Пост Лукацкого

18 июня 2025 06:50

2️⃣3️⃣ Упоминаются ИС, их сегменты, выполняющие значимые функции на предприятии; Все это в контексте установления сроков восстановления после нарушения функционирования. Но дальше упоминания дело не пошло, что и понятно, - ФСТЭК не имеет классификации таких систем, в отличие от классов защищенности ИС, для которых как раз сроки восстановления четко установлены - 24 часа для систем 1 класса, до 7 дней - для 2-го и до 4 недель для 3-го класса (хотя этот срок выглядит странновато в нынешних условиях). ПО и железо, отвечающее за значимые функции, должно быть в отказоустойчивой конфигурации. Срок проверки возможности восстановления выполнения значимых функций должен проводиться не реже 1 раза в 2 (!) года. Ну такое себе, если честно ☺️ На фоне уничтожения инфраструктур многих госорганов и коммерческих компаний в последние месяцы такой срок выглядит также странновато. Но с другой стороны, все-таки это больше ИТшная тема, не ИБшная и ФСТЭК просто обращает внимание на необходимость резервирования ключевых систем и проверки возможности их восстановления.
2️⃣4️⃣ Для обучения пользователей впервые на моей памяти упоминается геймификация (обучающие игры), а также антифишинговые симуляции 🎣 Правда срок оценки уровня знаний пользователей установлен - не реже одного раза в 3 (!) года. Хорошо, хоть есть еще добавление “или после компьютерного инцидента”.
2️⃣5️⃣ Много написано про работу с подрядчиками, но я про это буду говорить на ближайшем вебинаре 26 июня.
2️⃣6️⃣ Для защиты от DDoS-атак 💣 надо, помимо прочего, взаимодействовать с ГосСОПКА и ЦМУ ССОП (тоже новация). При этом защита должна строиться с привлечением операторов связи или провайдеров хостинга, а также специализированных антиDDoS-провайдеров, центры очистки которых располагаются только в России 🇷🇺
2️⃣7️⃣ Есть раздел про безопасность ИИ, но тут скорее всего стоить ждать более подробных методичек 🪧
2️⃣8️⃣ Большое внимание уделено вопросам проверки достаточности принятых защитных мер. В ГИСах - это, как минимум, аттестация по 77 приказу ФСТЭК. Для остальных список возможных вариантов шире - выявление уязвимостей с последующей экспертной оценкой возможности их использования (пентест или багбаунти 🐞), выявление несанкционированно подключенных устройств, использование решений класса BAS, киберучения. Все эти меры должны проводиться не реже одного раза в три года (опять!!! 😭) или после инцидента (уже лучше). Отчет о контроле защищенности должен направляться в ФСТЭК (не очень понятно, как это выполнять при непрерывном контроле защищенности, но, видимо, отправлять хотя бы раз в квартал или раз в полгода).
2️⃣9️⃣ Итоговой таблицы с указанием защитных мер применительно к конкретным классам защищенности в 117-м приказе нет, что и хорошо. Она и раньше скорее рекомендовала набор защитных мер, а не устанавливала обязательный минимум. Сейчас этот минимум, названный, базовыми защитными мерами, прописан просто в тексте списком 🔚

Так, обошлось без 117 пунктов, но тоже немало. Заметил, что коньяк на меня действует как-то по особенному - я начинаю творить всякую дичь Обычно я на текст по какой-то теме больше одного поста не трачу, а тут целых три! 💪

Текущая версия требований по защите, прищедшая на смену 17-му приказу, стала, как по мне, более практичной, и описывает не только “ЧТО” должно быть сделано, но и “КАК”. Да, не по всем защитным мерам и мероприятиям это раскрыто, но ключевые вещи, отсутствие которых приводило к известным и не очень инцидентам 🔓, в приказе описаны. При правильной его реализации уровень ИБ в стране точно должен повыситься. Главное, чтобы ресурсы выделяли на реализацию требований приказа и люди были, которые смогут это все реализовать. Но это уже не к ФСТЭК 🗂

#регулирование

Пост Лукацкого

18 июня 2025 06:40

Что-то все молчат 🤐, видимо ждут пока я расчехлю свое перо и напишу про нормативку, а именно про абсолютно новый приказ ФСТЭК №117, который пришел на смену отмененному 17-му приказу регулятора (был 17, стал 117 - удобно запоминать). Принят он был еще 11 апреля, хотя опубликован только вчера. Я про проект уже писал, но так как вышел финальный вариант, то можно написать про документ чуть подробнее. Тем более, что он стоит того 👍 Но сразу скажу, что не буду перечислять всего, а только то, на что у меня упал глаз после дегустационного тура на коньячный завод!

6️⃣ Принят 11 апреля; вступает в силу с 1-го марта 2026 (планировали с 1 сентября этого года). Но зато можно успеть попасть в цикл бюджетирования и заложить деньги на следующий год.
2️⃣ Распространяется на любые информационные системы госорганов, ГУП и госучреждений, а также муниципальные ИС, что расширяет число и подопечных регулятора, и самих систем, попадающих под новые требования. Не исключаю, что и на подрядчиков госов эти требования тоже распространят, но уже сами госы.
3️⃣ Цели - недопущение (снижение возможности) наступления негативных последствий (событий) от реализации угроз ИБ 💥 Список негативных последствий берется из БДУ ФСТЭК.
4️⃣ Требуется большое число внутренних регламентов и стандартов ✍️, в том числе с требованиями по конфигурациям и настройкам ПО и железа, требованиями по сбору, регистрации и анализу событий ИБ, требования по работе с привилегированными учетками и удаленным доступом, требованиями по управлению уязвимостями и обновлениями, требованиями по разработке безопасного ПО, требованиями к выводу в прод доступных публично сервисов и систем, требованиями к мониторингу ИБ и контроля уровня защищенности. Оно и раньше требовалось, но сейчас это четче прописано.
5️⃣ Для подрядчиков должна быть разработана политика ИБ, с которой подрядчики должны быть ознакомлены, в том числе и с обязанностью ее исполнения.
6️⃣ Не менее 30% работников подразделения ИБ должны иметь профессиональное образование или пройти профпереподготовку по ИБ. Про высшее образование ни слова, что дает возможность чуть проще комплектовать штаты ИБ в госорганах.
7️⃣ ИБ должна взаимодействовать с ИТ, а на ИТ даже возлагаются некоторые обязанности этим приказом ФСТЭК. Раньше такого отсыла к ИТ не было, что не может не радовать.
8️⃣ Помимо ПО и железа по обнаружению и предотвращению угроз и вторжений, а также контролю защищенности и выявлению уязвимостей, должны применяться средства по контролю настроек и конфигураций информационных систем, а также средства и системы, предназначенные для автоматизации и аналитической поддержки деятельности по защите информации 🤔
9️⃣ ИБ должна представлять руководству компании обоснованные предложения по требуемым на защиту от негативных последствий ресурсам, а также о перечне негативных последствий (событий), наступление которых прогнозируется в случае отсутствия ресурсов. Руководитель же должен выделение этих ресурсов, в пределах имеющихся средств, предусмотреть 🤑
6️⃣1️⃣ Необходимо определить события, приводящие к негативным последствиям, системы и средства, воздействие на которые может привести к негативным последствиям, а также угрозы, реализация которых может привести к негативным последствиям. Иными словами защищать надо не все системы, а только те, которые могут повлиять на реализацию негативных последствий. Нет последствий - не тратьте ресурсы почем зря. Хорошая история в условиях цифровизации всего и вся, когда число активов растет многократно, число угроз тоже, а денег и специалистов по ИБ больше почему-то не становится.
6️⃣6️⃣ Необходимо регулярно оценивать показатель защищенности (не реже одного раза в 6 месяцев) и показатель уровня зрелости (не реже раза в год) согласно методикам ФСТЭК (но будут еще и другие документы). Вычисленные показатели должны направляться в ФСТЭК в течение 5 дней.

Продолжение в следующем посте... ✍️

#регулирование

Пост Лукацкого

17 июня 2025 19:54

Прекрасная традиция для ИБ-мероприятия - модератор наливает спикеру 50 грамм коньяка и выпивает вместе с ним. В лучших традициях «Карнавальной ночи» Рязанова. И да, конечно же, это ни в какой не пуританской Франции, а в солнечной Армении.

ЗЫ. И да, 10 звездочек лучше пяти… если бы столько звезд размещали на бутылках 🥃

#мероприятие

Пост Лукацкого

17 июня 2025 11:23

В 2024 году количество заявлений о банкротстве 🍑 в США достигло 14-летнего максимума — 61 случай только в декабре, что стало резким подъемом после десятилетия снижения. Хотя экономическая обстановка (инфляция, высокие ставки) тоже повлияла, все чаще причиной банкротств становятся киберинциденты: ransomware, утечки, сбои в операциях, потеря доверия клиентов. И если крупные корпорации способны пережить кибератаки, то для средних и малых компаний одна сильная атака может стать критической 💥 Вот 4 кейса прошлого года, где причиной банкротства стал инцидент ИБ:

1️⃣Stoli Group USA, о которой я уже писал. Подала на банкротство 27 ноября 2024 года после того, как в августе 2024 года пострадала от ransomware, который вывел из строя ERP‑систему ☕️

2️⃣ Jerico Pictures / National Public Data. Компания-оператор базы данных личной информации (1,3 млрд человек) подала на банкротство в октябре 2024 года после масштабной утечки: раскрыты SSN, адреса и др. Это повлекло за собой иски, штрафы и проседание на рынке. Когда я писал про инцидент, про банкротство еще не было известно 📇

3️⃣ Оператор домов престарелых Petersen Health Care сообщил о банкротстве в марте 2024 года после двух подряд ransomware‑атак (в октябре 2023 и феврале 2024). Первая парализовала выставление счетов, вторая — системы оплаты через Change Healthcare. При доходе в $339 млн за 2023 год у компании был долг >$295 млн, включая $45 млн по кредитам. Итог печален 👴🏻

4️⃣ Австралийская компания MediSecure Limited (не путать с Medibank, у которой тоже был серьезный инцидент с большими финансовыми потерями) цифровых рецептов обанкротилась летом 2024 года после ransomware‑атаки в апреле. Утечка 6,5 ТБ данных (~12,9 млн австралийцев), включая чувствительные медицинские сведения. Компания не выдержала финансовую нагрузку, связанную с восстановлением и утратой доверия со стороны клиентов 💉

#недопустимое #ущерб

Пост Лукацкого

16 июня 2025 19:33

Новый вариант капчи со шляпой. Если бы попросили выбрать белую или черную шляпу, я бы напрягся и подумал, что это неслучайно 🤠

#аутентификация

Пост Лукацкого

16 июня 2025 11:34

Очередные два отчета про средства класса Network Detection & Response (NDR) 🔍 Для России эти сравнения не очень интересны, а я бы их просто хотел показать для того, чтобы проиллюстрировать, что ориентироваться на них стоит с очень большой оглядкой. Обратите внимание у Gartner та же Arista вынесена в аутсайдеры, а у IDC она в лидерах 🤔 У последней и Cisco в фаворитах, а у Gartner этого сетевого вендора, некогда бывшего лидером этого квадрата, вообще нет. Ну и по другим вендорам тоже нестыковки.

И о чем это нам говорит? 🤔 Вендор не пошел в сравнение или снялся с него? Он не прошел по критериям? Вариантов много, а результат? Вывод простой - тестируйте сами. Или поручите кому-то, кому вы доверяете. Вдруг "Кибердом" проведет такое? 🏠 WAF и NGFW они уже сравнивали. Главное, чтобы не было у одного ИТ-СМИ, которое недавно выпустило карту российского рынка ИБ, которое проплачено спонсорами (и этого никто не скрывает) и в котором нет части значимых игроков рынка. Gartner, IDC и другие аналитические агентства такого себе не позволяет, - прописывать спонсоров 🤠

#средствазащиты #рынок

Пост Лукацкого

15 июня 2025 19:42

NIST и Университет Боулдер в Колорадо построили первый генератор случайных чисел 0️⃣, используя квантовую запутанность для генерации верифицируемых значений. Это решение, Colorado University Randomness Beacon (CURBy), доступно для всех желающих по API, а протокол Twine гарантирует отслеживаемость случайного числа и что оно защищено от манипуляций во время передачи 👏

#криптография #pqc

Пост Лукацкого

15 июня 2025 13:41

Вообще борьба со словами - штука бессмысленная 😠 Запрещай, не запрещай, требуй написать опровержение, все равно… богатый и могучий русский язык найдет способ передать все тоже самое, запрещенное, но другим способом 😛

А помимо Эзопова языка есть и другие способы передачи смыслов, не нарушая установленных запретов 😱 Подписчик прислал, за что ему спасибо, интересное. Оказывается современные школьники используют слово «квас» в очень нестандартном смысле, применяя к нему шифр Цезаря со сдвигом на одну букву и обсуждая таким образом то, что нельзя 👨‍💻

Сам Цезарь ✝️, кстати, использовал сдвиг на 3 буквы. А вот его племянник Август, если верить «Жизни двенадцати цезарей» Гая Светония Транквилла, сдвигал шифртекст как раз на одну букву только 🗝

ЗЫ. На картинке (автор Бен Каплан), кстати, написано «Железный купол» на иврите. И иллюстрация его работы в виде трассировки ракет, сбивающих цели над Израилем 🇮🇱 (актуальная тема нонче), а не то, что вы подумали 😂

#цензура #криптография

Пост Лукацкого

14 июня 2025 19:40

Альянс "пяти глаз" 🦅, но без канадцев, выпустил неплохое руководство по защите датасетов для проектов по машинному обучению и искусственному интеллекту 🧠

#ии #mlsecops

Пост Лукацкого

14 июня 2025 08:40

Если не врут, то взломали английский центр правительственный связи GCHQ 💂, ответственный в Соединенном Королевстве, среди прочего, за кибербез. Проникновение произошло еще в 2024-м году через некорректную конфигурацию OAuth. Затем Teams и Citrix VDA и... самое занятное, через воздушный зазор, реализованный с помощью защищенного 4G-шлюза. Интересное... 🇬🇧

#инцидент

Пост Лукацкого

13 июня 2025 16:27

Если вы думаете, что«душащий свободу слова» РКН 🚫 существует только в России, не обольщайтесь. Иностранцы тоже страдают от своих цензоров и тоже рисуют соответствующие мемасики. Во всех странах одно и тоже - тотальный контроль под соусом защиты детей, обеспечения национальной безопасности и борьбы с терроризмом 👨‍💻

#суверенитет

Пост Лукацкого

13 июня 2025 08:40

19-го июня я выступаю на IT IS Conf в Екатеринбурге. Буду модерировать пленарку "Новая киберреальность РФ: что изменилось в 2025 году и куда идет отрасль ИБ" и выступать с keynote-докладом "Не тренди! О чем еще можно говорить, хотя стоило бы помолчать!", но сейчас не об этом. Смотрел тут на Яндекс.Картах 🗺, где будет проходитт конфа. Ну смотрел и смотрел, кто из нас этого не делает. Однако дальше случилось неожиданное - через сутки я получил на почту письмо от Яндекса, фрагмент которого показан на картинке. То есть Яндекс фиксирует все мои поисковые запросы в Картах и потом предлагает мне забронировать через их же сервис путешествий номер 🔴

Я в целом никогда не питал иллюзий на счет бигтехов, собирающих о нас все, что только возможно 😠 Но как-то не думал, что они это настолько прямолинейно монетизировать будут. А ведь я своего явного согласия на обработку моих персональных данных для этой цели не давал ☹️ Получается, что абсолютно любой мой клик в карту, даже случайный, сохраняется Яндексом, который обогащает этими данными другую информацию обо мне, пытаясь выжать из меня ее максимум бабосиков. Случайно нажал на магазин сантехники - Маркет предлагает тебе купить унитаз 🚽 Нажал на какой-нибудь кинотеатр, Кинопоиск предлагает тебе оформить расширенную подписку. Мда... Видимо, надо выходить из всех сервисов Яндекса, а то чем дальше, тем больше...

Хотя чего я удивляюсь?.. 😳 Хорошо, что у российского поисковика нет сервиса Яндекс.Проститутки, а то бы он сразу в стоимость гостиничного номера включал их стоимость, подбирая именно тех, которые лучше соответствуют поисковой истории, просмотренным картинкам и актрисам в фильмах... 😳

ЗЫ. Вот интересно можно ли распространить на такой кейс 272.1 УК РФ? Незаконные сбор налицо. Неправомерное хранение тоже присутствует. А там еще и корыстные побуждения и служебное положение, то есть уже часть 3-я 😡

#персональныеданные

Пост Лукацкого

12 июня 2025 13:20

Делаю сейчас визуал для тренинга по личной кибербезопасности топ-менеджеров одной компании 📈 И это я вам скажу непростое занятие. Не с точки зрения контента или его подачи, а с точки зрения его визуализации 🎨 Среди руководителей компании совершенно разные люди - разного возраста, разного пола, с разным бэкграундом и даже разной национальности и места рождения 🧐

А у каждого свое визуальное восприятие того, что говорит лектор/спикер/коуч 👀 Кому-то подавай материал в стиле гравюр Дюрера, потому что он в детстве залипал на иллюстрациях к детским приключенческим книжкам. Кто-то фанатеет от 3D-фигурок в стиле "Как приручить дракона", "Истории игрушек" или "Босс-молокосос". А кому-то подавай картинки в стиле советского "Крокодила" 🌾 У всех свой способ восприятия, который нельзя не учитывать, и который влияет на то, что и как запомнится по результатам обучения 🤓

А еще это к разговору о том, умеют ли ваши маркетологи в ИИ или нет? 🪣Сегодня заявления в стиле "У нас нет денег нанять хорошего дизайнера" выглядят бледно, жалко и скорее демонстрируют профнепригодность. В современном мире не уметь в ИИ?... Фу таким быть... 🙄

#awareness #ux #визуализация #ии #маркетинг

Пост Лукацкого

11 июня 2025 19:39

По мотивам взлома компании Victoria's Secret придумал новый модный аксессуар в их коллекцию! И геополитически актуально на фоне регулярных обвинений России во взломах всего и вся! 🛍

Если меня читают представители сего модного дома нижнего белья, прошу связаться со мной для оформления договора выплаты авторских отчислений. Если кто-то увидит на улице такую сумку, знайте, - это моя идея! 💡

#юмор #творчество

Пост Лукацкого

11 июня 2025 11:21

Есть о чем подумать на праздниках... 🤔 По данным свежего исследования IANS и Artico Search, даже шестизначные оклады и щедрые опционы не всегда делают CISO счастливыми ☹️ Среди более чем 860 опрошенных руководителей ИБ-служб в США, работающих в компаниях с выручкой свыше $1 млрд:
➡️ Медианная компенсация составила $532000 в год (включая бонусы и опционы).
➡️ Самые высокооплачиваемые (в топ-1%) зарабатывают до $5 млн, управляют командами из 200+ человек и бюджетами с 7–8 нулями.
➡️ Компенсация американских CISO включает в среднем $300 000 в виде ежегодных опционов, у топов — миллионы 🤑

Но не надо завидовать заокеанским коллегам 😔 Оказалось, что :
➡️ Только 55% CISO из компаний с выручкой $20 млрд+ довольны своей компенсацией. Ну зажрались же...
➡️ В компании с выручкой $1–2 млрд удовлетворенность еще ниже — и именно эти CISO чаще жалуются на отсутствие доступа к совету директоров (24% говорят, что почти не взаимодействуют с ним) 😫
➡️ 58% CISO вообще довольны своим бюджетом на ИБ. Хуже всего ситуация снова в сегменте $1–2 млрд - только 51% довольны ресурсами 😕

Авторы ежегодного отчета дают 3️⃣ совета тем, кто хочет карьерного роста:
6️⃣ Расширяйте зону ответственности — возьмите на себя управление цифровыми рисками, третьими сторонами или комплаенсом (с умом и ресурсами) 💪
2️⃣ Развивайте soft skills — общение, влияние, умение продвигать себя в организации 🥵
3️⃣ Стройте карьеру стратегически — оценивайте предложения не только по зарплате и названию должности, но и по потенциальному влиянию и возможностям роста 🏝

Вывод прост — даже $5M не гарантируют счастья, если вы не обладаете влиянием и ресурсами в компании, а также пониманием, как встроить безопасность в бизнес-стратегию 🤓 Упс, Forrester писал недавно о том же самом. Карьера CISO сегодня — это больше не про технологии, это про влияние, коммуникации и участие в управлении корпоративными трансформациями.

#ciso #зарплата

Пост Лукацкого

18 июня 2025 06:45

Продолжаем про новый 117-й приказ ФСТЭК, пришедший на смену 17-му:

6️⃣2️⃣ 21 мероприятие для защиты от негативных последствий (очко!), среди которых оценка угроз, контроль конфигураций информационных систем, управление уязвимостями, обеспечение защиты информации при удаленном доступе, обеспечение мониторинга ИБ, обеспечение защиты информации при взаимодействии с подрядными организациями, защита от DDoS, защита ИИ, взаимодействие с ГосСОПКА и т.д.
6️⃣3️⃣ Для ГИСов модель угроз обязательна (по 676-ПП), для остальных - на свое усмотрение.
6️⃣4️⃣ Мероприятия по контролю конфигураций ИС должны среди прочего исключать несанкционированное изменение настроек и конфигураций ПО и железа. Контроль конфигураций информационных систем должен осуществляться на основе анализа результатов учета ИТ-активов и (или) сведений, содержащихся в CMDB (ИТ должны обеспечить ИБ такой доступ). Если CMDB нет, то выстраивать собственное управление активами, например, на основе сканеров уязвимостей или SIEM.
6️⃣5️⃣ Критические уязвимости должны устраняться за 24 часа, высокого уровня опасности - не более 7 дней ⏳ При выявлении любой уязвимоости, отсутствующей в БДУ ФСТЭК, данные о ней должны быть направлены регулятору.
6️⃣6️⃣ Бесконтрольная установка обновлений не допускается.
6️⃣7️⃣ На оконечных устройствах должны быть установлены EDR.
6️⃣8️⃣ Применять личные мобильные устройства можно, но при условии соблюдения на них требований по защите и возможности их контроля. Это прям хороший пункт. А то было бы как раньше - запрет и все из под полы юзают. Сейчас большие шишки хотя бы задумаются и может быть попросят ИБшников настроить свои личные айпады и айфоны 📱 для доступа к ГИС.
6️⃣9️⃣ Удаленный доступ с личных устройств работников тоже возможен, но опять же при соблюдении требований по защите и применении сертифицированных средств обеспечения безопасной дистанционной работы, антивируса, строгой (а это не MFA, а криптография) аутентификации и т.д. Это будет сложнее реализовать, но тоже не полный запрет. Доступ из зарубежа не допускается 👎
2️⃣1️⃣ Привилегированный доступ должен быть только со строгой аутентификацией, а в случае ее невозможности, - с использованием усиленной многофакторной аутентификации. Все попытки такого доступа должны регистрироваться. Вообще этой теме в приказе много внимания уделено 👨‍💻
2️⃣6️⃣ Мониторинг ИБ должен быть во всех ИС, исключая локальные и изолированные ИС, в которых должен обеспечиваться контроль журналов регистрации событий безопасности. Тут я, конечно, не очень согласен, так как нарушитель может попасть в локальную и даже изолированную систему не через Интернет. И как тогда его выявлять; периодичность же контроля логов не установлена? Мониторинг в соответствие с ГОСТ Р 59547-2021. Итоговый годовой отчет о мониторинге инцидентов ИБ должен направляться в ФСТЭК. Вообще регулятор не только устанавливает много новых требований, но и требует подтверждения их выполнения. Пока в виде отправляемых отчетов (форма не установлена), но допускаю, что в перспективе появится и какая-нибудь автоматизированная система типа АСОИ ФинЦЕРТа или ГосСОПКИ. Такая автоматизация бы сильно облегчила жизнь и подопечным и самой ФСТЭК в части анализа присланных данных.
2️⃣2️⃣ Пункт про использование только выданных на работе флешек мне кажется невыполнимым на практике ⚪️ В крупных коммерческих компаниях еще может быть, но не в госухе, которая считает каждую копейку.

Финальная часть воспоследует незамедлительно.

#регулирование

Пост Лукацкого

18 июня 2025 03:01

Канада 🇨🇦 ввела очередной пакет санкций, незначительно задев и российский сегмент ИБ, внеся в свои черные списки:
6️⃣ Касперскую Наталью Ивановну
ряд компаний, занимающихся квантовыми технологиями, включая и квантовое шифрованию или постквантовую криптографию, среди которых упомянуты:
2️⃣ Компания QRate
3️⃣ Компания Qapp.

#санкции #pqc

Пост Лукацкого

17 июня 2025 15:39

🤦‍♂️

ЗЫ. Спасибо подписчику за прекрасный образчик проникновения vibe coding в ИБ.

#аутентификация

Пост Лукацкого

17 июня 2025 06:40

Словил инсайт 💡 после нескольких последних выступлений про кибербез с точки зрения бизнеса. Какие бы фреймворки и методологии вы не использовали, остается один момент, который сложно описать и формализовать. Речь о первом контакте с топ-менеджером(ами) 🧐

Вы можете все прекрасно рассчитать 🧮, правильно оценить ущерб, составить список событий с катастрофическими последствиями (хотя это не вы должны его составлять, а топы как раз), рассчитать ROI от внедряемых средств защиты и даже предложить несколько альтернатив. Но все это будет бесполезно 🤷‍♀️, если у вас нет кредита доверия от CEO.

И вот как его заработать - это и есть основная задача ИБ 🤔 И это несложно, на самом деле, но не быстро.

По моим оценкам должно пройти не меньше 2️⃣ (в идеале) лет, прежде чем вам начнуть доверять. И все это время вы должны стучаться в закрытую дверь 🚪 Ее обязательно откроют, но не все дожидаются, уходя через 2-3 года на новое место работы 🚶

Многие выбирают путь наименьшего сопротивления 🛡 - заниматься compliance, решать технические вопросы, приобретать средства ИБ, устранять уязвимости, прокачивать технические скиллы у сотрудников на киберполигонах… Потому что это все дает быстрый и видимый результат… для ИБшника, не для бизнеса. Так и живем… 😔

#бизнес #ciso

Пост Лукацкого

16 июня 2025 15:31

Kali GPT… Красивое... 🐉 И реально существующая обучалка по кибербезу (нужен доступ к ChatGPT). Пока не тестил. Главное, чтобы логотип был не круче самого инструмента... 🫡

#ии

Пост Лукацкого

16 июня 2025 06:40

Эксперт CyberKnow, отслеживающий 🕵️‍♂️ кибергруппировки в российско-украинском и израиле-палестинском конфликтах, выпустил первую версию трэкера группировок в израиле-иранском конфликте. Вполне очевидно, что счет пока в пользу иранских киюберсил, но серьезных акций пока не было, к счастью. В "деле" участвуют и пророссийские группировки, которые встали на сторону исламской республики 🇮🇷 Как минимум, с точки зрения Threat Intelligence, за всей этой движухой интересно наблюдать и собирать техники и тактики; ибо те же самые группировки могут атаковать и российские организации 🤔

#кибервойна #threatintelligence

Пост Лукацкого

15 июня 2025 16:51

Что вдруг я написал о поросшой мхом утечке из Госуслуг? А просто мне тут сообщили об утечке 2023 года из… тоже каких-то «Информационных услуг», под которыми уже были скрыты Госуслуги. И теперь меня терзают смутные сомнения 🤔

#утечка

Пост Лукацкого

15 июня 2025 08:40

В начале года эта утечка прямо атрибутировалась как произошедшая из Госуслуг 📇 Почему же сейчас все скрывают, что это были Госуслуги? 🤔

Если на поставщика данных об утечках может надавить отраслевой регулятор 🔢, то можно ли доверять поставщику и остальным его данным? А главное, какой смысл публикации данных об утечке, если вы скрываете ее источник? Я даже действий предпринять никаких не могу, чтобы последствия устранить. Ну разве что паспорт поменять 🤦‍♂️

#утечка

Пост Лукацкого

14 июня 2025 13:21

Предсказуемо… Ирано-израильский 🇮🇷💃🇮🇱конфликт повлек за собой рост активности и в киберпространстве. Вчерашнее падение Cloudflare связывают именно с этим (американские компании, как союзники Израиля, тоже под ударом) 🤕 Пока рано делать какие-то выводы (а после истории с пейджерами тем более; израильтяне такие затейники), но можно предположить, что будут повторяться техники и тактики, используемые в конфликте Израиля и ХАМАС 😈

#кибервойна #геополитика

Пост Лукацкого

13 июня 2025 19:37

Вечерело... 13-е, пятница, время страшных историй... о выгорании, стрессе и суициде среди ИБшников 😱 Но нет, я не буду повторять тезисы с дискуссии "CISO в аду, но с командой" на PHDays, которая не только вызвала большой интерес, но и породила спонтанно возникающие каналы вокруг этой темы.

Вот один из них, созданный еще одной ИБшницей, которая решила разложить по полочкам все это достигаторство, выгорание и остальное психонервное, с чем сталкивается рядовой и не очень ИБшник 😨

Мне, конечно, интересно, когда автор ответит на вопросы, которые она, по итогам дискуссии на PHDays, решила развенчать, а именно:
6️⃣ Почему некоторые очевидные мысли с сессии звучат как чушь собачья, хоть они в корне верны?
2️⃣ Почему вам кажется, что такие темы на профильных конференциях обсуждают от нехрен делать, и им заняться больше нечем?
3️⃣ Какой очень важный момент здесь упущен, хоть модератор потратил колоссальное время на подготовку к этой сессии?

Юля, жду... ⏳ Но попутно отмечу, что колоссального времени на подготовку я не тратил. Она, в отличие от остальных, как раз родилась спонтанно и быстро оформилась и по участникам и по озвучиваемым тезисам.

ЗЫ. А страшные истории про ИБ у меня тоже можно почитать. Но на Хеллоуин... 🎃

#психология

Пост Лукацкого

13 июня 2025 13:25

Меня тут в личке спросили, почему я не комментирую взлом красноярского оператора «Орион Телеком»? 🔓 Ведь за недоступность сервисов, особенно для государства, они должны нести ответственность. Но давайте отвлечемся на секунду от Красноярска и обратим свой взор на другой материк, а именно на Северную Америку, где около года назад атака шифровальщика на две недели парализовала работу Patelco Credit Union 💻

Более 1 миллиона клиентов финансовой организации пострадало. Детали кейса раскрыты в материалах суда, согласно которым некоммерческий кредитный союз согласился создать фонд в размере 7,25 миллионов долларов для компенсации убытков обратившимся в него клиентам 🤑 Также Patelco предложила своим клиентам бесплатный кредитный мониторинг, который, по разным оценкам и в зависимости от глубины оказываемых услуг, стоит от 9 до 40 долларов в месяц на человека. Вишенкой на торте стал штраф в 100 тысяч долларов от калифорнийского департамента финансовой защиты и инноваций, а также требование от него улучшить свою кибербезопасность 🛡

Для компании с активами на 9,4 миллиарда долларов это все не очень большие потери. Важно другое. Фонд на 7,25 миллионов долларов был создан только после того, как в суд обратились истцы с требованием соответствующей компенсации 👩🏼‍⚖️ Не будь его, Patelco ограничилась бы штрафом и бесплатным кредитным мониторингом. И это общее правило в любой стране мира - если твои права нарушены, сначала попробуй в частном порядке урегулировать конфликт, а если не получается, иди в суд и защищай свои права там 🧑‍⚖️

Просто так, по своей инициативе, покрывать чьи-то убытки, компенсировать упущенную выгоду и т.п. компании, пострадавшие от инцидентов, не обязаны и не должны (хотя и хотелось бы) ☹️ А в ряде случаев с них еще и спросят за нецелевое расходование средств. Поэтому можно возмущаться тем, что акулы капитализма плюют на наши с вами права, как их клиентов или субъектов персданных, которые они обрабатывают, но наш праведный гнев - это пустое и никак неприближающее нас к каре небесной виновника наших бед ⚡️ Чтобы ответственность наступила, надо приложить усилия с нашей стороны. А без нее, увы, это будет не более чем сотрясание воздуха.

Что же касается Ориона, то у меня единственный вопрос 🙋 Если, как утверждается, не было утечки персданных, а всего лишь выведено из строя 497 коммутаторов ядра сети, 28259 коммутаторов доступа и удалено 370 серверов, то почему Орион сообщил о компьютерной атаке в Роскомнадзор? 🤔 Возможно, это связано с тем, что хакерская группировка, стоящая за атакой (и это не ГУР, как пишут СМИ), все-таки написала у себя в канале, что они получили все персональные данные клиентов оператора связи?

Но надо закончить заметку чем-то позитивным. Число подписчиков Telegram-канала 📱 "Орион Телеком" выросло за 3 дня в 4 раза - с 3 до 12 тысяч человек. Атака закончится, а подписчики останутся! 👇

#инцидент

Пост Лукацкого

12 июня 2025 19:40

Кто-то отдыхает на дне России, а кто-то погружается в стилистику различных художников 🎨, которые могли бы и на тему кибербезопасности что-нибудь сваять, если бы в годы их активного творчества существовали компьютеры, хакеры и вся остальная ИТ-тематика. Кстати, сможете угадать всех девятерых художников, чьи стили использовались при создании иллюстраций? 👨🏻‍🎨

ЗЫ. Больше не буду вас тут творчеством баловать. Сегодня, как минимум 🥸

ЗЗЫ. Я недавно выступал в Музее русского импрессионизма (там иногда проводятся мероприятия по ИБ). Так вот для этой площадки ИБ-иллюстрации в стиле Моне, Писсарро, Дега, Сезанна, Мане и др. были вполне в тему 😏

#творчество

Пост Лукацкого

12 июня 2025 08:40

Есть дети? 👶 Или вы сами деть?! Думаете о личной кибербезопасности? Вас попросили провести в школе у ребенка урок по этой теме? А вот вам карточки в помощь! Они были опубликованы в последнем выпуске Positive Research к Дню защиты детей и доступны не только в бумажной, но и цифровой форме 🃏 Там их больше, чем показано ☝️

#awareness

Пост Лукацкого

11 июня 2025 15:22

А это из того же отчета IANS распределение 📊 статей бюджета ИБ в зависимости от масштаба компании. Интересно - чем крупнее компания, тем меньше облачных сервисов и аутсорсинга и больше on-prem и железа 🐳

Средний размер бюджета на ИБ составляет 0,35% от дохода компании. Теперь вам есть, с чем сравнить свою бюджет. Ну если вдруг вы любите что-то с чем-то сравнивать... 🤏

#бюджет #ciso

Пост Лукацкого

11 июня 2025 06:40

Новость о вариантах смены пароля на Госуслугах 🔢 обретает определенность. Во втором пакете законопроектов о кибермошенничестве предусмотрено всего 4 варианта (закрытый список) смены пароля на портале:
1️⃣ С использованием ЕБС 🎭
2️⃣ Посредством официального сайта банка в сети Интернет или банковского мобильного приложения, с использованием которых клиентам - физическим лицам предоставляется возможность открывать счета (вклады) в рублях и (или) получать кредиты в рублях 🏦
3️⃣ Посредством личной явки в многофункциональный центр предоставления государственных и муниципальных услуг 🏛
4️⃣ С использованием многофункционального сервиса обмена сообщениями, то есть этого самого супераппа, основным кандидатом на которого является VK MAX 📱 и законопроект о котором был вчера принят сразу в двух чтениях (видимо, торопятся к выборам 2026 года).

Никаких приложений для многофакторной аутентификации нет и в помине 🤦‍♂️ Я уже не удивляюсь, если честно. К списку странных государственных ИТ-инициатив добавилась еще одна. Ее авторы, как это часто бывает, мало понимают психологию поведения пользователей, а также не очень разбираются в вопросах ИБ. Кто вообще придумал, что для смены пароля надо использовать не легковесное приложение а-ля Яндекс.Ключ, Duo Mobile, PingID, MobilePASS или Google Authenticator, а тяжеловесный мессенджер, да еще и от частной компании? И кто будет нести ответственность в случае компрометации ЕСИА? 🤔

Похоже иным способом загнать людей в этот мессенджер не получается и используется классическая стратегия "не мытьем так катаньем" 🤔 После блокирования одной американской соцсети перейти на VK удалось не только лишь всем. Юзабилити невысокое, изобилие неотключаемой рекламы, мошеннические посты с нулевой реакцией администрации... Теперь это все перекочует в мессенджер... А жаль 😭

#аутентификация #суверенитет