В 2024 году количество заявлений о банкротстве 🍑 в США достигло 14-летнего максимума — 61 случай только в декабре, что стало резким подъемом после десятилетия снижения. Хотя экономическая обстановка (инфляция, высокие ставки) тоже повлияла, все чаще причиной банкротств становятся киберинциденты: ransomware, утечки, сбои в операциях, потеря доверия клиентов. И если крупные корпорации способны пережить кибератаки, то для средних и малых компаний одна сильная атака может стать критической 💥 Вот 4 кейса прошлого года, где причиной банкротства стал инцидент ИБ:

1️⃣Stoli Group USA, о которой я уже писал. Подала на банкротство 27 ноября 2024 года после того, как в августе 2024 года пострадала от ransomware, который вывел из строя ERP‑систему ☕️

2️⃣ Jerico Pictures / National Public Data. Компания-оператор базы данных личной информации (1,3 млрд человек) подала на банкротство в октябре 2024 года после масштабной утечки: раскрыты SSN, адреса и др. Это повлекло за собой иски, штрафы и проседание на рынке. Когда я писал про инцидент, про банкротство еще не было известно 📇

3️⃣ Оператор домов престарелых Petersen Health Care сообщил о банкротстве в марте 2024 года после двух подряд ransomware‑атак (в октябре 2023 и феврале 2024). Первая парализовала выставление счетов, вторая — системы оплаты через Change Healthcare. При доходе в $339 млн за 2023 год у компании был долг >$295 млн, включая $45 млн по кредитам. Итог печален 👴🏻

4️⃣ Австралийская компания MediSecure Limited (не путать с Medibank, у которой тоже был серьезный инцидент с большими финансовыми потерями) цифровых рецептов обанкротилась летом 2024 года после ransomware‑атаки в апреле. Утечка 6,5 ТБ данных (~12,9 млн австралийцев), включая чувствительные медицинские сведения. Компания не выдержала финансовую нагрузку, связанную с восстановлением и утратой доверия со стороны клиентов 💉

#недопустимое #ущерб

🤦‍♂️

ЗЫ. Спасибо подписчику за прекрасный образчик проникновения vibe coding в ИБ.

#аутентификация

Прекрасная традиция для ИБ-мероприятия - модератор наливает спикеру 50 грамм коньяка и выпивает вместе с ним. В лучших традициях «Карнавальной ночи» Рязанова. И да, конечно же, это ни в какой не пуританской Франции, а в солнечной Армении.

ЗЫ. И да, 10 звездочек лучше пяти… если бы столько звезд размещали на бутылках 🥃

#мероприятие

Канада 🇨🇦 ввела очередной пакет санкций, незначительно задев и российский сегмент ИБ, внеся в свои черные списки:
6️⃣ Касперскую Наталью Ивановну
ряд компаний, занимающихся квантовыми технологиями, включая и квантовое шифрованию или постквантовую криптографию, среди которых упомянуты:
2️⃣ Компания QRate
3️⃣ Компания Qapp.

#санкции #pqc

Что-то все молчат 🤐, видимо ждут пока я расчехлю свое перо и напишу про нормативку, а именно про абсолютно новый приказ ФСТЭК №117, который пришел на смену отмененному 17-му приказу регулятора (был 17, стал 117 - удобно запоминать). Принят он был еще 11 апреля, хотя опубликован только вчера. Я про проект уже писал, но так как вышел финальный вариант, то можно написать про документ чуть подробнее. Тем более, что он стоит того 👍 Но сразу скажу, что не буду перечислять всего, а только то, на что у меня упал глаз после дегустационного тура на коньячный завод!

6️⃣ Принят 11 апреля; вступает в силу с 1-го марта 2026 (планировали с 1 сентября этого года). Но зато можно успеть попасть в цикл бюджетирования и заложить деньги на следующий год.
2️⃣ Распространяется на любые информационные системы госорганов, ГУП и госучреждений, а также муниципальные ИС, что расширяет число и подопечных регулятора, и самих систем, попадающих под новые требования. Не исключаю, что и на подрядчиков госов эти требования тоже распространят, но уже сами госы.
3️⃣ Цели - недопущение (снижение возможности) наступления негативных последствий (событий) от реализации угроз ИБ 💥 Список негативных последствий берется из БДУ ФСТЭК.
4️⃣ Требуется большое число внутренних регламентов и стандартов ✍️, в том числе с требованиями по конфигурациям и настройкам ПО и железа, требованиями по сбору, регистрации и анализу событий ИБ, требования по работе с привилегированными учетками и удаленным доступом, требованиями по управлению уязвимостями и обновлениями, требованиями по разработке безопасного ПО, требованиями к выводу в прод доступных публично сервисов и систем, требованиями к мониторингу ИБ и контроля уровня защищенности. Оно и раньше требовалось, но сейчас это четче прописано.
5️⃣ Для подрядчиков должна быть разработана политика ИБ, с которой подрядчики должны быть ознакомлены, в том числе и с обязанностью ее исполнения.
6️⃣ Не менее 30% работников подразделения ИБ должны иметь профессиональное образование или пройти профпереподготовку по ИБ. Про высшее образование ни слова, что дает возможность чуть проще комплектовать штаты ИБ в госорганах.
7️⃣ ИБ должна взаимодействовать с ИТ, а на ИТ даже возлагаются некоторые обязанности этим приказом ФСТЭК. Раньше такого отсыла к ИТ не было, что не может не радовать.
8️⃣ Помимо ПО и железа по обнаружению и предотвращению угроз и вторжений, а также контролю защищенности и выявлению уязвимостей, должны применяться средства по контролю настроек и конфигураций информационных систем, а также средства и системы, предназначенные для автоматизации и аналитической поддержки деятельности по защите информации 🤔
9️⃣ ИБ должна представлять руководству компании обоснованные предложения по требуемым на защиту от негативных последствий ресурсам, а также о перечне негативных последствий (событий), наступление которых прогнозируется в случае отсутствия ресурсов. Руководитель же должен выделение этих ресурсов, в пределах имеющихся средств, предусмотреть 🤑
6️⃣1️⃣ Необходимо определить события, приводящие к негативным последствиям, системы и средства, воздействие на которые может привести к негативным последствиям, а также угрозы, реализация которых может привести к негативным последствиям. Иными словами защищать надо не все системы, а только те, которые могут повлиять на реализацию негативных последствий. Нет последствий - не тратьте ресурсы почем зря. Хорошая история в условиях цифровизации всего и вся, когда число активов растет многократно, число угроз тоже, а денег и специалистов по ИБ больше почему-то не становится.
6️⃣6️⃣ Необходимо регулярно оценивать показатель защищенности (не реже одного раза в 6 месяцев) и показатель уровня зрелости (не реже раза в год) согласно методикам ФСТЭК (но будут еще и другие документы). Вычисленные показатели должны направляться в ФСТЭК в течение 5 дней.

Продолжение в следующем посте... ✍️ (часть 2 и часть 3)

#регулирование

Продолжаем про новый 117-й приказ ФСТЭК, пришедший на смену 17-му:

6️⃣2️⃣ 21 мероприятие для защиты от негативных последствий (очко!), среди которых оценка угроз, контроль конфигураций информационных систем, управление уязвимостями, обеспечение защиты информации при удаленном доступе, обеспечение мониторинга ИБ, обеспечение защиты информации при взаимодействии с подрядными организациями, защита от DDoS, защита ИИ, взаимодействие с ГосСОПКА и т.д.
6️⃣3️⃣ Для ГИСов модель угроз обязательна (по 676-ПП), для остальных - на свое усмотрение.
6️⃣4️⃣ Мероприятия по контролю конфигураций ИС должны среди прочего исключать несанкционированное изменение настроек и конфигураций ПО и железа. Контроль конфигураций информационных систем должен осуществляться на основе анализа результатов учета ИТ-активов и (или) сведений, содержащихся в CMDB (ИТ должны обеспечить ИБ такой доступ). Если CMDB нет, то выстраивать собственное управление активами, например, на основе сканеров уязвимостей или SIEM.
6️⃣5️⃣ Критические уязвимости должны устраняться за 24 часа, высокого уровня опасности - не более 7 дней ⏳ При выявлении любой уязвимоости, отсутствующей в БДУ ФСТЭК, данные о ней должны быть направлены регулятору.
6️⃣6️⃣ Бесконтрольная установка обновлений не допускается.
6️⃣7️⃣ На оконечных устройствах должны быть установлены EDR.
6️⃣8️⃣ Применять личные мобильные устройства можно, но при условии соблюдения на них требований по защите и возможности их контроля. Это прям хороший пункт. А то было бы как раньше - запрет и все из под полы юзают. Сейчас большие шишки хотя бы задумаются и может быть попросят ИБшников настроить свои личные айпады и айфоны 📱 для доступа к ГИС.
6️⃣9️⃣ Удаленный доступ с личных устройств работников тоже возможен, но опять же при соблюдении требований по защите и применении сертифицированных средств обеспечения безопасной дистанционной работы, антивируса, строгой (а это не MFA, а криптография) аутентификации и т.д. Это будет сложнее реализовать, но тоже не полный запрет. Доступ из зарубежа не допускается 👎
2️⃣1️⃣ Привилегированный доступ должен быть только со строгой аутентификацией, а в случае ее невозможности, - с использованием усиленной многофакторной аутентификации. Все попытки такого доступа должны регистрироваться. Вообще этой теме в приказе много внимания уделено 👨‍💻
2️⃣6️⃣ Мониторинг ИБ должен быть во всех ИС, исключая локальные и изолированные ИС, в которых должен обеспечиваться контроль журналов регистрации событий безопасности. Тут я, конечно, не очень согласен, так как нарушитель может попасть в локальную и даже изолированную систему не через Интернет. И как тогда его выявлять; периодичность же контроля логов не установлена? Мониторинг в соответствие с ГОСТ Р 59547-2021. Итоговый годовой отчет о мониторинге инцидентов ИБ должен направляться в ФСТЭК. Вообще регулятор не только устанавливает много новых требований, но и требует подтверждения их выполнения. Пока в виде отправляемых отчетов (форма не установлена), но допускаю, что в перспективе появится и какая-нибудь автоматизированная система типа АСОИ ФинЦЕРТа или ГосСОПКИ. Такая автоматизация бы сильно облегчила жизнь и подопечным и самой ФСТЭК в части анализа присланных данных.
2️⃣2️⃣ Пункт про использование только выданных на работе флешек мне кажется невыполнимым на практике ⚪️ В крупных коммерческих компаниях еще может быть, но не в госухе, которая считает каждую копейку.

Финальная часть воспоследует незамедлительно (часть 1 и часть 3).

#регулирование

2️⃣3️⃣ Упоминаются ИС, их сегменты, выполняющие значимые функции на предприятии; Все это в контексте установления сроков восстановления после нарушения функционирования. Но дальше упоминания дело не пошло, что и понятно, - ФСТЭК не имеет классификации таких систем, в отличие от классов защищенности ИС, для которых как раз сроки восстановления четко установлены - 24 часа для систем 1 класса, до 7 дней - для 2-го и до 4 недель для 3-го класса (хотя этот срок выглядит странновато в нынешних условиях). ПО и железо, отвечающее за значимые функции, должно быть в отказоустойчивой конфигурации. Срок проверки возможности восстановления выполнения значимых функций должен проводиться не реже 1 раза в 2 (!) года. Ну такое себе, если честно ☺️ На фоне уничтожения инфраструктур многих госорганов и коммерческих компаний в последние месяцы такой срок выглядит также странновато. Но с другой стороны, все-таки это больше ИТшная тема, не ИБшная и ФСТЭК просто обращает внимание на необходимость резервирования ключевых систем и проверки возможности их восстановления.
2️⃣4️⃣ Для обучения пользователей впервые на моей памяти упоминается геймификация (обучающие игры), а также антифишинговые симуляции 🎣 Правда срок оценки уровня знаний пользователей установлен - не реже одного раза в 3 (!) года. Хорошо, хоть есть еще добавление “или после компьютерного инцидента”.
2️⃣5️⃣ Много написано про работу с подрядчиками, но я про это буду говорить на ближайшем вебинаре 26 июня.
2️⃣6️⃣ Для защиты от DDoS-атак 💣 надо, помимо прочего, взаимодействовать с ГосСОПКА и ЦМУ ССОП (тоже новация). При этом защита должна строиться с привлечением операторов связи или провайдеров хостинга, а также специализированных антиDDoS-провайдеров, центры очистки которых располагаются только в России 🇷🇺
2️⃣7️⃣ Есть раздел про безопасность ИИ, но тут скорее всего стоить ждать более подробных методичек 🪧
2️⃣8️⃣ Большое внимание уделено вопросам проверки достаточности принятых защитных мер. В ГИСах - это, как минимум, аттестация по 77 приказу ФСТЭК. Для остальных список возможных вариантов шире - выявление уязвимостей с последующей экспертной оценкой возможности их использования (пентест или багбаунти 🐞), выявление несанкционированно подключенных устройств, использование решений класса BAS, киберучения. Все эти меры должны проводиться не реже одного раза в три года (опять!!! 😭) или после инцидента (уже лучше). Отчет о контроле защищенности должен направляться в ФСТЭК (не очень понятно, как это выполнять при непрерывном контроле защищенности, но, видимо, отправлять хотя бы раз в квартал или раз в полгода).
2️⃣9️⃣ Итоговой таблицы с указанием защитных мер применительно к конкретным классам защищенности в 117-м приказе нет, что и хорошо. Она и раньше скорее рекомендовала набор защитных мер, а не устанавливала обязательный минимум. Сейчас этот минимум, названный, базовыми защитными мерами, прописан просто в тексте списком 🔚

Так, обошлось без 117 пунктов, но тоже немало. Заметил, что коньяк на меня действует как-то по особенному - я начинаю творить всякую дичь Обычно я на текст по какой-то теме больше одного поста не трачу, а тут целых три! 💪

Текущая версия требований по защите, прищедшая на смену 17-му приказу, стала, как по мне, более практичной, и описывает не только “ЧТО” должно быть сделано, но и “КАК”. Да, не по всем защитным мерам и мероприятиям это раскрыто, но ключевые вещи, отсутствие которых приводило к известным и не очень инцидентам 🔓, в приказе описаны. При правильной его реализации уровень ИБ в стране точно должен повыситься. Главное, чтобы ресурсы выделяли на реализацию требований приказа и люди были, которые смогут это все реализовать. Но это уже не к ФСТЭК 🗂

Предыдущие части 1 и 2.

#регулирование

Разбирая 117-й приказ и натолкнувшись на "строгую аутентификацию", которая совсем не "многофакторная", вдруг вспомнил, что я как-то рисовал картинку тоже про терминологию в области аутентификации, которую тоже можно запостить, чтобы не пропадала 🏫

Не путай токен, токен и токен; в ИБ встречается и тот, и тот, и тот! 🤔

#терминология #аутентификация

Гостеприимная Армения 🇦🇲 встретила хлебом-солью шашлыком, пахлавой, коньяком и другими явствами, а я ответил презентацией про кибератаки в стране и почему при общении с топ-менеджментом все эти цифры и статистика не особо интересны большим дядям и тетям (но нужны ИБшникам). Ну и возможный рецепт дал... 🧐

Удивительно, но CyberGen25, организованный Центральным Банком 🏦 Республики Армения, - единственное вендор-независимое мероприятие по ИБ в этой гостеприимной стране. Может поэтому за свою долгую командировочную жизнь я первый раз был на территории, когда-то называвшейся Урарту 🇦🇲 И не пожалел!

#статистика #тенденции #threatintelligence
#презентация

Если кому-то нужен распознанный текст 117-го приказа ФСТЭК 🗂, а не скриншот, выложенный на publication, то прилагаю.

Завтра буду в Екатеринбурге на IT IS Conf, где у меня модерация пленарки и визионерский доклад "Не тренди! О чем еще можно говорить, хотя стоило бы помолчать!" 🤠 И Екатеринбург в эти даты - это гораздо лучше слёта элитных проституток ПМЭФ, где пафосно-дорого-богато, а по делу (ИБшному) ничего нет, если вы не журналист или у вас нет доступа в кулуары.

ЗЫ. Кстати, онлайн на IT IS Conf тоже будет 📺

#регулирование #мероприятие

Давно у нас не было рубрики Internet of Stupid Things. Контролируемая ИИ кровать 😴 «не работает» без Интернета… Вдумайтесь в эту фразу! А ведь это можно было сделать и целенаправленно со злым умыслом! 😏 Вы предусмотрели это в своей модели угроз антивирус в своей кровати?

#iot #модельугроз

Сегодня я выступал на IT IS Conf 2025 в Екатеринбурге с визионерским, как мне кажется, докладом, в котором попробовал подсветить некие моменты, о которых стоит думать специалисту по ИБ, строящему свою карьеру в этой области 🤔 Не знаю, будет ли доступно видео?...

#тенденции #ciso #презентация

Подготовка к презентациям выходит на новый уровень 👨‍💻 А было вот так. Теперь вообще текстовку можно не готовить, а "оживлять" картинки и растягивать их на весь слайд. А то и вовсе делать мини-фильмы, которые будут жить своей жизнью... 🙃

ЗЫ. Пойду "оживлю" аватарку в шляпе... 🤠

#презентация