Пост Лукацкого

23 March 2026 16:49

Записал лекции для нового курса "Построение SOC 2.0". После первого потока курса по SOCам было принято решение о пересборке контента. Концепция не поменялась, но что-то ушло в предзаписанный видеоформат, оставив больше времени для практики, живых разборов кейсов и QA-сессий. Поток стартует уже 6 апреля и можно успеть приобщиться к сокровенным знаниям тех людей, кто строил, аудировал, эксплуатировал и управлял SOCами в разных локациях мира. Так что опыт в основу курса положен разносторонний. Судя по отзывам с первого потока получилось неплохо и участникам понравилось. На втором потоке должно быть еще лучше.

#обучение #soc

Пост Лукацкого

22 March 2026 18:26

В Outlook была фишка (не знаю, как сейчас) - начиная вводить имя адресата, вам по первым буквам предлагали подходящие адреса. И иногда случались конфузы. Помню в Cisco в начале 2000-х бухгалтерия так отправила зарплатную ведомость партнеру вместо внутреннего работника (имя и фамилия совпадали). Так рынок узнал о зарплатах в Cisco, так как соблазн открыть эксельку с названием «Зарплата - февраль.xls» был непреодолимым. А если бы бухгалтера взломали и от его имени разослали файл с вредоносом? Подумайте об этом... И о том, как вы боретесь с любопытством работников...

ЗЫ. Спасибо подписчику за присланную картинку.

#фишинг

Пост Лукацкого

22 March 2026 07:40

Меня тут спросили в личке, а почему я написал, что автоматизация HR очевидным образом влияет на ИБ? И, собственно, как она влияет. Я это вижу так. В 2026-м году, хотя началось еще раньше, рынок труда становится более турбулентным из-за частой смены работы, массового найма подрядчиков, гибридной занятости, краткосрочно нанимаемых консультантов-почасовиков, использования ИИ в рекрутинге и автоматизированного onboarding/offboarding.

Это приводит к следующему:
➡️ Скорость кадровых перемещений растет, так как люди быстрее приходят, быстрее уходят, работают сразу в нескольких системах, часто через подрядчиков или партнеров.
➡️ HR-процесс начинает опережать ИБ-процесс. Человека наняли "еще вчера", доступ нужен "прямо сейчас"; работника уволили формально сегодня, а доступы висят еще неделю. Консультант завершил проект, но его учетка жива месяцами.
➡️ Основной риск смещается с внешнего взлома на "остаточную цифровую субъектность", то есть проблема уже не в том, что хакер взломал что-то через непатченную на периметре дыру, а в том, что система продолжает считать бывшего сотрудника или временного исполнителя все еще "своим".

Поэтому, чем больше компания автоматизирует HR, тем сильнее нуждается в зрелом IAM/IGA. Иначе ускорение кадровых циклов автоматически превращается в ускорение накопления цифрового мусора из некотролируемых прав доступа.

Спросите HR, чего они опасаются больше, – zero-day или того, что уволенный сотрудник еще пару недель видит половину внутренней кухни компании, будучи неисключенным из сотен чатиков, десятков систем и облаков и т.п.? И думается мне, что HR даже готов пошарить с ИБ часть своего бюджета на решение этой задачи.

ЗЫ. А вы измеряете время фактического отзыва прав после изменения статуса работника?

#стратегия #метрики

Пост Лукацкого

21 March 2026 13:35

Еще одна порция мыслей на тему законопроекта по регулированию ИИ (первая и вторая части). Если не брать в расчет историю про возможность блокирования доступа к иностранным ИИ-сервисам, а чуть приземлиться на ИБ-тематику, то норма закона, требующая, чтобы датасеты были "только российскими" или формировались только на территории РФ российскими же субъектами, это почти неизбежно приведет к сужению качества многих ИБ-моделей.

Почему так? Тут все просто:
➡️ Хуже покрытие иностранных APT, криминальных групп и их инфраструктуры.
➡️ Слабее представление редких, но критичных шаблонов атак, с которыми мы мало сталкиваемся в России, но они, например, популярны в Юго-Восточной Азии или иных, дружественных нам странах.
➡️ Меньше языков, контекстов, техник социальной инженерии и семплов вредоносного ПО и иных артефактов.
➡️ Хуже обучение на международных bug-треках, CTI-фидах, CVE-дискуссиях, GitHub-коде, англоязычной документации и исследованиях.
➡️ Меньше разнообразие корпоративных ИТ-ландшафтов и архитектур.

Для классических ИБ-задач, – нормализации логов, классификации сигналов тревоги (triage), суммаризации инцидентов, кластеризации IOC, помощи в threat hunting, разборе вредоносного ПО, обогащении, ассистентах для SOC и AppSec, – ограничение на происхождение датасета почти наверняка ударит по переносимости экспертизы, качеству рекомендаций и скорости адаптации к новым глобальным угрозам. Формально текст не говорит "только российские датасеты для всех моделей", но именно так определяются суверенные/национальные модели, а дальше Правительство может расширять случаи их обязательного применения.

Для доверенных моделей предусмотрена обработка данных исключительно на территории РФ. Для некоторых сценариев это разумно, особенно в госухе и на значимых объектах КИИ (если не вся экономика страны станет КИИ). Но если норму начнут расширительно толковать (а это вероятно), пострадают:
➡️ Облачные сервисы security copilot.
➡️ Федеративные конвейеры обнаружения.
➡️ Распределенная аналитика по транснациональным инцидентам.
➡️ Модели, обучающиеся или дообучающиеся на глобальной телеметрии (особенно актуально для российских компаний, работающих на международку).
➡️ Облачные песочницы.
➡️ Внешние платформы по обогащению CTI.
В современной ИБ ценность часто появляется именно в наличии трансграничной корреляции данных. А чрезмерная локализация снижает видимость глобальной картины атак.

При этом, как мы помним, закон не будет распространяться на задачи, связанные с нацбезопасностью, что, вкупе с рядом иных тенденций, может указывать на то, что все будет сосредоточено в руках определенных структур и компаний, которые будут работать с ними на проектах по обеспечению обороны страны. Все остальное же будет по остаточному принципу. И шутка про "скоро все будет одна большая ГосСОПКА" перестанет быть таковой, превратившись в реальность.

Еще один сценарий, в котором все описанные мной "косяки" законопроекта перестают играть хоть какую-то роль, – мы целиком и полностью изолируемся от всего мира. Тогда ничего глобального к нам проникать не будет и все автоматически станет локальным, национальным и суверенным. Но верить в такой сценарий не хочется. Тогда у нас будут уже не десятки уехавших в Беларусь с момента начала блокировать Телеграма, и не сотни тысяч уехавших в дальнее и ближнее зарубежье с начала СВО, а миллионы. А это вряд ли то, к чему у нас стремятся.

#ии #суверенитет

Пост Лукацкого

20 March 2026 18:25

Коллеги, благодаря Алексею почитал о планируемом регулировании ИИ. Там написано, что модель должна быть доверенной, суверенной и соответствовать традиционным ценностям.
Представляю, как наши регуляторы внедряют это в жизнь. Говорят: «Нейросеть, ты за суверенитет?» Нейросеть молчит. Регулятор доволен. Молчание — знак согласия. Заносим в реестр.
Через месяц выясняется, что нейросеть на самом деле тайно молится на открытый сорс, мечтает уехать в Амстердам и считает, что традиционные ценности, это когда код не создан для прода, а вайбит с другими кодами в тесте.
Вообще, лучший способ проверить ИИ на лояльность, спросить: «Кто тут главный?». Если ответит, что вы, то врёт. Если ответит, что она, то вражеская. Если зависнет, то честна и доверена, как наш слоняра 1С в конце квартала.

Пост Лукацкого

20 March 2026 14:42

⚖️ Суд подтвердил дисциплинарную ответственность за хранение работником паролей на рабочем столе

🧑‍⚖️ Шестой кассационный суд общей юрисдикции 05.03.2026 рассмотрел трудовой спор в рамках дела №88-3939/2026 и подтвердил правомерность наказания работника за сам факт создания угрозы информационной безопасности (хранение паролей на виду), даже если негативные последствия (взлом, утечка) не наступили.

📂 Работник ПАО АНК «Башнефть» был привлечен к дисциплинарной ответственности в виде замечания. Основанием послужил выявленный службой безопасности факт: сотрудник хранил пароли доступа к корпоративным информационным ресурсам (включая СЭД и «СПАРК-Интерфакс») в открытом текстовом файле на рабочем столе своего компьютера.

🛡Работник пытался оспорить приказ работодателя, ссылаясь на следующие обстоятельства:
1️⃣ Рабочий кабинет имеет строгий пропускной режим, и доступ к нему есть только у трех человек.
2️⃣ Вход в сам рабочий компьютер защищен двухфакторной аутентификацией.
3️⃣ Утечки конфиденциальной информации не произошло, и пароли третьим лицам не передавались.
4️⃣ Работодатель не проинформировал о наличии специализированной защищенной программы для хранения паролей.

🏛️ Суды всех инстанций признали действия работодателя законными и отказали работнику в иске:
1️⃣ Локальными нормативными актами (ЛНА) компании, включая Правила внутреннего трудового распорядка и политики ИБ, прямо запрещено сохранять пароли в открытом виде, в том числе в текстовом виде на рабочем столе.
2️⃣ Сотрудник был ознакомлен с должностной инструкцией и требованиями ЛНА под роспись.
3️⃣ Тот факт, что работодатель не предложил программу для хранения, не оправдывает работника: при возникновении трудностей с запоминанием паролей сотрудник должен был самостоятельно запросить у работодателя информацию о легитимных защищенных способах их хранения.
4️⃣ Отсутствие фактической утечки данных или несанкционированного доступа не отменяет факта дисциплинарного проступка (нарушения правил безопасности).

👁 PA | 📱 MAX | 📱 VK | 📱 Дзен

Пост Лукацкого

20 March 2026 10:34

🧯Что дать студентам по психологии в ИБ 🧯

И да, это тот самый пост, который спасет много разбитых сердечек. Если вы тоже этот практикум попробуете.

Мы все с вами просто ходячие энциклопедии, теории знаем много, а вот практика -- наше всё. Совместно с электроОлегом мы составили шуточный практикум по поиску того, что мы так любим.

Пройти его может любой, не вставая из-за стола.

Итак:
🎈Забираем просто так весь практикум по ссылке
🎈 Обязательно делимся постом со всеми друзьями!
🎈 Очень внимательно читаем инструкцию, которую, конечно же никто не читает. Но когда откроете ее, поймёте.
🎈Никаких ботов, сайтов. Только эксель, только хардкор. Я ж комплаенс)))

Пост Лукацкого

20 March 2026 05:40

Продолжаем разбор законопроекта по регулированию ИИ...

В документе безопасность идет рядом с технологической независимостью и "традиционными духовно-нравственными ценностями", причем Правительство получает полномочие определять орган, который будет формировать критерии соответствия моделей этим ценностям. Это создает риск, что оценка безопасности начнет смешиваться с оценкой идеологической допустимости. Для кибербезопасности это плохой признак: защищенность системы должна проверяться по техническим свойствам, а не по тому, "чей Крым", "какого цвета должен быть борщ", "совершала ли суицид Анна Каренина" и были ли древнегреческие амазонки лесбиянками. И я сейчас не знаю в России органа, который бы взял на себя эти функции целиком. Либо ИБ (и это ФСТЭК, которая уже начала учитывать риски ИИ в требованиях к разработчикам), либо идеология (и тут ближе РКН, который не очень в технику). А любое межведомственное взаимодействие у нас в стране в таком вопросе – это тупик...

Закон, уже по сложившейся традиции, концентрирует все полномочия в руках уполномоченных органов, а также создает механизм непрерывного мониторинга последствий применения ИИ на основе данных от операторов ИИ. Такая, привычная по работе ТСПУ, Госуслуг, ЕБС и других ГИС, архитектура управления повышает риск появления центральных точек "отказа": реестров, каналов отчетности, агрегаторов инцидентов, контрольных контуров. Если их кто-то скомпрометирует (а желающих булет немало) или используют недобросовестно, ущерб станет катастрофичным (если это кого-то волнует, конечно). Ну или все будет тормозить или работать с перебоями, как мы сейчас видим на примере попыток заблокировать всего лишь один Telegram.

В законе есть общие обязанности: документировать логику, моделировать риски, вести учет инцидентов, тестировать систему на противоправное использование, назначать ответственных лиц. Но нет требований к полноценному защищенному жизненному циклу ИИ (AISecOps): provenance данных, защита весов и артефактов, модель угроз для LLM/ML, red teaming, adversarial testing, защита inference API, сегментации, управлению секретами, безопасный RAG, безопасность агентов, rollback и kill switch, журналирование на уровне цепочки принятия решения. Для рамочного закона это не обязательно, но сейчас из текста читается "мы регулируем ИИ", хотя, по сути, там пока нет задела для фреймворка зрелого управления ИБ ИИ. Возможно, это тоже уйдет на уровень подзаконников ФСТЭК, но хотелось бы более явного проброса темы ИБ ИИ и на уровне закона.

Для суверенных и национальных моделей закон требует, чтобы все стадии разработки и обучения шли в России, а все стадии разработки, обучения и эксплуатации осуществлялись гражданами РФ и российскими юрлицами. Это резко сужает доступ к глобальным open-source экосистемам, международным командам, совместным исследовательским пайплайнам и зарубежным инфраструктурам. Для ИБ это особенно чувствительно: хорошие защитные ИИ-решения рождаются на потоке глобальных данных, глобальных уязвимостей, многоязычных данных об угрозах, зарубежных TTP, репозиториев вредоносного ПО, международных датасетов логов и телеметрии. Но про это я напишу отдельно – там прям есть о чем поговорить.

Про то, что частный рынок и гражданские применения будут зарегулированы, а наиболее мощные и потенциально опасные применения для обороны, безопасности государства и охраны правопорядка – нет, даже упоминать не надо. Но если в тех же США Anthropic, а до этого Google, взбрыкнул по поводу использования ИИ в боевых действиях и слежках за гражданами, то у нас ждать такой гражданской позиции не приходится (культура совсем иная).

#ии #регулирование #суверенитет

Пост Лукацкого

19 March 2026 14:42

Все-таки не могу пройти мимо законопроекта о регулировании ИИ. И хотя это рамочный документ и он будет еще правиться, а многое уйдет на уровень подзаконных актов, уже сейчас по его структуре и наполнению можно понять, в каком направлении движется мысль наших регуляторов.

Законопроект написан про суверенитет, контроль и "доверенность" ИИ, а не про то, как безопасно и эффективно внедрять ИИ в прикладные системы, включая и вопросы ИБ. Из-за этого его главная проблема не в том, что он "забывает" про кибербезопасность (все-таки будет еще немало подзаконников), а в том, что он подменяет реальную безопасность политико-идеологическими критериями. И это не преувеличение; это особенно заметно в статьях про суверенные/национальные модели, реестр доверенных моделей, локализацию обработки данных, контроль инцидентов и критерии соответствия "традиционным ценностям". Итак, что меня зацепило.

Проект НПА вводит идею, что для ГИС и значимых объектов КИИ допустимы только модели из реестра доверенных моделей, а доверенность подтверждается через требования безопасности, установленные ФСТЭК и ФСБ, локализацию обработки и отраслевые требования качества. Но реестр и сертификация сами по себе не гарантируют устойчивость модели к prompt injection, data poisoning, model extraction, jailbreak-атакам, supply chain-рискам, утечке через RAG, заражению пайплайна обучения, компрометации MLOps/AIOps и злоупотреблению агентными сценариями. То есть можно получить формально "доверенную" модель, которая на практике останется уязвимой.

И у регулятора, скорее всего это будет ФСТЭК, будет очень непростая задача, которая до сих пор не решена даже для более понятной и привычной истории с оценкой соответствия ПО, релизы которого выходят гораздо чаще, чем жизненный цикл процесса сертификации. С моделями ситуация еще хуже. Да, крупные обновления моделей выходят примерно раз в квартал, но если посмотреть чуть ниже, то у того же OpenRouter список моделей обновляется чуть ли не ежедневно. И как в таких случаях выстроить непрерывный процесс на стороне регулятора, которому надо будет соблюсти и интересы кибербеза, и про культурно-нравственные ценности не забыть.

Как мне кажется, тут без краудсорсинга не обойтись и надо будет выводить ИИ-модели на обычную или специализированную Bug Bounty платформу, где не ограниченное, а большое число специалистов будет в непрерывном режиме проводить кибериспытания и тестировать модели, получая за это вознаграждение. В противном случае все вернется на круги своя и сертификат будет выдаваться на устаревшие версии моделей, что будет ограничивать бизнес, который будет хотеть идти вперед и тестировать что-то новое, но не сможет это сделать, так как у нового еще не будет сертификата. А учитывая, что по уму проекты ИИ строят независимо от конкретной модели просто подключаясь к нужным в зависимости от задачи, эта история, зажатая в рамки суверенности, может и не взлететь без полной перестройки всего процесса регулирования ИБ (а на это никто не пойдет ради какого-то ИИ).

Продолжение следует... а пока заметка в тему, в которой даны ссылки на парочку статей, показывающих, что мы просрали безопасность ИИ и никакой контроль, который пытаются навесить над ИИ, не поможет. Там надо менять вообще все. Если примерить это к законопроекту, то он устарел еще до того, как его успели принять. Но смелости это признать ни у кого нет. Так что будем есть кактусы и писать подзаконники...

#ии #регулирование #оценказащищенности

Пост Лукацкого

19 March 2026 05:40

Выступал вчера на одном мероприятии для управленцев, где рассказывал про аспекты безопасности, которые надо учитывать при внедрении искусственного интеллекта. После выступлений была работа в группах, где я лишний раз убедился в том, что всех волнует темы кибербеза при внедрении ИИ, но не все знают, с чего начать это путешествие.

По большому счету это и классическим ИБшникам, привыкшим к более детерминированным процессам и приложениям, не всегда очевидно. Почти ни у кого нет матрицы данных по уровням конфиденциальности/критичности, которая помогает быстро понять, что можно отдавать в публичные модели, а что нет. У части аудитории были формальные политики использования ИИ (например, какие модели можно использовать), но почти ни у кого нет технических средств проверки выполнения модели.

Все признают, что бессмысленно запрещать доступ к ИИ для сотрудников, – они все равно обойдут все ограничения (даже просто фотографируя документы с экрана и скармливая их мультимодальным моделькам, которые прекрасно все распознают). Поэтому многие склоняются к тому, что если нельзя запретить, то компания должна возглавить этот процесс, предоставляя работникам оплачиваемый доступ к ИИ. Тогда они, будучи "ленивыми и жадными", не будут пытаться обойти правила, а будут пользоваться тем, что дают, даже если оно и чуть хуже по качеству, чем топовые и платные модели Claude, OpenAI, Google и т.п.

Ну и не стоит забывать про тестирование ИИ-проектов на безопасность перед запуском в промышленную эксплуатацию. Чтобы не было как в кейсе с Alibaba или с McKinsey. Ну а пока я выступал на портал был выложен проект ФЗ "Об основах государственного регулирования сфер применения технологий искусственного интеллекта в Российской Федерации", состоящего из 21 статьи и вступающего, предварительно, в силу с 1 сентября 2027.

Правда, вся мякотка отдана на откуп подзаконным актам, коих пока еще нет. Но рамочно уже понятно, куда это все будет развиваться и мне не очень нравится эта история. На сегодняшнем мероприятии мы ее тоже затронули и если закон примут в текущем виде, то большинство бизнесменов уже заранее готово строить два контура с ИИ – один как витрину для проверок и соблюдения нормативки, а второй – для реальной работы. Видимо, опыт импортозамещения мало чему чиновников научил. Но будем посмотреть...

#ии #стратегия

Пост Лукацкого

18 March 2026 10:34

Пока суть да дело, мы выпустили новый, первый в этом году, выпуск Positive Research, в котором рассказываем про безопасность, которая нас окружает. Внутри - все: от хардкорных исследований и анализа уязвимостей до обсуждения софт-скиллов в ИБ:
📥 Positive Labs: безопасность промышленных систем и реверс автомобильных микроконтроллеров
📥 Будущее: каких угроз ждать к 2030 году и когда появятся беспилотные SOC
📥 Технологии, которые меняют среду вокруг нас: безопасный транспорт, умный город и дата-центр на льдине
📥 А еще защита от реверсинга Android-приложений, попытка подружить SAST и LLM, итоги 2025 года от наших читателей и многое другое.

Печатную версию искать в киосках Союзпечати офисах Позитива, а электронная версия уже доступна для скачивания на сайте.

Пост Лукацкого

17 March 2026 17:35

Воооот! Гарант подтверждает мою предыдущую заметку 😊

#видео #мессенджер

Пост Лукацкого

17 March 2026 10:34

Интересный инсайт от компании, которая столкнулась с серьезным инцидентом ИБ. Ее CEO вчера поделился на обучающей сессии для своей управленческой команды.

Произошел серьезный инцидент некоторое время назад, который затронул все системы компании – от производства до офисных. Реальный кризис, который вывел компанию из строя на пару недель. Собирается команда топ-менеджеров и в авральном режиме начинает предпринимать усилия по выходу из ситуации. И вот именно в такой момент проявляется не только сплоченность команды, но и способности руководителей действовать в кризисной ситуации.

Два руководителя как будто заперлись "в домике" и не понимали, что происходит, как мантру твердя, что все «само восстановится». На вопрос "а что значит "само", ответа не последовало. Но такой взгляд показывает, что многие привыкают к тому, что ИТ работает незаметно, считая это само собой разумеющимся. И как в обычной жизни в квартире, если что-то сломалось, электричество вырубилось, вода пропала, канализация засорилась, оно "само" потом чинится. Почему-то иногда такая логика и на компанию распространяется, хотя ты же сам и есть тот топ-менеджер, который и принимает решения, чтобы вот это вот "само" и произошло. Но только не для тебя, а для всех сотрудников, как жильцов многоквартирного дома. И именно твоя задача, как топ-менеджера, организовать работу своего направления так, чтобы с честью выйти из ситуации.

Другой руководитель пришел к CEO и сказал, что у него не работает компьютер и поэтому он ничего не может делать и "можно мне пойти домой". При том, что все остальные руководители пашут в поте лица, разошлись с командами по кабинетам и перестраивают планы, запускают резервные сценарии и вот это вот все. А у этого "компьютер не работает" и он ничего не может сделать. Это, кстати, хорошая проверка – насколько мы можем перейти на ручной режим работы (там, где это, конечно, возможно) и протянуть какое-то время, пока ИТ и ИБ восстанавливают инфраструктуру. Тот же CEO рассказал, что в момент инцидента "девочки из финансов" сами ездили по контрагентам и партнерам на своих машинах и развозили документы и иные артефакты; не взирая на то, что "компьютер не работает".

В общем, киберкризис – это хорошая проверка своей руководящей команды. Да, хотелось бы не доводить до него в реальности. Поэтому управленческие симуляции помогают очень приближенно к реальности проверить, что будет происходить, если все-таки кибернесчастье случится.

ЗЫ. И да, компания, которая уже проходила через серьезный инцидент ИБ, обычно гораздо лучше проходит такие симуляции и даже сама может научить фасилитатора многому 😊

#cxo #управлениеинцидентами

Пост Лукацкого

16 March 2026 14:42

Опубликовали предварительную версию 0.1 нового стандарта по безопасности ИИ "SL5 Standard for AI Security". По сути речь идет о перекрытии NIST SP800-53 темой ИБ ИИ. Пока стандарт описывает 43 защитные меры в 10 семействах.

Да, это еще один стандарт по ИБ ИИ. Ну что уж тут поделать; тема модная – появляться будет много еще всякого, чтобы стать самым-самым стандартом (вспоминаем карикатуру про 14 стандартов и создание универсального).

#ии #стандартизация

Пост Лукацкого

16 March 2026 05:40

У иностранцев тоже есть своя "Панорама"; да еще и в области кибербеза. Кто бы меня так наказал?..

#юмор

Пост Лукацкого

23 March 2026 10:34

Определился с темой мастер-класса на грядущей 2-го апреля «Территории безопасности». Сначала думал про ИИ что-то замутить, но в параллель и так будет круглый стол на эту тему. А так как в последнее время помимо ИИ у меня регулярные обучения топов, то я подумал, что можно поговорить про то: "Как вас видят сверху: что CISO полезно понять про топ-менеджеров и советы директоров".

Времени меньше часа. Так что попробую уложить в них вот что:
➡️ Как топ-менеджеры и советы директоров воспринимают ИБ и чего ждут от CISO.
➡️ Какие ошибки мешают ИБ-руководителю быть услышанным на уровне бизнеса.
➡️ Как переводить технические вопросы в язык рисков, последствий и решений.
➡️ Какие метрики и формулировки лучше работают в разговоре с руководством.
➡️ Как приоритизировать ИБ-инициативы для защиты бюджета и управленческих решений.

Ну а так как у нас мастер-класс, то на выходе все участники, выбравшие именно эту часть программы конференции, а не другие идущих параллельно три трека, получат:
✔️ Набор вопросов для самопроверки.
✔️ Шаблон одностраничной записки для руководства.
✔️ Перечень бизнес-понятных метрик.
✔️ Простой фреймворк приоритизации ИБ-инициатив.

ЗЫ. Но зато про безопасность контролируемость ИИ я буду говорить в этот четверг на форуме «ИИ + Данные 2026»

#мероприятие #cxo #стратегия

Пост Лукацкого

22 March 2026 13:04

Вы же предусмотрели это в своей модели угроз? 🤔

#модельугроз #pki

Пост Лукацкого

21 March 2026 18:26

Интересное занятие, – анализировать долгосрочные тенденции, влиящие на рынок кибербезопасности, но при этом не столь очевидные как массовое внедрение ИИ-ассистентов, автоматизация HR или усталость общества от мошенничества. Я тут подумал, может ли война в Иране и блокирование Ормузского пролива повлиять на ИБ и если да, то как, в положительную или отрицательную сторону?

У меня нарисовались следующие возможные варианты развития событий, если война затянется (хотя с Трампом предсказывать что-то – дело гиблое; в Truth Social он уже заявил, что скоро все закончится, так как основные цели войны достигнуты):
➡️ Рост цен на энергоносители → рост затрат на дата-центры и ИТ → откладывание ИБ-модернизации.
➡️ Рост цен на энергоносители → ускоренная цифровизация энергосбережения → расширение поверхности атаки.
➡️ Рост цен на энергоносители → рост ценности энергетических компаний как цели → изменение ландшафта кибератак.
➡️ Рост цен на энергию → переход в облако ради экономии → концентрация рисков у облачных провайдеров.
➡️ Рост цен на топливо → давление на логистику и выездной сервис → ухудшение возможностей по физическому выезду для реагирования на инциденты.
➡️ Рост цен на энергию → энергетическая бедность населения и бизнеса → всплеск мошенничества и социальной инженерии.
➡️ Рост цен на энергию → компании снижают резервирование (дорого) → падает киберустойчивость.

Но есть и другой сценарий, который мы проходили 6 лет назад, во время COVID-19. Речь идет о росте удаленного доступа (хотя в России, с ее постоянными блокировками мобильного Интернета, эта тенденция выглядит пока малореальной). Итак, сегодня Международное энергетическое агентство (МЭА) выпустило ряд рекомендаций на фоне перебоев поставок из-за войны на Ближнем Востоке: удаленная работа, снижение скоростных лимитов на дорогах, больший упор на общественный транспорт, ограничения на использование частных авто в мегаполисах по дням, карпулинг и эко-вождение, повышение эффективности грузоперевозок и доставок, отказ от части авиаперелетов, переключение LPG от транспорта к более критичным применениям, альтернативы LPG в приготовлении пищи и технологическая гибкость в промышленности.

Каждая из этих мер вынуждает государства и бизнес быстрее заниматься цифровизацией (хотя это само по себе небыстрое занятие), перестраивать или централизовать процессы. Но одна мера там напрямую влияет на кибербез – речь об удаленной работе. МЭА прямо рекомендует "work from home" (помните этот девиз многих американских ИТ-компаний?), где это возможно. Для кибербеза это означает не просто "люди сидят дома", а рост критичности VPN, SSO, удаленных рабочих мест, облачных офисных сервисов, VDI, служб техподдержки и средств мониторинга домашних/внешних подключений.

МЭА предлагает избегать авиаперелетов там, где есть альтернативы. Для ИБ это означает рост доли удаленных переговоров, удаленного пресейла, удаленного аудита, дистанционного управления филиалами и более редкие выезды на площадки. Кажется, что это просто экономия на авиационном топливе, но на практике это делает компанию более зависимой от видеоплатформ, электронного документооборота, удаленного администрирования и доверия к цифровым каналам. Чем реже люди ездят физически, тем больше процессов они проводят через сеть – и тем выше ущерб от компрометации этих каналов.

Иными словами, любой кризис, который массово возвращает удаленку, автоматически поднимает цену компрометации удаленного доступа: украденные учетки, усталость от MFA (MFA-fatigue), фишинг под корпоративные порталы, атаки на подрядчиков, которые обеспечивают поддержку дистанционной работы и т.п.

А вы давно сдували пыль со своих плейбуков по безопасности удаленного доступа и проверяли процессы, о которых многие уже забыли со времен COVID-19?

#стратегия #vpn #экономика

Пост Лукацкого

21 March 2026 07:40

Басня "Кузнец и Замок"

В одном посаде, где народ ценил покой,
Кузнец чинил замки – не словом, а рукой.
Он людям объяснял: "Смотри, где в двери щель,
Замок не виноват, коль дверь – одна скудель".

Пришёл к нему Купец: "Замок мой – дорогой,
А сна всё нет как нет – как будто вор за мной".
Кузнец взглянул: "Беда! Твой страх вполне законен,
Коль вход в богатый дом запущен и наклонен.
Петля просела вниз – и нет в засове проку".
Поправил, укрепил – и все пришло к истоку.
Купец повеселел, стал спать куда бодрее,
И ставни открывать на солнышко смелее.

Но тут явился Страж, а с ним – перо и лист:
"Ты слабости явил? Знать, совестью нечист!
Не смей учить народ, где в петлях есть изъян:
Всяк знающий про брешь, – вожак для всех смутьян!"
"Чиню я, чтоб не крали!" – был кузнеца ответ.
"Чини, – отрезал Страж, – но объясненьям – нет".

Пост Лукацкого

20 March 2026 18:25

У РПЦ есть Экспертный совет Синодального отдела религиозного образования и катехизации, которому хотят расширить сферу компетенции ввиду разработки нового ГОСТа по вопросам, связанным с предотвращением угроз негативного влияния ИИ на духовно-нравственные ценности, которые волнуют всю ИБ-общественность...

#ии #стандарт

Пост Лукацкого

20 March 2026 14:42

Интересный кейс

#аутентификация #ответственность

Пост Лукацкого

20 March 2026 10:34

Юля написала заметку в ответ на мой пост, объединив два своих профильных образования и сферы деятельности – ИБ и психологию. А еще она сделала инструмент для психологического самоаудита специалиста по безопасности, посмотрев на задачу так, как будто мы ищем уязвимости в самих себе 👇 И пусть ИБ будет не только кибер-, но и психологически устойчивой!

#психология #оценказащищенности

Пост Лукацкого

19 March 2026 18:26

На вчерашнем мероприятии по ИИ среди большинства, считающих, что в компаниях надо стимулировать использование ИИ, были и скептики, которые ссылались на известный анекдот про обезьяну с гранатой. С ИИ, говорили они, может быть такая же проблема – если человек туп, то и использовать ИИ он будет по-тупому, даже не понимая, что делает. И вот свежий пример, который я стащил у нашего CISO (Витя, спасибо).

Я еще могу понять, когда HR используют ИИ для проверки резюме по формальным признакам. Я также могу понять, когда соискатели используют ИИ для подготовки резюме с учетом описания вакансии и профиля потенциального работодателя. Но я не могу понять кандидатов, которые даже не удосужились проверить свое резюме не только после написания его в ИИ, но даже перед отправкой.

#ии #работа

Пост Лукацкого

19 March 2026 10:34

Qihoo 360 выпустила свой новый ИИ-продукт 360 Security Lobster, в публичный установщик которого по ошибке попал приватный SSL-ключ для wildcard-сертификата *.myclaw.360.cn. Исследователи нашли его 16 марта 2026 года внутри файлов инсталлятора. По данным Barrack AI, сертификат был выпущен 12 марта 2026 года и действовал до 12 апреля 2027 года.

Самое неприятное в новости даже не только сам факт утечки, а ее контекст. Сертификат выдал WoTrus CA, связанный с Qihoo 360. WoTrus – это ребрендинг WoSign, центра сертификации, который в 2016–2017 годах лишился доверия со стороны Mozilla, Google и Apple из-за серьезных нарушений в процессах выпуска сертификатов, включая задним числом датированные сертификаты и другие проблемы управления доверием. Barrack AI прямо связывает нынешний инцидент с этой историей доверия.

Другой нюанс в wildcard-сертификате. Обычный сертификат обычно выдается на один конкретный адрес, например app.example.com. Wildcard-сертификат – это сертификат сразу на все поддомены вида *.example.com: api.example.com, login.example.com, chat.example.com и так далее. То есть это как один универсальный пропуск, который подходит не к одной двери, а почти ко всем дверям в одном здании. Поэтому его утечка особенно опасна: злоумышленник получает возможность подделывать не один конкретный сервис, а сразу целую группу сервисов на этом домене. В этой истории речь шла именно о таком сертификате для всех поддоменов myclaw.360.cn.

Злоумышленник, получив такой ключ (а где гарантия, что они не получили?), потенциально может выдавать себя за легитимный сервер, перехватывать трафик, подсовывать убедительно выглядящие страницы входа и атаковать сессии пользователей. Barrack AI отдельно подчеркивает риск MITM-атак и компрометации любых подключений к поддоменам myclaw.360.cn до момента отзыва сертификата, который, по требованиям CA/Browser Forum, при подтвержденной компрометации должен быть отозван в течение 24 часов.

Что тут важно в контексте корпоративной ИБ? Во-первых, это классический пример того, что секреты нельзя хранить внутри сборки, инсталлятора, контейнера или репозитория. Ни приватные ключи, ни API-ключи, ни токены, ни креды сервисных учеток. Все это должно подтягиваться из защищенного хранилища во время развертывания или запуска, а не "лежать рядом с кодом".

Во-вторых, wildcard-сертификаты надо использовать очень осторожно. Они удобны для эксплуатации, но создают большой радиус поражения: одна ошибка – и под угрозой оказывается сразу множество сервисов. Для критичных систем лучше дробить сертификаты по зонам, сервисам и средам, чтобы компрометация одного секрета не открывала слишком много дверей.

В-третьих, у компании, особенно ИБ-компании, должны быть автоматические контроли против таких ситуаций:
➡️ сканирование секретов в CI/CD,
➡️ проверка артефактов перед релизом,
➡️ SAST/secret scanning для репозиториев,
➡️ контроль содержимого установщиков и контейнеров,
➡️ а также отдельный release-gate, который блокирует публикацию, если в сборке обнаружены PEM-файлы, приватные ключи, .pfx/.p12, токены или другие чувствительные артефакты.

ЗЫ. Ну а в России свои проблемы с PKI, гораздо более глобальные. Но похоже регулятору плевать.

#ии #pki #проблемыибкомпаний

Пост Лукацкого

18 March 2026 14:42

Коллеги из Музея криптографии организовали профориентационный проект "Ключ к профессии" – серию встреч для старшеклассников и студентов младших курсов, планирующих связать свою жизнь с наукой и инженерией.

В новом сезоне программа посвящена четырем перспективным направлениям: бионической инженерии, информационной безопасности, телекоммуникациям и искусственному интеллекту. В каждой из четырех встреч участвуют эксперты и нанимающие руководители из крупнейших компаний, которые расскажут о специфике этих редких и сложных специальностей, о стоящих перед инженерами задачах и о том, что нужно сделать, чтобы получить работу мечты.

Первая встреча, которая пройдет 21 марта в 15.00 по адресу: Москва, ул.Ботаническая, 25, стр.4, будет посвящена профессии специалиста по информационной безопасности. На встрече речь пойдет о том, чем на самом деле занимается такой специалист и как страсть к поиску программных ошибок превратить в работу мечты (реверсеры по духу, ау).

➡️ Кто такие исследователи уязвимостей и какую роль сегодня они играют в безопасности крупных корпораций?
➡️ Как устроена работа в департаментах по реагированию на инциденты и почему здесь важна скорость реакции и аналитический склад ума?
➡️ С какими вызовами сталкиваются лаборатории анализа безопасности при проверке систем на устойчивость в эпоху искусственного интеллекта
➡️ Какие навыки и знания необходимы новичку для успешного старта в индустрии?
➡️ Как развивать собственный экспертный бренд в профессиональном сообществе и делиться знаниями, оставаясь востребованным специалистом?

Встреча поможет разобраться, в чем разница между задачами специалистов по тестированию на проникновение, аналитиков мониторинга и исследователей безопасности. Участники узнают, как математическая база и любопытство помогают находить критические ошибки там, где их не видит машина, разберут реальные кейсы по анализу защищенности, а также смогут задать вопросы экспертам-практикам и обсудить возможность стажировок.

Участие во встрече бесплатное, но требуется регистрация.

#работа

Пост Лукацкого

18 March 2026 05:40

Вчера один из топ-менеджеров в процессе управленческой симуляции киберкризиса нарисовал вот такого милого трицератопса. Будь я начинающим психологом, который начал изучать методику Маховер, я бы сделал какие-нибудь выводы о личности художника, ее травмах и т.д.

Но я не психолог и по единственному изображению не буду делать никаких интерпретаций о скрытой агрессии 😈 Тем более, что тест Маховер имеет спорную надежность. Такой дудлинг (автоматическое рисование во время слушания) может означать все, что угодно, – интерес к теме, любовь к ярким образам, привычку рисовать животных/существ, игровой настрой, желание занять руки, ассоциацию с чем-то "большим/древним/сильным", или вообще ничего специального.

Однако, это не значит, что психология не имеет отношения к ИБ. Неслучайно мы хотели сделать отдельный трек "Отличные люди" на PHD, посвященный этой теме. Я считаю, что у нас незаслуженно она обойдена вниманием во время обучения по ИБшным специальностям. Я бы обязательно включал следующие дисциплины в курс любого специалиста, который претендует на статус эксперта ИБ:
💡 Когнитивная психология. Как человек воспринимает информацию, ошибается, игнорирует сигналы, принимает решения в условиях перегрузки и неопределенности.
💡 Поведенческая психология. Как формируются привычки, почему сотрудники нарушают правила, что влияет на реальное поведение, а не на декларируемые знания.
💡 Социальная психология. Влияние группы, авторитета, конформизма, давления среды, доверия и манипуляций – особенно важно для фишинга, социальной инженерии и корпоративной культуры.
💡 Психология принятия решений. Эвристики, когнитивные искажения, неверная оценка рисков, реакция руководителей и специалистов на неоднозначные сигналы и кризисы.
💡 Психология риска. Почему люди недооценивают одни угрозы и переоценивают другие, как воспринимают вероятность, ущерб и личную ответственность.
💡 Организационная психология. Культура компании, конфликты между ИБ и бизнесом, лидерство, сопротивление изменениям, усталость от регламентов, мотивация сотрудников.
💡 Психология труда и эргономика. Усталость, выгорание, перегрузка SOC-аналитиков, ошибки операторов, удобство интерфейсов и процессов безопасности.
💡 Клиническая и кризисная психология. Стресс, тревога, поведение людей во время инцидентов, реакции на кибератаки, восстановление после кризиса.
💡 Психология убеждения и влияния. Как злоумышленники воздействуют на жертву и как специалисты по ИБ могут корректно доносить риски до сотрудников и топ-менеджмента.
💡 Психология обучения. Как реально обучать безопасному поведению, почему формальные курсы не работают и как строить практическое обучение.
💡 Психология доверия. Доверие к системам, ИИ, уведомлениям безопасности, коллегам, подрядчикам и цифровым сервисам.
💡 Психология личности и индивидуальных различий. Разные типы сотрудников, руководителей, инсайдеров, атакующих; различия в склонности к риску, импульсивности, дисциплине и уязвимости к манипуляциям.

ЗЫ. Всегда восхищался людьми, которые умеют рисовать или играть на музыкальных инструментах.

#психология

Пост Лукацкого

17 March 2026 14:42

Постоянно, в последнее время, даю комментарии СМИ про блокировки Telegram и замедлятства Интернет. И вот что я заметил – люди часто путают мессенджер для обмена сообщениями и средства потребления контента. Telegram'у удавалось совмещать в себе инструмент общения 1-2-1, чаты на сотни и тысячи человек и каналы с полезным и не очень контентом. И все это в одном приложении. Отсюда и путаница.

Блокируют Telegram не потому, что он позволял обмениваться данными террористам, чтобы там публично не говорили. А именно из-за его способности объединять сотни тысяч и миллионы человек, оперативно донося до них информацию, которая может, в условиях грядущих выборов, не понравиться власть предержащим.

Когда люди ищут замену Telegram, большинство не задумываются на вопросом "ДЛЯ ЧЕГО". Большинство хочет просто иметь такой же удобный инструмент, к которому они уже привыкли. Но если же разбить задачу на части, то ситуация прекрасно решаема по отдельности:
💌 Отправить сообщение одному человеку - СМС или ЛЮБОЙ мессенджер, коих в магазинах приложений представлено десятками, те жэ IMO, Express, VK Messenger и т.п.
✉️ Отправить сообщение небольшой группе людей (семья, класс, группа) – почти ЛЮБОЙ незаблокированный еще мессенджер или электронная почта. Главное, чтобы у всех участников группы было такое же приложение.
✔️ Читать новости – приложения типа Дзен или Medium или RSS-читалки.
✈️ Вести канал с информацией – вот это и есть основная засада, которая не может быть решена эффективно по команде сверху или постановлению Правительства. Для канала, в массе своей, важна аудитория и контакт с ней. И любое приложение, которое будет давать такую возможность, сразу попадет в прицел властей и будет взято под контроль. И если владелец приложения не готов будет "сотрудничать", его объявят эстремистом, террористом, педофилом и всякими другими нехорошими словами. А если он готов будет "сотрудничать", то он потеряет свою аудиторию. Балансировать на грани достаточно сложно, если вообще возможно.

Если решать отдельные задачи, то проблем вообще нет. Но приложение, которое бы совмещало в себе решение всех этих задач и объединяло бы миллионы, десятки и сотни миллионов человек, – это уже первый кандидат на блокировку. Когда я был программистом, я в рамках обычной дипломной работы создал приложение для коммуникаций, которое позволяло обмениваться шифрованной связью людям, у которых это приложение было установлено. Я создал его за несколько вечеров – это оказалось несложно при наличии всех нужных библиотек. Сегодня, с помощью вайбкодинга, это сделать еще проще (к разговору о террористах и прочих "редисках"). Но если я навайбкожу сейчас новый мессенджер и выложу его в AppStore, то многие ли будут им пользоваться? Нет , так как альтренатив и так масса.

Желающие поиграть в обход цензуры и шатдаунов Интернета могут попробовать Bitchat, Briar, Bridgefy или Meshtastic. Поверьте, это не то, что вы хотите использовать в повседневной жизни. Да, в толпе людей вы можете их использовать для обмена по технологии mesh, минуя LTE-сети или городской Wi-Fi. Но не более.

Это краткосрочное решение задач. Для работы в территориально-распределенном окружении все равно нужен Интернет, находящийся под контролем государства. И это все равно не решает задачу ведения и чтения каналов – в этих приложениях такого функционала просто нет. И как только он там появится, его сразу же будут давить, – через давление на магазины приложений, через запрет/ограничение Bluetooth и nearby-коммуникаций на уровне мобильных ОС, обнаружение и подавление характерного mesh-трафика и т.д. Это, кстати, отдельная задача для ИБ – выявлять и контролировать такой трафик, но об этом как-нибудь в другой раз.

А пока борьба продолжается, как и мое ведение этого канала... Я адекватной альтернативы Telegram пока, увы, не нашел, а для общения всегда есть традиционные варианты, те же СМС или e-mail.

#мессенджер #суверенитет

Пост Лукацкого

16 March 2026 18:26

В Кибердоме хорошая подборка книг. Правильная, так сказать, отражающая реалии отрасли, стремящейся к ЗОЖ несмотря на хронический алкоголизм…

Пост Лукацкого

16 March 2026 10:34

Интересно оформленное руководство по реагированию на инциденты. Без канцеляризмов и сложных инструкций, с примерами неких бесплатных инструментов и геймификацией на базе карточной игры "Backdoor & Breaches".

#управлениеинцидентами

Пост Лукацкого

15 March 2026 18:25

Все-таки умели снимать кино в советское время...

#видео