В этом году я являюсь амбассадором CISO FORUM!

Это одно из лучших деловых событий ИБ отрасли, очень советую посетить.

📅 28 апреля 2026
📍 Центр международной торговли, Москва
• 1000+ участников — CISO, CIO, архитекторы и руководители SOC.
• 4 трека
• Реальные кейсы атак
• Живые практикумы
• Без маркетинга — только то, что работает.

🔥 В числе спикеров — представители топ-25 российских CISO 2025 и ведущие эксперты отрасли.

💼 Участие бесплатно для специалистов по ИБ и ИТ.
👉 Регистрация открыта

#CISO

🎯 Выступление на Инфофоруме 28 января 2026 о внутренних нарушителях в КИИ

У меня был доклад о защите от внутренних нарушителей в контексте КИИ.

Основные тезисы:

🔹Внутренний нарушитель опасен не только умышленными действиями, но и непреднамеренными ошибками
🔹Эшелонированная защита: контроль на уровне пользователей, данных и сети

Особенно важно, что для объектов КИИ 1-й категории — анализ действий пользователей обязателен.

Презентацию прикладываю в комментариях 👇

#КИИ #инсайдеры @safebdv

ИСТОРИЯ 2: ЧТО БУДЕТ, ЕСЛИ ВОПРОСЫ ИГНОРИРОВАТЬ

В средней по размеру компании, имея ограниченный бюджет, купили модный XDR, подключили внешний SOC.

Что не сделали:
— MFA для почты топ-менеджеров,
— контроль сервисных учёток,
— не назначили человека, который реально отвечает за ИБ и принимает решения при инциденте.

Атака началась просто: обычный фишинг на CFO → компрометация почты.

Дальше классика:
— мошенники подменили платёжные реквизиты,
— срочный «платёж поставщику»,
— деньги ушли в момент.

XDR сработал, SOC прислал уведомление… после перевода денег.

Итог: платформа «работала» в отчётах, а бизнес потерял деньги, время и доверие клиентов.

Вывод простой: дорогие технологии не заменяют ответы на три ключевых вопроса:
— где точка невозврата,
— что реально ломает бизнес быстрее,
— кто отвечает за ИБ и решения при инциденте.

Без ответов на эти вопросы — любые системы и дашборды останутся красивой имитацией безопасности.

Сравнение 17 и 117 приказа ФСТЭК. Под него попадают не только ГИС, а еще и другие организации, включая подрядчиков, которые подключены к ГИС. Я уже писал про ПЗИ и КЗИ

Приказ №117 предписывает внедрить следующие меры:

🔹разработать и утвердить комплект организационно-распорядительной документации (ОРД) по ИБ;
🔹назначить ответственных сотрудников и создать группу специалистов по защите данных;
🔹проводить оценку защищённости и уровня зрелости в регламентированные сроки, описанные в приказе ФСТЭК №117;
🔹обеспечивать постоянный мониторинг событий и уязвимостей;
🔹ежегодно направлять отчётность во ФСТЭК;
🔹проходить обязательную аттестацию ГИС (для других систем — по усмотрению владельца);
🔹использовать только сертифицированные СЗИ из реестра ФСТЭК.
#ФСТЭК #Приказ117 @safebdv

Полный перечень подсистем защиты согласно 117 приказу ФСТЭК

🔹Выявление и оценка угроз безопасности информации.
🔹Контроль конфигураций ИС.
🔹Управление уязвимостями.
🔹Управление обновлениями.
🔹Защита при обработке/хранении информации ограниченного доступа.
🔹Защита конечных устройств (EDR-решения).
🔹Защита мобильных устройств.
🔹Защита при удаленном доступе.
🔹Защита при беспроводном доступе.
🔹Защита привилегированного доступа.
🔹Мониторинг ИБ.
🔹​Разработка безопасного ПО (ГОСТ Р 56939-2024).
🔹​Физическая защита ИС.
🔹​Непрерывность функционирования при нештатных ситуациях.
🔹​Повышение знаний пользователей ИБ.
🔹​Защита при взаимодействии с подрядчиками.
🔹​Защита от DoS/DDoS-атак.
🔹​Защита ИИ (модели, данные, атаки).
🔹​Взаимодействие с ГосСОПКА.
​
(Примечание: приказ перечисляет ~19; источники указывают 17 как базовых.)

#ФСТЭК #Приказ117 @safebdv

Сделал быстрый чеклист для самопроверки соответствия 117 приказу ФСТЭК
#ФСТЭК #Приказ117 @safebdv

ИСТОРИЯ 3: ВЫВОД ДЛЯ РУКОВОДСТВА

Что мы узнали из предыдущей истории: технологии — это красиво, но не спасают бизнес, если нет понимания рисков и ответственности.

Для совета директоров и топ-менеджеров простая формула:

1️⃣ Определите точку невозврата. Что реально убьёт бизнес быстрее: утечка данных, простой ключевых систем, штрафы регулятора или репутация?

2️⃣ Разберите, что критичнее: инфраструктура или почта топа. Часто взлом топа - приводит к полной остановке бизнеса.

3️⃣ Назначьте одного человека, который реально отвечает за ИБ. У него должны быть полномочия, ответственность и знания, что делать в первые 24 часа.

Только после того, как эти три шага выполнены, имеет смысл вкладываться в XDR, SOC или AI.

Кибербезопасность начинается не с технологий.
Она начинается с понимания рисков и ответственности.

Без этого дорогие платформы и дашборды остаются красивой иллюзией безопасности — как сигнализация без человека, который закроет дверь.

#CISO @safebdv

Многофакторная аутентификация - одна из важных тем последних лет. Сегодня без включения второго фактора я не мыслю вообще защиту доступов в компании и у любого человека.

Подключайтесь онлайн 4 февраля в 11 утра, я буду модерировать эфир. Также прошу в чате задавать вопросы, которые я готов озвучить коллегам.

Рекомендую посмотреть ролик про то как MFA обходят на rutube или youtube - обсудим и это.

#MFA #конференция #длявсех #CISO @safebdv

Как связаны с безопасностью файлы Эпштейна? Да, полностью. Это хороший пример того, как утечка данных повлияла на жизнь всего мира. И кто-то даже выложил 25232 файлов и составил граф взаимодействий всех 19034 участников из его переписок.

Зайти посмотреть на это, пока не прикрыли, можно тут:
epstein-doc-explorer-1.onrender.com
(предупреждаю - надо очень долго ждать загрузки)
Сделано на основе:
github.com/maxandrews/Epstein-doc-explorer

#утечки @safebdv

Пользователи Notepad++ использовали вредоносное обновление полгода

Недавний инцидент с Notepad++ показал, как злоумышленники могут использовать цепочку обновлений:
🔹Злоумышленники получили контроль над сервером обновлений разработчика этой записной книжки.
🔹Вредоносные апдейты распространялись избранным компаниям полгода, пока кто-то не заметил (это была APT, а не широковещательная атака)
🔹Пострадали тысячи пользователей, включая корпоративные системы.
Вывод: даже доверенный софт может стать источником компрометации. Любое обновление сегодня — потенциальная угроза.

Практические шаги для безопасника
🔹Немедленная проверка полученных внешних обновлений
🔹Любое обновление Notepad++, Zoom, Adobe, Windows и т.д. сначала скачивается в изолированную песочницу, а не на рабочую станцию.
🔹Проверка SHA-256 через независимый источник (вендор, RSS, телефон).

Статический и динамический анализ
🔹VirusTotal: проверка хеша и файла.
🔹Разбор установщика на скрипты и нестандартные команды.
🔹Запуск в VM с мониторингом сетевых соединений, автозагрузки и процессов.

Мониторинг сети
🔹Контроль нестандартных соединений на портах HTTPS.
🔹Аномалии: новые IP-адреса, география обращения, нестандартный размер пакета.

Осторожное развертывание
🔹Первое развёртывание только на 5–10% машин.
🔹Через SIEM идет анализ логов 24–48 часов перед массовым обновлением.

Обновления через внутренние репозитории
🔹WSUS, SCCM, Nexus, Artifactory — все апдейты сначала проходят через внутренний сервер.
🔹Блокировка прямого выхода рабочих станций к внешним источникам.

Контроль хоста
🔹Application Whitelisting: запуск только проверенных бинарников.
🔹EDR/XDR: запрет обращения updater.exe к cmd/powershell и критическим процессам.
🔹Проверка цифровой подписи и даты сертификата.

Если апдейт оказался заражённым
🔹Изоляция систем
🔹Немедленно отключить пострадавшие устройства от сети.
🔹Перевести рабочие станции на резервные образы, если есть.

Сбор артефактов
🔹Логи, бинарные файлы, контрольные суммы.
🔹Анализ через Sandbox/VM для понимания вредоносного поведения.
🔹Оповещение сотрудников

Не запускать подозрительные обновления.
🔹Контролировать все новые инсталляции софта через IT/Security.
🔹Держать связь с вендором
🔹Проверить, исправлена ли цепочка обновлений.
🔹Получить подтверждённые хеши и подписи исправленных файлов.

Главный урок: доверие к поставщику нельзя воспринимать как постоянную константу. Любой апдейт проверяется как потенциальная угроза, даже если это привычное приложение. В общем Zero Trust - быть всегда.

Вы же помните, что такое уже было с SolarWinds, ASUS Live Update, M.E.Doc, CCleaner (2 миллиона зараженных) и XZ Utils. И будет еще...

#экспертам #цепочкапоставок #взлом @safebdv

Вышла моя статья "Почему со времен червя Морриса работают одни и те же способы взлома"

Я последовательно разобрал почему ничего не меняется:
1. Социальная инженерия: человек как постоянная уязвимость
2. Программные уязвимости: переполнение буфера в эпоху ИИ
3. Технический долг: замкнутый круг небезопасности
4. Небезопасные настройки по умолчанию: удобство против защиты
5. Экономика киберугроз: атака дешевле защиты
6. Человеческий фактор в разработке: образовательный провал
Эти причины останутся актуальными еще долгие годы.

Сегодня следует принять, что абсолютная защита невозможна, поэтому фокус должен быть на минимизации последствий.
В любой компании следует автоматизировать обновления и мониторинг, потому что человек не справляется с объемом угроз

#статья #угрозы #психология

Что такое ISO 27001 и зачем это бизнесу

🎯 ISO 27001 — это международный стандарт по управлению информационной безопасностью. Если убрать бюрократию, то это система правил и процессов, которая помогает компании:
✅ Понять, какие у неё есть важные данные и системы
✅ Оценить риски для этих активов
✅ Защитить их осмысленно (не хаотично)
✅ Доказать клиентам и партнёрам, что безопасность под контролем
Это не технология и не продукт. Это подход к управлению рисками.

💼 Зачем это бизнесу? (Реальные выгоды)

1️⃣ Доверие клиентов и партнёров
Многие крупные компании и госзаказчики требуют ISO 27001 перед заключением договора. Без сертификата вас просто не пустят в тендер или на проект. Примеры:
🔹Банки при работе с подрядчиками
🔹Зарубежные клиенты (особенно из ЕС)
🔹Компании, работающие с персональными данными
🔹B2B-SaaS сервисы

2️⃣ Конкурентное преимущество
Сертификат = сигнал рынку: "У нас не халтура, мы серьёзно относимся к безопасности". Отдел продаж может закрывать сделки быстрее, не тратя недели на заполнение опросников по безопасности от контрагентов. Ведь утечки у поставщиков уже были, например, у Аванпост.

3️⃣ Снижение рисков инцидентов
Стандарт заставляет выстроить процессы:
🔹Резервное копирование
🔹Контроль доступа
🔹Реагирование на инциденты
🔹Управление уязвимостями
Это реально снижает вероятность утечек, взломов, ransomware.

4️⃣ Структура вместо хаоса
Вместо "безопасность на коленке" появляется система:

🔹Понятные политики и процедуры
🔹Распределение ответственности
🔹Регулярный мониторинг и аудит

5️⃣ Защита от штрафов и регуляторов
Во многих странах (включая Россию с GDPR-подобными законами) наличие СУИБ может смягчить штрафы при инцидентах. Вы сможете доказать, что "делали всё возможное". Так называемые due diligence и due care.

Вышеприведенный текст верен для любого пройденного аудита безопасности.

📋 Что включает ISO 27001?
Стандарт требует создать СУИБ (Систему управления информационной безопасностью):
🔹 Инвентаризация активов — что у вас вообще есть (сервера, данные, приложения)
🔹 Оценка рисков — что может пойти не так и насколько это критично
🔹 Выбор контролей — из 93 контролей стандарта выбираете подходящие
🔹 Политики и процедуры — документируете, как всё работает
🔹 Обучение персонала — люди должны понимать правила
🔹 Мониторинг и улучшение — постоянный процесс, а не разовая акция

👥 Кому это особенно важно?
✔️ IT-компании, SaaS-сервисы
✔️ Финтех и банки
✔️ Медицинские организации
✔️ Компании, работающие с зарубежными странами
✔️ Подрядчики крупных корпораций
✔️ Госучреждения

⚠️ Главное заблуждение
Многие думают: "Получим сертификат — и всё, безопасность есть"
Это неправда.
ISO 27001 — это не таблетка, а образ жизни. Сертификат нужно поддерживать, процессы — соблюдать, риски — пересматривать регулярно.
Если вы получили ISO только "для галочки" — это просто дорогая бумажка. Настоящая ценность — в изменении культуры безопасности в компании.

🎯 Итог
ISO 27001 для компании — это:
📌 Пропуск в крупные тендеры и контракты
📌 Страховка от катастрофических инцидентов
📌 Структура для управления безопасностью
📌 Доказательство зрелости перед рынком
📌 Инструмент снижения операционных рисков

Нужен ли он всем? Нет.
Но если вы работаете с чужими данными, хотите масштабироваться или просто не хотите однажды проснуться с зашифрованными серверами — стоит задуматься.

#аудит #compliance #ISO27001 @safebdv

Размышления. Первая часть.

Основная тонкость (и хрупкость) рынка ИБ в России, что главный критерий покупки в госсекторе и КИИ – соответствие нормативным требованиям и наличие сертификатов, а не удобство эксплуатации, MTTR, TCO или UX.

До тех пор, пока платит не инженер SOC, а "владелец бюджета" и отдел compliance, продукт будет оптимизироваться под соответствие нужной "галочке".

Эффект импортозамещения

Регулятор говорит: "нельзя иностранное" + "надо закрыть требования к такому-то сроку". И появился рынок, где спрос на "хоть какой-то продукт" превышает спрос на хороший продукт.

#размышления #рынок #разработка @safebdv