🫥 Загрузка в ИБ — рубрика, в которой специалисты AKTIV.CONSULTING делятся профессиональным опытом, рассказывают, как пришли в ИБ, с какими вызовами столкнулись и что помогает им развиваться.

Герой этой серии: Анастасия Калиничева, специалист по информационной безопасности.

В карточках профессиональный путь Анастасии от мечты о карьере в ИТ до осознанного выбора ИБ-консалтинга. Она делится тем, как развивает экспертизу в проектах и что ее вдохновляет.

Сейчас мы ищем в команду специалиста по ИБ. Подробнее о вакансии — по ссылке.
Полное интервью Анастасии читайте тут.

#Анастасия_Калиничева #работа_в_консалтинге


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🙅‍♂️ Как придать коммерческой тайне юридический статус

В первой части мы разобрали, что считается коммерческой тайной и почему ее защита важна.

Теперь — о практическом: как оформить режим КТ юридически и выстроить защиту так, чтобы она работала не только на бумаге, но и в суде.

Как придать коммерческой тайне в компании юридический статус
Чтобы защитить конфиденциальную информацию, недостаточно просто ограничить к ней доступ. Важно придать ей юридический статус, следуя требованиям законодательства. Это позволит не только предотвратить утечки, но и обеспечит правовую основу для защиты информации в случае ее неправомерного использования.

Режим коммерческой тайны устанавливается при соблюдении ряда условий (ст. 10 Закона № 98-ФЗ):
☁️ Определение перечня информации, относящейся к коммерческой тайне;
☁️ Установление порядка работы с этой информацией и механизмов контроля за ее использованием;
☁️ Разработка системы учета сотрудников и контрагентов, имеющих доступ к конфиденциальным сведениям;
☁️ Договорное регулирование вопросов, связанных с использованием и защитой информации;
☁️ Маркировка носителей информации с использованием грифа «Коммерческая тайна».

Если организация не выполняет эти требования, она не сможет ссылаться на коммерческую тайну в случае судебных разбирательств, а информация может быть признана не защищенной законом.

Почему защита коммерческой тайны важна?
Внедрение режима коммерческой тайны позволяет компании:
☁️ Предотвращать утечки и защищать конфиденциальную информацию от конкурентов и злоумышленников;
☁️ Минимизировать юридические риски, исключая возможность признания сведений незащищенными в судебных спорах;
☁️ Обеспечить контроль за доступом сотрудников и контрагентов к критически важным данным;
☁️ Соблюдать законодательные требования, избегая штрафов и других санкций.

Если ваша компания еще не внедрила меры по защите коммерческой тайны, рекомендуется начать с разработки локальных нормативных актов, внедрения ограничений доступа и обучения сотрудников правилам работы с конфиденциальной информацией. Это поможет не только защитить бизнес, но и обеспечить его устойчивое развитие в условиях рыночной конкуренции.

#Артем_Денисов


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🎮 Учиться взламывать, чтобы защищать: где белым хакерам легально прокачать скилл

Сегодня все больше растет популярность игр и симуляторов, позволяющих изучать кибербезопасность и легально практиковаться в этой сфере. Современные обучающие платформы предоставляют полноценную среду для освоения реальных инструментов и техник.

✅ Telehack
Симулятор старой школы: сеть 1980-х, 26 000 виртуальных хостов, команды Telnet и атмосфера BBS. Отличное место, чтобы прокачать командную строку и получить опыт «как раньше».

✅ OverTheWire
Серия игр для новичков и не только. Всё начинается с SSH-доступа и базовых команд, но постепенно задачи усложняются, и к концу вы уже уверенно чувствуете себя в Linux-среде.

✅ PicoCTF
Если хочется соревноваться — это сюда. Классический CTF-формат, где решаются реальные задачи: веб-взлом, форензика, криптография, бинарный анализ.

✅ Виртуальные лаборатории TryHackMe и HackTheBox
Полноценные виртуальные лаборатории. Настраиваете собственную сеть, ищете уязвимости, тестируете инструменты. Здесь нет единственного правильного решения — только вы, задача и ваша находчивость.

Такие платформы не заменят боевой практики, но создают максимально приближенные к реальности условия — и в легальном, безопасном формате. Отличный старт для тех, кто хочет больше, чем просто читать про уязвимости.

#пентест #анализ_защищенности


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

💼 Что такое коммерческая тайна и зачем она нужна?

Регулирование коммерческой тайны в России осуществляется законодательными актами, главным из которых является Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне». Этот закон определяет правовые основы защиты конфиденциальной информации и устанавливает порядок введения режима коммерческой тайны в организации.

Коммерческая тайна (КТ) — это режим конфиденциальности информации, который позволяет ее обладателю повысить доходы, избежать неоправданных расходов, сохранить конкурентное преимущество или получить иную коммерческую выгоду. Законодательство, регулирующее защиту коммерческой тайны, включает Трудовой кодекс Российской Федерации и Федеральный закон № 98-ФЗ.

Грамотно организованный режим коммерческой тайны помогает предотвратить экономические потери, вызванные утечками информации, промышленным шпионажем или недобросовестной конкуренцией. Контроль над конфиденциальными сведениями снижает инсайдерские риски и дает компании юридическую основу для защиты своих интересов в случае их нарушения.

Ключевые признаки коммерческой тайны
Информация может считаться коммерческой тайной, если она отвечает следующим критериям:
☁️ Принадлежит индивидуальному предпринимателю или юридическому лицу, занимающемуся коммерческой деятельностью;
☁️ Обладает коммерческой ценностью, то есть дает компании конкурентное преимущество или влияет на ее финансовые показатели;
☁️ Неизвестна третьим лицам, не имеющим законного доступа;
☁️ Доступ к информации ограничен определенной группой лиц;
☁️ Приняты меры для ее защиты (например, организационные, технические или правовые).

В следующем посте мы разберем, как придать коммерческой тайне юридический статус в компании и почему ее защита важна не только с точки зрения безопасности, но и критична для соблюдения законодательства и устойчивости бизнеса.

#Артем_Денисов


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣Минцифры подготовило правила работы по обезличиванию персональных данных
Операторам данных предложили пять методов обезличивания, которые будут проводиться только через софт министерства.

🗣Ассоциация больших данных создала методику оценки зрелости процессов по защите информации
Документ должен помочь компаниям оценить внутренние процессы работы с данными и уровень их защищенности.

🗣Банк России разрабатывает ряд инструментов для увеличения прозрачности обмена информацией
Одним из таких инструментов станет «единое окно», в котором человек сможет управлять согласиями на предоставление персональных данных.

🗣Киберпреступники начали использовать методы двойного и тройного вымогательства против компаний
Помимо шифрования данных злоумышленники крадут информацию и угрожают ее публикацией либо начинают DDoS-атаки на жертву.

🗣Минцифры рассматривает отказ от хранения любых данных с портала «Госуслуги»
Глава министерства сообщил, что это должно произойти к 2026 году.

🗣Почти половина опрошенных россиян считает недостаточной защиту умных устройств
В то же время, согласно опросу ВТБ, 10% респондентов вообще не знают, что утечка данных с таких устройств возможна.

🗣Российский суд впервые оштрафовал банк за использование иностранного мессенджера для отправки персональных данных
Сумма штрафа составила 200 тысяч рублей, сообщили в Роскомнадзоре.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🌐 Обход аутентификации в веб-приложениях

Сегодня предлагаю поговорить о критической уязвимости – обходе аутентификации в веб-приложениях, как злоумышленники находят способы получить доступ к системе без легитимных учетных данных, и к каким последствиям для организации это может привести.

↖️ Основные векторы атак:
• Манипулирование HTTP-заголовками – это внедрение собственных HTTP-заголовков и создание поддельных HTTP-ответов;
• Манипулирование cookie – это подмена, удаление и редактирование файлов cookie;
• Уязвимости в механизмах восстановления пароля – недостаточная сложность вопросов, зависимость от секретности алгоритма или метода, а также отсутствие ограничений для восстановления пароля;
• SQL-инъекции – это атака с внедрением вредоносного SQL-кода в веб-приложение, который исполняется на сервере;
• XSS-атаки – межсайтовый скриптинг, веб-атака, заключающийся во внедрении на страницу сайта или приложения вредоносного кода, который при открытии пользователем поражённой страницы, взаимодействует с удаленным сервером злоумышленника;
• Перехват и фиксация сеансов – это атаки, во время которых злоумышленник перехватывает управление сеансом пользователя или устанавливает для жертвы определённый идентификатор сеанса, что позволяет ему выполнять действия от его имени.

🔓 Какие меры стоит предпринять:
• Внедрить многофакторную аутентификацию;
• Использовать шифрование данных (версия TLS не ниже 1.2);
• Установить лимиты количества попыток входа в систему в течение короткого промежутка времени и реализовать временную блокировку;
• Ограничьте количество одновременных сессий;
• Регулярно обновлять программное обеспечение;
• Регулярно проводить работы по тестированию на проникновение.

📌 Последствия обхода аутентификации в веб-приложении злоумышленником могут привести к нежелательным последствиям – от утечки данных до полного компрометации системы.

👉 Мы рекомендуем инвестировать в безопасность на этапе разработки, а не после инцидента, ведь даже одна уязвимость в механизме аутентификации может привести к серьезным последствиям и стоить для организации очень дорого.

#Артем_Храмых


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣Меры по управлению рисками реализации информационных угроз и технологической зависимости

В прошлом году ЦБ РФ представил Методические рекомендации №7-МР, которые предписывают на протяжении нескольких лет осуществить внедрение требований ГОСТ Р 57580.4 по обеспечению операционной надежности (ОН).

В данном документе есть важный раздел «Процесс 4. Взаимодействие с поставщиками услуг», где описываются меры по управлению различными рисками ОН: рисками реализации информационных угроз и рисками технологической зависимости. Рассмотрим каждую из данных мер подробнее.

Меры по управлению рисками реализации информационных угроз направлены на предотвращение вторжений и компьютерных атак на ИТ-инфраструктуру заказчика из ИТ-инфраструктуры поставщика.

Тезисно данные требования можно описать следующим образом:

1️⃣ Организация защиты от компьютерных атак.

2️⃣ Меры по обеспечению безопасности цепочки поставок:
• оценка репутации и благонадежности поставщиков;
• обеспечение транспарентности и оценки уровня зрелости процессов поставщиков;
• проведение независимого аудита;
• оценка программ безопасности на этапах жизненного цикла объектов информационной инфраструктуры.

3️⃣ Обеспечение опернадежности технологических процессов, переданных на аутсорсинг:
• заключение соглашений о конфиденциальности (NDA) и уровне сервиса (SLA);
• заблаговременная проработка альтернативных поставщиков и гарантий технической поддержки.


Меры по управлению рисками технологической зависимости направлены прежде всего на диверсификацию рисков между несколькими поставщиками. Среди основных требований:

1️⃣ Диверсификация риска по государственной принадлежности.

2️⃣ Обеспечение гарантийной технической поддержки (ТП) на весь срок эксплуатации объектов информационной инфраструктуры (ОИИ).

3️⃣ Установление требований защиты информации и операционной надежности к приобретаемым ОИИ.

4️⃣Выявление ОИИ с близким сроком завершения жизненного цикла (т.н. «end-of-life»).

5️⃣Организация самостоятельной ТП применяемых ОИИ.

6️⃣ Организация технического обслуживания ОИИ прикладного и инфраструктурного уровней, а именно:
• регистрация всех событий безопасности при ТО;
• проведение ТО в соответствии с техническими требованиями;
• тестирование работоспособности ОИИ после завершения ТО.

7️⃣ Контроль удаленной ТП:
• применение многофакторной аутентификации;
• регистрация всех событий безопасности при ТП;
• гарантированное завершение сессий по завершении ТП;
• подключение через VPN с ОИИ с аналогичным уровнем защиты, что и у ОИИ заказчика.

8️⃣ Определение квалификационных требований к ТП.

❗️ Данная работа должна выстраиваться системно, начиная от установки требований по защите информации и ОН в явном виде, требований к квалификации персонала, и заканчивая усиленным контролем за действиями конкретного инженера ТП поставщика, регистрацией всех событий безопасности, контролем за его действиями.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Методические указания по категорированию ОКИИ в сфере связи ➤

Опубликованы Методические указания по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, осуществляющим деятельность в сфере связи.
Указанные Методические указания, разработаны с учетом перечней типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере связи, и согласованы с ФСТЭК России.

Нашли созвездие A.C? Это AKTIV.CONSULTING поймал связь с космосом! 🛰

💫 Ко Дню космонавтики подготовили короткую викторину о космосе и технологиях.
Проверьте, насколько вы ближе к звездам.

«Поехали!»


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣В России разрабатывают проект законодательного регулирования искусственного интеллекта
Он запрещает системы с «неприемлемым уровнем риска», вводит маркировку контента и ответственность разработчиков за вред, нанесенный нейросетями.

🗣«МегаФон» предложил создать стандарт борьбы с телефонными мошенниками
Предполагается, что при соблюдении такого стандарта операторы не будут нести ответственность за нанесенный злоумышленниками ущерб.

🗣Прогноз: минимум 600 тыс. ИТ-специалистов потребуется России до 2030 года
По словам экспертов, на сегодняшний день любая компания, которая занимается бизнесом в РФ, должна иметь специалиста по ИТ-технологиям, либо нанимать на аутсорс такие услуги.

🗣В Госдуме предупредили о росте числа хакерских атак на API-интерфейсы
Злоумышленники активно ищут слабые места в неправильно настроенных API-интерфейсах, чтобы получить доступ к конфиденциальным данным онлайн-сервисов.

🗣Исследование: 46% опрошенных ИТ-специалистов доверяют российским AI-сервисам
Более 70% специалистов применяют AI-сервисы как минимум раз в неделю, а среди основных сценариев взаимодействия — работа с кодом, генерация текстов, поиск информации и анализ данных.

🗣Роскомнадзор порекомендовал использующим VPN компаниям отказаться от иностранных протоколов шифрования
В случае технической необходимости их использования нужно направить заявление в Центр мониторинга и управления сетью связи общего пользования, подведомственный РКН.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

❓ Готовы к большим изменениям в сфере КИИ?

Ранее мы уже писали о том, что Госдума приняла во втором и третьем чтениях поправки в 187-ФЗ.

Сейчас же, 7 апреля 2025 года, федеральный закон 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» был подписан.

Отныне все значимые объекты критической информационной инфраструктуры должны будут использовать только то ПО, которое внесено в реестр российского софта. Особое внимание уделяется требованиям к программно-аппаратным средствам и механизму категорирования объектов КИИ.

Ключевые изменения:
➡️индивидуальные предприниматели больше не являются субъектами КИИ и освобождены от выполнения требований по защите объектов КИИ

➡️в банковском и финансовом секторах все требования к используемым на значимых объектах критической информационной инфраструктуры программно-аппаратным средствам будут согласовываться с Банком России;

➡️ФСБ России получает расширенные полномочия: устанавливает порядок установки и эксплуатации средств защиты, разрабатывает процедуры информирования о кибератаках и инцидентах.

Настоящий федеральный закон вступает в силу с 1 сентября 2025 года.

Как вы оцениваете готовность ваших организаций к такому масштабному переходу?

#Владислав_Крылов

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Кот ГОСТик тоже старается удержать баланс между hard и soft skills. А что прокачиваете чаще вы?

👍— hard skills
🔥— soft skills


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🧩 В современном мире руководители признают, что soft skills сотрудников не менее важны, чем hard skills. Компании стремятся нанимать специалистов с развитыми soft skills, но из-за их дефицита на рынке труда многие развивают эти навыки уже после приёма на работу.

Почему soft skills так важны для работы в команде?
Soft skills включают в себя эмоциональный интеллект, самоконтроль, эмпатию, тайм-менеджмент, умение принимать решения и чувство юмора. Эти навыки помогают сотрудникам эффективно работать в команде, управлять своим временем и профессионально расти. Они способствуют формированию благоприятного психологического климата в коллективе, что в свою очередь снижает количество конфликтов между коллегами и заказчиками.

Кроме того, развитие soft skills помогает:
☁️Выстраивать эффективные коммуникации.
☁️Успешно решать конфликты.
☁️Воспитывать лидеров внутри компании.
☁️Повышать стрессоустойчивость.
☁️Развивать творческое мышление.
☁️Увеличивать производительность работы благодаря навыкам тайм-менеджмента.

Как повысить уровень soft skills?
Процесс обычно строится по схеме «знание — умение — навык»:
☁️Руководитель или HR-отдел определяет области, требующие улучшения.
☁️Объясняют сотрудникам важность развития soft skills и приводят примеры, как эти навыки помогают в карьерном росте.

После выявления слабых мест совместно с сотрудниками подбираются инструменты, которые помогут прокачать soft skills: это могут быть книги, курсы, тренинги и т.д.

Работа, направленная на развитие soft skills, должна оцениваться и определяться в рамках системы грейдов. Для того, чтобы сотрудник понимал, как развитие определенных навыков будет помогать в его работе, поддерживания и развивая hard skills.

Приведу несколько практических примеров того, как это решено в нашей компании.
☁️Ежемесячные митапы помогают нам учиться навыкам публичных презентаций, работы с контентом и ораторскому искусству.
☁️Для будущих управленцев компания предоставляет возможность корпоративного обучения, включающего психологические аспекты командообразования, постановку целей по SMART, типы организационной культуры, приемы эффективного тайм-менеджмента и т.д.

Подытожим: развитие персональных soft skills сотрудников играют важную роль в успехе всей команды. Они помогают формировать благоприятный психологический климат, избегать конфликтов и повышать производительность.

#Сергей_Сугоняев


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⌨️ Инструменты для пентеста

Продолжаем делиться относительно новыми утилитами для OSINT и инструментами для Blue Team, которые за последние пару лет стали частью ОС Kali Linux. Разбираемся, когда и для каких задач стоит их применять.

OSINT-инструменты:
🌙Findomain — инструмент для поиска субдоменов. Использует логи Certificate Transparency и API сервисов для быстрой разведки.
🌙H8mail — утилита, предоставляющая возможные пароли для указанного почтового ящика на основе баз данных. Может использоваться для проверки повторного использования паролей.
🌙ReconSpider — продвинутый фреймворк для OSINT. Позволяет сканировать IP-адреса, email-адреса, сайты и собирать информацию из разных источников.
🌙Autorecon — многопоточный инструмент сетевой разведки. Автоматически сканирует порты и анализирует обнаруженные сервисы.

Инструменты команды защиты (Blue Team):
🌙Chainsaw — инструмент для первичного реагирования на инциденты, позволяет быстро искать артефакты в журналах событий Windows, таблицах Master File Table и System Resource Utilization Monitor.
🌙Snort — это гибкая сетевая система предотвращения вторжений (IPS) и обнаружения вторжений (IDS) с открытым исходным кодом, совместимая с ОС Windows и Linux, которая позволяет записывать все выявленные угрозы в лог-файл.
🌙Portspoof — утилита для эмуляции TCP-портов. Показывает все порты как «открытые», создавая ложную картину уязвимостей.
🌙Hubble — распределенная платформа мониторинга сетей, сервисов и безопасности в Kubernetes и облачных нагрузках с использованием eBPF.
🌙TheHive — масштабируемая платформа реагирования на инциденты. Позволяет централизованно отслеживать и расследовать события ИБ.

⚠️ Мы рекомендуем использовать данные инструменты только в ознакомительных целях — на своих локальных сетях, серверах и сайтах, либо по договору на проведение анализа защищенности или тестирования на проникновение.

#Артем_Храмых #пентест #анализ_защищенности #OSINT


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

​​​​​​📣 Изменения в Указ № 166

Официально опубликован Указ Президента Российской Федерации от 07.04.2025 № 214 «О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

🔥 Подкаст «Безопасный выход» запускает короткий новостной формат.

🎙 Его постоянными ведущими стали Владислав Крылов и Никита Козин — консультанты по информационной безопасности AKTIV.CONSULTING.

В каждом выпуске ведущие будут обсуждать новости из мира ИТ, ИБ и ИИ, которые они не только обсудят, но и присвоят им личный рейтинг.

Смотрите наш первый новостной выпуск, и вы узнаете:
🟠Ждут ли компании возвращения ИТ-гигантов.
🟠Как в Казахстане планируют регулировать ИИ.
🟠Что такое оценка кибератак по шкале ураганов.
🟠Как один из крупнейших телеком операторов боролся с утечками.

📺 VK Видео

📺 Rutube

📺 YouTube

#подкаст #Безопасныйвыход #новости

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣Правительству и ЦБ поручили разработать единый системный подход к борьбе с кибермошенниками
В частности, прорабатываются следующие меры: создание механизма оперативного оповещения банков при обнаружении мошеннического телефонного вызова и компенсация клиентам средств, украденных после взлома приложений банков через вредоносное ПО.

🗣Роскомнадзор опроверг информацию о сборе данных для слежки за пользователями
Ведомство намерено собирать информацию о сетевых адресах для актуализации правил противодействия DDoS-атакам и не будет отслеживать действия пользователей запрещенных сайтов.

🗣Деятельность белых хакеров хотят узаконить подробнее
Одно из предложений — ввести две категории поиска уязвимостей: закрытую (с ограниченным числом исследователей) и открытую (с неограниченным доступом).

🗣Руководство банков будет отвечать репутацией за утечки данных
Деловая репутация замглавы банка, отвечающего за кибербезопасность, будет считаться неудовлетворительной в случае утечки персональных данных и их использования злоумышленниками.

🗣ИТ-компании просят расширить перечень мер поддержки на фоне возможного возвращения западных вендоров
Среди предложенных инициатив – государственное регулирование цен на российские продукты, а также отмена штрафов за использование иностранного ПО.

🗣Почта Mail заблокировала свыше 7,1 млрд спам- и мошеннических писем с января по март 2025 года
Благодаря развитию антиспам-решений на основе ИИ и применению «репутационных фильтров», блокирующих IP-адреса и домены с низким рейтингом, общее количество спама снизилось на 35% по сравнению с 2024 годом.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🫥 Загрузка в ИБ — рубрика, в которой специалисты AKTIV.CONSULTING делятся профессиональным опытом, рассказывают, как пришли в ИБ, с какими вызовами столкнулись и что помогает им развиваться.

Первый герой этой серии: Ольга Копейкина, ведущий консультант.
В карточках — путь эксперта от управления ИБ в госкорпорации до консалтинга ИБ, отличия форматов работы, честный взгляд на сложности и советы для тех, кто только планирует профессиональный переход.

Сейчас Ольга ищет в команду ведущего ИБ-консультанта. Подробнее о вакансии — по ссылке.
Полное интервью Ольги читайте тут.

#Ольга_Копейкина #работа_в_консалтинге

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🚩 Red флаги добрались и до CISO: на что стоит обращать внимание в операционной деятельности?

Киберугрозы становятся все изощреннее, бизнес — динамичнее, а регуляторы — строже. В таких условиях, роль CISO (Chief Information Security Officer) приобретает критически важное значение. Сегодня каждая компания (будь то крупная корпорация или небольшое предприятие) нуждается в компетентном лидере, отвечающем за защиту информации, понимание рисков и минимизацию угроз.

Разберем ключевые угрозы, с которыми
сталкивается CISO🕊

📄 Рост и ужесточение регуляторных требований
По состоянию на 2024 год перечень основных документов в области защиты информации включает более 150 наименований.

⚖️ Ответственность за результат
Увеличивается личная и юридическая ответственность CISO за защиту данных. Это отражено, например, в Указе Президента РФ от 1 мая 2022 г. № 250.

📈 Расширяющийся ландшафт угроз
Увеличиваются как количество, так и сложность атак. По данным «Лаборатории Касперского», в первом полугодии 2024 года в России и СНГ количество критичных киберинцидентов выросло на 39% по сравнению с аналогичным периодом 2023 года.

🔄 Изменяющаяся бизнес-среда
Необходимо оперативно адаптировать защитные меры под изменяющиеся бизнес-требования, чтобы не тормозить развитие компании.

🤝 Риски третьих сторон
Уязвимости поставщиков и участников цепочек поставок, которые не всегда можно контролировать напрямую. Размер этого рынка в 2024 году оценивается в $11,98 млрд, а к 2029 году достигнет $21,59 млрд при среднегодовом росте 12,5%.

🤖 Безопасность и угрозы, связанные с ИИ
С одной стороны, ИИ автоматизирует рутинные задачи, с другой — развитие агентных моделей приведет к появлению новых типов угроз, когда множество ИИ-агентов будут работать автономно и во взаимодействии между собой.

🏢 Роль безопасности в организации
Безопасность часто воспринимается как исключительно технический аспект, что мешает эффективному диалогу с бизнесом и усложняет оценку эффективности ИБ.

⚙ Операционное совершенство
Необходимо поддерживать актуальный уровень защиты и уметь оперативно адаптироваться к новым угрозам и технологиям.

💸 Ограниченные ресурсы
Хроническая нехватка кадров и бюджета на фоне общего дефицита ИБ-специалистов.


Так, современный CISO должен не только внедрять технические меры, но и инвестировать в развитие себя и своей команды, выстраивать взаимодействие с бизнесом и адаптироваться к постоянно меняющейся среде.

#Сергей_Шленский

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Приглашаем на третью конференцию по ИБ АСУ ТП, собранную участниками сообщества RUSCADASEC

RuSCADASec conf это митап, где эксперты в области ИБ АСУТП:
- делятся экспертизой,
- обсуждают бытовые и важные вопросы,
- общаются, знакомятся я и находят решения.

📌Что еще ждет участников конференции RUSCADASEC CONF 3 апреля?

👥 Самый практический трек — Битва, под модерацией Дмитрия Даренского, руководителя практики промышленной кибербезопасности Positive Technologies.

Тут спикеры честно расскажут о реальных кейсах в словесном устном состязании.

Кто участвует:
📣 Вячеслав Логвиненко, Заместитель куратора по ИБ АСУ ТП, Норникель
📣 Евгений Гончаров, руководитель центра исследования безопасности промышленных систем, Лаборатория Касперского
📣 Александр Волошин, заведующий кафедрой РЗА МЭИ, директор Центра НТИ по распределенной и интеллектуальной энергетике

Приходите послушать и задать вопросы!

✍️ Регистрация открыта

🕘 3 апреля 2025
📍 РГУ нефти и газа (НИУ) имени И.М. Губкина

👀 Кто вы в ИБ?

1 апреля — идеальный день, чтобы это выяснить.
Выбирайте, кто вы в этой серьезной, но веселой тусовке.

P.S. Все герои вымышлены и совпадения случайны, но не исключены 😉

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

💵 OpenAI объявила о новом этапе развития своей bug bounty-программы

Максимальная выплата за критическую уязвимость увеличена в пять раз — теперь она составляет до $100 000. Это решение направлено на привлечение большего числа квалифицированных специалистов и ускоренное выявление потенциальных угроз.

🔍 Теперь белые хакеры со всего мира могут смело вступать в бой с уязвимостями.
В программе появились временные бонусы — дополнительная мотивация для быстрой и эффективной реакции. Так OpenAI стремится сделать свои продукты не только популярными, но и по-настоящему защищёнными.

🔬 Компания также сотрудничает с лабораториями, университетами и стартапами, чтобы проводить постоянное тестирование и устранять угрозы еще до их реализации.

Как думаете, какой баг может стоить $100 000? 🤔

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🔐 Как РКН проверяет утечки и реагирует на них

За 2024 год РКН зафиксировал 135 случаев утечки баз данных, в которых содержались более 710 млн записей о россиянах.

Подробно рассмотрим механизм реагирования РКН на правонарушения в сфере законодательства о ПДн, закрепленный в нормативных документах🕊

☁️ РКН является уполномоченным органом по защите прав субъектов ПДн, на который возлагается обеспечение контроля и надзора за соответствием обработки ПДн требованиям 152-ФЗ;
☁️ существует перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн (приказ Минцифры от 15 ноября 2021 г. № 1187), согласно которому при установлении определенных фактов РКН относит поднадзорную организацию к соответствующей категории риска;
☁️ после отнесения организации к категории риска, РКН может проводить ряд профилактических мероприятий, в т. ч. объявление предостережения или профилактический визит;
☁️ РКН может проводить контрольные мероприятия как планово, так и внепланово, но для внеплановых контрольных мероприятий установлены определенные основания.

До сих в законодательстве не закреплен механизм проверки РКН уникальности утекшей базы данных. Новые поправки вводят такое понятие как «идентификатор» – от количества утекших идентификаторов в т. ч. зависит размер административного штрафа.

Таким образом, если в открытом доступе появится база ПДн, включающая в себя не только реальные ПДн, но и сгенерированные значения, используемые разработчиками Оператора для тестирования ПО ИСПДн, как будет считаться количество идентификаторов? Необходим ли правовой механизм подтверждения достоверности утекших идентификаторов?

В тексте КоАП предусматриваются новые критерии, от которых зависит размер штрафа, два из них — это количество пострадавших субъектов ПДн и количество «идентификаторов».

ℹ️ В примечаниях к ст. 13.11 под идентификаторами подразумевается уникальное обозначение сведений о ФЛ, содержащееся в ИСПДн Оператора и относящееся к такому лицу.

Наряду с количеством субъектов ПДн упоминаются идентификаторы и всегда количество идентификаторов кратно больше, чем количество субъектов. Значит, одному субъекту может принадлежать несколько идентификаторов. Может ли это означать, что под идентификатором подразумевается категория ПДн?

Несмотря на озвученные выше вопросы, в сфере защиты ПДн в РФ начался новый период, ведь теперь перед Операторами реже будет вставать вопрос выбора, что выгоднее для их компании – платить штраф или совершенствовать защитные меры обрабатываемых ими ПДн.

Ранее мы подробно рассмотрели, какие изменения в КоАП и УК РФ затрагивают ответственность за нарушения при обработке ПДн, а также разобрали, какие смягчающие обстоятельства помогут снизить штраф.

#Анастасия_Калиничева #ПДн #152ФЗ

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣Госдума и Совет Федерации одобрили закон о мерах борьбы с телефонными и интернет-мошенниками
Документ, среди прочего, вводит обязательную маркировку звонков на экранах телефонов и запрет госорганам, банкам, операторам связи и цифровым платформам использования зарубежных мессенджеров для общения с клиентами.

🗣Роскомнадзор предложил усовершенствовать законодательство для борьбы с DDoS-атаками
В частности, хотят закрепить требования к устойчивости и живучести сетей связи, расширить перечень обязательных мер по защите от атак и установить более жесткие требования к резервированию инфраструктуры.

🗣В России с 1 апреля начнется эксперимент по повышению защищенности ГИС федеральных органов исполнительной власти
Мероприятия продлятся до конца 2027 года и будут нацелены на обеспечение сетевого суверенитета страны и информационной безопасности в интернете.

🗣Минцифры предоставит операторам персональных данных софт для обезличивания
Эксперты считают, что предложение операторам согласованного ПО — это попытка министерства обойти процедуру разработки и принятия методов обезличивания ПДн, чтобы они проводили эту процедуру самостоятельно.

🗣Росфинмониторинг будет самостоятельно блокировать карты дропперов
С 1 июня 2025 года у службы финансовой разведки появятся полномочия по приостановке операций граждан.

🗣Российские ученые представили новый метод анализа уязвимостей нейросетей
Изобретение будет способствовать повышению стандартов безопасности и созданию более эффективных механизмов защиты ИИ-моделей.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

​​📣 Требования и методы обезличивания ПДн ➤

Для общественного обсуждения представлен проект приказа Роскомнадзора «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных».

Минцифры предложило провести пилотный проект по борьбе с телефонными и интернет-мошенниками в рамках разработки антифрод-платформы.

Цель проекта — создание эффективного механизма оперативного взаимодействия и информационного обмена его участников для защиты от правонарушений с применением государственной информационной системы противодействия киберпреступлениям.

По словам министерства, инициатива позволит:
— протестировать механизмы функционирования системы;
— определить категории данных, необходимых для эффективного противодействия;
— выработать и реализовать превентивные меры, направленные на борьбу с кибермошенничеством.

Предполагается, что в пилоте примут участие Минцифры, ФСБ, Росфинмониторинг, Банк России, ФСТЭК, Генпрокуратура, МВД, банки, операторы связи и другие заинтересованные участники.

Пилотный проект планируют провести с 12 мая 2025 года по 1 марта 2026 года.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Список интересных мероприятий, которые пройдут в апреле

От защиты АСУ ТП и правовых аспектов обработки данных до стратегического взгляда на киберриски и цифровое доверие. Подборка ключевых событий предстоящего месяца🕊

🌐 Форум «Территория безопасности 2025: все pro ИБ»
3 апреля, Москва
Мероприятие будет состоять из четырёх конференций на различные темы: облачные технологии, безопасность подрядчиков, анализ защищенности и ИБ в бизнесе.

🔥 RUSCADASEC CONF
3 апреля, Москва
Эксперты ИБ АСУ ТП сделают обзор инцидентов и кейсов, расскажут про практику безопасной разработки и поделятся опытом по защите АСУ ТП.

🌐 Конференция «Электронный регион: территория безопасности»
3-4 апреля, Железноводск
Основная задача встречи — поиск новых решений для обеспечения информационной безопасности в рамках цифровой трансформации регионов.

🔥 «Рутокен Day: технологии доверия»
4 апреля, Москва
Одно из ведущих отраслевых мероприятий, посвященных вопросам информационной безопасности, цифрового доверия и развития технологических решений.

🌐 Конференция «Защита данных»
7 апреля, Москва
На мероприятии будут рассмотрены юридические и организационные вопросы защиты данных, а также применяемые технические средства и практический опыт их использования.

🌐 IT-Summit 2025
9-11 апреля, Санкт-Петербург
На ежегодной встрече лидеры индустрии информационных технологий обсудят перспективы ИТ-бизнеса в новых условиях, опыт решения кадровых и иных вопросов.

🌐 CISO-Forum
10 апреля, Москва
На форуме для директоров по информационной безопасности будут обсуждаться лучшие практики по управлению киберрисками, интеграции ИБ в бизнес-процессы и взаимодействию с топ-менеджментом.

🌐 Gitex Africa
14-16 апреля, Марокко
Крупнейшая международная выставка высоких технологий стран Африки, на которой будут представлены инновации, касающиеся быстрорастущих секторов ИТ-сферы.

🌐 Инфофорум-Тюмень
22-25 апреля, Тюмень
Среди главных тем форума — кибербезопасность в условиях цифровой трансформации, защита КИИ, подготовка ИБ-кадров и многое другое.

🌐 II Российский риск-форум
22 апреля, Москва
На форуме участники обсудят наиболее актуальные вопросы, стоящие перед риск-менеджментом в новых условиях, а также управление технологическими и киберрисками.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⚡️ Важные изменения в регулировании КИИ

Госдума приняла во втором и третьем чтениях поправки в 187-ФЗ. Новый закон усиливает контроль за переходом значимых объектов КИИ на отечественное ПО и вводит дополнительные требования к их категорированию

Что меняется:
🟠Правительство теперь утверждает типовые перечни значимых объектов КИИ и критерии отнесения к ним.
🟠На отраслевом уровне будут определены признаки значимости объектов, методики их расчета и порядок проверки соответствия.
🟠Исключаются индивидуальные предприниматели из субъектов КИИ.
🟠ГосСОПКА будет проводить мониторинг не только инцидентов, но и атак, а все госорганы и учреждения обязаны взаимодействовать с ней независимо от сферы деятельности.
🟠Вводится порядок мониторинга перехода на отечественное ПО и ПАК.
🟠Усиливается государственный контроль с учетом отраслевых особенностей категорирования.

🗓 Изменения вступают в силу с 1 сентября 2025 года.
Эти шаги призваны сделать защиту КИИ более прозрачной, управляемой и адаптированной к российской специфике.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Зачем российским компаниям CTI 2.0 и как это изменит кибербезопасность

CTI: философия защиты от киберугроз
Cyber Threat Intelligence (CTI) — это не просто модное название, а целая философия защиты бизнеса. Если раньше компании довольствовались разрозненными данными о вредоносных действиях, сегодня речь идет о создании единой системы, где информация превращается в конкретные действия.

Что такое CTI?
CTI — это комплексный подход к сбору, анализу и распространению данных о потенциальных или текущих киберугрозах и уязвимостях. Его основная цель — дать организациям возможность принимать обоснованные решения и внедрять превентивные меры защиты.

CTI 2.0: следующий уровень
Новая версия CTI 2.0 предлагает революционный подход: от простого сбора данных к созданию предиктивных моделей. Теперь система не просто фиксирует атаку, а заранее оценивает вероятность угрозы на основе анализа поведения пользователей и внешних факторов.

Почему это актуально для России?
Российский рынок сталкивается с быстрой адаптацией к новым геополитическим условиям и изменением ландшафта угроз. Переход на отечественные решения требует новых методов анализа угроз, с учетом специфики российского интернета.

Практические рекомендации:
— Создайте централизованную базу знаний об угрозах, релевантных для вашего бизнеса.
— Интегрируйте системы мониторинга с инструментами принятия решений.
— Пересмотрите метрики: вместо количества заблокированных угроз оценивайте предотвращенные инциденты.

CTI 2.0 — это не просто тренд, а необходимый шаг для российских компаний. Те, кто успеет адаптироваться первыми, получат значительное преимущество в борьбе с угрозами.

#Владислав_Крылов


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

#️⃣ Какие обстоятельства помогут смягчить наказание по новым поправкам КоАП РФ?

При одновременном выполнении нескольких условий можно существенно снизить штраф по ч. 15 и ч. 18 ст. 13.11 КоАП РФ. Рассказываем подробнее 🕊


1️⃣ Расходы на обеспечение ИБ:
☁️в течение 3 лет до совершения правонарушения расходы Оператора на мероприятия по ИБ были не менее 0,1% годового размера выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала), если речь идет о кредитной организации;

☁️эти мероприятия проводились организациями, имеющими лицензию на ТЗКИ/СКЗИ, либо самим Оператором при наличии этих лицензий;

❗️В качестве смягчающих обстоятельств учитываются либо расходы строго на привлечение сторонних организаций с соответствующей лицензией, либо расходы самой организации при таком же условии. Вопрос: в случае расходов самой организации-лицензиата, учитываются ли расходы на зарплату ИБ- и/или ИТ-специалистов?

2️⃣ Документальное подтверждение соблюдения требований:
☁️в течение года до выявления факта совершения административного правонарушения Оператор соблюдал требования по защите ПДн в ИСПДн и он может подтвердить это документально;

❗️Подразумевается оценка эффективности мер в соответствии с приказом ФСТЭК России от 18 февраля 2013 года № 21? И если да, то в приказе ФСТЭК России указано, что данная оценка должна проводиться не реже одного раза в три года. Следует ли, что данной поправкой регуляторы подталкивают Операторов на проведение оценки эффективности не реже, чем 1 раз в год? И если подразумевается не оценка эффективности, то какими именно документами необходимо подтверждать соблюдение требований по защите ПДн?

3️⃣ Отсутствие отягчающих обстоятельств
☁️предусмотренных примечанием 5 к ст. 13.11 КоАП РФ.

Резюмируя поправки, ужесточающие ответственность за административные и уголовные правонарушения в сфере законодательства РФ о ПДн возникает вопрос, насколько реально выполнить все смягчающие обстоятельства, перечисленные выше?🤔

#Анастасия_Калиничева

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⚖️ Новые штрафы и ответственность за утечку персональных данных

*️⃣30 мая 2025 года начнет действовать Федеральный закон № 420-ФЗ.
*️⃣11 декабря 2024 вступил в силу Федеральный закон № 421-ФЗ.

Оба закона направлены на ужесточение ответственности за административные и уголовные правонарушения, связанные с нарушением законодательства РФ о персональных данных.

Изменения касаются как размеров штрафов, так и появления новых видов ответственности — вплоть до уголовной за неправомерное использование, передачу и сбор ПДн.

👉 В нашей статье мы подробно разобрали ключевые изменения, а также рассказали о смягчающих обстоятельствах, которые могут снизить наказание.

Новые положения КоАП РФ устанавливают:
☁️ увеличение размеров штрафов за нарушения (в т. ч. повторные) при обработке ПДн;
☁️ ИП несут административную ответственность как ЮЛ;
☁️ введение ответственности за неуведомление/несвоевременное уведомление РКН о намерении осуществлять обработку ПДн, если такое нарушение сопровождается неправомерной или случайной передачей ПДн, то размер штрафа выше;
☁️ ответственность за массовую утечку ПДн с учетом количества пострадавших субъектов;
☁️ ответственность за неправомерную передачу специальной категории ПДн и биометрических ПДн (далее – БПДн).


Новая статья УК РФ устанавливает уголовную ответственность за:
☁️ незаконное использование, передачу, сбор ПДн, полученных незаконным путем;
☁️создание сайтов, ИС, ПО для незаконных хранения и передачи ПДн, полученных незаконным путем (например, сервисы, через которые можно «пробить» человека по номеру телефона или номеру автомобиля).

Важно:
Поправки в КоАП предусматривают смягчающие обстоятельства, при одновременном выполнении которых, можно существенно снизить штраф. Рассказываем в следующем посте🕊

#Анастасия_Калиничева

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Вы говорите «Рутокен», мы отвечаем «Day» ⚡️

4 апреля в пространстве LOFT#4 состоится ежегодная конференция Рутокен Day — одно из ведущих отраслевых мероприятий, посвященных вопросам информационной безопасности, цифрового доверия и развития технологических решений.

В этом году мы значительно расширили круг тем. Мероприятие будет интересно не только специалистам по ИБ, но и руководителям высшего звена, продуктовым менеджерам, маркетологам, системным интеграторам и разработчикам.

В рамках мероприятия запланированы три параллельных трека:
➡️ Технологический
➡️ Продуктовый
➡️ Маркетинговый

Отдельное внимание будет уделено ключевым вызовам и перспективам отрасли. В программе — три круглых стола:
*️⃣ Клиентские пути электронной подписи
*️⃣ Вендорский взгляд на управление доступом
*️⃣ Будущее безопасности киберфизических систем в России

Конференция Рутокен Day даст возможность узнать о ключевых трендах из первых уст и обсудить их с теми, кто формирует будущее отрасли.

📅 4 апреля, 12:00
📍 Москва, LOFT#4

📎 Регистрация на сайте.

Как избежать ответственности за обработку и защиту персональных данных?
Спойлер: никак.

С 30 мая вступает в силу закон, который вводит оборотные штрафы за утечку персональных данных. В комментарии «Коммерсанту» наш эксперт Никита Козин отметил, что усиление ответственности за инциденты, связанные с обработкой ПДн, заставляет организации задуматься, как этой ответственности избежать. Рассмотрим некоторые возможные сценарии.

Сценарий 1: компания привлекает стороннего подрядчика для обработки и защиты ПДн.

В этой ситуации ответственность на подрядчика можно возложить в том случае, если он имеет лицензию ТЗКИ, а в перечне выполненных работ была только защита информации, ведь это предполагает внедрение/модернизацию комплекса технических мер ИБ в ИТ-инфраструктуру организации.

Сценарий 2: компания «делит» процессы обработки по дочерним/аффилированным компаниям.

Легко и быстро передать другому юридическому лицу весь процесс обработки ПДн, который долгое время осуществлялся внутри компании, практически невозможно. Процессы обработки ПДн связаны с использованием ПО, ИТ-инфраструктуры, хранением материальных носителей ПДн и доступом работников к «электронным» и «бумажным» ПДн.

Совокупность данных факторов и привязывает процесс обработки ПДн к конкретной организации. Работы по полной передаче процесса обработки ПДн аффилированной компании менее целесообразны, чем изначально ответственный подход к управлению процессами и защите данных.

Также стоит помнить, что на данный момент в Федеральном законе 152-ФЗ есть дефиниция об обработчиках ПДн, которым изначальный оператор ПДн поручает такую обработку. Однако в случае инцидента ответственность перед регулятором несет именно первоначальный оператор ПДн, а обязательства обработчика ПДн могут быть закреплены в договоре на оказание услуг между ним и оператором ПДн (что является хорошей практикой).

Поэтому единственным эффективным и разумным инструментом для уменьшения штрафа будет выполнение смягчающих мер.


Как ещё бизнес начал готовиться к оборотным штрафам за утечки — читайте в статье «Коммерсанта» с комментарием нашего эксперта.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣 В мобильных приложениях крупных банков появится спецкнопка для пострадавших от злоумышленников
С 1 октября 2025 года крупные банки будут обязаны добавить в свои мобильные приложения функционал, который позволит клиентам оперативно заявлять о мошенническом переводе.

🗣 Минцифры: более двух третей значимых объектов КИИ госорганов и госкомпаний переведены на отечественное ПО
Глава министерства отметил, что в некоторых случаях неисполнение требования указа связано с отсутствием достаточно зрелых российских решений.

🗣 Бизнес попросил доработать законопроект по борьбе с кибермошенничеством
Ассоциация цифровых платформ предупредила, что в текущей редакции законопроект может привести к значительным негативным последствиям, а также снизить эффективность действующих мер по противодействию противоправным деяниям.

🗣 Правительство утвердило перечень приоритетных проектов цифровизации
Всего в список вошло свыше 40 проектов, среди которых внедрение искусственного интеллекта, развитие мобильной электронной подписи, антифрод-платформы и другие значимые проекты.

🗣 Госдума хочет создать специальную базу данных пострадавших от мошенников, что затруднит им переводы и оформление кредитов
Предполагается, что ФинЦЕРТ будет фиксировать «доверчивых клиентов», чтобы защитить их от дальнейших махинаций.

🗣 Минздрав, Минцифры и Минэк смогли договориться об эксперименте с медданными
Проект позволит использовать обезличенные медицинские данные без согласия субъекта персональных данных.

🗣 В законопроект по борьбе с мошенничеством добавят новые правила работы с биометрией
Инициативу планируют дополнить возможностью использования для идентификации «векторной модели» работы с биометрией, которая предполагает разовую закупку необходимого количества данных.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🔥 Кто такой современный CISO и какую роль он играет в компании на сегодняшний день?

🎙Гостем нового выпуска подкаста «Безопасный выход» стал Георгий Руденко, СISO Райффайзенбанк.

Совместно с руководителем AKTIV.CONSULTING и постоянной ведущей подкаста — Анастасией Харыбиной эксперты обсудили, кто такой современный CISO и какую роль он играет в компании на сегодняшний день.

Смотрите выпуск и вы узнаете:
🟠 Кто такой CISO 2.0 и какие задачи он решает
🟠 Как в Райффайзенбанке прививают ценности ИБ
🟠 Как написать стратегию по ИБ
🟠 Как грамотно управлять командой
🟠 Как использовать матрицу компетенций

📺 VK Видео

📺 Rutube

📺 YouTube

🎼 Podster

Делитесь своими впечатлениями в комментариях под видео!

#подкаст #Безопасныйвыход

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✈️ Вступайте в нашу общую папку Инфобез

Вместе с коллегами по цеху собрали подборку ИБ-каналов с актуальными событиями, кейсами и аналитикой по кибербезопасности. Папка уже наполнена полезными ресурсами – остаётся только добавить её себе и следить за обновлениями.

🔥 Что внутри?
Актуальные новости ИБ – важные события отрасли, разборы атак и кейсов.
Практика и советы – проверенные методики защиты, обзоры инструментов и лайфхаки.
Обучение – статьи, вебинары и курсы для постоянного прокачивания знаний.

📌 Мы планируем развивать подборку и постепенно добавлять больше полезных каналов, чтобы она стала действительно ценным инструментом для всех, кто в теме ИБ.

Добавить папку Инфобез!


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

IT давно стало частью бизнеса, влияя на продукт и бизнес-модель. Информационная безопасность сегодня проходит тот же путь — только с небольшим отставанием.

Кто такой CISO сегодня и как изменилась эта роль за последние годы? — Поговорим скоро в новом выпуске подкаста «Безопасный выход».

Гость следующего выпуска — Георгий Руденко, CISO Райффайзенбанка.
Всего за 8 лет он прошёл путь от разработчика до CISO, работая в крупнейших банках страны. В его опыте — DevSecOps, построение процессов BISO, управление большими командами и постоянная работа над тем, чтобы информационная безопасность становилась частью ДНК компании.

📣 Следите за обновлениями — будет много инсайтов!


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🖥 Инструменты для пентеста

Сегодня поделимся относительно новыми утилитами для OSINT в рамках тестирования на проникновение, а также инструментами для Blue Team, которые за последние пару лет стали частью Kali Linux. Обсудим, когда и для каких целей их применять.

Фишинг
🌙GoPhish – платформа с открытым исходным кодом, позволяет симулировать фишинговые атаки.
🌙Evilginx – инструмент для фишинга и атак «Man-in-the-Middle» (MITM), перехватывает учетные данные и сеансовые cookie пользователей.

Повышение привилегий
🌙Bloodyad – фреймворк с открытым исходным кодом, позволяет повышать привилегии в Active Directory.

Разведка
🌙Enum4linux-ng – следующее поколение утилиты Enum4linux, позволяет перечислять информацию из систем Windows и Samba.
🌙Xsrfprobe – автоматизированный инструмент, обнаруживает уязвимости Cross-Site Request Forgery (CSRF/XSRF) в веб-приложениях.
🌙Getsploit – консольная утилита, помогает искать и загружать эксплойты из различных баз данных.

Эксплуатация уязвимостей
🌙Mssqlpwner – продвинутый инструмент для взаимодействия с серверами MSSQL, а также их компрометации.
🌙Mitm6 – утилита для тестирования безопасности в IPv6-сетях, перехватывает и модифицирует сетевые сообщения.
🌙Coercer – инструмент на Python, автоматически принуждает сервер Windows к аутентификации на произвольной машине.

⚠️ Важно! Используйте эти инструменты только в ознакомительных целях и на собственных системах – локальных сетях, серверах, сервисах и сайтах. Либо по договору о проведении анализа защищённости или тестирования на проникновение.

#Артем_Храмых #пентест #анализ_защищенности #OSINT

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣 Участники банковского рынка раскритиковали законопроект о создании систем «Антифишинг» и «Антифрод»
Эксперты обращают внимание на избыточность требований и сомневаются в пропускной способности государственных систем аутентификации.

🗣 Роскомнадзор зафиксировал 19 фактов утечек персональных данных с начала года
В открытый доступ уже попало более 24 млн записей о россиянах.

🗣 ИТ-компании попросили о поддержке на случай возвращения иностранных игроков
Среди предложений — запрет применения продукции зарубежных компаний на объектах КИИ и корректировка закрепленных в ПП № 1912 критериев «доверенности» для ПАК, используемых в критической информационной инфраструктуре.

🗣 В России может появиться страховка от утечек персональных данных
Размер страховой выплаты предлагают рассчитывать в зависимости от категории персональных данных, которые были скомпрометированы.

🗣 Исследование: ИТ-инфраструктура трети российских банков не готова к приему цифрового рубля
В частности, внедрение цифрового рубля требует обновления ИТ-систем и масштабирования в связи с ростом транзакционных нагрузок, характеризующихся высокой частотой запросов.

🗣 Банки предложили новый механизм заморозки денег для борьбы со злоумышленниками
У ЦБ просят дать банкам возможность замораживать денежные средства на счете получателя (а не только отправителя) при подозрении на мошеннический перевод.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🔗 Цепочки поставок в финансовой отрасли

В прошлом посте мы рассмотрели, какие ИТ-услуги чаще всего предоставляют поставщики финансовым организациям. Сегодня расскажем подробнее про две категории цепочек поставок.

1️⃣ Взаимодействие ИТ-инфраструктур

В данной цепочке происходит подключение к ИТ-инфраструктуре заказчика из инфраструктуры поставщика с целью обеспечения технической поддержки ИТ-решений и пользователей.

Зачастую из-за стремления поставщиков снизить себестоимость работ, из-за повышения стоимости СЗИ или из-за кадрового дефицита на рынке труда могут возникнуть следующие риски:

☁️ Низкий уровень зрелости ИБ
У поставщика услуг процессы ИБ могут быть значительно ниже, чем у заказчика, и он становится легкой добычей для атакующего перед целевой атакой на ИТ-инфраструктуру заказчика.

☁️ Скрытый подряд
Подрядчик без ведома заказчика может привлекать сторонних исполнителей, работающих без каких-либо договоров и соглашений, а также выполнять подключение с домашних компьютеров, где отсутствуют корпоративные политики безопасности и СЗИ.

☁️ «Небезопасная» передача/хранение секретов
Всевозможная аутентификационная информация (пароли, токены, сертификаты) может передаваться в небезопасном виде, что приводит к утечке и дальнейшему использованию данных злоумышленниками.


2️⃣ Взаимодействие программных компонентов

Такая цепочка предполагает взаимодействие программных компонент различного происхождения и разной степени доверия к их надежности и безопасности. В современных корпоративных приложениях и ИС используются как программные модули собственной разработки, так и привнесенные в проект извне компоненты и зависимости.

Этот подход во многом оптимизирует и удешевляет разработку, но также несет в себе риски привнести в проект чужие уязвимости, недекларированные возможности, вредоносные зависимости, раскрытие секретов в публичных репозиториях и т.п.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Онлайн-дискуссия: «ИБ 360° – от уязвимостей и атак до управления рисками»

Настало время для откровенного разговора между бизнесом, государством и экспертами в сфере ИБ. Именно поэтому IT World и ИТ-Диалог совместно проводят круглый стол, где ведущие специалисты обсудят главные вызовы информационной безопасности и способы их преодоления.

📅 18 марта, онлайн
⏰ 16:00

Кто участвует:
CIO, CISO ИТ и ИБ-компаний, облачных провайдеров, разработчиков SOC, и, конечно же, наш ведущий консультант по информационной безопасности AKTIV.CONSULTING Ольга Копейкина.

О чем поговорим:
🟠 Государственное регулирование ИБ - спасение или головная боль для бизнеса?
🟠 Почему аудит не всегда спасает от взлома, а системы защиты оказываются бесполезными?
🟠 Какие методы защиты не сработали, а какие спасли компании от миллионных убытков?
🟠 Что делать с кадровым кризисом, если экспертов не хватает, а требования только растут?

🔗 Регистрация и подробности по ссылке


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🌐 Иностранным ИТ-компаниям выдвинули условия для возвращения в Россию

Роскомнадзор назвал зарубежным ИТ-компаниям условия, при которых они смогут вернуться на российский рынок. Речь идет о выполнении требований четырех законов:
1. «О деятельности иностранных лиц в информационно-телекоммуникационной сети Интернет на территории РФ»
2. «Об информации, информационных технологиях и о защите информации»
3. «О персональных данных»
4. «О связи»

В частности, от зарубежных ИТ-компаний будут требовать:

— наличие представительства на территории России;
— хранение баз данных;
— регистрация личного кабинета на сайте Роскомнадзора;
— выполнение требований по удалению противоправного контента и т.д.

По словам экспертов, эти меры направлены в т.ч. на защиту цифрового суверенитета и повышение прозрачности работы компаний.

➡️ Узнать подробнее


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🔍 Какие ИТ-услуги чаще всего оказывают подрядчики для финансовых организаций?

Обычно поставщики предлагают:
🟠услуги облачных сервисов;
🟠ЦОД;
🟠техническое обслуживание ПАК и ПО;
🟠консалтинг;
🟠заказную разработку;
🟠специфичные финансовые сервисы, такие как процессинг, обслуживание банкоматов и предоставление информации – системы противодействия отмыванию доходов (ПОД/ФТ/ФРОМУ) или же готовые информационные системы и приложения (к примеру, ДБО, АБС и т.д.).

Кредитные организации среднего размера, как правило, применяют облачные сервисы и вычислительные ресурсы ЦОД для хостинга некритичных информационных ресурсов вроде сайта или продуктовых лендингов или для организации резервной ИТ-инфраструктуры, тестовых зон, развертывания решений Disaster Recovery и т.п.

Некредитные финансовые организации, в свою очередь, используют арендуемые ресурсы и managed-сервисы для развертывания своих высоконагруженных приложений, т.к. зачастую основой их бизнес-модели является передача всей непрофильной деятельности поставщикам, а усилия внутренней команды сосредоточены на ключевых бизнес-функциях.

Эти и другие внешние сервисы и услуги образуют цепочки поставок, которые можно разделить на две категории: «Взаимодействие ИТ-инфраструктур» и «Взаимодействие программных компонент».

Рассмотрим подробнее каждую из этих категорий в следующем посте ⏳


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣Большинство организаций столкнулись с кибератаками, использующими искусственный интеллект, из-за задержек в их обнаружении.

Согласно отчёту SoSafe 2025 Cybercrime Trends, в котором участвовали 500 специалистов по безопасности со всего мира, применение ИИ в атаках становится всё более распространённым, а его методы — совершенствуются.

Так, 87% специалистов по безопасности заявили, что их компании подверглись кибератакам, в которых использовались технологии искусственного интеллекта.

📈 Рост угроз: прогнозы на ближайшие годы
91% экспертов в сфере кибербезопасности ожидают значительного увеличения атак с применением ИИ в течение трёх лет. По данным Всемирного экономического форума, за последний год активность торговли инструментами для создания дипфейков на теневых интернет-форумах выросла на 223%.

⚠️ Сложность обнаружения атак
Несмотря на масштаб проблемы, эффективно выявлять атаки с применением ИИ могут далеко не все. В отчёте SoSafe говорится, что только 26% специалистов уверены в своей способности противостоять подобным угрозам.

🤔 Основные сложности:
☁️ Методы сокрытия информации, созданные ИИ, затрудняют выявление атак (51% компаний отмечают это как критическую проблему).
☁️ Киберпреступники комбинируют разные векторы атак: корпоративные мессенджеры, электронную почту, соцсети, СМС.
☁️ 96% компаний считают своевременное обнаружение атак приоритетной задачей, но не у всех есть необходимые инструменты.

Опрос показал, что 55% организаций ещё не внедрили полноценные механизмы контроля, позволяющие управлять рисками, связанными с внутренними ИИ-решениями.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Дорогие девушки!

Весна начинается с вас – с вашей энергии, мудрости и вдохновения! 🌺

Поздравляем вас с 8 Марта! Пусть этот день будет наполнен улыбками, искренними словами, теплом и заботой. Пусть каждый день приносит новые возможности, радостные моменты и комплименты.

Желаем, чтобы мечты сбывались так же легко, как распускаются весенние цветы, а вокруг всегда были люди, которые ценят, уважают и восхищаются вами!

С праздником! 🌸

✅ Новостной дайджест прошедшей недели

🗣Минцифры опровергли планы по сбору данных голосов граждан России согласно новому законопроекту о борьбе с кибермошенничеством
Ранее эксперты отметили, что для сбора сигнатур и распознавания речи требуется изменить Конституцию, внеся в нее разрешение на «тотальную прослушку и сбор голосов».

🗣В Госдуме призвали компании проверять свои мобильные приложения на предмет клонирования
Всё чаще наблюдается рост кибератак, реализуемых с использованием поддельных мобильных сервисов, имитирующих легитимные банковские и государственные приложения.

🗣Совокупный ущерб от кибермошенничества в России в 2024 году составил более 200 млрд рублей
В то же время раскрываемость таких преступлений снизилась и составила порядка 23%.

🗣Ассоциация «Отечественный софт» представила перечень из 680 отечественных решений, способных заменить иностранное ПО на объектах КИИ
В списке указаны сведения о программных продуктах, возможных сферах их применения, опыте внедрения, а также наличии сертификатов от регуляторов.

🗣ICT Moscow: обзор мировых технотрендов на 2025 год
Среди основных трендов — искусственный интеллект, информационная безопасность и обеспечение инфраструктуры для развития и применения ИИ.

🗣Крупнейшие российские сервисы электронной почты и телеком-операторы фиксируют снижение объема поступающего спама
Противодействовать массовым рассылкам помогают новые антиспам-системы на основе искусственного интеллекта, регуляторные действия властей, а также возросшие издержки самих спамеров.

🗣В Казахстане хотят запретить системы ИИ, исключающие вмешательство в них человека
Также в новом казахском законопроекте «Об искусственном интеллекте» определили статус национальной платформы ИИ, сделали классификацию искусственного интеллекта по уровням риска и установили требования к владельцам и разработчикам ИИ.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🌐 Вы наверняка слышали про API (Application Programming Interface) — эти интерфейсы становятся основным связующим звеном между различными системами и сервисами. Но как они могут повлиять на информационную безопасность вашей компании?

Уязвимости в API могут привести к серьезным последствиям, включая утечку данных, несанкционированный доступ и даже разрушение бизнес-процессов. По данным исследований, более 80% атак на облачные сервисы связаны с уязвимостями в API, что подчеркивает необходимость их защиты.

Основные угрозы, с которыми сталкиваются организации, включают:
☁️ Неавторизованный доступ: неправильная реализация механизмов аутентификации и авторизации может позволить злоумышленникам получить доступ к чувствительным данным и функциям системы.
☁️ Инъекции: атаки типа SQL-инъекций и других инъекций кода могут быть использованы для манипуляции данными и выполнения произвольных команд на сервере.
☁️ Отказ в обслуживании (DoS): атаки, направленные на исчерпание ресурсов API, могут привести к его недоступности, что негативно скажется на работе всего приложения.

Чтобы минимизировать риски, необходимо внедрить многоуровневую стратегию безопасности API, а именно:
🌓 Используйте современные протоколы аутентификации и авторизации (например, FIDO2) для обеспечения надежной аутентификации и авторизации пользователей.
🌓 Реализуйте строгую валидацию и фильтрацию входных данных, чтобы предотвратить инъекции и другие атаки.
🌓 Обеспечьте шифрование данных как в состоянии покоя, так и в процессе передачи с использованием протоколов TLS/SSL, чтобы защитить данные от перехвата.
🌓 Внедрите системы мониторинга и логирования для отслеживания активности API и выявления аномалий.
🌓 Используйте инструменты, такие как API Gateway, для управления трафиком и защиты от DDoS-атак.

Безопасность API — это не просто вопрос защиты данных, а необходимость для обеспечения устойчивости и надежности бизнес-процессов. Инвестируя в современные технологии защиты и следуя лучшим практикам, вы сможете не только защитить свои данные, но и укрепить доверие клиентов.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🤖 Законодательное регулирование ИИ в РФ пока откладывается

В России не планируют законодательно регулировать ИИ в ближайшие два года. Государство сейчас занимает позицию наблюдателя, оставляя технологии развиваться без новых ограничений. Однако вопрос регулирования остается открытым — важно не вмешаться слишком рано, но и не упустить момент.

💠 Хотите узнать больше о мировом опыте использования ИИ?
Рекомендуем дайджест новостей от наших коллег из ИИ & Право:

🌐 Регулирование ИИ в 2025 году: глобальный обзор

🇺🇸 США: Первая победа правообладателей в деле об авторском праве при обучении ИИ

🇬🇧 Великобритания внедряет ИИ в госуправление

🇪🇺 В ЕС опубликовано руководство по запрещённым ИИ практикам

🇦🇺 Австралия: Верховный суд Нового Южного Уэльса установил строгие правила для использования ИИ в судебных процессах

🇰🇷 Южная Корея одобрила Закон об ИИ

🇨🇳 DeepSeek вызывает вопросы конфиденциальности, этики и интеллектуальной собственности


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣 Делимся записью вебинара про СУИБ

25 февраля Владислав Крылов провел вебинар «Построение системы управления ИБ (СУИБ) на промышленных предприятиях».

Что обсудили:
☑️ СУИБ vs СОИБ: в чем разница?
СУИБ — комплексный подход к управлению информационной безопасностью. В свою очередь, СОИБ фокусируется на технических и операционных аспектах защиты информации.

☑️ Зачем внедрять СУИБ?
🟠Управление информационными рисками.
🟠Устойчивость к инцидентам и восстановление после сбоев.
🟠Постоянное улучшение процессов безопасности.
🟠Оптимизация бизнес-процессов.

☑️ Что включает в себя СУИБ:
🟠 регламенты и политики;
🟠 процедуры;
🟠 персонал;
🟠 технические средства.

☑️ Три этапа внедрения СУИБ
🟠 Подготовка — анализ текущего состояния ИБ, постановка целей и задач.
🟠 Внедрение — разработка внутренних политик и регламентов, обучение сотрудников, реализация технических решений.
🟠 Сопровождение — мониторинг, аудит, постоянное совершенствование системы.

🔥 Смотреть полную запись на сайте
Или 📺 VK Видео

Благодарим всех, кто участвовал! Делитесь впечатлениями в комментариях.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

​​💻 Требования к обезличиванию ПДн ➤

Минцифры решило продолжить начатые в 2023 году работы по расширению полномочий Роскомнадзора в целях наделения последнего полномочиями по установлению требований к обезличиванию персональных данных и методов обезличивания персональных данных (за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона «О персональных данных» (в данном пункте речь идет об обезличенных ПДн, которые обрабатываются при проведении эксперимента в г. Москве)).

Для общественного обсуждения представлен соответствующий проект постановления Правительства Российской Федерации «О внесении изменений в некоторые акты правительства Российской Федерации».

📣 Бизнес-ужин: как выстроить эффективную систему ИБ на промышленных предприятиях?

27 марта Компания «Актив» приглашает специалистов ИБ на бизнес-ужин «Ключевые моменты организации и управления ИБ на промышленных предприятиях». Встреча объединит экспертов отрасли, которые обсудят проблематику построения системы обеспечения информационной безопасности драйверы развития отрасли и практические кейсы.

📌 Почему это важно?
В 2022–2024 гг. промышленность стала мишенью для 600 000 попыток кибератак. Эффективная защита предприятий невозможна без комплексного подхода к управлению и обеспечению ИБ, включающего прогнозирование угроз, соблюдение регуляторных требований и повышение квалификации специалистов.

📌 Ключевые темы:
🟠Как управлять процессами ИБ и повысить киберустойчивость промышленных объектов?
🟠Основные сложности внедрения СУИБ: от методологии до оценки эффективности.
🟠Практические кейсы от лидеров отрасли.

🗣 Среди спикеров представители ЕВРАЗ, ПАО «Элемент», АО «Силовые машины», АО «Мособлгаз» и Компании «Актив».
Модератор встречи: Олег Симаков, директор по развитию AKTIV.CONSULTING
Также от AKTIV.CONSULTING выступит Ольга Копейкина, ведущий консультант по ИБ, с докладом «Ключевые сложности построения СУИБ»

📅 27 марта, 16:00
📍 Москва, ул. Пятницкая, д. 46, стр. 1, Drinks and Dinners
🔗 Регистрация и подробности

Присоединяйтесь к обсуждению ключевых вызовов и решений в сфере промышленной ИБ.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🚀 Мы на площадке конференции «Информационная безопасность АСУ ТП КВО», где обсуждаются ключевые вызовы кибербезопасности для промышленных предприятий и объектов КИИ.

Сейчас проходит пленарная сессия с участием представителей ФСТЭК России. В рамках программы выступит Ольга Копейкина, ведущий консультант по ИБ, с докладом «Вопросы доступа к технологическим системам и их решения».

Эксперты AKTIV.CONSULTING поделятся практикой реализации требований по защите ИБ в промышленных предприятиях и ТЭК, а также проконсультируют по вопросам выполнения требований регуляторов, проведению пентестов и анализа защищенности, безопасной разработке, защите АСУ ТП и т.д.

Ждем вас на стенде. До встречи! 💬


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📰 Новостной дайджест прошедшей недели

🗣Личные данные россиян будет запрещено собирать и хранить на зарубежных серверах
Поправки в закон «О персональных данных», согласно которым базы с информацией граждан должны находиться на территории России и не иметь копий за ее пределами, должны вступить в силу с 1 июля 2025 года.

🗣В функции Банка России предлагают добавить ежеквартальную публикацию рейтинга безопасных банков
Необходимость такого рейтинга объясняют тем, что граждане и бизнес должны получать дополнительные сведения о деятельности кредитных организаций в сфере противодействия мошенничеству.

🗣Роскомнадзор: в январе в открытый доступ попало 6,9 млн записей о россиянах
Всего в прошлом месяце ведомство выявило 10 фактов утечек персональных данных.

🗣ФСТЭК увидела угрозу в использовании OC на Android в объектах КИИ и госкорпорациях
Служба пояснила, что на территории РФ отсутствует техподдержка AOSP, а проект имеет открытый исходный код.

🗣В 2024 году Яндекс выплатил белым хакерам 50,8 млн рублей
Всего в программе «Охота за ошибками», которая посвящена поиску уязвимостей в сервисах и инфраструктуре компании, в 2024 году участвовало 749 исследователей — это на 40% больше, чем годом ранее.

🗣В России предложили уведомлять людей об утечке их персональных данных
Предполагается, что получив информацию об утечке, человек сможет самостоятельно принять необходимые меры безопасности, например, поменять пластиковые карты или наложить самозапрет на получение кредитов.

🗣Банк России отложил массовое внедрение цифрового рубля
Глава ЦБ пояснила, что перенос сроков запуска цифрового рубля связан с необходимостью проведения доработок отдельными банками. Подробнее о проекте цифрового рубля рассказывали в нашем подкасте.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🤝 SAST, DAST, SCA — если это ваш рабочий инструментарий, у нас есть предложение.

Ищем в команду AKTIV.CОNSULTING Специалиста по безопасной разработке (Application security, DevSecOps), который:

🦓не понаслышке знает, что такое SAST, DAST, Fuzzing, SCA/OSA и другие инструментальные средства анализа уязвимостей и проверок безопасности ПО, а также готов их внедрять;

🦓легко ориентируется среди стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (OWASP, NIST, ФСТЭК и т.п.);

🦓понимает основные принципы разработки ПО, процессов CI/CD, S-SDLC/DevSecOps;

🦓желает участвовать в создании методологии оказания консалтинговых услуг по безопасной разработке ПО;

🦓готов к созданию экспертных материалов, участию в техническом пресейле и маркетинговых активностях.


В свою очередь, мы готовы предложить:

✅возможность гордиться своей работой и видеть ее результаты на уровне изменений, происходящих в компании-клиенте;
✅профессиональное развитие и рост за счет наставничества и прозрачной системы грейдов;
✅уникальный опыт и возможность расширять свою отраслевую и экспертную специализацию;
✅отсутствие профессиональной стагнации, возможность участвовать в разнообразных, зачастую, уникальных проектах, отличающихся отраслевой и бизнес-спецификой;
✅удобное офисное пространство, гибкий график и гибридный формат, а также отсутствие токсичности в коммуникациях.

Узнать подробнее о вакансии и откликнуться можно по ссылке.

#работа_в_консалтинге


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Как уберечь АСУ ТП от несанкционированного доступа? Ответы на конференции!

4-5 марта в Москве пройдет конференция «Информационная безопасность АСУ ТП КВО». Мероприятие традиционно проходит при участии ФСТЭК России, ФСБ России, отраслевых регуляторов.

🔥 4 марта выступит Ольга Копейкина, ведущий консультант по ИБ AKTIV.CONSULTING, с докладом «А кто это сделал? Вопросы доступа к технологическим системам и их решения».

Ключевые тезисы:
🟠Обзор НПА с требованиями к идентификации.
🟠Различные подходы к управлению доступом: мандатная, дискреционная, атрибутивная и ролевая модели.
🟠Существующие технологии обеспечения управления учетными записями (SSO, IdM, PKI, PAM).
🟠Этапы внедрения процесса управления учетными записями.

Почему стоит посетить?
— Реальные кейсы и практические решения для защиты промышленных объектов.
— Возможность пообщаться с экспертами AKTIV.CONSULTING и Рутокен на стенде Компании «Актив» и получить консультации по построению системы ИБ для АСУ ТП.
— Обзор актуальных регуляторных требований и лучшие практики их реализации.

Приходите — обсудим эффективные стратегии обеспечения ИБ на промышленных предприятиях.

📍Где? Soluxe Hotel Moscow 5*
🔗Подробности на сайте


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⏳ Через два часа начинаем!

Вебинар: Построение системы управления ИБ (СУИБ) на промышленных предприятиях.

📆 25 февраля, 11:00 (МСК), онлайн
🔗 Регистрация

Система управления ИБ на предприятии — это больше, чем просто соответствие требованиям. Это инструмент для защиты данных, процессов и бизнеса.

На практике специалисты сталкиваются с рядом сложностей: отсутствие четких методологий, неясность в выборе регуляторных требований и необходимость формализовать процессы так, чтобы они действительно работали, а не превращались в бюрократическую нагрузку.

🔍 Что обсудим?
1. СУИБ предприятия: постановка целей разработка системы оценки.
2. Основные процедуры СУИБ: планирование, внедрение, мониторинг, анализ, совершенствование.
3. Рекомендации по реализации этапов внедрения СУИБ.
4. Отличие системы управления ИБ от системы обеспечения ИБ (СУИБ от СОИБ).
5. Повышение квалификации персонала: влияние обучения на эффективность СУИБ. Анонс следующего вебинара.

🎙 Спикер: Владислав Крылов — консультант по информационной безопасности AKTIV.CONSULTING.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Список интересных отраслевых мероприятий, которые пройдут в марте

Планируем не только неделю, но и предстоящий месяц. Выбирайте интересные события из подборки и добавляйте в календарь! А в конце вас ждёт небольшой спойлер о нашем собственном мероприятии.

🔥 ИБ АСУ ТП КВО
4-5 марта, Москва
В центре внимания конференции – ситуация на рынке защиты АСУ ТП, в свете законодательных требований по обязательному импортозамещению ПО и ПАК на ЗО КИИ. Ждем вас на пленарной секции и стенде.

🌐 Безопасность информационных технологий - ЕВРААС
2-7 марта, пгт. Терскол
Участники обсудят безопасность критической информационной инфраструктуры, защиту АСУ ТП на критически важных объектах и вопросы импортозамещения в сфере безопасности.

🌐 ЭОС Весенний документооборот
3-7 марта, Мурманск
Актуальные тренды рынка, вызовы для разработчиков и интеграторов, меняющиеся потребности клиентов и практические сложности импортозамещения.

🌐 CyberSecurity SABANTUY
13 марта, Уфа
Воркшопы, нетворкинг, CTF, кейс-чемпионаты, направленные на повышение квалификации специалистов и обмен опытом между профессионалами отрасли.

🌐 С++ Russia
13 марта - Online, 20–21 марта Москва + Online
Конференция по C++ сосредоточена на углубленных технических докладах, ориентированных на практическую сторону разработки.

🌐 Флагманы цифровизации-2025
13 марта, Москва
Мероприятие посвящено цифровой трансформации бизнеса, ИИ, большим данным и роботизации с акцентом на кибербезопасность и защиту от утечек данных.

🔥 РусКрипто’2025
18-21 марта, Подмосковье
Ежегодная научно-практическая конференция будет посвящена современной криптографии, использованию цифровой подписи и созданию доверенной, безопасной цифровой среды. На сайте уже доступна программа мероприятия.

🌐 Security Summit
20 марта, Москва
Участники поделятся опытом проектов по защите ресурсов компаний в условиях изменения рынка технологий и законодательства, а также представят эффективные решения в области ИБ.

🌐 Конференция TAdviser «IT Security Day»
25 марта, Москва
Среди главных тем для обсуждения – актуальные угрозы кибербезопасности, современные стратегии корпоративной ИБ, рынок отечественных решений по информационной безопасности и т.д.

🔥 Бизнес-ужин «Обеспечение ИБ на промышленных предприятиях. Обмен практическим опытом»
27 марта, Москва
Организаторы мероприятия: AKTIV.CONSULTING и Рутокен. В программе – ключевые аспекты построения систем ИБ, драйверы развития отрасли и разбор реальных кейсов с технической и управленческой точки зрения. Скоро поделимся подробностями!


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

💼 Если нет плана — готовься к провалу!

Сергей Сугоняев, руководитель проектов по ИБ AKTIV.CONSULTING, подготовил практическое руководство по эффективному ресурсному планированию — чтобы неделя началась не с хаоса, а с четких задач и понятных целей.


📌 Фишки для упрощения процесса
🔘 Используйте ПО: современные инструменты значительно упрощают процесс планирования, позволяют визуализировать задачи, устанавливать зависимости и отслеживать прогресс.
Из импортозамещенных решений можем порекомендовать 1С:PM Управление проектами, ADVANTA, Битрикс24, Vizary Project.

🔘 Делегируйте задачи: эффективное распределение задач между членами команды помогает избежать перегрузок и повышает общую производительность. Вот несколько шагов, которые помогут в этом:
🟠определите задачи;
🟠оцените навыки и опыт членов команды;
🟠установите приоритеты;
🟠установите четкие сроки и ожидания;
🟠регулярно отслеживайте прогресс выполнения задач.


📌 Секреты успеха
🔘 Расставьте приоритеты
Важно понимать, какие задачи являются наиболее важными и срочными. Используйте метод ABC (важность) и метод Эйзенхауэра (срочность) для определения приоритетов.

🔘 Будьте готовы к изменениям
Гибкость в планировании позволяет быстро адаптироваться к новым условиям и не терять время на перестройку планов.


📌 Особенности, о которых забывают
🔘 Ведите учет ресурсов
Точные данные о доступных ресурсах помогут избежать неожиданных проблем.

🔘 Запрашивайте обратную связь
Регулярный сбор отзывов от команды и заказчиков помогут понять, что работает, а что нужно улучшить.


📌 Дополнительно
🔘 Метод критического пути: определите ключевые задачи, влияющие на сроки проекта.

🔘 Планируйте заранее: оставьте место для непредвиденных обстоятельств — и понедельники станут спокойнее.


Ресурсное планирование — это не просто процесс, а настоящее искусство. Применяя перечисленные фишки, секреты и особенности, вы сможете значительно повысить эффективность своих проектов и достичь поставленных целей.

💾 Больше постов про ресурсное планирование вы можете найти по тегу #практика_РП


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Дорогие коллеги, поздравляем вас с Днём Защитника Отечества! 🇷🇺

Желаем вам успехов в делах, реализации самых смелых идей и уверенности в каждом принятом решении.

Пусть рядом всегда будут те, ради кого хочется быть сильнее, а в жизни — больше поводов для гордости и радости.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📰 Новостной дайджест прошедшей недели

🗣В России обсуждают возможность исключения уголовной ответственности для сотрудников ИБ-компаний, получивших доступ к ПДн граждан
Сейчас специалисты, получившие доступ к персональным данным для их защиты, рискуют получить до 10 лет лишения свободы.

🗣CNews Analytics: Каждая вторая компания ожидает возвращения ушедших ИТ-компаний в Россию
Эксперты уверены, что если зарубежные поставщики программного и аппаратного обеспечения вернутся в нашу страну, работать здесь им будет непросто.

🗣Уральский форум: сегодня раскрываемость киберпреступлений составляет только 23%
Это связано с нехваткой квалифицированных кадров и сложностью отслеживания цифровых следов. Подробнее о ключевых моментах пленарной сессии можно прочитать здесь.

🗣Минцифры определило требования к федеральной ГИС обработки обезличенных данных
Согласно заявлению министерства, доступ к наборам данных будет возможен только в рамках закрытого контура платформы, исключающего их передачу за её пределы.

🗣В 2024 году Банк России получил более 750 сообщений о компьютерных атаках на финансовые компании
Основная часть атак совершалась, чтобы вывести информационную инфраструктуру компаний из строя или сделать сервисы недоступными.

🗣Исследование: топ-10 ИТ-трендов в России на 2025 год
Среди основных трендов названы увеличение инвестиций в ИБ-продукты, снижение темпов импортозамещения и острый дефицит кадров.

🗣Российские ученые нашли способ повысить защиту от кибератак
Специалисты из Перми создали математическую модель, которая автоматизирует процесс оценки угроз информационной безопасности.

🗣ЦБ представил портрет пострадавшего от кибермошенников в 2024 году
Среди наиболее популярных методов обмана — телефонное и СМС-мошенничество, получение доступа к аккаунтам на Госуслугах, а также мошенничество с помощью мессенджеров.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

В 2024 году в России рост нелегитимного трафика веб-серверов составил 12% от общего объема.

При этом большая часть такого трафика приходится на мощных ботнетов, использующих виртуальные серверы и машины для DDoS-атак.

Хакеры научились обходить традиционные способы защиты, и теперь для атак на L7-уровне (уровень веб-приложений и серверов) используют зараженные виртуальные машины, которые можно без проблем арендовать у хостинг-провайдеров. Теперь злоумышленники могут не только маскировать свое местоположение, но и скрываться от блокировок по географическим данным.

Эксперты отмечают, что защитить предоставляемые в аренду виртуальные серверы и машины провайдерам также весьма непросто, поскольку они не могут самостоятельно обновлять клиентское программное обеспечение.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣Уральский форум продолжается, и нам уже есть о чем рассказать!

Дмитрий Башков, руководитель направления по работе с клиентами, отметил ключевые тезисы пленарной сессии. Она прошла с участием представителей ЦБ РФ, Минцифры, Генеральной прокуратуры, МВД и Касперского. Обсуждались меры борьбы с киберугрозами, противодействие мошенникам, и какие ключевые факторы успеха.

Спойлер:
- звонки в мессенджерах пока не запрещают, но и не исключают такой возможности,
- антифрод платформу Минцифры запустит в этом году.

Проблема становится все более масштабной: только в 2023 году мошенники похитили у россиян более 27 миллиардов рублей, а количество киберпреступлений достигло 765 тысяч. Это не просто цифры — это реальные угрозы для бизнеса и граждан.


Интересные цифры и факты:

🟡Ущерб от кибермошенничества:
В 2022 году потери составили 200 миллиардов рублей, а в 2023 — 147 миллиардов. Снижение связано с усилением мер защиты, но проблема остается острой.

🟡Кредитное мошенничество:
В 2023 году на него пришлось 40% всех похищенных средств (в 2022 — 25%). Мошенники активно используют виртуальные карты и схемы с "периодом охлаждения".

🟡Дропперство:
Стоимость "дропперской" карты на черном рынке выросла с 10-15 до 70 тысяч рублей. Это свидетельствует о растущем спросе на услуги посредников для вывода украденных средств.

🟡Технологии в руках мошенников:
В 2023 году зафиксировано 486 тысяч случаев дистанционных хищений, что на 2% больше, чем в 2022. При этом использование дипфейков и фишинговых схем усложняет борьбу с преступниками.

🟡Раскрываемость преступлений:
Пока что только 23% киберпреступлений раскрываются. Это связано с нехваткой квалифицированных кадров и сложностью отслеживания цифровых следов.

Что делается для борьбы с угрозами?

🟡Законодательные инициативы:
Введены новые законы, например, о дропперстве и кредитном мошенничестве. Они предусматривают "период охлаждения" для переводов и ужесточают контроль за выдачей кредитов.

🟡Синергия государства и бизнеса:
Министерство цифрового развития, правоохранительные органы, банки и эксперты по кибербезопасности объединяют усилия. Например, разрабатываются антифрод-платформы для автоматизации обмена данными.

🟡Повышение качества данных:
Банки стали активнее регистрировать мошеннические операции, передавая корректные данные в 85% случаев. Однако для 100% охвата еще есть над чем работать.


Что дальше?

Будущее борьбы с кибермошенничеством лежит в:
🟠усовершенствовании законодательства,
🟠внедрении новых технологий для защиты,
🟠обучении граждан и повышении их цифровой грамотности.

Как еще раз подчеркнули на пленарной сессии, кибермошенничество — это вызов, который требует консолидации усилий всех участников рынка. Только совместная работа государства, бизнеса и общества сможет создать безопасную цифровую среду.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

СУИБ – «Сложно, Утомительно, Инструкции, Бюрократия?» – А вот и нет! Развеиваем мифы на вебинаре.

❗️Напоминаем, что 25 февраля в 11:00 (МСК) мы расскажем про: «Построение системы управления ИБ (СУИБ) на промышленных предприятиях»

🔗 РЕГИСТРАЦИЯ

Подготовка идет полным ходом! А пока мы предлагаем вам принять участие в небольшом опросе – выберите тему, которая кажется вам самой интересной.

Результаты голосования обязательно учтем при подготовке мероприятию ⬇️

Илон Маск и xAI представили Grok 3!

Илон Маск и команда xAI провели прямой эфир, на котором официально презентовали Grok 3 – новую ИИ-модель, способную составить конкуренцию OpenAI и DeepSeek.

🟡 Ключевые моменты:
🟠 «Самый умный ИИ на Земле»: Маск назвал Grok 3 максимально правдивым ИИ, даже если его правда иногда расходится с политкорректностью.
🟠 Мощность: Модель работает на суперкомпьютере Colossus, используя 100 000 графических процессоров Nvidia H100 и затрачивая 200 млн GPU-часов на обучение.
🟠 Бенчмарки: Grok 3 набрал более 1400 баллов ELO, опережая лучших конкурентов, включая GPT-4o и Gemini Flash Thinking.
🟠 Варианты моделей: Grok 3, Grok 3 Mini, Grok 3 Reasoning и Grok 3 Mini Reasoning – выбор зависит от нужной скорости и точности.

🟡 Особенности:
🟠 Grok 3 демонстрирует выдающиеся результаты в тестах по математике, физике и химии, а также способна создавать игры (в деморолике — гибрид Tetris и Bejeweled).
🟠 Маск отметил, что Grok 3 готова к поступлению в колледж – модель прошла значительное улучшение с момента Grok 2.

🟡 Доступность:
🟠 Grok 3 уже доступен для подписчиков Premium+ на X за $50/мес, а в ближайшие дни планируется запуск через приложение Grok для iOS и сайт Grok.com, а позже — и в Google Play.
🟠 Также ожидается запуск корпоративного API с дополнительной функцией DeepSearch и голосовым режимом.

💡О том, как развивается ИИ в России и мире и какие киберриски сопровождают внедрение этой технологии, смотрите в подкасте «Безопасный выход».

Источник: @gen_i_i


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

❔ Можно ли сокращать политику обработки ПДн на сайте?

Часть 2 статьи 18.1 Федерального закона «О персональных данных» обязывает операторов публиковать на своих сайтах политику обработки ПДн, если через эти сайты осуществляется сбор ПДн.

ℹ️ Политика – типовой документ, в котором документируются цели обработки ПДн в организации и множество подробных параметров обработки относительно каждой из целей. Указанная информация фиксируется в отношении всей компании в целом, а не только процессов сбора и хранения ПДн посредством сайтов.

Некоторые операторы задаются вопросом – Можно ли исключить внутренние процессы из публикуемой политики?

❗️ Да, но есть несколько нюансов:
🟡 Рекомендуем разрабатывать несколько независимых политик, а не единый документ, публикуя на сайте только его часть. Минимально – две версии: «внешняя» для сайта и «внутренняя» для остальных процессов. Это соответствует позиции Роскомнадзора, которую представители ведомства озвучивали на семинаре в начале 2024 года.
🟡 Не стоит забывать, что ч. 2 ст. 18.1 № 152-ФЗ касается говорит не только о сборе ПДн посредством собственных сайтов, а о сборе посредством сети Интернет в целом. Поэтому важно детально проанализировать все процессы обработки и правильно распределить цели между внешней и внутренней политикой.
🟡 Последнее, но не менее важное: политика, регулирующая внутренние процессы, должна быть доступна субъектам ПДн. Например, если документ касается сотрудников, его можно распечатать и разместить в общей зоне или опубликовать на корпоративном портале.

Важно помнить: даже если поделить политику обработки ПДн на части, вся информация по целям обработки в любом случае публикуется в открытой части реестра операторов ПДн на официальном сайте Роскомнадзора. При условии, что организация законопослушно направила в уполномоченный орган уведомление о начале обработки ПДн.

📌 Если вы работаете с персональными данными, рекомендуем подписаться на канал "Privacy GDPR Russia" — здесь собраны актуальные новости, кейсы, аналитика и практические рекомендации по вопросам приватности и защиты ПДн.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📑Новый законопроект о защите от телефонных и интернет-мошенников. Как документ повлияет на бизнес?

В Госдуму внесен проект федерального закона о создании ГИС по противодействию преступлениям с использованием информационно-телекоммуникационных технологий. Подробнее об основных моментах документа можно узнать в этом посте.

Мы, в свою очередь, хотим сделать акцент на следующих важных изменениях:

👤 идентификация и проверка личности пользователя, маркировка звонков (поможет отличить мошеннический звонок от реального звонка из банка), а также уведомление о звонках из зарубежных стран или через интернет;

🚫 запрет на массовые звонки в рекламных целях и возможность отказаться от рассылок (касается также ранее выданных согласий на получение рекламы).

Наш эксперт Никита Козин обращает особое внимание на то, что в случае принятия закона бизнесу придется настроить процессы управления согласиями на получение рекламы по телефону. По своей сущности эти процессы будут аналогичны «чекбоксам» на сайтах и кнопкам «Отписаться» в email-рассылках.

Кроме того, компаниям будет необходимо отладить процесс хранения данных о получении и отзыве таких согласий клиентами, т.к. согласно Федеральному закону 38-ФЗ бремя доказательств наличия согласия лежит полностью на поднадзорной организации, и в случае обращения гражданина с жалобой в суд или ФАС, организации придется предоставить суду или регулятору соответствующие доказательства.

С нашими подробными рекомендации о том, как правильно получать согласие клиентов, чтобы не нарушать требования законов 152-ФЗ и 38-ФЗ, вы можете ознакомиться здесь.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 С 19 по 21 февраля 2025 года в Екатеринбурге пройдет Уральский форум «Кибербезопасность в финансах»

Форум соберет представителей Банка России, органов власти, финансовых организаций и IT-компаний. Важным событием станет пленарное заседание с участием Председателя Банка России Эльвиры Набиуллиной, посвященное ключевым вызовам кибербезопасности в финансовом секторе.

📌 Ключевые темы форума:
🟠 ИИ в банкинге – как искусственный интеллект трансформирует финансовые процессы.
🟠 Противостояние кибермошенничеству – новые угрозы, схемы и методы борьбы.
🟠 Кибербезопасность – защита финансовых организаций в условиях растущих угроз.
🟠 Киберустойчивость финансового рынка в эпоху импортозамещения – обеспечение безопасности на фоне перехода к отечественным технологиям.

🔥На форуме от AKTIV.CONSULTING будет присутствовать Дмитрий Башков, руководитель направления по работе с клиентами. Если вы тоже планируете посетить мероприятие, можете договориться о встрече с Дмитрием в 💬 телеграм для знакомства и обмена опытом.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📰 Новостной дайджест прошедшей недели

🗣Правительство одобрило около 30 мер по противодействию телефонному и интернет-мошенничеству
Законопроект предусматривает создание единой госинформсистемы «Антифрод», которая объединит банки, операторов связи, цифровые платформы и правоохранительные органы для оперативного выявления мошеннических схем.

🗣Роскомнадзор обучит своих сотрудников навыкам OSINT
После обучения они должны уметь пользоваться различными источниками информации и владеть набором практических методов киберразведки.

🗣В России появится Национальная система подтверждения ИТ-компетенций
С 14 февраля 2025 года ИТ-специалисты смогут бесплатно пройти тестирование и подтвердить свои компетенции.

🗣Госорганы, бизнес и физлица получат доступ к собранным властями данным
На их основе разработчики смогут обучать и тестировать алгоритмы искусственного интеллекта.

🗣Ущерб россиянам от ИТ-мошенников превысил 170 млрд рублей
Самым популярным видом мошенничества по-прежнему остается фишинг.

🗣Бизнес опасается открытости коммерческих баз персональных данных для представителей силовых органов
Они считают, что предложенный механизм создает ИБ-риски, и предлагают вносить необходимые правки с помощью ЕСИА «Госуслуг».

🗣Исследование: более трети предприятий в России уже имеют опыт использования ИИ
К основным недостаткам применения технологии относят высокие затраты на внедрение и эксплуатацию (23%), технические сложности и ненадежность (18%), риски безопасности (10%).


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Вебинар: как построить СУИБ на промышленном предприятии без хаоса и лишних затрат?

📅 25 февраля
⏰ 11:00 (МСК)

🟡 О чём вебинар?
Информационная безопасность в промышленности — это не просто соответствие требованиям, а реальный инструмент защиты данных, процессов и бизнеса. Система управления информационной безопасностью (СУИБ) должна быть не формальностью, а работающим механизмом.
Но на практике специалисты сталкиваются с рядом сложностей:
🟠Нет четких методологий – с чего начинать?
🟠На какие регуляторные требования можно опираться при внедрении СУИБ?
🟠Как формализовать процессы, чтобы они работали, а не создавали бюрократию?

🟡 Спикер
Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING. Эксперт с практическим опытом внедрения СУИБ на промышленных предприятиях расскажет, как построить в организации эффективную систему управления информационной безопасностью, не затрачивая на это излишних ресурсов, как человеческих, так и материальных.

🟡 Что разберём?
1️⃣СУИБ предприятия: постановка целей разработка системы оценки.
2️⃣Основные процедуры СУИБ: планирование, внедрение, мониторинг, анализ, совершенствование.
3️⃣Рекомендации по реализации этапов внедрения СУИБ.
4️⃣Выбор средств СУИБ в условиях импортозамещения. Указы Президента РФ № 166 и 250.
5️⃣Повышение квалификации персонала для обеспечения эффективности СУИБ. Анонс следующего вебинара.

🟡 Кому будет полезно?
ИБ-директорам – для выстраивания стратегии защиты.
ИБ-специалистам – для внедрения реальных механизмов работы СУИБ.
Директорам по цифровой трансформации – чтобы безопасность не мешала развитию бизнеса.

📎 Регистрация


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🛡 Продолжаем разбирать ключевые тезисы, представленные первым заместителем директора ФСТЭК России на ТБ-Форуме 2025

🟡 Подготовлен проект Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении.
По словам Виталия Сергеевича Лютикова в этой методике в том числе предусмотрен учет результатов работы центра исследования безопасности программного обеспечения, при проведении исследований будут учитываться результаты реализации у разработчиков процессов разработки безопасного программного обеспечения в соответствии с ГОСТ Р 56929. В ближайшее время после экспертной оценки методика будет утверждена в новой редакции.

🟡 В данный момент разрабатываются национальные стандарты в области разработки безопасного программного обеспечения.
Виталий Сергеевич выразил благодарность участникам ТК 362 за помощь в разработке основного стандарта по безопасной разработке программного обеспечения — ГОСТ Р 71207 - 2024. На данный момент активно обсуждается методика оценки уровней внедрения процессов разработки. «Здесь мы хотим предложить руководство для оценщиков, либо для самооценки, либо для организации, которая в рамках разработки будет проводить такую оценку», — отметил Виталий Сергеевич Лютиков. Методика практически согласована, критических замечаний нет, поэтому в ближайшее время планируется направлять её в Росстандарт. Так же на слайде были представлены еще 6 разрабатываемых в настоящее время стандартов.

🟡 01.12.2023 был утвержден порядок сертификации процессов разработки безопасного программного обеспечения средств защиты информации.
По словам Виталия Сергеевича Лютикова, чтобы стать органом по сертификации важно иметь компетенции в разработке. Он задал вопрос — «Если организация не является разработчиком и никогда не занималась безопасной разработкой программного обеспечения, имеет ли она моральное право оценивать разработчика, который это внедрил?». Также Виталий Сергеевич отметил, что при прохождении процедуры получения сертификата важно обращать внимание на среду сборки в первую очередь, на её контроль, используемые компоненты и используемые инструменты. «Наличие сертификата по безопасной разработке просто легче проходить некоторые процедуры изменения программного обеспечения в межсертификационные циклы» отметил докладчик.

🟡 30% экспертов не проходят тестирование в процессе аттестации работников органов по сертификации и испытательных лабораторий.
Поэтому лабораториям важно грамотно готовить своих работников перед подачей заявки на аттестацию. «Мы всегда принимаем сторону отвечающего, в его пользу засчитываем ответ, нет никакой предвзятости», — отметил он. Виталий Сергеевич призвал органы по сертификации и испытательные лаборатории формировать задачу по подготовке тестировщиков и исследователей для центров повышения квалификации и ВУЗов.

🟡 ФСТЭК России принято решение пригласить отечественных разработчиков статических анализаторов для проведения на конкурсной основе оценки своих статических анализаторов в соответствии с ГОСТ Р 71207-2024. В течение года это мероприятие пройдет в несколько этапов и в конце года на конференции Института системного программирования будут предоставлены результаты проведенных испытаний. По словам Виталия Сергеевича Лютикова российские компании смогут использовать эти результаты при принятии решения по внедрению своих систем разработки и процессов сертификационных инструментов.

🟡 ФСТЭК России запустили двухлетний период модернизации и развития банка данных угроз безопасности информации, его объединение с банком данных АСУ ТП на единой платформе. Основной акцент будет сделан на анализе состава компонентов программного обеспечения и облегчении задач композиционного анализа. Также планируется сделать банк угроз более удобным для экспертов с возможностью обмена информацией в реальном времени посредством чата.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🛡 Эксперты AKTIV.CONSULTING посетили ТБ-форум 2025. Ниже приводим основные тезисы, озвученные первым заместителем директора ФСТЭК России

🟡 Разработан проект Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах, государственных органов, государственных унитарных предприятий, государственных учреждений.

Проектом устанавливаются требования к организации деятельности по защите информации и управлению этой деятельностью, а также к проведению мероприятий и принятию мер по защите информации.

Указанные требования вступают в силу с 01.03.2026 года (за исключением пункта 54 Требований).
На этапе подготовки заключительного текста находится проект Федерального закона о внесении изменений в статью 13.12 Кодекса Российской Федерации об административных правонарушениях.

Проект предусматривает новые штрафы в сфере защиты информации (части 2, 4, 6, 7 статьи 13.12 КоАП), а также увеличение срока давности привлечения к административной ответственности по статье 13.12 КоАП до одного года.

🟡 По результатам оценки качества проведения работ по аттестации объектов информатизации Виталий Сергеевич Лютиков подчеркнул типовые недостатки предоставленных аттестационных материалов:
1️⃣ не проводятся мероприятия по анализу уязвимостей, функциональному тестированию и тестированию системы в обход её системы защиты информации;
2️⃣ применение несертифицированных в системе сертификации ФСТЭК России средств защиты информации;
3️⃣ и т.д.

🟡 По утвержденной ФСТЭК России 02.05.2024 Методике оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации была проведена оценка 170 организаций, по итогам которой были выявлены типовые недостатки, такие как отсутствие централизованного сбора событий безопасности, документа, определяющего порядок реагирования на компьютерные инциденты и т.д.

🟡 Минцифры России с участием ФСБ России и ФСТЭК России провели оценку защищенности 100 государственных информационных систем в рамках эксперимента (Постановление Правительства РФ от 13.05.2022). Виталий Сергеевич Лютиков подчеркнул, что большинство выявленных недостатков связаны с прикладным программным обеспечением государственных информационных систем.

🟡 В рамках совершенствования методических документов по аттестации на соответствие требованиям о защите информации разрабатывается три проекта методических документов:
1️⃣ Методика испытаний систем защиты информации информационных систем путем осуществления тестирования её функций безопасности (функционального тестирования);
2️⃣ Методика анализа уязвимостей в информационных системах;
3️⃣ Методика испытаний систем защиты информации информационных систем путем тестирования на проникновение.

🟡 В центре исследования безопасности программного обеспечения над тестированием ядра Linux и критичных компонентов работают более 150 специалистов. Более 80 человек трудятся над тестированием и исследованием одного компонента, который используется во многих продуктах благодаря тому, что организации-разработчики выделяют 1-2 специалистов для коллективной работы в центре. «Это правильное направление движения, его надо развивать по другим компонентам, и мы это направление поддерживаем», — отметил в своем докладе Виталий Сергеевич Лютиков.

Продолжение в следующем посте ⬇️


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⚡️Компания «Актив» объявляет о получении аккредитации ФСБ России в качестве испытательной лаборатории в Системе сертификации средств криптографической защиты информации РОСС RU.0001.030001.

Лаборатория может проводить как для собственных разработок, так и для сторонних заказчиков:
🔵Криптографические и инженерно-криптографические исследования средств криптографической защиты информации (СКЗИ).
🔵Оценку влияния программных, аппаратных, программно-аппаратных средств, совместно с которыми предполагается штатное функционирование СКЗИ.

Возможности лаборатории, дополненные широкими компетенциями экспертов Компания «Актив», позволят осуществлять сопровождение полного цикла разработки СКЗИ, от постановки работ по их разработке до проведения тематических исследований и работ по встраиванию в прикладные системы с получением на каждом этапе необходимых разрешительных документов ФСБ России.

➡️ Подробнее

🛡 Новый свод требований ФСТЭК: что изменится в 2026 году?

ФСТЭК России представила обновленный свод требований по защите информации, который вступит в силу в марте 2026 года. Документ охватывает госинформсистемы, органы власти, унитарные предприятия и учреждения.

*Основные изменения в регуляторных мерах представила заместитель начальника управления ФСТЭК России Ирина Гефнер на 30-м ТБ Форуме.

Ключевые изменения:
🟠Расширение сферы регулирования
Документ охватывает защиту государственной тайны, персональных данных и КИИ.
🟠Жёсткие сроки устранения уязвимостей
Критические – 24 часа
Высокие – 7 рабочих дней
Средние и низкие – по внутренним регламентам
🟠Обязательное уведомление ФСТЭК
Операторы должны в течение 5 рабочих дней передавать данные о ранее неизвестных уязвимостях в Банк данных угроз.
🟠Обновление нормативной базы
Требования базируются на № 1119 ПП РФ и 187-ФЗ, адаптируя меры защиты к современным киберугрозам.
🟠Упрощение классификации информационных систем
Процесс оценки рисков и выбора мер защиты станет более прозрачным и понятным.

Обновленные требования повышают оперативность устранения уязвимостей, вводят единые стандарты реагирования и делают регулирование более гибким.

Эксперты AKTIV.CONSULTING также приняли участие в Форуме и готовят детальный разбор выступления представителя ФСТЭК РФ, где представят ещё больше информации по итогам обсуждения ключевых изменений и их последствий.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📱 Mobile Device Management как инструмент информационной безопасности

Смартфоны и планшеты стали неотъемлемой частью нашей жизни. Но задумывались ли вы, насколько они могут быть уязвимы? Утечка данных через мобильные устройства может обойтись компании в миллионные убытки и серьезно подорвать ее репутацию. Вот где на помощь приходит Mobile Device Management (MDM).

Что такое MDM и зачем он нужен?
MDM — это комплекс решений, позволяющий администраторам безопасности компании управлять, контролировать и защищать мобильные устройства в организации. С его помощью можно:

📌 Обеспечить безопасность данных и их передачи: шифрование, удаленное стирание, блокировка устройств.
📌 Управлять установкой приложений: контроль над тем, какие приложения могут быть установлены, что предотвращает использование ненадежных или вредоносных программ.
📌 Централизовано управлять политиками безопасности: возможность устанавливать и обновлять пароли, ограничения доступа и другие параметры на всех устройствах из единой консоли.

Кроме того, MDM позволяет отслеживать и выявлять подозрительную активность исходящего траффика и быстро реагировать на инциденты.

Почему MDM необходим?
В условиях усиливающихся киберугроз внедрение MDM не просто разумный шаг — а необходимость. Грамотная настройка системы управления мобильными устройствами поможет защитить вашу организацию от потенциальных утечек и обеспечить целостность данных пользователей.

Рекомендуем проанализировать актуальные MDM-решения на рынке, выбрать оптимальное для вашей компании и принять меры к его внедрению, что позволит повысить уровень безопасности 💬


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

\

📣 Новостной дайджест прошедшей недели

🗣Голоса телефонных мошенников планируют собирать и хранить на единой антифрод-платформе
При этом отмечается, что согласия на сбор биометрических данных «лиц, совершивших мошенничество с использованием сети связи» не потребуется.

🗣ФСТЭК выявили минимальный уровень защищенности лишь у 13% владельцев КИИ
Среди недостатков, которые приводят к низкому значению показателя защищенности, названы отсутствие MFA, неустраненные критические уязвимости внутри IT-периметра компаний, отсутствие централизованного сбора событий безопасности.

🗣В России предложили идентифицировать белых хакеров через Госуслуги
Данная рекомендация входит в законопроект, вводящий в российское законодательство деятельность специалистов, которые будут заниматься поиском уязвимостей объектов информационной инфраструктуры РФ.

🗣Европейский союз вводит запрет на использование систем ИИ с «неприемлемым риском» или вредом
В частности, к «неприемлемому риску» относится ИИ, который манипулирует решениями человека на подсознательном уровне или обманным путём. Подробнее Регламент ЕС об ИИ мы рассматривали в этом посте.

🗣В 2024 году количество вакансий специалистов по кибербезопасности увеличилось по данным разных сервисов на 17–50%
В то же время при росте спроса на ИБ-специалистов количество резюме сократилось на 6%.

🗣Минпромторг: лишь 20% субъектов КИИ выполнили требования по защите инфраструктуры
По данным министерства, большинство субъектов КИИ в промышленности провели категорирование имеющихся у них объектов критической инфраструктуры с нарушениями, либо вообще не приступали к нему.

🗣Роскомнадзор: в 2024 году большинство утечек произошло в сфере торговли и оказания услуг
В прошлом году ведомство выявило 135 фактов утечек персональных данных, содержащих более 710 млн записей, а сумма штрафов за утечки достигла 2 млн рублей.

🗣Объем мирового рынка ИИ в сфере кибербеза составит более $146 млрд к 2034 году
Ожидается, что инструменты ИИ будут внедрены во все ключевые функции обеспечения ИБ.

ℹ️ О том, какие киберриски необходимо предусмотреть при использовании технологии ИИ, рассказали в новом выпуске подкаста «Безопасный выход». Смотреть


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

💥 DeepSeek vs. ChatGPT: новая гонка ИИ?

Когда мы записывали выпуск про искусственный интеллект, Алексей Сидорюк, Советник ассоциации ФинТех по ИИ, надеялся, что у ChatGPT вскоре появится достойный конкурент от Nvidia.

Неделю назад прогремела новость: акции Nvidia рухнули на $600 млрд за день на фоне успеха китайского DeepSeek. Его уже называют «ядерной бомбой» в мире технологий, ведь он показал, что оценки производителей ИИ и инфраструктуры могут быть сильно завышены.

🟠DeepSeek — новый игрок в ИИ
Тесты показали, что точность его ответов не уступает конкурентам, а главное – у него открытый код. Это значит, что любой желающий может создать на его базе собственную ИИ-модель.

🟠США отвечает Stargate'ом
На появление DeepSeek власти США отреагировали немедленно, объявив о Stargate — проекте по развитию ИИ на $500 млрд. В него вошли компании OpenAI, Oracle и японский SoftBank, которые займутся созданием суперкомпьютера и строительством сверхмощных дата-центров.

Конкуренция в сфере ИИ только нарастает! Если хотите узнать больше о разных стратегиях развития ИИ в США, Китае и России, а также чем Японский подход к технологиям принципиально отличается от других, смотрите свежий выпуск подкаста (ссылка в закрепе 🔝).

А если вам интересны последние новости о генеративном ИИ, подписывайтесь на 👉 канал Алексея Сидорюка.

Ждем новых прорывов в теме ИИ 🚀


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 11-13 февраля – ТБ Форум 2025

Главная площадка для обсуждения защиты информации, кибербезопасности и новых требований регуляторов. Именно здесь рассматриваются вопросы сертификации, аттестации ИС, разработки безопасного ПО и СЗИ.

⚡️ AKTIV.CONSULTING приглашает вас посетить стенд компании «Актив» в рамках направления «Защита информации и кибербезопасность».

Наши эксперты поделятся практикой реализации требований по защите ИБ в финансовом секторе, промышленных предприятиях и ТЭК, а также проконсультируют по вопросам выполнения требований регуляторов, проведению пентестов и анализа защищенности, безопасной разработке, защите АСУ ТП и т.д.

Ключевые темы деловой программы:
🟠Кибербезопасность и защита данных
Ожидаются дискуссии о сертификации СЗИ, требованиях ФСТЭК, новых угрозах для АСУ ТП и КИИ.
🟠Цифровая трансформация
На повестке – управление данными, импортозамещение, развитие облачных технологий и безопасность цифровых платформ.
🟠Безопасность
Обсудят защиту стратегически важных объектов, противодействие угрозам и интеграцию IT-решений в системы безопасности.
🟠Новые угрозы
Отдельное внимание будет уделено безопасному использованию искусственного интеллекта, новым рискам цифровизации транспорта и КИИ.

🗣В мероприятии примут участие более 2 000 руководителей и специалистов по ИБ, операторов ИС и КИИ, а также разработчиков решений для защиты данных.

До встречи на Форуме!


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🎙 Доступна запись эфира AM Live «Многофакторная аутентификация по-российски»

Вчера прошла онлайн-конференция AM Live, посвященная вопросам многофакторной аутентификации (MFA). Эксперты не только ответили на ключевые вопросы заказчиков, но и развенчали популярные мифы, обсудили нюансы отечественного и зарубежного законодательства, а также поделились практическими рекомендациями по выбору и внедрению MFA.

Ключевые темы:

🔵 Применение многофакторной аутентификации в корпоративной среде
Ключевые принципы МФА, актуальные стандарты и лучшие практики внедрения. Разобрали биометрию, преимущества Passkey (технология аутентификации без пароля с использованием криптографического ключа) и причины, по которым СМС-аутентификация считается небезопасной.

🔵 Управление жизненным циклом аутентификации
Как внедрять МФА с учетом ИТ-инфраструктуры, масштабируемости и интеграции с корпоративными системами. Обсудили резервные методы аутентификации, автоматизацию управления и риски, связанные с сертификатами, паролями и ключами.

🔵 Прогнозы экспертов
Какие технологии аутентификации станут популярными, как облачные решения повлияют на рынок МФА и какие изменения принесет импортозамещение в ИТ.

Смотреть запись ⬇️

💙VK Видео

📺Рутуб

📺YouTube

⚡ Новый шаг к импортозамещению: в России запускают серийный выпуск «ПЛК-Эльбрус» для КИИ

В 2025 году ИНЭУМ им. И.С. Брука начинает серийное производство промышленного контроллера «ПЛК-Эльбрус», предназначенного для автоматизированных систем управления технологическими процессами (АСУ ТП) на объектах КИИ.

❔ Что известно о контроллере?
🟠Работает на отечественном ПО и процессоре «Эльбрус-2С3».
🟠Включен в реестр ПАК российского производства Минцифры.
🟠Уже применяется в атомной отрасли и проходит испытания в нефтегазе.

💡 Почему это важно?
Контроллеры АСУ ТП с высокими требованиями к защите информации играют ключевую роль в обеспечении технологической независимости. Согласно постановлению правительства, объекты КИИ должны перейти на отечественное оборудование до 2030 года.

В 2025 году ИНЭУМ планирует выпустить до 500 единиц контроллеров, а массовое внедрение ожидается после сертификации во ФСТЭК.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Что значимого произошло для служб ИБ по итогам 2024?

В 2024 году информационная безопасность столкнулась с важными изменениями: от новых требований к защите ПДн до роста атак с применением ИИ. Олег Симаков, директор по развитию AKTIV.CONSULTING, представил обзор ключевых событий и их значимости для отрасли.

🔸Изменения в нормативных требованиях и регулировании
В конце года были приняты изменения в ответственности за утечки ПДн, которые долго обсуждались и ожидались.

🔐 С 30 мая 2025 года вступает в силу закон №420-ФЗ, вводящий так называемые «оборотные» штрафы за утечку персональных данных. Данный закон вносит изменения в КоАП:
— Размер штрафов за первичную утечку зависит от объема раскрытых данных.
— Повторные нарушения влекут оборотные штрафы, зависящие от годовой выручки компании.
— Введены новые штрафы за несвоевременное уведомление Роскомнадзора о начале обработки ПДн.
— Введена уголовная ответственность за сбор, передачу и хранение данных, полученных незаконным путем, включая создание ресурсов для их распространения.

⚠️ Что это значит для служб ИБ?
Ответственные за обработку и защиту ПДн в организациях должны пересмотреть подходы к работе с ПДн, чтобы минимизировать собственные риски и мотивировать руководство выделять дополнительные ресурсы на защиту данных.

Кроме того, отрасли КИИ вплотную приблизились к сроку выполнения требований по импортозамещению, однако большая часть организаций пока не готова к их реализации.

🔸Знаковые вызовы отрасли ИБ
— Слабые звенья в цепочках поставок остаются основной причиной в реализации большей части атак..
— Технологии ИИ активно используются киберпреступниками, требуя симметричного ответа со стороны выстраивании защиты.
🎙 Эти вопросы мы обсудили в подкасте «Искусственный интеллект». Смотреть на удобной площадке.

🔸Влияние экономической и политической ситуации
— Риск мобилизации по-прежнему актуален, что сказывается на кадровом дефиците в ИТ и ИБ.
— Тренд на рост кибератак, инспирированных по политическим мотивам, продолжает показывать положительную динамику.
— Высокая ключевая ставка оказывает негативное влияние на реализацию инвестиционных проектов, в том числе в сфере ИБ.

А чем вам запомнился 2024 год по части ИБ? Поделитесь в комментариях ⬇️


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Новостной дайджест прошедшей недели

🗣Новые требования к пентестам в банках и НФО
22 января 2025 года Банк России утвердил методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка (2-МР).

🗣РКН отчитался о борьбе с DDoS-атаками и киберугрозами в 2024 году: ЦМУ ССОП отразил 11 тыс. DDoS-атак, заблокировал 30 тыс. фишинговых сайтов и 217 вредоносных ресурсов. Самая мощная атака достигла 2,38 Тбит/с, а самая долгая длилась 108 часов. Под защитой более 6 тыс. объектов, включая госучреждения и банки.

🗣В России планируют ввести обязательную маркировку звонков. Минцифры предложило обязать операторов связи идентифицировать звонящего и маркировать звонки, указывая, откуда они поступают — например, «банк» или «полезные услуги».

🗣Роскомнадзор составил протокол против Discord
РКН впервые привлёк Discord к ответственности за отказ хранить персональные данные россиян в стране. Заседание суда назначено на 5 февраля.

🗣Киберграмотность россиян не растёт третий год
По данным НАФИ, уровень цифровых навыков остаётся на 71% с 2021 года. Лучше всего ориентируются люди 45–54 лет и горожане, хуже — молодёжь, пенсионеры и сельские жители.

🗣Опубликован первый международный доклад по рискам ИИ: документ, представленный Йошуа Бенжио, опубликован в рамках AI Action Summit и предлагает меры по регулированию ИИ. Бенжио подчеркнул, что его развитие зависит от решений людей, а не от самой технологии.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣Новостной дайджест прошедшей недели

🗣Исследование: ЦБ утвердил 2-МР по тестированию кибербезопасности в финансовом секторе
22 января 2025 года Банк России утвердил методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка (2-МР)



🗣РКН отчитался о борьбе с DDoS-атаками и киберугрозами в 2024 году
ЦМУ ССОП отразил 11 тыс. DDoS-атак, заблокировал 30 тыс. фишинговых сайтов и 217 вредоносных ресурсов. Самая мощная атака достигла 2,38 Тбит/с, а самая долгая длилась 108 часов. Под защитой более 6 тыс. объектов, включая госучреждения и банки.

Роскомнадзор составил протокол против Discord
РКН впервые привлёк Discord к ответственности за отказ хранить персональные данные россиян в стране. Заседание суда назначено на 5 февраля.



В России планируют ввести обязательную маркировку звонков https://www.cnews.ru/news/top/2025-01-30_vlasti_planiruyut_vvesti
Минцифры предложило обязать операторов связи идентифицировать звонящего и маркировать звонки, указывая, откуда они поступают — например, «банк» или «полезные услуги».


Киберграмотность россиян не растёт третий год
https://cisoclub.ru/nafi-kibergramotnost-grazhdan-rf-ne-rastjot-tretij-god-podrjad/
По данным НАФИ, уровень цифровых навыков остаётся на 71% с 2021 года. Лучше всего ориентируются люди 45–54 лет и горожане, хуже — молодёжь, пенсионеры и сельские жители.

Опубликован первый международный доклад по рискам ИИ
https://assets.publishing.service.gov.uk/media/679a0c48a77d250007d313ee/International_AI_Safety_Report_2025_accessible_f.pdf
Йошуа Бенжио представил первый в истории доклад по безопасности ИИ.
Документ, опубликованный в рамках AI Action Summit, предлагает меры по регулированию ИИ. Бенжио подчеркнул, что его развитие зависит от решений людей, а не от самой технологии.

⚡️Как развивается ИИ в России и в мире и какие киберриски связаны с развитием данной технологии

В новом выпуске подкаста «Безопасный выход» обсуждаем развитие ИИ в России и мире, а также киберриски, возникающие по мере внедрения технологии.

🎙 Гости выпуска:
🟣 Алексей Сидорюк — Советник ассоциации ФинТех по искусственному интеллекту
🟣 Максим Бузинов — Руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар»
🟣 Ведущая: Анастасия Харыбина, руководитель AKTIV.CONSULTING

Эксперты разобрали ключевые тренды, риски и перспективы ИИ, а также подходы к защите от новых угроз.

Смотрите выпуск и вы узнаете:

• В каких нишах Россия занимает лидирующие позиции.
• Как ИИ-ассистент позволяет оптимизировать закупки.
• Что такое исследования Run и Change.
• Что такое агентный ИИ и какие риски с ним связаны.
• Позволит ли ИИ разговаривать с животными.

📺 VK Видео

📺 Rutube

📺 YouTube

🎼 Podster

Делитесь своими впечатлениями в комментариях под видео!

#подкаст #Безопасныйвыход

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Классификация рисков кредитной финансовой организации

📊 По данным опросов 2024 года, 74% респондентов считают свои организации недостаточно защищенными от сложных и целевых атак и не умеют управлять рисками информационной безопасности. Для финансовой сферы управление ИБ-рисками становится особенно важным, поскольку этот процесс регулируется Центральным Банком.

Напомним:
🔹 Управление рисками информационной безопасности — это процесс выявления, оценки и управления потенциальными угрозами и уязвимостями, которые могут повлиять на конфиденциальность, целостность и доступность информации в организации.
🔹 Центральный Банк предлагает опираться на 716-П Положение и ГОСТ 57580.3-2022.

Сложность состоит в том, что процесс управления рисками ИБ (или если использовать точную регуляторную терминологию «информационных угроз — ИУ») являются частью более широкого процесса — управления рисками операционных угроз.

Исходя из этого, специалисты по ИБ, которые будут проводить классификацию рисков ИУ внутри операционных рисков и рисков ИБ, а также модельных и правовых рисков, кредитная организация должна отслеживать:
— Операционные риски
— События операционного риска
— Инциденты операционной надежности
— Инциденты защиты информации
— Информационные угрозы
— Угрозы безопасности информации
— Киберриски
— Риски информационной безопасности
— События риска информационной безопасности
— Целевые компьютерные атаки
— Факты компрометации объектов информационной инфраструктуры
— Сбой объектов информационной инфраструктуры
— Простои технологического процесса
— Деградацию технологического процесса
— Нарушение технологического процесса
— Непрерывность функционирования информационных систем
— Качество функционирования информационных систем
— Риски информационных систем

⚠️ Проблема терминологии
Ввиду отсутствия единого терминологического ГОСТ, не все профильные специалисты в сфере ИБ понимают разницу между, например:
— Информационными угрозами и угрозами безопасности информации
— Фактами компрометации объектов информационной инфраструктуры и инцидентами защиты информации
— Рисками ИБ и киберрисками

Подробнее эти нюансы мы разберем в следующих постах ✅

#Сергей_Шленский


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣В ИИ-сервисе DeepSeek обнаружили утечку данных

Исследователи Wiz утверждают, что DeepSeek плохо защитила инфраструктуру своих сервисов, и в результате разговоры с чат-ботом DeepSeek, а также другие данные оказались в открытом доступе.

➡️ Основные выводы исследования:
— БД ClickHouse на серверах DeepSeek была полностью открыта и не требовала аутентификации.
— Потенциальный злоумышленник мог не только просматривать данные, но и управлять системой, выполняя SQL-запросы через HTTP-интерфейс.
— В логах содержались более миллиона записей, включая API-ключи, метаданные бэкенда и истории чатов в открытом виде.

Без надежной защиты быстрое внедрение ИИ-сервисов приводит к серьезным рискам: пока обсуждаются гипотетические угрозы, утечки данных из-за простых ошибок уже происходят.

❕ После уведомления DeepSeek оперативно устранила уязвимость.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст