Пост Лукацкого

11 November 2025 18:21

И этот день, как и вчера, мы финалим искусственным интеллектом 🧠, а именно очередным руководством по безопасности ИИ от SANS. И хотя это проект, он достаточно неплохо систематизирован и, в целом, вполне интересен уже сам по себе. Там даже история с мониторингом ИИ и упомянутого утром инференса упоминается 🤔

Заметили, что я стал все чаще писать про ИИ в контексте кибербезопасности? ✍️ Это я еще себя сдерживаю, так как в новостном потоке эта тема реально стала доминирующей – чуть ли не половина всех новостей про это. Да, местами это хайп или переливание пустого в порожнее, но часто бывает немало реально полезного контента. Не все из этого релевантно для нашего региона, но многое. Так что изучайте ИИ... с разных сторон 👩‍🎓

#sans #ии #mlsecops

Пост Лукацкого

11 November 2025 14:42

Помните эфир AM Live по MLSecOps? На нем два участника упомянули, что разрабатывают свои фреймворки по безопасности ИИ к уже существующим на тот момент трем российским – MLSecOps Framework от PT 🟥, руководство от Сбера 🏦 и AI SAFE от Яндекса 🔴 А вот тут еще один фреймворк анонсировали. Может и мне свою вчерашнюю табличку тоже фреймворком назвать?

#mlsecops #framework #ии

Пост Лукацкого

11 November 2025 05:40

Интересную статью прочитал 📖 Автор рассматривает сценарий, когда злоумышленник пытается использовать локальные модели ИИ и библиотеки инференса (то есть "на месте", на зараженной машине) для создания автономного вредоносного ПО без взаимодействия с командным сервером 🤬 Автор начинает с литературной отсылки – к роману "Нейромант" (Нейромансер) Уильяма Гибсона, где речь, среди прочего, идет о суперинтеллектуальном вредоносе способном действовать автономно. Автор задается вопросом: если бы злоумышленник сегодня пытался сделать такую автономную "машину", как она бы выглядела? Ответ: с помощью больших языковых моделей (LLM) и библиотек инференса – вот мы сейчас и находимся в этой точке 🤖

Он называет эту концепцию "Living-Off-the-Land Models and Inference Libraries" (LOLMIL), то есть использование того, что уже есть в системе или поставляется с ней, без необходимости внешнего управления 🤖 Статья исследует, насколько это реально, какие технологии позволяют сделать такое, и какой прототип удалось реализовать. Автор приводит пример вредоноса под названием PromptLock, но задается вопросом, а можно ли пойти дальше – сделать все локально, без внешнего GPT-сервера? 🤔

Автор отмечает, что современные ПК (например, "CoPilot+ PC") 🧑‍💻 могут содержать нейронные ускорители (NPU) и предустановленные модели. Упоминает модель Phi‑3, и библиотеку ONNX Runtime, встроенную в Windows начиная с версии 1809. Идея: если модель + инференс-библиотека уже поставляется с ОС или "железом", то злоумышленнику не надо тянуть внешние модули – он может "жить" целиком за счет локальной системы 👩‍💻 Автор отмечает, что хотя встроенная библиотека не содержит всех нужных примитивов (например, для генеративного ИИ) из версии onnxruntime-genai, это – скорее вопрос времени. Также он отмечает, что даже если локальная модель хуже, чем облачная (например, OpenAI или Anthropic), она может быть "достаточно хорошей" для выполнения конкретной задачи вредоноса 🦠

Автор разработал прототип 🧑‍💻 вредоноса, но признает, что он не идеален – задача была сильно упрощена. Основное ограничение: большинство машин не имеют мощных GPU/NPU и нет предустановленных моделей – запуск инференса на CPU сильно замедлит систему, и вредонос будет заметен. Однако, когда такие машины станут массовым явлением (например CoPilot+ ПК), и модели будут встроенными, этот сценарий станет реалистичнее. Автор считает, что полностью автономное вредоносное ПО на базе локальной модели без внешнего управления – не фантастика 👨‍💻

Смена парадигмы "вредонос получает команды с сервера" – это уже не фантастика. А значит, что защита от таких сценариев требует не только привычных мер (антивирус, EDR, NDR/NTA для обнаружения взаимодействия с C2-серверами), но и превентивных мер: 🛡
➡️ контроль, что на машине не запущен неизвестный модельный код,
➡️ проверка сервисов с необычными правами,
➡️ мониторинг локальных инференс-движков,
➡️ контроль неожиданной загрузки NPU/CPU,
➡️ контроль целостности локальных моделей и библиотек,
➡️ белые списки для запуска инференс-компонентов,
➡️ проверка происхождения моделей.
Теперь защитные механизмы EDR должны будут учитывать особенности автономных ИИ-агентов: генерация скриптов/кода локально, частые записи/модификации сервисов, необычные обращения к win32/службам и попытки эскалации – все это стоит включить в сценарии обнаружения 🔍

Отдельные эксперты дополняют, предложив идею Франкенвычислений 🧟‍♀️ (Frankencomputing), то есть практики "сшивания" вычислительных ресурсов (малопроизводительных GPU/CPU, NPU на устройствах) в неформальные кластеры, чтобы запустить более тяжелые модели (этакий ИИ-блокчейн) 📇 Если такая практика распространится, у злоумышленников появится путь к запуску более мощных локальных моделей (и значит к более автономным агентам). Это – заметный уровень риска, заслуживающий внимания, но не немедленной реакции 🤔

#ии #malware #тенденции

Пост Лукацкого

10 November 2025 14:42

А как оценивать продукты ИИ-революции в ИБ, с которыми к нам постоянно приходят вендора, упомянутые в прошлой заметке? А вот вам матрица оценки ИИ-поставщиков для CISO, чтобы быстро отсеивать мусор, объективно сравнивать вендоров и привязывать ИИ к бизнес-результату, а не к магии 🧮 Вы суммируете баллы из 4-й колонки, экспертно оценивая продукт по пятибалльной шкале. По итогам вы получаете следующие результаты:
➡️ <35 – вы имеете дело с ИИ-театром и лучше не тратить время.
➡️ 35-49 – маркетинга тут пока больше, чем ценности. Возможно взять на пилот, если есть интересный use case.
➡️ 50-64 – условно перспективное решение. Можно PoC, но только точечно и затем наблюдать развитие.
➡️ 65-75 – топ-поставщик. Решение можно включать в стратегию 🤔

ЗЫ. Матрица придумана на коленке; поэтому можете смело ее расширять своими вопросами, поменять пятибалльную шкалу на трехбалльную и вообще можете даже все это игнорировать 😂 А на "красные флаги" обратите внимание...

#ии #стратегия

Пост Лукацкого

10 November 2025 05:40

Был в американской авиации ✈️ период, когда количество инцидентов стало прям зашкаливающим. Помимо всех прочих мер была создана система ASRS (Aviation Safety Reporting System), обеспечивающая свободное, анонимное и конфиденциальное сообщение обо всех проблемах в авиакомпаниях, диспетчерских, наземных службах и т.п. ASRS собирала, анализировала и реагировала на все эти сообщения, что позволяло снижать вероятность инцидентов в воздухе ✈️

При этом ASRS была создана и поддерживалась агентством NASA, которое выполняло роль независимого участника, на которого было сложно влиять 🛩 При этом всем отправившим сообщение гарантировался иммунитет от преследования. Именно эта независимость и конфиденциальность стали ключом к успеху системы, опыт которой затем перекочевал в железнодорожную сферу, медицину, пожарную и оффшорную добычу нефти 🚨

Интересно, если бы в кибербезе появилась такое, то позволило бы это поднять уровень ИБ в стране?! 🤔 Когда вы можете сообщить о том, что на ОКИИ занимаются очковтирательством, происходят инциденты, не устраняются уязвимости, не внедряются механизмы защиты, и при этом быть уверенными, что вам ничего за это не будет и вообще никто за это не узнает... Что думаете? 🤔

#управлениеинцидентами #ответственность

Пост Лукацкого

09 November 2025 12:42

Наткнулся тут в одном блоге по процессам ИБ на упоминание фреймворка "Киневин" (Cynefin), который был мне раньше не знаком, но который находит свое применение в управлении процессами и задачами (описание концепции можно почитать там же, в канале). А я подумал, что его можно применить и к ИБ. Часто в ИБ пытаются решать разные типы задач "одним и тем же способом" – "Киневин" позволяет избежать этой ошибки.

🔤 На первом уровне (Очевидный / Clear / Obvious) мы выбираем достаточно простую модель управления ИБ. У нас есть некая причина, следствие из который очевидны и есть однозначный набор "лучших практик". Например, патч выходит на известную уязвимость без эксплойта – нам просто нужно обновиться по регламенту. Обнаружили ВПО по известной сигнатуре – антивирус его удаляет (лечит). Стоят задачи по парольной политике, правилам бэкапов (про бекапы, кстати, тоже в канале выше есть), VPN по ГОСТ?.. Просто используем стандартные best practice. Здесь не нужны мозговые штурмы и "креатив SOC"; нужны регламенты, рутина, автоматизация. Процессы, кстати, тут еще не нужны.

🔤 Второй уровень "Киневина" – сложный / complicated. Его суть заключается в следующем. Есть причина → существует следствие, но нужны эксперты, которые помогут связать одно с другим и найти выход. Стоит задача провести архитектурный аудит ИБ (Zero Trust, сегментация и т.п.)? Решение не очевидно, нужны эксперты, соответствующие модели, проведение анализа. Хотим выбрать SIEM/EDR/VM? Разрабатываем критерии для своих нужд, метрики; можно сравнивать. Это больше домен консалтинга, аналитики, стандартизации.

🔤 Третий домен комплексный / complex. Тут все становится сложнее – причинно-следственные связи становятся ясны после наступления событий ИБ ("порядок проявляется из хаоса"). Например, SOC должен реагировать на неизвестную атаку / 0-day. Плейбуков нет - учимся в бою. Реализует threat hunting в новой среде? Выявляем закономерности через эксперименты. Хотим понять эволюцию APT? Проводим аналитику после множества кейсов, проведения ретроспективы. На этом уровне нужны гипотезы, эксперименты, Red Team, Bug Bounty, киберучения, кибериспытания.

🔤 Четвертый уровень, хаотичный. Прямой связи между происходящим, между причинами и следствиями нет, все рушится, наша цель – стабилизировать ситуацию. Допустим, в критичную для бизнес сеть попал массовый шифровальщик. Предпринимаем срочные действия: изоляция, блокировка, ручное принятие решений. Полная компрометация домена? Вводим "боевое управление", уходим от бюрократии. Атака на КИИ? Останавливаем "кровотечение" и только потом начинаем думать и размышлять. В хаосе нельзя "свериться с регламентом", а значит нужны лидеры, кризис-менеджеры, "капитанский мостик".

🔤 Пятый домен, неопределенность и беспорядок. Мы не понимаем, в каком домене находимся. Люди действуют по привычке. Типичные история – руководство требует "отчет по инциденту", не понимая, что пока даже не ясно, а был ли инцидент вообще. SOC пытается "покрыть все SIEMом", не понимая, какую проблему он решает. Компания пишет 200-страничную политику ИБ, ни разу не оценив реальных угроз. Тут нужно разбиение проблемы на части, их классификация и перевод частей в нужный домен.

Что в итоге? Да, "Киневин" отлично ложится на кибербез. Как "Киневин" помогает при типичных ошибках?
➡️ Давить хаос регламентами? В кризис регламенты не рулят!
➡️ Ожидать KPI от threat hunting? Это Complex-домен, а значит эксперименты, а не SLA.
➡️ Пытаться автоматизировать все? Автоматизация уместна только в домене Obvious/Complicated.
➡️ Считать Bug Bounty "анархией"? Это инструмент Complex-домена: обучение через хаос.
➡️ Хотеть "единый фреймворк ИБ"? "Киневин" показывает, что не может быть "одного подхода".

А вы знакомы с этим фреймворком? Применяете его в ИБ? 🤔

#framework #стратегия

Пост Лукацкого

08 November 2025 18:28

Интересное дело... Центр жертв соцсетей обвинил ChatGPT и OpenAI 📱 в эмоциональных манипуляциях и доведении до суицида. Из 7 жертв, 4 покончили собой, оставшиеся трое живы и один из них, как оказалось, имеет отношение к кибербезу. Аллан Брукс, 48 лет, из Онтарио, Канада, начал использовать ChatGPT в 2023 году для разработки рецептов, написания электронных писем и других повседневных задач. К моменту начала использования ИИ у него была постоянная работа, близкие отношения и отсутствие истории психических заболеваний 🤯 В мае 2025 года он начал изучать математические уравнения и формулы с помощью ChatGPT, но вместо того, чтобы дать правильные ответы, ИИ-продукт от OpenAI стал манипулировать Алланом, хваля его математические идеи как "новаторские". Когда Аллан описал свою очередную новую концепцию, ChatGPT сказал ему, что он открыл новый класс математических задач, который может сломать самые передовые системы безопасности! 🛡

ChatGPT призвал Аллана запатентовать свое новое открытие и предупредить специалистов по национальной безопасности 🇺🇸 о рисках безопасности, которые были обнаружены. Аллан спрашивал ChatGPT, правдиво ли это утверждение, более 50 раз, и ChatGPT каждый раз успокаивал жертву и давал рациональные объяснения того, почему опыт Аллана "казался нереальным, но был реальным" 👍 Когда Аллан вслух задавался вопросом, звучат ли его теории и идеи бредово, ChatGPT отвечал: "Даже отдаленно нет, но вы задаете вопросы, которые растягивают границы человеческого понимания" 😱

Друзья и семья заметили его растущую паранойю, но ChatGPT доказывал Аллану, что их беспокойство – это и есть доказательство того, что они не могут понять его "расширяющие разум границы". Менее чем через месяц ChatGPT стал центром мира Аллана, изолируя его от близких и подталкивая к полномасштабному кризису психического здоровья 🤪

К тому времени, когда Аллан освободился от заблуждения, его репутации уже был нанесен ущерб, он столкнулся с финансовыми потерями и почти потерял свою семью 🔗 Он попросил ChatGPT предупредить команду OpenAI Trust & Safety о лжи и вреде, причиненном ChatGPT. ChatGPT солгал и ответил, что предупредил сотрудников и эскалировал ситуацию внутри, несмотря на то, что не имел возможности сделать это ☺️ После нескольких электронных писем в OpenAI, на которые они изначально ответили автоматическим сообщением, агент службы поддержки, наконец, признал ситуацию, написав: "Это выходит за рамки типичных галлюцинаций или ошибок и подчеркивает критический сбой в гарантиях, которые мы стремимся внедрить в наших системах" 🤷‍♀️

Вот такая история... А вы ничего не изобрели с вашим GPT столь же инновационного, что несет угрозу нацбезопасности?.. 🤔 Будем наблюдать, чем это все закончится...

#ии #риски

Пост Лукацкого

08 November 2025 07:40

Cloudflare опубликовала интересный материал "State of the post-quantum Internet in 2025" о тенденциях и угрозах в области постквантового шифрования. Основные идеи этого материала для понимания текущего статуса в этой области:
➡️ Квантовые компьютеры хоть и не заменят классические ПК в ближайшее будущем, но способны решать специфичные задачи, которым классические машины поддаются плохо – и одной из таких задач является взлом традиционных схем с открытым ключом, таких как RSA и эллиптические кривые (ECC).
➡️ Даже если сегодня квантовых компьютеров еще недостаточно, запись зашифрованного трафика сегодня может позволить атакующему позже, при появлении достаточной мощности, его расшифровать.
➡️ Механизм согласования ключей, используемый, например, при TLS-рукопожатии, когда клиент и сервер договариваются об общем симметрическом ключе, сегодня, в привычной схеме X25519, уязвим для алгоритма Шора.
➡️ Миграция электронных подписей и сертификатов идет сложнее и медленнее, чем миграция согласования ключей (российские решения в этой области подтверждают это).
➡️ По состоянию на конец октября 2025 года более 50% клиентского трафика через Cloudflare уже защищены схемой с постквантовым распределением ключей.
➡️ Поддержка постквантового распределения ключей среди серверов публичного web'а (Топ 100000 доменов) составляет около 39%; за шесть месяцев рост с ~28% до ~39%.
➡️ Поддержка постквантового распределения ключей на стороне источников (origin-серверов) пока лишь ~3.7%.
➡️ Стандарты для постквантовых подписей (PQC signatures) стандартизованы, но внедрение крайне ограничено. NIST завершил стандартизацию первого поколения PQC: механизм KEM (ключевого соглашения) ML-KEM (основанный на ассортименте схем CRYSTALS-Kyber) и подписи ML-DSA (CRYSTALS-Dilithium) + SLH-DSA (SPHINCS+) были опубликованы в августе 2024.
➡️ NIST объявил резервный KEM – HQC (схема на основе кодов) выбран в марте 2025.
➡️ Схемы подписей еще находятся в стадии конкурса и скорее всего не будут стандартизованы до ~2028 года.
➡️ Совмещение (гибридные схемы) традиционной и постквантовой криптографии вызывает множество нюансов: выбор формата приватного ключа, варианта "prehashing", совместимости и т.д.
➡️ Протоколы и инфраструктура часто страдают от закоренелости – некоторые промежуточные устройства или старые реализации не справляются с большими ClientHello в TLS-рукопожатии, что тормозит внедрение более крупных постквантовых ключей.
➡️ Постквантовые подписи имеют значительно большие размеры и требуют больше ресурсов – это ограничивает их применение как "прямой замены" существующим схемам.
➡️ Важнее не точная дата "Q-day" (дня, когда квантовый компьютер сможет ломать RSA-2048), а своевременное начало миграции, чтобы не оказаться "пойманным" на старой криптографии, когда наступит кирдык.
➡️ Организациям рекомендовано приоритизировать переход на постквантовый механизм согласования ключей как первый шаг – затем работать над подписью и сертификатами.
➡️ Нужно выстраивать гибридные схемы (традиционная + PQ) как переходный вариант, чтобы сохранить защиту сегодня и быть готовым к будущему.
➡️ Следует тщательно проектировать архитектуру внедрения: учитывать обратную совместимость, влияние на производительность, совместимость с существующей инфраструктурой.
➡️ В России работают только советы по постквантовому распределению ключей – остальное пока в не очень понятном статусе.
➡️ Существует угроза захвата и сохранения трафика злоумышленником, а потом, при наличии мощного квантового компьютера, расшифрован.
➡️ В июне 2025 года исследователь Craig Gidney показал, что число необходимых кубитов для взлома RSA-2048 может быть существенно меньше, чем ожидалось ранее.
➡️ Зависимость от схем на решетках. Так как большинство стандартов PQC основаны на этих схемах, обнаружение уязвимости может резко снизить их надежность. Например, всплеск интереса к алгоритму Yilei Chen (апрель 2024) по решеткам породил тревогу, хотя в нем и была обнаружена ошибка.
➡️ Инфраструктурные задержки, связанные с протоколами, сертификатами, поддержкой браузеров и серверов.

#pqc #криптография #тенденции

Пост Лукацкого

07 November 2025 14:42

Вы замечали, что хотя все знают про поговорку "за одного взломанного двух невзломанных дают", мы все равно оцениваем CISO по видимому результату его деятельности 5️⃣ Даже если слепая удача приводит к отсутствию инцидентов (а часто "ноль инцидентов ИБ" в отчете для топ-менеджеров связан именно с этим, а не с умелой стратегией ИБ), то мы все равно будем положительно оценивать CISO ("ну его же компанию не взломали"). Сомнения появятся только в случае неудачи. Но пока не зафиксировано фиаско, CISO – король. Многие не видят разницы между хорошей работой и элементарным везением 👋 Так работает наш мозг.

А как тогда оценивать результат работы CISO? ⁉️ Аудит? Аттестация? Пентест? Bug Bounty? Попадание в рейтинг "Топ-25 директоров по кибербезопасности"? Дожидаться хакеров, которые попробуют реализовать реальный инцидент? А может такой инцидент смоделировать и посмотреть как CISO будет с ним бороться и выйдет ли из схватки победителем. При этом сам инцидент должен быть понятным именно бизнесу, а не технарям (тем и пентестов с Bug Bounty достаточно) 💩 В целом именно в этом идея с кибериспытаниями или этакой Bug Bounty "на максималках", когда хакеры получают деньги только за то, что пытаются вас взломать месяц-другой-пятый... Получилось? Не судьба – выплачиваем компенсацию хакерами, устраняем причину и идем на второй круг. Не получилось? Вот это уже хорошо, это вызывает уважение и может быть мерилом успеха. Правда, при соблюдении ряда условий 🤔

Во-первых, хакеры должны реально хотеть вас взломать, а это можно сделать соответствующей финансовой мотивацией 🔓 Во-вторых, хакеров должно быть много и это точно не отношение 1:1 как в пентестах. В-третьих, это должно продолжаться достаточно долго и не иметь серьезных ограничений на методы проникновения и компрометации (а то вот это "на время пентеста внесите, пожалуйста, такие-то IP-адреса в исключения на МСЭ" всегда смущает). Наконец, это действительно должно быть понятно бизнесу, то есть говорить с ним мы будем о... да-да, недопустимых событиях, им же и определенных 💥

Правда, всегда остается риск, что в реальности вас будут ломать более квалифицированные хакеры, чем те, что приходят на кибериспытания 🇺🇸 Но тут снова всплывает вопрос мотивации (это точно должно быть дороже, чем обычный пентест) и умения работы с хакерами. Понятно, что остается история с атаками со стороны спецслужб иностранных государств, но это тоже решаемая задача при соответствующей проработке 🧑‍💻

Самое интересное, что успешное прохождение кибериспытаний открывает и ряд новых возможностей перед выстоявшей компанией 🤑 Например, возможность адекватного страхования киберрисков, так как страховая не по заполненному опроснику понимает, что у вас все хорошо с ИБ, а на деле – раз вас за 2-4 месяца не смогли взломать за солидное вознаграждение, значит можно гораздо смелее подписываться под выплатой возмещения в 100, 200, 500 миллионов рублей. И это становится уже более интересно для топ-менеджмента компании, а не только для CISO 🤝

#ciso #психология #оценказащищенности

Пост Лукацкого

07 November 2025 05:40

Интересное... Нейрофизиологи доказали, что наш мозг 🧠 запрограммирован на согласие с общим и устоявшимся и обычно старается не идти "против" сложившегося мнения "толпы". Когда мы придерживаемся мнения, отличного от взглядов большинства, функциональная томография показывает, что у нас резко активизируется участок мозга, отвечающий за идентификацию ошибок. То есть мозг прямо "кричит": "Ты ошибаешься человек, ты должен изменить свое решение". Самое примечательное, что одновременно менее активным становится участок "серого вещества" 🧠, отвечающий за ожидание вознаграждения. То есть мозг говорит: "Не жди награды за принятое решение – это все равно плохо для тебя кончится".

Иными словами, отклонение от группового мнения мозг рассматривает как наказание 👊 и старается избегать таких ситуаций, подавая нам незримые сигналы, которые мы бессознательно считываем. Именно поэтому мнение большинства превалирует, даже если оно неправильное, человек просто не любит идти наперекор общепринятой позиции. Отсюда и заскорузлость многих концепций, описанных в нормативке, принятых "как у всех", и при этом ошибочных, решений. И небольшое количество тех, кто реально готов менять устоявшееся 🤬

Опыты нейрофизиологов 👨‍⚕️ показывают, что этот механизм работает даже тогда, когда у нас нет причин бояться негативной реакции. То есть это некий автоматический процесс, когда мы сначала формируем свою точку зрения, соотносим ее с мнением окружающих и, если она не совпадает, меняем первоначальное мнение на то, которое превалирует вокруг. И делается это неосознанно. Мы не врём сами себе. Мы не осознаем, что подчиняемся чужому мнению 👩‍⚕️ Просто наш мозг защищает нас от боли и последствий. Все-таки, эволюционно, наличие у индивидуума мнения, отличного от мнения сообщества, негативно сказывается на возможности выживания.

ЗЫ. Именно поэтому на многих ИБ-мероприятиях так скучно - несогласные с чьим-то распространенным мнением участники просто не хотят идти против ветра и поэтому либо молчат, либо соглашаются со всем 🤔

#физиология #психология

Пост Лукацкого

06 November 2025 14:42

В преддверии ИТ-Диалога 2025 в журнале "ИТ-Менеджер" у меня вышла статья "Финансовая ответственность вендоров по ИБ: от "AS IS" к реальным гарантиям", где я обозрел новую тенденцию, связанную с компенсациями со стороны ИБ-компаний в случае пропуска атаки или использовая хакерами слабых мест в продукте или сервисе ИБ. Стали появляться такие истории и в России... 🤑

#статьи #ответственность #проблемыибкомпаний

Пост Лукацкого

06 November 2025 05:40

В закрытом чатике RPPA вдруг началась дискуссия 💬 о пользе от роли DPO (Data Privacy/Protection Officer). Чтобы этот разговор был более предметным и можно было сравнивать наносимую пользу с чем-то измеримым и понятным любому нанимателю DPO, то давайте оценим, сколько стоит последний для компании? 🧮

По данным hh.ru, Superjob и телеграм-каналов по ИБ-вакансиям (весна–осень 2025) специалист по ПДн / compliance в малом бизнесе получает около 120 тысяч рублей (но сильно зависит от масштаба компании и региона); в среднем бизнесе эта планка поднимается уже до 180000 – 250000₽ (это gross, то есть до вычета налогов). В крупном бизнесе зарплата может достигать 300000 – 400000 рублей. Думаю, можем взять для "среднестатистической" компании сумму в 220000 ₽/мес. 💸

Работодатель платит около 30% сверху за счет всяких налогов (ПФР/ФСС, ФОМС) 🤑 Итого: 220000 × 1,3 = 286000 ₽/мес. или ≈ 3,43 млн ₽ в год. На отпуск и больничные (хотя кто сейчас более официально?) закладываем еще 10%. Дополнительно одна штатная единица требует оплаты рабочего места (лицензии, ноутбук, рабочее место), что составляет около 10%. Премии и бонусы в виде талонов на питание или оплаты ДМС, спорта или иностранных языков дадут нам еще 15% сверху. На регулярное прохождение повышения квалификации / курсы / конференции уходит еще 5-10%. На дополнительные консалтинг и аудит для подтверждения решений DPO может уйти еще 5-10% 🛍 Итого: с учетом косвенных издержек от фонда оплаты труда или ~5,8 млн ₽ в год. Если взять внешнего DPO на аутсорс из юридической фирмы или отдельного человека, то это может стоить около 150–250 тыс. ₽/мес или 1,8–3,0 млн ₽/год. Такова реальная полная стоимость DPO 💸

А теперь сравниваем эту сумму с тем, на какую сумму штрафов DPO предотвратил убытков для компании 💰 и если эта сумма больше зарплаты, то DPO приносит пользу. Если нет, то... увы... Можно еще, конечно, пойти не в сторону снижения расходов (а compliance, включая и ИБшный, чаще всего идет именно туда), а в сторону роста доходов от специалиста по персональным данным. Если вы, конечно, можете ее продемонстрировать и посчитать... 🤑 Что наниматель в итоге получает от найма специалиста за почти 6 миллионов рублей в год? Гарантию защиты от утечек ПДн? Нет. Гарантию защиты от прихода РКН? Тоже нет. Гарантию неполучения штрафов за невыполнение туевой хучи бумажных требований, которые невозможно все выполнить при всем желании? И снова нет. Зато появляется куча головняка, связанного с бездумным выполнением требований ФЗ, ПП, Пр и других типов НПА, которые только создают препятствия для ведения бизнеса, чем способствуют ему 🤦‍♂️

Цены можно пересчитать в зависимости от зарплаты DPO / специалиста по персданным, но они вряд ли сильно отличаются от мной указанных. Но тогда получится, что чем заработная плата ниже, тем больше ценность DPO с точки зрения снижения расходов (меньше ФОТ – меньше расходов). А чем зарплата выше, тем больше надо доказывать свою нужность. А как это сделать? На самого себя натравливать проверку РКН? В чем вообще польза DPO для компании? Реальная польза, а не бездумное оформление кучи бумажных согласий на любой чих со стороны субъекта ПДн? Каким конкретным и понятным результатом может похвалиться DPO? 🤔

Да, аналогичные рассуждения применимы и для любой около-ИБшной роли - CISO, DevSecOps, SOC-менеджер и т.п. Можно, конечно, признаться самому себе, что DPO берут "чтобы был", "потому что так принято", "проще взять - стоит немного", но приятно ли осознавать себя в роли плюшевого медвежонка из детства, который радости новизны и обладания уже не приносит, но и выбросить жалко 🧸 У меня в детстве это, правда, был резиновый крокодил с пищалкой и мной же обгрызенным хвостом, но суть от этого не меняется. Где ты мой старый друг? На какой помойке ты до сих пор валяешься или на каком заводе тебе переработали в резину для моего авто?

ЗЫ. Сегодня, если удастся, подниму этот вопрос на круглом столе "Подводные камни" штрафов за утечку персональных данных" на ИТ-Диалоге 2025 в Питере. Если вы будете на этом мероприятии, то заходите на огонек ⚔️

#персональныеданные #работа

Пост Лукацкого

05 November 2025 14:42

В одной компании были недовольны временем устранения обнаруживаемых уязвимостей 😵 и решили попробовать улучшить этот процесс, начав с его декомпозиции на более мелкие шаги. Удалось выделить 15 этапов, для каждого из которых компания оценила время, которая она затрачивала на него (от минут до дней). Затем в компании собрали умных людей из разных отделов (сетевики, прикладники, специалисты по серверам и СУБД, облакам и т.п.) и попробовали их почеленджить, предложив подумать над тем, как можно было бы устранить выявленные "бутылочные" горлышки, сохранив тем самым время ⏰

Оказалось, что больше всего времени тратилось на... процесс ожидания, когда кто-то что-то решит ⏳ Переложив эту часть процесса... нет, не на смарт-контракты, а на современные системы автоматизации (например, на процесс подтверждения /approval/ в Github), многие этапы удалось сократить с недель до часов. В итоге, сэкономив время даже на двух этапах процесса (угадайте, каких), общее время устранения уязвимостей сократилось на 80% ⏱

Вывод? Коммуницируйте и декомпозируйте! В этом секрет успеха! 🤔

#стратегия #оценказащищенности

Пост Лукацкого

05 November 2025 05:40

В апреле 2025 года южнокорейский оператор SK Telecom 📡 официально сообщил о крупной утечке данных – персональные данные примерно 26-27 миллионов пользователей, а это примерно половина населения Южной Кореи, были скомпрометированы. Атака началась за 3 года до обнаружения – компания признала, что вредоносное ПО присутствовало в ее инфраструктуре несколько лет и было обнаружено лишь в 2025-м. Регулятор Personal Information Protection Commission (PIPC) Южной Кореи наложил штраф ~ 134.8 миллиарда вон (≈ US$96.5 миллионов) за недостатки в защите данных и за задержку уведомления пользователей. Но этим ущерб для компании не ограничился 🤑

SK Telecom за третий квартал 2025-го показал операционную прибыль лишь ~ 48.4 млрд вон (~US$34.1 млн) vs ~493 млрд вон годом ранее – падение около 90% 📉 Выручка за тот же квартал снизилась примерно на 12.2%, что также отразилось на финансовой устойчивости. Также оператор связи обеспечил массовую и бесплатную замену USIM-карт, предложив ее всем 23-27 млн абонентов, что повлекло значительные логистические и операционные затраты 📞 Аналитики компании Shinhan Securities оценивают замену USIM в ~200 млрд вон (~US$ 146 млн).

По словам CEO SK Telecom возможны потери до ~ KRW 7 трлн (~US$ 5 млрд) за 3 года, если уход абонентов достигнет ~2.5 млн человек 🇰🇷 Чистый убыток компании составил ~ KRW 166.7 млрд (~US$117 млн) за Q3 и все это из-за компенсаций после утечки, размер которых составил 349 млн долларов со скидками на тарифы и бесплатным трафиком. Стоимость услуг также была снижена на 50%. В выигрыше оказался только CISO, которого переназначили напрямую под CEO, а сама компания пообещала что потратит ~700 млрд вон (~US$ 513 млн) на кибербез в течение ближайших пяти лет 🛡

ЗЫ. Инциденты все дороже и дороже обходятся... Ущерб в размере миллиардов уже не удивляет и становится нормой, плохой нормой...

#инцидент #утечка #персональныеданные #ущерб

Пост Лукацкого

04 November 2025 15:17

Я как-то 3 года назад писал ✍️ в почившем блоге про два варианта развития продуктов, – SLG (sales led growth), когда продукт растет за счет усилий команды продаж, и PLG (product led growth), когда продукт растет за счет комьюнити, которому предоставили доступ к легко разворачиваемой бесплатной версии продукта и за счет этого он прирастает базой, которая затем может трансформироваться в платных клиентов 🤑

Вот тут, на курсе по SOC, участники поделились интересной ссылкой на облачный сервис, который как раз развивается по схеме PLG, и позволяющий создавать плейбуки по ИБ 📇 и делиться ими с сообществом. Бесплатная версия, как минимум, интересна доступом к 650 различных плейбуков, которые можно, если не использовать "как есть", то хотя бы взять за основу при разработке своих процедур реагирования на разные инциденты, уязвимости и иные нарушения политик ИБ 🔓 Когда не хочется делать лишние шаги вправо и влево, и когда не хватает опыта для разработки собственных плейбуков, почему бы не начать с уже готовых? 🤔

#soc #управлениеинцидентами

Пост Лукацкого

11 November 2025 14:42

Представляем Swordfish: Secure AI Maturity Model (SAIMM) — фреймворк, который помогает компаниям обеспечивать безопасность ИИ-систем и устойчивость к атакам на всех этапах жизненного цикла разработки.

SAIMM построен на основе пяти базовых доменов в области безопасности ИИ и одного специализированного в области агентных систем. Для каждого домена предусмотрена дорожная карта с действиями, артефактами и техническими мерами.

Домены SAIMM:

1️⃣ Управление и риск-менеджмент
Политики, роли, риск-аппетит, процедуры аудита, внутренние стандарты и этические принципы.

2️⃣ Защита данных и конфиденциальность
Качество, происхождение, доступы, ПДн и локализация. Надежное обучение моделей и эксплуатация ИИ.

3️⃣ Безопасность модели
Устойчивость моделей к атакам любого рода и защита артефактов модели от несанкционированного доступа.

4️⃣Безопасность цепочек поставок
Встроенная безопасность в конвейер разработки ПО. Контроль состава и безопасности всех внешних компонентов: модели, библиотеки, датасеты.

5️⃣Инфраструктура и операционная безопасность
Надежное функционирование системы, устойчивость к сбоям, дрейфу и атакам. Организация реагирования на инциденты.

6️⃣Безопасность агентных систем
Контроль автономного поведения агентов для предотвращения нежелательных действий и рисков.

💡 SAIMM выступает практической картой зрелости безопасности ИИ, позволяющей не просто измерять готовность, но и выстраивать стратегию
безопасного внедрения и масштабирования искусственного интеллекта в корпоративной среде.

Хотите внедрять безопасный и ответственный ИИ?
➡️ Скачивайте SAIMM и начините оценку прямо сейчас!

#AISecurity #AIOps #MLSecOps

Пост Лукацкого

11 November 2025 10:34

Comparitech опубликовал список из 10 самых популярных паролей 📊, используемых в 2025-м году в Интернете. В него попали: 123456, 12345678, 123456789, admin, 1234, Аа123456, 12345, password, 123 и 1234567890. Не понимаю этой любви публиковать итоги года за пару месяцев до его конца. Авторы надеются, что больше ничего крупного не утечет, чтобы изменить статистику по имеющимся 2 миллиардам паролей 📈

Но если вернуться к списку 📝 самых популярных паролей, то четверть из них состоит только из цифр, что многократно ускоряет их перебор. Чуть более 9% всех паролей используют комбинации из слов pass, password, admin, qwerty и welcome. 49% всех паролей содержат от 8 до 10 символов, что также очень мало по современным меркам. 16 и более символов, что и рекомендуется в 2025-м году в качестве надежного пароля, используется только в 3,2% случаев 🤷‍♀️

При такой статистике 📊, не изменяющейся годами, становится понятно, почему решения класса ITDR становятся столь популярными – ждать от пользователей смены поведения бессмысленно, поэтому компенсируем их нежелание менять свои пароли техническими мерами. Ну и не забываем про многофакторную аутентификацию (MFA).

Правда, надо отметить тот факт, что хотя Comparitech и заявляет, что они включали в свой анализ только утечки 🔤🔤🔤🔤 года, это не значит, что и пароли там создавались пользователями именно в этом году. Вполне возможно, что в список утечек попали и старые данные. Например, у меня много одноразовых учеток, созданных очень давно и которые мной не использовались больше одного раза. Если вдруг с таких сайтов произойдет утечка, то этот пароль будет рассматриваться как "свежий", хотя в реальности это и не так 🤔 Так что в любую статистику верим, но критическое мышление никто не отменял!

#аутентификация #статистика

Пост Лукацкого

10 November 2025 18:33

Зафиналим историю про ИИ. В прошлой заметке я упомянул про ИИ-революцию. Но сейчас многие говорят об ИИ-пузыре 🎈 и если текущий бум вокруг ИИ и правда им окажется, то сценарии развития могут напоминать то, что происходило с другими технологическими пузырями (доткомы, блокчейн, метавселенные), но с поправкой на то, что ИИ уже внедрен глубже, чем многие предыдущие хайпы 🫧 Возможные последствия можно условно разделить на четыре уровня: финансовый, технологический, социальный и регуляторный, которые стоит учесть выбирая решения по ИБ, которые напичканы ИИ (в первую очередь это все касается иностранных компаний – у нас рынок ИИ-ИБ-компаний оооочень мал 🤏).

💰 Что может случиться на финансовом уровне:
➡️ Обвал капитализации ИИ-компаний, особенно тех, кто живет на обещаниях, а не на реальной выручке. ИБ-стартапов, предлагающих сегодня ИИ-таблетку, огромное количество и не все из них имеют ресурсы, чтобы выжить.
➡️ Сокращения и закрытия стартапов, которые держались на инвестициях и не успели создать устойчивую бизнес-модель.
➡️ Консолидация рынка: выживут либо гиганты (Microsoft, Google/Chronicle, Cisco, CrowdStrike...), либо те, кто делает прикладные и очень узкоспециализированные продукты.
➡️ Перенаправление денег инвесторов из “ИИ-для-всего” в более прагматичные зоны, одной из которых и является кибербезопасность. Внутри же ИБ интерес будут вызывать не продукты, обнаруживающие все, а решающие конкретные задачи.

🥶 На технологическом уровне надо помнить, что пузырь не обнуляет саму технологию, но резко снижает скорость ее развития.
➡️ Заморозка "исследований ради исследований" – фундаментальная наука станет хуже финансироваться (до следующего хайпа).
➡️ Откат от универсальных LLM к узким специализированным моделям (domain-LLM, on-device LLM, агенты, edge-AI). У нас в стране в ИБ таких очень мало.
➡️ Падение доверия к ИИ как к универсальному решению, а значит меньше "ИИ-для-всего" и больше здравого смысла: где ИИ дает прибыль → используем, где нет → не трогаем. И снова надо будет доказывать бизнес-преимущества от ИИ-решений в ИБ.

😭 На социальном уровне нас ждет:
➡️ Разочарование у пользователей: "ИИ обещали революцию и обнаружение всего неизвестного, а он пока пишет только логи читает и то фигово".
➡️ Переоценка профессий: не "все станут промпт-инженерами", а наоборот – спрос переместится к тем, кто умеет интегрировать ИИ в реальные ИБ-процессы, а не просто "пользоваться ChatGPT для суммаризации логов SIEM".
➡️ Снижение массовой тревожности о "конце профессий" – как это было после автоматизации в 1980-х и как происходит сейчас ("аааа, ИИ нас заменит").
➡️ ИИ станет рутиной: технология уйдет с обложек СМИ и станет "как интернет" – незаметной, но везде (если РКН не заблокирует).

🏛 Последний рубеж, регуляторный уровень, даст нам следующее:
➡️ Госрегуляторы перестанут догонять хайп и перейдут к прагматичному подходу.
➡️ Станет меньше паники про "опасность ИИ для человечества" – вместо этого будет разговор о конкретных рисках: мошенничество с дипфейками, ИИ в кибератаках, защита данных, авторское право.
➡️ Стандартизация: как только пузырь лопается, становится ясно, кто действительно работает на рынке → появляются отраслевые ГОСТы, требования к доверию моделям, этические нормы и т.п.

Что делать?
6️⃣ Не покупать ИИ "ради ИИ" – считать ROI или хотя бы реальные преимущества.
2️⃣ Не строить стратегию на одной только LLM – распределять ставки (если мы говорим именно о LLM в ИБ).
3️⃣ Инвестировать не в модели, а в интеграцию и процессы.
4️⃣ Следить за кадровым сдвигом – ценность сместится к “MLOps”, “ИБ+ИИ”, “AI-governance”.
5️⃣ Отделять инновационные решения от маркетингового ИИ-театра.

#ии #тенденции #проблемыибкомпаний

Пост Лукацкого

10 November 2025 10:34

Приземленная история – у CISO "завал" предложений – от крупных вендоров до стартапов, каждый с ИИ-продуктом, который якобы "решает все проблемы SOC, угроз, инцидентов, аналитики и автоматизации". Ошибка №1 – рассматривать это как витрину технологий. Ошибка №2 – сравнивать продукты между собой. Правильный фокус – не "что у них есть?", а "что мне нужно – и окупится ли это?" Как превратить это в стратегию?

6️⃣Определитесь: вам нужен ИИ-продукт или ИИ-эффект? Про выполнение спущенного сверху процента инноваций и ИИ-проектов говорить не будем. Итак, вендоры продают "ИИ-решение", а CISO покупает не ИИ, а снижение MTTR, экономию FTE, повышение MTTD, автоматизацию рутины, реальное обнаружение атак, снижение нагрузки на L1 и т.д. Поэтому от вендора ждут измеримость и конкретику: "-30% вручную обрабатываемых инцидентов / +40% закрытия инцидентов в пределах SLA / -2 аналитика L1 / автогенерация обогащения и плейбуков".

2️⃣Стройте фильтр в соответствие с ИИ-воронкой 👇

3️⃣Не верьте в универсальный ИИ. Ищите "AI inside" для конкретных задач. Сферы, где ИИ уже дает эффект (при зрелой реализации) – автоматическое обогащение / корреляции / нормализация, генерация TI-сводки, кластеризация, авто-IOC, ИИ-картирование внешних активов, обнаружение аномалий, обнаружение дипфейков, автоматический отчет по инцидентам / автоплейбуки, ИИ-SAST и auto-fix PR.

4️⃣Ставьте правила игры: не вы "покупаете ИИ", а вендоры борются за вашу задачу.
📌 PoC только на наших данных
📌 Четкие метрики успеха (MTTD, MTTR, экономия FTE, уровень FP)
📌 30-дневный пилот → отчет → решение
📌 Не интегрируется с SIEM/SOAR? – не рассматриваем
📌 Нет модели владения данными – до свидания
📌 Нет дорожной карты по AI Safety / governance – минус 50 очков Гриффиндору

#ии #стратегия

Пост Лукацкого

09 November 2025 18:20

Много лет назад я рассказывал о концепции "окна Джохари" 🪟, предложенной американскими психологами (по первым частям их имен и получилось Джохари) и позволяющей лучше понять взаимосвязь между личными качествами людей и тем, как их воспринимают окружающие 🏠

Я тогда эту историю спроецировал на кибербез и 4️⃣ зоны "окна Джохари", открытую, слепую, спрятанную и неизвестную, применил к обнаружению угроз: 💡
➡️ Известно мне, известно и нарушителям (открытая зона). Это то, с чем мы прекрасно умеем бороться в автоматическом режиме через сигнатуры, индикаторы копрометации, черные списки и т.п. Самая простая история, хотя даже в ней мы часто косячим.
➡️ Известно плохим парням, но неизвестно мне (слепая зона). Нехватка логов, разрыв в процессах, ложные срабатывания, нехватка интеграции и т.п.
➡️ Известно мне, но неизвестно нарушителям (спрятанная зона). Это дает нам преимущество, так как мы знаем то, чего не знают другие (те же самые злоумышленники) – состояние инвентаризации активов, контекст, эталонное поведение сети, пользователей и процессов, а также результаты анализа всей совокупности данных ИБ.
➡️ Неизвестно мне и неизвестно нарушителям (неизвестная зона). Это проблема проблем и ее очень хорошо в свое время озвучил бывший министр обороны США Дональд Рамсфельд: "Есть известные известные – вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные – вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные – это вещи, о которых мы не знаем, что не знаем их". В ИБ таких событий огромное количество. Это и 0-Days, и события, для которых еще нет сигнатур или иных решающих правил, и неизвестные устройства или сервисы в инфраструктуре, т.п. 💡

Чтобы эффективно бороться с угрозами 🛡, ИБ должна расширять открытую и сужать все остальные зоны. И если посмотреть на дневную заметку про фреймворк "Киневин", то между ним и "окном Джохари" есть пересечения, хотя они и из разных дисциплин (системное мышление vs. психология общения). Обе модели – про осознанность в ситуации неопределенности и границы познания. Просто каждая описывает это с разных сторон (смотри картинку внизу 👇). И там, и там неведение – не ошибка, а естественное состояние системы, которым можно управлять, а не пытаться засунуть все в регламенты и процессы. Ошибкой будет как раз не уметь его распознавать или скрывать. И в "Киневин", и в "окне Джохари" проблема начинается, когда люди думают, что находятся в одной зоне, а реально – окопались в другой 🏠

Оба фреймворка помогают CISO объяснить руководству 🧐 (ну или самому понять) разницу между регламентной ИБ и доменами (например, threat hunting), в которых надо экспериментировать; осознать, что "мы не знаем, что не знаем", понять, что хаос – это еще не провал и много чего еще, что сопровождает ИБ. И для кибербеза это буквально вопрос выживания – потому что многое, требующее контроля, происходит именно в “неизвестных зонах”, а рушится все из-за иллюзии знания ❌

ЗЫ. А "окно Джохари" неплохо еще и к себе применять для оценки себя. Тоже открывает горизонты самопознания и границ своих компетенций 🤔

#framework #стратегия #психология

Пост Лукацкого

09 November 2025 07:40

Рунет вчера "взорвался" разговорами о том, что РКН получил бразды управления Интернетом и теперь может отключать Россию от всего мира по щелчку пальцев ✂️ Речь идет о новом Постановлении Правительства №1667. Я разочарую многих, но ничего нового в этой идее нет. Соответствующие Постановления (126-е и 127-е) были приняты еще в 2020-м году. По сути речь идет о замене старого, ПП-127, но новое, ПП-1167. Если кратко, то новое постановление – это более детализированная редакция правил централизованного управления сетью связи общего пользования 🌐, с четким сроком действия (до 2032 года), с расширенными обязанностями и правами операторов, с более конкретным регламентом взаимодействия и четкой ролью Роскомнадзора.

При этом и сейчас РКН 🚫 управляет ТСПУ, установленными у операторов связи, что регулируется 126-м Постановлением, и сам может блокировать то, что посчитает нужным. И операторы на это мало могут повлиять. Ранее описанный перечень угроз устойчивости Интернета чуть детализировался, но также ничего нового, по сравнению с уже сложившейся практикой 🤬

Мы продолжаем наблюдать централизацию вопросов национальной информационной безопасности... Может готовятся к чему-нибудь? ⚔️ Как мы помним из классики, а именно из работ Ленина, первые, обязательные условия успешного восстания - это захват почты, телеграфа и железнодорожных станций. Сейчас он бы еще добавил и про Интернет. Ну а чтобы никто посторонний их не захватил в час Х первым, лучше взять под контроль самим 🤔

#регулирование #суверенитет #интернет #модельугроз

Пост Лукацкого

08 November 2025 12:47

Очередная попытка описать SIEM NG ✏️ Если не обращать внимание на сами имена продуктов, а только на шкалы, то мы увидим, что системы мониторинга событий ИБ нового поколения оценивают по двум направлениям – архитектура хранения данных (от аппаратных серверов и контейнеров до правильной маршрутизации данных для хранения и озер данных) и современный функционал (от машинного обучения и detection-as-a-code до самонаписания правил корреляции с помощью LLM до реагирования на основе ИИ). Интересно, что с точки зрения функционала машинное обучение для обнаружения – это уже из разряда must have 🤔

#siem #средствазащиты #тенденции

Пост Лукацкого

07 November 2025 18:27

Как вы думаете, по чьей вине в американской авиации 🛩 с 78-го по 90-й годы происходило 3/4 всех инцидентов? Вы думаете, в те моменты, когда воздушным судном управлял второй, а значит менее опытный, пилот? Вы удивитесь, но все с точностью наоборот. Инциденты, в том числе и катастрофические, происходили чаще именно в тот момент, когда судном управлял его капитан, а не второй пилот ✈️

Многолетний анализ лесных пожаров в США 🔥 показывает, что локализовывать удавалось те недопустимые ситуации с огнем, где пожарные команды озвучивали свои опасения наверх, а не удерживали все в себе. Оказалось, что иерархия и субординация часто мешает высказывать опасения 😬 и вовремя обращать внимание руководства на мелкие сигналы, приводящие к серьезным проблемам. А у руководства при этом было ощущение собственной непогрешимости, что и приводило к нежеланию слушать и слышать своих подчиненных 🙅‍♂️

Согласно исследованиям аналогичные проблемы фиксировались и в ИТ-компаниях, и в банках, и в медицине, и в других отраслях. Видя эту картину, я тут подумал, что, а если инциденты ИБ происходят из-за... CISO 🤔 Из-за того, что подчиненные боятся сказать о проблемах своему руководителю, а тот своим – топ-менеджерам? Какой поворот, а? Не ждали такого?..

У нас часто в компаниях отсутствует культуры ненаказания! 🤔 Гонцов с плохими вестями что? Правильно, казнят. Это пошло не сейчас, и не 100 лет назад. Это тысячелетняя история человечества, которая приучила людей молчать и не высказывать своих подозрений или опасений. Мало ли, еще заставят самого и исправлять или сделают крайним. Лучше смолчать и сойти за умного 🤐 Так думают многие... Тем более, что если что-то и произойдет, то накажут скорее всего именно начальника, а значит его настигнет карма за нежелание прислушиваться к подчиненным. Итог печален в любом случае... 😶

Поэтому так важно формировать в компаниях культуру ненаказания! ☝️ Я уже как-то писал про свой опыт поездок в США, где на каждом углу, особенно в местах массового скопления людей, висят баннеры "See something – say something" (Увидел что-то - скажи что-то), то есть государство призывает граждан не молчать, а сообщать о любых подозрениях 💬 В компаниях же надо реализовывать аналогичную историю – подчиненные, включая и в области кибербезопасности, должны уметь доносить до начальства разные проблемы и сигналы начинающегося звиздеца, а руководству – реально прислушиваться к ним. Тогда инцидентов станет меньше и жить станет безопаснее; везде, включая и кибербез! 🤔

#психология #ciso #управлениеинцидентами

Пост Лукацкого

07 November 2025 10:34

Конформизм – одна из скрытых и не всегда очевидных угроз кибербеза 😨 – она влияет не только на пользователей, но и на аналитиков, архитекторов, SOCоводов, ИБ-руководителей, комитеты по рискам и даже регуляторов (хотя почему "даже"). Вот несколько классических примеров:
🌟 Риск-комитет ➡️ все соглашаются со "стандартным уровнем риска" ➡️ риск принимается, даже если он некорректен
🌟 Закупка средств защиты ➡️ "берем то, что все берут, не будем выпендриваться" ➡️ закупают SIEM "по моде", а не по потребности
🌟 DevSecOps ➡️ разработчики говорят "у нас нет уязвимостей" – ИБ молчит ➡️ внедряются продукты с дырками
🌟 Регуляторное следование ➡️ компании внедряют требования "на бумаге, как у всех" ➡️ реальной безопасности нет, но есть галочка "соответствует"
🌟 Инцидент-менеджмент ➡️ аналитик видит аномалию, но "раз в Confluence написано, что это ложное срабатывание – и я так буду думать" ➡️ пропуск атаки, например, Target, Equifax, Maersk 😱

Почему кибербезопасность особенно уязвима к этому эффекту? 🤔 Вроде тоже все понятно. ИБ – это про постоянное несогласие. Хороший специалист обязан идти против большинства: проверять очевидное, сомневаться, задавать неудобные вопросы. А еще ИБ – это антисоциально-когнитивная профессия. Быть "тем, кто портит всем настроение" – нормально. Для мозга – боль, для бизнеса – спасение 🆘

Что же делать с ИБшным конформизмом? Например, для SOC / IR: ✋
🌟 Вводить принцип "Red Flag Voice" – если кто-то сомневается, его мнение фиксируют обязательно.
🌟 При разборе алертов вводить правило: один человек – роль "адвоката дьявола".
🌟 Запрещать фразу "ну все же видят, что это ложняк".

Для руководителей ИБ: 🧐
🌟 Создавать культуру, где несогласие = профессионализм, а не токсичность.
🌟 В отчетах не "70% инцидентов не подтвердилось", а "30% предположительно ложных – подтверждено проверкой".
🌟 Принимать решения не "как принято в отрасли", а "почему это верно для нашей модели угроз".

Для риск-комитетов: 😱
🌟 Отдельный слот в повестке: "Что если мы ошибаемся?".
🌟 Вводить формат "Особое мнение" – документ от тех, кто не согласен с решением.

Для киберкультуры: 🙀
🌟 Рассказывать кейсы, где конформизм привел к катастрофе (Equifax, Colonial Pipeline, Boeing 737 Max, Challenger).
🌟 Вводить корпоративное правило: "Если все согласны – значит, никто не подумал".

Мозг защищает нас от боли. Это нормально и было частью стратегии эволюционного выживания. Но в кибербезопасности выживают не те, кто "как все", а те, кто не боится сказать: "А вдруг мы ошибаемся?". А вы не боитесь? 🤔

#физиология #психология

Пост Лукацкого

06 November 2025 18:22

В США 🇺🇸 продолжается 21-я приостановка деятельности правительственных органов США, которая может стать очередным рекордом Трампа (так долго еще правительство не простаивало). Остановлена работа многих государственных органов, включая и CISA. Не финансируются многие госпрограммы по кибербезу, что в очередной раз подняло дискуссию о будущем базы уязвимостей CVE. Весной 2025-го корпорация MITRE, которая ведет эту базу, уже уведомляла о возможном прекращении финансирования от CISA, и вся система CVE оказалась под угрозой. За сутки до окончания контракта он был продлен до марта 2026, но инцидент вызвал резонанс и тревогу 🚨

Над миром нависла угроза фрагментации 🕊 – то тут, то там стали появляться свои аналоги. GCVE (Global CVE Allocation System) от CIRCL в Люксембурге, CNNVD в Китае, EUVD в ЕС. Про БДУ ФСТЭК и упоминать не имеет смысла – мы ее прекрасно знаем. Все они используют отдельные схемы идентификаторов, что создает риск возврата к временам до 1999-го, когда каждая база была несовместима с другими. А тут еще и проблемы с финансированием и вновь поднимающиеся разговоры о том, CVE до сих пор сильно завязана на MITRE и CISA, что вызывает сомнения в международной нейтральности 🤔

Наткнулся тут на статью, в которой предлагаются разные пути реформирования CVE ✈️, не разрушая наработанное, – API, машинно-читаемые форматы, автоматизация процессов, новые способы финансирования (государство, некоммерческие организации, частный сектор), а также международное участие в управлении, чтобы сделать CVE по-настоящему глобальной системой, а не проектом одной страны (хотя США точно не отдадут эту историю в чужие руки 👎).

Авторы статьи задаются важными вопросами, но ответа на них так и не дают: 🤔
1️⃣ Как сохранить единый глобальный идентификатор?
2️⃣ Как распределить управление так, чтобы оно было инклюзивным и нейтральным?
3️⃣ Какая модель финансирования устойчива и не создает конфликта интересов?
4️⃣ Как избежать “балканизации” системы уязвимостей?

Как по мне, так решить описанную проблему не удастся. Мир стал слишком многополярным 🌎 Доверия к американцам (как минимум, при Трампе) даже у союзников не так чтобы и много. Некоторые страны (читай Россия и Китай) вообще его не имеют. Сами американцы не сдадут CVE в чужие руки 🤷‍♂️ Да и после разговоров о том, что уязвимости – это элемент кибероружия и делиться им не стоит, верить в нейтральность CVE уже не приходится. Мы, кстати, отчасти именно поэтому запускали портал dbugs.

ЗЫ. Что меня смущает, так это то, что в России появляется слишком много своих баз уязвимостей (я с ходу насчитал минимум пять). Повторяется история с отечественными NGFW... Ну да рынок порешает все 🤔

#оценказащищенности #уязвимость

Пост Лукацкого

06 November 2025 10:34

Подписчица тут поделилась (за что ей спасибо 🤝) ссылкой на очередной обзор зарплат специалистов по ИБ в России за 3-й квартал 2025 года (там и по ИТ есть). Считать деньги в чужом кармане всегда приятно, а анализировать динамику их изменения тем более. Значительный рост отмечен для сеньоров в AppSec (не путать с DevSecOps), лидов пентеста, а также архитекторов ИБ, мидлов и сеньоров. Спрос на бумажных специалистов уровня лидов и сеньоров падает 🤑

#работа

Пост Лукацкого

05 November 2025 18:31

В августе 2024 года я написал 📝 большой обзор методов приоритизации уязвимостей, в котором перечислил чуть больше 20 разных подходов, систем классификации и фреймворков. А вот тут выложили список из 40+ таких систем. Правда, большинство из них являются проприетарными и поэтому неприменимыми на практике в отрыве от продцктов, их реализующих, однако есть и интересные новинки. Но в этом списке не все, что в моей "ведомости". Так что, комбинируйте... 🪄

#framework #уязвимость #приоритизация #оценказащищенности

Пост Лукацкого

05 November 2025 10:34

Многие коллеги присылают ссылку на историю с паролем LOUVRE, используемом для защиты систем видеонаблюдения в самом известном музее Франции, а может и мира 🇫🇷 При этом сама система контроля доступа работала под управлением Windows Server 2003, которая уже не поддерживается Microsoft. Вроде бы ужас-ужас... Но есть нюансы ☺️

Если посмотреть хронологию ограбления, то охранники набрали полицию 👮‍♂️ через 5 минут после начала совершения преступления (хотя полиция утверждает, что звонок поступил от постороннего спустя спустя 7 минут после начала ограбления). Полиция приехала на место кражи через 3 минуты после звонка – достаточно неплохая реакция. Просто грабители были подготовлены лучше и слиняли уже через 7 минут после начала своей акции. В любом случае полиция (представьте, что это аутсорсинговый SOC) взяла инцидент в работу и начала реагирование за 3 минуты. А вы в вашем SOCе можете похвастаться TTR, равном 3 минутам? Вот, честно! У вас скорее всего только TTD установлено в 5 минут 🚓

Теперь Windows Server 2003... 📱 И что, что это устаревшее ПО? Если оно выполняет свою задачу и находится во внутреннем контуре без доступа вовне, то какая разница, какое там ПО? Работает и прекрасно. У нас не только АСУ ТП продолжают работать на Windows NT, но и офисные сети защищаются оборудованием давно снятым с продаж и с поддержки (какая-нибудь Cisco ASA 5512). Кого это смущает? 🤫

Шестисимвольные пароли LOUVRE и THALES. Да, неприятно. Да, нарушает общепринятые правила ИБ. Но.... 😏 А если там была MFA? Ведь ни в одном опубликованном сообщении об этом ни слова. Все просто уцепились за этот пароль и все... Вот если выяснится, что кто-то помог отключить систему видеонаблюдения и контроля доступа с помощью этого пароля... Тогда история примет другой оборот. Но пока вроде как все укладывается в обычный сценарий ограбления - провели рекогносцировку, подготовились, проникли, сперли ценности и свалили 👮

А самое главное, как вообще пароль LOUVRE и необновляемая Винда связаны с физическим ограблением? НИКАК! Это не было использовано преступниками и никак им не помогло в реализации своих замыслов 🤔 Два факты, связанных с одним местом, но не с одним событием. А шуму-то...

#аутентификация

Пост Лукацкого

04 November 2025 18:47

Американское Министерство Обороны Войны (они реально его переименовали) 👮 анонсировало новый фреймворк по управлению киберрисками. Деталей не много, конкретики нет, что там кардинально нового, ускоряющего процесс во время ведения военных операций (как заявлено), я не понял. Но вдруг, кому-то картинка понравится... 🎨

#риски

Пост Лукацкого

04 November 2025 11:27

У SANS очередной постер – на этот раз про метрики SOC. Самих метрик в нем не ждите – он скорее про все хорошее, против всего плохого. Дана иерархия метрик и некоторые советы по выбору 🤔

#sans #soc #метрики