💬 "Практически каждому пятому россиянину отказали в приеме на работу из-за содержания личных страниц в соцсетях. К таким выводам пришли эксперты проекта «HR Lab.— Лаборатория HR Инноваций» и платформы «Академия здоровья», исследовав влияние активности кандидатов в соцсетях на процесс трудоустройства. Многие работодатели просят соискателей представить адреса профилей еще до этапа собеседования. Онлайн-портрет сегодня является одним из инструментов для оценивания качеств потенциального работника, значение которого будет расти, подтверждают опрошенные “Ъ” эксперты."
➡️ Источник: https://www.kommersant.ru/doc/6295764?from=main
Для кого-то эта новость может показаться смешной (Как это так, еще есть какие-то компании, которые не используют в своей практике просмотр соцсетей кандидатов?), но это реальность. Я на практике неоднократно сталкивался с тем, что рекрутеры и HR очень разных компаний (даже очень крупных) в России вообще не понимают зачем смотреть соцсети, хотя, казалось бы.
Стоит сразу оговориться по нескольким моментам:
1️⃣ Исследование проведено на маленькой выборке - 1663 респондента, поэтому надо делать сильную скидку на фразу: "Практически каждому пятому россиянину отказали в приеме на работу из-за содержания личных страниц в соцсетях".
2️⃣ Естественно, анализ соцсетей - это дополнительный КОСВЕННЫЙ метод оценки и не основной. Но он очень показателен и информативен по многим вопросам. Бывает так, что иногда можно на некоторые вопросы касательно конкретного кандидата получить прямые ответы, а не косвенные.
#asc_обзор_новостей #asc_profiling #asc_osint
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос про личную безопасность топ-менеджеров и CEO в крупных компаниях очень важен и сложен. В России в некоторых отраслях есть своя специфика:
💬 «Зачем мне вообще нужна охрана, в каком веке мы вообще живем, да и что со мной случится?»
Как бы странно это не звучало, есть довольно большой процент топов, которые считают личную охрану и все вытекающие из нее вещи - стеснительными, неудобными и ненужными. Самое частое возражение, с которым приходится сталкиваться: «Это стоит много денег, а смысла нет. Деньги на ветер.» CEO и топ-менеджмент - это часть КИИ любого бизнеса. Если с ними что-то случится, бизнесу будет очень плохо. Я уже не говорю о чисто человеческой стороне вопроса, потому что у всех есть семьи. Естественно, есть сферы, в которых топы таких вопросов не задают. Они просто знают, что это необходимость. Это не «блашь», а реальная часть BCP, которая прописана в учебниках по корпоративной безопасности везде.
Натолкнула меня на этот пост статья издания The Holywood Reporter. В ней как раз рассказывается о том, сколько крупнейшие международные комании тратят на личную безопасность своих CEO.
PS: в это понятие входит не только физическая охрана, которая ходит за тобой каждый день или возит твоих детей в школу, но и:
- проверка помещений перед переговорами или поездкой на частном самолете;
- периодический физ.пентест жилья на предмет уязвимостей, слепых зон камер и т.д.;
- безопасность цифровых устройств (личные гаджеты, домашний wi-fi и т.д.)
И многое другое…
➡️ Источник: https://www.hollywoodreporter.com/business/business-news/hollywood-ceo-perks-private-jets-free-internet-more-1235629498/
Спойлер: на Цукерберга в год уходит 25 $ млн. В 2018 эти же расходы на него компании обходились в 7 $ млн.
По некоторым рассказам коллег, в Китае вообще есть своя система подсчета бюджета на подобные мероприятия и цифры там кратно выше, чем у Цукерберга.
#asc_security #asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 «В Ассоциации больших данных (АБД), в которую входят крупнейшие российские IT-компании, разработали концепцию отраслевого стандарта защиты данных. В ней определяются надежные подходы к хранению и сбору данных, а также методики совершенствования системы информационной безопасности. Чем больше данных собирает компания, чем выше их значимость и чувствительность, тем серьезнее требования к инфраструктуре и её безопасности. Документ также предлагает прозрачный механизм добровольной оценки соответствия компаний новому стандарту.»
➡️ Источник: https://rubda.ru/association_news/rossijskie-it-kompanii-razrabotali-konczepcziyu-otraslevogo-standarta-zashhity-dannyh/
Хочется, сказать: «Наконец свершилось, начало положено!» Это очень хорошая новость в масштабах нашей страны. Если инициатива будет развиваться, у нас есть реальный шанс повысить общий уровень ИБ у бизнеса, потому что все начнут жить в рамках одной парадигмы (как с прохождением сертификации). Это также и для регулятора полезно: будет некий единый стандарт по которому можно оценивать уровень защищенности и, как следствие, в случае утечки вынести справедливое решение. Подобные инициативы в разы лучше в долгосрок, чем просто введение оборотных штрафов, имхо.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Опять слоупочные новости, как выражается Pandora, но лучше поздно, чем никогда.
💬 "Команда разработки автоматического определителя номера «Яндекса» обнаружила потенциальную уязвимость операционных систем Apple, которой могут воспользоваться мошенники.
Пользователи iOS 17 получили возможность настраивать постер контакта — устанавливать любое изображение, а также указывать свои имя и фамилию, которые видят другие пользователи операционной системы.
Сообщается, что именно этой функцией могут воспользоваться злоумышленники. Вместо имени и фамилии они могут написать любой текст: например, «Важный звонок из полиции» или «Служба безопасности банка». Так они подделывают привычные многим предупреждения от сервисов для определения номеров. Когда позвонят мошенники, пользователь увидит подсказку определителя, если их номер телефона есть в базе. Однако новые номера аферистов попадают в базы нежелательных контактов с некоторой задержкой."
➡️ Источник: https://iz.ru/1614271/2023-12-02/stalo-izvestno-o-novom-vide-mobilnogo-moshennichestva?main_click
Очень любопытная дырка, которая лишний раз доказывает аксиому: всегда нужно обновляться! Но если еще не обновились по каким-то причинам, то самый простой способ валидации такой: постер злоумышленников и реальное оповещение отличаются. У вас должно быть указано, какое именно приложение предоставляет информацию (как на фото выше). Если приложение не указано, значит это злоумышленники.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Я как обычно слоупок, так как новость прошла около недели назад, но тут есть о чем поговорить.
💬 "Если ранее считалось, что информация о счете в швейцарском банке доступна только клиенту и самому банку, то теперь из-за политики правительства по борьбе с отмыванием денег банки вынуждены следовать жестким правилам, в том числе и в отношении раскрытия информации о вкладчиках."
➡️ Источник: https://www.bloomberg.com/news/articles/2023-12-12/swiss-banking-secrecy-gone-now-reformers-are-targeting-legal-secrecy
Во-первых, стоит оговориться, что пока не ясно до конца, какие именно данные стали теперь публичными, за исключением реальных личностей владельцев организаций. Поэтому голословно говорить про полное отсутствие банковской тайны тоже не корректно.
Во-вторых, тут снова хочется вспомнить про крики о "Большом брате" и тотальной слежке. Швейцария немного пошла против тренда в этом кейсе: решила просто, чтобы "все знали всё о всех". При этом, даже повод нашли логичный - большое количество подставных компаний. Еще бы, ведь Швейцария всегда была одним из самых привлекательных мест для богатых людей со всего мира в контексте агрегирования своих ресурсов.
В целом, инициатива очень интересная. Не понятно, снизит ли это это количество подставных фирм, но понаблюдать будет любопытно.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Если вы подписаны на канал больше 1,5 лет, то помните, что раньше у меня была рубрика с обзором новостей за неделю. По фидбеку показалось, что она не особо интересна, поэтому я ее убрал. Но дело было, скорее, в ее частоте, а не в заинтересованности. Поэтому я подумал, что иногда такие посты будут, но максимально стихийно и по интересным поводам.
💬 "За время праздничных выходных дней в январе 2024 г. в сеть утекло 116,5 млн строк данных российских пользователей. Подавляющее большинство – 115,2 млн строк – из IT-систем финансового сектора, также пострадали сегмент телекома и IT-компании, ритейл и госсектор, рассказал «Ведомостям» руководитель сервиса мониторинга внешних цифровых угроз ГК «Солар» Александр Вураско."
➡️ Источник
Это к вопросу о том, что некоторые эксперты отмечали снижение утечек в последнее время. Речь тут идет про повышение на 10% по сравнению с аналогичным периодом 2024 года. И мне кажется, что рост обусловлен недавним массивным сливом Альфа Банка, об этом ниже.
💬 "8 января 2023 г. в интернете была опубликована база данных клиентов «Альфа-банка». Хакеры, выложившие базу, сообщают, что получили доступ к персональным данным клиентов в октябре 2023 г. По заверениям группировки, в базе содержатся ФИО, дата рождения, номера телефонов, карт и счетов 38 млн уникальных физических и юридических лиц. Хакеры распространяют базу данных на своих интернет-ресурсах."
➡️ Источник
В очередной раз выбрана стратегия: "данные скомпилированы из других утечек и к нам отношения не имеют". Откуда там тогда номер счета и карты, непонятно. Как по мне, было ясно, что утечка действительно случилась еще в октябре 2023. Сейчас слили полный дамп, потому что все, кто смог с этого что-то поиметь, уже поимели.
💬 "И вот на Reddit один пользователь показал, как можно использовать Stable Diffusion для обхода механизма KYC в различных дистанционных сервисах. ИИ-сервис генерации картинок позволяет создавать реалистичные фотографии людей, держащих документы, идентифицирующие их личность (тоже сгенерированные нейросетью), или листки с якобы рукописным текстом."
➡️ Источник
Совершенно очевидно, что это было просто вопросом времени. Видимо банкам придется массово улучшать софт по распознаванию дипфейков (уверен, что многие этим занимаются уже давно), потому что это реальная угроза.
PS: давайте поставим палец вверх, если такой формат постов (не часто) будет появляться в том или ином виде.
#asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 "Исследователи из Колумбийского университета и Университета в Буффало совершили прорыв в сфере криминалистики, разработав систему искусственного интеллекта, способную связывать отпечатки пальцев одного человека, оставленные на разных местах преступления. Данное открытие оспаривает существующее предположение о том, что отпечатки разных пальцев одного человека уникальны и несопоставимы."
➡️ Источник: https://www.securitylab.ru/news/545136.php?ysclid=lrepfv1b2r739926244
Крайне интересная новость и исследование в целом. Если будет какая-то следующая итерация на еще большей выборке и результат будет похожим, тогда действительно можно будет сказать, что небольшая революция в криминалистике случилась. На мой взгляд, пока еще надо понаблюдать. Но даже уже сейчас система может помогать специалистам и сильно экономить время расследования (если только будет достаточная критическая масса данных для идентификации).
#asc_обзор_новостей #asc_criminal #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Хоть выборка и очень маленькая, но исследование интересное с точки зрения лучшего понимания нарциссического расстройства и "темной триады" в перспективе.
💬 "Группа израильских ученых, в числе которых Besser A., Morse T., Zeigler-Hill V., провела исследование связи черт нарциссической личности с желанием создавать цифровые аватары для себя и других среди 1041 человек. Результаты, представленные исследователями в International Journal of Environmental Research and Public Health, показали, что черты нарциссической личности связаны с боязнью смерти и желанием символического бессмертия через мотивацию к вечной жизни и поддержке других."
➡️ Первоисточник: https://www.mdpi.com/1660-4601/20/17/6632
➡️ Краткий пересказ на русском: https://psyandneuro.ru/novosti/digital-immortality/
#asc_статья #asc_profiling #asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM
В этот раз снова про утечки и ответственность.
💬 «Количество утечек персональных данных россиян продолжает расти. С начала 2024 года в Сеть попало более 510 млн записей, что в полтора раза больше, чем за весь 2023 год. Роскомнадзор бьет тревогу и призывает к ужесточению мер ответственности за подобные нарушения.
В 2023 году РКН насчитал 168 утечек персональных данных, в результате которых в интернете оказалось 300 млн записей. Суды рассмотрели 87 составленных ведомством протоколов и назначили штрафы на общую сумму более 4,6 млн руб. Однако, по мнению экспертов, эти меры не достаточно эффективны для предотвращения нарушений.»
➡️ Источник
Было бы странно, если бы количество утечек уменьшилось. Скорее всего, в ближайшие год-два (как минимум), нам это точно не светит. Ну и РКН говорит только про ужесточение ответственности за утечки, но ни слова про разработку мер по усилению ИБ и просвещению бизнеса в этом смысле. Замкнутый круг.
💬 «В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, есть в распоряжении «Известий». Сейчас он проходит процедуру межведомственного согласования, уточнили в ЦБ.
Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.»
➡️ Источник
А вот это интересно. С точки зрения понятной мотивации, как минимум. Если топ-менеджмент заинтересован в ИБ, то это будет спускаться по всей вертикали.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Начнем с небольшой преамбулы для демонстрации:
Аудитория у меня очень разная, но я люблю рассказывать про простые вещи тоже. Поэтому, раз до сих пор есть такие инфоповоды, давайте разберемся еще раз.
PS: акцент сделаем на схему "Следователь СК" в разных вариациях.
Покажите это вашим пожилым родственникам и освежите свою память тоже:
Нужно задать всего один вопрос, если вы сомневаетесь: "Продиктуйте ваши фамилию, имя, отчество, служебный номер и должность. Я запишу и вам перезвонит мой адвокат." Реальные следователи будут обязаны вам все это сказать, хотя и без энтузиазма.
Ну конечно нет. Сегодня все это может узнать любой школьник из-за огромного количества утечек и разных ботов в телеге.
Ну и в конце в качестве домашнего чтения вот вам парочка полезных статей:
#asc_hack_and_security #asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 "Американская разведка анонсировала новую стратегию по работе с информацией из открытых источников, намереваясь расширить и улучшить сбор и анализ данных на фоне непрерывно растущего потока информации.
В документе, представленном Управлением директора национальной разведки (ODNI) и ЦРУ, рассказывается о разработке методик сбора, создания и доставки разведданных из открытых источников (OSINT) до 2026 года. Несмотря на важность инициативы, конкретные детали четырехэтапной стратегии в докладе изложены лишь в общих чертах."
После прочтения все-таки становится ясно, что речь идет про большее распространение OSINT в целом, но на всякий случай напомню, что OSINT как бы уже не один десяток лет является полноценной разведовательной дисциплиной.
Вот несколько примеров:
#asc_обзор_новостей #asc_osint
Please open Telegram to view this post
VIEW IN TELEGRAM
С 2017 года ребята из Data Leakage & Breach Intelligence делают обзор отечественного рынка пробива по годам. Сейчас подъехал очередной, в котором есть несколько очень примечательных моментов.
Лично меня заинтересовало 3 факта:
На всякий случай напомню, что все это абсолютно незаконно. И для понимания, очень рекомендую обратить внимание в статье на графики. Там отчетливо виден рост цен за последние годы и связано это не только с инфляцией, но и с новыми рисками, с которыми сталкиваются недобросовестные сотрудники на местах (что хорошо). Достаточно посмотреть практику наказаний за незаконную передачу информации в последние пару лет.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 "Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.
Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, отмечается в документах."
Впервые о поправках в ст. 1280, ч.4 ГК РФ я услышал в декабре 2023. Я настороженно отношусь к таким изменениям, потому что первое впечатление может быть обманчиво из-за любви законодателей к перегибам и крайностям. Будем наблюдать. Если реализуют нормально - это будет просто прекрасно.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Что-то 2024 год богат на поиск новых решений в биометрии и идентифкации человека. Буквально в январе было интересное исследование, которое предварительно показало, что папиллярные узоры человека (отпечатки), возможно, не такие уж и уникальные, как мы считали десятки лет. Теперь еще и вот эта новость:
💬 "«Отпечаток мозга» по аналогии с отпечатком пальца научились делать российские ученые. В Институте проблем управления им. В. А. Трапезникова РАН провели исследование идентификации личности человека по активности головного мозга.
Как собирают электроэнцефалограмму: на голову пациенту надевают шапочку с электродами, каждый из которых нацелен на соответствующую зону мозга, отражающую слуховой, зрительный и другие потенциалы. Полученные данные электроэнцефалограммы мы представили в виде спектрограмм, отражающих особенность мозговой деятельности каждого участника эксперимента, а затем по ним обучали нейросеть идентифицировать наших добровольцев."
Естественно, какие-то выводы делать очень преждевременно, но что-то мне подсказывает, что потенциал очень высокий. Пока что выборка смешная, но на больших величинах, скорее всего, процент идентификации будет в разы точнее.
Пока лично у меня возникают вопросы с интеграцией подобного решения и согласием людей на "обработку своих мозговых волн" (будет истерия), как бы страшно это не звучало 😁 Это же придется приравнивать к ПДн...или вообще массовое использование запретят. Очень интересно будет понаблюдать за развитием!
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Немного запоздалая новость от меня (как обычно), но, при этом, очень важная. Я по работе сталкиваюсь с кейсами по сталкингу если не каждую неделю, то пару раз в месяц точно. Эти кейсы всегда очень непростые и не типовые. Будет супер круто, если статья появится и получится этот инструмент как-то использовать в работе.
💬 "Законопроектом подразумевается введение в КоАП отдельной статьи «Преследование». Под этим термином предлагается понимать систематическое совершение действий, направленных на причинение жертве нравственных страданий. Это может быть выражено, в частности, в направлении сообщений — по телефону, в соцсетях, письмах и др.
В правовом поле РФ защититься от преследователей пока непросто, отмечается в пояснительной записке. В действующем законодательстве нет прямой уголовной ответственности за травлю человека, а также отсутствуют меры, которые могли бы сдерживать сталкера."
Возможно, я когда-нибудь сделаю какой-то отдельный материал или доклад с чисто обезличенными кейсами из практики. Есть много чего рассказать.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Решил дождаться официального подтверждения от компании, которое было выложено 2 дня назад, прежде, чем что-то комментировать. Теперь можно.
💬 "По информации Dropbox, хакеры смогли на некоторое время получить доступ к платформе Dropbox Sign eSignature, токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах.
Сервис Dropbox Sign (ранее HelloSign) — это платформа электронной подписи, позволяющая клиентам хранить, отправлять и подписывать документы онлайн. Причём эти электронные подписи имеют юридическую силу."
Если вы пользовались сервисом, то новый пароль однозначно не должен быть похож на предыдущий (старый уже сбросили) и не забудьте сбросить токены двухфакторки, так как они тоже были скомпрометированы.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Во-первых, из-за выбора локации и свободного посещения части секций, народу в этом году была просто тьма! В день открытия орги зафиксировали, кажется, около 40 тыс. человек в офлайне. В этом году PHD реально был киберфестивалем - праздником для любого возраста и это очень круто!
Во-вторых, доклады уже выложили на канале, поэтому традиционно делюсь теми, которые понравились именно мне:
Были и другие крутые выступления, но без записи. К примеру, "Auto Root", в котором раскрыли тему уязвимостей некоторых современных китайских автомобилей.
Отдельно стоит отметить Standoff. Очень захватывающее зрелище, особенно, когда некоторые критические события реализуются в режиме реального времени и ты видишь последствия прямо на макете!
А вот тут есть очень интересные дискуссии с ведущими вендорами ИБ-услуг и представителей власти:
Последняя дискуссия достойна отдельного внимания, поэтому продолжение ниже ⬇️
#asc_hack_and_security #asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Естественно, я не мог обойти стороной этот трек. В дискуссии поучаствовали даже представители регулятора.
Очень многие коллеги уже высказались на счет этого обсуждения, позволю и я себе вставить несколько мыслей:
Самый адекватный комментарий я услышал от Бенгина: "Нельзя запрещать инструменты". Абсолютно полностью с этим согласен. Возможно, стоит создать экспертную группу, кто действительно разбирается в вопросе, раз уж мы хотим как-то зарегулировать эту сферу. А то получится, как всегда. Тут можно было бы порассуждать еще много о чем, но за меня это уже сделали некоторые другие каналы, поэтому поищите. Я, возможно, выскажусь на эту тему в виде полноценной статьи как-нибудь попозже.
#asc_hack_and_security #asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 «Минцифры России планирует изменить на портале «Госуслуг» процедуру оформления займов в микрофинансовых организациях (МФО) для борьбы с мошенниками, которые выводят средства с помощью чужих учетных записей на свои счета.
От учетки "Госуслуг" можно подать все документы на получение кредита, но указать реквизиты банковской карты другого человека, дальше деньги прямо в заявлении выводятся, условно, на дропера, подставное лицо, – сказал министр.
Минцифры будет «закрывать эту опцию», и тогда получить кредит сможет «только то лицо, которое обратилось», пообещал глава Минцифры.»
Это просто шикарные новости! Много лет это является очевидной дыркой. В совокупности с инициативой самозапрета выдачи кредитов, это прямо сильно поможет снизить подобный вид мошенничества. Будем надеяться, что инициативу не похоронят.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Прошло время, большинство докладов на фоне я наконец досмотрел, поэтому решил выложить вторую часть подборки. Важно: это мое субъективное мнение, так же, как и в первой части. У разных коллег на каналах есть подборки с другими докладами.
Ждем следующего года для новых подборок 😎
#asc_hack_and_security #asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM