CISO & DPO news #16 (18-23 марта 2024 года)
1/8 Вредоносное ПО маскируется под Zoom, Google Meet и Skype.
2/8 Kaspersky ICS CERT опубликовали статистику угроз для промышленных АСУ.
3/8 В Госдуму внесен законопроект с поправками в закон о КИИ (187-ФЗ).
4/8 Появилась новая версия программы-вымогателя StopCrypt.
5/8 Приняты новые поправки в Кодекс РФ об административных правонарушениях.
6/8 Опубликован новый стандарт Банка России по обеспечению безопасности информации.
7/8 Минцифры готовит новые правила определения налогового резидентства граждан РФ.
8/8 Youtube вводит новые правила по маркировке видео с применением ИИ.
1/8 Вредоносное ПО маскируется под Zoom, Google Meet и Skype.
2/8 Kaspersky ICS CERT опубликовали статистику угроз для промышленных АСУ.
3/8 В Госдуму внесен законопроект с поправками в закон о КИИ (187-ФЗ).
4/8 Появилась новая версия программы-вымогателя StopCrypt.
5/8 Приняты новые поправки в Кодекс РФ об административных правонарушениях.
6/8 Опубликован новый стандарт Банка России по обеспечению безопасности информации.
7/8 Минцифры готовит новые правила определения налогового резидентства граждан РФ.
8/8 Youtube вводит новые правила по маркировке видео с применением ИИ.
👍7❤4
Как называется способ входа в систему без повторной аутентификации?
Anonymous Quiz
5%
Multi-factor authentication
10%
Local User Authentication
75%
Single Sign-On
11%
OAuth
🤔5
Single Sign-On (SSO) — это метод аутентификации, который позволяет пользователям получать доступ ко множеству ресурсов с использованием единого набора учетных данных без необходимости их повторного ввода.
Проверка аутентификации SSO происходит при запросе пользователем доступа к ресурсу. Система SSO принимает и проверят токен аутентификации с информацией о пользователе. В случае успешного прохождения проверки он получает доступ к ресурсу, в ином случае (например, по истечении срока действия токена) — переводится на корпоративный SSO, где пользователю нужно ввести учетные данные.
У SSO есть ряд достоинств в корпоративных сетях, где пользователи имеют доступ ко множеству систем:
• Безопасность: сокращение количества используемых паролей и исключение из них простых или повторяющихся вариантов.
• Экономия времени: упрощенный вход в системы, быстрое переключение между сервисами и приложениям.
• Оценка клиентского доступа: централизованный аудит и контроль доступа пользователей к системам.
#ИБ
Проверка аутентификации SSO происходит при запросе пользователем доступа к ресурсу. Система SSO принимает и проверят токен аутентификации с информацией о пользователе. В случае успешного прохождения проверки он получает доступ к ресурсу, в ином случае (например, по истечении срока действия токена) — переводится на корпоративный SSO, где пользователю нужно ввести учетные данные.
У SSO есть ряд достоинств в корпоративных сетях, где пользователи имеют доступ ко множеству систем:
• Безопасность: сокращение количества используемых паролей и исключение из них простых или повторяющихся вариантов.
• Экономия времени: упрощенный вход в системы, быстрое переключение между сервисами и приложениям.
• Оценка клиентского доступа: централизованный аудит и контроль доступа пользователей к системам.
#ИБ
👍10
Deepfake – технология, использующая средства искусственного интеллекта для подделки изображений, видео или голоса.
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
👍10❤2
Вопрос:
Какое правовое основание необходимо для передачи ПДн работников третьему лицу в целях проведения специальной оценки условий труда (СОУТ)?
Ответ:
Проведение СОУТ является обязанностью работодателя согласно ст. 214 ТК РФ и п. 1 ч. 2 ст. 4 426-ФЗ «О специальной оценке условий труда». Для этого работодатель должен передать организации, проводящей СОУТ, номера СНИЛС работников.
Согласно ст. 88 ТК РФ, работодатель может передать персональные данные (ПДн) работников без согласия в письменной форме, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных федеральными законами.
Таким образом, для передачи ПДн работников для целей проведения СОУТ согласие в письменной форме не потребуется. О случаях, когда требуется получать согласие на обработку ПДн в письменной форме, мы писали ранее
#KeptОтвечает
Какое правовое основание необходимо для передачи ПДн работников третьему лицу в целях проведения специальной оценки условий труда (СОУТ)?
Ответ:
Проведение СОУТ является обязанностью работодателя согласно ст. 214 ТК РФ и п. 1 ч. 2 ст. 4 426-ФЗ «О специальной оценке условий труда». Для этого работодатель должен передать организации, проводящей СОУТ, номера СНИЛС работников.
Согласно ст. 88 ТК РФ, работодатель может передать персональные данные (ПДн) работников без согласия в письменной форме, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных федеральными законами.
Таким образом, для передачи ПДн работников для целей проведения СОУТ согласие в письменной форме не потребуется. О случаях, когда требуется получать согласие на обработку ПДн в письменной форме, мы писали ранее
#KeptОтвечает
👍12
CISO & DPO news #17 (25-29 марта 2024 года)
1/8 Обсуждается легализация деятельности «белых» хакеров.
2/8 Обнаружен метод повышения привилегий в доменных средах Windows.
3/8 Positive Technologies провела анализ 16 APT-групп, нацеленных на Ближний Восток.
4/8 Обнаружены атаки новой группы кибершпионов.
5/8 Установлены новые правила к техническим средствам противодействия угрозам.
6/8 Утверждены новые правила заселения в гостиницы с помощью биометрии.
7/8 Совет Федерации выступил с новой инициативой по страхованию киберрисков.
8/8 Облачные сервисы Microsoft и Amazon прекратили работу в РФ.
1/8 Обсуждается легализация деятельности «белых» хакеров.
2/8 Обнаружен метод повышения привилегий в доменных средах Windows.
3/8 Positive Technologies провела анализ 16 APT-групп, нацеленных на Ближний Восток.
4/8 Обнаружены атаки новой группы кибершпионов.
5/8 Установлены новые правила к техническим средствам противодействия угрозам.
6/8 Утверждены новые правила заселения в гостиницы с помощью биометрии.
7/8 Совет Федерации выступил с новой инициативой по страхованию киберрисков.
8/8 Облачные сервисы Microsoft и Amazon прекратили работу в РФ.
👍9
Какого вида интернет-мошенничества не существует?
Anonymous Quiz
13%
Vishing
7%
Smishing
13%
Whaling
10%
Pharming
58%
Dudeism
❤7🤔3