Информационная безопасность *

Как внедрить ИИ в разработку и подружиться с безопасниками

ИИ-инструменты в разработке стали классикой. Но чем активнее команды используют ИИ, тем острее стоят вопросы безопасности. Об этом говорят гораздо реже, чем о новых моделях — хотя именно она определяет, выкатите ли вы фичу спокойно или поднимите команду в 3 ночи поднимать упавший сервер.

Чтобы разобраться, как это работает в реальных процессах, мы собрали за одним столом лидеров из Сбера, Positive Technologies, RuStore и Ozon FinTech. Эксперты поделились практиками, ошибками, риск-моделями и объяснили, почему безопасность — это не тормоз, а часть архитектуры внедрения ИИ.

Теперь запись доступна на YouTube. Вы узнаете:

• Как защищать чувствительные данные, не превращая компанию в «закрытый контур». Какие подходы позволяют внедрять ИИ-инструменты в средах, где малейшая утечка — критический инцидент.

• Три ключевых AI-риска, про которые редко говорят вендоры. Злоупотребление моделями, небезопасный код, сгенерированный без проверки, и ИИ-агенты с доступами ко всему — эксперты поделятся кейсами.

• Как меняется соотношение безопасности и скорости при масштабировании. Почему крупные компании осторожнее, чем стартапы, и как учитывать репутационные и финансовые риски при внедрении автоматизации.

• Что делать, если ИИ сгенерировал уязвимый код, и это привело к взлому системы. Где проходит реальная граница ответственности между разработкой, безопасностью и инструментами.

• К чему готовиться в части регулирования. Почему регулирование ИИ будет идти по пути любых инженерных технологий, что происходит в Китае, и какие требования появятся первыми.

• Как безопасники и разработчики приходят к партнёрству.
  Почему зрелые команды кибербеза не тормозят внедрение технологий, а помогают строить безопасный процесс — и почему к 2026 году в компаниях появятся команды, частично состоящие из ИИ-агентов.

Спикеры:

• Сергей Марков — Директор по развитию технологий ИИ, Сбер.

• Светлана Газизова — Директор по построению процессов безопасной разработки, Positive Technologies.

• Александр Толмачев — ex-CDO Ozon FinTech, преподаватель Сколково и ВШЭ.

• Сергей Кузнецов — Руководитель команды мобильной инфраструктуры, RuStore.

«Большинство серьёзных инцидентов происходит не из-за ИИ, а из-за плохо выстроенных процессов вокруг него. Агент с лишними правами доступа может привести к краху всего.»

— Сергей Марков, директор по развитию технологий ИИ, Сбер.

Смотрите полную запись круглого стола на YouTube — если вы внедряете ИИ, работаете с чувствительными данными или хотите адаптировать SDLC под новые риски.

Коллега обнаружил забавный момент, который идёт в копилку "PVS-Studio — двигатель прогресса".

Слышали ли вы про то, что злобные C и C++ компиляторы могут удалить вызов memset в конце функции во время оптимизаций? У нас даже про это есть диагностика V597.

Это давно известная, но при этом живучая потенциальная уязвимость CWE-14: Compiler Removal of Code to Clear Buffers. В следующем коде компилятор удалит заполнение памяти нулями (вызов memset), так как после этого буфер не используется. Раз не используется, то заполнение буфера с точки зрения языка C++ не имеет каких-либо наблюдаемых эффектов и, следовательно, является лишим. Т. е. его можно и нужно удалить с целью оптимизации.

void sha1_hmac( unsigned char *key, int keylen,
                unsigned char *input, int ilen,
                unsigned char output[20] )
{
  sha1_context ctx;

  sha1_hmac_starts( &ctx, key, keylen );
  sha1_hmac_update( &ctx, input, ilen );
  sha1_hmac_finish( &ctx, output );

  memset( &ctx, 0, sizeof( sha1_context ) );
}

Код позаимствован из статьи про проверку проекта PPSSPP.

Проблема насущная, и для её решения в стандарт C23 внесли новую функцию memset_explicit, которая теперь обязательна для реализации в стандартной библиотеке вместо memset_s. Так вот, автор предложения (Miguel Ojeda, P1315) в своём документе сослался на нашу диагностику (ссылка N3).

И похоже, что он давно про нас знает, т. к. умудрился вставить ссылку ещё аж на старый сайт viva64.

Не зря столько лет говорим про memset. Приятно, что нас уже в proposal-ы затаскивают :)

Программа вебинаров на декабрь 🎧

Приглашаем на бесплатные онлайн-встречи с экспертами по безопасности, базам данных и BI в облаке. Подключайтесь и задавайте вопросы в прямом эфире.

Self-hosted vs Managed PostgreSQL: эксплуатация и риски
📆 Когда: 9 декабря в 11:00 мск

Честно сравним два подхода и разберем, с какими сложностями и скрытыми рисками можно столкнуться при переходе с on-premise на Managed PostgreSQL в облаке. И, главное, как их избежать.

Безопасность в облаке: как провайдер и клиент делят зоны ответственности
📆 Когда: 11 декабря в 11:00 мск

Поговорим о разделении ответственности за кибербезопасность между облачным провайдером и клиентом. Расскажем, какие задачи лежат на каждой из сторон и как модель разделенной ответственности помогает избежать инцидентов.

Как запустить BI за день, а не за месяц
📆 Когда: 16 декабря в 11:00 мск

Сложное развертывание, тонкая настройка и постоянная зависимость от IT-специалистов растягивают внедрение бизнес-аналитики. На вебинаре покажем, как развернуть полнофункциональную BI-систему в облаке за день.

До встречи!

Привет, Хабр! Сегодня отмечается Международный день защиты информации. Поздравляем всех, кто стоит на страже цифровых рубежей и помогает компаниям защищаться от хакеров, инсайдеров и ИБ-инцидентов. Желаем увеличения ИБ-бюджетов, расширения штата службы безопасности и снижения числа подтвердившихся инцидентов!

А пока – делимся полезными материалами, как обучить сотрудников правилам ИБ, чтоб облегчить ежедневную рутину отделу безопасности.

Гайды по главным угрозам в сети – чтоб сотрудники не попадались на уловки кибермошенников:

• Про опасности в соцсетях

• Про фишинговые письма

• Про мошеннические сайты

• Про дипфейки

Эффективные практики ИБ-ликбеза в коллективе:

• Как научить пользователей парольной безопасности

• Как организовать обучение ИБ, чтоб сотрудники вас не возненавидели

• Почему риторика – важный инструмент безопасника, и как ее прокачать: раз, два

С профессиональным праздником, коллеги!

Проверяем, взломали ли вас хакеры или ваш IP в списке ботнетов. Исследователи из GreyNoise выпустили сервис GreyNoise IP Check, который позволяет быстро узнать, залез ли кто-то в вашу сеть. Сканер считает ваш IP-адрес и начнет искать совпадения в известных ботнет-сетях, которые используют для DDoS-атак.

При обращении к GreyNoise IP Check пользователи получают один из трёх статусов. «Clean» означает, что подозрительной сканирующей активности с этим адресом не фиксировалось. «Malicious/Suspicious» сигнализирует о том, что IP замечен в сканировании и имеет смысл проверить устройства в локальной сети. «Common Business Service» указывает на принадлежность адреса сетевым защитным сервисам, корпоративной инфраструктуре или облачному провайдеру — в таких условиях активное сетевое сканирование внешних адресов и портов часто выполняется легитимными средствами мониторинга и тестирования безопасности. То есть не свидетельствует о заражении.

Если по IP‑адресу обнаружена какая‑либо активность, сервис показывает хронологию за 90 дней. Такая история помогает связать начало подозрительных сканов с установкой конкретного приложения, в том числе клиента для распределения трафика или сомнительной программы, и затем устранить источник проблемы.

Что такое Cyber Resilience Act, и какие требования к кибербезопасности он предъявляет?

Что же за птица такая — Cyber Resilience Act? Мы написали статью, где рассмотрели закон, который выдвигает требования кибербезопасности к продуктам, поставляемым на европейский рынок. Как выглядят эти требования, какие определены штрафы за их несоблюдение — обо всём поговорим здесь.

Три самых частых бытовых "финансовых фейла" при переводах по номеру, которые происходят каждый день:

1) Перепутал чат — отправил деньги не тому человеку
Это классика. Открыл «не тот» диалог → скопировал номер оттуда же → отправил.
Приходит уведомление: вы перевели Ивану А.
А должен был Серёге.

2) Неправильно скопировал номер
Люди уверены, что «копировать-вставить» — это надёжно.
Но на Android до сих пор живут приложения, которые умеют подменять буфер обмена.
Поменяли одну цифру — всё.

3) QR-код оказался не тем
Неделю назад в комментариях рассказывали:
на офисной двери висел QR «для оплаты».
Поверх него наклеили другой — деньги уходили мошеннику 3 дня.

Забавно, что все эти ошибки связаны не с банками, а с тем, что номер — это “просто текст”.

Его можно изменить, перепутать, подменить, случайно вставить старый.

Решение простое: минимизировать ручной ввод и самодельные схемы.
В следующей статье я подробно разберу реальные угрозы и защитные механизмы для бытовых переводов — от подмены номера до фишинговых QR-кодов.

Если интересно, следите 👇
(и да, в комментах можно делиться своими историями — накопилось у всех)

Воркшопы конференции AI DevTools Conf, которых не будет в трансляции

Если сомневаетесь, слушать онлайн или потратить время на поездку на конференцию, то вот аргумент в пользу офлайн-визита: воркшопов с экспертами не будет в трансляции и записях после мероприятия.

AI DevTools Conf — практическая конференция про AI в разработке. С докладами выступят наши и приглашенные эксперты, они расскажут про AI-процессы, мультиагентные системы, эффективную инфраструктуру и управление уязвимости. Еще будут демозоны, на которых вы сможете потестить сервисы Evolution AI Factory, нашей цифровой среды для работы с GenAI.

📍 Где: онлайн или очно в Москве: Варшавское шоссе, 33с3, AG Loft.

📆 Когда: 4 декабря в 16:00 мск.

Полная программа конференции и регистрация 👈

И наконец программа воркшопов:

AI-Agent для развертывания и обслуживания инфраструктуры

Разберем, как подобрать нужную конфигурацию AI-агента и быстро развернуть продукт. Настроим сбор метрик и логов с приложения и инфраструктуры, а еще сформируем алерты.

👨‍💻 →  Сергей Шапошников. Менеджер продукта, Cloud․ru
👨‍💻 →  Никита Кострикин. Менеджер продукта, Cloud․ru
17:20 – 17:50

Управляемая AI-разработка: как генерировать код быстро и с минимумом техдолга

Рассмотрим, как внедрить AI-инструменты в разработку, не потерять в качестве и обеспечить безопасность. На реальных кейсах обсудим, как настроить инфраструктуру для контролируемой генерации кода.

👨‍💻 →  Александр Константинов. Технический эксперт по облачным технологиям, Cloud.ru
17:50 – 18:20

Marimo Notebooks: как выйти за рамки Jupyter

Расскажем, как работает реактивная модель marimo, и покажем, как решить с ней проблемы низкой воспроизводимости, зависимости от порядка выполнения ячеек и сложностей с версионированием.

👨‍💻 →  Владимир Килязов. Технический эксперт по машинному обучению, Cloud․ru
18:40 – 19:10

Как тестировать LLM-агента: от юнит-тестов до комплексных сценариев

Разберемся в архитектуре агентных систем, дадим рекомендации, как измерять эффективность их работы. Обсудим стратегию e2e оценки на основе подхода LLM as a judge.

👨‍💻 →  Михаил Дремин. Технический лидер Data Science, Cloud․ru
19:10 – 19:40

Современные средства тестирования безопасности AI

Посмотрим, какие бывают промпт-атаки на AI и современные средства тестирования. Сгенерируем вредоносный контент и извлечем системный промпт. А еще обсудим возможные атаки на AI-системы тех, кто придет на воркшоп.

👨‍💻 →  Юрий Лебединский. Разработчик, HiveTrace․red
19:40 – 20:10

 Увидимся на AI DevTools Conf!

Предлагаю вашему вниманию запись вебинара "Особенности разработки встроенного ПО по требованиям ФБ". Слайды презентаций.

Вместе с экспертами из "ФанкСэйфети" разбирались с такими сущностями, как ГОСТ Р МЭК 61508, уровнями SIL, стандартом MISRA C, сертификацией по функциональной безопасности и т. д.

В конце была активная дискуссия, во время которой отвечали на интересные вопросы. По её итогу приводим дополнительную информацию и ссылки.

Примечание 1. Говоря про безопасные и сертифицированные компиляторы, стоит отметить, что в 2024 году появился ГОСТ Р 71206-2024: "Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования". Также см. пост из цикла разбора РБПО: Процесс 12 — Использование безопасной системы сборки программного обеспечения и вебинар на эту тему.

Примечание 2. Инструменты SAST и DAST не обязаны быть сертифицированы. Из методической рекомендация ФСТЭК № 2025-07-011 | Уровень критичности: 3:

Область: Инструментальный анализ

Тип недостатка: Необоснованный выбор инструментов, в том числе инструментов статического анализа исходного кода, для выстраивания и выполнения процессов РБПО.

Описание: В настоящий момент ФСТЭК России не предъявляет требования наличия сертификата соответствия к большинству типов инструментов анализа кода и архитектуры. При этом к инструментам предъявляются следующие требования: ...

См. также выдержку из эфира AM Live "Разработка безопасного программного обеспечения (РБПО)". Анализатор PVS-Studio участвует в инициативе ФСТЭК по испытаниям статических анализаторов кода, но это другая история.

Примечание 3. Был вопрос, связанный с объединением требований ФБ и ИБ в одном стандарте. Некоторые усилия в этом направлении предпринимаются, см. примеры ГОСТов ниже:

ГОСТ Р 59506-2021/IEC TR 63074:2019. Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности.

ГОСТ Р 71452-2024/IEC/PAS 63325:2020. Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла.

Однако необходимо понимать, что у ФБ и ИБ разные цели и разные подходы, поэтому объединение технических требований может создать путаницу, и сейчас меры по объединению некоторых аспектов ФБ и ИБ носят, прежде всего, организационный характер.

Защита от утечек и кибератак: выстраиваем комплексную систему безопасности
с VK WorkSpace и VK Cloud

По оценкам Cybersecurity Ventures, мировой ущерб от кибератак в 2025 году может достичь $10,5 трлн. Российские компании также сталкиваются с растущим числом инцидентов: атаки всё чаще завершаются шифрованием инфраструктуры и остановкой критически важных сервисов.

В таких условиях недостаточно точечно закрывать уязвимости. Важно иметь технологическую платформу, которая по умолчанию соответствует регуляторным требованиям и обеспечивает защиту данных на каждом уровне — от корпоративных коммуникаций до облачной инфраструктуры.

11 декабря в 17:00 (МСК) на бесплатном вебинаре эксперты VK WorkSpace и VK Cloud расскажут, как выстроить комплексную защиту, используя российские решения VK Tech.

→ Зарегистрироваться на вебинар

В программе вебинара:

Часть 1. Защищенные коммуникации как основа бизнеса

• Встроенная безопасность в VK WorkSpace: что реализовано для защиты корпоративных коммуникаций.

• Безопасная миграция: как перенести данные с сохранением стандартов безопасности.

• Кейсы клиентов: разбор реальных историй внедрения и повышения уровня безопасности в компаниях.

Часть 2. Экспертный взгляд на безопасность в облаке

• Безопасность по умолчанию: какие инструменты VK Cloud позволяют обезопасить ваши данные.

• Защита на всех уровнях: почему в облаке безопасность не опция, а базовый слой.

• Комплексная защита данных: обзор собственных и партнерских сервисов, доступных в один клик.

Все участники вебинара получат специальные предновогодние предложения на продукты VK Tech.

Спикеры:

• Оксана Ульянинкова, менеджер продукта VK WorkSpace

• Виктор Федотов, ведущий менеджер продуктов ИБ VK Cloud

→ Зарегистрироваться на вебинар

Вебинар будет полезен всем, кто отвечает за безопасность, инфраструктуру и развитие ИТ в компании.

Представлен открытый проект Telegram Downloader, который умеет легально, быстро и легко скачивать любые файлы даже из защищённых каналов и чатов, где закрыта пересылка контента:

• качает даже тяжёлые файлы за несколько секунд.

• загрузки экспортируются в JSON-формат прямо на локальный диск.

• работает локально — вся информация о загрузках будет только на локальном ПК.

• не нарушает политику мессенджера.

В маркетплейсе VK Cloud появилось сразу несколько новых решений, поэтому мы хотим, чтобы вы узнали, как с ними работать из первых рук во время вебинаров. Оба решения появятся в маркетплейсе накануне трансляций.

📌 26 ноября в 11:00 будем говорить о том, какие преимущества открывает РЕД База Данных. Почему это надежно, и как работает совместная поддержка в рамках SLA. Эфир проведет технологический евангелист VK Cloud Станислав Погоржельский и Алексей Бехтин, аналитик отдела разработки СУБД, РЕД Софт.

Что еще обсудим

🔷 Интеграция с прикладными системами. Как легко и быстро подключить РЕД Базу Данных к вашим приложениям, работающим в VK Cloud.

🔷 Кейсы и выгоды. Примеры из практики, демонстрирующие повышение производительности и снижение TCO (совокупной стоимости владения).

🔷 Разработка с помощью ИИ. Генерация приложения маркетплейса на Go с использованием СУБД РЕД База Данных.

Зарегистрироваться

📌 27 ноября в 11:00 начнем разговор про обеспечение безопасности данных в облаке с помощью Next Generation Firewall. Межсетевой экран позволяет контролировать трафик между ВМ, настраивать правила и вести мониторинг real-time. 

Владислав Закрятин, инженер по предпродажной подготовке из Ideco, покажет в прямом эфире, как развернуть решение за 15 минут.

Кому точно стоит посетить вебинар

🔷 DevOps и SRE-инженерам.

🔷 Руководителям ИТ-направлений.

🔷 Всем, кто использует или планирует использовать облачную инфраструктуру.

Зарегистрироваться

4 раунда за 2 недели собеседований → оффер в пятницу → отказ в понедельник.
Причина?
Мой чертов LinkedIn, который я не обновлял пару лет.

Все любят истории успеха 🙃
Но вот вам история НЕ-успеха - и при этом моя собственная.

За последние 2 недели прошёл:
🟢 HR-интервью
🟢 Техническое интервью (жёсткое, но честное)
🟢 Интервью с командой
🟢 Интервью с CPO
🟢 Получил оффер. Подтвердили, что всё ок.

В пятницу вечером в почте лежал «Welcome aboard».
Я, честно - обрадовался. Уже mentally onboarded. И самое !главное! крутая команда, крутые задачи впереди, возможность строить инфраструктуру с нуля и возможность топить в ИБ (реальную а не бумажную) - ну восторг жеж. Да я уже запланировал фаст-вины на первые 30 дней!

А в понедельник приходит письмо:
«СТО принял решение не двигаться дальше. Ваш опыт в резюме не соответствует тому, что в LinkedIn».

Что?! Какого?!
LinkedIn, который я не вёл несколько лет?
Площадка, которую большинство инженеров обновляет раз в эпоху?

Я объяснил, что могу подтвердить опыт трудовой, рекомендациями, стеками проектов, GitLab’ами, CI/CD пайплайнами - чем угодно.
Ответ:
«Решение финальное».

И вот честно - я не злюсь. (да что уж там, бесился первые пол часа)
Но вся эта ситуация подсветила кое-что важное:
Нужно делать то, что приведет напрямую к приему на работу, я повторил всю теорию, прошелся по практике - а надо было резюме пилить.

*Мой личный инсайт* В эпоху, когда DevOps пишет IAC, придумал собственный термин, что карьера тоже - Career As a Code, и её надо поддерживать.

Так что да: обновляю LinkedIn.
Да: выкладываю эту историю.
Да: остаюсь мотивирован строить системы, усиливать DevOps и DevSecOps, выстраивать безопасность, SRE, процессы, документирование, хаос-устойчивость - всё то, в чём я реально силён.

Может я единственный, кто еще живет по старому, а все остальные давно проснулись в матрице?

Как часто вы обновляете ЛН?

Представлена подборка Awesome Privacy из 100 сервисов-аналогов всем популярным платформам, но с упором на безопасность и приватность данных, включая файловые менеджеры, облачные хранилища и клавиатуры.

Отзыв на книгу "Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании" Эллисон Сэрра.

Уже который раз беру книгу по теме своей профессиональной деятельности. Вроде как это полезно для развития. И уже который раз разочаровываюсь, потому что не могу почерпнуть полезных материалов. Даже, например, громкие интересные кейсы кибератак. И этого не встречаю.

Книга бесполезна для профессионалов в области информационной безопасности. Для всех остальных несёт тоже не очень много пользы. Разве что для тех, кто живёт «в вакууме» без соцсетей, новостей и технологий. Несколько интересных фактов из сферы кибербезопасности. И дальше — наши любимые маркетинговые штучки бизнес-литературы: интересные факты из истории, бизнеса, которые по смыслу очень издалека прикручивают к теме кибербеза, просто по аналогии. Но повествование, поверхностно касающееся названия самой книги, несёт за собой потраченное время читателя. Я бы назвала это эссе-рассуждением на тему "хайпового" кибербеза. Но автор написала и продала нам это как книгу. И тут уже напрашивается придирка к тому, что пишет это не профессионал в ИБ, а именно маркетолог в мире ИБ.

Говорят, это распространённая проблема бизнес-литературы: вместо глубины — «водянистые» рассуждения и пересказ очевидных вещей.

Хочется уточнить, почему мне не понравилась книга. Потому что я часто хожу на отраслевые конференции по информационной безопасности. И видела там много. Чаще всего там или обозревают изменения в законодательстве, говорят о важности защиты, о хакерских атаках, ну и параллельно продают нам услуги или средства по защите информации. Многие ходят больше себя показать. Буквально. Или удовлетворить потребность в общении, которая переходит границы разумного. Но сейчас не об этом. А о том, что многие сейчас занимаются маркетингом, прикрывая это конкретной сферой деятельности. И в данном случае — это сфера кибербеза. И в этом не было бы ничего плохого, если бы это всё тоже не переходило границы разумного. Экспертиза подменяется долгими историями без реальной ценности. А болтуны тратят наше время. Да, маркетологи поднимают важные вопросы о защите. Но сколько можно поднимать, а не предпринимать или давать конкретные пути решения.

Мне тоже прилетало за некомпетентность здесь в блоге. Однажды была свидетелем, как на конференции чуть не случилась драка, когда спикер рассказывал про полезные бесплатные инструменты по ИБ, а один из слушателей не мог сдержаться от критики и буквально с места кричал: "туфта". Но... всё же, часто авторы, не обладающие глубокими познаниями в предметной области, пытаются продать свои продукты, маскируя их под экспертные издания. Это и приводит к размыванию границ профессионализма и уменьшению доверия. Причем не только к подобным материалам, но в целом к сфере.

Но возможно, проблема, описанная мной, немного преувеличена, и во мне просто протестует, что мои ожидания не совпали с реальностью.

Отзыв на книгу "Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах" Брюс Шнайер

Я села читать эту книгу как специалист по инфобезопасности. Да, я верю в то, что полезно читать профессиональную литературу. Планировала даже рассказать пользователям про крупные атаки и утечки в рамках обучений и вебинаров по повышению осведомленности. В итоге я хотела узнать про хакерство, а узнала про хитросплетения американской государственной системы и законодательство, которое целиком состоит из лоскутных решений и нюансов(по мнению автора).

Шнайер пишет не про киберпанк и даже не про киберреальность (но сыграл все же на «хайповых темах»), а про то, как уязвимости встроены в саму ткань власти, денег и технологий. И здесь нет сказок про «гениальных хакеров».

По сути, книга представляет собой сборник философских рассуждений автора, основанных на известных исторических фактах. Очень мало информации о реальных громких хакерских атаках в привычном значении этого слова.
И да: «Взлом — это не только про технологии». А «Безопасность — это не технология, а баланс сил». Пока у кого-то есть интерес оставлять системы уязвимыми — они будут взламываться.

Но сложно не согласиться, что обеспечение безопасности — это не просто техническая проблема, а сложное равновесие, зависящее от экономических, юридических и культурных факторов.

P.S. И да, об этом написано на обложке книги, но с детства нас учат "не судить о книге по обложке".

Большинство утечек по вине сотрудников в России умышленные

По данным InfoWatch, в 2025 году большинство утечек данных в компаниях по вине сотрудников носят умышленный характер, причем в России доля спланированных инцидентов в десять раз выше мировой, а инсайдеры втрое чаще используют мессенджеры. С 2022 года зарегистрировано 1523 случая компрометации данных из-за действий инсайдеров.

Подробнее — по ссылке.

Ждем вас на AI DevTools Conf — практической конференции про AI в разработке 🎤

Встретимся, чтобы обсудить, как выстраивать сложные AI-процессы, строить мультиагентные системы, делать собственных агентов без кода и управлять их уязвимостями. Регистрируйтесь на конференцию, чтобы послушать экспертов Cloud.ru и приглашенных спикеров. Обещаем, в программе самое прикладное и интересное 😉 

Ждем разработчиков, AI- и ML-инженеров, архитекторов, техлидов и всех, кто уже активно работает с AI или хочет его внедрить.

Где? Онлайн или очно в Москве: Варшавское шоссе, 33с3, AG Loft.

Когда? 4 декабря в 16:00 мск.

Если будете офлайн, сможете потестить в демозоне возможности наших сервисов Evolution AI Factory, посетить нетворкинг, выиграть классный мерч и сходить на воркшопы — о них расскажем в следующих постах.

А сейчас — подробнее о каждом докладе на AI DevTools Conf ↓

Доклад 1 💻 Разворачиваем сервисы просто: DevOps-агент в деле
Разберемся, как DevOps-агент автоматизирует настройку и запуск приложений на облачных ВМ. Обсудим архитектуру и фишки агента: как задеплоить его из GitHub, проконтролировать безопасность, покажем быстрый обзор состояния ВМ и другие фичи.

👨‍💻 → Эмиль Мадатов, Data Science инженер в Cloud․ru

Доклад 2 🛡️ Уязвимости агентных систем и методы защиты
Спикер расскажет о типовых уязвимостях, которые встречаются в агентных системах: от перехвата задач и утечек данных до атак на память и reasoning. А еще покажет примеры атак, методы защиты от них, фреймворки и гайды OWASP, которые применимы к Agentic AI.

👨‍💻 → Евгений Кокуйкин, CEO HiveTrace, руководитель лаборатории AI Security ИТМО

Доклад 3 🔧 Собираем агентов без навыков программирования
Покажем, как с помощью n8n-совместимого редактора можно строить сложные AI-процессы, подключать модели и сервисы, отслеживать выполнение и масштабировать решения. Разберем реальные сценарии и покажем, как собрать своего первого агента всего за несколько минут.

👨‍💻 → Артемий Мазаев, Менеджер продукта в Cloud․ru

Доклад 4 🤖 Как мы автоматизировали процесс Code review в Авито при помощи LLM
Эксперт поделится реализуемым пайплайном, который поможет автоматизировать ревью кода. А еще он покажет, как внедрить этот пайплайн во внутренние сервисы.

👨‍💻 → Марк Каширский, DS Engineer в команде LLM, Авито

Разработали фреймворк для оценки зрелости безопасности ИИ-систем

Читать фреймворк

SAIMM построен на основе пяти базовых доменов в области безопасности ИИ и одного специализированного в области агентных систем. Для каждого домена предусмотрена дорожная карта с действиями, артефактами и техническими мерами.

Домены SAIMM:

1️⃣ Управление и риск-менеджмент
Политики, роли, риск-аппетит, процедуры аудита, внутренние стандарты и этические принципы.

2️⃣ Защита данных и конфиденциальность
Качество, происхождение, доступы, ПДн и локализация. Надежное обучение моделей и эксплуатация ИИ.

3️⃣ Безопасность модели
Устойчивость моделей к атакам любого рода и защита артефактов модели от несанкционированного доступа.

4️⃣ Безопасность цепочек поставок
Встроенная безопасность в конвейер разработки ПО. Контроль состава и безопасности всех внешних компонентов: модели, библиотеки, датасеты.

5️⃣ Инфраструктура и операционная безопасность
Надежное функционирование системы, устойчивость к сбоям, дрейфу и атакам. Организация реагирования на инциденты.

6️⃣ Безопасность агентных систем
Контроль автономного поведения агентов для предотвращения нежелательных действий и рисков.

SAIMM выступает практической картой зрелости безопасности ИИ, позволяющей не просто измерять готовность, но и выстраивать стратегию безопасного внедрения и масштабирования искусственного интеллекта в корпоративной среде.

Приходите на вебинар — наш юрист расскажет, как выбрать облако, которому можно доверять 🛡️💻

При выборе облачного провайдера возникает много резонных вопросов. А если данные в облаке плохо защищены? Справится ли инфраструктура провайдера со взломом? Можно ли выгрузить в облако персональные данные клиентов и не переживать, что это нарушит закон?

Обо всем этом (и не только) поговорим на вебинаре со старшим юрисконсультом Cloud.ru Анастасией Ильхановой.

Что обсудим:

• Какие сертификаты и лицензии должны быть у ЦОД облачного провайдера, как проверить их подлинность.

• Как хранить данные в облаке, не нарушая 152-ФЗ «О персональных данных», и как в этом помогает провайдер.

• На что внимательно смотреть в договоре: SLA, пункты о разграничении ответственности, компенсации за простои.

• Зоны ответственности облачного провайдера и клиента.

Ждем всех, кто хочет разобраться в правовых вопросах при выборе безопасного облачного провайдера.

📅 Когда? 25 ноября в 11:00 мск.

📍Где? Онлайн. Регистрируйтесь на странице встречи и не забудьте поставить напоминание.