Люди ждут, когда кибервойна станет похожа на ядерную — нажать кнопку — и всё кончено. Но точка невозврата уже давно пройдена — мы уже в состоянии перманентного конфликта, и возврата к миру, который представляли себе раньше, нет. Вопрос не в том, нажмём ли мы красную кнопку, а в том, заметили ли мы, что она нажата. … Читать далее
«Если ты думаешь, что сессия в браузере, это просто куки, которые удалятся при закрытии окна, то ты сильно недооцениваешь возможности человека, который сядет за твой компьютер. За 10 минут он может не просто посмотреть твою почту. Он получит доступ к тому, что ты считал защищённым, просто потому что ты уже вошёл. Регуляторы требуют защищать сессии, … Читать далее
«GRC, это фраза, которую часто используют как знак на входе в серьёзную компанию. Но под ней скрывается не набор бумажек, а способ соединить стратегию, риски и исполнение законов в один работающий механизм. Это когда правила помогают бизнесу, а не только обременяют его.» От трёх букв к системе: почему GRC, это не просто слова Governance, Risk, … Читать далее
«Наивная вера в то, что безопасность, это роскошь для устоявшихся компаний, приводит к тому, что молодые проекты закладывают мину в фундамент. Взрывается она не при первых пользователях, а когда вы уже выросли, получили крупные инвестиции и стали привлекательной мишенью. Тогда технический долг по безопасности превращается в кризис, а его стоимость увеличивается в десятки раз. Это … Читать далее
«Забукмаркированные статьи, репозитории на GitHub, подписки в Telegram, электронные билеты и неотправленные сообщения — всё это станет цифровым имуществом, которое почти никогда не переходит к наследникам. Смерть превращает аккаунты из удобного сервиса в чёрный ящик, полный потенциальных проблем. Стандартные юридические инструменты здесь бессильны, пока вы не создадите собственные.» Цифровая личность после смерти: что происходит с … Читать далее
“Вся регуляторика в России, это не про защиту данных, а про деньги. Стоимость санкций, упущенной выгоды, репутации. Глупо говорить руководству о важности 152-ФЗ, не переведя его на язык прибыли и рисков. Нужно строить KPI не от штрафов, а от сохранённых контрактов.” С чего начинается разговор с руководством Первая и главная ошибка — начинать с требований … Читать далее
«Мы автоматически ставим злоумышленника в позицию ‘маленького парня’, потому что это удобно для моделирования угроз. Но эта модель перестаёт работать, когда на кону — геополитика, финансовые схемы или целые государства. Защитная архитектура, построенная на устаревшей предпосылке, рушится при первом же столкновении с реальным противником, который может позволить себе роскошь действовать вне рамок закона и бюджета.» … Читать далее
«Для российского ИБ-специалиста самая частая ошибка — считать, что аутентификация и авторизация сводятся к проверке пароля и роли. На самом деле ФСТЭК и 152-ФЗ требуют построить юридически значимую систему доказательств: кто, когда и на каком основании получил право на действие. Без этой доказуемости любая, даже самая криптостойкая, система не пройдет проверку.» Федеральные требования: не функция, … Читать далее
“Сравнение CIS Controls и NIST CSF, это не выбор между плохим и хорошим, а поиск идеального инструмента для конкретной ситуации: один напоминает чек-лист для быстрой проверки безопасности, другой — методологию для построения системы управления рисками с нуля. В России, где регуляторика часто диктует требования через приказы ФСТЭК и 152-ФЗ, их практическое применение выглядит иначе, чем … Читать далее
«Когда разработчики и инспекторы ФСТЭК используют слова из общего словаря, они зачастую говорят о разных вещах. Это не языковой барьер, а эпистемологический — расхождение в самих основах мышления. Преодоление этого разрыва — ключ не к ‘сдаче’ проверки, а к созданию по-настоящему устойчивых систем, которые живут дольше одного аудиторского цикла.» Виртуальная стена между «делаю» и «проверяю» … Читать далее