CISO & DPO news #43 (27 сентября - 3 октября 2024 года)
1/8 Найдена новая уязвимость в Windows, позволяющая получить права администратора.
2/8 Обновление Windows 11 приводит к синему экрану смерти.
3/8 Уязвимости в TeamViewer позволили получить контроль над системой.
4/8 Kaspersky опубликовал обзор АРТ- и финансовых атак за 2 квартал 2024 г.
5/8 Минцифры создаст платформу для борьбы с мошенниками.
6/8 Предложен новый индикатор риска по контролю за обработкой персональных данных.
7/8 ЦБ предложил ограничить возможность делегирования идентификации.
8/8 В Казахстане уточнены требования по локализации персональных данных.
1/8 Найдена новая уязвимость в Windows, позволяющая получить права администратора.
2/8 Обновление Windows 11 приводит к синему экрану смерти.
3/8 Уязвимости в TeamViewer позволили получить контроль над системой.
4/8 Kaspersky опубликовал обзор АРТ- и финансовых атак за 2 квартал 2024 г.
5/8 Минцифры создаст платформу для борьбы с мошенниками.
6/8 Предложен новый индикатор риска по контролю за обработкой персональных данных.
7/8 ЦБ предложил ограничить возможность делегирования идентификации.
8/8 В Казахстане уточнены требования по локализации персональных данных.
Какой из следующих законов в США был принят для защиты личной информации детей в интернете?
Anonymous Quiz
25%
HIPAA
45%
COPPA
25%
CCPA
4%
FERPA
Children's Online Privacy Protection Act (COPPA) является одним из важнейших американских федеральных законов о неприкосновенности частной жизни. Действие закона направлено на регулирование обработки персональных данных (ПДн) детей в возрасте до 13 лет в Цифровом пространстве. Такая обработка чаще всего осуществляется онлайн сервисами, которые предусматривают наличие детской аудитории и находятся под юрисдикцией США.
В соответствии с COPPA, операторам, обрабатывающим ПДн детей необходимо предпринимать разумные меры защиты при обработке ПДн несовершеннолетних лиц. Так, компании должны реализовать следующие требования:
▫ Получать явное согласие родителей или опекунов перед обработкой ПДн детей, что должно быть закреплено в политике конфиденциальности оператора. Помимо этого политика должна содержать информацию о том, как родители или опекуны могут контролировать обработку ПДн.
В частности, COPPA предусматривает право родителей и опекунов на запрос удаления ПДн детей.
▫ Передавать ПДн только тем компаниям, которые демонстрируют способность обеспечить их безопасность и конфиденциальность.
▫ Собирать только те ПДн, которые необходимы для достижения конкретных целей обработки ПДн. Избыточное хранение ПДн детей не допускается. После достижения целей обработки ПДн, они должны быть удалены.
▫ Принимать разумные меры для защиты ПДн детей от несанкционированного доступа, использования или раскрытия. Данные меры могут включать:
🔸 шифрование ПДн;
🔸 аудит безопасности ПДн;
🔸 обучение сотрудников правилам обработки ПДн детей;
🔸 сотрудничество с независимыми организациями по защите ПДн.
Надзор за исполнением требований COPPA относятся к компетенции Федеральной торговой комиссии США (FTC).
#Privacy
В соответствии с COPPA, операторам, обрабатывающим ПДн детей необходимо предпринимать разумные меры защиты при обработке ПДн несовершеннолетних лиц. Так, компании должны реализовать следующие требования:
В частности, COPPA предусматривает право родителей и опекунов на запрос удаления ПДн детей.
Надзор за исполнением требований COPPA относятся к компетенции Федеральной торговой комиссии США (FTC).
#Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
Кто?
Норильский никель, РусАгро, Яндекс, Ozon, Альфа-Банк, ИЛИМ, Askona, ФосАгро, Whoosh, Хантфлоу, AstraZeneca, Туту, Банк ТРАСТ, Иннотех – это список компаний, эксперты из которых придут и обсудят с нами актуальные вопросы в области информационной безопасности и приватности.
Какие темы?
Программа?
Выложена тут.
Когда?
15 октября 2024 г. с 10:00 до 17:00 по московскому времени.
Формат?
Онлайн-трансляция на платформе MTS Link.
Еще не зарегистрировался?
Регистрируйся по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
VPN (Виртуальная Частная Сеть) это технология, целью которой является установление зашифрованного безопасного соединения между устройством пользователя и сервером или между двумя серверами/маршрутизаторами.
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
Наиболее частыми сценариями использования VPN являются:
🔸 удаленный доступ сотрудника к корпоративной сети;
🔸 создание защищенного канала между разными сегментами сети;
🔸 изменение местоположения.
К основным преимуществам технологии можно отнести:
🔸 шифрование передаваемых данных;
🔸 сохранение анонимности в Интернете;
🔸 доступ к контенту по всему миру.
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
🔸 Сложность масштабирования – внедрение VPN для большого количества пользователей и устройств требует мощной инфраструктуры и сетевых ресурсов.
🔸 Несовместимость с другими системами – VPN не всегда легко интегрируются в существующую корпоративную инфраструктуру, особенно в условиях использования облачных сервисов или гибридных решений.
🔸 Снижение скорости соединения – при передаче данных через зашифрованные каналы их путь увеличивается, из-за чего скорость передачи может существенно снизиться.
#ИБ
#ПолезноЗнать
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
Наиболее частыми сценариями использования VPN являются:
К основным преимуществам технологии можно отнести:
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
24 октября Роман Мартинсон, менеджер группы по оказанию услуг в области кибербезопасности компании Kept, примет участие в дискуссии на тему «Как заниматься безопасностью для себя» на конференции «Сохранить все: безопасность информации».
На конференции ведущие эксперты в области кибербезопасности, регуляторы и представители бизнеса обсудят актуальные вопросы защиты данных в условиях стремительного развития цифровых технологий. Главные акценты мероприятия будут сделаны на законодательно-правовых аспектах информационной безопасности и практических подходах к защите данных.
В рамках дискуссии Роман поделится опытом и взглядами на то, как выстраивать системы безопасности, минимизируя риски для бизнеса и сотрудников.
Место: Конгресс-центр SOLUXE Hall, Москва
Регистрация на конференцию.
Не пропустите возможность узнать, как защищать данные без рисков для себя и своего бизнеса!
#Privacy
На конференции ведущие эксперты в области кибербезопасности, регуляторы и представители бизнеса обсудят актуальные вопросы защиты данных в условиях стремительного развития цифровых технологий. Главные акценты мероприятия будут сделаны на законодательно-правовых аспектах информационной безопасности и практических подходах к защите данных.
В рамках дискуссии Роман поделится опытом и взглядами на то, как выстраивать системы безопасности, минимизируя риски для бизнеса и сотрудников.
Место: Конгресс-центр SOLUXE Hall, Москва
Регистрация на конференцию.
Не пропустите возможность узнать, как защищать данные без рисков для себя и своего бизнеса!
#Privacy
Вопрос:
Как определить объекты КИИ?
Ответ:
Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
🔸 используются для обработки информации, необходимой для обеспечения критического процесса;
🔸 используются для управления, контроля или мониторинга критических процессов;
🔸 упомянуты перечне типовых отраслевых объектов КИИ, которые издаются регуляторами соответствующих сфер деятельности.
Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.
Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
🔸 здравоохранения;
🔸 транспорта;
🔸 энергетики;
🔸 оборонной промышленности;
🔸 горнодобывающей промышленности;
🔸 металлургической промышленности;
🔸 химической промышленности.
Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.
#КИИ
#ОтвечаетKept
Как определить объекты КИИ?
Ответ:
Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.
Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.
#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #44 (4 - 10 октября 2024 года)
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
По какой методике оценивается критичность уязвимостей, обнаруженных в ходе тестирования на проникновение?
Anonymous Quiz
14%
NIST
16%
ISO/IEC 27001
46%
CVSS
24%
OWASP
Оценка уязвимостей — ключевой этап в процессе проведения тестирования на проникновение, целью которого является выявление слабых мест в информационных системах. Для стандартизации и упрощения процесса оценки часто используется методика CVSS (Common Vulnerability Scoring System) — общепринятая система оценки уязвимостей.
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
▫️ Базовые метрики определяют первоначальную оценку уязвимости и включают такие параметры, как:
🔸 Вектор атаки (Attack Vector, AV) — способ, которым атакующий может эксплуатировать уязвимость (например, локально или удаленно).
🔸 Сложность атаки (Attack Complexity, AC) — уровень сложности, необходимый для успешной эксплуатации.
🔸 Привилегии, необходимые для эксплуатации (Privileges Required, PR) — уровень доступа, необходимый атакующему.
🔸 Пользовательское взаимодействие (User Interaction, UI) — необходимость участия пользователя для успешной атаки.
🔸 Воздействие на конфиденциальность, целостность и доступность (Confidentiality, Integrity, Availability Impact) — потенциальные последствия для системы в случае успешной атаки.
▫️ Временные метрики учитывают временные аспекты уязвимости, такие как наличие исправлений или уровень осведомленности о ней.
▫️ Контекстные метрики позволяют адаптировать оценку уязвимости в зависимости от конкретных условий эксплуатации, таких как важность уязвимого компонента для бизнеса.
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
Please open Telegram to view this post
VIEW IN TELEGRAM
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
▫️ Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.
▫️ Минимизация рисков:
🔸 в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.
🔸 в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.
Существует два основных типа «соли»:
▫️ Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.
▫️ Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
Существует два основных типа «соли»:
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
▫️ Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
▫️ Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
▫️ Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
▫️ Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
▫️ Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#ОтвечаетKept
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM