CISO & DPO news #39 (23 - 29 августа 2024 года)
1/8 В Telegram зафиксирована новая мошенническая схема.
2/8 Мошенники подделывают номер Сбербанка в Viber.
3/8 Обнаружена новая фишинговая атака.
4/8 В плагине WPML для WordPress выявлена критическая уязвимость.
5/8 Предложена система компенсаций за утечки персональных данных.
6/8 Операторы связи могут получить возможность вносить данные граждан в ЕБС.
7/8 ICO опубликовал генератор уведомлений о конфиденциальности.
8/8 NIST обновил проект Руководства по цифровой идентификации.
1/8 В Telegram зафиксирована новая мошенническая схема.
2/8 Мошенники подделывают номер Сбербанка в Viber.
3/8 Обнаружена новая фишинговая атака.
4/8 В плагине WPML для WordPress выявлена критическая уязвимость.
5/8 Предложена система компенсаций за утечки персональных данных.
6/8 Операторы связи могут получить возможность вносить данные граждан в ЕБС.
7/8 ICO опубликовал генератор уведомлений о конфиденциальности.
8/8 NIST обновил проект Руководства по цифровой идентификации.
👍5❤3
Какое из следующих действий является наиболее эффективным способом повышения кибербезопасности в учебных заведениях?
Anonymous Quiz
18%
Запрет на использование личных устройств на территории кампуса
73%
Проведение регулярных обучающих семинаров по безопасности для студентов и преподавателей
5%
Установка антивирусного ПО только на компьютерах преподавателей
4%
Разрешение студентам использовать любые пароли без ограничений
👍3🤔1
В условиях, когда цифровые технологии стали неотъемлемой частью образовательного процесса, учебные заведения должны не только предоставлять знания, но и формировать у обучающихся киберграмотность. Повышение грамотности в области ИБ требует системного подхода, включающего несколько ключевых шагов:
1. Разработка образовательных программ по кибербезопасности.
Данные программы должны охватывать широкий спектр тем, включая:
• управление паролями;
• защиту персональных данных (ПДн);
• осознанное использование социальных сетей;
• распознавание фишинговых атак.
2. Обучение преподавателей и работников.
Учебные заведения должны регулярно проводить тренинги для персонала, чтобы работники понимали, как:
• защищать ПДн учащихся;
• соблюдать требования ИБ;
• эффективно реагировать на инциденты ИБ.
3. Интеграция культуры кибербезопасности в повседневную жизнь.
Для повышения эффективности ИБ важно внедрять практики кибербезопасности на постоянной основе, что достигается через:
• регулярные тренинги по ИБ для студентов и работников;
• симуляции кибератак для проверки готовности к реальным угрозам ИБ;
• периодические проверки систем ИБ учебного заведения.
4. Информирование и вовлечение родителей.
Важно, чтобы родители также участвовали в процессе обучения кибербезопасности. Они должны понимать, как защитить своих детей в интернете и как контролировать их онлайн-активность. Вовлечение родителей можно осуществлять через:
• информационные встречи;
• вебинары;
• регулярные рассылки с полезными рекомендациями.
#ИБ
1. Разработка образовательных программ по кибербезопасности.
Данные программы должны охватывать широкий спектр тем, включая:
• управление паролями;
• защиту персональных данных (ПДн);
• осознанное использование социальных сетей;
• распознавание фишинговых атак.
2. Обучение преподавателей и работников.
Учебные заведения должны регулярно проводить тренинги для персонала, чтобы работники понимали, как:
• защищать ПДн учащихся;
• соблюдать требования ИБ;
• эффективно реагировать на инциденты ИБ.
3. Интеграция культуры кибербезопасности в повседневную жизнь.
Для повышения эффективности ИБ важно внедрять практики кибербезопасности на постоянной основе, что достигается через:
• регулярные тренинги по ИБ для студентов и работников;
• симуляции кибератак для проверки готовности к реальным угрозам ИБ;
• периодические проверки систем ИБ учебного заведения.
4. Информирование и вовлечение родителей.
Важно, чтобы родители также участвовали в процессе обучения кибербезопасности. Они должны понимать, как защитить своих детей в интернете и как контролировать их онлайн-активность. Вовлечение родителей можно осуществлять через:
• информационные встречи;
• вебинары;
• регулярные рассылки с полезными рекомендациями.
#ИБ
👍7
Доксинг (doxing) — это сбор и публикация персональных или конфиденциальных данных о человеке без его согласия в злонамеренных целях. Такие данные могут содержать имя, адрес проживания, номер телефона, место работы, финансовые и другие личные данные. Доксинг может быть использован для запугивания, преследования или шантажа.
Чем опасен доксинг?
• Угроза безопасности.
Публикация личных данных может привести к угрозам и непосредственному физическому воздействию.
• Психологическое давление.
Жертвы доксинга часто испытывают стресс, тревогу и страх.
• Репутационные риски.
Личные данные могут быть использованы для причинения ущерба репутации из-за публикации неприятных скрытых фактов о человеке, клеветы или создания ложных нарративов.
Как защититься от доксинга?
• Ограничьте доступ к личным данным.
– Будьте внимательны к тому, какую информацию вы публикуете в социальных сетях.
– Настройте конфиденциальность профилей.
– Избегайте публикации информации о себе на форумах и в комментариях, где она может быть легко собрана.
• Используйте псевдонимы.
Если возможно, используйте никнеймы или псевдонимы вместо реальных имен при общении в интернете.
• Регулярно проверяйте свои настройки безопасности.
Убедитесь, что ваши аккаунты защищены надежными паролями и настроена многофакторная аутентификация.
• Мониторинг упоминаний.
Используйте специальные сервисы для отслеживания упоминаний вашего имени в интернете. Примером подобного сервиса может стать Google Alerts, отправляющий уведомления при появлении новых упоминаний заданных ключевых слов в интернете.
• Обратитесь за помощью.
Если вы стали жертвой доксинга, сообщите об этом в правоохранительные органы и службу поддержки платформы, где была опубликована личная информация
Доксинг может оказать существенное влияние на привычную жизнь человека, поэтому будьте внимательны к хранению и публикации информации о себе и принимайте меры для её защиты.
#ИБ
#ПолезноЗнать
Чем опасен доксинг?
• Угроза безопасности.
Публикация личных данных может привести к угрозам и непосредственному физическому воздействию.
• Психологическое давление.
Жертвы доксинга часто испытывают стресс, тревогу и страх.
• Репутационные риски.
Личные данные могут быть использованы для причинения ущерба репутации из-за публикации неприятных скрытых фактов о человеке, клеветы или создания ложных нарративов.
Как защититься от доксинга?
• Ограничьте доступ к личным данным.
– Будьте внимательны к тому, какую информацию вы публикуете в социальных сетях.
– Настройте конфиденциальность профилей.
– Избегайте публикации информации о себе на форумах и в комментариях, где она может быть легко собрана.
• Используйте псевдонимы.
Если возможно, используйте никнеймы или псевдонимы вместо реальных имен при общении в интернете.
• Регулярно проверяйте свои настройки безопасности.
Убедитесь, что ваши аккаунты защищены надежными паролями и настроена многофакторная аутентификация.
• Мониторинг упоминаний.
Используйте специальные сервисы для отслеживания упоминаний вашего имени в интернете. Примером подобного сервиса может стать Google Alerts, отправляющий уведомления при появлении новых упоминаний заданных ключевых слов в интернете.
• Обратитесь за помощью.
Если вы стали жертвой доксинга, сообщите об этом в правоохранительные органы и службу поддержки платформы, где была опубликована личная информация
Доксинг может оказать существенное влияние на привычную жизнь человека, поэтому будьте внимательны к хранению и публикации информации о себе и принимайте меры для её защиты.
#ИБ
#ПолезноЗнать
👍6❤3👏1
Вопрос:
Должны ли субъекты малого и среднего предпринимательства, а также индивидуальные предприниматели реализовывать требования 152-ФЗ?
Ответ:
Да, должны.
В соответствии с п. 2 ст. 3 152-ФЗ, оператором является любое физическое или юридическое лицо, осуществляющее обработку ПДн. В законодательстве не содержится исключений для субъектов малого и среднего предпринимательства (МСП).
Законодательство не предусматривает исключений для субъектов МСП и такие компании не освобождены от обязанностей, предусмотренных 152-ФЗ, в том числе, по регистрации в реестре операторов ПДн и опубликованию политики обработки ПДн.
Минцифры и Роскомнадзор придерживаются аналогичной позиции. В ответ на соответствующий запрос представители ведомств ответили, что если индивидуальный предприниматель осуществляет обработку ПДн, то на него будут распространяться требования 152-ФЗ и он обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
Для облегчения документарного сопровождения МСП в РФ функционирует сервис «конструктор документов Цифровой платформы МСП.РФ», который упрощает составление политики обработки ПДн, а также подачу уведомления в Роскомнадзор.
#Privacy
#KeptОтвечает
Должны ли субъекты малого и среднего предпринимательства, а также индивидуальные предприниматели реализовывать требования 152-ФЗ?
Ответ:
Да, должны.
В соответствии с п. 2 ст. 3 152-ФЗ, оператором является любое физическое или юридическое лицо, осуществляющее обработку ПДн. В законодательстве не содержится исключений для субъектов малого и среднего предпринимательства (МСП).
Законодательство не предусматривает исключений для субъектов МСП и такие компании не освобождены от обязанностей, предусмотренных 152-ФЗ, в том числе, по регистрации в реестре операторов ПДн и опубликованию политики обработки ПДн.
Минцифры и Роскомнадзор придерживаются аналогичной позиции. В ответ на соответствующий запрос представители ведомств ответили, что если индивидуальный предприниматель осуществляет обработку ПДн, то на него будут распространяться требования 152-ФЗ и он обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
Для облегчения документарного сопровождения МСП в РФ функционирует сервис «конструктор документов Цифровой платформы МСП.РФ», который упрощает составление политики обработки ПДн, а также подачу уведомления в Роскомнадзор.
#Privacy
#KeptОтвечает
👍6
CISO & DPO news #40 (2 - 6 сентября 2024 года)
1/8 В Малайзии вступил в силу закон о кибербезопасности.
2/8 За первую половину 2024 года в России утекло 986 млн персональных данных.
3/8 В Калифорнии принят закон о прозрачности данных для обучения генеративного ИИ.
4/8 Опубликовано исследование о защите данных в LLM
5/8 Устаревшие алгоритмы шифрования в Kerberos привели к уязвимостям в современных ОС.
6/8 Роскомнадзор предупредил операторов о последствиях препятствования замедлению YouTube.
7/8 В 2024 году возросла доля ИТ-преступлений, ущерб оценивается в 99 млрд рублей.
8/8 Крупнейшая DDoS-атака в истории Сбербанка.
1/8 В Малайзии вступил в силу закон о кибербезопасности.
2/8 За первую половину 2024 года в России утекло 986 млн персональных данных.
3/8 В Калифорнии принят закон о прозрачности данных для обучения генеративного ИИ.
4/8 Опубликовано исследование о защите данных в LLM
5/8 Устаревшие алгоритмы шифрования в Kerberos привели к уязвимостям в современных ОС.
6/8 Роскомнадзор предупредил операторов о последствиях препятствования замедлению YouTube.
7/8 В 2024 году возросла доля ИТ-преступлений, ущерб оценивается в 99 млрд рублей.
8/8 Крупнейшая DDoS-атака в истории Сбербанка.
👍5❤1
Какой метод пентеста предполагает наличие полной информации о системе?
Anonymous Quiz
11%
Черный ящик (Blackbox)
1%
Серый ящик (Graybox)
85%
Белый ящик (Whitebox)
2%
Синий ящик (Blue box)
👍2🤔2
Тестирование по методу «белого ящика» (white-box testing) предполагает наличие у тестировщика полной информации о целевой системе или сети, включая исходный код, конфигурационные файлы, архитектуру, схемы сети и другую внутреннюю информацию. Цель такого тестирования — детально оценить уровень безопасности системы, выявить уязвимости на уровне кода и предложить методы их устранения.
Основным преимуществом тестирования по методу «белого ящика» является его высокая эффективность. Благодаря полному покрытию исходного кода, тестировщик может обнаружить уязвимости, которые могли бы остаться незамеченными при использовании других методов, таких как тестирование по методу «черного ящика» (black-box) или методу «серого ящика» (gray-box). Данный метод актуален на этапе разработки, для тестирования систем с критически важными данными или систем, к которым предъявляются высокие требования по безопасности.
Недостатком такого подхода является требование значительных ресурсов для проведения анализа, включая время, квалифицированный персонал, а также стоимость услуг, если тестирование выполняется поставщиком. Кроме того, результаты тестирования могут быть избыточными, что затрудняет их интерпретацию и приоритезацию устранения обнаруженных уязвимостей.
Тестирование по методу «белого ящика» является мощным инструментом, когда критически важна уверенность в безопасности системы. Этот метод позволяет получить полное представление о текущем состоянии системы и эффективно повысить уровень её защиты.
#ИБ
Основным преимуществом тестирования по методу «белого ящика» является его высокая эффективность. Благодаря полному покрытию исходного кода, тестировщик может обнаружить уязвимости, которые могли бы остаться незамеченными при использовании других методов, таких как тестирование по методу «черного ящика» (black-box) или методу «серого ящика» (gray-box). Данный метод актуален на этапе разработки, для тестирования систем с критически важными данными или систем, к которым предъявляются высокие требования по безопасности.
Недостатком такого подхода является требование значительных ресурсов для проведения анализа, включая время, квалифицированный персонал, а также стоимость услуг, если тестирование выполняется поставщиком. Кроме того, результаты тестирования могут быть избыточными, что затрудняет их интерпретацию и приоритезацию устранения обнаруженных уязвимостей.
Тестирование по методу «белого ящика» является мощным инструментом, когда критически важна уверенность в безопасности системы. Этот метод позволяет получить полное представление о текущем состоянии системы и эффективно повысить уровень её защиты.
#ИБ
👍7
Современные транспортные средства, такие как самолеты, поезда, корабли и автомобили, оснащены множеством электронных систем, которые контролируют все аспекты работы — от управления двигателем до навигации и связи. Уязвимости в этих системах могут привести к серьезным последствиям, включая угрозы безопасности пассажиров и сбои в работе транспорта.
В 2015 году исследователи продемонстрировали возможность взлома автомобиля через мультимедийную панель: они удаленно получили доступ к управляющим системам транспортного средства, после чего включили стеклоочистители, заглушили двигатель и взяли под контроль рулевое колесо. В случае реального взлома это могло бы привести к автомобильной аварии. Исследователи заявили, что данным методом взлома возможно получить доступ к сотням тысяч автомобилей данной марки.
В поездах и метро успешная атака на системы может привести к нарушениям графика движения, воспрепятствовать проведению ремонта и другим критическим последствиям. Так, в 2022 году группа специалистов ИБ обнаружила недекларированные возможности в системах управления поездами польского производителя, из-за которых поезда переставали функционировать спустя определенное время.
Чтобы обеспечить ИБ транспортных систем, нужен комплексный подход. Необходимо интегрировать меры ИБ на всех уровнях: от разработки и тестирования программного обеспечения до мониторинга работы систем в режиме реального времени.
Важную роль играют:
· Сегментация сетей, чтобы ограничить доступ злоумышленников к критически важным системам.
· Выпуск и установка регулярных обновлений программного обеспечения.
· Аудит безопасности.
Обучение сотрудников, задействованных в работе с транспортными системами, также является важным аспектом безопасности. Необходимо повышать осведомленность персонала о рисках, связанных с использованием цифровых технологий, и порядке действий в случае их реализации.
#ИБ
#ПолезноЗнать
В 2015 году исследователи продемонстрировали возможность взлома автомобиля через мультимедийную панель: они удаленно получили доступ к управляющим системам транспортного средства, после чего включили стеклоочистители, заглушили двигатель и взяли под контроль рулевое колесо. В случае реального взлома это могло бы привести к автомобильной аварии. Исследователи заявили, что данным методом взлома возможно получить доступ к сотням тысяч автомобилей данной марки.
В поездах и метро успешная атака на системы может привести к нарушениям графика движения, воспрепятствовать проведению ремонта и другим критическим последствиям. Так, в 2022 году группа специалистов ИБ обнаружила недекларированные возможности в системах управления поездами польского производителя, из-за которых поезда переставали функционировать спустя определенное время.
Чтобы обеспечить ИБ транспортных систем, нужен комплексный подход. Необходимо интегрировать меры ИБ на всех уровнях: от разработки и тестирования программного обеспечения до мониторинга работы систем в режиме реального времени.
Важную роль играют:
· Сегментация сетей, чтобы ограничить доступ злоумышленников к критически важным системам.
· Выпуск и установка регулярных обновлений программного обеспечения.
· Аудит безопасности.
Обучение сотрудников, задействованных в работе с транспортными системами, также является важным аспектом безопасности. Необходимо повышать осведомленность персонала о рисках, связанных с использованием цифровых технологий, и порядке действий в случае их реализации.
#ИБ
#ПолезноЗнать
👍8