ИБ в Узбекистане (ITTS)
Информационная безопасность в Узбекистане Администратор: @itts_uz Официальный сайт: www.itts.uz
Mostrar más688
Suscriptores
Sin datos24 horas
+27 días
+1830 días
- Suscriptores
- Cobertura postal
- ER - ratio de compromiso
Carga de datos en curso...
Tasa de crecimiento de suscriptores
Carga de datos en curso...
Photo unavailableShow in Telegram
🤔Существовует мнение что использование Windows значительно рискованнее, чем Linux, ведь вирусов под него практически нет.
🇺🇿📊Если посмотреть график пользовательских операционных систем по Узбекистану за последние 5 лет, то видно, что доля Windows снижается, доля Android растёт (по данным StatCounter). Значит ли это что проблем с кибербезопасностью становится меньше? Нет, наоборот.
Объяснение роста киберпреступления в том, что число пользователей интернет в Узбекистане увеличивается. А жертвами мошенников они становятся независимо от того какая у них операционная система.
В этом основная проблема киберезопасности - если пользователь не готов к встрече с киберпреступниками (опять кибергигиена), то его не спасёт никакое самое совершенное оборудование.🤷🏻♀️
👍 4🤔 2
🇺🇿Госреестр баз ПДн при Агентстве персонализации снова разместил в телеграм-канале ролик о проблеме фотографов в парках отдыха. Такие фотографы делают снимки прохожих и предлагают им потом выкупить готовые фотографии. В ролике комментатор (не названы ни его имя, ни организация которую он представляет) отмечает что такие действия фотографов попадают под статью 46.2 КоАО, а при повторном нарушении - под уголовный кодекс.
Все вопросы связанные с темой уличных фотографов мы поднимали в феврале, когда первый аналогичный ролик появился в канале госреестра.
🤔Если это официальная позиция государственного органа то она должна быть озвучена его представителем, отражена на официальном сайте или хотя бы в телеграм-канале. Но в таком виде, чтобы на неё можно было сослаться при составлении обращения. Как это сделать сейчас? Написать в заявлении “Я видел ролик, там один парень сказал что фотографировать на улице за деньги без разрешения нельзя”? А других реквизитов у этого комментария сейчас нет. 🤷🏻♀️
В прошлый раз большинство подписчиков придерживались мнения что фото на улице нельзя считать обработкой ПДн, и штрафовать за это нельзя.
👍 8
⚡️🇺🇿Депутаты нижней палаты Олий Мажлиса в третий раз обсудили законопроект об электронных доказательствах для борьбы с киберпреступлениями.
🛑Депутат Ильхом Абдуллаев указал на недостатки документа, предупредив о «катастрофических последствиях» в случае его принятия, "в этом виде его принимать нельзя".
Подробнее о сути претензий к законопроекту можно почитать в хорошем раборе от Gazeta.uz
Следственные органы получают большие полномочия при проведении доследственной проверки, проведение следственных действий в киберпространстве планируется проводить без понятых.
Целиком выступление с возражениями депутата можно посмотреть в записи трансляции.
🗳Несмотря на все высказанные опасения, возражения и предостережения, 89 депутатов проголосовали "За" принятие этого законопроекта в первом чтении. “Против” проголосовали только 4 депутата.
🤔 6👎 3
✍️Случай из практики. Пришли на сильно охраняемый режимный объект - полный осмотр, ничего не пронести и не вынести. Работник бюро пропусков чтобы не задерживать посетителей фотографирует их документы на телефон и возвращает владельцам. А потом, не спеша, вносит данные в журнал. Но все отснятые фотографии автоматически загружаются в личное облако и уже не удаляются оттуда.
Обсуждение рабочих вопросов продолжается на собственных устройствах пользователей, неподконтрольных организации и во внерабочее время. Бухгалтерия и кадры обмениваются проектами документов через Google drive.
🇺🇿В Узбекистане сложно представить человека который бы не пользовался Telegram-ом. Если запретить ему использовать его на рабочем компьютере, то он не перестанет им пользоваться во время работы, будет делать это уже с телефона или собственного ноутбука.
🕶Всё описанное называется термином “Теневые ИТ”. Это не страшный сон ИБ-специалиста, а суровая действительность.
Как бороться? Да почти невозможно. Вариант - завести в ИБ-отделе “доброго полицейского”, который будет на короткой ноге с работниками, обнаруживать такие дыры и сообщать о них. Но не с целью наказания, а для поисков решения.
☝️Если не можешь победить безобразие, нужно его возглавить. Например, разрешив установить Telegram на рабочий компьютер можно ввести его в “поле зрения” систем DLP.
Работник бюро пропусков, фотографирующий документы вряд ли шпион. Он просто хочет быть эффективнее и “клиентоориентированнее”. О рисках своей “оптимизации” он может и не догадываться. Нужно ему об этом рассказать и предложить решение проблемы.
В очередной раз приходим к тому что ИТ-специалист должен быть не только техником, но и психологом, просто хорошим человеком.
У вас на предприятии есть теневые ИТ о которых не догадывается отдел ИБ?
👍Да, наверняка есть
🤔Не знаю, впервые слышу про эту проблему
👎Нет, у нас всё под контролем, мышь не проскочит
👍 14🤔 5👎 1😁 1
🤫Ваш сосед ходит в лагманхону с друзьями. Но всегда вкушает в долг так как забывает дома деньги. Он завёл гугл-таблицу и фиксирует ФИО того кому должен, его номер телефона, адрес, сумму долга.
Должен ли он зарегистрировать эту базу в госреестре?Anonymous voting
- Да, должен регистрировать базу. Только “бумажную” не нужно регистрировать
- На данный случай закон не распространяется
- Должен регистрировать. Тут ещё и нарушение требований по локализации ПДн граждан РУз (ст.27.1)
- Не должен, так как Excel или Google sheet не является средством автоматизации (аналог бумаги)
👍 4😁 1
👨🏫На семинаре по кибергигиене мы что уже сейчас можно оформить доверенность на управление автомобилем с помощью ЭЦП. А скоро, вероятно, и сделки с недвижимостью будут проводиться онлайн. “Угнали” у вас ключ ЭЦП, вечером возвращаетесь домой, а там уже чужие люди.😬
🙅♀️В этот момент слушатели машут руками: “Зачем пугаете? Нет такого и вряд ли когда-то будет!”
⚡️🗞И вот сегодня сделан ещё один шаг к цифровизации. МинЮст сообщает, что:
Теперь доверенность на право распоряжение автотранспортным средством (продажа, дарение, мена, залог и другие виды распоряжения) можно оформить нотариально без посещения нотариуса.🚗То есть выписать так называемую “генеральную доверенность” можно онлайн. Как кажется из описания сейчас эта услуга подразумевает видео-конференцию с нотариусом. Так что страшилка с продажей квартиры онлайн - ещё на шаг ближе к реальности.🤖
👍 4🤔 2
Photo unavailableShow in Telegram
📱SMS-ками проблему кибергигены не решить. У нас выработался иммунитет к ним. Кто из вас читает рассылки от МЧС? 🧐
Даже если человека затащить на лекцию по кибергигиене - не факт что он советы примет к сведению.
Поэтому существует такая провокационная техника - делается рассылка по адресам работников с сообщением о том что им положена премия или с приказом о сокращении. В письме могут быть зацепки указывающие на фишинг: письмо с левого адреса, с ошибками, с вложением rar-файла, со ссылкой на внешний ресурс. Тех кто перейдут по ссылкам - в список на доп.обучение или лишают каких-то плюшек. Cуть метода - напугать человека заранее, чтобы он трижды подумал что и как он делает в почте и месенджерах.
Считаете ли вы допустимым устраивать приманки и ловушки для работников предприятия, а к попавшимся принимать какие-то меры?
👍Да, лучше пусть он попадётся в наш капкан, чем к злоумышленникам
🤔Сложная тема, не могу сформулировать своё мнение.
👎Нет, провокация это плохо, доверия к службе ИБ это не добавит
👍 25🤔 2👎 1
Photo unavailableShow in Telegram
☁️🇺🇿Вы наверняка видели что многие отечественные облачные провайдеры PaaS/IaaS сообщают о том что они “на 100% соответствуют требованиям законодательства РУз о персональных данных”. Они размещают свои серверные мощности на территории Узбекистана и таким образом реализуют требование статьи 27.1 закона “О персональных данных”.
😳Но в законе же есть ещё 36 статей, которые накладывают большие обязательства на оператора базы персональных данных - то есть фактически на любое предприятие. И эти остальные 36 статей провайдер услуг при всём желании за вас “закрыть” не сможет. Вам придётся начать разбираться самим.
Что же делать прямо сейчас?
1. Заполнить чек-лист по защите персональных данных. Так вы поймёте что у вас “есть”, а чего “нет”. За что хвататься.
2. Для руководства - понять, что отмахнуться от темы ПДн не получится. Нужно назначать DPO, снабжать его полномочиями
3. Прослушать наш семинар по ПДн.
👍 5😁 1
🤝Конференция по кибербезопасности KazHackStan 2024 пройдёт 11-13 сентября 2024 года в Алматы.
🔗Ссылка на бесплатную регистрацию.
🗓Как эта конференция проходила в прошлом году мы рассказали здесь.
👍 3
🇺🇿Новости форензики и цифровой криминалистики в Узбекистане.
На днях вышло Постановление Президента Республики Узбекистан “О мерах по организации научно-исследовательской деятельности в сфере цифровой криминалистики”
✍️Что интересно отметили мы:
При правоохранительной академии образуется Научно-исследовательский институт цифровой криминалистики. Он будет состоять из Специализированного центра цифровых исследований, отдела содействия цифровому следствию, отдела оказания методической помощи и лаборатории цифровой криминалистики.
С 1 августа 2024 года Институт наделяется правами:
- проводить судебные экспертизы и исследования по цифровой криминалистике;
- выявлять, изымать, хранить и исследовать цифровые следы преступлений, а также осуществлять подготовку заключений по изученным данным.
До 1 августа 2025 года должна быть создана межведомственная автоматизированная система «Единый реестр цифровых доказательств». В неё будут включаться цифровые доказательства в виде фотоснимков, видео-, аудиозаписей, адресов электронных кошельков, криптоактивов, IP-адресов, интернет-адресов (доменов), учетных записей (аккаунтов), данных о месте и времени их выявления.
🧐Удивление вызвал П4. дорожной карты - “Приобретение для Института беспилотных летательных аппаратов-(дронов), предоставление разрешения на их использование и хранение в установленном порядке.” Всё-таки цифровая криминалистика работает больше с киберпространством, которое по определению является виртуальной средой, созданной с помощью информационных технологий.
А как вы думаете, связаны ли БПЛА/дроны с киберпространством, кибербезопасностью, цифровой криминалистикой?
👍Да, однозначно связаны
🤔Сомневаюсь. Не разобрался(лась) с технологиями дронов
👎Нет, не связаны. Тогда уж и условную Tesla можно отнести к категории беспилотников
👎 15🤔 1
Elige un Plan Diferente
Tu plan actual sólo permite el análisis de 5 canales. Para obtener más, elige otro plan.