🫥Вчера мы обсуждали один из рисков в проектах по ИБ — неготовность к изменениям в устоявшихся процессах со стороны команды заказчика.

Как мы предлагаем бороться с данным риском:

▶️ Работаем со страхами на стороне команды заказчика: для начала нужно убедиться, что сопротивление действительно есть, и выяснить, почему оно возникает. Возможно, специалисты боятся увеличения нагрузки, опасаются за свою квалификацию или до конца не понимают целесообразность проекта. Со всем этим можно и нужно работать, так как это способно стать треком для развития как отдельных сотрудников, так и всей команды.

▶️ Дробим задачи на более мелкие: всем известно, что «слона нужно есть по частям».

▶️ Контролируем соблюдение сроков на всех этапах.

▶️ Упрощаем задания по трансформации текущей безопасности заказчика без потери содержания.

▶️ Убеждаем заказчика в необходимости внедрения тех или иных требований для соблюдения качества проекта.

Если все вышеперечисленное не помогло, необходимо эскалировать проблему инициатору проекта со стороны заказчика и предложить внедрить требования для соблюдения качества проекта.


❓Поделитесь в комментариях, как часто вы в своей практике сталкивались с данным риском и сопротивлением изменениям со стороны проектной команды?

В следующих постах разберем остальные наиболее существенные риски из анонсированного списка. Оставайтесь с нами – будет интересно. #практика_РП


💬tg_AC

🌩Если вы задумываетесь о передаче части своих функций в облако, рано или поздно перед вами встанет вопрос: как же выбрать подрядчика? Давайте разбираться.

В первую очередь, необходимо:

1. Определить цели: почему ваша организация хочет воспользоваться услугами облачного провайдера. Это может быть экономическая целесообразность, развитие бизнеса, новые цели, которые организация ставит перед службой ИТ и ИБ и т.д.

2. Составить список процессов, которые вы планируете передать подрядчику.

3. Позаботиться о рисках передачи работы на аутсорсинг и подготовить «план Б» на случай отказа от услуг провайдера или перехода к другому оператору.

Только после этого можно приступать к поиску подрядчика. Так как, собственно, его выбирать?

Во втором выпуске подкаста «Безопасный выход» данному вопросу посвящен целый блок. Эксперты подробно обсудили различные критерии, начиная со стандартных:

💛есть ли у компании компетенции в необходимой области;
💛был ли похожий опыт;
💛есть ли у провайдера SLA, и что в него входит;
💛готов ли подрядчик брать ответственность за процессы и покрывать возможные риски;
💛есть ли у оператора карта процесса, т.е. поэтапное понимание, как и что нужно делать.

И заканчивая не такими популярными, но очень важными:

💛занимается ли оператор добровольной сертификацией, а также аттестацией своей платформы;
💛готов ли подрядчик показать, как устроена его инфраструктура;
💛может ли провайдер организовать встречу со своими заказчиками, которые готовы рассказать о своем клиентском опыте.

‼️Также важно помнить, что как бы четко не был прописан SLA, всегда будет некая «серая» зона. Поэтому чем лучше клиент с подрядчиком понимают свои риски и умеют с ними работать, тем меньше останется непроясненных моментов на старте. #подкаст

Еще больше информации вы найдете, посмотрев подкаст.


◀️ Видео

🎧 Аудио

Ждем ваших комментариев!


💬tg_AC

🗣Учёные обнаружили, что тысячи компьютеров и других устройств, подключенных к интернету, непреднамеренно или целенаправленно предоставляют доступ к миллионам файлов с потенциально чувствительной информацией.

Исследователи выявили около 314 000 отдельных устройств и веб-серверов с открытыми каталогами. Анализ показал, что сотни устройств содержат резервные копии баз данных, а также файлы с расширениями таблиц. Более 9 000 из них связаны с финансовой информацией, а тысячи других файлов могут содержать данные для аутентификации, сетевые данные и многие другие.

❗️Открытые каталоги, через которые можно получить доступ к файлам, обычно закрыты для свободного доступа, но из-за ошибок в настройке иногда становятся общедоступны. Поиск таких каталогов для некоторых стал хобби, в то время как утечка информации из них может привести к серьёзным последствиям.

Подробнее

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣В Правительстве одобрили компенсации пострадавшим от утечек
Минцифры в своем Telegram-канале расписали порядок действий для получения выплат.

🗣Представлен проект федерального закона «О технологической политике в РФ»
В документе предусмотрено улучшение защиты информационных ресурсов, а также укрепление безопасности личности, общества и государства.

🗣ЦБ разрешил ИТ- и ИБ-руководителям без опыта работы в банковской сфере становиться зампредами правления банков
Такое решение приняла рабочая группа Банка России по оптимизации регуляторной нагрузки на участников финансового рынка.

🗣У платформы «ГосТех» появится центр реагирования и мониторинга кибератак
Минцифры до конца года выделит 450 млн рублей на обеспечение кибербезопасности государственной платформы.

🗣На этой неделе системы бронирования авиакомпаний подверглись мощным DDoS-атакам
В «Ростехе» целью атак называют остановку авиаперевозок в России.

🗣Злоумышленники составляют профили потенциальных жертв при разработке мошеннических схем
По словам экспертов, информацию о россиянах ищут не только в украденных базах данных, но и в социальных сетях.

🗣В России могут запустить трансграничные расчеты на базе блокчейна и цифровых активов
Правительством в координации с Банком России подготовлен пошаговый план по созданию такой системы.

💬tg_AC

📑Вчера, 1 октября, вступила в силу новая редакция стандарта правил информационного обмена о кибератаках и инцидентах информационной безопасности в финансовой сфере (СТО БР БФБО-1.5-2023).

Согласно документу:

✅ФинЦЕРТ Банка России будет получать сведения обо всех участниках мошеннических операций, а не только о конечном получателе похищенных денег;

✅банки могут предоставлять информацию о мошеннических переводах по более чем 50 уникальным признакам;

✅банки должны обращать внимание на нетипичные для клиента денежные операции с нового телефона или компьютера;

✅при направлении в ФинЦЕРТ информации о выявленных подозрительных транзакциях банки должны указывать уникальный набор устройств, с которых совершались такие действия (модель и производителя, номер сим-карты, геолокацию и др.);

✅сведения о кибератаках и утечках ПДн требуется предоставлять максимально подробно в соответствии с международной системой классификации действий злоумышленников;

✅упрощен порядок взаимодействия участников информационного обмена с ФинЦЕРТ за счет стандартизации механизма обмена данными.


💭 Как отметил директор департамента информационной безопасности ЦБ Вадим Уваров, новая редакция правил подготовлена с учетом актуальных приемов кибермошенников, формы запросов адаптированы под предстоящий информационный обмен между Банком России и МВД России по фактам хищений денежных средств при переводах.

💬tg_AC

🗣Рекомендуем тем, кто интересуется пентестом и Bug Bounty, хочет разобраться в DevOps или чья работа связана с уязвимостями, канал «Дневник Безопасника».

Автор канала — middle-пентестер, который раскрывает секреты популярных методов оценки безопасности компьютерных систем.

💛Какой платформой автоматизации можно воспользоваться для оптимизации пентеста, и как её установить?

💛Как бороться с атакой Pastejacking, которая манипулирует данными в буфере обмена пользователя?

💛Какие импакты можно получить от эксплуатации XSS?


Заходите и узнавайте!

️️️Кроме того, автор канала участвует в большом количестве ИТ/ИБ мероприятий. Поэтому с ним можно пообщаться и обсудить все грани пентеста не только онлайн, но и при встрече.

⬇️

✅Летом ЦБ РФ опубликовал два проекта Положений:

1. О платформе цифрового рубля.
2. О требованиях к обеспечению защиты информации для участников платформы цифрового рубля.

И если первый проект был рассмотрен и широко освещен во многих средствах массовой информации, то второй незаслуженно обошли стороной и редко упоминали в СМИ.

Давайте восполним этот пробел и рассмотрим основные моменты второго Положения:

➡️Согласно документу участники цифровой платформы должны размещать свою инфраструктуру, обеспечивающую операции с цифровым рублем, в выделенных сегментах сети. Для защиты инфраструктуры будет необходимо опираться на ГОСТ Р 57580.1. Данный документ знаком участникам рынка, и его требования уже давно выполняются в рамках иных финансовых операций.

➡️К инфраструктуре, обеспечивающей операции с цифровым рублем, предъявляются требования стандартного (2) уровня защиты информации. В то же время значимые кредитные организации должны будут применять меры усиленного (1) уровня защиты информации.

➡️Участники должны проводить оценку соответствия требованиям к защите информации не реже 1 раза в 2 года, с привлечением лицензиата по технической защите конфиденциальной информации.

➡️На данный момент уровень оценки соответствия защиты информации должен быть не ниже 3 для всех участников, а с 1 января 2024 года — не ниже 4.

➡️Участники должны обеспечить ежегодный пентест и анализ уязвимостей выделенных сегментов.

➡️В рамках проекта предъявляются также требования к защите с использованием СКЗИ.


Из всего вышесказанного можно сделать вывод, что для банков-участников данные предписания уже знакомы, и выполнить их будет несложно. И хотя исполнение таких требований неминуемо приведет к финансовым и временным тратам внутри организаций-участников, реализация платформы цифрового рубля может привлечь банкам много новых клиентов и нивелировать затраты.
#цифровой_рубль

💬tg_AC

🗣За полгода шифровальщик LostTrust проник в сети 53 организаций. Вредоносная программа появилась в интернете в марте этого года, но широкую известность приобрела только в прошлом месяце, когда начала использовать собственный сайт утечек в сети Tor.

↔️Чтобы охватить максимально возможное количество целевых файлов, зловред принудительно завершает мешающие ему службы Windows. В создаваемой вредоносом записке сказано, что его операторы таким образом привлекают внимание к брешам в ИТ-инфраструктуре, на защиту которой нельзя жалеть средств.

💬tg_AC

⌨️Какие факторы сдерживают применение Bug Bounty в России?

Нехватка правоприменительной практики по данной теме, а также отсутствие в законодательстве определения как самих исследований, так и их границ, являются одними из ключевых препятствий.

💡Это создает риски не только для заказчиков Bug Bounty, но и также для «белых хакеров», чьи действия могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со статьей 272 УК РФ.


⏺К сожалению, такие прецеденты уже были: в августе 2021 года возбудили уголовное дело о попытке взлома компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина.

Спецслужбы подозревали в этом бывшего сотрудника техподдержки интернет-провайдера «Макснет Системы». Сам специалист утверждал, что не занимался взломом, а, наоборот, пытался пресечь атаку на ресурсы клиентов извне, проверяя их роутеры на наличие уязвимостей. Осложнило дело то, что он не получил разрешения у клиента на сканирование сетевого оборудования.


✅С другой стороны, движение в сторону снятия ряда юридических барьеров идет. Куратором данного процесса выступает Минцифры. В мае 2022 года директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин анонсировал планы по запуску программы Bug Bounty для госсистем. Для начала «белым хакерам» предложили проверить на уязвимости сайт «Госуслуг».

Летом 2022 года появилась информация, что Министерство работает над созданием правовой базы для Bug Bounty. В начале октября прошлого года Владимир Бенгин сообщил ряду СМИ, что ведомство прорабатывает вопрос внедрения практики применения программ Bug Bounty для всех владельцев государственных информационных систем.

📄Представители Министерства не озвучивали точных сроков, в которые может быть разработана и принята правовая база для применения Bug Bounty. Мы надеемся, что это случится в ближайшее время и расширит область применения подобных услуг. #bugbounty

💬tg_AC

🫥 Как встроить элементы безопасности в процессы разработки прикладного ПО в соответствии с отраслевыми стандартами и требованиями регуляторов?

✅На Конференции по вопросам регуляторики в сфере информационной безопасности Александр Моисеев рассмотрит особенности реализации требований к безопасной разработке ПО в промышленных организациях, а также на реальных примерах разберет необходимые шаги по внедрению элементов безопасности в процессы разработки прикладного ПО.

📍Эксперт станет одним из спикеров сессии 3 «Безопасная разработка — лучшие практики и нормативы сезона 2023-2024», на которой будут рассмотрены процессы безопасной разработки с точки зрения регуляторных требований и их практического применения.

Конференция по вопросам регуляторики в сфере информационной безопасности состоится уже 10 октября.

➡️ Успейте зарегистрироваться по ссылке.


💬tg_AC

☯️Какие риски, связанные с цифровым рублем, возможны с точки зрения кибербезопасности?

Даже несмотря на приведенные в этом посте требования ЦБ по обеспечению безопасности информации, нужно понимать, что это не панацея.

▶️По мере роста популярности цифрового рубля возможно появление новых схем преступной деятельности. Для этого прежде всего могут использовать низкий уровень осведомленности населения о том, как работает новая форма денег, что в итоге приведет к созданию мошеннических сайтов и возникновению лже-консультантов по вопросам работы с цифровым рублем.

▶️Несмотря на высокий уровень защиты системы, всё ещё невозможно исключить риск социальной инженерии, когда человек сам предоставляет преступникам свои конфиденциальные данные и доступ к счету. И хоть в случае с цифровыми деньгами отследить мошенников будет проще, это их вряд ли остановит. На каждый вариант защиты они придумают несколько новых идей, как эту защиту обойти.

Решение данной проблемы уже давно известно: необходимо повышать уровень грамотности населения в области кибербезопасности. И это касается не только цифрового рубля, но и финансовой системы в целом. #цифровой_рубль

💬tg_AC

⚙️Как выработать комплексный подход к обеспечению операционной надежности?

Сегодня в финансовой организации около половины доходов уходит на операционную деятельность, также создаются резервы, уплачиваются налоги и другие накладные расходы. В итоге остается прибыль, часть которой акционеры могут отправлять в качестве инвестиций на развитие бизнеса.

⏺Максимизируя прибыль, менеджмент сильно сокращает операционные расходы, а значит заметно снижает качество услуг. Как следствие, в финансовой организации в перспективе уменьшается доходная часть.

⏺С другой стороны, если не сдерживать операционные расходы, в т.ч. и на обеспечение безопасности услуг, они будут стремиться к уровню доходов, а бенефициары могут остаться без прибыли и возможности инвестирования в развитие бизнеса.

Как найти золотую середину в определении размера расходов на обеспечение операционной надежности? Мы будем говорить об этом в следующих постах. #опернадежность

➡️ Подробнее в статье эксперта AKTIV.CОNSULTING Олега Симакова.

💬tg_AC

🗣Компания Sony уведомила нынешних и бывших сотрудников (а также членов их семей) о кибератаке, в результате которой была раскрыта их личная информация.

Утечка затронула данные 6791 человек. Теперь всем пострадавшим будут предоставлены бесплатные услуги кредитного мониторинга и восстановления личности.

💬tg_AC

​​📖 Сведения о принятых национальных и международных стандартах за III квартал 2023 года

ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за III квартал 2023 года.

📣Новостной дайджест прошедшей недели

🗣Минцифры раскрыло планы по запуску программ bug bounty
В 2023 году ведомство хочет запустить программы поиска уязвимостей за вознаграждение для 20 информационных систем.

🗣«ГосТех» призвал отказаться от открытого ПО
Глава платформы подчеркнул, что с момента проектирования в программные продукты должны закладываться безопасные решения.

🗣Бизнес-сообщество предложило поднимать штраф компаниям за каждую утечку персональных данных
Рассчитывать оборотный штраф за повторную утечку предлагают таким образом: размер предыдущего штрафа умножается на порядковый номер правонарушения.

🗣Для хранения отечественного софта к 2027 году может быть создана система защищенных репозиториев
Первоначально в нее будет включено около 30% доверенных отечественных решений, а к 2030 году этот показатель достигнет 80%.

🗣Более 150 млн рублей потратил Росбанк на внедрение цифрового рубля
Самые большие затраты пришлись на информационную безопасность.

🗣ИИ проверят на устойчивость к кибератакам
По результатам проверки будет получена оценка сохранения системой работоспособности в условиях внешнего воздействия.

🗣За полгода в России утекло 705 млн. записей с персональными данными граждан
В мировом масштабе число утечек конфиденциальной информации возросло в 2,4 раза, если сравнивать с показателями предыдущего отчетного периода.

💬tg_AC

🫥Как правильно определить объем расходов на обеспечение операционной надежности?

Для этого будет полезно связать инциденты, с которыми сталкивается финансовая организация при осуществлении своей операционной деятельности, и возможный ущерб от них.

Проведение такого анализа состоит из шести этапов:
1. Инициация
2. Определение границ анализа
3. Разработка шкалы критичности
4. Обследование процессов финансовых организаций
5. Анализ данных
6. Подведение итогов

Далее о каждом этапе подробнее.

➡️Первый этап — инициация

Собираем команду и определяемся с целями анализа. Рекомендуем включать в команду специалистов следующих направлений:
✅ИБ;
✅ИТ;
✅управление рисками;
✅представители бизнеса и бизнес-юнитов, понимающих как устроены бизнес-процессы внутри компании.

Формируя цели анализа, можно опираться на текущую ситуацию и задачи организации в настоящий момент. Цели могут быть оформлены в аналитический отчет, который готовится для принятия решений руководством. Помимо этого, можно изучить бизнес-кейс, где описаны планируемые изменения в организации, а также дорожную карту, разработанную на несколько лет. В рамках этих стратегических планов полезно посмотреть, чем компания рискует и как события могут повлиять на ее доходы. #опернадежность

💬tg_AC

❌ На прошлой неделе в России произошел масштабный сбой в работе китайской экосистемы Xiaomi — приложения и устройства просто перестали работать. Вскоре проблему частично исправили, а в Xiaomi сообщили, что случившееся стало результатом сбоя на оборудовании.

Чем подобные сбои чреваты для российских предприятий?

В промышленности используется широкий класс умных устройств. Это всевозможные умные датчики, исполнительные устройства, системы видеоаналитики и т.п., которые применяются в производственных линиях, при изготовлении продукции, для учета потребляемых ресурсов. Зачастую умные устройства IoT могут иметь подключения к платформам сбора, накопления и обработки данных, построенных на принципах облачных технологий.

↙️При негативном сценарии развития событий оборудование может превратиться в кирпич, а работа целых экосистем продуктов остановлена. Если умные устройства и обрабатываемые ими данные будут использованы со злым умыслом, может быть нанесен реальный ущерб жизням и здоровью людей, экологии и экономике.

Подробнее в комментарии нашего эксперта Александра Моисеева.

💬tg_AC

⚡️В Москве стартовала Конференция АБИСС по вопросам регуляторики информационной безопасности.

Наш эксперт Варвара Шубина кратко рассказала о мероприятии и поделилась, что сегодня ждет гостей и участников встречи.

⬇️Подробности — на видео!⬇️

Будем держать вас в курсе происходящего на конференции и по возможности делиться ключевыми тезисами.

💬tg_AC

​​​​🫥 Изменения в 149-ФЗ в части облаков

Хасин Е. В. (Заместитель директора Департамента обеспечения кибербезопасности Минцифры) в ходе пленарной сессии конференции АБИСС
по вопросам регуляторики
информационной безопасности анонсировал (но не раскрыл подробностей) скорое внесение изменения в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» в части регулирования (в т.ч. по ИБ?) области облачных вычислений.