При этом у Тинькофф пропало не только банковское приложение, но и другие. В том числе - Тинькофф Мобайл, функции которого по управлению сотовыми тарифами не продублированы в личном кабинете на сайте.
Сам банк предлагает действующим клиентам не удалять приложение, а новым обещает помощь со стороны своего представителя: https://www.tinkoff.ru/apps/
Видимо, придётся всё-таки им теперь спешно личный кабинет дорабатывать. Раньше ведь об “отказоустойчивости” этого сервиса подумать было нельзя.
Президент России Владимир Путин поддержал предложение главы Минцифры Максута Шадаева ввести в стране цифровое удостоверение личности на смартфоне вместо бумажного паспорта.
Подготовка к проведению тренировки по реагированиюна компьютерныеинциденты учрежденийздравоохранения
Программа вебинара:
__ - Формирование замысла тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
Оформление тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
**Подготовительные мероприятия **до начала тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
Практический опыт подготовки и проведения тренировки по реагированию на компьютерные инциденты на примере Московской больницы;
-** Кадровое обеспечение по ИБ для проведения тренировок** по реагированию на компьютерные инциденты;
Ответы на вопросы.__
Спикеры:
__ - Валерий Комаров (@blog_ruporsecurite), эксперт/преподаватель Академии Информационных Систем
Алексей Жуков, Начальник отдела научно-медицинских цифровых решений НИИ неотложной детской хирургии и травматологии ДЗМ (Москва)
Игорь Хайров, Заместитель директора Академии Информационных Систем__
Глядишь - экспертизы и станут менее спорными: законопроект о создании реестра верифицированных IT-экспертов для рассмотрения споров в судах может быть внесен в Госдуму в ближайшие месяцы.
Минцифры доработало правила допуска компаний к биометрии граждан
Минцифры ужесточит требования для получения аккредитации компаниями, которые планируют собирать и обрабатывать биометрические данные. Это следует из проекта постановления правительства, опубликованного на портале нормативно-правовых актов. В частности, требуемый для этого размер собственного капитала компании увеличился в 10 раз, с 50 млн до 500 млн руб., а величина финансового обеспечения убытков в случае неверной аутентификации выросла в 2 раза – с 50 млн до 100 млн руб. Требования распространяются и на частные, и на государственные компании, следует из документа.
14 октября был опубликован проект постановления правительства РФ «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Проектом предлагается введение обязательства отраслевых ведомств осуществлять мониторинг актуальности и достоверности сведений о результатах категорирования объектов критической информационной инфраструктуры (КИИ), предоставляемых подведомственными субъектами КИИ.
Проект также предлагает внесение изменений в Перечень показателей критериев значимости объектов КИИ.
Предлагается внести изменения в следующие критерии:
1 Показатели социальной значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
2 Показатели экономической значимости. Снизился порог оценки ущерба бюджету РФ или субъекта РФ и ущерба от прекращения/нарушения банковских операций кредитными организациями.
3 Показатели экологической значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
Согласно пояснительной записке к проекту, уточнение критериев показателей социальной значимости позволит исключить из значимых объектов КИИ объекты, обеспечивающие функционирование мелких сельских поселений.
Предлагается добавить следующие показатели:
1 Показатель социальной значимости: время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.
2 Показатели экономической значимости:
• прекращение/нарушение проведения операций по исполнению обязательств центральным контрагентом;
• прекращение/нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;
• прекращение/нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;
• прекращение/нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;
• прекращение/нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Обзор изменений в законодательстве за октябрь 2022:
поручения о размещении согласий субъектов персональных данных на Госуслугах,
назначение оператора** единой биометрической системы** и законопроект о системе,
порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре,
изменения в правила категорирования объектов критической информационной инфраструктуры,
методические рекомендации об импортозамещении,
положение о платформе для создания государственных информационных систем,
дополнение к правилам допуска к государственной тайне,
публикация профессиональных стандартов специалистов в области ИБ и ИТ,
изменения в порядок сертификации средств защиты в системе ФСТЭК России,
Аутентификация по отпечатку пальца от «Аладдин Р.Д.» может быть интегрирован в комплекс обработки больших данных «Криптонита»
Специалисты компании «Криптонит» провели испытание совместимости поддерживающей биометрию смарт-карты JaCarta PKI/BIO компании «Аладдин Р.Д.» со своим аппаратно-программным комплексом обработки больших данных «Берилл». Эксперты компании изучили возможности смарт-карты в качестве дополнительного средства аутентификации удалённых пользователей. Результаты признали положительными, что в ближайшем будущем может стать основой для интеграции такой дополнительной защиты в комплекс «Берилл».
Лучший вариант при автоподборе паролей к RDP и SSH — password
Исследователи из Rapid7 проверили надежность админ-паролей, используемых для удаленного доступа к системам по RDP или SSH, и результаты оказались плачевными. Анализ собранных с ловушек данных о брутфорс-атаках показал, что в 99,997% случаев такой ключ можно получить перебором по словарю.
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
«Почта» защищает аккаунты от неправомерного доступа и взлома: пароли и их связки с логинами автоматически проверяются на надежность. Специальный алгоритм анализирует сложность пароля и проверяет на совпадение с информацией из утечек сторонних сервисов. Например, если логин и пароль от «Почты» использовались для входа в магазин или сервис, система безопасности которого была скомпрометирована, то пользователь получит уведомление о необходимости сменить пароль. Это снижает вероятность неправомерного или случайного доступа к аккаунту.
**Google выкатывает поддержку беспарольных Passkey для Android и Chrome
**
__Google объявила о введении поддержки Passkeys, стандарта аутентификации нового поколения, для Android и Chrome. Впервые функцию представили в мае 2022 года и подали её под соусом движения в сторону беспарольной аутентификации.
Старт технологии Passkeys дал альянс FIDO, после чего её поддержали Apple и Microsoft. Задача Passkeys в сухом остатке — заменить пароли специальными цифровыми ключами, которые будут храниться на устройстве.__
ThermoSecure: ваши пароли узнают по тепловым следам ваших пальцев
Исследователи заявили, что им удалось разработать основанную на ИИ систему, которая может угадывать пароли от компьютеров и смартфонов за считаные секунды. Принцип ее работы строится на анализе тепловых следов, которые оставляют пальцы пользователя на клавиатуре или дисплее.
Биометрия по закону: что нового и есть ли перспективы
С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии.
**Знакомимся с не-X.509 сертификатами для документов нового поколения
**
Статья о сертификатах не-X.509 формата, которые называются card verifiable self-descriptive certificate (CV).
Что может сделать злоумышленник зная пароль от Госуслуг
В настоящий момент полностью верифицированная учётка на Госуслугах - это ключ, который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля,__ весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе.__
**Около 150 тыс. россиян столкнулись с ворующими пароли троянами в 2022 году
**
__Такую статистику за январь — сентябрь представили решения «Лаборатории Касперского», детектировавшие троянов на устройствах пользователей. __
__Трояны-стилеры вытаскивают учётные данные от аккаунтов в мессенджерах, социальных сетях, а также сохранённые в браузерах и программах пароли. __
__Кроме того, вредоносы не брезгуют заглядывать в реестр и системные файлы в поисках конфиденциальной информации. Собрав все необходимые сведения, зловреды отсылают их своим операторам. __
По данным Kaspersky, с этими троянами сталкиваются, помимо прочих, блогеры и администраторы Telegram-каналов.
Режим приложений в Chrome позволяет создавать формы для кражи паролей
Новый фишинговый вектор позволяет злоумышленникам использовать режим приложений в браузере Chrome (Application Mode) для отображения форм, в которые нужно вводить учетные данные. Этот метод облегчает кражу логинов и паролей.
Режим приложений доступен в каждом браузере, основанном на Chromium, включая Microsoft Edge, Brave и, конечно же, сам Chrome. Функция позволяет создавать вполне убедительные формы для ввода данных, которые достаточно сложно отличить от настоящих.
⚡️ Максут Шадаев: «Мы начали работу по импортозамещению в госорганах заблаговременно, они сделали значимый прорыв, перешли на наши системы, софт и тд. Если отраслевой регулятор уже завершает переход на российское ПО, то ему и отрасль убедить проще. Главный риск для нас, что многие компании, вложив деньги в зарубежные продукты, останутся на них. Иногда сами компании не относят системы первостепенной значимости к критической информационной инфраструктуре, но теперь правительство сможет определять, какие решения будут относиться к КИИ. Кабмин сможет устанавливать срок перехода на наши решения. Сроки будут ставиться исходя из готовности решений. Государство готово софинансировать до 80%».
Банки для защиты клиентов от мошенников обязали идентифицировать телефон и электронную почту
С 1 октября нынешнего года банки для защиты клиентов от кибермошенников обязаны идентифицировать устройства, с которых проводятся онлайн-операции, а также подтверждать телефонные номера и адреса электронной почты клиентов. Соответствующие требования описаны в указании ЦБ РФ.
Создан «убийца» ненавистной CAPTCHA. В нем не нужно вводить символы и искать картинки
Cloudflare создала сервис Turnstile на замену CAPTCHA. Он работает в полностью автоматическом режиме – не нужно вводить текст и искать изображения. Продвигая Turnstile, Cloudflare не скрывает свою нелюбовь к CAPTCHA и уверяет, что этот сервис раздражает всех пользователей без исключения.
Windows 11 теперь предупреждает о вводе пароля в небезопасных приложениях
Microsoft недавно выпустила версию Windows 11 22H2, добавив в ОС очень интересную защитную функцию, направленную на сохранность учётных данных. Нововведение под названием Enhanced Phishing Protection предупреждает пользователей, когда те вводят пароль от Windows в небезопасных приложениях или на непроверенных веб-сайтах.
Вредоносные OAuth-приложения используются для взлома серверов Exchange
Как отметила команда Microsoft 365 Defender Research, киберпреступники применили технику credential stuffing (автоматизированная подстановка скомпрометированных учётных данных). Причём атакуются исключительно те аккаунты, которые не активировали многофакторную аутентификацию (MFA). С помощью аккаунтов с правами администратора злоумышленники получают первоначальный доступ к серверам, а затем регистрируют вредоносное OAuth-приложение и используют его права для модификации настроек Exchange-сервера. Так им удаётся разрешить передачу электронных писем с определённых IP-адресов через скомпрометированный сервер.
Атакующие полюбили MFA Fatigue для обхода MFA в корпоративных сетях
Киберпреступники часто прибегают к методам социальной инженерии для получения доступа к учётным записям и крупным корпоративным сетям. Один из элементов таких атак становится всё более популярным у злоумышленников — техника под названием «MFA-усталость» (MFA Fatigue).
Ученые предложили выявлять голосовые дипфейки с помощью флюидодинамики
В университете Флориды изучили достижения артикуляционной фонетики и разработали новую технику распознавания дипфейк-аудио — по отсутствию ограничений, влияющих на работу голосового аппарата человека. Созданный в ходе исследования детектор способен по одной фразе определить подмену с точностью 92,4%.
Минцифры обнародовало перечень из 195 специальностей в сферах IT и связи, по которым рекомендована отсрочка от мобилизации (.pdf). С 27 сентября на госуслугах будет запущен сервис для сбора данных о сотрудниках аккредитованных IT-компаний и операторов связи, «которые не должны привлекаться на военную службу в рамках частичной мобилизации».
Минцифры направило во все военкоматы телеграммы, в которых разъяснило положение об отсрочке для определенных категорий IT-специалистов, которые сейчас получают повестки.
Со ссылкой на позицию Генштаба от 22 сентября в телеграмме указывается перечень документов, которые должен иметь айтишник при посещении военкомата:
Оригинал или заверенная копия действующего** договора между сотрудником и организацией**;
Оригинал или заверенная копия диплома о получении высшего образования, необходимого для участия в деятельности организации;
Заверенная копия выписки из реестра аккредитованных организаций, осуществляющих деятельность в области IT, или заверенная копия выданной организации лицензии об осуществлении деятельности в области указания услуг связи;
Справка с места работы, подписанная руководителем или уполномоченным им лицом, подтверждающая, что сотрудник задействован в разработке, развитии, внедрении, сопровождении и эксплуатации решений в сфере IT или в обеспечении информационной инфраструктуры, или подтверждающая, что сотрудник задействован в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а также центров обработки данных (в отношении операторов связи).
Браузерные менеджеры паролей — изначально ошибочная защита
Стандартные функции управления паролями браузеров Chrome, Firefox и Edge обеспечивают лишь видимость защищённого хранения паролей. На самом деле, они не дают абсолютно никакой защиты сохраняемых пользовательских паролей.
Как из скриптов и палок собрать на коленке offline root CA с хранением закрытых ключей на YubiHSM. YubiHSM - это недорогой, стоимостью всего несколько сотен долларов, HSM, выполненный в виде USB модуля.
