CISO & DPO news #15 (11-17 марта 2024 года)
1/8 Управление Росреестра по Москве разъяснило способы раскрытия персданных из ЕГРН.
2/8 Проведена целевая атака на предприятие машиностроительного сектора.
3/8 GitGuardian опубликовали отчет об утечках учетных данных на GitHub в 2023 г.
4/8 8 марта DDoS-атаки на российские интернет-магазины вышли на рекордный уровень.
5/8 Европейская комиссия должна приостановить использование Microsoft 365.
6/8 Опубликованы новые правила обработки персональных данных в Турции.
7/8 ISO опубликовала новый стандарт по обеспечению приватности персональных данных.
8/8 Европейский парламент рассмотрел Закон об искусственном интеллекте.
1/8 Управление Росреестра по Москве разъяснило способы раскрытия персданных из ЕГРН.
2/8 Проведена целевая атака на предприятие машиностроительного сектора.
3/8 GitGuardian опубликовали отчет об утечках учетных данных на GitHub в 2023 г.
4/8 8 марта DDoS-атаки на российские интернет-магазины вышли на рекордный уровень.
5/8 Европейская комиссия должна приостановить использование Microsoft 365.
6/8 Опубликованы новые правила обработки персональных данных в Турции.
7/8 ISO опубликовала новый стандарт по обеспечению приватности персональных данных.
8/8 Европейский парламент рассмотрел Закон об искусственном интеллекте.
👍9🤔1
Какой элемент электронной подписи гарантирует, что подпись была создана именно владельцем сертификата?
Anonymous Quiz
9%
Открытый ключ
27%
Сертификат открытого ключа
49%
Закрытый ключ
15%
Хеш-функция
🤔8👍2
Электронная подпись (ЭП) — это информация в электронной форме, которая подтверждает подписание документа конкретным лицом.
Закрытый ключ используется для создания ЭП и хранится на специальном ключевом носителе, защищённом паролем. Только владелец закрытого ключа знает этот пароль и может использовать его для подписания документов, что обеспечивает безопасность и подтверждение авторства документа.
Согласно 63-ФЗ существуют следующие виды ЭП:
• Простая электронная подпись (ПЭП): используется в рамках одной информационной системы и подтверждает действия конкретного лица. Пример ПЭП - СМС-коды.
• Неквалифицированная электронная подпись (НЭП): создается средствами криптошифрования, позволяет идентифицировать личность владельца и проверить целостность файла после его подписания.
• Квалифицированная электронная подпись (КЭП): создается средствами криптошифрования в соответствии с требованиям ФСБ России и считается наиболее надежной.
#ЭП
Закрытый ключ используется для создания ЭП и хранится на специальном ключевом носителе, защищённом паролем. Только владелец закрытого ключа знает этот пароль и может использовать его для подписания документов, что обеспечивает безопасность и подтверждение авторства документа.
Согласно 63-ФЗ существуют следующие виды ЭП:
• Простая электронная подпись (ПЭП): используется в рамках одной информационной системы и подтверждает действия конкретного лица. Пример ПЭП - СМС-коды.
• Неквалифицированная электронная подпись (НЭП): создается средствами криптошифрования, позволяет идентифицировать личность владельца и проверить целостность файла после его подписания.
• Квалифицированная электронная подпись (КЭП): создается средствами криптошифрования в соответствии с требованиям ФСБ России и считается наиболее надежной.
#ЭП
👍11🤔1
Ранее мы раскрыли правовую сторону работы рекомендательных технологий, сегодня остановимся на технических аспектах:
• сбор данных (например, cookie-файлы собирают данные о пользователях и их действиях на сайте)
• анализ предпочтений
• профилирование
• применение алгоритмов рекомендаций
• персонализация
Существуют следующие алгоритмы рекомендательных технологий:
• Неперсонализированные: не учитывают индивидуальные предпочтения конкретного пользователя.
• Контентная фильтрация: основана на сопоставлении товаров или контента с похожими характеристиками предыдущих объектов взаимодействия пользователя.
• Коллаборативная фильтрация: основана на оценках и предпочтениях других пользователей со схожими интересами.
• Гибридные системы: основаны на сочетании двух видов фильтрации для более точного результата и производительности рекомендаций.
Применение рекомендательных систем повышает эффективность оказания сервисов, поэтому стоит ждать роста их использования в большем числе компаний.
#ПолезноЗнать
• сбор данных (например, cookie-файлы собирают данные о пользователях и их действиях на сайте)
• анализ предпочтений
• профилирование
• применение алгоритмов рекомендаций
• персонализация
Существуют следующие алгоритмы рекомендательных технологий:
• Неперсонализированные: не учитывают индивидуальные предпочтения конкретного пользователя.
• Контентная фильтрация: основана на сопоставлении товаров или контента с похожими характеристиками предыдущих объектов взаимодействия пользователя.
• Коллаборативная фильтрация: основана на оценках и предпочтениях других пользователей со схожими интересами.
• Гибридные системы: основаны на сочетании двух видов фильтрации для более точного результата и производительности рекомендаций.
Применение рекомендательных систем повышает эффективность оказания сервисов, поэтому стоит ждать роста их использования в большем числе компаний.
#ПолезноЗнать
❤10🤔3👍2
Вопрос:
Какое правовое основание обработки данных работников необходимо использовать для организации пропускного режима?
Ответ:
Если организация пропускного режима осуществляется работодателем самостоятельно, то согласие работника не требуется, так как работодатель обязан обеспечивать безопасность и условия труда, в соответствии со ст. 22 ТК РФ. Роскомнадзор придерживается такой же позиции.
Но если организация пропускного режима осуществляется с привлечением сторонней организации, то имеет место передача персональных данных третьему лицу. В таком случае по общему правилу, согласно ст. 88 ТК РФ, необходимо предварительно получить согласие в письменной форме на передачу персональных данных работников третьим лицам.
О требованиях к содержанию письменной формы согласия мы писали ранее.
#Privacy
Какое правовое основание обработки данных работников необходимо использовать для организации пропускного режима?
Ответ:
Если организация пропускного режима осуществляется работодателем самостоятельно, то согласие работника не требуется, так как работодатель обязан обеспечивать безопасность и условия труда, в соответствии со ст. 22 ТК РФ. Роскомнадзор придерживается такой же позиции.
Но если организация пропускного режима осуществляется с привлечением сторонней организации, то имеет место передача персональных данных третьему лицу. В таком случае по общему правилу, согласно ст. 88 ТК РФ, необходимо предварительно получить согласие в письменной форме на передачу персональных данных работников третьим лицам.
О требованиях к содержанию письменной формы согласия мы писали ранее.
#Privacy
👍10
CISO & DPO news #16 (18-23 марта 2024 года)
1/8 Вредоносное ПО маскируется под Zoom, Google Meet и Skype.
2/8 Kaspersky ICS CERT опубликовали статистику угроз для промышленных АСУ.
3/8 В Госдуму внесен законопроект с поправками в закон о КИИ (187-ФЗ).
4/8 Появилась новая версия программы-вымогателя StopCrypt.
5/8 Приняты новые поправки в Кодекс РФ об административных правонарушениях.
6/8 Опубликован новый стандарт Банка России по обеспечению безопасности информации.
7/8 Минцифры готовит новые правила определения налогового резидентства граждан РФ.
8/8 Youtube вводит новые правила по маркировке видео с применением ИИ.
1/8 Вредоносное ПО маскируется под Zoom, Google Meet и Skype.
2/8 Kaspersky ICS CERT опубликовали статистику угроз для промышленных АСУ.
3/8 В Госдуму внесен законопроект с поправками в закон о КИИ (187-ФЗ).
4/8 Появилась новая версия программы-вымогателя StopCrypt.
5/8 Приняты новые поправки в Кодекс РФ об административных правонарушениях.
6/8 Опубликован новый стандарт Банка России по обеспечению безопасности информации.
7/8 Минцифры готовит новые правила определения налогового резидентства граждан РФ.
8/8 Youtube вводит новые правила по маркировке видео с применением ИИ.
👍7❤4
Как называется способ входа в систему без повторной аутентификации?
Anonymous Quiz
5%
Multi-factor authentication
10%
Local User Authentication
75%
Single Sign-On
11%
OAuth
🤔5
Single Sign-On (SSO) — это метод аутентификации, который позволяет пользователям получать доступ ко множеству ресурсов с использованием единого набора учетных данных без необходимости их повторного ввода.
Проверка аутентификации SSO происходит при запросе пользователем доступа к ресурсу. Система SSO принимает и проверят токен аутентификации с информацией о пользователе. В случае успешного прохождения проверки он получает доступ к ресурсу, в ином случае (например, по истечении срока действия токена) — переводится на корпоративный SSO, где пользователю нужно ввести учетные данные.
У SSO есть ряд достоинств в корпоративных сетях, где пользователи имеют доступ ко множеству систем:
• Безопасность: сокращение количества используемых паролей и исключение из них простых или повторяющихся вариантов.
• Экономия времени: упрощенный вход в системы, быстрое переключение между сервисами и приложениям.
• Оценка клиентского доступа: централизованный аудит и контроль доступа пользователей к системам.
#ИБ
Проверка аутентификации SSO происходит при запросе пользователем доступа к ресурсу. Система SSO принимает и проверят токен аутентификации с информацией о пользователе. В случае успешного прохождения проверки он получает доступ к ресурсу, в ином случае (например, по истечении срока действия токена) — переводится на корпоративный SSO, где пользователю нужно ввести учетные данные.
У SSO есть ряд достоинств в корпоративных сетях, где пользователи имеют доступ ко множеству систем:
• Безопасность: сокращение количества используемых паролей и исключение из них простых или повторяющихся вариантов.
• Экономия времени: упрощенный вход в системы, быстрое переключение между сервисами и приложениям.
• Оценка клиентского доступа: централизованный аудит и контроль доступа пользователей к системам.
#ИБ
👍10
Deepfake – технология, использующая средства искусственного интеллекта для подделки изображений, видео или голоса.
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
👍10❤2