CISO & DPO news #19 (8-12 апреля 2024 года)
1/8 Российские компании стали целью вымогателей Muliaka.
2/8 В Telegram найдена новая уязвимость.
3/8 Хакерская группировка TA547 атакует немецкие организации с помощью ИИ.
4/8 Microsoft устранила в своих продуктах 149 уязвимостей безопасности.
5/8 Роскомнадзор планирует использовать ИИ при мониторинге интернет-ресурсов.
6/8 За 2023 г. объем утечек персональных данных в мире увеличился в 2 раза.
7/8 Издана структура и методология расчета индекса кибербезопасности в Евросоюзе.
8/8 Обсуждается обязательная идентификация администраторов доменов в РФ.
1/8 Российские компании стали целью вымогателей Muliaka.
2/8 В Telegram найдена новая уязвимость.
3/8 Хакерская группировка TA547 атакует немецкие организации с помощью ИИ.
4/8 Microsoft устранила в своих продуктах 149 уязвимостей безопасности.
5/8 Роскомнадзор планирует использовать ИИ при мониторинге интернет-ресурсов.
6/8 За 2023 г. объем утечек персональных данных в мире увеличился в 2 раза.
7/8 Издана структура и методология расчета индекса кибербезопасности в Евросоюзе.
8/8 Обсуждается обязательная идентификация администраторов доменов в РФ.
🔥10
Статическое тестирование безопасности приложений (SAST) – это…
Anonymous Quiz
47%
Анализ исходного кода на наличие уязвимостей
21%
Сканирование внешних интерфейсов приложения на уязвимости
32%
Сканирование внешних интерфейсов приложения на уязвимости с частичным доступом к исходному коду
🔥3🤔1
Неотъемлемой частью процесса безопасной разработки ПО является проверка безопасности исходного кода. Одним из методов такой проверки является статическое тестирование безопасности (SAST).
SAST проводится по методу «белого ящика», то есть с полным доступом к исходному коду, что позволяет обнаруживать критические уязвимости, такие как SQL-инъекции, переполнение буфера, межсайтовый скриптинг (XSS) и иные уязвимости OWASP Top 10 и SANS TOP 25.
Преимущества SAST:
• Полный анализ исходного кода, потоков управления и потоков данных на предмет соответствия правилам и политикам безопасности, основанным на известных уязвимостях и стандартах безопасности;
• Простота интеграции в процесс разработки ПО;
• Поддержка широкого спектра языков программирования и платформ SAST-инструментарием;
• Точное определение слабых мест в программном коде.
Однако в рамках SAST может возникать большое количество ложных срабатываний, что может потребовать значительные временные затраты на их обработку.
#ИБ
SAST проводится по методу «белого ящика», то есть с полным доступом к исходному коду, что позволяет обнаруживать критические уязвимости, такие как SQL-инъекции, переполнение буфера, межсайтовый скриптинг (XSS) и иные уязвимости OWASP Top 10 и SANS TOP 25.
Преимущества SAST:
• Полный анализ исходного кода, потоков управления и потоков данных на предмет соответствия правилам и политикам безопасности, основанным на известных уязвимостях и стандартах безопасности;
• Простота интеграции в процесс разработки ПО;
• Поддержка широкого спектра языков программирования и платформ SAST-инструментарием;
• Точное определение слабых мест в программном коде.
Однако в рамках SAST может возникать большое количество ложных срабатываний, что может потребовать значительные временные затраты на их обработку.
#ИБ
👍8
Ранее мы описали различия обезличивания и анонимизации персональных данных (ПДн), сегодня расскажем об их методах.
Роскомнадзор определяет следующие методы обезличивания ПДн:
· введение идентификаторов: замена части ПДн идентификаторами;
· изменение состава: удаление / изменение части данных;
· декомпозиция: разделение множества ПДн на несколько частей с их последующим раздельным хранением;
· перемешивание: перестановка групп или отдельных записей в массиве ПДн.
Законами РФ не определена сущность «анонимизация», поэтому мы обратимся к методикам, указанным в мнении Рабочей группы по статье 29 (WP.29):
· обобщение: снижение детализации или разбавление атрибутов путем изменения соответствующего масштаба или порядка величины (страна вместо адреса или название месяца вместо точной даты);
· рандомизация: ряд техник по изменению ПДн или добавлению новых данных (добавление шума, перестановка);
· удаление очевидных атрибутов и идентификаторов.
Стоит помнить – если первоначальный набор данных не удален, то информация не может считаться анонимизированной, так как существует вероятность деанонимизации.
#ПолезноЗнать
#Privacy
Роскомнадзор определяет следующие методы обезличивания ПДн:
· введение идентификаторов: замена части ПДн идентификаторами;
· изменение состава: удаление / изменение части данных;
· декомпозиция: разделение множества ПДн на несколько частей с их последующим раздельным хранением;
· перемешивание: перестановка групп или отдельных записей в массиве ПДн.
Законами РФ не определена сущность «анонимизация», поэтому мы обратимся к методикам, указанным в мнении Рабочей группы по статье 29 (WP.29):
· обобщение: снижение детализации или разбавление атрибутов путем изменения соответствующего масштаба или порядка величины (страна вместо адреса или название месяца вместо точной даты);
· рандомизация: ряд техник по изменению ПДн или добавлению новых данных (добавление шума, перестановка);
· удаление очевидных атрибутов и идентификаторов.
Стоит помнить – если первоначальный набор данных не удален, то информация не может считаться анонимизированной, так как существует вероятность деанонимизации.
#ПолезноЗнать
#Privacy
👍10❤1
Вопрос:
Можно ли при подаче уведомления в Роскомнадзор объединять схожие цели обработки персональных данных (ПДн)?
Ответ:
Существует практика, когда компании при подготовке уведомления о намерении осуществлять обработку ПДн ограничиваются только примерами перечня целей обработки ПДн.
Но мы рекомендуем не ограничиваться данным перечнем и максимально детализировать цели обработки ПДн. Это поможет избежать указания избыточного объема ПДн в рамках цели, некорректных сроков обработки ПДн, а также некорректного правового основания обработки ПДн.
Также в приказе Минцифры от 15.11.2021 № 1187 содержится перечень индикаторов риска нарушения обязательных требований. Одним из индикаторов является установление Роскомнадзором трех и более фактов несоответствия информации, указанной в Уведомлении, и во внутренних документах компании (Политика обработки ПДн). Поэтому важно, чтобы сведения о целях обработки ПДн в Уведомлении совпадали с целями в Политике обработки ПДн.
#Отвечает Kept
#Privacy
Можно ли при подаче уведомления в Роскомнадзор объединять схожие цели обработки персональных данных (ПДн)?
Ответ:
Существует практика, когда компании при подготовке уведомления о намерении осуществлять обработку ПДн ограничиваются только примерами перечня целей обработки ПДн.
Но мы рекомендуем не ограничиваться данным перечнем и максимально детализировать цели обработки ПДн. Это поможет избежать указания избыточного объема ПДн в рамках цели, некорректных сроков обработки ПДн, а также некорректного правового основания обработки ПДн.
Также в приказе Минцифры от 15.11.2021 № 1187 содержится перечень индикаторов риска нарушения обязательных требований. Одним из индикаторов является установление Роскомнадзором трех и более фактов несоответствия информации, указанной в Уведомлении, и во внутренних документах компании (Политика обработки ПДн). Поэтому важно, чтобы сведения о целях обработки ПДн в Уведомлении совпадали с целями в Политике обработки ПДн.
#Отвечает Kept
#Privacy
👍9
CISO & DPO news #20 (15-21 апреля 2024 года)
1/8 GPT-4 может использовать реальные уязвимости, читая рекомендации по безопасности.
2/8 Массовые brute force нацелены на VPN- и SSH-сервисы.
3/8 Хакерская группировка TA558 атакует с помощью стеганографии.
4/8 В России упростят процесс сертификации обновлений ОС и ПО.
5/8 ИТ-компании подписали Отраслевой стандарт защиты данных.
6/8 НКЦКИ запустил сервис проверки утечек данных.
7/8 Опубликованы новые формы согласий на обработку биометрии.
8/8 Подготовлен законопроект о раскрытии полиции сведений о здоровье.
1/8 GPT-4 может использовать реальные уязвимости, читая рекомендации по безопасности.
2/8 Массовые brute force нацелены на VPN- и SSH-сервисы.
3/8 Хакерская группировка TA558 атакует с помощью стеганографии.
4/8 В России упростят процесс сертификации обновлений ОС и ПО.
5/8 ИТ-компании подписали Отраслевой стандарт защиты данных.
6/8 НКЦКИ запустил сервис проверки утечек данных.
7/8 Опубликованы новые формы согласий на обработку биометрии.
8/8 Подготовлен законопроект о раскрытии полиции сведений о здоровье.
👍9
Атака, при которой злоумышленники пытаются угадать пароль путем последовательной проверки всех возможных комбинаций символов, – это…
Anonymous Quiz
3%
Атака на компьютер с помощью вируса
9%
SQL-инъекция
73%
Brute force атака
15%
Фишинговая атака
🤔5👍3🔥1