Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (Anton Shipulin)
Новый обзор подходов моделирования угроз кибербезопасности АСУ ТП от SANS / ICS Layered Threat Modeling
https://www.sans.org/reading-room/whitepapers/ICS/ics-layered-threat-modeling-38770
https://www.sans.org/reading-room/whitepapers/ICS/ics-layered-threat-modeling-38770
Forrester-The_Future_Of_Organizations.pdf
631.4 KB
Forrester-The_Future_Of_Organizations.pdf
Тренд с которым сложно не согласится с учетом разных software defined... и повсеместной девопсизации и внедрения agile...
"...Moreover, because more and more of the hardware that we create is monitored and controlled by software, that cultural laziness is now creeping into hardware engineering—like building airliners.
Less thought is now given to getting a design correct and simple up front because it’s so easy to fix what you didn’t get right later..."
"...Moreover, because more and more of the hardware that we create is monitored and controlled by software, that cultural laziness is now creeping into hardware engineering—like building airliners.
Less thought is now given to getting a design correct and simple up front because it’s so easy to fix what you didn’t get right later..."
Стратегия кибербезопасности Австралии.
https://dfat.gov.au/international-relations/themes/cyber-affairs/aices/chapters/part_2_cyber_security.html
https://dfat.gov.au/international-relations/themes/cyber-affairs/aices/chapters/part_2_cyber_security.html
Forwarded from Листок бюрократической защиты информации
Проект поправок в приказ ФСТЭК России № 17
ФСТЭК России подготовлен пакет изменений в свой 17-й приказ, устанавливающий требования о защите информации в государственных информационных системах. Кроме ожидаемых правок, касающихся уровней доверия, а также применения сертифицированных маршрутизаторов, предусматриваются нормы, которые будут интересны владельцам ЦОД, в которых предполагается размещение ГИС. Кроме того, аттестат соответствия предполагается выдавать бессрочно на весь срок эксплуатации ГИС.
Подробнее на Федеральном портале проектов нормативных правовых актов: https://regulation.gov.ru/Projects/List#npa=90839
ФСТЭК России подготовлен пакет изменений в свой 17-й приказ, устанавливающий требования о защите информации в государственных информационных системах. Кроме ожидаемых правок, касающихся уровней доверия, а также применения сертифицированных маршрутизаторов, предусматриваются нормы, которые будут интересны владельцам ЦОД, в которых предполагается размещение ГИС. Кроме того, аттестат соответствия предполагается выдавать бессрочно на весь срок эксплуатации ГИС.
Подробнее на Федеральном портале проектов нормативных правовых актов: https://regulation.gov.ru/Projects/List#npa=90839
Forwarded from SecurityLab.ru
Группа исследователей из Левенского католического университета (Бельгия) продемонстрировала, как с помощью небольшого абстрактного изображения можно сделать человека невидимым для систем распознавания виртуальных образов.
Эксперты смогли обмануть камеру видеонаблюдения с помощью абстрактной картинки
Эксперты смогли обмануть камеру видеонаблюдения с помощью абстрактной картинки
SecurityLab.ru
Эксперты смогли обмануть камеру видеонаблюдения с помощью абстрактной картинки
В основе метода лежит создание состязательных изображений, заставляющих сверточные нейросети «узнавать» объекты других классов.
А вы проверяете свое ПО на соответствие требованиям охраны труда и трудового кодекса? Или ограничиваетесь as is в лицензионном соглашении?
Forwarded from WTF_HR
Доброе понедельничное утро!
В XXI веке люди будут делать два вида работы: ту, которую роботизировать при существующих технологиях невозможно (разработка систем, управление отношениями, искусство, создание роботов), и ту, которую люди пока делают дешевле (водители, курьеры, дворники, нестандартные простые операции). Роботы будут выполнять рутинную работу за первую группу людей и контролировать вторую (и тем заменят собой значительную часть сегодняшнего среднего класса).
Если вы думаете, что это фрагмент антиутопии, то ошибаетесь – жанр киберпанка уже сегодня позавидует некоторым невыдуманным историям.
17 апреля от сердечного приступа во время работу умер 21-летний курьер Яндекс.Еды, до этого 10 часов без перерыва развозивший заказы на велосипеде. После появления новости пользователь твиттера с ником Доктор Далек запустил тред, в котором принимал анонимные жалобы на условия работы в компании. Из них можно много чего узнать о том, как живется в XXI веке людям из описанной выше второй категории.
Во-первых, их работой управляют алгоритмы, а общаются с ними в основном боты, хотя супервайзер-человек иногда вмешивается (например, когда сотрудник просит дать ему отдохнуть во время смены).
При этом алгоритм сам принимает решение о том, каких курьеров когда выпускать на смену, то есть столь любимый студентами гибкий график на деле работает далеко не всегда.
Во-вторых, алгоритмы построены так, чтобы курьер был максимально эффективен и никуда не опаздывал – за опоздания и нарушения есть набор штрафов. Эту информацию, вкупе со своим грейдом (от которого зависит оплата труда) и рангом (местом в рейтинге) курьер постоянно видит в своем приложении. Суровая российская геймификация, которая, впрочем, обеспечивает действительно высокий процент доставок вовремя.
Вот только системы геолокации Яндекс.Еды часто дают курьеру меньше времени, чем реально нужно, чтобы добраться до точки – а доказывать, что система неправа, приходится боту. Со штрафами та же самая история – есть служба поддержки курьеров, но дозвониться до нее и решить вопрос с человеком можно не всегда – да и очередной заказ сам себя не доставит.
«Вишенкой на торте» в истории с погибшим курьером стало то, что на следующий день, когда он не вышел на работу, система автоматически оштрафовала его за прогул. Ситуацию исправили, но выглядит это все жутковато.
В-третьих, у любого курьера есть возможность работать значительно больше, чем положено по ТК, если очень нужны деньги. Система не ограничивает ни рабочий день курьеров, ни количество маршрутов в день, ни расстояние, которое курьер проходит за смену. Инструменты отслеживания курьера позволяют это делать, но руки до этого пока не дошли – бизнес в этой сфере важнее техники безопасности.
Яндекс.Еда уже пообещала ввести корректировки в свою политику работы с курьерами. Какие и когда – пока вопрос, хотя простейшие механизмы предотвращения подобных ситуаций компания ввести вполне в состоянии и очень быстро.
Но мотивационными фразами в стиле «будешь плохо учиться, всю жизнь проработаешь курьером Яндекс.Еды» можно пугать детей уже сейчас.
В XXI веке люди будут делать два вида работы: ту, которую роботизировать при существующих технологиях невозможно (разработка систем, управление отношениями, искусство, создание роботов), и ту, которую люди пока делают дешевле (водители, курьеры, дворники, нестандартные простые операции). Роботы будут выполнять рутинную работу за первую группу людей и контролировать вторую (и тем заменят собой значительную часть сегодняшнего среднего класса).
Если вы думаете, что это фрагмент антиутопии, то ошибаетесь – жанр киберпанка уже сегодня позавидует некоторым невыдуманным историям.
17 апреля от сердечного приступа во время работу умер 21-летний курьер Яндекс.Еды, до этого 10 часов без перерыва развозивший заказы на велосипеде. После появления новости пользователь твиттера с ником Доктор Далек запустил тред, в котором принимал анонимные жалобы на условия работы в компании. Из них можно много чего узнать о том, как живется в XXI веке людям из описанной выше второй категории.
Во-первых, их работой управляют алгоритмы, а общаются с ними в основном боты, хотя супервайзер-человек иногда вмешивается (например, когда сотрудник просит дать ему отдохнуть во время смены).
При этом алгоритм сам принимает решение о том, каких курьеров когда выпускать на смену, то есть столь любимый студентами гибкий график на деле работает далеко не всегда.
Во-вторых, алгоритмы построены так, чтобы курьер был максимально эффективен и никуда не опаздывал – за опоздания и нарушения есть набор штрафов. Эту информацию, вкупе со своим грейдом (от которого зависит оплата труда) и рангом (местом в рейтинге) курьер постоянно видит в своем приложении. Суровая российская геймификация, которая, впрочем, обеспечивает действительно высокий процент доставок вовремя.
Вот только системы геолокации Яндекс.Еды часто дают курьеру меньше времени, чем реально нужно, чтобы добраться до точки – а доказывать, что система неправа, приходится боту. Со штрафами та же самая история – есть служба поддержки курьеров, но дозвониться до нее и решить вопрос с человеком можно не всегда – да и очередной заказ сам себя не доставит.
«Вишенкой на торте» в истории с погибшим курьером стало то, что на следующий день, когда он не вышел на работу, система автоматически оштрафовала его за прогул. Ситуацию исправили, но выглядит это все жутковато.
В-третьих, у любого курьера есть возможность работать значительно больше, чем положено по ТК, если очень нужны деньги. Система не ограничивает ни рабочий день курьеров, ни количество маршрутов в день, ни расстояние, которое курьер проходит за смену. Инструменты отслеживания курьера позволяют это делать, но руки до этого пока не дошли – бизнес в этой сфере важнее техники безопасности.
Яндекс.Еда уже пообещала ввести корректировки в свою политику работы с курьерами. Какие и когда – пока вопрос, хотя простейшие механизмы предотвращения подобных ситуаций компания ввести вполне в состоянии и очень быстро.
Но мотивационными фразами в стиле «будешь плохо учиться, всю жизнь проработаешь курьером Яндекс.Еды» можно пугать детей уже сейчас.
Такие дела
В Петербурге во время смены скончался 21-летний курьер «Яндекс.Еды»
Молодой человек, по некоторым данным, проработал 10 часов без перерыва
EU cybersecurity act vs NIST framework
https://www.ispionline.it/it/pubblicazione/eu-approach-cyberspace-view-washington-22876
https://www.ispionline.it/it/pubblicazione/eu-approach-cyberspace-view-washington-22876
ISPI
The EU Approach to Cyberspace: A View from Washington
Reform of cybersecurity in Europe has been high on the agenda of EU institutions and the member states since September 2017. On March 12, members of the European Parliament adopted the EU
Что характерно про межсетевые экраны и IDS пока явно не упоминают.
https://m.vedomosti.ru/technology/articles/2019/04/23/799972-minkomsvyazi-obeschaet-direktivi
https://m.vedomosti.ru/technology/articles/2019/04/23/799972-minkomsvyazi-obeschaet-direktivi
www.vedomosti.ru
Минкомсвязи обещает директивы по импортозамещению телекомоборудования
Они распространятся на закупки для проектов за бюджетные деньги
В энергосекторе США планируется ввести закрытый список поставщиков оборудования которым запрещены поставки по соображениям безопасности.
GRID: How hacking threats spurred secret U.S. blacklist -- Thursday, April 18, 2019 -- www.eenews.net
https://www.eenews.net/stories/1060176111
GRID: How hacking threats spurred secret U.S. blacklist -- Thursday, April 18, 2019 -- www.eenews.net
https://www.eenews.net/stories/1060176111
www.eenews.net
GRID: How hacking threats spurred secret U.S. blacklist
U.S. energy regulators are pursuing a risky plan to share with electric utilities a secret "don't buy" list of foreign technology suppliers, according to multiple sources.
"One of the risks, particularly with China, is if we end up having two sets of technology — the Chinese one, and the U.S. one —
and we force the world to choose between those two, that might make us a little more secure in the short term, but globally it makes us less capable to deal with a lot of hard problems that aren't necessarily limited to China and the U.S., like climate change or cybersecurity," he said...."
and we force the world to choose between those two, that might make us a little more secure in the short term, but globally it makes us less capable to deal with a lot of hard problems that aren't necessarily limited to China and the U.S., like climate change or cybersecurity," he said...."
На 35 % увеличилось количество CISO отвественных за сети Operational Technology на фоне wannacry и petya.
Ряд вендоров обьединяет платформы/продукты для IT и OT.
Industry puts cybersecurity pros in charge - Axios
https://www.axios.com/cybersecurity-officers-hacking-db38f870-b02a-4ee8-a52a-94171f52b9f8.html
Ряд вендоров обьединяет платформы/продукты для IT и OT.
Industry puts cybersecurity pros in charge - Axios
https://www.axios.com/cybersecurity-officers-hacking-db38f870-b02a-4ee8-a52a-94171f52b9f8.html
Axios
Industry puts cybersecurity pros in charge
What spurred the change appears to be 2 massive global cyberattacks in 2016.
Если вы запларировали купить новые процессоры intel с аппаратным патчем от Spectre убедитесь, что ваша версия windows их оффициально поддерживает.
Windows Processor Requirements | Microsoft Docs
https://docs.microsoft.com/en-us/windows-hardware/design/minimum/windows-processor-requirements
Windows Processor Requirements | Microsoft Docs
https://docs.microsoft.com/en-us/windows-hardware/design/minimum/windows-processor-requirements
Docs
Windows Processor Requirements
This specification details the processors that can be used by OEMs to manufacture Customer Systems that include Windows Products (including Custom Images).