 👁, и которые в 2018 году были куплены L3Harris. Целью похищения, как утверждают прокуроры, было дальнейшее их предоставление покупателю, расположенному в Российской Федерации 🇷🇺 Сумма, которую он якобы получил от сделки, составляет около 1,3 млн долларов США.

ЗЫ. С Trenchant и другой свежий кейс связан... Возможно, это все звенья одной цепи 🔗

#ответственность

Читать полностью…

Разговоры о стоимости утечек персональных данных ведутся давно и часто звучит мысль, что эта оценка сродни магическому ритуалу 🔮, когда ты смешиваешь различные ингредиенты, произносишь слова, смысл которых не понимаешь, и... может получиться, а может и нет. Как по мне, так аналогия с ритуалом действительна хороша, но только в ином контексте – ты просто должен соблюдать процедуру и разбить задачу на ингредиенты составные части, то есть провести декомпозицию 📈 Одним из возможных вариантов решения этой задачи является метод ABC (Activity-Based Costing), который обеспечивает метод распределения расходов по видам деятельности и продуктам.

В случае с утечками мы расходы на нее разбиваются по центрам расходов: 📊
1️⃣ Обнаружение и эскалация, включающие в себя активности по расследованию, оценке ущерба, привлечению внешних экспертов, управление кризисом и т.п.
2️⃣ Уведомление пострадавших и всех необходимых регуляторов (РКН, ФСБ, ЦБ, Минцифры) и иных заинтересованных сторон (платежные системы, СМИ, акционеры, совет директоров и т.п.) различными способами – заказные с уведомлением, СМС (они, прикиньте, тоже денег стоят), массовые звонки (тоже за деньги), аренда центров обработки вызовов.
3️⃣ Реакция после инцидента: возмещение ущерба, компенсация, юридическая помощь, кредитный мониторинг, замена удостоверений личности, смена номера телефона, заведение новых учетных записей и счетов, штрафы, скидки и т.д.
4️⃣ Потерянный бизнес: потеря клиентов, простой, ущерб репутации, недополученная прибыль и т.п. 📊

Такой подход дает конкретные цифры и сценарии, что усиливает аргументацию 🧐 при обсуждении с бизнес-руководством: "если мы ничего не сделаем – риск $$$". Главное – декомпозируйте все активности, связанные с утечкой по статьям расходов и все станет гораздо проще. И даже если вы не учли что-то в своей калькуляции, это лучше, чем ничего и чем утверждать, что посчитать стоимость утечки невозможно 📈

#ущерб #утечка

Читать полностью…

На эфире по автономным SOCам прозвучал тезис, что Россия 🇷🇺 на 2-3 года (оптимистично) опаздывает в части внедрения соответствующих технологий по сравнению с Западом. Подтверждаю эту мысль - больше года назад я делал обзор того, что можно было бы назвать NG SIEM и автономными SOCами. Для нашего R&D. Думаю выложить этот обзор, – он достаточно подробно раскрывает то, что сейчас делается по ту сторону океана и в Израиле в этой сфере. Да и отдельные, позитивные, наши вендора тоже движутся в этом направлении ☺️

#soc #siem

Читать полностью…

Потихонечку история с атакой на Jaguar Land Rover переходит от умозрительных к более осязаемым потерям. Согласно отчету независимого центра Cyber Monitoring Centre, атака на JLR повлияла на более чем 5000 организаций и обошлась британской экономике примерно в £1.9 миллиарда (или 2,25 миллиарда долларов) 🤑 В сентябре 2025 года производство автомобилей в Великобритании упало примерно на 27% по сравнению с тем же месяцем годом ранее. Широкая остановка производства JLR, крупнейшего британского автопроизводителя, стала ключевым фактором этого падения 📉

Ущерб носит не только прямой характер (потеря производства), но и каскадный: сбои в цепочке поставок 🏎, задержки комплектующих, финансовая нагрузка на малых и средних подрядчиков. Производство было приостановлено на несколько недель, и поставщики уже начали сокращать часы работы и даже увольнять сотрудников 🤸 JLR объявляла о том, что пока не обнаружила доказательств утечки клиентских данных, но приостановка производства и ее последствия идут дальше.

Основной удар приходится не только на JLR как компанию, но на всю цепочку поставок, что усиливает мультипликативный эффект 🐇 Даже если JLR "выдержит" благодаря большим ресурсам, мелкие фирмы-поставщики несут основной риск: кассовый разрыв, временные увольнения, потеря контракта. Отчет CMC подчеркивает: многие убытки – это упущенная выручка / остановка производства, а не только расходы по восстановлению или штрафы (в этой части много неясного до сих пор) 👨‍🦽 Сценарии "длительного восстановления" сильно увеличивают ущерб: чем дольше простои, тем выше риск: £1.9 млрд – ориентир, но диапазон ущерба может быть выше при отсроченном запуске остановленных заводов. Отдельный аналитический материал оценивал, что JLR может потерять > £3.5 млрд выручки, если простои продлятся до ноября (осталось недолго ждать), и что ежедневный убыток может составлять ~£72 млн 💷

#ущерб

Читать полностью…

Биометрия безопасная говорили они))

p.s. от подписчицы)
#meme

😎 BESSEC | 🤕Кибер КИТ

Читать полностью…

Вчера модерировал эфир AM Live про автономные SOCи. Как и всегда рекомендую посмотреть запись эфира 📺 (выложена на Youtube, VK Video, Rutube), а я наброшу несколько тезисов, которые мне запомнились по ходу дискуссии (конкретные сценарии применения LLM в разных SOCах тоже озвучивали, но это вы увидите в записи): 🤖
1️⃣ В полностью автономный SOC (без участия человека) не верит ни один эксперт! Как минимум, процесс принятия решения и процесс реагирования реализуется с участием человека; а также threat hunting и форензика.
2️⃣ На стороне MSSP/MDR автономный SOC будет строиться на базе комбайна технологий и решений, в то время как в in-house SOC эффективнее это делать на базе интегрированной data-driven платформы (озеро данных + слой аналитики + модули). И да, привязка к конкретному вендору (vendor lock-in) неизбежна.
3️⃣ Количество людей в автономном SOC не снизится, так как нужны инженеры данных, инженеры по ML, AI Red Team для проверки качества работы автономного SOC. А L1 просто поднимется на уровень выше – текущие роли будут перераспределены.
4️⃣ Автономный SOC стоит недешево и поэтому это пока удел либо очень крупных заказчиков, либо MSSP/MDR, который могут инвестировать в технологии в расчете на будущее.
5️⃣ Передача ПДн в аутсорсинговый SOC – это боль и регулируется фигово, а российские LLM-провайдеры не очень пекутся о конфиденциальности передаваемых в них данных (с юридической точки зрения).
6️⃣ Отвечает за ошибки автономного SOC должен всегда человек, как правило, руководитель SOC. Тут никакой дилеммы, как у производителей беспилотных авто, у коллег не было.
7️⃣ В обмен датасетами для обучения ML между SOCами никто не верит и не хочет этого, что в целом понятно, конкуренция-с... А вообще датасеты и качество данных – это краеугольный камень качества автономного SOC. И была подсвечена очень интересная тема – обновление моделей в ПО, поставленном вендорами своим заказчикам. Все это обман и профанация, так как все такие решения все равно ходят в вендорское облако (в этом случае обновление – не проблема). А вот когда модели будут поставляться с ПО, вот тогда обновление станет проблемой – ведь если заказчик дообучивает модель на своей инфраструктуре и данных, обновление от вендора может удалить все результаты внутреннего обучения. И как быть?
8️⃣ Переход к полностью автономным SOCам коллеги ожидают не ранее 2030 года, а то и позже.
9️⃣ Без знания ИИ сегодня никуда – и дело не в том, что он заменит человека, а в том, что без него сегодня нельзя заниматься ИБ и это точно не отдельные специалисты должны быть, а собственные знания 🤔

#soc #ии

Читать полностью…

Выступал вчера на Евразийском конгресе по защите данных (EDPC) и в секции по кибербезу прозвучала мысль, что нет методик подсчета репутационных рисков от утечек 🤔 На самом деле есть глобальное исследование Ponemon Institute, которое показывает, что репутационные издержки (например, уход клиентов и потеря лояльности, работа с негативом в СМИ и соцсетях) составляют около 40% от общей суммы потерь 🤑

При этом важно помнить, что репутационные эффекты часто отложены во времени: сразу после инцидента может быть шок-эффект, потом – уход клиентов/партнеров, снижение числа новых сделок 📉 Нужно мониторить не только момент первичной реакции на инцидент, но и средне-долгосрочный эффект. И даже учитывая "усталость" аудитории новостями об утечках – компаниям все равно нельзя расслабляться: именно "тяжелые" инциденты (с утратой финансовых данных, платежных карт, медицинских данных, массовых утечек) чаще всего приводят к сильному ущербу. Реакция рынка, общества, клиентов, СМИ и т.п. будет сильно зависеть от контекста: насколько инцидент серьезен, как компания реагирует, как с ней взаимодействуют СМИ и клиенты и т.п. 📰

И, если обратить внимание, считать репутационные потери не так уж и сложно, – уход клиентов, 📉 снижение числа сделок с оставшимися, рост числа публикаций со знаком минус, падение курса акций, – просто это не привычные метрики, которые мы можем взять из SIEM, VM или EDR. И да, ИБшники или DPO такое обычно не делают; поэтому и кажется сложным. Но если выводить ИБ на уровень бизнеса, то, заручившись поддержкой коммерческого депратамента и PR-службы, все это можно считать 🧮

#ущерб

Читать полностью…

Все хорошо в стремлении государства бороться с утечками 🛡, только одно смущает, – смотрит оно на эту проблему слишком прямолинейно и не учитывает психологию общества субъектов ПДн. Например, есть такое понятие как синжром усталости от утечек (data breach fatigue), то есть состояние, когда у потребителей, пользователей или даже организаций снижается реакция на сообщения об инцидентах с данными 😴

Причины следующие: ✍️
➡️ Большое число утечек и фрагментарных инцидентов → "ну что, опять утечка?", "меня все равно это не коснется".
➡️ Чувство бессилия: "если даже крупные компании подвергаются, что мне-то поможет".
➡️ Перегрузка уведомлениями: уведомления об утечках, правила безопасности, смены паролей и т.п. → снижение отклика, игнор.
➡️ Адаптация: люди привыкают к тому, что "утечка данных = норма", и теряют восприятие инцидента как чего-то экстраординарного.

Для организаций этот феномен опасен тем, что даже если инцидент случается – он может не вызвать нужной реакции пользователей, перестать восприниматься как тревожный сигнал, что снижает стимулы как для улучшения защиты, так и для быстрого реагирования 😴

И есть немало исследований, которые подтверждают этот факт, например: 😑
➡️ По данным Vercara в 2024 году лишь 58% потребителей указали, что утечка данных повлияла на их доверие к бренду, тогда как в 2023 году было 62%
➡️ Согласно исследованию TIG Advisors 155.8 миллиона американцев столкнулось с утечками их ПДн, что должно было привести к десенсибилизации (снижению чувствительности) пользователей к новостям об утечках.
➡️ Организация StaySafeOnline заявляет, что пользователи при описании "data breach fatigue" указывают следующие симптомы: десенсибилизация ("О да, опять утечка"), апатия ("Что я могу сделать?"), бездействие ("Опять пароли менять? Нет сил") 😑

Что делать с этой усталостью? Варианты есть и их можно было бы назвать термином "умное защита от утечек":🤓
➡️ Мониторьте не только количество уведомлений об инцидентах, но и качество реакции на них пользователей и клиентов – как сильно они реагируют, меняют ли поведение.
➡️ Разработайте стратегию коммуникации: уведомления должны быть понятными, конкретными, с четкими действиями, минимальной "технической болтовней". Исследование по уведомлениям показывают, что многие уведомления, которые пишутся DPO или ИБшниками, длинные, сложные и пользователи не понимают, что делать (или не дочитывают).
➡️ Уделяйте внимание "умной" безопасности: не просто больше уведомлений, а выборочно, с акцентом на значимые события, и с фокусом на обучение и повышение вовлеченности. Это поможет противодействовать усталости.
➡️ Включите метрики по усталости: например, доля пользователей, которые не отреагировали на уведомление, доля, которая перешла к другому провайдеру после инцидента, изменение лояльности и доверия.
➡️ Внутри организации: обращайте внимание на сотрудников – частые требования по ИБ, обновления безопасной политики, рост фрустрации могут привести к снижению соблюдения или даже саботажу (неумышленно). Требуется баланс между безопасностью и "человеческим фактором" ⚖️

А что делать государству? А хрен знает – его действия в последнее время не всегда подчиняются логике и здравому смыслу; а уж активность РКН тем более 🤔

#утечка #персональныеданные #психология

Читать полностью…

Ольгу Бузову взломали, о чем она в шоковом состоянии сообщила в Telegram. Потерян доступ к страницам с 24 миллионами подписчиков 😲 Интересно было бы узнать детали произошедшего, но пока звезда пилит только кружочки с переживаниями о произошедшем и о том, что она держится из последних сил, скорбя о потере страницы с таким количеством подписчиков 📈

Ну а мошенники пока этим пользуются, распространяя всякое... Понять боль "актрисы" и "певицы" не сложно – по экспертным оценкам (не моим), ее годовой доход от рекламы в соцсетях составляет около 80 миллионов рублей (один рекламный пост стоит от 300 тысяч до одного миллиона рублей). Есть за что переживать... 😭

Хотя может ей действительно жалко терять контакт со своими миллионами подписчиков, с которыми она общается сама без всяких помощников и вот этого всего... Мне сложно понять ее чувства – рекламу не размещаю, миллионов подписчиков не имею. Разные у нас весовые категории ⚖️

#инцидент

Читать полностью…

Помните историю про отключение банков от СМЭВ при отсутствии аттестации ФСТЭК? 🗂 История получает свое развитие. Банки получили от Минцифры письмо, в котором говорится о риске отключения от ЕСИА при отсутствии СКЗИ класса КС3 (VPN и средство ЭП). Не знаю, что стоит за этим письмом (не инцидент же), но описанная в нем логика прослеживается достаточно давно. Например, ФСТЭК еще с 2022-го года считает, что внутренний нарушитель есть всегда, а значит по линии ФСБ 🇷🇺 – это уже модель нарушителя Н3 и средства криптографической защиты не ниже класса КС3. А в 2019-м году на Магнитке зампред ЦБ, Ольга Скоробогатова, прямо говорила, что по их мнению все банки должны использовать СКЗИ классом не ниже КС3.

Отдельной вишенкой на этом "торте" 🍰 является предупреждение от Минцифры 🔢 о том, что если кто-то не исполнит описанные требования, то доступ к ЕСИА может быть ограничен, а к нарушителю может быть отправлена проверка ФСБ 👮

Но, как мне кажется, банки 🏦 – это только начало и требование применения КС3 будет распространено на все компании, подключающиеся к ЕСИА. Что это значит для большинства компаний? Например, запрет на виртуализацию и облака, в которых КС3 просто нельзя реализовать из-за требований ФСБ к криптографии этого класса защиты. В свою очередь это приводит нас к перестройке архитектуры решений, пересмотру используемых решений, росту затрат... А учитывая, что в ЕСИА/ЕБС сегодня загоняют многих, то 🕺

#регулирование #криптография #тенденции

Читать полностью…

Был вчера на записи подкаста 🎙 про процессы и оценку эффективности SOC и зашел у нас разговор за метрики. Не успел раскрыть мысль на эфире, поэтому напишу тут. Снова про закон Гудхарта, который утверждает, что как только ты сделаешь какую-то метрику главной, она перестает быть полезной. Потому что специалисты, подрядчики или даже руководители найдут способ превратить ее в профанацию (вообще про "закон Гудхарта" я немало написал в канале) 🤷‍♀️

Если, например, сделать главной метрикой 👉 количество закрытых инцидентов, SOC начнет закрывать их быстрее – не разбираясь в сути, не устраняя первопричины и не улучшая процессы (не сразу, но начнет). Если в приоритете количество обнаруженных уязвимостей (если это включено в сервисы SOC, конечно), команда начнет искать их там, где проще, игнорируя сложные и критичные участки, целевые системы и т.п. 🤕 Или наоборот – искусственно раздувать отчеты, чтобы продемонстрировать "активность". Когда в одной компании метрикой выбрали "нулевое количество утечек", сотрудники просто перестали о них сообщать 🤐 – чтобы не портить статистику. Реальных инцидентов стало не меньше, просто они ушли в тень.

Идеальной метрики в ИБ не существует 😱 Потому что как только появляется система оценки, люди начинают играть с правилами, а не с результатом (в любой системе). Поэтому не стоит превращать киберустойчивость, доверие или безопасность бизнеса в единственную "священную метрику" 🐮 Это должно оставаться стратегической сверхцелью, которую метрики лишь приближают, но не подменяют 😵

В качестве главной метрики 🎖 разумно выбирать тактическую цель, которая помогает продвинуться к стратегической – например, долю покрытых систем мониторингом, скорость реагирования или процент пользователей, прошедших тренинг повышения осведомленности, но не сообщивших о фишинге. Но как только сотрудники научатся "играть" с этой метрикой, а они научатся, – придется искать новую ☺️ Метрики должны жить, меняться и эволюционировать вместе с угрозами, технологиями, задачами, бизнесом, иначе они сами станут самым слабым звеном.

ЗЫ. А у вас есть процесс управления измерениями ИБ? Кстати, на SOCcon тоже будем об этом говорить.

#soc #метрики

Читать полностью…

Продолжим смотреть на убытки от кибератак 🤑; на этот раз английский ритейлер Marks & Spencer (M&S), который в конце апреля 2025 года столкнулся с крупным "кибер-инцидентом", при котором были отключены онлайн-заказы по одежде, домашним товарам и средствам красоты, а также некоторые функции в магазинах, например, Click & Collect. Онлайн-заказы были приостановлены примерно на 46 дней, прежде чем M&S смогла возобновить оформление заказов на доставку 📦 При этом утекли персональные данные клиентов. По данным проведенного расследования, вход был получен через стороннего подрядчика, посредством социальной инженерии (сброс паролей через help-desk). Ну а теперь к убыткам 💸

M&S оценивает удар по операционной прибыли примерно в £300 миллионов фунтов стерлингов (≈$400 миллионов) в 2025 финансовом году из-за последствий атаки. Аналитики оценивают, что убытки уже могли составлять £60+ миллионов к маю 2025-го, с падением рыночной капитализации M&S более чем на £1 миллиард (в реальности около 700 миллионов) 📉 Снижение доступности товаров в магазинах: из-за отключения систем заказов и логистики M&S сообщала о дефиците некоторых продуктов в магазинах. Дополнительные расходы: переход на ручные процессы, замена/восстановление ИТ-систем, аудит безопасности, внешние консультации – все эти статьи количественно не явно раскрыты, но отмечены как значимые. Репутационные риски 🤠 и утрата доверия: компрометация данных клиентов (имена, адреса, история заказов) может повлечь отток клиентов, снижение лояльности и дальнейшие расходы, но оценить это можно будет позже.

Наряду с прямыми потерями есть "хвостовые эффекты" – снижение роста, изменение поведения покупателей, усиление конкурентного давления и т.п. 🛒 Кроме того, отмечается потеря эффективности цепочки поставок из-за временной нестыковки между складами, ИТ и ритейлом; частичное ручное резервирование заказов. Компании пришлось отложить часть ИТ-инициатив, чтобы перераспределить ресурсы на восстановление. После атаки Marks & Spencer объявила об увеличении бюджета кибербезопасности (цифры не раскрывались, но ожидается рост на 30–40%) 🛡

Инцидент M&S – один из крупнейших по стоимости в британском ритейле (инцидент с Co-op уступает по размере потерь) 🤑 Но этот кейс не относится к стратегическому кризису (компания осталась прибыльной и ликвидной), хотя в совокупности и потеряет (напрямую) около 0,2–0,3% годового оборота (а также около 2,5% в качестве операционного эффекта и около 6% рыночной стоимости, то есть восприятия рынком, а не денежного оттока), что представляет собой статистически умеренное воздействие, если не считать репутационных последствий и операционного эффекта ☺️ Это не системный провал безопасности, а скорее недооцененный подрядчик и человеческий фактор. Но в любом случае неприятно.

#ущерб

Читать полностью…