CISO & DPO news #43 (20 - 26 сентября 2024 года)
1/8 Выявлена группа хакеров Twelve, атакующая российские организации.
2/8 Telegram будет передавать властям IP-адреса и номера телефонов пользователей.
3/8 Минцифры России оценили готовность к импортозамещению на значимых объектах КИИ.
4/8 Переноса сроков выполнения указов по импортозамещению не будет.
5/8 Предлагается разграничить степени вреда от утечек персональных данных.
6/8 Предлагаются условия смягчения наказания за утечки персональных данных.
7/8 ЦБ призвал финансово обеспечить ответственность операторов персональных данных.
8/8 Предлагается ввести специальную аккредитацию для операторов персональных данных.
1/8 Выявлена группа хакеров Twelve, атакующая российские организации.
2/8 Telegram будет передавать властям IP-адреса и номера телефонов пользователей.
3/8 Минцифры России оценили готовность к импортозамещению на значимых объектах КИИ.
4/8 Переноса сроков выполнения указов по импортозамещению не будет.
5/8 Предлагается разграничить степени вреда от утечек персональных данных.
6/8 Предлагаются условия смягчения наказания за утечки персональных данных.
7/8 ЦБ призвал финансово обеспечить ответственность операторов персональных данных.
8/8 Предлагается ввести специальную аккредитацию для операторов персональных данных.
Что такое атака на цепочку поставок (Supply Chain Attack)?
Anonymous Quiz
6%
Атака, направленная на конечного пользователя
60%
Атака, направленная на компании, представляющие услуги третьим лицам
12%
Атака, направленная на серверы компаний
22%
Атака, направленная на внедрение вредоносного кода при разработке ПО
Атака на цепочку поставок (Supply Chain Attack) – это атака, при которой злоумышленники пытаются получить доступ к системам или к данным компании через уязвимости в процессах и системах подрядчиков, предоставляющих товары или услуги.
Злоумышленники могут использовать различные методы для внедрения вредоносного кода или получения доступа к системам. Например, они могут модифицировать ПО поставщика перед его передачей компании-получателю. Социальная инженерия также играет важную роль: манипуляция сотрудниками поставщика может привести к утечке конфиденциальной информации.
Один из самых известных случаев такой атаки — инцидент с SolarWinds. В данном случае злоумышленники внедрили вредоносный код в один из DLL-файлов, который получили клиенты SolarWinds в рамках обновления ПО. После запуска зараженного ПО на устройстве пользователя злоумышленники получали возможность управлять ОС, в том числе выгружать данные с устройства и отключать системные службы.
Для эффективной защиты от атак на цепочку поставок компаниям следует внедрить процесс оценки третьих сторон, который позволит своевременно выявлять потенциальные риски, связанные с взаимодействием с поставщиками.
Процесс проверки может выражаться в анкетировании поставщиков для проведения оценки рисков, в запросе свидетельств независимых проверок ИБ (сертификаций или аттестаций), а также в проведении аудитов ИБ у поставщиков, что должно быть заранее предусмотрено в договоре.
#ИБ
Злоумышленники могут использовать различные методы для внедрения вредоносного кода или получения доступа к системам. Например, они могут модифицировать ПО поставщика перед его передачей компании-получателю. Социальная инженерия также играет важную роль: манипуляция сотрудниками поставщика может привести к утечке конфиденциальной информации.
Один из самых известных случаев такой атаки — инцидент с SolarWinds. В данном случае злоумышленники внедрили вредоносный код в один из DLL-файлов, который получили клиенты SolarWinds в рамках обновления ПО. После запуска зараженного ПО на устройстве пользователя злоумышленники получали возможность управлять ОС, в том числе выгружать данные с устройства и отключать системные службы.
Для эффективной защиты от атак на цепочку поставок компаниям следует внедрить процесс оценки третьих сторон, который позволит своевременно выявлять потенциальные риски, связанные с взаимодействием с поставщиками.
Процесс проверки может выражаться в анкетировании поставщиков для проведения оценки рисков, в запросе свидетельств независимых проверок ИБ (сертификаций или аттестаций), а также в проведении аудитов ИБ у поставщиков, что должно быть заранее предусмотрено в договоре.
#ИБ
Вступило в силу 1 сентября 2024 г.:
Постановление Правительства РФ от 14.11.2023 № 1912 о порядке перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ
▫ для кого: субъекты КИИ, имеющие значимые объекты КИИ
▫ что делать: с 1 сентября 2024 г. осуществлять закупку и использовать только отечественные доверенных ПАК. Исключения:
🔸 ПАК, приобретённые до 01 сентября 2024 г.;
🔸 ПАК, не имеющие аналогов в РФ
Приказ Минэнерго России от 26.12.2023 № 1215 об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики
▫ для кого: организации, функционирующие в сфере электроэнергетики и имеющие значимые объекты КИИ
▫ что делать: на значимых объектах КИИ, которые управляются дистанционно или из диспетчерских центров, необходимо выполнить ряд дополнительных мероприятий к приказу ФСТЭК России от 25.12.2017 г. № 239
Постановление Правительства РФ от 01.04.2024 № 408 о видах биометрических персональных данных (ПДн)
▫ для кого: операторы ПДн, обрабатывающих биометрические ПДн
▫ что делать: проверить, что идентификация и аутентификация с использованием биометрических ПДн осуществляется на основе следующих данных:
🔸 изображение лица человека, полученное с помощью фото-видеоустройств;
🔸 запись голоса человека, полученная с помощью звукозаписывающих устройств.
Вступило в силу 10 сентября 2024 г.:
Приказ Минцифры России от 31.07.2024 № 677 о требованиях по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»
▫ для кого:
🔸 провайдеры хостингов, предоставляющие вычислительные мощности операторам ГИС и МИС;
🔸 операторы ГИС, МИС, ИС государственных и муниципальных унитарных учреждений.
▫ что делать: реализовывать требования по защите информации, в том числе с использованием шифровальных (криптографических) средств, установленными приказами ФСБ России
#ИБ
#ДеЮре
Постановление Правительства РФ от 14.11.2023 № 1912 о порядке перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ
Приказ Минэнерго России от 26.12.2023 № 1215 об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики
Постановление Правительства РФ от 01.04.2024 № 408 о видах биометрических персональных данных (ПДн)
Вступило в силу 10 сентября 2024 г.:
Приказ Минцифры России от 31.07.2024 № 677 о требованиях по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»
#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Вступило в силу 27 сентября 2024 г.:
Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
▫ для кого: субъекты КИИ
▫ что делать:
🔸 субъектам КИИ, которые провели категорирование объектов КИИ: принять к сведению исключение из процедуры категорирования требования по формированию перечня объектов КИИ, подлежащих категорированию.
🔸 субъектам КИИ, которые не провели категорирование объектов КИИ: принять к сведению риск привлечения к административной ответственности за непредоставление форм сведений о результатах категорирования
Вступило в силу 1 октября 2024 г.:
Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
▫ для кого: участники платежной системы Банка России
▫ что делать:
🔸 предусмотреть дополнительные контрольные мероприятия в целях мониторинга уровня риска ИБ в платежной системе;
🔸 идентифицировать значимые риски не реже одного раза в год;
🔸 ознакомиться с расширением перечня субъектов организационной структуры, обязанных обеспечивать бесперебойность функционирования платежной системы;
🔸 ознакомиться с критериями отнесения риск-событий, реализовавшихся при оказании услуг платежной инфраструктуры, к риск-событиям приостановления оказания таких услуг
#ИБ
#ДеЮре
Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
Вступило в силу 1 октября 2024 г.:
Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Время, необходимое для взлома пароля, зависит от его сложности и методов, применяемых злоумышленниками. Рассмотрим несколько примеров перебора по словарю:
🔸 Простой пароль (например, «P@ssw0rd»): такой пароль выглядит сложным, но будет подобран одним из первых, так как является словарным – то есть включенным в базы паролей, полученных из разных источников.
Также примером простого пароля может быть !QAZ2wsx – это набор символов первых двух столбцов клавиатуры, такой словарный пароль подберут быстро.
🔸 Пароль средней сложности (например, «Kept081096»): взлом может потребовать от нескольких минут до часов, так как маловероятно что данный пароль будет в стандартных словарях, но злоумышленник может его подобрать, генерируя составные словари.
🔸 Сложный пароль (например, «1Fo1!OW_2k3PT_3c7b3r_4c8@99e1»): в данном варианте использована длинная фраза «Follow Kept Cyber Channel», в которую внесены изменения с помощью цифр и специальных символов.
Взлом такого пароля может потребовать от несколько лет до десятилетий.
Как правило, для компрометации сложных паролей злоумышленники используют, например, методы социальной инженерии и утёкшие базы данных.
Ключевые принципы создания сложного пароля:
🔸 Наполнение
Для максимальной безопасности пароля необходимо использовать случайные символы, сочетающих в себе буквы, цифры и специальные знаки.
🔸 Длина
Принцип подразумевает создание паролей от 12 символов, так можно заметно снизить вероятность перебора пароля по словарю.
🔸 Запоминаемость
Пароль может быть сколь угодно сложным, но если его не может запомнить пользователь, он бесполезен.
Запомнить пароль можно используя, например, кодовые фразы.
Существует ПО, которое облегчает процесс создания паролей – менеджеры паролей. Такой инструмент позволяет создавать случайные, сложные пароли, соответствующие заданным критериям безопасности, а также управлять паролями, сохраняя их в зашифрованном виде.
Подробнее о таком инструменте мы поговорим в следующий раз.
#ИБ
#ПолезноЗнать
Также примером простого пароля может быть !QAZ2wsx – это набор символов первых двух столбцов клавиатуры, такой словарный пароль подберут быстро.
Взлом такого пароля может потребовать от несколько лет до десятилетий.
Как правило, для компрометации сложных паролей злоумышленники используют, например, методы социальной инженерии и утёкшие базы данных.
Ключевые принципы создания сложного пароля:
Для максимальной безопасности пароля необходимо использовать случайные символы, сочетающих в себе буквы, цифры и специальные знаки.
Принцип подразумевает создание паролей от 12 символов, так можно заметно снизить вероятность перебора пароля по словарю.
Пароль может быть сколь угодно сложным, но если его не может запомнить пользователь, он бесполезен.
Запомнить пароль можно используя, например, кодовые фразы.
Существует ПО, которое облегчает процесс создания паролей – менеджеры паролей. Такой инструмент позволяет создавать случайные, сложные пароли, соответствующие заданным критериям безопасности, а также управлять паролями, сохраняя их в зашифрованном виде.
Подробнее о таком инструменте мы поговорим в следующий раз.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Для чего можно использовать менеджер паролей?
Ответ:
Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.
К преимуществам использования такого сервиса относятся:
🔸 Защита паролей: хранение всех паролей пользователя в зашифрованной базе данных, которая защищена одним главным паролем (мастер-паролем).
🔸 Защита систем: при компрометации учётных записей или увольнении работника возможна оперативная смена паролей во всех системах компании.
🔸 Удобство: генерация уникальных и надежных паролей для каждого аккаунта и отсутствие необходимости запоминания паролей.
🔸 Ускорение процесса авторизации: автоматическое заполнение соответствующих форм паролями и логинами для входа в систему.
🔸 Синхронизация: получение доступа к паролям на разных устройствах пользователя через сервис.
🔸 Безопасный обмен: передача паролей между пользователями через сервис.
🔸 Аудит безопасности: своевременное уведомление о слабых или украденных паролях.
Сценариями использования менеджера паролей компанией могут быть:
🔸 Контроль соблюдения работниками парольной политики.
🔸 Проведение аудитов использования паролей с возможностью выявлять подозрительные учетные записи.
🔸 Организация безопасного обмена паролями доступа к папкам или ПО между работниками, который может потребоваться в рамках проекта.
🔸 Автоматизация предоставления паролей для новых работников и сброса паролей для увольняющихся.
Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:
🔸 BearPass
🔸 Bitwarden
🔸 CommonKey
🔸 Passbolt
🔸 Passwork
🔸 Zoho Vault
#ИБ
#ОтвечаетKept
Для чего можно использовать менеджер паролей?
Ответ:
Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.
К преимуществам использования такого сервиса относятся:
Сценариями использования менеджера паролей компанией могут быть:
Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:
#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #43 (27 сентября - 3 октября 2024 года)
1/8 Найдена новая уязвимость в Windows, позволяющая получить права администратора.
2/8 Обновление Windows 11 приводит к синему экрану смерти.
3/8 Уязвимости в TeamViewer позволили получить контроль над системой.
4/8 Kaspersky опубликовал обзор АРТ- и финансовых атак за 2 квартал 2024 г.
5/8 Минцифры создаст платформу для борьбы с мошенниками.
6/8 Предложен новый индикатор риска по контролю за обработкой персональных данных.
7/8 ЦБ предложил ограничить возможность делегирования идентификации.
8/8 В Казахстане уточнены требования по локализации персональных данных.
1/8 Найдена новая уязвимость в Windows, позволяющая получить права администратора.
2/8 Обновление Windows 11 приводит к синему экрану смерти.
3/8 Уязвимости в TeamViewer позволили получить контроль над системой.
4/8 Kaspersky опубликовал обзор АРТ- и финансовых атак за 2 квартал 2024 г.
5/8 Минцифры создаст платформу для борьбы с мошенниками.
6/8 Предложен новый индикатор риска по контролю за обработкой персональных данных.
7/8 ЦБ предложил ограничить возможность делегирования идентификации.
8/8 В Казахстане уточнены требования по локализации персональных данных.
Какой из следующих законов в США был принят для защиты личной информации детей в интернете?
Anonymous Quiz
25%
HIPAA
45%
COPPA
25%
CCPA
4%
FERPA
Children's Online Privacy Protection Act (COPPA) является одним из важнейших американских федеральных законов о неприкосновенности частной жизни. Действие закона направлено на регулирование обработки персональных данных (ПДн) детей в возрасте до 13 лет в Цифровом пространстве. Такая обработка чаще всего осуществляется онлайн сервисами, которые предусматривают наличие детской аудитории и находятся под юрисдикцией США.
В соответствии с COPPA, операторам, обрабатывающим ПДн детей необходимо предпринимать разумные меры защиты при обработке ПДн несовершеннолетних лиц. Так, компании должны реализовать следующие требования:
▫ Получать явное согласие родителей или опекунов перед обработкой ПДн детей, что должно быть закреплено в политике конфиденциальности оператора. Помимо этого политика должна содержать информацию о том, как родители или опекуны могут контролировать обработку ПДн.
В частности, COPPA предусматривает право родителей и опекунов на запрос удаления ПДн детей.
▫ Передавать ПДн только тем компаниям, которые демонстрируют способность обеспечить их безопасность и конфиденциальность.
▫ Собирать только те ПДн, которые необходимы для достижения конкретных целей обработки ПДн. Избыточное хранение ПДн детей не допускается. После достижения целей обработки ПДн, они должны быть удалены.
▫ Принимать разумные меры для защиты ПДн детей от несанкционированного доступа, использования или раскрытия. Данные меры могут включать:
🔸 шифрование ПДн;
🔸 аудит безопасности ПДн;
🔸 обучение сотрудников правилам обработки ПДн детей;
🔸 сотрудничество с независимыми организациями по защите ПДн.
Надзор за исполнением требований COPPA относятся к компетенции Федеральной торговой комиссии США (FTC).
#Privacy
В соответствии с COPPA, операторам, обрабатывающим ПДн детей необходимо предпринимать разумные меры защиты при обработке ПДн несовершеннолетних лиц. Так, компании должны реализовать следующие требования:
В частности, COPPA предусматривает право родителей и опекунов на запрос удаления ПДн детей.
Надзор за исполнением требований COPPA относятся к компетенции Федеральной торговой комиссии США (FTC).
#Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
Кто?
Норильский никель, РусАгро, Яндекс, Ozon, Альфа-Банк, ИЛИМ, Askona, ФосАгро, Whoosh, Хантфлоу, AstraZeneca, Туту, Банк ТРАСТ, Иннотех – это список компаний, эксперты из которых придут и обсудят с нами актуальные вопросы в области информационной безопасности и приватности.
Какие темы?
Программа?
Выложена тут.
Когда?
15 октября 2024 г. с 10:00 до 17:00 по московскому времени.
Формат?
Онлайн-трансляция на платформе MTS Link.
Еще не зарегистрировался?
Регистрируйся по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM