Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2361
Изменения в Гражданский кодекс РФ с 1 октября: цифровые права, смарт-контракты, заочное голосование и другие поправки http://www.garant.ru/news/1296552/
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-40): https://mailchi.mp/5c3dbefdd0d1/187-2019-468723 Из-за небольшой паузы в выходе Дайджеста КИИ накопилось большое число материалов, поэтому последующие несколько выпусков будут объёмней обычного.
Во Владивостоке вынесен приговор по уголовному делу в сфере безопасности КИИ: ч. 4 ст. 274.1 УК РФ (с использованием своего служебного положения) https://genproc.gov.ru/smi/news/regionalnews/news-1706688/
Подготовленная мной сводная Таблица с мерами из приказов ФСТЭК пользуется популярностью — даже уже не один раз успел получить от читателей благодарность за её публикацию. В связи с этим решил продолжить тему и пойти дальше.
В сегодняшнем посте - обзор вариантов реализации мер из раздела “I. Идентификация и аутентификация (ИАФ)” приказа ФСТЭК России №239. https://zlonov.ru/239-measures-01/
«Умная» техника бывает и весьма крупной: Беспилотный комбайн российской компании установил рекорд по уборке урожая https://iot.ru/transportnaya-telematika/bespilotnyy-kombayn-rossiyskoy-kompanii-ustanovil-rekord-po-uborke-urozhaya
Подготовлен Проект Постановления Правительства РФ О внесении изменений в Правила использования федеральной государственной информационной системы ЕСИА. https://vk.com/wall-88373861_824
Тема дронов «взлетела»: Сибинтек создает для Роснефти платформу управления сотнями дронов http://bit.ly/2mlu4uG
Суды: ПДн являются общедоступными, если они предоставлены владельцем и доступны неопр. кругу лиц. Из-за отсутствия согласия владельца ПДн на размещение сведений в соцсетях, их нельзя отнести к общедоступным источникам. http://www.garant.ru/news/1294310/
В калининградских умных холодильниках можно настроить громкий звук или яркий свет, которые будут включаться при попытке открыть дверцу после полуночи https://iot.ru/gorodskaya-sreda/kaliningradskiy-startap-nalazhivaet-vypusk-umnykh-kholodilnikov
Инструмент для экспорта всей своей информации из продуктов Google: «если вам нужна ее резервная копия или вы хотите использовать эти данные в стороннем сервисе». Можно настроить регулярный экспорт каждые 2 месяца в течение года https://takeout.google.com
Обновлённый по состоянию на август 2019 года список самых полезных ИБ-блогов по версии Яндекса https://zlonov.ru/top-security-blogs-by-yandex-2019/
Практическая проверка различных методов обмана технологии распознавания лиц https://habr.com/ru/company/pt/blog/464809/
Прекращено уголовное дело по ст.274.1 ч.2 УК РФ (неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ): лицо возместило ущерб или иным образом загладило причиненный преступлением вред (25.1 УПК РФ)
На Defcon представлен самосборный миникомпьютер, превращающий Tesla в настоящую шпионскую станцию: благодаря 360°-обзору система отслеживает, распознает и анализирует номерные знаки и лица. При выявлении повторений система выдаёт предупреждение. https://www.wired.com/story/tesla-surveillance-detection-scout/
Агентство по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency — CISA) выпустило рекомендации для организаций по защите от программ-вымогателей https://www.us-cert.gov/sites/default/files/2019-08/CISA_Insights-Ransomware_Outbreak_S508C.pdf
Решил написать краткий пост с перечнем сетевых площадок, на которых публикую(сь).
https://zlonov.ru/online-representation
Крайне наглядная иллюстрация того, как пользователи относятся к вопросу безопасности своих паролей: 40% не изменили пароль даже после предупреждения о том, что он скомпрометирован. https://www.securitylab.ru/news/500542.php
Трудно сказать, кто именно лоббирует #ЕБС, но даже сейчас, ещё до первого публичного взлома (/утечки/сбоя), клиенты скептически относятся к самой этой идее. https://www.forbes.ru/finansy-i-investicii/382081-nedeshevoe-udovolstvie-alfa-bank-pozhalovalsya-na-vpustuyu-potrachennye
Мысли и рекомендации по поводу того, насколько это безопасно — доверить все свои пароли менеджеру паролей, встроенному в браузер, или реализованному в виде отдельного приложения?
https://zlonov.ru/password-manager/
Если у вас однофакторная парольная аутентификация, то векторов атак, успешно приводящих к компрометации учётной записи, так много, что от всех вариантов не уберечься…
https://www.securitylab.ru/news/500500.php
Ноутбук — ахиллесова пята системы информационной безопасности.pdf
Десять лет статье, а читается, как вчера написанная =) https://zlonov.ru/wp-content/uploads/Ноутбук-—-ахиллесова-пята-системы-информационной-безопасности.pdf
Исследователи продемонстрировали атаку, которая позволила им обойти Apple FaceID и разблокировать чужой телефон, просто надев на лицо его владельцу пару модифицированных очков с аккуратно наклеенными на стёкла чёрными и белыми кусочками скотча. https://vk.com/zlonovru?w=wall-88373861_800
В отличие от пароля или токена свои биометрические данные так просто не поменять https://www.securitylab.ru/news/500471.php
«Отрасль в кризисе. CISO и команды безопасности чувствуют себя отстающими от киберпреступников, не успевают за темпами технологических изменений и перегружены всевозможными уведомлениями и предупреждениями средств защиты.»
https://zlonov.ru/cybersecurity-staff-burnout/
Зам. секретаря Совета безопасности РФ Олег Храмов: число опасных кибератак на критическую инфраструктуру страны выросло до 17 тысяч https://rg.ru/2019/08/14/chislo-opasnyh-kiberatak-na-obekty-v-rf-vyroslo-v-11-raz-za-tri-goda.html
Австралийский центр кибербезопасности выпустил рекомендации по противодействию атакам с «распылением паролей» (password spraying attacks). В качестве одного из самых эффективных способов противодействия указывается внедрение многофакторной аутентификации. https://vk.com/zlonovru?w=wall-88373861_794
Описание атаки больше напоминает сценарий киноленты, но ничего принципиально не реализуемого не предлагается: киберзлоумышленники могут проникнуть в любую домашнюю или корпоративную локальную сеть и выкрасть конфиденциальные данные http://safe.cnews.ru/news/top/2019-08-11_ibm_nauchilas_vzlamyvat_chuzhie_korporativnye
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-31): https://mailchi.mp/37854016d526/187-2019-31 — Свежий Дайджест этой недели уже в почтовых ящиках подписчиков. Присоединиться можно по ссылке: http://eepurl.com/gd08dn
Свёл в одну таблицу наборы мер из четырёх Приказов ФСТЭК: №17 (для ГИС), №21 (ПДн), №31 (АСУ ТП) и №239 (ЗО КИИ), сгруппировав их по соответствующим разделам https://zlonov.ru/measures-table/
Выложил ВКонтакте картинки циклов хайпа для технологий управления учётными данными и доступом от Гартнер за 2019, 2018 и 2017 года. Можно отследить динамику движения технологий по кривой цикла. https://vk.com/wall-88373861_791
В утверждённой Стратегии кибербезопасности Кыргызстана на 2019-23 гг присутствуют до боли знакомые обороты в определениях основных терминов https://www.tazabek.kg/news:1560230 #КИИ
Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) — это возможность использовать штатный VPN-клиент во многих современных операционных системах.
https://zlonov.ru/clientless-vpn/
Определены критерии отнесения устройств к техническим средствам, предназначенным для негласного получения информации https://zlonov.ru/федеральный-закон-308-фз-от-02-08-2019/
Опубликован федеральный закон, ограничивающий возможность госрегистрации отчуждения недвижимости граждан на основе заявлений, поданных в форме электронных документов https://zlonov.ru/федеральный-закон-286-фз-от-02-08-2019/
Протестующие в Гонконге используют лазеры, чтобы помешать работе камер, применяемых для распознавания лиц.
Рейтинг антивирусов от Роскачества. В топ-3 лучших для Windows вошли Bitdefender Internet Security, ESET Internet Security и Bitdefender Antivirus Free Edition https://rskrf.ru/ratings/tekhnologii/programmnoe-obespechenie/antivirusy/#rate
Национальным институтом стандартов и технологий (NIST) выпущено 248-страничное практическое руководство по кибербезопасности: Многофакторная аутентификация для электронной коммерции. Разместил его в сообществе ВКонтакте: https://vk.com/wall-88373861_776
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-30): https://mailchi.mp/0220f182796a/187-2019-30 — Свежий Дайджест этой недели уже в почтовых ящиках подписчиков. Присоединиться можно по ссылке: http://bit.ly/2T0Ledr
5 самых громких утечек данных в истории: YAHOO, FIRST AMERICAN FINANCIAL CORP, FACEBOOK, MARRIOTT INTERNATIONAL, FRIEND FINDER NETWORKS https://10guards.com/ru/articles/5-biggest-data-breaches/
Не стоит думать, что Категорирование объектов критической информационной инфраструктуры — это что-то сложное и дорогое. Вот, например, Фонд социального страхования Российской Федерации заключил контракт на эту работу всего за 1 рубль =)
Состав участников Telegram-чата КИИ 187-ФЗ. «Продавцов» лишь около трети и даже есть несколько регуляторов (вроде как) https://t.me/KII187FZ
Минкомсвязи предложило правила субсидирования проектов по защите КИИ. Приоритет будет отдаваться объектам, имеющим больший охват пользователей. https://www.comnews.ru/content/121097/2019-07-30/minkomsvyazi-predlozhilo-pravila-subsidirovaniya-proektov-po-zashchite-kii
В Telegram-чате https://t.me/PDn152FZ коллеги ведут прямую текстовую трансляцию с дня открытых дверей Роскомнадзора «О персональных данных».
Напомню (сообщу), что по тегу #ИБ_полезности выкладываю в сообществе ZLONOVru ВКонтакте шпаргалки, инфографику, подборки и другие полезные штуки: https://vk.com/feed?q=%23ИБ_полезности§ion=search