CISO & DPO news #36 (2 - 8 августа 2024 года)
1/8 Обнаружено новое вредоносное ПО для Android-устройств в России.
2/8 DNS-атака Sitting Ducks угрожает миллионам доменов.
3/8 Злоумышленники применяли StackExchange.com для кражи средств из крипто-кошельков.
4/8 Определены условия передачи компаниями обезличенных персданных в Минцифры.
5/8 Суд признал незаконной передачу данных справки о здоровье через третье лицо.
6/8 Опубликован проект изменений Правил перехода субъектов КИИ на доверенные ПАК.
7/8 Опубликован проект требований по защите информации, обрабатываемой в ГИС.
8/8 Минцифры создаст единую платформу для защиты граждан от мошеннических действий.
1/8 Обнаружено новое вредоносное ПО для Android-устройств в России.
2/8 DNS-атака Sitting Ducks угрожает миллионам доменов.
3/8 Злоумышленники применяли StackExchange.com для кражи средств из крипто-кошельков.
4/8 Определены условия передачи компаниями обезличенных персданных в Минцифры.
5/8 Суд признал незаконной передачу данных справки о здоровье через третье лицо.
6/8 Опубликован проект изменений Правил перехода субъектов КИИ на доверенные ПАК.
7/8 Опубликован проект требований по защите информации, обрабатываемой в ГИС.
8/8 Минцифры создаст единую платформу для защиты граждан от мошеннических действий.
🔥7
Какой из следующих типов атак используется для подделки цифровых подписей и сертификатов, что позволяет злоумышленнику обмануть системы проверки подлинности?
Anonymous Quiz
31%
Man-in-the-Middle Attack
16%
SQL Injection
34%
Collision Attack
18%
Side-Channel Attack
🤔4
Collision Attack (Атака на коллизии) – это атака, направленная на нахождение двух разных документов, которые приводят к одинаковому хешу.
Процедуры формирования, проверки цифровых сертификатов и электронной подписи (ЭП) основываются на хеш-функциях, которые преобразуют данные произвольной длины в строку (хеш) фиксированной длины.
Коллизия в хеш-функции возникает, когда два разных входных документа имеют одинаковый хеш. Если злоумышленник способен найти такие коллизии, он может подделать документ, заменив его на другой без изменения хеша. Система проверки подлинности, проверяя ЭП, обнаруживает, что хеш соответствует подписанному документу, и принимает поддельный документ за легитимный.
Возможные меры защиты от атаки на коллизии:
• Использование устойчивых хеш-функций – переход на более стойкие к коллизиям хеш-функции, такие как SHA-256 или SHA-3.
• Регулярное обновление криптографических алгоритмов – постоянный мониторинг и своевременное обновление используемых методов криптографии.
• Переход на криптографические протоколы, обеспечивающие защиту от коллизий – использование алгоритмов ЭП на основе эллиптических кривых.
#ИБ
Процедуры формирования, проверки цифровых сертификатов и электронной подписи (ЭП) основываются на хеш-функциях, которые преобразуют данные произвольной длины в строку (хеш) фиксированной длины.
Коллизия в хеш-функции возникает, когда два разных входных документа имеют одинаковый хеш. Если злоумышленник способен найти такие коллизии, он может подделать документ, заменив его на другой без изменения хеша. Система проверки подлинности, проверяя ЭП, обнаруживает, что хеш соответствует подписанному документу, и принимает поддельный документ за легитимный.
Возможные меры защиты от атаки на коллизии:
• Использование устойчивых хеш-функций – переход на более стойкие к коллизиям хеш-функции, такие как SHA-256 или SHA-3.
• Регулярное обновление криптографических алгоритмов – постоянный мониторинг и своевременное обновление используемых методов криптографии.
• Переход на криптографические протоколы, обеспечивающие защиту от коллизий – использование алгоритмов ЭП на основе эллиптических кривых.
#ИБ
👍5🔥3❤1
Про то, что такое OSINT, какие есть инструменты, техники и области применения разведки мы рассказывали ранее. В контексте ИБ OSINT является важным инструментом, который позволяет следить за тенденциями угроз и уязвимостей, выявлять и оценивать риски, а также формировать конкурентное преимущество.
В рамках ИБ OSINT используется для:
· Анализа угроз:
- сбор и анализ информации о новых угрозах, субъектах угроз, уязвимостях и эксплойтах;
- поиск и анализ индикаторов компрометации (Indicator of Compromise, IoC).
· Проверки информации о сотрудниках, контрагентах и оценки безопасности привлекаемых организаций.
· Мониторинга и предупреждения инцидентов:
- мониторинг упоминаний компании или её продуктов в сети;
- мониторинг утечек конфиденциальной информации в открытых источниках;
- мониторинг изменений в технической инфраструктуре (например, добавление новых субдоменов).
Существуют специализированные OSINT-инструменты и источники, которые могут помочь в обеспечении ИБ:
· Платформы для анализа вредоносных файлов и документов (VirusTotal, AlienVault OTX и др.).
· Теневые форумы и сайты, где обсуждаются уязвимости, эксплойты и планы атак.
· Технические блоги, отчеты компаний и публикации по кибербезопасности.
· Базы данных уязвимостей (NVD (National Vulnerability Database), CVE (Common Vulnerabilities and Exposures), Exploit-DB).
· Сканеры открытых портов (Shodan, Censys, Buckets, Macaddress, CIRT).
Реестры и базы данных доменов (WHOIS-информация, база crt.sh, DNS-данные, IP-адреса).
#ИБ
#ПолезноЗнать
В рамках ИБ OSINT используется для:
· Анализа угроз:
- сбор и анализ информации о новых угрозах, субъектах угроз, уязвимостях и эксплойтах;
- поиск и анализ индикаторов компрометации (Indicator of Compromise, IoC).
· Проверки информации о сотрудниках, контрагентах и оценки безопасности привлекаемых организаций.
· Мониторинга и предупреждения инцидентов:
- мониторинг упоминаний компании или её продуктов в сети;
- мониторинг утечек конфиденциальной информации в открытых источниках;
- мониторинг изменений в технической инфраструктуре (например, добавление новых субдоменов).
Существуют специализированные OSINT-инструменты и источники, которые могут помочь в обеспечении ИБ:
· Платформы для анализа вредоносных файлов и документов (VirusTotal, AlienVault OTX и др.).
· Теневые форумы и сайты, где обсуждаются уязвимости, эксплойты и планы атак.
· Технические блоги, отчеты компаний и публикации по кибербезопасности.
· Базы данных уязвимостей (NVD (National Vulnerability Database), CVE (Common Vulnerabilities and Exposures), Exploit-DB).
· Сканеры открытых портов (Shodan, Censys, Buckets, Macaddress, CIRT).
Реестры и базы данных доменов (WHOIS-информация, база crt.sh, DNS-данные, IP-адреса).
#ИБ
#ПолезноЗнать
👍7❤1🔥1
Публикуем пятый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на сентябрь 2024 года.
Подборка мероприятий в файле под этим постом ⬇️
#Непропустимыесобытия
Подборка мероприятий в файле под этим постом ⬇️
#Непропустимыесобытия
👍5
Вопрос:
Будет ли размещение персональных данных (ПДн) на рекламном щите (билборде) распространением ПДн?
Ответ:
Отвечая на данный вопрос, необходимо рассмотреть два похожих способа раскрытия информации о субъекте ПДн – распространение и предоставление ПДн. Основное различие между ними заключается в круге лиц, которым раскрывается информация.
Примером предоставления ПДн может послужить вывеска на двери кабинета с указанием Ф.И.О. и должности работника компании. В данном случае информирование происходит в отношении определенного круга лиц - посетителей территории офиса/бизнес-центра (подтверждается позицией Роскомнадзора, высказанной на дне открытых дверей 28.01.2022 г).
При размещении ПДн на уличном рекламном щите ознакомление с информацией будет осуществляться неопределенным кругом лиц, а значит, является их распространением.
Распространение может осуществляться на основании согласия, которое берется отдельно от других форм согласий (ч. 1 ст. 10.1 152-ФЗ). При этом молчание или бездействие субъекта не может считаться согласием на распространение ПДн (ч. 8 ст. 10.1 152-ФЗ).
Для законного распространения ПДн необходимо:
· разработать согласие на распространение в соответствии с приказом Роскомнадзора, предусмотрев в нем поля для внесения условий и запретов, которые субъект ПДн может установить;
· получить от субъекта согласие на распространение его ПДн (о содержании такого согласия мы говорили ранее) и обрабатывать ПДн только в рамках полученного согласия;
· так как распространение ПДн через билборд не подразумевает использование интернет-сайта, то в соответствующем поле согласия делается прочерк и заполняются другие.
#Privacy
#KeptОтвечает
Будет ли размещение персональных данных (ПДн) на рекламном щите (билборде) распространением ПДн?
Ответ:
Отвечая на данный вопрос, необходимо рассмотреть два похожих способа раскрытия информации о субъекте ПДн – распространение и предоставление ПДн. Основное различие между ними заключается в круге лиц, которым раскрывается информация.
Примером предоставления ПДн может послужить вывеска на двери кабинета с указанием Ф.И.О. и должности работника компании. В данном случае информирование происходит в отношении определенного круга лиц - посетителей территории офиса/бизнес-центра (подтверждается позицией Роскомнадзора, высказанной на дне открытых дверей 28.01.2022 г).
При размещении ПДн на уличном рекламном щите ознакомление с информацией будет осуществляться неопределенным кругом лиц, а значит, является их распространением.
Распространение может осуществляться на основании согласия, которое берется отдельно от других форм согласий (ч. 1 ст. 10.1 152-ФЗ). При этом молчание или бездействие субъекта не может считаться согласием на распространение ПДн (ч. 8 ст. 10.1 152-ФЗ).
Для законного распространения ПДн необходимо:
· разработать согласие на распространение в соответствии с приказом Роскомнадзора, предусмотрев в нем поля для внесения условий и запретов, которые субъект ПДн может установить;
· получить от субъекта согласие на распространение его ПДн (о содержании такого согласия мы говорили ранее) и обрабатывать ПДн только в рамках полученного согласия;
· так как распространение ПДн через билборд не подразумевает использование интернет-сайта, то в соответствующем поле согласия делается прочерк и заполняются другие.
#Privacy
#KeptОтвечает
👍9
CISO & DPO news #37 (9 - 15 августа 2024 года)
1/8 Запущен отечественный сервис для проверки файлов на вредоносное ПО.
2/8 Обнаружены новые фишинговые атаки на российские организации и ИТ-компании.
3/8 Банк России опубликовал проект правок в Положение 757-П.
4/8 Роскомнадзор сообщил о требованиях для уполномоченных операторов персданных.
5/8 Представлен проект приказа Минстроя о внесении персданных жильцов в ГИС ЖКХ.
6/8 Подготовлен законопроект об ответственности за применение дипфейка.
7/8 Выявлен рост спроса на специалистов по ИБ.
8/8 ООН завершила работу над проектом Конвенции о киберпреступности.
1/8 Запущен отечественный сервис для проверки файлов на вредоносное ПО.
2/8 Обнаружены новые фишинговые атаки на российские организации и ИТ-компании.
3/8 Банк России опубликовал проект правок в Положение 757-П.
4/8 Роскомнадзор сообщил о требованиях для уполномоченных операторов персданных.
5/8 Представлен проект приказа Минстроя о внесении персданных жильцов в ГИС ЖКХ.
6/8 Подготовлен законопроект об ответственности за применение дипфейка.
7/8 Выявлен рост спроса на специалистов по ИБ.
8/8 ООН завершила работу над проектом Конвенции о киберпреступности.
👍6❤3🔥1
Что должно быть включено в поручение на обработку персональных данных?
Anonymous Quiz
25%
Цель поручения с указанием перечня обрабатываемых данных
1%
Требование по «локализации» баз данных
1%
Обязанность предоставить свидетельства, подтверждающие исполнение требований поручения
2%
Обязанность уведомлять оператора об инцидентах, связанных с персональными данными
70%
Все вышеперечисленное
🤔3