Всё так или иначе зависит от американских и европейских норм — таможенник в Твери тоже скажет ‘нет’ вам, если ваша ERP не соблюдает GDPR. Но кто реально влияет на ваш продукт прямо сейчас, это китайский принцип управления данными: ЦАМС. Он определяет, как данные перемещаются между сервисами и кто их контролирует. https://seberd.ru/7036 Официально российский регуляторика строится … Читать далее
Кибергигиена, это не про то, чтобы один раз почистить компьютер и забыть. Это про ежедневные привычки, которые не требуют гениальности, но без которых любая защита превращается в дырявое решето. Большинство взломов происходит не из-за сложных атак, а из-за того, что кто-то не обновил программу, использовал один пароль везде или кликнул на то, на что не … Читать далее
«Большинство терминов из кибербезопасности, это не глупость и не маркетинг, а следствие системной проблемы. Мы накопили груз из нескольких технологических эпох, не переводим слова, которые нужны, а просто транслитерируем, и боимся сказать «защита информации» там, где нужно. В итоге один инструмент может называться и SOAR, и SIEM, и SOC, и EDR, и XDR, и это … Читать далее
«Индекс кибербезопасности не отражает, как мир защищается от угроз. Он показывает, как мир договорился описывать защиту в отчётах — через стандартные бюрократические шаги, где главное соответствовать формальным критериям, а не закрывать реальные риски.» Устройство методологии GCI: декларация намерений как мерило Международный союз электросвязи строит Global Cybersecurity Index (GCI) на пяти «столпах». Их подбор задаёт чёткую … Читать далее
“Говоря о международных организациях в сфере кибербезопасности, обычно называют одни и те же несколько аббревиатур. За ними стоит гораздо более сложная и разрозненная система, чем кажется, и попытки навести в ней порядок часто сталкиваются с тем, что сами эти организации — лишь проекция политических и экономических разломов реального мира. Их влияние на российскую IT-повестку и … Читать далее
«Сложность в ИБ — не дефект, а ресурс. Он создаётся не случайно, а теми, кому он нужен: продавцам для увеличения средней стоимости чека, аудиторам для расширения мандата, госзаказчикам для обоснования расходов, инсайдерам для закрепления своего статуса и регулятору для сохранения монополии на толкование. Простая система с понятными границами никому не выгодна. И только тем, кто … Читать далее
“Многие в российском ИТ знакомы с 152-ФЗ и регуляторами вроде ФСТЭК. Это наш внутренний ландшафт. Но если посмотреть на Европу, там действует другой принцип — не контроль данных, а обеспечение киберустойчивости критической инфраструктуры. Речь о Директиве NIS2, которая не просто очередная директива ЕС, а скорее всеобъемлющая стратегия по превращению кибербезопасности из технической проблемы в корпоративную … Читать далее
«Большая часть защиты ИИ сводится к шифрованию на входе и на выходе. Но есть целый класс методов, которые можно назвать «криптографией без ключей» для машинного обучения. Они доказывают, что определённые атаки принципиально невозможны, потому что не хватит данных в мире, чтобы их выполнить. Разбираемся, где это работает, а где остаётся красивой математикой, далёкой от реального … Читать далее
“Цифровая трансформация и регуляторное давление сместили фокус финансового директора с отчётности на кибербезопасность. Финансовый блок теперь — не только центр затрат, но и критический объект защиты по 152-ФЗ и приказам ФСТЭК. Его данные — мишень для атак, а уязвимости в его процессах ведут не только к финансовым, но и к репутационным потерям” . От главной … Читать далее
«Компетенции команды ИБ, это не просто сумма индивидуальных знаний, а её способность системно противостоять реальным угрозам в условиях конкретного бизнеса и дефицита ресурсов. Оценка, которую я опишу, строится на понимании трёх уровней: задачи ФСТЭК, текущие реалии рынка и ваши внутренние процессы.» Почему классические подходы к оценке проваливаются Отправная точка для многих руководителей — сравнение команды … Читать далее