AKTIV.CONSULTING

📣Новостной дайджест прошедшей недели 🗣В России планируют разработать технологическое решение для быстрого реагирования на инциденты в сфере киберпреступлений Минцифры займется регулированием и установлением технологических требований к внутренним системам всех участвующих в процессе и к порядку их взаимодействия. 🗣Исследование: 38% россиян считают, что их персональные данные должны быть защищены всеми доступными способами Респонденты уверены, что организации должны применять все основные меры по защите пользовательских персональных данных как на программном, так и аппаратном уровнях, а также минимизировать участие человека в обработке ПДн. 🗣НКЦКИ хочет запустить сервис бесплатной «скорой помощи» пострадавшим от киберинцидентов Ожидается, что это будет набор действий по локализации атак, установлению полного перечня скомпрометированных ресурсов, ограничению распространения инцидента и планированию дальнейших работ. 🗣ФСТЭК России начала работу над составлением методических рекомендаций для разработчиков систем ИИ Регулятор полагает, что это поможет развитию доверенного искусственного интеллекта в стране. 🗣Количество договоров киберстрахования за последние два года возросло на 60% Чаще всего запросы на подобную страховку исходят от компаний, владеющих крупными центрами обработки данных, а также от государственных организаций. 🗣Минцифры обсуждает введение сбора с российских компаний, продолжающих использовать зарубежное ПО По словам главы ведомства, это должно уравнять условия внедрения российского ПО с зарубежным, которое уже используется. 💬tg_AC

🔔Минцифры предложило обсудить обязательное уведомление граждан о факте неправомерной передачи их персональных данных третьим лицам после того, как заработает закон об ужесточении наказания за такие утечки. Министерство также предлагает снижать размер оборотного штрафа при соблюдении оператором некоторых требований. Среди них — осуществление оператором ежегодных расходов в течение не менее трех лет, предшествующих правонарушению, на мероприятия по обеспечению ИБ. 🗣Наш эксперт Никита Козин отметил, что министерство пока не уточнило, каким образом будет необходимо ежегодно подтверждать соблюдение требований к защите ПДн в целях уменьшения возможного штрафа. На данный момент в НПА предусмотрено несколько видов проверки применяемых мер безопасности: мероприятия внутреннего контроля, оценка эффективности и аттестация. Первое проводится организацией самостоятельно и может не отражать реальный ход вещей, второе необходимо проводить раз в три года (согласно приказу ФСТЭК России), третье – необязательно для ИСПДн и ресурсозатратно. 💬tg_AC

❓Зачем измерять уровень зрелости организации, и почему важно перед началом проекта определить цель? Свежий выпуск подкаста «Безопасный выход» посвящен теме, вызывающей много споров в профессиональном сообществе, — оценке уровня зрелости ИБ. 👤Приглашенным гостем выпуска стал Андрей Абашев, руководитель направления по методологии и развитию ИБ компании «Норникель», эксперт с многолетним опытом работы в различных отраслях как со стороны организаций, так и со стороны консалтинга (более 15 лет в большой четверке). В выпуске эксперт подчеркнул, что оценка зрелости — это база, с которой начинается движение дальше, и самое сложное в данном процессе — определить цель, т.е. понять, зачем измерять зрелость конкретной организации. Среди возможных целей для измерения уровня зрелости он отметил: ✅определение вектора дальнейшего развития; ✅выявление «слабых» мест в организации для их дальнейшего устранения; ✅сравнительный анализ организации с компаниями-конкурентами или с рынком в целом. Исходя из тех целей, которые компания перед собой ставит, будет подбираться методология и инструментарий. #подкаст Ещё больше полезной информации — в новом выпуске подкаста «Безопасный выход»: 📹 YouTube 💬 VK Видео 🎧 Podster 💬tg_AC

🗣90 приложений в Google Play с общим числом загрузок 5 миллионов заражены вредоносным ПО и могут похищать банковские данные. В частности, речь идет о вредоносной программе Anatsa, также известной как TeaBot. Как только Anatsa оказывается внутри устройства, она начинает извлекать банковские реквизиты и финансовую информацию. Программа стремится полностью завладеть любыми данными, которые могут позволить злоумышленникам украсть деньги пользователей. ↔️ Для кражи информации используется метод наложения и доступности, поскольку вредоносная программа, установленная на устройстве, способна считывать информацию с экрана и вводить свои учетные данные в различные приложения. 💬tg_AC

🗣В России доля киберпреступлений достигла 38% среди всех преступлений. По данным Генпрокуратуры, половину всех киберпреступлений составляют факты мошенничества, совершенного дистанционно с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. 💬tg_AC

⚙️Чем полезна безопасная разработка? О важности внедрения процессов безопасной разработки говорят почти на каждой конференции по информационной безопасности, а новый термин Security Champion плотно вошел в лексикон специалистов. Несмотря на это, не все компании спешат внедрять у себя практики SSDLC. Давайте разберемся, зачем вендору заказной разработки ПО внедрять процессы безопасной разработки, что является препятствием для этого и какие могут быть плюсы. Мотивами для внедрения процессов безопасной разработки обычно являются либо регуляторная нагрузка, либо собственные потребности. И если регуляторные требования не нуждаются в дополнительном обосновании, то внедрение новых процессов по собственному желанию и выделение на это ресурсов (в т.ч. человеческих, временных и финансовых) могут вызвать трудности. ⏩Для любой команды разработки дополнительные расходы снижают прибыль проектов или приводят к удорожанию услуг разработки. А бизнес всегда против снижения прибыли, ведь при повышении стоимости своих услуг компании теряют конкурентные преимущества и долю рынка. ⏩Немного иначе обстоят дела с заказной разработкой. Если заказчик предъявляет специальные требования по безопасности и готов к повышению стоимости, команда разработки может предложить разделить расходы или полностью переложить их на сторону заказчика. Но в то же время возникает необходимость выделить отдельные команды или проекты с процессами безопасной разработки. Это может создать дополнительные неудобства с точки зрения организации работы и управления. Если доля проектов с дополнительными требованиями вырастает до существенных объемов, целесообразно будет внедрить безопасную разработку на всю компанию и определить для себя те преимущества, которые могут компенсировать дополнительные расходы. ⚡️Одним из таких преимуществ является то, что требования по ИБ закладываются еще на этапе проектирования продукта и создания его архитектуры, что в дальнейшем ускоряет прохождение контроля со стороны службы ИБ и, как следствие, сокращает time to market. Кроме этого, уменьшается время тестирования и оптимизируется процесс разработки. В конечном итоге ПО становится безопасней, а компания-разработчик получает дополнительные конкурентные преимущества и возможность выхода на рынок заказчиков с требованиями по безопасности ПО. #БРПО 💬tg_AC

✅Банк России опубликовал отчет об инцидентах информационной безопасности при переводе денежных средств. Согласно документу за I квартал этого года удалось предотвратить более 13 млн мошеннических операций на сумму более 2 трлн рублей. Самым частым типом атак стала социальная инженерия, её использовали более чем в 90% случаев. Ещё раз напоминаем про важные правила для защиты от подобного рода злоумышленников: 🔸при общении с людьми, принуждающими вас к каким-либо действиям, не поддавайтесь панике и просите время, чтобы подумать; 🔸проводите поиск и анализ полученной информации; 🔸не сообщайте коды или любые другие сведения из SMS; 🔸не стесняйтесь перезвонить в банк по официальным номерам и уточнить, соответствует ли информация действительности. И помните: если на вас оказывают психологическое давление, запугивают, просят срочно предоставить данные или немедленно что-то сделать, то, с большой долей вероятности, это мошенники. 💬tg_AC

🗣Опубликован отчет Банка России об итогах публичного обсуждения доклада «Применение искусственного интеллекта на финансовом рынке». В ноябре 2023 года ЦБ представил данный доклад с целью рассмотреть с участниками финансового рынка перспективы использования технологии ИИ, а также инициативы ЦБ, связанные с его развитием и регулированием. После публичного обсуждения документа Банк России сделал следующие выводы: ➡️пока нет необходимости в оперативной разработке отдельного регулирования использования технологии ИИ финансовыми организациями; ➡️внедрение специальных требований, ориентированных на ИИ, может быть рассмотрено в отдельных случаях после проведения дополнительных консультаций с участниками рынка; ➡️будет продолжена работа по указанным в Докладе направлениям для содействия развитию ИИ. Особое внимание уделят установлению условий обработки и оборота обезличенных персональных данных. Данное направление будет дополнено проработкой вопроса определения правового режима синтетических данных; ➡️для развития ИИ особое внимание будет уделено созданию возможностей для кросс-индустриальной работы с негосударственными данными. ЦБ проработает вопрос снятия барьеров, препятствующих объединению участников рынка для совместной работы над моделями ИИ (при их наличии), а также вопрос законодательного определения института доверенных посредников. Участники рынка поддержали основные выводы в отношении глобальных трендов, применения, условий развития и рисков ИИ на финансовом рынке. Они согласились с предложенными подходами к регулированию и отметили, что на текущем этапе развития технологии ИИ введение избыточного регулирования может привести к снижению темпов развития и внедрения данной технологии. Респонденты также поддержали создание кодекса этики ИИ для финансового рынка. Участие организаций в таком кодексе может рассматриваться как один из элементов системы управления рисками, связанными с применением ИИ. 📎Подробнее ознакомиться с отчетом Банка России можно по ссылке. 💬tg_AC

24.05.2024 г. опубликован проект ведомственного акта Центрального Банка России "О требованиях к организации банками процесса сбора и размещения биометрических персональных данных физического лица в Единой биометрической системе и к применению банками Единой биометрической системы посредством их официального сайта в сети «Интернет», а также их мобильного приложения"

📣Новостной дайджест прошедшей недели 🗣В России планируется создание единой платформы для борьбы с мошенничеством Минцифры совместно с ЦБ, операторами связи, цифровыми платформами, банками и правоохранительными органами организует рабочую группу для проработки данной инициативы. 🗣В Банке России считают, что риски при использовании ИИ связаны с информационной безопасностью Также участники финансового рынка отметили угрозы, связанные с применением генеративного ИИ, в т.ч. риск использования дипфейков в мошенничестве. 🗣Минэк запланировал эксперимент по обезличиванию персональных данных Его участники смогут безопасно обрабатывать и объединять полученные от поставщиков данные, используя криптографические алгоритмы и другие средства защиты информации. 🗣В Москве создали платформу для разработки и внедрения моделей ИИ На площадке есть среда для написания кода, обучения и тестирования программ, хранилище данных и шаблонов заданий, база результатов и другие полезные элементы. 🗣Исследование: специалисты по кибербезопасности тратят много сил на устранение критических уязвимостей, игнорируя другие, еще более серьезные угрозы Результаты показали, что наиболее опасные уязвимости, позволяющие удаленное выполнение кода, составляют менее 1% от типичного ландшафта угроз для компаний. 🗣В Совфеде рассказали подробнее о Цифровом кодексе России Документ будет регулировать правоотношения, связанные с искусственным интеллектом и цифровыми технологиями. 🗣Группа китайских ученых рассказала о новом методе DDoS-атак, который получил название DNSBomb Данная атака позволяет усилить DDoS в 20 000 раз. 💬tg_AC