Как стать автором
Обновить
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир
Сначала показывать

Security Week 2412: атака на ChatGPT по сторонним каналам

Время на прочтение 5 мин
Количество просмотров 458
Исследователи из Университета имени Бен-Гуриона опубликовали работу, в которой показали новый метод атаки, приводящий к частичному раскрытию обмена данными между пользователем и ИИ-чатботом. Анализ зашифрованного трафика от сервисов ChatGPT-4 и Microsoft Copilot в некоторых случаях позволяет определить тему беседы, причем это не является атакой на собственно алгоритм шифрования. Вместо этого используется атака по сторонним каналам: анализ зашифрованных пакетов позволяет определить длину каждого «сообщения». Примечательно, что для расшифровки трафика между большой языковой моделью (LLM) и пользователем используется еще одна, специально подготовленная LLM.


Атака возможна исключительно в потоковом режиме передачи данных, когда ответ от ИИ-чатбота передается в виде серии зашифрованных токенов, каждый из которых содержит одно или несколько слов. Такой способ передачи соответствует методу работы языковой модели, когда каждое предложение разбивается на отдельные слова либо даже фрагменты слов для последующего анализа. Авторы работы считают уязвимыми большинство современных ИИ-чатботов, за исключением Google Bard и Github Copilot (принцип взаимодействия с которым отличается от Microsoft Copilot, несмотря на использование одной и той же модели GPT-4). В большинстве случаев запрос от пользователя передается на сервер одним куском, а вот ответ представляет собой серию токенов, передающихся последовательно и в режиме реального времени. До шифрования данные никаким образом не изменяются, а значит, появляется возможность вычислить длину зашифрованного фрагмента. А уже из этих данных получить представление о теме беседы.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 0

СТОИКИ, visibility, ИПР и другие «витамины роста». 9+ ключевых советов про карьеру от техписов

Уровень сложности Средний
Время на прочтение 3 мин
Количество просмотров 778
На прошлой неделе мы в «Лаборатории Касперского» провели онлайн-митап, в рамках которого спикеры из различных компаний рассмотрели карьеру технического писателя как со стороны самого сотрудника (профессиональное развитие, выход на повышение, шифтинг в смежную специальность), так и со стороны нанимающих менеджеров (как найти стажера, как грамотно сформулировать требования к кандидату, как выстроить систему адаптации и что делать, если команда резко увеличилась).

image

Здесь в посте — краткая выжимка эфира в девяти ключевых тезисах, собранных из докладов всех спикеров. Если же вам интересно послушать полные выступления, а также ответы на волнующие зрителей (и, скорее всего, вас тоже) вопросы, посмотрите запись митапа по этой ссылке или в виджете ниже. Тем более что часть тезисов о развитии, повышении и структурных изменениях в команде будет применима не только к разработке документации, но и к другим сферам.
Читать дальше →
Всего голосов 13: ↑11 и ↓2 +9
Комментарии 0

Security Week 2411: критическая уязвимость в продуктах VMware

Время на прочтение 3 мин
Количество просмотров 2.6K
5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».



Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 0

Почему я возмущен хабрапостом на 75 минут, или Вы неправильно нанимаете DevOps

Уровень сложности Средний
Время на прочтение 12 мин
Количество просмотров 13K
Достаточно часто я сталкиваюсь с существенной проблемой, которую допускают многие компании на уровне почти всех отделов при найме DevOps. Она многоуровневая и затрагивает как взаимодействие и зоны ответственности HR-отдела и нанимающей команды, так и выстраивание общих процессов внутри компании, например актуальной базы знаний и открытость дальнейших планов для лидов.

Меня зовут Андрей Сухоруков, я DevOps TeamLead в «Лаборатории Касперского». В IT я в общей сложности более 11 лет и в течение карьеры очень часто примерял на себя роль антикризисного лида, разрешая большие проблемы в больших проектах практически во всех отраслях бизнеса: металлургия, банки, госструктуры; был консультантом на аутсорсе. А еще — нанимал и, соответственно, собеседовал. Поэтому отлично знаю, о чем говорю.
Читать дальше →
Всего голосов 40: ↑29 и ↓11 +18
Комментарии 25

Security Week 2410: проблемы високосного года

Время на прочтение 3 мин
Количество просмотров 1.5K
На прошлой неделе в сфере информационной безопасности произошло 29 февраля. Эта дата появляется в календаре каждые четыре года, что достаточно часто, чтобы учитывать ее в разнообразном программном обеспечении. Тем не менее каждый високосный год мы сталкиваемся с такими же происшествиями, как и при более масштабных календарных изменениях — проблемах 2000-го или 2038 года.


Типичным примером стал инцидент на заправках в Новой Зеландии. 29 февраля там отключились платежные терминалы компании Invenco Group. Сбой продолжался 10 часов, больше всего пострадали автоматические бензоколонки, в которых других вариантов оплаты нет. Проблема осложнилась тем, что софт для обработки платежей разрабатывала сторонняя компания, расположенная во Франции. Необходимость взаимодействия людей в разных часовых поясах задержала восстановление системы. Представитель одной из пострадавших сетей заправочных станций пообещал подготовиться к следующему високосному году заранее.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 5

Security Week 2409: PrintListener, кража отпечатков пальцев по стороннему каналу

Время на прочтение 4 мин
Количество просмотров 1.4K
На прошлой неделе исследователи из университетов США и Китая опубликовали научную работу, в которой показали новый способ кражи отпечатков пальцев через сторонний канал. Предложенная ими модель атаки достаточно реалистичная: они показали теоретическую возможность реконструкции отпечатков из звуковых данных. Легко представить себе ситуацию, когда во время конференц-звонка пользователь параллельно просматривает что-то на экране смартфона. Звук движения пальцев по экрану таким образом может быть записан, а его анализ позволит реконструировать ключевые элементы отпечатка.



Атаку назвали PrintListener. Ее принципиальная возможность основывается на том, что биометрические датчики ориентируются прежде всего на наиболее ярко выраженные уникальные особенности отпечатка, например узоры, похожие на петлю или дугу. В работе показано, что эти же особенности влияют на звук, возникающий при движении пальца по дисплею смартфона или планшета. Если у нас есть возможность записать звук с этого же смартфона (а такой сценарий вполне возможно реализовать), можно попробовать частично восстановить отпечаток. Естественно, для этого пришлось воспользоваться алгоритмами машинного обучения.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Приглашаем на онлайновый митап про карьеру техписа: наём, развитие, треки

Время на прочтение 1 мин
Количество просмотров 472
В среду, 6 марта, в 16 часов (МСК) мы проведем онлайновый митап под названием «Kaspersky Tech Fest. Карьера техписа: наём, развитие, треки». Спикерами митапа будут технические писатели, а также тимлиды команд техписов и руководители отделов технической документации из топовых компаний.



Коллеги рассмотрят карьеру и развитие технического писателя с разных сторон: от поиска и адаптации нового сотрудника (включая стажера без опыта) до источников профессионального роста и возможностей повышения.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Комментарии 1

Может рухнуть при первой атаке. Почему компаниям важно прокачивать киберграмотность

Уровень сложности Простой
Время на прочтение 9 мин
Количество просмотров 18K

Утечка конфиденциальных данных или нарушение работы информационных систем может привести к серьёзным последствиям: финансовым потерям, утрате доверия клиентов, репутационным рискам. Во многих компаниях это понимают. Или нет? И все ли достаточно осведомлены о способах защиты от киберугроз? 

Методы защиты, которые недавно были достаточными, сегодня становятся устаревшими и неэффективными. Важно постоянно следить за динамикой и тенденциями в сфере ИБ — как угроз, так и способов противодействия им. 

Мы провели опрос, чтобы дать возможность пользователям Хабра высказать своё мнение об уровне защищённости компаний от киберугроз — и оценить важность информационной безопасности. 

Итоги опроса
Всего голосов 30: ↑26 и ↓4 +22
Комментарии 9

Security Week 2408: уязвимости в Microsoft Exchange и Outlook

Время на прочтение 4 мин
Количество просмотров 2.3K
13 февраля компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто более 70 уязвимостей, наиболее опасные относятся к защитным механизмам в Windows, не позволяющим открывать сомнительные файлы из Сети без предупреждения. Были также исправлены серьезные проблемы как в почтовом сервере Microsoft Exchange, так и в клиенте Outlook. Четыре уязвимости на момент выпуска патча уже активно использовались в кибератаках.


Дыра в почтовом клиенте Microsoft может быть кратко описана, как «Outlook против восклицательного знака». Исследователи компании Check Point обнаружили, что добавление символа «!» в ссылке на файл в почтовом сообщении обходит механизмы защиты. Теоретически внутри ссылки в e-mail можно закодировать путь к файлу на сервере. В норме открытие такой ссылки будет заблокировано системой безопасности. Но если в конце пути добавить восклицательный знак и произвольные символы после него — файл будет открыт.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 1

Трагические микрозаймы, украденные креды: какие Android-зловреды мы обнаружили в официальных маркетах

Уровень сложности Средний
Время на прочтение 13 мин
Количество просмотров 3.8K
Один из основных принципов защиты мобильного устройства от киберугроз — загружать приложения только из официальных маркетов, таких как Google Play или Apple App Store. Однако несмотря на то, что софт проходит множество проверок перед публикаций, это не гарантирует, что пользователь не столкнется с фишинговым приложением или даже с банковским трояном.

image

Меня зовут Татьяна Шишкова, я — Lead Security Researcher в команде Глобального центра исследования и анализа угроз (GReAT) «Лаборатории Касперского». За более чем 25 лет существования компании мы выявили сотни и тысячи угроз, которые могут подпортить жизнь владельцам смартфонов. В этой статье я расскажу о тех угрозах для пользователей Android, которые мы с коллегами нашли в официальных Android-маркетах за последние пару лет: методы продвижения вредоносных приложений и способы обхода мер безопасности маркетов, новые семейства зловредов, которые попали в официальные и сторонние магазины приложений. Также мы рассмотрим способы обнаружения мобильных зловредов, в том числе банковских троянов, подписочных троянов, фишинговых приложений, методы защиты пользователя от них и многое другое.
Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Комментарии 8

Security Week 2407: о (без)опасности умных зубных щеток

Время на прочтение 3 мин
Количество просмотров 1.9K
В потоке новостей по информационной безопасности редко, но регулярно появляются либо просто странные, либо полностью выдуманные «исследования». На прошлой неделе широко обсуждался (в том числе на Хабре) совсем уж выдающийся пример воображаемой угрозы. Все началось с публикации в швейцарской газете Aargauer Zeitung еще в конце января. Со ссылкой на компанию Fortinet там рассказывалось о некоем ботнете из умных зубных щеток, который был использован для проведения успешной DDoS-атаки на неназванную компанию в Швейцарии.



На прошлой неделе статья была перепечатана во множестве СМИ по всему миру. Немедленно последовали и опровержения: и традиционные, с запросом комментариев у всех участников «креатива», и нестандартные. Компания Malwarebytes опубликовала статью с длинным заголовком «Как определить, что ваша зубная щетка используется в DDoS-атаке» и кратким содержанием «Нет, не используется». Эта безусловная небылица, впрочем, напоминает нам сразу про две регулярные темы в сфере ИБ: о критической небезопасности IoT-устройств (но не этих!) и о бессмысленной и беспощадной моде на подключение к Wi-Fi приборов, которые этого совершенно не требуют.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 1

ИБ и ИТ, давайте жить дружно. Вот как это возможно

Уровень сложности Сложный
Время на прочтение 14 мин
Количество просмотров 10K
Безопасность во многих компаниях стоит особняком. Вместо того чтобы беспокоиться о качестве вашего продукта, безопасники твердят о ГОСТах и ISO, о разных сертификациях и авторизационных протоколах — вещах важных, но вне фокуса основного архитектора. При этом их деятельность «подрывает» производительность, debugability, да вообще все.

image

Однако есть способы сделать безопасность своим союзником на пути к качеству. В этой статье — о дихотомии разработки и безопасности. О том, что, вообще говоря, миры информационной безопасности и архитектуры ИТ-систем не столь далеки друг от друга, как может показаться. И что на самом деле практики безопасности пересекаются с практиками повышения качества кодовой базы, а ПО можно сделать безопасным без потери качества. Поскольку я сама довольно долго занималась системной разработкой, после чего ушла в безопасность и сейчас работаю в команде собственной микроядерной операционной системы «Лаборатории Касперского» KasperskyOS, то отлично знаю, что хотела бы услышать еще тогда, когда ИБ была для меня другой стороной :)

Читать дальше →
Всего голосов 19: ↑18 и ↓1 +17
Комментарии 12

Security Week 2406: множество уязвимостей в VPN-сервере Ivanti

Время на прочтение 5 мин
Количество просмотров 1.4K
1 февраля компания Ivanti объявила о закрытии нескольких уязвимостей в продуктах Ivanti Connect Secure и Ivanti Policy Secure. Это была бы рутинная новость, если бы не сложности, с которыми столкнулся разработчик этого решения для удаленного доступа к корпоративным ресурсам. Между тем две уязвимости на момент обнаружения в декабре прошлого года уже активно эксплуатировались. Для VPN-сервера, по определению доступного в сети, это особенно опасная ситуация. С момента, когда информация о серьезных проблемах в Connect Secure была обнародована, и до выпуска полноценного патча прошло почти три недели.


Проблемы с подготовкой патча привели к тому, что за день до выпуска обновленных версий, 31 января, американское агентство по информационной безопасности CISA выпустило директиву (актуальную, соответственно, для американских же государственных органов), в которой потребовало отключить уязвимые решения. Это достаточно нестандартная мера. Для американского разработчика ПО данный инцидент стал серьезной проверкой на способность защитить своих клиентов. Причем это уже второй инцидент с эксплуатируемой и крайне серьезной уязвимостью в продуктах Ivanti, предыдущий был в августе 2023 года.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 0

Security Week 2405: криптостилер для Mac OS

Время на прочтение 4 мин
Количество просмотров 1.6K
На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносной программы для компьютеров Apple. Это свежее семейство распространяется вместе с пиратскими дистрибутивами популярных программ и, помимо прочего, крадет криптокошельки жертв. Проанализированный экспертами сэмпл запускается на свежих версиях Mac OS от 13.6 и выше, поддерживает компьютеры как на базе процессоров Intel, так и на Apple Silicon. Окно установщика загруженной пиратской версии программы выглядит так:


Пользователю предлагают установить дистрибутив программы, которая ему необходима, в данном случае это приложение Xscope. Также предлагается инсталлировать некий «Активатор», который взломает приложение. Первая особенность такого вредоносного набора: в комплекте поставляется уже взломанная версия легитимного ПО, которая работала бы без всяких активаторов. Однако в начале исполняемого файла дописаны 16 байт мусорных данных, и это делает его неработоспособным. Все, что делает «Активатор», — удаляет эти лишние 16 байт, делая возможным запуск приложения. К сожалению, на этом деятельность вредоносной программы не заканчивается.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 0

Действительно ли C++ — лучший язык, чтобы выстрелить себе в ногу?

Уровень сложности Средний
Время на прочтение 15 мин
Количество просмотров 29K
В 2023 году одной из главных IT-новостей стала публикация гайда от Агентства национальной безопасности (NSA) США, в котором языки С/C+ признавались «опасными» и требующими перехода на «безопасные» C#, Go, Java, Ruby и Swift.

В этой статье я с позиции Security Champion в KasperskyOS, собственной микроядерной операционной системе «Лаборатории Касперского», расскажу, так ли плохо обстоят дела с безопасностью в С++ на самом деле, а также разберу различные подходы к митигации описанных проблем, которые современная индустрия предлагает для решения данного вопроса.
Читать дальше →
Всего голосов 49: ↑40 и ↓9 +31
Комментарии 135

Security Week 2404: подглядывание через датчик освещенности

Время на прочтение 4 мин
Количество просмотров 26K
Научные исследования в сфере безопасности довольно регулярно посвящены угрозам совершенно теоретического плана. В публикации попадают потенциальные уязвимости, которые никто прямо сейчас эксплуатировать не будет. Задача таких работ — усилить безопасность в перспективе. Если когда-то в будущем будут созданы благоприятные условия для реальной атаки, производители устройств и разработчики софта уже успеют подготовиться. Интересным подвидом таких исследовательских проектов является извлечение полезных данных из таких мест, откуда, казалось бы, ничего вразумительного получить невозможно. Например, можно попытаться извлечь звук из мелких дрожаний видеокартинки (если из видео кто-то вырезал нормальную звуковую дорожку). Подслушку можно организовать через встроенный в смартфон акселерометр. Анализ звука нажатий клавиш позволяет реконструировать то, что набирают на клавиатуре.



Каждая из этих «возможностей» на самом деле серьезно ограничена различными оговорками и допущениями: например, подслушивать через акселерометр можно только на нереально высокой громкости. В начале января в журнале Science была опубликована научная работа, посвященная извлечению изображений из датчика освещенности. Такой датчик установлен во все смартфоны и планшеты, а также в большинство ноутбуков, многие мониторы и телевизоры. Можно описать этот датчик как своего рода однопиксельную цифровую камеру. Как выяснилось, даже из таких невнятных данных после обработки с использованием систем машинного обучения можно вытащить изображение. Пример — на скриншоте из исследования выше. Это не кадры из фильма ужасов, а снимки руки пользователя, например вводящего пин-код на экранной цифровой клавиатуре. Даже по сравнению с другими подобными исследованиями, эта работа удивляет нереалистичностью предложенного метода атаки. Что, впрочем, никак не умаляет достижений авторов исследования, которые даже в таких сложных условиях смогли хоть как-то извлечь осмысленные данные из шума.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 2

Скачать фильмы за креды без СМС и регистрации: история одного supply chain под Linux

Уровень сложности Средний
Время на прочтение 9 мин
Количество просмотров 5.7K
В ходе расследования одного инцидента был обнаружен целый кластер вредоносной активности, нацеленный на операционную систему Linux, который оставался незамеченным как минимум с 2020 года. Дальнейший анализ показал, что вредоносное программное обеспечение выдавало себя за очень популярный мультиплатформенный менеджер загрузок.

В этой статье я, Леонид Безвершенко, и мой коллега, Георгий Кучерин, — Security Researcher-ы в Глобальном центре исследования и анализа угроз (GReAT) «Лаборатории Касперского» — расскажем о нашем совместном исследовании, позволяющем проследить, как жертвы, сами того не зная, устанавливали себе зараженный Debian-пакет менеджера загрузок с официального сайта.

image

Наше исследование началось с того, что мы получили образ диска и дамп памяти одного ноутбука на операционной системе Linux. Предполагалось, что этот ноутбук был скомпрометирован. Нашей задачей было опровергнуть это или, наоборот, доказать, поняв, что там вообще произошло.
Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Комментарии 10

Security Week 2403: Bluetooth-уязвимости в Windows, Linux, Android, iOS и Mac OS

Время на прочтение 4 мин
Количество просмотров 2.5K
На прошлой неделе исследователь Марк Ньюлин в подробностях рассказал об уязвимостях в стеке Bluetooth, которые затрагивают в той или иной степени практически все ПК, смартфоны и другие мобильные устройства. Его статья и выступление на конференции ShmooCon дополняют опубликованное еще в декабре краткое сообщение о найденных проблемах. Основная уязвимость (получившая идентификатор CVE-2023-45866) связана с тем, что большинство реализаций протокола Bluetooth поддерживают установление связи с клавиатурой (или Bluetooth-устройством, которое притворяется клавиатурой) без аутентификации. В результате на уязвимых устройствах (с некоторыми оговорками, о которых позже) потенциальный злоумышленник может добавить собственную клавиатуру и отправлять произвольные нажатия клавиш.



Ньюлин — автор более раннего исследования про небезопасность беспроводной периферии. В 2016 году он обнаружил разнообразные проблемы в устройствах, которые общаются с компьютером через собственный USB-приемник, обычно работающий на частоте 2,4 гигагерца. По результатам той работы автор предположил, что использование Bluetooth-клавиатур является более безопасным методом. В прошлом году он решил проверить это допущение на практике и нашел не менее серьезные проблемы. В большинстве случаев они, к счастью, решаются доставкой обновления для операционной системы. Но есть как минимум два исключения. Это старые, не получающие обновления устройства на базе Android 10-й и более ранних версий. И Bluetooth-клавиатуры Apple Magic Keyboard, в которых Марк нашел уникальную проблему.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 0

Security Week 2402: атака «Триангуляция» и аппаратная уязвимость в iPhone

Время на прочтение 5 мин
Количество просмотров 3.9K
В конце прошлого года исследователи «Лаборатории Касперского» опубликовали новую статью, в которой разбирают детали атаки «Триангуляция» (см. также новость на Хабре и видео с конференции 37c3). Про эту атаку мы писали в прошлом году дважды. В июне был опубликован общий отчет, из которого впервые стало известно об атаке на устройства Apple, принадлежащие сотрудникам «Лаборатории Касперского». В этом отчете рассказывалось о методе обнаружения идентификаторов компрометации в бэкапах iPhone. В октябре исследователи рассказали, как удалось достать вредоносный код, который использовался на всех этапах атаки, вплоть до изначального вредоносного сообщения. Из самой свежей публикации можно узнать о результатах анализа вредоносного кода.


Атака «Триангуляция» начиналась с отправки на телефон вредоносного сообщения через сервис iMessage. Сообщение содержало вложенный файл в формате PDF. Как теперь известно, в этом файле был спрятан эксплойт, который задействовал уязвимость в обработчике шрифтов TrueType в iOS. Крайне интересно, что уязвимость была найдена в недокументированной инструкции Adjust: информации о ней практически нет, лишь в древних версиях Windows есть ссылка на эту инструкцию с указанием, что она применяется только в компьютерах Apple. Ошибка в коде (который патчем от Apple был просто удален и, скорее всего, не менялся с 90-х годов прошлого века) приводила к выполнению произвольного кода. Важно, что владельцу телефона даже не надо было каким-то образом взаимодействовать с присылаемым сообщением или аттачем.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Комментарии 3

Как получить повышение. Взгляд глазами руководителя

Уровень сложности Простой
Время на прочтение 8 мин
Количество просмотров 64K
Новый год — это не только праздник/отдых/премии и вот это вот все, нужное подчеркнуть; это еще и старт нового промоушен-периода, когда вы можете претендовать на повышение грейда или увеличение зарплаты.

В моем отделе (B2В Product Design, хотя это сейчас неважно) 25 человек. Непосредственно я руковожу не линейными сотрудниками, а тимлидами команд, но суть в том, что по каждому из коллег в мои задачи входит распределение премий, повышение зарплат и назначение новых грейдов.

За время моей работы я не только помогла с промоушеном примерно полутора десяткам коллег, но и много раз сталкивалась с типовыми ошибками сотрудников в этих вопросах. И хотела бы поделиться своим опытом со стороны руководителя, как вы можете увеличить свои шансы получить заветное повышение.

И я не зря публикую этот пост в самом начале года: во-первых, в разных компаниях промоушен-периоды проходят в разные сроки, начиная в том числе прямо с зимы; во-вторых, чем раньше вы выберете правильную тактику, тем больше у вас шансов на успех.


(Моя любимая команда. И тут, кстати, не все))
Читать дальше →
Всего голосов 135: ↑63 и ↓72 -9
Комментарии 294

Информация

Сайт
www.kaspersky.ru
Дата регистрации
Дата основания
Численность
5 001–10 000 человек
Местоположение
Россия