Новый обзор подходов моделирования угроз кибербезопасности АСУ ТП от SANS / ICS Layered Threat Modeling

https://www.sans.org/reading-room/whitepapers/ICS/ics-layered-threat-modeling-38770

Forrester-The_Future_Of_Organizations.pdf

Тренд с которым сложно не согласится с учетом разных software defined... и повсеместной девопсизации и внедрения agile...

"...Moreover, because more and more of the hardware that we create is monitored and controlled by software, that cultural laziness is now creeping into hardware engineering—like building airliners.

Less thought is now given to getting a design correct and simple up front because it’s so easy to fix what you didn’t get right later..."

Стратегия кибербезопасности Австралии.

https://dfat.gov.au/international-relations/themes/cyber-affairs/aices/chapters/part_2_cyber_security.html

​​Проект поправок в приказ ФСТЭК России № 17

ФСТЭК России подготовлен пакет изменений в свой 17-й приказ, устанавливающий требования о защите информации в государственных информационных системах. Кроме ожидаемых правок, касающихся уровней доверия, а также применения сертифицированных маршрутизаторов, предусматриваются нормы, которые будут интересны владельцам ЦОД, в которых предполагается размещение ГИС. Кроме того, аттестат соответствия предполагается выдавать бессрочно на весь срок эксплуатации ГИС.
Подробнее на Федеральном портале проектов нормативных правовых актов: https://regulation.gov.ru/Projects/List#npa=90839

Вполне себе новый класс угроз для новых технологий.

Относится, увы, не только к ИБ АСУ ТП.

А вы проверяете свое ПО на соответствие требованиям охраны труда и трудового кодекса? Или ограничиваетесь as is в лицензионном соглашении?

Доброе понедельничное утро!
В XXI веке люди будут делать два вида работы: ту, которую роботизировать при существующих технологиях невозможно (разработка систем, управление отношениями, искусство, создание роботов), и ту, которую люди пока делают дешевле (водители, курьеры, дворники, нестандартные простые операции). Роботы будут выполнять рутинную работу за первую группу людей и контролировать вторую (и тем заменят собой значительную часть сегодняшнего среднего класса).

Если вы думаете, что это фрагмент антиутопии, то ошибаетесь – жанр киберпанка уже сегодня позавидует некоторым невыдуманным историям.
17 апреля от сердечного приступа во время работу умер 21-летний курьер Яндекс.Еды, до этого 10 часов без перерыва развозивший заказы на велосипеде. После появления новости пользователь твиттера с ником Доктор Далек запустил тред, в котором принимал анонимные жалобы на условия работы в компании. Из них можно много чего узнать о том, как живется в XXI веке людям из описанной выше второй категории.

Во-первых, их работой управляют алгоритмы, а общаются с ними в основном боты, хотя супервайзер-человек иногда вмешивается (например, когда сотрудник просит дать ему отдохнуть во время смены).
При этом алгоритм сам принимает решение о том, каких курьеров когда выпускать на смену, то есть столь любимый студентами гибкий график на деле работает далеко не всегда.

Во-вторых, алгоритмы построены так, чтобы курьер был максимально эффективен и никуда не опаздывал – за опоздания и нарушения есть набор штрафов. Эту информацию, вкупе со своим грейдом (от которого зависит оплата труда) и рангом (местом в рейтинге) курьер постоянно видит в своем приложении. Суровая российская геймификация, которая, впрочем, обеспечивает действительно высокий процент доставок вовремя.

Вот только системы геолокации Яндекс.Еды часто дают курьеру меньше времени, чем реально нужно, чтобы добраться до точки – а доказывать, что система неправа, приходится боту. Со штрафами та же самая история – есть служба поддержки курьеров, но дозвониться до нее и решить вопрос с человеком можно не всегда – да и очередной заказ сам себя не доставит.
«Вишенкой на торте» в истории с погибшим курьером стало то, что на следующий день, когда он не вышел на работу, система автоматически оштрафовала его за прогул. Ситуацию исправили, но выглядит это все жутковато.

В-третьих, у любого курьера есть возможность работать значительно больше, чем положено по ТК, если очень нужны деньги. Система не ограничивает ни рабочий день курьеров, ни количество маршрутов в день, ни расстояние, которое курьер проходит за смену. Инструменты отслеживания курьера позволяют это делать, но руки до этого пока не дошли – бизнес в этой сфере важнее техники безопасности.

Яндекс.Еда уже пообещала ввести корректировки в свою политику работы с курьерами. Какие и когда – пока вопрос, хотя простейшие механизмы предотвращения подобных ситуаций компания ввести вполне в состоянии и очень быстро.
Но мотивационными фразами в стиле «будешь плохо учиться, всю жизнь проработаешь курьером Яндекс.Еды» можно пугать детей уже сейчас.

EU cybersecurity act vs NIST framework

https://www.ispionline.it/it/pubblicazione/eu-approach-cyberspace-view-washington-22876

Что характерно про межсетевые экраны и IDS пока явно не упоминают.

https://m.vedomosti.ru/technology/articles/2019/04/23/799972-minkomsvyazi-obeschaet-direktivi

В энергосекторе США планируется ввести закрытый список поставщиков оборудования которым запрещены поставки по соображениям безопасности.

GRID: How hacking threats spurred secret U.S. blacklist -- Thursday, April 18, 2019 -- www.eenews.net
https://www.eenews.net/stories/1060176111

"One of the risks, particularly with China, is if we end up having two sets of technology — the Chinese one, and the U.S. one —
and we force the world to choose between those two, that might make us a little more secure in the short term, but globally it makes us less capable to deal with a lot of hard problems that aren't necessarily limited to China and the U.S., like climate change or cybersecurity," he said...."

На 35 % увеличилось количество CISO отвественных за сети Operational Technology на фоне wannacry и petya.

Ряд вендоров обьединяет платформы/продукты для IT и OT.
Industry puts cybersecurity pros in charge - Axios
https://www.axios.com/cybersecurity-officers-hacking-db38f870-b02a-4ee8-a52a-94171f52b9f8.html