Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2381
2019 ноябрь
Судебная практика использования ключа ЭП в различных ситуациях http://nalogkodeks.ru/sudebnaya-praktika-ispolzovaniya-klyucha-ehp-v-razlichnykh-situaciyakh/
Что будет проверять ФСТЭК? «Перечень НПА или их отдельных частей, оценка соблюдения которых является предметом госконтроля (надзора) в области обеспечения безопасности ЗО КИИ РФ» https://fstec.ru/normotvorcheskaya/perechen-obyazatelnykh-trebovanij/1957-perechen-aktov-utverzhden-prikazom-fstek-rossii-ot-16-iyulya-2019-g-n-135
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-44): https://mailchi.mp/607ac457c18d/187-2019-3937391
Книга про протокол аутентификации OpenID Connect. Версии в PDF и ePub. https://vk.com/wall-88373861_893
Proofpoint собирается купить ObserveIT (разработчик решения для мониторинга пользователей) за 225 миллионов долларов США https://cursorinfo.co.il/all-news/amerikanskaya-kompaniya-pokupaet-osnovannuyu-v-izraile-it-kompaniyu-za-225-millionov-dollarov-ssha/
Коллекция различных ресурсов и методологий для измерения эффективности ИБ https://www.rstreet.org/wp-content/uploads/2019/10/Final-Cyberbibliography-2019.pdf
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-43): https://mailchi.mp/857d1e2fb43b/187-2019-43 — Свежий Дайджест этой недели уже в почтовых ящиках подписчиков. Присоединиться можно по ссылке: http://eepurl.com/gd08dn
Сколько лет на переход отведут, интересно? «Минэкономразвития предложило запретить использовать зарубежное оборудование и софт на системах критической инфраструктуры». https://www.rbc.ru/technology_and_media/01/11/2019/5dbae69f9a79475dc8369235
2019 октябрь
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-42): https://mailchi.mp/13f34d8c8649/187-2019-42 — Свежий Дайджест этой недели уже завтра в почтовых ящиках подписчиков. Присоединиться можно по ссылке: http://eepurl.com/gd08dn
По два года условно трём фигурантам: “неправомерный доступ к КИИ РФ и получение имущественной выгоды от неправомерного доступа к охраняемой компьютерной информации, содержащейся в КИИ РФ” (УК ч.4 ст.274.1) https://t.co/pjkZuVSIIo
ФБР выпустило документ непубличного распространения (TLP:GREEN) с предупреждением о типах возможных атак на многофакторную аутентификацию. https://vk.com/wall-88373861_858
Gartner Magic Quadrants за первые три квартала 2019 года https://zlonov.ru/gartner-magic-quadrants-2019-q1-q3/
Не обратил внимание, что окончание срока действия техподдержки - 03/10/2020. Ещё год.
Забавно, конечно, что выход «масштабного» исследования про Russia’s APT Ecosystem от Check Point так удачно совпал с окончанием срока действия последнего (согласно реестра) сертификата на серию их решения во ФСТЭК России =)
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-41): https://mailchi.mp/3a56241635ee/187-2019-41
Проект Указа Президента о проведении с 1 марта 2020 года эксперимента, предусматривающего выпуск паспорта гражданина РФ в виде материального носителя с чипом и мобильного приложения
http://regulation.gov.ru/projects#npa=95915
Маска для блокировки со всех сторон возможности распознавания лица на основе технологий искусственного интеллекта. Автор Jip van Leeuwenstein
Горячий Q4 активно стартовал, так что пришла пора делать очередной обзор изменений в Госреестре сертифицированных средств защиты информации за три последних месяца. https://zlonov.ru/fstec-certs-2019-q3/
Было бы честно сначала всем потенциальным пользователям ЕБС показывать это видео, а потом спрашивать согласие «стать клиентом банков и получать услуги без посещения офисов и предъявления паспорта — с помощью биометрии (лица и голоса) через Интернет.» https://www.youtube.com/watch?v=5rPKeUXjEvE
Президент подписал Указ «О развитии искусственного интеллекта в Российской Федерации», утверждающий Национальную стратегию развития искусственного интеллекта на период до 2030 года. https://zlonov.ru/указ-президента-рф-490-от-10-10-2019/
Понравился комментарий в другом источнике: «Хотя конституционные права — самые защищаемые в стране права, они могут быть ограничены для соблюдения других конституционных прав» https://vk.com/wall-88373861_833
Изменения в Гражданский кодекс РФ с 1 октября: цифровые права, смарт-контракты, заочное голосование и другие поправки http://www.garant.ru/news/1296552/
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-40): https://mailchi.mp/5c3dbefdd0d1/187-2019-468723 Из-за небольшой паузы в выходе Дайджеста КИИ накопилось большое число материалов, поэтому последующие несколько выпусков будут объёмней обычного.
Во Владивостоке вынесен приговор по уголовному делу в сфере безопасности КИИ: ч. 4 ст. 274.1 УК РФ (с использованием своего служебного положения) https://genproc.gov.ru/smi/news/regionalnews/news-1706688/
Подготовленная мной сводная Таблица с мерами из приказов ФСТЭК пользуется популярностью — даже уже не один раз успел получить от читателей благодарность за её публикацию. В связи с этим решил продолжить тему и пойти дальше.
В сегодняшнем посте - обзор вариантов реализации мер из раздела “I. Идентификация и аутентификация (ИАФ)” приказа ФСТЭК России №239. https://zlonov.ru/239-measures-01/
«Умная» техника бывает и весьма крупной: Беспилотный комбайн российской компании установил рекорд по уборке урожая https://iot.ru/transportnaya-telematika/bespilotnyy-kombayn-rossiyskoy-kompanii-ustanovil-rekord-po-uborke-urozhaya
2019 сентябрь
Подготовлен Проект Постановления Правительства РФ О внесении изменений в Правила использования федеральной государственной информационной системы ЕСИА. https://vk.com/wall-88373861_824
Тема дронов «взлетела»: Сибинтек создает для Роснефти платформу управления сотнями дронов http://bit.ly/2mlu4uG
Суды: ПДн являются общедоступными, если они предоставлены владельцем и доступны неопр. кругу лиц. Из-за отсутствия согласия владельца ПДн на размещение сведений в соцсетях, их нельзя отнести к общедоступным источникам. http://www.garant.ru/news/1294310/
В калининградских умных холодильниках можно настроить громкий звук или яркий свет, которые будут включаться при попытке открыть дверцу после полуночи https://iot.ru/gorodskaya-sreda/kaliningradskiy-startap-nalazhivaet-vypusk-umnykh-kholodilnikov
Инструмент для экспорта всей своей информации из продуктов Google: «если вам нужна ее резервная копия или вы хотите использовать эти данные в стороннем сервисе». Можно настроить регулярный экспорт каждые 2 месяца в течение года https://takeout.google.com
2019 август
Обновлённый по состоянию на август 2019 года список самых полезных ИБ-блогов по версии Яндекса https://zlonov.ru/top-security-blogs-by-yandex-2019/
Практическая проверка различных методов обмана технологии распознавания лиц https://habr.com/ru/company/pt/blog/464809/
Прекращено уголовное дело по ст.274.1 ч.2 УК РФ (неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ): лицо возместило ущерб или иным образом загладило причиненный преступлением вред (25.1 УПК РФ)
На Defcon представлен самосборный миникомпьютер, превращающий Tesla в настоящую шпионскую станцию: благодаря 360°-обзору система отслеживает, распознает и анализирует номерные знаки и лица. При выявлении повторений система выдаёт предупреждение. https://www.wired.com/story/tesla-surveillance-detection-scout/
Агентство по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency — CISA) выпустило рекомендации для организаций по защите от программ-вымогателей https://www.us-cert.gov/sites/default/files/2019-08/CISA_Insights-Ransomware_Outbreak_S508C.pdf
Решил написать краткий пост с перечнем сетевых площадок, на которых публикую(сь).
https://zlonov.ru/online-representation
Крайне наглядная иллюстрация того, как пользователи относятся к вопросу безопасности своих паролей: 40% не изменили пароль даже после предупреждения о том, что он скомпрометирован. https://www.securitylab.ru/news/500542.php
Трудно сказать, кто именно лоббирует #ЕБС, но даже сейчас, ещё до первого публичного взлома (/утечки/сбоя), клиенты скептически относятся к самой этой идее. https://www.forbes.ru/finansy-i-investicii/382081-nedeshevoe-udovolstvie-alfa-bank-pozhalovalsya-na-vpustuyu-potrachennye
Мысли и рекомендации по поводу того, насколько это безопасно — доверить все свои пароли менеджеру паролей, встроенному в браузер, или реализованному в виде отдельного приложения?
https://zlonov.ru/password-manager/
Если у вас однофакторная парольная аутентификация, то векторов атак, успешно приводящих к компрометации учётной записи, так много, что от всех вариантов не уберечься…
https://www.securitylab.ru/news/500500.php
Ноутбук — ахиллесова пята системы информационной безопасности.pdf
Десять лет статье, а читается, как вчера написанная =) https://zlonov.ru/wp-content/uploads/Ноутбук-—-ахиллесова-пята-системы-информационной-безопасности.pdf
Исследователи продемонстрировали атаку, которая позволила им обойти Apple FaceID и разблокировать чужой телефон, просто надев на лицо его владельцу пару модифицированных очков с аккуратно наклеенными на стёкла чёрными и белыми кусочками скотча. https://vk.com/zlonovru?w=wall-88373861_800
В отличие от пароля или токена свои биометрические данные так просто не поменять https://www.securitylab.ru/news/500471.php
«Отрасль в кризисе. CISO и команды безопасности чувствуют себя отстающими от киберпреступников, не успевают за темпами технологических изменений и перегружены всевозможными уведомлениями и предупреждениями средств защиты.»
https://zlonov.ru/cybersecurity-staff-burnout/
Зам. секретаря Совета безопасности РФ Олег Храмов: число опасных кибератак на критическую инфраструктуру страны выросло до 17 тысяч https://rg.ru/2019/08/14/chislo-opasnyh-kiberatak-na-obekty-v-rf-vyroslo-v-11-raz-za-tri-goda.html