​​Проект поправок в приказ ФСТЭК России № 17

ФСТЭК России подготовлен пакет изменений в свой 17-й приказ, устанавливающий требования о защите информации в государственных информационных системах. Кроме ожидаемых правок, касающихся уровней доверия, а также применения сертифицированных маршрутизаторов, предусматриваются нормы, которые будут интересны владельцам ЦОД, в которых предполагается размещение ГИС. Кроме того, аттестат соответствия предполагается выдавать бессрочно на весь срок эксплуатации ГИС.
Подробнее на Федеральном портале проектов нормативных правовых актов: https://regulation.gov.ru/Projects/List#npa=90839

Вполне себе новый класс угроз для новых технологий.

Относится, увы, не только к ИБ АСУ ТП.

А вы проверяете свое ПО на соответствие требованиям охраны труда и трудового кодекса? Или ограничиваетесь as is в лицензионном соглашении?

Доброе понедельничное утро!
В XXI веке люди будут делать два вида работы: ту, которую роботизировать при существующих технологиях невозможно (разработка систем, управление отношениями, искусство, создание роботов), и ту, которую люди пока делают дешевле (водители, курьеры, дворники, нестандартные простые операции). Роботы будут выполнять рутинную работу за первую группу людей и контролировать вторую (и тем заменят собой значительную часть сегодняшнего среднего класса).

Если вы думаете, что это фрагмент антиутопии, то ошибаетесь – жанр киберпанка уже сегодня позавидует некоторым невыдуманным историям.
17 апреля от сердечного приступа во время работу умер 21-летний курьер Яндекс.Еды, до этого 10 часов без перерыва развозивший заказы на велосипеде. После появления новости пользователь твиттера с ником Доктор Далек запустил тред, в котором принимал анонимные жалобы на условия работы в компании. Из них можно много чего узнать о том, как живется в XXI веке людям из описанной выше второй категории.

Во-первых, их работой управляют алгоритмы, а общаются с ними в основном боты, хотя супервайзер-человек иногда вмешивается (например, когда сотрудник просит дать ему отдохнуть во время смены).
При этом алгоритм сам принимает решение о том, каких курьеров когда выпускать на смену, то есть столь любимый студентами гибкий график на деле работает далеко не всегда.

Во-вторых, алгоритмы построены так, чтобы курьер был максимально эффективен и никуда не опаздывал – за опоздания и нарушения есть набор штрафов. Эту информацию, вкупе со своим грейдом (от которого зависит оплата труда) и рангом (местом в рейтинге) курьер постоянно видит в своем приложении. Суровая российская геймификация, которая, впрочем, обеспечивает действительно высокий процент доставок вовремя.

Вот только системы геолокации Яндекс.Еды часто дают курьеру меньше времени, чем реально нужно, чтобы добраться до точки – а доказывать, что система неправа, приходится боту. Со штрафами та же самая история – есть служба поддержки курьеров, но дозвониться до нее и решить вопрос с человеком можно не всегда – да и очередной заказ сам себя не доставит.
«Вишенкой на торте» в истории с погибшим курьером стало то, что на следующий день, когда он не вышел на работу, система автоматически оштрафовала его за прогул. Ситуацию исправили, но выглядит это все жутковато.

В-третьих, у любого курьера есть возможность работать значительно больше, чем положено по ТК, если очень нужны деньги. Система не ограничивает ни рабочий день курьеров, ни количество маршрутов в день, ни расстояние, которое курьер проходит за смену. Инструменты отслеживания курьера позволяют это делать, но руки до этого пока не дошли – бизнес в этой сфере важнее техники безопасности.

Яндекс.Еда уже пообещала ввести корректировки в свою политику работы с курьерами. Какие и когда – пока вопрос, хотя простейшие механизмы предотвращения подобных ситуаций компания ввести вполне в состоянии и очень быстро.
Но мотивационными фразами в стиле «будешь плохо учиться, всю жизнь проработаешь курьером Яндекс.Еды» можно пугать детей уже сейчас.

EU cybersecurity act vs NIST framework

https://www.ispionline.it/it/pubblicazione/eu-approach-cyberspace-view-washington-22876

Что характерно про межсетевые экраны и IDS пока явно не упоминают.

https://m.vedomosti.ru/technology/articles/2019/04/23/799972-minkomsvyazi-obeschaet-direktivi

В энергосекторе США планируется ввести закрытый список поставщиков оборудования которым запрещены поставки по соображениям безопасности.

GRID: How hacking threats spurred secret U.S. blacklist -- Thursday, April 18, 2019 -- www.eenews.net
https://www.eenews.net/stories/1060176111

"One of the risks, particularly with China, is if we end up having two sets of technology — the Chinese one, and the U.S. one —
and we force the world to choose between those two, that might make us a little more secure in the short term, but globally it makes us less capable to deal with a lot of hard problems that aren't necessarily limited to China and the U.S., like climate change or cybersecurity," he said...."

На 35 % увеличилось количество CISO отвественных за сети Operational Technology на фоне wannacry и petya.

Ряд вендоров обьединяет платформы/продукты для IT и OT.
Industry puts cybersecurity pros in charge - Axios
https://www.axios.com/cybersecurity-officers-hacking-db38f870-b02a-4ee8-a52a-94171f52b9f8.html

Если вы запларировали купить новые процессоры intel с аппаратным патчем от Spectre убедитесь, что ваша версия windows их оффициально поддерживает.

Windows Processor Requirements | Microsoft Docs
https://docs.microsoft.com/en-us/windows-hardware/design/minimum/windows-processor-requirements

Опубликован отчёт о результатах деятельности технического комитета по стандартизации «Защита информации» (ТК 362) за 2018 год:
https://fstec.ru/tk-362/deyatelnost-tk362/308-otchety/1833-otchet-za-2018-god

И небольшие изменения по составу данного комитета:
https://fstec.ru/tk-362/deyatelnost-tk362/309-pisma/1832-pismo-ot-23-aprelya-2019-g-n-1494
https://fstec.ru/tk-362/deyatelnost-tk362/309-pisma/1831-pismo-ot-23-aprelya-2019-g-n-1493

Японкий JPCERT/CC опубликовал небольшой гайд "Cyber Security First Step for Introducing IIoT to the Factory. Security Guide for Businesses Implementing IIoT"

https://www.jpcert.or.jp/english/pub/sr/ICS-Security1stStep.html

Как менялась информационная безопасность за последние 20 лет
https://habr.com/ru/post/449320/?utm_campaign=449320

Такие выводы от одного из лучших реверсеров в мире дорогого стоят.

"...Сегодня информационные технологии находятся на таком уровне развития, что знать все в рамках даже отдельной небольшой ниши, такой как реверс-инжиниринг, просто невозможно. Поэтому создание по-настоящему эффективных инструментов защиты сегодня возможно только для команд, объединяющих опытных экспертов с разноплановым набором знаний и компетенций.

Другой важный вывод: в настоящий момент задача информационной безопасности сводится не к тому, чтобы сделать любые атаки невозможными, а к управлению рисками. Противостояние специалистов по защите и нападению сводится к тому, чтобы сделать нападение слишком дорогим и снизить возможные финансовые потери в случае успешной атаки.

И третий, более глобальный вывод: информационная безопасность нужна только до тех пор, пока в ней есть потребность у бизнеса. Даже проведение сложных тестов на проникновение, для которых нужны специалисты экстра-класса, — по сути своей вспомогательная функция процесса продажи продуктов для информационной безопасности..."

The future of cybersecurity: Your body as a hacker-proof network | ZDNet
https://www.zdnet.com/article/the-future-of-cyber-security-your-body-as-a-hacker-proof-network/