Выявлена утечка 200 тысяч учётных записей, большая часть которых несёт угрозу кибербезопасности
18 октября 2023 года ГУП «Центр кибербезопасности» при СГБ Узбекистана (ЦКБ), в ходе изучения опубликованной базы скомпрометированных учётных записей, установило более 200 тысяч учётных записей, большая часть которых является актуальными и несут угрозы кибербезопасности в отношении информационных систем и ресурсов государственных органов и иных организаций.
Центр кибербезопасности отмечает, что в последнее время участились подобные случаи публикации утекших баз учётных записей пользователей в открытых источниках, тогда как раньше такие утечки можно было встретить лишь в закрытых форумах или Darknet.
В этой связи, ЦКБ настоятельно рекомендует принять следующие меры:
➖всегда устанавливайте надежный пароль, который должен быть не менее 8 символов и включать заглавные и строчные буквы, цифры и специальные символы (например, @,#,$,%,& и т.д.);
➖в организации настройте парольную политику таким образом, чтобы пользователь не мог установить легко угадываемый пароль, а также раз в 2-3 месяца обновлял пароль, при этом запретите устанавливать схожий с предыдущим пароль;
➖настройте двухэтапную однофакторную или многофакторную аутентификацию;
➖не используйте одни и те же учётные данные для регистрации на различных веб-сайтах, а также не применяйте бесплатные менеджеры паролей и не сохраняйте пароли в браузерах;
➖используйте исключительно лицензионные операционные системы, программное обеспечение (ПО) и антивирусы, а также регулярно обновляйте их.
➖не переходите по подозрительным веб-ссылкам и не скачивайте неизвестное ПО;
➖в организации для всех сотрудников необходимо проводить регулярные тренинги по соблюдению кибергигиены;
➖при открытии веб-страниц, до ввода персональных данных или логин и пароля, обратите внимание на адрес веб страницы. Убедитесь, что данная веб страница официальная и не содержит подозрительных символов.
ЦКБ также сообщает, что с помощью Telegram бота «@CSEC_Login_Bot», можно проверить наличие утечки ваших логинов и паролей.
Напомним, что в апреле 2022 года Президент РУз поручал провести критическое изучение информационных систем всех госорганов на предмет кибербезопасности [#].
#Кибербезопасность #EGov #OneID #Uzinfocom #Узбектелеком #ЦКБ #Минцифра
18 октября 2023 года ГУП «Центр кибербезопасности» при СГБ Узбекистана (ЦКБ), в ходе изучения опубликованной базы скомпрометированных учётных записей, установило более 200 тысяч учётных записей, большая часть которых является актуальными и несут угрозы кибербезопасности в отношении информационных систем и ресурсов государственных органов и иных организаций.
Центр кибербезопасности отмечает, что в последнее время участились подобные случаи публикации утекших баз учётных записей пользователей в открытых источниках, тогда как раньше такие утечки можно было встретить лишь в закрытых форумах или Darknet.
В этой связи, ЦКБ настоятельно рекомендует принять следующие меры:
➖всегда устанавливайте надежный пароль, который должен быть не менее 8 символов и включать заглавные и строчные буквы, цифры и специальные символы (например, @,#,$,%,& и т.д.);
➖в организации настройте парольную политику таким образом, чтобы пользователь не мог установить легко угадываемый пароль, а также раз в 2-3 месяца обновлял пароль, при этом запретите устанавливать схожий с предыдущим пароль;
➖настройте двухэтапную однофакторную или многофакторную аутентификацию;
➖не используйте одни и те же учётные данные для регистрации на различных веб-сайтах, а также не применяйте бесплатные менеджеры паролей и не сохраняйте пароли в браузерах;
➖используйте исключительно лицензионные операционные системы, программное обеспечение (ПО) и антивирусы, а также регулярно обновляйте их.
➖не переходите по подозрительным веб-ссылкам и не скачивайте неизвестное ПО;
➖в организации для всех сотрудников необходимо проводить регулярные тренинги по соблюдению кибергигиены;
➖при открытии веб-страниц, до ввода персональных данных или логин и пароля, обратите внимание на адрес веб страницы. Убедитесь, что данная веб страница официальная и не содержит подозрительных символов.
ЦКБ также сообщает, что с помощью Telegram бота «@CSEC_Login_Bot», можно проверить наличие утечки ваших логинов и паролей.
Напомним, что в апреле 2022 года Президент РУз поручал провести критическое изучение информационных систем всех госорганов на предмет кибербезопасности [#].
#Кибербезопасность #EGov #OneID #Uzinfocom #Узбектелеком #ЦКБ #Минцифра
Когда у брокеров будет соответствующее требованиям ИС по удалённой цифровой идентификации клиентов ?!
На днях сообщалось, что правительство утвердило Положение о порядке удалённой цифровой идентификации клиентов на рынке ценных бумаг (далее – Положение), которое вступило в силу 27 апреля 2024 года.
В пункте 3 постановления Кабинета Министров РУз от 26.04.2024г. №238, дано поручение #НАПП совместно с #ДБЭП обеспечить постоянный контроль за соблюдением требований #FATF по проверке клиентов при их удалённой цифровой идентификации (e-KYC) в рамках противодействия отмыванию денег и финансированию терроризма» (на англ.– Anti-money laundering and combating the financing of terrorism, AML/CFT).
В пункте 5 Положения перечислены требования к брокерам, в том числе по проведению процедуры многофакторной аутентификации клиента, т.е. дополнительное подтверждение личности клиента с помощью звонка на телефон, СМС или э-почты, либо посредством социальных сетей.
В пункте 6 Положения перечислены два способа проверки и идентификации клиента:
1) на основе информации, представленной самим клиентом;
2) посредством информационных систем (ИС) брокеров в режиме реального времени без человеческого фактора, путём сверки данных с базой «Электронного правительства» и запроса наличия сертификата ЭЦП. Для этого клиент представляет фотографию документа, удостоверяющего личность (биометрический паспорт или ID карту гражданина, либо документы, приравненные к ним – для иностранных граждан), а также фото и (или) видеосъёмку самого клиента.
Согласно пункту 7 Положения, брокерам предоставлено право проведения сеанса ВКС с клиентом, если в базе «Электронного правительства» не удалось найти информацию о клиенте. При этом необходимо произвести видеозапись клиента с документом, удостоверяющим его личность, в его руках, а также аудиовизуальное подтверждение намерения клиента заключить соответствующий договор с брокером [договор подписывается посредством ЭЦП через OneID или принятия публичной оферты].
В пунктах 8–10 и 20 Положения перечислены требования к ИС брокера, которые предусматривают нахождение сервера ИС на территории Узбекистана и обмен данными с базой «Электронного правительства». При этом установлено, что брокеры могут использовать собственные ИС или системы, предоставленные третьими лицами, на основе договора [#, #].
Исходя из пункта 13 Положения, брокер должен установить клиентам (путём оценки индивидуального уровня риска клиента) ограничение по объёму и количеству сделок, а также предельную сумму денег, которые клиент может снять со счёта за раз.
В пунктах 18 и 19 Положения установлено требование к брокерам по предоставлению отчёта в НАПП и хранению в течение 5 лет материалов по клиентам, прошедшим удалённую цифровую идентификацию [см на фото].
Напомним, что порядок цифровой идентификации клиентов банков, ломбардов, микрофинансовых и платёжных организаций был установлен Центробанком РУз в сентябре 2021 года [#].
PS: Нужно ли проводить удалённую цифровую идентификацию клиента, если он уже был идентифицирован банком или иной кредитной либо страховой организацией ?!
#РынокКапитала #НАПП #МинЦифра #EGov #OneID
На днях сообщалось, что правительство утвердило Положение о порядке удалённой цифровой идентификации клиентов на рынке ценных бумаг (далее – Положение), которое вступило в силу 27 апреля 2024 года.
В пункте 3 постановления Кабинета Министров РУз от 26.04.2024г. №238, дано поручение #НАПП совместно с #ДБЭП обеспечить постоянный контроль за соблюдением требований #FATF по проверке клиентов при их удалённой цифровой идентификации (e-KYC) в рамках противодействия отмыванию денег и финансированию терроризма» (на англ.– Anti-money laundering and combating the financing of terrorism, AML/CFT).
В пункте 5 Положения перечислены требования к брокерам, в том числе по проведению процедуры многофакторной аутентификации клиента, т.е. дополнительное подтверждение личности клиента с помощью звонка на телефон, СМС или э-почты, либо посредством социальных сетей.
В пункте 6 Положения перечислены два способа проверки и идентификации клиента:
1) на основе информации, представленной самим клиентом;
2) посредством информационных систем (ИС) брокеров в режиме реального времени без человеческого фактора, путём сверки данных с базой «Электронного правительства» и запроса наличия сертификата ЭЦП. Для этого клиент представляет фотографию документа, удостоверяющего личность (биометрический паспорт или ID карту гражданина, либо документы, приравненные к ним – для иностранных граждан), а также фото и (или) видеосъёмку самого клиента.
Согласно пункту 7 Положения, брокерам предоставлено право проведения сеанса ВКС с клиентом, если в базе «Электронного правительства» не удалось найти информацию о клиенте. При этом необходимо произвести видеозапись клиента с документом, удостоверяющим его личность, в его руках, а также аудиовизуальное подтверждение намерения клиента заключить соответствующий договор с брокером [договор подписывается посредством ЭЦП через OneID или принятия публичной оферты].
В пунктах 8–10 и 20 Положения перечислены требования к ИС брокера, которые предусматривают нахождение сервера ИС на территории Узбекистана и обмен данными с базой «Электронного правительства». При этом установлено, что брокеры могут использовать собственные ИС или системы, предоставленные третьими лицами, на основе договора [#, #].
Исходя из пункта 13 Положения, брокер должен установить клиентам (путём оценки индивидуального уровня риска клиента) ограничение по объёму и количеству сделок, а также предельную сумму денег, которые клиент может снять со счёта за раз.
В пунктах 18 и 19 Положения установлено требование к брокерам по предоставлению отчёта в НАПП и хранению в течение 5 лет материалов по клиентам, прошедшим удалённую цифровую идентификацию [см на фото].
Напомним, что порядок цифровой идентификации клиентов банков, ломбардов, микрофинансовых и платёжных организаций был установлен Центробанком РУз в сентябре 2021 года [#].
PS: Нужно ли проводить удалённую цифровую идентификацию клиента, если он уже был идентифицирован банком или иной кредитной либо страховой организацией ?!
#РынокКапитала #НАПП #МинЦифра #EGov #OneID
«Чем меньше мыслей, тем больше единомышленников»
Агентство статистики при Президенте Узбекистана будет предоставлять сведения по предприятиям (включая учредителям/участникам) из ЕГРПО только идентифицированным через #OneID людям ?!
#Госкомстат #ЕГРПО #Статистика #Прозрачность
Агентство статистики при Президенте Узбекистана будет предоставлять сведения по предприятиям (включая учредителям/участникам) из ЕГРПО только идентифицированным через #OneID людям ?!
#Госкомстат #ЕГРПО #Статистика #Прозрачность