Смешно 😊 Я, правда, в ИБ в следующем году буду уже 30 лет 😊

Вас взломали и слили важные данные, которые теперь продают в Даркнете? Скажите, что у вас в сети стояло DDP-решение и хакеры просто повелись на обманные технологии :-) О том, что такое DDP и стоит ли на нее тратить деньги мы поговорим уже завтра в 11 утра https://t.co/SJxE1gVvQj
— Alexey Lukatsky (@alukatsky) February 8, 2021

Достойно! ФСТЭК объявила конкурс на создание базы уязвимостей АСУ ТП и IIoT для уведомления их владельцев - https://t.co/HhVVsmcW0F И никакая «Цифровая экономика» не нужна, если хочется что-то сделать!
— Alexey Lukatsky (@alukatsky) February 8, 2021

Банк России оштрафовал порядка 17 банков за несоблюдение требований в части ИБ, рассказал первый замдиректора ИБ-департамента ЦБ РФ Артем Сычев на организованном комитетом ГД РФ по финрынку круглом столе.#ИнформационнаяБезопасность #ibbank #Банкиhttps://t.co/IDn2cs6JO7
— ib-bank (@BISJournal) February 8, 2021

Симметричной крипте все, кирдык, включая и наш ГОСТ? Или опять хайпуют на квантовых вычислениях?.. https://t.co/hi3WAkVzZp
— Alexey Lukatsky (@alukatsky) February 9, 2021

ФСТЭК посрамила всех критиков, которые утверждали, что регулятор не прислушивается к ним. Писали последние, что если обещаешь, выполняй? Да. Так регулятор сегодня пообещал больше не обещать. И тогда и обещание будет выполнено и критики не будет. Бинго! pic.twitter.com/iF2WPkkyKR
— Alexey Lukatsky (@alukatsky) February 10, 2021

Минцифра хочет ввести подтверждение соответствия ИТ и технических средств, предназначенных для обработки биометрических ПДн в целях проведения идентификации - https://t.co/uTYTC3xmd0
— Alexey Lukatsky (@alukatsky) February 10, 2021

Эфир AM Live по обманным системам был очень интересным. Много вопросов, живая дискуссия в чате и в эфире. 15-го февраля будет еще одна новая тема - SASE. Вы знаете как защитить периметр без МСЭ, IDS и др. СрЗИ? Вот об этом и поговорим. Регистрируйтесь - https://t.co/7xLjioDm3o
— Alexey Lukatsky (@alukatsky) February 10, 2021

Минцирк хочет обязать иметь исходники всего ПО на территории России, если хочешь попасть в реестр отечественного ПО (а также иметь права на все ПО, включая компоненты и библиотеки, включая право на модификацию) - https://t.co/BtdqLXbvz3
— Alexey Lukatsky (@alukatsky) February 11, 2021

Ох, кто бы провел для чиновников ликбез по тому, как устроен процесс современной разработки ПО? Что такое DockerHub и GitHub? Что такое распределенная разработка? Как используются чужие библиотеки в своем коде? И т.п.
— Alexey Lukatsky (@alukatsky) February 11, 2021

Алексей Лукацкий довольно сдержанно пишет о довольно важной проблеме, российское регулирование отстаёт даже у, казалось бы, неглупых людей в Минцифре РФ. При всей той критике что я в их адрес могу адресовать, я, всё же, несмотря ни на что и вопреки всему, считаю что это тот редкий случай когда люди понимающие в ИТ там есть. Но современное ИТ - это не набор готового ПО на которое у его разработчиков есть все права. Это сложный механизм управления зависимостями (dependency management), отдельная и большая индустрия software and application intelligence и так далее.

Если какой-то продукт сделан без внешних, особенно опенсорсных компонентов, то это или, извините, или "вещь в себе" (например, управление навигацией истребителя или атомной подводной лодкой), или "уникальное произведение искусства" (крайне редкое, всё таки Леонардо да Винчи и другие полиматы это редкость), либо и чаще "кусок устаревшего говна" (устаревшее, неинтегрируемое, никому не нужное ПО).

Да, регулирование зависимостей это куда более сложная задача чем "всё запретить", это требует гораздо более серьёзного продуктов, переговоров с их разработчиками, наличия экспертных центров и тд. и тп. В принципе, системной политики в части разработки ПО, но даже её, даже очень осмысленную, многие разработчики софта проклянут последними словами потому что всё это время все эти зависимости были предметом коммерческой и технической целесообразности.

#opensource #software

Американский инфосек специалист Эдриан Санабриа составил список компаний, которые были вынуждены закрыть свой бизнес из-за успешных кибератак. Вполне себе отрезвляющее чтиво, мы бы даже сказали больше - готовое обоснование для повышения инфосек-бюджета для приобретения того, чего не достаёт, укрепления того, что ослабело, внедрения правильных практик и ТРЕНИНГА ПЕРСОНАЛА. Извините, наболело.

С 2001 г. в списке осело 22 организации, в том числе такой известный случай как голландский центр сертификации Digi Notar, которого предположительно взломали иранские спецслужбы для слежки за своими гражданами.

Пользуясь случаем, приглашаем все информированные стороны помочь дополнить документ более свежими и глубокими сведениями. Очевидно, это всего лишь верхушка айсберга. Вот, например, где Hacking Team?

Уральский форум по промышленной кибербезопасности на следующей неделе будет доступен и в режиме онлайн трансляции

17 и 19 февраля на сайте форума будет доступна прямая трансляция деловой программы.

Старт вещания по местному времени — в 10:00 (то есть в 8:00 по московскому времени).

Вы можете поделиться ссылкой с коллегами:

https://ib-bank.ru/uralcyber

Слушаю доклад Виталия Сергеевича Лютикова (ФСТЭК) - https://t.co/c3hw0QWvLL и чувствую себя Навальным. Обо мне все время говорят в третьем лице - "эксперт провел опрос", "специалист критикует", "эксперт провел анализ наших обещаний" :-) Главное, не закончить также :-)
— Alexey Lukatsky (@alukatsky) February 12, 2021

ФСТЭК еще и экологичный центр тестирования безопасности Linux строить будет - https://t.co/HO0IBHYLxj Государство начало инвестировать в ФСТЭК, чего раньше не наблюдалось (ну или регулятор не просил)
— Alexey Lukatsky (@alukatsky) February 13, 2021

Как-то так... pic.twitter.com/S2n7UhfpKo
— Alexey Lukatsky (@alukatsky) February 13, 2021