Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2381
2019 апрель
Сайт, случайным образом выдающий фотореалистичные изображения людей, которые в реальности не существуют. https://thispersondoesnotexist.com Все лица созданы генеративно-состязательной сетью (один из алгоритмов машинного обучения без учителя). Можно использовать в научных целях - например, делать фейковые страницы в соцсетях =)
Простенькая игра «Защитите сервер»: https://vc.ru/special/server-defence
Не самый удачный выбор терминов (перевод?), так себе геймплей и весьма спорные пропорции стоимостей средств защиты.
Зато наглядно учит как минимум двум вещам:
- Не бывает 100% защиты, всегда что-то да пострадает.
- Нельзя продать одно средство защиты и купить другое, даже если это другое сейчас нужнее =)
В общем, минут 10 развлечься можно. Да, ещё выдают ссылку на скачивание книги (я бы сказал - рекламного буклета) «Как построить защищенные информационные системы». Вот прямая ссылка, чтобы не регистрироваться: https://selectel.ru/media/files/landings/information-security-in-the-cloud.pdf
Картинка-напоминание о том, что различные устройства “знают” о своём владельце (о вас).
Сайт МВД присылает немного непривычные кириллические коды для проверки валидности электронной почты. “Подтвердите, что адрес действителен и что вы владеете русской раскладкой” =)
Забота о безопасности как двигатель непрогресса: МТС, «Мегафон» и «Вымпелком» опасаются, что внедрение eSim приведет к ценовым войнам и обострению конкуренции. У ФСБ мотивация другая. https://www.bfm.ru/news/411403
Восхитительный вымогательский текст =) Особенно про блокнот понравилось: “Если вам нужно больше времени, чтобы купить и отправить BTC, откройте блокнот и напишите «48h BTC». Таким образом, вы можете связаться со мной. Я подумаю над тем, чтобы дать вам еще 48 часов до выпуска видео, но только тогда, когда я увижу, что вы действительно изо всех сил пытаетесь купить биткойн. Я ЗНАЮ, что ты можешь себе это позволить - так что не играй со мной.”
Грамматические ошибки - всё ещё не изжившая себя проблема (или хитрость?) системы госзакупок.
Не буду приводить примеры из сферы ИБ, но вот поставщикам и ремонтникам «картриджей» до сих пор надо на всякий случай искать и «катриджи»: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=катридж&sortBy=PUBLISH_DATE
Ещё более исковерканный “картредж” тоже порой встречается. Зато заменить часть букв латиницей уже не выйдет: “kaptpидж” даже поисковики не предлагают исправить (буквы максимально заменены на нерусские аналоги), но Госзакупки справляются на ура: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=kaptpидж&sortBy=PUBLISH_DATE
С 1 апреля в России действует первый национальный стандарт интернета вещей ПНСТ 354-2019 «Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала (NB-Fi)». http://nd.gostinfo.ru/document/6446213.aspx Стандарт был утвержден Росстандартом в феврале 2019 года и будет действовать до 1 апреля 2022 года. Защите данных (по сути - шифрованию) посвящено Приложение Ж.
- Перечислите ваши основные достижения как участника команды проекта.
- Научил подрядчика пользоваться кнопкой «Ответить всем» при переписке. #пятничное в четверг
Неожиданность - это…
__Найти на сайте свою статью, которую ты для этого сайта не писал. __ http://www.itsec.ru/blog/sovershenstvovaniye-reyestra-fstek-rossii
Отличная подборка нормативных документов для погружения в тему: Современное состояние НПА по информатизации здравоохранения http://www.kmis.ru/blog/tekushchee-sostoianie-normativnogo-regulirovaniia-informatizatsii-zdravookhraneniia
А вот и официальное информационное сообщение ФСТЭК России подоспело: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
2019 март
О деталях подхода ФСТЭК России в виде Требований доверия, приходящего на смену привычной проверке отсутствия недекларированных возможностей (установлены РД НДВ), публично информации немного. Соответствующий Приказ №131 от 30.07.2018 не публиковался и поговаривают, что даже ещё не все испытательные лаборатории его получили. Из открытых источников (фактически - из одного) выбрал доступную на сегодня информацию https://zlonov.ru/law/приказ-фстэк-россии-№131-от-30-07-2018/
Есть все шансы уже в этом году начать привыкать к новой реальности Интернета в России:
Операторы из «большой четверки» получили предложение властей о тестировании системы фильтрации трафика под закон о суверенном Рунете. Тест также покажет, можно ли заблокировать Telegram и снизить скорость доступа к YouTube https://www.rbc.ru/technology_and_media/28/03/2019/5c9cdfa09a79473d7d241980
Весь Reddit стонет/шутит по этому поводу, но слухи о скорой смерти мемов в Европе несколько преувеличены https://www.bfm.ru/news/410487
Те самые ФЗ с введением ответственности за распространение в СМИ и Интернете заведомо недостоверной общественно значимой информации и за выражение в Интернете явного неуважения к обществу и государству: https://zlonov.ru/law/федеральный-закон-№27-фз-от-18-03-2019/ https://zlonov.ru/law/федеральный-закон-№28-фз-от-18-03-2019/
#НПА
ФЗ-27 (недостоверная информация): Размеры штрафов для граждан варьируются в пределах от 30 тыс. до 400 тыс. руб., для должностных лиц - от 60 тыс. до 900 тыс., для организаций - от 200 тыс. до 1,5 млн руб. Возможна конфискация предмета административного правонарушения.
ФЗ-28 (неуважение обществу и государству): Размер штрафа от 30 тыс. до 100 тыс. руб. За повторное совершение - штраф в размере от 100 тыс. до 200 тыс. руб. или административный арест на срок до 15 суток. Если опубликует лицо, ранее подвергнутое административному наказанию за аналогичное правонарушение более двух раз, то его оштрафуют на сумму от 200 тыс. до 300 тыс. руб. или подвергнут административному аресту на 15 суток.
Подписан федеральный закон, которым определен статус “цифровых прав” https://zlonov.ru/laws/федеральный-закон-№34-фз-от-18-03-2019/ #НПА
- под цифровыми правами будут пониматься обязательственные и иные права, содержание и условия осуществления которых определяются в соответствии с правилами информационной системы, отвечающей установленным законом признакам;
- дистанционные сделки приравнены к письменной форме;
- для договора страхования будет возможным его заключение в форме одного электронного документа, подписанного сторонами, или обмена такими документами;
- вводится прямой запрет на составление завещания с использованием электронных либо иных технических средств;
- закон вступит в силу 1 октября 2019 года и будет применяться к правоотношениям, возникшим после этой даты (по правоотношениям, возникшим до этой даты, будет действовать в отношении тех прав и обязанностей, которые возникнут после 1 октября этого года).
Начата работа над проектом ФЗ о внесении в КоАП изменений в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ https://rucybersecurity.ru/t/645
Один из плюсов регистрации где-либо не по почте/паролю, а через внешние сервисы - это меньший ущерб от таких вот утечек. Bookmate, например, поддерживает регистрацию через Facebook, Google, Twitter и даже VK. Кстати, они не потрудились уведомить меня об утечке, да и на их сайте упоминание об этом найти не удалось.
Опубликован Проект приказа ФСТЭК России “О внесении изменений в Требования о защите информации, не составляющей гостайну, содержащейся в ГИС, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17” https://regulation.gov.ru/projects#npa=89835 Цель (согласно Пояснительной записке) - “внесение изменений […], направленных на установление требований к уровню доверия средств защиты информации и требований по применению сертифицированных по требованиям безопасности информации маршрутизаторов.”
Поработал немного монтажёром и наложил аудио своего доклада на слайды. Получился эдакий вебинар. https://blog.zlonov.ru/187-fz-automation/
Microsoft прекратит поддержку Windows 7 (занимает 40% рынка ПО для стационарных компьютеров) с 14 января 2020 года https://tass.ru/ekonomika/6245023
Дополненный плейлист с выступлениями на ИБ АСУ ТП КВО 2019 https://www.youtube.com/playlist?list=PLdLjNEmeRroXnAFlJg5StXnWmVIiJLV6r
Выступления представителей ФСТЭК России (Елена Торбенко) и ФСБ России (Кирилл Акимов) на ИБ АСУ ТП КВО 2019 https://www.youtube.com/playlist?list=PLdLjNEmeRroXnAFlJg5StXnWmVIiJLV6r #187ФЗ #ГосСОПКА
Быть ОРИ оказалось не трудно, но и не интересно https://blog.zlonov.ru/do-not-ori/
Подборка материалов по рынку труда и размеру зарплат за прошлый год (в том числе в сфере ИБ): https://rucybersecurity.ru/t/628
Современный ландшафт: атакующие/защитники, их цели, методы и возможности.
Если вы, как и я, не мониторите Реестр каждый день, а пользуетесь им по необходимости от случая к случаю, то, возможно, пока не обратили внимание на недавние нововведения. Мне они, к слову, очень даже понравились. https://blog.zlonov.ru/better-fstec-registry/
ИБ новинки, представленные на RSA Conference 2019 https://www.crn.com/slide-shows/security/30-hot-new-cybersecurity-products-announced-at-rsa-conference-2019
Проверил на себе демо-сервис поиска двойников searchface.ru Ну, в принципе, что-то в этом есть =)
Объявлено о разработке законопроекта, направленного на определение таких понятий как: идентификация, аутентификация, цифровой профиль, а также их законодательное закрепление https://regulation.gov.ru/projects#npa=89356
ФСТЭК России из заявленного к разработке в 2019 году списка нормативно-правовых актов по теме КИИ осталось опубликовать (совместно с ФСБ) только проект ФЗ «О внесении изменений в КоАП РФ (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)». Ждём. https://fstec.ru/normotvorcheskaya/akty/54-inye/1763-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2018-god-2
Опубликован проект приказа ФСТЭК «О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК от 25 декабря 2017 г. № 239» https://regulation.gov.ru/projects#npa=89229
Выкладываю презентацию с доклада, который читал в рамках конференции «Информационная безопасность АСУ ТП критически важных объектов» https://blog.zlonov.ru/187-fz-difficulties-in-implementing/
Ровно десять лет назад, 03 марта 2009 года был зарегистрирован домен ZLONOV.ru https://blog.zlonov.ru/10-years-zlonov-ru/
Опубликован проект приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК от 21 декабря 2017 г. №235» https://regulation.gov.ru/projects#npa=89049
Если вы откладывали решение об участии в Код ИБ ПРОФИ 28-31 марта до сегодняшнего дня, то, вполне вероятно, делали это не зря =) https://blog.zlonov.ru/codeib-profi-promo/
2019 февраль
Правительство РФ: Об изменениях в порядке использования иностранных спутниковых сетей связи на территории России http://bit.ly/2ThbQJO
Опубликованы презентации XI Уральского форума Информационная безопасность финансовой сферы https://ural.ib-bank.ru/materials
Лучшие аппаратные токены для двухфакторной аутентификации по версии The Verge: The best hardware security keys for two-factor authentication https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f
Потратив два месяца на безнадёжную попытку настроить под себя приложение «Google Новости» могу констатировать, что до Сверхразума, предрекаемого Ником Бостромом в его книге «Искусственный интеллект. Этапы. Угрозы. Стратегии» (https://zlonov.ru/2017/04/superintelligence-dangers-strategies/), ещё очень и очень далеко.
Бессмысленное, как оказалось, действие в виде прямого указания приложению «Меньше новостей, похожих на эту» не приводит ровно ни к чему - «Google Новости» упорно предлагают мне в Главном почитать про Андрея Вадимовича, Алсу и гороскопы.
Есть, правда, вероятность, что Сверхразум уже существует и просто до поры до времени прикидывается эдаким несмышлёнышем, дабы не спровоцировать своё преждевременное (для него) обнаружение человечеством… Что ж, если это так, то маскировка получилась отменной.
А приложение не рекомендую.
Динамика курса акций Splunk после объявления решения о прекращении продаж в России
Удачное дополнение к классике жанра: «На свете существует 10 типов людей: те, кто понимает двоичную систему счисления, и те, кто не понимает.»