Дайджест информационной безопасности №163 за период с 3 по 14 июня 2019 года

Новости законодательства

• ЦБ запустил пилотный проект, призванный выработать алгоритм верификации электронной почты граждан при их взаимодействии с банками. Первые итоги будут подведены уже на этой неделе, а после обсуждения с рынком должны стать основой для нового нормативного акта.
• В ближайшее время в Думу должен быть внесен Законопроект, вводящий прогрессивные штрафы для компаний, не соблюдающих законодательство, в том числе по локализации РФ баз данных российских пользователей. Это коснется и закона по локализации баз данных российских пользователей в РФ, исполнения которого регулятор уже несколько лет добивается от Facebook и Twitter.
• Опубликовано Постановление Правительства Российской Федерации от 08.06.2019 № 743 “Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры”.
• Опубликован Приказ Федеральной службы безопасности Российской Федерации от 06.05.2019 № 196 “Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты”.

Новости ИБ

• В России вышел первый альманах по развитию искусственного интеллекта. Он был выпущен Центром Национальной технологической инициативы (НТИ) на базе Московского физико-технического института (МФТИ) при поддержке Сбербанка России и аналитического центра при правительстве России. Альманах будет выходить один раз в два месяца, и содержать информацию по всей отрасли ИИ в России.
• ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram.
• Создатели шифровальщика GandCrab объявили о прекращении своей деятельности и дали жертвам месяц на уплату выкупа. После этого все ключи, по их словам, будут удалены, и восстановить данные станет невозможно.
• Девять VPN-сервисов, не выполнившие требование Роскомнадзора о подключении к государственной информационной системе для ограничения доступа к запрещенным сайтам, могут быть заблокированы «в течение месяца». Об этом заявил глава Роскомнадзора Александр Жаров.
• Производителям устройств с поддержкой виртуальных сим-карт eSIM, среди которых Apple и Google, придется размещать на территории России серверы для загрузки абонентских профилей и хранить здесь криптографические ключи.  Рабочая группа с участием Минкомсвязи, ФСБ и операторов пришла к выводу, что иначе гарантировать сохранность тайны связи для российских абонентов невозможно.
• В России прошла масштабная проверка цифровой грамотности Digital Диктант, организованная РОЦИТ, РАЭК и Microsoft. Проверка показала, что среднее значение уровня цифровой грамотности всех участников составило 7,15 из 10 баллов. Наибольшие сложности вызвали вопросы, касающиеся кибербезопасности (средний балл — 6,7).
• Исследователи из Cisco Talos обнаружили вредоносную кампанию Frankenstein, которая собирает воедино не связанные между собой компоненты и использует четыре разных техники. Эта группировка стоит за серией таргетированных атак в январе-апреле 2019 года и использует для похищения учетных данных вредоносные инструменты, собранные из доступных, бесплатных компонентов.
• Новый ботнет GoldBrute атакует Windows-машины с включенным Remote Desktop Protocol (RDP). По данным исследователей, атакам подверглось уже более 1,5 млн уникальных систем. GoldBrute действует просто: применяет обычный брутфорс и credential stuffing.
• Исследователи компании Qualys обнаружили критическую уязвимость в агенте пересылки почты Exim. Уязвимость затрагивает более половины почтовых серверов и позволяет удаленному/локальному злоумышленнику запускать на почтовом сервере команды с привилегиями суперпользователя.

Интересные посты русскоязычных блогов по ИБ

• Компьютерная экспертиза исследует большое количество разнообразных цифровых устройств и источников данных. В ходе исследований могут использоваться как программные, так и аппаратные средства. В блоге Group-IB на Хабре рассказ о лучших программных и аппаратных средствах для компьютерной криминалистики.
• Как проверить эффективность Security Operations Center (SOC), построенного для вашей компании самостоятельно или кем-то со стороны, рассказывает Digital Security в своем блоге на Хабре. Проверка даст ответ на вопрос “Выполняет ли SOC поставленные перед ним задачи или нет, и насколько он эффективен?”. Ведь наличие SOC не говорит о том, что он работает как надо и вы в курсе любых возможных инцидентов и других проблем безопасности.
• Алексей Лукацкий опубликовал презентацию с обзором методов, которые позволяют проникнуть в корпоративную сеть, минуя межсетевой экран (и даже NGFW), стоящий на периметре организации.
• Европейские требования “Privacy in Working Life” (право сотрудников на конфиденциальность на рабочем месте) могут стать серьезным барьером для внедрения отдельных средств защиты информации или мониторинга. Андрей Прозоров рекомендует ориентироваться на документированное мнение Article 29 Data Protection Working Party и приводит в своем блоге основные положения этого документа.

Интересные посты англоязычных блогов по ИБ

• Контейнеризация дает преимущества с точки зрения безопасности, снижения расходов на инфраструктуру и гибкости, позволяя «упаковать, доставить и запустить приложение в любом публичном или частном облаке». В блоге IBM рассмотрены 8 лучших практик в области безопасности контейнеров приложений.
• Кибератаки последних лет стали очень разрушительными, способными буквально полностью уничтожить организацию. Каким образом можно использовать технологии машинного обучения для раннего обнаружения угроз и какие моменты нужно учесть при их внедрении – об этом в статье Security Boulevard.
• Прошел год с момента вступления в силу GDPR. По данным IAPP, 500 тыс. компаний ввели должность Data Protection Officer. В инфографике от IAPP собрана статистика по жалобам, уведомлениям и штрафам по GDPR за прошедший период.
• Взаимодействие CIO и CISO подчинено организационной структуре. Она может либо обострить борьбу между двумя руководителями, либо обеспечить их эффективное взаимодействие. Leo Taddeo рассмотрел три типичные организационные структуры и выделил ключевые правила, которые позволят CIO и CISOs сотрудничать для достижения общих целей.

Исследования и аналитика

• «Доктор Веб» представил обзор вирусной активности для мобильных устройств в мае 2019 года. Среди обнаруженных в мае вредоносных программ были троянцы-шпионы семейства Android.SmsSpy — Android.SmsSpy.10206 и Android.SmsSpy.10263. Они распространялись через Google Play под видом банковского ПО.
• Еще одно исследование от «Доктор Веб» по вирусной активности в мае 2019 года. В мае зарегистрировано повышение числа уникальных угроз на 1.49% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз повысилось на 14.51%. Статистика по вредоносному и нежелательному ПО показывает преобладание рекламных программ и установщиков.
• Компания Ростелеком-Solar ко Дню защиты детей провела исследование уязвимостей популярных мобильных игровых приложений для детей. Анализ 14-ти игровых приложений показал, что обнаруженные в приложениях уязвимости могут привести к полной утрате конфиденциальности пользовательских данных, включая платежные данные.
• Чтобы помочь ребенку избежать неприятностей в цифровом мире, родитель должен понимать, чем увлекается ребенок, знать об актуальных трендах сети и иметь представление о том, какие опасности могут подстерегать ребенка. Лаборатория Касперского опубликовала отчет о том, чем интересуются дети в сети.
• В своем отчете «US Consumer Data Breach Report» компания ForgeRock проанализировала утечки пользовательских данных в период с 1 января 2018 года по 31 марта 2019 года. Из 2,8 млрд записей персональная информация (PII) составила 97%. Эти скомпрометированные записи привели к потерям на общую сумму более $ 654 млрд для американских предприятий. Здравоохранения, безусловно, наиболее подвержена нарушениям; она отвечает почти за половину (48%) от общего числа.
• По результатам исследования Аналитического центра компании InfoWatch, в России в 2018 году зарегистрировано 270 случаев утечки конфиденциальной информации из коммерческих и некоммерческих компаний, а также государственных организаций. Это на 6% больше, чем в 2017г. Доля утечек в результате действий внешних злоумышленников сократилась более чем в два раза — до 9,5%. Примерно 39% инцидентов пришлись на государственные и муниципальные организации.
• Сводная группа исследователей из Cyentia, RAND Corporation и Virginia Tech подсчитала, что практическое применение в руках преступников находит малое количество уязвимостей, зато большинство из них оцениваются в 9-10 баллов по десятибалльной шкале CVSS.
• Согласно результатам исследования от Veeam Software 2019 Veeam Cloud Data Management Report, 73% компаний признают, что не могут обеспечить своим клиентам бесперебойный доступ к данным и услугам, что обходится компаниям в $20 млн ежегодно (в среднем). Опросы IT-руководителей показали, что компании в России всё чаще делают ставку на облачные технологии и гибридные облака. Так, более половины — 56 % — российских организаций применяют в своей корпоративной IT-среде SaaS-платформы, 41 % используют облачные окружения для резервного копирования и 29 % — послеаварийное восстановление как услугу.

Громкие инциденты ИБ

• Данные клиентов Альфа-банка, ОТП Банка и ХКФ Банка оказались в открытом доступе, утечка затронула интересы около 900 тыс. россиян. В базе данных, в частности, содержалась информация об около 500 сотрудников МВД и 40 из ФСБ.
• Хакеры взломали англоязычный Twitter Дмитрия Медведева 12 июня и повесили бессмысленный набор букв и слов в ответ на сообщение иракского посла в Москве. В настоящее время контроль над аккаунтом премьер-министра восстановлен.
• Служба таможенного и пограничного контроля США (Customs and Border Protection, CBP) сообщила о взломе своего субподрядчика и утечке снимков автомобильных номерных знаков, а также фотографий с пограничного контроля. Взломщик опубликовал в даркнете сотни гигабайт данных, 65000 файлов и директорий, среди которых: базы данных Microsoft Exchange, Access и ERP, базы HR-департамента, информация с Microsoft SQL Server и так далее.
• Американское издание BuzzFeed опубликовало в материал, в котором говорится, что хакеры из России взломали компьютерную сеть представительства Евросоюза в Москве. В распоряжении журналистов оказался документ, в котором проводится анализ взлома.
• Хакеры взломали сервис GateHub и вывели с него до 23 млн XRP на сумму свыше $9,3 млн. По словам директор компании 2K/DENKMARK, атака началась 1 июня, в общей сложности преступники использовали 12 адресов и взломали 80-90 кошельков пользователей.
• Фишинговый сайт, стилизованный под сервис Cryptohopper, обнаружил пользователь Twitter. По его словам, при посещении клона платформы на устройство автоматически загружается установщик, который содержит вирусы, приводящие к краже криптовалюты пользователей.

Обзор событий предстоящих недель 17.06 – 28.06

Посетить

• 18-19 июня, Москва – Конференция по практической безопасности Offzone.
• 20 июня, Москва – Форум EastNets «Новые вызовы и тренды в платежах и противодействии финансовым преступлениям – Время действовать!».
• 20-21 июня, Москва – II Практическая конференция «Безопасность персональных данных в компании».
• 20-21 июня – Международный конгресс по кибербезопасности.
• 28 июня – Деловой завтрак «IT-безопасность бизнеса».

Послушать

• 17 июня, 15:00 – Вебинар от Infosecurity и Softline: Компьютерная криминалистика в корпоративных расследованиях.
• 18 июня, 11:00 – Вебинар от «Код Безопасности»: Анализ требований Банка России по защите информации в кредитных организациях (положение 683-П).
• 18 июня, 15:00 – Вебинар от R-Vision: Новые возможности платформы R-Vision SGRC 4.1.
• 20 июня, 11:00 – Вебинар от «Код Безопасности»: Анализ требований Банка России к некредитным финансовым организациям (положение 684-П).