Пост Лукацкого

Public

Не можете присоединиться? @alukatsky

37k Участники

Обновлено: May 26, 2026 at 6:41 PM

Пост Лукацкого

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

@alukatsky is a growing community focused on alukatsk and related topics

Рейтинг

Глобальный рейтинг

#14155

-167

Рейтинг по языку

#10177

-133

Рейтинг по категории

#57Без изменений

Рост участников (Последние 20 дней)

Всего: 37.0K

Рост за 24ч: +0 0%

Последние посты

Пост Лукацкого

16 мая 2026 г., 11:21

На следующей неделе в Нижнем Новгороде пройдет https://cipr.ru/, где у меня по счастливой случайности намечается аж целых 4 выступления, на которое я вас и приглашаю, если вы будете в столице закатов.

6️⃣ 18 мая – 15.15 – зал 10 – "Реальная проверка киберустойчивости и киберстрахование в технологическом и промышленном секторе". По приглашению Кибердома модерирую эту секцию, в которой будут участвовать представители страхового бизнеса, ИБ-отрасли и промышленности. Дискуссия пойдет вокруг разговора о том, что реальная проверка нужна, чтобы понять свой настоящий риск, а страхование нужно, чтобы правильно распределить последствия этого риска, а не заменить работу по кибербезу. Вообще тема киберстрахования в последнее время начинает активизироваться – у меня за месяц 4 или 5 активностей, связанных с этим направлением.

2️⃣ 19 мая – 15.00 – зал 12 – "ИИ-исповедь. Грехи разработки и внедрения". Тут поговорим про факапы с ИИ, в том числе и личные. Про западные провальные истории мы все слышали, а про российские нечасто – есть шанс наверстать. Я пока еще не знаю, что из своих личных провалов выбрать для рассказа на публике. Но упоминание зарубежных уже готовлю.

3️⃣ 19 мая – отдельный форум в рамках ЦИПР "Право. Бизнес. Искусственный интеллект", организованный Сбером. Тут я с выступлением "Не ИИ опасен, а то, как мы его внедряем". Тут все по традиции последнего времени – грамотное планирование ИИ с точки зрения кибербеза, чеклисты, практические советы и рекомендации. Не знаю, можно ли на него попасть просто так, поэтому место и время не указываю.

4️⃣ 20 мая – 11.15 – зал 9 – "Цифровые коллапсы. Есть ли гарантии надежности". Тут писать дольше, чем времени будет на высказывание своей позиции. 1 час на 10 спикеров. А учитывая, что там будет г-жа Касперская и замминистра цифрового развития, то все может превратиться в дискуссию между ними. Но хоть шоу из первого ряда посмотрю.

#мероприятие #ии #киберстрахование

4,010

Пост Лукацкого

16 мая 2026 г., 11:21

📷 Photo

А вы знали, что ФСТЭК тоже отслеживает APT-группировки, кампании и кластеры? В качестве источников они анализируют около тысячи сайтов, 4 тысячи каналов и чатов, 2 тысячи блогов, 5 тысяч репозиториев... Всего 380 тысяч разных источников, которые засовывают в граф и анализируют там по разным срезам – инциденты, уязвимости, эксплойты и вот это вот все. Графовый анализ становится все более популярным в ИБ – от личного (уже 4 года назад) и экспертного (вот ) до корпоративного применения (моя https://lukatsky.ru/secops/vizualizatsiya-vektorov-atak-i-topologii-zaschischaemoy-seti.html в блоге и более https://t.me/Positive_Technologies от коллег) и регуляторного. А ФСТЭКу респект!

#threatintelligence #apt

4,660

Пост Лукацкого

16 мая 2026 г., 11:21

[poll]

4,420

Пост Лукацкого

16 мая 2026 г., 11:21

📷 Photo

Про Exposure Management я уже писал не раз, но решил снова вернуться к теме. Сразу надо сказать, что, когда упоминаются решения класса CTEM или EAP, это всего лишь верхушка айсберга, часть, связанная с автоматизацией. Но на самом деле управление площадью атаки – это процесс, который должен быть внедрен и оценен. Та же история и с управлением уязвимостями, которое часто воспринимается через призму конкретных продуктов, которые всего лишь упрощают реализацию процесса, а не подменяют его.

Итак, управление площадью атаки. Как можно оценить свой уровень зрелости в этой части управления ИБ? Можно сказать: "У меня ничего нет; отстаньте от меня". А можно попробовать есть слона по частям, разбив внедрение процесса на стадии, что оценивать будет гораздо проще. Я на досуге https://lukatsky.ru/technology/model-zrelosti-exposure-management.html легонькую модель зрелости для управления площадью атаки, чтобы вы могли себя быстро оценить.

#средствазащиты #maturity

4,160

Пост Лукацкого

16 мая 2026 г., 11:21

🎨 Sticker

4,830

Пост Лукацкого

16 мая 2026 г., 11:21

Ох, я тут попробовал очень интересный способ моделирования угроз, который действительно может давать воспроизводимые результаты, что является признаком хорошего моделирования. Да, с применением ИИ, но не просто обычный чатбот, которому даются правильные промпты, а на базе интересного сценария работы с ИИ-агентами. Сейчас доформулирую основные идеи и напишу в блоге про эту схему. А пока, вот вам https://github.com/TalEliyahu/Threat_Model_Examples со списком с публичными примерами зарубежных моделей угроз 👨‍💻

#модельугроз

4,750

Пост Лукацкого

16 мая 2026 г., 11:21

🎨 Sticker

4,720

Пост Лукацкого

16 мая 2026 г., 11:21

📷 Photo

#антикризис

4,680

Пост Лукацкого

16 мая 2026 г., 11:21

📷 Photo

За последние одну-две недели наткнулся в разных источниках и у разных авторов на одну и ту же мысль – проблема современных SOCов не в том, что в них не хватает людей, а в том, что сама модель ручного триажа алертов перестала выдерживать объем и скорость современных атак.

Видя происходящее на рынке, замечаю, что многие компании сильно увеличили расходы на кибербез, но ключевые метрики – время расследования, реагирования и ликвидации инцидентов – улучшаются несоразмерно медленно. И причина не в слабых аналитиках и не обязательно в плохих инструментах. Причина в архитектуре SOC, которая исторически строилась вокруг человеческого триажа алертов. То есть люди пытаются вручную разгребать очередь, которую создают машины. Поэтому нанимать еще больше аналитиков – это не решение, а попытка расширить бутылочное горлышко.

Посмотрите на цифры своего SOC. Скорее всего после всех этапов фильтрации, приоритизации, удаления фолсов и автозакрытия заведомо нормальных событий на людей все равно может попадать примерно 120–150 алертов в день. Если на одно расследование уходит около 20 минут с документированием (а это в зрелых SOCах с опытными аналитиками; у многих за это время только тикет открывается), это уже 40–50 человеко-часов ежедневно. Типичный SOC из 5–10 аналитиков закрывает этот объем только частично, особенно если нужны не поверхностные пометки в тикетах, а нормальное расследование.

А тут еще и проблема не только в большом количестве алертов, а еще и в том, что очередь сама становится слабым местом. Настоящая атака не обязательно начинается с критического алерта. Часто первые признаки лежат в low или medium зоне, которые команда не успевает расследовать, откладывая "на потом".

Хотите маленький тест для самопроверки:
6️⃣ Какой процент алертов выше установленного порога расследования реально расследован за прошлый квартал? Если меньше 90%, есть о чем задуматься.
2️⃣ Сколько правил обнаружения было отключено за последние 12 месяцев без их замены или адаптации? Если правило просто выключили, но не компенсировали другим способом, это накопление "долга обнаружения".
3️⃣ Какая текучесть среди старших аналитиков (L2-L3) и сколько времени занимает вывод замены на продуктивный уровень? Если текучесть выше 15% или включение в работу длится более 6 месяцев, система мониторинга и реагирования может дать слабину.
4️⃣ Если объем алертов завтра удвоится, что команда перестанет делать первым? Ответ показывает, какая часть процесса уже находится на грани "гибели".
Смысл этой диагностики заключается в том, что если ответы тревожные, обсуждать надо не "сколько еще людей нанять", а какую операционную модель SOC мы строим.

Все просмотренные мной материалы, где поднималась эта проблема, в качестве решения предлагают AI SOC, то есть автономные SOCи. Я не буду повторять эту мысль – к такому решения надо подходить обдуманно и взвешенно. Но интересная деталь – часто разговоры про AI SOC касаются не только увеличения продуктивности аналитиков при отказе от увеличения их числа, но и экономии на SIEM. Если такое решение используется как огромное хранилище сырых EDR-, identity- и сетевых логов в основном ради ручных pivot-запросов аналитиков, то ИИ-платформа может обращаться к исходным источникам данных напрямую. Тогда часть сбора и хранения в SIEM становится необязательной. По видимым мной кейсам экономия может составлять 30–60% от общих затрат на SIEM.

Но в целом история с автономными SOCами развивается очень активно.

#soc #ии

Пост Лукацкого

16 мая 2026 г., 11:21

📷 Photo

Мошенничество через электронную почту — прошлый век?

Ну, не сказали бы. Знаменитой схеме с «нигерийскими письмами» уже больше тридцати лет, а все еще находятся те, кто на нее попадается. Что уж говорить о более современных методах киберобмана?

✉️ Да и статистика не даст соврать: электронная почта все еще — один из самых популярных каналов проникновения, с которого начинаются успешные кибератаки.

В карточках, с которыми нам помог Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, опровергаем самые популярные мифы о почте.

Читайте, чтобы не оказаться обманутыми. А еще оставляйте в комментариях мифы, которые не попали в подборку, — их мы тоже опровергнем.

#PositiveЭксперты
https://t.me/Positive_Technologies

4,440

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

Ждем к концу года от ФСТЭК типовых документов.

#регулирование

7,040

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

Записал лекции для нового курса " https://edu.ptsecurity.com/building_soc". После первого потока курса по SOCам было принято решение о пересборке контента. Концепция не поменялась, но что-то ушло в предзаписанный видеоформат, оставив больше времени для практики, живых разборов кейсов и QA-сессий. Поток https://edu.ptsecurity.com/building_soc уже 6 апреля и можно успеть приобщиться к сокровенным знаниям тех людей, кто строил, аудировал, эксплуатировал и управлял SOCами в разных локациях мира. Так что опыт в основу курса положен разносторонний. Судя по отзывам с первого потока получилось неплохо и участникам понравилось. На втором потоке должно быть еще лучше.

#обучение #soc

7,300

Пост Лукацкого

27 мар. 2026 г., 15:16

И вновь в заголовках новостей у нас ИБ-компания, столкнувшаяся с инцидентом у себя внутри. 19 марта кто-то с украденными учётками Aqua Security https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/ вредоносный релиз сканера уязвимостей с открытым исходным кодом Trivy v0.69.4. Параллельно подменили теги у двух GitHub Actions – trivy-action и setup-trivy (76 из 77 тегов у одного, все 7 у другого). Через три (!) дня на Docker Hub тихо появились ещё два зараженных образа – v0.69.5 и v0.69.6. Вредоносный код запускался до легитимного сканирования и тащил все, до чего мог дотянуться: ключи, облачные учетки, Kubernetes-токены, Docker-конфиги, .env-файлы, ключи к базам и другие артефакты. Инструмент, которому доверяли проверять безопасность, на несколько дней сам стал каналом утечки, доставляя инфостилер в конвейеры разработки своих заказчиков.

Уязвимость была не в коде Trivy. Слабым место оказалась экосистема доверия вокруг него: mutable-теги, автообновление, latest, релизы, Docker-образы, GitHub Actions, и все это без проверки целостности. По версии Aqua, это продолжение февральской атаки – тогда ротацию секретов провели неаккуратно, и атакующий просто сохранил доступ до следующего раза.

Мы много лет говорим бизнесу, что надо внедрять security-by-design, secure SDLC, РБПО, автоматизацию проверок, shift-left и вот это вот все. И все это верно. Но инцидент с Aqua продолжает доказывать тот факт, что любой инструмент безопасности сам является частью площади атаки и мишенью. Сканер уязвимостей, GitHub Action, SBOM-генератор, SAST-плагин, сканер секретов... И вопрос уже не "есть ли у нас анализ защищенности", а "что произойдет, если скомпрометируют того, кто проводит анализ защищенности".

#проблемыибкомпаний #инцидент #devsecops #supplychain #оценказащищенности

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

НКЦКИ делится свежими подходами, используемыми злоумышленниками. Атаки через центр управления антивируса в топе!

ЗЫ. Фото докладчика скрыл; во избежание так сказать.

#ttp #проблемыибкомпаний

6,800

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

В Outlook была фишка (не знаю, как сейчас) - начиная вводить имя адресата, вам по первым буквам предлагали подходящие адреса. И иногда случались конфузы. Помню в Cisco в начале 2000-х бухгалтерия так отправила зарплатную ведомость партнеру вместо внутреннего работника (имя и фамилия совпадали). Так рынок узнал о зарплатах в Cisco, так как соблазн открыть эксельку с названием «Зарплата - февраль.xls» был непреодолимым. А если бы бухгалтера взломали и от его имени разослали файл с вредоносом? Подумайте об этом... И о том, как вы боретесь с любопытством работников...

ЗЫ. Спасибо подписчику за присланную картинку.

#фишинг

8,500

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

Определился с темой мастер-класса на грядущей 2-го апреля https://www.comnews-conferences.ru/ru/conference/tb2026/registration Сначала думал про ИИ что-то замутить, но в параллель и так будет круглый стол на эту тему. А так как в последнее время помимо ИИ у меня регулярные обучения топов, то я подумал, что можно поговорить про то: "Как вас видят сверху: что CISO полезно понять про топ-менеджеров и советы директоров".

Времени меньше часа. Так что попробую уложить в них вот что:
➡️ Как топ-менеджеры и советы директоров воспринимают ИБ и чего ждут от CISO.
➡️ Какие ошибки мешают ИБ-руководителю быть услышанным на уровне бизнеса.
➡️ Как переводить технические вопросы в язык рисков, последствий и решений.
➡️ Какие метрики и формулировки лучше работают в разговоре с руководством.
➡️ Как приоритизировать ИБ-инициативы для защиты бюджета и управленческих решений.

Ну а так как у нас мастер-класс, то на выходе все участники, выбравшие именно эту часть программы конференции, а не другие идущих параллельно три трека, получат:
✔️ Набор вопросов для самопроверки.
✔️ Шаблон одностраничной записки для руководства.
✔️ Перечень бизнес-понятных метрик.
✔️ Простой фреймворк приоритизации ИБ-инициатив.

ЗЫ. Но зато про безопасность контролируемость ИИ я буду говорить в этот четверг на https://www.osp.ru/lp/data-ai2026 «ИИ + Данные 2026»

#мероприятие #cxo #стратегия

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

Меня тут спросили в личке, а почему я , что автоматизация HR очевидным образом влияет на ИБ? И, собственно, как она влияет. Я это вижу так. В 2026-м году, хотя началось еще раньше, рынок труда становится более турбулентным из-за частой смены работы, массового найма подрядчиков, гибридной занятости, краткосрочно нанимаемых консультантов-почасовиков, использования ИИ в рекрутинге и автоматизированного onboarding/offboarding.

Это приводит к следующему:
➡️ Скорость кадровых перемещений растет, так как люди быстрее приходят, быстрее уходят, работают сразу в нескольких системах, часто через подрядчиков или партнеров.
➡️ HR-процесс начинает опережать ИБ-процесс. Человека наняли "еще вчера", доступ нужен "прямо сейчас"; работника уволили формально сегодня, а доступы висят еще неделю. Консультант завершил проект, но его учетка жива месяцами.
➡️ Основной риск смещается с внешнего взлома на "остаточную цифровую субъектность", то есть проблема уже не в том, что хакер взломал что-то через непатченную на периметре дыру, а в том, что система продолжает считать бывшего сотрудника или временного исполнителя все еще "своим".

Поэтому, чем больше компания автоматизирует HR, тем сильнее нуждается в зрелом IAM/IGA. Иначе ускорение кадровых циклов автоматически превращается в ускорение накопления цифрового мусора из некотролируемых прав доступа.

Спросите HR, чего они опасаются больше, – zero-day или того, что уволенный сотрудник еще пару недель видит половину внутренней кухни компании, будучи неисключенным из сотен чатиков, десятков систем и облаков и т.п.? И думается мне, что HR даже готов пошарить с ИБ часть своего бюджета на решение этой задачи.

ЗЫ. А вы измеряете время фактического отзыва прав после изменения статуса работника?

#стратегия #метрики

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

Вы же предусмотрели это в своей модели угроз? 🤔

#модельугроз #pki

8,370

139

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

Еще одна порция мыслей на тему законопроекта по регулированию ИИ ( и части). Если не брать в расчет историю про возможность блокирования доступа к иностранным ИИ-сервисам, а чуть приземлиться на ИБ-тематику, то норма закона, требующая, чтобы датасеты были "только российскими" или формировались только на территории РФ российскими же субъектами, это почти неизбежно приведет к сужению качества многих ИБ-моделей.

Почему так? Тут все просто:
➡️ Хуже покрытие иностранных APT, криминальных групп и их инфраструктуры.
➡️ Слабее представление редких, но критичных шаблонов атак, с которыми мы мало сталкиваемся в России, но они, например, популярны в Юго-Восточной Азии или иных, дружественных нам странах.
➡️ Меньше языков, контекстов, техник социальной инженерии и семплов вредоносного ПО и иных артефактов.
➡️ Хуже обучение на международных bug-треках, CTI-фидах, CVE-дискуссиях, GitHub-коде, англоязычной документации и исследованиях.
➡️ Меньше разнообразие корпоративных ИТ-ландшафтов и архитектур.

Для классических ИБ-задач, – нормализации логов, классификации сигналов тревоги (triage), суммаризации инцидентов, кластеризации IOC, помощи в threat hunting, разборе вредоносного ПО, обогащении, ассистентах для SOC и AppSec, – ограничение на происхождение датасета почти наверняка ударит по переносимости экспертизы, качеству рекомендаций и скорости адаптации к новым глобальным угрозам. Формально текст не говорит "только российские датасеты для всех моделей", но именно так определяются суверенные/национальные модели, а дальше Правительство может расширять случаи их обязательного применения.

Для доверенных моделей предусмотрена обработка данных исключительно на территории РФ. Для некоторых сценариев это разумно, особенно в госухе и на значимых объектах КИИ (если не вся экономика страны станет КИИ). Но если норму начнут расширительно толковать (а это вероятно), пострадают:
➡️ Облачные сервисы security copilot.
➡️ Федеративные конвейеры обнаружения.
➡️ Распределенная аналитика по транснациональным инцидентам.
➡️ Модели, обучающиеся или дообучающиеся на глобальной телеметрии (особенно актуально для российских компаний, работающих на международку).
➡️ Облачные песочницы.
➡️ Внешние платформы по обогащению CTI.
В современной ИБ ценность часто появляется именно в наличии трансграничной корреляции данных. А чрезмерная локализация снижает видимость глобальной картины атак.

При этом, как мы помним, закон не будет распространяться на задачи, связанные с нацбезопасностью, что, вкупе с рядом иных тенденций, может указывать на то, что все будет сосредоточено в руках определенных структур и компаний, которые будут работать с ними на проектах по обеспечению обороны страны. Все остальное же будет по остаточному принципу. И шутка про "скоро все будет одна большая ГосСОПКА" перестанет быть таковой, превратившись в реальность.

Еще один сценарий, в котором все описанные мной "косяки" законопроекта перестают играть хоть какую-то роль, – мы целиком и полностью изолируемся от всего мира. Тогда ничего глобального к нам проникать не будет и все автоматически станет локальным, национальным и суверенным. Но верить в такой сценарий не хочется. Тогда у нас будут уже не десятки уехавших в Беларусь с момента начала блокировать Телеграма, и не сотни тысяч уехавших в дальнее и ближнее зарубежье с начала СВО, а миллионы. А это вряд ли то, к чему у нас стремятся.

#ии #суверенитет

Пост Лукацкого

27 мар. 2026 г., 15:16

📷 Photo

Интересное занятие, – анализировать долгосрочные тенденции, влиящие на рынок кибербезопасности, но при этом не столь очевидные как массовое внедрение ИИ-ассистентов, автоматизация HR или усталость общества от мошенничества. Я тут подумал, может ли война в Иране и блокирование Ормузского пролива повлиять на ИБ и если да, то как, в положительную или отрицательную сторону?

У меня нарисовались следующие возможные варианты развития событий, если война затянется (хотя с Трампом предсказывать что-то – дело гиблое; в Truth Social он уже заявил, что скоро все закончится, так как основные цели войны достигнуты):
➡️ Рост цен на энергоносители → рост затрат на дата-центры и ИТ → откладывание ИБ-модернизации.
➡️ Рост цен на энергоносители → ускоренная цифровизация энергосбережения → расширение поверхности атаки.
➡️ Рост цен на энергоносители → рост ценности энергетических компаний как цели → изменение ландшафта кибератак.
➡️ Рост цен на энергию → переход в облако ради экономии → концентрация рисков у облачных провайдеров.
➡️ Рост цен на топливо → давление на логистику и выездной сервис → ухудшение возможностей по физическому выезду для реагирования на инциденты.
➡️ Рост цен на энергию → энергетическая бедность населения и бизнеса → всплеск мошенничества и социальной инженерии.
➡️ Рост цен на энергию → компании снижают резервирование (дорого) → падает киберустойчивость.

Но есть и другой сценарий, который мы проходили 6 лет назад, во время COVID-19. Речь идет о росте удаленного доступа (хотя в России, с ее постоянными блокировками мобильного Интернета, эта тенденция выглядит пока малореальной). Итак, сегодня Международное энергетическое агентство (МЭА) https://www.iea.org/news/new-iea-report-highlights-options-to-ease-oil-price-pressures-on-consumers-in-response-to-middle-east-supply-disruptions ряд рекомендаций на фоне перебоев поставок из-за войны на Ближнем Востоке: удаленная работа, снижение скоростных лимитов на дорогах, больший упор на общественный транспорт, ограничения на использование частных авто в мегаполисах по дням, карпулинг и эко-вождение, повышение эффективности грузоперевозок и доставок, отказ от части авиаперелетов, переключение LPG от транспорта к более критичным применениям, альтернативы LPG в приготовлении пищи и технологическая гибкость в промышленности.

Каждая из этих мер вынуждает государства и бизнес быстрее заниматься цифровизацией (хотя это само по себе небыстрое занятие), перестраивать или централизовать процессы. Но одна мера там напрямую влияет на кибербез – речь об удаленной работе. МЭА прямо рекомендует "work from home" (помните этот девиз многих американских ИТ-компаний?), где это возможно. Для кибербеза это означает не просто "люди сидят дома", а рост критичности VPN, SSO, удаленных рабочих мест, облачных офисных сервисов, VDI, служб техподдержки и средств мониторинга домашних/внешних подключений.

МЭА предлагает избегать авиаперелетов там, где есть альтернативы. Для ИБ это означает рост доли удаленных переговоров, удаленного пресейла, удаленного аудита, дистанционного управления филиалами и более редкие выезды на площадки. Кажется, что это просто экономия на авиационном топливе, но на практике это делает компанию более зависимой от видеоплатформ, электронного документооборота, удаленного администрирования и доверия к цифровым каналам. Чем реже люди ездят физически, тем больше процессов они проводят через сеть – и тем выше ущерб от компрометации этих каналов.

Иными словами, любой кризис, который массово возвращает удаленку, автоматически поднимает цену компрометации удаленного доступа: украденные учетки, усталость от MFA (MFA-fatigue), фишинг под корпоративные порталы, атаки на подрядчиков, которые обеспечивают поддержку дистанционной работы и т.п.

А вы давно сдували пыль со своих плейбуков по безопасности удаленного доступа и проверяли процессы, о которых многие уже забыли со времен COVID-19?

#стратегия #vpn #экономика

Пост Лукацкого

25 мар. 2026 г., 12:31

📎 File

⚖️ https://deloprava.ru/opredelenie-6-go-ksoyu-ot-05-03-2026-n-88-3939-2026/

🧑‍⚖️ Шестой кассационный суд общей юрисдикции 05.03.2026 рассмотрел трудовой спор в рамках дела №88-3939/2026 и подтвердил правомерность наказания работника за сам факт создания угрозы информационной безопасности (хранение паролей на виду), даже если негативные последствия (взлом, утечка) не наступили.

📂 Работник ПАО АНК «Башнефть» был привлечен к дисциплинарной ответственности в виде замечания. Основанием послужил выявленный службой безопасности факт: сотрудник хранил пароли доступа к корпоративным информационным ресурсам (включая СЭД и «СПАРК-Интерфакс») в открытом текстовом файле на рабочем столе своего компьютера.

🛡Работник пытался оспорить приказ работодателя, ссылаясь на следующие обстоятельства:
1️⃣ Рабочий кабинет имеет строгий пропускной режим, и доступ к нему есть только у трех человек.
2️⃣ Вход в сам рабочий компьютер защищен двухфакторной аутентификацией.
3️⃣ Утечки конфиденциальной информации не произошло, и пароли третьим лицам не передавались.
4️⃣ Работодатель не проинформировал о наличии специализированной защищенной программы для хранения паролей.

🏛️ Суды всех инстанций признали действия работодателя законными и отказали работнику в иске:
1️⃣ Локальными нормативными актами (ЛНА) компании, включая Правила внутреннего трудового распорядка и политики ИБ, прямо запрещено сохранять пароли в открытом виде, в том числе в текстовом виде на рабочем столе.
2️⃣ Сотрудник был ознакомлен с должностной инструкцией и требованиями ЛНА под роспись.
3️⃣ Тот факт, что работодатель не предложил программу для хранения, не оправдывает работника: при возникновении трудностей с запоминанием паролей сотрудник должен был самостоятельно запросить у работодателя информацию о легитимных защищенных способах их хранения.
4️⃣ Отсутствие фактической утечки данных или несанкционированного доступа не отменяет факта дисциплинарного проступка (нарушения правил безопасности).

👁 https://privacy-advocates.ru/ | 📱 https://max.ru/prv_adv | 📱 https://vk.com/prv_adv | 📱 https://dzen.ru/prv_adv

Пост Лукацкого

25 мар. 2026 г., 12:31

У РПЦ есть Экспертный совет Синодального отдела религиозного образования и катехизации, которому хотят расширить сферу компетенции ввиду разработки нового https://tc164.ru/tpost/ahbe2g0ne1-sostoyalos-pervoe-zasedanie-obedinennoi по вопросам, связанным с предотвращением угроз негативного влияния ИИ на духовно-нравственные ценности, которые волнуют всю ИБ-общественность...

#ии #стандарт

5,850

Пост Лукацкого

25 мар. 2026 г., 12:31

Интересный кейс

#аутентификация #ответственность

5,770

Пост Лукацкого

25 мар. 2026 г., 12:31

Юля https://t.me/pipelineshit заметку в ответ на мой пост, объединив два своих профильных образования и сферы деятельности – ИБ и психологию. А еще она сделала инструмент для психологического самоаудита специалиста по безопасности, посмотрев на задачу так, как будто мы ищем уязвимости в самих себе 👇 И пусть ИБ будет не только кибер-, но и психологически устойчивой!

#психология #оценказащищенности

5,830

Пост Лукацкого

25 мар. 2026 г., 12:31

📷 Photo

🧯Что дать студентам по психологии в ИБ 🧯

И да, это тот самый пост, который спасет много разбитых сердечек. Если вы тоже этот практикум попробуете.

Мы все с вами просто ходячие энциклопедии, теории знаем много, а вот практика -- наше всё. Совместно с электроОлегом мы составили шуточный практикум по поиску того, что мы так любим.

Пройти его может любой, не вставая из-за стола.

Итак:
🎈Забираем просто так весь практикум по https://disk.yandex.ru/d/tjz4CtLykhSkkQ
🎈 Обязательно делимся постом со всеми друзьями!
🎈 Очень внимательно читаем инструкцию, которую, конечно же никто не читает. Но когда откроете ее, поймёте.
🎈Никаких ботов, сайтов. Только эксель, только хардкор. Я ж комплаенс)))

6,380

Пост Лукацкого

25 мар. 2026 г., 12:31

📷 Photo

На вчерашнем мероприятии по ИИ среди большинства, считающих, что в компаниях надо стимулировать использование ИИ, были и скептики, которые ссылались на известный анекдот про обезьяну с гранатой. С ИИ, говорили они, может быть такая же проблема – если человек туп, то и использовать ИИ он будет по-тупому, даже не понимая, что делает. И вот свежий пример, который я стащил у нашего CISO (Витя, спасибо).

Я еще могу понять, когда HR используют ИИ для проверки резюме по формальным признакам. Я также могу понять, когда соискатели используют ИИ для подготовки резюме с учетом описания вакансии и профиля потенциального работодателя. Но я не могу понять кандидатов, которые даже не удосужились проверить свое резюме не только после написания его в ИИ, но даже перед отправкой.

#ии #работа

6,680

Пост Лукацкого

25 мар. 2026 г., 12:31

📷 Photo

Продолжаем законопроекта по регулированию ИИ...

В документе безопасность идет рядом с технологической независимостью и "традиционными духовно-нравственными ценностями", причем Правительство получает полномочие определять орган, который будет формировать критерии соответствия моделей этим ценностям. Это создает риск, что оценка безопасности начнет смешиваться с оценкой идеологической допустимости. Для кибербезопасности это плохой признак: защищенность системы должна проверяться по техническим свойствам, а не по тому, "чей Крым", "какого цвета должен быть борщ", "совершала ли суицид Анна Каренина" и были ли древнегреческие амазонки лесбиянками. И я сейчас не знаю в России органа, который бы взял на себя эти функции целиком. Либо ИБ (и это ФСТЭК, которая уже https://t.me/mediatelekomm риски ИИ в требованиях к разработчикам), либо идеология (и тут ближе РКН, который не очень в технику). А любое межведомственное взаимодействие у нас в стране в таком вопросе – это тупик...

Закон, уже по сложившейся традиции, концентрирует все полномочия в руках уполномоченных органов, а также создает механизм непрерывного мониторинга последствий применения ИИ на основе данных от операторов ИИ. Такая, привычная по работе ТСПУ, Госуслуг, ЕБС и других ГИС, архитектура управления повышает риск появления центральных точек "отказа": реестров, каналов отчетности, агрегаторов инцидентов, контрольных контуров. Если их кто-то скомпрометирует (а желающих булет немало) или используют недобросовестно, ущерб станет катастрофичным (если это кого-то волнует, конечно). Ну или все будет тормозить или работать с перебоями, как мы сейчас видим на примере попыток заблокировать всего лишь один Telegram.

В законе есть общие обязанности: документировать логику, моделировать риски, вести учет инцидентов, тестировать систему на противоправное использование, назначать ответственных лиц. Но нет требований к полноценному защищенному жизненному циклу ИИ (AISecOps): provenance данных, защита весов и артефактов, модель угроз для LLM/ML, red teaming, adversarial testing, защита inference API, сегментации, управлению секретами, безопасный RAG, безопасность агентов, rollback и kill switch, журналирование на уровне цепочки принятия решения. Для рамочного закона это не обязательно, но сейчас из текста читается "мы регулируем ИИ", хотя, по сути, там пока нет задела для фреймворка зрелого управления ИБ ИИ. Возможно, это тоже уйдет на уровень подзаконников ФСТЭК, но хотелось бы более явного проброса темы ИБ ИИ и на уровне закона.

Для суверенных и национальных моделей закон требует, чтобы все стадии разработки и обучения шли в России, а все стадии разработки, обучения и эксплуатации осуществлялись гражданами РФ и российскими юрлицами. Это резко сужает доступ к глобальным open-source экосистемам, международным командам, совместным исследовательским пайплайнам и зарубежным инфраструктурам. Для ИБ это особенно чувствительно: хорошие защитные ИИ-решения рождаются на потоке глобальных данных, глобальных уязвимостей, многоязычных данных об угрозах, зарубежных TTP, репозиториев вредоносного ПО, международных датасетов логов и телеметрии. Но про это я напишу отдельно – там прям есть о чем поговорить.

Про то, что частный рынок и гражданские применения будут зарегулированы, а наиболее мощные и потенциально опасные применения для обороны, безопасности государства и охраны правопорядка – нет, даже упоминать не надо. Но если в тех же США Anthropic, а до этого Google, взбрыкнул по поводу использования ИИ в боевых действиях и слежках за гражданами, то у нас ждать такой гражданской позиции не приходится (культура совсем иная).

#ии #регулирование #суверенитет

Пост Лукацкого

25 мар. 2026 г., 12:31

📷 Photo

Все-таки не могу пройти мимо законопроекта о регулировании ИИ. И хотя это рамочный документ и он будет еще правиться, а многое уйдет на уровень подзаконных актов, уже сейчас по его структуре и наполнению можно понять, в каком направлении движется мысль наших регуляторов.

Законопроект написан про суверенитет, контроль и "доверенность" ИИ, а не про то, как безопасно и эффективно внедрять ИИ в прикладные системы, включая и вопросы ИБ. Из-за этого его главная проблема не в том, что он "забывает" про кибербезопасность (все-таки будет еще немало подзаконников), а в том, что он подменяет реальную безопасность политико-идеологическими критериями. И это не преувеличение; это особенно заметно в статьях про суверенные/национальные модели, реестр доверенных моделей, локализацию обработки данных, контроль инцидентов и критерии соответствия "традиционным ценностям". Итак, что меня зацепило.

Проект НПА вводит идею, что для ГИС и значимых объектов КИИ допустимы только модели из реестра доверенных моделей, а доверенность подтверждается через требования безопасности, установленные ФСТЭК и ФСБ, локализацию обработки и отраслевые требования качества. Но реестр и сертификация сами по себе не гарантируют устойчивость модели к prompt injection, data poisoning, model extraction, jailbreak-атакам, supply chain-рискам, утечке через RAG, заражению пайплайна обучения, компрометации MLOps/AIOps и злоупотреблению агентными сценариями. То есть можно получить формально "доверенную" модель, которая на практике останется уязвимой.

И у регулятора, скорее всего это будет ФСТЭК, будет очень непростая задача, которая до сих пор не решена даже для более понятной и привычной истории с оценкой соответствия ПО, релизы которого выходят гораздо чаще, чем жизненный цикл процесса сертификации. С моделями ситуация еще хуже. Да, крупные обновления моделей выходят примерно раз в квартал, но если посмотреть чуть ниже, то у того же OpenRouter список моделей обновляется чуть ли не ежедневно. И как в таких случаях выстроить непрерывный процесс на стороне регулятора, которому надо будет соблюсти и интересы кибербеза, и про культурно-нравственные ценности не забыть.

Как мне кажется, тут без краудсорсинга не обойтись и надо будет выводить ИИ-модели на обычную или специализированную Bug Bounty платформу, где не ограниченное, а большое число специалистов будет в непрерывном режиме проводить кибериспытания и тестировать модели, получая за это вознаграждение. В противном случае все вернется на круги своя и сертификат будет выдаваться на устаревшие версии моделей, что будет ограничивать бизнес, который будет хотеть идти вперед и тестировать что-то новое, но не сможет это сделать, так как у нового еще не будет сертификата. А учитывая, что по уму проекты ИИ строят независимо от конкретной модели просто подключаясь к нужным в зависимости от задачи, эта история, зажатая в рамки суверенности, может и не взлететь без полной перестройки всего процесса регулирования ИБ (а на это никто не пойдет ради какого-то ИИ).

Продолжение следует... а пока https://t.me/theworldisnoteasy в тему, в которой даны ссылки на парочку статей, показывающих, что мы просрали безопасность ИИ и никакой контроль, который пытаются навесить над ИИ, не поможет. Там надо менять вообще все. Если примерить это к законопроекту, то он устарел еще до того, как его успели принять. Но смелости это признать ни у кого нет. Так что будем есть кактусы и писать подзаконники...

#ии #регулирование #оценказащищенности

Пост Лукацкого

25 мар. 2026 г., 12:31

Qihoo 360 выпустила свой новый ИИ-продукт 360 Security Lobster, в публичный установщик которого по ошибке попал приватный SSL-ключ для wildcard-сертификата *. http://myclaw.360.cn/. Исследователи https://blog.barrack.ai/qihoo-360-ssl-key-leak-wotrus-ca-fraud/ его 16 марта 2026 года внутри файлов инсталлятора. По данным Barrack AI, сертификат был выпущен 12 марта 2026 года и действовал до 12 апреля 2027 года.

Самое неприятное в новости даже не только сам факт утечки, а ее контекст. Сертификат выдал WoTrus CA, связанный с Qihoo 360. WoTrus – это ребрендинг WoSign, центра сертификации, который в 2016–2017 годах лишился доверия со стороны Mozilla, Google и Apple из-за серьезных нарушений в процессах выпуска сертификатов, включая задним числом датированные сертификаты и другие проблемы управления доверием. Barrack AI прямо связывает нынешний инцидент с этой историей доверия.

Другой нюанс в wildcard-сертификате. Обычный сертификат обычно выдается на один конкретный адрес, например http://app.example.com/. Wildcard-сертификат – это сертификат сразу на все поддомены вида *. http://example.com/: http://api.example.com/, http://login.example.com/, http://chat.example.com/ и так далее. То есть это как один универсальный пропуск, который подходит не к одной двери, а почти ко всем дверям в одном здании. Поэтому его утечка особенно опасна: злоумышленник получает возможность подделывать не один конкретный сервис, а сразу целую группу сервисов на этом домене. В этой истории речь шла именно о таком сертификате для всех поддоменов http://myclaw.360.cn/.

Злоумышленник, получив такой ключ (а где гарантия, что они не получили?), потенциально может выдавать себя за легитимный сервер, перехватывать трафик, подсовывать убедительно выглядящие страницы входа и атаковать сессии пользователей. Barrack AI отдельно подчеркивает риск MITM-атак и компрометации любых подключений к поддоменам http://myclaw.360.cn/ до момента отзыва сертификата, который, по требованиям CA/Browser Forum, при подтвержденной компрометации должен быть отозван в течение 24 часов.

Что тут важно в контексте корпоративной ИБ? Во-первых, это классический пример того, что секреты нельзя хранить внутри сборки, инсталлятора, контейнера или репозитория. Ни приватные ключи, ни API-ключи, ни токены, ни креды сервисных учеток. Все это должно подтягиваться из защищенного хранилища во время развертывания или запуска, а не "лежать рядом с кодом".

Во-вторых, wildcard-сертификаты надо использовать очень осторожно. Они удобны для эксплуатации, но создают большой радиус поражения: одна ошибка – и под угрозой оказывается сразу множество сервисов. Для критичных систем лучше дробить сертификаты по зонам, сервисам и средам, чтобы компрометация одного секрета не открывала слишком много дверей.

В-третьих, у компании, особенно ИБ-компании, должны быть автоматические контроли против таких ситуаций:
➡️ сканирование секретов в CI/CD,
➡️ проверка артефактов перед релизом,
➡️ SAST/secret scanning для репозиториев,
➡️ контроль содержимого установщиков и контейнеров,
➡️ а также отдельный release-gate, который блокирует публикацию, если в сборке обнаружены PEM-файлы, приватные ключи, .pfx/.p12, токены или другие чувствительные артефакты.

ЗЫ. Ну а в России свои https://t.me/ep_uc с PKI, гораздо более глобальные. Но похоже регулятору плевать.

#ии #pki #проблемыибкомпаний

Пост Лукацкого

25 мар. 2026 г., 12:31

📷 Photo

Выступал вчера на одном мероприятии для управленцев, где рассказывал про аспекты безопасности, которые надо учитывать при внедрении искусственного интеллекта. После выступлений была работа в группах, где я лишний раз убедился в том, что всех волнует темы кибербеза при внедрении ИИ, но не все знают, с чего начать это путешествие.

По большому счету это и классическим ИБшникам, привыкшим к более детерминированным процессам и приложениям, не всегда очевидно. Почти ни у кого нет матрицы данных по уровням конфиденциальности/критичности, которая помогает быстро понять, что можно отдавать в публичные модели, а что нет. У части аудитории были формальные политики использования ИИ (например, какие модели можно использовать), но почти ни у кого нет технических средств проверки выполнения модели.

Все признают, что бессмысленно запрещать доступ к ИИ для сотрудников, – они все равно обойдут все ограничения (даже просто фотографируя документы с экрана и скармливая их мультимодальным моделькам, которые прекрасно все распознают). Поэтому многие склоняются к тому, что если нельзя запретить, то компания должна возглавить этот процесс, предоставляя работникам оплачиваемый доступ к ИИ. Тогда они, будучи "ленивыми и жадными", не будут пытаться обойти правила, а будут пользоваться тем, что дают, даже если оно и чуть хуже по качеству, чем топовые и платные модели Claude, OpenAI, Google и т.п.

Ну и не стоит забывать про тестирование ИИ-проектов на безопасность перед запуском в промышленную эксплуатацию. Чтобы не было как в с Alibaba или с McKinsey. Ну а пока я выступал на https://regulation.gov.ru/projects/166424/ был выложен проект ФЗ "Об основах государственного регулирования сфер применения технологий искусственного интеллекта в Российской Федерации", состоящего из 21 статьи и вступающего, предварительно, в силу с 1 сентября 2027.

Правда, вся мякотка отдана на откуп подзаконным актам, коих пока еще нет. Но рамочно уже понятно, куда это все будет развиваться и мне не очень нравится эта история. На сегодняшнем мероприятии мы ее тоже затронули и если закон примут в текущем виде, то большинство бизнесменов уже заранее готово строить два контура с ИИ – один как витрину для проверок и соблюдения нормативки, а второй – для реальной работы. Видимо, опыт импортозамещения мало чему чиновников научил. Но будем посмотреть...

#ии #стратегия

Showing 30 of 32 posts

Рейтинг

Требуется вход

Отзывы пользователей (0)

Пока нет отзывов. Будьте первым, кто поделится своим опытом!

Пост Лукацкого

Пост Лукацкого

Рейтинг

Рост участников (Последние 20 дней)

Последние посты

Рейтинг

Отзывы пользователей (0)

Похожие каналы Telegram

Та самая звездочка

Антитеррор Урал

Школа МИБ

Digital Energy 5.0

Гарда

КиберТопор

ИМВЭС НИУ ВШЭ

КиберПул

Похожие каналы Telegram

Та самая звездочка

Антитеррор Урал

Школа МИБ

Digital Energy 5.0

Гарда

КиберТопор

ИМВЭС НИУ ВШЭ

КиберПул

Отзывы пользователей (0)

Последние посты