❗️"Белых хакеров" и СМИ в сфере ИБ могут приравнять к распространителям вредоносной информации

Об этом пишет Коммерсантъ. Такие опасения следуют из пакета антифрод-мер от Минцифры, опубликованном 26 августа. Поправку предлагают внести в ст. 15.3. «Порядок ограничения доступа к информации, распространяемой с нарушением закона» ФЗ «Об информации, информтехнологиях и о защите информации». Предполагается запрет на распространение информации о методах совершения кибератак: «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ» или позволяющей получить доступ к софту, предназначенному для несанкционированного уничтожения или блокирования программ.

В правительстве считают, что свободное распространение информации об атаках «несет риски кибербезопасности, может быть использовано для компьютерных атак на важные системы государства и бизнеса». А предлагаемый запрет, во-первых, затруднит деятельность злоумышленников, во-вторых, позволит правоохранительным органам оперативно блокировать деятельность ресурсов, распространяющих такую информацию.

В то же время, ИБ-сообщество обеспокоено: лишение специалистов доступа к такой информации может нанести серьезный удар по уровню защищенности, так как будет просто невозможно узнать о том, от чего стоит защищаться. Кроме того, под угрозой оказались и Bug Bounty-программы вместе с их участниками — на сегодняшний день правовая база этой деятельности все еще проработана недостаточно глубоко. По мнению экспертов, существует некий негласный договор, и если ты работаешь в рамках Bug Bounty, то риски исключены. Но едва ли это можно считать надежной гарантией защиты.

Принятие предлагаемых поправок если не затруднит деятельность в этих направлениях, то определенно создаст новые правовые коллизии, и, как следствие, отпугнет часть специалистов от участия в этой работе. И допустить этого ни в коем случае нельзя — осведомленность об угрозах это фундамент безопасности, а Bug Bounty-направление рассматривается многими, как альтернатива коммерческому пентесту на более выгодных условиях, при этом активно набирая популярность.

До принятия этих изменений еще далеко, поэтому мы убеждены, что все неоднозначные вопросы будут проработаны в будущих редакциях. А что вы думаете о предлагаемых изменениях?

@finance_ciso

❗️ГОСТ Р 57580.1 — что ждет стандарт в будущем

Рабочая группа ЦБ РФ завершила работу над проектом нового стандарта, который заменит собой ГОСТ Р 57580.1 от 2017 года. В июле завершилась стадия публичных обсуждений, а недавно в общем доступе был опубликован актуальный проект. Ниже собрали все основные нововведения по сравнению с действующим.

Область применения

Область применения нового стандарта будет расширена, туда войдут:

- иностранные банки (через филиалы);
- лица, оказывающие проф. услуги на фин. рынке (по ст. 76.9-5 закона о ЦБ);
- информационные услуги по закону о кредитных историях;

Также в стандарте закрепляется возможность его применения иными организациями, реализующими инновационные бизнес-процессы.

Фокус на киберугрозах

Новый стандарт использует новый термин "риск реализации информационных угроз" вместо текущего "операционного риска". Вводится требование об обработке риска реализации информационных угроз в соответствии с ГОСТ Р 57580.3 — это новшество, и ранее подобных требований не было.

Расширена нормативная база

Новый ГОСТ будет основан на более широком перечне стандартов.

Добавлены:
- ГОСТ Р 57580.2 (методика оценки соответствия)
- ГОСТ Р 57580.3 (управление риском реализации информационных угроз)
- ГОСТ Р 58833 (идентификация и аутентификация)
- ГОСТ Р 59547 (мониторинг ИБ)
- ГОСТ Р 59548 (регистрация событий безопасности)
- ГОСТ Р 59710 (управление компьютерными инцидентами)
- ГОСТ Р 59853 (новая редакция терминосистемы)
- ГОСТ Р МЭК 62443-3-3 (требования к системной безопасности промышленных сетей)
- ГОСТ Р ИСО/МЭК 27000 (терминология СУИБ).

Исключены:
- ГОСТ 34.003
- ГОСТ Р ИСО/МЭК ТО 18044

Термины и технологии

В отличие от текущего ГОСТ, который ореинтирован на регулирование вопросов информационной безопасности для классических автоматизированных систем, вычислительных машин и серверов, в новом варианте этот перечень будет расширен.

В стандарт добавлены новые понятия: контейнеризация (контейнеры, образы ОС с контейнеризацией, средства контейнеризации), мобильные устройства (смартфоны, планшеты как объекты доступа), терминальный режим работы (VDI, RDS). Уточнение касается и удаленного доступа: учитываются работники внешних (подрядных) организаций, которые осуществляют доступ из-за пределов вычислительных сетей финансовых организаций.

Наконец, термин «аутентификационные данные» заменен на «аутентификационная информация», введено определение «компрометация аутентификационной информации».

Регистрация и мониторинг

Новый ГОСТ вводит требование применять ГОСТ Р 59547 и ГОСТ Р 59548, в которых детально описаны процессы мониторинга информационной безопасности и регистрации событий безопасности. Это интеграция с отраслевыми стандартами для систем управления инцидентами информационной безопасности (SOC) и систем логирования.

Инциденты

Новый ГОСТ расширяет перечень инцидентов, включая также связанные с "профессиональными услугами на финансовом рынке". Новый стандарт предлагает использовать ГОСТ Р 59710 при реализации подпроцесса «Обнаружение инцидентов защиты информации и реагирование на них». Расширился охват киберинцидентов, проведена унификация с практическими методиками реагирования на них. Кроме того, в новом ГОСТ требуется разработать порядок действий для эксплуатационного персонала по выполнению своих должностных обязанностей при возникновении внештатных ситуаций.

Дополнительные изменения

- новый ГОСТ допускает включение в группу реагирования (на инциденты) внешних экспертов
\- из ГОСТ полностью убраны требования к одно/многофакторной аутентификации, аутентификационным данным и факторам аутентификации — весь этот блок полностью вынесен в отдельный стандарт ГОСТ Р 58833, на который ссылается обновленная редакция

Итого

Новая версия ГОСТ становится более актуальной современным реалиям. И это не удивительно, ведь с момента принятия прошлой редакции прошло почти 10 лет — огромный срок для технологичной сферы. Кроме того, аналогичное ждет и ГОСТ Р 57580.2, о чем мы тоже расскажем в будущем. Уверены, что в обозримой перспективе изменения будут приняты.

@finance_ciso

🏛Изменения в № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" вступили в силу с 1 октября

Ниже рассказываем о ключевых изменениях.

Новый операционный риск

Изменения вводят так называемый «риск аутсорсинга». То есть риск ошибок или ненадлежащего исполнения при передаче функций, операций, услуг или процессов третьим лицам.

Таким образом, теперь кредитные организации, пользующиеся услугами аутсорсинга, должны оценивать:

— риск нарушения операционной надежности,
— риск нарушения защиты информации,
— риск нарушения конфиденциальности данных организации и ее клиентов.

Кроме того, должно появиться специальное подразделение, основной задачей которого будет организация аутсорсинга. Подразделение, осуществляющее организацию аутсорсинга, должно функционировать независимо от подразделения, которое использует данные услуги. Не должно быть конфликта интересов: те, кто управляет риском аутсорсинга, не должны выполнять функции по обеспечению ИБ или функционированию ИС.

Что необходимо сделать

1. Разработать и утвердить перечни:

— функций, операций и процессов, которые передаются на аутсорсинг,
— аналогичные перечни того, что не подлежит передаче.

2. Создать новую организационную структуру, которая будет управлять риском аутсорсинга без конфликта интересов.

3. Внедрить процессы:

— инициирования аутсорсинга,
— подбора и оценки исполнителей,
— мониторинга качества аутсорсинга,
— прекращения взаимоотношений с аутосорсерами.

4. Наладить регулярную независимую оценку эффективности управления риском аутсорсинга.

Делать это нужно не реже раза в год.

Что не стоит передавать на аутсорсинг: рекомендации ЦБ

В информационном письме от 19 августа 2025 г. № ИН-03-23/96 «О подходах к передаче критически важных процессов на аутсорсинг» Банк России рекомендует кредитным организациям не передавать на аутсорсинг (за исключением отдельных процессов и (или) этапов процессов):

— функции органов управления (в частности, по утверждению стратегических документов, показателей склонности к риску, лимитов),
— ведение бухгалтерского учета,
— составление и представление отчетности в Банк России,
— совершение банковских операций,
— функции службы управления рисками, службы внутреннего контроля и службы внутреннего аудита (за исключением передачи кредитной организацией, входящей в состав банковской группы, отдельных функций службы управления рисками, службы внутреннего контроля и службы внутреннего аудита другой кредитной организации, входящей в банковскую группу).

Резюме

Из удобного инструмента аутсорсинг теперь становится полноценным источником рисков, которыми нужно управлять наравне с остальными. Эти изменения закономерны: атаки на цепочки поставок за последние два года стали одним из основных методов реализации киберугроз, поэтому должны быть защищены. Не смотря на дополнительные инвестиции, которые предполагают эти нововведения, вряд ли финансовые организации откажутся или снизят объёмы аутсорсинга. Но процесс работы с третьими лицами однозначно должен стать безопаснее, когда эти требования будут реализованы. А насколько — покажет время.

@finance_ciso

❗️Deloitte вернет правительству Австралии часть денег за отчет, в котором обнаружены ошибки ИИ

В частности, в отчете были обнаружены несуществующие цитаты и ссылки на научные публикации. Deloitte признала факт использования ИИ и согласилась вернуть последний платеж по контракту, но отмечает, что в новом отчете все ошибки были устранены. При этом, окончательные выводы не изменились.

На мой взгляд, это первый настолько громкий, и точно не последний случай бездумного применения ИИ в консалтинге. И здесь нет ничего удивительного: на первый взгляд, подобные инструменты позволяют существенно сократить сроки и косты без вреда для результата — ну как пройти мимо такого. Консалтинг в ИБ подвержен тем же трендам: многие из коллег уже активно используют языковые модели для создания отчетов. Что печально, как показывает кейс Deloitte, после ИИ эти документы либо совсем не вычитываются, либо, в лучшем случае, вычитываются очень плохо и поверхностно. Причем, этим часто занимаются люди, которые не владеют фактурой от клиента.

Мы в ITG Security совсем не против использования ИИ, но только в разумных границах: автоматизация — да, полная замена функций аудитора — ни в коем случае. В рамках своей деятельности мы регулярно прибегаем к таким инструментам, но делаем это точечно, только там, где результат не будет искажен, и с обязательной проверкой. Что важно, мы открыто информируем об этом заказчика, чтобы ни у кого не было сюрпризов.

Хочется также отметить, что на сегодняшний день не существует какой-либо внятной регуляции ИИ. Никто не несет ответственности за недобросовестное использование, да и в целом пока еще не созданы механизмы выявления ИИ. Уверен, что мы увидим развитие этой ситуации уже в ближайшее время: опасность ошибки ИИ очень велика, особенно когда речь идет про сложные и наукоемкие отрасли, к которым относится и ИБ. А подобные пугающие прецеденты однозначно не смогут остаться без внимания.

@finance_ciso

📢Кибербез без отдела ИБ: привычки, которые спасают вас и компанию — Глеб Абрамов на ITPARK FEST 2025

В эти выходные завершился очередной ITPARK FEST, на котором выступал руководитель направления аудита ITG Security Глеб Абрамов.

В процессе доклада были затронуты следующие темы:

— как эффективно защищать свои данные без отдела ИБ,
— основные принципы повседневной безопасности,
— ИБ-практики для сотрудников, руководителей и ИТ-специалистов,
— измеримые показатели и готовый план внедрения.

Выступление длится всего полчаса (с 3:20:00 до 3:50:00), а запись доступна по ссылке.

Получилось интересно, познавательно и доступно! Мы настоятельно рекомендуем ознакомиться с материалом, принять к сведению и использовать в своей работе и повседневной жизни 🙂

@finance_ciso

🏛Минцифры смягчает антифрод-поправки в закон "О персональных данных"

Ведомство опубликовало новую версию второго пакета антифрод-поправок, где были скорректированы изменения в закон "О персональных данных". Александр Зубриков, CEO ITG Security прокомментировал для издания Компьютерра новую версию поправок — подробнее в статье.

Изначально предлагалось создать на «Госуслугах» единую платформу управления согласиями, куда все операторы персональных данных — от корпораций до ИП — должны были передавать полученные разрешения на обработку. А граждане, в свою очередь, могли бы просматривать и отзывать выданные ими согласия.

В новой версии передавать предлагается не все согласия, а только те, которые прямо перечислены в подзаконных актах. При этом бизнес сохранит право самостоятельно собирать согласия во всех возможных случаях. В Минцифры заявили, что поправки направлены на снижение административной нагрузки и «устранение избыточных требований». Кроме того, в министерстве отмечают, что версия не финальная, она может быть скорректирована с учетом предложении отрасли и заинтересованных ведомств.

Один из ключевых вопросов, которые остаются на повестке — что и как бизнес должен передавать: информацию о факте обработки данных или конкретные персональные данные граждан. В любом случае, процесс передачи этой информации однозначно будет дополнительной целью для злоумышленников. Сведения даже только о самом факте сбора ПДн любой компанией можно использовать это для OSINT конкретных людей. То есть, потенциальные риски и сложность кибератак сильно возрастут.

Другой, не менее важный вопрос — какие будут установлены требования к защите процесса. Крайне важно соблюсти баланс между сложностью и обязательностью этих требований. Если они будут слишком абстрактными, то могут не обеспечить нужный уровень защищенности, а если слишком сложными — могут не выполняться бизнесом в полной мере, ведь это приведет к заметному росту издержек. Согласно поправкам, обязанность по выполнению этих требований ляжет на любой бизнес, работающий с персональными данными. Но далеко не у всех организаций могут найтись ресурсы на их выполнение, что неизбежно негативно скажется на реальном уровне безопасности.

Развивая эту мысль, возникает гипотеза о появлении неких "коробочных", легковесных решений для осуществления связи с ЕСИА, которые будут доступны абсолютному большинству. Но в таком случае появляется закономерный вопрос — кто будет нести ответственность за утечку данных, если она случится из-за взлома этого решения. Кроме того, есть большие сомнения в реалистичности появления таких инструментов в принципе: так как они будут общаться с ЕСИА напрямую, их взлом может стать проблемой для самой ЕСИА. То есть, они должны быть защищены на высочайшем уровне, что неизбежно скажется на их стоимости для конечного потребителя.

Наконец, неясным остается и механизм контроля отзыва согласия со стороны гражданина. Если предположить, что в ЕСИА информация только о факте обработки ПДн, что вполне логично с точки зрения безопасности, то возникает иная проблема: ЕСИА не сможет проконтролировать, выполнит ли бизнес все необходимые действия в случае отзыва согласия. В данном случае ответственность будет на операторе персональных данных, но без контроля со стороны регулятора высока вероятность, что что-то пойдет не так.

Подводя итог, хочется отметить, что сама идея управления согласиями из личного кабинета для гражданина — безусловно, благо. Но техническая реализация на данный момент вызывает множество принципиальных вопросов, ответить на которые будет непросто. Несмотря на все очевидные преимущества этого механизма, недостаточно качественная проработка запросто может лишь увеличить риски как для бизнеса, так и для граждан.

В любом случае, делать выводы до принятия финальной редакции поправок рано — текст не финальный. Будем следить за развитием событий.

А что вы думаете о предлагаемых изменениях?

@finance_ciso

❗️ФСТЭК рекомендует в кратчайшие сроки прекратить использование Microsoft Windows 10, Microsoft Exchange Server 2016 и 2019

Ведомство опубликовало информационное сообщение, в котором призывает пользователей Microsoft Windows 10 и Microsoft Exchange Server (2016 и 2019) к скорейшей миграции на отечественные решения в связи с прекращением поддержки, включая выпуск обновлений безопасности с 14 октября 2025 года.

Если переход невозможен, ведомство предлагает следующие рекомендации для минимизации рисков:

— установить обновления для ОС Windows 10 и Exchange Server 2016/2019 в соответствии с методиками ФСТЭК;
— ограничить интернет-доступ к рабочим станциям и серверам Exchange с помощью межсетевых экранов;
— защитить периметр средствами защиты (МЭ, антивирус, IDS, DLP) при невозможности ограничить доступ. Мы также рекомендуем 2FA и PAM — эффективные и недорогие решения;
— мониторить уязвимости в публичных источниках и оперативно нейтрализовывать угрозы;
— регламентировать работу с уязвимостями согласно методике управления уязвимостями ФСТЭК;
— обеспечить регулярное резервное копирование данных, настроек и ПО;
— проводить сканирование на уязвимости и контролировать целостность систем;
— применять дополнительные сертифицированные средства защиты, дублирующие функции безопасности ОС;

Мы присоединяемся к ФСТЭК и рекомендуем как можно скорее отказаться от более неподдерживаемого и небезопасного ПО.

@finance_ciso

🏛Роскомнадзор сообщил о снижении объемов утечек персональных данных

За 10 месяцев 2025 года было зафиксировано 103 факта утечек общим объемом в 50 миллионов записей. За весь предыдущий год — 135 фактов и 710 миллионов записей.

Руководитель Роскомнадзора Андрей Липов связывает положительную тенденцию с более ответственным отношением бизнеса к персональным данным, и, как следствие, с растущим уровнем защищенности.

Цифры действительно впечатляют: при сохранении примерно того же количества утечек, объем украденных строк снизился на порядок. Введенные недавно оборотные штрафы, помимо прочих изменений и ужесточений, на наш взгляд, сыграли ключевую роль в этой динамике: бизнес правильно воспринял новые риски и стремится сделать все, чтобы они не реализовались. Мы видим подтверждение этому и в нашей практике — интерес к защите персональных данных заметно вырос, что позитивно сказалось на уровне их защищенности.

При этом на сегодняшний день наказание в виде оборотного штрафа пока не применялось ни разу. Неясно, был ли вообще повод, или правоприменитель просто щадит провинившихся, но факт есть факт. Но, на наш взгляд, для закрепления эффекта кому-то неизбежно придется "принять удар на себя". В противном случае велик риск, что со временем оборотные штрафы могут начать восприниматься, как пустышка, то есть, будут работать хуже.

Еще одна важная тендеция, которую мы наблюдаем в этом году — формирование культуры "сакральности" персональных данных. Несомненно, этот процесс начался под влиянием громких новостей о кибератаках, а продолжился под влиянием ужесточений законодательства и введением новых штрафов. Но, тем не менее, он идет, и все больше людей начинают относиться к персональным данным с должным уровнем ответственности. Мы считаем, что дальнейшее развитие такой культуры способно закрепить позитивную тенденцию в утечках на долгие годы. И, более того, ее деградация с высокой долей вероятности может привести к откату уже в ближайшее время. Личное ответственное отношение граждан — фундамент для долгосрочного развития безопасности.

В качестве итога, отметим, что предпринимаемые в последние годы шаги привели к заметному сегодня результату. Пока рано говорить об устойчивой тенденции, но в наших с вами руках сделать так, чтобы эта динамика сохранилась надолго. Но мы уверены, что развитие культуры информационной безопасности на всех уровнях — один из ключевых способов закрепить достигнутый результат.

@finance_ciso

❗️Новые правила категорирования для объектов КИИ

В ноябре было опубликовано постановление Правительства №1762, которое вносит изменения в логику категорирования КИИ.

Ключевые изменения:

Отраслевая специфика. Оценка значимости теперь жестко привязана к перечням типовых объектов и отраслевым особенностям категорирования для каждой сферы.

Смена парадигмы. Из процесса исключаются этапы выявления «критических процессов». Вместо него вводится процесс выявления объектов, соответствующих типам ИС, ИТКС, АСУ, включенных в перечни типовых отраслевых объектов КИИ.

Ужесточение требований регулятора к мониторингу. В список нарушений добавлены:
— нарушение отраслевых особенностей категорирования.
— выявление в ходе мониторинга объектов из перечней, которые не были прокатегорированы.

Новая отчетность. В сведения об объекте КИИ обязательно включать доменные имена и сетевые адреса при взаимодействии с интернетом.

Обновленные критерии значимости.
— добавлены новые критерии для определения социальной, экономической значимости и значимости для обороны и безопасности.
— изменен критерий политической значимости.

Ответственность за новое. Если создается новая критичная система, отсутствующая в перечне, субъект КИИ обязан не только её категорировать, но и направить предложение о включении этой системы в перечень.

На данный момент отраслевые особенности категорирования еще не утверждены. Субъекты КИИ могут руководствоваться обновленным ПП-127, но должны быть готовы к оперативной корректировке процессов после утверждения отраслевых документов.

@finance_ciso

🛡Как повысить уровень защищенности без отдела ИБ: практические рекомендации ITG Security

В последние несколько лет сфера информационной безопасности претерпевает беспрецедентные по своему масштабу изменения: многократно возрастает разнообразие и масштаб киберрисков, возникают новые стратегии и тактики кибератак, совершенствуется инструментарий злоумышленников, вместе с этим развиваются и механизмы противодействия им. Но, несмотря на такие масштабные перемены, неизменным остается главное — ключевой катализатор инцидентов ИБ по-прежнему человеческий фактор.

По данным Verizon, более 80% инцидентов стали возможны из-за человеческого фактора: слабые пароли, фишинг, недостаточный уровень киберграмотности и т.д. Поэтому мы уверены — результативная кибербезопасность начинается с человека, с его отношения к защите информации. Одно только внедрение полезных практик и привычек способно значительно снизить риски ИБ для подавляющего большинства компаний. Причем, для этого не нужны самые дорогие СЗИ или большие инвестиции в inhouse-команды ИБ.

Ниже собрали для вас самые важные рекомендации, которые реально работают:

— многофакторная аутентификация

Используйте менеджер паролей и внедрите многофакторную аутентификацию во всех (хотя бы в критичных сервисах).

— контроль ролей и доступов

Назначьте владельцев систем, опишите типовые роли и уровни доступов, проводите ежеквартальные аудиты на предмет соответствия роли реальным должностным обязанностям.

Не наделяйте сотрудников чрезмерными правами, которые не нужны им для выполнения своих задач.

— secret-scanning

Внедрите его в CI/CD, чтобы доступы не оказались в коде.

— регулярные фишинг-тренинги

Проинформируйте сотрудников об опасности фишинга и мерах предосторожности. Периодически проводите "учения" для контроля усвоения знаний.

— резервное копирование

Настройте регулярные бэкапы критичных данных и убедитесь, что их можно восстановить. Храните их в изолированных от основной инфраструктуры контурах, чтобы они остались в безопасности в случае компрометации.

— регулярные обновления

Обновления ПО устраняют новые выявляемые уязвимости. Следите за актуальной версией сервисов, которыми пользуетесь. Если версия устарела — у вас есть уязвимость, которой могут воспользоваться.

— рабочее отдельно от личного

Никакие рабочие учетные записи, устройства и информация не должны соприкасаться с личными. Без исключений.

Как внедрить эти практики без отдела ИБ

— назначьте ответственного за направление

Для их реализации в небольшой компании не нужна полноценная команда. Определите того, кто будет контролировать выполнение рекомендаций. Это может быть текущий сотрудник ИТ-отдела компании. Важно помнить про принцип "не проверяй свою же работу": постарайтесь назначить такого сотрудника ИТ-отдела, который меньше всего задействован в администрировании систем и рабочих мест. Если такого человека не окажется, придется поискать в других смежных областях или задуматься о ставке специалиста по ИБ на аутсорсе.

— расставьте приоритеты

Не стремитесь сделать все и сразу. Начните с наиболее критичных систем и публичных сервисов. Отточите подход и постепенно масштабируйте.

— распределите зоны ответственности

ИТ-команда — технические обновления и сегментация, бизнес-руководители — политика, обучение, ответственность сотрудников, сами сотрудники — соблюдение базовых правил.

— внедрите цикл PDCA

Plan (выработать политику и процедуру), Do (внедрить инициативы: обучение, обновления), Check (проверять: контроль процесса, фишинг-тесты, есть ли незакрытые уязвимости и тд), Act (корректировать, улучшать).

Внедрить и придерживаться этих советов вполне реально и без штатной команды. Главное — системность и ответственность на всех уровнях. Начинайте с небольших шагов, но делайте их регулярно, и тогда информационная безопасность из дополнительной статьи расходов и головной боли трансформируется в неотъемлемую полезную часть корпоративной культуры.

@finance_ciso

❗️Безопасное использование ИИ: как снизить риски

В начале 2026 года может состояться первое чтение законопроекта о маркировке генеративных видео. Согласно инициативе, владельцы площадок, где размещается такой контент, будут обязаны помечать его. Принятие закона может стать первым серьезным шагом в борьбе с недобросовестным ИИ-контентом. И однозначно не последним.

Риски, связанные с ИИ-контентом, очевидны: нейросети уже могут создавать изображения и видео, с трудом отличимые от реальных. С помощью таких инструментов открывается пространство для незаконной деятельности: от мошенничества с использованием дипфейков до намеренного распространения недостоверной информации.

Но сегодня мы хотим обсудить другой аспект — использование нейросетей для корпоративных задач. Языковые модели способны взять на себя очень многое: от написания текстов до разработки и аналитики, что значительно упрощает рабочие процессы. И чем больше информации получает нейросети, тем более качественный результат она может предоставить.

Однако такая практика ведет к бесконтрольному распространению практически любых данных в неизвестных направлениях. По нашему опыту, большинство сотрудников не задумываются о том, чем они делятся с ИИ. В то же время, разработчики нейросетей хранят все диалоги пользователей. Напрмер, ChatGPT уже давно обучается взаимодействию с пользователем, запоминает важные факты и детали предыдущих диалогов, используя их по своему усмотрению даже тогда, когда это не предполагалось. Отсюда возникают разумные вопросы — хорошо ли эта информация защищена? могут ли злоумышленники завладеть ей? И ответы вам вряд ли понравятся.

— разработка своей собственной, корпоративной нейросети on-premise

Очевидный, но дорогой, долгий и болезненный путь. Плюсы: полная изоляция, полный контроль, полная кастомизация. Главный минус — это крайне дорого. Чтобы внедрить такое решение, почти всегда необходимы колоссальные вычислительные мощности, выделенные команды разработки и поддержки. Наконец, значительные инвестиции в безопасность этого решения.

Несмотря на сложность этого пути, некоторые крупные федеральные компании уже сделали это, или делают прямо сейчас. Но для абсолютного большинства он не подходит — размер инвестиций колоссальный, а прямое влияние на эффективность бизнеса под вопросом.

— обезличивание информации, которая попадает к ИИ

Значительно минимизировать соответствующие риски возможно, если перед обменом информацией с нейросетью, вы сможете исключить оттуда конфиденциальную часть. Самопроверка простая — спросите себя, могут ли эту информацию в текущем виде использовать злоумышленники? Если ответ положительный, значит обезличили недостаточно.

Главный плюс — это бесплатно (кроме, разве что, подписки на ИИ). Но есть и минусы — не всегда возможно четко оценить степень конфиденциальности информации, поэтому что-то может быть упущено; это занимает время; обезличенных данных может быть недостаточно для качественного результата.

А еще, это можно обернуть в корпоративный процесс, обложить соответствующими инструкциями и проверками знаний.

— гибридный сценарий

Если разрабатывать свою корпоративную нейросеть дорого, но без ИИ никак, рассмотрите компромиссный вариант: упрощенный ИИ для обезличивания информации. Такое решение, скорее всего, будет относительно недорогим и простым в обслуживании, но позволит исключить человеческий фактор и выиграть время на ручную проверку.

Логика работы — любые данные, прежде чем попасть к нейросетям, в обязательном порядке проверяются через это решение на предмет содержания конфиденциальной информации. И только после того, как данные будут признаны безопасными, их можно будет вынести за пределы корпоративного контура.

Очевидно, что ни один из сценариев не гарантирует полную безопасность, но предпринимать меры нужно уже сейчас. Развитие нейросетей только набирает обороты, а в ближайшие 10 лет этот рынок многократно увеличится. Поэтому в отсутствии наработанных инструментов защиты и правоприменительных практик особенно важно сохранять осторожность и бдительность.

@finance_ciso

🎥SOC на практике: подключение, реагирование и автоматизация в реальной инфраструктуре — видео

Совместно с редакцией CISOCLUB мы записали видеоинтервью на базе SOC Forum, где рассказали о том, как работает Security Operations Center в реальной инфраструктуре.

В кадре
— Александр Зубриков, CEO ITG Security
— Евгений Буйволов, руководитель L1 SOC ITG Security

Что обсудили
— что происходит, когда SOC подключается к уже скомпрометированной инфраструктуре
— почему IRP «по методичке» в таких сценариях часто не работает
— видит ли атакующий SOC, и как это влияет на ход атаки
— реальные возможности SOC против шифровальщиков
— как быстро SOC обнаружит злоумышленника
— как измерять эффективность SOC
— где автоматизация и ИИ помогают, а где создают ложное чувство контроля
— возможна ли замена L1 на ИИ, и что этому мешает на практике

Смотрите на всех площадках
— CISO Club
— YouTube
— RuTube
— VK Video
— Дзен

@finance_ciso

❗️Комитет ГД одобрил законопроект о введении административной ответственности за нарушение правил эксплуатации объектов КИИ

Кроме того, комитетом также был одобрен законопроект об освобождении от уголовной ответственности за преступления в этой сфере, если совершивший их активно способствовал расследованию, сообщает ТАСС.

Законопроект о штрафах предполагает наказывать за нарушения правил эксплуатации КИИ штрафами, если эти деяния не содержат признаков преступления. Предлагаемые размер штрафов:

— для граждан от 5 до 10 тыс. рублей,
— для должностных лиц от 10 до 50 тыс. рублей,
— для юрлиц от 100 до 500 тыс. рублей.

В данный момент за подобные нарушения законом предусмотрена только уголовная ответственность. Законопроект также предполагает зафиксировать, за какие именно правонарушения она наступает. На текущий момент это происходит при любом неправомерном доступе к охраняемой информации в критической информационной инфраструктуре, а также за нарушение правил эксплуатации, обработки или хранения информации, если они нанесли вред КИИ. Поправки уточняют, что уголовная ответственность может наступить, если неправомерный доступ к охраняемой информации или нарушение правил эксплуатации средств хранения повлекли уничтожение, блокирование, модификацию или копирование информации в КИИ.

Наконец, согласно поправкам, правонарушитель может быть освобожден от уголовной ответственности, если он активно способствовал раскрытию преступления, в том числе принял меры по сохранению следов неправомерного воздействия на КИИ.

Эта инициатива, бесспорно, крайне позитивная. Очевидно, что даже при неукоснительном выполнении всех требований к безопасности, вероятность инцидента на объекте КИИ не равна нулю. Но предлагаемые изменения позволят исключить ситуации, при которых попасть под уголовную ответственность могут ответственные за ИБ, добросовестно выполняющие свою работу. Если инициатива все-таки будет принята (мы в этом почти не сомневаемся), то, как мы считаем, выиграют все: субъекты КИИ смогут привлечь более компетентных специалистов, которые ранее могли опасаться брать на себя ответственность за безопасность, а правоохранительные органы получат мотивированных экспертов, содействующих расследованию киберинцидентов.

Если развивать эту мысль, то окончательным устранением проблемы могли бы быть определенные условия, при которых CISO или иной ответственный за ИБ в принципе освобождается от любых санкций, включая штрафы, если все предписания и требования к безопасности были выполнены. Реализовать это будет куда сложнее — понадобится привлекать третью, независимую сторону, которая могла бы установить, действительно ли все было реализовано. Но, тем не менее, определенно есть, о чем еще подумать.

@finance_ciso

🎥Экспресс-диагностика защиты ПДн: когда аудит действительно нужен — вебинар

К 2026 году штрафы за нарушения ФЗ-152 и утечки персональных данных стали настолько высоки, что могут остановить даже самый устойчивый бизнес. В то же время проверки Роскомнадзора происходят все чаще, и становятся все более тщательными.

25 февраля в 11:00 МСК на вебинаре команда ITG Security расскажет, как снизить риски, с чего начать, и как делать не нужно. Более подробно обсудим:

— последние изменения в законах, логику проверок и штрафов,
— почему идеальные документы не спасут от санкций при реальном инциденте,
— как провести экспресс-аудит своих процессов за 30 минут,
— самые распространенные и дорогостоящие ошибки бизнеса,
— практические шаги для минимизации рисков,

В конце вебинара эксперты проведут экспресс-консультацию для желающих, а все зарегистрированные получат чеклист для самопроверки, который мы разработали на базе сотен реальных кейсов.

Зарегистрируйтесь по ссылке, даже если не сможете прийти — отправим на почту запись и все материалы с трансляции.

@finance_ciso

❗️Изменения во взаимодействии с НКЦКИ: новые приказы ФСБ России

В декабре 2025 года ФСБ России опубликовала 7 приказов, которые меняют формат взаимодействия с НКЦКИ. Всего было опубликовано 7 приказов:

— приказ ФСБ России № 539 от 23 декабря 2025 — вступил в силу 30 января 2026 года
— приказ ФСБ России № 540 от 24 декабря 2025 — вступил в силу 30 января 2026 года
— приказ ФСБ России № 546 от 25 декабря 2025 — вступил в силу 30 января 2026 года
— приказ ФСБ России № 547 от 25 декабря 2025 — вступил в силу 30 января 2026 года
— приказ ФСБ России № 548 от 25 декабря 2025 — вступил в силу 30 января 2026 года
— приказ ФСБ России № 553 от 26 декабря 2025 года — вступил в силу с даты публикации
— приказ ФСБ России № 554 от 26 декабря 2025 года — вступил в силу с даты публикации

Основные изменения

— расширение зоны ответственности: теперь с ГосСОПКА и НКЦКИ обязаны работать не только субъекты КИИ, но и все государственные органы и госкомпании.
— расширение списка целей, функций и задач НКЦКИ: появилась новая цель — запрашивать информацию у субъектов КИИ, центров ГосСОПКА и Организаций о результатах проведения мероприятий, направленных на защиту от КА, а также об устранении уязвимостей информационных ресурсов РФ.
— изменение сроков информирования: о кибератаке на ЗОКИИ нужно сообщить в НКЦКИ в течение 3 часов, на другие объекты информатизации — в 24 часов.
— уточнение случаев информирования НКЦКИ: теперь нужно сообщать о компьютерных инцидентах на информационных ресурсах российских органов и организаций. Также необходимо уведомлять о компьютерных атаках на субъекты КИИ или информационные ресурсы.
— запрет прямого обмена информацией с международными организациями: теперь все взаимодействие с иностранными организациями по инцидентам должно проходить с обязательным уведомлением НКЦКИ.
— обязательные планы и учения: каждая организация должна разработать план реагирования на инциденты и ежегодно проводить тренировки по его отработке.
— круглосуточное взаимодействие: организации обязаны поддерживать постоянную работу средств ГосСОПКА и круглосуточную связь с системой.
— локализация СЗИ: все средства ГосСОПКА должны быть российского производства и иметь отечественную техподдержку.

@finance_ciso

🎥Экспресс-диагностика защиты ПДн — напоминаем о вебинаре!

Уже в ближайшую среду в 11:00 МСК состоится наш вебинар, посвященный защите персональных данных. Приглашаем всех желающих присоедениться, участие бесплатное.

Обсудим:

— последние изменения в законах, логику проверок и штрафов,
— почему идеальные документы не спасут от санкций при реальном инциденте,
— как провести экспресс-аудит своих процессов за 30 минут,
— самые распространенные и дорогостоящие ошибки бизнеса,
— практические шаги для минимизации рисков.

Регистрируйтесь по ссылке.

❗️Даже если не сможете прийти, зарегистрируйтесь — мы отправим вам запись вебинара

@finance_ciso

❗️Изменения в Положениях Банка России: 757-П, 821-П, 779-П

17 февраля были опубликованы указания ЦБ РФ, которые вносят изменения в ряд Положений. Ниже — о конкретных изменениях.

757-П

— расширен перечень некредитных финансовых организаций, которые должны соответствовать требованиям ГОСТ Р: стандартному уровню должны соответствовать все страховые организации и негосударственные пенсионные фонды, регистраторы (кроме тех, кому необходимо соответствовать усиленному уровню) и депозитарии, осуществляющие расчеты по результатам сделок, совершенных на торгах организаторов торговли по соглашению с организаторами торговли и/или клиринговыми организациями, осуществляющими клиринг обязательств по таким сделкам.

Минимальному уровню необходимо соответствовать микрофинансовым организациям (кроме МФО предпринимательского финансирования и МФО, связанных с государством), операторам инвестиционных платформ. С января 2028 года все МФО будут обязаны соответствовать минимальному уровню защиты.

— введены дополнительные требования к обеспечению безопасности: расширен перечень регистрируемой информации о действиях клиентов. Установлены требования к соблюдению при использовании единой системы идентификации и аутентификации. Расширены требования к подтверждению составления электронных сообщений уполномоченным на это лицом. Закреплена обязанность соблюдения цикла PDCA.

— уточнен процесс ведения отчетности: установлены порядок и формы направления отчетности в ЦБ по итогам оценки технологических мер защиты и требований к прикладному ПО, а также сроки предоставления НФО сведений о выявленных инцидентах и результатах расследования.

Основные изменения вступают в силу с 1 января 2027 согласно указанию № 7219-У.

821-П

— введены дополнительные требования к обеспечению безопасности: дополнительные требования к регистрации действий, связанных с доступом к защищаемой информацией. Расширен перечень регистрируемой информации о действиях клиентов, а также перечень защищаемой информации (дополнен сведениями об идентификации и/или аутентификации с использованием биометрических ПДн). Закреплена обязанность соблюдения цикла PDCA.

— установлены сроки сертификации ПО автоматизированных систем и приложений при присвоении статуса значимой кредитной организации.

— уточнен процесс ведения отчетности: установлены порядок и формы направления отчетности в ЦБ по итогам оценки технологических мер защиты и требований к прикладному ПО, а также сроки предоставления операторами по переводу денежных средств, операторами услуг платежной инфраструктуры Банку России сведений о выявленных инцидентах и результатах расследования.

Основные изменения вступают в силу с 1 октября 2026 согласно указанию № 7220-У.

779-П

— уточнен перечень показателей операционной надежности для НФО: введен порядок расчета допустимой доли деградации. Установлены контрольные и сигнальные значения операционной надежности, а также порог в 5 минут для признания простоя и/или деградации технологического процесса.

С 1 января 2028 года требования к операционной надежности будут распространятся на МФО. Для них определены технологические процессы по дистанционному предоставлению и погашению займов через интернет, а также установлен порог допустимого времени простоя и/или деградации — не более 24 часов.

— введены дополнительные требования к НФО:

• во внутренних документах необходимо определить порядок регистрации событий операционного риска, связанных с нарушением операционной надежности,
• определить орган управления НФО, который утверждает сигнальные и контрольные значения показателей операционной надежности,
• необходимость планирования продолжительности времени (функционирования) технологических процессов работы на будущий квартал,

Помимо этого, в документе уточнены формулировки по нейтрализации угроз, обусловленных зависимостью от поставщика и угроз со стороны внутреннего нарушителя.

Основные изменения вступают в силу с 1 января 2027 согласно указанию № 7221-У.

@finance_ciso

🎥Экспресс-диагностика защиты ПДн: когда аудит действительно нужен — запись вебинара

Публикуем запись нашего вебинара про защиту персональных данных для бизнеса. Рекомендуем к просмотру всем, чья работа связана с персональными данными граждан РФ.

Что обсудили:

1. Новая реальность ПДн: Разбираем свежие изменения в законе, кратный рост штрафов и логику последних проверок регуляторов.
2. Бумажный щит vs Реальные риски: Почему безупречные документы не спасают при реальном инциденте и где кроются «слепые зоны» бизнеса.
3. Self-audit за 30 минут: Как провести экспресс-аудит своих процессов и найти критические уязвимости раньше, чем их найдет Роскомнадзор.
4. Хит-парад факапов: Самые нелепые и фатальные ошибки крупных компаний, на которых стоит поучиться.
5. Стратегия защиты 360°: Практические шаги по выстраиванию системы, которая минимизирует последствия утечек и инцидентов.

Запись доступна по ссылкам: Youtube, VK Видео.

Чеклист самооценки

Помимо теоретических материалов, наша команда подготовила чеклист для самостоятельной экспресс-оценки уровня защищенности персональных данных ваших клиентов в компании.

Получить его можно по ссылке, заполнив короткую форму — файл придет на указанную почту.

Рекомендуем заполнить его, если не уверены, насколько ваши процессы соответствуют требованиям безопасности, включая регуляторов.

@finance_ciso

❗️Опубликован проект изменений в Приказах ФСТЭК №235 и №239

Текст проекта доступен по ссылке.

Изменения в приказе ФСТЭК №235

Вводится обязанность значимым субъектам КИИ в рамках контроля состояния проводить расчет:

— показателя, характеризующего текущее состояние обеспечения безопасности значимых объектов критической информационной инфраструктуры, от базового уровня угроз безопасности информации. Методика расчета показателя утверждена ФСТЭК России 11 ноября 2025 г. Расчет показателя должен проводится не реже одного раза в 6 месяцев,
— показателя, определяющего достаточность и эффективность проведенных мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры. На данный момент методика расчета пока не опубликована. Это необходимо делать не реже одного раза в два года.

О результатах проведенной оценки необходимо информировать ФСТЭК:

— не позднее 5 рабочих дней после расчета, если все в норме,
— в течение 3 дней, если показатели не соответствуют нормативам.

Изменения в приказе ФСТЭК №239

— закреплена необходимость принятия дополнительных мер при невозможности обеспечения средств защиты информации технической поддержкой со стороны разработчиков (производителей),
— введена обязанность выполнения организационных и технических мер, решение о необходимости осуществления которых принято ФСТЭК России с учетом меняющихся угроз в информационной сфере (ссылка на Указ Президента Российской Федерации от 1 мая 2022 г. № 250).

Запросить бесплатную консультацию.

@finance_ciso