Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

Ko'rish

Николаевский Ванёк

Ko'rish

Мир сегодня с "Юрий Подоляка"

Ko'rish

Труха⚡️Україна

Ko'rish

Николаевский Ванёк

Ko'rish

Пост Лукацкого

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики.
Канал личный - мой работодатель никак не влияет на то, что здесь публикуется.
Рекламу не размещаю!!!

TGlist reytingi

TuriOmmaviy

Tekshirish

Tekshirilmagan

Ishonchnoma

Shubhali

JoylashuvРосія

TilBoshqa

Kanal yaratilgan sanaJul 31, 2017

TGlist-ga qo'shildi

Jan 31, 2025

Men kanal egasiman

O'zgartirishlar tarixi

Muxrlangan guruh

Дискуссии у Лукацкого

112

Telegram kanali Пост Лукацкого statistikasi

Batafsil

Obunachilar

29 467

24 soat

130%Hafta

1230.4%Oy

5401.9%

Iqtiboslar indeksi

0

Eslatmalar2Kanallardagi repostlar0Kanallardagi eslatmalar2

Bitta postning o'rtacha qamrovi

4 869

12 soat3 9670%24 soat4 8690%48 soat6 0970%

Ishtirok (ER)

1.07%

Repostlar52Izohlar0Reaksiyalar39

Qamrov bo'yicha ishtirok (ERR)

16.53%

24 soat0%Hafta

0.61%Oy

3.88%

Bitta reklama postining qamrovi

4 869

1 soat1 35727.87%1 – 4 soat00%4 - 24 soat1 86938.39%

Batafsil

Botimizni kanalingizga ulang va ushbu kanal auditoriyasining jinsini bilib oling.

24 soat ichidagi barcha postlar

4

Dinamika

"Пост Лукацкого" guruhidagi so'nggi postlar

Barcha postlar

17.04.202509:26

Нет-нет, да и да! 😈 Так я бы охарактеризовал свое отношение к занятиям нормативкой по ИБ, от которых я отошел последние 3 года, но к которым иногда возвращаюсь. Вот и на этот раз, в преддверие питерского "Киберконтура 2025" я написал статью о трех основных новеллах российского ИБ-законодательства, которые будут влиять на рынок 🤨 И нет, речь не об оборотных штрафах, а законе о борьбе с кибермошенничеством, поправках в ФЗ-187 о безопасности КИИ и о новой редакции 17-го приказа.

#статья #регулирование

17.04.202504:40

Устрою сегодня день своих статей. Начну с советов для ИБ-шников на непростой 2025 год, чтобы не пришлось становиться управдомом 🗑 А если серьезно: что приготовил нам этот год и как именно можно показать ценность своей работы для работодателя. Этот материал был опубликован в свежевышедшем Positive Research. Рекомендую найти бумажную версию - она прям огонь по оформлению и наполнению 🔥

#статья #тенденции #карьера

16.04.202517:45

Пентестерам предлагают 100 тысяч американских, мать его, долларов в месяц... 🤩 Что за разводняк на ровном месте?.. Хотя может это я ни разу не дошел в дискуссиях с аналогичными предложениями (тут и тут) до обсуждения цены?.. 🤥

С другой стороны там написано "до 100 тысяч"... 🤔 Так-то и 100 долларов попадает в этот диапазон.

#хакеры #оценказащищенности #пентест

16.04.202513:30

7 апреля 2025 года. Российская полиция 🇷🇺 проводит масштабную операцию сразу в 11 регионах. Даже после поверхностного анализа изъятых вещественные доказательства, среди которых стопки сим-карт, сотни маленьких антенн и десятки метров проводов, становится понятно: задержанные – участники разветвленной сети украинских кибермошенников 🥷 Чаще всего личные данные будущих жертв им поставляют хакеры. Под их прицелом - сайт Госуслуг, мобильные приложения банков, транспортные сервисы, даже аптечные сети и медицинские центры 🖥

Попытки проникновения в закрытые сети критически важных объектов на территории нашей страны 🏭 активизировались с самого начала специальной военной операции. Для кибер-терроризма подготовлены хорошо оснащенные техническая платформа и персонал 💻

Как именно и откуда совершаются атаки на российскую инфраструктуру? Кто стоит во главе хакеров и кому они на самом деле подчиняются? 🤔 В выпуске программы «Секретные материалы» с Андреем Луговым - эксклюзивные детали архитектуры кибер-сообщества от тех, кто с полным правом может считать себя его частью 😂

Сегодня, 16 апреля, в 20.10 по московскому времени на телеканале «Звезда» (можно будет смотреть через Интернет).

#хакеры #кино

Repost qilingan:

Positive Technologies

16.04.202509:19

🐈‍⬛ Подрядчики на аутсорсе — удобно, быстро, выгодно. Но стоит одному из них допустить ошибку — и ваша безопасность под угрозой.

На вебинаре 18 апреля в 14:00 Алексей Лукацкий расскажет, как защитить свой бизнес от таких рисков.

🕳 Поговорим про очевидные и неочевидные дыры, которые можно обнаружить даже в самом надежном партнерстве.

🛡 Поделимся проверенными стратегиями и инструментами защиты — от оценки рисков и ключевых пунктов договора или SLA с подрядчиками до практических методов проверки и мониторинга.

🔍 Рассмотрим реальные кейсы и обсудим, что помогает вовремя вычислить подозрительных поставщиков, организовать безопасное взаимодействие с ними и не дать злоумышленникам ни малейшего шанса.

Регистрируйтесь заранее и присоединяйтесь к прямому эфиру, чтобы получить действенную пошаговую стратегию по предотвращению «партнерских» рисков.

#PositiveЭксперты
@Positive_Technologies

16.04.202504:40

Статья Harvard Business Review "Monitoring Employees Makes Them More Likely to Break Rules" (июнь 2022) рассматривает парадоксальный эффект, при котором усиленный контроль за сотрудниками может привести к увеличению числа нарушений с их стороны.

📌 Основные выводы исследования:
1️⃣ Рост интереса к мониторингу. В апреле 2020 года спрос на программное обеспечение для наблюдения за сотрудниками (кто сказал DLP?) значительно вырос ↗️ Поисковые запросы вроде "как контролировать сотрудников на удаленке" увеличились на 1705%, а продажи систем, отслеживающих активность работников через мониторинг рабочего стола, регистрацию нажатий клавиш, видеонаблюдение и GPS-трекинг, резко возросли 📈
2️⃣ Негативные последствия наблюдения. Исследование показало, что сотрудники, находящиеся под постоянным наблюдением, чаще нарушают правила: берут несанкционированные перерывы, игнорируют инструкции и даже могут повредить имущество компании 😠
3️⃣ Психологические механизмы. Постоянный контроль снижает ощущение автономии у работников, что может вызывать стресс и снижать мотивацию 😡 В результате сотрудники могут чувствовать себя менее ответственными за свои действия и чаще идти на нарушения 😠

✏️ Рекомендации для работодателей 😈
1️⃣ Сбалансированный подход. Вместо тотального контроля рекомендуется внедрять системы, основанные на доверии и прозрачности, которые поддерживают автономию сотрудников ☺️
2️⃣ Фокус на благополучии. Некоторые компании, например Microsoft, разрабатывают системы, использующие носимые устройства для сбора данных о здоровье сотрудников, чтобы предлагать персонализированные рекомендации по улучшению самочувствия 💉
3️⃣ Прозрачность и участие. Важно информировать сотрудников о целях и методах мониторинга, а также привлекать их к обсуждению этих процессов, чтобы минимизировать негативное восприятие и повысить эффективность 😂

Таким образом, чрезмерный контроль может подорвать доверие и привести к обратному эффекту. Эффективное управление требует баланса между необходимостью мониторинга и уважением к автономии сотрудников.

#dlp #психология

15.04.202521:10

У MITRE CVE тоже могут начаться проблемы 🗡 Уже сегодня. В заметке 10 лет назад я строил гипотезу, что будет, если Россию отключат от CVE, но не думал, что CVE отключат от всего мира 😵 Если и финансирование NVD урежут еще больше, то базы уязвимостей останутся только у нас, да в Китае 🇷🇺🇨🇳 Так что хорошо, что ФСТЭК запилила свой БДУ.

#уязвимость

15.04.202517:46

Оставил неизгладимые впечатления у организаторов бразильского 🇧🇷 CISO Forum, а уже год прошел. Заманивают латиноамериканских CISO на мое имя 🫴

15.04.202513:33

В апреле 2025 года Национальный институт стандартов и технологий США (NIST), после появления новостей о возможном сокращении 500 своих сотрудников ✂️, объявил о переводе всех записей об уязвимостях, зарегистрированных до 1 января 2018 года, в статус "отложенных" (deferred) 🧰 Это означает, что такие записи больше не будут приоритетно обновляться в Национальной базе уязвимостей (NVD), если только не поступит специальный запрос с новой информацией.

NIST столкнулся с нехваткой ресурсов и возможными сокращениями персонала, что вынудило 🤷‍♀️ агентство сосредоточиться на обработке только новых уязвимостей. По данным исследователей более 94 000 CVE, что составляет около 34% от общего числа, были зарегистрированы до 2018 года и теперь попадают под статус "отложенных" 😵

Эксперты в отрасли выразили обеспокоенность, поскольку многие крупные инциденты ИБ, такие как WannaCry и NotPetya, использовали старые уязвимости 🤕 С развитием ИИ существует риск, что злоумышленники смогут находить новые способы эксплуатации этих старых уязвимостей. Тем не менее, NIST продолжит обновлять информацию о тех уязвимостях, которые входят в список активно эксплуатируемых (KEV), предоставляя организациям возможность своевременно реагировать на угрозы 🗡

Ну и несколько рекомендации для отечественных организаций: ✏️
6️⃣ Не полагайтесь исключительно на обновления NVD для оценки защищенности своих систем. Такое бывает...
2️⃣ Использовать дополнительные источники, такие как база БДУ ФСТЭК, MITRE CVE и т.п. для получения информации об уязвимостях. А то и различные сервисы, которые сами приоритизируют уязвимости по различным критериям (главное, чтобы не только по NVD).
3️⃣ Возьмите за правило проверять ПО с использованием списка компонентов (SBOM) для выявления потенциально уязвимых библиотек и модулей. Тем более, что сейчас и ФСТЭК это начинает требовать.
4️⃣ Уточните у своих вендоров сканеров безопасности, какие они способы получения информации об уязвимостях используют и не зависят ли они от NVD?
5️⃣ Рассмотрите возможность применения ИИ для ускорения оценки и приоритизации уязвимостей. Если у вас есть соответствующие специалисты и понимание, как ИИ может использоваться для этой задачи.

#оценказащищенности

15.04.202509:34

Агентство GigaOm решило отказаться 🤨 от термина SOAR в своих отчетах, посчитав, что это уже устаревший анахронизм и заменив его на SecOps Automation 🤡

В качестве доказательства приводят примеры Tines, Torq, D3 Security, Swimlane, BlinkOps и SIRP, которые дистанцируются от этого класса решений, называя себя вплоть до "ENTERPRISE AI HYPERAUTOMATION Agentic AI automation" (глядь, хрен выговоришь) 😮 А вот FortiSOAR, Splunk SOAR и Palo Alto XSOAR - это просто названия продуктов, а не их класс.

PS. Так что Gartner может был и не так уж и не прав, когда прошлым летом пометил SOAR на своей SecOps-кривой, как умирающую технологию 🤫

#soc #средствазащиты

14.04.202517:44

Если бы в США был свой НКЦКИ, то лишение допуска к гостайне у бывшего руководителя CISA и нынешнего руководителя отдела по киберразведке компании SentinelOne Криса Кребса, выглядело бы так 😂

#юмор

14.04.202513:23

На хакерском форуме неизвестный продавал метод обхода двухфакторной аутентификации 2FA 🤒 для учетных записей Bitwarden, популярного парольного менеджера у разработчиков ПО, которые используют его для хранения кредов, секретов и т.п. 👨‍💻

#инцидент #проблемыибкомпаний

14.04.202509:22

В преддверие RSA Conference 2025 были объявлены финалисты 20-го ежегодного конкурса Innovation Sandbox, в рамках которого выделяются наиболее перспективные стартапы в области кибербезопасности. Ниже представлены 10 финалистов и краткое описание их деятельности:

1️⃣ Aurascape. Разрабатывает решения для безопасного внедрения и использования ИИ, включая генеративные модели и ИИ-агентов.

2️⃣ CalypsoAI. Предлагает платформу для защиты ИИ-приложений и ИИ-агентов в реальном времени с помощью настраиваемых защитных механизмов, redteam'инга, устранения уязвимостей и управления всем этим хозяйством.

3️⃣ Command Zero. Автономная ИИ-платформа для проведения расследований и threat hunting, предназначенная для трансформации SecOps и сокращения времени реагирования на инциденты.

4️⃣ EQTY Lab AG. Разрабатывает решения для обеспечения доверия к ИИ, используя криптографию для обеспечения подотчетности и проверяемости управления ИИ-агентами.

5️⃣ Knostic. Предоставляет контроль доступа на основе необходимости знания для больших языковых моделей (LLM), позволяя организациям ускорить внедрение LLM без ущерба для безопасности и ценности.

6️⃣ Metalware. Помогает предприятиям и государственным организациям обеспечивать автоматизированное тестирование прошивок (firmware) для решений, используемых в критической инфраструктуре.

7️⃣ MIND. Платформа для обеспечения безопасности данных, объединяющая решения DLP и IRM, добавляя к ним автопилот для обнаружения, классификации и предотвращения утечек конфиденциальной информации.

8️⃣ ProjectDiscovery. Еще одно решение класса ASM/VM, но для проектов с исходным кодом.

9️⃣ Smallstep. Обеспечивает доступ к чувствительным ресурсам только с устройств, принадлежащих компании, с помощью платформы идентификации устройств, обеспечивающей безопасность при подключении с помощью Wi-Fi, VPN, ZTNA, SaaS-приложений и облачных API.

1️⃣0️⃣ Twine Security. Разрабатывает ИИ-сотрудников, выполняющих задачи от А до Я, помогая ИБ-командам преодолеть дефицит кадров. Первый такой ИИ-сотрудник, Alex, берет на себя задачу управления идентификационной информацией (Identity).

#средствазащиты

14.04.202504:40

Говорят, за одного битого двух небитых дают, а за одного взломанного двух невзломанных 🤜 Разумеется, если взломанные извлекли уроки из произошедшего у них инцидента. По статистике, 74% жертв шифровальщиков сталкивались с ними более 1 раза, а 33% — 4 (!) и более раз! Только представьте себе — тебя 4 раза хакнули, а ты так и не извлек никаких уроков! 😦

Тем интереснее было прочитать 📖 статью Государственной службы специальной связи и защиты информации Украины (ДССЗЗИ) под названием "Как хакеры возвращаются в сеть после атаки: типичные ошибки, которые дают им второй шанс", где анализируются распространенные ошибки, допускаемые организациями после кибератак, которые позволяют злоумышленникам повторно проникать в системы 🔓

#управлениеинцидентами

13.04.202517:25

На злобу дня…

#юмор #мем

Barcha postlar

Reklama qilingan18 sekund

08.04.202514:45BELYAEV_SECURITY

1.1K

Reklama qilingan1 kun

07.03.202509:03RUH8

19.2K

Darknet

Batafsil

Rekordlar

17.04.202523:59

29.5KObunachilar

08.04.202523:59

200Iqtiboslar indeksi

20.02.202506:42

8.7KBitta post qamrovi

22.02.202507:00

7KReklama posti qamrovi

21.09.202423:59

5.68%ER

20.02.202506:42

30.63%ERR

Rivojlanish

Batafsil

Obunachilar

Iqtibos indeksi

1 ta post qamrovi

Reklama posti qamrovi

ERR

Batafsil

Пост Лукацкого mashhur postlari

Barcha postlar

28.03.202509:26

AgADsGgAAorWMEs

4.24 MB

04.04.202504:41

Не очень легальное программное обеспечение Haotian AI для замены лица в реальном времени 👎 Это уже покруче open source проекта Deep-Live-Cam. Достаточно активно продвигается в Telegram для всяких нелегальных целей, стоит от 1200 до 9900 долларов при оплате только криптой 🪙 Так что технологии создания дипфейков развиваются все активнее и дальше.

И использоваться оно может в совершенно различных схемах - от прохождения удаленных собеседований при приеме на работу до генерации порнографии 🫦 с чужим лицом, от фальсификации высокопоставленных и известных людей до верификации в различных сервисах 🛂 Обратите внимание, что даже перекрытие лица рукой отрабатывается, что раньше достаточно легко выдавало использование подмены лица в приложениях типа face swap.

У вас же предусмотрено это в модели угроз? 🎭

#дипфейк

23.03.202510:20

AgADBHcAArp7-Uo

2.07 MB

Repost qilingan:

Религия, культура и Оксана сбоку

06.04.202517:29

"Волк и семеро козлят" в стиле киберпанк 😊 Оригинал - тут

23.03.202514:09

AgADB3cAArp7-Uo

1.39 MB

03.04.202504:40

Дмитрий тут написал у себя, что очень плохо, когда ВУЗы перестают учить студентов на базе Windows 📱 Александр пишет, что нет, все правильно, долой супостатов. А я обращу внимание на другой аспект этой проблемы. В борьбе за суверенитет, у нас многие забыли, что заниматься надо не импортозамещением, а ростом экспортопригодности своих решений 🪟 Тогда запрещать не надо будет - пользователи сами будут переходить на отечественное, которое лучше (в реальности, а не на словах) иностранных аналогов.

А пока мы зарываем голову в песок, блокируя использование всего иностранного ⛔️ А я задам сакраментальный вопрос - а как потом проводить ~~наступательные~~ разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету? Можно возразить, что и не надо искать. Надо выстроить железный занавес и жить в своем уютном ламповом мирке, в котором нет места иностранщине ☕️ Вот только как быть тем, кто стремиться нести свет российских технологий зарубеж, начиная с дружественных и заканчивая не очень странами?

Все эти страны, практически без исключения, импортозамещением не страдают, так как не могут себе позволить развивать с нуля ИТ-отрасль (даже если бы и хотели). И они используют иностранные ИТ-продукты, которые мы смело отметаем 📱 И как российской компании с международными амбициями в таком случае себя вести? И это я еще не вспоминаю про дурацкий запрет, который вступает в силу с 1 сентября, который запрещает российским компаниям любую рекламу в запрещенных и заблокированных в России соцсетях и ресурсах 📱 И вот что мне делать, если я 2-го сентября захочу через LinkedIn или иную какую экстремистскую соцсеть пригласить иностранных коллег на стенд 🟥 на конференции GITEX в Дубае?

Ох, как прав был Лавров... Заставь дураков Богу молиться... 🤦‍♂️ Вместо того, чтобы развивать свое, запрещают чужое. Это же проще - росчерк пера ✍️ и можно отчитываться.

#суверенитет

11.04.202504:40

Умом я понимаю, что РКН в очередной раз призвал всех россиян отказаться от зарубежных VPN ⛔️, но сделал он это как обычно через одно место, что меня, как человека, начинавшего карьеру в ИБ с разработки средств криптографической защиты в одном закрытом НИИ 🧑‍💻, прям коробит.

В России всего, насколько мне известно, один 1️⃣ единственный отечественный криптографический протокол (из не секретных), используемый в контексте, о котором пишет РКН. Это IPlir, разработанный Инфотексом и принятый в качестве рекомендаций по стандартизации под номером Р 1323565.1.034–2020 ☝️ При отсутствии альтернатив, то есть по сути монополизации, можно было задаться вопросом, а не продвигает ли государственный орган интересы конкретной коммерческой компании, которая сегодня чуть ли не единственная реализует IPlir в своих продуктах 🤔

Есть еще отечественные 🇷🇺 протоколы CRISP для промышленных систем, SESPAKE для обмена ключами, работы НПО "Криптонит" в рамках криптографических протоколов сетей связи 5G 3GPP TR 33.846, но это все другое и отношения к теме сообщения РКН не имеет 📡

Но я далек от мысли так думать, так как РКН скорее всего просто не понимает разницы между терминами "криптографический протокол" и "криптографический алгоритм" 🖕 А если бы понимал, то поинтересовался бы у старших товарищей, которые бы объяснили, что весь Интернет, включая работу сайта самого Роскомнадзора, построен на иностранных криптографических протоколах, а именно TLS/IPSec, которые могут использовать разные криптографические алгоритмы, как зарубежные (AES, Camellia, DSA, RSA, SHA, MD5, ECDSA и т.п.), так и отечественные ГОСТы 🔐 И ФСБ с Минцифры прекрасно разрешают использовать зарубежные криптографические протоколы, просто выпуская различные стандарты и спецификации, разъясняющие принципы работы иностранных протоколов с российской криптографией 🇷🇺

А если думать, что РКН понимал, что писал, то он прямым текстом запрещает в Рунете любую криптографию, так как аналогов SSL/TLS у нас нет 🤔 А если бы и были (хотя смысла в этом немного), то она была бы востребована только в одном случае - полная замена всего ПО, включая ОС и браузеры, на отечественное, и запрет на использование Chrome, Firefox и иже с ними на территории Российской Федерации 🇷🇺 Это амбициозная задача, которую можно было бы решить, будь мы Северной Кореей или Ираном, которые не имеют нормального выхода в Интернет и им не надо коммуницировать с соседями, которые продолжают использовать привычный TLS в своей инфраструктуре. Или это план? 🤔

ЗЫ. Да, на всякий случай, IPSec и SSH, STARTTLS и иже с ними, тоже не отечественные криптографические протоколы.

#криптография

04.04.202509:23

В понедельник, в Москве, пройдет конференция "Защита данных" (если вдруг кому надо, то промокод для бесплатной регистрации - ИББ25), на которой, как это ни странно, не будет ни слова сказано о безопасности подрядчиков. А зачем, если я почти все уже сказал в своей презентации на мероприятия "Территория безопасности 2025" 🛡

И так как данные нередко утекают именно через контрагентов и партнеров, то по договоренности с организаторами конференции "PRO безопасность подрядчиков" выкладываю свою презентацию про формирование чеклиста по тому, какие требования к подрядчикам устанавливать и как их контролировать ✔️ Надеюсь, она хорошо дополнит программу понедельничной конференции.

ЗЫ. Есть подозрение, что выделенных мне 40 минут было недостаточно для раскрытия темы. Так что проведу скоро расширенный вебинар с бОльшим погружением в тему и конкретными примерами ⏳ Анонс, конечно же, будет тут, в канале 🤠

ЗЫ. Кстати, на конференции "Защита данных" будут рассказывать о "единой платформе с нулевым уровнем доверия" 🤔 Ох уж этот беспощадный нейминг и бездумный перевод на русский язык англоязычных терминов. Что "цепочка поставок" (supply chain), что "горизонтальное перемещение" (lateral movement), что вот теперь "платформа с нулевым уровнем доверия" (zero trust platform). Копирайтер не понимает разве, что словосочетание "платформа с нулевым уровнем доверия", кардинально меняет смысл и звучит негативно? 🤔

#чеклист #supplychain

02.04.202504:40

Рафик Риман выпустил очередную карту знаний и навыков 🗺, которыми, по его мнению, должен обладать CISO. Так как карту осилить может не только лишь каждый, выделено 6 фокусных направлений:
1️⃣ Защита GenAI 🧠 В прошлом году Рафик обращал внимание на то, что CISO должен заняться GenAI, а в этом уже и защитить его. Как по мне, так это скорее должна была быть прошлогодняя рекомендация, а в этом надо уже говорить об ИИ-агентах, о которых Рафик почему-то молчит.
2️⃣ Консолидация средств защиты либо через экосистемный подход (все от одного вендора), либо через зоопарк лучших решений, но при наличии у них нормального развитого API.
3️⃣ Закрытие технического долга ИБ перед бизнесом в виде непатченных дыр и недочетов в архитектуре 🏗
4️⃣ Шифровальщики и киберустойчивость. Что шифровальщики делают в рекомендациях на 25-26-й годы не очень понятно, ну да ладно.
5️⃣ Содержательные метрики. У каждого понятие свое, но мысль Рафика в том, что надо уходить от операционных метрик к тому, что показывает результат для бизнеса. Плюсую 👍
6️⃣ Цифровая гигиена, но не в привычном смысле, а на более продвинутом уровне, - защита API, полная видимость, уменьшение поверхности атаки, снижение сложности, управление подрядчиками. Ну тоже как бы не этого года рекомендация, а прошедших пары лет 🤔

В комментариях к посту с анонсом, среди восторженных восклицаний, пришел один человек и написал: ✍️

This is really #horrifying. And I can understand nobody wants to be a CISO seeing this. I think your knowledge of the function of security management could be used to do the oposite. I'm thinking of Steve Jobs: "Simple can be harder than complex:
You have to work hard to get your thinking clean to make it simple. But it's worth it in the end because once you get there, you can move mountains." I think he's right: it's much harder to make something simple than making it complex - as in your scheme. Nevertheless, I recommend you give it a try.
Your knowledge of security management should have to be sufficient to deliver that.

Переводить, как мне кажется, не нужно - все и так понятно. Год от года карта усложняется 🗺 и в ней все сложнее разобраться и реализовать все написанное. Соглашусь с этим тезисом, но с другой стороны я не вижу варианта решения этой проблемы 🤷‍♀️ В сферу внимания CISO попадает все больше направлений, а значит и знаний должно быть больше.

У Адизеса, в его книгах по типам руководителей, эта проблема очень хорошо описана (правда, в другом контексте) 🧐 Нет руководителя, который бы включал в себя все свойства, которые должны быть. Это значит, что хороший руководитель должен распознать свои сильные стороны, а слабые усилить за счет подчиненных. Так, наверное, и с картой Римана, - не можешь сам, ищи подчиненных, которые "закроют" нужные темы и при этом которым ты доверяешь 🤔

Из этого следует, наверное, интересный вывод 🤔 CISO в некрупной компании, у которого нет в подчинении десятков и сотен людей, вынужден разбираться во всех этих самостоятельно, а значит он, по идее, на голову выше CISO крупной компании (с точки зрения хардскиллов, как минимум). По мере "взросления" и попадания во все более крупные компании, хардскиллы 🤔 уходят и им на смену приходят софтскиллы - компромиссы, умение выстраивать диалоги с бизнесом, командообразование и т.п. Ну или не приходит и тогда большой начальник большой только по должности, но не по знаниям/навыкам/уважению... 😱 Собственно, как и "маленький" CISO не обязательно знает всю карту Римана - он вполне может быть занят операционкой и на все остальное у него просто не хватает времени.

#ciso #тенденции

07.04.202509:30

Не устаревает до сих пор 😏

Смотрю, как студенты понтуются, кто из них больше ни фига не делал и всё сдал.
Эх...
Когда я был студентом, я сдавал право одной очень милой женщине. Она была практикующим юристом, и я ожидал, что такой специалист меня сейчас будет гонять от и до по всему конспекту.
Она посмотрела на меня и, ничего не спрашивая, поинтересовалась:
- Оценку вам какую ставить?
- Э... Пять хотелось бы
- Отлично, - сказала она, и стала писать в зачётке
- А вы что, даже ничего спрашивать не будете? - удивился я.
Она оторвалась от заполнения зачётки, внимательно посмотрела на меня и сказала:
- Запомните, молодой человек, чем меньше вы знаете, тем более ценна я как специалист.
Эта фраза мне запомнилась на всю жизнь и больше я не страдал фигнёй во время занятий.
И сейчас самое время мне, уже доценту и одновременно практикующему проектировщику зданий, повторить то же самое:
Господа студенты, не учитесь, пожалуйста! Старайтесь как можно больше получить на халяву! Чем меньше вы знаете по окончании института, тем более ценен я как специалист и тем большую зарплату я могу потребовать за свои услуги!

Хотя в тех редких случаях, когда я был преподом в ВУЗе и принимал экзамены, я все-таки спрашивал и, иногда, заваливал студентов, которые болт клали на предмет. Но вот не ходить на лекции разрешал 🤔

Но тогда не было ИИ, а сейчас он есть 🫡 Так что конкуренция за место под солнцем усилилась и те, кто постоянно не учатся, обречены на то, что будут выброшены на свалку истории 💀

#обучение

24.03.202513:29

AgADDXcAArp7-Uo

4.32 MB

25.03.202509:39

Тот редкий случай, когда я выступал не на тему кибербеза, а про то, как выступать на тему кибербеза 🗣 Для внутренних целей запилил мини-курс по тому, как готовиться к выступлению, как готовить презентацию, как выступать и работать с аудиторией. Подсобрал немного лайфхаков, оформил их в презентацию и поделился в режиме диалога с коллегами 📈 Вроде получилось недурственно. Как минимум, мне самому понравилось - подсобрал вместе свои наработки в этой сфере. Если вдруг случится небывалое и я покину кибербез 😲, смогу заняться преподаванием на курсах по Presentation Skills.

Презой делиться не буду - слишком много там внутренней кухни 🟥 про то, как выступать перед разными целевыми аудиториями и спикерам из разных подразделений и разного уровня иерархии, про то, как это все соотносится с проводимыми нами мероприятиями, с примерами удачных и неудачных выступлений и презентаций и т.п. Но если вдруг мне понадобится где-то читать такое же для другой аудитории - добавить туда другой специфики будет несложно 🙂

07.04.202504:40

Легонькая статья о том, как общаться с топ-менеджерами про кибербезопасность, в которой приводится магическое число советов, то есть семь, которым надо следовать, когда вы хотите купить новые решения по ИБ: 🧐
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.

#ciso #топменеджмент

27.03.202504:40

Вот подростки 🫂 Живут себе, занимаются мастурбацией для собственного удовольствия и ни о чем и ни о ком не думают 🤤 Становясь постарше и поумнее, входя в отношения с противоположным полом, они начинают задумываться не только о собственном оргазме, но и удовольствии партнера 🔞 То есть эгоизм отходит на второй план, уступая место пользе для другого!

Почему же спикеры, желающие выступать 🎤 на конференциях, не проецируют эту историю на подачу заявок на CFP? Вот бывает смотришь название предлагаемого доклада. Интрига… 🌚 Прям хочется заглянуть в описание. Заглядываешь, а там сказка. Систематизированные тезисы, описание проблематики и пользы для слушателей, описан опыт самого спикера. И сразу понимаешь - вот, человек в теме, с опытом, готовился, думал о пользе для других, а не только о своем самоудовлетворении на Большой сцене Лужников 🏟

Но чаще не так. Слабают название тяп-ляп - «Обеспечение защиты информации в государственных информационных системах» 🤠 На аннотацию без слез не взглянешь - «О важности обеспечения защиты информации в ГИС». Регалий и опыта автора нет, только ник - mormyshka2003. Понять, обладает ли он опытом, чтобы рассказывать заявленную тему, невозможно. И вот что я, как программный директор 5-7 отечественных мероприятий по ИБ, должен делать с такой заявкой? 🤷‍♀️

В курсе по завоеванию сердец я много внимания уделяю именно пользе для слушателей, на которой должен фокусироваться спикер 🎤 И делать он это должен, начиная с подачи заявки на выступление. А иначе аудитория недополучит отличных докладов и харизматичных спикеров 🗣

10.04.202504:40

После выступления на "Территории безопасности 2025" я получило много положительных отзывов по своей презентации про формирование чеклиста по безопасности подрядчиков ✔️ А еще больше было вопросов по отдельным блокам и слайдам презентации, на которые я не успел ответить в ходе самого выступления, так как всего у меня было около 40 минут на эту тему 🕙 Поэтому решено - проводим отдельный вебинар длительностью до 2 часов, на котором презентация будет существенно расширена и дополнена примерами.

Вебинар пройдет 18 апреля в 14.00 по московскому времени. Все детали по ссылке. Даже если вы не сможете присутствовать, то хотя бы зарегистрируйтесь, чтобы получить после него запись и новую версию презентации 🤝

Ko'proq funksiyalarni ochish uchun tizimga kiring.