Официальный канал конференции #ИБАСУТПКВО2023: https://t.me/ibkvo В комментариях к постам можно задавать вопросы докладчикам. Ответы, правда, можно услышать только непосредственно в зале ;)
НКЦКИ (Акимов К.А.): Процедура аккредитации центров ГосСОПКА пока не определена, поэтому до декабря 2025 года действует переходный период: можно привлекать организации, у которых есть соглашение с НКЦКИ. #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): Планирование создания СБ ОКИИ на 2024-25 гг для ОКИИ, категорирование которых было выполнено в 2019-20 гг - это халатность! #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): При модернизации ЗО КИИ обязательна процедура повторных приёмочных испытаний. Непроведение её - административное нарушение. #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): С 01 января 2023 года все невстроенные средства защиты информации должны соответствовать требованиям доверия. Имеете право применять несертифицированные СрЗИ, но должны при приёмке провести соответствующие мероприятия. #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): __Перекатегорирование из-за изменения критериев в ПП127 нужно провести “в ближайшее время”. Перекатегорирование не требует значительных средств и сил. __ #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): Провели более 100 проверок субъектов КИИ в рамках госконтроля. Почти ни в одной организации действительные сведения об объектах КИИ не совпали с направленными нам субъектом. #ИБАСУТПКВО2023
Плюс ещё один подход в копилку к параллельному импорту и принудительному лицензированию: “АтомРеверс”.
….объединяет инженерные решения для воспроизведения и оптимизации оборудования и его компонентов. Продукт предназначен для широкого круга российскихпромышленных предприятий из различных отраслей, эксплуатирующих сложную импортнуютехнику и столкнувшихся с трудностями в ее обновлении, ремонте и обслуживании.
С современного спутника можно “увидеть” немало деталей, с метеозонда - ещё больше, а уж с крана - и подавно.
WSJ узнала, что США подозревают Китай в шпионаже через портовые краны: __…краны содержат сложные датчики, которые могут регистрировать и отслеживать происхождение и место назначения контейнеров, вывезенных или ввезенных в США.
__
https://www.rbc.ru/politics/06/03/2023/6404f5939a79471aa906afe4
При этом у Тинькофф пропало не только банковское приложение, но и другие. В том числе - Тинькофф Мобайл, функции которого по управлению сотовыми тарифами не продублированы в личном кабинете на сайте.
Сам банк предлагает действующим клиентам не удалять приложение, а новым обещает помощь со стороны своего представителя: https://www.tinkoff.ru/apps/
Видимо, придётся всё-таки им теперь спешно личный кабинет дорабатывать. Раньше ведь об “отказоустойчивости” этого сервиса подумать было нельзя.
Президент России Владимир Путин поддержал предложение главы Минцифры Максута Шадаева ввести в стране цифровое удостоверение личности на смартфоне вместо бумажного паспорта.
Подготовка к проведению тренировки по реагированиюна компьютерныеинциденты учрежденийздравоохранения
Программа вебинара:
__ - Формирование замысла тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
Оформление тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
**Подготовительные мероприятия **до начала тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
Практический опыт подготовки и проведения тренировки по реагированию на компьютерные инциденты на примере Московской больницы;
-** Кадровое обеспечение по ИБ для проведения тренировок** по реагированию на компьютерные инциденты;
Ответы на вопросы.__
Спикеры:
__ - Валерий Комаров (@blog_ruporsecurite), эксперт/преподаватель Академии Информационных Систем
Алексей Жуков, Начальник отдела научно-медицинских цифровых решений НИИ неотложной детской хирургии и травматологии ДЗМ (Москва)
Игорь Хайров, Заместитель директора Академии Информационных Систем__
Глядишь - экспертизы и станут менее спорными: законопроект о создании реестра верифицированных IT-экспертов для рассмотрения споров в судах может быть внесен в Госдуму в ближайшие месяцы.
Минцифры доработало правила допуска компаний к биометрии граждан
Минцифры ужесточит требования для получения аккредитации компаниями, которые планируют собирать и обрабатывать биометрические данные. Это следует из проекта постановления правительства, опубликованного на портале нормативно-правовых актов. В частности, требуемый для этого размер собственного капитала компании увеличился в 10 раз, с 50 млн до 500 млн руб., а величина финансового обеспечения убытков в случае неверной аутентификации выросла в 2 раза – с 50 млн до 100 млн руб. Требования распространяются и на частные, и на государственные компании, следует из документа.
14 октября был опубликован проект постановления правительства РФ «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Проектом предлагается введение обязательства отраслевых ведомств осуществлять мониторинг актуальности и достоверности сведений о результатах категорирования объектов критической информационной инфраструктуры (КИИ), предоставляемых подведомственными субъектами КИИ.
Проект также предлагает внесение изменений в Перечень показателей критериев значимости объектов КИИ.
Предлагается внести изменения в следующие критерии:
1 Показатели социальной значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
2 Показатели экономической значимости. Снизился порог оценки ущерба бюджету РФ или субъекта РФ и ущерба от прекращения/нарушения банковских операций кредитными организациями.
3 Показатели экологической значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
Согласно пояснительной записке к проекту, уточнение критериев показателей социальной значимости позволит исключить из значимых объектов КИИ объекты, обеспечивающие функционирование мелких сельских поселений.
Предлагается добавить следующие показатели:
1 Показатель социальной значимости: время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.
2 Показатели экономической значимости:
• прекращение/нарушение проведения операций по исполнению обязательств центральным контрагентом;
• прекращение/нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;
• прекращение/нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;
• прекращение/нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;
• прекращение/нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Обзор изменений в законодательстве за октябрь 2022:
поручения о размещении согласий субъектов персональных данных на Госуслугах,
назначение оператора** единой биометрической системы** и законопроект о системе,
порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре,
изменения в правила категорирования объектов критической информационной инфраструктуры,
методические рекомендации об импортозамещении,
положение о платформе для создания государственных информационных систем,
дополнение к правилам допуска к государственной тайне,
публикация профессиональных стандартов специалистов в области ИБ и ИТ,
изменения в порядок сертификации средств защиты в системе ФСТЭК России,
Аутентификация по отпечатку пальца от «Аладдин Р.Д.» может быть интегрирован в комплекс обработки больших данных «Криптонита»
Специалисты компании «Криптонит» провели испытание совместимости поддерживающей биометрию смарт-карты JaCarta PKI/BIO компании «Аладдин Р.Д.» со своим аппаратно-программным комплексом обработки больших данных «Берилл». Эксперты компании изучили возможности смарт-карты в качестве дополнительного средства аутентификации удалённых пользователей. Результаты признали положительными, что в ближайшем будущем может стать основой для интеграции такой дополнительной защиты в комплекс «Берилл».
Лучший вариант при автоподборе паролей к RDP и SSH — password
Исследователи из Rapid7 проверили надежность админ-паролей, используемых для удаленного доступа к системам по RDP или SSH, и результаты оказались плачевными. Анализ собранных с ловушек данных о брутфорс-атаках показал, что в 99,997% случаев такой ключ можно получить перебором по словарю.
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
«Почта» защищает аккаунты от неправомерного доступа и взлома: пароли и их связки с логинами автоматически проверяются на надежность. Специальный алгоритм анализирует сложность пароля и проверяет на совпадение с информацией из утечек сторонних сервисов. Например, если логин и пароль от «Почты» использовались для входа в магазин или сервис, система безопасности которого была скомпрометирована, то пользователь получит уведомление о необходимости сменить пароль. Это снижает вероятность неправомерного или случайного доступа к аккаунту.
**Google выкатывает поддержку беспарольных Passkey для Android и Chrome
**
__Google объявила о введении поддержки Passkeys, стандарта аутентификации нового поколения, для Android и Chrome. Впервые функцию представили в мае 2022 года и подали её под соусом движения в сторону беспарольной аутентификации.
Старт технологии Passkeys дал альянс FIDO, после чего её поддержали Apple и Microsoft. Задача Passkeys в сухом остатке — заменить пароли специальными цифровыми ключами, которые будут храниться на устройстве.__
ThermoSecure: ваши пароли узнают по тепловым следам ваших пальцев
Исследователи заявили, что им удалось разработать основанную на ИИ систему, которая может угадывать пароли от компьютеров и смартфонов за считаные секунды. Принцип ее работы строится на анализе тепловых следов, которые оставляют пальцы пользователя на клавиатуре или дисплее.
Биометрия по закону: что нового и есть ли перспективы
С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии.
**Знакомимся с не-X.509 сертификатами для документов нового поколения
**
Статья о сертификатах не-X.509 формата, которые называются card verifiable self-descriptive certificate (CV).
Что может сделать злоумышленник зная пароль от Госуслуг
В настоящий момент полностью верифицированная учётка на Госуслугах - это ключ, который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля,__ весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе.__
**Около 150 тыс. россиян столкнулись с ворующими пароли троянами в 2022 году
**
__Такую статистику за январь — сентябрь представили решения «Лаборатории Касперского», детектировавшие троянов на устройствах пользователей. __
__Трояны-стилеры вытаскивают учётные данные от аккаунтов в мессенджерах, социальных сетях, а также сохранённые в браузерах и программах пароли. __
__Кроме того, вредоносы не брезгуют заглядывать в реестр и системные файлы в поисках конфиденциальной информации. Собрав все необходимые сведения, зловреды отсылают их своим операторам. __
По данным Kaspersky, с этими троянами сталкиваются, помимо прочих, блогеры и администраторы Telegram-каналов.
Режим приложений в Chrome позволяет создавать формы для кражи паролей
Новый фишинговый вектор позволяет злоумышленникам использовать режим приложений в браузере Chrome (Application Mode) для отображения форм, в которые нужно вводить учетные данные. Этот метод облегчает кражу логинов и паролей.
Режим приложений доступен в каждом браузере, основанном на Chromium, включая Microsoft Edge, Brave и, конечно же, сам Chrome. Функция позволяет создавать вполне убедительные формы для ввода данных, которые достаточно сложно отличить от настоящих.
