Пост Лукацкого

21 Sep 2025 19:44

Что объединяет пятничные взломы аэропортов 🛫 Брюсселя, Хитроу в Лондоне, Бранденбург в Берлине? То, что их никто не ломал. Взломан был поставщик системы регистрации на рейс, которая использовалась в упомянутых аэропортах, и предоставлялась компанией Collins Aerospace (ею владеет RTX/Ratheon). Классическая атака на подрядчика, через которую пострадали и связанные с ней компании 🛩

А у вас есть системы, отданные подрядчикам на аутсорс, и от которых также зависят ваши основные бизнес-процессы? Если что, то для пяти отраслей я делал такие списки подрядчиков. Если нужны для каких-то еще отраслей помимо этих пяти, пишите в комментах, заделаю и их ✍️

#sypplychain

Пост Лукацкого

21 Sep 2025 08:40

Скоро сказка сказывается, да долго дело делается... В марте писал про свою статью про выбор накопителей 💾 и архитектур хранения событий безопасности для SIEM и SOCов. И вроде материал был написан, но все руки не доходили его вылизать и выложить. Но вроде все доделал – отправил на финальную корректуру и скоро, надеюсь, поделюсь ссылкой на сей лонгрид ✍️

#soc #статья

Пост Лукацкого

20 Sep 2025 14:12

Исторические заметки

Рассказывает Вера Алексеевна Архангельская (c 1976 года- помощник прокурора Автозаводского района г.Тольятти прокуратуры Куйбышевской области, с 1982 года- старший помощник прокурора там же, с сентября 1992 года- судья Автозаводского районного суда г.Тольятти, c июня 2014 года пребывает в отставке):

"В 1983 году в СССР было совершенно первое в истории преступление в сфере высоких технологий – хакнули ПО на АВТОВАЗе, в результате чего конвейер встал на три дня. Возник прецедент: совершено преступление, за которое не предусмотрено наказание.

Первым хакером в истории СССР оказался простой программист Мурат Уртембаев, которому прочили блестящую карьеру математика в МГУ, но он отказался от научной стези, и по целевому распределению попал на АВТОВАЗ. Там его таланты никто не оценил, и он решил доказать, что чего-то да стоит.

В Управлении автоматической системой для подачи механических узлов на конвейер, в котором работал Мурат, схема работы была следующей – программист, если считал нужным, вносил изменения в ПО, но не оставлял никаких данных или отметок о внесенных изменениях.
Уртембаев создал патч к основной программе-счетчику, которая отмеряла циклы подачи узлов на линию конвейера. Патч Мурата сбивал ритм счетчика. На конвейере, где заданная деталь должна быть поставлена в четко ограниченное время, сбой в автоматике даже на секунду будет фатальным для производственной линии, где все выверено и просчитано до мелочей.

Мурат подстраховался, создав себе алиби, – запуск адского патча Уртембаев запрограммировал на день своего выхода из отпуска.

Расчет был такой: я возвращаюсь из родных степей Казахстана, обнаруживаю сбой и совершаю настоящий производственный подвиг, спасая конвейер от неминуемой катастрофы. Почетные грамоты, слава, хвала и поездка в Туапсе прилагаются.

Но вмешалось одно непредвиденное обстоятельство – программа запустилась на два дня раньше.
Никто ничего не понимал. Автоматика точно сошла с ума. Инженеры хватались за сердца – шоковая производственная терапия в течение трех дней на конвейере не прошла для них бесследно.

Бороться с ЧП были брошены лучшие специалисты. Они проверили оборудование, отдельные узлы, саму ЭВМ, но технически все было в порядке. Следов физического вмешательства не было найдено.

В конце концов, отыскали неисправный фрагмент кода. Запуск рабочей программы с другой дискеты ожидаемого результата не дал – сбои продолжались. Конвейер удалось запустить лишь через три смены.

Благодаря проделке Мурата, завод понес многомиллионные убытки.

Мурат Уртембаев пришел на явку с повинной.
Статьи, которая в нынешнем УК квалифицируется в ст. 273 деяние Уртембаева, как «создание, использование и распространение вредоносных программ для ЭВМ» и предусматривает лишение свободы на срок от трех до семи лет, тогда еще не было.

Первого хакера в нашей истории осудили за умышленные хулиганские действия и дали полтора года условно с возмещением ущерба, который был оценен в стоимость двух «Жигулей». Мурат вынужден был отрабатывать наказание слесарем на конвейере.

Рассматривал уголовное дело председатель Автозаводского суда Бойко А.С., адвокат Московский В.П., прокурор Архангельская В.А. Дня через три в газете "Известия" была опубликована статья «Умысел», которую опубликовали СМИ за рубежом. Точно не помню какие страны, но Италия и Франция точно. У Администрации ВАЗа были неприятности".

Пост Лукацкого

20 Sep 2025 08:40

Помните историю про хакера и солонку? 🧂 Этакая сатира о том, как сообщение об уязвимости превращается в цепь панических, неадекватных и контрпродуктивных мер: от жалобы хакера до массовых ограничений, паранойи, судебных разбирательств и бессмысленных технических исправлений, которые в итоге ухудшают жизнь людей и не решают реальной проблемы 🤦‍♂️ Вчера в комментах эта история всплыла и я подумал, а как бы я поступил в этой ситуации, чтобы с одной стороны отреагировать на сообщение об уязвимости, а с другой – не парализовать работу столовой и не снизить лояльность посетителей?

1️⃣ Моделирование угроз 🔓
➖ Действительно ли плохой парень способен массово отравить всех, или речь идет о единичных случаях? Да, единичные случаи тоже неприятны, но и масштаб тоже надо учитывать.
➖ Стоит ли ущерб тех неудобств, которые создают "одноразовые пароли на солонках"?
➖ Выбор адекватных защитных мер.

2️⃣ Защитные меры 🛡
➖ Контроль целостности – официанты в начале смены проверяют солонки (простая инспекция, без паспортов и кодов).
➖ Ограничение доступа – солонки пополняются только из проверенных источников (например, опломбированные пакеты соли, хранящиеся на закрытом складе).
➖ Разделение ответственности – персонал кухни отвечает за наполнение солонок, зал – за их расстановку и проверку.
➖ Незаметная защита, например, пломбы или маркировка, которая сразу покажет вскрытие.
➖ Объяснительные таблички (без излишней паранойи): "Солонки опломбированы для вашей безопасности" и "Taste something, say something" и т.п. Посетители чувствуют заботу и не сталкиваются с бюрократией, но знают, что могут обратиться к любому официанту, если что-то пошло не так.

4️⃣ Мониторинг и реагирование 🔍
➖ Если кто-то заметил странности (например, вкус соли изменился), то есть процедура сообщения персоналу.
➖ Выборочные проверки – не каждую солонку каждый день в лабораторию на анализ, а по расписанию и выборочно. Иногда обычные тестовые полоски для ускорения.
➖ Работа с ложными срабатываниями – чтобы не плодить хаос, отсеивать неподтвержденные жалобы.

Если транслировать это уже на обычные процессы, то основная идея 🤔 – избегать мер, которые усложняют жизнь клиенту больше, чем представляет из себя угроза. Сохраняем привычные процессы (если они, конечно, изначально не дырявые), добавляя невидимый слой в виде ИБ 🛡 Ну и для персонала, который не погружен в ИБ, надо давать простые и четкие инструкции вместо громоздких регламентов. Главное - соразмерность, а для этого нужно понимать, как работает то, что мы защищаем и не усердствовать понапрасну 😂

#бизнес

Пост Лукацкого

19 Sep 2025 15:40

ИТ-холдинг Т1 провел интересное исследование 🔬 32 областей российской экономики, в которых активно появляются и развиваются стартапы. Компания проанализировала 4000 "молодых да ранних" и составила DGCompass, документ на 200+ страниц, в котором описаны все рассмотренные ниши и даны интересные цифры по ним. Одной из 32-х отраслей оказался и кибербез, попавший на поляну единорогов 🦄

Стартапом в исследовании считаются те компании, которые показывают выручку до 2,5 миллиардов рублей, насчитывает не более 150 работников, не старше 5 лет и стоимость самой компании не превышает 25 миллиардов рублей 🤑 Под эти критерии попало 78 компаний, работающих в разных нишах и помогающих решать разные задачи. Не буду пересказывать все – просто посмотрите выдержку из DGCompass, касающуюся именно ИБ-сферы 📖

Будь я заказчиком или инвестором, я бы хотел еще видеть имена всех этих стартапов, чтобы либо рассмотреть их для своей инфраструктуры, либо для инвестиций 🤓 Но даже без этого работа проведена хорошая – становится понятно, какие направления привлекают внимание стартаперов, а какие нет, где они рентабельные, какая выручка может ожидать начинающих предпринимателей и т.п. Прям есть над чем задуматься... 🤔

И, кстати, по моим сведениям, сейчас начинается прям активная охота за ИБ-стартапами. Одна компания, с коллегами из которой я общался, планирует до конца года закрыть пять сделок, другая - еще столько же. Третья ограничится 2-3 поглощениями 😋

#рынок #стартап

ЗЫ. Потихоньку ставлю теги на все посты в канале, чтобы было проще ориентироваться. Сейчас вот тег #стартап во всех постах проставил. Так, глядишь и все посты в итоге помечу, а не только те, что с ноября 2024 года.

Пост Лукацкого

19 Sep 2025 06:40

Коллеги написали про новые требования к новому классу средств защиты, предложенному ФСТЭК, - СОР, то есть к средствам обнаружения и реагирования, которые в простнародье называются EDR. И вот неоднозначное у меня отношение к этим требованиям. Не к их содержанию, а к появлению еще одних требований по защите оконечных устройств. Ведь у нас уже есть руководящие документы по:
➡️ средствам защиты от несанкционированного доступа
➡️ средствам антивирусной защиты
➡️ межсетевым экранам уровня узла (класса В).

Теперь появляется еще один тип средств защиты, который включает в себя и что-то от СЗИ от НСД, и что-то от антивируса, и что-то от хостового МСЭ.

И получается, что сейчас действительно складывается ситуация, когда одно и то же оконечное устройство должно одновременно соответствовать нескольким наборам требований (СЗИ от НСД, антивирус, хостовой МЭ, теперь СОР/EDR). И это приводит к пересечениям, дублированию и иногда даже противоречиям; не говоря уже об увеличении затрат на сертификацию.

Я вижу три возможных пути решения этой проблемы:
1️⃣ Сохранить отдельные документы, но переработать их. Каждое средство защиты продолжает жить в своей «нише» (антивирус, СЗИ от НСД, МСЭ, СОР). Но требования должны быть жёстко разведены, без пересечений. Например:
➖Антивирус → только обнаружение и лечение вредоносного ПО.
➖СЗИ от НСД → контроль доступа и предотвращение обхода ОС.
➖Хостовой МЭ → сетевые фильтры уровня узла.
➖СОР → поведенческая аналитика, расследование, реагирование.
➖Преимущество: сохраняется преемственность.
➖Недостаток: получится громоздко и по-прежнему много возможных слепых зон. Да и скорость переработки принятых РД не внушает оптимизма.

2️⃣ Создать единый документ для всех средств защиты оконечных устройств, где прописывается базовый набор требований для всех средств защиты узлов/хостов. Внутри документа можно ввести подразделы или профили, описывающие разные направления (доступ, антивирус, сеть, обнаружение и реагирование, в перспективе, NAC, управление уязвимостями и т.п.). Такой подход ближе к международным практикам (NIST SP 800-53, CIS Controls), где требования задаются системно.
➖Преимущество: единый источник, меньше противоречий.
➖Недостаток: документ будет все равно большим и сложным в поддержке.

3️⃣ Единый документ с классами средств защиты узлов. Вместо отдельных типов СЗИ ввести «классы средств защиты оконечных устройств», как это сделано для межсетевых экранов. Например:
➖Класс 1 — базовая защита (антивирус + простейший контроль доступа).
➖Класс 2 — расширенная защита (добавляется хостовой МЭ, поведенческий анализ).
➖Класс 3 — полный стек (EDR/СОР с расследованием и реагированием).
➖Тогда разработчики смогут выпускать либо «лёгковесные» продукты, либо комплексные решения.
➖Преимущество: гибкость, стимулирование развития универсальных агентов (EDR, XDR).
➖Недостаток: придётся отказаться от привычной парадигмы отдельных СЗИ.

Что лучше из описанных вариантов? Если смотреть стратегически - вариант №3 (классы средств защиты) выглядит самым правильным.
➖ Он соответствует мировой тенденции интеграции функций (EDR часто включает и антивирус, и HIPS, и firewall). В идеале туда еще бы и VPN-клиента засунуть, и NAC-агента, и Identity, но это уже утопия.
➖ Упрощает сертификацию: проверяешь один продукт по классу, а не три разных по отдельным документам.
➖ Позволяет организациям выбирать уровень защиты в зависимости от выбранной модели угроз.

Но для плавного перехода, возможно, стоит пойти через вариант №2: объединить всё в единый документ, сохранив профили/подразделы. А потом уже эволюционно перейти к системе классов.

#оценкасоответствия

Пост Лукацкого

18 Sep 2025 19:33

Кот-реверсер… 🐱

#юмор #пентест #iot

Пост Лукацкого

18 Sep 2025 11:34

В финальной части миникурса по выступлениям в сфере кибербезопасности 🛡 мы подведем итоги, поговорим о типичных ошибках, допускаемых спикерами и детально рассмотренных в курсе ранее, попробуем побороть страх выступлений, с открытым забралом выйдя к нему и поняв его причину, а также поймем, почему самокопание - это зло 🕹 Подсоберу все в плейлист и залью его также на отечественный видеохостинг. Надеюсь, будет полезно.

ЗЫ. Первая часть тут, вторая тут, третья тут, четвертая тут, пятая тут, а шестая тут.

Пост Лукацкого

18 Sep 2025 02:40

Однажды к умудренному ИБшнику на конференции подошел молодой специалист по ИБ и сказал:
– Я хочу внедрять в компании только решения с сертификатом соответствия. Скажи, я поступаю мудро?

Мудрый ИБшник спросил:
– А почему именно с сертификатом?
– Так я буду уверен, что решение безопасно.

Тогда ИБшник отошел на секунду, а вернувшись принес два яблока: одно целое, блестящее, манящее, а второе надкушенное, пожухлое и не очень притязательное на вид. И предложил юноше их попробовать. Тот взял целое, надкусил его – яблоко оказалось гнилым. Тогда он взял надкушенное, попробовал, но и оно оказалось гнилым. В недоумении юноша спросил:
– Так как же мне нужно выбирать решения?
– Практикой, – ответил опытный ИБшник. – Сертификат или блестящая обертка ничего не гарантируют. Смотри в суть, тестируй, проверяй и выбирай по их результатам, а не по формальному признаку.

#притча #оценкасоответствия

Пост Лукацкого

17 Sep 2025 15:35

Австралийский ИБ-регулятор ASD ACSC 🦘 вместе с канадцами, новозеландцами, англичанами и японцами (интересно, почему американцы не в доле) выпустил неплохое руководство по управлению криптографическими ключами, сертификатами и секретами в онпрем-инфраструктурах и облаках. Ориентировано на менеджеров, методологов, архитекторов ИБ. Очень неплохо визуализирована модель угроз для криптографических решений и способы их нейтрализации, разбитые на блоки: 🔑
➡️ Корпоративное управление (политики и процедуры ИБ)
➡️ Генерация (создание ключей и секретов)
➡️ Регистрация, хранение и доступ
➡️ Распределение (защищенный обмен ключами и секретами между множеством участников)
➡️ Ротация и уничтожение
➡️ Цепочка доверия (процесс обеспечения доверия ключам и сертификатам, управляемым УЦ)
➡️ Роли в управлении ключами и секретами
➡️ Надзор – аудит и мониторинг 🤔

По части тем даны ссылки на дополнительные руководства, что в совокупности представляет уже вполне практический набор конкретных задач и шагов по эксплуатации СКЗИ. Этакая 152-я инструкция NG 🤔

#криптография

Пост Лукацкого

17 Sep 2025 07:58

Какие-то нехорошие люди назвали меня абьюзером 🫵 и нажаловались хостеру, который, не разбираясь, заблокировал и сайт, и учетку в админпанели, как будто я торговец анашой и детским порно. Сижу, разбираюсь… Сайт пока не доступен! ⛔️

В целом, это было ожидаемо ⏳ и предусмотрено обновленной моделью угроз ;-) Новый опыт тоже интересен, хотя в данном случае до Европейского суда по правам чаловека я не пойду. Если борьба за сайт затянется и будет требовать слишком много ресурсов, то сайт, вероятно, уйдет в небытие. Все равно последнюю тройку лет основной фокус на канал 🧑‍💻

ЗЫ. В резюме смогу добавить теперь приписку про жертву режима, европейского.

Пост Лукацкого

16 Sep 2025 19:38

Довелось мне как-то участвовать в деятельности одной рабочей группы по разработке мер ограничения кибероружия ❌, которая пыталась транслировать меры ядерного сдерживания на ИБ-сферу. Не получилось. Мы даже определение кибероружия не смогли четко сформулировать, чтобы границы очертить, да легальный бизнес не угробить. Это было несколько лет назад. А что сейчас? 🤔

Американцы бомбят 💣 Иран; и не только. Хуситы заявляют о начале производства химического оружия и режут подводные кабеля. Украина выходит из конвенции о запрете противопехотных мин и разрабатывает ракетные вооружения запрещенной дальности 🚀 Израиль проводит операцию (кто-то называет ее геноцидом) в Газе, желая выселить всех палестинцев из региона, а еще бомбит Катар и планирует Йемен. Россия… ну что происходит у нас в стране и так все знают 🤦‍♂️

И вот в таких условиях кто-то всерьез может рассуждать об ограничениях искусственного интеллекта и кибервооружений на международном уровне?.. Тут скоро весь мир в труху, а всякие старперы и дармоеды в области международной ИБ в разных странах мира всерьез проводят саммиты, организуют доверенные консорциумы и альянсы, подписывают меморандумы и хартии… 🤬

Международное право давно попрано и об него вытирают ноги все, кому не лень 😂 Особенно когда на горизонте маячит выгода или стратегическое преимущество. А ИИ и кибероружие – это и про то, и про другое. Так что лучше не тратить время и силы на всю эту бессмысленную борьбу и заняться чем-то более полезным. Внуков там понянчить, мемуары (главное, не учебник истории) начать писать ✍️

#кибервойна #геополитика

Пост Лукацкого

16 Sep 2025 15:21

А вы часто используете вот такую (ну или схожую по сути) фразу при общении с топ-менеджментом 🧐 на тему кибербезопасности:

С учетом нашей отрасли и масштаба бизнеса, вероятность хотя бы одного серьезного инцидента с шифровальщиком в ближайшие 12 месяцев составляет порядка p%. Наш P95 годового ущерба – X–Y миллионов рублей. Внедрение меры A снижает среднегодовые потери от инцидентов (ALE) на ΔALE/год и срезает хвост P95 на Z миллионов. При стоимости W/год ROI от меры A положительный уже в первый год, а окупаемость ~W/ΔALE лет.

"Риск ИБ вырос с 72 до 84!"

Пост Лукацкого

16 Sep 2025 06:40

Не секрет, что в промышленности киберинциденты с катастрофическими последствиями 🌎 по-прежнему воспринимаются как нечто из мира фантастики – "у кого-то где-то что-то взломали". Но реальность меняется. Один сбой у поставщика облака, однотипная уязвимость в широко используемом компоненте АСУ ТП, один сбой в едином провайдере удаленного доступа или защищенного обмена файлами – и останавливаются десятки площадок 🏭, а порой и целые отрасли (хотя это пока и редкость). Это и есть киберкатастрофа – событие (или недопустимое событие уровня отрасли или государства), способное одномоментно затронуть сотни предприятий. Можно было бы использовать даже термин "каскадный киберсбой".

На Западе с такими сценариями давно работают через так называемые Cyber CAT-модели 🙀 (я про это уже как-то писал) – это подходы, которые позволяют просчитать, что произойдет, если упадет глобальное облако, выйдет из строя общая SCADA-библиотека или появится массовый эксплойт под один из стандартных VPN-клиентов, используемых на производстве 🛡 Причем эти модели не ограничиваются страхованием, хотя и применяются, как правило, там, – их используют для стресс-тестов, выявления общих точек отказа (SPOF), планирования устойчивости и даже для принятия решений на уровне совета директоров 🧐

И вот с этой темой я подавался на одну конференцию, имея желание осветить несколько важных аспектов:
➡️ Почему моделирование катастрофических киберрисков важно именно для промышленного сектора? Важно-то оно для многих, но именно в промке может иметь более катастрофические последствия. Хотя кибератака на СБП, на ГЭС или на системообразующий банк может повлять не менее серьезно 🤕
➡️ Какие данные нужны, чтобы это делать, и как их можно собрать?
➡️ Как зарубежные страховые и промышленные компании используют CAT-модели не просто для оценки ущерба, а для обоснования инвестиций в свою киберустойчивость? 🛡
➡️ Какие сценарии могут быть актуальны именно в российской промышленности в условиях импортозамещения и концентрации ИТ-решений? И атаки на подрядчиков – это только один из них.
➡️ И, наконец, как адаптировать эти подходы под наш реалии – пусть даже без сложной математики, но с пониманием, где у нас “собственные точки провала”? 🤔

Но с CFP я пролетел. Ну а что добру пропадать – я же готовился, копал, изучал... Так что либо в блог на сайт заброшу, либо здесь буду порционно публиковать ✍️ Может и white paper родится. Как пойдет.

А с CFP неудобно получилось. Организаторы мероприятия, одна российская ИБ-компания, даже не уведомили меня о результатах рассмотрения заявки, хотя и обещали это сделать на сайте. Ну да ладно, это все равно была проверка. В позапрошлом году мне прямым текстом сказали, что представителей 🟥 видеть у себя не хотят (конкуренция, видите ли, и санкции).

С месяц назад с этой компанией был еще один неприятный кейс 🤢 Я вел пленарку на одной конференции, организаторы которой попросили меня потом дать комментарий для итогового пресс-релиза. Я дал, но текст зарезали, так как генеральный спонсор мероприятия не захотел, чтобы название его компании стояло рядом с названием моей компании. Ну и еще были схожие случаи, но уже не со мной 😔 А вы говорите, объединение отрасли, мир, дружба, жвачка... Нет их; каждый за себя. Но я в любом случае буду рад видеть представителей этой компании на CFP грядущего PHD, подготовка к которому уже началась. Мне-то с ними делить нечего – общее дело делаем.

#недопустимое #кии

Пост Лукацкого

15 Sep 2025 16:56

Учитывая, что израильский 🇮🇱 рынок ИБ считается вторым после США, интересно, как заявление Нетаньяху повлияет на ИБшные компании земли обетованной? И не усилится ли проникновение израильских ИБ-игроков на российский рынок, учитывая, что Израиль не включен в список недружественных государств 🤔

ЗЫ. Про китайский рынок нам мало что известно, хотя он должен быть значительным.

Пост Лукацкого

21 Sep 2025 14:14

По мировым и американским данным среднестатистический специалист по ИБ среднестатистической компании тратит от 7 до 10 часов в неделю 🕙 на задачи по соответствию требованиям, которые включают в себя мониторинг нормативных изменений, подготовку документации, аудиты, корректировки политик, взаимодействие с надзорными органами и другое (не беру в расчет ситуацию, когда в компании есть выделенное подразделение по ИБ-compliance). В России, с учетом цифровой зрелости этой функции я бы увеличил это значение до 10-15 часов в неделю ⌛ В моменты выпуска новых требований это значение вырастает, но если усреднить, то можно принять эти значения как факт.

Теперь давайте посчитаем. Если предположить, что выпускник ВУЗа выходит на работу в 23 года и работает до 65 (женщины до 60) и все это время он работает в ИБ в среднестатистической компании, то он потратит на бумажную ИБ от 20160 до 30240 часов, то есть от 840 до 1260 календарных суток (даже не рабочих дней). 3,5 года своей жизни, а это почти 5% от средней продолжительности в 77 лет ⌛️ (или от четверти до трети своего рабочего времени), будет потрачено на то, что не сильно приводит к результату в ИБ, так как хакеры, почему-то, не читают нормативку и ломают даже тех, кто соответствует стандартам и имеет сертификат или аттестат соответствия 🕙

Вы действительно думаете, что оно того стоит? Что именно ради этого вы учились 4, 5, 6 лет и желали наносить людям пользу? 🤔

#регулирование #рефлексия #математика #время

Пост Лукацкого

20 Sep 2025 19:26

Просто хочу поделиться – аукцион Meet For Charity, о котором я писал летом, завершился. Это не просто "покупка встречи" с кем-то. Это когда ты инвестируешь и знаешь, что твои деньги пойдут к тем, кто действительно в этом нуждается. В этот раз – в фонд "Провидение". Победителем стал Асан Ниязов – председатель правления МТИ-Банка. Человек серьезный, деловой, но при этом открытый для помощи людям.

Мы встретились в Кибердоме – месте силы российского кибербеза с крутой фиджитал-атмосферой, сочетающей уют реального мира и технологии цифрового (я даже на космолифте прокатился). Но главное – не стены, а смыслы. Смысл места, в котором мы встретились, и смысл нашего разговора, который получился живой, по делу. Обсуждали, как в финансах строить ИБ без паники, как соответствовать регуляторике, не превращаясь в бюрократическую машину, где все тормозит. Было полезно - и мне, и, надеюсь, Асану тоже.

Но вновь повторюсь, что самое важное, что за этим разговором стоят реальные деньги, которые пойдут на помощь. Не на PR, не на "вау-эффект", а на конкретную поддержку людей. Это и есть сила таких аукционов: ты общаешься с экспертом, узнаешь что-то для себя новое и полезное, – и одновременно даришь шанс кому-то, кто даже не узнает имя своего благотворителя.

Спасибо, Асан. Спасибо, Meet For Charity. Спасибо, Кибердом. За возможность делать добро не в теории, а на практике 🫰

Пост Лукацкого

20 Sep 2025 14:12

Немного истории вам в ленту (спасибо подписчику за ссылку). Первое компьютерное преступление в Советском Союзе, повлекшее за собой недопустимое – простой конвейера автозавода на трое суток 😂 Миллионные убытки; в те времена, когда доллар стоит 61 копейку. Но, похоже, тогда, как и сейчас, судьи не до конца понимали опасность киберпреступлений, давая, преимущественно, условные сроки 👩🏼‍⚖️

#история #ответственность #недопустимое

Пост Лукацкого

19 Sep 2025 19:57

Спросил как-то умудренный ИБшник начинающих специалистов по ИБ, выступая перед ними с лекцией:
– Почему во время недавнего инцидента с компанией А была взломана база данных?

– Потому что не пропатчили критическую уязвимость, – ответил первый.
– Потому что защита была слабой, – сказал второй.
– Потому что хакеры были государственными, – добавил третий.

– Никто из вас не ответил правильно, друзья мои, – произнес мудрый ИБшник. – Потому что систему изначально никто не проектировал с учетом требований безопасности и она открыто торчала в Интернет.

ЗЫ. Все совпадения случайны. Буква 🔤 - просто первая буква алфавита 🤔

#притча

Пост Лукацкого

19 Sep 2025 11:34

Неожиданное прилетело из-за океана. IDC выпустил ежегодный, по итогам 2024 года, отчет 📊 по рынку средств управления уязвимостями ("Worldwide Device Vulnerability and Exposure Management Market Shares, 2024"). И, что интересно, в 6-ку ключевых игроков (там их всего поименовано 6, а 7-й - это пресловутый other) включена и российская Positive Technologies, где я имею честь трудиться. И тут интересен не только факт включения российской компании (IDC все-таки старается соблюдать независимость и оценивать именно весь рынок, а не только то, что устраивает американцев), а то, что во-первых, IDC не побоялись включить в отчет компанию, на которую те же самые США наложили санкции. А во-вторых, что было бы, если этих санкций не было и какое бы тогда место занимала 🟥 в этом рейтинге? Допускаю, что CrowdStrike и ServiceNow мы бы точно обошли.

Наконец, и это не менее важно ☝️ В условиях непростой геополитики российским ИБ-игрокам, которые не побоялись выйти за пределы не только МКАДа, но и Российской Федерации, удается показывать очень неплохие результаты в части мировой экспансии. Это значит, что у ИБ-компаний, если им хотя бы не мешать, а может даже и помогать 🆘, есть прекрасные шансы реально показать свою экспортопригодность, а не только кричать на каждом углу об импортозамещении. Как раз быть лидером импортозамещения не сложно. Когда выгнали всех иностранцев, странно не показывать результаты; рынок большой – на всех хватит. А вот показать отличные цифры зарубежом, в жесткой конкурентной среде, это прям хороший знак. Значит есть шансы и по другим нишам, и для других компаний ↗️

#оценказащищенности #рынок #статистика

Пост Лукацкого

19 Sep 2025 02:40

Вот и весь Youtube-плейлист 📱 из 7 частей миникурса "Как срывать овации и зажигать сердца", посвященного выступлениям и подготовке к ним. Получилось без малого 5 часов. Плейлист также выложил на VK Video 📱 Тут, правда, фиг знает, что получилось; первый раз все-таки на новой платформе; но вроде отображается. Засим самому себе поставленную задачу можно считать исполненной и переходить к следующей.

#видео #выступление #спикер #презентация

Пост Лукацкого

18 Sep 2025 15:31

Продолжим про сказочных существ. В конце октября еду в Минск на большую конференцию по кибербезопасности – напитываюсь местными сказками, обычаями 😎 Оказывается, в белорусском 🇧🇾 фольклоре есть такие интересные персонажи, как шатаны. Это были люди-не люди, существа короче, которые бесцельно шатались по дорогам и лесам, ни добра не делали, ни зла, но и пользы от них никакой. На мероприятиях по ИБ их наследники ведут себя точно так же – часами бродят по мероприятию, зависают у стендов и столиков с кофемашинами, но так и не понимают, зачем пришли 🤔

Их главные "активы" – сумка с мерчем и бейджик на ленте 🙄 Доклады они слушают краем уха, вопросы если и задают, то из серии "А чем информационная безопасность отличается от безопасности информации" или "А почему ФСТЭК - это он" (шутка). Но чаще всего они молчат, потому что и спросить-то нечего. Гораздо интереснее обсудить, у кого на стенде девки симпатичнее и где вискарь наливают 🥃

Кибер-шатаны любят прилипнуть к людям, которые действительно пришли работать: навязывают пустые разговоры 😱, пересказывают слухи, фоткаются со всеми. Польза от этого общения нулевая, но потратить ваше время они способны мастерски. Иногда удается от них сбежать... чтобы попасть в объятия других шатанов.

Между собой такие персонажи тоже не ладят: каждый ревностно охраняет свой "улов" из блокнотов, ручек и стикерпаков 🛍 А когда мерч заканчивается или еда, они первыми начинают ворчать и возмущаться; а ведь сами ничего в сообщество не привносят и пальцем о палец не ударят, чтобы что-то сделать полезное. Пользы от кибер-шатанов – ноль. Но так как мероприятия у нас в массе своей бесплатные для участников и живущие за деньги спонсоров, то вот и приходит туда всякий сброд... 🤔

#мероприятие

Пост Лукацкого

18 Sep 2025 07:27

Ну вот как-то так получилось (это где-то пятая часть) для моего выступления в Новосибирске на Positive Technology Day про прогнозирование киберзла из тбркской мифологии без магических камней, но на сугубо научной базе 🤔

#презентация #threatintelligence

Пост Лукацкого

17 Sep 2025 19:43

Утром буду выступать в Новосибирске на Positive Tech Day. Кавалерийский бросок одним днем, все как в лучшие времена 💪 Слайды презентации как обычно не готовы, но впереди целая ночь на то, чтобы подготовить рассказ про виртуальную албасты 👿 и Алатырь-камень, а также как тюркская мифология помогает предсказывать кибератаки.

Пока сделал только обложку, но обычно именно она задает тон всему выступлению. Аналогии напрашиваются сами - темный, потусторонний мир зла 😈 - это даркнет, который надо знать, чтобы ему противостоять. Там живут разные дэвы, албасты, Джанголосы, Буки, Пургул Ханы, айтойоны и всякая иная нечисть. Все как в ИБ - шифровальщики, DDoS, брокеры первоначального доступа, биржи утечек и вот это вот все 🥷 Ну дальше все просто, либо спрашивать совета у магического камня, который тебя может как направо, так и налево направить, а можно взять все в свои руки и... а вот что "и...", это уже расскажу во время выступления.

#презентация #мероприятие

Пост Лукацкого

17 Sep 2025 11:34

В шестой части мы говорим о том, как работать с аудиторией 💪 во время выступления, почему всегда будут хейтеры, независимо от того, кто вы, что вы говорите и кого представляете, как подготовиться к неудобным вопросам и снять напряжение в зале и считывать невербальные сигналы раздраженной аудитории 🚨

ЗЫ. Первая часть тут, вторая тут, третья тут, четвертая тут, а пятая тут. Финал будет завтра.

Пост Лукацкого

17 Sep 2025 06:40

Есть такой закон Конвея, который гласит, что структура ПО отражает структуру организации, которая его написала 😮 Вот именно поэтому просьбы некоторых заказчиков к ИБ-вендорам (к любым – отечественным и зарубежным): "Ну сделайте эту фичу, это же несложно. Даже я сам могу написать такой скрипт за пару часов" часто невыполнимы 🧑‍💻 Ибо небольшое изменение часто тянет за собой слишком много правок во всем коде, который обычно монолитный (у крупных компаний).

Немного облегчает ситуацию схема с business unit (BU), когда у вас отдельные подразделения являются по сути мини-компаниями. Тогда изменения вносить чуть проще 👩‍💻, но вот интегрировать продукты разных BU между собой – сложнее без единой модели данных, шины и т.п. Но это если продукты должны быть интегрированы, что нужно не всегда.

Например, известный китайский 🇨🇳 вендор бытовой техники Haier (хотя я всегда думал, что они европейцы), столкнувшись с проблемами в своем развитии, разбил бизнес на микро-компании по 10-15 человек под лозунгом "каждый сотрудник должен стать генеральным директором". Эти микро-бизнесы внутри Haier могли делать все, что считали нужным, нанимать и увольнять работников, заключать договора даже с конкурентами. Но деньги они получали только при условии достижении результата 👌 Сегодня Haier – мировой лидер, состоящий из тысяч маленьких "стартапов", что вроде как доказывает возможность существования такой схемы.

Но то, что подходит для производителя бытовой техники подходит ли для ИБ-вендора? Особенно если он пишет множество продуктов и хочет создать целую экосистему или платформу (тут с терминологией сама албасты ногу сломит) 🤔

#архитектура #проблемыибкомпаний

Пост Лукацкого

16 Sep 2025 19:31

Тюменский креатив по борьбе с кибермошенничеством. Неплохая задумка, но, не могу не сказать, что пассивная демонстрация лозунгов цепляет только в первое время, а потом картинка превращается в фон и уходит на задний план. Надеюсь, картинки будут часто менять, постоянно раздражая зрительный нерв новеньким… 🤔

ЗЫ. Спасибо подписчику за ссылку 🤝

#мошенничество #awareness

Пост Лукацкого

16 Sep 2025 11:34

В пятой части миникурса о том, как выступать 🎤 в области кибербезопасности мы поговорим о самом выступлении – как устанавливать контакт с аудиторией, об отличиях оффлайна и онлайна, о выступлении в тандеме 👬 и при наличии смешанной аудитории, а также о том, почему юбка с разрезом или татуировка, выглядывающая из декольте, – не лучший способ привлечь внимание к своему выступлению, если вы хотите считаться экспертом 🐉

ЗЫ. Первая часть тут, вторая тут, третья тут, а четвертая тут.

#видео #выступление #спикер #презентация

Пост Лукацкого

15 Sep 2025 19:46

А ведь те, кто готовят специалистов на курсах «AI SOC Specialist» и «Agentic SOC Specialist» понимают, что в сертификате будет написана аббревиатура ASS? 🍓 И когда теперь такой специалист пропустит утечку данных из-за незамеченного jailbreak prompt, менеджер SOCа со спокойной совестью может говорить: «А ну иди сюда, сертифицированная задница!» Хотя может это такое тонкое чувство юмора у авторов курсов, которые решили потроллить весь тот хайп, который последнее время разворачивается вокруг ИИ в ИБ 😅

#soc #юмор #ии

Пост Лукацкого

15 Sep 2025 15:29

В одном закрытом чатике я необдуманно добавил "половых признаков" в обсуждение, на что сразу получил по сусалам, – мол нет в ИБ и теме приватности места гендерным различиям. Все эксперты и нефиг тут принижать один пол, называя его прекрасной половиной человечества 😽 Потом у меня была другая дискуссия с человеком, мнение которого для меня важно, где я попробовал накидать вариантов, в которых именно пол играет важную роль в том, что делает специалист по ИБ.

А вот тут и Юля сегодня рефлексирует на эту тему, хотя и немного в другом контексте. Но в любом случае, есть вполне конкретные темы ИБ, где девушки и женщины гораздо лучше решают задачи, чем мужики (и в управлении инцидентами, и в мониторинге в SOCе, и в повышении осведомленности, и в моделировании угроз, и еще много где) 😘 И достаточно странно закрывать на это глаза и считать, что гендерной тематике нет места в ИБ. Причем не в контексте "женщинам не дают развиваться" или "зарплата женщин в ИБ на 30% ниже, чем у мужиков на той же должности". Это все в ИБ есть, безусловно, но так же как и "в регионах платят меньше, чем в Москве" (это вечные темы).

ЗЫ. У Юли же интересный пост про книжку "На ⭐️уй безопасность" и то, что при всей своей особенности, книга не только показывает отличия ценностей ИБ и ИТ, но и может служить руководством по тому, как налаживать взаимодействие между двумя часто конфликтующими подразделениями 🤔