Банковский Безопасник: ITG Security

Банковский Безопасник: ITG Security

@finance_ciso

Авторский канал Александра Зубрикова и команды ITG Security об информационной безопасности в РФ и мире.Новости, тренды ИБ, полезные материалы и разборы положений регуляторов.Бот для любых вопросов: @itgsecuritybotСайт компании: ITGSecurity.ru

942подписчиков
Ежемесячно🇷🇺

Похожие каналы

Все →

Последние посты

❗️Безопасное использование ИИ: как снизить рискиВ начале 2026 года может состояться первое чтение законопроекта о маркировке генеративных видео. Согласно инициативе, владельцы площадок, где размещается такой контент, будут обязаны помечать его. Принятие закона может стать первым серьезным шагом в борьбе с недобросовестным ИИ-контентом. И однозначно не последним. Риски, связанные с ИИ-контентом, очевидны: нейросети уже могут создавать изображения и видео, с трудом отличимые от реальных. С помощью таких инструментов открывается пространство для незаконной деятельности: от мошенничества с использованием дипфейков до намеренного распространения недостоверной информации. Но сегодня мы хотим обсудить другой аспект — использование нейросетей для корпоративных задач. Языковые модели способны взять на себя очень многое: от написания текстов до разработки и аналитики, что значительно упрощает рабочие процессы. И чем больше информации получает нейросети, тем более качественный результат она может предоставить.Однако такая практика ведет к бесконтрольному распространению практически любых данных в неизвестных направлениях. По нашему опыту, большинство сотрудников не задумываются о том, чем они делятся с ИИ. В то же время, разработчики нейросетей хранят все диалоги пользователей. Напрмер, ChatGPT уже давно обучается взаимодействию с пользователем, запоминает важные факты и детали предыдущих диалогов, используя их по своему усмотрению даже тогда, когда это не предполагалось. Отсюда возникают разумные вопросы — хорошо ли эта информация защищена? могут ли злоумышленники завладеть ей? И ответы вам вряд ли понравятся.— разработка своей собственной, корпоративной нейросети on-premiseОчевидный, но дорогой, долгий и болезненный путь. Плюсы: полная изоляция, полный контроль, полная кастомизация. Главный минус — это крайне дорого. Чтобы внедрить такое решение, почти всегда необходимы колоссальные вычислительные мощности, выделенные команды разработки и поддержки. Наконец, значительные инв

12 дек. 2025 г.781В Telegram

🛡Как повысить уровень защищенности без отдела ИБ: практические рекомендации ITG SecurityВ последние несколько лет сфера информационной безопасности претерпевает беспрецедентные по своему масштабу изменения: многократно возрастает разнообразие и масштаб киберрисков, возникают новые стратегии и тактики кибератак, совершенствуется инструментарий злоумышленников, вместе с этим развиваются и механизмы противодействия им. Но, несмотря на такие масштабные перемены, неизменным остается главное — ключевой катализатор инцидентов ИБ по-прежнему человеческий фактор.По данным Verizon, более 80% инцидентов стали возможны из-за человеческого фактора: слабые пароли, фишинг, недостаточный уровень киберграмотности и т.д. Поэтому мы уверены — результативная кибербезопасность начинается с человека, с его отношения к защите информации. Одно только внедрение полезных практик и привычек способно значительно снизить риски ИБ для подавляющего большинства компаний. Причем, для этого не нужны самые дорогие СЗИ или большие инвестиции в inhouse-команды ИБ. Ниже собрали для вас самые важные рекомендации, которые реально работают:— многофакторная аутентификацияИспользуйте менеджер паролей и внедрите многофакторную аутентификацию во всех (хотя бы в критичных сервисах).— контроль ролей и доступовНазначьте владельцев систем, опишите типовые роли и уровни доступов, проводите ежеквартальные аудиты на предмет соответствия роли реальным должностным обязанностям. Не наделяйте сотрудников чрезмерными правами, которые не нужны им для выполнения своих задач.— secret-scanningВнедрите его в CI/CD, чтобы доступы не оказались в коде.— регулярные фишинг-тренингиПроинформируйте сотрудников об опасности фишинга и мерах предосторожности. Периодически проводите "учения" для контроля усвоения знаний.— резервное копированиеНастройте регулярные бэкапы критичных данных и убедитесь, что их можно восстановить. Храните их в изолированных от основной инфраструктуры контурах, чтобы они остались в безопасности в случае компр

27 нояб. 2025 г.655В Telegram

❗️Новые правила категорирования для объектов КИИВ ноябре было опубликовано постановление Правительства №1762, которое вносит изменения в логику категорирования КИИ.Ключевые изменения:Отраслевая специфика. Оценка значимости теперь жестко привязана к перечням типовых объектов и отраслевым особенностям категорирования для каждой сферы.Смена парадигмы. Из процесса исключаются этапы выявления «критических процессов». Вместо него вводится процесс выявления объектов, соответствующих типам ИС, ИТКС, АСУ, включенных в перечни типовых отраслевых объектов КИИ.Ужесточение требований регулятора к мониторингу. В список нарушений добавлены:— нарушение отраслевых особенностей категорирования.— выявление в ходе мониторинга объектов из перечней, которые не были прокатегорированы.Новая отчетность. В сведения об объекте КИИ обязательно включать доменные имена и сетевые адреса при взаимодействии с интернетом.Обновленные критерии значимости.— добавлены новые критерии для определения социальной, экономической значимости и значимости для обороны и безопасности.— изменен критерий политической значимости.Ответственность за новое. Если создается новая критичная система, отсутствующая в перечне, субъект КИИ обязан не только её категорировать, но и направить предложение о включении этой системы в перечень.На данный момент отраслевые особенности категорирования еще не утверждены. Субъекты КИИ могут руководствоваться обновленным ПП-127, но должны быть готовы к оперативной корректировке процессов после утверждения отраслевых документов.@finance_ciso

19 нояб. 2025 г.736В Telegram

🏛Роскомнадзор сообщил о снижении объемов утечек персональных данныхЗа 10 месяцев 2025 года было зафиксировано 103 факта утечек общим объемом в 50 миллионов записей. За весь предыдущий год — 135 фактов и 710 миллионов записей. Руководитель Роскомнадзора Андрей Липов связывает положительную тенденцию с более ответственным отношением бизнеса к персональным данным, и, как следствие, с растущим уровнем защищенности.Цифры действительно впечатляют: при сохранении примерно того же количества утечек, объем украденных строк снизился на порядок. Введенные недавно оборотные штрафы, помимо прочих изменений и ужесточений, на наш взгляд, сыграли ключевую роль в этой динамике: бизнес правильно воспринял новые риски и стремится сделать все, чтобы они не реализовались. Мы видим подтверждение этому и в нашей практике — интерес к защите персональных данных заметно вырос, что позитивно сказалось на уровне их защищенности.При этом на сегодняшний день наказание в виде оборотного штрафа пока не применялось ни разу. Неясно, был ли вообще повод, или правоприменитель просто щадит провинившихся, но факт есть факт. Но, на наш взгляд, для закрепления эффекта кому-то неизбежно придется "принять удар на себя". В противном случае велик риск, что со временем оборотные штрафы могут начать восприниматься, как пустышка, то есть, будут работать хуже. Еще одна важная тендеция, которую мы наблюдаем в этом году — формирование культуры "сакральности" персональных данных. Несомненно, этот процесс начался под влиянием громких новостей о кибератаках, а продолжился под влиянием ужесточений законодательства и введением новых штрафов. Но, тем не менее, он идет, и все больше людей начинают относиться к персональным данным с должным уровнем ответственности. Мы считаем, что дальнейшее развитие такой культуры способно закрепить позитивную тенденцию в утечках на долгие годы. И, более того, ее деградация с высокой долей вероятности может привести к откату уже в ближайшее время. Личное ответственное отношение граждан —

7 нояб. 2025 г.771В Telegram

❗️ФСТЭК рекомендует в кратчайшие сроки прекратить использование Microsoft Windows 10, Microsoft Exchange Server 2016 и 2019Ведомство опубликовало информационное сообщение, в котором призывает пользователей Microsoft Windows 10 и Microsoft Exchange Server (2016 и 2019) к скорейшей миграции на отечественные решения в связи с прекращением поддержки, включая выпуск обновлений безопасности с 14 октября 2025 года.Если переход невозможен, ведомство предлагает следующие рекомендации для минимизации рисков:— установить обновления для ОС Windows 10 и Exchange Server 2016/2019 в соответствии с методиками ФСТЭК;— ограничить интернет-доступ к рабочим станциям и серверам Exchange с помощью межсетевых экранов;— защитить периметр средствами защиты (МЭ, антивирус, IDS, DLP) при невозможности ограничить доступ. Мы также рекомендуем 2FA и PAM — эффективные и недорогие решения;— мониторить уязвимости в публичных источниках и оперативно нейтрализовывать угрозы;— регламентировать работу с уязвимостями согласно методике управления уязвимостями ФСТЭК;— обеспечить регулярное резервное копирование данных, настроек и ПО;— проводить сканирование на уязвимости и контролировать целостность систем;— применять дополнительные сертифицированные средства защиты, дублирующие функции безопасности ОС;Мы присоединяемся к ФСТЭК и рекомендуем как можно скорее отказаться от более неподдерживаемого и небезопасного ПО.@finance_ciso

5 нояб. 2025 г.958В Telegram

🏛Минцифры смягчает антифрод-поправки в закон "О персональных данных"Ведомство опубликовало новую версию второго пакета антифрод-поправок, где были скорректированы изменения в закон "О персональных данных". Александр Зубриков, CEO ITG Security прокомментировал для издания Компьютерра новую версию поправок — подробнее в статье.Изначально предлагалось создать на «Госуслугах» единую платформу управления согласиями, куда все операторы персональных данных — от корпораций до ИП — должны были передавать полученные разрешения на обработку. А граждане, в свою очередь, могли бы просматривать и отзывать выданные ими согласия. В новой версии передавать предлагается не все согласия, а только те, которые прямо перечислены в подзаконных актах. При этом бизнес сохранит право самостоятельно собирать согласия во всех возможных случаях. В Минцифры заявили, что поправки направлены на снижение административной нагрузки и «устранение избыточных требований». Кроме того, в министерстве отмечают, что версия не финальная, она может быть скорректирована с учетом предложении отрасли и заинтересованных ведомств.Один из ключевых вопросов, которые остаются на повестке — что и как бизнес должен передавать: информацию о факте обработки данных или конкретные персональные данные граждан. В любом случае, процесс передачи этой информации однозначно будет дополнительной целью для злоумышленников. Сведения даже только о самом факте сбора ПДн любой компанией можно использовать это для OSINT конкретных людей. То есть, потенциальные риски и сложность кибератак сильно возрастут. Другой, не менее важный вопрос — какие будут установлены требования к защите процесса. Крайне важно соблюсти баланс между сложностью и обязательностью этих требований. Если они будут слишком абстрактными, то могут не обеспечить нужный уровень защищенности, а если слишком сложными — могут не выполняться бизнесом в полной мере, ведь это приведет к заметному росту издержек. Согласно поправкам, обязанность по выполнению этих требований л

28 окт. 2025 г.853В Telegram

📢Кибербез без отдела ИБ: привычки, которые спасают вас и компанию — Глеб Абрамов на ITPARK FEST 2025В эти выходные завершился очередной ITPARK FEST, на котором выступал руководитель направления аудита ITG Security Глеб Абрамов. В процессе доклада были затронуты следующие темы:— как эффективно защищать свои данные без отдела ИБ,— основные принципы повседневной безопасности,— ИБ-практики для сотрудников, руководителей и ИТ-специалистов,— измеримые показатели и готовый план внедрения.Выступление длится всего полчаса (с 3:20:00 до 3:50:00), а запись доступна по ссылке.Получилось интересно, познавательно и доступно! Мы настоятельно рекомендуем ознакомиться с материалом, принять к сведению и использовать в своей работе и повседневной жизни 🙂@finance_ciso

17 окт. 2025 г.752В Telegram

❗️Deloitte вернет правительству Австралии часть денег за отчет, в котором обнаружены ошибки ИИВ частности, в отчете были обнаружены несуществующие цитаты и ссылки на научные публикации. Deloitte признала факт использования ИИ и согласилась вернуть последний платеж по контракту, но отмечает, что в новом отчете все ошибки были устранены. При этом, окончательные выводы не изменились. На мой взгляд, это первый настолько громкий, и точно не последний случай бездумного применения ИИ в консалтинге. И здесь нет ничего удивительного: на первый взгляд, подобные инструменты позволяют существенно сократить сроки и косты без вреда для результата — ну как пройти мимо такого. Консалтинг в ИБ подвержен тем же трендам: многие из коллег уже активно используют языковые модели для создания отчетов. Что печально, как показывает кейс Deloitte, после ИИ эти документы либо совсем не вычитываются, либо, в лучшем случае, вычитываются очень плохо и поверхностно. Причем, этим часто занимаются люди, которые не владеют фактурой от клиента. Мы в ITG Security совсем не против использования ИИ, но только в разумных границах: автоматизация — да, полная замена функций аудитора — ни в коем случае. В рамках своей деятельности мы регулярно прибегаем к таким инструментам, но делаем это точечно, только там, где результат не будет искажен, и с обязательной проверкой. Что важно, мы открыто информируем об этом заказчика, чтобы ни у кого не было сюрпризов. Хочется также отметить, что на сегодняшний день не существует какой-либо внятной регуляции ИИ. Никто не несет ответственности за недобросовестное использование, да и в целом пока еще не созданы механизмы выявления ИИ. Уверен, что мы увидим развитие этой ситуации уже в ближайшее время: опасность ошибки ИИ очень велика, особенно когда речь идет про сложные и наукоемкие отрасли, к которым относится и ИБ. А подобные пугающие прецеденты однозначно не смогут остаться без внимания.@finance_ciso

9 окт. 2025 г.848В Telegram

🏛Изменения в № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" вступили в силу с 1 октябряНиже рассказываем о ключевых изменениях.Новый операционный рискИзменения вводят так называемый «риск аутсорсинга». То есть риск ошибок или ненадлежащего исполнения при передаче функций, операций, услуг или процессов третьим лицам.Таким образом, теперь кредитные организации, пользующиеся услугами аутсорсинга, должны оценивать:— риск нарушения операционной надежности,— риск нарушения защиты информации,— риск нарушения конфиденциальности данных организации и ее клиентов.Кроме того, должно появиться специальное подразделение, основной задачей которого будет организация аутсорсинга. Подразделение, осуществляющее организацию аутсорсинга, должно функционировать независимо от подразделения, которое использует данные услуги. Не должно быть конфликта интересов: те, кто управляет риском аутсорсинга, не должны выполнять функции по обеспечению ИБ или функционированию ИС.Что необходимо сделать1. Разработать и утвердить перечни:— функций, операций и процессов, которые передаются на аутсорсинг,— аналогичные перечни того, что не подлежит передаче.2. Создать новую организационную структуру, которая будет управлять риском аутсорсинга без конфликта интересов.3. Внедрить процессы:— инициирования аутсорсинга,— подбора и оценки исполнителей,— мониторинга качества аутсорсинга,— прекращения взаимоотношений с аутосорсерами.4. Наладить регулярную независимую оценку эффективности управления риском аутсорсинга.Делать это нужно не реже раза в год.Что не стоит передавать на аутсорсинг: рекомендации ЦБВ информационном письме от 19 августа 2025 г. № ИН-03-23/96 «О подходах к передаче критически важных процессов на аутсорсинг» Банк России рекомендует кредитным организациям не передавать на аутсорсинг (за исключением отдельных процессов и (или) этапов процессов):— функции органов управления (в частности, по утверждению стратегических документов, показат

3 окт. 2025 г.1 010В Telegram

❗️ГОСТ Р 57580.1 — что ждет стандарт в будущемРабочая группа ЦБ РФ завершила работу над проектом нового стандарта, который заменит собой ГОСТ Р 57580.1 от 2017 года. В июле завершилась стадия публичных обсуждений, а недавно в общем доступе был опубликован актуальный проект. Ниже собрали все основные нововведения по сравнению с действующим.Область примененияОбласть применения нового стандарта будет расширена, туда войдут:- иностранные банки (через филиалы);- лица, оказывающие проф. услуги на фин. рынке (по ст. 76.9-5 закона о ЦБ);- информационные услуги по закону о кредитных историях;Также в стандарте закрепляется возможность его применения иными организациями, реализующими инновационные бизнес-процессы.Фокус на киберугрозахНовый стандарт использует новый термин "риск реализации информационных угроз" вместо текущего "операционного риска". Вводится требование об обработке риска реализации информационных угроз в соответствии с ГОСТ Р 57580.3 — это новшество, и ранее подобных требований не было.Расширена нормативная базаНовый ГОСТ будет основан на более широком перечне стандартов. Добавлены:- ГОСТ Р 57580.2 (методика оценки соответствия)- ГОСТ Р 57580.3 (управление риском реализации информационных угроз)- ГОСТ Р 58833 (идентификация и аутентификация)- ГОСТ Р 59547 (мониторинг ИБ)- ГОСТ Р 59548 (регистрация событий безопасности)- ГОСТ Р 59710 (управление компьютерными инцидентами)- ГОСТ Р 59853 (новая редакция терминосистемы)- ГОСТ Р МЭК 62443-3-3 (требования к системной безопасности промышленных сетей)- ГОСТ Р ИСО/МЭК 27000 (терминология СУИБ).Исключены:- ГОСТ 34.003- ГОСТ Р ИСО/МЭК ТО 18044Термины и технологииВ отличие от текущего ГОСТ, который ореинтирован на регулирование вопросов информационной безопасности для классических автоматизированных систем, вычислительных машин и серверов, в новом варианте этот перечень будет расширен.В стандарт добавлены новые понятия: контейнеризация (контейнеры, образы ОС с контейнеризацией, средства контейнеризации), мобильные устройст

19 сент. 2025 г.1 180В Telegram