Пост Лукацкого

23 Sep 2025 19:39

Сегодня я выступал на Boost, конференции для диджитал-агентств и студий, занимающихся веб-разработкой 🖥 Времени было не так и много, всего 45 минут (но все равно не уложился, но был крайним и поэтому некритично). Так что пробежался крупными мазками по тому, что важно учитывать руководителям разработки и проектов (было специально объединено два потока, которым важна тема кибербезопасности), и почему от заказчиков все чаще и чаще возникают вопросы кибербезопасности к своим подрядчикам 🤔

Ну тут достаточно вспомнить, что последние взломы некоторых российских ИБ-компаний происходили именно через подрядчиков, ведущих сайты вендоров. Все, что хотел рассказать не успел – там только в раскрытие модели зрелости, метрик ИБ для веб-студий, процедуру оффбоардинга (именно off, а не on) и т.п. можно было углубиться на час для каждой из тем. Но может быть еще где-нибудь про это расскажу 🙊

Когда предложили выступить на Boost, сначала думал отказаться; ну где я и где разработчики сайтов 🤐 Потом сел, подумал (полезное действие, кстати) и понял, а кто, если не я. Первый сайт "Информзащиты" я запускал в конце 90-х годов (жаль, на тридцатилетие компании, которой я 8 лет отдал, не позвали, я бы там поностальгировал за бокалом коньяка). Тогда это даже был не сайт, а набор статических html-страниц, а из всей динамики – только крутящийся логотоп, отрендеренный гендиректором в каком-то графическом дизайнере 🎨 Спустя несколько лет был крупный проект по новому сайту Информзащиты, где я уже полноценно руководил проектом, выбирал студии, писал ТЗ и драл разработчиков во все дыры за полный провал сайта с точки зрения ИБ. Третий сайт, который я запускал, был посвящен совместному проекту Cisco и Positive Technologies (была и такая страница в моей истории до выхода в PT) в году, этак, 2008-м. Наконец, а 2021-м я запустил уже целиком свой сайт, а в 2025 его нахрен заблокировали по жалобе кого-то из "добрых" подписчиков. Но ничего, перееду на новую платформу, с новыми знаниями, опытом и впечатлениями. А для чего еще жить, как не ради этого. А на Boost выступил, да 💪 И вроде всем зашло.

#презентация #devsecops

Пост Лукацкого

23 Sep 2025 15:39

На Postive Tech Day в Новосибирске я рассказывал всякое про прогнозирование 🔮 атак на компании (презентации уже выложили), в том числе и про мониторинг Даркнета, который, при должной реализации, позволяет "предсказать" готовящиеся против вас атаки. Картинка на эту тему как раз из презентации 🤔

#threatintelligence

Пост Лукацкого

23 Sep 2025 06:40

Продолжим про адекватность требований регуляторики, но на конкретном примере 🙂 Возьмем ГОСТ 57580.1 и требование РЗИ.15 "Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации" или 117-й приказ ФСТЭК с требованием (п.57) "Оценка уровня знаний должна проводиться не реже одного раза в три года или после компьютерного инцидента, произошедшего у оператора (обладателя информации)" 👨‍🏫

В первом случае у нас есть просто требование без указания частоты и способа подтверждения его выполнения 🤷‍♀️ Во втором случае ФСТЭК дает больше вариантов реализации (п.56) мероприятий по повышению уровня знаний и информированности пользователей информационных систем по вопросам защиты информации. Но как будет проверяться реализация обоих требований? 🤔 На поверхности лежит очевидный вариант – тестирование. Как это можно реализовать в условиях нехватки или отсутствия бюджета? Вручную? Ну такое себе, как мы понимаем. И вот один из подписчиков разработал и выложил (за что ему спасибо) в открытый доступ решение для автоматизации внутреннего обучения и тестирования персонала (например, по ФЗ-152) или по 117-му приказу (тесты расширяемы своими темами) 🧑‍💻

Приложение написано на Python/Flask и легко разворачивается в любой инфраструктуре. Ключевые возможности:
➖Полный контроль. Устанавливается на ваш сервер, данные не покидают периметр компании.
➖Встроенный прокторинг. Система отслеживает и логирует подозрительную активность во время тестов – переключение окон, попытки копирования и печати.
➖Поведенческий анализ. Автоматический поиск аномалий в результатах, таких как высокий балл при низкой вовлеченности в учебные материалы.
➖Реестр сертификатов. Автоматическая генерация и хранение уникальных номеров сертификатов для успешно сдавших тест.
➖Готовые конфигурации. Проект включает файлы для быстрой настройки под Nginx, Gunicorn и Systemd.

Очень неплохой вариант для решения... а вот для решения чего? 🤔 По сути мы говорим не о том, как повысить осведомленность пользователей и проверять ее, а о том, как подтвердить факт реализации требования регулятора. Для очень большого числа специалистов это важно, как показал и опрос и комментарии 😶 Но решает ли это задачи ИБ? Чтобы программы обучения и повышения осведомленности несли ценность, они должны эволюционировать – от ежегодной и развтригодной галочки "пройдено" 🫡 к непрерывной и постоянной практике изменения культуры ИБ, поддерживающей конкретный бизнес (поэтому это сложно учесть в нормативке, которая единая для всех).

Если отталкиваться от зрелости программ обучения и повышения осведомленности, предложенный подписчиков проект – это второй уровень, "ориентированный на нормативку", ценность которого только в выполнении требований 🫡 Давайте признаем, что мы все регулярно проходим такие дурацкие тренинги – от пожарной безопасности или охраны труда до антикоррупционной деятельности и защиты персональных данных. И проходим мы их даже не вникая в вопросы ☑️

Первый уровень зрелости программы – это когда никакой программы нет и в помине 👎 На третьем уровне мы управляем ключевыми рисками через целевые изменения в поведении работников и регулярное подкрепление через анализ обратной связи. Именно здесь вы начинаете оценивать не знания в форме тестирования, а производимые (или непроизводимые) пользователями действия (неуведомление об инцидентах, включение MFA там, где это рекомендовано, но не обязательно, использование сильных паролей и т.п.) 🔏

На следующем уровне безопасность встроена в повседневные процессы и процессы и ресурсы обеспечивают долгосрочную историю. Высший уровень – уже не обучение, а культура ИБ выровнена с целями бизнеса и рассматривается как стратегическая составляющая организации 🧐 Тут и ощущение личной ответственности (а не "отвали, это не мое дело"), и доверие команде ИБ, и релевантность форм и форматов обучения и повышения осведомленности процессам, возрастам и половиной принадлежности работников организации и т.п.

#обучение #opensource #регулирование #maturity #awareness

Пост Лукацкого

22 Sep 2025 15:50

Кстати, о вырубании лесов 🪓 А давайте посмотрим, сколько мы их уничтожаем на бумажную безопасность? Если сложить базовый пакет требований от разных регуляторов по ИБ, которые распространяются на среднестатистическую организацию, то получится около 2000 страниц текста формата А4. Так как нормативы регулярно обновляются, появляются новые редакции, методички и т.п., то годовой объем вырастает до 4000 страниц. Если это все печатается в одном экземпляре, чтобы читать "с листа", а не с экрана, то получается, что мы убиваем ровно половину дерева 🪵, которое идет на печать 8333 листа бумаги формата А4. Увеличивая число рецензентов и читателей новой нормативки, вы увеличиваете и число срубаемых деревьев.

У нас в стране около полумиллиона компаний, которые реально занимаются хоть каким-то compliance (хотя судя по тому, что даже ИП и самозанятые начинают в чатиках по персданным задавать вопросы по соответствию, можно предположить, что это число будет расти). 500 тысяч компаний - это 250 тысяч деревьев 🌲

Знаете, что такое 250 тысяч деревьев? Это 500 футбольных полей , или территория небольшого города типа Железноводска, или половина деревьев парка Сокольники в Москве. Чтобы посадить столько деревьев, нужно было бы засадить лесом все дворы и улицы большого города вроде Тулы 🌳

Но ведь мы не только печатаем всю нормативку, но и свои пакеты документов под нее делаем внутри своих организаций (иногда до 15-30 основных документов на один НПА). Вспомню свою математическое прошлое и попробую прикинуть формулу ✍️ для расчета, чтобы и вы могли оценить, какое количество деревьев вы убили, занимаясь бумажной ИБ. Итак, исходные данные:
➡️ D – число документов в "живом" комплекте (политики/процедуры/регламенты),
➡️ P – средний объем одного документа (страниц),
➡️ V – версий в год (редакций/переутверждений),
➡️ C – сколько бумажных комплектов печатают на один документ за версию (руководство, аудит, архив, стенды/филиалы и т. п.),
➡️ N – число компаний,
➡️ α – доля компаний, которые действительно это печатают (остальные – только электронно),
➡️ δ – коэффициент двусторонней печати (δ=0,5 если печатают в двухстороннем режиме; 1 — если в одностороннем).

Тогда у нас получается: 🧑‍💻
➡️ Страниц/год на одну компанию = D × P × V × C × δ
➡️ Деревьев/год на одну компанию = (D × P × V × C × δ) / 8333
➡️ Деревьев/год по сектору = (D × P × V × C × δ × N × α) / 8333

Если взять среднестатистическую компанию, то получится, что:
➡️ D=80 (политики+процедуры+стандарты+формы), P=15, V=1,5 (часть документов правят), C=8 (филиалы/аудиторы/архивы/подписи), δ=0,5
➡️ Страниц/компанию: 80×15×1,5×8×0,5 = 7200
➡️ Деревьев/компанию: 7200/8333 ≈ 0,86

Для зарегулированных отраслей убитых деревьев уже будет 3,9 в год, а для хардкора (все на односторонней бумаге) – 14,4. То есть еще несколько городов было обездеревлено для соблюдения бумажной безопасности 🤔

Чувствуете, что вы 🔤🔤🔤🔤🔤🔤 легких задыхающейся планеты?

#регулирование #математика

Пост Лукацкого

22 Sep 2025 06:40

Если продолжить вчерашнюю заметку про трату времени на compliance, то можно сделать интересные выводы: 🤔
1️⃣ Каждый регулятор по отдельности считает, что делает важное дело (и в чем-то он прав). Но регуляторы почти никогда не смотрят по сторонам и не оценивают, что делают другие регуляторы. В итоге у нас рождаются требования уведомления об утечках ПДн в 4 разных регулятора, дублирующие требования ФСТЭК и Банка России, конфликтующие требования ФСТЭК и ФСБ и т.п. 🧐 Это даже если не упоминать, что в большинстве своем служащие регуляторов не работали в организациях, для которых они выпускают или проверяют нормативку, и не понимают всей их внутренней кухни.

2️⃣ Ряд регуляторов не понимает глубинных процессов, связанных с регулируемой ими деятельностью, что приводит к бессмысленной активности, которая только всех раздражает 😭, но которая никак не влияет на область регулирование. Например, тема персональных данных. Избыточные требования привели к тому, что в согласиях на обработку ПДн указываются сотни и тысячи наименований обработчиков ПДн и, конечно же, субъект не способен их всех просмотреть и оценить, что приводит к тому, что он просто жмакает "согласен" ☑️ на все или наоборот "не согласен" и тогда при следующем посещении он получает тоже самое всплывающее окно. И достаточно один раз клацнуть "согласен", как вся идея защиты ПДн рассыпается как карточный домик – ваши данные пошли по рукам и все последующие "несогласия" уже ничего не изменят. И это я даже не говорю про отношение современной молодежи к своим персданным как к чему-то прозрачному и не слишком ценному, что и так все знают, а значит защищать такие ПДн вообще никакого смысла нет, так как субъекту это просто не надо.

3️⃣ Специалисты по ИБ-compliance занимаются тем, что борются не с реальными угрозами ИБ, а с регуляторами ⚔️ Они делают все, чтобы регулятор не наказал их работодателей за невыполнение своих же дурацких требований. А регулятор выпускает новые требования, забыв отменить предыдущие, и начинается новая гонка. А потом на новый круг, и на новый... И так бесконечно ⌛

4️⃣ Единственную форму, которую принимают регуляторы, как доказательство выполнения каких-то норм - это отчетность, как правило, в бумажной форме. И вот мы уже вырубаем леса 🏞, чтобы регуляторы получили кипу бумаги и выбросили ее за ненадобностью. Вы думаете, они вдумчиво читают каждую страницу ваших уведомлений или доказательств выполнения вами их нормативных требований?

5️⃣ Никто из отечественных регуляторов не предусматривает поэтапную 🚶‍♂️ реализацию требований по защите, как это, например, сделано в HIPAA, где есть так называемая 21-дневная программа, которая подразумевает трату всего 10 минут в день для выполнения базовых шагов по повышению безопасности и соответствию требованиям. Да, это минимальный порог входа и потом все равно надо реализовывать больше всего, но по крайней мере вас не сразу тыкают носом в 200-400 страниц текста, которые надо реализовать "вчера" 🫵

6️⃣ Большинство ИБшников смирилось с такой ситуацией 🤷‍♀️ и не особо готово что-то менять. Не на уровне автоматизации, я об этом еще напишу, а на глубинном уровне. Ну есть и есть, "а что мы можем с этим поделать". Причем все все понимают, "нам же платят за то, чтобы не было штрафов от регуляторов". Это вообще странная история. Все понимают, что регуляторы в массе своей плодят шлак, который потом и проверяют в меру своего понимания 🤦‍♂️ Заказчики понимают, что это шлак и что он в массе своей не работает на практике, но не готовы с этим ничего делать, предпочитая выполнять все, что требуется регуляторами.

#регулирование

Пост Лукацкого

21 Sep 2025 14:14

По мировым и американским данным среднестатистический специалист по ИБ среднестатистической компании тратит от 7 до 10 часов в неделю 🕙 на задачи по соответствию требованиям, которые включают в себя мониторинг нормативных изменений, подготовку документации, аудиты, корректировки политик, взаимодействие с надзорными органами и другое (не беру в расчет ситуацию, когда в компании есть выделенное подразделение по ИБ-compliance). В России, с учетом цифровой зрелости этой функции я бы увеличил это значение до 10-15 часов в неделю ⌛ В моменты выпуска новых требований это значение вырастает, но если усреднить, то можно принять эти значения как факт.

Теперь давайте посчитаем. Если предположить, что выпускник ВУЗа выходит на работу в 23 года и работает до 65 (женщины до 60) и все это время он работает в ИБ в среднестатистической компании, то он потратит на бумажную ИБ от 20160 до 30240 часов, то есть от 840 до 1260 календарных суток (даже не рабочих дней). 3,5 года своей жизни, а это почти 5% от средней продолжительности в 77 лет ⌛️ (или от четверти до трети своего рабочего времени), будет потрачено на то, что не сильно приводит к результату в ИБ, так как хакеры, почему-то, не читают нормативку и ломают даже тех, кто соответствует стандартам и имеет сертификат или аттестат соответствия 🕙

Вы действительно думаете, что оно того стоит? Что именно ради этого вы учились 4, 5, 6 лет и желали наносить людям пользу? 🤔

#регулирование #рефлексия #математика #время

Пост Лукацкого

20 Sep 2025 19:26

Просто хочу поделиться – аукцион Meet For Charity, о котором я писал летом, завершился. Это не просто "покупка встречи" с кем-то. Это когда ты инвестируешь и знаешь, что твои деньги пойдут к тем, кто действительно в этом нуждается. В этот раз – в фонд "Провидение". Победителем стал Асан Ниязов – председатель правления МТИ-Банка. Человек серьезный, деловой, но при этом открытый для помощи людям.

Мы встретились в Кибердоме – месте силы российского кибербеза с крутой фиджитал-атмосферой, сочетающей уют реального мира и технологии цифрового (я даже на космолифте прокатился). Но главное – не стены, а смыслы. Смысл места, в котором мы встретились, и смысл нашего разговора, который получился живой, по делу. Обсуждали, как в финансах строить ИБ без паники, как соответствовать регуляторике, не превращаясь в бюрократическую машину, где все тормозит. Было полезно - и мне, и, надеюсь, Асану тоже.

Но вновь повторюсь, что самое важное, что за этим разговором стоят реальные деньги, которые пойдут на помощь. Не на PR, не на "вау-эффект", а на конкретную поддержку людей. Это и есть сила таких аукционов: ты общаешься с экспертом, узнаешь что-то для себя новое и полезное, – и одновременно даришь шанс кому-то, кто даже не узнает имя своего благотворителя.

Спасибо, Асан. Спасибо, Meet For Charity. Спасибо, Кибердом. За возможность делать добро не в теории, а на практике 🫰

Пост Лукацкого

20 Sep 2025 14:12

Немного истории вам в ленту (спасибо подписчику за ссылку). Первое компьютерное преступление в Советском Союзе, повлекшее за собой недопустимое – простой конвейера автозавода на трое суток 😂 Миллионные убытки; в те времена, когда доллар стоит 61 копейку. Но, похоже, тогда, как и сейчас, судьи не до конца понимали опасность киберпреступлений, давая, преимущественно, условные сроки 👩🏼‍⚖️

#история #ответственность #недопустимое

Пост Лукацкого

19 Sep 2025 19:57

Спросил как-то умудренный ИБшник начинающих специалистов по ИБ, выступая перед ними с лекцией:
– Почему во время недавнего инцидента с компанией А была взломана база данных?

– Потому что не пропатчили критическую уязвимость, – ответил первый.
– Потому что защита была слабой, – сказал второй.
– Потому что хакеры были государственными, – добавил третий.

– Никто из вас не ответил правильно, друзья мои, – произнес мудрый ИБшник. – Потому что систему изначально никто не проектировал с учетом требований безопасности и она открыто торчала в Интернет.

ЗЫ. Все совпадения случайны. Буква 🔤 - просто первая буква алфавита 🤔

#притча

Пост Лукацкого

19 Sep 2025 11:34

Неожиданное прилетело из-за океана. IDC выпустил ежегодный, по итогам 2024 года, отчет 📊 по рынку средств управления уязвимостями ("Worldwide Device Vulnerability and Exposure Management Market Shares, 2024"). И, что интересно, в 6-ку ключевых игроков (там их всего поименовано 6, а 7-й - это пресловутый other) включена и российская Positive Technologies, где я имею честь трудиться. И тут интересен не только факт включения российской компании (IDC все-таки старается соблюдать независимость и оценивать именно весь рынок, а не только то, что устраивает американцев), а то, что во-первых, IDC не побоялись включить в отчет компанию, на которую те же самые США наложили санкции. А во-вторых, что было бы, если этих санкций не было и какое бы тогда место занимала 🟥 в этом рейтинге? Допускаю, что CrowdStrike и ServiceNow мы бы точно обошли.

Наконец, и это не менее важно ☝️ В условиях непростой геополитики российским ИБ-игрокам, которые не побоялись выйти за пределы не только МКАДа, но и Российской Федерации, удается показывать очень неплохие результаты в части мировой экспансии. Это значит, что у ИБ-компаний, если им хотя бы не мешать, а может даже и помогать 🆘, есть прекрасные шансы реально показать свою экспортопригодность, а не только кричать на каждом углу об импортозамещении. Как раз быть лидером импортозамещения не сложно. Когда выгнали всех иностранцев, странно не показывать результаты; рынок большой – на всех хватит. А вот показать отличные цифры зарубежом, в жесткой конкурентной среде, это прям хороший знак. Значит есть шансы и по другим нишам, и для других компаний ↗️

#оценказащищенности #рынок #статистика

Пост Лукацкого

19 Sep 2025 02:40

Вот и весь Youtube-плейлист 📱 из 7 частей миникурса "Как срывать овации и зажигать сердца", посвященного выступлениям и подготовке к ним. Получилось без малого 5 часов. Плейлист также выложил на VK Video 📱 Тут, правда, фиг знает, что получилось; первый раз все-таки на новой платформе; но вроде отображается. Засим самому себе поставленную задачу можно считать исполненной и переходить к следующей.

#видео #выступление #спикер #презентация

Пост Лукацкого

18 Sep 2025 15:31

Продолжим про сказочных существ. В конце октября еду в Минск на большую конференцию по кибербезопасности – напитываюсь местными сказками, обычаями 😎 Оказывается, в белорусском 🇧🇾 фольклоре есть такие интересные персонажи, как шатаны. Это были люди-не люди, существа короче, которые бесцельно шатались по дорогам и лесам, ни добра не делали, ни зла, но и пользы от них никакой. На мероприятиях по ИБ их наследники ведут себя точно так же – часами бродят по мероприятию, зависают у стендов и столиков с кофемашинами, но так и не понимают, зачем пришли 🤔

Их главные "активы" – сумка с мерчем и бейджик на ленте 🙄 Доклады они слушают краем уха, вопросы если и задают, то из серии "А чем информационная безопасность отличается от безопасности информации" или "А почему ФСТЭК - это он" (шутка). Но чаще всего они молчат, потому что и спросить-то нечего. Гораздо интереснее обсудить, у кого на стенде девки симпатичнее и где вискарь наливают 🥃

Кибер-шатаны любят прилипнуть к людям, которые действительно пришли работать: навязывают пустые разговоры 😱, пересказывают слухи, фоткаются со всеми. Польза от этого общения нулевая, но потратить ваше время они способны мастерски. Иногда удается от них сбежать... чтобы попасть в объятия других шатанов.

Между собой такие персонажи тоже не ладят: каждый ревностно охраняет свой "улов" из блокнотов, ручек и стикерпаков 🛍 А когда мерч заканчивается или еда, они первыми начинают ворчать и возмущаться; а ведь сами ничего в сообщество не привносят и пальцем о палец не ударят, чтобы что-то сделать полезное. Пользы от кибер-шатанов – ноль. Но так как мероприятия у нас в массе своей бесплатные для участников и живущие за деньги спонсоров, то вот и приходит туда всякий сброд... 🤔

#мероприятие

Пост Лукацкого

18 Sep 2025 07:27

Ну вот как-то так получилось (это где-то пятая часть) для моего выступления в Новосибирске на Positive Technology Day про прогнозирование киберзла из тбркской мифологии без магических камней, но на сугубо научной базе 🤔

#презентация #threatintelligence

Пост Лукацкого

17 Sep 2025 19:43

Утром буду выступать в Новосибирске на Positive Tech Day. Кавалерийский бросок одним днем, все как в лучшие времена 💪 Слайды презентации как обычно не готовы, но впереди целая ночь на то, чтобы подготовить рассказ про виртуальную албасты 👿 и Алатырь-камень, а также как тюркская мифология помогает предсказывать кибератаки.

Пока сделал только обложку, но обычно именно она задает тон всему выступлению. Аналогии напрашиваются сами - темный, потусторонний мир зла 😈 - это даркнет, который надо знать, чтобы ему противостоять. Там живут разные дэвы, албасты, Джанголосы, Буки, Пургул Ханы, айтойоны и всякая иная нечисть. Все как в ИБ - шифровальщики, DDoS, брокеры первоначального доступа, биржи утечек и вот это вот все 🥷 Ну дальше все просто, либо спрашивать совета у магического камня, который тебя может как направо, так и налево направить, а можно взять все в свои руки и... а вот что "и...", это уже расскажу во время выступления.

#презентация #мероприятие

Пост Лукацкого

17 Sep 2025 11:34

В шестой части мы говорим о том, как работать с аудиторией 💪 во время выступления, почему всегда будут хейтеры, независимо от того, кто вы, что вы говорите и кого представляете, как подготовиться к неудобным вопросам и снять напряжение в зале и считывать невербальные сигналы раздраженной аудитории 🚨

ЗЫ. Первая часть тут, вторая тут, третья тут, четвертая тут, а пятая тут. Финал будет завтра.

Пост Лукацкого

23 Sep 2025 17:01

И кто теперь скажет, что я не пророк? Так что если вы думаете иногда: «Какую же чушь он написал», то знайте, это не чушь, это предвидение 🔮

#тенденции #санкции

Пост Лукацкого

23 Sep 2025 11:34

Ну и чтобы не быть голословным 😱 Пример, что можно сделать на 4-м уровне зрелости программы повышения осведомленности, вышедшей за рамки "обучения ради обучения" и встроенной в повседневные процессы, коммуникации и мотивацию людей. Я бы это видел так: 🤠

💡 Упростить правила и убрать недовольство от обучения для галочки, переписать ключевые политики понятным языком, сделать ролевые "карточки решений" (что делать маркетологу, закуперам, разработчикам, бухгалтерам и иным ролям), встроить подсказки в интерфейсы ПО, если это внутренняя разработка ("secure by default") 🃏

💡 Интегрировать обучение в HR-цикл: онбординг с реальными кейсами, "минутка ИБ" на квартальных митингах, включение безопасного поведения в персональный план развития или систему оценку эффективности менеджеров 5️⃣

💡 Внедрить сеть чемпионов по безопасности, выбрав амбассадоров в бизнес-подразделениях (1–2% штата), дать им время и мини-бюджет на локальные активности 🏆 Не все верят в эффективность этой меры, но я был одним из первой четверки чемпионов в Cisco еще в 2008 году (даже на местной доске почета в здании службы ИБ висел) и вполне себе справлялся без принуждения.

💡 Постоянная коммуникация вместо разовых курсов: годовой календарь тем, короткие "подталкивания" (nudge) в корпоративных инструментах, позитивный tone-of-voice и сторителлинг про недопустимые события и ключевые риски 💬

💡 Поощрения и "безопасная обратная связь". Признание команд с лучшими практиками, сообщения об ошибках (без наказаний за добросовестный репортинг) 👏

💡 Совместные проекты с ключевыми функциями: HR, внутриком, закупки, DevOps/ИТ/проектный офис, чтобы безопасность стала естественной частью закупок, разработки, запуска продуктов и т.п. 👨‍💻

💡 Практические учения для нефункции ИБ: регулярные штабные сессии с Legal/PR/Ops по сценариям фишинга, утечкам, BEC, тренировки "как сообщать" и "что делать в первые часы" 🔥

💡 Измерения "пульса" культуры и поведения: квартальные короткие опросы (ощущение личной ответственности, доверие к ИБ, релевантность обучения) + метрики поведения (доля MFA, отчетность о фишинге, применимость шаблонов обмена данными) 🌡

Ну и как вы понимаете, это нельзя прописать в нормативных требованиях, так как далеко не все способны это реализовать; по крайней мере сразу. А вот прописать это в методичке можно было бы – тогда был бы ориентир, к которому можно было бы стремиться 🤔 И в этом, одно из серьезных отличий иностранных регуляторов от многих наших – там меньше требований и больше рекомендаций. У нас про рекомендации все забыли, считая, что их будут игнорить, и поэтому сразу херачат 200-500 требований, даже не выделив Топ10 и не предложив "правило Паретто" для них.

ЗЫ. Завтра про 5-й уровень напишу. А потом, если будет интересно, и про третий.

#обучение #awareness #maturity

Пост Лукацкого

22 Sep 2025 19:43

Интересное nixCraft/115241270037750346">прислал подписчик (за что ему спасибо) ✉️ А вы когда получаете сообщение с домена gazprorn[.]ru о том, что на ваши акции Газпрома начислены дивиденды, или с gazprornbank[.]ru, что ваша кредитная карта заблокирована, или с gazinforrnservice[.]ru, что вас зовут послушать выступление Алексея Лукацкого на GIS Days, уверены, что это именно домены gazprom[.]ru, gazprombank[.]ru и gazinformservice[.]ru соответственно? ✉️

Вы же знаете частые комбинации, которые используют хакеры в рамках атаки тайпсквоттинг (typesquatting)? Вот самые распространенные:
➡️0 – O (ноль – прописная о)
➡️1 – l – I (цифра один – строчная L – заглавная i)
➡️5 – S / s
➡️2 – Z / z (реже)
➡️8 – B
➡️s – $ или 5
➡️i – !
➡️c – ( или <
➡️Соседние клавиши: m – n, k – j, q – w – приводят к опечаткам при ручном вводе
➡️rn выглядит как m в некоторых шрифтах
➡️vv вместо w и наоборот
➡️пропуск/удвоение символов
➡️транспозиция букв, например, examlpe вместо example 🤔

#фишинг

Пост Лукацкого

22 Sep 2025 11:34

Мои ближайшие мероприятия (из публичных):
➡️ Boost - 23 сентября - Москва – про то, зачем заказчики требуют кибербез от разработчиков и что именно требуют
➡️ Positive Technology Day – 25 сентября – Санкт-Петербург – буду про когнитивные искажения в деятельности ИБ рассказывать
➡️ GIS Days – 3 октября – Москва – буду пророчествовать
➡️ Positive Security Day – 8 октября – Москва – открывающий keynote и модерация
➡️ MLSecOps (AM Live) – 10 октября – онлайн – модерация
➡️ Автономные SOC (AM Live) – 24 октября – онлайн – модерация
➡️ Russia Risk Conference 2025 – 24 октября – Москва – выступление про текущий ландшафт и участие в дискуссии
➡️ SOCcon (программы пока нет) – 30 октября – Минск – выступление и модерация
➡️ ИТ-Диалог 2025 – 6 ноября – Санкт-Петербург – модерация и, возможно, выступление.

Попутно вписался в пять (!) MBA-программ (и это не Masters of Beer Appreciation), где мне предложили взять модуль по кибербезу 🛡 Это помимо второго направления бизнес-образования, где топов различных компаний обучают теме искусственного интеллекта и меня туда зовут с рассказом про безопасность ИИ. Для меня это прям некий сигнал к тому, что как минимум разные учебные заведения 👩‍🎓 стали видеть востребованность в обучении руководителей организаций вопросам кибербеза. Не может не радовать сия тенденция.

ЗЫ. Ну и курс по SOCам, стартующий уже через пару недель, но про него я уже писал.

#мероприятие #обучение

Пост Лукацкого

21 Sep 2025 19:44

Что объединяет пятничные взломы аэропортов 🛫 Брюсселя, Хитроу в Лондоне, Бранденбург в Берлине? То, что их никто не ломал. Взломан был поставщик системы регистрации на рейс, которая использовалась в упомянутых аэропортах, и предоставлялась компанией Collins Aerospace (ею владеет RTX/Ratheon). Классическая атака на подрядчика, через которую пострадали и связанные с ней компании 🛩

А у вас есть системы, отданные подрядчикам на аутсорс, и от которых также зависят ваши основные бизнес-процессы? Если что, то для пяти отраслей я делал такие списки подрядчиков. Если нужны для каких-то еще отраслей помимо этих пяти, пишите в комментах, заделаю и их ✍️

#sypplychain

Пост Лукацкого

21 Sep 2025 08:40

Скоро сказка сказывается, да долго дело делается... В марте писал про свою статью про выбор накопителей 💾 и архитектур хранения событий безопасности для SIEM и SOCов. И вроде материал был написан, но все руки не доходили его вылизать и выложить. Но вроде все доделал – отправил на финальную корректуру и скоро, надеюсь, поделюсь ссылкой на сей лонгрид ✍️

#soc #статья

Пост Лукацкого

20 Sep 2025 14:12

Исторические заметки

Рассказывает Вера Алексеевна Архангельская (c 1976 года- помощник прокурора Автозаводского района г.Тольятти прокуратуры Куйбышевской области, с 1982 года- старший помощник прокурора там же, с сентября 1992 года- судья Автозаводского районного суда г.Тольятти, c июня 2014 года пребывает в отставке):

"В 1983 году в СССР было совершенно первое в истории преступление в сфере высоких технологий – хакнули ПО на АВТОВАЗе, в результате чего конвейер встал на три дня. Возник прецедент: совершено преступление, за которое не предусмотрено наказание.

Первым хакером в истории СССР оказался простой программист Мурат Уртембаев, которому прочили блестящую карьеру математика в МГУ, но он отказался от научной стези, и по целевому распределению попал на АВТОВАЗ. Там его таланты никто не оценил, и он решил доказать, что чего-то да стоит.

В Управлении автоматической системой для подачи механических узлов на конвейер, в котором работал Мурат, схема работы была следующей – программист, если считал нужным, вносил изменения в ПО, но не оставлял никаких данных или отметок о внесенных изменениях.
Уртембаев создал патч к основной программе-счетчику, которая отмеряла циклы подачи узлов на линию конвейера. Патч Мурата сбивал ритм счетчика. На конвейере, где заданная деталь должна быть поставлена в четко ограниченное время, сбой в автоматике даже на секунду будет фатальным для производственной линии, где все выверено и просчитано до мелочей.

Мурат подстраховался, создав себе алиби, – запуск адского патча Уртембаев запрограммировал на день своего выхода из отпуска.

Расчет был такой: я возвращаюсь из родных степей Казахстана, обнаруживаю сбой и совершаю настоящий производственный подвиг, спасая конвейер от неминуемой катастрофы. Почетные грамоты, слава, хвала и поездка в Туапсе прилагаются.

Но вмешалось одно непредвиденное обстоятельство – программа запустилась на два дня раньше.
Никто ничего не понимал. Автоматика точно сошла с ума. Инженеры хватались за сердца – шоковая производственная терапия в течение трех дней на конвейере не прошла для них бесследно.

Бороться с ЧП были брошены лучшие специалисты. Они проверили оборудование, отдельные узлы, саму ЭВМ, но технически все было в порядке. Следов физического вмешательства не было найдено.

В конце концов, отыскали неисправный фрагмент кода. Запуск рабочей программы с другой дискеты ожидаемого результата не дал – сбои продолжались. Конвейер удалось запустить лишь через три смены.

Благодаря проделке Мурата, завод понес многомиллионные убытки.

Мурат Уртембаев пришел на явку с повинной.
Статьи, которая в нынешнем УК квалифицируется в ст. 273 деяние Уртембаева, как «создание, использование и распространение вредоносных программ для ЭВМ» и предусматривает лишение свободы на срок от трех до семи лет, тогда еще не было.

Первого хакера в нашей истории осудили за умышленные хулиганские действия и дали полтора года условно с возмещением ущерба, который был оценен в стоимость двух «Жигулей». Мурат вынужден был отрабатывать наказание слесарем на конвейере.

Рассматривал уголовное дело председатель Автозаводского суда Бойко А.С., адвокат Московский В.П., прокурор Архангельская В.А. Дня через три в газете "Известия" была опубликована статья «Умысел», которую опубликовали СМИ за рубежом. Точно не помню какие страны, но Италия и Франция точно. У Администрации ВАЗа были неприятности".

Пост Лукацкого

20 Sep 2025 08:40

Помните историю про хакера и солонку? 🧂 Этакая сатира о том, как сообщение об уязвимости превращается в цепь панических, неадекватных и контрпродуктивных мер: от жалобы хакера до массовых ограничений, паранойи, судебных разбирательств и бессмысленных технических исправлений, которые в итоге ухудшают жизнь людей и не решают реальной проблемы 🤦‍♂️ Вчера в комментах эта история всплыла и я подумал, а как бы я поступил в этой ситуации, чтобы с одной стороны отреагировать на сообщение об уязвимости, а с другой – не парализовать работу столовой и не снизить лояльность посетителей?

1️⃣ Моделирование угроз 🔓
➖ Действительно ли плохой парень способен массово отравить всех, или речь идет о единичных случаях? Да, единичные случаи тоже неприятны, но и масштаб тоже надо учитывать.
➖ Стоит ли ущерб тех неудобств, которые создают "одноразовые пароли на солонках"?
➖ Выбор адекватных защитных мер.

2️⃣ Защитные меры 🛡
➖ Контроль целостности – официанты в начале смены проверяют солонки (простая инспекция, без паспортов и кодов).
➖ Ограничение доступа – солонки пополняются только из проверенных источников (например, опломбированные пакеты соли, хранящиеся на закрытом складе).
➖ Разделение ответственности – персонал кухни отвечает за наполнение солонок, зал – за их расстановку и проверку.
➖ Незаметная защита, например, пломбы или маркировка, которая сразу покажет вскрытие.
➖ Объяснительные таблички (без излишней паранойи): "Солонки опломбированы для вашей безопасности" и "Taste something, say something" и т.п. Посетители чувствуют заботу и не сталкиваются с бюрократией, но знают, что могут обратиться к любому официанту, если что-то пошло не так.

4️⃣ Мониторинг и реагирование 🔍
➖ Если кто-то заметил странности (например, вкус соли изменился), то есть процедура сообщения персоналу.
➖ Выборочные проверки – не каждую солонку каждый день в лабораторию на анализ, а по расписанию и выборочно. Иногда обычные тестовые полоски для ускорения.
➖ Работа с ложными срабатываниями – чтобы не плодить хаос, отсеивать неподтвержденные жалобы.

Если транслировать это уже на обычные процессы, то основная идея 🤔 – избегать мер, которые усложняют жизнь клиенту больше, чем представляет из себя угроза. Сохраняем привычные процессы (если они, конечно, изначально не дырявые), добавляя невидимый слой в виде ИБ 🛡 Ну и для персонала, который не погружен в ИБ, надо давать простые и четкие инструкции вместо громоздких регламентов. Главное - соразмерность, а для этого нужно понимать, как работает то, что мы защищаем и не усердствовать понапрасну 😂

#бизнес

Пост Лукацкого

19 Sep 2025 15:40

ИТ-холдинг Т1 провел интересное исследование 🔬 32 областей российской экономики, в которых активно появляются и развиваются стартапы. Компания проанализировала 4000 "молодых да ранних" и составила DGCompass, документ на 200+ страниц, в котором описаны все рассмотренные ниши и даны интересные цифры по ним. Одной из 32-х отраслей оказался и кибербез, попавший на поляну единорогов 🦄

Стартапом в исследовании считаются те компании, которые показывают выручку до 2,5 миллиардов рублей, насчитывает не более 150 работников, не старше 5 лет и стоимость самой компании не превышает 25 миллиардов рублей 🤑 Под эти критерии попало 78 компаний, работающих в разных нишах и помогающих решать разные задачи. Не буду пересказывать все – просто посмотрите выдержку из DGCompass, касающуюся именно ИБ-сферы 📖

Будь я заказчиком или инвестором, я бы хотел еще видеть имена всех этих стартапов, чтобы либо рассмотреть их для своей инфраструктуры, либо для инвестиций 🤓 Но даже без этого работа проведена хорошая – становится понятно, какие направления привлекают внимание стартаперов, а какие нет, где они рентабельные, какая выручка может ожидать начинающих предпринимателей и т.п. Прям есть над чем задуматься... 🤔

И, кстати, по моим сведениям, сейчас начинается прям активная охота за ИБ-стартапами. Одна компания, с коллегами из которой я общался, планирует до конца года закрыть пять сделок, другая - еще столько же. Третья ограничится 2-3 поглощениями 😋

#рынок #стартап

ЗЫ. Потихоньку ставлю теги на все посты в канале, чтобы было проще ориентироваться. Сейчас вот тег #стартап во всех постах проставил. Так, глядишь и все посты в итоге помечу, а не только те, что с ноября 2024 года.

Пост Лукацкого

19 Sep 2025 06:40

Коллеги написали про новые требования к новому классу средств защиты, предложенному ФСТЭК, - СОР, то есть к средствам обнаружения и реагирования, которые в простнародье называются EDR. И вот неоднозначное у меня отношение к этим требованиям. Не к их содержанию, а к появлению еще одних требований по защите оконечных устройств. Ведь у нас уже есть руководящие документы по:
➡️ средствам защиты от несанкционированного доступа
➡️ средствам антивирусной защиты
➡️ межсетевым экранам уровня узла (класса В).

Теперь появляется еще один тип средств защиты, который включает в себя и что-то от СЗИ от НСД, и что-то от антивируса, и что-то от хостового МСЭ.

И получается, что сейчас действительно складывается ситуация, когда одно и то же оконечное устройство должно одновременно соответствовать нескольким наборам требований (СЗИ от НСД, антивирус, хостовой МЭ, теперь СОР/EDR). И это приводит к пересечениям, дублированию и иногда даже противоречиям; не говоря уже об увеличении затрат на сертификацию.

Я вижу три возможных пути решения этой проблемы:
1️⃣ Сохранить отдельные документы, но переработать их. Каждое средство защиты продолжает жить в своей «нише» (антивирус, СЗИ от НСД, МСЭ, СОР). Но требования должны быть жёстко разведены, без пересечений. Например:
➖Антивирус → только обнаружение и лечение вредоносного ПО.
➖СЗИ от НСД → контроль доступа и предотвращение обхода ОС.
➖Хостовой МЭ → сетевые фильтры уровня узла.
➖СОР → поведенческая аналитика, расследование, реагирование.
➖Преимущество: сохраняется преемственность.
➖Недостаток: получится громоздко и по-прежнему много возможных слепых зон. Да и скорость переработки принятых РД не внушает оптимизма.

2️⃣ Создать единый документ для всех средств защиты оконечных устройств, где прописывается базовый набор требований для всех средств защиты узлов/хостов. Внутри документа можно ввести подразделы или профили, описывающие разные направления (доступ, антивирус, сеть, обнаружение и реагирование, в перспективе, NAC, управление уязвимостями и т.п.). Такой подход ближе к международным практикам (NIST SP 800-53, CIS Controls), где требования задаются системно.
➖Преимущество: единый источник, меньше противоречий.
➖Недостаток: документ будет все равно большим и сложным в поддержке.

3️⃣ Единый документ с классами средств защиты узлов. Вместо отдельных типов СЗИ ввести «классы средств защиты оконечных устройств», как это сделано для межсетевых экранов. Например:
➖Класс 1 — базовая защита (антивирус + простейший контроль доступа).
➖Класс 2 — расширенная защита (добавляется хостовой МЭ, поведенческий анализ).
➖Класс 3 — полный стек (EDR/СОР с расследованием и реагированием).
➖Тогда разработчики смогут выпускать либо «лёгковесные» продукты, либо комплексные решения.
➖Преимущество: гибкость, стимулирование развития универсальных агентов (EDR, XDR).
➖Недостаток: придётся отказаться от привычной парадигмы отдельных СЗИ.

Что лучше из описанных вариантов? Если смотреть стратегически - вариант №3 (классы средств защиты) выглядит самым правильным.
➖ Он соответствует мировой тенденции интеграции функций (EDR часто включает и антивирус, и HIPS, и firewall). В идеале туда еще бы и VPN-клиента засунуть, и NAC-агента, и Identity, но это уже утопия.
➖ Упрощает сертификацию: проверяешь один продукт по классу, а не три разных по отдельным документам.
➖ Позволяет организациям выбирать уровень защиты в зависимости от выбранной модели угроз.

Но для плавного перехода, возможно, стоит пойти через вариант №2: объединить всё в единый документ, сохранив профили/подразделы. А потом уже эволюционно перейти к системе классов.

#оценкасоответствия

Пост Лукацкого

18 Sep 2025 19:33

Кот-реверсер… 🐱

#юмор #пентест #iot

Пост Лукацкого

18 Sep 2025 11:34

В финальной части миникурса по выступлениям в сфере кибербезопасности 🛡 мы подведем итоги, поговорим о типичных ошибках, допускаемых спикерами и детально рассмотренных в курсе ранее, попробуем побороть страх выступлений, с открытым забралом выйдя к нему и поняв его причину, а также поймем, почему самокопание - это зло 🕹 Подсоберу все в плейлист и залью его также на отечественный видеохостинг. Надеюсь, будет полезно.

ЗЫ. Первая часть тут, вторая тут, третья тут, четвертая тут, пятая тут, а шестая тут.

Пост Лукацкого

18 Sep 2025 02:40

Однажды к умудренному ИБшнику на конференции подошел молодой специалист по ИБ и сказал:
– Я хочу внедрять в компании только решения с сертификатом соответствия. Скажи, я поступаю мудро?

Мудрый ИБшник спросил:
– А почему именно с сертификатом?
– Так я буду уверен, что решение безопасно.

Тогда ИБшник отошел на секунду, а вернувшись принес два яблока: одно целое, блестящее, манящее, а второе надкушенное, пожухлое и не очень притязательное на вид. И предложил юноше их попробовать. Тот взял целое, надкусил его – яблоко оказалось гнилым. Тогда он взял надкушенное, попробовал, но и оно оказалось гнилым. В недоумении юноша спросил:
– Так как же мне нужно выбирать решения?
– Практикой, – ответил опытный ИБшник. – Сертификат или блестящая обертка ничего не гарантируют. Смотри в суть, тестируй, проверяй и выбирай по их результатам, а не по формальному признаку.

#притча #оценкасоответствия

Пост Лукацкого

17 Sep 2025 15:35

Австралийский ИБ-регулятор ASD ACSC 🦘 вместе с канадцами, новозеландцами, англичанами и японцами (интересно, почему американцы не в доле) выпустил неплохое руководство по управлению криптографическими ключами, сертификатами и секретами в онпрем-инфраструктурах и облаках. Ориентировано на менеджеров, методологов, архитекторов ИБ. Очень неплохо визуализирована модель угроз для криптографических решений и способы их нейтрализации, разбитые на блоки: 🔑
➡️ Корпоративное управление (политики и процедуры ИБ)
➡️ Генерация (создание ключей и секретов)
➡️ Регистрация, хранение и доступ
➡️ Распределение (защищенный обмен ключами и секретами между множеством участников)
➡️ Ротация и уничтожение
➡️ Цепочка доверия (процесс обеспечения доверия ключам и сертификатам, управляемым УЦ)
➡️ Роли в управлении ключами и секретами
➡️ Надзор – аудит и мониторинг 🤔

По части тем даны ссылки на дополнительные руководства, что в совокупности представляет уже вполне практический набор конкретных задач и шагов по эксплуатации СКЗИ. Этакая 152-я инструкция NG 🤔

#криптография

Пост Лукацкого

17 Sep 2025 07:58

Какие-то нехорошие люди назвали меня абьюзером 🫵 и нажаловались хостеру, который, не разбираясь, заблокировал и сайт, и учетку в админпанели, как будто я торговец анашой и детским порно. Сижу, разбираюсь… Сайт пока не доступен! ⛔️

В целом, это было ожидаемо ⏳ и предусмотрено обновленной моделью угроз ;-) Новый опыт тоже интересен, хотя в данном случае до Европейского суда по правам чаловека я не пойду. Если борьба за сайт затянется и будет требовать слишком много ресурсов, то сайт, вероятно, уйдет в небытие. Все равно последнюю тройку лет основной фокус на канал 🧑‍💻

ЗЫ. В резюме смогу добавить теперь приписку про жертву режима, европейского.