project 101

Про Кремниевую долину без романтики. Точнее про то, почему нельзя пнуть рынок и получить новый Google Университеты С Великой депрессии государство США партнерится с университетами и мобилизует производство через госконтракты. Со Второй Мировой и через Холодную Войну это стало ноу-хау: заваленные грантами университеты создают знание и сообщество. Бизнес превращает знание в производство, получая госконтракты, которые даются на конкурентной, но гарантированной основе. Сообщество связывает это в единую экосистему: преподаватели и сами университеты становятся инвесторами бизнеса и советниками государства. Успешные менеджеры становятся преподавателями и госслужащими/политиками. Госслужащие/политики уходят на пенсию в ВУЗ или в топ-менеджмент. И да, все это работает на конкуренции – ВУЗы, компании и партии конкурируют за деньги и лучших специалистов В 70х-80х годах происходит два события. Первое – наступление японской потребительской техники и автомобилей на американский рынок, которое показало значимость спроса в потребительском секторе для капитализации стратегических технологий. Второе – отдельный заголовок Рынок финансовых инструментов и инвестиций К 60-70м годам 20 века большая часть факторов производства уже была освоена. Инвестор не мог вложить Х денег в бизнес и надеяться, что он принесет ему 10х, захватив колонию или создав новый сверх-масштабируемый продукт. Этому мешала конкуренция на товарных рынках, а также исчерпание отложенного спроса, общая стабилизация мировой потребительской экономики. Развившиеся финансовые инструменты готовы были дать выход огромной массе инвестиционного капитала. Но промышленность не давала ответа на вопрос «Куда мне вложиться ради тех самых иксов?» И, когда появилась новое неосвоенное капиталом поле – цифровая экономика, неудивительно, что капитал в нее ринулся. Неудивительно, что он надул несколько пузырей. Также неудивительно как и то, что он дал жизнь экосистеме стартапов, которые могли уже сами инвестировать в нужную ему инфраструктуру Юридическая пустота Отсутствие специального регулирования – это абсолютная норма для новой технологии. В США все новые технологии проходят свой подростковый возраст с одним требованием – обязанностью заботиться. То есть их разработчик должен избегать причинения вреда пользователям технологии и рынку, а также открыто предупреждать пользователя о рисках. Стандарты, отраслевое регулирование – все это потом, когда технология заматереет и наберет экономического жирка Но в части обязанности заботиться цифровые технологии получили еще один серьезный толчок. Основанная на интеллектуальной собственности, цифровая экономика смогла писать свои правила игры, предупреждая о рисках в EULA и различных политиках, тем самым снимая с себя эти риски Так что вот мой рецепт создания Кремниевой долины: партнерство на уровне экосистемы, правовой вакуум, миллиарды долларов на свободном инвестиционном рынке и конкуренция

Новость: Правительство представило новую версию закона об ИИ: поддержка вместо запретов Текст проекта я пока найти не могу, но вот, как я вижу эту новость Плюс: похоже, мы вразделим генеративные модели и все остальные. Это хорошо, потому что массив AI Governance/Compliance/Worship , написанный под хайповые LLM, не стыкуется с забытыми правом машинным зрением и классификаторами, которые бизнесом применяются активнее и глубже И сразу первый минус. LLM-ок у нас всего две: Сберовская и Яндексовская. И видимо, так и останется. Из текста документа убран критерий «доверенного» ИИ, но остались «суверенный» и «национальный». Повесить такую лычку на продукт под силу крупной компании, а для малой/средней это будет непропорциональной инвестицией. Привет всем, кто внедрял у себя цикл безопасной разработки 🤝 Второй минус: не-генеративные модели (в тексте новости есть акцент как раз на машинное зрение), кажись, пройдут под радаром регулирования. Там можно будет использовать и оупенсорс, и не-локализованные технологии! Но тут мы открываем требования ЦБ РФ, которые я разбирал выше. Что мы видим? Нельзя там использовать оупенсорс ↘️ Я вижу разделение рынка: обычный (мелкий) B2B/B2C закупает все по своему усмотрению, но крупняк, который в современной России практически гарантированно имеет статус субъекта 117 Приказа, КИИ или субъекта финансового сектора закрыт для не-сертифицированных, не-суверенных и «не-обезопасненных» решений Ну и за то, что из текста убрали требования к обеспечению безопасности пользователя и защите от манипулирования. И точно не потому, что я приложил к ним руку

Возможно, вы знаете о некоем непонимании статьи 274.1 УК РФ. Статья аж про «неправомерное воздействие на КИИ», кажется, сажать по ней должны хакеров. Но сроки (как условные, так и вполне реальные) получают сотрудники, вносящие сведения в системы за денюшку. Только вот системы относятся к КИИ и понеслось… Часто это МИСы - медицинские информационные системы. На эту тему есть два недавних определения ВС РФ. В обоих делах сотрудники вносили в МИС недостоверные сведений о прививке от Covid-19. За деньги

Определение от 15 апреля 2026 г. N 9-УД26-2-К; Определение от 5 марта 2026 г. по делу N 12-УД25-2-К6

Большая часть практики сформирована как раз такими делами. Принцип тот же, системы другие. Есть и более интересные комбинации, например: Брокер меняет данные на счетах клиентов, чтобы заработать - мошенничество + 274.1 (система банка - КИИ)

Определение Шестого кассационного суда общей юрисдикции от 02.06.2026 №77-1402/2026

Сотрудник оператора выгружает записи звонков и продает их - 138 + 274.1 УК РФ

Определение Шестого кассационного суда общей юрисдикции от 29.01.2026 N 77-167/2026

На вопросы адвокатов: «А где именно воздействие? Может просто мошенничество/подлог/превышение полномочий + взятка, без тяжкого преступления против КИИ?» суды отвечают – неправомерное воздействие в форме нарушения целостности информационной системы. Мы исходим из позиции, что системы лгать не могут, а тут в них появились недостоверные сведения. Целостность (святость) нарушена (осквернена), воздействие совершено. Позиция очень жесткая, но осмысленная. Поверьте, никто бы не хотел, чтобы в системе управления реактором появился лишний ноль. Кроме американско-израильской разведки и вируса Stuxnet, конечно Но можно ли говорить о том, что внесение недостоверных сведений – это всегда неправомерное воздействие? Ответит нам на это Апелляционное определение ВС Чувашской республики от 04.02.2026 года по делу №22-128/2026. В деле медсестра ФАПа вносила недостоверные сведения о визитах пациентов в Республиканскую МИС. Вскрылось. Дело по 2 статьям: 1️⃣292 УК - служебный подлог. Был доказан, приговор засилен всеми инстанциями. При этом срок исковой давности позволил исключить большую часть эпизодов 2️⃣274.1 УК - воздействие на КИИ. Преследование по этой статье было прекращено. Причины: ⚫️не доказано, что информационной инфраструктуре был причинен реальный вред. Да, в системе появилась недостоверная информация, но она не причинила вреда самой инфраструктуре, которая продолжила работать в штатном режиме. ⚫️медсестра не совершала компьютерных атак и не имела умысла на воздействие на инфраструктуру Итог: штраф в 30к по 292 УК. Очень рекомендую почитать в части доказывания нарушения А есть и примеры переквалификации из 274.1 в 272. Сотрудник оператора устанавливал функцию автоплатежа для клиентов, попутно копирую данные (в кассационном определении очень мало информации).

Кассационное определение Седьмого кассационного суда общей юрисдикции от 12.02.2026 N 77-327/2026

↘️ Екатеринбуржец удивил Тима Кука и его преемника Об этом пишет Бизнес ФМ 22-летний уроженец Екатеринбурга на эпловской конференции WWDC презентовал своё приложение pitch coach Приложуха отслеживает ваши речь и движения во время выступления через AirPods После чего выдает оценку вашей осанки, речи, количества слов-паразитов и выступления в целом А можно не устанавливать приложение и бесплатно потренировать навык публичных выступлений на нашем Питч клубе 101 в эту субботу 😉 📌📌📌 👋 Чтобы поучаствовать - пишите в сообщения группы

Сначала мы учим юристов, что ссылка на добросовестность - это юридическая импотенция Потом мы приучаем их ориентироваться не на основные принципы закона, а на новостную повестку, показывая, что принципы толкуются исходя из задачи, под которую создают нормы (или просто выполняются действия) Затем мы показываем, что любые сложные механизмы вроде должной осмотрительности и обязанности заботиться не нужны, ведь суд не примет их во внимание и можно просто поставить галочку напротив императивного требования И уже после мы возмущаемся, что вместо духа закона комплаенс строится вокруг вайбика регулятора 📌📌📌 Суть: Авито (и другие сайты) запретили вход по почте Google (это идентификация), хотя запрещены авторизационные сервисы (Apple ID), связанные с наделением правами. Кстати да, по ГОСТу авторизация - это именно наделение определенными правами исходя из разделения прав доступа внутри системы (например, п. 3.50. ГОСТ Р 58833-2020)

Москва ~ 12 июня Вечер Доброго Инди Ретпарк / Я поджигаю мотыльков / Prospal. / Melatonin* / Домашняя Магия 18+ @ мо[три]: Москва, Малая Семёновская 5с10 Билеты на концерт

Расписание мероприятий для самых сильных паперсеков и комплаенс-специалистов: ⚫сегодня играю на гитарке нишевом баре (в 19:20, ретпарк); ⚫завтра английский клуб (в 12:00) ⚫16 числа, наверное, буду разыгрывать интроверта перед сэйлами ибэ компаний на Standoff ⚫20 числа месяца июнь питч клуб

А ещё Антифрод 2 введет штрафы за нарушение требований к применению рекомендательных технологий Почти год назад я делал гайд на эту тему, он может пригодиться На выходных хочу заново разобрать требования к авторизации по отечественным сервисам. Есть подозрение, что там есть двойное дно, связанное с ГОСТ 57580 и терминологией банковских стандартов

Завтра с 12:00 по 13:00 буду на круглом столе в ТАСС «ИИ как угроза корпоративной безопасности» Я планирую рассказать про тренды и аналогии в практике судов, вызовы и ответы на них в текущем и создаваемом законодательстве. Но я там наименее именитый спикер, и тезисы поинтереснее есть. Например, не сделали ли ИИ-агенты неактуальным вопрос безопасности самой модели (вокруг которого выстроена половина проекта ФЗ об ИИ Мц😌), и не стоит ли уйти в сторону безопасности контура? А ещё обещают рассказать про потемкинские деревни внедрения ИИ в госуправление… А ещё там мы покажем результаты опроса по ИИ и корпоративной безопасности. Спасибо всем, кто принял в нем участие! Трансляция круглого стола будет здесь: ⚫во ВКонтакте ⚫на RuTube Полный анонс со всеми спикерами тут

↘️ Private equity скупают YouTube каналы за миллионы $$$ Возможно вы замечали, что многие крупные англоязычные каналы становятся все более обезличенными (создатель и постоянный ведущий начинает вести канал не один, а потом вовсе пропадает), видео выходят чаще, но стали как будто менее интересными и яркими Вероятнее всего эти каналы уже купили Private equity фирмы 🤑 Модель бизнеса таких фирм: 1️⃣Купить несколько маленьких и не очень успешных компаний 2️⃣Объединить их, оптимизируя деятельность и сокращая расходы 3️⃣Продать одну большую более эффективную компанию в разы дороже А зачем YouTube каналы? 📱 Несколько заводов ощутимо дороже нескольких каналов. А оптимизация затрат в разы легче (например снять видео по одному сценарию сразу на несколько каналов) Из-за этой оптимизации мы и видим негативные изменения из первого абзаца Как итог - каналы теряют просмотры и подписчиков Но разве это не проблема? 🤔 Нет. А причина в рекламе По законам США (которым подчиняется YouTube, крупнейшие каналы, рекламодатели и Private equity фирмы), блоггер когда что-то рекламирует обязан оповестить зрителей о том, что эта рекомендация - реклама Но если на канале несколько наемных ведущих, а сам канал принадлежит фирме, то указывать это необязательно Таким образом реклама у таких сетей выкупленных каналов эффективнее и удобнее 📌📌📌 👋 Так денежки и зарабатываются Всех с первым днем лета ☀️

Новая встреча Питч клуба❗️ Всем привет 👋 В этот раз снова полюбившийся вам формат - объясняем сложное простыми словами 20 июня в Москве Для участия пишите в сообщения группы Участие бесплатное 🆓

Наглядный пример перекидывания требований 117 ФСТЭК на подрядчиков гос. сектора Провайдеры хостинга, оказывающие услуги субъектам 117 приказа (ГИС + иные ИС гос. органов, предприятий и учреждений) должны соответствовать требованиям к защите информации в ГИС, а тажке специальному техническому регулированию (пропуская способность и криптография) Проект в разработке: https://regulation.gov.ru/projects/168142/

Верховный суд хочет обобщить практику по ИИ. Почему-то главный вопрос - а кто все же отвечает за решения, принимаемые ИИ, за его сбои и галлюцинации? Я вижу в этом вопросе столкновение двух зол технологической сферы: каргокультизма и лоббизма. Иных причин нет В прикладной ситуации на вопрос ответить достаточно просто. Буду модным, предложу алгоритм, по которому мы можем определить, кто виновен за вред, причиненный системой ИИ. Например, бричка на ИИ-автопилоте кого-то или что-то сбила 1️⃣Сводим факт (инцидент, сбой) к последнему волевому решению, которое привело к факту. Вопрос звучит так - кто ввел систему в эксплуатацию/кто ее применил. Получаем ответственное лицо. В нашем примере это владелец брички окаянной. Потому что именно его волевым усилием осатаневшая машина попала на дороги общего пользования 2️⃣Проверяем добросовестность этого лица. Вело ли оно себя разумно при эксплуатации технологии? Или может, оно пытается спихнуть свою вину на кого-то другого? Скорее всего, именно конечный пользователь будет отвечать за результат, потому что его волевое действие логически лежит в основе негативного эффекта. Об этом говорит практика судов по кибератакам и сбоям в системах, которую я разбирал в репосте 3️⃣А далее мы должны провести сложный правовой тест. Если мы признаем, что пользователь системы принял все разумные действия, но вред все равно наступил, мы должны определить, что же за сила преодолела эти разумные действия ✏️ Кстати уровень разумности определяется также и тем, не находился ли пользователь под ложными обещаниями/гарантиями разработчика системы - тогда он может применить эстоппель по обещанию Таких сил может быть 3: ⚫Преступные действия третьих лиц (так сбой систем, вызванный кибератакой, может быть признан форс-мажором - А15-1085/2022) ⚫Ложные заверения или халатность разработчика (эстоппель, фидуциарные обязанности и добросовестность) ⚫Феномен функционирования самой системы (но тогда мы должны признать машину субъектом права) У меня есть подозрение, что текущая командитная система отечественного информационного права готова признать феномен системы в качестве силы, которая может исключить ответственность. Если так, то это каргокультизм - вера в феномен за гранью его понимания. Радует то, что текущая практика по ПДн и антифроду перевела сбои и инциденты в категорию общеизвестного риска. Так что литании техножрецов пока учить рано Но на самом деле каргокультизм - это итог лоббизма. Чем меньше ты отвечаешь за последствия своих действий, тем меньше у тебя убыток. Тем быстрее ты скидываешь продукт на рынок. Тем смелее ты вводишь его в эксплуатацию. И это выгодно Так что сейчас ВС РФ взял на себя не ношу вопроса систематизации практики. Он взял на себя ответственность за выбор между анализом реальности и слепой верой в авось и обещания «ничего не будет, все под контролем, главное - победить в гонке блокчейн, крипты, ИИ»

Ты нужен AI-алармизму! Запустили с коллегами опрос об ИИ, как угрозе корпоративной безопасности. Буду очень благодарен каждому, кто пройдет и поделится своим взглядом и/или скинет коллегам ↘️ Ссылка

Обучение сотрудников ПДн/2 Рядовой сотрудник - это главный генератор нарушений в сфере персональных данных. К счастью, большая их часть незаметна для контрольно-надзорных органов и отследить такие нарушения в практике сложно. Но их много и они могут подставить под штраф Хотя существуют технические решения, которые позволяют бороться с нарушениями на местах, обучение сотрудников стоит в разы дешевле и работает достаточно эффективно. Но чему учить? Я бы охватил эти темы: 1️⃣Использование локализованных технологий Штраф за не-локализацию БД выше, чем средний штраф за утечку. В разы. К тому же и обучение выйдет крайне простое - всего-то бан-лист зарубежного ПО и список отечественных аналогов. Я бы обратил внимание на: ⚫зарубежные формы сбора данных у маркетинга (GoogleForms меняем на Яндекс) ⚫метрики у того же маркетинга ⚫используемые облачные хранилища у всех 2️⃣Правильное понимание утечки (и в целом периметра организации) Все знают неологизм «штраф за утечку». «Утечка» психологически воспринимается, как безвозвратная утеря, а 13.11 карает за неправомерную передачу. Многие бытовые действия (скинуть в группу, скопировать на свой ресурс, сохранить в общую папку) не воспринимаются, как нечто противозаконное, но могут им являться Банальный пример из практики - гид не думал, что совершает утечку, скидывая данные группы туристов в группу с этим же туристом (А51-17988/2025) Здесь я бы постарался привести примеры «бытовых» утечек, чтобы сформировать нужное понимание, и объяснит, что такое информационный периметр организации 3️⃣Куда передавать требования субъектов, если они свалились в канал, с которым работает этот сотрудник Требование субъекта может прийти 1) кадровику (и он, скорее всего, грамотно обработает его самостоятельно), 2) менеджеру по рекламе через почту для заявок, 3) юристу на почту legal@ и так далее. Не все сотрудники могут ответить на такое требование: ⚫грамотно; ⚫в выгодном оператору ключе Учить всех обработке запросов неэффективно. Зато можно научить всех передавать запросы в нужный канал для обработки. Своевременно передавать

Ценности на замке: внутренние политика Avito запретили продажу фигурки Warhammer из-за наличия на ней рун. Если что, космические волки - это местная аллюзия на викингов Если что 2, фотки не мои, я не играю в ваху *за волков

Обучение сотрудников 1/2 Читал одну заметку про 152-ФЗ и увидел пункт «обучены ли сотрудники?», после которого идёт рекомендация разработать документы в отношении обработки ПДн. Да, но есть момент В этой заметке хочу осветить только формалистские моменты. О функции реального обучения сотрудников чуть позже У каждого сотрудника может быть 3 статуса в контексте работы с конфиденциальной информацией 1️⃣Допущенный - функциональный статус, который связан с выполнением прямых обязанностей. Статус закрепляется исходя из выстроенного процесса (в отличие от п. 3) 2️⃣Не допущенный - статус «от обратного», который нужен для пресечения нарушений и применения ответственности Закрепляются эти статусы с сугубо формальными целями - выполнить требования ФЗ-152 и 21 приказа, подготовить почву для ответственности. Обучаться на них сотрудники не будут - они сложно написаны и не понятно где лежат. Зато эти документы будут страховать оператора, а в некоторых случаях - и самого работника. Вспоминаем, например, размытую диспозицию 272.1 УК 3️⃣Реагирующий - тот, кто разбирает инцидент (утечку, внутренний конфликт) и работает с информацией в хаотичном процессе Статус реагирующего должен включать: ⚫гарантии безопасности доступа к перехваченной информации (а то есть вероятность повторения дела сверху); ⚫полномочия по запросу помощи у смежных департаментов (ИБ-HR-Юр); ⚫гарантии безопасности при реагировании на инцидент - условно, чтобы не было ситуации

Лёша ****, ты зачем **** обо всем НКЦКИ/РКН рассказал, а ну **** быстро по собственному подписывай!

Основные документы - регламент реагирования и должностная инструкция. Регламент я считаю функциональным документ, который должен доставаться при каждом расследовании. Поэтому в нем можно поступиться формализмом в пользу наглядности и применимости. Не лишним будет снабдить его и, например, чек-листами действий с прицелом на потенциальный трудовой спор А вот должностную инструкцию лучше писать сухо и с постоянной оглядкой на законодательство и личные риски. Ведь все хорошие должностные инструкции, которые я видел, должностные лица писали сами под себя)