📣Новостной дайджест прошедшей недели

🗣Бизнес выступил против сбора персональных данных в одной госсистеме
Сбербанк, МТС, «Вымпелком», «Мегафон», «Яндекс» и Avito считают, что крайне небезопасно хранить все данные в одном месте.

🗣Государство вводит новые правила кибербезопасности для хостинг-провайдеров
Они будут обязаны подключиться к системе ГосСОПКА, самостоятельно блокировать ресурсы, через которые ведутся кибератаки, и передавать данные о вредоносном трафике в систему.

🗣Все российские операторы связи получили уведомление о необходимости подключения к системе «Антифрод»
Если этого не сделать в установленные сроки, будут применены административные штрафы согласно КоАП 13.2.1.

🗣Сбер: ежедневно совершается более 8,5 млн попыток мошеннических звонков
В топе схем: звонки от имени сотрудников правоохранительных органов, ЦБ РФ и службы безопасности банков.

🗣В России хотят внедрить национальную систему сертификации IT-специалистов
В правительстве уже обсуждают данную инициативу, но единых подходов к ней рынок пока не выработал.

🗣В Роскомнадзоре рассказали, что делать, если ваши личные данные незаконно распространяются в сети
Один из шагов — потребовать от администратора сайта прекратить обработку данных и удалить их.

🗣Вузы России включили в свои учебные программы лекции о «ГосТехе»
Эксперты отмечают, что обучение цифровой трансформации, ИИ и оцифровке данных делает выпускников университетов конкурентоспособными и успешными на рынке труда.

💬tg_AC

🗣В Москве по подозрению в распространении сведений конфиденциального характера задержали сотрудника компании "Кронштадт", которая занимается производством беспилотников.

Сетевой инженер выкладывал на портал Github составляющие коммерческую тайну персональные и технические учетные записи, а также действующие пароли к ним.

❗️По словам источников, служба безопасности "Кронштадта" своевременно выявила правонарушение и предотвратила утечку сведений, составляющих коммерческую тайну.

💬tg_AC

💠Эксперты по информационной безопасности компании IRONSCALES заявили, что свыше 74% организаций по всему миру регистрируют рост использования искусственного интеллекта киберпреступниками.

В отчете указано, что угроза создаваемых ИИ атак по электронной почте растет из года в год, причем в геометрической прогрессии.

Основные результаты исследования:

⏩85% респондентов убеждены, что генеративный ИИ будет применяться хакерами и мошенниками в будущем для обхода существующих технологий обеспечения безопасности электронной почты;

⏩свыше 74% опрошенных специалистов из различных отраслей деятельности уже фиксируют рост использования искусственного интеллекта киберпреступниками в последний год;

⏩77% опрошенных организаций убеждены, что защита электронной почты является одним из трёх ключевых приоритетов их компании в сфере информационной безопасности;

⏩90% компаний внедряют специализированные решения для защиты электронной почты, в которых применяются технологии искусственного интеллекта;

⏩42% компаний заявили, что придерживаются привычных и традиционных стандартов обнаружения мошеннической и хакерской активности в облачных сервисах электронной почты.

Подробнее ознакомиться с исследованием вы можете по ссылке.

Источник: Cisoclub


💬tg_AC

🗣Крупная сеть казино Caesars Entertainment пострадала от кибератаки и в итоге заплатила хакерам выкуп, чтобы избежать утечки данных клиентов.

В ходе расследования инцидента выяснилось, что злоумышленники успешно украли базу данных программы лояльности компании, которая, в числе прочего, содержала данные водительских прав и номера социального страхования клиентов.

🎯Также, чтобы не допустить утечки похищенных данных, казино заплатило злоумышленникам выкуп — примерно $15 млн. При этом в Caesars Entertainment признают, что не могут предоставить никаких гарантий относительно дальнейших действий злоумышленников, и не исключают возможности того, что хакеры все равно могут продать или опубликовать в сети похищенную информацию о клиентах.

💬tg_AC

⚙️Продолжим говорить о рисках в проектах по информационной безопасности. Прошлые посты вы можете найти по тегу #практика_РП. Сегодня разберем риск, который сильно влияет на проект и зависит исключительно от людей.

Недостаток специфических компетенций исполнителей проекта или представителей заказчика.

▶️Как мы писали ранее, каждый консалтинговый проект начинается с обследования. На данном этапе выявить искомый нами риск поможет внимательность к степени полноты предоставляемых данных. Если есть пробелы в заполнении анкеты или заказчик затрудняется ответить на уточняющие вопросы, то мы получаем тот самый риск недостатка компетенций. Команда консультантов с удовольствием помогает заказчику разобраться в его процессах и системах безопасности, но, к сожалению, на это требуется дополнительное время и ресурсы исполнителя.

▶️Обратная ситуация: после анализа данных заказчика выясняются особенности, с которыми мы, как исполнитель, ранее не сталкивались. Соответственно нам требуется время на расширение собственных компетенций.

Как можно бороться с данным риском:

✅заложить дополнительное время на консультации заказчика;

✅разделить в договоре риск с заказчиком на случай несвоевременного предоставления данных в полном объеме;

✅заложить дополнительное время на повышение собственной квалификации;

✅привлечь в помощь к консультанту более опытных коллег либо сторонние ресурсы.

В следующих постах разберем остальные наиболее влиятельные и существенные риски из анонсированного списка. Оставайтесь с нами – будет интересно!

💬tg_AC

🗣В конце августа в чатах по ИБ активно обсуждалось возобновление некоторых сертификатов соответствия в государственном реестре сертифицированных средств защиты информации ФСТЭК России. Чуть позже в этот же день реестр был обновлен, и сроки прекращения действия сертификатов были возвращены к исходным значениям.

И пусть уже мало кто удивляется отзываемым и/или приостанавливаемым сертификатам, но всё же каждое очередное изменение в соответствующем реестре неизбежно порождает обсуждения и вопросы.

▶️Делимся с вами статьей, в которой рассмотрено, что делать и как быть с уже работающими системами, если приостановлено действие сертификата на СрЗИ.

💬tg_AC

🤔Подразделение рисков управляет оперрисками и операционной надежностью. Должен ли быть доволен директор по ИБ?

Комплекс нормативных требований по управлению операционным рисками и операционной надежностью (ОН) уже полностью вступил в силу, запустились надзорные и отчетные процедуры со стороны регулятора. По нашим наблюдениям, во многих финансовых организациях завершились непростые пертурбации с разделением ответственности за данные процессы.

Также отметим, что в большом количестве компаний подразделения рисков в итоге взяли на себя функцию владельцев процессов управления оперрисками и ОН. Подразделения ИБ, в свою очередь, оставили себе функцию центра компетенции по информационной безопасности и ограничились передачей необходимых данных в подразделение рисков.

✅В этой ситуации есть очевидное преимущество для директора по информационной безопасности: он освободил ресурсы подразделения ИБ от большого количества рутинных и не совсем профильных дел, и теперь может распределить их на прямые функциональные задачи.

✅С другой стороны, если подразделение ИБ чрезмерно дистанцировалось от управления оперриском и ОН, оно ограничило себя в возможности управлять выделением ресурсов на основе риск-ориентированного подхода. Директору по ИБ было бы полезно ставить перед собой вопросы в данной плоскости и подвергать сомнению получение преимущества в описанном сценарии.


❓️Как оценить объем необходимых ресурсов ИБ на реагирование?

Обсудим это завтра.

💬tg_AC

📢Как оценить объем необходимых ресурсов ИБ на реагирование?
Начало поста тут.

➡️В первую очередь, важно сверить, какие риски были идентифицированы в текущем периоде и занесены в реестр рисков. В том случае, если идентификация происходила только на основе исторических данных о произошедших инцидентах ИБ за предшествующий период, есть смысл задуматься о полноте реестра риска.

Тот факт, что какие-либо рисковые события не происходили ранее, вовсе не означает что они исключены в будущем. На основе реестра риска производится порядок оценки потерь и выбор способа реагирования, что существенным образом влияет на запрос требуемых ресурсов ИБ на реагирование.

➡️Затем, на этапе утверждения контрольных показателей, директору по ИБ предоставляется отличная возможность для обоснования затребованных ресурсов с использованием соотношения размеров расходов с размерами установленных КПУР риска ИБ и операционной надежности.

➡️Процессы дальнейшего сбора и регистрации событий в большинстве организаций уже отлажены, и передавать данные в систему управления оперрисками и опернадежностью – дело техники. Но при наличии информации о соотношении оперативных данных с установленными контрольными показателями, можно делать выводы о влиянии функции ИБ на технологические и бизнес-процессы организации, а также на основные показатели её деятельности. В свою очередь, такие связи помогают принимать решения о необходимости изменений и дальнейшему совершенствованию.

💬tg_AC

⌨️Ровно 11 лет назад была запущена первая программа Bug Bounty в России. Мы решили рассмотреть, используют ли сегодня этот инструмент отечественные компании, и как он регулируется в нашей стране?

Начнем с краткого ликбеза.

💡Bug Bounty дает возможность объединить усилия тех, кто хочет продать свои услуги в области оценки защищенности, и тех, кто хочет их купить. Если кратко, компании могут разместить на специализированной платформе свой код/приложение/информационную систему, и затем все желающие проверяют их на прочность. Белые хакеры тестируют программы и получают денежное вознаграждение за найденные уязвимости.

🟢Bug Bounty в свое время пользовались такие гиганты, как Facebook, Yahoo!, Google, Apple, Microsoft и т.д. А как же российские компании?

Известно не так много кейсов, но среди них, к примеру, VK, которая использовала отечественную платформу Standoff 365 Bug Bounty. На платформе исследователям предлагалось проверить 19 сервисов, принадлежащих группе компаний. За найденные уязвимости представители VK выплатили более 3 млн рублей. Размер выплат составил от 3 тысяч до 750 тысяч рублей в зависимости от критичности уязвимости.

Кроме очевидных преимуществ Bug Bounty имеет ряд недостатков, среди которых отсутствие четкого правового статуса данной деятельности в нашей стране. Поговорим об этом в следующих постах.
#bugbounty

💬tg_AC

✅В июле этого года Банк России опубликовал два проекта Положений: о платформе цифрового рубля, а также о требованиях к обеспечению защиты информации для участников платформы цифрового рубля.

Алексей Филиппов, методолог по ИБ AKTIV.CОNSULTING, специально для Cyber Media рассмотрел основные моменты данных Положений ЦБ РФ.

📣Начнем с основного: что представляет собой цифровой рубль?

Цифровой рубль — это цифровое представление российской национальной валюты, которую ЦБ РФ планирует выпускать в дополнение к существующим формам денег. Всего у национальной валюты 3 формы: наличная, безналичная и цифровая — и все они равноценны. В отличии от безналичной формы рубля цифровой рубль будет храниться именно в Банке России, а не у банков-участников.

💡Платформа цифрового рубля по сути представляет собой систему взаимодействия между ЦБ и пользователями платформы. Она, как и аналогичные платформы, будет представлена в виде удобного для пользователя приложения, доступ и бесперебойное функционирование которого будут обеспечивать посредники между ЦБ и пользователями – банки-участники цифровой платформы. #цифровой_рубль

Читать статью

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Правительство может разрешить пользоваться импортными ПАК после 1 января 2025 года
Такую поправку к указу разработал Минпромторг, сообщают «Ведомости» со ссылкой на «федерального чиновника и топ-менеджера одной из нефтегазовых компаний».

🗣За повторные утечки персональных данных может быть наложен штраф до 3% от годового оборота компании
Законопроект планируется рассмотреть в осеннюю сессию. Действующее административное законодательство устанавливает максимальную ответственность за утечку ПДн до 100 тыс. руб.

🗣Роскомнадзор выявил атаку на 6 тыс. сайтов в Рунете с конца мая
С зараженных ресурсов злоумышленники совершали DDoS-атаки на инфраструктуру объектов государственного, транспортного, банковского, энергетического и других секторов.

🗣«ГосТех» представил методические рекомендации для разработки ПО ГИС на своей платформе
Это позволит внедрить единый структурированный подход к созданию ПО на платформе «ГосТех», а также соблюдать стандарты и требования платформы.

🗣РКН пояснил, как правильно подать заявление об утечке данных
Также регулятор рассказал про типовые ошибки, которые совершают операторы при подаче уведомления.

🗣Минцифры подготовило проект Цифрового кодекса
Закон должен систематизировать разрозненные нормативные акты в сфере IT и связи.

🗣53% DDoS-атак хактивистов на российские компании оказываются успешными
Эффективность атак проверялась с 1 июня по 31 августа 2023 года.

💬tg_AC

⚡️Олег Симаков, директор по развитию AKTIV.CОNSULTING, стал одним из спикеров конференции Guardant Day, которая прошла сегодня в Москве.

На мероприятии эксперт напомнил о важности и нужности внедрения процессов безопасной разработки.

👆Подробности — на видео!

Guardant Day — ежегодная конференция для специалистов в области разработки ПО. На встрече обсуждались способы решения самых актуальных задач, стоящих сегодня перед каждым вендором: обеспечение технической защиты, выбор бизнес-модели лицензирования и определение стратегии развития продукта.

💬tg_AC

🫥10 октября в Москве состоится ежегодная межотраслевая Конференция по вопросам регуляторики в сфере информационной безопасности.

На сайте уже доступна полная программа мероприятия, которая включает Пленарную сессию на тему «Регуляторика как эффективный инструмент взаимодействия» и 4 тематические сессии:

▶️КИИ — теория и практика исполнения законодательства.

▶️Финансовая отрасль: операционная надежность и киберриски.

▶️Безопасная разработка — лучшие практики и нормативы сезона 2023-2024.

▶️Комплаенс и оценки соответствия.


К участию в мероприятии приглашены представители ФСТЭК России, ЦБ, Минцифры, Роскомнадзора, Ассоциации банков России и многие другие.


▶️Регистрируйтесь!◀️
Будет интересно.


ℹ️Конференция по вопросам регуляторики в сфере информационной безопасности призвана объединить специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям. Программа мероприятия формируется программным комитетом на основании присланных заявок и не предполагает спонсорских докладов. Организатор — Ассоциация пользователей стандартов по информационной безопасности АБИСС.