страхование
Прошло 10 дней с начала коллапса, причиной которого послужил сбой в обновлении CrowdStrike. Можно попробовать подвести некоторые итоги и посчитать, во сколько обошелся миру этот инцидент. Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike: От инцидента пострадало
В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах: Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за
На днях в Сиднее компания Gartner, которую многие уже начинают забывать, провела в австралийском Сиднее свой очередной Security & Risk Management Summit. Я в прогнозы Gartner давно не верю (уж очень часто они не сбывались), но есть среди озвученных предположений, которые были , несколько интересных тем, которые стоят того, чтобы о них хотя бы подумать. […
Наткнулся я тут на об американском рынке киберстрахования и мне показалась она достаточно интересной, чтобы тезисно ее пересказать. Автор пишет, что в отличие от страхования жизни и жилья, зародившегося в конце 1700-х годах, и страхования автомобилей, появившегося в конце 1800-х, страхование киберрисков возникло только в 1997-м году и к этому сегменту
Помню несколько лет назад, еще в прошлой жизни, делали мы аутсорсинг SOC для одной международной нефтяной компании. Стоимость контракта приближалась к 100 миллионам долларов и одним из условий должны были стать финансовые гарантии возмещения ущерба в случае атаки. 9 месяцев согласовывался контракт именно в этой, самой сложной части. А сейчас на Западе это становится, нет, […
Подходит к концу 2022-й год и, как мне кажется, уже можно подводить некие итоги года. И хотя у нас остается еще 4 дня, вряд ли произойдет что-то новое и кардинальное, что я у не учту в своей отчасти субъективной версии того, что мне запомнилось в уходящем году. Компании задумались о своей киберустойчивости Геополитический конфликт между […]
В промышленности, если по крупному, можно выделить два вида технологических процессов — дискретный и непрерывный. Вот иногда смотришь на нашу отрасль ИБ и видишь, что многие оценивают происходящие на ней события дискретно — в некоторой отдельно взятой точке, в отрыве от всего того, что происходит вокруг, происходило раньше и может произойти в будущем.
Угрозы
Давайте попробуем поразмышлять. Как можно бороться с угрозами недекларированных возможностей на уровне прикладного и системного ПО? Я вижу несколько вариантов: внедрение приемов «защищенного» программирования (SDLC) проверка исходных кодов на предмет НДВ с помощью автоматизированных инструментов (Appercut, Fortify или отечественные сканеры
Законодательство
Занимался разбором своец библиотеки русскоязычной литературы по ИБ и наткнулся на интересный раритет, изданный тиражом всего 300 экземпляров – «Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России» (далее – Концепция), написанной аж в 1992-м году ведущими специалистами РАН
Бизнес
Выступал сегодня (еще сегодня 😉 на конференции «e-5: e-banking, e-trading, e-insurance, e-commerce, e-funding» (http://e-5.abcforum.ru/). Вещал про стратегию защиты онлайн-транзакций. А после мены выступал представитель Ингостраха с темой страхования информационных рисков. Я уж думал, что она совсем загнулась, а тут опять.