Бортовой журнал
Заметки, мысли и сообщения из соцсервисов, в том числе - Telegram-каналов ℤ𝕃𝕆ℕ𝕆𝕍.𝕝𝕚𝕧𝕖 (https://t.me/zlonov) и ZLONOV security (https://t.me/zlonov_security)
Всего: 2389
2019 апрель
Опубликован текст проекта изменений в КоАП в части установления ответственности за нарушения законодательства в области обеспечения безопасности КИИ https://regulation.gov.ru/projects#npa=89944
В своей обновлённой статье “Security Tip: Protecting Against Ransomware” (https://www.us-cert.gov/ncas/tips/ST19-001) с основными рекомендациями по защите от программ-вымогателей NCCIC в очередной раз напоминает, что Федеральное правительство (США) не поддерживает оплату требований вымогателей.
В качестве аргументации ссылаются на вот эту позицию ФБР: «Paying a ransom doesn’t guarantee an organization that it will get its data back—we’ve seen cases where organizations never got a decryption key after having paid the ransom. Paying a ransom not only emboldens current cyber criminals to target more organizations, it also offers an incentive for other criminals to get involved in this type of illegal activity. And finally, by paying a ransom, an organization might inadvertently be funding other illicit activity associated with criminals».
Созвучно моим собственным представлениям: https://blog.zlonov.ru/protect-your-site/
Рассмотрел в блоге, что интересного появилось в реестре ФСТЭК России за первые три месяца этого года. https://blog.zlonov.ru/fstec-certs-2019-q1/
«На пленарном заседании Госдумы во втором чтении был принят законопроект, которым планируется минимизировать передачу за рубеж данных, которыми обмениваются между собой пользователи нашей страны. В этих целях предполагается создать национальную системы маршрутизации интернет-трафика» https://rucybersecurity.ru/t/685/2?u=zlonov
#Продуктивность Наконец дочитал давно добавленную в закладки длинную статью «How to Configure Your iPhone to Work for You, Not Against You». Далеко не все советы (а всего их 45) счёл пригодными в своём случае, какие-то хитрости/трюки применяю уже давно, но парочку ценных приёмов всё-таки для себя отобрал и буду пробовать. https://betterhumans.coach.me/how-to-set-up-your-iphone-for-productivity-focus-and-your-own-longevity-bb27a68cc3d8
#Полезное Купон на 5 бесплатных книг на ЛитРес от KIA. Активируется по ссылке: https://www.litres.ru/?kia= Тематика самая разная - практически на любой вкус.
Любопытно, что у большинства это вызывает возмущение, не вызывая при этом сомнений =) «Голосовой помощник Echo Amazon, который распознает речь пользователей, за этими же пользователями следит, утверждает Bloomberg» https://www.bfm.ru/news/411714
Минкомсвязь России планирует разработку законопроекта, направленного на «обеспечение преимущественного использования гражданами, юридическими лицами, в том числе органами государственной власти и управления, цифровых каналов взаимодействия». Полезное начинание. Главное, чтобы невыполнимыми требованиями по ИБ всё не испортили. https://rucybersecurity.ru/t/670
Сайт, случайным образом выдающий фотореалистичные изображения людей, которые в реальности не существуют. https://thispersondoesnotexist.com Все лица созданы генеративно-состязательной сетью (один из алгоритмов машинного обучения без учителя). Можно использовать в научных целях - например, делать фейковые страницы в соцсетях =)
Простенькая игра «Защитите сервер»: https://vc.ru/special/server-defence
Не самый удачный выбор терминов (перевод?), так себе геймплей и весьма спорные пропорции стоимостей средств защиты.
Зато наглядно учит как минимум двум вещам:
- Не бывает 100% защиты, всегда что-то да пострадает.
- Нельзя продать одно средство защиты и купить другое, даже если это другое сейчас нужнее =)
В общем, минут 10 развлечься можно. Да, ещё выдают ссылку на скачивание книги (я бы сказал - рекламного буклета) «Как построить защищенные информационные системы». Вот прямая ссылка, чтобы не регистрироваться: https://selectel.ru/media/files/landings/information-security-in-the-cloud.pdf
Картинка-напоминание о том, что различные устройства “знают” о своём владельце (о вас).
Сайт МВД присылает немного непривычные кириллические коды для проверки валидности электронной почты. “Подтвердите, что адрес действителен и что вы владеете русской раскладкой” =)
Забота о безопасности как двигатель непрогресса: МТС, «Мегафон» и «Вымпелком» опасаются, что внедрение eSim приведет к ценовым войнам и обострению конкуренции. У ФСБ мотивация другая. https://www.bfm.ru/news/411403
Восхитительный вымогательский текст =) Особенно про блокнот понравилось: “Если вам нужно больше времени, чтобы купить и отправить BTC, откройте блокнот и напишите «48h BTC». Таким образом, вы можете связаться со мной. Я подумаю над тем, чтобы дать вам еще 48 часов до выпуска видео, но только тогда, когда я увижу, что вы действительно изо всех сил пытаетесь купить биткойн. Я ЗНАЮ, что ты можешь себе это позволить - так что не играй со мной.”
Грамматические ошибки - всё ещё не изжившая себя проблема (или хитрость?) системы госзакупок.
Не буду приводить примеры из сферы ИБ, но вот поставщикам и ремонтникам «картриджей» до сих пор надо на всякий случай искать и «катриджи»: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=катридж&sortBy=PUBLISH_DATE
Ещё более исковерканный “картредж” тоже порой встречается. Зато заменить часть букв латиницей уже не выйдет: “kaptpидж” даже поисковики не предлагают исправить (буквы максимально заменены на нерусские аналоги), но Госзакупки справляются на ура: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=kaptpидж&sortBy=PUBLISH_DATE
С 1 апреля в России действует первый национальный стандарт интернета вещей ПНСТ 354-2019 «Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала (NB-Fi)». http://nd.gostinfo.ru/document/6446213.aspx Стандарт был утвержден Росстандартом в феврале 2019 года и будет действовать до 1 апреля 2022 года. Защите данных (по сути - шифрованию) посвящено Приложение Ж.
- Перечислите ваши основные достижения как участника команды проекта.
- Научил подрядчика пользоваться кнопкой «Ответить всем» при переписке. #пятничное в четверг
Неожиданность - это…
__Найти на сайте свою статью, которую ты для этого сайта не писал. __ http://www.itsec.ru/blog/sovershenstvovaniye-reyestra-fstek-rossii
Отличная подборка нормативных документов для погружения в тему: Современное состояние НПА по информатизации здравоохранения http://www.kmis.ru/blog/tekushchee-sostoianie-normativnogo-regulirovaniia-informatizatsii-zdravookhraneniia
А вот и официальное информационное сообщение ФСТЭК России подоспело: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
2019 март
О деталях подхода ФСТЭК России в виде Требований доверия, приходящего на смену привычной проверке отсутствия недекларированных возможностей (установлены РД НДВ), публично информации немного. Соответствующий Приказ №131 от 30.07.2018 не публиковался и поговаривают, что даже ещё не все испытательные лаборатории его получили. Из открытых источников (фактически - из одного) выбрал доступную на сегодня информацию https://zlonov.ru/law/приказ-фстэк-россии-№131-от-30-07-2018/
Есть все шансы уже в этом году начать привыкать к новой реальности Интернета в России:
Операторы из «большой четверки» получили предложение властей о тестировании системы фильтрации трафика под закон о суверенном Рунете. Тест также покажет, можно ли заблокировать Telegram и снизить скорость доступа к YouTube https://www.rbc.ru/technology_and_media/28/03/2019/5c9cdfa09a79473d7d241980
Весь Reddit стонет/шутит по этому поводу, но слухи о скорой смерти мемов в Европе несколько преувеличены https://www.bfm.ru/news/410487
Те самые ФЗ с введением ответственности за распространение в СМИ и Интернете заведомо недостоверной общественно значимой информации и за выражение в Интернете явного неуважения к обществу и государству: https://zlonov.ru/law/федеральный-закон-№27-фз-от-18-03-2019/ https://zlonov.ru/law/федеральный-закон-№28-фз-от-18-03-2019/
#НПА
ФЗ-27 (недостоверная информация): Размеры штрафов для граждан варьируются в пределах от 30 тыс. до 400 тыс. руб., для должностных лиц - от 60 тыс. до 900 тыс., для организаций - от 200 тыс. до 1,5 млн руб. Возможна конфискация предмета административного правонарушения.
ФЗ-28 (неуважение обществу и государству): Размер штрафа от 30 тыс. до 100 тыс. руб. За повторное совершение - штраф в размере от 100 тыс. до 200 тыс. руб. или административный арест на срок до 15 суток. Если опубликует лицо, ранее подвергнутое административному наказанию за аналогичное правонарушение более двух раз, то его оштрафуют на сумму от 200 тыс. до 300 тыс. руб. или подвергнут административному аресту на 15 суток.
Подписан федеральный закон, которым определен статус “цифровых прав” https://zlonov.ru/laws/федеральный-закон-№34-фз-от-18-03-2019/ #НПА
- под цифровыми правами будут пониматься обязательственные и иные права, содержание и условия осуществления которых определяются в соответствии с правилами информационной системы, отвечающей установленным законом признакам;
- дистанционные сделки приравнены к письменной форме;
- для договора страхования будет возможным его заключение в форме одного электронного документа, подписанного сторонами, или обмена такими документами;
- вводится прямой запрет на составление завещания с использованием электронных либо иных технических средств;
- закон вступит в силу 1 октября 2019 года и будет применяться к правоотношениям, возникшим после этой даты (по правоотношениям, возникшим до этой даты, будет действовать в отношении тех прав и обязанностей, которые возникнут после 1 октября этого года).
Начата работа над проектом ФЗ о внесении в КоАП изменений в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ https://rucybersecurity.ru/t/645
Один из плюсов регистрации где-либо не по почте/паролю, а через внешние сервисы - это меньший ущерб от таких вот утечек. Bookmate, например, поддерживает регистрацию через Facebook, Google, Twitter и даже VK. Кстати, они не потрудились уведомить меня об утечке, да и на их сайте упоминание об этом найти не удалось.
Опубликован Проект приказа ФСТЭК России “О внесении изменений в Требования о защите информации, не составляющей гостайну, содержащейся в ГИС, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17” https://regulation.gov.ru/projects#npa=89835 Цель (согласно Пояснительной записке) - “внесение изменений […], направленных на установление требований к уровню доверия средств защиты информации и требований по применению сертифицированных по требованиям безопасности информации маршрутизаторов.”
Поработал немного монтажёром и наложил аудио своего доклада на слайды. Получился эдакий вебинар. https://blog.zlonov.ru/187-fz-automation/
Microsoft прекратит поддержку Windows 7 (занимает 40% рынка ПО для стационарных компьютеров) с 14 января 2020 года https://tass.ru/ekonomika/6245023
Дополненный плейлист с выступлениями на ИБ АСУ ТП КВО 2019 https://www.youtube.com/playlist?list=PLdLjNEmeRroXnAFlJg5StXnWmVIiJLV6r
Выступления представителей ФСТЭК России (Елена Торбенко) и ФСБ России (Кирилл Акимов) на ИБ АСУ ТП КВО 2019 https://www.youtube.com/playlist?list=PLdLjNEmeRroXnAFlJg5StXnWmVIiJLV6r #187ФЗ #ГосСОПКА
Быть ОРИ оказалось не трудно, но и не интересно https://blog.zlonov.ru/do-not-ori/
Подборка материалов по рынку труда и размеру зарплат за прошлый год (в том числе в сфере ИБ): https://rucybersecurity.ru/t/628
Современный ландшафт: атакующие/защитники, их цели, методы и возможности.
Если вы, как и я, не мониторите Реестр каждый день, а пользуетесь им по необходимости от случая к случаю, то, возможно, пока не обратили внимание на недавние нововведения. Мне они, к слову, очень даже понравились. https://blog.zlonov.ru/better-fstec-registry/
ИБ новинки, представленные на RSA Conference 2019 https://www.crn.com/slide-shows/security/30-hot-new-cybersecurity-products-announced-at-rsa-conference-2019
Проверил на себе демо-сервис поиска двойников searchface.ru Ну, в принципе, что-то в этом есть =)
Объявлено о разработке законопроекта, направленного на определение таких понятий как: идентификация, аутентификация, цифровой профиль, а также их законодательное закрепление https://regulation.gov.ru/projects#npa=89356
ФСТЭК России из заявленного к разработке в 2019 году списка нормативно-правовых актов по теме КИИ осталось опубликовать (совместно с ФСБ) только проект ФЗ «О внесении изменений в КоАП РФ (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)». Ждём. https://fstec.ru/normotvorcheskaya/akty/54-inye/1763-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2018-god-2
Опубликован проект приказа ФСТЭК «О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК от 25 декабря 2017 г. № 239» https://regulation.gov.ru/projects#npa=89229
Выкладываю презентацию с доклада, который читал в рамках конференции «Информационная безопасность АСУ ТП критически важных объектов» https://blog.zlonov.ru/187-fz-difficulties-in-implementing/
Ровно десять лет назад, 03 марта 2009 года был зарегистрирован домен ZLONOV.ru https://blog.zlonov.ru/10-years-zlonov-ru/
Опубликован проект приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК от 21 декабря 2017 г. №235» https://regulation.gov.ru/projects#npa=89049