💡Для чего нужен цифровой рубль?

Для обычных пользователей (физических и юридических лиц) платформа позволит создать единый счет («кошелек») у оператора платформы (Банка России) через посредника (банка-участника).

Доступ к счету будет возможен через любой банк, участвующий в проекте по цифровому рублю. Такой вариант является несомненным плюсом для конечного пользователя при осуществлении переводов и платежей. Но важно знать, что для открытия такого счета пользователи должны будут пройти идентификацию через ЕСИА «Госуслуги».

🏦На текущий момент, перечень банков-участников пилотного проекта по цифровому рублю включает:
• АО «АЛЬФА-БАНК»
• АО «Банк ДОМ.PФ»
• АО Ингосстрах Банк
• Банк ВТБ (ПАО)
• Банк ГПБ (АО)
• КИВИ Банк (АО)
• ПАО «АК БАРС» БАНК
• ПАО «МТС-Банк»
• ПАО «Промсвязьбанк»
• ПАО «Совкомбанк»
• ПАО Банк Синара
• ПАО РОСБАНК
• ТКБ БАНК ПАО
Обратим внимание, что в Сбер и Тинькофф не принимают участие в тестировании цифрового рубля, хотя изначально были заявлены в пилотной группе.

В чем плюсы цифрового рубля?

✅Для государства цифровой рубль является перспективным инструментом, который поможет упростить трансграничные платежи, в том числе минуя международную систему SWIFT.

✅Преимуществом же для банков-участников платформы станет повышение своей конкурентоспособности на рынке благодаря созданию инновационных продуктов и новой платежной инфраструктуры. #цифровой_рубль

💬tg_AC

📢Продолжаем говорить о рисках в проектах по информационной безопасности. Сегодня разберем один из трудновыявляемых рисков:

Неготовность к изменениям в устоявшихся процессах со стороны команды заказчика.

❗Основная сложность обнаружения данного риска в том, что его никогда и никто не озвучивает вслух, тем более на установочной встрече представителей исполнителя и заказчика. При этом нужно понимать, что люди, принимающие решение о реализации проекта на стороне заказчика, и команда, которая его действительно будет реализовывать — это не всегда одни и те же люди. У специалистов, включенных в команду проекта, могут быть собственные задачи, взгляды на безопасность процессов, а также внутреннее сопротивление изменениям.

В том случае, если риск неготовности к изменениям актуален для вашей команды, работа над проектом может существенно замедлиться или совсем остановится на каком-то из этапов.

Для консультанта это выглядит следующим образом. Представители заказчика:

▶️выполняют собственные задачи в приоритете над проектными;

▶️боятся новых объемных задач по проекту;

▶️тормозят процесс сбора информации или внедрения требований;

▶️замедляют реализацию проекта, ожидая увеличение нагрузки по ходу реализации проекта и кардинальных изменений в своей привычной деятельности по его завершению.

Завтра рассмотрим, как бороться с данным риском.
#практика_РП

💬tg_AC

☯️Что нужно знать о практике идентификации и управления изменениями элементов критичной архитектуры для финансовых организаций?

Об этом 10 октября на Конференции по вопросам регуляторики в сфере информационной безопасности расскажет Александр Моисеев, главный консультант по ИБ AKTIV.CОNSULTING.

✅️️️️️️Эксперт примет участие в сессии 2 «Финансовая отрасль: операционная надежность и киберриски», в рамках которой будут обсуждаться вопросы реализации регуляторных требований по ИБ в организациях кредитно-финансовой сферы и возможное распределение зон ответственности. Модератором сессии станет Анастасия Харыбина, председатель Ассоциации АБИСС и руководитель AKTIV.CОNSULTING.

В своем докладе Александр Моисеев:

✅рассмотрит примеры типовой реализации процессов идентификации и управления изменениями элементов критичной архитектуры в финансовых организациях;

✅сравнит преимущества и недостатки существующих подходов;

✅представит рекомендации по внедрению тем организациям, у которых данные процессы не формализованы.


💡Кроме того, в рамках сессии 2 пройдет Круглый стол «Управление операционной надежностью и рисками информационных угроз», участие в котором примут руководители ведущих банков России. Модератором также выступит Анастасия Харыбина.

➡️ Узнать подробнее и зарегистрироваться на мероприятие


💬tg_AC

🗣Многие программные реализации схемы заполнения PKCS#1 v1.5 для обмена ключами RSA, которые ранее считались устойчивыми к широко известной атаке Даниэля Блейхенбахера, на самом деле уязвимы.

Уязвимость появлялась неоднократно, в последний раз в 2017 году, когда исследователи безопасности обнаружили, что по крайней мере 8 IT-поставщиков и открытых проектов были уязвимы для вариации оригинальной атаки Блейхенбахера.

↔️Эксперты обращают внимание, что атаки в стиле Блейхенбахера на протокол RSA все еще возможны и что уязвимые реализации распространены.

💬tg_AC

🫥Вчера мы обсуждали один из рисков в проектах по ИБ — неготовность к изменениям в устоявшихся процессах со стороны команды заказчика.

Как мы предлагаем бороться с данным риском:

▶️ Работаем со страхами на стороне команды заказчика: для начала нужно убедиться, что сопротивление действительно есть, и выяснить, почему оно возникает. Возможно, специалисты боятся увеличения нагрузки, опасаются за свою квалификацию или до конца не понимают целесообразность проекта. Со всем этим можно и нужно работать, так как это способно стать треком для развития как отдельных сотрудников, так и всей команды.

▶️ Дробим задачи на более мелкие: всем известно, что «слона нужно есть по частям».

▶️ Контролируем соблюдение сроков на всех этапах.

▶️ Упрощаем задания по трансформации текущей безопасности заказчика без потери содержания.

▶️ Убеждаем заказчика в необходимости внедрения тех или иных требований для соблюдения качества проекта.

Если все вышеперечисленное не помогло, необходимо эскалировать проблему инициатору проекта со стороны заказчика и предложить внедрить требования для соблюдения качества проекта.


❓Поделитесь в комментариях, как часто вы в своей практике сталкивались с данным риском и сопротивлением изменениям со стороны проектной команды?

В следующих постах разберем остальные наиболее существенные риски из анонсированного списка. Оставайтесь с нами – будет интересно. #практика_РП


💬tg_AC

🌩Если вы задумываетесь о передаче части своих функций в облако, рано или поздно перед вами встанет вопрос: как же выбрать подрядчика? Давайте разбираться.

В первую очередь, необходимо:

1. Определить цели: почему ваша организация хочет воспользоваться услугами облачного провайдера. Это может быть экономическая целесообразность, развитие бизнеса, новые цели, которые организация ставит перед службой ИТ и ИБ и т.д.

2. Составить список процессов, которые вы планируете передать подрядчику.

3. Позаботиться о рисках передачи работы на аутсорсинг и подготовить «план Б» на случай отказа от услуг провайдера или перехода к другому оператору.

Только после этого можно приступать к поиску подрядчика. Так как, собственно, его выбирать?

Во втором выпуске подкаста «Безопасный выход» данному вопросу посвящен целый блок. Эксперты подробно обсудили различные критерии, начиная со стандартных:

💛есть ли у компании компетенции в необходимой области;
💛был ли похожий опыт;
💛есть ли у провайдера SLA, и что в него входит;
💛готов ли подрядчик брать ответственность за процессы и покрывать возможные риски;
💛есть ли у оператора карта процесса, т.е. поэтапное понимание, как и что нужно делать.

И заканчивая не такими популярными, но очень важными:

💛занимается ли оператор добровольной сертификацией, а также аттестацией своей платформы;
💛готов ли подрядчик показать, как устроена его инфраструктура;
💛может ли провайдер организовать встречу со своими заказчиками, которые готовы рассказать о своем клиентском опыте.

‼️Также важно помнить, что как бы четко не был прописан SLA, всегда будет некая «серая» зона. Поэтому чем лучше клиент с подрядчиком понимают свои риски и умеют с ними работать, тем меньше останется непроясненных моментов на старте. #подкаст

Еще больше информации вы найдете, посмотрев подкаст.


◀️ Видео

🎧 Аудио

Ждем ваших комментариев!


💬tg_AC

🗣Учёные обнаружили, что тысячи компьютеров и других устройств, подключенных к интернету, непреднамеренно или целенаправленно предоставляют доступ к миллионам файлов с потенциально чувствительной информацией.

Исследователи выявили около 314 000 отдельных устройств и веб-серверов с открытыми каталогами. Анализ показал, что сотни устройств содержат резервные копии баз данных, а также файлы с расширениями таблиц. Более 9 000 из них связаны с финансовой информацией, а тысячи других файлов могут содержать данные для аутентификации, сетевые данные и многие другие.

❗️Открытые каталоги, через которые можно получить доступ к файлам, обычно закрыты для свободного доступа, но из-за ошибок в настройке иногда становятся общедоступны. Поиск таких каталогов для некоторых стал хобби, в то время как утечка информации из них может привести к серьёзным последствиям.

Подробнее

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣В Правительстве одобрили компенсации пострадавшим от утечек
Минцифры в своем Telegram-канале расписали порядок действий для получения выплат.

🗣Представлен проект федерального закона «О технологической политике в РФ»
В документе предусмотрено улучшение защиты информационных ресурсов, а также укрепление безопасности личности, общества и государства.

🗣ЦБ разрешил ИТ- и ИБ-руководителям без опыта работы в банковской сфере становиться зампредами правления банков
Такое решение приняла рабочая группа Банка России по оптимизации регуляторной нагрузки на участников финансового рынка.

🗣У платформы «ГосТех» появится центр реагирования и мониторинга кибератак
Минцифры до конца года выделит 450 млн рублей на обеспечение кибербезопасности государственной платформы.

🗣На этой неделе системы бронирования авиакомпаний подверглись мощным DDoS-атакам
В «Ростехе» целью атак называют остановку авиаперевозок в России.

🗣Злоумышленники составляют профили потенциальных жертв при разработке мошеннических схем
По словам экспертов, информацию о россиянах ищут не только в украденных базах данных, но и в социальных сетях.

🗣В России могут запустить трансграничные расчеты на базе блокчейна и цифровых активов
Правительством в координации с Банком России подготовлен пошаговый план по созданию такой системы.

💬tg_AC

📑Вчера, 1 октября, вступила в силу новая редакция стандарта правил информационного обмена о кибератаках и инцидентах информационной безопасности в финансовой сфере (СТО БР БФБО-1.5-2023).

Согласно документу:

✅ФинЦЕРТ Банка России будет получать сведения обо всех участниках мошеннических операций, а не только о конечном получателе похищенных денег;

✅банки могут предоставлять информацию о мошеннических переводах по более чем 50 уникальным признакам;

✅банки должны обращать внимание на нетипичные для клиента денежные операции с нового телефона или компьютера;

✅при направлении в ФинЦЕРТ информации о выявленных подозрительных транзакциях банки должны указывать уникальный набор устройств, с которых совершались такие действия (модель и производителя, номер сим-карты, геолокацию и др.);

✅сведения о кибератаках и утечках ПДн требуется предоставлять максимально подробно в соответствии с международной системой классификации действий злоумышленников;

✅упрощен порядок взаимодействия участников информационного обмена с ФинЦЕРТ за счет стандартизации механизма обмена данными.


💭 Как отметил директор департамента информационной безопасности ЦБ Вадим Уваров, новая редакция правил подготовлена с учетом актуальных приемов кибермошенников, формы запросов адаптированы под предстоящий информационный обмен между Банком России и МВД России по фактам хищений денежных средств при переводах.

💬tg_AC

🗣Рекомендуем тем, кто интересуется пентестом и Bug Bounty, хочет разобраться в DevOps или чья работа связана с уязвимостями, канал «Дневник Безопасника».

Автор канала — middle-пентестер, который раскрывает секреты популярных методов оценки безопасности компьютерных систем.

💛Какой платформой автоматизации можно воспользоваться для оптимизации пентеста, и как её установить?

💛Как бороться с атакой Pastejacking, которая манипулирует данными в буфере обмена пользователя?

💛Какие импакты можно получить от эксплуатации XSS?


Заходите и узнавайте!

️️️Кроме того, автор канала участвует в большом количестве ИТ/ИБ мероприятий. Поэтому с ним можно пообщаться и обсудить все грани пентеста не только онлайн, но и при встрече.

⬇️

✅Летом ЦБ РФ опубликовал два проекта Положений:

1. О платформе цифрового рубля.
2. О требованиях к обеспечению защиты информации для участников платформы цифрового рубля.

И если первый проект был рассмотрен и широко освещен во многих средствах массовой информации, то второй незаслуженно обошли стороной и редко упоминали в СМИ.

Давайте восполним этот пробел и рассмотрим основные моменты второго Положения:

➡️Согласно документу участники цифровой платформы должны размещать свою инфраструктуру, обеспечивающую операции с цифровым рублем, в выделенных сегментах сети. Для защиты инфраструктуры будет необходимо опираться на ГОСТ Р 57580.1. Данный документ знаком участникам рынка, и его требования уже давно выполняются в рамках иных финансовых операций.

➡️К инфраструктуре, обеспечивающей операции с цифровым рублем, предъявляются требования стандартного (2) уровня защиты информации. В то же время значимые кредитные организации должны будут применять меры усиленного (1) уровня защиты информации.

➡️Участники должны проводить оценку соответствия требованиям к защите информации не реже 1 раза в 2 года, с привлечением лицензиата по технической защите конфиденциальной информации.

➡️На данный момент уровень оценки соответствия защиты информации должен быть не ниже 3 для всех участников, а с 1 января 2024 года — не ниже 4.

➡️Участники должны обеспечить ежегодный пентест и анализ уязвимостей выделенных сегментов.

➡️В рамках проекта предъявляются также требования к защите с использованием СКЗИ.


Из всего вышесказанного можно сделать вывод, что для банков-участников данные предписания уже знакомы, и выполнить их будет несложно. И хотя исполнение таких требований неминуемо приведет к финансовым и временным тратам внутри организаций-участников, реализация платформы цифрового рубля может привлечь банкам много новых клиентов и нивелировать затраты.
#цифровой_рубль

💬tg_AC

🗣За полгода шифровальщик LostTrust проник в сети 53 организаций. Вредоносная программа появилась в интернете в марте этого года, но широкую известность приобрела только в прошлом месяце, когда начала использовать собственный сайт утечек в сети Tor.

↔️Чтобы охватить максимально возможное количество целевых файлов, зловред принудительно завершает мешающие ему службы Windows. В создаваемой вредоносом записке сказано, что его операторы таким образом привлекают внимание к брешам в ИТ-инфраструктуре, на защиту которой нельзя жалеть средств.

💬tg_AC

⌨️Какие факторы сдерживают применение Bug Bounty в России?

Нехватка правоприменительной практики по данной теме, а также отсутствие в законодательстве определения как самих исследований, так и их границ, являются одними из ключевых препятствий.

💡Это создает риски не только для заказчиков Bug Bounty, но и также для «белых хакеров», чьи действия могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со статьей 272 УК РФ.


⏺К сожалению, такие прецеденты уже были: в августе 2021 года возбудили уголовное дело о попытке взлома компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина.

Спецслужбы подозревали в этом бывшего сотрудника техподдержки интернет-провайдера «Макснет Системы». Сам специалист утверждал, что не занимался взломом, а, наоборот, пытался пресечь атаку на ресурсы клиентов извне, проверяя их роутеры на наличие уязвимостей. Осложнило дело то, что он не получил разрешения у клиента на сканирование сетевого оборудования.


✅С другой стороны, движение в сторону снятия ряда юридических барьеров идет. Куратором данного процесса выступает Минцифры. В мае 2022 года директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин анонсировал планы по запуску программы Bug Bounty для госсистем. Для начала «белым хакерам» предложили проверить на уязвимости сайт «Госуслуг».

Летом 2022 года появилась информация, что Министерство работает над созданием правовой базы для Bug Bounty. В начале октября прошлого года Владимир Бенгин сообщил ряду СМИ, что ведомство прорабатывает вопрос внедрения практики применения программ Bug Bounty для всех владельцев государственных информационных систем.

📄Представители Министерства не озвучивали точных сроков, в которые может быть разработана и принята правовая база для применения Bug Bounty. Мы надеемся, что это случится в ближайшее время и расширит область применения подобных услуг. #bugbounty

💬tg_AC

🫥 Как встроить элементы безопасности в процессы разработки прикладного ПО в соответствии с отраслевыми стандартами и требованиями регуляторов?

✅На Конференции по вопросам регуляторики в сфере информационной безопасности Александр Моисеев рассмотрит особенности реализации требований к безопасной разработке ПО в промышленных организациях, а также на реальных примерах разберет необходимые шаги по внедрению элементов безопасности в процессы разработки прикладного ПО.

📍Эксперт станет одним из спикеров сессии 3 «Безопасная разработка — лучшие практики и нормативы сезона 2023-2024», на которой будут рассмотрены процессы безопасной разработки с точки зрения регуляторных требований и их практического применения.

Конференция по вопросам регуляторики в сфере информационной безопасности состоится уже 10 октября.

➡️ Успейте зарегистрироваться по ссылке.


💬tg_AC

☯️Какие риски, связанные с цифровым рублем, возможны с точки зрения кибербезопасности?

Даже несмотря на приведенные в этом посте требования ЦБ по обеспечению безопасности информации, нужно понимать, что это не панацея.

▶️По мере роста популярности цифрового рубля возможно появление новых схем преступной деятельности. Для этого прежде всего могут использовать низкий уровень осведомленности населения о том, как работает новая форма денег, что в итоге приведет к созданию мошеннических сайтов и возникновению лже-консультантов по вопросам работы с цифровым рублем.

▶️Несмотря на высокий уровень защиты системы, всё ещё невозможно исключить риск социальной инженерии, когда человек сам предоставляет преступникам свои конфиденциальные данные и доступ к счету. И хоть в случае с цифровыми деньгами отследить мошенников будет проще, это их вряд ли остановит. На каждый вариант защиты они придумают несколько новых идей, как эту защиту обойти.

Решение данной проблемы уже давно известно: необходимо повышать уровень грамотности населения в области кибербезопасности. И это касается не только цифрового рубля, но и финансовой системы в целом. #цифровой_рубль

💬tg_AC

⚙️Как выработать комплексный подход к обеспечению операционной надежности?

Сегодня в финансовой организации около половины доходов уходит на операционную деятельность, также создаются резервы, уплачиваются налоги и другие накладные расходы. В итоге остается прибыль, часть которой акционеры могут отправлять в качестве инвестиций на развитие бизнеса.

⏺Максимизируя прибыль, менеджмент сильно сокращает операционные расходы, а значит заметно снижает качество услуг. Как следствие, в финансовой организации в перспективе уменьшается доходная часть.

⏺С другой стороны, если не сдерживать операционные расходы, в т.ч. и на обеспечение безопасности услуг, они будут стремиться к уровню доходов, а бенефициары могут остаться без прибыли и возможности инвестирования в развитие бизнеса.

Как найти золотую середину в определении размера расходов на обеспечение операционной надежности? Мы будем говорить об этом в следующих постах. #опернадежность

➡️ Подробнее в статье эксперта AKTIV.CОNSULTING Олега Симакова.

💬tg_AC

🗣Компания Sony уведомила нынешних и бывших сотрудников (а также членов их семей) о кибератаке, в результате которой была раскрыта их личная информация.

Утечка затронула данные 6791 человек. Теперь всем пострадавшим будут предоставлены бесплатные услуги кредитного мониторинга и восстановления личности.

💬tg_AC