Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

Переглянути

Николаевский Ванёк

Переглянути

Мир сегодня с "Юрий Подоляка"

Переглянути

Труха⚡️Україна

Переглянути

Николаевский Ванёк

Переглянути

Пост Лукацкого

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики.
Канал личный - мой работодатель никак не влияет на то, что здесь публикуется.
Рекламу не размещаю!!!

Рейтинг TGlist

ТипПублічний

Верифікація

Не верифікований

Довіреність

Не надійний

РозташуванняРосія

МоваІнша

Дата створення каналуЛип 31, 2017

Додано до TGlist

Січ 31, 2025

Я власник каналу

Історія змін

Прикріплена група

Дискуссии у Лукацкого

112

Статистика Телеграм-каналу Пост Лукацкого

Детальніше

Підписників

29 467

24 год.

130%Тиждень

1230.4%Місяць

5401.9%

Індекс цитування

0

Згадок2Репостів на каналах0Згадок на каналах2

Середнє охоплення 1 допису

4 869

12 год.3 9670%24 год.4 8690%48 год.6 0970%

Залученість (ER)

1.07%

Репостів52Коментарів0Реакцій39

Залученість за охопленням (ERR)

16.53%

24 год.0%Тиждень

0.61%Місяць

3.88%

Охоплення 1 рекл. допису

4 869

1 год.1 35727.87%1 – 4 год.00%4 - 24 год.1 86938.39%

Детальніше

Під'єднайте нашого бота до каналу і дізнайтеся стать аудиторії цього каналу.

Всього дописів за 24 години

4

Динаміка

Останні публікації в групі "Пост Лукацкого"

Всі дописи

17.04.202509:26

Нет-нет, да и да! 😈 Так я бы охарактеризовал свое отношение к занятиям нормативкой по ИБ, от которых я отошел последние 3 года, но к которым иногда возвращаюсь. Вот и на этот раз, в преддверие питерского "Киберконтура 2025" я написал статью о трех основных новеллах российского ИБ-законодательства, которые будут влиять на рынок 🤨 И нет, речь не об оборотных штрафах, а законе о борьбе с кибермошенничеством, поправках в ФЗ-187 о безопасности КИИ и о новой редакции 17-го приказа.

#статья #регулирование

17.04.202504:40

Устрою сегодня день своих статей. Начну с советов для ИБ-шников на непростой 2025 год, чтобы не пришлось становиться управдомом 🗑 А если серьезно: что приготовил нам этот год и как именно можно показать ценность своей работы для работодателя. Этот материал был опубликован в свежевышедшем Positive Research. Рекомендую найти бумажную версию - она прям огонь по оформлению и наполнению 🔥

#статья #тенденции #карьера

16.04.202517:45

Пентестерам предлагают 100 тысяч американских, мать его, долларов в месяц... 🤩 Что за разводняк на ровном месте?.. Хотя может это я ни разу не дошел в дискуссиях с аналогичными предложениями (тут и тут) до обсуждения цены?.. 🤥

С другой стороны там написано "до 100 тысяч"... 🤔 Так-то и 100 долларов попадает в этот диапазон.

#хакеры #оценказащищенности #пентест

16.04.202513:30

7 апреля 2025 года. Российская полиция 🇷🇺 проводит масштабную операцию сразу в 11 регионах. Даже после поверхностного анализа изъятых вещественные доказательства, среди которых стопки сим-карт, сотни маленьких антенн и десятки метров проводов, становится понятно: задержанные – участники разветвленной сети украинских кибермошенников 🥷 Чаще всего личные данные будущих жертв им поставляют хакеры. Под их прицелом - сайт Госуслуг, мобильные приложения банков, транспортные сервисы, даже аптечные сети и медицинские центры 🖥

Попытки проникновения в закрытые сети критически важных объектов на территории нашей страны 🏭 активизировались с самого начала специальной военной операции. Для кибер-терроризма подготовлены хорошо оснащенные техническая платформа и персонал 💻

Как именно и откуда совершаются атаки на российскую инфраструктуру? Кто стоит во главе хакеров и кому они на самом деле подчиняются? 🤔 В выпуске программы «Секретные материалы» с Андреем Луговым - эксклюзивные детали архитектуры кибер-сообщества от тех, кто с полным правом может считать себя его частью 😂

Сегодня, 16 апреля, в 20.10 по московскому времени на телеканале «Звезда» (можно будет смотреть через Интернет).

#хакеры #кино

Переслав з:

Positive Technologies

16.04.202509:19

🐈‍⬛ Подрядчики на аутсорсе — удобно, быстро, выгодно. Но стоит одному из них допустить ошибку — и ваша безопасность под угрозой.

На вебинаре 18 апреля в 14:00 Алексей Лукацкий расскажет, как защитить свой бизнес от таких рисков.

🕳 Поговорим про очевидные и неочевидные дыры, которые можно обнаружить даже в самом надежном партнерстве.

🛡 Поделимся проверенными стратегиями и инструментами защиты — от оценки рисков и ключевых пунктов договора или SLA с подрядчиками до практических методов проверки и мониторинга.

🔍 Рассмотрим реальные кейсы и обсудим, что помогает вовремя вычислить подозрительных поставщиков, организовать безопасное взаимодействие с ними и не дать злоумышленникам ни малейшего шанса.

Регистрируйтесь заранее и присоединяйтесь к прямому эфиру, чтобы получить действенную пошаговую стратегию по предотвращению «партнерских» рисков.

#PositiveЭксперты
@Positive_Technologies

16.04.202504:40

Статья Harvard Business Review "Monitoring Employees Makes Them More Likely to Break Rules" (июнь 2022) рассматривает парадоксальный эффект, при котором усиленный контроль за сотрудниками может привести к увеличению числа нарушений с их стороны.

📌 Основные выводы исследования:
1️⃣ Рост интереса к мониторингу. В апреле 2020 года спрос на программное обеспечение для наблюдения за сотрудниками (кто сказал DLP?) значительно вырос ↗️ Поисковые запросы вроде "как контролировать сотрудников на удаленке" увеличились на 1705%, а продажи систем, отслеживающих активность работников через мониторинг рабочего стола, регистрацию нажатий клавиш, видеонаблюдение и GPS-трекинг, резко возросли 📈
2️⃣ Негативные последствия наблюдения. Исследование показало, что сотрудники, находящиеся под постоянным наблюдением, чаще нарушают правила: берут несанкционированные перерывы, игнорируют инструкции и даже могут повредить имущество компании 😠
3️⃣ Психологические механизмы. Постоянный контроль снижает ощущение автономии у работников, что может вызывать стресс и снижать мотивацию 😡 В результате сотрудники могут чувствовать себя менее ответственными за свои действия и чаще идти на нарушения 😠

✏️ Рекомендации для работодателей 😈
1️⃣ Сбалансированный подход. Вместо тотального контроля рекомендуется внедрять системы, основанные на доверии и прозрачности, которые поддерживают автономию сотрудников ☺️
2️⃣ Фокус на благополучии. Некоторые компании, например Microsoft, разрабатывают системы, использующие носимые устройства для сбора данных о здоровье сотрудников, чтобы предлагать персонализированные рекомендации по улучшению самочувствия 💉
3️⃣ Прозрачность и участие. Важно информировать сотрудников о целях и методах мониторинга, а также привлекать их к обсуждению этих процессов, чтобы минимизировать негативное восприятие и повысить эффективность 😂

Таким образом, чрезмерный контроль может подорвать доверие и привести к обратному эффекту. Эффективное управление требует баланса между необходимостью мониторинга и уважением к автономии сотрудников.

#dlp #психология

15.04.202521:10

У MITRE CVE тоже могут начаться проблемы 🗡 Уже сегодня. В заметке 10 лет назад я строил гипотезу, что будет, если Россию отключат от CVE, но не думал, что CVE отключат от всего мира 😵 Если и финансирование NVD урежут еще больше, то базы уязвимостей останутся только у нас, да в Китае 🇷🇺🇨🇳 Так что хорошо, что ФСТЭК запилила свой БДУ.

#уязвимость

15.04.202517:46

Оставил неизгладимые впечатления у организаторов бразильского 🇧🇷 CISO Forum, а уже год прошел. Заманивают латиноамериканских CISO на мое имя 🫴

15.04.202513:33

В апреле 2025 года Национальный институт стандартов и технологий США (NIST), после появления новостей о возможном сокращении 500 своих сотрудников ✂️, объявил о переводе всех записей об уязвимостях, зарегистрированных до 1 января 2018 года, в статус "отложенных" (deferred) 🧰 Это означает, что такие записи больше не будут приоритетно обновляться в Национальной базе уязвимостей (NVD), если только не поступит специальный запрос с новой информацией.

NIST столкнулся с нехваткой ресурсов и возможными сокращениями персонала, что вынудило 🤷‍♀️ агентство сосредоточиться на обработке только новых уязвимостей. По данным исследователей более 94 000 CVE, что составляет около 34% от общего числа, были зарегистрированы до 2018 года и теперь попадают под статус "отложенных" 😵

Эксперты в отрасли выразили обеспокоенность, поскольку многие крупные инциденты ИБ, такие как WannaCry и NotPetya, использовали старые уязвимости 🤕 С развитием ИИ существует риск, что злоумышленники смогут находить новые способы эксплуатации этих старых уязвимостей. Тем не менее, NIST продолжит обновлять информацию о тех уязвимостях, которые входят в список активно эксплуатируемых (KEV), предоставляя организациям возможность своевременно реагировать на угрозы 🗡

Ну и несколько рекомендации для отечественных организаций: ✏️
6️⃣ Не полагайтесь исключительно на обновления NVD для оценки защищенности своих систем. Такое бывает...
2️⃣ Использовать дополнительные источники, такие как база БДУ ФСТЭК, MITRE CVE и т.п. для получения информации об уязвимостях. А то и различные сервисы, которые сами приоритизируют уязвимости по различным критериям (главное, чтобы не только по NVD).
3️⃣ Возьмите за правило проверять ПО с использованием списка компонентов (SBOM) для выявления потенциально уязвимых библиотек и модулей. Тем более, что сейчас и ФСТЭК это начинает требовать.
4️⃣ Уточните у своих вендоров сканеров безопасности, какие они способы получения информации об уязвимостях используют и не зависят ли они от NVD?
5️⃣ Рассмотрите возможность применения ИИ для ускорения оценки и приоритизации уязвимостей. Если у вас есть соответствующие специалисты и понимание, как ИИ может использоваться для этой задачи.

#оценказащищенности

15.04.202509:34

Агентство GigaOm решило отказаться 🤨 от термина SOAR в своих отчетах, посчитав, что это уже устаревший анахронизм и заменив его на SecOps Automation 🤡

В качестве доказательства приводят примеры Tines, Torq, D3 Security, Swimlane, BlinkOps и SIRP, которые дистанцируются от этого класса решений, называя себя вплоть до "ENTERPRISE AI HYPERAUTOMATION Agentic AI automation" (глядь, хрен выговоришь) 😮 А вот FortiSOAR, Splunk SOAR и Palo Alto XSOAR - это просто названия продуктов, а не их класс.

PS. Так что Gartner может был и не так уж и не прав, когда прошлым летом пометил SOAR на своей SecOps-кривой, как умирающую технологию 🤫

#soc #средствазащиты

14.04.202517:44

Если бы в США был свой НКЦКИ, то лишение допуска к гостайне у бывшего руководителя CISA и нынешнего руководителя отдела по киберразведке компании SentinelOne Криса Кребса, выглядело бы так 😂

#юмор

14.04.202513:23

На хакерском форуме неизвестный продавал метод обхода двухфакторной аутентификации 2FA 🤒 для учетных записей Bitwarden, популярного парольного менеджера у разработчиков ПО, которые используют его для хранения кредов, секретов и т.п. 👨‍💻

#инцидент #проблемыибкомпаний

14.04.202509:22

В преддверие RSA Conference 2025 были объявлены финалисты 20-го ежегодного конкурса Innovation Sandbox, в рамках которого выделяются наиболее перспективные стартапы в области кибербезопасности. Ниже представлены 10 финалистов и краткое описание их деятельности:

1️⃣ Aurascape. Разрабатывает решения для безопасного внедрения и использования ИИ, включая генеративные модели и ИИ-агентов.

2️⃣ CalypsoAI. Предлагает платформу для защиты ИИ-приложений и ИИ-агентов в реальном времени с помощью настраиваемых защитных механизмов, redteam'инга, устранения уязвимостей и управления всем этим хозяйством.

3️⃣ Command Zero. Автономная ИИ-платформа для проведения расследований и threat hunting, предназначенная для трансформации SecOps и сокращения времени реагирования на инциденты.

4️⃣ EQTY Lab AG. Разрабатывает решения для обеспечения доверия к ИИ, используя криптографию для обеспечения подотчетности и проверяемости управления ИИ-агентами.

5️⃣ Knostic. Предоставляет контроль доступа на основе необходимости знания для больших языковых моделей (LLM), позволяя организациям ускорить внедрение LLM без ущерба для безопасности и ценности.

6️⃣ Metalware. Помогает предприятиям и государственным организациям обеспечивать автоматизированное тестирование прошивок (firmware) для решений, используемых в критической инфраструктуре.

7️⃣ MIND. Платформа для обеспечения безопасности данных, объединяющая решения DLP и IRM, добавляя к ним автопилот для обнаружения, классификации и предотвращения утечек конфиденциальной информации.

8️⃣ ProjectDiscovery. Еще одно решение класса ASM/VM, но для проектов с исходным кодом.

9️⃣ Smallstep. Обеспечивает доступ к чувствительным ресурсам только с устройств, принадлежащих компании, с помощью платформы идентификации устройств, обеспечивающей безопасность при подключении с помощью Wi-Fi, VPN, ZTNA, SaaS-приложений и облачных API.

1️⃣0️⃣ Twine Security. Разрабатывает ИИ-сотрудников, выполняющих задачи от А до Я, помогая ИБ-командам преодолеть дефицит кадров. Первый такой ИИ-сотрудник, Alex, берет на себя задачу управления идентификационной информацией (Identity).

#средствазащиты

14.04.202504:40

Говорят, за одного битого двух небитых дают, а за одного взломанного двух невзломанных 🤜 Разумеется, если взломанные извлекли уроки из произошедшего у них инцидента. По статистике, 74% жертв шифровальщиков сталкивались с ними более 1 раза, а 33% — 4 (!) и более раз! Только представьте себе — тебя 4 раза хакнули, а ты так и не извлек никаких уроков! 😦

Тем интереснее было прочитать 📖 статью Государственной службы специальной связи и защиты информации Украины (ДССЗЗИ) под названием "Как хакеры возвращаются в сеть после атаки: типичные ошибки, которые дают им второй шанс", где анализируются распространенные ошибки, допускаемые организациями после кибератак, которые позволяют злоумышленникам повторно проникать в системы 🔓

#управлениеинцидентами

13.04.202517:25

На злобу дня…

#юмор #мем

Всі дописи

Рекламувався18 секунд

08.04.202514:45BELYAEV_SECURITY

1.1K

Рекламувався1 день

07.03.202509:03RUH8

19.2K

Даркнет

Детальніше

Рекорди

17.04.202523:59

29.5KПідписників

08.04.202523:59

200Індекс цитування

20.02.202506:42

8.7KОхоплення 1 допису

22.02.202507:00

7KОхоп рекл. допису

21.09.202423:59

5.68%ER

20.02.202506:42

30.63%ERR

Розвиток

Детальніше

Підписників

Індекс цитування

Охоплення 1 допису

Охоп рекл. допису

ERR

Детальніше

Популярні публікації Пост Лукацкого

Всі дописи

28.03.202509:26

AgADsGgAAorWMEs

4.24 MB

04.04.202504:41

Не очень легальное программное обеспечение Haotian AI для замены лица в реальном времени 👎 Это уже покруче open source проекта Deep-Live-Cam. Достаточно активно продвигается в Telegram для всяких нелегальных целей, стоит от 1200 до 9900 долларов при оплате только криптой 🪙 Так что технологии создания дипфейков развиваются все активнее и дальше.

И использоваться оно может в совершенно различных схемах - от прохождения удаленных собеседований при приеме на работу до генерации порнографии 🫦 с чужим лицом, от фальсификации высокопоставленных и известных людей до верификации в различных сервисах 🛂 Обратите внимание, что даже перекрытие лица рукой отрабатывается, что раньше достаточно легко выдавало использование подмены лица в приложениях типа face swap.

У вас же предусмотрено это в модели угроз? 🎭

#дипфейк

23.03.202510:20

AgADBHcAArp7-Uo

2.07 MB

Переслав з:

Религия, культура и Оксана сбоку

06.04.202517:29

"Волк и семеро козлят" в стиле киберпанк 😊 Оригинал - тут

23.03.202514:09

AgADB3cAArp7-Uo

1.39 MB

03.04.202504:40

Дмитрий тут написал у себя, что очень плохо, когда ВУЗы перестают учить студентов на базе Windows 📱 Александр пишет, что нет, все правильно, долой супостатов. А я обращу внимание на другой аспект этой проблемы. В борьбе за суверенитет, у нас многие забыли, что заниматься надо не импортозамещением, а ростом экспортопригодности своих решений 🪟 Тогда запрещать не надо будет - пользователи сами будут переходить на отечественное, которое лучше (в реальности, а не на словах) иностранных аналогов.

А пока мы зарываем голову в песок, блокируя использование всего иностранного ⛔️ А я задам сакраментальный вопрос - а как потом проводить ~~наступательные~~ разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету? Можно возразить, что и не надо искать. Надо выстроить железный занавес и жить в своем уютном ламповом мирке, в котором нет места иностранщине ☕️ Вот только как быть тем, кто стремиться нести свет российских технологий зарубеж, начиная с дружественных и заканчивая не очень странами?

Все эти страны, практически без исключения, импортозамещением не страдают, так как не могут себе позволить развивать с нуля ИТ-отрасль (даже если бы и хотели). И они используют иностранные ИТ-продукты, которые мы смело отметаем 📱 И как российской компании с международными амбициями в таком случае себя вести? И это я еще не вспоминаю про дурацкий запрет, который вступает в силу с 1 сентября, который запрещает российским компаниям любую рекламу в запрещенных и заблокированных в России соцсетях и ресурсах 📱 И вот что мне делать, если я 2-го сентября захочу через LinkedIn или иную какую экстремистскую соцсеть пригласить иностранных коллег на стенд 🟥 на конференции GITEX в Дубае?

Ох, как прав был Лавров... Заставь дураков Богу молиться... 🤦‍♂️ Вместо того, чтобы развивать свое, запрещают чужое. Это же проще - росчерк пера ✍️ и можно отчитываться.

#суверенитет

11.04.202504:40

Умом я понимаю, что РКН в очередной раз призвал всех россиян отказаться от зарубежных VPN ⛔️, но сделал он это как обычно через одно место, что меня, как человека, начинавшего карьеру в ИБ с разработки средств криптографической защиты в одном закрытом НИИ 🧑‍💻, прям коробит.

В России всего, насколько мне известно, один 1️⃣ единственный отечественный криптографический протокол (из не секретных), используемый в контексте, о котором пишет РКН. Это IPlir, разработанный Инфотексом и принятый в качестве рекомендаций по стандартизации под номером Р 1323565.1.034–2020 ☝️ При отсутствии альтернатив, то есть по сути монополизации, можно было задаться вопросом, а не продвигает ли государственный орган интересы конкретной коммерческой компании, которая сегодня чуть ли не единственная реализует IPlir в своих продуктах 🤔

Есть еще отечественные 🇷🇺 протоколы CRISP для промышленных систем, SESPAKE для обмена ключами, работы НПО "Криптонит" в рамках криптографических протоколов сетей связи 5G 3GPP TR 33.846, но это все другое и отношения к теме сообщения РКН не имеет 📡

Но я далек от мысли так думать, так как РКН скорее всего просто не понимает разницы между терминами "криптографический протокол" и "криптографический алгоритм" 🖕 А если бы понимал, то поинтересовался бы у старших товарищей, которые бы объяснили, что весь Интернет, включая работу сайта самого Роскомнадзора, построен на иностранных криптографических протоколах, а именно TLS/IPSec, которые могут использовать разные криптографические алгоритмы, как зарубежные (AES, Camellia, DSA, RSA, SHA, MD5, ECDSA и т.п.), так и отечественные ГОСТы 🔐 И ФСБ с Минцифры прекрасно разрешают использовать зарубежные криптографические протоколы, просто выпуская различные стандарты и спецификации, разъясняющие принципы работы иностранных протоколов с российской криптографией 🇷🇺

А если думать, что РКН понимал, что писал, то он прямым текстом запрещает в Рунете любую криптографию, так как аналогов SSL/TLS у нас нет 🤔 А если бы и были (хотя смысла в этом немного), то она была бы востребована только в одном случае - полная замена всего ПО, включая ОС и браузеры, на отечественное, и запрет на использование Chrome, Firefox и иже с ними на территории Российской Федерации 🇷🇺 Это амбициозная задача, которую можно было бы решить, будь мы Северной Кореей или Ираном, которые не имеют нормального выхода в Интернет и им не надо коммуницировать с соседями, которые продолжают использовать привычный TLS в своей инфраструктуре. Или это план? 🤔

ЗЫ. Да, на всякий случай, IPSec и SSH, STARTTLS и иже с ними, тоже не отечественные криптографические протоколы.

#криптография

04.04.202509:23

В понедельник, в Москве, пройдет конференция "Защита данных" (если вдруг кому надо, то промокод для бесплатной регистрации - ИББ25), на которой, как это ни странно, не будет ни слова сказано о безопасности подрядчиков. А зачем, если я почти все уже сказал в своей презентации на мероприятия "Территория безопасности 2025" 🛡

И так как данные нередко утекают именно через контрагентов и партнеров, то по договоренности с организаторами конференции "PRO безопасность подрядчиков" выкладываю свою презентацию про формирование чеклиста по тому, какие требования к подрядчикам устанавливать и как их контролировать ✔️ Надеюсь, она хорошо дополнит программу понедельничной конференции.

ЗЫ. Есть подозрение, что выделенных мне 40 минут было недостаточно для раскрытия темы. Так что проведу скоро расширенный вебинар с бОльшим погружением в тему и конкретными примерами ⏳ Анонс, конечно же, будет тут, в канале 🤠

ЗЫ. Кстати, на конференции "Защита данных" будут рассказывать о "единой платформе с нулевым уровнем доверия" 🤔 Ох уж этот беспощадный нейминг и бездумный перевод на русский язык англоязычных терминов. Что "цепочка поставок" (supply chain), что "горизонтальное перемещение" (lateral movement), что вот теперь "платформа с нулевым уровнем доверия" (zero trust platform). Копирайтер не понимает разве, что словосочетание "платформа с нулевым уровнем доверия", кардинально меняет смысл и звучит негативно? 🤔

#чеклист #supplychain

02.04.202504:40

Рафик Риман выпустил очередную карту знаний и навыков 🗺, которыми, по его мнению, должен обладать CISO. Так как карту осилить может не только лишь каждый, выделено 6 фокусных направлений:
1️⃣ Защита GenAI 🧠 В прошлом году Рафик обращал внимание на то, что CISO должен заняться GenAI, а в этом уже и защитить его. Как по мне, так это скорее должна была быть прошлогодняя рекомендация, а в этом надо уже говорить об ИИ-агентах, о которых Рафик почему-то молчит.
2️⃣ Консолидация средств защиты либо через экосистемный подход (все от одного вендора), либо через зоопарк лучших решений, но при наличии у них нормального развитого API.
3️⃣ Закрытие технического долга ИБ перед бизнесом в виде непатченных дыр и недочетов в архитектуре 🏗
4️⃣ Шифровальщики и киберустойчивость. Что шифровальщики делают в рекомендациях на 25-26-й годы не очень понятно, ну да ладно.
5️⃣ Содержательные метрики. У каждого понятие свое, но мысль Рафика в том, что надо уходить от операционных метрик к тому, что показывает результат для бизнеса. Плюсую 👍
6️⃣ Цифровая гигиена, но не в привычном смысле, а на более продвинутом уровне, - защита API, полная видимость, уменьшение поверхности атаки, снижение сложности, управление подрядчиками. Ну тоже как бы не этого года рекомендация, а прошедших пары лет 🤔

В комментариях к посту с анонсом, среди восторженных восклицаний, пришел один человек и написал: ✍️

This is really #horrifying. And I can understand nobody wants to be a CISO seeing this. I think your knowledge of the function of security management could be used to do the oposite. I'm thinking of Steve Jobs: "Simple can be harder than complex:
You have to work hard to get your thinking clean to make it simple. But it's worth it in the end because once you get there, you can move mountains." I think he's right: it's much harder to make something simple than making it complex - as in your scheme. Nevertheless, I recommend you give it a try.
Your knowledge of security management should have to be sufficient to deliver that.

Переводить, как мне кажется, не нужно - все и так понятно. Год от года карта усложняется 🗺 и в ней все сложнее разобраться и реализовать все написанное. Соглашусь с этим тезисом, но с другой стороны я не вижу варианта решения этой проблемы 🤷‍♀️ В сферу внимания CISO попадает все больше направлений, а значит и знаний должно быть больше.

У Адизеса, в его книгах по типам руководителей, эта проблема очень хорошо описана (правда, в другом контексте) 🧐 Нет руководителя, который бы включал в себя все свойства, которые должны быть. Это значит, что хороший руководитель должен распознать свои сильные стороны, а слабые усилить за счет подчиненных. Так, наверное, и с картой Римана, - не можешь сам, ищи подчиненных, которые "закроют" нужные темы и при этом которым ты доверяешь 🤔

Из этого следует, наверное, интересный вывод 🤔 CISO в некрупной компании, у которого нет в подчинении десятков и сотен людей, вынужден разбираться во всех этих самостоятельно, а значит он, по идее, на голову выше CISO крупной компании (с точки зрения хардскиллов, как минимум). По мере "взросления" и попадания во все более крупные компании, хардскиллы 🤔 уходят и им на смену приходят софтскиллы - компромиссы, умение выстраивать диалоги с бизнесом, командообразование и т.п. Ну или не приходит и тогда большой начальник большой только по должности, но не по знаниям/навыкам/уважению... 😱 Собственно, как и "маленький" CISO не обязательно знает всю карту Римана - он вполне может быть занят операционкой и на все остальное у него просто не хватает времени.

#ciso #тенденции

07.04.202509:30

Не устаревает до сих пор 😏

Смотрю, как студенты понтуются, кто из них больше ни фига не делал и всё сдал.
Эх...
Когда я был студентом, я сдавал право одной очень милой женщине. Она была практикующим юристом, и я ожидал, что такой специалист меня сейчас будет гонять от и до по всему конспекту.
Она посмотрела на меня и, ничего не спрашивая, поинтересовалась:
- Оценку вам какую ставить?
- Э... Пять хотелось бы
- Отлично, - сказала она, и стала писать в зачётке
- А вы что, даже ничего спрашивать не будете? - удивился я.
Она оторвалась от заполнения зачётки, внимательно посмотрела на меня и сказала:
- Запомните, молодой человек, чем меньше вы знаете, тем более ценна я как специалист.
Эта фраза мне запомнилась на всю жизнь и больше я не страдал фигнёй во время занятий.
И сейчас самое время мне, уже доценту и одновременно практикующему проектировщику зданий, повторить то же самое:
Господа студенты, не учитесь, пожалуйста! Старайтесь как можно больше получить на халяву! Чем меньше вы знаете по окончании института, тем более ценен я как специалист и тем большую зарплату я могу потребовать за свои услуги!

Хотя в тех редких случаях, когда я был преподом в ВУЗе и принимал экзамены, я все-таки спрашивал и, иногда, заваливал студентов, которые болт клали на предмет. Но вот не ходить на лекции разрешал 🤔

Но тогда не было ИИ, а сейчас он есть 🫡 Так что конкуренция за место под солнцем усилилась и те, кто постоянно не учатся, обречены на то, что будут выброшены на свалку истории 💀

#обучение

24.03.202513:29

AgADDXcAArp7-Uo

4.32 MB

25.03.202509:39

Тот редкий случай, когда я выступал не на тему кибербеза, а про то, как выступать на тему кибербеза 🗣 Для внутренних целей запилил мини-курс по тому, как готовиться к выступлению, как готовить презентацию, как выступать и работать с аудиторией. Подсобрал немного лайфхаков, оформил их в презентацию и поделился в режиме диалога с коллегами 📈 Вроде получилось недурственно. Как минимум, мне самому понравилось - подсобрал вместе свои наработки в этой сфере. Если вдруг случится небывалое и я покину кибербез 😲, смогу заняться преподаванием на курсах по Presentation Skills.

Презой делиться не буду - слишком много там внутренней кухни 🟥 про то, как выступать перед разными целевыми аудиториями и спикерам из разных подразделений и разного уровня иерархии, про то, как это все соотносится с проводимыми нами мероприятиями, с примерами удачных и неудачных выступлений и презентаций и т.п. Но если вдруг мне понадобится где-то читать такое же для другой аудитории - добавить туда другой специфики будет несложно 🙂

07.04.202504:40

Легонькая статья о том, как общаться с топ-менеджерами про кибербезопасность, в которой приводится магическое число советов, то есть семь, которым надо следовать, когда вы хотите купить новые решения по ИБ: 🧐
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.

#ciso #топменеджмент

27.03.202504:40

Вот подростки 🫂 Живут себе, занимаются мастурбацией для собственного удовольствия и ни о чем и ни о ком не думают 🤤 Становясь постарше и поумнее, входя в отношения с противоположным полом, они начинают задумываться не только о собственном оргазме, но и удовольствии партнера 🔞 То есть эгоизм отходит на второй план, уступая место пользе для другого!

Почему же спикеры, желающие выступать 🎤 на конференциях, не проецируют эту историю на подачу заявок на CFP? Вот бывает смотришь название предлагаемого доклада. Интрига… 🌚 Прям хочется заглянуть в описание. Заглядываешь, а там сказка. Систематизированные тезисы, описание проблематики и пользы для слушателей, описан опыт самого спикера. И сразу понимаешь - вот, человек в теме, с опытом, готовился, думал о пользе для других, а не только о своем самоудовлетворении на Большой сцене Лужников 🏟

Но чаще не так. Слабают название тяп-ляп - «Обеспечение защиты информации в государственных информационных системах» 🤠 На аннотацию без слез не взглянешь - «О важности обеспечения защиты информации в ГИС». Регалий и опыта автора нет, только ник - mormyshka2003. Понять, обладает ли он опытом, чтобы рассказывать заявленную тему, невозможно. И вот что я, как программный директор 5-7 отечественных мероприятий по ИБ, должен делать с такой заявкой? 🤷‍♀️

В курсе по завоеванию сердец я много внимания уделяю именно пользе для слушателей, на которой должен фокусироваться спикер 🎤 И делать он это должен, начиная с подачи заявки на выступление. А иначе аудитория недополучит отличных докладов и харизматичных спикеров 🗣

10.04.202504:40

После выступления на "Территории безопасности 2025" я получило много положительных отзывов по своей презентации про формирование чеклиста по безопасности подрядчиков ✔️ А еще больше было вопросов по отдельным блокам и слайдам презентации, на которые я не успел ответить в ходе самого выступления, так как всего у меня было около 40 минут на эту тему 🕙 Поэтому решено - проводим отдельный вебинар длительностью до 2 часов, на котором презентация будет существенно расширена и дополнена примерами.

Вебинар пройдет 18 апреля в 14.00 по московскому времени. Все детали по ссылке. Даже если вы не сможете присутствовать, то хотя бы зарегистрируйтесь, чтобы получить после него запись и новую версию презентации 🤝

Увійдіть, щоб розблокувати більше функціональності.