19-го июня я выступаю на IT IS Conf в Екатеринбурге. Буду модерировать пленарку "Новая киберреальность РФ: что изменилось в 2025 году и куда идет отрасль ИБ" и выступать с keynote-докладом "Не тренди! О чем еще можно говорить, хотя стоило бы помолчать!", но сейчас не об этом. Смотрел тут на Яндекс.Картах 🗺, где будет проходитт конфа. Ну смотрел и смотрел, кто из нас этого не делает. Однако дальше случилось неожиданное - через сутки я получил на почту письмо от Яндекса, фрагмент которого показан на картинке. То есть Яндекс фиксирует все мои поисковые запросы в Картах и потом предлагает мне забронировать через их же сервис путешествий номер 🔴

Я в целом никогда не питал иллюзий на счет бигтехов, собирающих о нас все, что только возможно 😠 Но как-то не думал, что они это настолько прямолинейно монетизировать будут. А ведь я своего явного согласия на обработку моих персональных данных для этой цели не давал ☹️ Получается, что абсолютно любой мой клик в карту, даже случайный, сохраняется Яндексом, который обогащает этими данными другую информацию обо мне, пытаясь выжать из меня ее максимум бабосиков. Случайно нажал на магазин сантехники - Маркет предлагает тебе купить унитаз 🚽 Нажал на какой-нибудь кинотеатр, Кинопоиск предлагает тебе оформить расширенную подписку. Мда... Видимо, надо выходить из всех сервисов Яндекса, а то чем дальше, тем больше...

Хотя чего я удивляюсь?.. 😳 Хорошо, что у российского поисковика нет сервиса Яндекс.Проститутки, а то бы он сразу в стоимость гостиничного номера включал их стоимость, подбирая именно тех, которые лучше соответствуют поисковой истории, просмотренным картинкам и актрисам в фильмах... 😳

ЗЫ. Вот интересно можно ли распространить на такой кейс 272.1 УК РФ? Незаконные сбор налицо. Неправомерное хранение тоже присутствует. А там еще и корыстные побуждения и служебное положение, то есть уже часть 3-я 😡

#персональныеданные

Меня тут в личке спросили, почему я не комментирую взлом красноярского оператора «Орион Телеком»? 🔓 Ведь за недоступность сервисов, особенно для государства, они должны нести ответственность. Но давайте отвлечемся на секунду от Красноярска и обратим свой взор на другой материк, а именно на Северную Америку, где около года назад атака шифровальщика на две недели парализовала работу Patelco Credit Union 💻

Более 1 миллиона клиентов финансовой организации пострадало. Детали кейса раскрыты в материалах суда, согласно которым некоммерческий кредитный союз согласился создать фонд в размере 7,25 миллионов долларов для компенсации убытков обратившимся в него клиентам 🤑 Также Patelco предложила своим клиентам бесплатный кредитный мониторинг, который, по разным оценкам и в зависимости от глубины оказываемых услуг, стоит от 9 до 40 долларов в месяц на человека. Вишенкой на торте стал штраф в 100 тысяч долларов от калифорнийского департамента финансовой защиты и инноваций, а также требование от него улучшить свою кибербезопасность 🛡

Для компании с активами на 9,4 миллиарда долларов это все не очень большие потери. Важно другое. Фонд на 7,25 миллионов долларов был создан только после того, как в суд обратились истцы с требованием соответствующей компенсации 👩🏼‍⚖️ Не будь его, Patelco ограничилась бы штрафом и бесплатным кредитным мониторингом. И это общее правило в любой стране мира - если твои права нарушены, сначала попробуй в частном порядке урегулировать конфликт, а если не получается, иди в суд и защищай свои права там 🧑‍⚖️

Просто так, по своей инициативе, покрывать чьи-то убытки, компенсировать упущенную выгоду и т.п. компании, пострадавшие от инцидентов, не обязаны и не должны (хотя и хотелось бы) ☹️ А в ряде случаев с них еще и спросят за нецелевое расходование средств. Поэтому можно возмущаться тем, что акулы капитализма плюют на наши с вами права, как их клиентов или субъектов персданных, которые они обрабатывают, но наш праведный гнев - это пустое и никак неприближающее нас к каре небесной виновника наших бед ⚡️ Чтобы ответственность наступила, надо приложить усилия с нашей стороны. А без нее, увы, это будет не более чем сотрясание воздуха.

Что же касается Ориона, то у меня единственный вопрос 🙋 Если, как утверждается, не было утечки персданных, а всего лишь выведено из строя 497 коммутаторов ядра сети, 28259 коммутаторов доступа и удалено 370 серверов, то почему Орион сообщил о компьютерной атаке в Роскомнадзор? 🤔 Возможно, это связано с тем, что хакерская группировка, стоящая за атакой (и это не ГУР, как пишут СМИ), все-таки написала у себя в канале, что они получили все персональные данные клиентов оператора связи?

Но надо закончить заметку чем-то позитивным. Число подписчиков Telegram-канала 📱 "Орион Телеком" выросло за 3 дня в 4 раза - с 3 до 12 тысяч человек. Атака закончится, а подписчики останутся! 👇

#инцидент

Если вы думаете, что«душащий свободу слова» РКН 🚫 существует только в России, не обольщайтесь. Иностранцы тоже страдают от своих цензоров и тоже рисуют соответствующие мемасики. Во всех странах одно и тоже - тотальный контроль под соусом защиты детей, обеспечения национальной безопасности и борьбы с терроризмом 👨‍💻

#суверенитет

Вечерело... 13-е, пятница, время страшных историй... о выгорании, стрессе и суициде среди ИБшников 😱 Но нет, я не буду повторять тезисы с дискуссии "CISO в аду, но с командой" на PHDays, которая не только вызвала большой интерес, но и породила спонтанно возникающие каналы вокруг этой темы.

Вот один из них, созданный еще одной ИБшницей, которая решила разложить по полочкам все это достигаторство, выгорание и остальное психонервное, с чем сталкивается рядовой и не очень ИБшник 😨

Мне, конечно, интересно, когда автор ответит на вопросы, которые она, по итогам дискуссии на PHDays, решила развенчать, а именно:
6️⃣ Почему некоторые очевидные мысли с сессии звучат как чушь собачья, хоть они в корне верны?
2️⃣ Почему вам кажется, что такие темы на профильных конференциях обсуждают от нехрен делать, и им заняться больше нечем?
3️⃣ Какой очень важный момент здесь упущен, хоть модератор потратил колоссальное время на подготовку к этой сессии?

Юля, жду... ⏳ Но попутно отмечу, что колоссального времени на подготовку я не тратил. Она, в отличие от остальных, как раз родилась спонтанно и быстро оформилась и по участникам и по озвучиваемым тезисам.

ЗЫ. А страшные истории про ИБ у меня тоже можно почитать. Но на Хеллоуин... 🎃

#психология

Если не врут, то взломали английский центр правительственный связи GCHQ 💂, ответственный в Соединенном Королевстве, среди прочего, за кибербез. Проникновение произошло еще в 2024-м году через некорректную конфигурацию OAuth. Затем Teams и Citrix VDA и... самое занятное, через воздушный зазор, реализованный с помощью защищенного 4G-шлюза. Интересное... 🇬🇧

#инцидент

Альянс "пяти глаз" 🦅, но без канадцев, выпустил неплохое руководство по защите датасетов для проектов по машинному обучению и искусственному интеллекту 🧠

#ии #mlsecops

Вообще борьба со словами - штука бессмысленная 😠 Запрещай, не запрещай, требуй написать опровержение, все равно… богатый и могучий русский язык найдет способ передать все тоже самое, запрещенное, но другим способом 😛

А помимо Эзопова языка есть и другие способы передачи смыслов, не нарушая установленных запретов 😱 Подписчик прислал, за что ему спасибо, интересное. Оказывается современные школьники используют слово «квас» в очень нестандартном смысле, применяя к нему шифр Цезаря со сдвигом на одну букву и обсуждая таким образом то, что нельзя 👨‍💻

Сам Цезарь ✝️, кстати, использовал сдвиг на 3 буквы. А вот его племянник Август, если верить «Жизни двенадцати цезарей» Гая Светония Транквилла, сдвигал шифртекст как раз на одну букву только 🗝

ЗЫ. На картинке (автор Бен Каплан), кстати, написано «Железный купол» на иврите. И иллюстрация его работы в виде трассировки ракет, сбивающих цели над Израилем 🇮🇱 (актуальная тема нонче), а не то, что вы подумали 😂

#цензура #криптография

Что вдруг я написал о поросшой мхом утечке из Госуслуг? А просто мне тут сообщили об утечке 2023 года из… тоже каких-то «Информационных услуг», под которыми уже были скрыты Госуслуги. И теперь меня терзают смутные сомнения 🤔

#утечка

NIST и Университет Боулдер в Колорадо построили первый генератор случайных чисел 0️⃣, используя квантовую запутанность для генерации верифицируемых значений. Это решение, Colorado University Randomness Beacon (CURBy), доступно для всех желающих по API, а протокол Twine гарантирует отслеживаемость случайного числа и что оно защищено от манипуляций во время передачи 👏

#криптография #pqc