пятница, 16 января 2026 г.

5 атак 2026 года, которые живут только в браузере

5 атак 2026 года, которые живут только в браузере 

Главная мысль: в 2026 году злоумышленнику всё чаще не нужен “вирус на компьютере” в виде файла. Ему достаточно попасть туда, где вы реально работаете каждый день — в браузер. Точнее в его сегменты кода и данных.

Почта, документы, рабочие чаты, CRM, порталы, кабинеты подрядчиков — всё это сегодня в интернете. И многие атаки устроены так, чтобы выглядеть как обычная работа пользователя: пользователь не ставил никаких программ, не скачивал файлы, не было никаких файлов вообще для антивируса.

Если вы думаете “вирусы не были найдены антивирусом — значит всё нормально”, у меня плохие новости: это уже не так.

Мини-словарик (простыми словами)

  • Сессия — это “отметка что вы сейчас посещаете сервис”. Как будто вам дали браслет на руку на входе в клуб или отель по системе "все ключено". Пока браслет на руке и действует — вас пускают.
  • Токен — это “электронный пропуск”, который подтверждает, что вы уже вошли. Его можно украсть — и тогда войдут как вы.
  • OAuth — это указание “пускайте это приложение от моего имени”.
    Пример: вы нажимаете “Войти через Google” или “Разрешить приложению доступ к почте”.
    Это как выдать чужому сервису пропуск в вашу квартиру — добровольно и официально. Вы не отдаете пароль, но вы отдаете готовый доступ. Пароль уже не нужен.
  • API — это “служебный канал доступа к данным”. Если у злоумышленника есть разрешение, он может вытащить данные не глазами через экран, а “технически” — быстро и массово.

Атака №1. Украли сессию — и вошли как вы

Как выглядит в жизни:

  • Вы заходите в почту или рабочий сервис.
  • Всё нормально, вы работаете.
  • Но кто-то “подхватил” ваш электронный пропуск (сессию и токен).
  • И теперь он может зайти в тот же сервис как вы, часто даже без пароля и без повторного подтверждения.

Почему опасно: служба безопасности видит “вход пользователя”. Никакой вредоносной программы нет.

Что можно заметить в логах/мониторинге:

  • вход из другой страны или необычного провайдера (особенно если вы физически сидите дома),
  • резкий всплеск действий: массовые открытия, скачивания, экспорты “за 2 минуты”,
  • вход с нового устройства “внезапно и без причины”.

Атака №2. OAuth: вы сами дали доступ “приложению”

Это самая коварная атака для бизнеса. Потому что выглядит легально.

Как выглядит в жизни:

  • Вам приходит ссылка: “Подключите удобное приложение / бот / помощник”.
  • Открывается официальное окно: “Разрешить доступ к почте/файлам?”
  • Вы нажимаете “Разрешить”.
  • И всё. Теперь “приложение” может читать вашу почту и документы через технический канал (API).

Почему опасно: это не взлом. Это “разрешили сами”. MFA не спасает, потому что вы уже “доверили доступ”.

На что смотреть в мониторинге:

  • появилось новое подключённое приложение с доступом к почте/файлам,
  • у приложения запрошены “слишком широкие права” (почта, файлы, постоянный доступ),
  • после выдачи разрешения начался массовый выкач данных.

Атака №3. “Фишинг, который проходит MFA” (через посредника)

В 2026 году фишинг стал “умнее”. Он не просто ворует пароль, а перехватывает вход после подтверждения MFA.

Как выглядит в жизни:

  • Вы вводите пароль и код из SMS/приложения на “почти настоящей” странице. Но реально поддельной.
  • Вас перекидывает в реальный сервис, всё выглядит нормально.
  • Но между вами и сервисом был “посредник”, который забрал ваш токен входа.

Что мониторить:

  • вход со странных IP (часто хостинги, прокси, дата-центры),
  • после входа — действия не похожи на обычную работу (не переписка, а экспорт, правила, массовые операции).

Атака №4. Угон почты “тихо”: правила, пересылка, невидимый контроль

Это классика бизнес-мошенничества (BEC), но в новой упаковке.

Как выглядит в жизни:

  • Злоумышленник получает доступ к вашей почте (через сессию или OAuth).
  • Дальше он не обязательно пишет письма сразу.
  • Он создаёт правила, чтобы вы ничего не заметили:
    • скрывать письма от директора/бухгалтерии (переместить, удалить, пометить прочитанными),
    • включить пересылку на внешний адрес,
    • ждать переписку про оплату и подменить реквизиты.

Что мониторить:

  • появились новые правила в почте (особенно “удалять/перемещать/прочитано”),
  • включилась пересылка писем наружу,
  • вдруг изменились автоответчики / подписи.

Атака №5. Утечка данных без скачивания: “ничего не загружали”

Во многих компаниях DLP и контроль утечек всё ещё завязаны на “скачал файл — плохо”. Но в 2026 данные часто утекают иначе.

Как выглядит в жизни:

  • Злоумышленник заходит как пользователь в CRM/портал/веб-кабинет.
  • И выносит данные без файла:
    • копирует кусками и вставляет куда нужно,
    • экспортирует в таблицу “внутри сервиса”,
    • создаёт публичные ссылки на документы,
    • отправляет данные в AI-чат “чтобы сформулировать письмо” — и это тоже утечка.

Что мониторить:

  • массовые просмотры карточек/записей “за короткое время”,
  • экспорты, расшаривания, создание публичных ссылок,
  • необычный доступ к разделам “не по роли” (например, сотрудник вдруг полез в финансовые данные).

Что поставить в мониторинг в 2026 (по-простому)

Чтобы эти атаки не были невидимыми, нужно смотреть не только на компьютер, но и на идентичность + облачные сервисы.

  • Контроль входов: откуда вошли, с какого устройства, насколько “необычно”.
  • Контроль почты и облаков: правила, пересылки, расшаривания, массовые экспорты.
  • Контроль “разрешений приложениям” (OAuth): кто и кому выдал доступ.

Важно: сменить пароль — часто недостаточно. Нужно уметь отозвать токены и доступы, иначе “пропуск” у злоумышленника останется действующим.

Чек-лист для руководителя: что сделать за 7 дней

  1. Составьте список критичных систем, куда сотрудники заходят через браузер (почта, документы, CRM, кабинеты).
  2. Проверьте, включён ли аудит:
    • правил почты,
    • пересылок наружу,
    • выдачи доступов приложениям (OAuth),
    • экспортов и публичных ссылок.
  3. Настройте 5 тревог минимум:
    • новое OAuth-приложение получило доступ к почте/файлам,
    • включили внешнюю пересылку писем,
    • создали подозрительное правило “удалять/скрывать”,
    • массовый экспорт/расшаривание,
    • вход из нетипичной локации + необычные действия после входа.

Финальный вопрос (самый неприятный)

Если завтра сотрудник “официально” выдаст доступ к вашей почте внешнему приложению —
вы узнаете об этом через 5 минут… или через 5 недель, когда уже начнут уходить деньги и документы?

on
Ярлыки:

суббота, 10 января 2026 г.

Переносите номер к другому оператору? Вот что случится с вашим банком, если SMS не придёт

Переносите номер? Вот что случится с вашим банком, если SMS не придёт

Ваш номер телефона — это не только связь. Это еще и ключ восстановления от множества сервисов. Ключ от банка, почты, Госуслуг, мессенджеров. И когда вы переносите номер к другому оператору, вы делаете операцию, завязанную на этом ключе.

Главный риск не в том, что "старый оператор что-то украдёт". Главный риск — в день переноса вы можете несколько часов не получать SMS. И не войти туда, где нужно срочно.

Задумайтесь: Если у вас почта защищена только SMS-кодом — то ваш банк тоже защищён только SMS. Потому что доступ к банку восстанавливают через номер и/или через почту. Номер мобильника и почта — это основа вашей безопасности.

В конце статьи — 2 действия, которые реально спасают, и простой чек-лист. Читайте до конца.

Словарь: говорим на одном языке

  • MNP (Mobile Number Portability) — перенос номера к другому оператору с сохранением номера.
  • Оператор-донор — ваш старый оператор, от которого уходите.
  • Оператор-реципиент — новый оператор, к которому переходите.
  • Port-out fraud (мошеннический перенос) — когда ваш номер "увозят" к другому оператору без вашего ведома.
  • SIM-swap — перевыпуск вашей SIM-карты мошенниками (номер остаётся у того же оператора, но SIM получает другой человек). Отличие от MNP: при SIM-swap оператор не меняется.
  • 2FA / двухфакторная аутентификация — вход требует два подтверждения: пароль + код (SMS / приложение / биометрия).
  • Аутентификатор — приложение на телефоне (Google Authenticator, Microsoft Authenticator, Яндекс.Ключ), которое генерирует коды без интернета и SMS.
  • Push-уведомление — всплывающее окно в приложении банка "Подтвердите операцию?" вместо SMS-кода.

3 главных риска при переносе номера

Риск №1: Окно недоступности SMS в день переноса

В день, когда номер переезжает, связь нестабильна. SMS может не прийти несколько часов. Звонки могут не проходить. Вы физически теряете контроль над номером на время.

Почему это опасно: если вам срочно нужно войти в банк или почту — вы не сможете. Код не придёт.

Риск №2: Зависимость сервисов от SMS как единственного ключа

Если вход и восстановление доступа к сервису привязаны только к SMS — то в момент переноса вы беззащитны. Нет SMS = нет доступа.

Почему это опасно: если в этот момент кто-то попытается войти в ваш аккаунт (зная пароль или восстанавливая доступ) — вы не получите уведомление и не сможете среагировать.

Риск №3: Мошеннический перенос (port-out fraud)

Ваш номер могут попытаться "увезти" к другому оператору без вашего ведома. Мошенники используют украденные данные (ФИО, паспорт, дата рождения) и слабые места в проверке операторов / салонов связи.

Почему это опасно: результат тот же, что при SIM-swap — злоумышленник получает ваш номер и SMS-коды.

2 действия, которые реально спасают (делайте прямо сейчас)

Действие №1: Почта — вход и восстановление БЕЗ SMS

Что делать:

  1. Зайдите в настройки безопасности вашей почты (Gmail, Яндекс, Mail.ru и т.д.)
  2. Включите двухфакторную аутентификацию через приложение-аутентификатор (не надо SMS!)
  3. Или настройте passkey (вход по отпечатку пальца / Face ID)
  4. Сохраните резервные коды — обычно это 8-10 одноразовых кодов на случай потери телефона
  5. Добавьте резервную почту для восстановления доступа

Проверка: выйдите из почты и попробуйте войти. Если система предлагает только SMS — вы ещё не защищены.

Действие №2: Банк — подтверждение БЕЗ SMS

Что делать:

  1. Зайдите в приложение банка → Настройки → Безопасность
  2. Включите подтверждение операций через push-уведомления в приложении
  3. Или через биометрию (отпечаток / Face ID)
  4. Позвоните в банк и уточните: "Можно ли временно отключить подтверждение операций по SMS и оставить только приложение?"
  5. В некоторых банках можно установить "кодовое слово" для операций через контактный центр

Проверка: попробуйте перевести 1 рубль. Если пришёл SMS-код — значит защита через приложение ещё не работает полностью.

Почему именно эти 2 действия?
Потому что почта — это способ восстановить доступ к банку. А банк — это ваши деньги. Если оба защищены только SMS — то в день переноса вы полностью уязвимы.

Чек-лист: что делать до / в день / после переноса

ДО переноса (за 1-2 недели)

  • ✅ Сделали 2 действия выше (почта + банк без SMS)
  • ✅ У старого оператора: закрыли долги, отключили платные подписки
  • ✅ У старого оператора: установили кодовое слово на операции с номером
  • ✅ Отключили лишние SIM/eSIM (если были дополнительные карты на тот же номер)
  • ✅ Провели инвентаризацию: где номер привязан (см. раздел ниже)

В ДЕНЬ переноса (день Х)

  • ✅ Выбрали спокойный день без срочных платежей и важных входов
  • ✅ Держите под рукой второй канал связи (второй номер, рабочий телефон, городской)
  • ✅ Предупредили банк: "Сегодня переношу номер, могут быть задержки SMS"
  • ✅ Не планируете крупные покупки и переводы в этот день

ПОСЛЕ переноса (через 1-3 дня)

  • ✅ Проверили: все ли сервисы получают SMS нормально
  • ✅ Проверили личный кабинет старого оператора: нет ли "висящих" услуг
  • ✅ Опционально: запросили у старого оператора удаление персональных данных

Если номер "увезли" БЕЗ ВАШЕГО ведома: план первых 15 минут

Признаки: вы не подавали заявку на перенос, но: (а) пришло SMS "ваш номер будет перенесён", (б) внезапно пропала связь, (в) не можете войти в сервисы.

Минута 1-5: Оператор

Звоните с другого номера. Скажите буквально:

"Мой номер [ваш номер]. Я НЕ подавал заявку на перенос. Требую немедленно:
1) Проверить, есть ли заявка на перенос — кто и когда оформил
2) Заблокировать любые операции с номером
3) Отменить перенос, если он ещё не завершён
4) Зафиксировать моё обращение — дайте номер заявки"

Минута 6-10: Банк

Звоните в банк. Скажите:

"Мой номер скомпрометирован. Требую:
1) Временно ограничить операции через SMS
2) Переключить подтверждения в приложение (push)
3) Проверить: не было ли попыток смены настроек / входа с новых устройств
4) Зафиксировать инцидент"

Минута 11-15: Почта и критичные сервисы

  • Если можете войти — срочно смените пароль
  • Проверьте: нет ли новых устройств / входов / правил переадресации
  • Отключите восстановление через SMS (если есть альтернатива)
  • В мессенджерах (Telegram, WhatsApp): включите дополнительный пароль / 2FA

Важно: это уже инцидент. Действуйте быстро и последовательно. Фиксируйте все номера обращений и ответы поддержки.

Инвентаризация: как вспомнить, где ваш номер привязан

"На память" вы почти точно не вспомните всё. Вот пошаговый алгоритм:

  1. Поиск в почте (самый рабочий способ):
    Ищите по словам: "код", "подтверждение", "verification", "login", "security code", "ваш телефон".
    Так всплывают сервисы, которые отправляли вам SMS-коды.
  2. Поиск в SMS (если есть доступ):
    Найдите по слову "код" — увидите, какие сервисы присылали коды.
  3. Пройдите по категориям критичности:
    Банки → Почта → Госуслуги → Мессенджеры → Маркетплейсы → Поликлиники/анализы → Службы доставки →  Облака → Домены/хостинг → Социальные сети → Другие сайты
  4. В каждом сервисе: зайдите в Настройки → Безопасность / Восстановление доступа
  5. Проверьте:
    • Как вы входите? (пароль + SMS / пароль + приложение / биометрия)
    • Как восстанавливаете доступ? (только SMS / резервная почта / резервные коды)
  6. Если единственный способ — SMS:
    Добавьте альтернативу (аутентификатор / резервная почта / биометрия)
  7. Сохраните резервные коды (обычно в разделе "Двухфакторная аутентификация")
  8. Заполните простую таблицу:
Сервис Как входите Как восстанавливаете Альтернатива SMS
Gmail Пароль + SMS Номер телефона ❌ Нужно добавить аутентификатор
Сбербанк Пароль + Push Номер + паспорт в офисе ✅ Push работает
Госуслуги Пароль + SMS Номер / почта ⚠️ Можно добавить биометрию
...добавьте свои сервисы...

Результат инвентаризации: вы чётко знаете, где уязвимы. И можете заранее закрыть эти дыры.

Главное: коротко

MNP безопаснее, когда ваш номер перестаёт быть единственным ключом.

Сделайте 2 действия:
1) Почта — вход без SMS
2) Банк — подтверждение без SMS

Остальное — подготовка и внимательность в день переноса.

Если номер "уехал" без вас — это инцидент. Действуйте по плану из раздела выше.

Сохраните эту статью — и отправьте тем, кто собирается переносить номер. Это может спасти чьи-то деньги.

Остались вопросы? Пишите в комментариях — разберём вашу ситуацию.

on
Ярлыки:

Как защититься и что делать, если SIM-карту у вас уже «увели»

SIM-swap и перенос номера (MNP): что делать, если боишься подмены SIM — и что делать, если SIM уже “увели”

Объясню термины, покажу проблемы переноса номера и дам два плана: на случай профилактики и на случай инцидента.

0) Сначала — главный тезис

Ваш номер телефона сегодня часто работает как “ключ” к аккаунтам. Не потому, что так задумано, а потому что многие сервисы до сих пор используют SMS для входа/восстановления.

При SIM-swap мошенник не “взламывает банк”. Он делает проще: получает контроль над вашим номером — и дальше перехватывает коды, сбрасывает пароли и забирает аккаунты.

Кстати, это не “страшилка”: даже в рекомендациях по цифровой идентификации подчеркивают, что SMS/телефонный канал — рискованный, и при нём нужно учитывать признаки вроде SIM-change и перенос номера как риск-индикаторы.

1) Термины простыми словами

  • SIM-карта — физический чип SIM или виртуальный eSIM, который “привязывает” ваш телефон к мобильной сети.
  • Подмена SIM (SIM-swap) — когда номер переносят на другую SIM (которая в руках мошенника). Ваша старая SIM обычно перестаёт работать.
  • MNP (Mobile Number Portability) - так называется процесс переноса номера, когда вы переходите к другому оператору, но номер остаётся тем же. Это легальная процедура. В правилах это описывают как совокупность действий, чтобы абонент мог пользоваться тем же номером у другого оператора. 
  • Port-out — означает “унести номер от текущего оператора”. Мошенники иногда пытаются сделать это без вас (через обман/утечки/инсайд).
  • 2FA (двухфакторная аутентификация) — когда для входа нужен первый фактор: пароль + ещё один фактор: код из приложения или подтверждение в банковском приложении.
  • TOTP-приложение  - называется аутентификатор — приложение, которое генерирует коды (обычно меняются каждые 30 секунд). Это не код из SMS. Это более надежный метод.
  • Passkey - беспарольный доступ — современный способ входа, где подтверждение идёт через ваше устройство или внешний ключ. Это устойчивее к фишингу, чем SMS. Например, устройство YubiKey или встроенный в ноутбук или смартфон доступ по отпечатку пальца.
  • PIN - пароль на обслуживание у оператора — отдельный секретный код, который оператор может требовать для операций с номером (перевыпуск SIM, изменения и т.п.).

2) Почему перенос номера (MNP) — “момент повышенного риска”

Перенос номера — это нормальная услуга. Но в этот период вокруг номера происходят “административные действия” (заявка, подтверждения, переключение сети). Это то, что любят мошенники.

2.1 Красная зона №1: период ожидания до переноса

Для физлиц перенос назначают не раньше 8-го календарного дня после подачи заявки. 

Перевод: у вас обычно есть около недели. Это время стоит использовать, чтобы “закрыть двери”.

2.2 Красная зона №2: технический перерыв в момент переноса

Правила прямо допускают технологический перерыв при переносе: исходящая связь/сообщения могут не работать до 30 минут, входящая — до 6 часов

Перевод: планировать критичные действия “через SMS” в этот момент — плохая идея.

2.3 Можно ли отменить перенос?

  • Отказаться от переноса можно, как правило, не позднее чем за 2 дня до даты начала переноса. 
  • Если вы получили уведомление о переносе, который вы не заказывали, правила предусматривают возможность отказаться/отменить через обращение к оператору (после идентификации). 

3) Профилактика: что делать, если вы боитесь SIM-swap (или планируете MNP)

3.1 Цель профилактики

Сделать так, чтобы номер перестал быть единственным ключом к вашим аккаунтам.

3.2 Минимальный план на 30 минут (самое полезное)

  1. Почта (Gmail/Яндекс/и т.п.):
    • Включите 2FA без SMS: получайте код через приложение-аутентификатор или passkey.
    • Сохраните резервные коды (backup codes) в безопасном месте.
    • Проверьте, что в “способах восстановления” есть резервный email, а не только ваш телефон.
  2. Банк:
    • Если можно — включите подтверждения в приложении (push), а не только по SMS.
    • Проверьте лимиты/настройки переводов (чтобы “по умолчанию” не было слишком много).
  3. Мессенджеры:
    • Включите “дополнительный пароль” (двухэтапную проверку), где это есть.

3.3 Что сделать именно у оператора (важно!)

Это не про “карты у оператора” — это про то, чтобы мошенник не смог легко сделать операции с вашим номером.

  • Поставьте PIN/пароль на обслуживание (если оператор поддерживает). Я рекомендую использовать PIN и контрольные вопросы у оператора как меру против SIM-swap. 
  • Запретите перевыпуск SIM без личного участия, если есть такая опция. В рекомендациях по безопасности для абонентов встречается практика “заявления у оператора” о запрете перевыпуска без личного присутствия.
  • Проверьте “дополнительные SIM/eSIM/мульти-SIM” (часы/планшет) и отключите лишнее — это снижает хаос и риск “лишнего канала”.

3.4 В России есть “самозапрет на новые SIM”

С 1 сентября 2025 в России появилась возможность установить самозапрет на оформление новых SIM (через Госуслуги/МФЦ). Это добровольный запрет, чтобы на ваше имя не могли оформить новую SIM без личного участия. 

Важно: самозапрет снижает риск “оформили новый SIM на вас”, но не отменяет нужду защищать уже существующий номер (PIN у оператора, отказ от SMS-2FA и т.д.). 

4) План на перенос номера (MNP): до / в день переноса / после

4.1 За 7–8 дней до даты переноса (самое важное окно)

  1. Переведите ключевые аккаунты (почта, банк, Госуслуги, мессенджеры) с “SMS-входа” на более устойчивые варианты (аутентификатор/passkey/push).
  2. У оператора: PIN/пароль на обслуживание + запрет перевыпуска без личного участия (если доступно).
  3. Сделайте “инвентаризацию”:
    • Какие сервисы привязаны к номеру?
    • Где номер стоит как единственный способ восстановления?

4.2 В день переноса

  • Закладывайте возможный технический перерыв (до 30 минут исходящая и до 6 часов входящая связь/сообщения). 
  • Не планируйте в этот период критичные операции, где “нужен SMS-код”.
  • После восстановления связи проверьте:
    • входы в почту (журнал устройств/сессий),
    • банковское приложение (уведомления/подключенные устройства),
    • мессенджеры (подключенные устройства).

4.3 В течение недели после переноса

  • Проверьте, что все способы входа/восстановления актуальны, и номер нигде не остался “единственным ключом”.
  • Снова включите защитные опции уже у нового оператора (PIN и т.п.).

5) Аварийный режим: что делать, если SIM уже “поменяли за вас” (SIM-swap)

5.1 Типичные признаки

  • Внезапно “нет сети”, хотя вокруг у людей всё работает.
  • Вы не можете звонить/принимать звонки, SMS не приходят.
  • Приходят уведомления от сервисов о входе/сбросе пароля, которые вы не делали.

5.2 Первые 10 минут — порядок действий

  1. Оператор (с другого номера):
    • Попросите экстренно заблокировать номер и операции и выяснить, была ли замена SIM или перенос.
    • Попросите поставить максимальные ограничения на действия с номером (PIN, только личный визит и т.п.).

    Скрипт (можно читать с листа):

    Здравствуйте. Я владелец номера +7XXXXXXXXXX.
У меня внезапно пропала связь, подозреваю мошенническую замену SIM/перенос номера.

Прошу:
1) Срочно заблокировать любые операции с номером (замена SIM, eSIM, перенос).
2) Подтвердить: были ли операции по номеру за последние часы (что именно, время, канал — салон/поддержка/онлайн).
3) Оформить заявку на возврат контроля владельцу и установить PIN/запрет операций без личного присутствия.
  2. Почта (это ваш “мастер-ключ”):
    • Зайдите в почту с компьютера/резервного устройства.
    • Смените пароль.
    • Выйдите со всех устройств (logout everywhere).
    • Проверьте “правила пересылки/фильтры/доверенные устройства”.
  3. Банк:
    • Позвоните в банк и попросите временно ограничить операции, пока идёт восстановление номера.
    • Попросите перевести подтверждение операций на приложение/push (если возможно).
  4. Мессенджеры:
    • Включите/проверьте дополнительный пароль (двухшаговая проверка).
    • Отключите незнакомые устройства/сессии.

5.3 В первые сутки

  • Получите у оператора подтверждение факта и времени операции (замена SIM/перенос). Это пригодится банку при разборе спорных транзакций.
  • Пройдитесь по важным сервисам и смените пароли, где вход мог быть через SMS.
  • Проверьте “историю входов” в почте/облаке/соцсетях.

5.4 На будущее (чтобы не повторилось)

  • Сделайте SMS “запасным вариантом”, а не основным, которым будет аутентификатор/passkey/push.
  • У оператора закрепите PIN/запрет операций без личного участия (и не сообщайте PIN никому).
  • Минимизируйте количество аккаунтов, привязанных к номеру — это тоже отмечают как разумную практику против SIM-swap. 

6) Отдельный вопрос: “Надо ли что-то делать у бывшего оператора при переносе?”

Про карты — нет. Оператор не управляет вашими банковскими картами.

Про безопасность номера — да, обязательно до переноса:

  • PIN/пароль на обслуживание и запрет операций без личного участия — это “замок на дверь”.
  • Проверка дополнительных SIM/eSIM и отключение лишнего — это “убрать запасные ключи”.

7) Три вопроса читателю (проверьте себя)

  1. Если мой номер пропадёт на 6 часов — я смогу войти в почту без SMS?
  2. У оператора стоит PIN/запрет перевыпуска без личного участия?
  3. В банке можно подтверждать операции в приложении, а не “кодом из SMS”?
on
Ярлыки:

среда, 31 декабря 2025 г.

SMS-атаки: миф или реальность?

«У меня же подтверждение по SMS — кто меня будет ломать?»

SMS-код — лучше, чем ничего, но слабее, чем аутентификатор и passkeys. Разберём, какие атаки реальны для всех, а какие — для тех, на кого целятся намеренно.

Как уводят доступ через SMS

🔹 Выманивают код — грозит всем Звонок: «Это банк, продиктуйте код» или «Мама, срочно скинь». Поддельный сайт по ссылке из SMS/мессенджера: выглядит как настоящий, но код уходит мошенникам. Не ломают систему — ломают человека. Это самый частый сценарий.

🔹 Получают доступ к телефону — общий для всех риск Вирус читает SMS и уведомления или подменяет экран ввода. Или телефон оставлен разблокированным — за минуту можно прочитать код и подтвердить вход. Риск выше, если ставишь сомнительные приложения, переходишь по подозрительным ссылкам, оставляешь телефон без присмотра.

🔹 Перевыпуск SIM — чаще целевая атака Мошенник «забирает» твой номер (твоя SIM перестаёт работать, его — начинает) через салон связи или поддержку оператора. Это не массовка — нужны усилия, иногда деньги или связи. Применяют против тех, у кого есть что взять.

🔹 Перехват SMS через сеть оператора — атакуют VIP персон Нужен доступ к инфраструктуре оператора. Дорогой инструмент для очень целевых атак. Против обычного человека — экономически бессмысленно. При этом для крупных руководителей - это реальная угроза, особенно при путешествиях за границу.

Когда риск выше

Выманивание кода грозит всем — тут защита одна: никому не говорить код и не вводить его на незнакомых сайтах.

Перевыпуск SIM и перехват через сеть редки, но становятся реальнее, когда к номеру привязаны: — банк, карты, инвестиции, крипта — маркетплейсы, доставка, такси — рабочие доступы к данным или сервисам — публичность (канал, блог, медийность) — всё завязано на один номер и одну почту

Правило простое: чем больше у вас денег, важных доступов и публичности — тем выше шанс, что будут «дожимать» всерьёз.

📱 План защиты

1️⃣ Замени SMS на аутентификатор Любой известный — например, Google Authenticator, Microsoft Authenticator, Яндекс Ключ. SMS оставь только там, где альтернативы нет.

2️⃣ Код = тайна. Всегда. Никто не должен «уточнять код». Если ты сам не начинал вход и тебя просят назвать код — это развод. Не вводи код по ссылке — только в приложении или на сайте, куда пришёл сам.

3️⃣ Защити SIM от перевыпуска На Госуслугах включи запрет на оформление новых SIM-карт (раздел «Сим-карты» → «Запрет на оформление договоров связи»). Снять можно только через МФЦ — это защита от мошенников. Дополнительно: у оператора поставь кодовое слово на перевыпуск и перенос номера.

4️⃣ Включи уведомления Вход, смена пароля, смена контактов, отключение 2FA — уведомления на всё.

5️⃣ Почта — главный вход Отдельный сложный пароль + 2FA. Проверь пересылки, резервные адреса, активные сессии.

6️⃣ Максимум — passkeys Вход без пароля: подтверждение на устройстве лицом, пальцем или PIN. Самый устойчивый к фишингу вариант из массово доступных. Проверь в настройках безопасности своих сервисов.

⚡ С чего начать? Сделай пункт 4 прямо сейчас. Пункт 2 — держи как правило. Пункт 3 — сегодня.

Вывод

SMS-подтверждение — хорошо, но и не идеально.

Минимум: не отдавай коды + уведомления + защита SIM. Лучше: аутентификатор. Идеально: passkeys.

Cохрани и перешли близким — в праздники особенно актуально.

@safebdv

А вы уже перешли с SMS на аутентификатор? Напишите в комментах 👇

on
Ярлыки:

суббота, 20 декабря 2025 г.

Практика Румельта для ИБ-вендоров: 3 типовых препятствия и как из них сделать стратегию

 

Практика Румельта для ИБ-вендоров: 3 типовых препятствия и как из них сделать стратегию


В первом посте я писал, что стратегия по Румельту — это не список целей, а способ пробить одно ключевое препятствие.
И здесь я от теории перейду к практике. Ниже три препятствия, которые я чаще всего вижу у ИБ-вендоров. Узнаете себя — отлично: это материал для диагноза.

Важно: если вы узнаёте себя сразу во всех трёх — это нормально. Но по Румельту нужно выбрать одно главное препятствие на ближайший цикл. Быстрый критерий: какое препятствие объясняет больше всего ваших симптомов одновременно?

Препятствие №1. Интеграции и «невидимая цена внедрения» (time-to-value убивает PoC)

Симптомы:

  • PoC тянется 2–6 месяцев и “умирает по дороге”.

  • Заказчик говорит: «интересно, но ресурсов нет».

  • Пресейл перегружен “ручными” интеграциями и "доработкой напильником".

Механизм (диагноз):

  • Ценность проявляется только после набора интеграций/настроек.

  • Внедрение не повторяемое: каждый проект как новый.

  • Вендор продаёт продукт, а заказчик покупает проект (со сроками и рисками).

Провокационные вопросы:

  • На каком шаге PoC чаще стопорится: доступы, сбор логов, коннекторы, нормализация, правила, отчёты, интеграции с ИТ или сетью?

  • Сколько человеко-дней нужно, чтобы показать первую ценность?

Пример направляющей политики:

  • «Стандартизируем внедрение: типовые сценарии, готовые интеграции, шаблоны, “первая ценность за N дней”».
    Запрет: «Доработки вне roadmap — только если он становится типовым пакетом».

Препятствие №2. Размытый ICP и продажа “всем” (воронка полная, а побед мало)

Симптомы:

  • Много лидов, низкий win-rate.

  • Споры “кому это нужно” между продуктом/продажами/маркетингом.

  • Продукт превращается в «комбайн» под все отрасли.

Механизм (диагноз):

  • Нет жёсткого профиля “наш клиент” → нет точного ценностного сообщения → ресурсы распыляются.

  • Сделки заходят в пилот без понятного критерия успеха.

  • Включается иллюзия: “добавим ещё фичу — и купят”.

Провокационные вопросы:

  • В каких 2–3 сегментах у вас реально повторяются сделки (быстрее цикл, выше чек, проще внедрение)?

  • Какая общая черта у ваших реальных побед (а не у красивых лидов)?

Пример направляющей политики:

  • «Фокус на 2–3 ICP/вертикали, где ценность проявляется быстро и повторяемо».
    Запрет: «Не делаем “универсальные фичи для всех”, если они не усиливают выбранные ICP».

Препятствие №3. Доверие и доказательность эффективности (без “доказуемости” нет масштабирования)

Симптомы:

  • Возражения: «а вы точно детектите?», «а что с ложными срабатываниями?», «а стабильность?».

  • Долгие согласования у безопасников/архитекторов/эксплуатации.

  • Проигрыши “брендам” даже при сопоставимой функциональности.

Механизм (диагноз):

  • Покупатель боится операционного риска из-за нестабильности: “поставим — и будем страдать”.

  • Нет доказательной базы: измеримые кейсы, контрольные сценарии, эталонные тесты, референсы, эксплуатационные метрики.

  • В результате покупают не продукт, а доверие к бренду.

Провокационные вопросы:

  • Что для вас является доказательством: бенчмарки, сценарные тесты, референсы, метрики на проде?

  • Какие 3 вопроса задают на каждой второй сделке — и чем вы отвечаете в цифрах?

Пример направляющей политики:

  • «Строим доказательность: стандартные тест-сценарии, прозрачные метрики качества, референсные внедрения, эксплуатационные SLO».
    Запрет: «Не гонимся за “галочками в RFP”, если они ухудшают стабильность/качество/внедряемость».

Как применить это за 30 минут (мини-сессия)

  1. Выберите одно препятствие из трёх (или своё).

  2. Сформулируйте диагноз одной фразой:
    «Главное препятствие: ___, потому что ___».

  3. Сформулируйте политику и запрет:
    «Мы делаем ___, чтобы ___; поэтому мы НЕ делаем ___».

  4. Выпишите 3 согласованных действия (с владельцем и кварталом).

Вопрос в комментарии

Какая из трёх проблем вам ближе: интеграции/time-to-value, размытый ICP, доказательность/доверие?
Или назовите своё препятствие — я готов подумать, какая направляющая политика под него сработает. Мне интересно, ведь я только что защитил диссертацию по этой теме.

on
Ярлыки: ,
Место: Москва, Россия

Стратегия по Румельту: почему у большинства ИБ-вендоров её нет

 

Стратегия по Румельту: почему у большинства ИБ-вендоров её нет

Каждый год компании тратят недели на «стратегические сессии», а потом живут как жили. Ричард Румельт дал мне инструмент, который превращает разговоры “обо всём хорошем” в конкретный план действий за 10–30 минут. Ниже — понятная схема и шаблон.

30 слайдов про «цифровой суверенитет» и 12 KPI — это не стратегия. Это PowerPoint-успокоительное, которое не управляет ни одним нашим решением.

Ричард Румельт (профессор UCLA, автор Good Strategy / Bad Strategy) предлагает простую проверку:

стратегия — это не цели, а способ пробить одно ключевое препятствие.

Хорошая стратегия — это «ядро» из трёх частей:

Шаг 1. Диагноз: найдите точку слома

Диагноз — это не «нужно больше внедрений». Это конкретный ответ: что именно ломается в механизме.

Задайте себе вопросы (лучше — на материале реальных сделок и внедрений):

  • где ломается конверсия PoC → контракт?

  • почему клиенты не продлеваются после первого года?

  • во что реально упирается рост: регуляторика (ФСТЭК/ФСБ), дефицит инженеров, архитектура, партнёрский канал?

Пример (вымышленный, но узнаваемый):
«Множество PoC по SIEM застревают на интеграции с российскими системами: у заказчика нет 2–3 инженеров на 3–6 месяцев, а у вендора коннекторы делаются как кастом “вручную” под каждого. Итог: пилот не превращается в контракт».

Важно: диагноз — это механизм, а не жалоба.

Возьмите вашу последнюю потерянную сделку. На каком конкретном шаге клиент сказал “стоп”?
Это и есть точка для диагноза.

Шаг 2. Направляющая политика: создайте «коридор» для решений

Направляющая политика — это не лозунг и не цель. Это выбранный подход + ограничения, чтобы сотни решений принимались согласованно — без ежедневного «идём к гендиру».

Жёсткий тест Румельта: если политика ничего не запрещает — это не политика.

Пример:
«Переходим на шаблонное развёртывание и интеграции “из коробки” (API + типовые пакеты) для типовых сценариев».
Запрет: «Не делаем кастомные коннекторы вне roadmap — даже если клиент предлагает +30% к бюджету (иначе масштабируемости не будет)».

Шаг 3. Действия: сшейте отделы в один поток создания ценности

Третья часть — согласованные действия. Не «каждый отдел тянет в свою сторону», а один коридор.

Пример того, как это выглядит в компании:

  • Продукт (Q1): создаем библиотеку Terraform/Ansible-модулей + типовые интеграции.

  • Пресейл (Q1): продаём не список фич, а демонстрацию ценности для заказчика (развёртывание за часы).

  • Маркетинг (Q2): описываем теперь кейсы «PoC → прод за 2 недели», а не «100500 правил/сек».

Быстрый тест вашей «стратегии» (3 вопроса)

➡ Можно ли одной фразой сказать, какое препятствие ломает политика?
➡➡    Если нужно 5 минут контекста — политика размыта.

➡ Сужает ли политика пространство допустимых действий?
➡➡    Если после неё “всё равно можно всё” — это халтура, а не стратегия.

➡ Она реально сшивает продукт / продажи / инженерию?
 ➡➡   Если звучит «обо всём хорошем» — это и есть “плохая стратегия”.

Инструмент внедрения: рабочая сессия на 30 минут

Чтобы это не осталось “умным текстом”, вот формат сессии, который реально запускается:

10 минут: каждый независимо пишет свой вариант «главного препятствия» (1 стикер = 1 препятствие).
10 минут: обсуждаем, группируем, голосуем за ОДНО препятствие.
10 минут: заполняем шаблон ниже.

Мини-шаблон (заполнить и повесить на стену)

Diagnosis:
«Главное препятствие: ___, потому что ___ (механизм)».

Guiding policy:
«Наш подход: ___, чтобы преодолеть ___».
«Границы: мы НЕ делаем ___, даже если ___, потому что ___».

Coherent actions:
«Действие 1 → Действие 2 → Действие 3»
(+ владелец и квартал)

Практика: самый честный вопрос

Что одно реально держит вашу систему прямо сейчас: рынок / продукт / цикл разработки / внедрение / канал / доверие?
Назовите одно — и проверьте: это причина или симптом.

P.S. Если у вас есть «стратегия развития СЗИ», но нет ответа на вопрос:
«Какие 3 вещи мы НЕ делаем в 2026, даже если конкуренты делают?» — у вас нет стратегии.
У вас есть новогодние пожелания друг другу.

С наступающим! 🙂

Напишите в комментариях одну вещь, которую ваша компания “перестала делать” ради фокуса — и что это дало.
Или поделитесь вашим «препятствием» — вместе подумаем, какую политику для него построить.

on
Ярлыки:

воскресенье, 14 декабря 2025 г.

Как хакеры проникают в компании в 2025 году: что должен знать каждый руководител

Практическое руководство для тех, кто не хочет стать следующей жертвой


Представьте: утро понедельника, вы приходите в офис, а вся IT-инфраструктура компании заблокирована. На экранах — требование выкупа в криптовалюте. Бухгалтерия не работает, клиентская база недоступна, производство остановлено. Это не сценарий фильма — это реальность, с которой в 2025 году столкнулись тысячи компаний по всему миру.

Сегодня я запланировал рассказать вам простым языком: как именно злоумышленники попадают внутрь корпоративных сетей и что с этим делать.

Главное изменение: хакеры больше не взламывают — они входят

Ещё три года назад типичная атака выглядела так: сотрудник открывал заражённое письмо, на компьютер устанавливался вирус, и дальше начиналась «классическая» работа хакеров.

В 2025 году всё изменилось. В 79% случаев злоумышленники вообще не используют вредоносные программы. Они просто входят в систему как легитимные пользователи — с настоящими логинами и паролями ваших сотрудников.

Почему так произошло? Компании научились ловить вирусы. Антивирусы стали умнее, системы мониторинга — внимательнее. Но украденный пароль системой безопасности не распознаётся как угроза — ведь это «свой» пользователь.

Четыре главных способа проникновения

Дальше »
on
Ярлыки: , ,

суббота, 6 декабря 2025 г.

Будущая модель защиты компании от киберугроз (2025→2030): три уровня

Рассмотрите три уровня и на каждом рассмотрите важные цели

1. Стратегический уровень — что должно быть в бизнес-процессах.
2. Технологический уровень — какие технологии реально будут защищать.
3. Человеческий уровень — какие роли становятся критичными и почему.



1. Стратегический уровень (процессы, управление, архитектура)

1.1. Управление рисками как непрерывный процесс

  1. Определить единый риск-каталог:

    • технологические риски

    • бизнес-риски

    • риски ИБ

    • риски сторонних поставщиков

  2. Внедрить количественные модели оценки:

    • FAIR

    • MITRE C-SCRM

  3. Ввести регулярные циклы пересмотра риска:

    • ежеквартальные «risk-adjustment cycles»

    • интеграция с бюджетированием

  4. Интегрировать риск-показатели в OKR продуктов и владельцев процессов.

1.2. Процесс непрерывного обнаружения и реакции

  1. Создать единую архитектуру телеметрии:

    • identity

    • endpoint

    • cloud

    • network

    • SaaS

  2. Внедрить playbook-автоматизацию (SOAR 2.0):

    • ≥ 40% рутины закрыто автоматикой

  3. SOC Future Model:

    • L1 исчезает → заменён ML/LLM

    • L2 = triage + hunch-based hunting

    • L3 = эксперты по TTP, облаку и identity

  4. Zero-trust по умолчанию:

    • каждый доступ = проверка

    • каждый ресурс = сегмент

1.3. Процессы защиты цепочек поставок (supply-chain)

  1. Полный SBOM для всех продуктов и CI/CD.

  2. Политики для open source:

    • запрет «непроверенных» пакетов

    • обязательный static + behavioral анализ

  3. Непрерывный monitoring third-party:

    • VRM Tier-1 → ежедневный

    • VRM Tier-2 → еженедельный

    • VRM Tier-3 → ежеквартальный

1.4. Data-centric защита

  1. Классификация данных = обязательный шаг в любом проекте.

  2. Data Perimeter:

    • контроль, куда данные могут уходить

    • запрет «теневых» SaaS

  3. Политики идентичности для данных:

    • кто может использовать

    • кто может экспортировать

1.5. Governance для AI (новый обязательный блок)

  1. Политика использования LLM / AI:

    • что можно

    • что запрещено

  2. AI Risk Register.

  3. Контроль промтов и логирование.

  4. AI-security гейт для релизов:

    • eval модели

    • проверка на jailbreak

    • тесты на утечку информации

2. Технологический уровень (инструменты, которые реально будут защищать)

2.1. Identity-first Security

  1. Passwordless + FIDO2

  2. Continuous Adaptive Trust (CAT)

  3. Machine Identity Management

  4. Privilege Access Management (PAM 2.0)

Почему важно:
95% всех успешных атак в 2024–2025 мошенники подделывали учетные данные чтобы их идентифицировали как легитимного сотрудника (данные из Microsoft + CrowdStrike).

2.2. AI-поддерживаемые средства защиты

  1. Detection AI:

    • корреляция миллиарды событий без ручного правила

  2. Generative IR (LLM в SOC):

    • автоматический разбор инцидента

    • drafting уведомлений

  3. AI-based anomaly detection (cloud + network):

    • необычные пути доступа

    • подозрительные токены

  4. AI-red teaming:

    • поиск слабостей в конфигурации

    • имитация атак уровня APT

Вывод:
AI становится не «фичей», а ядром обороны.

2.3. Cloud Native Security

  1. CSPM / DSPM / CIEM

  2. Runtime-защита контейнеров

  3. Identity Graph в облаке

  4. Unified Cloud Threat Detection (Google / Wiz подход)

Это становится must-have, потому что 70% атак в 2025 происходят через облачные misconfigurations.

2.4. Zero Trust Connectivity

  1. ZTNA 2.0

  2. SDP (software-defined perimeter)

  3. Micro-segmentation в SaaS и облаке

2.5. Supply-chain защиты

  1. SLSA 1–4

  2. Behavioral контроль артефактов

  3. NPM/PyPI monitoring + interdiction

  4. Dependency policy-engine в CI/CD

ReversingLabs показывает:
70% supply-chain атак — это вредонос в зависимости.

2.6. Защита от шифровальщиков

  1. Immutable backup

  2. Fast restore (< 4 часа SLA)

  3. Identity hardening (AD/AzureAD)

  4. Network containment automation

3. Человеческий уровень (роли и компетенции будущего)

3.1. Identity инженеры

Самая дефицитная роль по данным CyberArk и SailPoint.

Требования:

  • протоколы (OIDC/SAML/Kerberos/SCIM)

  • управление токенами

  • управление machine identities

  • настройка адаптивного доступа

3.2. Cloud Security Engineers

Компетенции:

  • CSPM / DSPM / CIEM

  • Kubernetes runtime

  • IAM в AWS/GCP/Azure

  • threat hunting в облаке

3.3. Threat Hunters нового типа

Навыки:

  • осознание TTP APT групп

  • работа с огромными графами телеметрии

  • работа с ML/LLM для ускорения аналитики

3.4. AI Governance / AI Security Engineers

Новая критичная роль.

Задачи:

  • контроль использования LLM

  • тестирование моделей на jailbreak

  • защита данных от утечек через AI

  • мониторинг промтов

  • policy-based guardrails

3.5. SecDevOps / Supply-chain инженеры

Фокус:

  • SAST + SCA (advanced)

  • поведенческий анализ зависимостей

  • контроль артефактов

  • build system hardening

3.6. Digital Forensics / Incident Commanders

От них зависит уменьшение «времени жизни» атакующего в системе (dwell time).

Компетенции:

  • автоматизированные расследования

  • IR в облаке

  • протоколы цифровой атрибуции

4. Итоговая модель (коротко и жёстко)

4.1. Что будет защищать нас в будущем — процессы

  1. Identity-first security

  2. Непрерывный threat detection (AI-assisted)

  3. Защита цепочки поставок и CI/CD

  4. Data Perimeter + минимизация данных

  5. Governance для AI

  6. Cloud-native security как «основной столб»

4.2. Что будет защищать — технологии

  1. AI-поддерживаемый SOC

  2. Zero Trust (ZTNA 2.0)

  3. CSPM/DSPM/CIEM

  4. SBOM + SLSA

  5. Runtime container security

  6. Identity-платформы (IAM/PAM/MIM)

4.3. Кто будет защищать — люди

  1. Identity-инженеры

  2. Cloud security инженеры

  3. Threat hunters уровня L3

  4. AI Security инженеры

  5. SecDevOps инженеры

  6. IR/DFIR лидеры

on
Ярлыки: ,

пятница, 5 декабря 2025 г.

Почему атаки через подрядчиков стали главным риском 2025 года

За последние 10 лет мы видим сотни инцидентов в стиле SolarWinds, MOVEit, Okta, Kaseya, LastPass, 3CX.

Но если посмотреть на эти события не как на хаос, а как на данные — появляется четкая закономерность.

Вот 5 паттернов атак через подрядчиков, которые повторяются снова и снова.

1. Чем ближе подрядчик к “внутренностям” компании — тем выше ущерб

Самые разрушительные инциденты происходят не через «хакерский софт», а через компании, которые:

  • обновляют ПО, как это было с SolarWinds, MOVEit, Log4j

  • обслуживают ИТ, как это было с Kaseya и многими Managed Security Providers (MSP) через Remote Monitoring and Management (RMM)

  • имеют доступ техподдержки, как это было с Okta, Twilio

  • делают аудит и консалтинг, например было с Deloitte

Модель простая:
доступ подрядчика → обход всей вашей защиты → тихая компрометация.

Потому что подрядчик = “доверенный внешний сотрудник без бейджа”.

2. Взломы MSP и RMM создают эффект домино: один взлом → сотни компаний падают

Kaseya VSA (2021), Latitude (2023), DragonForce SimpleHelp (2025): все шаги одинаковы

  1. Взламывают одного MSP.

  2. Он имеет доступ к своими 100–1500 клиентов.

  3. Компрометация распространяется автоматически на всех!

Это мультипликатор риска, когда одна уязвимость превращает атаку в эпидемию.

3. Обновления ПО — новый периметр атаки

SolarWinds → 18 000+ организаций
MOVEit → 2 773 компании, 95.8 млн человек
Log4j → затронула 93% корпоративных облаков
Codecov → скомпрометированы Atlassian, P&G, Tile, Webflow

Это не случайность - это уже модель атаки: хакеры внедряются в цепочку разработки или обновлений, а потом тихо распространяются на всех клиентов.

4. Человеческий фактор подрядчиков бьёт любую технологию

Взломы Twilio, Okta, Deloitte - все три случая начинались с одного: сотрудник подрядчика попался на фишинг.

Итог:

  • Twilio → доступ к данным Uber, Facebook и десятков компаний

  • Okta → украдены HAR-файлы (токены сессий)

  • Deloitte → доступ к глобальной e-mail инфраструктуре и данным Fortune 500

  • RSA → злоумышленники получили доступ к seed values - секретным ключам, которые используются в токенах SecurID для генерации одноразовых кодов  → пришлось заменить 40+ млн токенов по всему миру

Самое уязвимое звено - не ваш сотрудник, а сотрудник подрядчика, которого вы даже не знаете.

5. Каскадные цепочки взломов — новый тренд 2023–2025

3CX / X_TRADER (Lazarus) и LastPass стали первым задокументированным примером: 1 атака на одного подрядчика → заражение второго подрядчика → инфраструктура основной компании.

Это новый уровень угроз: не просто supply chain, а supply-chain².

Итоговая картина

Если собрать все кейсы (SolarWinds → MOVEit → Okta → Kaseya → LastPass → 3CX → Latitude → DragonForce), мы видим устойчивые закономерности:

✔ Злоумышленники бьют не по компаниям, а по экосистемам

Они выбирают точку, через которую можно войти сразу в сотни организаций.

✔ Наибольший риск — MSP, RMM, DevOps-процессы и цепочки обновлений

Код, доступ, ключи — всё там.

✔ Триггер большинства инцидентов — подрядчик с завышенными правами

И отсутствие контроля поведения: не было MFA, аудита, токенизации, принципа минимальных привилегий.

✔ Человеческий фактор подрядчика = самый частый вектор

Фишинг, украденные ключи, скомпрометированные личные аккаунты.

✔ Вторичные и каскадные компрометации — новая реальность 2025

LastPass → DevOps engineer home computer → master password
3CX → X_TRADER → build environment

Почему это важно директору или владельцу бизнеса

Почти все крупные инциденты последних 5 лет происходили не через вас.

Они происходили вокруг вас.
Через тех, кому вы доверяете.
Через тех, кого вы даже не контролируете.

Это и есть главная угроза 2025 года.

on
Ярлыки:

пятница, 28 ноября 2025 г.

Стратегия восстановления доверия на рынке вторичной недвижимости РФ: Технологические решения и экономическое обоснование

 

Кризис российского рынка вторичной недвижимости: технологические решения для восстановления доверия

Масштаб катастрофы

Российский рынок вторичного жилья переживает беспрецедентный кризис доверия. В судах рассматривается порядка 250 000 дел по оспариванию прав на недвижимость, затрагивающих более полумиллиона человек. По делам об оспаривании сделок с недвижимостью удовлетворяется от 45 до 77% исков, что означает: каждый второй покупатель, столкнувшийся с судебным спором, рискует потерять всё.

Проблема не в объёмах — оспаривается небольшой процент от 1,5 миллиона ежегодных сделок. Проблема в том, что более 3000 семей ежегодно остаются без жилья, причём многие теряют не только квартиру, но и деньги. Для рынка, где недвижимость часто является единственной крупной покупкой в жизни человека, такая статистика означает паралич.

Экономика кризиса: 3000 семей при средней цене квартиры 8 млн рублей — это 24 млрд рублей прямых потерь ежегодно. С учётом социальных издержек, судебных расходов и экономического ущерба от замораживания рынка общая цифра достигает 40-50 млрд рублей в год.

Реальные последствия: отток покупателей

Масштаб недоверия к вторичному жилью отражается в статистике покупательских предпочтений. По данным Домклик, доля готового жилья (вторички) в ипотечных сделках демонстрировала драматические колебания: в 2024 году она сократилась с 62,8% до 30,8%, что стало прямым следствием медийных скандалов с оспариванием сделок. Хотя в 2025 году сегмент частично восстановился до 56%, волатильность показывает хрупкость доверия к рынку.

Покупатели массово уходят в новостройки, где риски оспаривания минимальны, что создаёт дисбаланс на рынке и приводит к падению ликвидности вторичного жилья.

Лица кризиса: реальные истории

Дальше »
on
Ярлыки:

суббота, 22 ноября 2025 г.

Value Proposition Canvas: как показать ценности в ИТ-продуктах

Value Proposition Canvas: какпоказать ценности в ИТ-продуктах

Value Proposition Canvas: декомпозиция ценности и институциональная логика в сложных ИТ-продуктах

Как перевести абстрактные представления о пользе продукта в формализованную логику
Модель Value Proposition Canvas (VPC), разработанная А. Остервальдером, является важнейшим инструментом анализа ценности в продуктах, где функциональность сама по себе не является гарантией востребованности. Для сложных ИТ-продуктов — особенно в сфере кибербезопасности — это критически важно, поскольку покупатель не оценивает функцию, а оценивает институциональные последствия, которые эта функция обеспечивает.

VPC позволяет структурировать такие последствия и перевести абстрактные представления о «пользе продукта» в формализованную логику.

Модель состоит из двух частей: профиля клиента и карты ценности. Профиль клиента включает три элемента: Jobs (работы, которые нужно выполнить), Pains (страхи, боль, препятствия) и Gains (желаемые выгоды). Карта ценности описывает то, как продукт помогает выполнять работы, устраняет боли и создаёт выгоды.

В контексте сложных ИТ-продуктов Jobs, Pains и Gains имеют гораздо более строгую, институциональную природу, чем в классических B2C-сервисах.

1. Jobs: институциональные задачи, а не функции

В корпоративной ИТ-среде «работа» продукта почти никогда не сводится к отдельной функции. Клиент «нанимает» сложный ИТ-продукт для выполнения глубоких организационных задач:

  • обеспечить соответствие требованиям ФСТЭК, ФСБ или Банка России;
  • снизить вероятность инцидента и репутационных потерь;
  • повысить эффективность SOC и снизить нагрузку на аналитиков;
  • обеспечить наблюдаемость и управляемость трафика;
  • сократить время расследования инцидентов;
  • стандартизировать процессы реагирования.
Иначе говоря, работа продукта — это всегда институциональная трансформация, а не ограниченный технический эффект. Это делает VPC особенно полезным: она позволяет связать продукт с реальными задачами конкретного контекста эксплуатации.

2. Pains: структурные барьеры и системные ограничения клиента

В сфере сложных ИТ-продуктов Pains — это не «неудобства», а серьёзные препятствия, влияющие на устойчивость инфраструктуры:

  • высокий уровень ложноположительных срабатываний;
  • сложность настройки и эксплуатации;
  • недостаточность компетенций внутренних команд;
  • трудности интеграции с SIEM, SOAR, IRP, CMDB;
  • длительные простои при обновлениях;
  • рост TCO из-за неэффективной архитектуры;
  • риски регуляторного несоответствия и санкций начальников.

Эти боли не являются субъективными — они институциональны, то есть закреплены в процессах, нормативных требованиях и последствиях инцидентов. Для сложного ИТ-продукта устранение pains часто определяет его рыночную жизнеспособность в большей степени, чем набор функций.

3. Gains: ценность как снижение рисков и рост управляемости

Gains в сложных ИТ-продуктах почти всегда носят характер организационного улучшения. Типичные Gains включают:

  • снижение регуляторных рисков;
  • повышение прозрачности инфраструктуры;
  • сокращение нагрузки на SOC и NOC;
  • уменьшение стоимости владения;
  • прогнозируемость работы продукта;
  • упрощение аудитов и аттестаций.
Здесь важно отметить: Gains не связаны с эмоциями или удобством, как в B2C, — они связаны с управляемостью, устойчивостью и предсказуемостью. Это делает VPC мощным инструментом для ориентации разработчиков и менеджеров на реальные эффекты.

4. VPC как инструмент для инженерных и продуктовых решений

В отличие от стратегических моделей, VPC работает на уровне конкретных функциональных решений:

  • если основной Job — обеспечить соответствие 239-ФЗ → продукт должен включать механизмы защиты, обязательные для аттестации;
  • если Pain — высокие затраты SOC на фильтрацию ложноположительных → продукт должен иметь высокоточную аналитику;
  • если Gain — снижение TCO → архитектура должна обеспечивать экономию на эксплуатации.

Таким образом, VPC связывает задачи клиента с архитектурой, функциональностью, требованиями безопасности и экономикой продукта.

5. Ограничения модели VPC для сложных ИТ-систем

При всех преимуществах, VPC имеет ограничения:

Недостаточная чувствительность к регуляторным требованиям

VPC отражает задачи и боли клиента, но не учитывает жёсткие обязательства регуляторов — а для ИТ-безопасности они часто являются первичным фактором.

Не учитывает архитектурные ограничения

Даже если клиент хочет автоматизацию или ML-аналитику, архитектура продукта может не позволять реализовать их без радикальной перестройки.

Слабая связь с процессным контуром

VPC не показывает, как продукт встраивается в процессы SOC, NOC, DevSecOps, что является ключевым в корпоративной ИТ-среде.

Тем не менее, VPC остаётся фундаментальным инструментом, позволяющим перейти от абстрактных желаний заказчика к структурированному пониманию реальной институциональной ценности.
Литература:
Остервальдер А. Разработка ценностных предложений. Как создать товары и услуги, которые захотят купить. — М.: Альпина Паблишер, 2021. — 324 с.
on
Ярлыки:
Подписаться на: Комментарии (Atom)