Новости законодательства и отраслевого регулирования
- Подготовлен проект изменений 17-го приказа ФСТЭК, который в пятницу был выложен для обсуждения. Это промежуточная версия, задача которой — закрыть ряд вопросов, не касающихся непосредственно состава и содержания защитных мер. Здесь можно ознакомиться с его основными положениями.
- Верхняя палата парламента РФ одобрила закон об увеличении административных штрафов за нарушения законодательства в области персональных данных. Согласно закону, максимальный штраф за нарушения при обработке персональных данных для граждан составит 5 тыс. руб., для должностных лиц — 20 тыс. руб., для индивидуальных предпринимателей (ИП) и юрлиц — по 20 тыс. руб. и 75 тыс. руб. соответственно.
- Госдума РФ одобрила пакет законопроектов о безопасности критической информационной инфраструктуры (КИИ). Организаторам кибератак может грозить наказание до десяти лет лишения свободы. Владельцы данной инфраструктуры обязаны взаимодействовать с госорганами в обеспечении их безопасности и бесперебойного функционирования.
- Палатой представителей Конгресса США был представлен законопроект, предполагающий более активное вовлечение регуляторов в вопросы кибербезопасности автотранспорта. Закон предполагает проведение Национальной администрацией безопасности дорожного движения исследования о необходимых стандартах безопасности автотранспорта.
- ФСТЭК установила требования к пентестерам и SOC-центрам, которые теперь входят в перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации.
- Чтобы помочь предпринимателям обезопасить платформы электронной торговли, Совет по стандартам безопасности PCI выпустил Рекомендации по обеспечению безопасности электронной коммерции (Best Practices for Securing E-commerce). Это дополнение к существующему руководству, опубликованному в 2013 году, которое научит предпринимателей безопасной работе с онлайн-платежами.
Новости ИБ
- Symantec отозвала многочисленные ошибочно выданные сертификаты, в том числе для таких доменов как example.com и test.com. Это уже не первый случай в истории компании.
- Советник президента по вопросам развития интернета Герман Клименко высказал мнение, что контроль над соцсетями в России должен быть усилен. По его словам, «скорость распространения информации, помноженная на количество времени, проводимое в интернете, приводит к информационному цунами».
- Эксперты из Германии утверждают, что принтеры известных марок несут потенциальную угрозу безопасности данных. Исследователи создали инструмент для автоматизации атак на многофункциональные принтеры HP, Brother, Lexmark, Dell, Samsung, Konica, OKI и Kyocera. А также продемонстрировали, как злоумышленник может получить доступ к энергонезависимой памяти (NVRAM) устройства и получить доступ к конфиденциальной информации — например, к документам или учетным данным.
- Согласно телеметрическим данным от браузера Mozilla Firefox, 50% страниц используют безопасное соединение по HTTPS. Активное распространение HTTPS с одной стороны является результатом сервиса компании Let’s Encrypt, который упрощает использование и обновление сертификатов любым сайтам. С другой стороны на расширение использования HTTPS повлияло появление предупреждений о незащищенном соединении в браузерах.
- Специалисты компании Trustwave сообщили об обнаружении новых уязвимостей в более чем 30 моделей роутеров Netgear, что затрагивает порядка миллиона пользователей. Патчи предоставлены только для 20 моделей роутеров. Пользователям роутеров, для которых нет патчей, рекомендуется незамедлительно включить функцию восстановления пароля, а также отключить удаленное администрирование.
Интересные посты русскоязычных блогов по ИБ
- Алексей Лукацкий делает обзор последних изменений нормативных актов по ИБ для финансовых организаций. К ним относятся, например, Положение Банка России №552-П, новый СТО 1.3, проект ГОСТа «Базовый состав организационных и технических мер защиты информации». Также приводится краткий план развития финансового рынка Российской Федерации на период 2016–2018 годов.
- Хабрахабр публикует статью, посвященную сертификатам CISSP, CISA и CISM. Подробно рассматривается вопрос, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.
- 27 января 2017 Госдума приняла в третьем чтении новые штрафы по ПДн (правки в КоАП). В блоге «Жизнь 80 на 20» подробно рассматриваются изменения в статье 13.11 относительно штрафов. Максимальная сумма штрафа выросла до 75000 р. Правки вступают в силу с 1 июля 2017 года.
- SIEM является сложным и дорогим решением по сбору, нормализации, анализу и корреляции информации, однако и результаты работы системы являются выдающимися при правильной эксплуатации. Портал Solutions Review подготовил список из 5 вопросов к себе и 5 вопросов к потенциальному поставщику, собрав ответы на которые вы сможете более осознанно сделать выбор достойной SIEM системы для внедрения в вашей организации.
Интересные посты англоязычных блогов по ИБ
- В момент атаки уже поздно выяснять организационные вопросы, жизненно важно иметь готовый план по реагированию на инциденты. Terry Sweeney, редактор и автор статьей Dark Reading, кратко разобрал десять необходимых элементов такого плана.
- Infosec Institute поднимает вопрос о важности отслеживания и управления мобильными данными. Все больше сотрудников работают удаленно, ставя под угрозу данные, к которым они получают доступ. Это заставляет пересмотреть не только ключевые вопросы управления активами, но и риски безопасности, которые часто недооценивают или не понимают.
- Bruce Schneier уверен, что с тотальным проникновением информационных технологий в нашу жизнь мы не должны допустить катастрофы. И единственным решением будет регулирование, которое навязано нам государством в отчаянных попытках сделать хоть что-то. Автор излагает проблемы регулирования как с технической, так и политической стороны, и рассматривает некоторые нормативные акты.
Исследования и аналитика
- IV квартал 2016 стал временем невиданных ранее массивных DDoS-атак. Аналитики лаборатории Касперского приводят подробный статистический разбор, указывают основные четыре тренда, дают заключения и прогнозы.
- По данным компании ESET, 40% уязвимостей Windows обнаружено в браузерах. За 2016 год в Internet Explorer обнаружено 109 уязвимостей, что в два раза меньше, чем в 2015 году. В новом Microsoft Edge, браузере по умолчанию в Windows 10, закрыта 111 уязвимость. Важно отметить, что ни одна из уязвимостей Edge не использовалась в 2016 году в кибератаках до выхода закрывающих обновлений.
- Positive Technologies провели исследование атак на веб-приложения. Аналитики попытались установить, какие атаки пользуются наибольшей популярностью у злоумышленников и каковы возможные мотивы их действий, а также определить основные источники угроз для различных отраслей. Также приводятся данные о распределении типов атак и активности злоумышленников в зависимости от сферы деятельности компании, и динамика изменения характера атак в течение года.
- Positive Technologies в отчете «КИБЕРБЕЗОПАСНОСТЬ 2016-2017: ОТ ИТОГОВ К ПРОГНОЗАМ» предложила экспертную оценку ИБ-трендов года, а также сделала определенные прогнозы относительно того, что ждет индустрию в 2017 году. Среди главных трендов 2016 года оказались промышленные системы управления, финансовые структуры, веб-приложения, телекоммуникации и гаджеты.
- SecureWorks предоставляет отчет по кибер-угрозам для руководителей «Cybersecurity Threat Insights Report for Leaders». В отчете вы найдете ответы на следующие вопросы: какие виды угроз мы можем наблюдать сейчас? Развиваются они или остаются постоянными? Каково видение поведения угроз? Как организации могут противостоять угрозам самостоятельно, а также какие рекомендации могут быть даны для повышения кибер-безопасности.
- Учитывая то, что приготовил нам 2017 год в сфере управления безопасностью, компаниям необходимо обратить внимание на 5 ключевых трендов, по мнению издательства helpnetsecurity: кибербпреступность становится скрытой индустрией, компаниям не обойтись без систем искусственного интеллекта и систем управления уязвимостями, неизбежность слияния и поглощения поставщиков и провайдеров услуг ИБ а также глобальное регулирование в киберпространстве.
- Arbor Networks опубликовали 12-ый ежегодный отчет 12th Annual Worldwide Infrastructure Security Report (WISR), который предлагает поделиться знаниями и опытом профессионалов ведущих мировых провайдеров и хостинговых корпораций. Доклад охватывает широкий спектр вопросов от обнаружения угроз и реагирования на инциденты до управляемых сервисов, персонала и бюджета. Его внимание сосредоточено на оперативных задачах интернет-операторов, которые ежедневно сталкиваются с сетевыми угрозами и стратегиях, принятых для устранения и смягчения последствий атак.
- Отчет SERT Quarterly Threat Report за 4 квартал 2016 г. содержит анализ событий, выявленных с помощью клиентской базы NTT Security. Отчет содержит наблюдения и анализ типов и источников атак, а также исследований, касающихся обнаружения глобальных угроз; развитие тактики, методов и процедур атак «ложные маркировки» («false flagging»); развитие судебной кибер-экспертизы; лучшие практики безопасности розничной индустрии и увеличение количества атак, спонсируемых государством.
- Согласно Cisco 2017 Annual Cybersecurity Report (ACR), более трети организаций, которые подверглись атакам в 2016 году, сообщили о существенной потери клиентов, возможностей или доходов. Доклад освещает задачи и возможности для сотрудников безопасности по защите от киберпреступников и изменению фокуса атак.
- Ежегодный отчет 2017 Netwrix Customer Survey дает представление о том, как организации могут усовершенствовать безопасность и процедуры оценки соответствия, а также повысить эффективность повседневных IT-операций с помощью Netwrix Auditor. Отчет предлагает ценную информацию из первых рук о преимуществах, которые компании получают при использовании программы Netwrix Auditor.
- Случаи с вредоносной рекламой в 2016 году участились на 32% по сравнению с предыдущим годом, заявил RiskIQ Research. В годовом отчете указано на резкий всплеск вредоносной рекламы в завершившемся году. Выявление и устранение этой угрозы становится все более сложной задачей для организаций. В группе риска не только растущему всемирному рынку платных СМИ, но и бесплатному интернету, каким мы его привыкли видеть.
- 2016 год опять установил новый рекорд по количеству взломов данных. В годовом отчете «2016 Data Breach Trends – Year In Review» от Risk Based Security дана подробная аналитика ушедшего года в цифрах и графиках.
Громкие инциденты ИБ
- Хакеры выложили в интернет электронные письма Дэвида Бекхэма. Представители спортсмена подтвердили факт взлома почты спортсмена. В переписке любимец миллионов допустил нелестные высказывания в адрес ЮНИСЕФ и лордов.
- Из-за сбоев в электронной системе службы занятости населения штата Мичиган в Интернет попали личные данные около 1,87 миллиона местных жителей. По данным агентства Associated Press, в сети оказались имена граждан, информация об их зарплате и номера страховых полисов.
- В Бразилии неизвестными хакерами взломан сайт, на котором были размещены результаты школьных выпускных экзаменов, которые используются для набора выпускников в ВУЗы и профессиональные училища. При этом некоторые абитуриенты, получившие наивысшие баллы по итогам обучения в средней школе, были записаны злоумышленниками на курс производства местной тростниковой водки кашасы.
- Хакеры атаковали старейший отель Австрии Seehotel Jagerwirt. Как сообщает портал The Local, киберпреступники заблокировали работу электронных карт, открывающих двери, получили контроль над всеми компьютерами и резервной системой доступа. Ни сотрудники отеля, ни постояльцы не могли открыть двери.
- МИД Чехии был подвержен масштабной кибератаке на электронные аккаунты руководителей. Подверглись нападению почтовые ящики министра иностранных дел и его заместителей. Была украдена секретная информация.
- Шифровальщик стал причиной практически полного выхода из строя системы видеонаблюдения в Вашингтоне. За неделю до инаугурации Трампа неназванный вымогатель поразил 123 из 187 сетевых DVR (digital video recorder), к которым были подключены городские камеры. Из-за проблем с DVR, доступа к видео не было.
- Сайт российского разработчика антивирусных программ Dr.Web подвергся DDoS-атаке. Об этом говорится в официальной группе компании в «ВКонтакте».
Обзор событий предстоящих недель
Посетить
- 7 февраля, Москва — Cyber Security Forum 2017 (CSF 2017)
- 7-9 февраля, Москва — ТБ Форум 2017: персональный подход и самые эффективные маркетинговые инструменты
- 7-8 февраля, Москва — XVII Международный Форум iFin-2017 «Электронные финансовые услуги и технологии»
- 9 февраля, Москва — Встреча представителей кредитных организаций с руководством Банка России
- 9 февраля, Ростов-на-Дону – Конференция «Код информационной безопасности»
- 9 февраля, Москва — Закрытый показ документального фильма ZeroDays
- 9 февраля, Москва — Конференция «Рынок облаков в России»
- 10 февраля, Москва — Практическая конференция «Удаленная идентификация и биометрия в финансовой отрасли: регулирование, технологии, решения»
- 13-17 февраля, Башкортостан — IX Уральский форум «Информационная безопасность финансовой сферы»
- 16 февраля, Москва — Российский экономический и финансовый форум
- 16 февраля, Москва – Конференция «ИТ-стратегия 2017: новые тренды»
- 16-17 февраля, Москва — VI Ежегодная бизнес-встреча «Корпоративная безопасность»
- 17 февраля, Москва — Конференция «Информационные технологии в казначействе»
- 17 февраля, Киев — IDC Security Roadshow 2017 in Kyiv
Послушать
- 7 февраля, 8:00 – Вебинар компаний Softline, Cisco «Защита корпоративных и пользовательских данных «До, во время и после»
- 7 февраля, 11:00 – Вебинар компаний Softline, Microsoft «Microsoft Windows 10 VS Атака шифровальщиков: Шах и Мат»
- 9 февраля, 14:00 – Вебинар от компании Positive Technologies «Как включить JTAG-отладку через USB»