Новости (на английском, но все понятно) из прогрессивной и демократической Европы 🆕 В Германии за публикацию в интернете "оскорбительных" мемов можно присесть в тюрьму 😡 В том числе и за репосты таких мемов. А использование Интернет для этого еще и усиливает наказание. А вы говорите это только у нас РКН и ФСБ лютуют. Это общий путь сейчас для многих стран 🤔

#цензура #видео

Читать полностью…

По приглашению Руслана (спасибо, дружище) выступил вчера на на IV Всероссийском форуме технологического предпринимательства в рамках Sci-fi панели "Драматургия будущего: темные и светлые сценарии развития технологий" 🔮 Руслан прекрасно подытожил (часть первая и вторая) ключевые выводы, прозвучавшие от участников – я даже не буду их повторять.

После 20 декабря будет выложено видео 🍿, которое я даже сам пересмотрю, так как получилось очень экспрессивно и провокационно – про сравнение человека с ленточным червем, про реальную "Матрицу", в которую мы все идем, про превращение нас в биороботов, сценарии использовании ИИ для реального развития человека, взломы наших мозгов и кражу воспоминаний и снов 🤔 Прям с удовольствием поучаствовал в этой дискуссии!

#мероприятие #тенденции

Читать полностью…

В американских юридических школах 👩🏼‍⚖️ часто дают задание написать эссе на тему "ценность нарушения законов" (The Value of Breaking the Law), которая расширяет ранее описанную мной мысль Мокси Марлинспайка. По идее если бы соблюдение закона было всегда гарантировано (100% "идеальное правоприменение"), то многие важные социальные перемены, возможно, никогда и не состоялись бы. Юристы подчеркивают, что законы часто становятся ненужными или несправедливыми – и бывают моменты, когда их нарушение (будь то сознательное неповиновение, протест или просто бессмысленное правило) служит катализатором перемен 🤔

Обычно приводят такие примеры, как легализация однополых браков 👬 или декриминализация употребления марихуаны (все в США). Без людей, которые нарушали "старые" законы, эти изменения, возможно, никогда бы и не произошли. И поэтому, "отклонения от закона" рассматриваются не как чистое зло, а как важный механизм, через который общество может давать сигналы и вырабатывать справедливые нормы, бороться с несправедливостью, корректировать законы, которые устарели или несправедливы. То есть абсолютная, всеобъемлющая правопослушность – не всегда благо, иногда она мешает прогрессу. А постоянный страх наказания убивает спонтанность, творчество, свободу, индивидуальность, прогресс 🔫

Вот и в ИБ это проявляется – разработчики 🧑‍💻 сознательно создают инструменты, которые "ломают" попытки тотального контроля. Например, Tor, I2P и другие анонимные сети выросли не только как технология приватности, но и как форма цифрового гражданского неповиновения; они гарантируют возможность свободного общения там, где государство считает сам факт приватности 🔐 подозрительным (напоминает гонения на VPN в России, не так ли?). Mesh-сети вроде FireChat использовались протестующими в Гонконге, когда мобильные операторы по требованию властей отключали связь. Анти-FaceID-маски, глитч-мейкап и любые способы обходить массовую биометрическую идентификацию используют тот же принцип – граждане создают "технологии отказа" там, где правила становятся чрезмерными. Возможно, когда-то это приведет к изменению тупых законов, введенных людьми, которые не видят ничего дальше своего носа 🤥

И здесь возникает парадоксальная, но важная мысль 💡: в самой идее цифровой приватности всегда есть элемент нарушения запретов. Потому что если представить "идеальное правоприменение" в государстве тотального контроля, где любое шифрование без разрешения автоматически вызывает подозрение, где обход фильтрации запрещен 🤬, а анонимность считается угрозой, – сама возможность свободного общества и общения, без оглядки на реестры иноагентов, запрещенных материалов, а также непубличных черных списков, исчезает. В такой системе исчезают не только преступления, что неплохо, но и любое нелояльное мнение, любая попытка защитить себя от злоупотреблений, любой шанс на реформу, что катастрофично для граждан и общества и прекрасно для самого государства 😕

Поэтому ценность "нарушения" в цифровом мире заключается не в том, чтобы поощрять беззаконие, а в том, что право на приватность всегда содержит право на сопротивление чрезмерному контролю 😠 Именно такие "отклонения" и помогают удерживать баланс, напоминают обществу, что безопасность без свободы превращается в инструмент подавления, и заставляют законы развиваться в сторону защиты человека, а не только усиления надзора. Хотя у нас пока видно только усиление контроля, а до защиты человека мы пока не доросли и лет 11 еще точно не дорастем, как мне кажется. Но вдруг?.. Будем посмотреть... 🤔

#приватность #философия #суверенитет

Читать полностью…

Представьте себе раннее утро перед решающим днем (хотя у нас сейчас каждый день решающий). Вы стоите у окна 🪟, а за ним – плотный, молочно-белый туман. Он скрывает знакомые очертания: дороги, здания, ориентиры. Видны лишь размытые силуэты самого ближнего. Мир сократился до радиуса в несколько десятков метров. В этом тумане знакомое становится незнакомым, а расстояние и время ощущаются иначе 😶‍🌫️

Именно в таком тумане сегодня оказываются руководители компании, глядя в будущее кибербеза 🔮 Это не ясная картина с обозначенными угрозами и четкими контурами решений, а среда с высокой неопределенностью. Что скрывает этот туман?
➡️ Очертания новых технологий? Кванты, ИИ-агенты, IoT во всем... Мы понимаем, что они есть, но не понимаем их точное влияние на нас; слишком уж все размыто.
➡️ Фигуры противников? Уже не просто хакеры-одиночки, а целые кластеры преступников, экосистема враждебного ИИ, чей следующий шаг угадать непросто.
➡️ Контуры регуляторного ландшафта? Новые законы, стандарты, требования появляются как силуэты в дымке. Они меняют правила игры, но их окончательная форма и последствия еще не проявились из-за отсутствующего правоприменения 🤔

Примерно такие ощущения и мысли звучали на последнем в этом году обучении топ-менеджеров 🧐 одной российской группы компаний с последующими штабными киберучениями для них и отработкой различных сценариев из реальной практики. Люблю такие закрытые мероприятия, на которых участники высказывают совершенно иной взгляд на то, чем ты занимаешься последние 30 лет. У топ-менеджеров другое отношение к ИБ, к рискам, к ущербу... Более прагматичное, чем у ИБшника; не такое максималистское, "все защитить, все исполнить". На мероприятиях по ИБ часто слышишь, что ИБшник должен встать на место хакера и посмотреть на свою компанию его глазами. Я считаю, что ИБшник должен вставать и на позицию топ-менеджера; это полезное занятие 🤔

А еще ты узнаешь о таких инцидентах 🔓, о которых никто, нигде и никогда не рассказывал. И если обычно ты сам пугаешь слушателей страшилками про хакеров и недопустимые события, то тут уже пугают тебя и тебе рассказывают про то, что могло бы лечь в основу сюжета очередного блокбастера 🍿

ЗЫ. На фото вид с 95-го этажа здания, где и проходили обучение и киберучения для топ-менеджеров! Туман, неопределенность, мысли "а что там впереди"...

#обучение #awareness #cxo

Читать полностью…

Уважаемые абоненты!

Сегодня могут быть временные сбои со связью. Хакеры развлекаются, пробуя свои силы, атакуя крупнейшие российские компании.

Техническая служба Ориона оперативно локализовала атаку. Сейчас нужно немного времени, чтобы окончательно вернуть всё в штатный режим.

Исполнительный директор Орион телеком Денис Якунин:

«Мы выстроили многоуровневую систему защиты, которая позволяет быстро выявлять и нейтрализовывать внешние угрозы. Все данные клиентов находятся под надёжной защитой».

Читать полностью…

Депутаты приняли в первом чтении законопроект о внесении изменений в ФЗ-152 в части уточнения трансграничной передачи персданных, а точнее, в части уточнения процедуры включения иностранных государств в список адекватных ⛔️ Почему-то разные источники пишут, что теперь РКН получил право блокировать любую передачу информации за границу. В реальности это норма вообще мало на что влияет и уж точно никак не влияет на реальную защищенность ПДн, на утечки и ни на что другое. Вот если бы у нас поступили как в Ирландии 🇮🇪

14 мая 2021 года у ирландского Health Service Executive (HSE) произошел инцидент 🔓 – злоумышленники из Conti или связанной с ними группы использовали фишинговое письмо, что повлекло за собой проникновение внутрь HSE, шифрование инфраструктуры и массовое нарушение работоспособности ИТ-систем организации. В результате была выведена из строя значительная часть серверов и рабочих станций, ИТ-системы пришлось отключить, больницы, клиники, административные отделы перешли на бумажный учет, отложены тысячи визитов, операций и диагностических процедур 🏥 Пострадавшими оказались сотни тысяч пациентов и сотрудников: украдена и частично опубликована (на теневых форумах) конфиденциальная информация (медицинские данные, персональные данные и др.).

И вот в статье пишут, что HSE начала предлагать компенсацию €750 жертвам кибератаки, чьи данные были скомпрометированы или чьи права могли быть затронуты вследствие инцидента 🤑 Ранее HSE уведомила около 90 тысяч человек, чьи данные могли быть затронуты. Число судебных исков, в т.ч. коллективных, выросло – по данным на ноябрь 2025 года уже составило около 620. Попытка оценки стоимости атаки показывает сумму в ~€100 миллионов сразу, но возможны и дополнительные траты, включая судебные издержки 👩🏼‍⚖️, компенсации, модернизацию ИТ-инфраструктуры. Для части истцов, уже начавших индивидуальные процессы, €750 могут быть только "базой" – они могут продолжать добиваться более высоких компенсаций в судах. Параллельно Государственное агентство по искам ведет 12 дел о причинении вреда здоровью, связанного с психологическим воздействием атаки на людей, а часть вопросов уже вышла на уровень Суда ЕС 🇪🇺

Это один из крупнейших в Европе примеров, когда кибератака на систему здравоохранения 👩‍⚕️ повлекла последствия не только технического и организационного порядка, но и долговременные юридические, финансовые и репутационные потери. Инцидент закончился в 2021-м, а чеки за него продолжают выписывать в 2025-м. Но самое главное, что в этой истории демонстрируется реальное, а не показушное отношение государства к персональным данным своих граждан. Государственная структура Ирландии, фактически национальная служба здравоохранения, взяла на себя ответственность за утечку и платит по счетам. А у нас?.. 🤠

#персональныеданные #регулирование #утечка #ущерб

Читать полностью…

А если это я? 🤔

#аутентификация #юмор

Читать полностью…

Не могу согласиться с мнением коллег о том, что голосовые колонки включаются только от ключевого слова 🙅‍♂️ Мои, достаточно поверхностные, эксперименты показывают, что они прекрасно понимают речь и без этого – могут то внезапно начать комментировать то, что ты говоришь в кругу друзей, то выполняют инструкции без ключевого слова 🦻

Да, они могут не писать ничего и не передавать в облако, но это только вопрос доверия к производителю. Может ли она записывать все не только после активации? Теоретически, да! Может ли быть изменено ключевое слово? Теоретически, тоже да. Действительно ли кнопка Mute физически вырубает микрофон? Нет, разрыва цепи не происходит, хотя колонка и перестает "слушать" вокруг 🤔

А помните кейс с функцией "Активная прослушка" от маркетинговой фирмы Cox Media Group (CMG)? 👂 Эта фича позволяла записывать разговоры пользователя и показывать ему релеватную рекламу, а клиентами CMG были Google, Amazon и др., которые публично дистанцировались от CMG и заявили, что отказались от ее услуг 🙅‍♂️ Но тот же Facebook или Google неоднократно заявляли о прекращении "слежки" за своими пользователями и отказе от сбора лишних персональных и мета-данных, но потом их не раз ловили на том, что, упс, эти функции вендора забывали отключать или они, случайно конечно же, появлялись в новых релизах ПО ☺️

Amazon 📱, кстати, прямо пишет в политике конфиденциальности, что голосовые записи могут быть использованы для "улучшения услуг" и "рекламы и маркетинга". У Google такие же оговорки. Есть исследования, предполагающие, что у умных колонок могут быть тысячи слов, позволяющих активировать запись и передачу данных на облачные сервера. Например, у той же Amazon Echo известны сработки на слово "выборы" или "неприемлемый" 😮 (видимо поэтому мои эксперименты показывают, что отечественные колонки реагируют не только на одно слово активации).

То есть умная колонка слушает вас ВСЕГДА 🫡 – исходить в своей персональной модели угроз надо из этого. А дальше – допустимо это для вас или нет?.. Если вас это напрягает, но вы хотите продолжать пользоваться голосовыми ассистентами, то переходите на Apple HomePod, Mycroft Mark II или Snips – эти решения обрабатывают голос локально 🤔 Допустимо? Ну и забейте, как и абсолютное большинство счастливых обладателей голосовых ассистентов.

#модельугроз

Читать полностью…

В последние недели вокруг атаки на американского ИТ-подрядчика Truenorth Corporation, обслуживающего десятки госагентств Пуэрто-Рико 🇵🇷, складывается удивительно разносторонняя картина. Официальные лица успокаивают: "данные граждан не утекли, сервисы восстанавливаем, все под контролем". Но инсайдеры рисуют куда более тревожный сценарий, что до боли напоминает атаки на отечественные государственные организации и компании, у которых по официальной информации "все хорошо, просто сбой", а в реальности все гораздо плачевнее 🧐

В заявлениях губернатора и государственных служб утверждается, что атака 🤕 произошла 25 ноября, в разгар длинных праздников, задев "всего" три агентства – Департамент образования, ASES (здоровье и медстрахование), государственный страховой фонд CFSE. Официальная версия говорит, что данные граждан не были украдены, службы восстановлены с резервных копий, а масштаб инцидента "контролируемый", без сбоев при оказании критических услуг населению 🤣 В публичных заявлениях – максимум спокойствия и ни слова о системной угрозе, масштабах заражения или доле недоступных сервисов.

Совсем иную историю рисует INDIARIO и источники в кибербезопасности. По данным журналистов и экспертов, знакомых с ситуацией заражены сотни серверов (>150 у CFSE, около 30 у ASES и 11 у Департамента образования) 🔓 При этом шифровальщик задел не только пользователей, но и ключевые финансовые, административные и сервисные платформы, часть которых была недоступна или работала с перебоями. В ситуацию оказались втянуты FBI и CISA 👨‍💻, что само по себе признак серьезности. Был даже активирован режим "emergencia tecnológica", то есть технологическая чрезвычайная ситуация. О последнем в официальных пресс-релизах – полный молчок 🤐

Многие в этом инциденте до сих пор остается в тени: 😦
➡️ Была ли утечка хоть какого-то объема данных?
➡️ Почему власти так осторожно комментируют масштабы?
➡️ Насколько велика зона поражения внутри Truenorth?
➡️ Сколько времени услуги работали в условиях деградации?

Правительство явно старается минимизировать информационную волну 🌊 Инсайдеры, наоборот, утверждают, что мы видим только вершину айсберга. Правда, как часто бывает в кибербезопасности, лежит где-то посередине. Но мне кажется мы еще услышим про этот кейс в новостях. Очень уж он напоминает стандартные истории последнего времени, когда атака началась с подрядчика и затронула серьезные организации, которые не хотят терять лицо. Поэтому начинается все со сбоя и, в "худшем" случае заканчивается "данные граждан/клиентов не пострадали". Но вот потом правда выплывает наружу 🤔 Но будет посмотреть...

#инцидент #недопустимое

Читать полностью…

Еду утром в лифте, слышу разговор:

– А что, пошифровали в итоге?
– Да.
– И что? Выплатили выкуп?
– Да, 2 битка!..

Интересно девки пляшут. Вот чтобы так, в лифте, столкнуться с профессиональным... А тут еще и Казначейство США 🇺🇸 подогнало отчет "Ransomware Trends in Bank Secrecy Act Data Between 2022 and 2024", в котором проанализировало 7395 BSA-отчетов, полученных FinCEN в период с 1 января 2022 по 31 декабря 2024, связанных с инцидентами программы-вымогателей, из которых зафиксировано 4194 отдельных ransomware-инцидента 🤒 Общая сумма зарегистрированных выплат по этим атакам – более $2,1 млрд. Для сравнения: за 2013–2021 годы было зарегистрировано около $2,4 млрд выплаченных выкупов по ransomware.

Медианная сумма одного выкупа: 🤒
➡️ 2022 – $124097
➡️ 2023 – $175000
➡️ 2024 – $155257
В целом за 2022–2024 чаще всего выплаты были до $250000. Важно отметить, что эти цифры – лишь часть реальной картины. Точное число атак, вероятно, гораздо выше, потому что не все жертвы заявляют о выплатах, и далеко не все через финансовые учреждения 🤑

По количеству инцидентов лидируют: 📈 производство – ~456, финансовые услуги – ~432, здравоохранение – ~389, затем ритейл и юридические услуги. По сумме выплат наибольшие потери понесли: финансовые услуги (~ $365,6 млн), здравоохранение (~ $305,4 млн), производство (~ $284,6 млн), далее научно-технологический сектор и розница.

За отчетный период было выявлено 267 уникальных вариантов программ-вымогателей 😷, на лидерами среди них были ALPHV/BlackCat, Akira, LockBit, Phobos и Black Basta. Так, ALPHV/BlackCat является лидером по сумме выплат – около $395,3 млн, а Akira – лидер по наибольшему числу инцидентов (376) 🥷

Что касается способов коммуникации, то в ~42 % отчетов описан способ связи с вымогателями 🤝 Из них 67% через TOR, 28% – по email, остальные через мессенджеры с E2EE, файлы и пр. В оплатах доминировала криптовалюта Bitcoin (BTC) – ≈97% всех зафиксированных транзакций. После получения выкупа злоумышленники часто использовали нехостинговые, "холодные" криптокошельки (unhosted CVC-кошельки) и далее – криптовалютные биржи для отмывания средств 💴

#ransomware #отчет #статистика #ущерб

Читать полностью…

Мария врывается в инфополе с разбором ИБ-инцидента Аэрофлота 🛩, о котором все предпочитают молчать, потому что никто никому ничего не говорит. Особенно удручает позиция НКЦКИ в этой ситуации, что в очередной раз ставит вопрос о том, что у нас в стране все равны, но есть те, кто ровнее 🤔

#инцидент #supplychain

Читать полностью…

Ошибка №24. Выгорание специалистов ИБ

Перегруженные специалисты совершают ошибки, принимают плохие решения и покидают команду.

Например, SOC-команда крупной авиакомпании пропустила ранние признаки атаки, потому что работала в режиме постоянных переработок.

Как исправить:
➡ Реалистичные и обоснованные нагрузки.
➡ Автоматизация рутинных операций
➡ Поддержка команды и программы благополучия (well-being).

#стратегия

Читать полностью…

Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте"

Когда CISO говорит на языке CVE, SIEM, EDR, SOC и ATT&CK, бизнес слышит белый шум. В итоге нужные решения не принимаются.

Например, одна компания откладывала внедрение MFA три года, потому что "доклад ИБ непонятен". После демонстрации удачного бизнес-кейса внедрили за месяц.

Как исправить:
➡ Переводить риски на язык денег и последствий.
➡ Давать руководству понятные ему сценарии и альтернативы.
➡ Построить "CISO Dashboard" с бизнес-метриками.

#стратегия

Читать полностью…

Ошибка №20. Отсутствие сети контактов между специалистами

Во время инцидентов часто теряется драгоценное время, потому что ИБ, ИТ, DevOps, юристы, PR, подрядчики или специалисты с иными нужными компетенциями просто не могут оперативно связаться друг с другом. Контакты устарели, лежат в недоступных системах, хранятся у одного человека или вовсе отсутствуют.

Например, в одном финтехе при компрометации CI/CD ИБ не смогла найти DevOps-лида – его контактов не было в актуальном списке. В результате восстановление задержалось на несколько часов, и злоумышленники успели распространить вредоносный код на продовый кластер.

Как исправить:
➡ Создать и обновлять единый перечень аварийных контактов.
➡ Хранить его в нескольких местах, включая офлайн.
➡ Включить коммуникационные сценарии в программу учений.

#стратегия

Читать полностью…

Ошибка №18. Legacy-системы

Старые ОС, уже не поддерживаемые производителем компоненты, устаревшие сервера и оборудование – идеальная мишень для атак.

Например, WannaCry массово поражал Windows XP, которая продолжала использоваться в больницах и госучреждениях.

Как исправить:
➡ Разработать и реализовывать план миграции.
➡ Виртуализация и изоляция legacy.
➡ Мониторинг вокруг критичных legacy-узлов.

#стратегия

Читать полностью…

Центр правительственной связи Великобритании 💂 выпустил свой очередной набор ежегодных головоломок. Внизу я выложил сам сборник, а по ссылке выше можно найти файлик с подсказками и ответами, если вам будет тяжело 🎮 или вы просто сразу захотите узнать правильные ответы, отговаривая себя тем, что вы не знаете английского языка. На сайте BBC часть головоломок автоматизирована. Так что разомните свои извилины в эти серые (бу)дни 🕹

#криптография #геймификация

Читать полностью…

Это прекрасно 😀

ЗЫ. Утащил у коллег.

#юмор #суверенитет

Читать полностью…

MITRE опубликовала 2025 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25) – ежегодный рейтинг слабых мест в коде, которые часто и легко эксплуатирую злоумышленникам 👨‍💻 и в реальных инцидентах, приводя к серьезным последствиям (кража данных, выполнение произвольного кода, отказ в обслуживании и т.п.). Список составляется на основе тысяч записей CVE с оценками их частоты и тяжести. Это помогает (должно помогать 🧑‍💻) разработчикам и командам безопасности понять, на какие виды ошибок в первую очередь стоит обратить внимание.

Топ25 этого года выглядит так:
6️⃣ CWE-79 – Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)
2️⃣ CWE-89 – Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)
3️⃣ CWE-352 – Cross-Site Request Forgery (CSRF)
4️⃣ CWE-862 – Missing Authorization
5️⃣ CWE-787 – Out-of-bounds Write
6️⃣ CWE-22 – Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)
7️⃣ CWE-416 – Use After Free
8️⃣ CWE-125 – Out-of-bounds Read
9️⃣ CWE-78 – Improper Neutralization of Special Elements used in an OS Command (OS Command Injection)
6️⃣1️⃣ CWE-94 – Improper Control of Generation of Code (Code Injection)
6️⃣6️⃣ CWE-120 – Buffer Copy without Checking Size of Input (Classic Buffer Overflow)
6️⃣2️⃣ CWE-434 – Unrestricted Upload of File with Dangerous Type
6️⃣3️⃣ CWE-476 – NULL Pointer Dereference
6️⃣4️⃣ CWE-121 – Stack-based Buffer Overflow
6️⃣5️⃣ CWE-502 – Deserialization of Untrusted Data
6️⃣6️⃣ CWE-122 – Heap-based Buffer Overflow
6️⃣7️⃣ CWE-863 – Incorrect Authorization
6️⃣8️⃣ CWE-20 – Improper Input Validation
6️⃣9️⃣ CWE-284 – Improper Access Control
2️⃣1️⃣ CWE-200 – Exposure of Sensitive Information to an Unauthorized Actor
2️⃣6️⃣ CWE-306 – Missing Authentication for Critical Function
2️⃣2️⃣ CWE-918 – Server-Side Request Forgery (SSRF)
2️⃣3️⃣ CWE-77 – Improper Neutralization of Special Elements used in a Command (Command Injection)
2️⃣4️⃣ CWE-639 – Authorization Bypass Through User-Controlled Key
2️⃣5️⃣ CWE-770 – Allocation of Resources Without Limits or Throttling 🤔

#уязвимость #mitre

Читать полностью…

Мир кибербезопасности стремительно меняется – и мы меняемся вместе с ним 🤪 В условиях турбулентности 2025–2026 годов отрасль как никогда нуждается не только в технологиях, но и в новых смыслах, новых подходах и новых людях. Кибербезопасность все чаще становится зеркалом, в котором отражаются зрелость управления, культура компании, устойчивость процессов, поведение людей и способность бизнеса адаптироваться. Давайте поговорим об этом?! 🤔 Мы объявляем прием заявок на выступления на PHDays 2026 и приглашаем специалистов, руководителей и исследователей подать доклады, которые помогут увидеть, – какими мы становимся, когда меняется среда вокруг нас.

А как ответственный в очередной раз за бизнес-трек фестиваля, хочу специально подсветить, что мы ищем выступления по следующим направлениям бизнес-программы:
➡️ Кибербез малого и среднего бизнеса. Как МСБ живет в условиях растущих угроз и ограниченных ресурсов? Какие практики крупных компаний можно адаптировать "в малом масштабе"? Где проходит граница между достаточной защитой и чрезмерными ожиданиями? Какие практики реально работают, а какие можно выбросить на свалку истории? 👶

➡️ Security Leader. Эволюция роли руководителя ИБ: от "охранника процессов" к бизнес-наставнику, архитектору рисков, стратегу и переговорщику. Переходные карьерные траектории, развитие лидерства, управление командами в эпоху перегрузки и постоянных изменений 🧐

➡️ Современные и будущие технологии мониторинга и реагирования. Data-first SOC, автономный SOC, атрофия навыков при переходе на рои ИИ-агентов, заменяющих L1, обучение ИИ-моделей, автоматизация реагирования, киберразведка нового поколения – все, что движет обнаружение и реагирование вперед. Как меняются инструменты? И чему они нас учат, если смотреть на них как в зеркало – отражение зрелости процессов или их хаоса? 🔍

➡️ Антикризисный 2026 год. Рост налогов, сжатие бюджетов, сокращение штатов, нестабильность, сложная геополика и неуверенность в собственном будущем – как в таких условиях выживать специалистам и руководителям ИБ? Как доказать свою ценность, оптимизировать ресурсы, выстроить автоматизацию, договариваться с бизнесом и делать больше меньшим?

➡️ Отличные люди в ИБ. Нейроотличие в ИБ, когнитивные искажения, бехевиористика и виктимология – все, что помогает не только понимать людей, включая и хакеров, но и лучше строить команды, процессы и коммуникации. Почему "другие" способы мышления становятся суперсилой в ИБ? 🎶

➡️ Доказательство ИБ. Как сегодня бизнес доказывает свою защищенность? Bug bounty, кибериспытания, имитация реальных атак, верификация недопустимых событий, страхование, публичная отчетность... И главное – почему любое доказательство безопасности тоже становится зеркалом, показывающим не только зрелость технологий, но и честность организации перед собой и своими клиентами 🧑‍💻

➡️ А также много иных направлений: атаки через подрядчиков и цепочки поставок, геймификация и игровые форматы в ИБ, прогнозирование и футурология новых технологий, моделирование будущих угроз, новые модели сотрудничества бизнеса и государства, нестандартные подходы к обучению, формированию культуры и управлению рисками 👾

Мы ищем доклады, которые не просто информируют, а заставляют задуматься – о будущем, о нашей профессии, о людях, о технологиях. Доклады, которые показывают, как кибербезопасность отражает нас самих: наши слабости, наши сильные стороны и наш потенциал к росту 🪞

Если у вас есть идея такого выступления – мы будем рады ее услышать. Не стесняйтесь, подавайтесь! 🤔

#мероприятие #phdays

Читать полностью…

Помните летний инцидент у Орион-Телеком, который даже посчитал до копейки размер нанесенного им хакерами ущерба? Их снова атаковали 🤕 Но вроде все под контролем! А как иначе? Сложно думать, что компания не извлекла уроков из прошлого инцидента. Иначе это будет выглядеть очень странно, хотя и так по-русски. Ведь у нас часто думают, что снаряд дважды в одну воронку не попадает. Хотя любой артилерист вам скажет, что попадает, все зависит от плотности огня. Так и тут... Будем посмотреть на то, как быстро восстановится телеком-оператор 📡

На фоне этого инцидента, заявлений хакеров о взломе "Микорда" (хотя МинОбороны уже опровергло) и уничтожении всех данных реестра воинского учета 🔓, а также ряда других не столь публичных пока инцидентов, я вдруг подумал, что ближайшую неделю мы можем услышать и о других резонансных и массовых инцидентах ИБ. Ведь скоро у нас будет прямая линия с президентом (19-го декабря) и это прекрасный повод либо попробовать ее сорвать, атакуя телеком-провайдеров, либо увеличить число вопросов "Доколе", некоторые из которых могут прорваться и в "прямой" эфир. Так что и тут будем посмотреть, насколько эта повестка будет взята на флаг хакерами, которые обычно чутко следят за тем, что можно использовать для усиления своей вредоносной активности 🥷

#инцидент #антикризис

Читать полностью…

Подписчик, за что ему спасибо 🤝, прислал интересный кейс про разгорающийся скандал в узбекском финтехе. История между экосистемой Humans и платежной организацией Paylov (Octagram) начиналась как обычный технический инцидент, но очень быстро превратилась в более серьезный конфликт 🇺🇿

Humans – один из самых заметных цифровых игроков Узбекистана. Это суперапп, объединяющий мобильного оператора, финтех-сервисы, кошелек, кэшбэк, маркетплейс и платежи 💬 По сути, это экосистема "одного окна", через которую миллионы пользователей совершают повседневные операции. Чтобы эти платежи работали, Humans использует инфраструктуру внешнего партнера – платежной организации Paylov, работающей под брендом Octagram AJ. Paylov предоставляет API, ключи и технологическую платформу, через которую проходят платежи и P2P-переводы. Их роль – "фундамент" финтеха: незаметная, но критически важная 💻

И вот 6 декабря система риск-мониторинга Paylov фиксирует подозрительные транзакции 🤌, Humans об этом уведомляют, операции временно блокируются. 7 декабря Humans направляет официальное письмо: "уязвимость устранена, фрод остановлен" и просит снова разрешить проведение операций. А уже 8 декабря происходит массовое списание средств у пользователей 🤑

Версия Paylov: злоумышленники использовали валидные шифровальные ключи Humans 🔑 Инфраструктура Paylov при этом не была взломана. Официальная позиция платежного сервиса: ответственность за безопасное хранение этих ключей лежит полностью на Humans, и другие партнеры Paylov проблем не испытывают 🤷‍♀️

Самое стремное во всей этой истории – письмо Humans от 7 декабря ✉️ Если менеджмент действительно заверил партнера в устранении проблемы, но полного анализа ситуации и ее источника так и не провел, то это уже выходит за рамки ИТ и ИБ и попадает в категорию необоснованного принятия риска. Paylov сейчас защищает себя, свою репутацию и лицензию перед местным регулятором, показывая, что проблема локализована и это проблема у партнера 👨‍💻 Для Humans ситуация выглядит куда тяжелее: если проверка подтвердит, что они настояли на включении прохождении транзакций преждевременно, то восстановить доверие B2B-рынка будет чрезвычайно сложно. В финтехе доверие теряется мгновенно.

Сейчас все ждут официального ответа Humans... ⏳

#инцидент

Читать полностью…

🤓🤓🤓🤓🤓🤓🤓🤓

🖲️ Технологии всё сильнее интегрируются в наш быт. Но чем больше функций и возможностей они предлагают, тем больше вопросов возникает у пользователей.

🤓 Сегодня в нашей рубрике #миф_или_реальность — один из самых распространённых цифровых страхов: кажется, что «умные» колонки постоянно подслушивают наши разговоры, чтобы потом показывать таргетированную рекламу в других сервисах.

Что на самом деле слышат и запоминают эти устройства? Делают ли они это круглосуточно? И главное, куда «умные» колонки передают полученную информацию?

📌 Ответы – в наших карточках!


🅱️ Интеграл в VK | 📤 Интеграл в MAX

Читать полностью…

Павел пишет интересное. В США арестовали 👮 двух близнецов, работающих в ИТ-компании, которая обслуживала федеральное правительство. Судя по тексту приговора, братаны крали данные и пароли, удаляли базы данных, подтирали следы своей деятельности в системах налогового ведомства, минсельхоза, минэнерго, регуляторов по национальной безопасности. Вроде обычная история, но есть один нюанс... Близнецов в 2015 уже осудили за кражу компьютерных данных 😡

А где хваленый скрининг персонала при доступе к федеральным ИТ-системам? Хотя Задорнов и был прав 🤦‍♂️, но я задумался, а насколько реален такой кейс у нас? Как проверяются сотрудники ИТ-подрядчиков, имеющие доступ к отечественным государственным информационным системам? Проверяются ли они вообще? 🤔

Тут сорока на хвосте принесла 😂, что один аутсорсинговый SOC на субподряд взял одну команду из очень ближнего зарубежья, а там тоже решили сэкономить и взяли на работу гражданина Украины со всеми вытекающими... из защищаемой SOCом компании данными, которые после были пошифрованы 🤒

А у вас в политике ИБ для подрядчиков учитывается такой риск? 🤔

#инцидент #ответственность #supplychain

Читать полностью…

А вы выключаете свой Wi-Fi-маршрутизатор, уезжая в отпуск? 🤔

Читать полностью…

🎉 «Ну что? Мы сделали это!»

Так радовался в июне 2025 года у себя в сторис в Telegram Иван Семчук, гендиректор небольшой IT-компании «Бакка Софт». В этот день «Аэрофлот» официально представил свое новое веб-приложение — его разработкой занималась компания Семчука. Через месяц похожий восторг, по всей видимости, испытали украинские и белорусские хакеры — они смогли пробраться в инфраструктуру «Аэрофлота», используя «дырявый периметр» этого подрядчика.

Это деталь из моего нового расследования про летнюю атаку на «Аэрофлот». Напомню, в конце июля «Аэрофлот» почти сутки не летал после совместной атаки Silent Crow и Киберпартизан Беларуси. Отменили и задержали больше сотни рейсов — по официальной версии авиакомпании, из-за «сбоя информационных систем».

🔍 Как продвигались хакеры — ключевые моменты

• Silent Crow начали с подрядчика — той самой «Бакка Софт». Взлом подрядчика обнаружили ещё в январе, но incident response провели плохо, и спустя несколько месяцев хакеры вернулись уже осторожнее. Ранее по аналогичной схеме, через взлом подрядчика, Silent Crow «заходили» в «Ростелеком».
• В «Аэрофлоте» долгое время не было 2FA на терминальных серверах, а у подрядчика был удаленный доступ к инфраструктуре. Хакеры зашли с термильника, затем «провалились» в Active Directory и смогли получить учетку с высокими привилегиями.
• В итоге, у хакеров была учетная запись администратора в корпоративном домене «Аэрофлота»(!)
• Дальше у них был этап сбора информации из корпоративных систем. Отдельно подчеркну, что ответа на то, действительно ли хакеры смогли достать полный массив баз данных истории перелетов «Аэрофлота» — нет.
• Потом они разлили групповую политику, которая по расписанию запустила wipe на рабочих станциях. После запуска процесса уничтожения данных хакеры убили и сам корпоративный домен.
• Разрушение IT-инфраструктуры «Аэрофлота» началось около 5 утра 28 июля: сотрудники начали писали в чаты, что не работают почта, корпоративный VPN, а рабочие станции уходят в циклическую перезагрузку и др.
• Около 7 утра, после того, как стало понятно, что взломали AD, поступила команда «все вырубаем»: в офисах «Аэрофлота» сначала отключили каналы связи, затем — отрубили электричество и отдали приказ приостановить полеты.

«Команде „Аэрофлота” респект хотя бы за то, что они быстро все рубанули, и в итоге очень большой кусок инфраструктуры смогли спасти», — говорит один из моих собеседников в сфере ИБ.
🧩 Источник, знакомый с материалами расследования кибератаки, говорит, что хакеры использовали около двух десятков образцов вредоносного ПО: 

• модифицированные администраторские/диагностические утилиты, которые делают дампы оперативной памяти, что позволяет извлечь пароли, ключи и сеансы;
• самописные модули управления;
• общедоступное ПО и прокси, в частности Ghost Proxy и HAProxy.

Вывод у него примерно такой: «Здесь не было какого-то ноу-хау. Это дело громкое политически, но в техническом плане там ничего необычного».

⚠️ Однако в ходе расследования был обнаружен интересный нарыв.
Оказывается, индустрия ИБ в России негодует из-за того, что НКЦКИ ФСБ не делится с отраслью индикаторами компрометации (IoC) по этой и еще ряду крупных кибератак украинских хакеров, что не позволяет другим компаниям учесть ошибки «Аэрофлота» и закрыть те лазейки, которыми воспользовались хакеры.

“Мы IoC’и “Аэрофлота” достали, но из-под полы, по дружбе. В бюллетенях НКЦКИ их не было. По сути, всем остальным дали понять – крутитесь как хотите, теперь ваша очередь тонуть”, – говорит мой собеседник в ИБ-компании.
@kolomychenko

Читать полностью…

Исследование TAdviser показывает, что в РФ стали гораздо активнее использовать технологии беспарольной защиты 🤒 Все бы хорошо, но вот 95% случаев применения – это одноразовый код в виде СМС на телефон, что давно уже не может считаться серьезной защитой). Тот же PassKey всего в 15%. Хотя тут у меня сомнения есть, что TAdviser правильно понимает термин Passkey – они его, почему-то, уравнивают с OTP, что не так (хотя и с PassKey тоже arkenoi/whats-wrong-with-passkeys-advocacy-e3b6806b3277">не все так хорошо) 🤒

Но чудится мне 🤔, что мы еще долго будем жить с паролями, а значит мы не скоро избавимся от разбросанных по vault-хранилищам, документам, заметкам, чатам, старым инструкциям и даже по временным рабочим пространствам паролей от тысяч учетных записей в серверах, облаках, сторонних сервисах, внутренних инструментах и т.п. А даже один слабый или повторно используемый пароль может дать злоумышленнику доступ ко множеству систем внутри инфраструктуры 👺 И с ростом ее масштаба риск только увеличивается, поскольку "теневые" пароли (заброшенные, забытые, плохо защищенные) могут долго не замечаться. Мне тут показывали как работает PT Dephaze, так он специально ищет пароли на "захваченных" ПК, чтобы потом использовать их для расширения плацдарма. Тоже делают и плохие парни 🥷

Как провести аудит парольной системы? ✍️
6️⃣ Найти, где обычно хранятся пароли. Сначала идентифицировать все места: парольные менеджеры, документы, черновики, чаты, внутренние вики, сторонние сервисы и т.п. Это помогает увидеть, насколько "распылён" парольный ландшафт. Да, все вы, скорее всего, не найдете, но масштаб проблемы увидите и основные места определите. Инструментарий будет зависеть от инфраструктуры – это могут быть TruffleHog, GitLeaks, SecretScanner, osquery, AWS Security Scanner, Kube-audit, Checkov, BloodHound, SharpHound, PingCastle, Purple Knight и т.п.
2️⃣ Проанализировать, как сотрудники создают и хранят пароли. Посмотреть, насколько политики соблюдаются: создаются ли сильные пароли, используются ли надежные генераторы, не переписывают ли пароли в чаты/файлы, не передаются ли коллегам небезопасным образом и т.п. Часто из-за спешки и неудобства (все эти регистры, спецсимволы, буквы и цифры) сотрудники возвращаются к простым, слабым или повторяющимся паролям.
3️⃣ Проверить надежность и уникальность паролей. Оценить длину, сложность, использование словаря, совпадение с утечками, повторное использование на разных сервисах. Это дает явное понимание, где есть риски для взлома, перебора или credential stuffing. Тут снова все зависит от инфры, но можно посмотреть в сторону Hashcat, John the Ripper, PACK, HaveIBeenPwned, Dehashed, DLBI, zxcvbn, Cracklib, SpecOps Password Auditor, ANIXIS Password Policy Enforcer, Password Auditor Pro и т.п.
4️⃣ Особое внимание на привилегированные аккаунты. Учетные записи доменных администраторов, root, сервисные аккаунты, сетевые админы, облачные контроллеры – часто остаются вне внимания (редко меняются, хранятся "на борту", используются совместно, после увольнения сотрудников не удаляются). Аудит таких учетных записей должен проводиться особенно тщательно.
5️⃣ Проверить, как пароли интегрированы с системами управления идентификацией (SSO, MFA, identity-провайдерами). Бывает, часть систем настроена на SSO/MFA, а часть все еще работает на "старых" паролях, что создает двойные стандарты и дополнительные риски.
6️⃣ Проследить жизненный цикл учетных записей и паролей – от создания до удаления: удостовериться, что после ухода сотрудников, окончания проектов, тестов пароли и учетки удаляются или контролируются, а не забываются.

После аудита можно составить сводный отчет 📝: сколько паролей соответствует политике, сколько слабых или повторяющихся, сколько хранится вне хранилищ, сколько привилегированных логинов требуют внимания. Это помогает подобрать и аргументировать меры по усилению безопасности. Может это будет просто использование парольного менеджера (например, Passwork), который помогает централизовать хранение, упростить контроль, ограничить доступ, логировать события и облегчить дальнейшее управление паролями в рамках большей части инфраструктуры 🤔

#аутентификация

Читать полностью…

Ошибка №23. Невыполнение требований compliance

Компания может годами игнорировать обязательные требования регуляторов или отраслевых стандартов, но в момент инцидента это может обернуться штрафами, проверками, ограничениями деятельности, потерей лицензий и серьезными репутационными последствиями. Нередко оказывается, что ущерб от невыполнения некоторых нормативных актов (не всех) куда выше стоимости его соблюдения.

Например, после крупного инцидента в одной финансовой организации регулятор установил, что компания не выполняла обязательные требования PCI DSS по журналированию и сегментации. В результате – многомиллионные штрафы, внеплановая проверка, запрет на запуск новых услуг и прямые убытки от оттока клиентов.

Как исправить:
➡ Проводить регулярную оценку соответствия адекватным требованиям и устранять пробелы до проверок и инцидентов.
➡ Автоматизировать контроль выполнения адекватных требований по ключевым зонам (доступы, сегментация, журналы регистрации).
➡ Встраивать compliance в архитектуру процессов, а не оформлять в виде отчетов "для аудиторов", или пытаться выполнить все в авральном режиме.

#стратегия

Читать полностью…

Ошибка №21. Отсутствие культуры ненаказания

Когда за ошибки карают – их скрывают. Инциденты растут, а цикл обнаружения увеличивается.

Например, на одном производстве сотрудник заметил подозрительные файлы, но боялся сообщить, "вдруг он что-то сделал не так". Через час началось массовое шифрование внутри инфраструктуры.

Как исправить:
➡ Формировать прозрачную систему поощрения за раннее предупреждение.
➡ Анализ инцидентов без поиска виноватого (не путать с анализом root cause).
➡ Публичные кейсы успешного поведения.

#стратегия

Читать полностью…

Ошибка №19. Теневые ИТ и данные (shadow IT / data)

Облака, личные Google Docs, неучтенные SaaS, тестовые базы с реальными данными, оплаченные личными картами GPT-сервисы – все это выходит за рамки привычного контроля ИБ и является точкой проникновения в компанию и утечки данных.

Например, сотрудник случайно оставил копию клиентской базы в личном Dropbox → утечка и большой штраф от регулятора.

Как исправить:
➡ Открыть "официальный" способ решать нужные для выполнения служебных обязанностей задачи или предложить работникам корпоративные лицензии на нужные сервисы.
➡ Обеспечить мониторинг теневых сервисов и потоков данных (вообще, иметь карту информационных потоков также полезно, как и базу активов).
➡ Разработать и контролировать политику хранения данных.

#стратегия

Читать полностью…

Ошибка №17. Слабая или отсутствующая MFA

Усталость от push'ей и запросов на подтверждение аутентификации, однофакторные протоколы, использование одноразовых кодов в SMS, отсутствие защиты сессий – и злоумышленник внутри.

Например, во время взлома Uber в 2022 атакующий использовал усталость от push-уведомлений и социальный инжиниринг для обхода MFA. Аналогичным образом взламывали Cisco, казино MGM Grand и многие другие компании.

Как исправить:
➡ Внедрение FIDO2.
➡ Контроль устройства и контекстный доступ.
➡ Защищенные каналы выдачи токенов.

#стратегия

Читать полностью…