“Потому что Excel, это не просто таблица, а целая экосистема привычек, дедлайнов и негласных договорённостей. Он решает проблемы, о которых молчат на совещаниях по безопасности.” Почему Excel выживает в эпоху менеджеров паролей Когда речь заходит о хранении паролей, первая реакция — недоумение. Кажется очевидным, что существуют десятки специализированных решений: от корпоративных менеджеров паролей до встроенных … Читать далее
«У каждого человека в ИБ есть своя главная фобия. Большинство боятся CISO, сканирований из интернета или утечки баз. Моя же была другой: настольный компьютер бухгалтера Людмилы Петровны. На её мониторе висел стикер с паролем от 1С, она три года не перезагружала машину, а звонок из банка с просьбой ‘уточнить реквизиты’ мог стоить компании миллионов. И … Читать далее
“Разработчики и безопасность, это не война, а разговор на разных языках. Один говорит на языке функций и дедлайнов, другой — на языке угроз и комплаенса. И пока они не найдут общего кода, скорость будет проигрывать.” Где начинается разрыв Разработчик получает задачу: добавить в форму поле для телефона и сохранить его в профиль пользователя. Для него … Читать далее
“Интересное перекладывание рисков, которое возвращается на тебя же: если ты думаешь, что страховка защитит ваш бизнес от финансовых потерь после инцидента, то вот есть и нюансы. Требования страховых компаний по защите данных часто пересекаются с требованиями регулятора, и одна ошибка может привести к тому, что ты не получишь выплату, а еще и получишь штраф от … Читать далее
«SMART — не просто популярная аббревиатура, а философия принятия решений для взрослой организации. Если ты не можешь превратить свою абстрактную идею в SMART-цель, значит ты не знаете, чего хочешь добиться и каков путь к этому. Это страшное положение, которое раньше скрывали под красотой лозунгов о защите данных и обороне компании. С формулировкой SMART мы начинаем … Читать далее
Исследователь безопасности думает, что он проверяет систему, но на самом деле система проверяет его — и почти всегда выигрывает. Методология превращается в фольклор, результат — в ритуал, а смысл теряется где-то между первым предположением и сотым отчётом. https://seberd.ru/5313/ Experimenter effect в security studies Когда команда внутренних аудиторов или пентестеров получает задание оценить безопасность системы, результат … Читать далее
«Не стану повторять прописную истину о том, что покупать ворованные данные незаконно. Дело не в морали, а в механике. За витриной каналов с гигабайтами утечек скрывается пирамида перепродаж, где товар теряет ценность с каждым шагом, но доходы генерируются за счёт доверия и трафика. Свежие сливы — редкая валюта для повышения статуса, а основной бизнес строится … Читать далее
«Утечки данных перестали быть редкими катастрофами, это фоновая обыденность. Громкими их делает не размер базы, а уязвимость внутреннего мира: табельный номер, профсоюзный взнос, переписка с начальством.» От гигабайтов к социальной разгерметизации: как изменился масштаб инцидентов Раньше громкой утечкой называли слив базы с миллионами телефонных номеров и электронных адресов. Теперь размер ушёл на второй план. Критической … Читать далее
«Под капотом каждой сети лежит дилемма: как обеспечить уникальность, безопасность и эффективность обмена данными между миллиардами устройств. Внутренний мир сетей держится на компромиссах — между адресным пространством и простотой маршрутизации, между безопасностью и производительностью.» Основы: локальные и глобальные сети Все вычислительные сети делятся на два типа, различающихся масштабом и логикой работы. Локальная сеть (Local Area … Читать далее
«Власть сегодня, это не полномочия принимать законы. Власть, это возможность диктовать правила игры, зашитые в код, алгоритмы и архитектуру платформ. Государства, пишущие законы вроде 152-ФЗ, отстают на целый технологический цикл, потому что реальные правила уже прописаны в API Microsoft Azure, политиках GitHub и зависимостях в npm. Конфликт не между законом и корпорацией, а между формальным … Читать далее