CISO & DPO news #16 (18-23 марта 2024 года)
1/8 Вредоносное ПО маскируется под Zoom, Google Meet и Skype.
2/8 Kaspersky ICS CERT опубликовали статистику угроз для промышленных АСУ.
3/8 В Госдуму внесен законопроект с поправками в закон о КИИ (187-ФЗ).
4/8 Появилась новая версия программы-вымогателя StopCrypt.
5/8 Приняты новые поправки в Кодекс РФ об административных правонарушениях.
6/8 Опубликован новый стандарт Банка России по обеспечению безопасности информации.
7/8 Минцифры готовит новые правила определения налогового резидентства граждан РФ.
8/8 Youtube вводит новые правила по маркировке видео с применением ИИ.
1/8 Вредоносное ПО маскируется под Zoom, Google Meet и Skype.
2/8 Kaspersky ICS CERT опубликовали статистику угроз для промышленных АСУ.
3/8 В Госдуму внесен законопроект с поправками в закон о КИИ (187-ФЗ).
4/8 Появилась новая версия программы-вымогателя StopCrypt.
5/8 Приняты новые поправки в Кодекс РФ об административных правонарушениях.
6/8 Опубликован новый стандарт Банка России по обеспечению безопасности информации.
7/8 Минцифры готовит новые правила определения налогового резидентства граждан РФ.
8/8 Youtube вводит новые правила по маркировке видео с применением ИИ.
👍7❤4
Как называется способ входа в систему без повторной аутентификации?
Anonymous Quiz
5%
Multi-factor authentication
10%
Local User Authentication
75%
Single Sign-On
11%
OAuth
🤔5
Single Sign-On (SSO) — это метод аутентификации, который позволяет пользователям получать доступ ко множеству ресурсов с использованием единого набора учетных данных без необходимости их повторного ввода.
Проверка аутентификации SSO происходит при запросе пользователем доступа к ресурсу. Система SSO принимает и проверят токен аутентификации с информацией о пользователе. В случае успешного прохождения проверки он получает доступ к ресурсу, в ином случае (например, по истечении срока действия токена) — переводится на корпоративный SSO, где пользователю нужно ввести учетные данные.
У SSO есть ряд достоинств в корпоративных сетях, где пользователи имеют доступ ко множеству систем:
• Безопасность: сокращение количества используемых паролей и исключение из них простых или повторяющихся вариантов.
• Экономия времени: упрощенный вход в системы, быстрое переключение между сервисами и приложениям.
• Оценка клиентского доступа: централизованный аудит и контроль доступа пользователей к системам.
#ИБ
Проверка аутентификации SSO происходит при запросе пользователем доступа к ресурсу. Система SSO принимает и проверят токен аутентификации с информацией о пользователе. В случае успешного прохождения проверки он получает доступ к ресурсу, в ином случае (например, по истечении срока действия токена) — переводится на корпоративный SSO, где пользователю нужно ввести учетные данные.
У SSO есть ряд достоинств в корпоративных сетях, где пользователи имеют доступ ко множеству систем:
• Безопасность: сокращение количества используемых паролей и исключение из них простых или повторяющихся вариантов.
• Экономия времени: упрощенный вход в системы, быстрое переключение между сервисами и приложениям.
• Оценка клиентского доступа: централизованный аудит и контроль доступа пользователей к системам.
#ИБ
👍10
Deepfake – технология, использующая средства искусственного интеллекта для подделки изображений, видео или голоса.
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
👍10❤2
Вопрос:
Какое правовое основание необходимо для передачи ПДн работников третьему лицу в целях проведения специальной оценки условий труда (СОУТ)?
Ответ:
Проведение СОУТ является обязанностью работодателя согласно ст. 214 ТК РФ и п. 1 ч. 2 ст. 4 426-ФЗ «О специальной оценке условий труда». Для этого работодатель должен передать организации, проводящей СОУТ, номера СНИЛС работников.
Согласно ст. 88 ТК РФ, работодатель может передать персональные данные (ПДн) работников без согласия в письменной форме, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных федеральными законами.
Таким образом, для передачи ПДн работников для целей проведения СОУТ согласие в письменной форме не потребуется. О случаях, когда требуется получать согласие на обработку ПДн в письменной форме, мы писали ранее
#KeptОтвечает
Какое правовое основание необходимо для передачи ПДн работников третьему лицу в целях проведения специальной оценки условий труда (СОУТ)?
Ответ:
Проведение СОУТ является обязанностью работодателя согласно ст. 214 ТК РФ и п. 1 ч. 2 ст. 4 426-ФЗ «О специальной оценке условий труда». Для этого работодатель должен передать организации, проводящей СОУТ, номера СНИЛС работников.
Согласно ст. 88 ТК РФ, работодатель может передать персональные данные (ПДн) работников без согласия в письменной форме, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных федеральными законами.
Таким образом, для передачи ПДн работников для целей проведения СОУТ согласие в письменной форме не потребуется. О случаях, когда требуется получать согласие на обработку ПДн в письменной форме, мы писали ранее
#KeptОтвечает
👍12
CISO & DPO news #17 (25-29 марта 2024 года)
1/8 Обсуждается легализация деятельности «белых» хакеров.
2/8 Обнаружен метод повышения привилегий в доменных средах Windows.
3/8 Positive Technologies провела анализ 16 APT-групп, нацеленных на Ближний Восток.
4/8 Обнаружены атаки новой группы кибершпионов.
5/8 Установлены новые правила к техническим средствам противодействия угрозам.
6/8 Утверждены новые правила заселения в гостиницы с помощью биометрии.
7/8 Совет Федерации выступил с новой инициативой по страхованию киберрисков.
8/8 Облачные сервисы Microsoft и Amazon прекратили работу в РФ.
1/8 Обсуждается легализация деятельности «белых» хакеров.
2/8 Обнаружен метод повышения привилегий в доменных средах Windows.
3/8 Positive Technologies провела анализ 16 APT-групп, нацеленных на Ближний Восток.
4/8 Обнаружены атаки новой группы кибершпионов.
5/8 Установлены новые правила к техническим средствам противодействия угрозам.
6/8 Утверждены новые правила заселения в гостиницы с помощью биометрии.
7/8 Совет Федерации выступил с новой инициативой по страхованию киберрисков.
8/8 Облачные сервисы Microsoft и Amazon прекратили работу в РФ.
👍9
Какого вида интернет-мошенничества не существует?
Anonymous Quiz
13%
Vishing
7%
Smishing
13%
Whaling
10%
Pharming
58%
Dudeism
❤7🤔3
Интернет-мошенничеством является хищение или приобретение права на чужое имущество путем вмешательства в функционирование информационно-телекоммуникационных сетей (ст. 159.6 Уголовного кодекса РФ).
Одной из форм данного преступления является фишинг - обман с целью получить данные пользователя или побудить его к действиям (например, переходу по ссылке).
Помимо общего термина «фишинг», относящегося в основном к электронной почте, выделяют также следующие виды:
· Vishing – это голосовой фишинг, например выманивание конфиденциальной информации во время телефонного разговора;
· Smishing – направление злоумышленником смс-сообщения, в котором находится ссылка на вредоносное ПО или на фишинговый сайт;
· Whaling – целевая фишинговая атака на высокопоставленных лиц в компании, например, генерального или финансового директора;
· Pharming – перенаправление пользователей Интернет-ресурса на поддельный IP-адрес посредством вредоносного ПО или атаки на DNS-серверы.
#ИБ
Одной из форм данного преступления является фишинг - обман с целью получить данные пользователя или побудить его к действиям (например, переходу по ссылке).
Помимо общего термина «фишинг», относящегося в основном к электронной почте, выделяют также следующие виды:
· Vishing – это голосовой фишинг, например выманивание конфиденциальной информации во время телефонного разговора;
· Smishing – направление злоумышленником смс-сообщения, в котором находится ссылка на вредоносное ПО или на фишинговый сайт;
· Whaling – целевая фишинговая атака на высокопоставленных лиц в компании, например, генерального или финансового директора;
· Pharming – перенаправление пользователей Интернет-ресурса на поддельный IP-адрес посредством вредоносного ПО или атаки на DNS-серверы.
#ИБ
👍16
В продолжение темы о видах фишинга, приводим описание других способов атак:
· Business Email Compromise – это форма фишинга, где злоумышленник получает доступ к учетной записи эл. почты руководителя компании.
Пример подобного фишинга – атака на Toyota в 2019 г., в результате которой компания потеряла 37 млн. долларов. Атаке подверглись работники финансово-бухгалтерского отдела компании.
· Evil Twin Phishing – тип фишинговой атаки, при которой злоумышленник создает копии легитимных сетей Wi-Fi. При подключении к ним происходит переход на фишинговый сайт.
Пример - атака на Министерство внутренних дел США в сентябре 2020 г. Целью атаки была проверка безопасности сетей Wi-Fi со стороны Управления генерального инспектора МВД США.
· Clone Phishing – форма фишинга, где злоумышленник создает вредоносные копии сообщений от легитимных отправителей. Пример – масштабная атака, совершенная в январе 2022 г. на Министерство труда США. Целью атаки стало хищение учетных данных сервиса Office 365.
#ИБ
#ПолезноЗнать
· Business Email Compromise – это форма фишинга, где злоумышленник получает доступ к учетной записи эл. почты руководителя компании.
Пример подобного фишинга – атака на Toyota в 2019 г., в результате которой компания потеряла 37 млн. долларов. Атаке подверглись работники финансово-бухгалтерского отдела компании.
· Evil Twin Phishing – тип фишинговой атаки, при которой злоумышленник создает копии легитимных сетей Wi-Fi. При подключении к ним происходит переход на фишинговый сайт.
Пример - атака на Министерство внутренних дел США в сентябре 2020 г. Целью атаки была проверка безопасности сетей Wi-Fi со стороны Управления генерального инспектора МВД США.
· Clone Phishing – форма фишинга, где злоумышленник создает вредоносные копии сообщений от легитимных отправителей. Пример – масштабная атака, совершенная в январе 2022 г. на Министерство труда США. Целью атаки стало хищение учетных данных сервиса Office 365.
#ИБ
#ПолезноЗнать
👍8❤3
Вопрос:
Можно ли использовать результаты пентеста для оценки соответствия по ОУД4?
Ответ:
Проведение оценки соответствия по ОУД4 предусмотрено Положениями Банка России (821-П, 757-П, 683-П) и включает в себя множество этапов, в том числе оценку документации, тестирование, оценку уязвимостей.
Пентест (тестирование на проникновение) – важный инструмент оценки соответствия. Пентест позволяет выявить уязвимости и оценить уровень защищенности исследуемой системы.
Важно понимать, что пентест – это лишь один из инструментов оценки безопасности. Для оценки соответствия по ОУД4 требуется комплексный подход, включающий в себя и анализ исходного кода с помощью специальных статических анализаторов.
Проводить оценку соответствия вправе только специализированные компании, которые самостоятельно выполняют оценку уязвимостей. Однако, с помощью предварительных пентестов вы сможете выявить уязвимости заранее, успеете их исправить и сможете успешно пройти оценку соответствия по ОУД4.
#KeptОтвечает
#Пентест
Можно ли использовать результаты пентеста для оценки соответствия по ОУД4?
Ответ:
Проведение оценки соответствия по ОУД4 предусмотрено Положениями Банка России (821-П, 757-П, 683-П) и включает в себя множество этапов, в том числе оценку документации, тестирование, оценку уязвимостей.
Пентест (тестирование на проникновение) – важный инструмент оценки соответствия. Пентест позволяет выявить уязвимости и оценить уровень защищенности исследуемой системы.
Важно понимать, что пентест – это лишь один из инструментов оценки безопасности. Для оценки соответствия по ОУД4 требуется комплексный подход, включающий в себя и анализ исходного кода с помощью специальных статических анализаторов.
Проводить оценку соответствия вправе только специализированные компании, которые самостоятельно выполняют оценку уязвимостей. Однако, с помощью предварительных пентестов вы сможете выявить уязвимости заранее, успеете их исправить и сможете успешно пройти оценку соответствия по ОУД4.
#KeptОтвечает
#Пентест
👍6🔥3
CISO & DPO news #18 (1-5 апреля 2024 года)
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
👍12