FSCP
17.4K subscribers
30.5K photos
3.54K videos
862 files
77.9K links
another filter bubble канал изначально созданный несколькими друзьями чтобы делиться копипастой, иногда оценочным суждением

технологии, деньги, социум

редакция @id9QGq_bot
реклама @johneditor
в будущее возьмут не всех
выводы самостоятельно

мир меняется
Download Telegram
Как защититься от взятия кредита на ваше имя через Госуслуги?!

Судя по новостям, число историй, когда мошенники берут кредиты на людей через Госуслуги, растет и тому есть объяснение. В прошлом году, в рамках борьбы с COVID-19 Центробанк и Минцифры запустили эксперимент по возможности получать финансовые услуги не после личного присутствия в офисе банка, микрофинансовой организации или страховой компании, а удаленно. Подтвердить личность клиента в этом случае можно будет через Госуслуги, что и отккрывает широкие возможности для мошенников, которым теперь надо ломать не банковские системы, защищенные достаточно неплохо, а портал Госуслуг. Хотя и взломом-то это тоже назвать нельзя, так как мошенники крадут, подбирают или перехватывают пароли пользователей, под именем которых затем и заходят на портал Госуслуг, на котором изменяют контактную информацию и впоследствие получают все уведомления и запросы на подтверждение финансовых операций на свои собственные телефоны и e-mail, а не на принадлежащие жертве. В итоге человек узнает о том, что на его имя взят кредит, только после того, как к нему приходят коллекторы или судебные приставы.

Причина этого заключается в том, что пользователи Госуслуг не включают подтверждение входа в свою учетную запись по СМС, а используют только один пароль, который легко украсть, подобрать или перехватить. Для того, чтобы защититься от описанного мощенничества, достаточно выполнить всего один шаг - включить подтверждение входа на Госуслуги по СМС, что делается в профиле учетной записи. Достаточно просто кликнуть на ФИО в правом верхнем углу страницы Госуслуг (при доступе через браузер) и выбрать меню "Настройки и безопасность". После этого, чтобы войти в Госуслуги надо будет вводить не только пароль, но и код из присланной СМСки. Это сильно усложнит жизнь злоумышленникам.

Еще одной "проблемой с Госуслугами" являются истории про "участие" граждан в праймериз одной непопулярной политической партии. Согласно описанным в Интернет историям пользователи сталкивабтся с тем, что кто-то менял их регистрационную информацию и от их имени участвовал в региональных праймериз. Для защиты от этого вида мошенничества необходимо не только включить подтверждение входа по СМС, но и регулярно отслеживать выданные разрешения на доступ к вашей учетной записи в Госуслугах. Это делается также через меню "Настройки и безопасность".

Дополнительно можно включить уведомление о входе в учетную запись Госуслуг по e-mail, что позволит вам узнавать о попытках входа от вашего имени на портал госуслуг. Но для этого вам предварительно надо включить подтверждение входа в учетную запись по СМС (иначе мошенники смогут изменить контактный e-mail и вы не узнаете о попытках входа).

Чуть больше деталей о том, как происходит с мошенничеством через Госуслуг вы можете прочитать на www.sravni.ru. От себя хочу добавить, что ввиду роста роли портала Госуслуг в цифровой жизни гражданина, нужно чуть более внимательно относиться к своей кибербезопасности. Тем более что предлагаемые выше рекомендации очень просты в реализации и занимают всего несколько минут.
_______
#хроникицифровизации
Источник | #alukatsky
Сегодня многие обсуждают тему NSO Group и ее шпионского ПО Pegasus. Я бы хотел напомнить, что это далеко не единственный пример с "государственным" шпионским ПО. Мы помним историю с безвременно почившей Hacking Team, мы помним историю с ФБРовским Magic Lantern, мы помним про немецкий Staatstrojaner (он же R2-D2), мы помним АНБшные FOXACID и DROPOUTJEEP, мы помним про немецкие MiniPanzer и MegaPanzer. Причем по своему функционалу и способу заражения устройств жертв они ничем не отличаются от обычного хакерского инструментария - просто они действуют в интересах государств или государевых спецслужб, то есть во благо государства (ну или как государство понимает это благо). Так что ничто не ново под луной... Просто с Pegasus история более нашумевшая...
_______
Источник | #alukatsky
А вот в этих планах меня смущает не столько полный игнор пожилых людей. Ну откуда молодым замминистра знать и понимать нужды своих пожилых родителей, многие из которых не имеют не только учетки на Госуслугах, но и даже электронной почты и до сих пор пользуются кнопочными телефонами, а не смартфонами. Оставим это в стороне. Вопрос в другом.

Все уведомления начнут приходить в электронной форме на e-mail граждан, что поставит перед всеми (но непонятно, кто это будет все делать - ФСТЭК и ФСБ или недавно созданный департамент кибербезопасности в Минцифре) два вопроса - защита e-mail от компрометации (без многофакторной аутентификации тут не обойтись и кто-то должен начать активную кампанию по продвижению MFA в массы) и защита от фишинга, так как мошенники сразу же усилят свою активность по этому каналу коммуникаций государства с гражданами и мы получим не только фишинг про выплаты через Госуслуги после заявлений Президента, но и фишинг про штрафы ГИБДД, материалы судебных приставов, возбуждения дел в судах и т.д.
_______
Источник | #alukatsky
Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые:
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.

Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.

Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞
_______
Источник | #alukatsky
Дарья Верестникова подкинула идею своим постом в VK и я решил проверить, так ли оно? И да, если отбросить кучу замечаний по работоспособности "Госключа", то есть и немалое количество жалоб на то, что мошенники регистрируют SIM-карты через "Госключ" без ведома владельцев учетных записей (идет привязка к учеткам на Госуслугах). Судя по всему проблема та же, что я описывал около года или даже двух назад, - отсутствие многофакторной аутентификации у пользователей на Госуслугах. И если раньше, это было некритично (Госуслуги не использовались для совершения каких-либо юридически значимых действий), то с начала пандемии коронавируса ситуация поменялась и через Госуслуги можно было оформлять кредиты, микрозаймы, виртуальные кошельки, голосовать на выборах и т.п. Соответственно, все пользователи с доступом только по логину/паролю находились под угрозой. Теперь число сервисов, которые можно получить через Госуслуги/Госключ возрастает; как и риски.
_______
Источник | #alukatsky
Если вспомнить определение средства защиты из терминологического ГОСТ Р 50922, то это "Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации".

Иными словами, шторка на веб-камеру, которая борется с видовыми утечками, - это тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной! Теперь при встрече надо спросить у коллег из НКЦКИ - у них веб-шторки отечественные или произведенные в Китае? А то она меня защищала от врагов, но я не могу идти против Указа Президента.

ЗЫ. Хорошо, что у нас вещества для защиты информации не используются.

ЗЗЫ. А шторка классная - напоминает погоны старших офицеров, но почему-то не ФСБ (у них просветы васильковые), а полиции (или СК, ФСИН, Росгвардии, МЧС)
_______
Источник | #alukatsky
Сценарный анализ происходящего в мире. Собственно, откуда пошло про 3 месяца ожидания, когда иностранные компании решат - уходить или оставаться
_______
Источник | #alukatsky
С днем шифровальщика! Именно в этот день в 1921 году согласно Постановлению Совета народных комиссаров РСФСР была создана советская криптографическая служба
_______
Источник | #alukatsky
Если вдруг 🙅‍♂️ вам захочется послушать все, что говорилось на сочинском Инфофоруме ☝️, то на Youtube выложено несколько часов трансляции.

Самое занятное, конечно, это то, что трансляция Инфофорума велась на Youtube 😂, спикерский ПК был на Винде 😂, а все презентации показывались в MS Office или Acrobat Reader 😂. При этом весь форум, все спикеры как один, говорили об импортозамещении, как важной составляющей цифрового суверенитета страны 🙆

Ну что тут можно сказать? Показательно 🤪
_______
Источник | #alukatsky
РКН доработал проект методики по оценке вреда субъектам ПДн в случае нарушения закона о персональных данных. Я, конечно, надеялся что в РКН хоть как-то напрягут извилины или пригласят экспертов по оценке ущерба или хотя бы скопипастят у иностранцев (ну а почему нет), но нет 😭 Получили банальщину - три степени ущерба (классический светофор), где за каждой просто скрывается набор статей ФЗ и ПП в области ПДн, нарушение которых и считается вредом субъектам, 99% которых про закон о защите их ПДн слыхом не слыхивали 🤮
_______
Источник | #alukatsky
В истории взлома ГРЧЦ есть три занятные линии. Во-первых, организация заявляет, что взлом был контролируемый и специалисты организации специально дали хакерам Союзного государства возможность делать свое черное дело, чтобы изучить их техники и тактики. Прям не ГРЧЦ, а honepot масштаба организации какой-то. Это прям новация в ответах для СМИ.

Во-вторых, в утекших данных имеются персональные данные, которые неправомерно были переданы за пределы оператора ПДн, а следовательно ГРЧЦ должен был в течение суток уведомить РКН об инциденте, а в течение 3-х - прислать результаты внутреннего расследования. Интересно, они это сделали? Как писал РКН в отношении произошедшей на днях утечке из Whoosh, "Согласно изменениям в законодательстве о защите персональных данных с 1 сентября 2022 года оператор, допустивший утечку, в течение суток обязан уведомить об этом Роскомнадзор. По состоянию на 18:00 14 ноября 2022 года от владельца сервиса Whoosh такое уведомление в Роскомнадзор не поступило. Указанное обстоятельство будет учтено при проведении проверки". Интересно, как отреагирует РКН на этот раз?

Ну а в третьих, ГРЧЦ заявляет, что доступа к закрытой информации хакеры не получили. А ПДн своих работников они к какой информации относят? К общедоступной? А информация о средствах защиты, установленных для сотрудников паролях и т.п. не относится к информации указанной в упомянутом вчера приказе ФСБ №547?
_______
Источник | #alukatsky
Если вам лень читать приказ ФСБ №77 об уведомлении НКЦКИ об инцидентах с ПДн, то его краткое содержание таково:
1⃣ Вступает в силу с 1-го марта 2023 года
2⃣ Разработан во исполнение 152-ФЗ, который требует от 6 миллионов операторов ПДн (все ЮЛ и ИП в России) уведомлять об инцидентах с ПДн.
3⃣ Субъекты КИИ и ФСТЭК направляют данные об инцидентах в ГосСОПКУ в течение 24 часов с момента обнаружения инцидента по каналам и форматам, определенным НКЦКИ. Порядок такой же, что и для субъектов КИИ
4⃣ Остальные операторы ПДн направляют данные об инцидентах в течение 24 часов с момента обнаружения инцидента через сайт Роскомнадзора. Роскомнадзор передает затем эти данные в НКЦКИ.
5⃣ Операторы ПДн могут обратиться в НКЦКИ за помощью в реагировании на инциденты.
_______
Источник | #alukatsky

🔥 Бот для скачивания видео и музыки
🌔 Купи и заработай в StarCitizen
🤖 Бесплатно ChatGPT с AnnAi
⛵️MidJourney в Telegram
Вчера многие стали писать про то, что ФСТЭК хочет ограничить доступ иностранных IP-адресов к важным узлам и сетям КИИ, запретить open relay и даже блокировать взаимодействие e-mail-серверов с иностранных IP.

Ну что я могу сказать по этому поводу? Все немного не так, как об этом пишут те, кто пересказывает скачанную из Интернет презентацию Елены Торбенко из ФСТЭК, которая выступала на конференции ИБ АСУ ТП КВО. Речь не идет о запрете - всего лишь о рекомендациях, которые еще и применяются не ко всем без разбора и не во всех случаях. Регуляторам дает субъектам КИИ совет, что можно сделать, а не что обязательно надо сделать.

Более того, часть из этих советов не новы - их еще в прошлом году ФСТЭК в своих письмах рассылала. Но не надо во всем искать злой умысел - надо трезво смотреть на рекомендации и применять к себе то, что применимо.
_______
Источник | #alukatsky

Приобрети подписку на год до конца марта.
Получи 200 генераций в MidJourney v5 в подарок
Олег задается рядом вопросов касательно возможной утечки из "Сирена-Трэвел" ✈️ и мне есть что сказать по этому поводу.
🔤Олег пишет, что 16 лет хранения (а именно об этом сроке говорится в утечке "Сирены-Трэвел") - это перебор. Тут, конечно, можно поспорить, так как помимо наших с вами желаний есть еще и требования по транспортной безопасности. И боюсь, что именно ради них все это и хранится так долго. Об этом говорят и поправки в Воздушный кодекс и закон "О транспортной безопасности", которые гласят, что срок хранения информации о пассажирах определяется Минтрансом по согласованию с ФСБ и МВД. И хотя этот закон вступает в силу только с 1-го марта 2024 года, не исключаю, что и раньше ради нацбезопасности данные о перемещениях накапливались достаточно длительное время.
🔤Тот же Аэрофлот в своей политике конфиденциальности не указывает этот срок, ссылаясь на стандартную отписку про "в течение срока, необходимого для достижения соответствующей цели" или "когда закон устанавливает более продолжительный срок хранения". О том же говорит и их политика конфиденциальности в области ПДн. В политике обработки ПДн "Сирены-Трэвел", принятой в мае этого года, аналогичная конструкция.
🔤ИКАО в своих рекомендациях в отношении записей регистрации пассажиров этот срок тоже не устанавливает, отсылая всех к локальному законодательству. Так что вроде запрета на долгое хранение нет.
🔤Система менеджмента ИБ "Сирены-Трэвел" сертифицирована по требованиям ISO/IEC 27001:2013. Сертификат действует с января 2021 по январь 2024 года.
🔤Информационная система персональных данных "Сирены-Трэвел" была в августе 2020-го аттестована по требованиям ФСТЭК. Аттестат закончил свое действие в августе этого года.
🔤В феврале 2023-го "Сирена-Трэвел" была сертифицирована еще и по PCI DSS 3.2.1 (сертификат действует до февраля 2024-го).

Если факт утечки в системе бронирования авиаперевозок ✈️ подтвердится (а семпл позволяет сделать такой вывод), то это будет очередной демонстрацией, что наличие сертификатов/аттестатов никак не гарантирует реальную кибербезопасность и не может служить никаким доказательством, что данные находятся в сохранности. Но и это еще не все.

Пассажиры ✈️ ведь не заключают никаких соглашений с "Сиреной-Трэвел", они свои данные сдают авиакомпаниям, а то и всяким транспортным и туристическим агентствам, которые затем "сдают" их Сирене. И поэтому сразу возникает вопрос - кому предъявлять претензии, что персональные данные мои или моих детей утекли? Можно ли вообще их предъявлять, если никто официально не подтвердит факт утечки? А что-то пока про это все официальные лица молчат; что тоже понятно, "Сирену" продвигают солидные организации.

ЗЫ. Ну а пока ждем очередных журналистских расследований. Вспоминая то, что писал в свое время Bellingcat (признан иноагентом), опираясь на данные за меньший период времени, утечка об авиаперевозках за столько лет может всякое раскрыть.
_______
Источник | #alukatsky
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Пока у нас все с нескрываемым любопытством обсуждают совершенно непонятных кандидатов в будущие президенты или концовку сериала "Слово пацана", в Европе 🇪🇺 происходят не менее любопытные вещи. А именно на уровне всего Евросоюза хотят заставить разработчиков браузеров включить в них 250 корневых УЦ из Европы (с сертификатами, конечно) и запретить их удалять без разрешения локального правительства. Можно только представить себе, во что это выльется с точки зрения легализованного перехвата данных или выпуска мошеннических сертификатов 🤠
_______
Источник | #alukatsky
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Тут история с взломанным сервисом генетических исследований 🧬 23andMe продолжается развиваться. В сети выложили письмо, которое нанятые 23andMe юристы рассылают по клиентам и иным заинтересованным сторонам. Тут надо напомнить, что сначала хакеры написали, что они взломали 23andMe, но компания отказывается с ними взаимодействовать, еще и заявляя, что "ви фсё врете". Потом выложили генетические данные 14 тысяч клиентов, но компания продолжала все отрицать .

В декабре 23andMe подтвердила, что хакеры смогли получить доступ к данным 6,9 миллионов, то есть половине своих клиентов. И когда уже падать некуда, компания доказывает, что ее недооценивали 👎 В своем письме она утверждает, что во всем виноваты... сами клиенты, которые вовремя не обновляли свои пароли (MFA? Мониторинг аномалий? нет не слышали), чем и воспользовались злоумышленники. Только после атаки 23andMe сбросила всем пароли и потребовала использовать MFA, которая раньше была опциональной.

На TechCrunch интересная дискуссия идет по поводу инцидента. Многие комментаторы тоже считают, что взлома не было 🤌
Продолжаю следить за историей, как неумелое PR-сопровождение инцидента приводит к серьезным последствиям для компании. И 30 исков к ней - это пока еще цветочки... Можно спорить, инцидент это ИБ или нет, но рынок ☝️ пока не на стороне 23andMe...
_______
Источник | #alukatsky
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵
_______
Источник | #alukatsky
🐾 @F_S_C_P

-------
поддержи канал
-------