Пост Лукацкого

07 October 2025 15:27

Интересный отчет, рассматривающий кибератаки через призму фондового рынка, как экономическое явление. Он объединяет результаты исследований разных компаний (Comparitech, MIT, NBER, Morningstar и др.) и известные инциденты (Equifax, MGM, SolarWinds, CrowdStrike и др.), чтобы показать закономерности падения стоимости акций и факторов, которые усиливают или ослабляют последствия.

Авторы предлагают модель многофакторной оценки ущерба, которая учитывает следующие параметры:
1️⃣ Чувствительность данных – от внутренних документов до финансов и медицинских данных.
2️⃣ Тип атаки – от легкого DDoS до разрушительных шифровальщиков или атак на цепочку поставок.
3️⃣ Индустрия – наименее уязвимы ритейл и e-commerce, наиболее – финансы, платежные системы, кредитные бюро.
4️⃣ Уровень защищенности – зрелость безопасности и ESG-практики (наличие risk-комитета, DPO и т.п.).
5️⃣ Реагирование на кризис – скорость и прозрачность реакции компании.
6️⃣ Узнаваемость компании – чем выше узнаваемость (Fortune 500, глобальный бренд), тем больнее и сильнее падение.

Какие выводы можно сделать из этого файла и исследований, на которые он ссылается:
🔤 Инвесторы "наказывают" компании не только за сам взлом, но и за реакцию на него. Прозрачность, скорость и тон коммуникации влияют на глубину падения.
🔤 Кредитные рейтинги компаний остаются заниженными до 3 лет после крупных инцидентов.
🔤 Эффект зависит от типа данных и сектора. Финансы и здравоохранение страдают сильнее, чем промышленность или ритейл.
🔤 Репутация и ESG-факторы становятся важным "амортизатором" – компании с хорошим управлением падают меньше.
🔤 Ущерб на фондовом рынке не всегда напрямую коррелирует с техническим масштабом инцидента – важнее, как компания управляет кризисом.
🔤 У крупных брендов "штраф за узнаваемость": чем громче имя, тем резче падение.
🔤 Повторяющиеся атаки вызывают эффект усталости инвесторов – реакция рынка становится менее эмоциональной, но долгосрочно вреднее и опаснее.

Для отечественного фондового рынка сами цифры, скорее всего, нерелевантны, так как рынок не очень большой. Но сами факторы, влияющие на стоимость акций, в той или иной степени вполне себе подходят. По крайней мере у меня они отторжения и вопросов не вызывают. Ну разве что кредитные рейтинги у нас пока мало связаны с ИБ 🔗

Вы все еще думаете, что инциденты ИБ – это мелочи, которые не стоят внимания вашего топ-менеджмента? 🤔

#ущерб #экономика #антикризис

Пост Лукацкого

07 October 2025 06:40

За последнее время немалое количество пострадавших летом от инцидентов ИБ компаний стали публиковать финансовые результаты и можно уже оценивать реальный ущерб от действий злоумышленников. Начнем с британской сети продуктовых магазинов Co-op, которая в апреле столкнулась с кибератакой и потеряла 206 миллионов фунтов стерлингов выручки за первый полугодовой период (6 месяцев до 5 июля)

Операционная прибыль компании пострадала примерно на £80 млн за тот же период; из них £20 млн – однократные затраты в связи с реагированием на инцидент (13 млн из порчи продуктов питания, 5 млн - оплата труда и привлеченных на восстановление экспертов, 2 млн – резервы по долгам, возникшим вследствие инцидента). В результате Co-op ушла в убыток: пред-налоговый убыток около £50 млн, по сравнению с прибылью £58 млн за аналогичный период прошлого года.

Что еще известно по убыткам от казалось бы обычного инцидента ИБ:
1️⃣ Объем выручки группы за этот период: £5.5 млрд, что на 2.1% меньше, чем годом ранее. Без учета удара со стороны хакеров, по оценкам Co-op, выручка должна была быть на 1.5% выше – т. е. рост был, если бы не инцидент. В сегменте продуктового ритейла выручка снизилась на ~1.6%.
2️⃣ Co-op сообщил, что все персональные данные 6,5 миллионов членов его программы лояльности были украдены. Скомпрометированы имена, адреса, контактная информация, дата рождения. При этом Co-op заявляет, что пароли, банковские реквизиты, история транзакций не были затронуты. Мы, конечно, верим!
3️⃣ Co-op оценивает, что в течение полного финансового года удар по прибыли составит около £120 млн (с учетом дальнейших эффектов) в связи с кибератакой. Второй полугодовой период, возможно, будет легче, но эффекты “отставания” (поставки, восстановление доверия, маркетинг) могут “протянуться” и дальше. Некоторые сегменты (юридические / страховые / похоронные) могут быстрее восстановиться, но “продуктовый” ритейл наиболее чувствителен к сбоям ИТ и цепочек поставок.
4️⃣ Co-op предложил своим членам скидку £10 при покупке на £40 как компенсацию / знак благодарности за терпение. Пока сложно оценить, сколько человек воспользовались этой скидкой (автоматом ли она начисляется или надо специально об этом просить).
5️⃣ Co-op признал, что не будет требовать покрытие с страховки для “back-end losses” (операционные потери / снижение продаж). Это означает, что большая часть ущерба ложится на Co-op целиком.

Дополнительные косвенные расходы и правовые/риск-аспекты для Co-op могут включать:
➖ Затраты на восстановление, дополнительно ИТ/ИБ, аудит, мониторинг.
➖ Вероятные расходы на уведомления пострадавших, судебные иски, регуляторные штрафы (в зависимости от расследования и требований регуляторов).
➖ Репутационные потери, возможный отток клиентов, снижение членской базы и снижение лояльности.
➖ Упущенные возможности (инвестиции, расширение) из-за фокуса на восстановление и ограниченные ресурсы.

Ну и немножко выводов:
1️⃣ Ущерб от кибератак может быть гораздо больше, чем чисто технологический ущерб – операционные и сбытовые потери могут доминировать, что мы и видим у Co-op.
2️⃣ Отсутствие адекватного страхового покрытия создает значительный риск – компания вынуждена поглощать последствия удара сама, без помощи извне.
3️⃣ Участки бизнеса, тесно зависящие от ИТ и цепочек поставок (ритейл, логистика, автоматизированные складские / заказные системы) особенно уязвимы – когда ИТ сбоит или отключается, переход на бумажные / ручные процессы часто не может покрыть возросшую нагрузку на персонал.
4️⃣ У компаний с различными видами бизнеса (диверсификация) потери в одном сегменте могут быть частично сглажены другими направлениями. У компаний, сфокусированных на одной только деятельности, инцидент ИБ может повлечь за собой катастрофические последствия. У Co-op была ликвидность, кредитные линии не затронуты, с ковенантами тоже все ок.

ЗЫ. К слову, Co-op теряет 80 миллионов в год на кражах в продуктовых магазинах. То есть потери от кибератаки оказались больше более привычных потерь, которые часто учитываются топ-менеджментов в своей модели рисков, чего не скажешь о рисках ИБ.

#ущерб

Пост Лукацкого

06 October 2025 15:29

Суд прекратил дело бывших топ-менеджеров "Сирена-Трэвел" 🧑‍⚖️ Про это написал Олег и я не буду повторять; только прокомментирую это странное дело. После массовой утечки персданных пассажиров, включая и особые группы лиц, компания признала утечку и получила административный штраф. Спустя год были выдвинуты обвинения против двух топ-менеджеров компании о неправомерном воздействии на КИИ (ч.5 ст.274.1 УК РФ). Эта часть относится к тяжким преступлениям и предусматривает лишение свободы на срок от 5 до 10 лет 😡

Однако осенью 2025 года дело было внезапно переквалифицировано на ч.2 этой же статьи (неправомерный доступ к охраняемой информации в КИИ) с более мягким наказанием (до пяти лет) 💃 А это уже не только преступление средней тяжести, но и применяется оно скорее к хакерам, а не к должностным лицам, которые что-то там допустили, не сделали, не реализовали и т.п. То есть, если вначале подсудимых обвиняли в "халатности", то потом перевели все стрелки на неустановленных лиц, которые и совершили это злодеяние. А найти их, и тем более покарать карающим мечом 🗡 правосудия, нереально

В статье ТАСС говорится, что дело прекращено по причине примирения сторон 🤝 И это, конечно, странная формулировка. Да, с ч.5 ст.274.1 примерения быть не может – оно только для небольшой и средней тяжести возможно. Но даже после переквалификации на более мягкое наказание, остается вопрос – кто с кем примирился? Ведь согласно ст.25 УПК РФ, это возможно если обвиняемый примирился с потерпевшим, возместил причиненный вред 🛡, и все стороны дают на это согласие. От утечки пострадали миллионы пассажиров, которым, согласно первоначальным материалам следствия, был нанесен существенный вред. И каким образом обвиняемые примирились с миллионами потерпевших, как и в каком объеме они возместили причиненный им ущерб? И как было получено согласие на это? 🤔

Как-то все странно выглядит 🤷‍♀️ Сначала обвиняют, потом примиряются. И как на это надо смотреть гражданам? Что на их права всем наплевать, если дело касается людей, власть придержащих? Что можно сначала дать надежду в том, что у нас перед законом все равны, а потом ее отобрать? Что кто-то может от имени потерпевших оценивать ущерб им, а потом его прощать? А если следствие было неправо с самого начала, то понесет ли наказание виновный? Отвечаю - вряд ли. В общем, какое-то непонятное послевкусие от всего этого 🥴

Схожая история с утечками «которых не было». Вот ты знаешь, что Госуслуги/ЕСИА протекали и у тебя на руках есть доказательства, но все говорят, что нет и даже заставляют провайдеров услуг контроля утечек замарывать название сервиса, из которой утекло 🤦‍♂️ Вот ты знаешь, что данные твоих детей утекли, но чиновники говорят, что нет (спустя 2 года, правда, косвенно признают, беря на работу тех, кто взломал). Ты видишь утечку одного из лидеров рынка доставки еды, а тебе говорят, что такого быть не могло, потому что не могло (или потому что там во владельцах «особы, приближенные к императору»?). Так и живем. Наказывают не тех, кого должно, а тех, кого можно безболезненно это сделать 😍

ЗЫ. Прекращение уголовного дела по примирению сторон не является реабилитирующим основанием, то есть лицо в таком случае не признается невиновным.

#ответственность #персональныеданные #утечка

Пост Лукацкого

06 October 2025 06:40

А ведь из подписчиков никто и никогда не видел меня без усов (за исключением моей учительницы математики, которая иногда читает этот канал). Очень малое количество людей видело меня без бороды (только те, кто застал меня на заре карьеры в Cisco и до) 🧔🏼‍♂️ Лысым меня видели только подписчики в запрещенной нынче социальной сети, где я постил свои эксперименты над внешностью во время ковидной отсидки. А вот так, чтобы лысым, да еще и без бороды и усов...

Не пора ли сменить образ, подумал я?! 🆕 Может на Positive Security Day предстану обновленным, как наш подход к кибербезу и новые решения, которые мы презентуем 🤠 У меня там открывающее выступление (не буду раскрывать секретов, о чем) и последующая модерация пленарной дискуссии на тему, куда катится этот мир ИБ и как в нем выжить. А в целом, на мероприятии можно будет узнать, что делать с НДС в следующем году, как нас будут атаковать (будет интересное исследование презентовано), как можно будет выполнять 117-й приказ и вот это вот все 🤔

ЗЫ. Онлайн тоже будет; не только оффлайн с кулуарами и нетворкингом.

#мероприятие

Пост Лукацкого

05 October 2025 17:21

Раньше были популярны статьи «Почему что-то лучше, чем секс». Оказывается про хакеров (на самом деле про кракеров, от английского crack, но кто сейчас помнит, кто это такие?..) тоже было такое 🥷 Но выглядит, как будто написано юношей с не самым удачным опытом (хотя у кого его не было) в описываемой области (или обеих). Будем считать, что это не самый удачный юмор или сборник шуток за 100 с подростковых форумов начала 2000-х 😃

PS. Картинку честно стащил у коллег из @POSIdev, постящих каждую пятницу порцию DevSecOps-ных мемов...

#юмор

Пост Лукацкого

05 October 2025 08:40

Кто-то любит котиков, кто-то анимэ, кто-то игры, а кто-то кибербез... А кто-то все это объединяет вместе и получается CyberCamp, который пройдет 20-25 октября 🏕 Я обычно не пишу про мероприятия, на которых не был, но в данном случае это хорошо сочетается с постом "Куда пойти учиться", в котором я упоминал про способы прокачаться в кибербезе без скучного академического заунылого речитатива людей, которые и хакера-то видели только в фильме "Хакеры", а кибербез они называют по старинке "кибернетическая безопасность" 🧙🏻‍♂️🧙🏻‍♀️

Возможно я слишком стар, чтобы меня звали на CyberCamp 🤩 (хотя на КиберКэмп звали). А может опасаются, что я научу начинающих ИБшников "как регуляторов ругать" плохому. Но там участвуют многие мои позитивные коллеги, которые говорят, что там было и будет интересно. Да и до PHDays, холодными осенними вечерами надо же чем-то заниматься... Так что, если хотите прокачаться в ИБ, то забивайте свои рюкзаки ИБ-шной снарягой и вперед, на старт ⛹️‍♂️

#обучение #работа

Пост Лукацкого

04 October 2025 17:28

Второй прогноз с вчерашней панельки GIS Days про большую войну и связанный с ней курс на импортозамещение и изоляционизм в контексте кибербеза 🤔 Чуть больше 2 минут

#тенденции #видео

Пост Лукацкого

04 October 2025 08:40

Снова поучаствовал в проекте "Газинформсервиса" "ИБ-Пророк" с двумя материалами (прямая ссылка): ✍️
1️⃣ Годовой прогноз на системы глобальной аналитики, без которых эффективно бороться с угрозами уже невозможно,
2️⃣ Трехлетний прогноз о проблемах, с которыми мы столкнемся из-за импортозамещения.

А на сцене, где собралась часть ИБ-пророков получилось поговорить и о некоторых иных вещах, но это будет уже в следующих заметках и в формате видео 🤔

#статья #тенденции

Пост Лукацкого

03 October 2025 18:26

И хотя в советское время, будучи ребенком, я оставлял ключи от квартиры под ковриком, но мысли отдавать их посторонним все равно не было 🤔 А тут мне предлагают сделать админами моих каналов абсолютно неизвестных мне людей, доверие к которым у меня отсутствует как класс, которых еще и ломали? Ага, щаз… 🖕

Сегодня на GIS Days я вновь озвучил свой прогноз 🔮 о том, что скоро у нас останется только один мессенджер с названием на латинице, и инициатива РКН только укладывается в эту историю. Мой личный совет - начните делать резервные копии каналов, которые вам интересно перечитывать 📖

ЗЫ. Интересно, можно ли считать ИБ-специалистом того, кто отдаст ключи от своего канала абсолютно неизвестным людям без описанной процедуры разбора конфликтов и реагирования на инциденты? Кто будет отвечать, если криворукий бот вдруг удалит всю базу пользователей? 🤔

ЗЗЫ. Хорошо, что я рекламу в канале не размещаю и донаты не собираю, а значит регистрироваться в РКН мне не надо.

#мессенджер #суверенитет

Пост Лукацкого

03 October 2025 11:34

Второй популярный вопрос, который мне задают в личке, звучит схожим образом: "Какую литературу вы посоветуете по ИБ?" 📚 На этот вопрос отвечать еще сложнее, чем на вопрос про ВУЗ. И не только потому, что в моей личной библиотеке 2-3 сотни бумажных книг по ИБ и несколько тысяч электронных. Просто в кибербезе нет одной "библии", которая сделает из человека специалиста. Я бы условно разделил книги на несколько категорий 📖

Во-первых, это фундамент и база, то есть книги, которые дают понимание основ устройства систем, сетей, криптографии. К ним я мог бы отнести (не претендуя на полноту и истину): 📖
📌 Уильям Столлингс "Криптография и безопасность сетей" – классика по криптографии и протоколам.
📌 Эндрю Таненбаум "Компьютерные сети" – фундаментальные знания о сетевых технологиях. Хотя кто-то предпочитает семейство Олиферов.
📌 Росс Андерсон "Security Engineering" – системный взгляд на построение безопасных систем, от банкоматов до протоколов.

В категории "Управление и стратегия" можно посмотреть на: 📕
📌 "Искусство обмана" Кевина Митника – о социальной инженерии и человеческом факторе.
📌 «Секреты и ложь» или "Beyond Fear" Брюса Шнайера – о том, как мыслить в терминах рисков и угроз.
📌 Адама Шостака и его "Моделирование угроз" – про, да-да, мою любимую тему.
📌 Дугласа (Дага) Хаббарда и его "Как измерить все, что угодно" и "Как оценить риски в кибербезопасности" – про измерение ИБ с разных сторон.

Для развития кругозора можно почитать: 📓
📌 "Проект "Феникс" Джорджа Спаффорда (не путать с Юджином) и Ким Джин – роман о DevOps, ИТ и безопасности в бизнесе.
📌 Клиффорд Столлl "Яйцо кукушки" – документальная история о расследовании хакерской атаки.
📌 ... и тут еще можно перечислить десятки и сотни книг, в каждой из которых можно найти что-то свое, интересное именно в данный момент времени.

Заметили, что я никаких "практических" книг не советовал – по хакингу, по защите, по использованию Python для автоматизации задач ИБ, по SOCостроению?.. ☺️ Это тоже не просто так – много их. Книги в ИБ – это ориентиры, которые помогают формировать мышление. Но я советую не просто читать книги по ИБ, а строить из них свою библиотеку: фундаментальные – чтобы понимать базу, практические – чтобы работать руками, стратегические – чтобы видеть картину шире. И обязательно совмещать чтение с практикой. И не забывайте, что помимо книг есть еще статьи, в которых часто не менее полезная и более свежая информация 🤔

ЗЫ. А вы что могли бы порекомендовать из книг по ИБ?

#книга #обучение

Пост Лукацкого

02 October 2025 19:45

🇷🇺 Прокуратура Московской области сняла очередной креативный ролик о борьбе с телефонными мошенниками. А могли бы просто видео ракетных ударов по мошенническим колл-центрам показать. Гуманисты...

#мошенничество

Пост Лукацкого

02 October 2025 11:34

Вот так зайдешь кофе попить перед встречей, возьмешь в руки журнальчик для детей полистать, а даже там про защиту информации пишут…

#awareness

Пост Лукацкого

01 October 2025 19:37

Комикс "Безопасность в сети" для детей от отечественной киберполиции (исходники) 👦🏻👧🏼

#awareness

Пост Лукацкого

01 October 2025 11:33

Помните заметку про методику оценки стоимости 🧮 кибератаки от Димы Каталкова, которую он презентовал на PHDays? Так вот пришло время поделиться и инструментом, который позволяет автоматизировать такие расчеты. Веб-версия и исходники доступны на Github.

Сам рассказ про то, как считаются квалификация и временные параметры нарушителя, стоимость инструментов и эксплойтов, инфраструктуры атакующих и зрелость ИБ в компании-жертвах с учетом отраслевой привязки, может быть найден на ресурсах PHDays 🤔

#экономика #метрики #киберпреступность #threatintelligence

Пост Лукацкого

30 September 2025 19:30

Феликс Эдмундович со своим отлитым в граните:

"Отсутствие у вас судимости – это не ваша заслуга, а наша недоработка"

Пост Лукацкого

07 October 2025 11:34

А у Center for Threat-Informed Defense обновление инструмента для визуализации и обмена информацией о цепочках атак Attack Flow, о котором я писал год назад 📇 Как отмечают авторы в своем блоге, основное изменение коснулось визуализации (ну еще бы). Отныне одна и та же цепочка ("flow") может быть преобразована в разные визуальные представления (views), что помогает по-новому взглянуть на данные атаки и выявить какие-то инсайты, понять свои слабые и сильные противника места 💡

Появилась возможность создавать представление в виде матрицы ATT&CK из JSON-файла с цепочкой, котопый может, возможно, генериться какими-то средствами ИБ, например, SIEMами. Созданные визуализации можно экспортировать в виде качественных изображений для использования в отчетах или презентациях, а также можно внедрять интерактивные цепочки в веб-страницы, что бывает полезно при наполнении базы знаний или портала обучения аналитиков SOC 🛡 В общем, годная история.

#mitre #визуализация

Пост Лукацкого

06 October 2025 19:51

Читаю тут книгу (потом напишу мини-обзор), которая имеет опосредованное отношение к безопасности. И вот там приводится пример, как кардиологи ❤️‍🔥 американского вице-президента Дика Чейни отключили функцию удаленного управления на вживленном ему электрокардиостимуляторе, опасаясь негативных последствий возможной кибератаки. Это было еще до соответствующего сюжета в сериале "Родина", но уже после известного доклада Барнаби Джека про возможность удаленного взлома инсулиновых помп у диабетиков и кардиостимуляторов у сердечников... 💔

О, чудный, новый мир… По мере старения человечества, роста медтеха 💉 и внедрения биохакинга в нашу жизнь, киберпанк становится все ближе и не за горами массовое внедрение чипов, подключенных к Интернет/приложениям, в человеческие организм. А это ставит совсем новые вызовы и задачи для ИБ, которая привыкла к тому, что на хостах ставятся тяжеловесные сенсоры, которые грузят процессоры излишней работой и анализом событий в реальном времени ⌛ А все это жрёт ресурсы, которых на автономных IoT-устройствах (кардиостимуляторах и т.п.) просто нет. И значит нужны совершенно новые подходы к ИБ, которые будут применимы и к корпоративным сетям, и к личным устройствам, и к IoT-сенсорам и датчикам. Что-то легковесное, что будет требовать меньше энергопотребления, решать базовые задачи, а за сложной аналитикой ходить в облака, где и будет решаться основной пласт активностей по обнаружения чего-то опасного и вредоносного 🤔

#уязвимость #iot #недопустимое #модельугроз

Пост Лукацкого

06 October 2025 11:34

Европейская ENISA выпустила новый отчет о киберугрозах на страны ЕС, охватывающий период с 1 июля 2024 по 31 июня 2025 года. Отчет базируется на 4875 инцидентах, объединяющих случаи как из открытых источников, так и добровольно предоставленных странами ЕС и их партнерами. Из интересных моментов я для себя выделил несколько:
1️⃣ Идет смешение типов хакеров и стирание границ между ними – хактивисты, киберкриминал, прогосударственные APT... Это к разговору о том, что при моделировании угроз фокусировка на том, кто вас атакует, уже теряет смысл, так как инструментарий у многих схожий, техники и тактики тоже, и группы пользуются услугами других групп и типов хакеров. Да и атрибуция усложняется 👮‍♀️
2️⃣ Интересный термин ввели "фейктивизм", когда прогосударственные группировки прикрываются имиджем хактивистов 🥷
3️⃣ Активное таргетирование мобильных устройств, особенно на базе Андроида – RAT-ы, банковские трояны, шпионское ПО, манипуляции QR-кодами и атаки на мессенджеры 📱
4️⃣ Использование ИИ при генерации фишинга не новость, но значение в > 80% я раньше не видел.
5️⃣ 79,4% всех инцидентов носят явную идеологическую окраску. Как по мне, так это было лишнее для отчета по киберугрозам и скорее отдает заказухой и очередным разговором о том, что все зло идет из России (формирование образа врага).
6️⃣ Из новых методов атак отмечаются ClickFix, троянизированные репозитории, подмененные пакеты в экосистемах ML/ИИ и расширения браузеров как точка входа и распространения вредоносного ПО 🦠

Все остальное не то, чтобы и новое и интересное.

#статистика #тенденции

Пост Лукацкого

05 October 2025 20:04

Когда никакой хакер, проникший в дом, не страшен, так как для доступа к банковским счетам ему придется пройти последний рубеж обороны. И это не какая-то там MFA, а что-то пострашнее 🐈

PS. Спасибо подписчице за присланную фотографию своего домашнего киберохранника 🐱

Пост Лукацкого

05 October 2025 13:13

Ну и финальный прогноз с позавчерашней панельки GIS Days уже про более приземленные вещи – блокировки мессенджеров, необходимость самообразования, а также создание собственной библиотеки книг по ИБ 🤔 Всего 1 минута. На сим тему с прогнозами пока заканчиваем.

#тенденции #видео

Пост Лукацкого

04 October 2025 19:48

В это воскресенье, то есть завтра, в 11 утра по Москве, буду участвовать в эфире IT Radio 🎙, где коллеги обсуждают различные новости по ИБ и ИТ за прошедшую неделю. В этот раз пригласили и меня. Не знаю, что я могу сказать доброго в воскресенье в 11 утра, но что-то да скажу. Так что если вы не сова, а жаворонок, то приходите онлайн; а если сова, как я, и вам интересно новости слушать вместе с комментариями экспертов, то можно будет послушать запись ⏺️

Пост Лукацкого

04 October 2025 13:17

Первый прогноз с вчерашней панельки GIS Days про глобальную аналитику, искусственный интеллект, летние нашумевшие взломы и свалку истории 🤔 Всего 4 минуты.

#тенденции #видео

Пост Лукацкого

03 October 2025 19:41

Везде знаки… Особенно, когда ты видишь такой баннер напротив здания ФСТЭК...

#риски

Пост Лукацкого

03 October 2025 15:42

Знаете ли вы как квантовая физика может объяснить происходящее в ИБ и с ИБшниками? 🤔 Например, принцип суперпозиции, когда частица может находиться в нескольких состояниях одновременно, пока ты ее не измеришь. Так и у начинающего ИБшника возможны все сценарии развития и все возможные карьерные треки одновременно, но реализуется только тот, который он выберет, на который настроится, по которому будет действовать. И как он настроен на него, такого результата он и достигнет 🚶‍♂️ В квантовой механике измерение формирует результат. Настроился на успех – сформировал путь к нему. Настроился на неудачу и "у меня не получится", "меня не понимают", "в моем городе нет перспектив" – ну, извини, чувак, это был только твой выбор, ты сам его сделал и ты получил ровно то, что хотел 🎓

Есть так называемый эксперимент с двумя щелями, в котором простое наблюдение меняет поведение частиц 👉 Иными словами, ты не просто наблюдатель за событиями, ты автоматически становишься их соавтором. Смотришь на ИБ как на возможность – получишь именно их; смотришь как на жопу и ворох проблем – ну, опять извини, чувак, ты сам этого хотел, сам об этом думал, сам притянул 🦆

Идем дальше 💆‍♂️ Квантовая физика говорит, что наш мир работает не через причинно-следственные связи, а через вероятности и полной предсказуемости нет. Даже при одинаковых входных условиях, результат может сильно отличаться. А все потому, что помимо очевидных вещей, есть и неочевидное, но влияющее, – настрой, окружение, ожидания и т.п. И в таком случае удача или неудача – это не про везение, а про очередной пример вероятностной картины мира 🤹 Если тебе не подняли зарплату или ты не понял, почему регулятор действует именно так, это не потому что ты слоупок, не достоин или "регуляторы – уроды". Просто так случилось именно сейчас; это просто одна из вероятностей. Измени настрой и вероятности тоже поменяются 😼

Наконец, квантовая запутанность, то есть состояние двух частиц, которые остаются связанными даже на огромном расстоянии и изменение одной частицы приводит к изменению другой 🐇 Когда ты любишь свое дело, ты находишься в состоянии потока или тебя просто прёт, то кажется, что тебе "везет" – все складывается настолько хорошо, что удача сама идет к тебе в руки. Но это не мистика, это квантовая запутанность. Настроился на позитив – притягиваешь его и все идет хорощо. Настроился на негатив и... 🗜

Удача – это не случайность. А неудача – это просто сигнал, что ты не в том состоянии. Измени его и тебя накроет позитивом ⛺️ Измени свое отношение и оно начнет влиять на окружающий мир. Атак может быть не станет меньше, если ты будешь мечтать об этом (тут я не настолько прогрессивно мыслю, хотя хрен его знает), но жить точно станет легче, перспективнее и результативнее. Поверьте моему опыту – так все и работает 🤔

А вообще я не физик, а математик и могу ошибаться. Но лучше ошибаться и думать в позитивном ключе, чем быть «реалистом» и прозябать на свалке истории 😎

#рефлексия #наука

Пост Лукацкого

03 October 2025 06:40

Мне в последнее время часто задают вопрос в личке: "Какой ВУЗ выбрать, чтобы стать специалистом по ИБ?" ❓ Если честно, то я не тот человек, который может дать ответ на этот вопрос и тому есть несколько причин. Во-первых, я сам поступал в ВУЗ 30+ лет назад и тогда на гражданке ИБшных специальностей не было вообще. А во-вторых, за это время ситуация кардинально поменялась и в образовании вообще и в ИБ в частности. Но раз уж меня спрашивают и часто, то лучше напишу заметку, чтобы давать ссылку на нее ✍️

Сегодня в России действительно есть профильные программы по информационной безопасности: в МГУ, МФТИ, МИФИ, МГТУ им. Баумана, СПбГУ, ИТМО, РТУ МИРЭА, Центральном Университете, Иннополисе и многих других ВУЗах 👨‍🏫 Почти в каждом крупном техническом университете можно найти кафедры или магистратуры по ИБ. Но ключевой момент в том, что сам факт поступления в "правильный ВУЗ" не сделает из студента специалиста. Университет дает базу (ее еще тоже надо уметь понять и принять): математику, алгоритмы, понимание архитектуры систем, базовую криптографию и сетевые технологии 👨‍🎓

Кибербезопасность – это область, которая быстрее любой академической программы 👩‍🎓 меняется под давлением времени, реальных атак, технологий и нормативки. Поэтому ценность для будущего специалиста в том, чтобы:
➡️ участвовать в практических соревнованиях (CTF, хакатоны, кибербитвы),
➡️ проходить стажировки в ИБ-компаниях или ИТ-департаментах,
➡️ пробовать себя в bug bounty, искать уязвимости,
➡️ работать руками с SIEM, EDR, SOC-процессами.

Те, кто с первого курса совмещает учебу с практикой 👩🏼‍🔬, обычно вырастают в сильных специалистов к моменту выпуска – вне зависимости от "брендовости" диплома. И вообще, ИБ – это профессия с "вечным" обучением. Новые уязвимости, новые методы атак, новые стандарты, новые ведомственные приказы, новые регуляторы. Даже если человек получил блестящую теоретическую подготовку, через пару лет без саморазвития его знания устареют ❔ Поэтому главное – выработать привычку учиться: читать отчеты вендоров, проходить онлайн-курсы, получать локальные или международные сертификаты (как способ систематизации знаний, а не получения корочек), обмениваться опытом в профессиональном сообществе 🤝

Где учиться помимо ВУЗа?
➡️ Онлайн-платформы: Coursera, Stepik, Udemy, Skillbox, "Нетология" и т.п.
➡️ Лаборатории и песочницы: Standoff Cyber Bones, HackTheBox, TryHackMe и т.п.
➡️ Сообщества: конференции (PHDays, OFFZONE, CTF), телеграм- и дискорд-группы (пока это все не заблокировали), локальные митапы 👨‍🔬

Хорошая программа по ИБ в университете – это стартовая точка 👨🏻‍🎓 Но успех в профессии зависит от того, как человек учится сам: насколько активно ищет практику, пробует новое, ошибается и делает выводы. Из ИБ-специалиста "делает" не диплом, а проекты, задачи и постоянное саморазвитие. Резюмируя: важен не ВУЗ, а путь 🤔 Да, это вроде очевидная мысль, но вопрос: "Куда поступать?" все равно задают.

#обучение

Пост Лукацкого

02 October 2025 15:41

Презентация по упрощенной схеме финанасовой 🍍 оценки ущерба от инцидентов ИБ, которую я читал на КибеРИТорике в Питере 🧮

#презентация #ущерб

Пост Лукацкого

02 October 2025 06:40

Прекрасное подогнал коллега из "the capital of Great Britain" 🇬🇧 В метро прекрасная реклама по ИБ, которая прям очень красиво обыгрывает английский язык, попутно показывая, что кибербезопасность - это не только и не столько про нормативку 🤔

#маркетинг #регулирование

Пост Лукацкого

01 October 2025 15:41

Выкладываю презентацию по когнитивным искажениям (некоторым) в деятельности ИБшника с Positive Tech Day в Санкт-Петербурге 🤯

ЗЫ. Остальные презентации уже тоже на сайте.

#презентация #психология

Пост Лукацкого

01 October 2025 06:39

В середине 20-го века кибернетик Росс Эшби сформулировал закон необходимого разнообразия, суть которого в том, чтобы эффективно контролировать систему, управляющий орган 👉 должен обладать достаточным набором состояний, сопоставимым с числом возможных состояний управляемой системы. Иными словами, если внешняя среда или объект, которым мы управляем, может вести себя множеством способов, то и управляющий механизм должен быть способен реагировать столь же разнообразно, иначе он будет неэффективен. Закон этот применим во многих сферах - в управлении организацией, в биологии и, конечно же, в ИТ и ИБ 🛡

Например, согласно этому закону если атакующий может использовать сотни векторов атак, а защитник строит оборону только от трех-четырех сценариев, то защита будет слабой и неэффективной 🔓 Чтобы быть адекватным угрозам, защита должна обладать сопоставимым "разнообразием" средств: мониторинг, сегментация, резервирование, сценарное моделирование, автоматизация, обучение пользователей, патч-менеджмент, предотвращение угроз, харденинг и т.п. (изучайте, мать его, проекты MITRE - ATT&CK, D3FEND, SHIELD и иже с ними – они как раз для этого и существуют) То есть наличие широкого спектра защитных мер и средств – это не блажь, а требование закона, по которому существует Вселенная 🤹

Отсюда вроде как возникает очевидная проблема – система управления ИБ должна быть не менее сложной, чем множество управляемых ею сущностей 🧘‍♀️ Но мы же все хотим простоты, которая подразумевает, что система управления ИБ будет максимально унифицированной, автоматизированной, работать по нажатию "одной кнопкой". То есть набор возможных реакций должен быть предельно ограничен, что вступает в конфликт с законом Эшби. Но в реальности все немного иначе 😂

Система может казаться простой снаружи ("одна кнопка", "обнаружить и остановить", автономный SOC), но внутри нее работает множество правил, алгоритмов и сценариев реагирования 🎮 Пользователь видит простое управление, а "разнообразие" скрыто в алгоритмах. Также, не обязательно, чтобы "одна система" содержала все разнообразие. Можно распределить его между слоями: часть ответственности – у продукта ИБ, часть – у SOC, часть – у облачного сервиса. В итоге совокупность экосистемы покрывает разнообразие угроз 🤕

Невозможно создать реально эффективную "одну кнопку" 🔲, которая бы решала все вопросы ИБ. Но можно создать интерфейс одной кнопки, за которым скрывается "оркестр" механизмов, соответствующих закону необходимого разнообразия. Без тех же SIEM/SOAR/мета-продуктов/whatever оператор не смог бы эффективно управлять всем разнообразием: слишком много средств, слишком много сигналов тревоги, слишком много возможных вариантов реагирования – блокировать, детектировать, предупреждать, помещать в карантин, шифровать, изолировать, уведомлять, патчить, контратаковать и т.п. 🚫 Человек бы "тонул" в событиях. SIEM и SOAR – это как раз инструменты реализации закона необходимого разнообразия на практике. Они делают так, чтобы у организации был достаточный набор реакций на угрозы, но при этом оператор не утонул в сложности 🤔

Так что в следующий раз, когда пойдете за защитой бюджета на SIEM 🧬 или SOAR 🚘, ссылайтесь на доказанный математический закон! Вдруг сработает?!

#наука

Пост Лукацкого

30 September 2025 15:42

В Дэчжоне (Южная Корея) 🇰🇷 пару дней назад произошел масштабный пожар в Национальной службе информационных ресурсов (NIRS) – ключевом государственном дата-центре, который представляет собой некий аналог наших Госуслуг. Возгорание началось при перемещении литий-ионных батарей источников бесперебойного питания (UPS): одна из них вспыхнула (в итоге нахрен сгорели все 384 батареи), огонь быстро охватил соседние модули, температура в серверных поднялась до 160 °C 🔥

Масштаб ущерба по первоначальными прикидкам нехилый: 💥
➖ Пострадало 647 государственных информационных систем.
➖ 96 из них – "Grade 1", то есть ключевые, от функционирования которых зависят критически важные сервисы, среди которых налоговые системы, государственные порталы, сервисы идентификации граждан, системы статистики и закупок.
➖ На момент публикации восстановлено лишь ~11% сервисов, работу части систем перенесли в другие центры.
➖ Восстановление может занять до 1 месяца (по предварительным оценкам).

Правительство Южной Кореи признало, что планы аварийного восстановления были недостаточными 🖕, а концентрация столь важных сервисов в одном ЦОД создала "единую точку отказа". Очередной президент (после череды импичментов и посадок местных главнокомандующих я уже потерялся в их именах; то ли дело в стабильных экономиках типа Северной Кореи или России) заявил, что он шокирован произошедшим и не ожидал, что страна, претендующая на лидерство в сфере высоких технологий так накосячит, доведя ситуацию до недопустимой (так и сказал) 🤬

Меня в этом кейсе интересует ситуация с кибербезопасностью 🛡 Деталей немного, но вот что удалось найти в разных источниках:
➖ Национальная разведка повысила уровень киберугроз: в условиях хаоса злоумышленники могут воспользоваться уязвимостями во временных или обходных схемах восстановления. Это скорее косвенный признак затронутости контуров ИБ, имеющихся в сгоревшем ЦОДе.
➖ Власти заявили, что "99% ключевого оборудования безопасности" уже восстановлено, но конкретные ИБ-системы не названы и что относится к ключевым не очень понятно 🤷‍♀️
➖ Эксперты, комментирующие инцидент, отмечают, что подобные инциденты иллюстрируют неотделимость кибербезопасности от физической инфраструктуры – пожар или сбой питания могут привести к коллапсу цифровых сервисов, открытым "окнам реализации угроз" и увеличившейся площади атаки ☺️

Длившийся 22 часа пожар в NIRS стал не только технологической, но и ИБшной катастрофой: миллионы граждан временно остались без онлайн-госуслуг, а государству пришлось срочно усиливать защиту и пересматривать планы резервирования и отказоустойчивости 🍑 Ну а мы все получили очередной очевидный урок – распределенная архитектура и реальные планы disaster recovery должны быть обязательными, иначе один инцидент может парализовать целую страну 🌎

#инцидент #недопустимое #непрерывность #киберустойчивость