Deepfake – технология, использующая средства искусственного интеллекта для подделки изображений, видео или голоса.
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
Технология позволяет проводить социотехнические атаки на компании в целях:
• манипулирования сотрудниками;
• несанкционированного доступа к корп. ресурсам;
• причинения репутационного ущерба компании.
С ростом числа компаний и пользователей, использующих сервисы видеоконференций, развивались и методы применения дипфейков, поэтому важно знать основные методы борьбы с ними:
· ограничение доступа к видео и фото сотрудников в открытых источниках;
· использование многофакторной аутентификации для входа в системы;
· дополнительное подтверждение важных решений по иным каналам связи;
· повышение осведомлённости сотрудников о дипфейках.
Используя недостатки технологии, можно выявить применение технологии дипфейка во время видеозвонка – попросить собеседника резко подвигать головой или помахать рукой перед лицом. Так можно вызвать искажения изображения или увидеть настоящее лицо собеседника.
#ПолезноЗнать
👍10❤2
Вопрос:
Какое правовое основание необходимо для передачи ПДн работников третьему лицу в целях проведения специальной оценки условий труда (СОУТ)?
Ответ:
Проведение СОУТ является обязанностью работодателя согласно ст. 214 ТК РФ и п. 1 ч. 2 ст. 4 426-ФЗ «О специальной оценке условий труда». Для этого работодатель должен передать организации, проводящей СОУТ, номера СНИЛС работников.
Согласно ст. 88 ТК РФ, работодатель может передать персональные данные (ПДн) работников без согласия в письменной форме, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных федеральными законами.
Таким образом, для передачи ПДн работников для целей проведения СОУТ согласие в письменной форме не потребуется. О случаях, когда требуется получать согласие на обработку ПДн в письменной форме, мы писали ранее
#KeptОтвечает
Какое правовое основание необходимо для передачи ПДн работников третьему лицу в целях проведения специальной оценки условий труда (СОУТ)?
Ответ:
Проведение СОУТ является обязанностью работодателя согласно ст. 214 ТК РФ и п. 1 ч. 2 ст. 4 426-ФЗ «О специальной оценке условий труда». Для этого работодатель должен передать организации, проводящей СОУТ, номера СНИЛС работников.
Согласно ст. 88 ТК РФ, работодатель может передать персональные данные (ПДн) работников без согласия в письменной форме, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных федеральными законами.
Таким образом, для передачи ПДн работников для целей проведения СОУТ согласие в письменной форме не потребуется. О случаях, когда требуется получать согласие на обработку ПДн в письменной форме, мы писали ранее
#KeptОтвечает
👍12
CISO & DPO news #17 (25-29 марта 2024 года)
1/8 Обсуждается легализация деятельности «белых» хакеров.
2/8 Обнаружен метод повышения привилегий в доменных средах Windows.
3/8 Positive Technologies провела анализ 16 APT-групп, нацеленных на Ближний Восток.
4/8 Обнаружены атаки новой группы кибершпионов.
5/8 Установлены новые правила к техническим средствам противодействия угрозам.
6/8 Утверждены новые правила заселения в гостиницы с помощью биометрии.
7/8 Совет Федерации выступил с новой инициативой по страхованию киберрисков.
8/8 Облачные сервисы Microsoft и Amazon прекратили работу в РФ.
1/8 Обсуждается легализация деятельности «белых» хакеров.
2/8 Обнаружен метод повышения привилегий в доменных средах Windows.
3/8 Positive Technologies провела анализ 16 APT-групп, нацеленных на Ближний Восток.
4/8 Обнаружены атаки новой группы кибершпионов.
5/8 Установлены новые правила к техническим средствам противодействия угрозам.
6/8 Утверждены новые правила заселения в гостиницы с помощью биометрии.
7/8 Совет Федерации выступил с новой инициативой по страхованию киберрисков.
8/8 Облачные сервисы Microsoft и Amazon прекратили работу в РФ.
👍9
Какого вида интернет-мошенничества не существует?
Anonymous Quiz
13%
Vishing
7%
Smishing
13%
Whaling
10%
Pharming
58%
Dudeism
❤7🤔3
Интернет-мошенничеством является хищение или приобретение права на чужое имущество путем вмешательства в функционирование информационно-телекоммуникационных сетей (ст. 159.6 Уголовного кодекса РФ).
Одной из форм данного преступления является фишинг - обман с целью получить данные пользователя или побудить его к действиям (например, переходу по ссылке).
Помимо общего термина «фишинг», относящегося в основном к электронной почте, выделяют также следующие виды:
· Vishing – это голосовой фишинг, например выманивание конфиденциальной информации во время телефонного разговора;
· Smishing – направление злоумышленником смс-сообщения, в котором находится ссылка на вредоносное ПО или на фишинговый сайт;
· Whaling – целевая фишинговая атака на высокопоставленных лиц в компании, например, генерального или финансового директора;
· Pharming – перенаправление пользователей Интернет-ресурса на поддельный IP-адрес посредством вредоносного ПО или атаки на DNS-серверы.
#ИБ
Одной из форм данного преступления является фишинг - обман с целью получить данные пользователя или побудить его к действиям (например, переходу по ссылке).
Помимо общего термина «фишинг», относящегося в основном к электронной почте, выделяют также следующие виды:
· Vishing – это голосовой фишинг, например выманивание конфиденциальной информации во время телефонного разговора;
· Smishing – направление злоумышленником смс-сообщения, в котором находится ссылка на вредоносное ПО или на фишинговый сайт;
· Whaling – целевая фишинговая атака на высокопоставленных лиц в компании, например, генерального или финансового директора;
· Pharming – перенаправление пользователей Интернет-ресурса на поддельный IP-адрес посредством вредоносного ПО или атаки на DNS-серверы.
#ИБ
👍16
В продолжение темы о видах фишинга, приводим описание других способов атак:
· Business Email Compromise – это форма фишинга, где злоумышленник получает доступ к учетной записи эл. почты руководителя компании.
Пример подобного фишинга – атака на Toyota в 2019 г., в результате которой компания потеряла 37 млн. долларов. Атаке подверглись работники финансово-бухгалтерского отдела компании.
· Evil Twin Phishing – тип фишинговой атаки, при которой злоумышленник создает копии легитимных сетей Wi-Fi. При подключении к ним происходит переход на фишинговый сайт.
Пример - атака на Министерство внутренних дел США в сентябре 2020 г. Целью атаки была проверка безопасности сетей Wi-Fi со стороны Управления генерального инспектора МВД США.
· Clone Phishing – форма фишинга, где злоумышленник создает вредоносные копии сообщений от легитимных отправителей. Пример – масштабная атака, совершенная в январе 2022 г. на Министерство труда США. Целью атаки стало хищение учетных данных сервиса Office 365.
#ИБ
#ПолезноЗнать
· Business Email Compromise – это форма фишинга, где злоумышленник получает доступ к учетной записи эл. почты руководителя компании.
Пример подобного фишинга – атака на Toyota в 2019 г., в результате которой компания потеряла 37 млн. долларов. Атаке подверглись работники финансово-бухгалтерского отдела компании.
· Evil Twin Phishing – тип фишинговой атаки, при которой злоумышленник создает копии легитимных сетей Wi-Fi. При подключении к ним происходит переход на фишинговый сайт.
Пример - атака на Министерство внутренних дел США в сентябре 2020 г. Целью атаки была проверка безопасности сетей Wi-Fi со стороны Управления генерального инспектора МВД США.
· Clone Phishing – форма фишинга, где злоумышленник создает вредоносные копии сообщений от легитимных отправителей. Пример – масштабная атака, совершенная в январе 2022 г. на Министерство труда США. Целью атаки стало хищение учетных данных сервиса Office 365.
#ИБ
#ПолезноЗнать
👍8❤3
Вопрос:
Можно ли использовать результаты пентеста для оценки соответствия по ОУД4?
Ответ:
Проведение оценки соответствия по ОУД4 предусмотрено Положениями Банка России (821-П, 757-П, 683-П) и включает в себя множество этапов, в том числе оценку документации, тестирование, оценку уязвимостей.
Пентест (тестирование на проникновение) – важный инструмент оценки соответствия. Пентест позволяет выявить уязвимости и оценить уровень защищенности исследуемой системы.
Важно понимать, что пентест – это лишь один из инструментов оценки безопасности. Для оценки соответствия по ОУД4 требуется комплексный подход, включающий в себя и анализ исходного кода с помощью специальных статических анализаторов.
Проводить оценку соответствия вправе только специализированные компании, которые самостоятельно выполняют оценку уязвимостей. Однако, с помощью предварительных пентестов вы сможете выявить уязвимости заранее, успеете их исправить и сможете успешно пройти оценку соответствия по ОУД4.
#KeptОтвечает
#Пентест
Можно ли использовать результаты пентеста для оценки соответствия по ОУД4?
Ответ:
Проведение оценки соответствия по ОУД4 предусмотрено Положениями Банка России (821-П, 757-П, 683-П) и включает в себя множество этапов, в том числе оценку документации, тестирование, оценку уязвимостей.
Пентест (тестирование на проникновение) – важный инструмент оценки соответствия. Пентест позволяет выявить уязвимости и оценить уровень защищенности исследуемой системы.
Важно понимать, что пентест – это лишь один из инструментов оценки безопасности. Для оценки соответствия по ОУД4 требуется комплексный подход, включающий в себя и анализ исходного кода с помощью специальных статических анализаторов.
Проводить оценку соответствия вправе только специализированные компании, которые самостоятельно выполняют оценку уязвимостей. Однако, с помощью предварительных пентестов вы сможете выявить уязвимости заранее, успеете их исправить и сможете успешно пройти оценку соответствия по ОУД4.
#KeptОтвечает
#Пентест
👍6🔥3
CISO & DPO news #18 (1-5 апреля 2024 года)
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
👍12