14 октября был опубликован проект постановления правительства РФ «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Проектом предлагается введение обязательства отраслевых ведомств осуществлять мониторинг актуальности и достоверности сведений о результатах категорирования объектов критической информационной инфраструктуры (КИИ), предоставляемых подведомственными субъектами КИИ.
Проект также предлагает внесение изменений в Перечень показателей критериев значимости объектов КИИ.
Предлагается внести изменения в следующие критерии:
1 Показатели социальной значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
2 Показатели экономической значимости. Снизился порог оценки ущерба бюджету РФ или субъекта РФ и ущерба от прекращения/нарушения банковских операций кредитными организациями.
3 Показатели экологической значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
Согласно пояснительной записке к проекту, уточнение критериев показателей социальной значимости позволит исключить из значимых объектов КИИ объекты, обеспечивающие функционирование мелких сельских поселений.
Предлагается добавить следующие показатели:
1 Показатель социальной значимости: время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.
2 Показатели экономической значимости:
• прекращение/нарушение проведения операций по исполнению обязательств центральным контрагентом;
• прекращение/нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;
• прекращение/нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;
• прекращение/нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;
• прекращение/нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Обзор изменений в законодательстве за октябрь 2022:
поручения о размещении согласий субъектов персональных данных на Госуслугах,
назначение оператора** единой биометрической системы** и законопроект о системе,
порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре,
изменения в правила категорирования объектов критической информационной инфраструктуры,
методические рекомендации об импортозамещении,
положение о платформе для создания государственных информационных систем,
дополнение к правилам допуска к государственной тайне,
публикация профессиональных стандартов специалистов в области ИБ и ИТ,
изменения в порядок сертификации средств защиты в системе ФСТЭК России,
Аутентификация по отпечатку пальца от «Аладдин Р.Д.» может быть интегрирован в комплекс обработки больших данных «Криптонита»
Специалисты компании «Криптонит» провели испытание совместимости поддерживающей биометрию смарт-карты JaCarta PKI/BIO компании «Аладдин Р.Д.» со своим аппаратно-программным комплексом обработки больших данных «Берилл». Эксперты компании изучили возможности смарт-карты в качестве дополнительного средства аутентификации удалённых пользователей. Результаты признали положительными, что в ближайшем будущем может стать основой для интеграции такой дополнительной защиты в комплекс «Берилл».
Лучший вариант при автоподборе паролей к RDP и SSH — password
Исследователи из Rapid7 проверили надежность админ-паролей, используемых для удаленного доступа к системам по RDP или SSH, и результаты оказались плачевными. Анализ собранных с ловушек данных о брутфорс-атаках показал, что в 99,997% случаев такой ключ можно получить перебором по словарю.
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
«Почта» защищает аккаунты от неправомерного доступа и взлома: пароли и их связки с логинами автоматически проверяются на надежность. Специальный алгоритм анализирует сложность пароля и проверяет на совпадение с информацией из утечек сторонних сервисов. Например, если логин и пароль от «Почты» использовались для входа в магазин или сервис, система безопасности которого была скомпрометирована, то пользователь получит уведомление о необходимости сменить пароль. Это снижает вероятность неправомерного или случайного доступа к аккаунту.
**Google выкатывает поддержку беспарольных Passkey для Android и Chrome
**
__Google объявила о введении поддержки Passkeys, стандарта аутентификации нового поколения, для Android и Chrome. Впервые функцию представили в мае 2022 года и подали её под соусом движения в сторону беспарольной аутентификации.
Старт технологии Passkeys дал альянс FIDO, после чего её поддержали Apple и Microsoft. Задача Passkeys в сухом остатке — заменить пароли специальными цифровыми ключами, которые будут храниться на устройстве.__
ThermoSecure: ваши пароли узнают по тепловым следам ваших пальцев
Исследователи заявили, что им удалось разработать основанную на ИИ систему, которая может угадывать пароли от компьютеров и смартфонов за считаные секунды. Принцип ее работы строится на анализе тепловых следов, которые оставляют пальцы пользователя на клавиатуре или дисплее.
Биометрия по закону: что нового и есть ли перспективы
С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии.
**Знакомимся с не-X.509 сертификатами для документов нового поколения
**
Статья о сертификатах не-X.509 формата, которые называются card verifiable self-descriptive certificate (CV).
Что может сделать злоумышленник зная пароль от Госуслуг
В настоящий момент полностью верифицированная учётка на Госуслугах - это ключ, который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля,__ весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе.__
**Около 150 тыс. россиян столкнулись с ворующими пароли троянами в 2022 году
**
__Такую статистику за январь — сентябрь представили решения «Лаборатории Касперского», детектировавшие троянов на устройствах пользователей. __
__Трояны-стилеры вытаскивают учётные данные от аккаунтов в мессенджерах, социальных сетях, а также сохранённые в браузерах и программах пароли. __
__Кроме того, вредоносы не брезгуют заглядывать в реестр и системные файлы в поисках конфиденциальной информации. Собрав все необходимые сведения, зловреды отсылают их своим операторам. __
По данным Kaspersky, с этими троянами сталкиваются, помимо прочих, блогеры и администраторы Telegram-каналов.
Режим приложений в Chrome позволяет создавать формы для кражи паролей
Новый фишинговый вектор позволяет злоумышленникам использовать режим приложений в браузере Chrome (Application Mode) для отображения форм, в которые нужно вводить учетные данные. Этот метод облегчает кражу логинов и паролей.
Режим приложений доступен в каждом браузере, основанном на Chromium, включая Microsoft Edge, Brave и, конечно же, сам Chrome. Функция позволяет создавать вполне убедительные формы для ввода данных, которые достаточно сложно отличить от настоящих.
⚡️ Максут Шадаев: «Мы начали работу по импортозамещению в госорганах заблаговременно, они сделали значимый прорыв, перешли на наши системы, софт и тд. Если отраслевой регулятор уже завершает переход на российское ПО, то ему и отрасль убедить проще. Главный риск для нас, что многие компании, вложив деньги в зарубежные продукты, останутся на них. Иногда сами компании не относят системы первостепенной значимости к критической информационной инфраструктуре, но теперь правительство сможет определять, какие решения будут относиться к КИИ. Кабмин сможет устанавливать срок перехода на наши решения. Сроки будут ставиться исходя из готовности решений. Государство готово софинансировать до 80%».
Банки для защиты клиентов от мошенников обязали идентифицировать телефон и электронную почту
С 1 октября нынешнего года банки для защиты клиентов от кибермошенников обязаны идентифицировать устройства, с которых проводятся онлайн-операции, а также подтверждать телефонные номера и адреса электронной почты клиентов. Соответствующие требования описаны в указании ЦБ РФ.
Создан «убийца» ненавистной CAPTCHA. В нем не нужно вводить символы и искать картинки
Cloudflare создала сервис Turnstile на замену CAPTCHA. Он работает в полностью автоматическом режиме – не нужно вводить текст и искать изображения. Продвигая Turnstile, Cloudflare не скрывает свою нелюбовь к CAPTCHA и уверяет, что этот сервис раздражает всех пользователей без исключения.
Windows 11 теперь предупреждает о вводе пароля в небезопасных приложениях
Microsoft недавно выпустила версию Windows 11 22H2, добавив в ОС очень интересную защитную функцию, направленную на сохранность учётных данных. Нововведение под названием Enhanced Phishing Protection предупреждает пользователей, когда те вводят пароль от Windows в небезопасных приложениях или на непроверенных веб-сайтах.
Вредоносные OAuth-приложения используются для взлома серверов Exchange
Как отметила команда Microsoft 365 Defender Research, киберпреступники применили технику credential stuffing (автоматизированная подстановка скомпрометированных учётных данных). Причём атакуются исключительно те аккаунты, которые не активировали многофакторную аутентификацию (MFA). С помощью аккаунтов с правами администратора злоумышленники получают первоначальный доступ к серверам, а затем регистрируют вредоносное OAuth-приложение и используют его права для модификации настроек Exchange-сервера. Так им удаётся разрешить передачу электронных писем с определённых IP-адресов через скомпрометированный сервер.
Атакующие полюбили MFA Fatigue для обхода MFA в корпоративных сетях
Киберпреступники часто прибегают к методам социальной инженерии для получения доступа к учётным записям и крупным корпоративным сетям. Один из элементов таких атак становится всё более популярным у злоумышленников — техника под названием «MFA-усталость» (MFA Fatigue).
Ученые предложили выявлять голосовые дипфейки с помощью флюидодинамики
В университете Флориды изучили достижения артикуляционной фонетики и разработали новую технику распознавания дипфейк-аудио — по отсутствию ограничений, влияющих на работу голосового аппарата человека. Созданный в ходе исследования детектор способен по одной фразе определить подмену с точностью 92,4%.
Минцифры обнародовало перечень из 195 специальностей в сферах IT и связи, по которым рекомендована отсрочка от мобилизации (.pdf). С 27 сентября на госуслугах будет запущен сервис для сбора данных о сотрудниках аккредитованных IT-компаний и операторов связи, «которые не должны привлекаться на военную службу в рамках частичной мобилизации».
Минцифры направило во все военкоматы телеграммы, в которых разъяснило положение об отсрочке для определенных категорий IT-специалистов, которые сейчас получают повестки.
Со ссылкой на позицию Генштаба от 22 сентября в телеграмме указывается перечень документов, которые должен иметь айтишник при посещении военкомата:
Оригинал или заверенная копия действующего** договора между сотрудником и организацией**;
Оригинал или заверенная копия диплома о получении высшего образования, необходимого для участия в деятельности организации;
Заверенная копия выписки из реестра аккредитованных организаций, осуществляющих деятельность в области IT, или заверенная копия выданной организации лицензии об осуществлении деятельности в области указания услуг связи;
Справка с места работы, подписанная руководителем или уполномоченным им лицом, подтверждающая, что сотрудник задействован в разработке, развитии, внедрении, сопровождении и эксплуатации решений в сфере IT или в обеспечении информационной инфраструктуры, или подтверждающая, что сотрудник задействован в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а также центров обработки данных (в отношении операторов связи).
Браузерные менеджеры паролей — изначально ошибочная защита
Стандартные функции управления паролями браузеров Chrome, Firefox и Edge обеспечивают лишь видимость защищённого хранения паролей. На самом деле, они не дают абсолютно никакой защиты сохраняемых пользовательских паролей.
Как из скриптов и палок собрать на коленке offline root CA с хранением закрытых ключей на YubiHSM. YubiHSM - это недорогой, стоимостью всего несколько сотен долларов, HSM, выполненный в виде USB модуля.
__Минцифры поддерживает решение Минобороны о предоставлении права на отсрочку от мобилизации для сотрудников приоритетных высокотехнологичных отраслей экономики.
Право на отсрочку могут получить имеющие соответствующеевысшееобразование и работающие полныйрабочийдень сотрудники:__
__
• аккредитованныхИТ-компаний, задействованные в разработке, развитии, внедрении, сопровождении и эксплуатации ИТ-решений (программного обеспечения, программно-аппаратных комплексов) или задействованные вобеспечениифункционированияинформационнойинфраструктуры;__
__
• операторовсвязи, задействованные в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а такжецентровобработкиданных;__
__
• зарегистрированныхСМИ, радиовещателей, телевещателей, включенных в переченьсистемообразующих, задействованные в производстве и распространении информационной продукции.__
Microsoft Teams хранит токены аутентификации в виде простого текста
Специалисты по кибербезопасности выявили серьёзную уязвимость в десктопной версии приложения Microsoft Teams. Проблема кроется в принципе хранения токенов аутентификации, позволяющем злоумышленникам получить к ним доступ.
На Госуслугах стала доступна отправка заявлений в Росреестр на исправление технической ошибки в данных ЕГРН полностью онлайн. Подписать заявление на услугу теперь можно в мобильном приложении «Госключ», не прибегая к бумажным заявлениям или платным электронным подписям.
Microsoft и Google годами крадут пароли и персональные данные малограмотных пользователей. Как защититься
Существует единственный гарантированно действенный способ не дать ни Google, ни Microsoft складировать персональные данные пользователей в своих облаках. Для этого необходимо отключить всего одну функцию в Edge и Chrome. Она носит название «Расширенная проверка правописания». Если она активна, абсолютно весь текст, даже приватное сообщение в чате в любой социальной сети, будет направлено в облако.
TLS-сертификаты доступны для установки на смартфоны, компьютеры и планшеты
На Госуслугах опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем.
**Фишеры обходят 2FA Google и Microsoft с помощью нового прокси-сервиса
**
Эксперты Resecurity опубликовали результаты расследования фишинговых атак, проведенных с использованием спецсервиса EvilProxy. Новый пакет услуг позволяет не только массово распространять ссылки на поддельные страницы Google, Microsoft, «Яндекса», но также с успехом обходить многофакторную аутентификацию (MFA), призванную усилить защиту аккаунтов пользователей от взлома. Новый PhaaS-сервис (Phishing-as-a-Service, фишинг как услуга) позиционируется как имитатор фишинговых атак в организациях, но активно продвигается в даркнете. В некоторых источниках его называют также Moloch, что, по мнению исследователей, указывает на связь с уже известным фишинг-паком, специально созданным для атак на финансовые институты и сферу электронной коммерции.
В Москве проведут конкурс для выбора русского названия сервиса Face Pay
Власти Москвы намерены выбрать русское название для сервиса оплаты проезда в транспорте при помощи системы распознавания лиц Face Pay, сообщил заммэра столицы Максим Ликсутов.
Система оплаты проезда Face Pay заработала сегодня на всех станциях Московского центрального кольца (МЦК), сообщили в департаменте транспорта и развития дорожно-транспортной инфраструктуры столицы.
Сервис оплаты проезда по распознаванию лица в тестовом режиме начал функционировать в Москве с 3 сентября. Подключиться к Face Pay можно в приложении «Метро Москвы», отметили в департаменте.
