Forwarded from Timur Nizamov
Nikita Barsukov — Look at my Pickle (2025).pdf
9.9 MB
Вышло очередное ежегодное исследование от ENISA по бюджетированию ИБ.
https://www.enisa.europa.eu/publications/nis-investments-2025
7 ключевых выводов
1. Средний процент бюджета на ИБ от бюджета ИТ сохранился на прежнем уровне - 9%. Акцент трат смещается на аутсорсинг и покупку технологий.
2. Сохраняется проблема с поиском и удержанием ИБ специалистов.
3. Требования нормативных актов остаются главным драйвером расходов.
4. Требования NIS2 остается непростыми к реализации (патчинг, требования по BCP, цепочка поставок).
5. 30% организаций не проводили оценку своей безопасности за 12 месяцев. 28% организаций устанавливаются патчи для критичных уязвимостей больше 3 месяцев.
6. В связи с большим акцентом на сервис и аутсорсинг увеличивает риск атак на цепочку поставок.
7. Больше всего организации обеспокоены противодействию DOS, шифровальщикам, атакам на цепочку поставок, фишингу. Наиболее обеспокоены своей возможностью противодействия и восстановления организации малого и среднего бизнеса.
https://www.enisa.europa.eu/publications/nis-investments-2025
7 ключевых выводов
1. Средний процент бюджета на ИБ от бюджета ИТ сохранился на прежнем уровне - 9%. Акцент трат смещается на аутсорсинг и покупку технологий.
2. Сохраняется проблема с поиском и удержанием ИБ специалистов.
3. Требования нормативных актов остаются главным драйвером расходов.
4. Требования NIS2 остается непростыми к реализации (патчинг, требования по BCP, цепочка поставок).
5. 30% организаций не проводили оценку своей безопасности за 12 месяцев. 28% организаций устанавливаются патчи для критичных уязвимостей больше 3 месяцев.
6. В связи с большим акцентом на сервис и аутсорсинг увеличивает риск атак на цепочку поставок.
7. Больше всего организации обеспокоены противодействию DOS, шифровальщикам, атакам на цепочку поставок, фишингу. Наиболее обеспокоены своей возможностью противодействия и восстановления организации малого и среднего бизнеса.
www.enisa.europa.eu
NIS Investments 2025 | ENISA
ENISA is the EU agency dedicated to enhancing cybersecurity in Europe. They offer guidance, tools, and resources to safeguard citizens and businesses from cyber threats.
Forwarded from AlexRedSec
Свежее исследование на тему влияния "экстремальных" кибератак на рыночную капитализацию публичных компаний в период с 2000 по 2021 годы🆕
В рамках данной работы авторы оценили среднесрочные и долгосрочные (периоды в 1 и 2 года после инцидента соответственно) экономические последствия "экстремальных" кибератак (превышающие пороговые значения значимости инцидентов, например, прямые убытки в размере более 10 млн $).
Приведу кратко основные выводы:
🔗 Негативные последствия кибератак не являются временными, а сохраняются и усугубляются в течение длительного времени.
🔗 В течение первого года после экстремальной кибератаки рыночная стоимость пострадавших компаний в среднем оказывалась на 8,9% ниже, чем ожидалось.
🔗 Через два года после инцидента среднее отставание от ожидаемых показателей рыночной стоимости увеличивается до 14%.
🔗 Финансовые последствия со временем становятся все более серьезными, что опровергает предположение о том, что рост числа кибератак приведет к тому, что рынок станет менее чувствительным к ним.
🔗 Многие компании, столкнувшиеся с серьезным киберинцидентом, впоследствии были поглощены по значительно сниженной оценке (Yahoo, AOL, Mandiant, LinkedIn, Heartland Payment Systems).
🔗 Ransomware-атаки оказывают рыночное воздействие в 23 раза более серьезное, чем утечки данных, а кибератаки с использованием вредоносного ПО (malware) демонстрируют наиболее выраженный негативный эффект, приводя к снижению рыночной стоимости примерно на 45% (но есть нюансы, связанные с ограниченной выборкой).
🔗 В рамках оценки эффективности компаний до и после инцидента был зафиксирован неожиданный эффект — небольшое улучшение показателей после кибератаки. Это может быть связано с усилением внутреннего контроля, проведение аудитов и расследований, связанных с повышенным вниманием руководства.
#costs #breach #business #stock #market #ransomware
В рамках данной работы авторы оценили среднесрочные и долгосрочные (периоды в 1 и 2 года после инцидента соответственно) экономические последствия "экстремальных" кибератак (превышающие пороговые значения значимости инцидентов, например, прямые убытки в размере более 10 млн $).
Приведу кратко основные выводы:
#costs #breach #business #stock #market #ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
https://openai.com/index/strengthening-cyber-resilience/ На фоне новостей по использованию публичных моделей в кибер атаках OpenAI объявила об инвестициях в усиление безопасности использования моделей. Планируется улучшить: противодействие вредоносному использованию моделей, средства обнаружения, ред тиминг моделей.
Openai
Strengthening cyber resilience as AI capabilities advance
As our models grow more capable in cybersecurity, we’re investing in strengthening them, layering in safeguards, and partnering with global security experts.
Такое происходит очень не часто: Гартнер призвала CISO блокировать все AI браузеры в организации для минимизации риска. Полная версия отчета за пейволом.
https://www.gartner.com/en/documents/7211030
https://www.gartner.com/en/documents/7211030
Gartner
Cybersecurity Must Block AI Browsers for Now
Gartner Research on Cybersecurity Must Block AI Browsers for Now
В этом году у ISACA вышло 3 новых сертификации в области корпоративного управления безопасностью ИИ. Это фактически одни из самых первых сертификаций по безопасности ИИ в мире.
В мае 2025 года была анонсирована Advanced in AI Audit (AAIA). https://www.isaca.org/credentialing/aaia
В сентябре 2025 года - Advanced in AI Security Management (AAISM). https://www.isaca.org/credentialing/aaism
В декабре 2025 года - Advanced in AI Risk (AAIR). Экзамены будут доступны в 2Q2026. До 16.12.25 возможно зарегистрироваться для участия в платной бета версии экзамена. https://www.isaca.org/aair
Требования для всех трех сертификаций очень похожи:
1.Обладать действующей сертификацией ISACA. CISA для AAIA, CISM для AAISM, CRISC для AAIR. Допускается сертификация на основе и других профильных сертификаций (CIA, ACCA, CISSP и др.).
2.Сдать платный экзамен в центрах PSI или удаленно с прокторингом. https://home.psiexams.com/#/test-center?p=Z97SE74H Экзамен состоит из 90 вопросов, время на экзамен 150 минут.
3.Оплатить регистрационный взнос за рассмотрение заявки на сертификат и согласится с общим кодексом этики.
Более подробное описание экзамена указано тут https://www.isaca.org/credentialing/exam-candidate-guides
Домены знаний
AAIA: 1. AI Governance and Risk (33%). 2. AI Operations (46%). 3. AI Auditing Tools and Techniques (21%).
AAISM:1. AI Governance and Program Management (31%). 2. AI Risk and Opportunity Management (31 %). 3. AI Technologies and Controls (38%).
AAIR: 1. AI Risk Governance and Framework Integration. 2. AI Risk Program Management. 3. AI Life Cycle Risk Management.
Больше деталей и бесплатные тренировочные экзамены находятся по ссылкам выше.
В мае 2025 года была анонсирована Advanced in AI Audit (AAIA). https://www.isaca.org/credentialing/aaia
В сентябре 2025 года - Advanced in AI Security Management (AAISM). https://www.isaca.org/credentialing/aaism
В декабре 2025 года - Advanced in AI Risk (AAIR). Экзамены будут доступны в 2Q2026. До 16.12.25 возможно зарегистрироваться для участия в платной бета версии экзамена. https://www.isaca.org/aair
Требования для всех трех сертификаций очень похожи:
1.Обладать действующей сертификацией ISACA. CISA для AAIA, CISM для AAISM, CRISC для AAIR. Допускается сертификация на основе и других профильных сертификаций (CIA, ACCA, CISSP и др.).
2.Сдать платный экзамен в центрах PSI или удаленно с прокторингом. https://home.psiexams.com/#/test-center?p=Z97SE74H Экзамен состоит из 90 вопросов, время на экзамен 150 минут.
3.Оплатить регистрационный взнос за рассмотрение заявки на сертификат и согласится с общим кодексом этики.
Более подробное описание экзамена указано тут https://www.isaca.org/credentialing/exam-candidate-guides
Домены знаний
AAIA: 1. AI Governance and Risk (33%). 2. AI Operations (46%). 3. AI Auditing Tools and Techniques (21%).
AAISM:1. AI Governance and Program Management (31%). 2. AI Risk and Opportunity Management (31 %). 3. AI Technologies and Controls (38%).
AAIR: 1. AI Risk Governance and Framework Integration. 2. AI Risk Program Management. 3. AI Life Cycle Risk Management.
Больше деталей и бесплатные тренировочные экзамены находятся по ссылкам выше.
ISACA
AAIA™ Certification | ISACA Advanced in AI Audit™
The groundbreaking advanced AI credential, ISACA Advanced in AI Audit (AAIA), validates the ability to audit complex systems and mitigate risks related to AI.
Можно попробовать себя в промт инъекциях ИИ в небольшой игре от Selectel https://aiinsec.ru/ .
Аналогичная западная игра https://gandalf.lakera.ai/baseline
Лакера использовала потом эти промты для своих бенчмарков безопасности моделей.
Аналогичная западная игра https://gandalf.lakera.ai/baseline
Лакера использовала потом эти промты для своих бенчмарков безопасности моделей.
gandalf.lakera.ai
Gandalf | Lakera – Test your AI hacking skills
Trick Gandalf into revealing information and experience the limitations of large language models firsthand.
Forwarded from Листок бюрократической защиты информации
Методика_анализа_защищенности_ИС.pdf
504.2 KB
На сайте ФСТЭК России опубликована Методика анализа защищенности информационных систем.
Регулятор информирует, что данная Методика определяет организацию, порядок проведения и содержание работ, проводимых в ходе испытаний систем защиты информации ИС, АСУ, ИТС в соответствии с подпунктом «б» пункта 16 Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденного приказом ФСТЭК России от 29.04.2021 № 77.
Методика предназначена для проведения работ по анализу (выявлению) уязвимостей ИС с последующей оценкой возможности их использования нарушителем для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий.
Методика применяется в ходе:
• аттестации ИС на соответствие требованиям по защите информации;
• контроля уровня защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации;
• оценки соответствия ИС требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.
Источник: информационное сообщение ФСТЭК России от 04.12.2025 № 240/22/6902 «Об утверждении Методики анализа защищенности информационных систем».
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ассоциация ФинТех
74% финтех-компаний концентрируют защитные меры на этапе подготовки данных и тестирования моделей, а 60% – уже внедряют комплексные меры по защите своих ИИ-систем.
В число наиболее распространенных практик входят регулярный мониторинг и аудит работы моделей, активное тестирование на уязвимости, обязательное обучение сотрудников основам AI Security, разработка внутренних стандартов и политик безопасности. Такие данные приводятся в совместном исследовании Ассоциации ФинТех и ГК Swordfish Security.
81% компаний российского финтеха определяют машинное обучение (ML) и большие языковые модели (LLM) как ядро своих ИИ-стратегий. При этом, более 25% респондентов уже несколько раз столкнулись с инцидентами безопасности, связанными с атаками на ИИ-системы. 75% финтех-организаций выделяют утечку конфиденциальных данных в качестве ключевой угрозы безопасности при использовании ИИ, 62% — применяют гибридный подход к оценке результатов и выводов в работе с ИИ-решениями и только 12% респондентов внедряют системную оценку этических рисков ИИ.
Исследование показывает, что участники финтех-рынка планируют уделять больше внедрению практик AI Security. Так, 88% респондентов сообщили, что в 2026 году намерены работать над повышение осведомленности и обучением сотрудников в этой области, 75% займутся разработкой внутренней политики по AI Security, 63% займутся интеграцией инструментов защиты, а 62% — проведением аудита или тестирования ИИ-систем.
🗣 Руководитель управления стратегии, исследований и аналитики Ассоциации ФинТех Марианна Данилина: Современная стратегия AI Security строится на постоянном развитии компетенций сотрудников и формировании культуры осведомленности на всех уровнях организации. И хотя ИИ автоматизирует многие процессы, в том числе в кибербезопасности, все-таки роль специалистов ИБ станет в будущем еще значительнее, трансформируясь с фокусом на ИИ. Взаимное проникновение между ИИ и безопасностью изменит роль руководителя ИБ «у штурвала»: именно он задаст курс, примет ключевые решения для безопасной и корректной работы решений на базе ИИ.
🗣 Директор по стратегии и генеральный партнер Swordfish Security Юрий Сергеев: Разработка безопасного ПО трансформируется в связи с развитием искусственного интеллекта. AI открывает как новые возможности для ускорения всех процессов, так и форсировано формирует новые угрозы для людей и организаций. Высокая ценность ИИ очевидна, но вместе с тем растет запрос на его защиту и кибербезопасность. AI Security – новый виток развития проектирования ИИ, при котором меры безопасности интегрированы в его архитектуру и программный код.
В число наиболее распространенных практик входят регулярный мониторинг и аудит работы моделей, активное тестирование на уязвимости, обязательное обучение сотрудников основам AI Security, разработка внутренних стандартов и политик безопасности. Такие данные приводятся в совместном исследовании Ассоциации ФинТех и ГК Swordfish Security.
81% компаний российского финтеха определяют машинное обучение (ML) и большие языковые модели (LLM) как ядро своих ИИ-стратегий. При этом, более 25% респондентов уже несколько раз столкнулись с инцидентами безопасности, связанными с атаками на ИИ-системы. 75% финтех-организаций выделяют утечку конфиденциальных данных в качестве ключевой угрозы безопасности при использовании ИИ, 62% — применяют гибридный подход к оценке результатов и выводов в работе с ИИ-решениями и только 12% респондентов внедряют системную оценку этических рисков ИИ.
Исследование показывает, что участники финтех-рынка планируют уделять больше внедрению практик AI Security. Так, 88% респондентов сообщили, что в 2026 году намерены работать над повышение осведомленности и обучением сотрудников в этой области, 75% займутся разработкой внутренней политики по AI Security, 63% займутся интеграцией инструментов защиты, а 62% — проведением аудита или тестирования ИИ-систем.
🗣 Руководитель управления стратегии, исследований и аналитики Ассоциации ФинТех Марианна Данилина: Современная стратегия AI Security строится на постоянном развитии компетенций сотрудников и формировании культуры осведомленности на всех уровнях организации. И хотя ИИ автоматизирует многие процессы, в том числе в кибербезопасности, все-таки роль специалистов ИБ станет в будущем еще значительнее, трансформируясь с фокусом на ИИ. Взаимное проникновение между ИИ и безопасностью изменит роль руководителя ИБ «у штурвала»: именно он задаст курс, примет ключевые решения для безопасной и корректной работы решений на базе ИИ.
🗣 Директор по стратегии и генеральный партнер Swordfish Security Юрий Сергеев: Разработка безопасного ПО трансформируется в связи с развитием искусственного интеллекта. AI открывает как новые возможности для ускорения всех процессов, так и форсировано формирует новые угрозы для людей и организаций. Высокая ценность ИИ очевидна, но вместе с тем растет запрос на его защиту и кибербезопасность. AI Security – новый виток развития проектирования ИИ, при котором меры безопасности интегрированы в его архитектуру и программный код.