Комплаенс и стандарты

«Пока вся отрасль готовится к симметричной угрозе — квантовым алгоритмам для асимметричной криптографии, — реальная опасность может подкрасться с другой стороны, в виде атак на гибридные протоколы и на старые, забытые ключи, зашитые в ПО и железо.» Где проходит линия фронта, и почему она не там, где все смотрят Когда говорят о квантовой угрозе для … Читать далее

«Смотря на кибербезопасность как на расходы и ограничения, компания обрекает себя на уязвимость в самой конкурентной войне — в войне данных и доверия. Системы защиты не стена, которая мешает видеть рынок, это стекло кабины, которое позволяет лететь дальше и быстрее, чем соперники.» От бухгалтерской графы до стратегического фактора Традиционный подход в российском бизнесе — относить … Читать далее

"Вероятность того, что ваш работодатель следит за вашими рабочими устройствами, близка к 100%. Разница лишь в масштабах и юридической чистоте этого процесса. Работники IT-индустрии, особенно работающие с защищённой информацией, находятся под особым контролем. Разберём, где кончается законная забота о корпоративной безопасности и начинается вторжение в частную жизнь, и что делать, если вы оказались по ту … Читать далее

«Представление о безопасности через разрешения, это примитивная модель, которая не может описать реальные системы. Capability-based security даёт другой взгляд: это способ описывать доступ как сущность, а не как таблицу. Я попробую показать, как эта модель укладывается в более строгий математический язык, и почему это не просто ‘способ обойти 152-ФЗ’, а фундаментальный сдвиг в понимании.» От … Читать далее

«Кейс онлайн-школы информационной безопасности, это не про то, как продавать воздух или пересказывать учебники. Это про то, как заполнить реальный пробел между формальным сертификатом и умением закрыть техническое задание для заказчика из госсектора. Продукт в этой сфере продаётся на стыке экспертизы, доверия и практической применимости.» От сертификации к решению задач: почему это сработало Традиционные учебные … Читать далее

«Защита критической инфраструктуры больше не вопрос техники, а инструмент суверенитета. Войны и конфликты показали, что физические разрушения теперь лишь часть сценария. Основной удар наносится на стыке IT и OT, где уязвимо всё — от энергосистем до канализации. Эта инфраструктура исторически росла без оглядки на безопасность. И теперь, чтобы её защитить, обычной регуляторики недостаточно — нужен … Читать далее

«Мы путаем соответствие и безопасность, принимая выполнение формальных требований за защиту от реального злоумышленника.» Иллюзия безопасности через соответствие требованиям Основная проблема современных практик в сфере информационной безопасности заключается в ошибочном отождествлении двух принципиально разных понятий. С одной стороны, существует формальное соответствие требованиям регулятора — checklist из сотен пунктов. С другой — фактическая способность системы противостоять … Читать далее

«Термин ‘защита критической инфраструктуры’ (Critical Infrastructure Protection, CIP) в российском ИТ-контексте слышан многими, но редко воспринимается за пределами требований регулятора. На деле это не просто формальность, это выстроенная система взглядов, где безопасность ИС начинает формироваться не с кода приложения, а с понимания физической и цифровой среды, в которой этот код выполняется.» Критическая информационная инфраструктура: объект … Читать далее

Что будет, когда квантовые ключи перестанут быть диковинкой Квантовая криптография давно позиционируется как решение всех проблем информационной безопасности, но её использование ограничивалось лабораторными экспериментами и узкоспециализированными каналами связи для государственных структур. Однако сейчас технология QRNG-генераторов для создания ключей уже доступна в коммерческих решениях, а квантовое распределение ключей (QKD) постепенно перестаёт быть фантастикой. Сценарий, при котором … Читать далее