Дайджест информационной безопасности за период с 23 февраля по 8 марта 2015 года.

Новости законодательства и отраслевого регулирования

• Согласно проекту постановления Минкомсвязи РФ, государственные компании, службы и ведомства будут обязаны закупать программное обеспечение российского производства или пояснить, почему сделать это не предоставляется возможным. Планируется, что постановление вступит в силу с 1 июля текущего года.

• В соответствии с новым законопроектом об ужесточении ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) штрафы могут вырасти в 30 раз.

• На Едином портале раскрытия информации о подготовке нормативных актов началось обсуждение внесенного Минкомсвязи РФ законопроекта, в соответствии с которым часть технических и экспертных функций Роскомнадзора по ведению “черного списка” сайтов будет передана подведомственному предприятию ФГУП “Главный радиочастотный центр” (ГРЧЦ).

Новости ИБ

• Компания GFI Software составила список операционных систем и программных приложений, для которых зафиксировано наибольшее количество уязвимостей в 2014 году. Среди операционных систем больше всего уязвимостей найдено в операционной системе OS X. На втором месте – Apple iOS. Далее следует ядро Linux, и только потом идут разные версии Windows.

• По данным Symantec, число вредоносных программ, связанных с финансовым сектором, существенно уменьшилось. Как сообщается в отчете компании, в прошлом году эксперты обнаружили на 53% меньше банковских троянов и на 74% фишинговых писем, чем годом ранее.

• Эксперты ИБ-компании Trend Micro обнаружили и проанализировали новую разновидность троянов для PoS-терминалов, получившую название PwnPOS. PwnPOS регистрирует все активные процессы, осуществляет поиск данных кредитных карт и сохраняет их в отдельном файле, который затем сжимает и зашифровывает. Впоследствии файл в виде электронного письма отправляется на определенный почтовый адрес.

• Компания Adobe запустила программу, нацеленную на выявление и устранение уязвимостей, позволяющих осуществить межсайтовый скриптинг и подделку межсайтовых запросов. В отличие от аналогичных проектов других производителей ПО, компания не будет выплачивать исследователям и хакерам, нашедшим новые бреши в web-приложениях, денежное вознаграждение.

• В Китае рассматривается законопроект, в случае принятия которого любая иностранная высокотехнологичная компания, желающая присутствовать на китайском рынке, будет обязана предоставить властям Китая возможность следить за пользователями ее продуктов и услуг. Помимо этого, законопроект требует от иностранных компаний хранить данные китайских пользователей на территории страны.

Интересные посты русскоязычных блогов по ИБ

• Алексей Комаров актуализировал подборку блогов и площадок по информационной безопасности. Так же опубликовал ТОП-10 самых читаемых личных блогов по информационной безопасности на сегодняшний день по версии Feedly.

• Впечатлениями от прошедшего VII Магнитогорского форума ИБ банков поделились ведущие эксперты и блоггеры в области ИБ. Михаил Емельянников рассказал как прошли круглые столы, в которых он принимал участие. Андрей Прозоров выложил серию постов с основными тезисами регуляторов и опубликовал ссылку для скачивания презентаций. Новостями от Банка России поделился Алексей Лукацкий.

• Компании ICL Services в своём боге на Хабрахабр опубликовала статью о процессе управления обновлениями программного обеспечения (Patch Management), в том числе и об основных методах и подходах к их тестированию.

• Алексей Лукацкий выложил презентации с семинара RISC по антикризисной стратегии информационной безопасности, посвященных процессу моделирования оценки возможных стратегий и связанных рисков, а также по управлению ИБ в условиях текущей неопределенности в отрасли, в компании и т.д.

• Игорь Агурьянов размышляет об актуальности и недостатках DLP-систем, и делится собственным опытом использования систем в блоге «Архивы безопасности».

Интересные посты англоязычных блогов по ИБ

• В блоге Phoenix TS опубликована заметка об основных преимуществах наличия у экспертов международных сертификатов в области информационной безопасности, в частности Security+, CISSP, CASP, CEH и CISM.

• На сайте nakedsecurity выложена статья об основных рисках использования мобильных устройств для доступа к корпоративным ресурсам.

• Adam Fisher рассказывает о том, как со временем в организациях изменился подход к управлению доступом, как на смену дискреционной и мандатной модели контроля доступа пришли RBAC (Role-based access contro) и ABAC (Attribute-based access control).

Исследования и аналитика

• Компания InfoWatch опубликовала отчет, согласно которому количество утечек конфиденциальной информации в России в 2014 году выросло на 73% по сравнению с предыдущим годом. Из них примерно 25% утечек произошло из-за активности киберпреступников (в том числе взломов web-сайтов, таргетированных атак, фишинга и т.д). А во всех остальных случаях конфиденциальная информация оказывалась в публичном доступе из-за человеческого фактора.

• Эксперты “Лаборатории Касперского” провели исследование угроз, с которыми пользователи продуктов компании, оснащенных модулем “Родительский контроль”, сталкивались в течение 2014 года. С результатами исследования можно ознакомиться, перейдя по ссылке.

• На Securelist опубликован аналитический обзор вредоносных программ для мобильных платформ, содержащий статистические данные по обнаружению мобильных троянцев и распределению программ по типам (показ рекламы, отправка SMS, удаленное управление и т.д.).

• Международная антивирусная компания ESET в начале года провела опрос мобильных пользователей. По результатам компания сообщает, что 30% мобильных пользователей никогда не блокируют смартфоны, а около 20% – не выполняют резервное копирование.

Громкие инциденты ИБ

• Хакеры из Lizard Squad атакавали сайт компании Lenovo в отместку за шпионское ПО Supefish, которое прослушивает трафик, в том числе HTTPS, подделывает SSL-сертификаты сторонних сайтов, анализирует поисковые запросы пользователя и вставляет рекламу на страницы сторонних ресурсов. Помимо этого DDOS-атаке подвергся сайт Komodia.com. Атака возможно также являться результатом признания компании Lenovo проблемы Superfish.

• Компания Anthem, специализирующаяся на медицинском страховании, стала жертвой хакерской атаки. В результате инцидента злоумышленники скомпрометировали личные данные 70 миллионов американцев, в том числе и тех, кто никогда не имел общих дел с организацией.

• Сеть гостиниц Mandarin Oriental стала жертвой мошенников, которые атаковали систему обслуживания кредитных карт. Представители организации утверждают, что в настоящий момент используемое вредоносное ПО уже было удалено из компьютерных сетей, а к расследованию подключились компании, обслуживающие платежные карты и правоохранительные органы.

• По сообщениям ИТАР ТАСС новая православная база данных и поисковая система Rublev.com была атакована хакерами буквально через 5 часов работы. Как уточнили в Синодальном отделе РПЦ, новый сайт Rublev.com – это частный проект, не связанный с официальными церковными структурами.

• Хакеры, которые представились сторонниками «Исламского государства» (ИГ), взломали сайт министерства обороны Чили 23 февраля. Об этом сообщается на сайте Lenta.ru.

Обзор событий предстоящих недель

Посетить:

• 17-20 марта, Московская область, Солнечногорский район – Конференция «РусКрипто».

• 18 марта, Москва – Конференция «IDC IT Security Roadshow 2015».

• 18 марта, Алматы – Конференция «IDC Enterprise Mobility Roadshow 2015».

• 19 марта, Москва – Тест-драйв решения по контролю «утечек» продукции производственного предприятия от группы компаний NGS Distribution.

• 9 апреля, Москва – Конференция «Информационная безопасность в финансовом секторе: угрозы и противодействие» от CNews.

Послушать:

• 12 марта 10:00  – Вебинар «Инвентаризация и управление информационными активами» от компании R-Vision.

• 12 марта, 11:00 – Вебинар «Система централизованного управления ключевыми носителями – JaCarta Management System (JMS)» от «Аладдин Р.Д.».

• 17 марта, 11:00 – Вебинар «О новой версии стандарта Банка России СТО БР ИББС-1.0-2014 и других документах комплекса БР ИББС» от ЗАО «ДиалогНаука».

• 19 марта, 14:00 – Вебинар «Взлом ATM: теперь малиновый» от компании Positive Technologies.

• 24 марта, 11:00 – Вебинар «RedSeal – система визуализации и анализа рисков сетевой безопасности» от ЗАО «ДиалогНаука».