AKTIV.CONSULTING

📣Новостной дайджест прошедшей недели 🗣В России прорабатывается вопрос создания категории «спецоператора обработки персональных данных» Предполагается, что данная категория будет помогать в обеспечении безопасности хранения и обработки ПДн. Наш эксперт рассмотрел, нужен ли бизнесу такой «спецоператор». 🗣Ущерб от киберпреступлений в России превысил объем рынка ИБ Всего за прошлый год было совершено 677 тысяч киберпреступлений, потери от которых составили более 156 млрд рублей. 🗣Минцифры подвели промежуточные итоги второго этапа багбаунти В 10 государственных системах обнаружено около 100 уязвимостей, большинство из которых — с низкой степенью критичности. 🗣Сбер: в открытом доступе находится около 10 млрд записей с персональными данными россиян Представитель банка отметил, что для начала диалога с потенциальной жертвой преступнику достаточно знать имя, фамилию и номер телефона, а дальше используются приёмы социальной инженерии. 🗣Ассоциация больших данных раскритиковала поправки к законопроекту об обезличенных ПДн В частности, что доступ к данным получат только государственные и муниципальные органы, а также компании из специального перечня, при этом согласие граждан на передачу данных не потребуется. 🗣МВД: WhatsApp оказался уязвим для взлома аккаунтов пользователей В ведомстве подчеркнули, что основная проблема мессенджера заключается в невысоком уровне защиты мобильного приложения, в особенности веб-версии сервиса. 🗣На «Госуслугах» тестируют технологию GPT Планируется, что данная технология будет использоваться для консультации граждан. 💬tg_AC

⚽️Как будет обеспечена безопасность на Евро-2024? Сегодня стартует Евро-2024 — грандиозное событие для любителей футбола, которое пройдет в Германии. Сборные из разных стран сойдутся в соревновании за звание чемпиона Европы. Давайте рассмотрим, какими же силами обеспечивается безопасность такого масштабного мероприятия? 🌦Безопасность участников и болельщиков Этот пункт является приоритетным для организаторов Евро-2024, и в рамках турнира будут приниматься многочисленные меры защиты всех участников события. Союз европейских футбольных ассоциаций (UEFA) заключил контракт до 2030 года с французской IT-корпорацией Atos на предоставление услуг по комплексному обеспечению ИБ на подобных мероприятиях. 🔐В частности, Atos обеспечит поддержку ИТ-инфраструктуры, необходимой для размещения сервисов, приложений и данных UEFA, а также организует процессы управления кибербезопасностью, мониторинга и реагирования на инциденты, которые могут происходить с сотрудниками UEFA, журналистами и тренерскими штабами сборных. Среди возможных инцидентов — рассылка фишинговых писем, имитирующих официальные сообщения от организаторов Евро-2024, с помощью которых посетителей могут обманом заставить поделиться личными данными или перейти по зараженным ссылкам🔗 Кроме того, особое внимание уделят безопасности мобильного приложения и сайта турнира, на которых будет размещена вся информация, связанная с покупкой билетов на матчи (персональные данные болельщиков, платежная информация). 🌦Билеты и доступ на стадион Безопасность на матчах будет усилена, на каждой игре задействуют от 800 до 1300 полицейских (в зависимости от участвующих команд). Доступ на стадион будет включать в себя три уровня проверок: досмотр транспортных средств на первом периметре, досмотр сумок на втором и сканирование билетов на третьем. Такая же этапность проверок планируется к введению и в фан-зонах, крупнейшая из которых будет организована в Берлине у Бранденбургских ворот. Подобные скопления людей могут являться привлекательной целью для террористов, поэтому дополнительно будет осуществляться мониторинг воздушного пространства. 🌦 Международный центр политического сотрудничества Также хочется отметить создание Международного центра политического сотрудничества в городе Нойс на западе Германии, где около 300 экспертов по безопасности из всех стран-участниц будут следить за событиями и обеспечивать оперативное реагирование на происходящие инциденты. Мы верим, что благодаря продуманным мерам безопасности каждый будет чувствовать себя защищенно и сможет насладиться атмосферой футбольного праздника на Евро-2024 в Германии. ⚽️ А вы планируете смотреть Евро-2024? 💬tg_AC

Президент России запретил ИБ услуги из недружественных стран 📜 Владимир Путин расширил указ о мерах по обеспечению информационной безопасности Российской Федерации. ❌ Согласно новому постановлению, начиная с 1 января 2025 года, государственным органам, а также стратегическим и системообразующим организациям, запрещается использовать услуги и сервисы информационной безопасности, предоставляемые недружественными государствами. ✔️ В предыдущей версии указа говорилось о запрете использования систем защиты информации из недружественных стран и их компании. Теперь указ дополнен запретом на пользование «сервисами (работами, услугами) по обеспечению информационной безопасности, предоставляемыми (выполняемыми, оказываемыми) этими организациями». #ИБ #запрет #Россия @SecLabNews

🔊 Проект ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования» На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования».

📢19 июня в 11.00 состоится вебинар АБИСС «Регуляторика биометрических технологий», на котором эксперты рассмотрят ошибки при защите биометрии, а также сделают краткий обзор биометрических технологий с точки зрения применения в регуляторике. На вебинаре вы узнаете о: 🐪правильном трактовании понятий аутентификации и идентификации; 🐪возможности использования биометрического фактора как единственного; 🐪выборе биометрических модальностей; 🐪подводных камнях при биометрическом распознавании и установлении личности; 🐪типовых ошибках при защите биометрии и способах их избежать. Участие в вебинаре бесплатное. Необходима предварительная регистрация. 🆗Зарегистрироваться 💬tg_AC

🫥ИТ-комитет Госдумы, Минцифры и Роскомнадзор прорабатывают вопрос создания категории «спецоператора обработки персональных данных» — доверенных операторов ПДн. Предполагается, что данная категория будет помогать в обеспечении безопасности хранения и обработки ПДн. 💛Портал RSpectr опросил экспертов отрасли и узнал, нужен ли бизнесу такой «спецоператор». Наш консультант по ИБ Никита Козин в комментарии порталу отметил, что уже сейчас на рынке есть организации, специализирующиеся на услугах защиты ПДн: это MSSP-провайдеры, консалтинговые организации, центры обработки данных, предоставляющие в аренду свои мощности по моделям IaaS и защищающие их в соответствии с требованиями законодательства. И на данный момент функционал «спецоператоров» пока не выглядит на их фоне чем-то новым, скорее как развитие услуг в сторону SaaS. ❗️Также эксперт обратил внимание, что если услуги «спецоператоров» окажутся для малого и среднего бизнеса доступными, а законодательная реализация будет грамотной, то в итоге это упростит жизнь тем, кто испытывает трудности в самостоятельной организации защиты ПДн, а количество утечек потенциально сократится. Кто может вести это хранилище, и какое регулирование требуется для реализации инициативы? ➡️Читайте в статье RSpectr с комментарием нашего эксперта Никиты Козина. 💬tg_AC

ISO разместила в публичном доступе стандарт по управлению ИИ Международная организация по стандартизации (ISO), известная своими отраслевыми стандартами, сделала ключевой ISO/IEC 22989 общедоступным и бесплатным. Этот стандарт охватывает широкий спектр тем, связанных с управлением ИИ, и предоставляет ценные рекомендации для ответственной разработки и внедрения технологий искусственного интеллекта. ISO/IEC 22989 предоставляет стандартизированные концепции и терминологию, чтобы помочь заинтересованным сторонам лучше понять и эффективно использовать технологии ИИ. Этот документ предназначен для широкой аудитории, включая как экспертов, так и непрофессионалов, предлагая понимание междисциплинарного характера ИИ, который охватывает компьютерные науки, науки о данных, естественные, гуманитарные и социальные науки. Также стандарт является отличным материалом при подготовке к сертификации AI Governance Professional от IAPP. Сделав этот стандарт общедоступным, ISO стремится способствовать широкому внедрению ответственных практик в области ИИ, обеспечивая, чтобы системы ИИ были надежными, устойчивыми, точными, безопасными и приватными. ISO/IEC 22989 и другие стандарты в свободном доступе можно найти здесь. #ISO #УправлениеИИ #ИИ #ISO #AIGovernance #AIGP #AI

🔐Что такое маскирование данных и чем оно отличается от шифрования и токенизации? ➡️Маскирование (обфускация) данных. Это метод защиты конфиденциальной информации, при котором осуществляется необратимое преобразование (замена) реальных данных похожими на них по структуре и типу, но являющихся при этом фиктивными. Данный метод отличается от шифрования и токенизации, прежде всего, целями, которые преследуются при использовании каждого из инструментов. ➡️Шифрование. При шифровании информация обратимо преобразуется с помощью криптографического ключа и становится недоступна для чтения тем, у кого такого ключа нет. Шифрование применяется в основном для: ✅защиты данных в покое («data-at-rest»), к примеру, на локальных дисках, СХД, МНИ; ✅защиты данных при передаче по каналам связи («data-in-transit»), к примеру, интернет-трафик, почтовый трафик, подключения удаленных филиалов к корпоративной сети. ➡️Токенизация. Токенизация предполагает замену части конфиденциальных данных на неконфиденциальный набор информации (это может быть идентификатор или ссылка на сопоставление данных внутри системы токенизации). При этом сведения остаются конфиденциальными во внешних ИС обработки и передачи данных. Токенизация позволяет частично скрыть клиентские данные, отображаемые операторами ИС, которые функционируют в сфере ритейла, медицины, туризма, финансов. Это могут быть системы бронирования, колл-центры, платежные системы и т.д. В некоторых случаях возникает необходимость сгенерировать вместо реальных данных другие, максимально приближенные к исходным по структуре, объему и типу. Это актуально, например, при тестировании ПО коллективами разработчиков и тестировщиков, которым нежелательно предоставлять доступ к настоящей («боевой») информации из продуктивной среды. Кроме того, при формировании дата-сетов для обучения нейронных сетей могут маскироваться реальные данные, на которых проводится обучение. 📣В завершении скажем пару слов о законодательстве. Федеральный закон №152-ФЗ предусматривает использование средств маскирования (обфускации). Согласно требованиям закона необходимо осуществлять обезличивание ПДн, обрабатываемых в статистических или иных исследовательских целях. Также в рамках указанного НПА обезличивание выступает альтернативой уничтожению по достижению целей обработки. В ближайшее время ожидается внесение правок в №152-ФЗ, в т.ч. его дополнение требованиями к обезличиванию. #практикаИБ 💬tg_AC

🗣Команда исследователей смогла успешно взломать более половины тестируемых веб-сайтов, используя автономные команды ботов на базе GPT-4. Эти боты координировали свои действия и создавали новых ботов по мере необходимости, используя ранее неизвестные уязвимости нулевого дня. GPT-4 — это чётвертая версия модели глубокого обучения, основное преимущество которого — способность к более глубокому пониманию контекста и генерации более качественных и связных ответов. ⚔️Исследователи использовали GPT-4 для автономного взлома уязвимостей одного дня (N-day — эти уязвимости уже известны, но для них еще не выпущены исправления). При предоставлении списка CVE GPT-4 смог самостоятельно эксплуатировать 87% критических уязвимостей. 💬tg_AC

⚡️ФСТЭК России представил доработанный проект национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Наш методолог по ИБ Алексей Филиппов рассказал про некоторые изменения: ⏩Новое требование к управлению конфигурацией — определять перечень элементов конфигурации, подлежащих отслеживанию в рамках управления конфигурацией ПО. ⏩Теперь принципы проектирования архитектуры ПО должны содержать информацию, позволяющую на начальном этапе проектирования ПО получить представление о принятых подходах и принципах, в т.ч. с точки зрения безопасности. ⏩При моделировании угроз требуется составить перечень мер по нейтрализации выявленных угроз безопасности информации. ⏩В рамках нефункционального тестирования: • добавлены проверки производительности функционирования ПО; • исключены проверки возможности нарушения функционирования ОС при выполнении своих функций. ⏩Также в рамках нефункционального тестирования необходимо: • проводить его с целью выявления локальных и сетевых интерфейсов взаимодействия с ПО пользователя и взаимодействий модулей ПО между собой, средой функционирования и внешними объектами; • осуществлять выполнение нефункциональных тестов, в т.ч. имитирующих действия потенциального нарушителя; • осуществлять корректировку описания поверхности атаки, модели угроз и архитектуры ПО по результатам выполнения нефункционального тестирования. ⏩Внесены требования к поставке ПО пользователям, среди которых: • разработка регламента поставки; • фиксирование версии не только самого ПО, но и документации к ней; • указание в эксплуатационной документации к ПО описания штатного функционирования ПО, параметров настроек и среды функционирования, действий по установке и настройке средства как с точки зрения штатного функционирования, так и с точки зрения обеспечения безопасности. ⏩Исключено требование фиксировать в регламенте правила поиска подтвержденных уязвимостей в общедоступных источниках информации об уязвимостях ПО, его программных компонентов и сред его функционирования. ⏩Требования по поиску уязвимостей в ПО при эксплуатации теперь применяются пользователями стандарта по их усмотрению и в необходимых им объемах. Напоминаем, что в рамках данного поста рассмотрены лишь некоторые моменты документа. С полным перечнем изменений вы можете ознакомиться, изучив текст доработанного проекта ГОСТ Р 56939. #БРПО 💬tg_AC