Новости законодательства и отраслевого регулирования
- Госдума одобрила в первом чтении проект закона о «праве на забвение» в интернете. Согласно законопроекту, Гражданам РФ будет предоставлена возможность требовать удаления незаконно распространяемой информации о них в интернете от любых лиц.
- Владимир Путин подписал Федеральный закон «О внесении изменений в статью 187 Уголовного кодекса Российской Федерации», направленный на усиление уголовной ответственности за хищение денежных средств с использованием высоких технологий в банковской сфере. Согласно закону помимо ответственности за изготовление в целях сбыта или сбыт поддельных платежных карт закрепляется ответственность за их приобретение, хранение, транспортировку в целях использования или сбыта, равно как за совершение тех же действий в отношении поддельных распоряжений о переводе денежных средств, документов или средств оплаты.
- С апреля 2014 года одним из пунктов новой стратегии Роскомнадзора в области защиты личной информации граждан стала разработка комментария к закону «О персональных данных». Первый комментарий к 152-ФЗ вышел 16 июня. В комментарии анализируются теоретические вопросы обработки персональных данных, рассматриваются достоинства и недостатки комментируемого Закона и приводятся практические примеры его применения.
Новости ИБ
- Соединенные Штаты в 2010 году пытались атаковать ядерные силы КНДР с помощью компьютерного вируса. Операция провалилась, так как американской разведке не удалось заразить этим вирусом аппараты, от которых зависит ядерная программа Северной Кореи.
- Минкомсвязи выбрало компании, которые будут создавать отечественные операционные системы, программное обеспечение и облачные сервисы на бюджетные средства. Эксперты оценивали проекты по нескольким параметрам, включая наличие наработок в выбранной области, опыт в коммерческих и международных проектах, независимость от импорта и реалистичная оценка стоимости.
- Британская компания Intelligent Environments разработала технологию, позволяющую использовать последовательность смайлов в качестве пароля для доступа к онлайн-банку. Технология интегрирована в собственное мобильное Android-приложение Intelligent Environments под названием Emoji Passcode.
- Баг в почтовом клиенте для iOS и OS X позволяет атакующему загрузить внешний HTML-контент и с легкостью провести убедительные фишинговые атаки на ничего не подозревающих пользователей. По словам эксперта, обнаружившего уязвимость, Apple так и не занялась разработкой фикса к уязвимости.
- FIRST (The Forum of Incident Response and Security Teams) анонсировал общую систему оценки уязвимостей CVSS версии 3 (Common Vulnerability Scoring System). Лежащая в основе CVSS методика позволяет оценить информацию о существующих уязвимостях в информационных системах на основании различных критериев.
Интересные посты русскоязычных блогов по ИБ
- Алексей Лукаций поделился подборкой документов и проектов нормативных актов, вышедших за последние два месяца, связанных с обеспечением безопасности персональных данных.
- Андрей Прозоров опубликовал заметку о том, насколько полезным может быть Twitter в жизни любого специалиста по информационной безопасности. Автор отмечает удобство социальной сети и оперативность получения свежих новостей о событиях в отрасли.
- О том, как менеджеру найти подход к сотрудникам и повысить эффективность работы специалистов в организации, рассказывает Александр Бодрик в своей статье «Основы дуб-менеджмента в подразделениях».
- Эксперты рассмотрели и поделились собственными мыслями о новом документе 8 Центра ФСБ России «Методические рекомендации ФСБ России по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн». Алексей Лукацкий отмечает несколько интересных моментов, на которые стоит обратить свое внимание, а Андрей Прозоров рекомендует использовать данный документ при разработке моделей угроз ПДн.
Интересные посты англоязычных блогов по ИБ
- О том, как использовать ISO 22301 при управлении непрерывностью бизнеса и в чем заключаются основные отличия по сравнению с требованиями ISO 27001, рассказывает Dejan Kosutic.
- Chris Bunn опубликовал краткое руководство, помогающее обеспечить защиту от внутренних угроз в организации. В качестве основных этапов программы автор отмечет необходимость обучения пользователей и руководства, внедрение многоуровневого подхода к обеспечению ИБ и грамотное управление доступом сотрудников к ресурсам организации.
Исследования и аналитика
- Международная антивирусная компания ESET, выяснила, что 80% ИТ-специалистов считают, что злоумышленники могут получить доступ к корпоративным данным через социальные сети. Из них в 12% организаций уже сталкивались с заражением вредоносным ПО через соцсети. При этом 56% ИТ-специалистов признались, что принятые в компании правила использования этих сервисов в действительности не применяются.
- Компания Trustwave опубликовала отчет 2015 Trustwave Global Security Report, в котором представила основные аспекты, полученные в результате проведения сканирования сетей и тестов на проникновение.
- McAfee Labs опубликовала новый отчет об угрозах безопасности. В центре внимания данного отчета находятся подробности о вредоносных программах организации Equation Group и особое внимание уделено вирусу CTB-Locker.
- В блоге компании Verisign появился новый квартальный отчет Q1 2015 DDoS Trends Report, согласно которому число DDoS-атак за первый квартал во всем мире превысило показатели, которые фиксировались на протяжении всего 2014 года, а рост в сравнении с предыдущим кварталом составил 7%.
- Специалисты компании OpenDNS провели опрос специалистов в сфере безопасности и информационных технологий с целью выяснить перспективы использования устройств «Интернета вещей» (IoT). Как выяснилось некоторые объекты инфраструктуры, на которых используются IoT-устройства, уязвимы к FREAK и Heartbleed.
- В результате анализа экспертами компании «Лаборатория Касперского» было установлено, что в первом квартале 2015 года киберпреступники совершили более 23 тысяч DDoS-атак с применением ботсетей на ресурсы, расположенные в 76 странах. При этом мишенями, помимо России, чаще всего были серверы на территориях Китая, США и Канады.
- Специалисты компании Gartner подготовили доклад по анализу рынку ПО, обеспечивающему защиту информации за 2014 год. По подсчетам Gartner, рынок ПО в 2014 году вырос до 5.3% по сравнению с 2013 годом, и общая выручка ведущих производителей средств защиты информации составила $ 21,4 млрд.
- Intel Security публикует результаты своего теста проверки знаний пользователей и их умения распознавать электронные письма, отправленные мошенниками с целью получения доступа к логинам, паролям и другим конфиденциальным данным. В результате только 3% из всех опрошенных смогли точно определить, можно ли доверять тому или иному посланию, тогда как 80% респондентов посчитали безопасным как минимум одно из писем с угрозой.
- Компания «Информзащита» представила свой новый аналитический отчет по уязвимостям различного класса, выявленным в ходе аудитов ИБ в компаниях разных бизнес-отраслей.. По данным специалистов, наиболее часто встречающиеся уязвимости были обнаружены в устаревших версиях программного обеспечения Apache, Microsoft IIS и Open SSL, а в протоколах IPSec, SSL и Microsoft RDP было выявлено использование слабого шифрования.
Громкие инциденты ИБ
- По сообщениям РБК, полиция задержала хакеров, которые украли с банковских счетов более 11 млн руб. Жертвами киберпреступников стали клиенты крупных банков, включая Сбербанк и ВТБ24.
- Как сообщает пресс-центр МВД России, следственный департамент МВД России предъявил обвинение участникам организованной группы киберпреступников, совершивших более 250 хищений денежных средств клиентов крупных российских банков на общую сумму около 12 млн рублей.
- Компьютер канцлера Германии Ангелы Меркель в Бундестаге подвергся хакерской атаке. Кто за этим стоит, пока не установлено. СМИ отмечает что компьютер Меркель, представляющей Христианско-демократический союз (ХДС) Германии, стал одним из первых в Бундестаге, на котором был обнаружен троян.
- Несколько сайтов и серверов правительства Канады прекратили работу из-за кибератаки, ответственность за которую взяли на себя участники группы Anonymous. Объектами кибератаки среди прочих стал сайт правительства canada.ca, а также веб-ресурс канадской службы безопасности и разведки.
- По сообщениями ИТАР ТАСС, неизвестная группа хакеров взломала сайт сухопутных войск США, ресурс временно не работает. Взломанный ресурс, по данным американских СМИ, не предоставляет никакой секретной информации и предназначен исключительно для популяризации службы в армии среди населения. На портале также размещалась последние новости о сухопутных войсках страны.
- Московский Комсомолец пишет, что злоумышленникам удалось осуществить взлом системы планово-административного управления администрации США и в результате под угрозой оказались персональные данные около 4 млн действующих и бывших федеральных служащих США.
Обзор событий предстоящих недель
Посетить:
- 23-25 июня, Барнаул – IV Международная Конференция «Информационные технологии в управлении: риски и возможности».
Послушать:
- 23 июня, 11:00 – Вебинар «DLP Hero: Начинаем работать с моделью зрелости DLP» от InfoWatch.
- 25 июня, 14:00 – Вебинар «Автоматическая генерация патчей для уязвимого исходного кода» от Positive Technologies.
- 25 июня, 12:00 – Вебинар «КИБ Searchinform» от компании «SearchInform».