📌Новостной дайджест прошедшей недели

🧩Штаб по развитию ИИ будет координировать внедрение технологии в стране
Комиссия будет не только определять шаги по развитию отечественного ИИ в ключевые сферы, но и устанавливать четкие показатели эффективности.

🧩Роскомнадзор: в России снизилось число утечек персональных данных в прошлом году
В 2025 было зафиксировано 118 случаев компрометации баз персональных данных, а в сеть попали более 52 млн записей.

🧩Ассоциация больших данных направила в Минцифры свои предложения относительно регулирования ИИ-технологий
Среди эффектов, которых хочет добиться АБД: повышение доступности данных для обучения ИИ и появление новых видов инновационных продуктов, услуг и сервисов на основе данных.

🧩В России появится рабочая группа по борьбе с незаконным использованием дипфейков
Задачами группы будут разработка технологической защиты информации, формирование нормативно-правового регулирования, разработка образовательных программ для подготовки профильных специалистов.

🧩Комитет ГД одобрил штрафы за нарушения при эксплуатации объектов КИИ
Также планируется принять проект об освобождении от уголовной ответственности за преступления в сфере эксплуатации объектов КИИ, если совершивший их активно способствовал расследованию.

🧩Хакеры начали осваивать атаки на банковские системы искусственного интеллекта
Последствия от таких атак — утечки чувствительных данных, репутационный и финансовый ущерб для компаний, нарушение операционной деятельности.

🧩Исследование: отечественный бизнес готовит масштабное внедрение центров мониторинга киберугроз (SOC) в 2026-2027 годах
Причинами для запуска таких инициатив стали повышение уровня ИБ, защита от сложных атак и стремление к оптимизации расходов.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

📃Безопасная интеграция с внешними системами по ГОСТ 57580.1-2017. Часть 2

В первой части мы разобрали базовые меры защиты при интеграции.
Но даже корректно настроенные доступы и шифрование не работают без постоянного контроля и четкого распределения ответственности.

3. Мониторинг и реагирование

Интеграции с внешними системами должны находиться под постоянным наблюдением:
🟠Постоянный сбор и анализ логов безопасности (SIEM-системы).
🟠Отработанные процедуры обнаружения и реагирования на инциденты.
🟠Регулярный аудит систем защиты.

4. Защита виртуальной среды

Большинство интеграций сегодня работает в виртуализированной среде, что требует отдельного внимания:
🟠Строгий контроль доступа к ВМ и контейнерам.
🟠Сетевая сегментация для изоляции критичных объектов.
🟠Защита образов систем от несанкционированных изменений.

Разграничение ответственности — ключевой принцип

Без четкого распределения ролей даже лучшие технические меры теряют эффективность:
🟠Ответственность финансовой организации: установление политик безопасности, управление доступом, мониторинг инцидентов, обеспечение защиты данных
🟠Ответственность поставщиков внешних систем: соблюдение установленных политик, безопасность своего сегмента интеграции, предоставление данных для мониторинга
🟠Совместная ответственность: обеспечение целостности инфраструктуры, защита каналов связи

#Сергей_Дурнев


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🔍10 трендов кибербезопасности 2026 по версии SentinelOne

Угрозы в 2026 году становятся быстрее, скрытнее и дешевле для атакующих. Основной сдвиг не в типах атак, а в том, как они масштабируются и обходят привычные меры защиты.

В отчёте выделяются следующие тренды:
1. Вредоносное ПО с использованием ИИ
Зловреды умеют меняться в реальном времени, обходить сигнатуры и подстраиваться под защиту. Ручной анализ не успевает за скоростью атак.

2. Архитектура нулевого доверия Zero Trust
Периметр больше не считается безопасным «по умолчанию». Каждый доступ и каждое действие перепроверяются, чтобы ограничить распространение атаки внутри сети.

3. Квантовые риски для шифрования
Данные могут перехватываться сегодня с расчетом на расшифровку в будущем. Для критичных систем встает вопрос перехода к постквантовой криптографии.

4. Вымогатели как сервис
Атаки ставятся на поток. Инструменты доступны даже низкоквалифицированным злоумышленникам, а стоимость восстановления продолжает расти.

5. Риски 5G и edge инфраструктуры
Устройства и сервисы на краю сети часто защищены хуже. Их компрометация может влиять на цепочки поставок и реальные бизнес процессы.

6. Инсайдерские угрозы при гибридной работе
Ошибки сотрудников и подрядчиков становятся одной из основных причин инцидентов, особенно в облачных средах.

7. Атаки на цепочки поставок
Компрометация одного поставщика или обновления ПО позволяет атаковать десятки организаций одновременно.

8. Уязвимости контейнеров и микросервисов
Ошибки конфигурации и непатченные образы дают быстрый вход в среду. Без встроенной безопасности в DevOps риски масштабируются мгновенно.

9. Социальная инженерия с использованием дипфейков
Подделка голоса и видео делает мошенничество убедительнее. Проверки по привычке перестают работать.

10. Сближение ИТ и промышленной безопасности
Интеграция ИТ и OT в рамках Industry 4.0 разрушает прежнюю изоляцию. Атаки могут приводить не только к утечкам данных, но и к остановке производства или нарушению работы оборудования. Возникает потребность в сквозном мониторинге ИТ и OT сред.

💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🗓 Сегодня, 28 января, весь мир отмечает важный день – Международный день защиты персональных данных (ПДн)

Этот день был учрежден в 2006 году в честь исторического события – подписания 28 января 1981 года Конвенции Совета Европы №108. Этот документ стал первым международным актом, давшим определение ПДн и закрепившим основы их защиты.

В День защиты ПДн мы хотим поднять тему того, насколько вы щепетильны в отношении своих ПДн? Как часто вы задумываетесь о приватности ваших данных?

Предлагаем разобраться в формате опроса.
Также нам будет интересно почитать курьезные или интересные случаи, с которыми вы сталкивались в вопросах обработки ваших ПДн👇


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

⚡️Возрождение ГОСТ Р 57580.1: практический гайд по внедрению. Часть I

Мы привыкли думать, что ГОСТ 57580.1 это старый стандарт, который все, кому надо, уже реализовали. Спешим вас удивить — скоро ГОСТ получит свое второе дыхание!

Банк России последовательно возвращает этот стандарт в активную зону. Причем теперь он касается не только финансовых организаций, но и тех, кто с ними работает — ИТ и ИБ подрядчиков, интеграторов, провайдеров, SOC и иных поставщиков услуг.

В новой статье Алексей Сторож, ведущий консультант AKTIV.CONSULTING, рассказывает как подходить к внедрению мер ГОСТ в 2026 году.

В первой части автор разбирает:
🟠кого и как затронут новые требования,
🟠цикл PDCA «по версии ЦБ»,
🟠а также все защитные меры.

Во второй части статьи, которая выйдет через неделю🔔, автор разберет уже практические аспекты внедрения требований и подготовку к внешнему аудиту.

‼️ Читать статью на Хабре

#Алексей_Сторож


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🛫 Делимся разбором от нашего коллеги, специалиста по анализу защищенности. Он разобрал нововведения в C&C фреймворке Sliver 1.6 и сделал обзор ключевых улучшений с их практической ценностью для Red Team.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🔔Новостной дайджест прошедшей недели

🧩ФСТЭК России выявила свыше 1,2 тыс. нарушений по итогам проверки 700 значимых объектов КИИ
При этом минимальный уровень киберзащиты достигнут лишь у 36% организаций. В числе ключевых причин — системное отстранение ИБ-специалистов от бизнес-процессов и отсутствие полного учета ИТ-активов.

🧩В России планируется создание Центра проведения сравнительного анализа средств защиты информации на базе МГТУ им. Н.Э. Баумана
Цель центра заключается в снижении барьеров для внедрения ИБ-решений заказчиками.

🧩Госдума в первом чтении приняла два законопроекта, которые меняют систему ответственности за инциденты в сфере КИИ
За технические ошибки и нарушения правил эксплуатации, не приведшие к уничтожению или утечке данных, грозят только административные штрафы.

🧩Ассоциация «Руссофт» представила технологические тренды ИТ-отрасли на 2026 год
Тренды названы в сферах искусственного интеллекта, импортозамещения, квантовых вычислениях и информационной безопасности.

🧩В Совбезе раскрыли детали новой доктрины информационной безопасности
В проекте доктрины указывается, что вопросы защиты информации должны быть встроены с самого начала в процессы создания и эксплуатации любых цифровых систем, в том числе на основе ИИ.

🧩В 2025 году сократилось количество телефонных звонков от злоумышленников
Эксперты отмечают, что мошенникам становится сложнее и дороже дозваниваться до потенциальных жертв, поэтому они стремятся повысить эффективность атак.

🧩ЕС инициировал реформу в ИБ-сфере Законом о кибербезопасности 2.0
Среди основных изменений — введение новой надёжной системы обеспечения безопасности цепочки поставок ИКT, а также расширение роли ENISA, которая получит больше полномочий, ресурсов и обязанностей.

🧩«Почта Mail»: почти половина россиян сталкивалась с утечками персональных данных
Наиболее распространенными мерами защиты респонденты назвали ограничение объема личной информации в соцсетях, осторожность при переходе по ссылкам, использование 2FA и антивирусных решений.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🗣 Делимся записью вебинара «Процесс 24. Поиск уязвимостей в программном обеспечении при эксплуатации»

Эксперты разобрали вопросы о поиске уязвимостей в программном обеспечении при эксплуатации.

Вебинар был организован УЦ "МАСКОМ" и PVS Studio, при поддержке приглашенных экспертов — Артёма Храмых (AKTIV.CONSULTING), Алексея Морозова (ecom.tech) и Алины Ким (ГК «Эшелон»).

💡Бонус! Заполните анкету, если хотите получить памятку с инструментами по анализу защищённости.

📺 VK Видео

📺 Rutube

📺 YouTube


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

📣 Вебинар. Какова зрелость информационной безопасности в отечественных компаниях

📅 19 февраля
⏰ 11:00 (МСК)

Наши эксперты провели анонимное исследование оценки уровня зрелости информационной безопасности в отечественных компаниях и готовы презентовать полученные результаты⬆️

В программе вебинара:
☁️Почему «Базовая ИТ- и ИБ-гигиена» и «Комплаенс» получили наивысшие оценки
☁️Какие направления наиболее актуальны для небольших, средних и крупных компаний
☁️Является ли функция ИБ в крупных компаниях наиболее зрелой по сравнению со средними и небольшими компаниями
☁️Как проводить оценку уровня зрелости с помощью бесплатного инструмента для самооценки, разработанного AKTIV.CONSULTING
☁️Как использовать полученные данные и рекомендации для дальнейшего развития функции ИБ в вашей организации.

В качестве бонуса все участники вебинара смогут получить аналитический отчет «Оценка уровня зрелости 2026»

🎙Спикеры:
Ольга Копейкина, руководитель отдела консалтинга по информационной безопасности,
Варвара Шубина, руководитель направления маркетинга.

🔗 Регистрация


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🐦‍🔥Возрождение ГОСТ Р 57580.1: практический гайд по внедрению. Часть II

В первом квартале 2026 года Банк России уже начал обследование сведений об интеграторах ИТ-услуг среди самых крупных кредитных и некредитных ФО. Для минимизации рисков, связанных с деятельностью аутсорсеров, Банк России рекомендует предъявлять поставщикам услуг требования о соблюдении уровня защиты ГОСТ Р 57580.1

В ближайшем будущем для поставщиков услуг соответствие ГОСТ Р 57580.1 перестанет быть просто конкурентным преимуществом и превратится в острую необходимость.

О том как начать соответствовать ГОСТ, последовательно разбирает Алексей Сторож, ведущий консультант AKTIV.CONSULTING.

Во второй части вы узнаете:
🟠как подойти к внедрению требований,
🟠какие для этого понадобятся технические средства,
🟠и что делать после внедрения.

‼️ Читать продолжение статьи на Хабре

#Алексей_Сторож


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

📃Когда оценка зрелости ИБ упирается не в технологии

Оценка зрелости информационной безопасности часто начинается с инструментов, процессов и формальных требований. Но на практике довольно быстро становится понятно, что ключевой вопрос не в количестве мер и не в уровне комплаенса. А в том, какую роль ИБ играет в компании.

Пока ИБ остается исключительно технической функцией, она воспринимается как центр затрат и служба ограничений. В такой модели сложно говорить о зрелости, потому что решения принимаются постфактум, а безопасность живет отдельно от бизнес задач. Здесь возникает необходимость трансформации ИБ в бизнес-функцию.

ИБ как бизнес-функция — это:
🟠Стратегический партнер, чьи цели формулируются на языке бизнеса и коррелируются с генеральными целями организации.
🟠Проактивный участник всех ключевых инициатив компании — от цифровой трансформации до выхода на новые рынки.
🟠Измеримая функция с понятными KPI и метриками, демонстрирующими вклад в прибыль и устойчивость бизнеса.
🟠Акселератор роста, который не препятствует, а обеспечивает безопасное масштабирование.

Трансформация ИБ в бизнес-функцию предполагает:
🟠Укрепление интеграции ИБ с бизнес-целями. Обеспечение проактивного управления рисками и поддержка новых бизнес-направлений.
🟠Оптимизацию процессов и масштабирование. Развитие сквозных процессов, охватывающих весь жизненный цикл ИБ с фокусом на эффективность и прозрачность.
🟠Автоматизацию и использование передовых технологий. Использование ИИ и аналитики данных для выявления скрытых рисков на основе бизнес-метрик.
🟠Развитие культуры безопасности на всех уровнях. Внедрение мотивационных механизмов, подход к ИБ, как к естественной части повседневной работы.
🟠Контроль и улучшение через метрики и обратную связь. Регулярные обзоры эффективности для корректировки стратегии и повышения уровня зрелости ИБ.

Эту тему в том числе подробнее разберем на вебинаре 19 февраля, где расскажем, как результаты оценки зрелости использовать для развития функции ИБ, а не просто для отчетности.

#Ольга_Копейкина


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

13 февраля 2026 года в 11.00 (мск) состоится вебинар, посвященный Системе добровольной сертификации (СДС) АБИСС и ее влиянию на рынок консалтинговых услуг ИБ для финансовых организаций.

Появление СДС АБИСС – важный шаг к построению в России системы доверия между всеми участниками рынка: финансовыми организациями, Банком России, поставщиками услуг для финансовых организаций и компаниями, оказывающими услуги по внешней оценке соответствия.

Ключевые темы вебинара:
🔵Роль СДС в саморегуляции. Как сертификация поможет повысить качество услуг аудиторских компаний и частных специалистов.
🔵Методологическая основа системы СДС АБИСС и разбор процесса сертификации: от подачи заявки до получения сертификата для организаций и отдельных специалистов.
🔵Практическая ценность СДС АБИСС для финансовых организаций, работающих с сертифицированными компаниями и специалистами.
🔵Стандарт ГОСТ Р 57580.Х. Разбор ключевых положений нового стандарта по оценке соответствия и его влияние на будущие аудиторские проверки.

🎙Спикер - Анастасия Харыбина, Председатель Ассоциации АБИСС.

🔗Регистрация на вебинар

🔔Новостной дайджест прошедшей недели

🧩ЦБ готовится ужесточить требования к топ-менеджерам финансовых организаций по информационной безопасности
Ко второму чтению готовится законопроект, который дополняет квалификационные требования к руководителям новым критерием по противодействию кибермошенничеству.

🧩Роскомнадзор в январе заблокировал более 4 тысяч фишинговых ресурсов и 281 сайт с вредоносным ПО
Также было отражено 1052 DDoS-атаки на системы госуправления, финансового сектора, ТЭК и операторов связи.

🧩Минцифры расширило список работающих без мобильного интернета сервисов
В список цифровых платформ входят наиболее значимые и востребованные российские сайты. Он формируется по согласованию с органами, отвечающими за обеспечение безопасности.

🧩ИБ-закупки в России в 2025 году превысили 190 млрд рублей
Эксперты отмечают, что рост рынка был обеспечен прежде всего укрупнением контрактов, а не увеличением числа закупок.

🧩Банк России выступает за усиление киберзащиты облачных сервисов для банков
По словам запреда ЦБ, в отличие от банков, к их поставщикам не применяются требования по информационной безопасности.

🧩Исследование: около 75% россиян за последние два года стали внимательнее относиться к своей безопасности в цифровой среде
Почти 67% участников опроса стали реже отвечать на звонки и сообщения с незнакомых номеров, а 52% отмечают, что всегда перепроверяют информацию, если она связана с деньгами или персональными данными.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

​​📣 Категорирование ОКИИ в банковской сфере ➤

Официально опубликовано постановление Правительства Российской Федерации от 06.02.2026 № 92 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка».