Большинство компаний вспоминают про приказ ФСТЭК № 21 только тогда, когда уже «горит» близится проверка, приходит требование от заказчика или случается инцидент с персональными данными. В результате меры из приказа воспринимаются как формальность и набор галочек, хотя на практике это вполне конкретный список организационных и технических шагов, которые позволяют не только выполнить требования регулятора, но … Читать далее
Коллега из отдела продаж сохраняет в личном Google Sheets: ФИО клиентов/сотрудников Названия компаний Контактные данные (телефоны, email) Другую рабочую информацию (например, суммы сделок) Простой вопрос сколько пунктов он нарушил? Сервисы вроде Google Dorks позволяют за минуты найти тысячи открытых таблиц с пометками «клиенты», «партнеры», «бюджет». И первыми их сканируют не хакеры, а менеджеры по продажам … Читать далее
Дверь кабинета распахнулась в три часа ночи. Бледный технический директор, голос дрожит: «Всё. Нас зашифровали. Они требуют два миллиона в биткоинах». В голове мелькнула мысль: «Это же фильм какой-то…» Но на мониторах уже мигали красные надписи, а в телефоне зашкаливало количество звонков от клиентов, партнёров, регуляторов. А когда расследование показало, что хакеры вошли через устаревшую … Читать далее
Классификация угроз и современные векторы атак В многих организациях к теме информационной безопасности приходят уже постфактум, после утечек и сбоев, когда решения принимаются хаотично и без опоры на реальные приоритеты. Такой подход приводит к перегруженной, но малоэффективной защите, которая слабо соотносится с реальными сценариями атак. Эта статья показывает, как системно подойти к теме угроз выделить … Читать далее
Стратегия информационной безопасности должна опираться на понятное целевое состояние и реалистичную дорожную карту, привязанную к рискам и задачам бизнеса. В статье рассматривается, как на основе анализа угроз выстроить многоуровневую защиту в парадигме Zero Trust, задать измеримые метрики (MTTD, MTTR, снижение критичных уязвимостей) и разложить внедрение ИБ‑мер по кварталам в формате практичной годовой дорожной карты. Построение … Читать далее
REST API в WordPress появился как дополнение для разработчиков мобильных приложений. Никто не планировал, что через несколько лет он станет входной точкой для автоматической публикации тысяч статей. Сам WordPress об этом до сих пор не знает. В документации раздел про REST API спрятан так глубоко, что подавляющее число администраторов сайтов даже не подозревают о его … Читать далее
Самое полезное, что я узнал за годы работы с WordPress: дефолтная главная страница — враг любого контентного проекта. Пока вы не замените хронологическую ленту на управляемую сетку, сайт будет выглядеть как личный дневник, сколько бы статей вы ни опубликовали. WordPress установлен. Тема активирована. На экране одна колонка с записями и «Hello World». А нужно другое. … Читать далее
ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства РФ. Почему требуют менять пароль каждые 90 дней Правило менять пароль каждые 90 дней придумали без исследований полвека назад. Квартал звучал серьёзно, … Читать далее
Шансы восстановить удалённый чат в Telegram зависят не от знания секретных трюков, а от одного факта: были ли ваши устройства онлайн в момент удаления. Если да — окно закрылось за секунды. Если нет — оно ещё открыто. Сначала главное: от чего зависят шансы Прежде чем разбирать технику, важно понять один принцип. Telegram распределённая система: данные … Читать далее
Роутер работает непрерывно, но никогда не просит обновить себя или проверить настройки. Его интерфейс проектировался для инженеров, а не для людей, которые заходят туда раз в три года. Инструкция нужна не потому что шаги сложные, а потому что каждый раз человек оказывается там как первый раз — без контекста и без понимания что именно он … Читать далее