Автоматизация?! Нет, не слышали. Лучше наймем еще двух ИБшников.
Автоматизация - это хорошо, но всегда стоит быть готовым к ответу на два вопроса:
1️⃣ А если вместо покупки средства автоматизации мы наймем «полтора землекопа», не добьемся ли мы того же эффекта?
2️⃣ Сколько времени пройдет и сколько ресурсов надо затратить, чтобы мы стали получать эффект от автоматизации?
Если копнуть глубже, то 2 вышеупомянутых вопроса могут быть расширены следующими:
1️⃣ Могу ли я нанять полтора землекопа в своем регионе?
2️⃣ Есть ли у меня бюджет на найм/ФОТ или деньги могут быть получены только на закупку софта/железа (это совсем разные статьи бюджета)?
3️⃣ Кто будет решать стоящие задачи, пока мои бойцы переучиваются на купленное средство автоматизации?
4️⃣ Кто будет настраивать купленное средство автоматизации под мои задачи и интегрировать его в мою инфраструктуру?
Выглядит такое фейковое сообщение по радио так. Однако совет МЧС следить за официальными источникам выглядит немного странновато. Я вообще кроме "Российской газеты" и сайта publication.pravo.gov.ru ничего и не вспомню сходу 🤔 И уж точно, когда я услышу такое по радио, я не пойду гуглить, - время слишком дорого.
В общем, шороху такой фейк может навести немало, как мне кажется. По крайней мере в городах, в которых с таким раньше не сталкивались. Это в Белгороде реакция у людей немного пофигистическая судя по разным видео... Ну так они там постоянно под ударом живут 😰
А радиостанции и телевидении так и не включили в список КИИ. Хотя в КСИИ они раньше входили
Читать полностью…А вы как выбирали ваши цели ИБ на 2023-й год? В соответствие с целями бизнеса, регуляторики, как господь на душу положит или у вас целей вообще нет?
Если последнее, то как вы тогда предполагаете понять, что вы двигаетесь в правильном направлении?
Меня пригласили поохотиться. Я не охотник. На тигра не ходил, максимум - на утку, и я решил пройти курсы подготовки. После долгого поиска я нашел два курса. Выбрать было трудно, на бумаге легко соврать, поэтому я решил сходить в оба места, что “пощупать руками”.
То, что я увидел заставило меня серьезно задуматься и пристально всмотреться в зеркало. Что же я нашел?
Первые курсы были расположены в шикарном офисном центре, там светлые просторные классы, жизнерадостные и розовощекие тренеры, в галстуках, модных костюмах.
Они все знают про трафик и конверсию, могут посоветовать модный цвет ружья, предлагают большой выбор очков с фирменной символикой, очень доходчиво показывают, что охота на тигра состоит из трех простых шагов:
1) зайти в лес и найти тигра
2) навести ружье и нажать на курок и
3)-й шаг - самый главный - сделать селфи, и разместить его в интернете с упоминанием курсов. Не забыть улыбнуться. Можно поставить ножку на голову тигра.
"...
• Кстати, вот у нас тут есть плюшевый тигр, можно потренироваться - как ставить ножку и делать селфи.
• Первое занятие - бесплатное, и на нем вам объясняют, что ваше главная цель - селфи в инстаграме, иначе нет смысла.
• Кстати, если вам кажется, что цена дороговата, то в течении месяца можно вернуть деньги....”
Я с энтузиазмом сходил на первое занятие, и был вдохновлен. Меня все устроило. Тренеры прекрасны, технология понятна, польза очевидна. Однако, я решили сходить на вторые курсы, для успокоения совести.
Вторые курсы оказались далеко за городом. Более того, чтобы попасть туда, надо было еще ехать от деревни в лес на тракторе. Потому, что даже мой джип не попал бы туда.
Когда я приехал, то вместо офиса увидел стремного вида избу, окруженную какой-то немыслимой полосой препятствий из фильма про Хищника. Я вошел внутрь, не увидел никакого ресепшн, никто не предложил мне смузи или даже сесть.
Посреди избы стоял седой, угрюмого вида человек, даже скорее мужичок, который сосредоточено чистил какую-то чудовищную зверовидную винтовку. Было совершенно очевидно, что винтовка предназначена для динозавров.
Он не прореагировал на мое появление, молчание стало неловким. Я поздоровался, и сказал, что хочу разузнать про курсы охоты на тигров.
Мужичок перевел взгляд на мои хипстерские кеды, и взглянул мне прямо в глаза (что было неприлично, несомненно). Взгляд его был тяжел и неприятен.
- Зачем тебе тигр? - спросил он низким грубым голосом. Кстати, он сразу обратился на “ты”, хотя никто ему такого права не давал.
Я понял, что зря приехал, что передо мной какой-то мужлан, и трудно ожидать от него дельного совета - "Как ставить ногу на голову тигра во время селфи?"
Но путь был длинный, и я решил не отступать.
- Мне показалось это забавным! Много знакомых сказали, что хватит играть в игры, нужно пойти на настоящего тигра.
- И чего ты хочешь? Какова твоя цель?
- Ну, я хотел бы сделать фотографию, это, знаете ли, повышает мою экспертность!
В ответ на мою вполне дружелюбную реплику, он мерзко захохотал и сказал:
- У тебя неправильная цель. Тебе не подойдут наши курсы.
Хотя я уже совершенно точно не планировал здесь ничему учиться, не скрою, мое самолюбие было немного задето, и я нашел в себе силы уточнить:
- А какая по-вашему правильная цель?
Я осознавал, что в этом вопросе была ловушка. Вы же понимаете - у разных людей могут быть разные цели. Не бывает целей правильных или неправильных. Сейчас этот неотесанный чудак начнет впихивать мне свою доморощенную философию.
- Когда идешь на тигра, единственная правильная цель...
ФСТЭК снижает требования по уровню образования для защиты КИИ. Теперь можно будет не только с высшим образованием. И это хорошо. Еще бы в профстандарты для госов это включить…
Читать полностью…Если вам лень читать приказ ФСБ №77 об уведомлении НКЦКИ об инцидентах с ПДн, то его краткое содержание таково:
1⃣ Вступает в силу с 1-го марта 2023 года
2⃣ Разработан во исполнение 152-ФЗ, который требует от 6 миллионов операторов ПДн (все ЮЛ и ИП в России) уведомлять об инцидентах с ПДн.
3⃣ Субъекты КИИ и ФСТЭК направляют данные об инцидентах в ГосСОПКУ в течение 24 часов с момента обнаружения инцидента по каналам и форматам, определенным НКЦКИ. Порядок такой же, что и для субъектов КИИ
4⃣ Остальные операторы ПДн направляют данные об инцидентах в течение 24 часов с момента обнаружения инцидента через сайт Роскомнадзора. Роскомнадзор передает затем эти данные в НКЦКИ.
5⃣ Операторы ПДн могут обратиться в НКЦКИ за помощью в реагировании на инциденты.
⚡️Порядок взаимодействия операторов ПДн с ГосСОПКА
Официально опубликован приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
📆 Документ вступает в силу 01.03.2023.
250 миллионов долларов - ущерб от кибератаки на одного из поставщиков полупроводникового гиганта Applied Materials. И это не стоимость выкупа, а стоимость простоя подрядчика, в результате которого компания недополучит прибыль. Такое вот недопустимое событие. И как этот риск оценивать для не своей организации? Сам ты можешь быть защищен, а вот твои контрагенты?.. Вопрос supply chain становится все более важным при обеспечении ИБ.
Читать полностью…Священник не должен раскрывать тайну исповеди своих прихожан. Адвокат не раскрывает того, что ему раскрыл доверитель. Венеролог соблюдает врачебную тайну и никому не сообщает о болезнях своих "клиентов".
С другой стороны, в определенных законом случаях медики обязаны информировать полицию о поступлении к ним пациентов, в отношении которых имеются подозрения о факте совершения ими, либо в отношении них, преступления. Также врачи могут сообщать третьим лицам информацию, являющуюся врачебной тайной, при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений.
Очевидно, что специалист по ИБ, привлеченный к расследованию того или иного инцидента не должен делиться результатами своей работы со всем миром (или не очевидно?). Но что, если в рамках форензики становится понятно, что за инцидентом стоят спецслужбы другого государства? Надо ли делиться таким знанием с отечественными спецслужбами, не взирая на желание или нежелание клиентов?
ФБР подломали. Уже не первый раз. В ноябре от их имени уже рассылали фейковые предупреждения о компьютерных атаках. У нас пока только РКН сталкивался и достаточно активно комментировал ситуацию с фейковыми письмами от имени себя. Интересно, у других регуляторов есть план на такие ситуации? А пока официальные лица ситуацию не комментируют.
Читать полностью…Как сказал вчера Главнокомандующий, каждый россиянин - защитник. Так что с праздником всех причастных, сопричастных и деепричастных!
Читать полностью…Я уже писал, что читаю лекции в ВШЭ на курсе по комплайенсу в области персональных данных. Так вот на последней лекции, рассказывая о ПП-1119 по определению уровня защищенности ПДн, я вместо использования термина "недекларированные (недокументированные) возможности" стал использовать сокращенное "закладки". Как по мне, так оно более понятно и также отражает суть того, что указано в ПП-1119. После лекции ко мне обратилась одна слушательница и спросила, какое отношение наркотические средства имеют к ПДн? Я сначала не понял, но потом слушательница объяснила, что она имела ввиду закладки наркотиков...
А на днях, на Уральском форуме, коллега рассказал, что когда он рассказывал своим топам про шифровальщики и использовал термин "ransomware", один зампред спросил его: "А зачем и куда надо бежать?" На недоуменный взгляд последовал ответ: "Ну вы же говорили "run somewhere" 🤠
По радио вчера упоминали один российский SOC; так ведущий, не зная, как произнести «СОК», озвучил как «ЭсОуСи», что полностью изменило звучание всей новости 🤪
Это к разговору о профессиональном сленге и необходимости упрощать свою речь, общаясь с непрофессионалами 🧐
❗️❗️В результате хакерской атаки на серверы ряда коммерческих радиостанций в некоторых регионах страны в эфире прозвучала информация о якобы объявлении воздушной тревоги и угрозе ракетного удара.
❗Данная информация является фейком и не соответствует действительности.
☎️Убедительная просьба следить за сообщениями в официальных источниках.
@mchs_official
А вы знали, что в США скоро примут свой 250-й Указ? Он тоже будет про топов, отвечающих за ИБ, и про лучшие практики ИБ в организациях, и про уведомление об инцидентах... Только вот его проект выложили в прошлом марте и дали год на подготовку к нему и 2 месяца принимали замечания и предложения. А так-то все тоже самое 😊
Читать полностью…...не сдохнуть! Не дать тигру себя убить!
Не скрою - эта версия не приходила мне в голову, и не то, что поразила меня, но оставила осадок. Мужичок был все более омерзителен.
- В каком смысле? - уточнил я.
- В смысле, что ты его еда. Тигра. Дичь, пища, мясо. Ты приходишь к нему в дом, он тебя жрет, а сначала убьет. В такой последовательности. Если повезет.
- Но позвольте, когда мы находим тигра….
- Не позволю. Ни один идиот не пытается искать тигра. А те, кто пытались - перестали быть идиотами. Навсегда.
- Но как же мы будем его искать?
- А мы не будем его искать. Мы будем тихо сидеть в засаде рядом с приманкой, и смиренно молиться, чтобы мы увидели тигра раньше, чем он увидит нас.
- И что потом? - спросил я с неприятным чувством. Мне почему-то представился тот жизнерадостный тренер… в лапах тигра.
- А потом я буду в него стрелять?
- Из этого? - с ужасом спросил я, указывая на пушку на столе.
- Нет, это на медведя. Вот из этого! - сказал он, и достал из под стола оружие, прототип которого я видел только в руках Шварценеггера, когда он играл Терминатора.
Я помолчал, обдумывая услышанное, а потом спросил - Вы сказали, что вы будете стрелять? А я стрелять не буду?
- Будешь…. - он помолчал, передернул затвор с характерным звуком, и добавил. - После меня… на всякий случай. - и улыбнулся.
Его улыбка была одобряющей и приятной, но что-то в ней было…. тигриное. И мне не понравилось, как он на меня посмотрел. Я почему то почувствовал себя едой.
Когда я ехал домой, то много думал на словами пожилого охотника. Уже дома я сделал свой выбор. (с) Алекс Крол
Выбирая курсы по ИБ, подумайте, зачем они вам, - повысить свою экспертность и продать себя подороже или не стать едой для тигра?
Только 2,6% пользователей Twitter используют двухфакторную аутентификацию; из них 74% используют одноразовые коды по SMS. Twitter решил заработать бабла на них или у него задача - еще больше снизить число тех, кто пользуется 2FA (хотя это 2SV, а не 2FA)?
С другой стороны Маск в декабре рассказывал, что анализируя финансовые показатели Twitter, он выяснил, что компания ежегодно теряла около 60 миллионов долларов на мошенничестве со стороны недобросовестных операторов связи, которые пользовались всяческими ботами, заставляя Twitter отправлять дорогостоящие SMS для двухфакторной аутентификации.
Надо признать, что это все равно неоднозначное решение… Бороться с мошенничеством в компании, подвергая миллионы пользователей риску угона учетных записей?.. Нууу, такое. Даже несмотря на то, что уже все знают, что 2FA через SMS - это небезопасно. Надо посмотреть, куда это все заведет Маска.
На Уральском форуме я вел закрытую секцию с ФинЦЕРТ, на которой представители ДИБ Банка России отвечали на вопросы отрасли. С разрешения регулятора, за что им спасибо, я собрал все ответы и публикую их в блоге.
Читать полностью…Госдума предлагает вернуться к вопросу о запрете удаленной работы для некоторых сотрудников IT-компаний. Об этом сообщает «Интерфакс».
В перечне должностей, которые могут попасть под запрет, оказались специалисты, обслуживающие государственные информационные системы (ГИС), системы объектов критической информационной инфраструктуры (объекты КИИ), оборот персональных данных в компаниях.
В рекомендациях для Минцифры предлагается совместно с Госдумой проработать вопрос о запрете удаленной работы для IT-специалистов, выехавших за пределы России после начала специальной военной операции на Украине. Уточняется, что речь идет о работе, связанной с разработкой, внедрением и администрированием государственных информационных систем, а также информационных систем объектов критической информационной инфраструктуры.
Mandiant (подразделение Google) выпустило отчет о важности Threat Intelligence, в котором есть интересные цифры:
1️⃣ 79% бизнес- и ИТ-лидеров принимают решения без учета и понимания тех угроз и нарушителей, которых против них действуют. А вот среди ИБ-руководителей таких всего 4%.
2️⃣ 67% респондентов считают, что их топ-менеджмент недооценивает киберугрозы
3️⃣ 62% респондентов рассказали, что их команды ИБ делятся данными об угрозах с сотрудниками компании
4️⃣ 47% не могут доказать своим топам эффективность своих программ ИБ.
5️⃣ Россия попала на первое место среди стран, которую опасаются больше всего в киберпространстве и от которой не смогут защититься
6️⃣ С топами респонденты общаются о киберугрозах в среднем каждые 4 недели, с бордом - каждые 5, с инвесторами - каждые 7, с сотрудниками - каждые 5!
7️⃣Самым популярным источником данных об угрозах стали ISACи (аналоги наших ГосСОПКИ и ФинЦЕРТа), внутренние команды и специализированные поставщики TI
8️⃣Финансовые организации, здравоохранение и госуха больше всех нуждаются в улучшении своего понимания ландшафта угроз
9️⃣На первое место с точки зрения сущностей TI, которые важны в ИБ, вышли TTP и инструменты хакеров. На второе - их мотивация, а на третье - их атрибуция.
Рекомендации Mandiant для более эффективного использования Threat Intelligence и использования его в принятии более обдуманных и эффективных решений:
1️⃣ Превращение Threat Intelligence в целостную программу, а не тупое получение IOCов
2️⃣ Идентификация угроз, действующих не только против организации, но и против отрасли, в которой она работает
3️⃣ Обмен информацией об угрозах с работниками компании и бизнес-подразделениями
4️⃣ Оценка уязвимостей с последующей их приоритизацией
5️⃣ Проведение пентестов и Bug Bounty с целью оценки реальной защищенности компании
6️⃣ Прогнозирование угроз
Поделился впечатлениями с Уральского форума, который отпочковался от Магнитки и пустился в собственное плавание. По каким-то позициям он проигрывает своему прародителю, по каким-то обходит. Через неделю Магнитка с новой программой, с новым регулятором-куратором, но на старом месте. Интересно будет сравнить два новых старых мероприятия.
Читать полностью…Знакомая история. Ты начинаешь читать одну умную книжку, по окончании которой даешь себе слово начать внедрять написанное. Но потом ты начинаешь читать книги, на которые даны ссылки в первой, и это превращается в бесконечный процесс. Так до реализации дело и не доходит…
Что лучше - перфекционизм (а может под ним скрывается прокрастинация?) или MVP?
Забавное наблюдение. Будучи рядовым ИБшником, человек ругает своего CISO за то, что тот не ценит кадры, не награждает их (не то что премией, но даже добрым словом), не дает развиваться и расти. Но становясь CISO, бывший рядовой ИБшник, делает все тоже самое…
Читать полностью…Как банковские ИБшники ощущают себя после Уральского форума 😊 А может и не только после Уральского, а после любой конференции с участием регуляторов, презентующих не отмену своих нормативов, а разработку новых ✍
Читать полностью…😮 О, это популярная тема. Заказывают стратегию ИБ, но не уточняют, куда надо прийти и из какого состояния (какие проблемы надо решить). А как можно тогда написать стратегию, если нам непонятна ни конечная точка, ни начальная?
Читать полностью…