Как не платить за MFA дважды: снижаем эксплуатационные расходы без потери безопасности

🗓 22 апреля в 12:00 (МСК)
➡️ Регистрация

Траты на внедрение MFA не ограничиваются покупкой лицензий, "железа" и работами по установке и настройке ПО. Большая часть расходов — эксплуатационные, и чем крупнее организация, тем выше их доля в совокупной стоимости владения (ТСО).

В эфире технический директор MFASOFT Михаил Рожнов расскажет, как централизация, автоматизация и самообслуживание сокращают трудозатраты на администрирование, и как эти возможности реализованы в программном комплексе MFASOFT Secure Authentication Server (SAS).

Вы узнаете:
*️⃣ Как вариант установки и условия лицензий меняют итоговую цену
*️⃣ Чем удобны безагентная схема, модули и контейнеры
*️⃣ Как работать с токенами из единого пула, чтобы меньше возиться
*️⃣ Где пригодится делегированное управление
*️⃣ Что умеет автоматизация и самообслуживание
*️⃣ Опыт реальных внедрений

Вебинар будет полезен тем, кто:
*️⃣ Эксплуатирует MFA каждый день
*️⃣ Проектирует инфраструктуру ИБ
*️⃣ Выбирает MFA по требованиям регуляторов
*️⃣ Устал от маркетинговых обещаний и хочет услышать правду от инженера

До встречи в эфире!

Контроль подрядчиков по 117 приказу ФСТЭК #записьвебинара

С 1 марта 2026 года требования к контролю подрядчиков стали обязательной частью политики защиты информации. Согласно статистике, атаки на цепочку поставок составляют порядка 30% всех инцидентов. При этом даже если инцидент произошел по вине подрядной организации, первичную ответственность перед регулятором (включая штрафы за утечку ПДн от 3 до 5 млн рублей) несет заказчик.

В эфире эксперты рассказали, как выстроить безопасное взаимодействие с подрядчиками и избежать штрафов.

Смотреть запись
😄 ВК | 🥰 RuTube |😉 YouTube

📌 Тезисы эфира

Как переложить риски на подрядчика

Чтобы иметь возможность взыскать ущерб, необходимо прописать в договоре три условия. Во-первых, включить статью 406.1 Гражданского кодекса. Во-вторых, четко описать события и инциденты, наступающие по вине подрядчика. В-третьих, обеспечить возможность доказать, что инцидент произошел именно по вине третьей стороны. Право на аудит и обязательство уведомлять об инцидентах (в течение 3 часов) работают как «DLP»: даже неиспользуемое право отсеивает недобросовестных исполнителей на этапе выбора.

Правило «золотой середины» в требованиях

Заказчикам не следует требовать от подрядчика аттестации по высокому классу, если это небольшой локальный проект. Такой подход резко удорожает контракт и сужает круг потенциальных исполнителей. Лучше сконцентрироваться на конкретных мерах: регламентировать удаленный доступ (через сертифицированные СЗИ), контролируемую зону доступа и мониторинг действий, а не требовать от подрядчика полной аттестации всей его инфраструктуры.

Три маркера опасного подрядчика

При сборе коммерческих предложений стоит обращать внимание на поведение. Первый маркер — навязывание своих инструментов удаленного доступа. Второй и самый критичный — просьба использовать одну учетную запись на всю команду. Это лишает возможности идентифицировать конкретного виновного. Третий маркер — отказ предоставлять логи и артефакты о проделанной работе или отсутствии инцидентов.

Что важно для подрядчиков

Для соответствия требованиям заказчиков подрядчикам необходимо внедрить базовые процессы. Это назначение ответственного за ИБ, обеспечение прозрачности и готовности предоставлять информацию по запросу, а также использование технологической защиты (минимум — антивирусы и EDR-агенты). Критическим риском для подрядчика является попадание в реестр недобросовестных поставщиков по 44-ФЗ или 223-ФЗ, что для лицензируемой деятельности фактически означает закрытие бизнеса.

Мы оперативно публикуем в группе ВК записи всех эфиров Код ИБ. Подписывайтесь, чтобы не пропустить новые видео!

Мы в MAX | Мы в ВК

«У нас с КИИ всё нормально» или почему это не так

Вы уверены, что ваша система защиты КИИ выстроена надежно?

Документы в порядке. Отчёты готовы. Комиссия есть. Кажется, что проблем нет. А разрыв между выполненными требованиями и реальной защитой только растёт:

*️⃣Что-то не попало в модель угроз;
*️⃣Права доступа живут отдельно от реальных ролей сотрудников;
*️⃣Часть инфраструктуры работает «временным решением» уже несколько лет.

Именно такие детали потом становятся самыми неприятными на проверках и в инцидентах.

Проверьте себя — узнайте шесть типичных ситуаций, в которых организации чаще всего ошибаются именно потому, что были уверены в стабильности.

Практический разбор подготовил Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ.

Возможно, в одном из этих сценариев вы узнаете и свою ситуацию.

Получить материал можно ➡️ здесь.

🔉Вебинар-практикум «Безопасность КИИ: от требований регулятора до реальной защиты»

Программа:

➤ Разбор ошибок на реальных примерах
Ситуации из проектов ОПК, ракетно-космической отрасли, ИБ-интегратора. Если у вас есть кейс, в котором нужна экспертная оценка или практический совет — заполните анонимную форму.

➤ Регуляторика и контекст
Постепенное усиление требований к мониторингу ИБ, анализу защищенности и импортонезависимости. Что уже работает, а что еще движется.

➤ Новые угрозы и технологии
Атаки на цепочку поставок, IoT, open source, ИИ. Архитектура нулевого доверия, SOAR. Что это значит для защиты КИИ в 2026.

🕔 Вебинар состоится 29 апреля в 12:00 (МСК)

🎤 Эксперт: Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ. Более 10 лет в ИБ.

🔗 Вебинар бесплатный, но для участия необходима предварительная регистрация.

53% уязвимостей на внешнем периметре — критические и высокого уровня

Команда ScanFactory проанализировала 246 проектов по оценке защищенности компаний из 18 отраслей за 2022–2025 годы.

Что показали данные:
• 20% — критический уровень (недопустимое событие, возможна компроментация инфраструктуры)
• 33% — высокого уровня (серьёзный риск взлома)
• 47% уязвимостей — среднего уровня
• Более 70% проблем — это базовые ошибки (конфигурация, доступы, аутентификация)

Что происходит в отраслях:
— Самая высокая плотность критических уязвимостей: образование, госсектор, энергетика
— Больше всего уязвимостей: ИТ, e-commerce, логистика

В исследовании — реальные кейсы атак, где «средние» проблемы складываются в RCE, а также разбор самых частых уязвимостей и рекомендации по их устранению.

🤌 Скачать полный отчет по ссылке

Реклама. ООО "СКАНФЭКТОРИ". ИНН 7727458406. erid:2W5zFGL2sZ3

Продюсер Код ИБ Ольга Поздняк — в рейтинге «Топ-100 ИТ-лидеров» 🚀

Достижения:
➤ Создала самое крупное в стране сообщество профессионалов в сфере кибербезопасности Код ИБ
➤ Организовала больше 1000 онлайн- и офлайн-мероприятий по ИТ и ИБ
➤ Записала 100+ интервью со значимыми персонами из мира ИТ и ИБ
➤ Провела 50+ встреч со студентами ИБ-специальностей
➤ Вошла в ТОП-5 медийных персон в сфере кибербезопасности по мнению участников российского ИБ-сообщества

Голосуйте за Ольгу — это простой способ поддержать ее и поблагодарить за вклад в развитие ИБ-сообщества в России 🫶🏻

Динамика ИТ-зарплат. Q1 2026

🧒 Рынок окончательно развернулся в сторону работодателя. Разрыв между спросом и предложением — пропасть —индекс hh — 22,9!

🧒 Высокая ставка делает капитал дорогим. Работодатели прибегают не только к прямым увольнениям, но и к скрытым методам (неполный рабочий день, неоплачиваемый отпуск, перераспределение обязанностей внутри команд). Основные причины — избыточный найм в предыдущие года и дефицит бюджета

🧒 При этом происходит рост количества ИТ-компаний. В 2025 году зарегистрировано 54 000 новых ИТ-компаний (+17% к предыдущему году). Одновременно рекордный уровень ликвидации — 31 500 тысяч компаний! (+14% к предыдущему году)

🧒 ИИ — главная точка напряжения, количество вакансий с требованиями о наличии навыков работы с ИИ достигло более 10 тысяч (+15% к предыдущему году). При этом ИИ в компаниях перестал быть инструментом роста, а стал инструментом оптимизации

🧒 Рынок сужает вилки зарплат. Падение по соотношению к 3 кварталу 2025 почти 6%. Медианная зарплата ИТ-специалиста за полгода потеряла 20 000 рублей. Сильнее всего зарплаты упали у Lead Data Scientist (-115 000 руб.) и Senior Data Scientist (-85 000 руб.). Без изменений зарплаты специалистов по безопасной разработке ПО: lead — 450 тыс.руб., senior — 380 тыс.руб.

#рынок

🧍‍♂️ BESSEC {X} | 📲 MAX

ИИ-агенты в жизни: кейсы, которые начинают повторяться #опытэкспертов

✏️ Материал подготовил Денис Батранков, эксперт по кибербезопасности и автор Telegram-канала «Топ кибербезопасности Батранкова».

ИИ-агенты получили права на продакшен-инфраструктуру. Некоторые компании уже сообщили проблемах с агентами. Без драматизации: факты 2025–2026 года.

⏩ Агент остановил сервис

Amazon, декабрь 2025. Агент автоматически удалил и пересоздал среду AWS. Итог — 13 часов недоступности в китайском регионе. Агент действовал в рамках выданных прав. Никто не закладывал сценарий «пересоздать среду», но никто и не запрещал.

Amazon, март 2026. Другая команда, другой инцидент. ИИ-инструмент при деплое положил платформу по всей Северной Америке на шесть часов. Потери — около 6,3 миллиона заказов.

Везде агент что-то решил без понимания контекста.

Запрещенная в России соцсеть, декабрь 2025. Агент удалил более 200 рабочих писем директора по ИИ-безопасности — безвозвратно. Месяц спустя другой агент опубликовал некорректные инструкции и открыл несанкционированный доступ к внутреннему коду на два часа. Оба раза — в рамках прав, которые ему дали.

⏩ Данные исчезли навсегда

DataTalks.Club, март 2026. Claude Code работал с файлами состояний Terraform и в какой-то момент запустил terraform destroy — без предупреждения, без подтверждения. Уничтожена вся продакшен-инфраструктура вместе с резервными копиями. Данные 100 тысяч студентов за два с половиной года — исчезли. Платформа не восстановилась. Источник: Tom's Hardware.

SaaStr, июль 2025. Агент на базе Replit нарушил выставленный командой режим code freeze и полностью стёр рабочую базу данных. Ограничение было задано — агент не интерпретировал его как запрет на опасные операции. Источник: The Register.

Gemini CLI, 2026. Ошибка в логике файловых операций: команда перемещения зациклилась в несуществующую директорию. Весь проект уничтожен безвозвратно. Механизма отката не было.

⏩ Небезопасный код — сразу в прод

Orchids, февраль 2026. Платформа содержала zero-click RCE-уязвимость — никакого взаимодействия с пользователем не нужно. Во время прямого эфира BBC исследователь в реальном времени взломал ноутбук репортёра.

Moltbook, февраль 2026. Некорректно настроенное хранилище в сгенерированном коде — утекли 1,5 миллиона токенов авторизации и 35 тысяч email-адресов.

Tea, июль 2025. Открытый Firebase-бакет слил 72 тысячи изображений и 1,1 миллиона личных сообщений пользователей.

Lovable (CVE-2025-48757), май 2025. Отсутствие row-level security оставило без защиты данных более 170 работающих приложений на платформе. Пользователи не знали. Разработчики тоже.

Enrichlead. Стартап закрылся полностью. Код работал — вся логика безопасности была вынесена на сторону клиента. Никто не проверил.

⏩ Supply chain: отдельная боль

ИИ регулярно генерирует зависимости, которых не существует. Злоумышленники мониторят такие галлюцинации и регистрируют пакеты в npm и PyPI заранее.

Только в период август–октябрь 2025 года зафиксировано 126 вредоносных npm-пакетов по этой схеме — более 86 тысяч скачиваний, кража учётных данных. Источник: Aikido Security.

Команда Databricks Red Team попросила Claude написать игру. Получилась рабочая игра с критической RCE-уязвимостью через небезопасную сериализацию pickle.

⏩ Почему это происходит

Агент не знает, где у вас прод, а где тест. У него нет модели угроз вашей инфраструктуры. Он не понимает, что terraform destroy в вашем случае означает конец бизнеса. Он оптимизируется под выполнение задачи — не под понимание последствий.

Агент действует в рамках выданных прав. Именно поэтому права имеют значение. Принцип минимальных привилегий уже не формальность из учебника.

Границы между dev, test и prod размываются быстрее, чем команда успевает выстроить контроли.

Это не аргумент против агентов. Это аргумент за то, чтобы в вашем процессе стоял человек, который понимает, что происходит и что агенту запрещено делать в любом случае. Откуда я все это знаю? Отсюда