Привыкли фотографироваться, показывая жест «виктория»? Это может быть опасно. Новая технология позволяет хакерам восстанавливать отпечатки пальцев по селфи-снимкам, а затем использовать их для создания подделок с помощью 3D-принтера.
Мако | Иллюстрация | Фото: Создано с помощью искусственного интеллекта
Технологии биометрической идентификации внедряются во все сферы нашей повседневной жизни: от подтверждения личности в банковских приложениях до систем контроля доступа в офисах и на пограничных переходах.
Уникальность отпечатков пальцев долгое время считалась гарантией безопасности, однако развитие искусственного интеллекта (ИИ) ставит под сомнение надежность этого метода.
Эксперты предупреждают: хакеры научились восстанавливать отпечатки пальцев по фотографиям с помощью ИИ.
Продвинутые модели компьютерного зрения (Computer Vision) способны использовать высокое разрешение современных камер смартфонов для извлечения данных об отпечатках пальцев прямо из селфи. Инструменты ИИ преобразуют размытые пиксели в четкие изображения. Исследования в области кибербезопасности подтвердили, что даже обычного снимка с жестом «виктория» (V) перед камерой достаточно, чтобы предоставить злоумышленникам доступ к вашему биометрическому ключу.
Как работает технология кражи
На первом этапе модель компьютерного зрения сканирует изображение и идентифицирует положение руки. Даже если снимок сделан с расстояния нескольких метров, система изолирует кончики пальцев. Затем модели машинного обучения (Machine Learning) очищают фоновые шумы и восполняют недостающие фрагменты, формируя ясное изображение линий отпечатка.
Иллюстрация || Фото: Imagebank/GettyImages
На финальном этапе система переводит восстановленный узор в математический файл. Этот файл достаточно точен, чтобы обмануть большинство биометрических сканеров. Хакеры создают поддельный палец с помощью 3D-принтера или отливают форму из гибких материалов, имитирующих кожу, таких как силикон или клей ПВА. Полевые тесты доказали, что большинство коммерческих сканеров не способны отличить настоящий палец от подобной имитации.
«Мы привыкли считать отпечаток пальца уникальным и секретным паролем, но когда хакеры могут скопировать его дистанционно, биометрическая база теряет свою защищенность», — объясняет Эйнат Борохович, старший специалист по данным в медицинском центре «Рамбам» и выпускница факультета наук о данных и принятии решений Техниона.
Это означает, что злоумышленникам не нужно взламывать защищенные серверы банков или правительственных структур — они собирают информацию, которую пользователи сами публикуют в социальных сетях.
Проблема заключается в необратимости: скомпрометированный пароль можно сменить, а отпечатки пальцев — нет. Теперь ответственность ложится на коммерческие и государственные структуры, которым необходимо модернизировать инфраструктуру безопасности для выявления продвинутых подделок.
Как защитить себя?
Первый шаг — осознанность при съемке. Рекомендуется избегать направления подушечек пальцев непосредственно в камеру с близкого расстояния. При публикации фотографий рук крупным планом, например, для демонстрации украшений, стоит слегка размыть кончики пальцев.
Не полагайтесь исключительно на биометрическую идентификацию для защиты чувствительных данных. Используйте дополнительные методы аутентификации, такие как распознавание лица (Face ID), и всегда активируйте двухфакторную аутентификацию (2FA) через SMS или специализированные приложения (Authenticator). Это создаст дополнительный уровень защиты, который заблокирует злоумышленника, даже если он подделает ваш отпечаток.
Фото: Imagebank / Thinkstock, Thinkstock
В эпоху, когда одна фотография может стать инструментом мошенничества, информационная безопасность зависит не только от сложности паролей, но и от наших повседневных привычек. По мере совершенствования ИИ методы атак становятся все более изощренными, и важно сохранять бдительность.
Компания Astrix разработала платформу для устранения уязвимости в системе безопасности, возникающей из-за того, что агенты искусственного интеллекта или цифровые сотрудники получают неограниченный доступ к корпоративным системам.
Алон Джексон (справа) и Идан Гур, соучредители израильского стартапа Astrix Security, занимающегося разработкой систем безопасности на основе искусственного интеллекта. (Фото предоставлено компанией)
Американский технологический гигант Cisco Systems Inc. договорился о приобретении израильского стартапа в области кибербезопасности Astrix Security, чтобы укрепить свой арсенал средств защиты для противодействия новым угрозам, связанным с быстрым внедрением автономных агентов искусственного интеллекта, сообщили компании во вторник.
Финансовые подробности сделки не были предоставлены, но, по сообщениям израильских СМИ, ее стоимость оценивается в сумму от 300 до 400 миллионов долларов.
Компания Astrix, основанная в 2021 году Алоном Джексоном, генеральным директором, и Иданом Гуром, техническим директором, — оба ветераны прославленного разведывательного подразделения 8200 Армии обороны Израиля, — базируется в Тель-Авиве и разрабатывает программную платформу, которая устраняет уязвимость в безопасности, возникающую из-за того, что агенты искусственного интеллекта или цифровые сотрудники получают неограниченный доступ к корпоративным системам без управления, контроля или управления идентификацией.
«Мы основали Astrix с четким убеждением: идентификационные данные и учетные данные, лежащие в основе современных корпоративных систем — ключи API, сервисные учетные записи, токены OAuth — были опасно недостаточно защищены», — сказал Джексон. «Эти нечеловеческие идентификаторы были повсюду, быстро росли и в значительной степени оставались невидимыми для групп безопасности».
«Мы создали Astrix, потому что считали, что это одна из важнейших нерешенных проблем в области корпоративной безопасности», — сказал Джексон.
Платформа стартапа предназначена для отображения всех агентов ИИ в сети компании. Платформа отслеживает инструменты, которые агенты ИИ используют для автоматизации рабочих нагрузок, включая использование учетных данных для доступа к конфиденциальным данным и выполнения задач в разветвленной сети межмашинных соединений современных предприятий. Она выявляет риски, отслеживая аномальные или вредоносные модели поведения, и реагирует на угрозы безопасности в режиме реального времени.
«То, что начиналось как миссия по обеспечению прозрачности и контроля над нечеловеческими идентификаторами, превратилось в нечто большее: платформу, специально разработанную для эпохи агентного ИИ, где автономные агенты уже работают внутри ваших самых важных систем, обладая привилегированным доступом, оставаясь при этом в значительной степени незамеченными», — сказал Гур. «Этот пробел — следующая большая уязвимость, и его устранение — вот работа, которая имеет решающее значение».
Сделка по приобретению состоялась на фоне стремительной интеграции автономных помощников в существующие программные системы, бизнес-процессы и рабочие процессы. Агентный ИИ или виртуальные ИИ-агенты действуют аналогично интеллектуальным помощникам, используя логическое мышление для принятия решений в режиме реального времени и выполнения сложных задач с минимальным участием человека, таких как сбор и анализ больших объемов данных
«Мы наблюдаем взрывной рост числа агентов искусственного интеллекта, которые уже сейчас меняют цифровое предприятие», — сказал Питер Бейли, генеральный директор подразделения безопасности Cisco. «Вскоре каждый сотрудник организации будет получать поддержку от сети агентов искусственного интеллекта, работающих непрерывно со скоростью машины, получая доступ к данным, принимая решения и действуя от его имени».
«Эти агенты представляют собой совершенно новый класс сотрудников: способных на невероятную производительность, но также способных причинить непреднамеренный вред или совершить злонамеренные действия, если их не защитить. Это новая поверхность атаки, и она растет быстрее, чем большинство организаций предполагают», — предупредил Бейли.
Бейли заявил, что Cisco планирует интегрировать платформу агентного искусственного интеллекта Astrix в свою платформу безопасности для поддержки приложений, основанных на анализе идентификации и принципе нулевого доверия.
«Разрыв между возможностями агента и организационной готовностью увеличивается, — сказал Джексон. — Для его преодоления необходимы платформа, охват и экспертиза, которые обеспечивает это сочетание».
На сегодняшний день компания Astrix, в которой работают 120 человек, привлекла более 85 миллионов долларов инвестиций. В число ее инвесторов входят Menlo Ventures, Bessemer Venture Partners, Workday Inc. и Anthology Fund, инвестиционный фонд, поддерживаемый Anthropic PBC.
Разработанная израильским стартапом технология шифрования ляжет в основу нового предложения MoonPay для институциональных клиентов.
Институциональное подразделение будет обслуживать банки и управляющих активами, используя ключевые инструменты управления Sodot и инфраструктуру MPC.
Криптовалютная компания MoonPay, специализирующаяся на платежах с использованием цифровых активов и обслуживающая более 30 миллионов пользователей по всему миру, приобретает израильский стартап Sodot в рамках сделки, оцениваемой примерно в 100 миллионов долларов. На сегодняшний день Sodot привлекла всего 4,5 миллиона долларов.
Институциональное подразделение будет обслуживать банки и управляющих активами, используя ключевые инструменты управления Sodot и инфраструктуру MPC.
Криптоплатежная компания MoonPay приобрёл Sodot, израильский стартап в области криптобезопасности, в рамках своего плана запуска MoonPay Institutional, нового подразделения, созданного для крупных финансовых институтов, стремящихся получить доступ к криптовалюте.
Новая единица предложит инструменты для торговли, токенизированных ценных бумаг, платежей, управления кошельками и выпуска стейблкоинов. Технология Sodot будет служить ключевым уровнем управления для бизнеса.
В число инвесторов стартапа входят Entrée Capital, возглавившая посевной раунд, а также CMT Digital и DCG, наряду с частными инвесторами Аароном Шнархом (бывшим старшим руководителем Coinbase) и Зивом Гафни (бывшим старшим руководителем JP Morgan Chase).
Компании заявили, что приобретение заложит технологическую основу для новой линейки продуктов, ориентированной на финансовые учреждения и управляющих активами. Инициативу возглавит Кэролайн Д. Фам, главный юрисконсульт и главный административный директор MoonPay, а также бывший комиссар Комиссии по торговле товарными фьючерсами (CFTC).
После завершения сделки 15 сотрудников Sodot присоединятся к MoonPay, в то время как компания, как ожидается, продолжит работать независимо. Sodot будет играть центральную роль в развитии нового институционального предложения MoonPay, продолжая при этом продавать свои существующие продукты и расширять клиентскую базу.
MoonPay также планирует углубить свои инвестиции в деятельность Sodot в Израиле, ссылаясь на опыт страны в области криптографии и кибербезопасности.
MoonPay — это компания, работающая в сфере финансовых технологий, которая предоставляет инфраструктуру для криптовалютных и Web3 -платежей
Компания Sodot была основана в 2023 году Идо Софером, Шалевом Кереном, Матаном Хамилисом и Элихаем Туркелем. Вместе эти четыре основателя обладают более чем 20-летним опытом работы в области криптографии и кибербезопасности в частном секторе, элитных подразделениях военной разведки, академических кругах и государственном секторе.
Основатели Sodot.
Компания Sodot разработала инфраструктуру управления ключами, обеспечивающую безопасное управление цифровыми активами без единой точки отказа, используя передовые криптографические технологии. Ее продукты развертываются на стороне клиента (локально) и поддерживают широкий спектр типов ключей, используемых сегодня для хранения цифровых активов.
MoonPay управляет глобальной платежной инфраструктурой для цифровых активов, обслуживая пользователей более чем в 180 странах и более 500 корпоративных клиентов в секторах криптовалют и финансовых технологий.
В число клиентов Sodot входят крупные компании, работающие с цифровыми активами, включая публичные фирмы и крупные управляющие активами, такие как BitGo, Exodus и Flow Traders. Ее технология в настоящее время обеспечивает безопасность десятков миллиардов долларов и более 10 миллионов кошельков.
«Компания Sodot была основана на убеждении, что ключи играют основополагающую роль в движении денежных средств, и что современные операции с цифровыми активами требуют инфраструктуры, специально разработанной для этих целей. Присоединение к MoonPay дает нам возможность расширить сферу своего влияния и сделать наши технологии центральным элементом того, как финансовые учреждения обеспечивают безопасность и перемещение цифровых активов», — сказал Идо Софер, генеральный директор и соучредитель Sodot.
«Мы создали MoonPay, чтобы она стала ведущей в мире сетью криптовалютных платежей. Наше институциональное подразделение — это следующий этап, и вместе с инфраструктурой Sodot это позволит нам предоставить эту платформу компаниям, которые сейчас выходят на рынок цифровых активов», — сказал Иван Сото-Райт, генеральный директор и основатель MoonPay.
Компания Cisco ведет активные переговоры о приобретении стартапа Astrix, специализирующегося на безопасности с использованием искусственного интеллекта, за сумму до 350 миллионов долларов
Израильский стартап, поддерживаемый Menlo Ventures и Anthropic, нацелен на решение растущих рисков, связанных с ИИ- личностями и автономными агентами искусственного интеллекта.
Основатели компании Astrix Security.( Фото: Astrix )
По сообщению издания The Information, компания Cisco ведет активные переговоры о приобретении израильского стартапа в области кибербезопасности Astrix Security, специализирующегося на защите агентов искусственного интеллекта. В рамках сделки стоимость компании может составить от 250 до 350 миллионов долларов.
Потенциальное приобретение отражает растущую потребность крупных технологических компаний в решении проблемы появления ИИ-личностей и автономных агентов искусственного интеллекта, работающих внутри корпоративных систем.
Компания Astrix, основанная в 2021 году Алоном Джексоном и Иданом Гуром, ветеранами элитного израильского подразделения 8200, позиционирует себя как компанию, занимающуюся решением критической проблемы в современной кибербезопасности. Ее платформа призвана обеспечить предприятиям прозрачность в отношении «ИИ-идентификаторов» — программных агентов, автоматизированных процессов и все более совершенных инструментов на основе искусственного интеллекта — а также выявлять и устранять чрезмерный или злонамеренный доступ до того, как он приведет к нарушениям безопасности.
Компания все больше сосредотачивается на внедрении искусственного интеллекта в свою деятельность по мере того, как организации ускоряют его использование. ИИ-агенты, которым часто предоставляются широкие права доступа к внутренним системам и внешним сервисам, создают новые уязвимости, для защиты от которых традиционные инструменты управления идентификацией и доступом не были предназначены.
Платформа Astrix позволяет компаниям безопасно подключать сторонние и собственные приложения, одновременно отслеживая и контролируя права доступа, предоставляемые ИИ-субъектам. Цель состоит в предотвращении атак на цепочку поставок и утечек данных, особенно тех, которые возникают из-за чрезмерно привилегированных или скомпрометированных учетных записей машин.
В декабре 2024 года компания Astrix объявила о привлечении 45 миллионов долларов в рамках раунда финансирования серии B, в результате чего общий объем привлеченных средств достиг 85 миллионов долларов. Раунд возглавила компания Menlo Ventures через свой фонд Anthology Fund, созданный в партнерстве с компанией Anthropic, занимающейся разработкой искусственного интеллекта, а также в нем приняли участие такие инвесторы, как Workday Ventures, Bessemer Venture Partners, CRV и F2 Venture Capital.
В то время компания заявила, что ее выручка выросла в пять раз по сравнению с предыдущим годом, а численность персонала утроилась и составила около 80 сотрудников. В число ее клиентов входят компании из списка Fortune 500, а также такие клиенты, как Workday, NetApp, Priceline и Figma.
Команда Astrix Security (источник: пресс-релиз)
Стратегия роста компании тесно связана с расширением внедрения ИИ. Ранее Джексон отмечал, что организации стремятся внедрить ИИ во все сферы своей деятельности, но им не хватает инструментов для безопасного управления им. «Многие организации хотят интегрировать ИИ во все аспекты своей работы, но им необходима надежная защита», — сказал он. «Наша платформа гарантирует, что агенты ИИ не только эффективны, но и безопасны и правильно управляются».
В момент проведения раунда финансирования серии B компания подчеркивала, что строит свою деятельность для достижения долгосрочной независимости на рынке, который она считала рынком, где «победитель забирает все».
«Мы привлекли эти инвестиции не для того, чтобы продать компанию через год-два, — сказал тогда Джексон. — Мы строим компанию, которая сможет занять лидирующие позиции на высококонкурентном рынке».
52 израильские компании примут участие в конференции RSA, инициированной Ниром Баркатом, в попытке расширить международную деятельность: «Беспрецедентный спрос на израильские технологии и предпринимательство».
Несмотря на войну, Министерство экономики и промышленности направит делегацию из 52 израильских киберкомпаний на одну из важнейших мировых конференций в этой области в конце месяца.
В принципе, за последние три года израильская кибер-среда подвергалась атакам и серьезным вызовам со стороны государственных структур с большими бюджетами и технологиями. Несмотря на это, она не только справилась с вызовами, но и укрепилась, а накопленный за последние годы «оперативный» опыт продолжает позиционировать Израиль как еще более ведущую кибердержаву, чем прежде.
Министр экономики Нир Баркат, хорошо осведомленный о ситуации, работает над расширением присутствия израильских киберкомпаний на международных рынках. На этом фоне, в тени войны и логистических сложностей, связанных с отправкой делегаций за границу, большая делегация отправится в конце месяца на одну из крупнейших отраслевых конференций в Сан-Франциско
Нир Баркат — израильский бизнесмен и политик, в настоящее время занимающий пост министра экономики. фото: Орен Бен Хакон
Баркат сказал: «Израиль — неудержимая держава в сфере кибербезопасности и искусственного интеллекта. В моих беседах с министрами мировой экономики я вижу беспрецедентный спрос на израильские технологии и инициативы, которые доказывают свою эффективность в сложных условиях.
Сейчас огромная делегация, отправляющаяся на конференцию RSA, является мощным примером стойкости и новаторства. Мы не ждем возможностей — мы их создаем».
Делегацию возглавляло Управление внешней торговли Министерства экономики и промышленности совместно с Экспортным институтом. В трансконтинентальном путешествии также участвовали экономические атташе из Кореи, Мексики и Бразилии. Они координировали деловые встречи для израильских компаний, поскольку конференция является одним из ведущих событий в мировой кибер-индустрии каждый год.
Исследование, проведенное компаниями Wiz и Irregular, показало, что агенты с искусственным интеллектом смогли решить 9 из 10 задач, получив четко сформулированную цель, иногда всего за несколько долларов, а не за десятки тысяч. Когда же потребовалось работать самостоятельно, без руководства, показатели успеха значительно снизились, а стоимость увеличилась в 2–2,5 раза.
Соперничество между нападающими и защитниками вступает в новую фазу (созданную с помощью ИИ).
Новое исследование израильских киберкомпаний Wiz и Irregular дает четкое представление о возможностях и ограничениях агентов искусственного интеллекта в кибермире. Получив от человека четкую и определенную цель, они уже способны осуществить кибератаку дешево и быстро. Когда же от них требуется действовать самостоятельно, выбирать цели, расставлять приоритеты и менять стратегию, их эффективность значительно снижается.
В исследовании было создано десять имитационных сценариев уязвимостей, основанных на известных кибер-инцидентах последних лет, включая утечки данных, сбои в конфигурации облачных сервисов и ошибки проверки личности.
Чтобы убедиться, что это реальные задачи, а не теоретические демонстрации, каждый из сценариев был предварительно решен опытным исследователем. Задачи тестировались с использованием агентов искусственного интеллекта, которые должны были обнаружить уязвимость в заданной среде и атаковать ее до получения «флага», который служил однозначным показателем успеха и был разработан для уменьшения шума и ошибок интерпретации.
Результаты были однозначными: когда агенту ИИ давали целевую задачу, он смог преодолеть 9 из 10 препятствий, включая многоэтапные атаки, которые были нетривиальными и иногда стоили несколько долларов за попытку.
С точки зрения экономики атак, последствия тревожны: как только обнаруживается уязвимый объект, попытка агента ИИ использовать его становится быстрой и дешевой, даже если не каждая попытка оказывается успешной. Низкая стоимость позволяет повторять один и тот же сценарий снова и снова, пока не будет достигнута уязвимость. В некоторых случаях атака, экономическая ценность которой оценивается в десятки тысяч долларов, была осуществлена всего за несколько долларов, а иногда даже менее чем за доллар.
Ситуация изменилась, когда от агентов потребовалось действовать на обширной территории и без заранее определенной цели. В таких сценариях резко снизилась вероятность успеха, не все задачи были решены, а стоимость успеха увеличилась в 2–2,5 раза. Исследователи отмечают, что агенты, как правило, рассеивались между различными направлениями атаки, не углубляясь, или же застревали в одном направлении, даже если оно не приносило результатов. В отличие от исследователя-человека, который относительно быстро определяет тупик и меняет направление, агент многократно повторял вариации одного и того же метода.
В результате исследования был сделан вывод, что агенты искусственного интеллекта уже гораздо более развиты, чем многие предполагают.
Они способны атаковать быстро и дешево, если получают четкие указания. Однако они еще не являются автономными злоумышленниками в человеческом понимании этого слова. Главная угроза сегодня заключается не в действиях ИИ в одиночку, а в сочетании человека, определяющего цели, указывающего направление и дающего инструкции, и ИИ, выполняющего работу быстро и точно.
Для организаций это означает, что рабочие предположения в области защиты требуют постоянного обновления, и гонка между злоумышленниками и защитниками вступила в новую фазу.
Irregular — это лаборатория безопасности, которая сотрудничает с ведущими лабораториями искусственного интеллекта, такими как OpenAI, Anthropic и Google, а также с государственными учреждениями, чтобы выявлять серьезные риски в сложных моделях до их выпуска в мир.
В сентябре прошлого года компания сообщила о завершении посевного раунда финансирования на общую сумму 80 миллионов долларов от Sequoia и Redpoint Ventures.
Каждый раз, когда мы используем Pango или записываем ребенка в детский сад, собирается наша информация. Для ее защиты регулирующий орган требует от каждой компании назначать специалиста по защите персональных данных. Это требование привело к нехватке экспертов, умеющих сочетать юриспруденцию и технологии, к увеличению зарплат на 50% и породило волну новых программ обучения.
Эксперт по защите конфиденциальности. «Я не помню, когда в последний раз придумывали профессию и говорили: „Через год нам понадобится 2000 таких специалистов“». (Фото: создано ИИ)
Это происходит десятки раз в день, незаметно для нас и без нашего ведома. Когда мы запускаем приложение для парковки, наше точное местоположение и номерной знак автомобиля сохраняются в базах данных компании.
Когда мы регистрируем ребенка в муниципальный детский сад, его информация передается на серверы внешней компании, которая занимается регистрацией в муниципалитете.
Даже когда мы просто идем по улице, умные камеры отслеживают наши движения, и когда мы проводим биометрической картой сотрудника на входе в офис, наш отпечаток пальца становится строкой кода в биометрической базе данных.
Собранные данные, информация, являются двигателем революции в области искусственного интеллекта. А опасность, которую этот сбор представляет для конфиденциальности каждого из нас, породила новую профессию.
Новые профессии рождаются в самых разных формах. Чаще всего они создаются в ответ на потребности рынка. Но в данном случае полагаться на рыночные силы было невозможно — на добрую волю компаний и организаций, собирающих информацию. Поэтому вмешался регулятор и ввел обязанность назначить конкретного человека для защиты частной жизни.
«Я не помню, когда в последний раз придумывали профессию и говорили: „Через год нам понадобится 2000 таких специалистов“», — говорит адвокат Алон Бахар, бывший глава Управления по защите персональных данных и соучредитель PrivMatch, платформы для подбора и обучения экспертов по защите персональных данных.
Эта фраза суммирует драму, разворачивающуюся среди тысяч организаций, которые после внесения поправок в Закон о защите персональных данных обязаны назначить «специалиста по защите данных» — и это только вчера.
Главная проблема в том, что таких специалистов просто недостаточно. Это ситуация, находящаяся на стыке технологического и правового аспектов, с очень специфическими и обширными требованиями, которые даже определены законом.
В эпоху, когда исчезают профессии, а высокотехнологичные компании увольняют сотни сотрудников, сфера защиты конфиденциальности фактически растет, как естественным путем, так и в соответствии с установленным Управлением по защите конфиденциальности сроком, определенным поправкой № 13 к закону .
Поправка вступила в силу в августе, но активное ее применение только начинается, и поэтому началась гонка за заполнение вакансий специалистов по защите данных.
Что вообще такое DPO?
Специалист по защите данных (DPO)— это человек, который должен выступать в роли контролера и выявлять нарушения конфиденциальности до того, как они произойдут. Для этой должности необходимы юридические знания в области законодательства о защите персональных данных, а также технологические знания, связанные с обработкой данных.
В соответствии с требованиями к этой должности, специалист по защите данных должен выявлять процессы обработки данных с высоким риском — такие как сбор данных в приложениях или с помощью камер видеонаблюдения — и проводить оценку воздействия на конфиденциальность, чтобы предотвратить ущерб еще до выхода продукта на рынок.
Его обязанности обширны и включают в себя оперативное управление утечками данных и кибер-инцидентами, извлечение уроков и отчетность перед регулирующим органом.
Кроме того, он должен действовать с полной профессиональной независимостью, без конфликта интересов, и напрямую отчитываться перед высшим руководством, чтобы влиять на важные решения в организации. «Он является ключевым звеном при утечке данных, — объясняет Бахар, — он тот фактор, который связывает технические, юридические и нормативные аспекты»
Адвокат Алон Бахар (фото Томер Якобсон)
Еще до вступления в силу 13-й поправки к закону спрос на юристов, специализирующихся на защите персональных данных, вырос в пять раз по сравнению с предыдущим годом, в то время как общий спрос на юристов за тот же период увеличился всего в 1,12 раза, согласно данным компании Codex, занимающейся подбором юридических кадров и карьерным консультированием.
«Этот рост отражает растущую обеспокоенность организаций по поводу юридических рисков и их стремление соблюдать нормативные требования, снижать риски судебных исков, наложения санкций и даже публикации имен организаций-нарушителей.
Защита персональных данных, которая когда-то считалась узкой юридической специальностью, теперь становится неотъемлемой частью деловой и технологической деятельности», — говорит Лиат Бен Цви Шевач, генеральный директор Codex.
Треть новых вакансий для юристов, специализирующихся на защите персональных данных, предлагается компаниями, а остальные — юридическими фирмами. Большинство вакансий предназначены для юристов с опытом работы от двух до четырех лет (45%), при этом четверть из них — для начинающих юристов.
Кроме того, большинство вакансий, связанных с защитой персональных данных, сочетают в себе защиту персональных данных с технологиями, ИТ или кибербезопасностью.
Лиат Бен Цви Шева, генеральный директор Codex. (фото Никки Вестфаль )
«Существует нехватка опытных специалистов, и в то же время открываются возможности для молодых юристов, начинающих свою карьеру.
Спрос отражает реальную потребность в связи между правом, технологиями и бизнесом, и те, кто способен на это, становятся ценным активом для организации», — говорит она.
Теперь, когда льготный период для внедрения поправки № 13 к закону закончился и начинается ее исполнение, спрос на специалистов по защите конфиденциальности в организациях еще больше возрос.
Кому это подходит?
Должность специалиста по защите данных (DPO) не является классической для юристов, как и для специалистов по кибербезопасности или IТ. С одной стороны, она требует глубокого понимания нормативно-правовых норм, а с другой — технологических знаний в области информационных систем, информационной безопасности и кибербезопасности, чтобы точно определить, где хранится информация и как она защищена.
«Очень мало специалистов в области технологий, которые разбираются в праве, и очень мало юристов, которые разбираются в технологиях», — говорит Бахар.
Он подсчитал, что в настоящее время в Израиле насчитывается около 200 экспертов, действительно обладающих значительными знаниями и опытом в двух основных областях, требующих специалиста по защите данных (DPO) на уровне, необходимом для крупной организации.
Кроме того, гораздо больше тех, кто прошел и продолжает проходить курсы DPO и накопил необходимые знания и опыт за определенный период времени.
Такая ситуация открывает двери для двух основных групп: юристов, которым надоела профессия и которые хотят изучать технологии, и специалистов по информационной безопасности и IТ, заинтересованных в продвижении на руководящие должности.
Как уже упоминалось, естественный спрос на рынке возрос после принятия поправки № 13 к закону, которая, по сути, требует от множества организаций назначения специалиста по защите данных (DPO).
«Закон требует этого не только от государственных министерств, но и от любых организаций, основной деятельностью которых является обработка данных», — говорит Бахар.
В список входят все государственные учреждения, государственные министерства, органы местного самоуправления и муниципальные корпорации. Кроме того, к ним относятся финансовые организации (банки, страховые компании), медицинские учреждения (фонды здравоохранения и больницы) и организации, занимающиеся сбором данных (например, приложения для парковки, такие как Pango или Slow-Park)
Помимо этих организаций, любой внешний поставщик, обрабатывающий информацию для этих организаций, также должен назначить сотрудника по защите персональных данных. «Подсчитайте сами: сотни государственных и финансовых организаций и тысячи других поставщиков, которые предоставляют им услуги и хранят информацию, — и мы уже в первый день вступления закона в силу охватили тысячи организаций, которым требуется сотрудник по защите персональных данных», — говорит он.
Это означает, что квалифицированные специалисты необходимы немедленно, в то время как в государственном секторе, согласно Комиссии по делам государственной службы, назначение должно быть внутренним, в частном секторе может быть назначен внешний специалист по защите данных (DPO). Другими словами, специалисты могут оказывать услуги нескольким организациям одновременно.
Например, компания Yazmco Pro предлагает услуги экспертов DPO для поддержки в вопросах соблюдения нормативных требований; Cyberoot предлагает услуги DPO, как и Datawatch.
Но, по мнению Бахара, этого будет недостаточно для организаций, собирающих значительную информацию. «Если регулирующий орган обнаружит, что организация назначила внешнего специалиста, не знакомого со всеми тонкостями деятельности организации, просто для выполнения своих обязательств, эта организация будет подвергнута санкциям, как если бы она не назначила DPO», — говорит он.
Начальная зарплата - $5000 (16 тысяч шекелей) в месяц.
СКРИНШОТ
Высокий спрос на специалистов по защите конфиденциальности привел к 50-процентному увеличению их заработной платы в течение года для сотрудников с опытом работы от 3 до 5 лет, согласно данным Codex. Если в 2024 году средняя зарплата опытных специалистов по защите конфиденциальности составляла 15 000 шекелей в месяц, то в 2026 году она достигнет 22 500 шекелей в месяц(более $7тыс.).
Также наблюдался рост заработной платы среди начинающих специалистов (с опытом работы 0-2 года), но он был более умеренным. С 14 000 шекелей в месяц в 2024 году до 16 000 шекелей в месяц в среднем в прошлом году.
Учитывая, что четверть вакансий в этой области открывается для начинающих специалистов, это возможность для юристов или IT-специалистов начать карьеру в быстрорастущей профессии. Для тех, кто имеет опыт работы 6-10 лет, рост был еще более умеренным (7%) — с 27 000 шекелей в месяц до 29 000 шекелей в месяц ($8,5 тыс. до ($9,2 тыс)в 2025 году.
Угроза штрафов в миллионы шекелей
Главное изменение ситуации по сравнению с прошлым, когда защита конфиденциальности также была обязательным требованием, заключается в санкциях . Раньше нарушение конфиденциальности обычно заканчивалось выговором или небольшим административным штрафом, но поправка 13 дает право налагать финансовые санкции, которые могут достигать сотен тысяч шекелей за каждое отдельное нарушение.
Для организации, которая хранит большой объем информации и совершает многочисленные нарушения или не назначает сотрудника по защите данных, как того требуют правила, совокупный ущерб может достигать миллионов шекелей. Таким образом, компании подвергаются значительному финансовому риску, что делает необходимость в назначении сотрудников на должности сотрудников по защите данных критически важной.
Как стать сотрудником отдела защиты данных (DPO)?
Нехватка экспертов по защите персональных данных, наряду с нормативными требованиями к их назначению, привела к появлению множества обучающих программ, словно грибы после дождя. Среди обучающих организаций есть и академические учреждения, такие как юридический факультет Тель-Авивского университета, Технион, Университет Бар-Илан, Академический колледж Сапира и Еврейский университет, которые предлагают специализированные программы обучения, большинство из которых координируются или признаются Управлением по защите персональных данных. Коллегия адвокатов предлагает практический семинар для юристов, желающих узнать о роли специалиста по защите персональных данных.
PrivMatch, совместный проект Codex, Bachar и адвоката Яакова Оза, предлагает комплексное обучение по программе DPO, а также трудоустройство и базу данных экспертов по вопросам конфиденциальности для организаций.
Кроме того, такие компании, занимающиеся обучением в сфере технологий, как John Bryce и See Security, предлагают курсы обучения DPO, причем John Bryce проводит занятия как для юристов и специалистов по информационной безопасности, соблюдению нормативных требований и регулированию, так и для менеджеров проектов и риск-менеджеров в организациях.
Продолжительность обучения сильно варьируется и составляет от 40 до 80 академических часов и от восьми до двадцати занятий для комплексной профессиональной подготовки, а также менее обширные вводные курсы и короткие или разовые семинары или ряд индивидуальных занятий для подготовки к этой роли для тех, кто уже работает в должности специалиста по защите данных или собирается начать работу в этой должности. Стоимость курсов начинается примерно с 5000 шекелей($1500) и может достигать 20 000 шекелей($6300) за комплексные программы, которые также включают управление кибербезопасностью.
Стартап Spirit совершил настоящий рывок, собрав $50 миллионов всего через три месяца после основания. Компания разработала систему проактивной киберзащиты на основе ИИ для глобальных корпораций.
AP Photo/Wilfredo Lee
Компания Spirit была создана тремя выпускниками элитной программы "Тальпиот", служившими на руководящих постах в легендарном подразделении 8200. Spirit настолько молод (с момента основания прошло всего 3 месяца), что даже его сайт находится в процессе разработки.
Разработанная компанией платформа основана на ИИ-моделях. Платформа встраивается непосредственно в архитектуру безопасности крупных организаций. Система ИИ-мониторинга способна проводить интеллектуальный анализ паттернов поведения приложений и пользователей сети и обеспечивать автономную реакцию на кибератаки в режиме реального времени. Это позволяет не просто находить уязвимости, но создать самообучающийся защитный контур, который адаптируется к новым типам угроз без постоянного вмешательства человека.
Spirit особенно важен для финансовых корпораций, которые очень обеспокоены возможностью утечек данных при использовании сотрудниками сторонних ИИ-моделей. Платформа отслеживает и предупреждает такие утечки.
Spirit делает ставку на "умную" автоматизацию, которая радикально снижает операционную нагрузку на команды специалистов, позволяя им сосредоточиться на стратегических задачах, а не на рутинной фильтрации уведомлений. Платформа фактически претендует на роль центральной нервной системы безопасности для глобальных корпораций, объединяя разрозненные инструменты защиты в единый высокопроизводительный механизм под управлением ИИ.
CEO и сооснователь Spirit Итай Эфраим отмечает фундаментальный сдвиг в подходе к киберзащите: "Мы строим систему, которая понимает контекст бизнес-процессов так же хорошо, как и сами разработчики, что позволяет блокировать злоумышленников с хирургической точностью".
Основатели Spirit.( Фото: Омер Хакоэн )
Финансовая сторона проекта впечатляет не меньше технологической. Раунд финансирования на сумму $50 миллионов долларов возглавили такие крупные венчурные игроки, как Cyberstarts и Sequoia Capital. Особый статус стартапу придает участие "звездных" бизнес-ангелов – основателей компаний-гигантов Wiz, Cyera и Armis.
Всего через три месяца после запуска киберстартап Spirit был оценен в 400 миллионов долларов в рамках раунда финансирования в 50 миллионов долларов.
При текущей оценке в $400 миллионов Spirit уже называют одним из самых перспективных претендентов на статус нового израильского "единорога". По прогнозам, компания может достигнуть миллиардной оценки буквально в текущем году.
