Друзья!

Мы поэтапно восстанавливаем работу после кибератаки. Более 100 торговых точек «ВинЛаб» возобновили работу в Москве, Московской области, Хабаровске, Владивостоке и других городах. В течение недели сеть планирует выйти на полноценный рабочий режим во всех регионах присутствия.

На данный момент покупки в магазинах осуществляются в привычном формате: полностью сохранены ассортимент, качество обслуживания и дисконтная программа. Онлайн-сервисы постепенно возвращаются к стандартному режиму работы: сайт уже функционирует в качестве каталога, а обновленная версия мобильного приложения находится на финальной стадии модерации в магазинах приложений. В скором времени клиенты смогут в полном объеме пользоваться всеми преимуществами сети.

Спасибо вам, нашим партнерам и клиентам за оказанное доверие и поддержку в этот период. Решение группы не вступать в переговоры с киберпреступниками было единогласно поддержано всеми стейкхолдерами, что еще раз подтвердило прочность деловых отношений и взаимное уважение.

Читать полностью…

"Дочка" ЦБ, Российская национальная перестраховочная компания (РНПК) включила в покрытие по перестрахованию имущества риски поломки оборудования и перерыва в производстве в результате инцидентов кибербезопасности 😦 Как пишет "Коммерсант" они могут быть добавлены клиентом в договор и перестрахованы по результатам андеррайтинговой оценки РНПК 💱

Ранее такие риски в рамках имущественных договоров не покрывались. Как считают страховщики, они могут расширить свои договора страхования с клиентами за счет новых рисков 🤑 При этом эксперты в статье считают, что у страхования рисков не такое безоблачное будущее, как всем кажется. Тут и не всегда очевидная связь между атакой и наступлением недопустимого события, и сложность верификации самого инцидента, и снижение инвестиций в ИБ за счет увеличения вложения средств в страховое покрытие 🤔

Но в любом случае будем посмотреть. Сам факт не может не радовать - он говорит о росте зрелости рынка ИБ ↗️

#киберстрахование

Читать полностью…

Месяц назад сеть магазинов 12Storeez столкнулась с инцидентом ИБ 🔓 и, как по мне, очень грамотно отработала его в публичном поле. На этом можно было бы и завершить эту историю, но производитель одежды решил пойти дальше и... фанфары, поделился результатами своего расследования в Instagram-стиле, что придает определенную пикантность этой истории, когда брутальные и страшные ИБ-рассказы облекаются в мимишную форму 🥰

Магазин запилил у себя в 📱 рассказ о том, что произошло, почему это произошло, сколько потеряли, сколько мошенники требовали выкуп и почему не стали его платить, а также почему об инциденте написали не сразу, а спустя 7 дней. Не со всем лично я могу соглашаться, но за открытость и форму подачи прямо респект 👏

По количеству лайков тоже можно судить, что пользователям понравилась позиция компании 👍 На мой взгляд это хороший пример, когда даже факап можно превратить в победу, усилить бренд и поднять лояльность клиентов, которые видят, что от них ничего не скрывают и не обманывают. В B2B-сегменте, как мне кажется, будет схожая история.

#антикризис

Читать полностью…

И вновь о качестве работы СМИ 📰 Я уже привык к тому, что знание русского языка у представителей российских СМИ катастрофически падает и встретить слово "соответсвующие" в тексте не является чем-то из ряда вон выходящим. Такое впечатление, что СМИ не знают, что такое spellchecker и что можно пропускать тексты через GPT-сервисы в целях проверки согласованности падежей и склонений. Но сейчас не об этом... 🤔

Про канал Baza, который написал про банкротство компании Knights из-за атаки шифровальщика спустя 2 года с момента наступления самого события, я уже писал. Такой вот фактчекинг. А теперь про "рупор отечественной ИТ-журналистики" 📣 - CNews, который опубликовал очень тенденциозный текст под заголовком "Россиян погнали из сообщества Python. Пока только избранных, но критерии отбора до предела странные" 🚽, в котором с фактчекингом тоже все не очень. CNews вообще отличается этим - однобокостью в описании темы, отсутствием перекрестной проверки фактов, попытки выдать единичные факты за тенденцию и определенной желтушностью, которая привлекает внимание. Фу быть такими 🤠

Но вернемся к статье Синуса. Это полная лажа и вранье 🤥 - никто россиян не гнал из сообщества Python. В канале ESCalator опубликовано 4 заметки, которые раскрывают, что именно произошло, причем тут Россия и что с этим всем делать. Если вкратце, кто-то с адресами на российских почтовых серверах решил создать фейковые 🎭 репозитории и библиотеки с целью обмануть ИИ-сервисы, которые потом будут выдавать их в своей выдаче. Недавно такая фигня была обнаружена применительно к фейковым Github-репозиториям. И PyPi предсказуемо заблокировал адреса, с которых регались мошенники, как год назад он делал с адресами Microsoft 📱

Не зря в российской Cisco был запрет на работу с CNews. Когда СМИ публикует лажу, отказывается признавать этот факт, а за опровержение требует денег, - это непрофессионализм. А когда такое повторяется несколько раз - это уже диагноз. И видно, что за эти годы издательство не поменяло свою политику 🖕

#сми #ии

Читать полностью…

Подписчик прислал, за что ему спасибо, новость от канала Baza про банкротство английской компании 🚚 из-за действия шифровальщика. Это классно, когда такие каналы на 1,5 миллиона подписчиков начинают поднимать тему ИБ, но все-таки обращу внимание, что этой "новости" уже 2 года и на месте сайта пострадавшей компании уже давно какая-то хрень публикуется 🎰

Но сам факт, конечно, примечателен 🚨 Очередной факт банкротства из-за кибератаки, которых становится все больше и больше. В Армении, на конференции Центрального банка, в кулуарах я общался с Адрианом Санабрия (Adrian Sanabria), который ведет список компаний, обанкротившихся под воздействием инцидента ИБ ❌ Knights как раз последняя у него в списке. Однако, справедливости ради скажу, что все-таки список кажется мне неполным. Я публиковал уже (тут, тут и тут) имена таких несчастливчиков и их больше, чем упоминает Адриан.

Да, недооценка вопросов ИБ может обойтись дорого для бизнеса. По данным отчета Verizon DBIR 2024 60% малых компаний после серьезной инцидента закрываются навсегда! ❌

#недопустимое #сми #ущерб

Читать полностью…

Немного попытался разобраться с новым законопроектом о наказании за поиск в Интернет экстремистских материалов 🔍 На самом деле в этом пакете (а там два законопроекта) есть более интересные статьи. Например, использование VPN будет теперь считаться отягчающим обстоятельством в уголовном судопроизводстве 😡

#суверенитет #vpn #ответственность #регулирование

Читать полностью…

Обещанный краткий обзор своей статьи в Journal of Innovations по модели угроз для цифровых двойников

Читать обзор

Читать полностью…

Офис директора национальной разведки США 🇺🇸 снял гриф секретности и опубликовал доказательства отсутствия вмешательства России и "русских хакеров" в американские выборы 2016-го года, а также раскрыл доказательства, что администрация президента Обамы плела нити заговора с целью подорвать победу Дональда Трампа на предпоследних президентских выборах 🎩

ЗЫ. Эх, такую историю развенчали... Теперь придется из презентаций убирать слайд про влияние хакеров на историю человеческой цивилизации в целом и США в частности 🥷

#геополитика

Читать полностью…

Автор так бесящих 😠 рекомендаций по выбору надежных паролей Билл Бёрр, бывший сотрудник NIST, еще в 2017-м году признался, что он жалеет, что в 2003 году написал приложение А к рекомендациям NIST SP800-63, в котором и предложил, чтобы пароли содержали символы в разных регистрах, спецсимволы, цифры, а также менялись раз в три месяца. Вышедший на пенсию Бёрр признал, что сожалеет о большей части своих рекомендаций 🥺

А вы уже начали пересматривать свои рекомендации по выбору паролей? 🤔

#аутентификация

Читать полностью…

Интересные цифры, демонстрирующие отрицательное влияние законодательства о персональных данных Узбекистана 🇺🇿 на экономику страны, ее развитие и инновации. Чем-то схожая история с оценкой ущерба от влияния законодательства о куки в Европе 🇪🇺

#персональныеданные #экономика #ущерб

Читать полностью…

Очередное, но интересное исследование шифровальщиков 😷, авторы которого объясняют, что популярная "метрика" – число опубликованных требований выкупа или утечек на DLS-сайтах – сильно искажает реальную картину и это может привести к неверным выводам и принятым решениям 👨‍💻

Во-первых, не все жертвы попадают на DLS-сайты 🤐 Есть "тихие" случаи, когда выкуп платят сразу, и данные не появляются нигде; а есть наоборот – когда группировка не успевает выложить данные или сайт ликвидируют правоохранители. Иногда группировки могут и вовсе "рисовать" фейковые требования или запускать утки и дезу 🫢

По данным Sekoia (аналитики, которых цитирует статья), в 2023 году было зафиксировано 5200 жертв на сайтах, публикующих данные по утечкам 😭 Это +55% к 2022 году, что выглядит как "рост". Но параллельно число расследованных реальных атак, включая не попавшие на Leak Sites, по их же данным – на 50% больше, чем цифра "по витрине". Все это вводит в заблуждение при оценке динамики – можно недооценить или переоценить активность ⚖️

Между атакой, публикацией требований выкупа и появлением записи на Leak Site часто проходит от нескольких дней до нескольких недель, а иногда и месяцев 🗓 Например, в некоторых группах между датой заражения и публичным "сливом" может быть задержка 30–60 дней – все это время компания может вести переговоры или решать проблему тихо. Это значит, что если в марте ты видишь резкий всплеск публикаций – часть этих атак реально произошла еще в декабре-январе 🔥 При разборе 5200 кейсов Sekoia отметила, что почти 25% атак, попавших на Leak Site в 2023 году, фактически случились во второй половине предыдущего года, но попали в статистику позже.

Счетчик жертв — это не "реальное сейчас", а срез с лагом, который зависит от моделей шантажа, стиля группировки и скорости публикации. У среднего ransom-инцидента лаг до публикации – около 44 дней 🕐 Временные лаги сбивают понимание реального тренда. Если оценивать ransomware-тренды только по свежим постам киберпреступников, можно спокойно проспать волну атак, которая уже идет, но не "подсвечена" в Leak Site. Если считать жертв по месяцам, можно сделать ложные выводы — "о, новый шифровальщик активизировался в апреле!". А атака реально произошла в феврале, а то и в декабре.

Поэтому, для тех же аналитиков SOC и CISO важно учитывать контекст:
➡️Кого бьют (сектора и индустрии)
➡️Методы проникновения
➡️Методы распространения вредоноса внутри сети
➡️Способы давления на жертву.

Что делать: 🤔
➡️Не полагаться только на Leak Sites — расширять мониторинг.
➡️Интегрировать телеметрию по событиям в собственной инфраструктуре.
➡️Использовать Threat Intel не ради "таблички с цифрами", а чтобы понять тактики и их эволюцию.

И тут, кстати, мог бы помочь сбор глобальной аналитики ИБ-вендорами 🔭 Когда к ним данные стекаются из сотен и тысяч заказчиков, каждый из них начинает видеть гораздо больше, чем ранее в одиночку. У нас это пока не очень развито - вендора часто вообще не только не знают, как используются их продукты в инфраструктуре заказчика, но и не могут на основе телеметрии улучшать качестве детекта в своих продуктах. Такое пока только у Касперского с KSN, поставщиков услуг MDR/SecaaS и регуляторов в лице НКЦКИ/ФинЦЕРТа/РКН. Но движение в эту сторону идет 🚶‍♂️

#ransomware #статистика #threatintelligence

Читать полностью…

10 лет назад я написал заметку "А что если нас отключат от CVE?" 🤔 Тогда это казалось вполне логичным сценарием - после "Крыма" российские IP-адреса массово блокировались иностранцами. Сейчас мы столкнулись с другой проблемой - доступ в мировой Интернет из России осложняется уже Роскомнадзором. А вдруг еще и Генпрокуратура посчитает MITRE нежелательной организацией? 🤬

Какой бы ни была причина недоступности CVE, должен быть альтернативный источник информации об уязвимостях. Сначала им стал БДУ ФСТЭК 🗂 Все с ним хорошо, но он ориентирован преимущественно на ПО, которое используется в "подопечных" регулятора, - госорганах и субъектах КИИ. А ведь большое число компаний продолжают использовать зарубежное ПО 📱, данные об уязвимостях которого могут и не попасть в БДУ. А есть еще дружественные страны, которые используют наше ПО, но не имеют доступа к сайту регулятора, так как доступ к нему для зарубежных диапазонов IP-адресов блокируется 🇨🇳🇮🇳🇧🇷🇿🇦

Поэтому и родился портал dbugs, который уже сейчас содержит данные по более чем 315000 уязвимостям (это больше, чем в CVE почти на 20%) 0️⃣ Ключевое отличие этой площадки, созданной 🟥, от других баз уязвимостей в том, что данные агрегируются по каждой уязвимости из множества источников (баз CVE и NVD, с площадок Reddit, X․com, Telegram и других). Затем с помощью LLM делается сводное описание 📝– более подробное по сравнению с существующими базами. Кроме того, портал предоставляет рейтинг самых трендовых недостатков безопасности, что позволяет фокусироваться на важном, а не метаться в поисках ответа на вопрос: "Что патчить в первую очередь?" ⚖️

Самое главное, что 🟥 планирует и дальше расширять функциональность портала dbugs 👨‍💻 Как минимум, должен быть упрощен поиск по конкретным продуктам, белым хакерам будет предоставлена возможность создавать личные профили и публиковать информацию о своих достижениях, а пользователи платформы смогу подписываться на интересных им исследователей и комментировать записи 👨‍💻 Возможно появятся и другие фичи, например, формирование собственного портфеля продуктов, позволяющего отслеживать не все уязвимости, а только те, продукты которых у вас используются. В любом случае будем посмотреть...

#уязвимость #оценказащищенности

Читать полностью…

История с "ВинЛаб" 🍷 проясняется - компания признала факт кибератаки на свои ресурсы и требование выкупа от преступников, от выплаты которого она отказалась. По сообщению компании утечки персональных данных не было, но это не точно, расследование продолжается 🔍

Не уверен, что мы дождемся оценки ущерба 🤑 от самой компании (как-то не стало это пока еще практикой в российском бизнесе, а регулятор не требует указывать потери от инцидентов в финансовой отчетности отдельной строкой, как это сделано в США). Поэтому можно ориентироваться на внешние оценки, которые даются в различных инвесторских чатиках: 🧮

📉 Что теряет Novabev?

🔹 ВинЛаб — половина бизнеса группы.
🔹 Выручка за 2024 год: 86,3 млрд ₽
🔹 Средняя выручка в день: ≈236 млн ₽
🔹 Оценочная прибыль (EBITDA) в день: ~105 млн ₽

🛑 То есть каждый день простоя = 100+ млн ₽ недополученной прибыли, при том что зарплаты, аренда и логистика продолжают «капать».

При этом оценка бюджета ИБ для "ВинЛаб" оценивается в 100-150 миллионов рублей в год 🛍 То есть даже поверхностный анализ убытков показывает, что выгоднее было инвестировать в ИБ; что уж говорить про косвенные потери:

Однако если сравнивать с потенциальными потерями, то ситуация становится ещё более очевидной. Один день полного простоя бизнеса обходится компании минимум в 200–250 млн рублей недополученной выручки, не считая косвенных последствий — падения доверия, роста оттока клиентов и снижения LTV. При этом изменение поведенческой привычки потребителя — особенно в сфере алкомаркетов с высокой конкуренцией — способно иметь долгосрочные последствия: пользователь может просто переключиться на более надёжного конкурента.

Кроме репутационных и операционных рисков, важно учитывать и другие аспекты информационной безопасности в ритейле. Речь идёт, например, о защите от мошенничества с бонусными картами, нецелевого использования промокодов и продажи акционных предложений через теневые каналы. При недостаточной защищённости IT-систем эти механизмы легко эксплуатируются третьими лицами, что приводит к прямому снижению маржинальности и искажению финансовых метрик по акциям и лояльности.

Дополнительный фактор давления — это и угроза штрафов за утечку персональных данных, которые в текущей регуляторной среде могут достигать десятков миллионов рублей. Таким образом, недоинвестированность в ИБ становится прямым источником будущих убытков.

Хочется надеяться, что инцидент с «ВинЛаб» станет для всей отрасли сигналом к действию. Расходы на информационную безопасность — это не абстрактные вложения, а страховой полис для всей бизнес-модели, который позволяет защитить не только данные, но и доверие клиентов, операционную устойчивость и финальную прибыльность бизнеса.

Кстати, судя по комментариям в чате ☝️ в "ВинЛаб" нет своей службы ИБ - все делается силами ИТ-службы. Косвенно это подтверждается и в официальном заявлении компании, что именно ИТ-служба занимается инцидентом.

Вот такая история 👀 Жаль, что раскрытие информации об инцидентах публичных компаний у нас не является обязательным. Мне кажется это сделало бы бизнес не только более открытым и повернутым лицом к клиентам и инвесторам, но и более защищенным 🛡

ЗЫ. Найдите отличия на главной странице сайта компании, скриншоты которой сделаны с разницей в один день! Три стадии - "мы улучшаем работу", "у нас технический сбой" и "у нас атака", но последнее уже не на основном сайте 🖥

#инцидент #антикризис #ущерб

Читать полностью…

Окончание поверхностного анализа несуразностей вокруг Мах. Начало тут и тут.

По результатам прошлого поста коллеги подсказали, что у Max выложено нечто, похожее на политику. Но все-таки это не политика по обработке ПДн, как того требует РКН. И она точно не соответствует тому, что находится в реестре РКН.

В предыдущих сообщениях я рассмотрел только отдельные, лежащие на поверхности 🏔 моменты, связанные с обработкой персональных данных и криптографической защитой в нацплатформе. Если попробовать посмотреть глубже, например, на требования нового 117-го приказа ФСТЭК, то из него вытекает (хотя и неявно), что класс защищенности информационной системы, в которой разворачивается Max, должен быть не ниже того, что у ГИС, с которыми она взаимодействует 🤝 А так как там заявлено взаимодействие с ЕСИА, то класс защищенности не должен быть ниже К1, что накладывает еще больше организационных ограничений по ИБ, которые должно выполнять ООО "Коммуникационная платформа". Но способно ли оно это выполнить? Ведь даже поручить ООО "ВК" (как в части ПДн) свою защиту оно не может, так как у ООО "ВК" нет лицензии ФСТЭК на деятельность по ТЗКИ, что требуется по закону. Такая лицензия есть у ООО "ВК Цифровые технологии", но среди указанных там видов деятельности отсутствует мониторинг ИБ.

И ведь даже до защиты самого мессенджера дело не дошло 🛡 Мне почему-то кажется, что именно в этой части там будет все нормально. Но все остальное снижает доверие и к нацплатформе, и к тому, как и кто ее продвигает... Пока это похоже на какое-то впаривание. Куда проще было просто заблокировать все мессенджеры кроме Мах. И все - задача решена. И без всех этих выкрутасов ⛔️

Я думаю, она и так будет решена, видя с каким упорством и скоростью продвигается эта нацплатформа 🤓 Будут выданы если не сертификаты, то хотя бы положительные заключения ФСБ на всю схему, будет выдан сертификат на безопасную разработку, быстро получены все лицензии, во все соглашения на обработку ПДн будут внесены изменения (да, без предупреждения субъектов), в уведомление РКН 🔢 будут внесены нужные изменения для реестра операторов ПДн, специалисты будут обучены, а в ООО "Коммуникационная платформа" будет назначен заместитель генерального директора по ИБ в соответствие с 250-м Указом (а то странно как-то, что нацплатформа не будет отнесена к стратегическим предприятиям) 🗂 И вообще будет много чего сделано... или не будет. Тут же как - у нас все равны перед законом, но есть те, кто ровнее.

Выполнить все утвержденные за долгие десятилетия нормотворчества организационные требования по ИБ и ПДн в Мах невозможно 🚫 И перед стейкхолдерами этого платформенного мессенджера встанет дилемма - забить болт на требования, попробовать их выполнить (честно скажу, нереально; особенно в столь сжатые сроки), заняться очковтирательством, запустить процесс изменения устаревших требований 🤔 Я, признаться честно, хотел бы, чтобы все пошло по последнему варианту. Собралась бы согласительная комиссия из разных ведомств, провела бы ревизию всего законодательства по ИБ и отменила бы все то говно мамонта, которое мы тянем за собой уже десятки лет. Поэтому, скорее всего, будет а вот что будет, мы посмотрим все вместе 💃

ЗЫ. Да, если, вдруг, меня читают представители ООО "Коммуникационная платформа" и на все заданные в трех заметках вопросы уже есть ответы, то был бы рад их увидеть. Готов даже про них написать, если будет продемонстрировано, что все или часть описанного не соответствуют текущей действительности ✍️ И еще раз повторю - вопросы у меня не к технической стороне защиты мессенджера, а к той обвязке, которая эту защиту должна сопровождать.

ЗЗЫ. Все-таки, куда все так торопятся с этим Мах, подставляя себя под критику иноагентов, нежелательных организаций, экстремистов, террористов, блогеров и просто интересующихся?.. ❓ Но ведь главное что? Что вся критика идет на частную компанию из двух человек. Это же не государственный мессенджер и разрабатывает его не государственная компания! И не важно, что через него будет осуществляться доступ к госуслугам (это такие "мелочи")...

Читать полностью…

Итак, сюрприз, мессенджер Мах признан национальной платформой 💬 И у меня есть что сказать по этому поводу, но для начала недоумение. Если вспомнить принятое законодательство о том, что у нас теперь на первое место выходят русскоязычные названия, то как надо читать платформу, упомянутую в распоряжении - Мах (по-русски) или Max (по-английски)? Но это лирика, на самом деле у меня комментарий будет все-таки в тему канала 🤔

Когда принимали оборотные штрафы 🤑 за инциденты с ПДн, то одним из сценариев ухода от этого наказания, называли фирмы-однодневки, которые и будут становиться операторами персональных данных вместо своих "мам" и "пап". И вот яркий пример, когда государство само показывает "как надо делать". Чтобы не подставлять ВК, статусом оператора нацмессенджера наградили некое ООО "Коммуникационная платформа" (на сайт без слез не взглянешь). Теперь, если что и произойдет, то... Будет ли ВК нести ответственность за инциденты? ❓

Если посмотреть реестр операторов персональных данных, то мы увидим, что для ООО "Коммуникационная платформа" ответственным за организацию обработки ПДн является ООО "ВК", которому принадлежит 15% в операторе нацплатформы. 84,99% принадлежат ООО "В КОНТАКТЕ", а оставшийся 0,01% ООО "КОМПАНИЯ ВК" 📊 Устанавливая Max, вы кому даете согласие на обработку ПДн? И кто в реальности их обрабатывает? Кстати, обратите внимание, между датой регистрации уведомления и датой внесения в реестр прошел... 1 (один) день! Я не вспомню больше ни одного такого случая, чтобы РКН столь оперативно регистрировал операторов ПДн 🛡

Дальше больше. Смотрим публичную информацию по компании (в СПАРКе и т.п. сервисах данных еще больше). Среднесписочная численность персонала в 2024 году - 2️⃣ человека (и по ФОТу похоже). Согласно реестру РКН данное ООО обрабатывает ПДн широкого спектра и точно более чем 100000 субъектов (уже загрузок более 2 миллионов). Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ 👮‍♂️ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн? 🤔

Смотрим дальше. В реестре РКН написано, что оператор передает ПДн по Интернет 🔗, но при этом, согласно тому же реестру, никаких шифровальных средств оператор нацплатформы не использует. Возникает очередной вопрос - а как, собственно, обеспечивается конфиденциальность персданных пользователей платформы? У ФСБ вроде вполне четкая позиция на этот счет? 🔑

А еще все говорят, что в Max будет интегрирован "Госключ" 🔑, а сам он будет связан с ЕСИА. И как это будет сделано без криптографии?.. А ведь криптографию еще надо внедрить в мессенджер и потом сертифицировать, что занимает в ФСБ немало времени (хотя может быть будет как при регистрации в реестре РКН - за 1 день?). И потом опять сертифицировать, и опять, и опять - ведь новые релизы с новыми функциями будут выпускаться еженедельно. И как при таких спринтах будет проверяться корректность встраивания СКЗИ? 👨‍💻

Продолжение следует...

#суверенитет #мессенджер #криптография #персональныеданные

Читать полностью…

А вот и реакция на инцидент от Винлаб 🥂 Интересно, что текст в Telegram-канале немного отличается от сообщения на сайте. Финальный абзац на официальном Интернет-ресурсе группы компаний говорит, что

Novabev Group глубоко благодарна партнерам, клиентам и бизнес-сообществу.

Этакое обезличенное "спасибо" 🙏 В Телеге обращение уже адресное "Спасибо вам", а значит и более теплое и воспринимаемое немного иначе 🥰

Задавать риторический вопрос, а есть ли у вас плейбук по антикризисному PR, не буду. Вроде как это уже должно было стать очевидным на фоне последних инцидентов ИБ. И, судя по комментариям представителей рекламных и PR-агентств, эта тема проникает и в далекую от ИБ область 🙌 Видимо мне все-таки удастся на следующем PHD организовать панельную дискуссию с директорами по PR и маркетингу. В прошлые годы у меня это не получалось, но возможно в 2026-м году, аккурат перед выборами в Госдуму, когда взломы с политическим подтекстом станут происходить чаще, эта тема будет более востребованной 🧐

#антикризис

Читать полностью…

12Storeez пошли дальше и опубликовали извлеченные из инцидента уроки, которые они теперь внедряют у себя в ИТ-департаменте 👩‍💻 (судя по всему службы ИБ у них выделенной нет, что является достаточно распространенной практикой в бизнесе такого масштаба). Тут вам и киберучения, и двухфакторка, и резервное копирование в разных геолокациях... Также компания дала рекомендации, что рядовые сотрудники могут сделать 👨‍💻 для повышения кибербезопасности своей компании. Судя по этим рекомендациям и если сложить их с описанием инцидента, то можно построить всю картину произошедшего.

Интересно, что в тексте нет советов купить очередную новомодную железку из правого верхнего угла магического квадранта Гартнера 🎮 Советы больше из разряда харденинга ИТ-инфраструктуры и работы с персоналом, что как бы намекает, что начинать надо с базы, с фундамента, а потом уже переходить к более активным защитным мерам 🤬

Об этом, кстати, я уже говорил лет 10 назад, описывая концепцию активной и пассивной обороны 🛡 Ее идея заключается в том, что сначала надо порешать вопросы с грамотной ИТ-архитектурой и только потом идти в сторону... пассивной ИБ, не требующей вовлечения специалистов (МСЭ, антивирусы, IDS и т.п.). И этого хватит за глаза для большинства организаций. А уж для тех, кто в свою модель нарушителя 🇷🇺 включает APT, тем уже нужен третий уровень - активная оборона и выше.

#антикризис

Читать полностью…

Несколько новостей про искусственный интеллект последней недели:

1️⃣ Компания внедрила нейросеть в свой бизнес, чтобы ускорить разработку 🧑‍💻, но она удалила им всю базу данных. Фееричная история, как ИИ снес БД, а потом делал вид, что ничего не случилось, генерил фейковые отчеты и данные. После обнаружения потери данных ИИ "заявил", что это не он, а когда его "прижали к стенке" все-таки признался, что запаниковал 👩‍💻
2️⃣ В датасете для генерации изображений DataComp CommonPool обнаружили вдруг, внезапно, тысячи сканов паспортов 🪪, кредитов, водительских удостоверений и других чувствительных данных. И на этом объеме общедоступных данных было обучено немало моделей ИИ. То есть из датасета данные-то можно убрать, а вот из обученных моделей нет 😡
3️⃣ Google рассказала о практическом применении их ИИ-агента Big Sleep при обнаружении уязвимости в SQLite 😡, которая планировалась быть использованной в дикой природе некими хакерами. Но этого удалось предотвратить за счет передачи работы "белых хакеров" ИИ-агенту, который достаточно неплохо справился со своей задачей 🤖
4️⃣ Cloud Security Alliance выпустил очередной фреймворк по MLSecOps в облачных системах ИИ 🌤 Достаточно объемный документ, содержащий описание 243 защитных мер, сгруппированных в 18 доменов и смапленных на стандарт NIST AI 600-1 и фреймворк Catalogue for AI Cloud Services (AIC4).
5️⃣ Выпущен ежегодный отчет "Индекс безопасности ИИ", в котором даны оценки защищенности моделей Anthropic, OpenAI, DeepMind, xAI, LLama, DeepSeek, Zhipu AI. Отличников и даже "хорошистов" в списке нет - все оценки ниже плинтуса 2️⃣
6️⃣ ИИ-чатбот "Оливия", используемый в Макдональдсе 🍔 для трудоустройства в рамках франшизы, был защищен очень сложным паролем "123456", что и привело к раскрытию персональных данных 64 миллионов соискателей (тут я мог бы написать "на их месте мог быть я", так как меня когда-то не взяли на работу в Мак 🍔, но, к счастью, это было задолго до массового появления не только ИИ, но и Интернета вообще).

Интересная подборка, очень разноплановая и показывающая, насколько ИИ и ИБ тесно сейчас переплетены с разных точек зрения. Ну и вывод отсюда простой - изучайте и внедряйте в свои процессы MLSecOps, без него сегодня никуда.

#ии #mlsecops

Читать полностью…

Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя Phobos.

▪️ Российские компании и физические лица, которые ранее пострадали от Phobos, теперь могут бесплатно и безопасно восстановить зашифрованные данные. Инструмент можно скачать на гитхабе F6 DFIR.

▪️17 июля был опубликован декриптор, разработанный специалистами правоохранительных органов Японии. Но эта утилита не поддерживает старые версии Windows и имеет ряд недостатков.

🔍 Впервые шифровальщик Phobos был замечен в октябре 2017 года, а активизировался с 2019 года. Вредоносная программа распространяется на киберпреступных форумах по модели RaaS (Ransomware as a Service).

➡️ Больше информации о семействах программ-вымогателей и декрипторов вы можете найти на нашем гитхабе F6 DFIR.

Читать полностью…

С точки зрения математики эти два заголовка говорят об одном и том же ⚖️ А вот с точки зрения восприятия они совсем разные - один позитивный, второй негативный. Попробуйте угадать, какой из них реально был выбран для заметки в Газета.ру? 🤔

#статистика

Читать полностью…

Даже до Кейт Бекинсейл добрались русские кибермошенники (шутка) 🧛‍♀️

#видео #юмор

Читать полностью…

А вы учли это в своей модели угроз? 😂

#модельугроз

Читать полностью…

Безопасность компании равна безопасности самого слабого звена 🔗 Всегда считалось, что речь идет о человеке. А ведь трактовать это можно и шире. Безопасность компании зависит от безопасности ваших подрядчиков 🤝

#supplychain

Читать полностью…

🇺🇿 Локализация данных обходится Узбекистану в $4,2 млрд ежегодно: Страна остаётся закрытой для 87% глобальных IT-компаний и теряет до 5,7% ВВП
🔸Жесткие требования к локализации персональных данных тормозят развитие цифровой экономики Узбекистана, ограничивают приток инвестиций и мешают интеграции в глобальные технологические процессы. Об этом стало известно из исследования Kotib AI Research.
🔸Согласно статье 27-1 Закона «О персональных данных», с 2019 года все сведения о гражданах Узбекистана подлежат обработке исключительно на серверах, расположенных внутри страны.
🔸Наиболее ощутимые потери фиксируются в следующих отраслях:
- электронная коммерция — $900–1 250 млн;
- банковский сектор — $850–1 170 млн;
- IT и стартапы — $675–975 млн;
- финтех — $575–825 млн.
🔸На узбекский рынок не выходят 87% зарубежных компаний. Среди них — PayPal, Stripe, Netflix, Spotify, AWS и Microsoft Azure. Аналитики оценивают объем упущенных инвестиций за последние три года в $1,35 млрд. Большинство современных ИИ-моделей требуют доступа к международным облачным сервисам, что делает их внедрение в Узбекистане крайне затруднительным. Это препятствует реализации национальных технологических программ, включая стратегию AI-2030.

Читать полностью…

Есть в Европе 🇪🇺 такая директива об ответственности производителя за продукцию - EU Product Liability Directive. Официально она называется Directive 85/374/EEC (Council Directive on the approximation of the laws, regulations and administrative provisions of the Member States concerning liability for defective products) и принята была еще в 1985 году. Однако сегодня ее смысл становится снова актуальным, особенно в области ИТ, цифровых сервисов и кибербезопасности 🤔

Согласно этой директиве производитель несет ответственность за ущерб, причиненный дефектом его товара (что-то похожее на наш закон о защите прав потребителей). Не нужно доказывать вину или небрежность производителя – достаточно доказать, что товар был дефектным и именно он вызвал ущерб 🛡

Сейчас директиву модернизируют и в декабре 2026 года она должна вступить в силу ✍️ На ПО, прошивки, приложения, системы на базе ИИ, IoT-устройства начнут распространяться правила, ранее действовавшие на обычные товары. И если уязвимость или ошибка приведут к физическому вреду жизни и здоровью, а также ущерб имуществу, то потребитель может требовать компенсацию 🤑

#тенденции #регулирование #оценказащищенности #ответственность

Читать полностью…

5 лет назад Gartner считал 🔮, что в 2024 году станут актуальны угрозы безопасности наносенсорам и компьютерам на базе углеродных нанотрубок. И где оно все?.. Это к разговору о том, насколько можно верить прогнозам Gartner, и на чем базируется анализ технологических тенденций и вот это вот всего... 🔮

#модельугроз #тенденции

Читать полностью…

Тут один американский ИБ-эксперт 👮, очень "любящий" Россию, выложил у себя в твиттере скриншот работы какой-то LLM (непонятно какой), которая выдала ему список APT-группировок 🇷🇺 Ему достаточно быстро накидали, что в списке не хватает Microsoft и Crowdstrike, но суть даже не в этом.

Используя кем-то обученные LLM, всегда стоит интересоваться кто и на каких данных учил эти модели, а также кем и какие веса назначены 👨‍🏫 А то будете в SOC использовать copilot, а он вам и выдаст, что вас атаковали ФСБ и ГРУ вместе взятые. А вы примете это за чистую монету 🤔

#ии #хакеры #apt

Читать полностью…

А вы знали, что самолет тоже попадает под определение «программно-аппаратного средства доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен»? 😈 Если, конечно, это не кукурузник без бортового компьютера.

Полетите в следующий раз за пределы России, не забудьте уведомить Роскомнадзор! (шутка)

#суверенитет #юмор

Читать полностью…

Продолжаем анализировать обвязку Max... 💬

Изучаем запись в реестре операторов ПДн дальше. Там заявлено всего 5 целей обработки у ООО "Коммуникационная платформа":
1️⃣Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства
2️⃣Осуществления трудовых отношений с работниками в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами и обеспечение работников комфортными условиями труда
3️⃣Исполнение обязательств, предусмотренных действующим законодательством РФ, включая подзаконные акты
4️⃣Оформление гостевых пропусков для однократного прохода на территорию оператора
5️⃣Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ.

Как вы думаете, какая цель описывает работу мессенджера? 🤔 Я вот думал-думал и не нашел никаких вариантов в этой пятерке. Не контрагентами же пользователей называют. А тогда на каком основании мессенджер вообще получает персональные данные своих абонентов? Кстати, заявляется об интеграции в Max еще и биометрии 🎭 Но в списке обрабатываемых данных для всех пяти целей биометрия не заявлена. Вообще там много чего не внесено из того, что с высоких трибун заявляют чиновники относительно функционала национальной платформы 🧐

Возвращаясь к первоначальному вопросу - будет ли нести ООО "ВК" ответственность за инциденты с ПДн в мессенджере? 🤔 Вроде как формулировка в реестре говорит, что ООО "Коммуникационная платформа" поручает обработку ПДн именно ВК, но... на самом деле там "поручена" организация обработки, а не сама обработка. И оператором продолжает оставаться именно оператор нацплатформы. На него и ляжет в случае чего вся тяжесть ответственности за инцидент 🚰

Кстати, по закону и многократным разъяснениям РКН политика обработки ПДн должна быть опубликована на сайте компании, чего мы не наблюдаем. Можно, конечно, сказать, что на этот кейс распространяется политика ВК, но, увы, соглашение об обработке ПДн самого ВК ни разу не упоминает ООО "Коммуникационная платформа" 🫢 Но вдруг что-то сказано в соглашении об обработке ПДн всей экосистемы ВК. Тоже пустота. Я вам скажу больше - если отбросить в сторону местами странные юридические обороты (я все-таки не юрист), историю с конклюдентным согласием (кого-то другого РКН за такой фокус выдрал бы) и отказ упоминания конкретных юрлиц, которым передаются ПДн пользователей, то мы увидим, что мессенджер Мах вообще не входит в экосистему ВК и общее соглашение для сервисов экосистемы на нацплатформу не распространяется 🫢

Как пишет Ника, продвижение нацмессенджера - это задача со звездочкой ⭐️ Соглашусь с ней в этом вопросе. Слишком уж быстро раскручивается вся ситуация, как будто кто-то дал указание срочно заместить Telegram и Whatsapp и все взяли под козырек, но делают все настолько топорно, что диву даешься 🤠 Ну как можно было не подумать об очевидных вещах, которые пробиваются на раз-два и доступны любому желающему - реестр РКН, информация о компании (и да, это не фейк, - все данные проверяются и перепроверяются по нескольким источникам), наличие лицензий ФСТЭК и ФСБ (их нет), согласие на обработку ПДн...

Окончание следует...

#суверенитет #мессенджер #персональныеданные

Читать полностью…

Лучшие практики безопасной разработки в вайб кодинге 👍

😆 Айти мемы | поддержать

Читать полностью…