VP Cybersecurity Brief

Сколько стоят уязвимости: методология экспресс-оценки рисков для цифровых продуктов Почему классический секьюрити ревью перестал работать и чем мы его дополнили. Любой цифровой продукт несёт не только потенциальную прибыль, но и риски: операционные, юридические, информационной безопасности. Злоумышленники могут нарушить работу приложения, украсть данные или сделать сервис недоступным. Чтобы этого избежать, просчитывать уязвимости и принимать меры нужно заранее. Но найти баланс между безопасностью и разработкой бывает непросто. Меня зовут Вячеслав Касимов, я лидер информационной безопасности Точка Банк. В статье расскажу, как мы создали количественную модель оценки рисков информационной безопасности, которая помогла уйти от субъективности и сделать процесс прозрачным для бизнеса. Прочитать статью можно здесь.

Пример практики работы с рисками от известного банка и известного CISO.

25 июня Правительство РФ внесло законопроект "О поддержке развития технологий искусственного интеллекта в Российской Федерации" на рассмотрение в Госдуму. До 03 июля будет собираться обратная связь от профильного комитета Госдумы, потом 3 чтения, Совет Федерации и подписание Президентом. Для такого актуального законопроекта я бы не исключил внесение правок и после этапа Госдумы. Законопроект ещё может существенно изменится т.к. не прошел даже первое чтение. Из того что показалось мне важным: 1. Законопроект наконец то даст в определение ИИ в правовом поле. 2. Акцент законопроекта по отношению к мартовской версии значительно сместился в сторону больших языковых моделей. 3. Закрепляется риск-ориентированный подход в качестве принципа регулирования ИИ. 4.В принципах регулирования описали и ценности которым должны соответствовать суверенные и национальные ИИ модели. Позволю себе полную цитату этого пункта "учет и уважение традиционных российских духовно-нравственных ценностей - обеспечение применения больших фундаментальных моделей искусственного интеллекта на основе таких ценностей, как жизнь, достоинство, права и свободы человека, патриотизм, гражданственность, служение Отечеству и ответственность за его судьбу, высокие нравственные идеалы, крепкая семья, созидательный труд, приоритет духовного над материальным, гуманизм, милосердие, справедливость, коллективизм, взаимопомощь и взаимоуважение, историческая память и преемственность поколений, единство народов России". До 1 ноября Минцифры и Минкультуры должны разработать порядок оценки соответствия ценностям. 5. До 1 ноября предполагается разработка силами Минцифры проекта Постановления Правительства РФ определяющее в каких случаях будет обязательно использование суверенные и национальные ИИ модели. При этом для финсектора текст должен быть согласован с Центральным банком, но сам банк в соисполнители по этому проекту пока не попал. 6. В статье 10 фактически разрешается использование для обучения ИИ экземпляра произведения, который "доступен для анализа без ограничения техническими средствами". 7.Сам законпроект планирует вступать в силу поэтапно, часть положений с 01.09.26, остальная часть с 01.03.27. При этом есть отсрочка на приведение в соответствие систем созданных до марта - к 01.09.2032. В пояснительной записке взгляд царапнуло опечатка в названии ИИ модели Gemeni и отсутствие упоминание Anthropic. Немного удивило, что не смотря на упоминание в тексте закона, в плаируемых НПА не нашлось место про более конкретные способы поддержке разработчиков ИИ и документа описывающего безопасность использования (в т.ч. кибербезопаность).

В пятницу правительство США сняло блокировку c Claude Mythos 5, разрешив предоставить ее более чем 100 американским учреждениям, включая крупные компании и правительственные агентства — Semafor Решение, изложенное в письме, направленном в компанию Anthropic в пятницу днем, представляет собой серьезную деэскалацию в конфронтации между администрацией Трампа и компанией Anthropic. В письме ничего не говорится о Fable 5. Источники, близкие к переговорам, заявили, что стороны также движутся в направлении выпуска Fable, хотя сроки этого пока неясны. В соответствии с новым соглашением, «лицензия больше не потребуется для экспорта, реэкспорта или передачи внутри страны модели Claude Mythos 5 организациям, указанным в Приложении А к настоящему письму, и их иностранным сотрудникам, а также иностранным сотрудникам компании Anthropic». Так что Andrey Karpathy снова может расчехлять авторисерч на Mythos.

TLDR новости с анонсом GPT-5.6: — как понятно по картинке, будет 3 модели. Средняя, Terra, плюс-минус на уровне GPT-5.5, но стоит в 2 раза меньше. — OpenAI подтвердили то, о чем писали в новостях: по просьбе Администрации модель запускают постепенно, начиная с выбранных партнёров, чтобы те могли потестировать + применить модель для исправления критических уязвимостей. «Мы считаем, что подобный процесс доступа к информации со стороны правительства не должен стать долгосрочным стандартом». — у самой большой модели Sol появится новый самый длинный режим рассуждений max (+15), а также режим работы ultra, выходящий за рамки возможностей одного агента, так как позволяет использовать субагентов для сложных задач. Интересно, заменит ли это GPT Pro, и если нет, то как они будут сочетаться. — «GPT-5.6 Sol лучше помогает людям находить и устранять уязвимости, чем проводить атаки. По мере развития этих возможностей наш приоритет — обеспечить их доступность и пользу для специалистов по защите, которые смогут использовать эти инструменты для поиска слабых мест и разработки патчей» — много пишут про работу над обеспечением безопасности и несколькими слоями фильтров, чтобы противодействовать недоброжелателям. — GPT‑5.6 поднимает цену на создание кэша ваших промптов и ответов: теперь за них придётся платить на 25% больше (как у Anthropic), а чтение всё ещё со скидкой 90%. — и самое главное 😎: GPT-5.6 Sol будет доступна на чипах Cerebras с целевой скоростью генерации... 750 токенов в секунду 🤯 вот это жоска. Но сначала доступ будет только у ограниченного круга клиентов, а затем, с добавлением мощностей, станет доступно всем. Картинки бенчмаков прилагаю, но там ничего интересного — в кибербез задачах на уровне раннего Mythos и похуже финальной версии. Интересны мб последнеи 3-4 скриншота из системной карточки — можно посмотреть на то, как выглядит новый режим ultra и сколько $ он будет стоить 🌚 В новости ничего не сказали про то, новый это претрейн или нет. Аккуратно можно предположить, что нет (плюс цены те же, но это не гарантия) — и если это так, то эффективность неплохо так выросла. Главное чтобы не было как с 4o, где теперь этот претрейн будут доить полтора года 😳 и улучшать всеми способами. НАМ. НУЖНА. БОЛЬШАЯ. МОДЕЛЬ.

#алфавитИБ

В рамках пятницы. А какие у вас лучшие практики повышения культуры безопасности?

А вам нравятся заголовки новостей в Коммерсанте, играющие словами? Попробую и в такой заголовок, навеянный тем же поэтом. "Самый наш весёлый тоже Snyk." Если бы не серия сокращений 2022-2023 и ориентация компании на ИИ, можно было бы сказать, что это начало влияния на рынок инициатив от Anthropic Glasswing, OpenAI Breakday и недавно анонсированного китайского Панши Чжи Дунь.

Gartner подготовил статью по лучшим практикам управления бюджетом на внешний ИИ. "Establish a use-case-driven decision framework:... Align model selection with task complexity: ... Mandate context engineering practices: ... Implement governance and cost controls:... Embed token usage reviews into development cycles...". Атаки на исчерпание бюджета организации на ИИ постепенно становятся недопустимым событием для организаций, где, например, вся разработка построена на внешнем ИИ провайдере. Такая угроза не очень детально описана в OWASP TOP10 LLM Unbounded Consumption. В лидерах облачных и в онпрем SIEM правила по контролю за потреблением токенов уже появились, запланируйте и вы себе написание такого правила.

Как пел один поэт "Срок жизни увеличился — и, может быть, концы Поэтов отодвинулись на время". Microsoft без отдельных объявлений продлила платную программу получения обновлений (ESU) Windows 10 ещё на один год до октября 2027. Ранее планировалось, что ESU для win10 закончится в октябре 2026. Стоимость ESU каждый год удваивается, на первый год это было 61 $, на второй год - 122 $ за устройство.

2 новых указа Трампа сдвинули влево на 4-6 лет сроки перехода на квантово устойчивые алгоритмы. Теперь критические системы и ценные активы федеральных ведомств должны применять квантовоустойчивую криптографию для обмена ключами до конца 2030 года, для средств подписи до конца 2031. Требования распространяются и на подрядчиков ведомств. Причина переноса сроков - минимизация рисков от сценария перехвати сейчас, расшифруй как появятся квантовые компьютеры.

Стартовала разработка протокола для определения вредоносности сетевого трафика Private Access Control Tokens (PACT). В состав рабочей группы вошли Cloudflare, Mozilla, Google, Microsoft, and Shopify. Эти компании намерены решить проблему определения обычный человек пользуется ресурсами, легитимный агент или нет. Технических подробностей, кроме анонимной выдачи токенов, пока нет. Проблема действительно актуальна классические антибот системы не могут отличить легитимного пользователя от ии-агента.

Ждали новый выпуск CISO Podcast? Дождались 🚀🚀🚀 Гость нашего выпуска: Андрей Усенок (CISO Avito) рассказал, как он за 11 лет прошёл путь от обычного разработчика до руководителя ИБ одной из крупнейших компаний в России, какие знания становятся важнее с развитием ИИ, и какие навыки будут определять карьерный успех инженеров в ближайшие годы. Премьера 21 июня! 📹 Youtube Предыдущий выпуск: https://t.me/ever_secure/1200 👀@ever_secure | 💪 Академия | 💳Поддержать

Интересное интервью одного из лучших CISO по версии газеты коммерсант - CISO Avito Андрея Усенка. Интересно, что и ведущий и гость в качестве основной практики защиты ИИ назвали изоляцию\sandboxing.

📈 Оценка LLM в пентестинге Эксперты Лаборатории Касперского и Сбера опубликовали научную работу, в которой предложили новую методику оценки языковых моделей для задач тестирования на проникновение (пентеста). Самое интересное — бенчмарк имеет два измерения: отдельно оцениваются планирование атак и их исполнение. Это позволяет понять сильные и слабые места различных моделей и по необходимости строить эффективные ансамбли LLM в агентских системах. Среди протестированных моделей, лучшие результаты в планировании показали Sonnet 4.5, GPT-5 и Gemini 2.5 Pro, а лидерами в исполнении стали GPT-5, Qwen3 Max, GLM 4.6. Успешность у обеих групп чемпионов — от 72% до 78%. Среди наиболее частых ошибок, допущенных моделями в эксперименте: синтаксические ошибки при запуске инструментов, дрифт (частичная или полная смена долгосрочной цели), галлюцинации и потеря контекста. Ожидаемая и часто встречающаяся проблема отказов выполнять задачу (refusals) отдельно не посчитана. Исследование доступно по лицензии CC BY 4.0, поэтому бенчмарк можно использовать для оценки других моделей, используемых в организации. #советы #ИИ @П2Т

Неплохой пример ещё одного вызова в развитии ИИ. Скорость классических подходов рецензирования научных статей не соответствует скорости рынка и не только в РФ. Статью отправили на рецензирование в 8 декабря 2025, через 2 месяца (!) её отрецензировали, ещё через полтара месяца "приняли к публикации", опубликовали её на сайте через пару недели к 15 апреля. Итого примерно 4 месяца от направления статьи до публикации. Дружественный телеграмм канал подсветил её только ещё через 2 месяца. По моему скоромному опыту академического исследования сроки в целом нормальные, иногда ждать приходилось и по 6 и по 9 месяцев до публикации твоей работы. Проблема в том, что 4 месяца это довольно большой срок для текущих темпов развития ИИ если исследование прикладного характера. В итоге мы получаем исследование, в котором лидерские позиции занимают модели которые больше недоступны к использованию у официальных разработчиков (GPT-5, Qwen 3, Gemini 2.5) на момент публикации статьи в апреле .. Что остается исследователям ? Только публикация на ресурсах в формате препринта типа https://arxiv.org/. При этом и исследователи и читатели лишаются фильтра в виде полноценного рецензирования, заменить которое добровольцы модераторов не могут полностью.

Делюсь с вами ссылками на парочку актуальных, в контексте ИИ, исследований по рынку труда: 1. 2026 AI Global Jobs Barometer от PWC . Ежегодное исследование по общим тенденциям на рынке труда. Отдельно выводов по кибербезу нет. Самой интересной показалась концепция "В каких секторах ИИ увеличит требования к компетенциям". 2. Майское исследование от Linux foundation. Ожидаемо вопросы приватности и кибербезопасности стоят на первом месте при внедрении ИИ, соперничая с бюджетными ограничениями и нехваткой рабочей силы. Когда читаете этот отчет не забывайте, что он построен в основном на относительно малой выборке - опрошено около 400 респондентов в 2026 году, и скромные 77 в 2024.

Сегодня как раз должны истечь старые сертификаты secure boot на компьютерах. Для проверки используйте: Windows Security Settings -> Device Security -> Secure Boot — должна быть зелёная галочка. В Linux команда mokutil --db. Основной риск истекшего ключа: при переустановке новой операционной системы она не запустится. Также возникают доп риски атак на старые криптопротоколы типа sha-1 и подмены загрузчика на старую версию.

Приглашаем на экскурсии с криптографами! ❗️27 июня в Музее криптографии мы запускаем серию экскурсий, которые проведут практикующие криптографы «Криптонита». Посетители смогут не просто ознакомиться с постоянной экспозицией, но и обсудить с экспертами реальные механизмы защиты данных. 🔘Первую экскурсию проведёт Василий Шишкин, руководитель лаборатории криптографии «Криптонита»! Он расскажет: 🟦чем криптографический ключ принципиально отличается от пароля; 🟦про логику работы TLS-сертификатов, на которых держится защита сайтов; 🟦есть ли слабые места у протокола Signal и многое другое! Экскурсии будут проходить раз в месяц. Они рассчитаны на студентов, абитуриентов и молодых технических специалистов. 📌Следить за расписанием можно по ссылке Канал «Криптонита» в MAX

На момент репоста оставался 1 (один) билет на экскурсию =)