Представлена подборка Awesome Privacy из 100 сервисов-аналогов всем популярным платформам, но с упором на безопасность и приватность данных, включая файловые менеджеры, облачные хранилища и клавиатуры.
Отзыв на книгу "Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании" Эллисон Сэрра.
Уже который раз беру книгу по теме своей профессиональной деятельности. Вроде как это полезно для развития. И уже который раз разочаровываюсь, потому что не могу почерпнуть полезных материалов. Даже, например, громкие интересные кейсы кибератак. И этого не встречаю.
Книга бесполезна для профессионалов в области информационной безопасности. Для всех остальных несёт тоже не очень много пользы. Разве что для тех, кто живёт «в вакууме» без соцсетей, новостей и технологий. Несколько интересных фактов из сферы кибербезопасности. И дальше — наши любимые маркетинговые штучки бизнес-литературы: интересные факты из истории, бизнеса, которые по смыслу очень издалека прикручивают к теме кибербеза, просто по аналогии. Но повествование, поверхностно касающееся названия самой книги, несёт за собой потраченное время читателя. Я бы назвала это эссе-рассуждением на тему "хайпового" кибербеза. Но автор написала и продала нам это как книгу. И тут уже напрашивается придирка к тому, что пишет это не профессионал в ИБ, а именно маркетолог в мире ИБ.
Говорят, это распространённая проблема бизнес-литературы: вместо глубины — «водянистые» рассуждения и пересказ очевидных вещей.
Хочется уточнить, почему мне не понравилась книга. Потому что я часто хожу на отраслевые конференции по информационной безопасности. И видела там много. Чаще всего там или обозревают изменения в законодательстве, говорят о важности защиты, о хакерских атаках, ну и параллельно продают нам услуги или средства по защите информации. Многие ходят больше себя показать. Буквально. Или удовлетворить потребность в общении, которая переходит границы разумного. Но сейчас не об этом. А о том, что многие сейчас занимаются маркетингом, прикрывая это конкретной сферой деятельности. И в данном случае — это сфера кибербеза. И в этом не было бы ничего плохого, если бы это всё тоже не переходило границы разумного. Экспертиза подменяется долгими историями без реальной ценности. А болтуны тратят наше время. Да, маркетологи поднимают важные вопросы о защите. Но сколько можно поднимать, а не предпринимать или давать конкретные пути решения.
Мне тоже прилетало за некомпетентность здесь в блоге. Однажды была свидетелем, как на конференции чуть не случилась драка, когда спикер рассказывал про полезные бесплатные инструменты по ИБ, а один из слушателей не мог сдержаться от критики и буквально с места кричал: "туфта". Но... всё же, часто авторы, не обладающие глубокими познаниями в предметной области, пытаются продать свои продукты, маскируя их под экспертные издания. Это и приводит к размыванию границ профессионализма и уменьшению доверия. Причем не только к подобным материалам, но в целом к сфере.
Но возможно, проблема, описанная мной, немного преувеличена, и во мне просто протестует, что мои ожидания не совпали с реальностью.
Отзыв на книгу "Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах" Брюс Шнайер
Я села читать эту книгу как специалист по инфобезопасности. Да, я верю в то, что полезно читать профессиональную литературу. Планировала даже рассказать пользователям про крупные атаки и утечки в рамках обучений и вебинаров по повышению осведомленности. В итоге я хотела узнать про хакерство, а узнала про хитросплетения американской государственной системы и законодательство, которое целиком состоит из лоскутных решений и нюансов(по мнению автора).
Шнайер пишет не про киберпанк и даже не про киберреальность (но сыграл все же на «хайповых темах»), а про то, как уязвимости встроены в саму ткань власти, денег и технологий. И здесь нет сказок про «гениальных хакеров».
По сути, книга представляет собой сборник философских рассуждений автора, основанных на известных исторических фактах. Очень мало информации о реальных громких хакерских атаках в привычном значении этого слова.
И да: «Взлом — это не только про технологии». А «Безопасность — это не технология, а баланс сил». Пока у кого-то есть интерес оставлять системы уязвимыми — они будут взламываться.
Но сложно не согласиться, что обеспечение безопасности — это не просто техническая проблема, а сложное равновесие, зависящее от экономических, юридических и культурных факторов.
P.S. И да, об этом написано на обложке книги, но с детства нас учат "не судить о книге по обложке".
Большинство утечек по вине сотрудников в России умышленные
По данным InfoWatch, в 2025 году большинство утечек данных в компаниях по вине сотрудников носят умышленный характер, причем в России доля спланированных инцидентов в десять раз выше мировой, а инсайдеры втрое чаще используют мессенджеры. С 2022 года зарегистрировано 1523 случая компрометации данных из-за действий инсайдеров.
Подробнее — по ссылке.
Ждем вас на AI DevTools Conf — практической конференции про AI в разработке 🎤
Встретимся, чтобы обсудить, как выстраивать сложные AI-процессы, строить мультиагентные системы, делать собственных агентов без кода и управлять их уязвимостями. Регистрируйтесь на конференцию, чтобы послушать экспертов Cloud.ru и приглашенных спикеров. Обещаем, в программе самое прикладное и интересное 😉
Ждем разработчиков, AI- и ML-инженеров, архитекторов, техлидов и всех, кто уже активно работает с AI или хочет его внедрить.
Где? Онлайн или очно в Москве: Варшавское шоссе, 33с3, AG Loft.
Когда? 4 декабря в 16:00 мск.
Если будете офлайн, сможете потестить в демозоне возможности наших сервисов Evolution AI Factory, посетить нетворкинг, выиграть классный мерч и сходить на воркшопы — о них расскажем в следующих постах.
А сейчас — подробнее о каждом докладе на AI DevTools Conf ↓
Доклад 1 💻 Разворачиваем сервисы просто: DevOps-агент в деле
Разберемся, как DevOps-агент автоматизирует настройку и запуск приложений на облачных ВМ. Обсудим архитектуру и фишки агента: как задеплоить его из GitHub, проконтролировать безопасность, покажем быстрый обзор состояния ВМ и другие фичи.
👨💻 → Эмиль Мадатов, Data Science инженер в Cloud․ru
Доклад 2 🛡️ Уязвимости агентных систем и методы защиты
Спикер расскажет о типовых уязвимостях, которые встречаются в агентных системах: от перехвата задач и утечек данных до атак на память и reasoning. А еще покажет примеры атак, методы защиты от них, фреймворки и гайды OWASP, которые применимы к Agentic AI.
👨💻 → Евгений Кокуйкин, CEO HiveTrace, руководитель лаборатории AI Security ИТМО
Доклад 3 🔧 Собираем агентов без навыков программирования
Покажем, как с помощью n8n-совместимого редактора можно строить сложные AI-процессы, подключать модели и сервисы, отслеживать выполнение и масштабировать решения. Разберем реальные сценарии и покажем, как собрать своего первого агента всего за несколько минут.
👨💻 → Артемий Мазаев, Менеджер продукта в Cloud․ru
Доклад 4 🤖 Как мы автоматизировали процесс Code review в Авито при помощи LLM
Эксперт поделится реализуемым пайплайном, который поможет автоматизировать ревью кода. А еще он покажет, как внедрить этот пайплайн во внутренние сервисы.
👨💻 → Марк Каширский, DS Engineer в команде LLM, Авито
Разработали фреймворк для оценки зрелости безопасности ИИ-систем
Сегодня безопасность систем ИИ становится ключевым фактором, определяющим уровень доверия к ним. Для того чтобы организация смогла справиться с этими вызовами, ей необходимо, в первую очередь, определить текущий уровень зрелости и оценить свои слабые и сильные стороны.
Команда Swordfish Security разработала Swordfish: Secure AI Maturity Model (SAIMM) —фреймворк, который помогает компаниям системно выстраивать безопасность ИИ-решений и снижать риски на всех этапах жизненного цикла разработки.
Мы обобщили опыт внедрения ИИ-систем в корпоративной среде, результаты работы с заказчиками из разных отраслей и текущие международные практики безопасности — от OWASP и NIST до MITRE ATLAS. На основе этого сформирована модель зрелости, охватывающая ключевые аспекты безопасности современных ML- и LLM-систем, включая агентные сценарии.
SAIMM построен на основе пяти базовых доменов в области безопасности ИИ и одного специализированного в области агентных систем. Для каждого домена предусмотрена дорожная карта с действиями, артефактами и техническими мерами.
Домены SAIMM:
1️⃣ Управление и риск-менеджмент
Политики, роли, риск-аппетит, процедуры аудита, внутренние стандарты и этические принципы.
2️⃣ Защита данных и конфиденциальность
Качество, происхождение, доступы, ПДн и локализация. Надежное обучение моделей и эксплуатация ИИ.
3️⃣ Безопасность модели
Устойчивость моделей к атакам любого рода и защита артефактов модели от несанкционированного доступа.
4️⃣ Безопасность цепочек поставок
Встроенная безопасность в конвейер разработки ПО. Контроль состава и безопасности всех внешних компонентов: модели, библиотеки, датасеты.
5️⃣ Инфраструктура и операционная безопасность
Надежное функционирование системы, устойчивость к сбоям, дрейфу и атакам. Организация реагирования на инциденты.
6️⃣ Безопасность агентных систем
Контроль автономного поведения агентов для предотвращения нежелательных действий и рисков.
SAIMM выступает практической картой зрелости безопасности ИИ, позволяющей не просто измерять готовность, но и выстраивать стратегию безопасного внедрения и масштабирования искусственного интеллекта в корпоративной среде.
Современные AI-технологии позволяют быстро определять и блокировать интернет-мошенников, спам-звонки и фишинговые письма.
Лучшим способом будет не блокировка звонков и писем от мошенников, а вступление с ними в диалог от лица ИИ-агента, который будет имитировать человека, которого легко обмануть.
Чем реалистичнее и дольше ИИ-агент будет поддерживать диалог с мошенником, тем меньше времени у него останется на реальных людей.
На уровне оператора сотовой связи, мессенджера или почтового сервиса, думается мне, это не сложно реализовать.
Приходите на вебинар — наш юрист расскажет, как выбрать облако, которому можно доверять 🛡️💻
При выборе облачного провайдера возникает много резонных вопросов. А если данные в облаке плохо защищены? Справится ли инфраструктура провайдера со взломом? Можно ли выгрузить в облако персональные данные клиентов и не переживать, что это нарушит закон?
Обо всем этом (и не только) поговорим на вебинаре со старшим юрисконсультом Cloud.ru Анастасией Ильхановой.
Что обсудим:
Какие сертификаты и лицензии должны быть у ЦОД облачного провайдера, как проверить их подлинность.
Как хранить данные в облаке, не нарушая 152-ФЗ «О персональных данных», и как в этом помогает провайдер.
На что внимательно смотреть в договоре: SLA, пункты о разграничении ответственности, компенсации за простои.
Зоны ответственности облачного провайдера и клиента.
Ждем всех, кто хочет разобраться в правовых вопросах при выборе безопасного облачного провайдера.
📅 Когда? 25 ноября в 11:00 мск.
📍Где? Онлайн. Регистрируйтесь на странице встречи и не забудьте поставить напоминание.
На МКС российский космонавт, впервые в истории человечества, самозапретил себе оформление СИМ-карты прямо из космоса. 15 ноября 2025 года космонавт Алексей Зубрицкий с помощью ноутбука HP Zbook 15, предоставленного НАСА, вошёл в интернет через американскую систему спутников TDRSS, открыл портал "Госуслуг", и прямо с борта МКС и воспользовался сервисом самозапрета на оформление СИМ-карты из перечня меню «Жизненных ситуаций».
Проект на базе нашей BPM-системы участвует в конкурсе Global CIO 🔥
Речь идёт о цифровом рабочем месте сотрудника службы безопасности в Банке Синара. Решение реализовано силами пяти специалистов подразделения СБ без участия внешних разработчиков. Для этого они предварительно прошли обучение в «Академии Первой Формы».
Сейчас команда, где все специалисты взаимозаменяемы, самостоятельно администрирует и развивает систему. Это снижает стоимость владения решением и позволяет оперативно наращивать функциональность — срок окупаемости проекта составил 18 месяцев.
Внедрение решения на базе нашей low-code платформы помогло:
➡️сократить время обработки заявок на 90%;
➡️ускорить реакцию на инциденты на 55%;
➡️повысить эффективность взысканий на 25%;
➡️упростить формирование отчётов до 1 клика.
Проголосовать за наш проект → https://globalcio.ru/projectoftheyear/list/52503/
Голосование доступно зарегистрированным ИТ-руководителям. Авторизуйтесь на сайте Global CIO, чтобы проголосовать и задать вопросы руководителю проекта.
Благодарим за поддержку!
Как защищать данные в CRM-системе на всех уровнях? Расскажем через 30 минут на вебинаре
Через полчаса, в 12:00 мск, на вебинаре Selectel и «Мегаплан» разберем каждое слагаемое безопасности данных, поделимся правилами и практиками защиты данных на всех уровнях. Особенно полезно будет специалистам по информационной безопасности, администраторам, СТО и владельцам бизнеса.
В центре внимания:
👉 Безопасность IT-инфраструктуры: обсудим риски и концепцию совместной ответственности за безопасность и защиту от DDoS-атак. Поделимся чек-листом безопасной IT-инфраструктуры.
👉 Безопасность CRM-системы: поделимся способами безопасной работы с корпоративными данными.
Подключайтесь к трансляции:
🎞 YouTube
🎞 VK
Операторы «Мегафон», «Билайн» и Т2 начали рассылать уведомления пользователям с инструкциями о новых правилах: блокировка СИМ‑карт граждан РФ на 24 часа в рамках «периода охлаждения» (отключение доступа к мобильному интернету и СМС) будет происходить сразу по возвращении в домашнюю сеть (например, после приезда из-за границы). В Ассоциации туроператоров России уточнили, что такие меры вводятся по требованию регуляторов для усиления безопасности.
Ссылки для авторизации пользователей в сетях операторов:
в «Мегафоне»: https://dostup.megafon.ru/.
в «Билайне»: http://balance.beeline.ru/unlocked (работает при блоке).
в Т2 получить доступ можно по этой странице: https://t2.ru/dostup.
Хотите узнать, как беcшовно внедрять AI-инструменты в рабочие процессы и создать безопасную и эффективную облачную инфраструктуру? Тогда приглашаем на AI DevTools Conf 😏
AI DevTools Conf — это практическая конференция, на которой мы будем обсуждать внедрение AI-инструментов в процесс разработки.
Спикеры расскажут, как строить сложные AI-процессы, собирать мультиагентные системы, создавать эффективную инфраструктуру и управлять уязвимостями. Темы докладов можно посмотреть в программе.
Кроме них вас также ждут:
воркшопы, которые мы не будем транслировать и записывать: только практический опыт, который можно получить прямо сейчас;
демозона сервисов Evolution AI Factory, на которой вы сможете в реальном времени протестировать возможности наших сервисов;
секретный доклад и презентация эксклюзивной коллекции мерча;
afterparty и нетворкинг в расслабленной предновогодней атмосфере.
📅 Дата: 4 декабря в 16:00
📍 Место: Москва, место проведения уточняется
Ближайшие события
Оказывается, "умные" колонки нас действительно подслушивают!
Конечно, это давно известный факт, а не новость. Новостью для меня в публикации Россиян предупредили о пугающей способности умных колонок стало предостережение пользователей, что "Рядом с голосовыми помощниками не стоит разговаривать на чувствительные темы ..."
Я бы рекомендовал не обсуждать конфиденциальную или чувствительную информацию непосредственно с нейросетью или рядом с «умными» устройствами. Их работа по своей сути заключается в том, чтобы постоянно «прислушиваться» к окружению
И вот теперь интересно, что конкретно имелось ввиду под "чувствительными темами"? Относится ли это только к таргетированию рекламы или способы использования подсушенной информацией у подобной умной техники значительно шире?
В ОТП Банке предложили создать единый антискам-хаб на Госуслугах для защиты жертв мошенничества
Рустам Габитов, начальник центра безопасности финансовых операций ОТП Банка, выступил на 12-й ежегодной конференции «Антифрод в финансовых организациях» с докладом об общесистемных антифрод-инициативах, одна из которых призвана усовершенствовать механизмы координации действий пользователя, столкнувшегося с мошенничеством.
В качестве основного решения Рустам Габитов озвучил предложение создать на Едином портале государственных услуг (ЕПГУ) единый антискам-хаб, который агрегирует все необходимые действия гражданина, пострадавшего от мошенничества.
«Разработка антискам-страницы с комплексной заявкой и сквозной идентификацией через ЕСИА позволит формировать сразу пакет заявлений в МВД и другие инстанции, минуя многоступенчатый бюрократический лабиринт», — пояснил Рустам Габитов, отметив, что сейчас пострадавшему приходится применять множество сервисов для решения одного инцидента, при этом информация, предоставленная в одну инстанцию часто не передается автоматически в другие. «Это снижает вероятность успешного возврата средств и расследования», — отметил эксперт.
Первый этап внедрения изменений предполагает налаживание прямого взаимодействия «Банк – МВД» через использование существующих правовых рамок, включая подачу заявлений от имени клиента на мвд.рф с его согласия. Второй этап — это сбор и синхронизация ключевых данных для создания автоматизированного механизма атрибуции мошенников и выявления связей между ними. «На базе этой первичной интеграции и накопленных данных станет возможным поэтапное формирование единой системы с участием всех заинтересованных ведомств, — пояснил Рустам Габитов.
В развитие инициативы, предполагается запустить систему замкнутого цикла по формированию «цифрового следа мошенников». В этом случае, гражданин будет подавать комплексную заявку через ЕПГУ с возможностью дополнять ее новыми данными, которые будут поступать всем уполномоченным органам. При этом полученные знания будут использоваться для информирования граждан и автоматической блокировки мошеннической инфраструктуры.
Важным элементом системы станет TTP (Tactics, Techniques, Procedures) анализ и профилирование тактик, техник и процедур, который встраивается в антифрод-сервисы платежных систем и превентивный контроль строится на основе единого идентификатора клиента, например, ИНН. Сейчас на практике это используется для защиты инфраструктуры организаций. Теперь эта опция доступна для защиты конкретного пользователя услуг. «Такой подход позволяет не только оперативно реагировать, но и постоянно углублять понимание методов злоумышленников, чтобы совершенствовать предупреждающие меры», — отметил он.
В заключение Рустам Габитов подчеркнул, что предлагаемая модель соответствует логике существующих регуляторных требований и задачам основных направлений развития информационной безопасности в кредитно-финансовой сфере, а ее реализация позволит перейти от разрозненных действий к централизованной, интеллектуальной и проактивной системе защиты прав граждан.
Как выстроить эффективную систему ИБ с нуля? Делимся лайфхаками по защите бизнеса!
Привет! Мы вместе с GlobalCIO выпустили большой спецпроект – руководство по построению целостной ИБ-стратегии. Там мы делимся опытом и ИБ-лайфхаками, помогаем узнать:
Как защитить главные корпоративные активы — данные, рабочие станции и инфраструктуру — создав надежное ядро безопасности.
Как построить комплексную безопасность, чтобы системы защиты усиливали друг друга для проактивного выявления угроз.
Как выполнить требования регуляторов минимальным набором средств, избежав штрафов и лишних затрат.
Простыми словами – информация в спецпроекте поможет опытным и начинающим ИБ-специалистам систематизировать работу, снизить нагрузку на отдел, закрыть требования регуляторов и бреши в защите, оптимизировать бюджет и увидеть всю картину внутренней безопасности. К тому же мы регулярно обновляем спецпроект свежей регуляторикой и аналитикой, ИБ-новостями и трендами в защите данных, чтобы вы всегда были в курсе событий!
Переходите по ссылке и добавляйте в закладки, чтобы не потерять!
Что будет с фотками, если закроется облако
Облачное хранилище работает отлично, пока работает. Но провайдер может закрыться, подписка закончиться, а аккаунт заблокироваться. Что тогда будет с вашими фотками?
Закрытие сервиса
Обычно провайдеры предупреждают о закрытии за месяц-два или три. Это время дается, чтобы вы могли выгрузить всё, что хранилось в облаке. Но общего правила нет.
Parse объявил о закрытии за год, а Everpix – за месяц. Но и в том, и в другом случае пользователям дали возможность выгрузить свои данные. Только после этого архивы удалили физически.
Истечение подписки
У каждого провайдера свои правила хранения после окончания оплаченного периода. iCloud держит данные всего месяц, Dropbox – 2, а Google Drive позволяет загрузить их в течение двух лет.
Часть сервисов блокирует только загрузку новых файлов, оставляя возможность скачать старые. Но после истечения грейс-периода поддержка не восстанавливает ничего.
Есть что рассказать? Станьте голосом комьюнити и делитесь с участниками своими кейсами в сообществе.
Случаи потери данных
Бывает, что данные пропадают случайно. Вероятность такого исхода мала, но не равна нулю. Так, в 2015 году в дата-центр Google в Бельгии молния ударила 4 раза подряд. Пострадало около 0.000001% данных, то есть где-то 10 байт на гигабайт. Тем, кто попал в эту погрешность, конечно, легче не стало. Но цифры показывают, насколько это редкая ситуация.
В целом же, облака остаются более надёжным решением, в отличие от локальных дисков. Главное – оплачивать подписку вовремя.
Приглашаем на вебинар, на котором поговорим, как защитить сборки, избежать зависимостей от внешних репозиториев и повысить надёжность.
На вебинаре вы узнаете:
требования ДИБов и регулятора
об атаках на цепочки поставок ПО
возможности отключения Maven Cenral
про инженерные проблемы при сборке, с которыми столкнулись, а также пути их решения на примере Axiom JDK
опыт использования доверенного репозитория в контуре ЕДИНОГО ЦУПИС
как встроить еще один репозиторий в стандартный Java‑проект. Покажем демонстрацию в режиме реального времени
Кому будет полезен вебинар:
• Архитекторам
• Инженерам
• Всем, кто интересуется РБПО
Вебинар проведут:
• Максим Максимов, Архитектор решений, ЕДИНЫЙ ЦУПИС
• Сергей Лунегов, Директор по продуктам, Axiom JDK
Когда: 12 ноября 2025 г.
Во сколько: 11:00–12:30 по мск
Формат: Онлайн
Участие: Бесплатное (нужно предварительно зарегистрироваться)
Проект "AltSendme - Send files anywhere, On-premises or world-wide. Frictionless, Fast, Private, Unlimited and Free" позволяет передавать файлы без страха потери данны между всевозможными устройствами. Решение работает на базе peer-to-peer шифрования: файлы передаются через сторонние серверы, которые невозможно отследить и перехватить. Передать можно документы, архивы, видео, аудио, причём без ограничений по размеру файла и скорости передачи.
Обновление каталога образов: новые версии Linux-дистрибутивов в Рег.облаке
В каталоге предустановленных операционных систем для виртуальных серверов Рег.облака добавили свежие релизы для работы с Linux: Debian 13, AlmaLinux 10, Rocky Linux 10 и Ubuntu 24.04 LTS. Образы уже доступны во всех регионах размещения IT-инфраструктуры, включая регион, соответствующий требованиям ФЗ-152.
Новые дистрибутивы включают актуальные исправления безопасности, улучшения производительности и поддержку современного оборудования. А значит пользователям будет доступна более стабильная работа виртуальных серверов, совместимость с актуальными версиями библиотек и фреймворков, а также возможность использовать системы с длительным циклом поддержки.
Как начать использовать новые дистрибутивы:
Перейдите в личный кабинет Рег.облака или откройте мастер заказа на странице облачных серверов.
Нажмите «Создать сервер».
В разделе «Операционная система» выберите один из новых дистрибутивов в выпадающем списке.
Продолжите настройку конфигурации сервера.
Протестировать обновления можно уже сейчас на сайте Рег.облака.