Арбитражная форензика

Большие рисковые модели Поговаривают, что общий рынок искусственного интеллекта в России (вообще весь, включая железо и датасеты для него) к началу 2026 года перевалил за 1 трлн рублей. Большую часть занимает как раз инфраструктура, но и непосредственно нейросети — несколько десятков миллиардов, с уверенным ростом. Выглядит инвестиционно привлекательно, согласитесь. С другой стороны — в выходные Anthropic сообщила своим клиентам, что мол «вынуждены немедленно отключить вам Fable 5 и Mythos 5, чтобы обеспечить соблюдение требований». Потому что внезапно получила предписания властей США, сославшихся на соображения национальной безопасности. Это мы к чему. В России официально только две компании — Яндекс и Сбер — делают реально свой, суверенный ИИ (хотя и тут ходят разные слухи). А все остальные — в лучшем случае используют чужие модели (по open source схеме, например, тот же Сбер GigaChat или Qwen от Alibaba), с последующим их дообучением и файнтюном. А в худшем — вообще API к большой коммерческой модели, являясь по сути лишь интерфейсом-прокладкой. Как это согласуется с инвест интересом? А так, что инвестору надо бы четко понимать, а что он вообще покупает — что-то самодостаточное, что-то адаптированное или что-то прокладочное. О том, как это понять и что с этим делать в плане минимизации рисков, будет очень подробно рассказано во 2-й части большого исследования по Tech M&A, в которой DFCenter также приняли участие. Отчет уже на финале верстки и вот-вот будет выложен. Почти книга получилась. За ее созданием можно почти реалтайм следить на канале M&A | IB. А пока, для затравки, выложим небольшую выдержку из Отчета — про лечение юридических рисков ИИ-активов. Ведь есть, например, мнение, что проблему наличия в модели чужих объектов авторского права или персональных данных можно решить с помощью неких мероприятий технического характера — удалением «грязного» датасета либо «перенастройкой» модели. Так ли это? Если компания дообучила модель на «грязном» датасете, эти «токсичные» данные уже вшиты в миллиарды параметров нейросети. Удаление датасета устранит риск дальнейшего распространения и, возможно, удовлетворит требование регулятора. Но на модель это уже не повлияет, она уже «знает» эти данные. Чтобы надежно снять риск, нужно провести полное переобучение, то есть обучить модель заново на гарантированно «чистом» датасете. Для этого, соответственно, нужна необученная версия модели и чистый датасет. Только вот затраты на такую процедуру будут сопоставимы с первоначальным обучением. Так называемый метод «забывания» (Machine Unlearning) потенциально тоже может помочь. Но с нюансами. Во-первых, это технология скорее исследовательского уровня - работает в определенных условиях и не дает гарантированного результата. Во-вторых, принципиально важно понимать, что целью забывания является не превращение модели в «чистый лист», а избирательное устранение влияния проблемных данных из весов уже обученной модели, при котором все остальные, «хорошие» знания, сохраняются. Однако, если эта операция не удалась, и модель была необратимо повреждена, опять же придется прибегнуть к ее полному переобучению с нуля на чистом датасете. Если же проблема у компании-продавца возникла не на уровне датасета, а на уровне «загрязненных» векторов (без необходимости изменения весов) — ситуация, с технической точки зрения, проще. Грязные данные можно удалить из базы знаний. Конкретный чанк. При хорошем исходе после такой операции модель «забудет» удаленное и ничего не выдаст при следующем запросе, так как ей нечего будет выдавать из базы знаний. Однако эффективность метода может отличаться в разных условиях. Как вы видите, купить ИИ-компанию — это задачка со звездочкой. А то и с тремя. Но мы-то с вами понимаем, что лучше вообще пять. И вот чтобы и результат был на пять — нужно обладать не только серьезной экспертизой в праве, но и в технологиях. Или найти соответствующих консультантов.

4. Нейронки (иностранного производства) небезопасны в плане трансграничного слива персданных и адвокатской тайны. В том смысле, когда туда грузят не обезличенные материалы дел. Ну так, впрочем, можно сказать и про всю иностранную айтишку, начиная с мессенджеров и почты на гугле. Никого же это не пугает (хотя немного должно). Здравый смысл и реалистичное понимание угроз способны эти риски минимизировать. Ну или использование российских нейронок, они тоже вполне рабочие и справляются со стандартными юридическим задачами. Ну или развертывание локальной нейронки, в конце концов (она правда быстро, за 1,5-2 месяца может деградировать, но это не точно). Тут уже больше вопрос не про качество, а про доверие/недоверие к отечественно-импортозамещенному и «локализованному на территории РФ». И вот с этим реально проблемы — призраки «американских коллег» и «перегибов с правоприменением на местах», опять же, бродят очень бодро и иногда весьма оправданно. И да, даже если вы не сольете в ИИ материалы дела, это сделает сам ваш клиент. Он-то точно консультируется (параллельно с вами) еще и с нейронкой. И потом будет с вами еще и спорить, аргументируя ее выводами. Привыкайте. 5. Нейронки оставят без работы джунов. Ну это да, риск есть. Но он такой во всех отраслях и почти во всех странах. Кого-то оставит, кто-то переучится. Вымрут ли юрфирмы без естественного притока снизу новых мидлов и партнеров? Видно будет. Все точно не вымрут. А часть фирм станет фирмами из 2-3 партнеров и кучи ИИ-агентов. 6. Нейронки обрушат цены на юруслуги. Ну само собой. Как и на любой экспертный консалтинг, да и вообще услуги, где платятся большие деньги за советы, причем без стопроцентной гарантии результата. Врачи, юристы, дизайнеры, таро-астрологи и прочие, и прочие — у всех упадут цены, потому что клиент все может сам или потому, что знает, что вы потратили на него в 10 раз меньше времени благодаря ИИ. А может и не упадут — это вопрос продажи своих компетенций. Так-то шаблонами договоров и исков, инструкциями по подаче жалоб и всем таким интернет завален по крышечку и сегодня. И все равно клиенты нет-нет да и понимают, что что-то в этих услугах есть кроме формального содержания и бумажек. И приходят к живым экспертам в конкретной области. 7. Реально эпоха ИИ в юриспруденции случится тогда, когда нейронки будут внедрены на государственном уровне в судопроизводство. Когда нейронка-адвокат будет спорить с нейронкой-прокурором (ну или с другим адвокатом, если мы про арбитраж) и все это будет анализировать нейронка-судья. Вот тогда да, юристы могут вымереть. Причем везде. Насколько это реалистичный сценарий — судить не беремся. Итого: ИИ — это будущее, от него никуда не деться. Нейронки реально крутые, хоть иногда и ошибаются. Кто с ними не дружит совсем — скорее всего рано или поздно проиграют. Но не этим нейронкам, а тем, кто с ними дружит. И вообще — дружить это хорошо. И делать свое дело хорошо — тоже хорошо. Чего и вам желаем.

Поэтом можешь ты не стать В пятницу побывали на конференции. Молодые адвокаты Московской области собирались и говорили про жизнь и свое будущее в ней. На самом деле «молодые» тут не про то, что «сразу после ВУЗа» или «неопытные», а скорее про «недавно получили статус». Хотя до этого много работали юристами в других сферах. Так что аудитория была вполне себе профи с опытом. Про «Московская область» тоже не ясно — люди были с половины России. Мы поняли эту конференцию как скорее «для молодых душой адвокатов всех возрастов, начинавших когда-то свой профпуть в МО». А молодые душой — они ведь любят всякие новомодные штуковины. Сегодня это конечно с ИИшкой какой внутри. Ну вот про это и было. Кто-то рассказывал, что уже уволил сколько-то младших юристов, потому что ИИ лучше: 100 томов дела ему скормил — на выходе красоту получил. И никакого ФОТа не спалил. Кто-то уже вообще не понимает, как без ИИ можно быть современным адвокатом и ему не по пути (в прекрасное светлое будущее) с тем, кто еще по старинке сам что-то руками там ворочает. Кто-то сперва не верил, а потом как увидел и каааак поверил. Ну и прочее, и прочее. Правда, конечно, и скептики (зануды такие неверующие) тоже что-то говорили. Про персданные, про адвотайну и инфобез пугалки. Кратко: ИИ — это прекрасно и удобно. И если понимать все риски и нюансы, то будущее за ним. 1. Нейронка работает хорошо, но иногда все ж глючит. Ну а кто нет, с другой стороны. Поэтому задача профессионала не просто принять от нейронки результат и отнести в суд (хотя и тут скоро api с КАДом все будет делать), а проверить его, верифицировать, так сказать. Как, возможно, и за любым другим подчиненным. И если в суд попала придуманная практика и несуществующие законы — это проблема не искусственного интеллекта, а естественного (вплоть до его отсутствия). 2. Нейронка может обработать 100500 страниц за минуты. Правда не стоит забывать, что она работает с текстом в ворде, в пдф и в скане бумажного документа с различной степенью точности. Если из .docx текст вынимается с точностью под 99%, то из скана — уже около 75-80%. Посчитайте сколько это в листах на 100 томов дела. Опять же придется перепроверять вручную. Да и в целом про скорость… ну да, повышается. Но когда арбитражный суд в мае определяет, что следующее заседание по делу будет в конце сентября (не в связи с назначением, например, экспертизы, а просто так) — скорость обработки адвокатом документов как будто не играет большой роли. 3. Нейронка может проанализировать кучу источников и найти практику. Вопрос — а в рамках российской судебной практики реально нужно исследовать так много источников? По некоторым категориям дел, а адвокаты обычно специализируются на чем-то одном-двух, практика уже сформирована, есть разъяснения пленумов и так далее. Споры возникают, в основном, о правоприменении «на местах». И нейронка на этих «местах» ничего особо не сделает, тут одни естественные интеллекты должны с другими взаимодействовать. Да, можно кончено все еще ссылаться на опыт «американских коллег», но в 2026 году это как-будто не очень-то актуально для российских юристов (работающих по собственной воле именно в России, а не в Ереване, Астане или даже Дубае).

В эту пятницу, 29 мая 2026 года, пройдет Первая конференция Совета молодых адвокатов Московской области «Гонорар. Партнерство. Цифра».   Почему это интересно. Во-первых, это будет встреча с теми, кто через 10-15 лет вполне может стать лицом отечественной адвокатуры. Поэтому посмотреть в это лицо заранее, высказать ему свою видение и поделиться опытом — дело полезное. А во-вторых, это в принципе молодые люди (и девушки), которые наверняка смотрят на многие устоявшиеся вещи как-то по-новому, с другого поколенческого ракурса. А такой взгляд полезен, ведь поколения сменяются не только в адвокатуре, но и в судебной системе, бизнесе, обществе в целом. Тренды надо считывать и быть к ним готовым.   Ну и в-третьих, там будет выступать Анатолий Земцов, управляющий партнер DFCenter, который, собственно, и поделится опытом и знаниями в части работы с цифровыми доказательствами в интернете, обсудит формирующиеся тренды.   Конференция пройдет с 10:00 до 17:00, в конференц-зале Калибр (метро Алексеевская, г. Москва, ул. Годовикова, дом 9, стр. 17, 2 подъезд).   Зарегистрироваться можно тут.

Костыль или гравицапа? Мы уже писали, что Яндекс выкатил в бету своего Нейроюриста и что с базовыми задачами, где есть устоявшаяся практика, он справляется вполне сносно. Но главная претензия к ИИ у практикующих юристов-скептиков всегда одна — склонность к галлюцинациям и прочим фантазиям. Вроде несуществующих статей законов и вымышленной практики. И чтобы такие поделки не принести в суд, их всегда надо перепроверять ручками. А это времени занимает столько же, сколько просто взять и сделать самому. Тогда в чем польза-то? Яндекс, судя по всему, боль эту через колонки с Алисой услышал и прикрутил к ИИ жесткий верификатор, пойдя по пути RAG и официально интегрируясь с правовой базой Гарант-Лайт. То есть теперь, по идее, информация для ответа берется только из проверенных юридических источников и ни в коем случае из общественного интернета, без всяких придумок и фантазий. Нейроюрист сразу крепит ссылку на закон или судебное решение. Прямо на нужный абзац, само собой, из Гарант-Лайт, где версии актуальные (что в любом случае уже не проблема НЮ, а ответственность Гаранта, с которой он так-то вполне справляется не первое десятилетие). Все это можно самостоятельно попробовать и решить — норм или нет. Есть 20 бесплатных запросов, если не хватит, есть промо-тариф. Проверить на прочность Нейроюриста с Гарантом можно тут.

Недоуважение и недопонимание Пока в отечественных юржурналах рассуждают на темы, как «умение работать с ИИ станет обязательным, как сегодня — знание ГК», а в юрканалах — открывают доступ «к закрытому мастер-классу по работе с нейросетями», Anthropic представила 12 новых плагинов и более 20 коннекторов для Claude, которые оставят без работы еще 100500 американских юристов, которые могут решать юридические задачи от договорного и трудового права до судебных процессов. А на фоне всего этого в России превентивно выписали первый судебный штраф за кривое использование ИИ-помощника в юрцелях. Арбитражный суд Западно-Сибирского округа в Тюмени наказал кемеровское ООО «ЦСС» на 50 тыс. руб. за указание в кассационной жалобе ссылок на несуществующие судебные акты. Представитель общества привел в жалобе реквизиты и цитаты из решений Верховного суда РФ, Высшего арбитражного суда РФ, арбитражных судов Московского, Западно-Сибирского и Северо-Западного округов. Только вот при проверке выяснилось, что часть указанных документов отсутствует в КАДе, а другая часть — принята по делам с иными обстоятельствами, не имеющими сходства с текущим спором. Ну да ладно, сколько таких историй уже было — недоглядел, не разобрался. Не справился, так сказать, с управлением по неопытности. За что так жестко-то, аж на 50 тысяч?! А потому, что «в ходе заседания представитель компании признал, что судебная практика, на которую он ссылался, не существует». То есть он заранее знал и отдавал себе отчет, что это галлюцинации и фейк. А может и промпт соответствующий даже написал. Умысел налицо. Но мы про другое. Про изменение рынка юруслуг мы слышим уже лет пять. Он изменился? Да. Но не то, что бы радикально. А у большей части российских юристов вообще задачи на работе одинаковые последние десять лет. Ну кроме горящих, типа «всех перевести на удаленку», «подать по всем документы для брони» и все такое. В общем не про технологии, а про «законодательные новеллы», которые надо как-то соблюсти. Говорит ли это о том, что все это ИИ — ниочем и никакого реального изменения не будет? Нет. Точнее, а никто этого не знает. Потому что это — вопрос не про юристов, а про бизнес. Серьезно, юристы работают на бизнес. Это не юристы судятся между собой (ну в основном), а «хозяйствующие субъекты», где юристы (уж простите нас, дорогие коллеги) — это просто инструмент, функция. И с такой позиции вопрос, а заменят ли юристов ИИ-сервисами или ИИ-сервисы станут инструментами юристов — это вопрос финансовых показателей и бизнес эффективности. Стало быть, чтобы конкретному юристу понимать заменят его или наоборот купят ему ИИ-игрушку, юристу надо понимать, а чего он такого важного делает для работодателя. Если он договоры по шаблону пишет на огромном предприятии — ну сами понимаете. Хотя тут тоже вопрос, может нормальный ИИ-инструмент дороже выйдет, по нынешним ценам-то. Если в суд ходит, реально что-то там нешаблонное делает, а клиент/работодатель это видит и понимает пользу — ну тоже, как такого заменишь. Как минимум пока поколение судей не сменится, а сама судебная система не встанет на ИИ-рельсы. И таких примеров можно еще много вспомнить. В общем бояться ИИ не стоит. Стоит бояться своей бесполезности для работодателя или непонимания бизнеса и его приоритетов. Или же, самое обидное, своей неспособности показать работодателю свою реальную нужность, когда она реально есть. Потому как кроме ИИ, как минимум есть еще внешние консультанты, которые готовы брать юрзадачи иногда гораздо дешевле ФОТа на внутреннюю команду.

Приступы лени Умение работать с нейросетями — это обязательный навык, которым должен обладать любой инженер, дизайнер, юрист, менеджер и т.д. Так ведь? На бизнес-конференциях именно так и рассказывают (компаниям-работодателям) последние несколько лет. А на карьерных курсах и консультациях рассказывают работникам. В общем все это друг другу рассказывают. А если что-то повторить хором сто раз, оно может и в самом деле случится. Или нет? Пока все это по кругу пересказывается, а компании закупаются платными аккаунтами к (иностранным) нейронкам, выясняется: с качеством результата-то что-то не то. Уже и РБК с Коммерсантом пишут, что «работодатели все чаще жалуются на ленивых сотрудников и недовольны результатом, который показывает вместо них искусственный интеллект». Более того, «компании стали чаще обращаться в суд с претензиями к тем, кто пользуется нейросетями и генерирует откровенно плохие результаты». Какие конкретно компании, в какой суд, к каким результатам такие обращения приводят — вопрос другой, как-будто риторический. Но проблема налицо: не хочет (не может, не умеет) сотрудник хорошо работать, а чтобы совсем уж не спалиться, скидывает задачи на ИИ, но и это тоже делает плохо и спустя рукава. Если раньше лень была двигателем прогресса, а теперь прогресс стал двигателем лени. Как с этим бороться? Начнем с того, а с чем, собственно, бороться. Если с ленью или низкой квалификацией сотрудников «в целом» — то это не про ИИ, а про найм, мотивацию, управление персоналом. Наставничество может даже какое. А дело, кстати, может быть и не в лени, а в недостатке знаний или непонимании задачи. Которая может и поставлена была некорректно. Так что тут еще и про понятные бизнес-процессы и контроль за ними. Если же проблема именно в ИИ и это он всех расслабил и обленил — то надо начать с понимания, а легален ли этот ИИ в компании вообще. Потому как, если в компании официально есть практика применения различного рода «помощников в принятии решений» и прочей ЖПТ братии, то должно быть четко урегулировано на уровне ЛНА — кто, чем и зачем имеет право (а то и обязанность) пользоваться. Обучение соответствующее проведено. Как, например, годные промпты писать, как выдачу на корректность проверить и базовые галлюцинации отловить, и все такое прочее. Ведь так с любым новым оборудованием или программой происходит: закупили (если уж действительно зачем-то понадобилось), обучили пользователей, запустили в работу – регулярно проверяем, все ли правильно делают. Новый пришел — онбордим его всячески. И обязательно, еще раз повторимся, все это закреплено в ПВТР, должностных инструкциях, положении каком специальном. С подписью об ознакомлении, само собой. А как иначе, откуда люди, пусть даже самые работящие и мотивированные, узнают, как правильно (с точки зрения работодателя) этой очередной игрушкой новомодной пользоваться? Само собой постановка важных производственных задач — официально (ха-ха-ха, где это видано). Ну хотя бы самых важных. И вот после этого, если кто-то не понял или не захотел делать как надо, то у работодателя есть инструмент воздействия, абсолютно легальный в рамках трудовых отношений. Если же использование ИИ для рабочих задач — это не позиция компании, а личная инициатива, то тут совершенно другая история. Это и использование рабочего оборудовния и интернета в личных целях (почему не настроен запрет на доступ с рабочих ПК на ИИ-сервисы — не ясно), и пересылка рабочей документации на внешние, почти всегда иностранные ресурсы (что тоже намекает на отсутствие DLP и рабочей политики по ИБ в компании). А если в этой рабочей документации комтайна или еще какой ноу-хау? А если персданные трансгранично передаются? Тут уже почти состав, как минимум административный, вырисовывается. Причем, может быть и в отношении компании, а не работника. Что тут делать и как пресечь? Опять же — ЛНА, как минимум Политика ИБ, с включением всех необходимых юридических и технических запретов. И контроль. И одно-два публичных… поругания, чтобы понятно стало, что так нельзя.

Технический аудит при покупке ИТ-бизнеса 2025 г. показал, что техническая экспертиза ПО при приобретении ИТ-бизнеса превратилась из опционального преимущества в важнейший этап транзакционной работы и инструмент управления стоимостью сделки. Инвесторы все чаще ставят технологическую зрелость бизнеса в один ряд с традиционными финансовыми метриками и соотносят оценки компаний с реальным качеством ИТ-активов. Традиционный документальный подход проверки ИТ-продукта утрачивает ведущую роль — покупатели хотят понимать, «что там на самом деле». Анастасия Нерчинская в рамках проводимого под ее авторством исследования «Tech M&A 2026: Инвестиционный ландшафт, тренды, взгляд индустрии» взяла у нас интервью, в котором мы рассказали о том, каких рисков позволяет избежать технический due diligencе, чем его выводы могут помочь в работе над сделкой и что инвесторы хотят узнать об активе в первую очередь. #технари_грузят_юристов

Tech M&A 2025 Мы сколько раз уже говорили — все, эра Due Diligence «только по бумагам» прошла. Ну по крайней мере для ИТ-сферы. «Патент на программу», который до сих пор существует в поверьях и сказаниях — это просто справка такая, которая говорит только о том, что некто в какую-то дату привес в ФИПС какие-то «идентифицирующие программу для ЭВМ материалы». И ничего более. Ни про качество софта, ни даже про реальность того софта в принципе. А когда покупается компания, где нет ничего, кроме команды (наполовину удаленной) и, собственно, софта, не проверить софт — крайне опрометчиво. И серьезные игроки это понимают. Это мы к чему. Вышла первая часть масштабного и уникального исследования российского рынка M&A сделок с IT-активами. Так и называется — Tech M&A 2025: исследование российского рынка сделок с технологическими активами. У нас там взяли интервью, где мы рассказали о важности технической экспертизы ИТ-компаний в контексте сделок M&A и ее влияния на структурирование приобретений и стоимость активов. Исследование провели Анастасия Нерчинская, АЛРУД, Б1, ADVANCE CAPITAL при поддержке SL LEGAL, Denuo и DFCenter. В исследовании приняли участие индустриальные игроки сектора ТМТ и инвестиционные банки, специализирующиеся на сделках Tech M&A.

Реестр 2030 Растаяли последние холодные бело-серые кучки в самых отдаленных парках Подмосковья. Зажурчали ручейки. Из-под снега полезли первые цветы и внезапно уже весьма зеленая трава. И совсем уж внезапно — законопроект о судебно-экспертной деятельности, который с 2013 года (минимум) лежал без движения после отклонения в первом чтении. Его серьезно переработали и теперь он рекомендован комитетом Госдумы по госстроительству и законодательству к принятию. Что там нового и вообще о чем это. Основная цель — замена действующего ФЗ-73 «О государственной судебно-экспертной деятельности в Российской Федерации», которому в этом году исполнится 25 лет. За четверть века кое-что в экспертных делах поменялось. Например, появилось много негосударственных экспертных учреждений, увеличилось разнообразие экспертиз и частота их «применения» судами. Видимо поэтому решили ограничиться не просто поправками, а принимать новый закон полностью. Помимо того, что будет «фильтр от заказных экспертиз» и «методический контроль со стороны Минюста за деятельностью экспертов правоохранительных органов, проводящих экспертизы по постановлениям следователей этих же органов» (о чем с начала 2010-х вроде бы говорят), появился отдельный большой блок именно про частников. Что, наверное, в наибольшей степени повлияет на этот рынок. Так, предполагается создание и ведение Минюстом специального государственного реестра организаций и экспертов, а также их регулярная аттестация. Одновременно с этим Минюст наделяется полномочиями по мониторингу деятельности частных экспертов и научно-методической оценке их заключений. То есть негосам — и аттестация, и мониторинг за деятельностью. Как и кем конкретно будут проводиться эти аттестация и мониторинг пока не ясно. Но наверняка это будут некие около-НИИ при Минюсте по соответствующим направлениям (вида, родам) экспертиз. Из не совсем экспертного, но бизнесового (что не менее важно для негосов) — собственниками негосударственных экспертных организаций не смогут быть иностранцы, лица с двойным гражданством, иноагенты, граждане с судимостью за умышленное преступление, а также уволенные с госслужбы за утрату доверия. Если все это примут, то базовые положения нового закона должны вступить в силу с 1 сентября 2028 года, а обязательная аттестация негосударственных экспертов стартует с 1 сентября 2030 года. Что мы себе позволили придумать как вывод. Во-первых, это вполне себе показатель того, что негосударственные эксперты играют уже значительную роль, раз ими так заинтересовались и решили всех пересчитать и пометить. Это, в принципе, неплохо. Потому что действительно, далеко не все играют по правилам. Чем тоже заинтересовались. Во-вторых, как всегда все будет зависеть от того, кто и как будет аттестовывать и мониторить. Рекомендованные методики по всем направлениям будут разработаны? И обновляться они тоже будут оперативно, чтобы соответствовать времени? Какой-то перечень рекомендованного инструментария будет создан и он, инструментарий, будет кем-то сертифицирован? И курсы переподготовки и повышения квалификации? При системном подходе — все это реально. Будем наблюдать и адаптироваться.

Парольный склероз А вот скажите честно — у кого пароль написан на бумажке и прилеплен к монитору (как вариант — лежит под клавиатурой, под пленкой на столе и все такое)? Ну потому что пароль огромный и меняется часто (тут хоть какое-то логическое объяснение есть, согласитесь). Само собой не у вас. Но вы, конечно, знаете кое-кого, кто так делает. Так вот — передайте этому кое-кому, что теперь это не просто вызывает придирки со стороны ИБ, но и вполне себе тянет на дисциплинарный проступок. Суды подтверждают. Шестой кассационный суд общей юрисдикции в рамках трудового спора (дело №88-3939/2026) подтвердил, что работодатель может вполне правомерно наказать работника за сам факт создания угрозы информационной безопасности в виде хранения паролей от рабочей учетки на виду, даже если никаких реальных негативных последствий в виде утечки данных не наступили. Потому что в нескольких ЛНА работодателя, под которыми собственноручно подписался работник, прямо написано — нельзя такое делать с паролями. А тот факт, что работодатель не предложил специальную программу для хранения паролей (!), не оправдывает работника, который эти самые пароли не может запомнить. И уж тем более не аргумент, что ничего ведь страшного не произошло. Утечка — это отдельный состав инцидент, ненаступление которого большая удача, не отменяющая факта дисциплинарного проступка. И мы все помним, что до этого уже были истории про пересылку конфиденциальной рабочей информации на личную почту (чтобы «дома поработать») Так тоже нельзя, суд подтверждал. Но сколько еще истории про «нашли в офисе флешку, а на ней файл Зарплата_руководства, всем интересно посмотреть», «получили на почте срочный документ от директора и надо срочно ответить» (документ так и называется — «от_директора.docx.exe») и прочее, и прочее. Вот это все — тоже тянет на нарушение дисциплины. Потому что в 99% случаев приведет к инциденту ИБ. Ну или к провалу соцпентеста, проводимого нанятыми ИБ-спецами. Такие тоже регулярно проводятся в крупных компаниях. Но только в том случае, если юристы работодателя хороши и правильно провели подготовительную работу — составили это самое ЛНА (ПВТР, Положение об информационной безопасности) и довели до умов коллег. А если еще и включить в эти документы возможность проведения независимых расследований… ммм, такие перспективы вырисовываются в отношении злостных нарушителей. А вы говорите при чем в теме защиты информации юристы. Без юристов никуда.

А вот и запись вебинара.

Есть у нас для вас предложение на вечер пятницы понедельника. Поговорим про значение слов и пользу от их содержания. Мероприятие бесплатное, но нужно заранее зарегистрироваться.

Верхом на чером лебеде Посреди мартовских праздников на нескольких полуофициальных (по популярных) сервисов появилась информация о сбое в Т-Инвестициях. А где-то даже поговаривали, что не только в них, а еще и в «инвестициях» других банков. Из-за чего клиенты лишились возможности «заработать на волатильности» потому что «в результате сбоя инвесторы оказались отрезаны от рынка в важный момент — на фоне высокой волатильности и активного роста акций нефтедобывающих компаний». Ну то есть розничным онлайн инвесторам не дали проехаться на шее черного лебедя в светлое финансовое будущее. По одной из версий. А по другой — никакого сбоя и не было. Подобные истории были в 2022 году, когда в течение нескольких дней резко менялся курс доллара. И тогда было много неоднозначных ситуаций — кого-то отключили из-за сбоя от торгового терминала и он «потерял», точнее упустил выгоду на пару миллионов долларов. Кто-то заранее накупил валюты (точнее фьючерсов на нее), а потом хотел с маржой в 200% продать. Но не вышло — системы банка не пропустили сделку. Кто-то «вручную» (на самом деле не факт) крутил карусели из 2-3 валют у себя в приложении банка, сумев за сутки заработать несколько десятков миллионов — исключительно на разнице в курсах разных пар валют к рублю. Это получилось, но вылилось с долгие суды с банком. Во всех этих ситуациях возникает мысль: а был ли сбой, и если был, то по чьей вине? Тем более, что Верховный суд РФ еще 10 с лишним лет назад указал, что сбой в работе применяемого кредитной организацией программно-технического обеспечения не освобождает ее от ответственности перед клиентом за ненадлежащее предоставление услуги. И хорошее исследование банковских ИТ-систем и анализ журналов с проводками прекрасно отвечает на эти вопросы. Задачи эти понятные и что-что, а логи в банке есть всегда. Там с этим строго. Так что дело остается за малым — проанализировать договоры на систему «клиент-банк» (ну или «клиент-брокер») и пользовательскую документацию к этой системе. И вот именно тут находится ответ. Который очень сильно зависит от юристов, которые писали документы. Ведь сбой — это когда что-то не должно так работать. А если оно так вполне себе «может» работать в определенных случаях, то какой же это сбой? Это не сбой, а особенности работы. С которыми согласился клиент в момент подписания. As is так сказать.

Верхом на чером лебеде Последи мартовских праздников на нескольких полуофициальных (по популярных) сервисов появилась информация о сбое в Т-Инвестициях. А где-то даже поговаривали, что не только в них, а еще и в «инвестициях» других банков. Из-за чего клиенты лишились возможности «заработать на волатильности» потому что «в результате сбоя инвесторы оказались отрезаны от рынка в важный момент — на фоне высокой волатильности и активного роста акций нефтедобывающих компаний». Ну то есть розничным онлайн инвесторам не дали проехаться на шее черного лебедя в светлое финансовое будущее. По одной из версий. А по другой — никакого сбоя и не было. Подобные истории были в 2022 году, когда в течение нескольких дней резко менялся курс доллара. И тогда было много неоднозначных ситуаций — кого-то отключили из-за сбоя от торгового терминала и он «потерял», точнее упустил выгоду на пару миллионов долларов. Кто-то заранее накупил валюты (точнее фьючерсов на нее), а потом хотел с маржой в 200% продать. Но не вышло — системы банка не пропустили сделку. Кто-то «вручную» (на самом деле не факт) крутил карусели из 2-3 валют у себя в приложении банка, сумев за сутки заработать несколько десятков миллионов — исключительно на разнице в курсах разных пар валют к рублю. Это получилось, но вылилось с долгие суды с банком. Во всех этих ситуациях возникает мысль: а был ли сбой, и если был, то по чьей вине? Тем более, что Верховный суд РФ еще 10 с лишним лет назад указал, что сбой в работе применяемого кредитной организацией программно-технического обеспечения не освобождает ее от ответственности перед клиентом за ненадлежащее предоставление услуги. И хорошее исследование банковских ИТ-систем и анализ журналов с проводками прекрасно отвечает на эти вопросы. Задачи эти понятные и что-что, а логи в банке есть всегда. Там с этим строго. Так что дело остается за малым — проанализировать договоры на систему «клиент-банк» (ну или «клиент-брокер») и пользовательскую документацию к этой системе. И вот именно тут находится ответ. Который очень сильно зависит от юристов, которые писали документы. Ведь сбой — это когда что-то не должно так работать. А если оно так вполне себе «может» работать в определенных случаях, то какой же это сбой? Это не сбой, а особенности работы. С которыми согласился клиент в момент подписания. As is так сказать.

еж

Дочитали? Тогда вот наши рекомендации: Техническое — настройте в офисе политики белых/черных списков для адресов в интернете. Чтобы хотя бы с офисных компьютеров не сливались документы в ChatGPT и ко. Юридическое — разработайте и примите эти самые политики по работе с ИИ. Соберите подписи у всех. Да, и с разработчиков тоже. И топ-менеджеров тоже. И с их помощников, секретарей и т.п. Оттуда основные утечки. Как вы будете это делать в классической российской компании мы не знаем. И да, у вас же введен (качественно) режим коммерческой тайны? Тоже полезная вещь в плане защиты от сливов конфиденциальных документов.

Хотели сегодня написать очередной пост-пугалку про ИИ и все такое. С иностранными примерам, страшилками как это все дело скоро всех на улицу выгонит. Но не будем. Потому что сегодня про это уже написали ИБезопасники из Солара. Лучше и не написать. Потому просто оставим это тут.

Обновление опенсорсных рисков АНО «Open Invention Network», та самая, которая «компания, владеющая патентами на ПО экосистемы GNU/Linux и предоставляющая royalty-free лицензии на право использования этих патентов» представила программу OIN 2.0. Где существенно расширила список дистрибутивов, подпадающих под определение системы Linux. Почему вам об этом нужно знать. Потому что «отличие программы OIN 2.0 в переходе к многоуровневой модели денежных взносов, которая позволит совместно финансировать миссию по защите экосистемы Open Source от патентных рисков». А «размер взноса зависит от дохода компании — крупные предприятия будут вносить больший вклад, чем средние компании, а небольшие организации и частные лица смогут получить доступ к патентной защите бесплатно». А когда речь о финансировании, то будет и контроль, а потом и санкции для тех, кто пользует, но не скинул на общее дело. Причем, если для мелких компаний это особо не страшно, то крупным нужно пристально отслеживать. Казалось бы, они и так отслеживают, но не все. Думаете это только на зарубежом рынке? История с Цифровыми юристам Bytes & Rights и компанией Ред Софт показывает, что нет. Хотя это может быть просто статистический выброс, ведь пока B&R больше никого не раскрыли принудительно. Ну или готовятся просто, неспеша и обстоятельно. Готовиться нужно и вам (точнее вашим компаниям), потому что не в одной лишь только оплате взносов дело. Ведь теперь весь обновленный список опенсорса — это прекрасная возможность не попасть в Реестр отечественного ПО. Либо выпасть из него (хотя это, конечно, фантастика, ибо единожды попав… ну вы поняли). К чему готовиться? К перепроверке того, что уже использовали или собираются использовать ваши разработчики из опенсорса на предмет возможных изменений в статусе экспортных ограничений и запретности. А такое серьезное изменение в экосистеме опенсорса, как OIN 2.0 вряд ли никак не отразится на этом вопросе. Но туда будут добавлены пакеты от IBM, Red Hat и прочие, а там ограничения. Как это проверять? Если процедуры контроля за разработкой, в том числе со стороны юристов и комплаенса есть (откуда…), то это отловится. А если нет и никто творчество разработчиков не контролирует (как почти у всех) — то никак. На этапе экспертизы в Минцифре сами все выяснят и вам сообщат. Ну или перед подачей на экспертизу проводить не только анкетирование разрабов, но и независимый аудит кода.

Новости из будущего Для начала немного новостей. Из заокеанского кибербеза. Министерство внутренней безопасности США благодаря алертам своих ИБ-систем выявила слив государственных конфиденциальных документов (не секретных, но ДСП). Ну слив и слив, опять они все на Russian Huckers свалили, скажете вы. И будете… неправы. Потому что уже выяснили, что все слил лично и.о. руководителя Агентства кибербезопасности и защиты инфраструктуры. Которое вроде как часть вышеозначенного МВБ и собственно отвечает за ИБ в нем. Ну, ясное дело — шпион (и понятно чей). Но нет, опять неверно. Слил он все по собственной, как говорят, воле и в… публичную версию ChatGPT. Узнать видимо что-то хотел. Теперь все эти доки «доступны разработчику и могут использоваться в ответах нейросети другим пользователям». Дело было еще в конце лета 2025, так что все кому надо (и знали) уже все у чата спросили на эту тему. Или вот еще. История тоже по совпадению из лета 2025, с профильной конференции BlackHat. Некий гражданин-исследователь ни с того, ни с сего (в их среде так принято, не удивляйтесь) решил проверить, а как работает Siri с Apple Intelligence (ИИ такое от Apple). Ну и всякими там их блекхэтными штуками установил, что без его согласия ведется передача не только местоположения его устройства, списка приложений и прочих метаданных, но и подтекает без какой-либо явной необходимости его личная переписка. Ну и вот, напоследок. Компания Google подтвердила, что функция «Усиленная защита» в их Chrome работала на основе ИИ-модели, размещенной локально на пользовательском устройстве (куда она попадала с загрузкой самого Chrome). Нет, вообще-то это штука полезная — она отслеживает подозрительную активность, мошеннические сайты, расширения и т.п. Просто никто как бы не сказал в явном виде пользователям, что что-то ИИ-подобное (т.е. ресурсоемкое) само установилось и работает на их, пользователей, локальном устройстве. И до недавнего времени это даже нельзя было отключить. Мы это все к чему. Исследователи из Стэнфорда и Йеля смогли достать из GPT-4.1, Gemini 2.5 Pro и Grok 3 почти 96% оригинального текста «Гарри Поттер и философский камень» (73000 слов из примерно 77000). Которые когда-то кто-то туда загрузил. Такая же история с «Великим Гэтсби», «1984» и «Франкенштейном». Хотя до этого во всех судебных спорах как минимум OpenAI и Google заявляли, что «в модели нет копии обучающих данных». А они есть. И их можно найти и восстановить. Поэтому когда вы загружаете свои материалы, практику и так далее в очередной новый ИИ-комбайн, даже (тем более) если этот комбайн от большой LegalTech компании (условно даже как-будто почти монополиста в части доступа к судебным решениям) учитывайте «а что там и как внутри модели храниться». И как будет использоваться. Нет, конкретно против вас или вашей фирмы именно эти данные напрямую не будут работать, репутация защитит. Но мы ничуть не удивимся, если через какое-то время (5-7 лет) кто-то все-таки создаст ИИ-инструмент, который реально станет не помощником, а заменой 80% юристов. А структура юрфирм того времени станет примерно «нейминг, он же нетворкинг-партнер + AI-партнер + может быть инвест-партнер (который за все это платит)». И никаких лишних юристов, все на моделях.