Найти в Дзене
Квантово-устойчивая криптография: как бизнесу подготовиться к смене стандартов шифрования
Переход на новые, квантово-устойчивые алгоритмы шифрования — это не теоретическая задача из далекого будущего, а практическая необходимость для бизнеса. В 2024 году Национальный институт стандартов и технологий США (NIST) утвердил первые стандарты постквантовой криптографии (PQC), а с января 2027 года Агентство национальной безопасности США (NSA) вводит обязательное требование к использованию таких алгоритмов для всех новых государственных информационных систем. Схожие рекомендации и сроки устанавливаются и в России...
1 месяц назад
Современная криптография: AES-256, RSA, ECC и квантово-устойчивые алгоритмы
Криптография — это фундамент цифровой безопасности бизнеса. Любая транзакция, корпоративное письмо или файл, переданный через интернет, остаётся защищённым благодаря математическим алгоритмам, подобранным десятилетия назад. Однако развитие квантовых вычислений угрожает разрушить этот фундамент — алгоритмы RSA и ECC, на которых построены практически все современные системы шифрования, могут быть взломаны квантовым компьютером. При этом симметричные алгоритмы, такие как AES-256, при правильном использовании с достаточной длиной ключа останутся устойчивыми даже в постквантовую эпоху...
1 месяц назад
Эволюция угроз A2P и мошенничества в SMS-каналах: почему бизнесу нужна комплексная защита
Application-to-Person (A2P) — это сообщения, которые бизнес отправляет пользователям через автоматизированные системы: одноразовые коды подтверждения, уведомления о транзакциях, информация о доставке. Именно этот канал, изначально созданный для удобства и безопасности, стал одной из главных мишеней для злоумышленников в 2026 году. Глобальные потери от SMS-мошенничества в 2025 году достигли 80 миллиардов долларов, а в 2026-м аналитики прогнозируют их снижение до 71 миллиарда долларов — однако это не повод для спокойствия, а сигнал о миграции угроз в новые, более изощрённые формы...
1 месяц назад
152-ФЗ о персональных данных: что изменилось в 2026 году и какие штрафы за утечку
За первый квартал 2026 года российские компании заплатили сотни миллионов рублей штрафов за нарушения правил обработки персональных данных. С 1 июля 2026 года вводится обязательная сертификация ПО для работы с персональными данными, а штрафы за утечки достигают 500 миллионов рублей. При этом 152-ФЗ — лишь один из нескольких стандартов, которым должен соответствовать бизнес. Ниже разбираются ключевые нормативные требования, актуальные для российских компаний: 152-ФЗ, GDPR, PCI DSS и стандарт Банка...
1 месяц назад
Безопасность облачных сервисов: что бизнес должен знать о защите данных
Количество кибератак на облачные хранилища предприятий продолжает расти. По данным за январь 2026 года, 76% всех атак были направлены именно на облачные сервисы. В таких условиях понимание модели общей ответственности (Shared Responsibility Model) становится критически важным для защиты информации. Модель чётко определяет, где заканчиваются обязательства облачного провайдера и начинается зона ответственности клиента. Ошибка в интерпретации этого разграничения приводит к тому, что компании оставляют свои данные незащищёнными...
1 месяц назад
Аудит информационной безопасности: как проверить защиту компании
По данным BI.ZONE, утечка данных в 2025 году затронула более 60% российских компаний, причём значительная часть инцидентов начиналась с уязвимостей во внешнем периметре, о которых служба безопасности даже не подозревала. Аудит информационной безопасности — это системный подход к выявлению таких уязвимостей до того, как их обнаружат злоумышленники. В статье разбирается, как провести аудит ИБ, какие инструменты использовать и как выстроить процесс, чтобы защита бизнеса была по‑настоящему эффективной...
1 месяц назад
Аудит информационной безопасности через киберучения: как проверить защиту компании
Классическое тестирование на проникновение способно обнаружить конкретную уязвимость в веб-приложении, но не показывает, как поведёт себя вся система защиты при целевой атаке. Учения Red Team против Blue Team моделируют полный цикл вторжения — от разведки до достижения критического актива — и позволяют оценить реальную готовность команды к инциденту. По данным Positive Technologies, в 83 % проектов пентестеры достигли максимальных привилегий в целевой системе. Это указывает на ограниченность стандартных проверок и объясняет растущий интерес бизнеса к формату киберучений...
1 месяц назад
Вредоносное ПО и фишинг в 2026 году: как изменился ландшафт атак на российский бизнес
В январе–апреле 2026 года количество вредоносных программ, нацеленных на российские компании, выросло в 18 раз по сравнению с аналогичным периодом 2025 года. Одновременно число атак с применением социальной инженерии увеличилось на 37,5%, а фишинговых атак — на 16,8%. Эти данные, зафиксированные регуляторами и исследовательскими центрами, формируют новую картину угроз, в которой массированные DDoS уступают место целевым проникновениям с использованием вредоносного ПО и компрометации подрядчиков....
1 месяц назад
SOC центр: как построить центр мониторинга информационной безопасности с нуля
Security Operations Center (SOC) — это не просто комната с мониторами и дежурными аналитиками, а организационная и технологическая структура, отвечающая за непрерывный мониторинг, обнаружение и реагирование на инциденты информационной безопасности. Согласно отраслевым данным, объем мирового рынка SOC продолжает расти: с 7,56 миллиарда долларов в 2024 году ожидается выход на 18,29 миллиарда к 2032 году. Рост числа кибератак и усложнение инфраструктуры делают SOC все более востребованным не только для крупного бизнеса, но и для средних компаний...
1 месяц назад
SIEM система: как выбрать решение для безопасности данных в 2026 году
SIEM-системы (Security Information and Event Management) давно перестали быть просто инструментом для сбора логов. Сегодня это центральный элемент современных SOC (Security Operation Center), обеспечивающий обнаружение угроз, корреляцию событий и автоматизацию реагирования. Согласно отраслевым данным, объём мирового рынка SIEM на начало 2026 года оценивается в 6,25 млрд долларов с ожидаемым ростом до 9,4 млрд к 2030 году. Однако выбор подходящей системы остаётся нетривиальной задачей: многообразие...
1 месяц назад
Защита информации в цепочке поставок: как проверить подрядчиков и не допустить утечку данных
Компрометация одного подрядчика или поставщика программного обеспечения способна открыть злоумышленникам доступ к десяткам и сотням организаций. Такие атаки, как SolarWinds, Kaseya и 3CX, показали, что даже безупречная внутренняя защита не спасает, если уязвимость находится в цепочке поставок. Ниже разбираются ключевые риски, связанные с подрядчиками, и практические меры по их минимизации: от первичной оценки до непрерывного мониторинга и внедрения SBOM. Атаки на цепочки поставок (supply chain attacks)...
1 месяц назад
Защита от DDoS‑атак: как работает и как выбрать сервис для безопасности данных
DDoS-атаки остаются одной из самых доступных и разрушительных угроз для онлайн-бизнеса. При минимальных затратах злоумышленник способен парализовать работу сайта, API или целой инфраструктуры. При этом атаки на разных уровнях сетевой модели требуют принципиально разных подходов к защите. Ошибка в выборе инструмента приводит либо к блокировке легитимных пользователей, либо к пропуску вредоносного трафика. Ниже разбираются ключевые различия между атаками на сетевом/транспортном (L3/L4) и прикладном (L7) уровнях, а также принципы построения автоматизированной эшелонированной защиты...
1 месяц назад