Бизнес

Знаете ли вы, что такое риск информационной безопасности? Если посмотреть на один из документов в области, а именно на ГОСТ 57580.3 «Управление риском реализации информационных угроз и обеспечение операционной надежности», то это: Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены

Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события (НС). С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так: Пусть Минцифры даст нам список недопустимых событий и мы […

Про финансовую стоимость инцидента ИБ я в последнее время писал уже несколько раз (заметка на моем сайте и для портала «Резбез»). Но мы понимаем, что ущерб бывает не только финансовый (я про это и в курсе «Как оценивать ущерб в кибербезопасности» тоже говорю). И всегда хочется увидеть какие-то более конкретные примеры. И вот на днях […

В Австралии , что идентифицировали хакера, стоявшего за взломом и утечкой персданных 9,7 миллионов клиентов страховой компании Medibank в октябре 2022 года. Предсказуемо им стал россиянин (кто бы сомневался). Александр Ермаков, так зовут «героя». Меня же эта новость натолкнула на мысль, что можно посмотреть, во что обошелся данный инцидент

Наткнулся я тут на об американском рынке киберстрахования и мне показалась она достаточно интересной, чтобы тезисно ее пересказать. Автор пишет, что в отличие от страхования жизни и жилья, зародившегося в конце 1700-х годах, и страхования автомобилей, появившегося в конце 1800-х, страхование киберрисков возникло только в 1997-м году и к этому сегменту

Тут в одном чатике по безопасности АСУ ТП зашла очередная дискуссия про безопасность и ее место в бизнесе. И, если отбросить долгую прелюдию, то традиционная позиция ИБшников звучит обычно так: «Мы находимся в стороне от бизнеса и к нам неприменимы общие правила и подходы». Я же сторонник прямо противоположной идеи, что ИБ —

Почти все умные стандарты по кибербезопасности говорят о том, что для успеха ИБ нужна поддержка топ-менеджмента. Но никто не говорит, как эту поддержку получить. А в других умных книжках говорится, что с бизнесом надо говорить на его языке. Но опять же мало где учат этому языку. Можно пойти, конечно, на курсы MBA или EMBA, но […]

Помню несколько лет назад, еще в прошлой жизни, делали мы аутсорсинг SOC для одной международной нефтяной компании. Стоимость контракта приближалась к 100 миллионам долларов и одним из условий должны были стать финансовые гарантии возмещения ущерба в случае атаки. 9 месяцев согласовывался контракт именно в этой, самой сложной части. А сейчас на Западе это становится, нет, […

7 лет я не обращался к этой теме, что является достаточно большим сроком, чтобы вновь поднять ее на флаг и посмотреть с высоты накопленного опыта. На тот момент одним из самых популярных подходов в выделении денег на ИБ было использование % от ИТ-бюджета и ключевой вопрос был в том, каков должен быть этот процент. До […]

Скоро год, как мы живем в новых условиях, и рынок кибербезопасности не исключение. И есть у меня подозрение, что мы скоро осознаем, что рынок не может развиваться так, как он делал это раньше, копируя зарубежные, преимущественно, американские разработки. И придется нам тропить свою лыжню, не озираясь на другие страны, возможно, даже строя совершенно иные решения […