Forwarded from Б-152: защита персональных данных
ВЕБИНАР С ГРЧЦ, КОТОРЫЙ ВЫ НЕ МОЖЕТЕ ПРОПУСТИТЬ!
КАК ПОДГОТОВИТЬ САЙТ И КОМПАНИЮ К ВЗАИМОДЕЙСТВИЮ С РОСКОМНАДЗОРОМ🤒
Бесплатный вебинар для операторов персональных данных.
Вместе с Екатериной Ефимовой - руководителем направления ПДн в ГРЧЦ, разберем программу профилактики РКН на 2026 год, автоматизированный мониторинг сайтов и практические шаги по приведению документации в порядок.
21 апреля, в 12:00 мск.
Онлайн, бесплатно, 60–90 минут с ответами на вопросы⭐️
РЕГИСТРАЦИЯ НА ВЕБИНАР
В декабре 2025 года Роскомнадзор утвердил Программу профилактики рисков на 2026 год и расширил перечень организаций для профилактических мероприятий. Одновременно регулятор ведет автоматизированный мониторинг сайтов — система фиксирует нарушения без визита инспектора.
Многие воспринимают профилактический визит как сигнал тревоги. На практике это возможность привести процессы в соответствие с законом до того, как придет штраф.
На вебинаре объясним, как это работает и что нужно сделать прямо сейчас.
О ЧЕМ ПОГОВОРИМ:
1️⃣ Профилактика — новый приоритет надзора
Почему РКН делает ставку на профилактику, кто попал в перечень на 2026 год и чем профилактический визит отличается от плановой проверки.
2️⃣ Как РКН проверяет сайты
Что видит система автоматизированного мониторинга, какие нарушения встречаются чаще всего и что делать, если на сайте используются иностранные сервисы.
3️⃣ Практический чек-лист
Минимальный набор документов и мер по 152-ФЗ, как обновить уведомление в реестре РКН и как применять принцип data-минимализма на практике.
4️⃣ Ответы на вопросы
ВЕБИНАР БУДЕТ ПОЛЕЗЕН, ЕСЛИ ВЫ:
🔵 Отвечаете за обработку персональных данных в компании или выполняете функции DPO;
🔵 Юрист, которому нужны практические ориентиры по 152-ФЗ;
🔵 Руководитель малого или среднего бизнеса и хотите понять, что реально требует регулятор.
РЕГИСТРИРУЙТЕСЬ НА ВЕБИНАР
😎
КАК ПОДГОТОВИТЬ САЙТ И КОМПАНИЮ К ВЗАИМОДЕЙСТВИЮ С РОСКОМНАДЗОРОМ
Бесплатный вебинар для операторов персональных данных.
Вместе с Екатериной Ефимовой - руководителем направления ПДн в ГРЧЦ, разберем программу профилактики РКН на 2026 год, автоматизированный мониторинг сайтов и практические шаги по приведению документации в порядок.
21 апреля, в 12:00 мск.
Онлайн, бесплатно, 60–90 минут с ответами на вопросы
РЕГИСТРАЦИЯ НА ВЕБИНАР
В декабре 2025 года Роскомнадзор утвердил Программу профилактики рисков на 2026 год и расширил перечень организаций для профилактических мероприятий. Одновременно регулятор ведет автоматизированный мониторинг сайтов — система фиксирует нарушения без визита инспектора.
Многие воспринимают профилактический визит как сигнал тревоги. На практике это возможность привести процессы в соответствие с законом до того, как придет штраф.
На вебинаре объясним, как это работает и что нужно сделать прямо сейчас.
О ЧЕМ ПОГОВОРИМ:
Почему РКН делает ставку на профилактику, кто попал в перечень на 2026 год и чем профилактический визит отличается от плановой проверки.
Что видит система автоматизированного мониторинга, какие нарушения встречаются чаще всего и что делать, если на сайте используются иностранные сервисы.
Минимальный набор документов и мер по 152-ФЗ, как обновить уведомление в реестре РКН и как применять принцип data-минимализма на практике.
ВЕБИНАР БУДЕТ ПОЛЕЗЕН, ЕСЛИ ВЫ:
РЕГИСТРИРУЙТЕСЬ НА ВЕБИНАР
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Контроль подрядчиков по 117 приказу ФСТЭК #записьвебинара
С 1 марта 2026 года требования к контролю подрядчиков стали обязательной частью политики защиты информации. Согласно статистике, атаки на цепочку поставок составляют порядка 30% всех инцидентов. При этом даже если инцидент произошел по вине подрядной организации, первичную ответственность перед регулятором (включая штрафы за утечку ПДн от 3 до 5 млн рублей) несет заказчик.
В эфире эксперты рассказали, как выстроить безопасное взаимодействие с подрядчиками и избежать штрафов.
Смотреть запись
😄 ВК | 🥰 RuTube |😉 YouTube
📌 Тезисы эфира
Как переложить риски на подрядчика
Правило «золотой середины» в требованиях
Три маркера опасного подрядчика
Что важно для подрядчиков
Мы оперативно публикуем в группе ВК записи всех эфиров Код ИБ. Подписывайтесь, чтобы не пропустить новые видео!
Мы в MAX | Мы в ВК
С 1 марта 2026 года требования к контролю подрядчиков стали обязательной частью политики защиты информации. Согласно статистике, атаки на цепочку поставок составляют порядка 30% всех инцидентов. При этом даже если инцидент произошел по вине подрядной организации, первичную ответственность перед регулятором (включая штрафы за утечку ПДн от 3 до 5 млн рублей) несет заказчик.
В эфире эксперты рассказали, как выстроить безопасное взаимодействие с подрядчиками и избежать штрафов.
Смотреть запись
Как переложить риски на подрядчика
Чтобы иметь возможность взыскать ущерб, необходимо прописать в договоре три условия. Во-первых, включить статью 406.1 Гражданского кодекса. Во-вторых, четко описать события и инциденты, наступающие по вине подрядчика. В-третьих, обеспечить возможность доказать, что инцидент произошел именно по вине третьей стороны. Право на аудит и обязательство уведомлять об инцидентах (в течение 3 часов) работают как «DLP»: даже неиспользуемое право отсеивает недобросовестных исполнителей на этапе выбора.
Правило «золотой середины» в требованиях
Заказчикам не следует требовать от подрядчика аттестации по высокому классу, если это небольшой локальный проект. Такой подход резко удорожает контракт и сужает круг потенциальных исполнителей. Лучше сконцентрироваться на конкретных мерах: регламентировать удаленный доступ (через сертифицированные СЗИ), контролируемую зону доступа и мониторинг действий, а не требовать от подрядчика полной аттестации всей его инфраструктуры.
Три маркера опасного подрядчика
При сборе коммерческих предложений стоит обращать внимание на поведение. Первый маркер — навязывание своих инструментов удаленного доступа. Второй и самый критичный — просьба использовать одну учетную запись на всю команду. Это лишает возможности идентифицировать конкретного виновного. Третий маркер — отказ предоставлять логи и артефакты о проделанной работе или отсутствии инцидентов.
Что важно для подрядчиков
Для соответствия требованиям заказчиков подрядчикам необходимо внедрить базовые процессы. Это назначение ответственного за ИБ, обеспечение прозрачности и готовности предоставлять информацию по запросу, а также использование технологической защиты (минимум — антивирусы и EDR-агенты). Критическим риском для подрядчика является попадание в реестр недобросовестных поставщиков по 44-ФЗ или 223-ФЗ, что для лицензируемой деятельности фактически означает закрытие бизнеса.
Мы оперативно публикуем в группе ВК записи всех эфиров Код ИБ. Подписывайтесь, чтобы не пропустить новые видео!
Мы в MAX | Мы в ВК
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2
«У нас с КИИ всё нормально» или почему это не так
Вы уверены, что ваша система защиты КИИ выстроена надежно?
Документы в порядке. Отчёты готовы. Комиссия есть. Кажется, что проблем нет. А разрыв между выполненными требованиями и реальной защитой только растёт:
*️⃣ Что-то не попало в модель угроз;
*️⃣ Права доступа живут отдельно от реальных ролей сотрудников;
*️⃣ Часть инфраструктуры работает «временным решением» уже несколько лет.
Именно такие детали потом становятся самыми неприятными на проверках и в инцидентах.
Проверьте себя — узнайте шесть типичных ситуаций, в которых организации чаще всего ошибаются именно потому, что были уверены в стабильности.
Практический разбор подготовил Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ.
Возможно, в одном из этих сценариев вы узнаете и свою ситуацию.
Получить материал можно➡️ здесь.
Вы уверены, что ваша система защиты КИИ выстроена надежно?
Документы в порядке. Отчёты готовы. Комиссия есть. Кажется, что проблем нет. А разрыв между выполненными требованиями и реальной защитой только растёт:
Именно такие детали потом становятся самыми неприятными на проверках и в инцидентах.
Проверьте себя — узнайте шесть типичных ситуаций, в которых организации чаще всего ошибаются именно потому, что были уверены в стабильности.
Практический разбор подготовил Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ.
Возможно, в одном из этих сценариев вы узнаете и свою ситуацию.
Получить материал можно
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3❤🔥1
Что говорят те, кто побывал на интенсиве в Дагестане? Делимся отзывами участников — почувствуйте особенное настроение ПРОФИ 🏔💫
Осенью повторим наше яркое приключение. Фиксируйте даты, чтобы точно не пропустить:
10-13 сентября 2026 | Код ИБ ПРОФИ в Сочи
Присоединяйтесь к самому дружному ИБ-комьюнити!
#ИБнужныПРОФИ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥2
ГОСТ Р 72514-2026: Новый стандарт оценки воздействия ИИ
С 1 мая 2026 года в России вводится в действие важный документ для индустрии — национальный стандарт ГОСТ Р 72514-2026 «Искусственный интеллект. Оценка воздействия системы искусственного интеллекта».
Этот стандарт — руководство по созданию прозрачных и заслуживающих доверия систем. Он представляет собой модифицированную версию международного стандарта ISO/IEC 42005:2025, адаптированную под российские реалии и технологии.
🔍 Что внутри?
— Оценка воздействия (AI system impact assessment) теперь определяется как задокументированный процесс выявления и оценки влияния ИИ на людей и социальные группы.
— Стандарт устанавливает, как и когда проводить такие оценки на разных стадиях жизни системы — от проектирования до развертывания.
— Процесс должен быть бесшовно встроен в общую систему менеджмента ИИ (ГОСТ Р ИСО/МЭК 42001) и управление рисками организации.
— Особое внимание уделяется «высокорисковому» (sensitive use) и «ограниченному» использованию систем, которые могут оказать значительное влияние на права человека или финансовое положение.
🛠 Стандарт требует детального документирования:
— Качества данных (включая проверку на нежелательную предвзятость).
— Параметров алгоритмов и моделей.
— Среды развертывания, включая географический и культурный контекст.
— Таксономии вреда и пользы: от прозрачности и объяснимости до экологической устойчивости.
Стандарт актуален для любых организаций, которые разрабатывают или используют ИИ, независимо от их масштаба. Внедрение этого стандарта помогает не только соблюдать требования, но и управлять ожиданиями заинтересованных сторон.
✏️ Материал подготовил Алексей Мунтян, управляющий партнер в компании Privacy Advocates.
#опытэкспертов
С 1 мая 2026 года в России вводится в действие важный документ для индустрии — национальный стандарт ГОСТ Р 72514-2026 «Искусственный интеллект. Оценка воздействия системы искусственного интеллекта».
Этот стандарт — руководство по созданию прозрачных и заслуживающих доверия систем. Он представляет собой модифицированную версию международного стандарта ISO/IEC 42005:2025, адаптированную под российские реалии и технологии.
🔍 Что внутри?
— Оценка воздействия (AI system impact assessment) теперь определяется как задокументированный процесс выявления и оценки влияния ИИ на людей и социальные группы.
— Стандарт устанавливает, как и когда проводить такие оценки на разных стадиях жизни системы — от проектирования до развертывания.
— Процесс должен быть бесшовно встроен в общую систему менеджмента ИИ (ГОСТ Р ИСО/МЭК 42001) и управление рисками организации.
— Особое внимание уделяется «высокорисковому» (sensitive use) и «ограниченному» использованию систем, которые могут оказать значительное влияние на права человека или финансовое положение.
🛠 Стандарт требует детального документирования:
— Качества данных (включая проверку на нежелательную предвзятость).
— Параметров алгоритмов и моделей.
— Среды развертывания, включая географический и культурный контекст.
— Таксономии вреда и пользы: от прозрачности и объяснимости до экологической устойчивости.
Стандарт актуален для любых организаций, которые разрабатывают или используют ИИ, независимо от их масштаба. Внедрение этого стандарта помогает не только соблюдать требования, но и управлять ожиданиями заинтересованных сторон.
✏️ Материал подготовил Алексей Мунтян, управляющий партнер в компании Privacy Advocates.
#опытэкспертов
👍4❤2
Программа:
➤ Разбор ошибок на реальных примерах
Ситуации из проектов ОПК, ракетно-космической отрасли, ИБ-интегратора. Если у вас есть кейс, в котором нужна экспертная оценка или практический совет — заполните анонимную форму.
➤ Регуляторика и контекст
Постепенное усиление требований к мониторингу ИБ, анализу защищенности и импортонезависимости. Что уже работает, а что еще движется.
➤ Новые угрозы и технологии
Атаки на цепочку поставок, IoT, open source, ИИ. Архитектура нулевого доверия, SOAR. Что это значит для защиты КИИ в 2026.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3🔥3
This media is not supported in your browser
VIEW IN TELEGRAM
53% уязвимостей на внешнем периметре — критические и высокого уровня
Команда ScanFactory проанализировала 246 проектов по оценке защищенности компаний из 18 отраслей за 2022–2025 годы.
Что показали данные:
• 20% — критический уровень (недопустимое событие, возможна компроментация инфраструктуры)
• 33% — высокого уровня (серьёзный риск взлома)
• 47% уязвимостей — среднего уровня
• Более 70% проблем — это базовые ошибки (конфигурация, доступы, аутентификация)
Что происходит в отраслях:
— Самая высокая плотность критических уязвимостей: образование, госсектор, энергетика
— Больше всего уязвимостей: ИТ, e-commerce, логистика
В исследовании — реальные кейсы атак, где «средние» проблемы складываются в RCE, а также разбор самых частых уязвимостей и рекомендации по их устранению.
🤌 Скачать полный отчет по ссылке
Реклама. ООО "СКАНФЭКТОРИ". ИНН 7727458406. erid:2W5zFGL2sZ3
Команда ScanFactory проанализировала 246 проектов по оценке защищенности компаний из 18 отраслей за 2022–2025 годы.
Что показали данные:
• 20% — критический уровень (недопустимое событие, возможна компроментация инфраструктуры)
• 33% — высокого уровня (серьёзный риск взлома)
• 47% уязвимостей — среднего уровня
• Более 70% проблем — это базовые ошибки (конфигурация, доступы, аутентификация)
Что происходит в отраслях:
— Самая высокая плотность критических уязвимостей: образование, госсектор, энергетика
— Больше всего уязвимостей: ИТ, e-commerce, логистика
В исследовании — реальные кейсы атак, где «средние» проблемы складываются в RCE, а также разбор самых частых уязвимостей и рекомендации по их устранению.
Реклама. ООО "СКАНФЭКТОРИ". ИНН 7727458406. erid:2W5zFGL2sZ3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍1
Продюсер Код ИБ Ольга Поздняк — в рейтинге «Топ-100 ИТ-лидеров» 🚀
Достижения:
➤ Создала самое крупное в стране сообщество профессионалов в сфере кибербезопасности Код ИБ
➤ Организовала больше 1000 онлайн- и офлайн-мероприятий по ИТ и ИБ
➤ Записала 100+ интервью со значимыми персонами из мира ИТ и ИБ
➤ Провела 50+ встреч со студентами ИБ-специальностей
➤ Вошла в ТОП-5 медийных персон в сфере кибербезопасности по мнению участников российского ИБ-сообщества
Голосуйте за Ольгу — это простой способ поддержать ее и поблагодарить за вклад в развитие ИБ-сообщества в России 🫶🏻
Достижения:
➤ Создала самое крупное в стране сообщество профессионалов в сфере кибербезопасности Код ИБ
➤ Организовала больше 1000 онлайн- и офлайн-мероприятий по ИТ и ИБ
➤ Записала 100+ интервью со значимыми персонами из мира ИТ и ИБ
➤ Провела 50+ встреч со студентами ИБ-специальностей
➤ Вошла в ТОП-5 медийных персон в сфере кибербезопасности по мнению участников российского ИБ-сообщества
Голосуйте за Ольгу — это простой способ поддержать ее и поблагодарить за вклад в развитие ИБ-сообщества в России 🫶🏻
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🏆3👍1
Forwarded from BESSEC {X}
Динамика ИТ-зарплат. Q1 2026
🧒 Рынок окончательно развернулся в сторону работодателя. Разрыв между спросом и предложением — пропасть —индекс hh — 22,9!
🧒 Высокая ставка делает капитал дорогим. Работодатели прибегают не только к прямым увольнениям, но и к скрытым методам (неполный рабочий день, неоплачиваемый отпуск, перераспределение обязанностей внутри команд). Основные причины — избыточный найм в предыдущие года и дефицит бюджета
🧒 При этом происходит рост количества ИТ-компаний. В 2025 году зарегистрировано 54 000 новых ИТ-компаний (+17% к предыдущему году). Одновременно рекордный уровень ликвидации — 31 500 тысяч компаний! (+14% к предыдущему году)
🧒 ИИ — главная точка напряжения, количество вакансий с требованиями о наличии навыков работы с ИИ достигло более 10 тысяч (+15% к предыдущему году). При этом ИИ в компаниях перестал быть инструментом роста, а стал инструментом оптимизации
🧒 Рынок сужает вилки зарплат. Падение по соотношению к 3 кварталу 2025 почти 6%. Медианная зарплата ИТ-специалиста за полгода потеряла 20 000 рублей. Сильнее всего зарплаты упали у Lead Data Scientist (-115 000 руб.) и Senior Data Scientist (-85 000 руб.). Без изменений зарплаты специалистов по безопасной разработке ПО: lead — 450 тыс.руб., senior — 380 тыс.руб.
#рынок
🧍♂️ BESSEC {X} | 📲 MAX
#рынок
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍1
ИИ-агенты в жизни: кейсы, которые начинают повторяться #опытэкспертов
✏️ Материал подготовил Денис Батранков, эксперт по кибербезопасности и автор Telegram-канала «Топ кибербезопасности Батранкова».
ИИ-агенты получили права на продакшен-инфраструктуру. Некоторые компании уже сообщили проблемах с агентами. Без драматизации: факты 2025–2026 года.
⏩ Агент остановил сервис
Amazon, декабрь 2025. Агент автоматически удалил и пересоздал среду AWS. Итог — 13 часов недоступности в китайском регионе. Агент действовал в рамках выданных прав. Никто не закладывал сценарий «пересоздать среду», но никто и не запрещал.
Amazon, март 2026. Другая команда, другой инцидент. ИИ-инструмент при деплое положил платформу по всей Северной Америке на шесть часов. Потери — около 6,3 миллиона заказов.
Везде агент что-то решил без понимания контекста.
Запрещенная в России соцсеть, декабрь 2025. Агент удалил более 200 рабочих писем директора по ИИ-безопасности — безвозвратно. Месяц спустя другой агент опубликовал некорректные инструкции и открыл несанкционированный доступ к внутреннему коду на два часа. Оба раза — в рамках прав, которые ему дали.
⏩ Данные исчезли навсегда
DataTalks.Club, март 2026. Claude Code работал с файлами состояний Terraform и в какой-то момент запустил terraform destroy — без предупреждения, без подтверждения. Уничтожена вся продакшен-инфраструктура вместе с резервными копиями. Данные 100 тысяч студентов за два с половиной года — исчезли. Платформа не восстановилась. Источник: Tom's Hardware.
SaaStr, июль 2025. Агент на базе Replit нарушил выставленный командой режим code freeze и полностью стёр рабочую базу данных. Ограничение было задано — агент не интерпретировал его как запрет на опасные операции. Источник: The Register.
Gemini CLI, 2026. Ошибка в логике файловых операций: команда перемещения зациклилась в несуществующую директорию. Весь проект уничтожен безвозвратно. Механизма отката не было.
⏩ Небезопасный код — сразу в прод
Orchids, февраль 2026. Платформа содержала zero-click RCE-уязвимость — никакого взаимодействия с пользователем не нужно. Во время прямого эфира BBC исследователь в реальном времени взломал ноутбук репортёра.
Moltbook, февраль 2026. Некорректно настроенное хранилище в сгенерированном коде — утекли 1,5 миллиона токенов авторизации и 35 тысяч email-адресов.
Tea, июль 2025. Открытый Firebase-бакет слил 72 тысячи изображений и 1,1 миллиона личных сообщений пользователей.
Lovable (CVE-2025-48757), май 2025. Отсутствие row-level security оставило без защиты данных более 170 работающих приложений на платформе. Пользователи не знали. Разработчики тоже.
Enrichlead. Стартап закрылся полностью. Код работал — вся логика безопасности была вынесена на сторону клиента. Никто не проверил.
⏩ Supply chain: отдельная боль
ИИ регулярно генерирует зависимости, которых не существует. Злоумышленники мониторят такие галлюцинации и регистрируют пакеты в npm и PyPI заранее.
Только в период август–октябрь 2025 года зафиксировано 126 вредоносных npm-пакетов по этой схеме — более 86 тысяч скачиваний, кража учётных данных. Источник: Aikido Security.
Команда Databricks Red Team попросила Claude написать игру. Получилась рабочая игра с критической RCE-уязвимостью через небезопасную сериализацию pickle.
⏩ Почему это происходит
Агент не знает, где у вас прод, а где тест. У него нет модели угроз вашей инфраструктуры. Он не понимает, что terraform destroy в вашем случае означает конец бизнеса. Он оптимизируется под выполнение задачи — не под понимание последствий.
Агент действует в рамках выданных прав. Именно поэтому права имеют значение. Принцип минимальных привилегий уже не формальность из учебника.
Границы между dev, test и prod размываются быстрее, чем команда успевает выстроить контроли.
ИИ-агенты получили права на продакшен-инфраструктуру. Некоторые компании уже сообщили проблемах с агентами. Без драматизации: факты 2025–2026 года.
Amazon, декабрь 2025. Агент автоматически удалил и пересоздал среду AWS. Итог — 13 часов недоступности в китайском регионе. Агент действовал в рамках выданных прав. Никто не закладывал сценарий «пересоздать среду», но никто и не запрещал.
Amazon, март 2026. Другая команда, другой инцидент. ИИ-инструмент при деплое положил платформу по всей Северной Америке на шесть часов. Потери — около 6,3 миллиона заказов.
Везде агент что-то решил без понимания контекста.
Запрещенная в России соцсеть, декабрь 2025. Агент удалил более 200 рабочих писем директора по ИИ-безопасности — безвозвратно. Месяц спустя другой агент опубликовал некорректные инструкции и открыл несанкционированный доступ к внутреннему коду на два часа. Оба раза — в рамках прав, которые ему дали.
DataTalks.Club, март 2026. Claude Code работал с файлами состояний Terraform и в какой-то момент запустил terraform destroy — без предупреждения, без подтверждения. Уничтожена вся продакшен-инфраструктура вместе с резервными копиями. Данные 100 тысяч студентов за два с половиной года — исчезли. Платформа не восстановилась. Источник: Tom's Hardware.
SaaStr, июль 2025. Агент на базе Replit нарушил выставленный командой режим code freeze и полностью стёр рабочую базу данных. Ограничение было задано — агент не интерпретировал его как запрет на опасные операции. Источник: The Register.
Gemini CLI, 2026. Ошибка в логике файловых операций: команда перемещения зациклилась в несуществующую директорию. Весь проект уничтожен безвозвратно. Механизма отката не было.
Orchids, февраль 2026. Платформа содержала zero-click RCE-уязвимость — никакого взаимодействия с пользователем не нужно. Во время прямого эфира BBC исследователь в реальном времени взломал ноутбук репортёра.
Moltbook, февраль 2026. Некорректно настроенное хранилище в сгенерированном коде — утекли 1,5 миллиона токенов авторизации и 35 тысяч email-адресов.
Tea, июль 2025. Открытый Firebase-бакет слил 72 тысячи изображений и 1,1 миллиона личных сообщений пользователей.
Lovable (CVE-2025-48757), май 2025. Отсутствие row-level security оставило без защиты данных более 170 работающих приложений на платформе. Пользователи не знали. Разработчики тоже.
Enrichlead. Стартап закрылся полностью. Код работал — вся логика безопасности была вынесена на сторону клиента. Никто не проверил.
ИИ регулярно генерирует зависимости, которых не существует. Злоумышленники мониторят такие галлюцинации и регистрируют пакеты в npm и PyPI заранее.
Только в период август–октябрь 2025 года зафиксировано 126 вредоносных npm-пакетов по этой схеме — более 86 тысяч скачиваний, кража учётных данных. Источник: Aikido Security.
Команда Databricks Red Team попросила Claude написать игру. Получилась рабочая игра с критической RCE-уязвимостью через небезопасную сериализацию pickle.
Агент не знает, где у вас прод, а где тест. У него нет модели угроз вашей инфраструктуры. Он не понимает, что terraform destroy в вашем случае означает конец бизнеса. Он оптимизируется под выполнение задачи — не под понимание последствий.
Агент действует в рамках выданных прав. Именно поэтому права имеют значение. Принцип минимальных привилегий уже не формальность из учебника.
Границы между dev, test и prod размываются быстрее, чем команда успевает выстроить контроли.
Это не аргумент против агентов. Это аргумент за то, чтобы в вашем процессе стоял человек, который понимает, что происходит и что агенту запрещено делать в любом случае. Откуда я все это знаю? Отсюда
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥1
Forwarded from ИТ на "Халяву"
📣 ИБ в "Законе"
Как отследить требования регуляторов по информационной безопасности?
⚡ Каждый день на канале:
🔹 информация об опубликованных правовых актах;
🔹 информация о подготовке проектов НПА и стадиях законодательного процесса;
🔹 информация о стандартах;
🔹 официальные информационные сообщения регуляторов информационной безопасности;
🔹 информирование об исторических событиях в сфере ИБ и ИТ.
🔹 Бесплатно скачать книгу "Законодательная база. Информационная безопасность" (в закрепленном посте канала)
Присоединится к каналу 👉 ИБ в "Законе"
Как отследить требования регуляторов по информационной безопасности?
⚡ Каждый день на канале:
🔹 информация об опубликованных правовых актах;
🔹 информация о подготовке проектов НПА и стадиях законодательного процесса;
🔹 информация о стандартах;
🔹 официальные информационные сообщения регуляторов информационной безопасности;
🔹 информирование об исторических событиях в сфере ИБ и ИТ.
🔹 Бесплатно скачать книгу "Законодательная база. Информационная безопасность" (в закрепленном посте канала)
Присоединится к каналу 👉 ИБ в "Законе"
❤2
Международная конференция по кибербезопасности, ИИ и облачным технологиям в Ташкенте
🗓 21 мая | Начало в 9:30
📍 Офис Uztelecom, ул. Муминова, 4/2
В программе:
🟡 Совет CISO
Дискуссия директоров по ИБ ключевых компании региона. Поговорим о том, как они выстраивают процессы, по каким принципам выбирают средства защиты, как реагируют на инциденты, формируют команды и выстраивают диалог с топ-менеджментом.
🟡 Трек «Кибербезопасность»
Ключевые тренды информационной безопасности, практические кейсы, передовые решения и инструменты обеспечения ИБ от Positive Technologies, Secure-T, АйТи БАСТИОН, АБП2Б и других компаний.
🟡 Трек «Облачные технологии»
Опыт перехода на облачные ресурсы и стратегии обеспечения непрерывности бизнеса от UzCloud, TezBulut и других компаний.
🟡 Трек «Искусственный интеллект»
Применение ИИ в кибербезопасности и автоматизации — кейсы, решения и практика внедрения от экспертов рынка.
🟡 Мастер-класс по расследованию атаки на онлайн-полигоне
Участники разберут реальную хакерскую атаку — от первичного обнаружения следов компрометации до восстановления цепочки действий злоумышленника.
🟡 Startup Alley
5-минутные питчи стартапов с B2B-решениями в сферах речевой аналитики, закупок, финскоринга и автоматизации с применением ИИ.
Участие в конференции бесплатное. Количество мест ограничено — регистрируйтесь уже сейчас!
В программе:
Дискуссия директоров по ИБ ключевых компании региона. Поговорим о том, как они выстраивают процессы, по каким принципам выбирают средства защиты, как реагируют на инциденты, формируют команды и выстраивают диалог с топ-менеджментом.
Ключевые тренды информационной безопасности, практические кейсы, передовые решения и инструменты обеспечения ИБ от Positive Technologies, Secure-T, АйТи БАСТИОН, АБП2Б и других компаний.
Опыт перехода на облачные ресурсы и стратегии обеспечения непрерывности бизнеса от UzCloud, TezBulut и других компаний.
Применение ИИ в кибербезопасности и автоматизации — кейсы, решения и практика внедрения от экспертов рынка.
Участники разберут реальную хакерскую атаку — от первичного обнаружения следов компрометации до восстановления цепочки действий злоумышленника.
5-минутные питчи стартапов с B2B-решениями в сферах речевой аналитики, закупок, финскоринга и автоматизации с применением ИИ.
Участие в конференции бесплатное. Количество мест ограничено — регистрируйтесь уже сейчас!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
Базовые правила работы с конфиденциальной информацией #опытэкспертов
Стикер с паролем на мониторе, случайное письмо не тому адресату или разговор о финансах в такси — звучит как обычный вторник. А потом оказывается, что именно так сливают миллионы.
Алина Ледяева, эксперт StopPhish, подробно разобрала: что считать конфиденциальной информацией, где она прячется и как не превратить свою невнимательность в дорогостоящую ошибку.
Читайте статью на сайте Код ИБ и делитесь информацией с коллегами📌
Мы в MAX | Мы в ВК
Стикер с паролем на мониторе, случайное письмо не тому адресату или разговор о финансах в такси — звучит как обычный вторник. А потом оказывается, что именно так сливают миллионы.
Алина Ледяева, эксперт StopPhish, подробно разобрала: что считать конфиденциальной информацией, где она прячется и как не превратить свою невнимательность в дорогостоящую ошибку.
Читайте статью на сайте Код ИБ и делитесь информацией с коллегами
Мы в MAX | Мы в ВК
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1
⚡️Мы долго собирали IT-каналы вручную. Добавляли, удаляли, снова искали.
В итоге поняли одно: проблема не в каналах. Проблема в том, что хорошие раскиданы, а плохие занимают место.
Сделали IT Base - папку где только то, что реально читаем сами.
Разработка, продукт, стартапы, tech-карьера. Одно касание и вы внутри.
👉🏻 Забирайте
В итоге поняли одно: проблема не в каналах. Проблема в том, что хорошие раскиданы, а плохие занимают место.
Сделали IT Base - папку где только то, что реально читаем сами.
Разработка, продукт, стартапы, tech-карьера. Одно касание и вы внутри.
👉🏻 Забирайте
✍1❤1👍1
Собрали подборку полезных каналов по информационной безопасности — для тех, кто хочет разбираться в уязвимостях, сетях, администрировании и свежих новостях из мира ИБ.
⏺ ZeroDay — Уроки, эксплуатация уязвимостей с нуля
⏺ Белый Хакер — Свежие новости из мира ИБ
⏺ Бункер Хакера — Статьи, книги, шпаргалки и хакинг
⏺ Серверная Админа — Настройка и уроки по компьютерным сетям
🗣 Подписывайтесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👎1
Безопасность КИИ: от требований регулятора до реальной защиты #записьвебинара
C Олегом Графеевым, экспертом по безопасности КИИ, разобрали главные изменения регуляторики (постановление №1762, переход на типовые отраслевые перечни), новые угрозы через подрядчиков, IoT и искусственный интеллект, а также практические инструменты защиты: архитектуру нулевого доверия и SOAR. Отдельно прошлись по типичным ошибкам при работе с объектами КИИ и ответили на острые вопросы участников.
Смотреть запись
😄 ВК | 🥰 RuTube |😉 YouTube
📌 Тезисы эфира
Изменения в регуляторике КИИ: переход на типовые отраслевые перечни
Атаки на цепочку поставок: серая зона безопасности
Новые угрозы: IoT, open source и ИИ
Архитектура нулевого доверия и SOAR как ответ
Типичные ошибки при работе с объектами КИИ
Мы оперативно публикуем в группе ВК записи всех эфиров Код ИБ. Подписывайтесь, чтобы не пропустить новые видео!
Мы в MAX | Мы в ВК
#опытэкспертов
C Олегом Графеевым, экспертом по безопасности КИИ, разобрали главные изменения регуляторики (постановление №1762, переход на типовые отраслевые перечни), новые угрозы через подрядчиков, IoT и искусственный интеллект, а также практические инструменты защиты: архитектуру нулевого доверия и SOAR. Отдельно прошлись по типичным ошибкам при работе с объектами КИИ и ответили на острые вопросы участников.
Смотреть запись
Изменения в регуляторике КИИ: переход на типовые отраслевые перечни
Постановление Правительства №1762 отменяет привязку к критическим процессам субъекта КИИ. Теперь опорой для выделения и категорирования объектов служат типовые отраслевые перечни. Индивидуальные предприниматели выведены из состава субъектов КИИ. Методика ФСТЭК от 11.11.2025 определяет порядок оценки защищенности объектов КИИ и требует направлять результаты оценки в регулятора.
Атаки на цепочку поставок: серая зона безопасности
Поставщик или подрядчик — легитимный пользователь вашей инфраструктуры, но его уровень ИБ часто вне вашего контроля. Примеры: SolarWinds (взлом инфраструктуры IT-подрядчика) и Kaseya VSA (подмена серверов обновлений). Защита: минимизация прав подрядчика, контроль его действий, идентификация рисков в модели угроз, включение требований к пентестам в договоры.
Новые угрозы: IoT, open source и ИИ
Промышленное оборудование, системы видеонаблюдения, медицинские устройства и беспилотники — их атакуют через незащищенные сегменты. Компоненты с открытым кодом могут содержать бэкдоры (пример: Checkmarx KICS — внедрение вредоносного кода через публичный репозиторий). Искусственный интеллект генерирует уникальные фишинговые письма, дипфейки и эксплойты, ускоряя атаки. Не загружайте конфиденциальные данные в публичные чат-боты — они уходят в модель.
Архитектура нулевого доверия и SOAR как ответ
Zero Trust: всегда проверяй, не доверяй никому (человеку, устройству, подрядчику). Принципы коррелируют с требованиями 239 приказа ФСТЭК. SOAR — автоматизация реагирования на инциденты: обогащение данных, блокировка нелегитимных действий, сокращение времени реакции. Покрывает весь раздел управления инцидентами из 239 приказа.
Типичные ошибки при работе с объектами КИИ
1. «У нас нет объектов КИИ»
Очень распространённая ситуация. Убеждение, что КИИ — это только про АСУ ТП. На практике объекты КИИ есть почти у всех. Проблема: вы не защищаете то, что даже не признали объектом КИИ.
2. «Давайте отнесём к КИИ всё»
Другая крайность — перестраховка. Включают то, что не связано с критическими процессами. Перегрузка, потеря управляемости. Система есть, но работать с ней невозможно.
3. Комиссия «для галочки»
Формально создана, но состав и работа не соответствуют требованиям. Поверхностная или некорректная оценка влияния. Ошибки в категории значимости — прямая зона риска.
4. «Инцидент невозможен — у нас есть защита»
Игнорирование требования рассматривать наихудший сценарий — когда СЗИ не сработали. Занижение категории, недооценка рисков.
5. Документы есть, защиты нет
Документы есть, политики есть. Но реальные механизмы защиты не настроены или работают формально. Безопасность только на бумаге.
6. ГосСОПКА как самоцель
Подключение — это лишь один элемент. Не заменяет мониторинг, управление инцидентами и другие меры. Без этого реальной безопасности нет.
Мы оперативно публикуем в группе ВК записи всех эфиров Код ИБ. Подписывайтесь, чтобы не пропустить новые видео!
Мы в MAX | Мы в ВК
#опытэкспертов
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3❤2
Классный розыгрыш книг от нашего партнера Евгения Баклушина 👇🏻