Лукацкий Онлайн

Мда… Но хорошо хоть не шифрокриптование… 🤦‍♂️ Про «просто» сертифицировать российские СКЗИ в зарубежных центрах сертификации, вообще агонь 🤦‍♂️

В 2023-м году было зарегистрировано 28902 CVE. А только за первое полугодие 2024-го года в CVE внесено уже 2️⃣0️⃣9️⃣1️⃣0️⃣ записей. Это 115 CVE в день (только зарегистрированных). Ежегодный рост - 36.45%!!! 📈 Не буду в очередной раз писать о важности управления уязвимостями 🧐

Школа преподавателей кибербезопасности В прошлом году мы запустили Школу преподавателей кибербезопасности. Это сообщество амбассадоров кибербеза, педагогов и экспертов, готовых вкладываться в развитие кибербеза в России 👨‍🏫 Вместе с нами первый поток прошли более 900 преподавателей. Пообщавшись с участниками, мы определили ключевые потребности и учли все пожелания, чтобы сделать участие в проекте еще интереснее и эффективнее — и полностью готовы к старту нового потока 🚀 📝 Мы открываем запись на второй поток Школы преподавателей кибербезопасности — и приглашаем вас присоединиться к сообществу. Что будет на проекте? 1️⃣ Мастер-классы и вебинары от ведущих экспертов индустрии. 2️⃣ Разработка собственного учебного продукта. 3️⃣ Нетворкинг и общение с единомышленниками 24/7. 4️⃣ Участие в мероприятиях 🟥 (Moscow Hacking Week, PHDays и др.). Вас ждет прямое участие в передовых ИБ-проектах, а также актуальные знания и навыки, которые помогут вам улучшить свои учебные материалы. Этот проект для вас, если вы:...

Oxford Economics по заказу Splunk провел исследование и выпустил отчет "Скрытая цена простоя", в котором попробовал оценить стоимость простоя с разных точек зрения - прямые потери, штрафы от регуляторов, штрафы за нарушение SLA, потери производительности и т.п. 🤑 Одна минута простоя ⏳ по оценкам обходится от 9 тысяч долларов, или 540 тысяч долларов в час. Понятно, что применять эти суммы к российским реалиям некорректно, но вот посмотреть на статьи затрат очень даже полезно. Кроме того, в отчете описаны временные параметры восстановления после простоев ⏱, примеры влияния на различные бизнес-единицы предприятия (например, маркетинг) и т.п. В целом полезное чтиво с точки зрения бизнеса и оценки влияния на него инцидентов ИБ (56% всех простоев происходит именно по причине кибербеза и только 44% - по причине сбоев в приложениях и инфраструктуре) 🤕

Страховой брокер Хауден (Howden) выпустил отчет, в котором, среди прочего, отметил падение стоимости 📉 страхования киберрисков, что связано с улучшением уровня ИБ организаций; хотя число успешных атак шифровальшиков и растет. При этом рынок киберстрахования растет стремительно 📈 и если в этом году он составляет 15 миллиардов долларов, то к 2030-му году он вырастет до 43 миллиардов 🤑 Такой рост будет достигнут за счет активного выхода страховых продуктов за пределы США и обращение к ним малого и среднего бизнеса. Думаю, и толика российского рынка страхования в этом росте есть. По крайней мере интерес к этому методу снижения потерь от реализации недопустимых событий появляется и у нас в стране и понемногу растет.

Продолжая вчерашнюю тему, немного написал про страхование ответственности CISO за его действия или бездействия. Интересно, что страховые продукты (D&O и E&O) предлагаются и в России.

Летом 2023 года Clorox, неизвестная в России компания из США, занимающаяся средствами для ухода за животными, коммерческого клининга и т.п., столкнулась с атакой, которая обошлась компании недешево - потеря дохода в размере 500 миллионов долларов и снижение оценки компании на 3 миллиарда 🤑 Но вместо того, чтобы извлечь уроки и начать улучшения ИБ, компания сделала своим “козлом отпущения” директора по информационной безопасности (CISO) Эми Богач, которая покинула свой пост во время кризиса, в то время как совет директоров и генеральный директор Линда Рэндл получили вознаграждения 💰 Несмотря на кризис, Clorox переизбрала всех двенадцать директоров и не создала отдельный комитет по технологиям или кибербезопасности, оставив ответственность за кибербезопасность аудиторскому комитету, в котором не было членов с соответствующим опытом в ИТ или ИБ 😍 "Прокси-заявление" включало план обеспечения кибербеза из семи пунктов, но он в значительной степени повторял планы предыдущих лет, что свидетельствует об отсутстви...

В Европе прошли демократические выборы, в США такие еще только грядут, а мне занятная статья попалась на глаза 👀 Текст начинается с воспоминаний автора о запуске космического шаттла “Челленджер” в его детстве 🚀 Запуск, который ожидали с нетерпением, привел к трагедии через 73 секунды после старта. Это событие стало символом катастрофических последствий группового мышления и проблем с культурой принятия решений внутри NASA 🤦‍♂️ Автор приводит пример с “Челленджером” как аналогию, подчеркивая важность создания меритократии (системы, где продвижение и принятие решений основано на заслугах) в области кибербеза. Причина катастрофы была связана с отказом уплотнительных колец в твердотопливных ускорителях. NASA и производитель ускорителей Morton Thiokol знали о дефекте с 1977 года, но не предприняли никаких мер по его устранению 🤐 Менеджеры NASA игнорировали предупреждения нижестоящих инженеров о запуске при низких температурах и не сообщали о технических проблемах своим начальникам. Это привело к катастрофе, в ...

А сегодня у нас будет что-нибудь позитивное, про то, как CISO не сесть в тюрьму за инциденты ИБ 👮 Правда, на основе опыта супостатных заокеанских 🇺🇸 коллег