CISO & DPO news #38 (16 - 22 августа 2024 года)
1/8 В России планируют легализовать деятельность белых хакеров.
2/8 Google устранила уязвимость нулевого дня в Chrome.
3/8 Обновление Microsoft вызвало проблемы с загрузкой Linux у пользователей Windows.
4/8 Злоумышленники продолжают использовать платежные карты несмотря на их блокировку.
5/8 Минтруд рассматривает принятие нового стандарта для специалистов по КИИ.
6/8 Дополнен перечень индикаторов риска в части обработки персональных данных.
7/8 Отмечен рост сумм компенсаций субъектам за утечки персональных данных.
8/8 Минобороны РФ расширило объем собираемых персональных данных призывников.
1/8 В России планируют легализовать деятельность белых хакеров.
2/8 Google устранила уязвимость нулевого дня в Chrome.
3/8 Обновление Microsoft вызвало проблемы с загрузкой Linux у пользователей Windows.
4/8 Злоумышленники продолжают использовать платежные карты несмотря на их блокировку.
5/8 Минтруд рассматривает принятие нового стандарта для специалистов по КИИ.
6/8 Дополнен перечень индикаторов риска в части обработки персональных данных.
7/8 Отмечен рост сумм компенсаций субъектам за утечки персональных данных.
8/8 Минобороны РФ расширило объем собираемых персональных данных призывников.
👍6
Хакер внедрил вредоносное программное обеспечение в веб-браузер пользователя. Как называется такой тип кибератаки?
Anonymous Quiz
60%
Browser hijacking
8%
Ransomware
9%
Drive-By Attack
23%
Browser-in-browser
🤔1
Кибератаки могут привести к серьёзным последствиям для организаций и частных лиц. В этом посте мы рассмотрим четыре распространённых вида кибератак с применением вредоносного ПО при использовании веб-браузеров:
1. Browser hijacking — это вид кибератаки с применением вредоносного ПО, которое изменяет настройки браузера без ведома пользователя. ПО может перенаправлять пользователя на вредоносные сайты, показывать рекламу или собирать личные данные.
2. Ransomware — это вид кибератаки с применением вредоносного ПО, которое блокирует доступ к данным пользователя и требует выкуп за их восстановление. Вредоносное ПО может зашифровать файлы и документы, делая их недоступными до тех пор, пока не будет выплачен выкуп.
3. Drive-By Attack — это вид кибератаки, при котором злоумышленник используют уязвимости веб-приложений, чтобы незаметно загрузить и установить на устройства пользователей вредоносное ПО.
4. Browser-in-browser — это вид кибератаки, при котором злоумышленники подделывают всплывающие окна в браузере. Для осуществления кибератаки используются готовые шаблоны для создания поддельных всплывающих окон. Также с помощью шаблонов настраиваются заголовки и URL-адреса для проведения данного типа кибератак.
Рассматривая атаку типа Browser hijacking, можно выявить основные признаки заражения вредоносным ПО:
• Смена используемой поисковой системы на мошеннические, например Search Marquis или Poshukach.
• Перенаправление на зараженные сайты с целью показа рекламы и кражи данных.
• Появление большого количества рекламы, в том числе и на доверенных сайтах.
• Смена домашней страницы браузера.
• Появление неизвестных расширений браузера.
• Замедление работы браузера.
#ИБ
1. Browser hijacking — это вид кибератаки с применением вредоносного ПО, которое изменяет настройки браузера без ведома пользователя. ПО может перенаправлять пользователя на вредоносные сайты, показывать рекламу или собирать личные данные.
2. Ransomware — это вид кибератаки с применением вредоносного ПО, которое блокирует доступ к данным пользователя и требует выкуп за их восстановление. Вредоносное ПО может зашифровать файлы и документы, делая их недоступными до тех пор, пока не будет выплачен выкуп.
3. Drive-By Attack — это вид кибератаки, при котором злоумышленник используют уязвимости веб-приложений, чтобы незаметно загрузить и установить на устройства пользователей вредоносное ПО.
4. Browser-in-browser — это вид кибератаки, при котором злоумышленники подделывают всплывающие окна в браузере. Для осуществления кибератаки используются готовые шаблоны для создания поддельных всплывающих окон. Также с помощью шаблонов настраиваются заголовки и URL-адреса для проведения данного типа кибератак.
Рассматривая атаку типа Browser hijacking, можно выявить основные признаки заражения вредоносным ПО:
• Смена используемой поисковой системы на мошеннические, например Search Marquis или Poshukach.
• Перенаправление на зараженные сайты с целью показа рекламы и кражи данных.
• Появление большого количества рекламы, в том числе и на доверенных сайтах.
• Смена домашней страницы браузера.
• Появление неизвестных расширений браузера.
• Замедление работы браузера.
#ИБ
👍4
Под фреймворком в информационной безопасности в широком смысле понимаются библиотеки, стандарты, своды лучших практик и рекомендаций экспертных организаций, которые могут быть использованы для методической основы при построении системы управления ИБ, а также процессов в конкретных доменах.
Фреймворки могут быть обязательными к реализации (как, например, NIST SP 800-53 для федеральных информационных систем США), требуемыми к реализации исходя из потребности компании (например, Trust Services Criteria от AICPA в случае решения компании о необходимости подтверждения эффективности системы внутренних контролей в области ИБ в виде отчетов SOC 2 и SOC 3), а также добровольными к реализации (например, CIS Controls).
Некоторые фреймворки посвящены одному конкретному направлению, например, NIST Privacy Framework поможет компаниям управлять рисками в области обработки и защиты ПДн, а PCI DSS – в области обработки данных платежных карт.
Отметим, что требования, описанные в фреймворках, могут быть неприменимы, нереализуемы или неактуальны в определенных ситуациях. Важно использовать риск-ориентированный подход при построении СУИБ и адаптировать лучшие практики под нужды вашей компании.
#ИБ
#ПолезноЗнать
Фреймворки могут быть обязательными к реализации (как, например, NIST SP 800-53 для федеральных информационных систем США), требуемыми к реализации исходя из потребности компании (например, Trust Services Criteria от AICPA в случае решения компании о необходимости подтверждения эффективности системы внутренних контролей в области ИБ в виде отчетов SOC 2 и SOC 3), а также добровольными к реализации (например, CIS Controls).
Некоторые фреймворки посвящены одному конкретному направлению, например, NIST Privacy Framework поможет компаниям управлять рисками в области обработки и защиты ПДн, а PCI DSS – в области обработки данных платежных карт.
Отметим, что требования, описанные в фреймворках, могут быть неприменимы, нереализуемы или неактуальны в определенных ситуациях. Важно использовать риск-ориентированный подход при построении СУИБ и адаптировать лучшие практики под нужды вашей компании.
#ИБ
#ПолезноЗнать
👍6❤3🔥2
Вступило в силу 8 августа 2024 г.:
Федеральный закон от 08.08.2024 № 233-ФЗ о внесении изменений в 152-ФЗ и 123-ФЗ
· для кого: операторы ПДн.
· что делать: при уничтожении персональных данных (ПДн) использовать средства защиты информации, прошедших процедуру оценки соответствия, в составе которых реализована функция уничтожения информации.
Федеральный закон от 08.08.2024 № 216-ФЗ о внесении изменений в 149-ФЗ и 126-ФЗ
· для кого: организаторы сервиса обмена мгновенными сообщениями, владельцы соцсетей, операторы связи.
· что делать:
· организаторам сервиса обмена мгновенными сообщениями: предоставлять Роскомнадзору по требованию сведения о пользователях сервиса обмена мгновенными сообщениями;
· владельцам соцсетей:
- вести мониторинг информации, в том числе оскорбляющей человеческое достоинство и общественную нравственность;
- предоставлять по запросу Роскомнадзора сведения о пользователе соцсети;
- в случае если объем аудитории страницы (канала) больше 10 тыс. пользователей, то владельцу страницы необходимо идентифицировать себя перед Роскомнадзором.
· операторам связи: предоставлять по запросу Роскомнадзора информацию о средствах связи и оборудовании пользователей сети Интернет.
Вступило в силу 30 августа 2024 г.:
Приказ Минцифры России от 01.08.2024 № 682 о внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн
· для кого: операторы ПДн, использующие рекомендательные технологии.
· что делать: действия от организации не требуются.
Приказом устанавливается новый индикатор в виде выявления в течение календарного года двух и более нарушений требований 149-ФЗ, связанных с применением рекомендательных технологий.
#ДеЮре
#ИБ
#Privacy
Федеральный закон от 08.08.2024 № 233-ФЗ о внесении изменений в 152-ФЗ и 123-ФЗ
· для кого: операторы ПДн.
· что делать: при уничтожении персональных данных (ПДн) использовать средства защиты информации, прошедших процедуру оценки соответствия, в составе которых реализована функция уничтожения информации.
Федеральный закон от 08.08.2024 № 216-ФЗ о внесении изменений в 149-ФЗ и 126-ФЗ
· для кого: организаторы сервиса обмена мгновенными сообщениями, владельцы соцсетей, операторы связи.
· что делать:
· организаторам сервиса обмена мгновенными сообщениями: предоставлять Роскомнадзору по требованию сведения о пользователях сервиса обмена мгновенными сообщениями;
· владельцам соцсетей:
- вести мониторинг информации, в том числе оскорбляющей человеческое достоинство и общественную нравственность;
- предоставлять по запросу Роскомнадзора сведения о пользователе соцсети;
- в случае если объем аудитории страницы (канала) больше 10 тыс. пользователей, то владельцу страницы необходимо идентифицировать себя перед Роскомнадзором.
· операторам связи: предоставлять по запросу Роскомнадзора информацию о средствах связи и оборудовании пользователей сети Интернет.
Вступило в силу 30 августа 2024 г.:
Приказ Минцифры России от 01.08.2024 № 682 о внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн
· для кого: операторы ПДн, использующие рекомендательные технологии.
· что делать: действия от организации не требуются.
Приказом устанавливается новый индикатор в виде выявления в течение календарного года двух и более нарушений требований 149-ФЗ, связанных с применением рекомендательных технологий.
#ДеЮре
#ИБ
#Privacy
👍5❤3👏2
Вопрос:
Какие есть наиболее распространенные заблуждения об анонимизации?
Ответ:
О термине и о методах анонимизации мы рассказывали ранее. Сегодня мы рассмотрим ключевые заблуждения об анонимизированных данных, которые представлены в отчете Европейского органа по защите данных (EDPS) и Испанского агентства по защите данных (AEPD).
Миф 1. Псевдонимизация = анонимизации
Псевдонимизация позволяет идентифицировать субъекта ПДн через дополнительную информацию, при анонимизации это невозможно.
Миф 2. Шифрование — это анонимизация
Шифрованные ПДн могут быть расшифрованы что создает риски идентификации субъекта ПДн.
Миф 3. Все наборы ПДн подлежат анонимизации
Анонимизация применима не для всех задач и зависит от контекста обработки ПДн. При малой выборке ПДн анонимизация может не защитить от обратной идентификации ПДн.
Миф 4. Анонимизация – это необратимый процесс
В зависимости от метода анонимизации, с развитием технологий или получением новой информации ПДн могут быть деанонимизированы.
Миф 5. Анонимизация – это неизмеримое понятие
Степень анонимизации можно проанализировать и измерить. Вероятность деанонимизации ПДн зависит от возможности выделения ПДн, что следует учитывать при оценке рисков деанонимизации.
Миф 6. Возможна полная автоматизация анонимизации
Для проведения анонимизации допускается использование средств автоматизации, но данный процесс анонимизации должен находится под контролем эксперта.
Миф 7. Анонимизированные ПДн бесполезны
Анонимизированные ПДн могут быть полезны, например, для цели ведения статистики. Если анонимизация не подходит, то, например, можно вести обработку псевдонимизированных ПДн.
Миф 8. Применение процессов анонимизации иных компаний приведет к успеху
Процесс анонимизации не совпадать в разных компаниях, так как будет отличаться контекст обработки - характер, объем и цели обработки ПДн.
Миф 9. Деанонимизация не несет рисков
Деанонимизация ПДн может привести к раскрытию ПДн, в которых могут быть заинтересованы злоумышленники. В таком случае существуют риски нарушения прав субъектов ПДн.
#Privacy
#KeptОтвечает
Какие есть наиболее распространенные заблуждения об анонимизации?
Ответ:
О термине и о методах анонимизации мы рассказывали ранее. Сегодня мы рассмотрим ключевые заблуждения об анонимизированных данных, которые представлены в отчете Европейского органа по защите данных (EDPS) и Испанского агентства по защите данных (AEPD).
Миф 1. Псевдонимизация = анонимизации
Псевдонимизация позволяет идентифицировать субъекта ПДн через дополнительную информацию, при анонимизации это невозможно.
Миф 2. Шифрование — это анонимизация
Шифрованные ПДн могут быть расшифрованы что создает риски идентификации субъекта ПДн.
Миф 3. Все наборы ПДн подлежат анонимизации
Анонимизация применима не для всех задач и зависит от контекста обработки ПДн. При малой выборке ПДн анонимизация может не защитить от обратной идентификации ПДн.
Миф 4. Анонимизация – это необратимый процесс
В зависимости от метода анонимизации, с развитием технологий или получением новой информации ПДн могут быть деанонимизированы.
Миф 5. Анонимизация – это неизмеримое понятие
Степень анонимизации можно проанализировать и измерить. Вероятность деанонимизации ПДн зависит от возможности выделения ПДн, что следует учитывать при оценке рисков деанонимизации.
Миф 6. Возможна полная автоматизация анонимизации
Для проведения анонимизации допускается использование средств автоматизации, но данный процесс анонимизации должен находится под контролем эксперта.
Миф 7. Анонимизированные ПДн бесполезны
Анонимизированные ПДн могут быть полезны, например, для цели ведения статистики. Если анонимизация не подходит, то, например, можно вести обработку псевдонимизированных ПДн.
Миф 8. Применение процессов анонимизации иных компаний приведет к успеху
Процесс анонимизации не совпадать в разных компаниях, так как будет отличаться контекст обработки - характер, объем и цели обработки ПДн.
Миф 9. Деанонимизация не несет рисков
Деанонимизация ПДн может привести к раскрытию ПДн, в которых могут быть заинтересованы злоумышленники. В таком случае существуют риски нарушения прав субъектов ПДн.
#Privacy
#KeptОтвечает
👍8
CISO & DPO news #39 (23 - 29 августа 2024 года)
1/8 В Telegram зафиксирована новая мошенническая схема.
2/8 Мошенники подделывают номер Сбербанка в Viber.
3/8 Обнаружена новая фишинговая атака.
4/8 В плагине WPML для WordPress выявлена критическая уязвимость.
5/8 Предложена система компенсаций за утечки персональных данных.
6/8 Операторы связи могут получить возможность вносить данные граждан в ЕБС.
7/8 ICO опубликовал генератор уведомлений о конфиденциальности.
8/8 NIST обновил проект Руководства по цифровой идентификации.
1/8 В Telegram зафиксирована новая мошенническая схема.
2/8 Мошенники подделывают номер Сбербанка в Viber.
3/8 Обнаружена новая фишинговая атака.
4/8 В плагине WPML для WordPress выявлена критическая уязвимость.
5/8 Предложена система компенсаций за утечки персональных данных.
6/8 Операторы связи могут получить возможность вносить данные граждан в ЕБС.
7/8 ICO опубликовал генератор уведомлений о конфиденциальности.
8/8 NIST обновил проект Руководства по цифровой идентификации.
👍5❤3