Перейти к содержанию

Дмитрий Шмойлов, Kaspersky: О безопасной разработке и о том, как она строится


Рекомендуемые сообщения

Совсем недавно Дмитрий Шмойлов., руководитель отдела безопасности программного обеспечения «Лаборатории Касперского», дал интервью для AM life о безопасной разработке, а именно:

  • о важности взращивания собственных лидеров безопасности (Security Champions)
  • проблемах выявления и устранения уязвимостей
  • плюсах и минусах открытого кода

Читать интервью: https://kas.pr/9e96

  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Из статьи непонятно являются ли участники публичного бета тестирования проводимого на оф форуме Лаборатории участниками программы bug bounty? 

Ссылка на комментарий
Поделиться на другие сайты

Я так понимаю - не являются.

 

Кстати, обратите внимание, на различие в английской и русской версиях текста:

https://support.kaspersky.com/vulnerability/report-a-vulnerability/12429

https://support.kaspersky.ru/vulnerability/report-a-vulnerability/12429

 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, andrew75 сказал:

Я так понимаю - не являются.

Эх, а я стараюсь пятую точку рву свою - баги ищу :) 

Изменено пользователем ska79
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
    • Acteon_927
      От Acteon_927
      Для банков Сбер и ВТБ в безопасных платежах в полях ввода данных исчезли значки вызова экранной клавиатуры. Это нормально или это ошибка? Используется браузер Google Chrome.  Windows 10.
       

    • Fitulka
      От Fitulka
      Уважаемые сотрудники и руководители компании. Работаю материально-ответственным лицом в муниципальной организации, за небольшие деньги, но и спрос такой же. На балансе 560 единиц малоценки. Кто знает тот понимает, кто не знает это столы, стулья и даже куркуляторы дедушки Брежнева. На каждом инвентарный номер. Написанный разными людьми, в разное время, в разном состоянии, разными и даже перманентными маркерами.
      Соответственно инвентаризация проходит по старинке. Один крикнул, второй не услышал, третий забыл и так кругами к светлому будущему. Дня 3-4. 
      Супруга из Казахстана, ее подружка когда услышала что инвентаризация по "совдеповски", удивилась. А что в России не используются QR??? В Казахстане уже везде, по опыту Китая как я понял. 
      Нашел сайт вроде российский. Сделал на 25 штук(один кабинет) кодов. Распечатал на липкой бумаге. Наклеил. Проверил "безопасным сканером" работает без сбоев. Поинтересовался в типографии неубиваемая липкая маркировка 5000р за все. Это предприятие потянет без проблем. Кабинет к слову прошли без проблем и не возвращались к нему за 5 минут я засекал.
      Дело за безопасным сканером который сможет передавать данные на мой сервер PostgreSQL. 
      1. Вопрос- Возможно ли получить API Безопасного сканера?
      2. Вопрос -планирует ли компания развивать "Безопасный QR-сканер" в отдельную программу "Инвентарка" для работы при проведении инвентаризации.  Требуется всего то общи список материалов и оборудования и сканирование QR кодов с удалением или отметками в программе. Ну и конечно же раз уж есть сканер, где "Безопасный генератор QR кодов"?
       
       
       
        
       
    • decadannce
      От decadannce
      Пытаюсь установить Kaspersky, но из раза в раз установка закрывается примерно на 95%, никаких ошибок, просто закрывается и больше не открывается
    • zell
      От zell
      Конкурс о сувенире от Kaspersky!
       
      Декабрь на старте, а это значит - пора готовиться к праздникам и делиться праздничным настроением! Запускаем конкурс, где ваш любимый сувенир от Kaspersky может принести вам ещё больше классных подарков!  
                    
      Многие из вас уже обменяли накопленные в клубе баллы на сувениры из нашего магазина. А если вы только что присоединились к Kaspersky Club - это отличная возможность узнать, какие классные подарки можно получить, участвуя в активностях клуба! 
       

       
      Как принять участие?
      1. Сфотографируйте свой любимый сувенир от Kaspersky.
      2. Расскажите, что делает его особенным для вас: какой сувенир вы выбрали, чем он вас порадовал, какие эмоции вызвал или как пригодился в вашей жизни? Мы ценим ваш креатив и рады любому формату - от пары строк до целой истории!
       
      А если сувенира пока нет? Всё просто! Напишите, какой сувенир вам понравился и почему - пусть ваша мечта вдохновит других! 
       
      Формат участия:
      Работа должна включать:
      - Фотографию вашего сувенира с описанием (или рассказом/историей), либо
      - Ссылку на понравившийся сувенир или его фотографию из магазина нашего клуба, если у вас ещё нет своего сувенира. В этом случае нужно написать оригинальный рассказ о том, почему именно этот сувенир вам понравился и чем он показался вам особенным.
       
      Выбор формата остается за вами, главное - чтобы работа была создана вами лично.
       
      ПРАВИЛА КОНКУРСА
       
      - Конкурсные работы (фотографии и описания или истории/рассказы к ним) должны быть выполнены участником самостоятельно.
      - Если у участника нет собственного сувенира, только в этом случае допускается использование фотографии или ссылки на выбранный сувенир из магазина нашего клуба. При этом необходимо написать рассказ о том, почему именно этот сувенир вам понравился и чем он привлёк ваше внимание.
      - Один участник может представить на конкурс только одну работу.
      - Фотография не обязательно должна быть сделана сейчас. Например, вы можете представить фото из вашего путешествия, если сувенир был с вами, а ваше описание или история связаны с этим событием.
      - Фотография, сделанная вами для конкурса, не должна ранее участвовать в других конкурсах нашего клуба. Исключение - использование фото из магазина клуба, если у вас еще нет собственного сувенира.
      - После завершения приёма работ редактирование или удаление конкурсной работы запрещено в течение 1 месяца.
      - Фотография и описание (или рассказ/история) к ней не должны противоречить Правилам форума.
       
      Важно: если вы создаете работу со ссылкой или фотографией из магазина клуба (в случае отсутствия у вас собственного сувенира), короткое описание не принимается. Необходимо написать оригинальный рассказ.
       
      Где разместить работу:
      - В теме приёма работ на форуме.
      - В комментариях к посту конкурса в Telegram-канале клуба.
      Все работы будут рассматриваться вместе и на равных условиях, независимо от площадки где они были опубликованы.
       
      Сроки проведения конкурса:
      Работы принимаются до 9 декабря 2024 года, 20:00 (по московскому времени).
       
      Кто может принять участие:
      Все зарегистрированные участники клуба "Лаборатории Касперского" и подписчики Telegram-канала клуба. Подписчики Telegram-канала клуба, в случае победы, должны будут зарегистрироваться на форуме клуба для получения награды. Участие организаторов конкурса запрещено.
       
      НАГРАЖДЕНИЕ И ПРИЗОВОЙ ФОНД
       
      Мы подготовили призовой фонд для самых вдохновляющих работ!
      Баллы распределены по местам:
       
      🥇 1-е место - 1000 баллов
      🥈 2-е место - 750 баллов
      🥉 3-е место - 500 баллов
       
      Все остальные участники конкурса, не занявшие первые три призовых места, получат по 200 баллов.
       
      Лучшие работы будут выбраны жюри, состав которого формируется из членов Совета клуба, в течение 10 дней после завершения конкурса. Итоги будут подведены в течение 20 дней с момента завершения голосования членов жюри. Баллы победителям будут начислены в течение 20 дней с момента публикации итогов конкурса.
       
      Если у вас есть вопросы по конкурсу, их можно обсудить в данной теме.
       
      Администрация клуба сохраняет за собой право, уведомив участников, в любое время изменить правила конкурса, перезапустить его или полностью прекратить его проведение. Кроме того, администрация может отказать участнику в получении приза, если будет выявлено его недобросовестное участие (включая подачу работ явно низкого качества, что указывает на стремление участвовать исключительно ради получения поощрительного приза - злоупотребление правом на участие в конкурсе) и/или нарушения правил конкурса. Вопросы, касающиеся конкурса, включая начисление баллов, принимаются в течение 30 дней с момента объявления его результатов.
       
      Участие в конкурсе означает ваше согласие с его правилами.
       
      Но за стандартными правилами скрывается самое главное: 
      В ваших руках - не просто сувенир, а возможность создать конкурсную работу, которая согреет и вдохновит.
      Покажите, чем вам дороги сувениры от нашего клуба, поделитесь мечтами и готовьтесь к праздникам вместе с Kaspersky Club!
       
      Вдохновляйте, участвуйте, выигрывайте! 
       
      Ваш Kaspersky Club.
       
       
       
       
×
×
  • Создать...