ИБ в Узбекистане (ITTS)

🤔Существовует мнение что использование Windows значительно рискованнее, чем Linux, ведь вирусов под него практически нет. 🇺🇿📊Если посмотреть график пользовательских операционных систем по Узбекистану за последние 5 лет, то видно, что доля Windows снижается, доля Android растёт (по данным StatCounter). Значит ли это что проблем с кибербезопасностью становится меньше? Нет, наоборот. Объяснение роста киберпреступления в том, что число пользователей интернет в Узбекистане увеличивается. А жертвами мошенников они становятся независимо от того какая у них операционная система. В этом основная проблема киберезопасности - если пользователь не готов к встрече с киберпреступниками (опять кибергигиена), то его не спасёт никакое самое совершенное оборудование.🤷🏻‍♀️

🇺🇿Госреестр баз ПДн при Агентстве персонализации снова разместил в телеграм-канале ролик о проблеме фотографов в парках отдыха. Такие фотографы делают снимки прохожих и предлагают им потом выкупить готовые фотографии. В ролике комментатор (не названы ни его имя, ни организация которую он представляет) отмечает что такие действия фотографов попадают под статью 46.2 КоАО, а при повторном нарушении - под уголовный кодекс. Все вопросы связанные с темой уличных фотографов мы поднимали в феврале, когда первый аналогичный ролик появился в канале госреестра. 🤔Если это официальная позиция государственного органа то она должна быть озвучена его представителем, отражена на официальном сайте или хотя бы в телеграм-канале. Но в таком виде, чтобы на неё можно было сослаться при составлении обращения. Как это сделать сейчас? Написать в заявлении “Я видел ролик, там один парень сказал что фотографировать на улице за деньги без разрешения нельзя”? А других реквизитов у этого комментария сейчас нет. 🤷🏻‍♀️ В прошлый раз большинство подписчиков придерживались мнения что фото на улице нельзя считать обработкой ПДн, и штрафовать за это нельзя.

⚡️🇺🇿Депутаты нижней палаты Олий Мажлиса в третий раз обсудили законопроект об электронных доказательствах для борьбы с киберпреступлениями. 🛑Депутат Ильхом Абдуллаев указал на недостатки документа, предупредив о «катастрофических последствиях» в случае его принятия, "в этом виде его принимать нельзя". Подробнее о сути претензий к законопроекту можно почитать в хорошем раборе от Gazeta.uz Следственные органы получают большие полномочия при проведении доследственной проверки, проведение следственных действий в киберпространстве планируется проводить без понятых. Целиком выступление с возражениями депутата можно посмотреть в записи трансляции. 🗳Несмотря на все высказанные опасения, возражения и предостережения, 89 депутатов проголосовали "За" принятие этого законопроекта в первом чтении. “Против” проголосовали только 4 депутата.

✍️Случай из практики. Пришли на сильно охраняемый режимный объект - полный осмотр, ничего не пронести и не вынести. Работник бюро пропусков чтобы не задерживать посетителей фотографирует их документы на телефон и возвращает владельцам. А потом, не спеша, вносит данные в журнал. Но все отснятые фотографии автоматически загружаются в личное облако и уже не удаляются оттуда. Обсуждение рабочих вопросов продолжается на собственных устройствах пользователей, неподконтрольных организации и во внерабочее время. Бухгалтерия и кадры обмениваются проектами документов через Google drive. 🇺🇿В Узбекистане сложно представить человека который бы не пользовался Telegram-ом. Если запретить ему использовать его на рабочем компьютере, то он не перестанет им пользоваться во время работы, будет делать это уже с телефона или собственного ноутбука. 🕶Всё описанное называется термином “Теневые ИТ”. Это не страшный сон ИБ-специалиста, а суровая действительность. Как бороться? Да почти невозможно. Вариант - завести в ИБ-отделе “доброго полицейского”, который будет на короткой ноге с работниками, обнаруживать такие дыры и сообщать о них. Но не с целью наказания, а для поисков решения. ☝️Если не можешь победить безобразие, нужно его возглавить. Например, разрешив установить Telegram на рабочий компьютер можно ввести его в “поле зрения” систем DLP. Работник бюро пропусков, фотографирующий документы вряд ли шпион. Он просто хочет быть эффективнее и “клиентоориентированнее”. О рисках своей “оптимизации” он может и не догадываться. Нужно ему об этом рассказать и предложить решение проблемы. В очередной раз приходим к тому что ИТ-специалист должен быть не только техником, но и психологом, просто хорошим человеком. У вас на предприятии есть теневые ИТ о которых не догадывается отдел ИБ? 👍Да, наверняка есть 🤔Не знаю, впервые слышу про эту проблему 👎Нет, у нас всё под контролем, мышь не проскочит

👨‍🏫На семинаре по кибергигиене мы что уже сейчас можно оформить доверенность на управление автомобилем с помощью ЭЦП. А скоро, вероятно, и сделки с недвижимостью будут проводиться онлайн. “Угнали” у вас ключ ЭЦП, вечером возвращаетесь домой, а там уже чужие люди.😬 🙅‍♀️В этот момент слушатели машут руками: “Зачем пугаете? Нет такого и вряд ли когда-то будет!” ⚡️🗞И вот сегодня сделан ещё один шаг к цифровизации. МинЮст сообщает, что:

Теперь доверенность на право распоряжение автотранспортным средством (продажа, дарение, мена, залог и другие виды распоряжения) можно оформить нотариально без посещения нотариуса.

🚗То есть выписать так называемую “генеральную доверенность” можно онлайн. Как кажется из описания сейчас эта услуга подразумевает видео-конференцию с нотариусом. Так что страшилка с продажей квартиры онлайн - ещё на шаг ближе к реальности.🤖

📱SMS-ками проблему кибергигены не решить. У нас выработался иммунитет к ним. Кто из вас читает рассылки от МЧС? 🧐 Даже если человека затащить на лекцию по кибергигиене - не факт что он советы примет к сведению. Поэтому существует такая провокационная техника - делается рассылка по адресам работников с сообщением о том что им положена премия или с приказом о сокращении. В письме могут быть зацепки указывающие на фишинг: письмо с левого адреса, с ошибками, с вложением rar-файла, со ссылкой на внешний ресурс. Тех кто перейдут по ссылкам - в список на доп.обучение или лишают каких-то плюшек. Cуть метода - напугать человека заранее, чтобы он трижды подумал что и как он делает в почте и месенджерах. Считаете ли вы допустимым устраивать приманки и ловушки для работников предприятия, а к попавшимся принимать какие-то меры? 👍Да, лучше пусть он попадётся в наш капкан, чем к злоумышленникам 🤔Сложная тема, не могу сформулировать своё мнение. 👎Нет, провокация это плохо, доверия к службе ИБ это не добавит

☁️🇺🇿Вы наверняка видели что многие отечественные облачные провайдеры PaaS/IaaS сообщают о том что они “на 100% соответствуют требованиям законодательства РУз о персональных данных”. Они размещают свои серверные мощности на территории Узбекистана и таким образом реализуют требование статьи 27.1 закона “О персональных данных”. 😳Но в законе же есть ещё 36 статей, которые накладывают большие обязательства на оператора базы персональных данных - то есть фактически на любое предприятие. И эти остальные 36 статей провайдер услуг при всём желании за вас “закрыть” не сможет. Вам придётся начать разбираться самим. Что же делать прямо сейчас? 1. Заполнить чек-лист по защите персональных данных. Так вы поймёте что у вас “есть”, а чего “нет”. За что хвататься. 2. Для руководства - понять, что отмахнуться от темы ПДн не получится. Нужно назначать DPO, снабжать его полномочиями 3. Прослушать наш семинар по ПДн.

🤝Конференция по кибербезопасности KazHackStan 2024 пройдёт 11-13 сентября 2024 года в Алматы. 🔗Ссылка на бесплатную регистрацию. 🗓Как эта конференция проходила в прошлом году мы рассказали здесь.

🇺🇿Новости форензики и цифровой криминалистики в Узбекистане. На днях вышло Постановление Президента Республики Узбекистан “О мерах по организации научно-исследовательской деятельности в сфере цифровой криминалистики” ✍️Что интересно отметили мы: При правоохранительной академии образуется Научно-исследовательский институт цифровой криминалистики. Он будет состоять из Специализированного центра цифровых исследований, отдела содействия цифровому следствию, отдела оказания методической помощи и лаборатории цифровой криминалистики. С 1 августа 2024 года Институт наделяется правами: - проводить судебные экспертизы и исследования по цифровой криминалистике; - выявлять, изымать, хранить и исследовать цифровые следы преступлений, а также осуществлять подготовку заключений по изученным данным. До 1 августа 2025 года должна быть создана межведомственная автоматизированная система «Единый реестр цифровых доказательств». В неё будут включаться цифровые доказательства в виде фотоснимков, видео-, аудиозаписей, адресов электронных кошельков, криптоактивов, IP-адресов, интернет-адресов (доменов), учетных записей (аккаунтов), данных о месте и времени их выявления. 🧐Удивление вызвал П4. дорожной карты - “Приобретение для Института беспилотных летательных аппаратов-(дронов), предоставление разрешения на их использование и хранение в установленном порядке.” Всё-таки цифровая криминалистика работает больше с киберпространством, которое по определению является виртуальной средой, созданной с помощью информационных технологий. А как вы думаете, связаны ли БПЛА/дроны с киберпространством, кибербезопасностью, цифровой криминалистикой? 👍Да, однозначно связаны 🤔Сомневаюсь. Не разобрался(лась) с технологиями дронов 👎Нет, не связаны. Тогда уж и условную Tesla можно отнести к категории беспилотников