Латте со вкусом спокойствия: кибергигиена для работы в кофейне ☕️
Рассказываем о нескольких простых правилах информационной безопасности, которые помогут сохранить результаты трудов и не дать мошенникам похитить наработки и личные данные ☝️
🔻 Опасность первая — оставить незаблокированный ноутбук на столе и уйти в уборную или к барной стойке. У злоумышленника будет возможность скопировать данные, сфотографировать их — к примеру, конфиденциальную информацию о вашем клиенте, данные счёта, адреса.
🔹 Всегда следите за ноутбуком и блокируйте его на время перерыва.
🔻 Опасность вторая — общественный WiFi. Через незащищенную сеть они могут и украсть данные, и заразить ноутбук каким-нибудь вредным вирусом.
🔹 Сделайте точку доступа на вашем смартфоне и воспользуйтесь мобильным интернетом — так вы будете уверены в безопасности соединения. Также при работе с чувствительной информацией и внутренними документами стоит воспользоваться корпоративным VPN (уточните у вашего безопасника, есть ли такая возможность).
Рассказываем о нескольких простых правилах информационной безопасности, которые помогут сохранить результаты трудов и не дать мошенникам похитить наработки и личные данные ☝️
🔻 Опасность первая — оставить незаблокированный ноутбук на столе и уйти в уборную или к барной стойке. У злоумышленника будет возможность скопировать данные, сфотографировать их — к примеру, конфиденциальную информацию о вашем клиенте, данные счёта, адреса.
🔹 Всегда следите за ноутбуком и блокируйте его на время перерыва.
🔻 Опасность вторая — общественный WiFi. Через незащищенную сеть они могут и украсть данные, и заразить ноутбук каким-нибудь вредным вирусом.
🔹 Сделайте точку доступа на вашем смартфоне и воспользуйтесь мобильным интернетом — так вы будете уверены в безопасности соединения. Также при работе с чувствительной информацией и внутренними документами стоит воспользоваться корпоративным VPN (уточните у вашего безопасника, есть ли такая возможность).
❤2❤🔥1
Угнать за 60 секунд: как уберечь свой Telegram-аккаунт от злоумышленников
С каждым месяцем популярность мессенджера только растет. В июне 2022 года аудитория Telegram достигла 700 миллионов человек — об этом рассказал основатель сети Павел Дуров. Для российских пользователей приложение является одной из самых популярных программ — более 52% аудитории рунета регулярно посылают друг другу сообщения в мессенджере. Растет и количество мошенников, которые пытаются увести у владельцев их каналы.
Спикер Слёрма Роман Панин, руководитель направления по архитектуре ИБ в МТС, и Владимир Силаев, эксперт по Telegram, админ каналов, поделились мыслями о том, как уберечь каналы и не дать злоумышленникам похитить ваш интеллектуальный труд.
Читайте в нашей статье на vc: https://slurm.club/3AVLpOZ
С каждым месяцем популярность мессенджера только растет. В июне 2022 года аудитория Telegram достигла 700 миллионов человек — об этом рассказал основатель сети Павел Дуров. Для российских пользователей приложение является одной из самых популярных программ — более 52% аудитории рунета регулярно посылают друг другу сообщения в мессенджере. Растет и количество мошенников, которые пытаются увести у владельцев их каналы.
Спикер Слёрма Роман Панин, руководитель направления по архитектуре ИБ в МТС, и Владимир Силаев, эксперт по Telegram, админ каналов, поделились мыслями о том, как уберечь каналы и не дать злоумышленникам похитить ваш интеллектуальный труд.
Читайте в нашей статье на vc: https://slurm.club/3AVLpOZ
🔥2❤🔥1
Актуальные типы кибератак и как они проявляются
Базово все кибератаки можно поделить на целевые и нецелевые (распределенные)
⚡Распределенные кибератаки происходят десятками тысяч каждый день. Они хаотичны и нацелены на распространенные ошибки пользователей систем или тех, кто эти системы проектирует. Они приносят злоумышленнику не так много выгоды, но, из-за того, что их много, это скорее упор на количество, а не на качество.
⚡ Целевые или таргетированные кибератаки — это уже более основательный подход ко взлому. В этом случае злоумышленник точно знает, кто его цель, что он хочет получить и на что он готов пойти. Нужно понимать, что нет ничего, что невозможно взломать, вопрос заключается лишь в том, стоит ли цель потраченных ресурсов.
Целью таких атак может быть как получение какой-то конфиденциальной и ценной информации, так и приостановка деятельности компании. Существует также более опасные злоумышленники, которые занимаются полномасштабным кибертерроризмом. Их целью может быть уже не просто компания, а ядерный реактор: если они получат к нему доступ, то смогут выдвигать любые свои требования.
Не всегда цель заключается только в сливе каких-то данных. Злоумышленник, получив доступ к информации, может не обнаруживать свое присутствие, а использовать данные в других целях. К примеру, взломает банк и присвоит себе на счет столько денег, сколько ему нужно. Само собой, в разумных количествах, чтобы система этого не обнаружила и не заподозрила его присутствие.
Какие бывают способы защиты от целевых атак:
✔️ Анализ аномалий от уровня хоста до уровня приложения и всей системы в целом
✔️ Проработка плана резервного восстановления
✔️ Контроль всех входящих и исходящих потоков данных
✔️ Обучение кибергигиене сотрудников компании
Подробнее об атаках мы будем рассказывать в следующих постах ⚡
Базово все кибератаки можно поделить на целевые и нецелевые (распределенные)
⚡Распределенные кибератаки происходят десятками тысяч каждый день. Они хаотичны и нацелены на распространенные ошибки пользователей систем или тех, кто эти системы проектирует. Они приносят злоумышленнику не так много выгоды, но, из-за того, что их много, это скорее упор на количество, а не на качество.
⚡ Целевые или таргетированные кибератаки — это уже более основательный подход ко взлому. В этом случае злоумышленник точно знает, кто его цель, что он хочет получить и на что он готов пойти. Нужно понимать, что нет ничего, что невозможно взломать, вопрос заключается лишь в том, стоит ли цель потраченных ресурсов.
Целью таких атак может быть как получение какой-то конфиденциальной и ценной информации, так и приостановка деятельности компании. Существует также более опасные злоумышленники, которые занимаются полномасштабным кибертерроризмом. Их целью может быть уже не просто компания, а ядерный реактор: если они получат к нему доступ, то смогут выдвигать любые свои требования.
Не всегда цель заключается только в сливе каких-то данных. Злоумышленник, получив доступ к информации, может не обнаруживать свое присутствие, а использовать данные в других целях. К примеру, взломает банк и присвоит себе на счет столько денег, сколько ему нужно. Само собой, в разумных количествах, чтобы система этого не обнаружила и не заподозрила его присутствие.
Какие бывают способы защиты от целевых атак:
✔️ Анализ аномалий от уровня хоста до уровня приложения и всей системы в целом
✔️ Проработка плана резервного восстановления
✔️ Контроль всех входящих и исходящих потоков данных
✔️ Обучение кибергигиене сотрудников компании
Подробнее об атаках мы будем рассказывать в следующих постах ⚡
❤🔥1❤1🔥1
🤔 Информация безопасность = кибербезопасность?
⠀
На сайтах-агрегаторах с вакансиями можно найти предложения и для инженера ИБ, и для специалиста по кибербезопасности. Что интересно, требования к сотруднику могут частично или полностью совпадать. Получается, что информационная безопасность и кибербезопасность — одно и то же, просто второе звучит чуть круче? Разберём подробнее ⬇️
⠀
Информационная безопасность, она же InfoSec, — это инструменты и методы, которые защищают цифровую и аналоговую информацию. Под «защиту» кибербезопасти попадают цифровые данные: их оберегают от киберугроз.
⠀
Информационная безопасность обширнее, нежели кибербезопасность, хотя они и похожи.
⠀
От специалиста по информационной безопасности работодатель может просить:
⠀
✔️ Разработать локальные нормативные акты по ИБ — внутренние требования компании к сотрудникам;
✔️ Эксплуатировать средства антивирусной защиты;
✔️ Обучить сотрудников компании кибергигиене и повысить их осведомленность;
✔️ Провести аудиты ИБ.
⠀
Вот что может делать инженер кибербезопасти:
⠀
✔️ Обеспечивать безопасную работу мобильного приложения;
✔️ Проводить технический аудит и тестирования на проникновение;
✔️ Автоматизировать процессы безопасной разработки ПО.
⠀
Довольно часто в вакансиях объединяют ИБ и кибербезопасность, а требования к специалистам совпадают — практически всегда требуется обучать коллег, к примеру. При поиске вы можете вводить оба направления и смотреть на требования к соискателю, ориентироваться на ваши навыки и ожидания от работы.
⠀
Но стоит помнить, что кибербезопасность является всего лишь часть такого домена, как информационная безопасность. Ну а какие именно задачи на себя забирает этот поддомен, мы обсудим уже в следующих постах.
⠀
На сайтах-агрегаторах с вакансиями можно найти предложения и для инженера ИБ, и для специалиста по кибербезопасности. Что интересно, требования к сотруднику могут частично или полностью совпадать. Получается, что информационная безопасность и кибербезопасность — одно и то же, просто второе звучит чуть круче? Разберём подробнее ⬇️
⠀
Информационная безопасность, она же InfoSec, — это инструменты и методы, которые защищают цифровую и аналоговую информацию. Под «защиту» кибербезопасти попадают цифровые данные: их оберегают от киберугроз.
⠀
Информационная безопасность обширнее, нежели кибербезопасность, хотя они и похожи.
⠀
От специалиста по информационной безопасности работодатель может просить:
⠀
✔️ Разработать локальные нормативные акты по ИБ — внутренние требования компании к сотрудникам;
✔️ Эксплуатировать средства антивирусной защиты;
✔️ Обучить сотрудников компании кибергигиене и повысить их осведомленность;
✔️ Провести аудиты ИБ.
⠀
Вот что может делать инженер кибербезопасти:
⠀
✔️ Обеспечивать безопасную работу мобильного приложения;
✔️ Проводить технический аудит и тестирования на проникновение;
✔️ Автоматизировать процессы безопасной разработки ПО.
⠀
Довольно часто в вакансиях объединяют ИБ и кибербезопасность, а требования к специалистам совпадают — практически всегда требуется обучать коллег, к примеру. При поиске вы можете вводить оба направления и смотреть на требования к соискателю, ориентироваться на ваши навыки и ожидания от работы.
⠀
Но стоит помнить, что кибербезопасность является всего лишь часть такого домена, как информационная безопасность. Ну а какие именно задачи на себя забирает этот поддомен, мы обсудим уже в следующих постах.
🔥2❤🔥1
🗝 Нам нужен специалист по ИБ? 🗝
⠀
Для банков, IT-компаний, служб по доставке еды и других организаций, работающих с большим объемом конфиденциальных данных, ответ однозначный — да, конечно, безусловно, давайте ещё парочку возьмем! А для маленькой кофейни, к примеру? Или для магазина с канцелярскими товарами?
⠀
Главная цель ИБ — сохранить ключевую информацию и обеспечить:
⠀
✔️ Конфиденциальность данных
✔️ Доступность системы для лиц с правом доступа
✔️ Блокировку несанкционированного изменения данных
✔️ Её полноту, подлинность и общую точность
⠀
Возьмем для примера ту же локальную кофейню в тихом петербуржском переулке. С какими данными может работать персонал заведения:
⠀
✅ Финансовыми отчетностями, информацией о закупках, налоговыми выплатами
✅ Номерами телефонов посетителей, если они участвуют в программе лояльности
✅ Документами сотрудников: паспортами, СНИЛС. ИНН, банковскими счетами
✅ Договором с арендатором
⠀
Казалось бы, маленькое заведение, чуть ли не метр на метр, а столько данных. Любая утечка может нанести финансовый и репутационный урон заведению:
⠀
➖ Мошенники получат базу с актуальными номерами клиентов
➖ Конкуренты смогут увести выгодного поставщика
➖ Злоумышленник может начать шантажировать предпринимателя
⠀
Безопасник требуется везде, где есть место для конфиденциальных данных. Возможно, для небольшой кофейни подойдет и разработчик на аутсорсе — специалиста в штат возьмут тогда, когда заведение вырастет, а работы прибавится. Ну или владелец небольшой кофейни может воспользоваться различными сервисами для хранения и обработки той самой чувствительной информации в рамках нужд своего бизнеса. Главное – следить за тем, чтобы компании, предоставляющие эти сервисы также не забывали об информационной безопасности и несли полную ответственность за данные, которые они обрабатывают.
⠀
Иногда так случается, что сами сотрудники заведения не до конца понимают, зачем им соблюдать меры информационной безопасности. О том, как донести ценность ИБ до коллег, мы расскажем в следующих постах.
⠀
Для банков, IT-компаний, служб по доставке еды и других организаций, работающих с большим объемом конфиденциальных данных, ответ однозначный — да, конечно, безусловно, давайте ещё парочку возьмем! А для маленькой кофейни, к примеру? Или для магазина с канцелярскими товарами?
⠀
Главная цель ИБ — сохранить ключевую информацию и обеспечить:
⠀
✔️ Конфиденциальность данных
✔️ Доступность системы для лиц с правом доступа
✔️ Блокировку несанкционированного изменения данных
✔️ Её полноту, подлинность и общую точность
⠀
Возьмем для примера ту же локальную кофейню в тихом петербуржском переулке. С какими данными может работать персонал заведения:
⠀
✅ Финансовыми отчетностями, информацией о закупках, налоговыми выплатами
✅ Номерами телефонов посетителей, если они участвуют в программе лояльности
✅ Документами сотрудников: паспортами, СНИЛС. ИНН, банковскими счетами
✅ Договором с арендатором
⠀
Казалось бы, маленькое заведение, чуть ли не метр на метр, а столько данных. Любая утечка может нанести финансовый и репутационный урон заведению:
⠀
➖ Мошенники получат базу с актуальными номерами клиентов
➖ Конкуренты смогут увести выгодного поставщика
➖ Злоумышленник может начать шантажировать предпринимателя
⠀
Безопасник требуется везде, где есть место для конфиденциальных данных. Возможно, для небольшой кофейни подойдет и разработчик на аутсорсе — специалиста в штат возьмут тогда, когда заведение вырастет, а работы прибавится. Ну или владелец небольшой кофейни может воспользоваться различными сервисами для хранения и обработки той самой чувствительной информации в рамках нужд своего бизнеса. Главное – следить за тем, чтобы компании, предоставляющие эти сервисы также не забывали об информационной безопасности и несли полную ответственность за данные, которые они обрабатывают.
⠀
Иногда так случается, что сами сотрудники заведения не до конца понимают, зачем им соблюдать меры информационной безопасности. О том, как донести ценность ИБ до коллег, мы расскажем в следующих постах.
❤3❤🔥1👎1
🤩 Повышаем осведомленность коллег: квиз по ИБ 🤩
⠀
Специалист по информационной безопасности проводит довольно большую часть рабочего времени за обучением коллег. Методички, памятки, буклеты, семинары — в дело идут все способы воздействия. Один из нетривиальных обучающих методов — интеллектуальная игра-квиз. Это популярный вид досуга, который будет понятен вашим коллегам.
⠀
Рассказываем, как составить квиз по ИБ ⬇️
⠀
Квизы состоят из нескольких туров, которые могут включать:
⠀
✔️ Вопросы с открытым ответом
✔️ Тест с одним или несколькими правильными ответами
✔️ Загадки с картинкой, шифрами
✔️ Музыкальный или видеовопрос
⠀
Советуем запланировать несколько разноплановых туров общей длительностью 35-40 минут. Такой квиз не утомит коллег, его можно поставить в общее расписание как обучение по ИБ.
⠀
Начинайте с простых вопросов и постепенно усложняйте туры. Вы можете использовать внутренние требования вашей организации к ИБ, взять её за основу вопросов.
⠀
В среднем в туре может быть от 5 до 10 вопросов, на каждый вопрос отводится определённое количество времени, за которое команда должна дать ответ. На простой вопрос хватит и 10 секунд, на что-то посложнее — 30 и более. Дайте в конце тура минуту, чтобы обсудить готовые ответы.
⠀
Используйте разные форматы и попытайтесь не дублировать их. Как могут быть расположены туры:
⠀
1 тур: 10 вопросов с выбором правильного ответа
2 тур: 8 видеороликов, где необходимо вспомнить реплику персонажа. Пример: фраза Остапа Бендера про квартиру, где деньги лежат
3 тур: зашифрованные пароли
4 тур: 5 вопросов с открытым ответом
⠀
В конце подарите командам приятные призы, даже тем, кто занял последнее место. Все-таки они старались и им, возможно, не хватило немного до победы.
❗ Квиз по ИБ не может заменить полноценное обучение или сертификацию. Это вспомогательный формат, он дополнит основную учебную программу, сплотит коллег и поможет им немного развеяться.
⠀
Специалист по информационной безопасности проводит довольно большую часть рабочего времени за обучением коллег. Методички, памятки, буклеты, семинары — в дело идут все способы воздействия. Один из нетривиальных обучающих методов — интеллектуальная игра-квиз. Это популярный вид досуга, который будет понятен вашим коллегам.
⠀
Рассказываем, как составить квиз по ИБ ⬇️
⠀
Квизы состоят из нескольких туров, которые могут включать:
⠀
✔️ Вопросы с открытым ответом
✔️ Тест с одним или несколькими правильными ответами
✔️ Загадки с картинкой, шифрами
✔️ Музыкальный или видеовопрос
⠀
Советуем запланировать несколько разноплановых туров общей длительностью 35-40 минут. Такой квиз не утомит коллег, его можно поставить в общее расписание как обучение по ИБ.
⠀
Начинайте с простых вопросов и постепенно усложняйте туры. Вы можете использовать внутренние требования вашей организации к ИБ, взять её за основу вопросов.
⠀
В среднем в туре может быть от 5 до 10 вопросов, на каждый вопрос отводится определённое количество времени, за которое команда должна дать ответ. На простой вопрос хватит и 10 секунд, на что-то посложнее — 30 и более. Дайте в конце тура минуту, чтобы обсудить готовые ответы.
⠀
Используйте разные форматы и попытайтесь не дублировать их. Как могут быть расположены туры:
⠀
1 тур: 10 вопросов с выбором правильного ответа
2 тур: 8 видеороликов, где необходимо вспомнить реплику персонажа. Пример: фраза Остапа Бендера про квартиру, где деньги лежат
3 тур: зашифрованные пароли
4 тур: 5 вопросов с открытым ответом
⠀
В конце подарите командам приятные призы, даже тем, кто занял последнее место. Все-таки они старались и им, возможно, не хватило немного до победы.
❗ Квиз по ИБ не может заменить полноценное обучение или сертификацию. Это вспомогательный формат, он дополнит основную учебную программу, сплотит коллег и поможет им немного развеяться.
🔥3❤🔥1👎1
📖 Что почитать: «Ловушка для багов»
⠀
Начинаем знакомить вас с интересными книгами по теме информационной безопасности, и первая — «Ловушка для багов», Питер Яворский.
⠀
Это руководство по белому хакингу и поиску уязвимостей в системе безопасности. Книга подойдёт и для новичков в разработке, и для опытных IT-специалистов — знания универсальны и применимы ко многим областям программирования.
⠀
Автор рассматривает распространенные типы ошибок и реальные хакерские отчеты о таких компаниях, как Twitter, Google, Uber и Starbucks.
⠀
Прочитайте книгу, чтобы узнать:
⠀
✔️ об основных концепциях веб-хакинга;
✔️ как злоумышленники взламывают веб-сайты;
✔️ как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты;
✔️ как получить доступ к данным другого пользователя;
✔️ с чего начать охоту за уязвимостями.
⠀
Начинаем знакомить вас с интересными книгами по теме информационной безопасности, и первая — «Ловушка для багов», Питер Яворский.
⠀
Это руководство по белому хакингу и поиску уязвимостей в системе безопасности. Книга подойдёт и для новичков в разработке, и для опытных IT-специалистов — знания универсальны и применимы ко многим областям программирования.
⠀
Автор рассматривает распространенные типы ошибок и реальные хакерские отчеты о таких компаниях, как Twitter, Google, Uber и Starbucks.
⠀
Прочитайте книгу, чтобы узнать:
⠀
✔️ об основных концепциях веб-хакинга;
✔️ как злоумышленники взламывают веб-сайты;
✔️ как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты;
✔️ как получить доступ к данным другого пользователя;
✔️ с чего начать охоту за уязвимостями.
🔥2❤🔥1
ИБ vs ИТ?
В среде разработчиков бытует мнение, что информационная безопасность относится к IT не напрямую, а косвенно, что это вспомогательная область и даже вторичная. Но так ли это на самом деле? На этот неоднозначный вопрос серьезно и обстоятельно ответили спикер Слёрм Роман Панин и его коллега Павел Шатилов, руководители направления архитектуры ИБ в МТС. Они рассказали о:
✔️ Безопасной разработке, по-другому – SSDLS;
✔️ DevOps и DevSecOps;
✔️ Противостоянии подразделений ИТ и ИБ;
✔️ Смежных специальностях в ИТ и ИБ;
✔️ Вузовских программах по направлению «Информационная безопасность».
Читайте больше в нашей статье ➡️ ссылка
В среде разработчиков бытует мнение, что информационная безопасность относится к IT не напрямую, а косвенно, что это вспомогательная область и даже вторичная. Но так ли это на самом деле? На этот неоднозначный вопрос серьезно и обстоятельно ответили спикер Слёрм Роман Панин и его коллега Павел Шатилов, руководители направления архитектуры ИБ в МТС. Они рассказали о:
✔️ Безопасной разработке, по-другому – SSDLS;
✔️ DevOps и DevSecOps;
✔️ Противостоянии подразделений ИТ и ИБ;
✔️ Смежных специальностях в ИТ и ИБ;
✔️ Вузовских программах по направлению «Информационная безопасность».
Читайте больше в нашей статье ➡️ ссылка
🔥2❤🔥1👍1
😱 Мои данные в сети: как проверить, нет ли ваших данных в сливах 😱
⠀
Как мы понимаем, что данные оказались у мошенников? Нам резко начинают поступать звонки с неизвестных номеров — прямо хоть звук на телефоне не включай 🤬 Однако есть и превентивные способы проверки данных.
⠀
в 2013 году инженер по веб-безопасности Трой Хант создал сайт Have i been pwned? Этот сервис собирает данные об утечках — некоторые из них ресурсу предоставляет правительства США, Великобритании и других стран.
⠀
На сайте вы можете проверить вашу электронную почту, не оказалась ли она в базе сливов. Сайт укажет, с какого сайта «уплыли данные», что попало в сеть. Не все русские сайты попадают в подборку, однако автор материала обнаружила свою старую почту в сливах с сайтов СДЭК, Вконтакте и LiveJornal.
⠀
Как мы понимаем, что данные оказались у мошенников? Нам резко начинают поступать звонки с неизвестных номеров — прямо хоть звук на телефоне не включай 🤬 Однако есть и превентивные способы проверки данных.
⠀
в 2013 году инженер по веб-безопасности Трой Хант создал сайт Have i been pwned? Этот сервис собирает данные об утечках — некоторые из них ресурсу предоставляет правительства США, Великобритании и других стран.
⠀
На сайте вы можете проверить вашу электронную почту, не оказалась ли она в базе сливов. Сайт укажет, с какого сайта «уплыли данные», что попало в сеть. Не все русские сайты попадают в подборку, однако автор материала обнаружила свою старую почту в сливах с сайтов СДЭК, Вконтакте и LiveJornal.
👍4❤🔥1
Напомните коллегам о правилах информационной безопасности — пришлите им смешной флаер 😎
Мы подготовили три флаера с отсылками на известные фильмы. Такое напоминание не займёт время получателя, при этом картинка и посыл на ней запомнятся.
А ещё эти флаеры можно распечатать и повесить в месте, где встречаются ваши коллеги — у кулера или кофемашины ☕
Мы подготовили три флаера с отсылками на известные фильмы. Такое напоминание не займёт время получателя, при этом картинка и посыл на ней запомнятся.
А ещё эти флаеры можно распечатать и повесить в месте, где встречаются ваши коллеги — у кулера или кофемашины ☕
❤🔥5