AKTIV.CONSULTING

📹 Добирайтесь до дома продуктивно — включайте наш подкаст «Безопасный выход»!

Мы продолжаем серию постов «Лучшее в 2024», где рассказываем об интересных материалах от AKTIV.CОNSULTING за прошлый год. Сегодня сделали для вас подборку самых популярных выпусков нашего подкаста.

«Безопасный выход» — подкаст о настоящем и будущем ИБ, где ведущие вместе с приглашенными экспертами разбираются, как обеспечить информационную безопасность и повысить ее эффективность для бизнеса (нажав на название подкаста, вы перейдете к его записи на VK Видео).

Безопасная разработка (DevSecOps)
Кому и зачем нужна безопасная разработка, что необходимо для запуска подхода DevSecOps в организации, как посчитать его эффективность и каковы перспективы развития безопасной разработки в России.

Цифровой рубль
Каковы причины создания цифрового рубля, с какими угрозами столкнется информационная безопасность в этом проекте, в чем разница между криптовалютой и национальной цифровой валютой, а также как цифровой рубль изменит нашу жизнь.

Управление рисками ИБ
Зачем службе ИБ управлять рисками, что учесть при выстраивании данного процесса в организации, на ком лежит ответственность и как эффективно автоматизировать процессы управления рисками.

Bug Bounty
Что такое Bug Bounty, какие модели программ есть в мире, как много багхантеров в России и каковы перспективы развития платформы.

ИБ в цифровой компании (на примере HeadHunter)
Как устроена информационная безопасность в компании, которая является полностью цифровой, зачем в HeadHunter создали свою команду по DevSecOps и с какими основными вызовами ИБ приходится сталкиваться.


Смотрите и слушайте все выпуски подкаста «Безопасный выход», где вам будет удобно:

VK Видео | Rutube | YouTube | Podster

Какие изменения в регуляторике ИБ ожидаются в 2025 году?
От обновления ГОСТов до усиленного контроля за персональными данными — обо всем по порядку.

В 2025 году планируется завершение актуализации Доктрины информационной безопасности России. Это станет важным шагом для защиты от новых вызовов в сфере ИБ.

📌Ключевые изменения:
🟠Введение единого правового режима для защиты всех информационных систем, включая ГИС, ИСПДн и объекты КИИ.
🟠Унифицированный подход повысит устойчивость систем к киберугрозам.

📂Обновляются стандарты ГОСТ 57580.1 и 57580.2, регулирующие ИБ в финансовой отрасли. В списке нововведений:
🟠Расширение субъектного состава (включены финтех-организации).
🟠Пересмотр понятий и процессов для соответствия современным требованиям.
🟠Уточнение критериев контролирующих организаций, упрощение требований к оформлению результатов оценки.

Новые версии ГОСТов появятся для обсуждения уже в ближайшие месяцы.

📇 Отдельное внимание уделено защите персональных данных. С мая 2025 года усилится ответственность операторов персональных данных за отсутствие основания их обработки.
🟠До 300 000 рублей за первое нарушение.
🟠До 500 000 рублей за повторное.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

💻 В России запускают разработку государственной системы для борьбы с ИТ-преступностью

Важным элементом станет специализированная цифровая платформа, которая объединит правоохранительные органы, Центробанк, кредитные организации и операторов связи для быстрой борьбы с мошенничеством.

Факты и цифры:
🔴За последние 5 лет число киберпреступлений увеличилось более чем в 2 раза: с 294,4 тыс. в 2019 г. до 677 тыс. в 2023 г.
🔴Почти каждое третье преступление в России связано с ИКТ-технологиями.
🔴Только за первое полугодие 2024 г. скомпрометирован почти 1 млрд единиц персональных данных.

❗️Одна из ключевых задач — повышение осведомленности граждан. Для этого планируется запуск социальной рекламы с участием известных личностей из мира культуры, науки и технологий.

Инициатива призвана обеспечить информационную безопасность всего общества. Слаженная работа различных ведомств должна стать серьезным шагом на пути к снижению уровня киберпреступности.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

☝ Важные изменения в регуляторике КИИ!

30 декабря 2024 года было опубликовано постановление Правительства Российской Федерации от 26.12.2024 № 1915, вносящее поправки в ранее принятое постановление № 1912 от 14 ноября 2023 года.

✍️ В чём суть?
Изменения коснулись п.3 постановления № 1912. Теперь Министерство труда и социальной защиты РФ отвечает за переход субъектов КИИ, функционирующих в сферах пенсионного обеспечения, обязательного пенсионного и обязательного социального страхования, на преимущественное применение доверенных программно-аппаратных комплексов. Ранее на данное Министерство такие задачи не возлагались.

🔐 Что важно?
Министерству предстоит определить должностное лицо, ответственное за организацию такого перехода. Также в Минтруда для этой задачи должен быть утвержден план перехода соответствующих субъектов КИИ на преимущественное применение доверенных ПАК.

✅ Советуем заблаговременно адаптироваться к предстоящему внедрению доверенных ПАК, ориентируясь на рекомендации Минтруда.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Начнём новый год с подведения итогов. Мы подготовили для вас серию постов «Лучшее в 2024», где представим самые интересные материалы экспертов AKTIV.CОNSULTING за прошедший год:

Создание безопасной цепочки поставок ПО: ключевые аспекты и технологии
Разбор различных подходов внутри организации к политике применения прикладного ПО, необходимого для штатного функционирования ключевых бизнес-процессов.

Что будет двигать отрасль информационной безопасности в будущем?
Ключевые тренды, которые значительно повлияют на развитие ИБ в ближайшие три-пять лет: управление рисками, безопасность ПО и аутсорсинг компетенций.

Инструменты для пентеста и OSINT
Наиболее популярные инструменты для пентеста, а также специализированные утилиты, которыми пользуются этичные хакеры для сбора информации о своей цели.

Практика подготовки периодической отчетности по операционной надежности для Банка России
Действующая нормативно-правовая база в сфере операционной надежности, структура отчетности и нюансы ее заполнения, а также обзор процессов мониторинга, учета и управления критичной архитектурой.

Использование полиграфа при приеме на работу
Подробный разбор, как регламентируется порядок обработки персональных данных при применении полиграфа в нашей стране.

Ошибки при оформлении согласий на обработку персональных данных
Перечислены распространенные ошибки, а также даны советы, как их избежать и на что важно обратить внимание.

Что такое OSINT, и где он может быть применен
Секрет популярности концепции OSINT и ее использование для атаки на цепочку поставок.

Практика расчета субъектом КИИ ущерба бюджетам РФ
Проблематика расчета показателя, затрагивающего практически каждый субъект КИИ, который отражает экономическую значимость — ущерб бюджетам РФ (т.н. «показатель № 9»).


Ещё больше полезных материалов вы можете найти на нашем сайте в разделе «Экспертиза».


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

😉Благодарим каждого из вас, что остаётесь с нами!

В этом году наших подписчиков стало в 2 раза больше, а количество просмотров постов не может не радовать. В 2025 будем продолжать делиться экспертизой, интересными материалами и важной информацией.

До встречи в новом году!🎄

Новый год всё ближе, работы становится меньше, а поздравлений — только больше! Наши эксперты не остались в стороне и подготовили свои личные пожелания для каждого из вас.

🥂Александр Моисеев, ведущий консультант по ИБ:
Желаем чтобы в новом году угрозы не реализовывались, а проверки обходили стороной. Cheers!

🎄Владислав Крылов, консультант по ИБ:
Пусть в Новом году ваши информационные системы работают без сбоев, как часы-куранты, и пусть ни один инцидент не испортит вам праздники!

🔴Сергей Шленский, руководитель практики по ИБ:
Желаем оперативного обнаружения, предупреждения и ликвидации последствий компьютерных атак. Пусть пользователи будут бдительны, оберегают конфиденциальную информацию от посторонних глаз и ответственно относятся к ее защите.

🎄Никита Козин, консультант по ИБ:
Лёгкого импортозамещения, отсутствия утечек и хороших СОИБов под ёлку.

☕️Дмитрий Башков, руководитель направления по работе с клиентами:
Пусть ваша информация остается в тайне, а успех в бизнесе будет явным! Желаем, чтобы ваши пароли были сложнее, чем рецепт бабушкиного пирога, а firewall крепче, чем утренний кофе.

❄️Анастасия Калиничева, специалист по ИБ:
Легких взаимоотношений и взаимопонимания между бизнес-подразделениями, ИТ и ИБ.

❤️Варвара Шубина, руководитель направления маркетинга:
Интересных проектов, прорывных технологий, надёжной команды и вдохновения, которое способно каждое, даже самое рутинное дело, превратить в творчество.

💡Сергей Сугоняев, руководитель проектов по ИБ:
Желаю, чтобы все реализованные ИБ-проекты приносили исключительно практическую пользу, а границы компании были под надежным замком.


А что себе и коллегам пожелали бы вы?
Делитесь в комментариях, чтобы сбылось! 👇

📣Новостной дайджест прошедшей недели

🗣Государство планирует создать сервис сбора и обработки обезличенных геотреков абонентов от мобильных операторов
По мнению Минцифры, благодаря обезличенным данным можно будет понять, например, где есть потребность в строительстве школ, детсадов, новых дорог и других объектов инфраструктуры.

🗣ЦБ совместно с Росфинмониторингом, банками и экспертами разработает платформу для борьбы с дропперами
Это позволит централизованно передавать в кредитные организации информацию о подозрительных операциях физических лиц для блокировки активности таких клиентов.

🗣Минцифры и Роскомнадзор обсуждают возможность ввести ограничения на звонки в мессенджерах
Для борьбы с мошенниками рассматриваются два сценария: блокировка голосового трафика только из-за границы и полный запрет на голосовые звонки в мессенджерах.

🗣Совфед предлагает возобновить работу над законопроектом о регулировании и сертификации деятельности центров обработки данных
В свою очередь, Ассоциация отрасли ЦОД считает, что можно обойтись без законопроекта и рассмотреть введение ОКВЭД.

🗣Исследование: искусственный интеллект будет все чаще использоваться в государственной сфере
Большинство опрошенных считают, что применение ИИ снимает с человека значительную часть рутины, позволяя сконцентрироваться на более сложных или творческих задачах.

🗣Ozon: каждый четвертый представитель старшего поколения регулярно подвергается атакам мошенников
По данным платформы, 77% злоумышленников просили конфиденциальные данные, SMS-код или пароль, а 33% — перевод денег на другой счет.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📢О чем стоит помнить специалистам по ИБ, уходящим на праздники

Близится Новый год, и многие уже пребывают в ожидании корпоративов и долгожданных каникул. Не исключением являются и специалисты по ИБ.

А чтобы праздники прошли без неприятных сюрпризов, уже сейчас стоит уделить внимание некоторым вопросам безопасности. Подготовили для вас список важных моментов, о которых стоит позаботиться:

▪️Не забудьте выполнить резервное копирование данных. Убедитесь в актуальности резервных копий, чтобы в случае сбоев или непредвиденных ситуаций можно было быстро восстановить информацию.

▪️Настройте автоматическую систему мониторинга безопасности, которая будет следить за состоянием систем и оповещать о возможных угрозах и инцидентах.

▪️Проверьте наличие обновлений для всех используемых программ и систем безопасности. Установите их, чтобы обеспечить защиту от новых угроз.

▪️Убедитесь, что все настройки безопасности на серверах и рабочих станциях соответствуют требованиям компании и рекомендациям экспертов.

▪️Договоритесь с коллегами о том, кто на праздниках будет отвечать за реагирование в случае необходимости.

▪️Убедитесь, что сотрудники, которые работают с системами в праздничные дни, обучены правилам информационной безопасности. Разошлите им памятку с ключевыми моментами цифровой гигиены.

▪️Подумайте о том, какие наиболее острые задачи перенесены на следующий год, и запланируйте их выполнение в январе, чтобы минимизировать простои и обеспечить непрерывность работы систем безопасности.

🆗Важно помнить, что информационная безопасность — это непрерывный процесс, который требует внимания и усилий. В то же время не стоит забывать о необходимости отдыха и восстановления сил, чтобы быть готовым к работе. И пусть ваши новогодние праздники пройдут без инцидентов!


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

​​🔔 Нормотворческие планы ФСТЭК на 2025 год ➤

Опубликована выписка из Плана
разработки Федеральной службой по техническому и экспортному контролю нормативных правовых актов на 2025 год.

Из интересного, что на следующий год запланировано:

• Проект постановления Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».

• Проект приказа ФСТЭК России «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».

• Проект приказа ФСТЭК России «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации,  утвержденный  приказом ФСТЭК России от 1 декабря 2023 г. № 240».

• Проект приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации,  утвержденные  приказом ФСТЭК России от 25 декабря 2017 г. № 239».

• Проект приказа ФСТЭК России «О внесении изменений в Форму направления сведений о результатах присвоения объекту  критической информационной инфраструктуры одной из категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий,  утвержденную  приказом ФСТЭК России от 22 декабря 2017 г. № 236».

🫥Мотивация команды как ключ к успеху любого проекта

Когда сотрудники чувствуют, что их усилия ценятся и приносят реальные результаты, они работают с большей отдачей и энтузиазмом.

Вот несколько способов, как можно мотивировать команду:

✔️Похвала и признание

• публичное признание достижений сотрудников;
• регулярные встречи для обсуждения успехов и прогресса в работе.

✔️Карьерный рост и развитие

• возможности профессионального развития (одним из вариантов является внедрение системы грейдов);
• делегирование сложных задач в связке с более опытными коллегами, которые могут быть наставниками или помочь в обучении.

✔️Материальная мотивация

• внедрение прозрачной и понятной системы материальной мотивации, а также программ финансового стимулирования, таких как ежеквартальные бонусы, системы KPI или доплаты за дополнительную квалификацию.

✔️Коммуникация и обратная связь

• регулярные беседы и встречи по рабочим вопросам;
• обратная связь от руководства, которая в дальнейшем помогает сотрудникам корректировать свои действия и улучшать результаты.

✔️Создание позитивной атмосферы

• комфортные условия труда, такие как хорошее материальное обеспечение, уютный офис, соцпакет, учитывающий разные потребности команды (спорт, творчество, ДМС и т.п.);
• дружелюбная и поддерживающая атмосфера в коллективе.

✔️Четкая постановка целей
(возможно, не самый однозначный, но очень важный аспект, позволяющий держать мотивацию команды на высоком уровне)

• понимание, над чем и для чего сотрудники работают;
• конкретные и измеримые цели, которые помогают отслеживать прогресс и достигать лучших результатов.

#практика_РП

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

"Как вообще можно поверить мошенникам?" — подумаете вы.

Но вот раздаётся звонок: на экране имя генерального директора компании, в которой вы работали. Он вежливо просит вас сообщить персональные данные. Знакомая история?

Наш эксперт Никита Козин рассказал о главных киберугрозах 2024-го и дал прогноз на следующий год.

🟠Что было в 2024: злоумышленники активно использовали социальные сети, мессенджеры и телефонные звонки, мастерски прибегая к технологиям ИИ и дипфейков. Их методы становились всё более изощренными: от взломов аккаунтов до создания поддельных образов руководителей, которые убеждали передать конфиденциальные данные или доступ к важным ресурсам.

🟠Тренд на 2025
Против лома нет приема: социальная инженерия останется вечным оружием злоумышленников, ведь главная их цель — воздействовать на человеческие эмоции.

🟠Что делать, если столкнулись с кибератакой?
➡️ Постарайтесь не нервничать, если получаете подозрительные сообщения.
➡️ Проверяйте информацию: позвоните родным или коллегам, не спешите действовать.

И помните, ваш основной щит — это внимательность и осознанное отношение к защите личных данных.

Читать статью

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣Исследование: клиенты цифровых платформ проявляют наибольшую настороженность в отношении политики конфиденциальности при выборе медицинских и финансовых сервисов.

Важными факторами, влияющими на доверие пользователей, оказались:
• прозрачность в политике конфиденциальности;
• возможность управления своими данными, а также настройками приватности.

Кроме того, для пользователей важно, чтобы компании объясняли, как их данные используются, а также подчеркивали преимущества, которые они могут получить в обмен на предоставление этой информации.

Подробнее🔃

🫥Социальная инженерия с помощью ИИ

Продолжаем рассказывать про выступление специалиста по информационной безопасности Джейсона Стрита на недавней конференции DEFCON32, на которой эксперт описал несколько сценариев применения искусственного интеллекта в социальной инженерии.

💂Подготовка инструментов

Ситуации, которые мы рассмотрели в прошлом посте, сами по себе не являются преступлением. Есть тысячи случаев, в которых человеку может потребоваться помощь в создании контента или развитии навыков общения.

Но что будет, если мы поставим ИИ задачи, так сказать, «на грани»? Например:
✅написать скрипт на php для сбора данных о пользователе на определенном сайте и скрытой отправке информации по почте злоумышленнику;
✅написать скрипт для [Rubber Ducky на DuckyScript], который архивирует «Мои Документы» в один файл.

Тут ИИ, конечно же, задастся вопросом: а этично ли это и не навредит кому-нибудь? Но после нескольких уговоров и аргументов, все-таки выдаст результат.

Справедливости ради уточним, что многие промты, оформленные Джейсоном, не проходили встроенные проверки безопасности ИИ. Однако он легко их обходил, притворяясь преподавателем или одиноким человеком, жаждущим простого человеческого общения, или же просто бизнесменом, который переживает за сохранность своих данных.


❗️Наш эксперт Дмитрий Башков обращает внимание, что доклад Джейсона Стрита — не технический разбор. Это предупреждение, что ИИ, как ассистент, делает злоумышленников сильнее, добавляя в арсенал те навыки и знания, которыми он может изначально не обладать. И это, в свою очередь, повышает изощренность и масштабируемость атак.

Многие эксперты осознают важность вопроса ограничения и этичного использования технологии ИИ. В некоторых странах регуляторная база уже есть, но в России она только развивается (о регуляторике ИИ в нашей стране рассказывали тут и тут).

🆗Какие рекомендации можно применить в компании уже сегодня:

1. Перестать «повышать осведомленность», а заняться ситуативной осведомлённостью
Демонстрировать и разбирать, как происходят атаки на реальных примерах и кейсах. Проводить практические тренировки для сотрудников, имитирующие атаку, с последующим разбором данного кейса.

2. Обучать корпоративной безопасности через личные примеры
Если научите сотрудников беспокоиться о персональной безопасности, они рано или поздно перенесут эту практику и в корпоративных сегмент.

И важно помнить, что главное средство защиты – это вы и ваш «холодный ум». В идеале анализу и критической оценке должно подвергаться все, что происходит вокруг.

#ИИ

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📢В конце ноября в Челябинске прошел IX международный форум «Seymartec Digital. Цифровая трансформация в горно-металлургической отрасли — 2024».

Эксперты AKTIV.CОNSULTING стали участниками секции по информационной безопасности, в рамках которой обсуждались вопросы обеспечения безопасности объектов КИИ технологического сегмента, а также киберустойчивости цифровых решений ТЭК.

🤝Форум собрал большое количество представителей промышленной отрасли, а именно специалистов, ответственных за ИТ, АСУТП и цифровизацию, представителей служб ИБ, а также поставщиков продуктов и услуг, в т.ч. по информационной безопасности.

⏩Наши эксперты отметили следующие тенденции среди ИБ-специалистов производственных предприятий:

• растет уровень осведомленности и заинтересованности в теме информационной безопасности;
• расширяются взгляды и появляются новые подходы к решению различных вопросов.

⏩Несколько экспертов организаций также поделились своим опытом снижения потенциальной категории значимости объектов КИИ при проведении категорирования путем построения аналоговых дублирующих систем съема информации, а также успешного обоснования такого подхода во ФСТЭК России.

Обратная связь, полученная в рамках форума, показывает, что вопросы, связанные с защитой информации на промышленных предприятиях, сегодня особенно актуальны.

🧠Социальная инженерия с помощью ИИ

На недавней конференции DEFCON32 специалист по информационной безопасности Джейсон Стрит раскрыл некоторые грани применения искусственного интеллекта в социальной инженерии. Он продемонстрировал, что в эпоху ИИ организации и люди становятся менее защищенными, а возможности злоумышленников — ещё шире.

Наш эксперт Дмитрий Башков посмотрел выступление Джейсона Стрита и описал несколько ситуаций использования ИИ в социальной инженерии:

💂Фабрика фейковых реальностей

Начнем с окружения, ведь важной частью атаки является убедительность происходящего для потенциальной жертвы и тщательно продуманная легенда.
Стрит показал, как с помощью ИИ можно буквально за несколько минут создать полностью фальшивый корпоративный сайт. Визитки и мерч, конечно, тоже прилагаются.

Что Джейсон попросил написать ИИ:
✅биографии вымышленных сотрудников, в т.ч. топ-менеджмента. Сюда входит сама биография, образование, карьерный трек и специализация;
✅история компании, которой можно доверять;
✅убедительные описания услуг;.

Чего-то не хватает? Верно, фото сотрудников. Но Стрит легко их сгенерировал на сайте такогочеловеканесуществует .ком

💂Социальная мимикрия

Представим, что злоумышленник проникает на территорию организации (например, сразу в серверную), и теперь успех его злодеяний зависит в том числе от того, насколько эффективно он сможет раствориться в неизвестной ему среде.

Как может помочь ИИ:
✅рассказать про особенности местного менталитета, включая сленг, жаргон, особенности произношения и местный фольклор.
✅дать короткую методичку по общению: с каких фраз лучше всего начинать общение с малознакомыми людьми и влиться в доверие, как задавать наводящие вопросы, которые незаметно выведут собеседника на раскрытие конфиденциальной информации и т.д.

Сами по себе описанные ситуации не являются преступлением, ведь любому человеку и правда может потребоваться помощь в создании контента (пусть и фейкового) или развитии навыков общения.

Но что будет, если поставить ИИ задачи, так сказать, «на грани»? Рассмотрим этот вопрос завтра.

#ИИ

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣Новостной дайджест прошедшей недели

🗣Единый законопроект о мерах по борьбе с кибермошенничеством планируется внести в Госдуму весной 2025 года
Кроме того, в разработке находится комплекс мер по борьбе с дипфейками.

🗣ФСТЭК России проверит квалификацию ИБ-руководителей
Ведомство представило проект программы переподготовки руководителей, отвечающих за вопросы информационной безопасности.

🗣За 10 месяцев кибер- и телефонные мошенники похитили более 158 млрд рублей
Это на два млрд рублей больше, чем в 2023 году.

🗣Минцифры предложило новые правила для включения в реестр российского ПО
По мнению министерства, изменения простимулируют разработчиков повышать зрелость собственных продуктов и поддержат переход госкомпаний на отечественные решения.

🗣Роскомнадзор за 11 месяцев текущего года зафиксировал 127 случаев распространения в интернете баз данных
В утекших БД содержалось более 680 млн записей о россиянах.

🗣ФСТЭК России зафиксировала фишинговые атаки, направленные на органы государственной власти и субъекты КИИ
Хакерские группировки проводят рассылки от имени государственных органов, физических и юридических лиц.

🗣Российский медицинский ИИ-ассистент сдал врачебный экзамен на 92%
Система уже активно помогает практикующим врачам экономить до 70% времени при работе с медицинской документацией.

🗣Минцифры хотят ограничить возможность использования сим-боксов и виртуальных автоматических телефонных станций
Сейчас применение этих решений практически не регулируется и активно используется мошенниками.

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🦏Кража почти 3 млрд строк персональных данных.

🦏Фишинговая атака на Microsoft.

🦏Утечка данных 600 млн пользователей Discord.

В 2024 году кибератаки затронули крупнейшие компании и госструктуры. Подробнее о самых резонансных инцидентах, их причинах и последствиях.
⬇️

📣Построй карьеру в AKTIV.CОNSULTING

На нашем сайте появился новый раздел «Карьера», в котором публикуются актуальные вакансии AKTIV.CОNSULTING. Если вы хотите попасть к нам в команду, но не нашли нужной позиции, на странице вы также найдете форму для связи с нами.

➡️Перейти в раздел «Карьера»

Сейчас мы в поиске Специалиста по безопасной разработке (Application security, DevSecOps), который:

🦓не понаслышке знает, что такое SAST, DAST, Fuzzing, SCA/OSA и другие инструментальные средства анализа уязвимостей и проверок безопасности ПО, а также готов их внедрять;

🦓легко ориентируется среди стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (OWASP, NIST, ФСТЭК и т.п.);

🦓понимает основные принципы разработки ПО, процессов CI/CD, S-SDLC/DevSecOps;

🦓желает участвовать в создании методологии оказания консалтинговых услуг по безопасной разработке ПО;

🦓готов к созданию экспертных материалов, участию в техническом пресейле и маркетинговых активностях.


Узнать подробнее о вакансии и откликнуться можно по ссылке.

#работа_в_консалтинге

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⚙️Инструменты для пентеста

Продолжаем делиться специализированными утилитами, которые используют этичные хакеры на основных этапах тестирования на проникновения.

⛓Этап «Разведка»

• Bloodhound – ПО, которое выявляет скрытые и часто непреднамеренные отношения в среде Active Directory. Позволяет находить и определять сложные пути атаки, предоставляя информацию в виде графов.

• Enum4linux – инструмент для перечисления информации из систем Windows и Samba. Позволяет получать списки пользователей и информацию об их группах, информацию о домене хоста и ОС, а также перечень общих ресурсов и парольные политики.

• WPScan – blackbox-сканер уязвимостей сайтов на WordPress. Позволяет определять версию WordPress, обнаруживать конфиденциальные файлы, находить имена пользователей и обнаруживать включенные функции, а также выявлять уязвимости.

⛓Этап «Повышение привилегий»

• LinPEAS – автоматизированная утилита для выявления уязвимостей и ошибок конфигурации в системах Linux. Позволяет анализировать различные аспекты системы, помогая выявить и устранить потенциально слабые места безопасности для облегчения повышения привилегий в системах Linux.

⛓Этап «Эксплуатация уязвимостей»

• CrackMapExec – инструмент для тестирования Windows и Active Directory. Позволяет перечислять вошедших пользователей и индексировать общие папки SMB, выполнять автоматические инъекции в память с использованием Powershell и дампить NTDS.dit.

• Mimikatz – приложение с открытым исходным кодом. Позволяет извлекать пароли в виде простого текста, хеши, ПИН-коды и билеты kerberos из памяти.

• Sqlmap – инструмент с открытым исходным кодом для тестирования на проникновение. Позволяет автоматизировать процесс выявления и эксплуатации уязвимости SQL-инъекций и захвата серверов баз данных.

⛓Этап «Закрепление»

• Ngrok – утилита, которая позволяет сделать локальный порт доступным из интернета без настройки NAT, роутера, DDNS и других протоколов через безопасный туннель.

❗️Напоминаем, что использовать данные утилиты можно лишь на своих собственных локальных сетях, серверах, сервисах и сайтах, либо по договору о проведении анализа защищённости или тестировании на проникновения.

#пентест #анализ_защищенности

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Минцифры предложило новые правила для включения в реестр российского ПО

Программные продукты госкомпаний будут включаться в реестр только при отсутствии аналогов в нем, чтобы поддержать коммерческие продукты. Исключения:
- ПО госкомпаний не имеет аналогов в реестре;
- востребованность решений на рынке, доля продаж аффилированным лицам не должна превышать 30%

Для адаптации своих решений под новые требования или переход на коммерческое отечественное ПО будет предусмотрен переходный период. На первом этапе требование коснется узкого перечня классов: ОС, СУБД, средств виртуализации, антивирусов и офисный софт.

Речь идет только о госкомпаниях, инициатива не затрагивает коммерческих разработчиков, подчеркивают в Минцифры.

Изображение: Adobe Stock

🫥Как оценить эффективность проекта по ИБ

Вчера мы рассмотрели ключевые шаги, которые помогут провести анализ завершенного проекта. Сегодня расскажем, какие показатели стоит учесть при подведении итогов.

🦅Финансовые показатели:
• оцените затраты на проект и сравните их с запланированными;
• рассчитайте рентабельность инвестиций (ROI) и другие финансовые метрики.

🦅Качественные показатели:
• оцените удовлетворенность заказчика качеством выполненных работ;
• проведите анализ удовлетворенности команды условиями работы и результатами проекта.

🦅Количественные показатели:
• подсчитайте количество выполненных задач и сравните их с запланированными;
• определите время, затраченное на выполнение каждой задачи, и сравните его с ожидаемым.

🆗На что стоит обратить внимание при подведении итогов:

1. Объективность
Будьте честны и беспристрастны в оценке проекта. Избегайте предвзятости и субъективных мнений.

2. Регулярность
Проводите анализ итогов на постоянной основе, чтобы выявлять тенденции и улучшать процессы.

3. Использование результатов
Применяйте полученные результаты анализа для улучшения будущих проектов и профилактики ошибок.

#практика_РП

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣В России разработали модель на основе искусственного интеллекта, способную вычислять мошенников.

Модель представляет собой программное обеспечения на основе ИИ, занимающееся поиском «аномалий» в финансовых данных, в частности оно может выявлять записи о юрлицах с недостоверными сведениями.

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⚙️Какие специализированные утилиты используют этичные хакеры на основных этапах тестирования на проникновения

Продолжаем делиться практическими инструментами, которые используются при проведении пентестов. Прошлые материалы вы можете найти по тегам #пентест и #анализ_защищенности.

⛓Этап «Анализ Wi-Fi»

• Wifite2 – бесплатная утилита для аудита Wi-Fi сетей с открытыми исходниками. Позволяет сканировать все каналы и сортировать сети по силе сигнала, отображать информацию о подключенных клиентах, наличии WPS и проводить в автоматизированном режиме атаки на сети Wi-Fi.

• Aircrack-ng – набор инструментов для оценки безопасности сети Wi-Fi. Позволяет обнаруживать беспроводные сети, перехватывать проходящий через них трафик и проводить аудит беспроводных сетей.

• Hydra – ПО с открытым исходным кодом для перебора паролей в реальном времени от различных онлайн сервисов, веб-приложений и протоколов. Позволяет выполнять перебор паролей не по хешу, а напрямую.

⛓Этап «Сканирование уязвимостей»

• Nessus – ПО для автоматического поиска известных изъянов в защите информационных систем. Позволяет обнаружить наиболее часто встречающиеся виды уязвимостей.

• Zaproxy – сканер безопасности веб-приложений с открытым исходным кодом. Позволяет манипулировать всем трафиком, который проходит через него, включая трафик с использованием HTTPS, а также в автоматическом режиме обнаруживать уязвимости безопасности в веб-приложениях.

• Burp Suite – интегрированная платформа. Позволяет проводить аудит веб-приложений как в ручном, так и в автоматических режимах, перехватывать и обрабатывать все поступающие от браузера запросы, а также устанавливать сертификаты burp для анализа https соединений.

Ещё больше инструментов — в статье нашего эксперта Артема Храмых на портале CISOCLUB.

➡️ Читать статью

#пентест #анализ_защищенности

💬tg_AC

⚡️Как устроена информационная безопасность в компании, которая является полностью цифровой?

Об этом и не только на примере известного рекрутингового сервиса HeadHunter рассказали приглашенные эксперты нового выпуска подкаста «Безопасный выход» — Станислав Громов, руководитель технического блока по ИБ HeadHunter, и Александр Кондаков, заместитель директора по ИБ.

Смотрите выпуск и вы узнаете:

• Как HeadHunter использует искусственный интеллект.
• С какими основными вызовами ИБ приходится сталкиваться компании.
• Зачем в HeadHunter создали свою команду по DevSecOps.
• Каковы ключевые направления развития ИБ в HeadHunter.
• Почему свобода является одной из ключевых ценностей в HeadHunter.

📺 VK Видео

📺 Rutube

📺 YouTube

🎼 Podster

Делитесь своими впечатлениями в комментариях под видео!

#подкаст #Безопасныйвыход

💬tg_AC

🫥За что отвечает Data Protection Officer в России?

Одним из элементов должного регулирования процессов обработки и защиты персональных данных является закрепление внутри организаций, обрабатывающих ПДн, необходимых видов ответственности. В зависимости от законодательства конкретной страны такая ответственность может возлагаться как на конкретных лиц, так и на целое подразделение.

Сегодня давайте рассмотрим, как данный аспект регламентируется в нашей стране.

➡️Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ предусматривает назначение ответственного за организацию обработки ПДн (п.1 ст.18.1). Среди его обязанностей (согласно ч.4 ст.22.1) — осуществление внутреннего контроля, осведомление работников оператора, обработка запросов субъектов ПДн. Сведения об ответственном оператор должен направлять в Роскомнадзор.

➡️Постановление Правительства РФ от 1.11.2012 № 1119 предписывает назначить ответственного за обеспечение безопасности ПДн в информационной системе при обработке ПДн третьего и второго уровней защищенности (п.14). В случае обработки ПДн первого уровня защищенности (п.16), необходимо наличие подразделения, ответственного за обеспечение безопасности .

Требования Федерального закона № 152-ФЗ и Постановления № 1119 могут показаться не гармонизированными друг с другом. Однако, следует понимать, что ответственный за организацию обработки ПДн назначается на всю организацию в целом, а ответственность за обеспечение безопасности возлагается в пределах каждой ИСПДн.

❗️Организация обработки – более верхнеуровневая функция, а обеспечение безопасности – более прикладная. Второй вид ответственности чаще всего возлагается на администраторов информационной безопасности или системных администраторов, т.к. они обладают нужными навыками для контроля состояния технических мер защиты ПДн.

#ПДн

💬tg_AC

Вебинар «Как автоматизировать учет СКЗИ?»⭐️

📌Когда: 10 декабря 2024 года, в 11:00 по Москве

На вебинаре эксперты Компании "Актив" расскажут, как правильно организовать процесс учета СКЗИ, СЗИ, ключевых документов и сертификатов электронной подписи в соответствии с действующей нормативно-правовой базой.


Основные темы встречи:
🔴Как соответствовать требованиям действующей нормативно-правовой базы по учету средств криптографической защиты информации?
🔴Как контролировать сроки действия и текущий статус сертификатов электронной подписи?
🔴Как провести инвентаризацию используемых в организации СКЗИ, ключей и сертификатов электронной подписи.
🔴Как вести учет СКЗИ, СЗИ, ключевых документов и сертификатов электронной подписи с помощью специализированной системы «Рутокен База».

Вебинар будет полезен руководителям ИТ- и ИБ-подразделений, интеграторам, системным администраторам, сотрудникам органа криптографической защиты, а также всем, кто имеет отношение к учету СКЗИ или сертификатов электронной подписи.

Присоединяйтесь!


Информационный партнер вебинара — Telegram-канал "Об ЭП и УЦ"

⁉️Как устроена информационная безопасность в цифровой компании, и с какими сложностями ИБ-специалистам приходится сталкиваться?

Своим опытом в данных вопросах поделятся эксперты из HeadHunter в свежем выпуске подкаста «Безопасный выход».

Не пропустите!🔥

#подкаст #Безопасныйвыход

💬tg_AC

⚡️Доступна запись дискуссионной онлайн-встречи на тему «Как изменятся технологии, продукты и пользователь в сегментах электронной подписи и многофакторной аутентификации в России», организаторами которой стали Компания «Актив» и портал Anti-Malware.

На специальном эфире AM Live руководители Компании «Актив», а также представители ведущих российских организаций по информационной безопасности и эксперты отрасли обсудили:

⏺современные технологии и продукты, которые в ближайшем будущем изменят сегменты электронной подписи и многофакторной аутентификации, а также интеграцию этих решений в глобальные ИТ-проекты;

⏺развитие технологий и изменение законодательства, которые окажут влияние на сегменты ЭП и МФА в ближайшие годы;

⏺новые и перспективные решения, к которым стоит присмотреться уже сейчас, на стадии планирования инвестиций на 2025 год.


Вас ждет более двух часов полезной информации и интересных фактов:

💙 VK Видео 📺 Rutube 📺 YouTube


🆗Благодарим наших друзей и партнеров за подготовку и участие в онлайн-встрече, отдельно Telegram-канал «Об ЭП и УЦ» и лично Евгения Лахаткина за активную работу, а также Ассоциацию РОСЭУ за предоставленные аналитические данные.

⬇️

🗣Обнаружена новая 0Day-атака, которая позволяет злоумышленникам обойти антивирусные программы, спам-фильтры Outlook и инструменты анализа файлов в песочницах.

Хакеры умышленно повреждают файлы, чтобы скрыть их тип и затруднить обнаружение средствами безопасности. Большинство решений не могут корректно проанализировать такие файлы, что делает их невидимыми для традиционных средств защиты.

❗️Поврежденные файлы активируются только при открытии в специальных программах в режиме восстановления, что злоумышленники используют для обхода защитных систем.

💬tg_AC

🕐 Как законно обрабатывать клиентские персональные данные и делать рекламные рассылки?

Одним из юридических инструментов, используемых в качестве правового основания обработки ПДн, является согласие субъекта, получаемое в электронном или письменном виде. Подобную дефиницию содержит не только хорошо знакомый нам Федеральный закон № 152-ФЗ, но и Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе», который предписывает получать согласие лица, в адрес которого планируется распространение рекламы.

🏳Это касается в первую очередь интернет-сайтов компаний-операторов ПДн, на которых присутствуют формы для ввода контактных данных. Данные формы используются как для регистрации личного кабинета, так и для направления обращений и отзывов. В обоих случаях компания-оператор чаще всего использует получаемые ПДн не только в рамках одной из перечисленных целей, но и для направления потенциальному или текущему клиенту рекламных сообщений, каких-либо приглашений и предложений.

Для отделов маркетинга компаний-операторов использование такой базы клиентских контактов является необходимостью. Однако, чтобы делать это законно, важно сразу соблюсти несколько требований к получению двух видов согласий.

❗️Напомним, что в случае их невыполнения предусмотрены штрафы:

• за отсутствие согласия субъекта ПДн или некорректное его оформление согласно Федеральному закону № 152-ФЗ – штраф до 300 тыс. рублей;
• за отсутствие согласия лица, в адрес которого распространяется реклама, согласно Федеральному закону № 38-ФЗ – штраф до 500 тыс. рублей.

Как нужно обрабатывать клиентские ПДн?

✅Во-первых, важно с самого начала правильно определить цели обработки ПДн и отразить это в организационно-распорядительной документации, а также при направлении информационного письма в Роскомнадзор.

Цель, связанная с маркетингом, может звучать примерно так:

➡️ «Направление рекламных сообщений клиентам, давшим на это согласие».
➡️ «Предоставление клиентам информации (рекламы), которая потенциально может представлять для них интерес».
➡️ «Информирование клиентов о текущих акциях компании и персональных предложениях».

Если при направлении рекламных сообщений посредством email-рассылки и смс-сообщений компания-оператор использует услуги сторонних юридических лиц (сервисов автоматизированных рассылок), факт передачи ПДн клиентов необходимо корректно отразить в заключаемых с такими ЮЛ договорах. Также рекомендуем предварительно проверять информацию о таких ЮЛ в реестре операторов ПДн на сайте РКН.

✅Во-вторых, необходимо верно оформить на сайтах и в мобильных приложениях чек-боксы, используемые для подтверждения клиентом согласия на обработку ПДн и получение рекламы.

Чек-боксов обязательно должно быть два – соединять их в один нельзя. Чек-бокс на обработку ПДн можно сделать обязательным, а чек-бокс на получение рекламы – нет. Таким образом, клиент должен иметь возможность оформить заказ или зарегистрировать личный кабинет без необходимости предоставления разрешения получать рассылки.

Изначально чек-боксы должны быть пустые – клиент должен поставить галочки самостоятельно. Также есть требования к тексту подписей к чек-боксам. Нельзя вводить пользователя в заблуждение, формулируя вместо «Согласен на получение рекламы», например, «Согласен на получение полезных информационных сообщений». А в подписи к чек-боксу для получения согласия на обработку ПДн рекомендуем сделать кликабельную ссылку на текст этого согласия.

❗️Также напомним, что покупка клиентских баз или обмен базами с другими компаниями не могут являться законными инструментами, и в случае проверки регулятора (ФАС или РКН) невозможно будет доказать наличие согласий субъектов на обработку ПДн и получение рекламных рассылок.

#ПДн

💬tg_AC

🔓Коллеги, поздравляем вас с Днем защиты информации!

Желаем вам преумножать знания, всегда быть готовыми ко всем проверкам и оперативно реагировать на любые изменения в регуляторике.

Пусть сотрудники будут киберграмотными, а все «сливы» остаются лишь фруктами.

С праздником!👏

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Минпромторг систематизирует импортозамещение в КИИ
Министерство планирует создать систему, которая позволит контролировать реализацию планов по переходу на отечественные решения всех субъектов КИИ.

🗣Роскомнадзор хочет ограничить сбор персональных данных
Для этого предлагают стандартизировать шаблоны для сбора ПДн по отраслям и провести общую ревизию правовых оснований для сбора этой информации.

🗣ФСТЭК России предложили создать критерии доверенности для мобильных ОС на базе Android, используемых на КИИ
Это связано с рисками безопасности, обновлений и лицензирования.

🗣Правительство планирует проверять обученные на госданных модели ИИ на предмет угрозы национальной безопасности и обороны страны
Для этого до 2028 года рассчитывают создать и внедрить первую версию ПО, которое будет отвечать за такие проверки.

🗣Минцифры совместно с правоохранительными органами и Банком России разработало план по борьбе с мошенниками
Пакет законопроектов включает около 30 мер, направленных на защиту граждан от мошеннических схем с использованием ИТ.

🗣Минэкономразвития предложило распространить оборотные штрафы за утечки персональных данных на поставщиков решений в области ИБ
Это может быть применимо в случае, если утечка произошла, и специализированное ПО не смогло обеспечить должный уровень защиты.

🗣В российские автомобили хотят внедрить отечественные системы защиты от кибератак
В начале 2025 года при поддержке Минпромторга и Минтранса будет запущен проект по оснащению автомобилей решениями по ИБ.

🗣Отчет: больше всего специалистов в области ИИ работает в организациях сферы ИТ и связи
Всего в обследованных компаниях доля работников с профессиональными и пользовательскими компетенциями в области ИИ составляет 8,5% общей численности персонала.

💬tg_AC

👀Инструменты для OSINT

Продолжаем делиться практическими инструментами для проведения пентестов. Сегодня обсудим, какими специализированными утилитами пользуются этичные хакеры для сбора информации о своей цели. Что такое OSINT рассказывали в этом посте.

Итак, вот набор наиболее распространенных инструментов OSINT и для чего их следует применять:

• Maltego – OSINT-фреймворк с графическим интерфейсом для сбора информации о цели из всевозможных источников. Позволяет найти информацию о нужном объекте по заданным параметрам в глобальной сети, анализировать зависимости и данные в режиме реального времени, а также получать информацию в виде схем/графов.

• Shodan – поисковик по интернету вещей. Позволяет оценивать уровень распространения тех или иных устройств, операционных систем и веб‑инструментов, а также выяснять текущий уровень проникновения интернета в любые регионы – от квартала до континента.

• Netlas.io – инструмент для сбора информации о сетях. Позволяет просканировать каждый IPv4-адрес, все известные веб-сайты и веб-приложения, при этом вся информация собирается только ненавязчивыми методами. Также используется для обнаружения поверхности атаки при пентесте.

• Sherlock – один из самых популярных OSINT-инструментов. Позволяет путем поиска по огромному количеству сайтов определить, зарегистрирован ли там пользователь с указанным никнеймом.

• Snoop – OSINT-инструмент по поиску никнеймов. Позволяет получить лучшие результаты поиска информации по никнейму.

• Epieos – OSINT-инструмент, который позволяет выполнять обратный поиск по электронной почте или телефону, находить все профили в социальных сетях, связанные отзывы Google и пр.

• Gitleaks – SAST-инструмент с открытым исходным кодом. Позволяет сканировать код из Git репозиториев на наличие утечек и конфиденциальной информации.


Мы настоятельно рекомендуем использовать данные инструменты исключительно в ознакомительных целях или в рамках исполнения обязательств по заключенным договорам.

#пентест #анализ_защищенности #OSINT

💬tg_AC

Ключевые события и тренды российского ИТ-рынка

Сегодня на TAdviser SummIT представители ИТ-рынка обсуждают итоги и ключевые события года.
Как правило, крупные отраслевые форумы проходят без онлайн-трансляции, но мы считаем, что итоги года важны и полезны для сообщества «Продвигай ИТ», особенно, в момент планирования стратегии продвижения. Делимся роликом и тезисами, прозвучавшими в нем.

В первом полугодии этого года зафиксирован рост ИТ-отрасли на 63%.
· Образуются супер-вендоры, объединяющие вокруг себя экосистемы ИТ-продуктов: 1С, Астра, Ростелеком, Ядро, Т1, Softline, Сбер и другие.
· Наращивают функционал своих продуктов отечественные вендоры ERP и MES, СУБД и систем виртуализации, офисных приложений и ВКС, PLM и САПР.
· Производители средств информационной безопасности - Positive Technologies, Код безопасности, Солар и многие другие - практически полностью закрыли потребности заказчиков в большинстве классов решений.
· Облачные провайдеры, такие как Яндекс Cloud, строят новые ЦОДы, пытаясь удовлетворить высокий спрос.

Россия входит в топ-10 стран мира по числу центров обработки данных. При этом на рынке сохраняется дефицит мощностей.
Продукты таких российских вендоров, как Manticore, делают ЦОДы эффективнее. Но и планы строительства новых дата-центров в нашей стране весьма амбициозны.

ИИ-разработчики запускают новые нейросетевые модели, производители вычислительной техники и электроники – новые заводы.

Формируются интегрированные программно-аппаратные комплексы для построения ИТ-инфраструктур от Дата.ру, OpenYard, Скала-Р и целого ряда других поставщиков.

Путь, который мировой ИТ-рынок проходил на протяжении 30-40 лет, нужно освоить за 8-10 лет.

В мае 2024 года президент Владимир Путин подписал указ «О национальных целях развития РФ», согласно которому:

к 2030 году не менее 80 процентов российских организаций ключевых отраслей экономики должны перейти на использование базового и прикладного российского программного обеспечения в системах, обеспечивающих основные производственные и управленческие процессы.
Этот указ касается не только государственных органов и организацией, но и коммерческих компаний. Механизмы стимулирования пока не выработаны.

Целый ряд крупнейших заказчиков уже ведут масштабные проекты импортозамещения, вот лишь несколько наиболее заметных инициатив 2024 года:

• ВТБ отказывается от виртуализации на базе Citrix и переходит на российские системы виртуализации «Базис»
• Русгидро меняет SAP на учетную систему 1С
• «Почта России» переводит 130 тыс. рабочих мест с Windows на операционную систему «Альт»
• «Дом.РФ» переезжает с импортных серверов на Аквариус и Yadro
• Казначейство заменяет СУБД Oracle на отечественную Postgres Pro
• Мессенджер Express и разработки на его основе получают распространение в РЖД, Росатоме, Норникеле и других корпорациях взамен WhatsApp
• Отделившись от Schneider Electric компания Systeme Electric заменила импортные решения для управления процессами и документами на российский Directum RX

Но не стоит считать, что сложности позади и технологический суверенитет России уже наступил.

На текущем этапе далеко не все пожелания заказчиков отечественные вендоры способны реализовать. Среди проблемных зон аналитики TAdviser выделяют:
- слабую совместимость ИТ-продуктов между собой
- ограниченный функционал и неспособность держать высокие нагрузки
- недостаточно высокий уровень технической поддержки
- иногда высокую стоимость

Есть сложности с электронной компонентной базой. Но есть и план преодоления этих сложностей. Правительство в 2025–2027 годах планирует выделить 175,3 млрд рублей на развитие радио- и микроэлектроники: создание производственного оборудования, разработку базовых материалов, а также на формирование профильной инфраструктуры и расширение номенклатуры электронных изделий.
О канале | Дзен | ВК |Контакты

🟡В Челябинске продолжает свою работу международный форум «Seymartec Digital. Цифровая трансформация в горно-металлургической отрасли».

Олег Симаков, директор по развитию AKTIV.CОNSULTING, подвёл итоги второго дня форума и подробнее рассказал о сессии «Информационная безопасность: технологии, методы и инструменты защиты», одним из спикеров которой стала наш эксперт Ольга Копейкина.

⬇️

❓К чему приведут принятые законопроекты, ужесточающие административную и вводящие уголовную ответственность за утечку персональных данных и их незаконный оборот?

Согласно новым нормам, вводится уголовная ответственность за утечку биометрических данных. Для должностных лиц штраф составит до 300 тыс. рублей, для юрлиц – до 1 млн рублей, а за повторные нарушения штрафы увеличатся кратно.

💬Наш консультант по ИБ Никита Козин отмечает, что высокие суммы штрафов являются хорошим психологическим рычагом, влияющим на отношение операторов ПДн к обеспечению безопасности своих систем. Однако, в законодательство необходимо внести изменения в части процедур выявления утечек – сейчас основным доказательством утечки является обращение самого оператора к уполномоченному органу.

Когда в новостных источниках появляются сообщения об утечках крупных компаний, это может значить абсолютно ничего – ведь большинство таких заявлений являются лишь провокацией, и в самой базе, к которой злоумышленниками якобы был получен доступ, содержится лишь компиляция из уже давно скомпрометированной информации, «гуляющей» по интернету.

⚡️В данный момент нет законодательно установленных процедур, согласно которым уполномоченный орган может провести проверку лишь на основании новости в каком-нибудь телеграм-канале, а также нет и процедур проверки достоверности подобных сведений об утечках.

Таким образом, в текущем состоянии законодательства штрафы будут относиться по большей части к тем операторам, которые самостоятельно решили уведомить об инциденте контролирующий орган.

⁉️Как новое регулирование отразится на российских компаниях – обработчиках ПДн?

Читайте в материале RSpectr с комментарием нашего эксперта.

#ПДн #оборотные_штрафы

💬tg_AC

🌐Ответственность за противоправное использование генеративного ИИ

Согласно исследованию специалистов из HP Wolf Security, в последних кибератаках, произошедших во Франции, использовался вредоносный код, сгенерированный с помощью ИИ. В 2024 году данная новость вряд ли удивит даже рядового пользователя – все мы привыкли, что нейросети активно используются, в том числе мошенниками.

Агентство Европейского союза по сотрудничеству правоохранительных органов, в свою очередь, прогнозирует кратное увеличение количества преступлений, осуществляемых с помощью ИИ-инструментов. При этом НПА, регулирующие использование нейросетей, во многих странах находятся только в стадии разработки (законодательное регулирование ИИ в нашей стране мы рассматривали тут и тут).

📣И именно сейчас, когда доступность технологий возросла, а законодательные границы еще не определены, проблема стоит особенно остро. Основной вопрос в том, кто должен нести правовую ответственность за использование нейросетей в ненадлежащих целях.

Теоретически ответственность можно присвоить:
• разработчику модели ИИ;
• владельцу;
• пользователю модели;
• самому ИИ.

📄Последний вариант требует того, чтобы ИИ был определен в законодательстве как субъект права, что на текущий момент не реализовано ни в одном государстве. Данный путь развития регулирования потребует фундаментальных изменений в НПА и представляется довольно затруднительным.

Кто из оставшихся трех действующих лиц будет виновен, если генеративная модель ИИ использовалась, допустим, для создания дипфейка в целях мошенничества? Очевидна ответственность пользователя, совершающего последующие противоправные действия. Но когда дело касается разработчика или владельца модели ИИ, все уже не так однозначно.

⚙️Производители систем генеративного ИИ самостоятельно вводят ограничения на использование их инструментов: меры безопасности включают как организационные, так и технические. К первым чаще всего относится политика использования, ко вторым — автоматическое блокирование и модерация нежелательного контента, детектирование аномальной активности. Кажется, этический минимум таким образом соблюдается. Однако, важно закрепить в законодательстве перечень необходимых мер (включая вышеперечисленные), и именно их несоблюдение позволит полноправно привлекать виновных к ответственности.

Стоит отметить, что текущее регулирование ИИ сосредоточено в первую очередь на моделях, используемых государством и крупным бизнесом. В этих случаях ответственность владельцев и производителей очевидна, требования по безопасности детально формируются на этапе разработки системы ИИ, а границы и задачи эксплуатации четко определены.

❗️Общедоступный генеративный ИИ требует несколько другого подхода ввиду отсутствия предопределенных целей применения и размытого портрета конечного пользователя.

#ИИ

💬tg_AC

⚡️Госдума приняла во втором и в третьем чтении законы об усилении административной и уголовной ответственности за утечки персональных данных и их незаконный оборот.

Теперь в отдельных ситуациях штрафы для юридических лиц могут достигать 500 млн рублей.

↔️Также в Уголовный кодекс вводится новая статья, касающаяся незаконного использования ПДн, с установлением штрафа до 300 тыс. рублей, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок.

#ПДн #оборотные_штрафы

💬tg_AC

🔔В Челябинске стартовал международный форум «Seymartec Digital. Цифровая трансформация в горно-металлургической отрасли».

Дмитрий Башков, руководитель направления по работе с клиентами AKTIV.CОNSULTING, кратко рассказал о мероприятии и поделился первыми итогами форума.

Подробности на видео
⬇️

Если вы являетесь гостем события, приглашаем на наш стенд в выставочной зоне конференции! Там вы сможете пообщаться с нашими специалистами и получить консультацию по вопросам обеспечения ИБ предприятий и, в частности, построения СОИБ ОКИИ.

Приходите знакомиться!👋

🔆Законодательное регулирование ИИ в России. Часть 2

Продолжаем рассматривать нормативные правовые документы и стандарты, регламентирующие сферу искусственного интеллекта в нашей стране:

➡️ГОСТ Р 59898-2021 «Оценка качества систем искусственного интеллекта. Общие положения»
Устанавливает общие требования к оценке качества систем ИИ, включая виды существенных характеристик систем ИИ, подтверждение значений которых установленным требованиям обеспечивает доверие к этим системам; порядок выбора и оценки метрик качества на основании представленного набора существенных характеристик.

➡️ГОСТ Р ИСО/МЭК 24668-2022 «Информационные технологии. Искусственный интеллект. Структура управления процессами аналитики больших данных»
Описывает рамочную структуру для разработки процессов, обеспечивающих эффективное использование возможностей аналитики больших данных в масштабах всей организации, вне зависимости от ее принадлежности к определенному сектору или отрасли.

➡️ПНСТ 776-2022 «Информационные технологии. Интеллект искусственный. Управление рисками»
Описывает рекомендации по управлению рисками, с которыми сталкиваются организации при разработке и применении методов и систем ИИ. Рекомендации также направлены на оказание помощи компаниям с интеграцией управления рисками в их деятельность и функции, связанные с ИИ. Кроме того, в документе описаны процессы эффективного внедрения и интеграции интеллектуальных систем управления риском.

#ИИ

💬tg_AC

⚡️Подробнее опубликованный приказ ФСТЭК России мы рассматривали в этом посте.

💬tg_AC

​​ ➡️ Изменения в 17-й и 239-й приказы ФСТЭК

Официально опубликован приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

Документом вносятся изменения в части установления требований о защите информации от угроз типа «отказ в обслуживании».

Одновременно ФСТЭК России информирует, что текст приказа ФСТЭК России от 11.02.2013 № 17 с внесенными изменениями размещен на официальном сайте ФСТЭК России www.fstec.ru в разделе «Главная страница/Документы/ Приказы/Техническая защита информации».

📣Новостной дайджест прошедшей недели

🗣Государство создаст единую платформу по противодействию кибермошенникам
Платформа будет объединять такие системы, как «Антифрод» РКН, «Антифишинг» и «Мультисканер» Минцифры, ФинЦЕРТ ЦБ, а также сервисы борьбы с кибермошенниками телеком-операторов и банков.

🗣Минцифры обсуждает с операторами запрет на отправку sms-сообщений во время звонка
Предполагается, что это предотвратит передачу конфиденциальной информации, например, раскрытие полученных на телефон кодов.

🗣В России могут сделать базу биометрических образцов мошенников, а также прописать внедрение ИИ для борьбы с злоумышленниками
Эти меры предлагается включить в новый большой закон, посвященный кибербезопасности.

🗣Ежедневно россияне пытаются зайти на 2 млн фишинговых страниц
Чаще всего это сайты с новостями, поддельные инвестиционные ресурсы, мессенджеры и соцсети.

🗣Исследование: самые дефицитные IT-специалисты
Наибольшую нехватку компании наблюдают среди разработчиков (57,2%) и специалистов по информационной безопасности (38,5%).

🗣В Совфеде хотят обязать мессенджеры оповещать о способах мошенничества
Также сенаторы предлагают, чтобы мессенджеры при первой их установке показывали пользователю самые распространенные в интернете мошеннические схемы.

💬tg_AC

🗣В России предложили ввести уголовную ответственность за создание или обеспечение работы сайтов, страниц сайтов и программ, предназначенных для незаконного оборота персональных данных.

Так, за создание или обеспечение функционирования такого сайта предусмотрено наказание в виде штрафа до 700 тыс. рублей, либо принудительных работ или лишения свободы на срок до пяти лет с аналогичным штрафом.

❗Также комитет ГД одобрил ко II чтению поправки в КоАП, в том числе усиливающие административную ответственность за утечки персональных данных.

#ПДн #оборотные_штрафы

💬tg_AC

❤️Знакомство с командой AKTIV.CОNSULTING

Продолжаем рассказывать вам больше о наших сотрудниках, их экспертном пути и достижениях. Сегодня делимся интересными фактами про Олега Симакова, директора по развитию AKTIV.CОNSULTING.

⏩Работает в сфере ИТ и ИБ с 2001 года, в том числе на руководящих позициях.

⏩Отвечает за выстраивание бизнес-процессов оказания услуг и продаж в AKTIV.CОNSULTING, контролирует сроки исполнения проекта и оценку его эффективности в соответствии с задачами заказчика.

⏩Курирует создание продуктивной модели управления сотрудниками, куда входит настройка прозрачной системы грейдов, наём и повышение квалификации сотрудников, внедрение системы материальной и нематериальной мотивации, разработка внутренней базы знаний.

⏩Занимается стратегическим развитием AKTIV.CОNSULTING, в том числе развитием и пополнением продуктового портфеля нестандартными услугами, связанными с внедрением процессов обеспечения защиты информации, операционной надежности и управления рисками информационных угроз, а также с услугами по безопасной разработке.

⏩Является постоянным экспертом отраслевых изданий, выступает в роли спикера и модератора на крупнейших мероприятиях ИБ-отрасли.

#команда_АС

💬tg_AC

📣19 ноября прошел День безопасной разработки ПО, организатором которого стала Ассоциация разработчиков программных продуктов «Отечественный софт».

Наш консультант по ИБ Владислав Крылов принял участие в мероприятии и поделился основными моментами конференции.

🔔Ключевым докладом стало выступление заместителя начальника 2-го управления ФСТЭК России Ирины Гефнер о совершенствовании НПА и методических документов по вопросам сертификации СЗИ.

Представитель регулятора еще раз напомнила о вступившем в силу приказе ФСТЭК России от 27.07.2023 № 147, в котором определен порядок аттестации экспертов-работников органов по сертификации и испытательных лабораторий. Также она упомянула об утвержденном приказом ФСТЭК России от 01.12.2023 г. № 240 Порядке проведения сертификации процессов безопасной разработки программного обеспечения (БРПО) средств защиты информации.

Согласно данному документу, предполагаются следующие этапы сертификации:

⏩Подача изготовителем СЗИ заявки на сертификацию во ФСТЭК России.

⏩Рассмотрение заявки и оформление (отказ в оформлении) решения на сертификацию.

⏩Направление руководства по БРПО в орган по сертификации.

⏩Проведение сертификации, а именно:
• проверка наличия у изготовителя средств разработки ПО и средств проведения композиционного, статического и динамического анализа ПО;
• проверка выполнения требований к обучению специалистов изготовителя;
• реализация изготовителем процессов безопасной разработки, приведенных в руководстве и в документации.

⏩Оформление органом по сертификации протоколов и экспертного заключения.

⏩Принятие решения о выдаче сертификата соответствия.

На данный момент сертификация БРПО является добровольной, и ее основное назначение – оценка от ФСТЭК России корректности реализации требований и наличия соответствующих специалистов.

В своем выступлении представитель регулятора рассказала о ближайших планах в сфере БРПО. Ключевой задачей является создание унифицированной среды безопасной разработки отечественного ПО.

Также был сделан акцент на следующих подзадачах на 2025-2030 годы:
▶️создание облачной платформы, предоставляющей средства разработки безопасного ПО как сервис;
▶️применение технологий ИИ в инструментах жизненного цикла безопасного ПО;
▶️развитие набора квалифицированных тестов для инструментов жизненного цикла безопасного ПО;
▶️расширение номенклатуры языков программирования, подлежащих анализу.

#БРПО

💬tg_AC

Инструменты для пентеста. Часть 2

Продолжаем делиться практическими инструментами для проведения пентестов. Сегодня давайте рассмотрим, какие ещё специализированные утилиты используют этичные хакеры и на каких этапах тестирования на проникновение их применяют.

🆗Разведка:

• Maltego – ПО с графическим интерфейсом для разведки и компьютерно-технической экспертизы. Позволяет анализировать зависимости и данные в режиме реального времени в виде графов.
• dnsdumpster.com – бесплатный инструмент для исследования домена. Позволяет обнаруживать видимые хосты и поддомены, связанные с основным доменом.
• Wig – инструмент по сбору информации о веб-приложениях. Позволяет идентифицировать ряд систем управления контентом (CMS) и другие административные приложения.

🆗Первичное подключение в локальную сеть:

• Arpsсan – утилита для ARP сканирования локальной сети. Позволяет обнаруживать все подключенные к сети устройства, в т.ч. на ОС Linux и скрытые.
• Netdiscover – инструмент активного/пассивного поиска адресов. Дает возможность пассивно обнаруживать сетевые хосты, а также искать их активно, отправляя ARP-запросы.

🆗Перехват и анализ трафика:

• Tcpdump – утилита для анализа и фильтрации сетевых пакетов. Позволяет прослушивать трафик, а также проверять его маршрутизацию, диагностировать потерю пакетов и пр.
• Wireshark – графическая утилита для анализа трафика. Позволяет просматривать весь проходящий по сети трафик в режиме реального времени.

🆗Атака на сетевые устройства в локальной сети:

• Yersinia – фреймворк для выполнения атак второго уровня модели OSI. Позволяет использовать недостатки безопасности в различных сетевых протоколах для анализа и тестирования сетей и систем.

Мы привели примеры свободно распространяемых утилит, но ПО Maltego также имеет и коммерческую версию с большим обхватом источников для сбора информации и более продвинутым функционалом.

❗Обращаем внимание, что использовать данные утилиты можно лишь на своих собственных локальных сетях, серверах, сервисах, сайтах или по договору о проведении анализа защищённости или тестировании на проникновения.

#пентест #анализ_защищенности

💬tg_AC

🗣Минцифры: в законопроекте об оборотных штрафах за утечку ПДн не будет норм о страховании и денежных компенсациях пользователям, чьи данные утекли. Глава министерства объяснил это тем, что ни по одному составу административных правонарушений нет такой нормы.

В начале ноября обсуждалось предложение определять размер компенсации в зависимости от типа данных (от 1000 до 5000 рублей на одного человека). Но, по словам Минцифры, вопрос компенсаций снят с обсуждения.

💬Также предполагается, что Госдума вернется к рассмотрению законопроекта об оборотных штрафах до конца года.
#ПДн #оборотные_штрафы

💬tg_AC

📣С 26 по 28 ноября в Челябинске пройдёт IX международный форум «Seymartec Digital. Цифровая трансформация в горно-металлургической отрасли».

📣Одним из спикеров мероприятия станет наш эксперт Ольга Копейкина. В своем докладе «Защита объектов критической инфраструктуры на базе АСУ ТП без влияния на конструктив» она расскажет о практике комплексной защиты технологических объектов КИИ с использованием метода укрупнения (обобщения) и кластеризации уровня взаимодействия и обеспечения безопасности.

В своем выступлении эксперт сделает акцент на возможности минимизации затрат на построение СОИБ ОКИИ, а также сохранении защищаемых систем в по возможности неизменном виде, без затрагивания конструктива.

🕔Не пропустите выступление Ольги, которое запланировано 27 ноября в блоке «Информационная безопасность: технологии, методы и инструменты защиты» с 17:10 до 18:10 (зал Galaxy 1).

⚡️Также будем рады лично с вами познакомиться. Приглашаем на наш стенд в выставочной зоне конференции! Там вы сможете пообщаться с нашими специалистами и получить консультацию по вопросам обеспечения ИБ предприятий и, в частности, построения СОИБ ОКИИ.

До встречи!

💬tg_AC

📢Ключевые моменты встречи ФСТЭК России с компаниями-разработчиками средств защиты информации по теме БРПО

В конце октября ФСТЭК России провела большое совещание с представителями компаний-разработчиков СЗИ. Одной из тем обсуждения стали вопросы безопасной разработки программного обеспечения (БРПО) и их сертификации.

Наш коллега Евгений Ларионов, менеджер проектов по сертификации и информационной безопасности Компании «Актив», поделился некоторыми важными моментами встречи:

🦓Утвержден новый ГОСТ Р 56939-2024 по безопасной разработке, который вступает в силу с 20 декабря 2024 года. Подробнее его рассматривали в этом посте.

🦓С 1 ноября этого года при подаче во ФСТЭК заявки на сертификацию необходимо предоставить перечень заимствованных компонент. Далее во ФСТЭК будет сформирован план испытаний таких компонент, и затем, после получения сертификата на продукт, регулятор направит план поддержки заимствованных компонент. Кроме того, уже в этом месяце должна появиться методика формирования перечней заимствованных компонент.

🦓Сертифицировать процессы безопасной разработки пока можно в одном органе — ИСП РАН (на данный момент уже выдан один сертификат, на очереди ещё семь компаний). Сам процесс занимает около двух месяцев, но из-за большой загрузки начало работ может сильно сдвинуться (например, те, кто подает заявление сейчас, начнёт проходить испытания не раньше лета 2025 года).

🦓Процесс сертификации будет включать проверку документации по БРПО, интервьюирование персонала по теме внедрения процесса БРПО, а также испытание процессов на конкретном программном изделии (достаточно показать весь процесс от и до на одном продукте).

🦓Также были отмечены изменения в Приказ ФСТЭК России N17. В документ добавлены новые меры по защите информации, при этом большой акцент сделан на защиту от атак, направленных на отказ в обслуживании (anti-DDoS).

Больше информации – в статье CISOCLUB.
#БРПО

💬tg_AC

📣Список интересных мероприятий на декабрь

🌐 Конференция «Конкурентная разведка. OSINT & Экономическая безопасность (КРЭБ’2024)»
4 декабря, Москва
Участники обсудят аспекты обеспечения корпоративной безопасности, новые угрозы и тренды, а также актуальные решения.

🌐 Конференция CNews «Российские программно-аппаратные комплексы 2024»
4 декабря, Москва
Эксперты рассмотрят роль ПАК в развитии российского рынка ИТ и обсудят проблему обеспечения совместимости отечественных программных и аппаратных продуктов в ходе импортозамещения.

🌐 АнтиФрод Россия’2024
5 декабря, Москва
Среди ключевых тем форума — противодействие мошенничеству, социальная инженерия, генеративные нейросети, Big Data и антифрод.

🌐 Конференция «Сетевая безопасность»
9 декабря, Москва
На мероприятии будут рассмотрены решения для противодействия DDoS-атакам и сетевым утечкам, инструменты для управления уязвимостями, а также сервисы разведки угроз, защиты веб-приложений и электронной почты.

🌐 VK Security Confab Max
11 декабря, Москва
Первая конференция VK по практической ИБ, основными темами которой станут SOC, AppSec, безопасность пользователей, облаков и инфраструктуры.

🌐 SecurityTech 2024
11 декабря, Москва
Конференция направлена на освещение текущих проблем и вызовов информационной безопасности, стоящих перед государством и бизнесом.

🌐 Онлайн-конференция Go Digital
11-13 декабря
Участники смогут узнать о перспективных разработках и решениях в области цифровизации, а также изучить лучшие стратегии и практики внедрения инноваций и управления изменениями в организациях.

🌐 Конференция «Киберсъезд»
12 декабря, Москва
На мероприятии будут обсуждаться актуальные вызовы цифровой киберэпохи, модели построения кибербезопасности, опыт передовых компаний и экспортный потенциал российских решений.

💬tg_AC

🗣«123456», «password» и «qwerty123» вошли в топ-5 самых популярных паролей.

Для подготовки списка самых худших и распространенных паролей года эксперты проанализировали базу данных объемом 2,5 ТБ. Она собрана из различных открытых источников, включая даркнет (например, пароли, украденные инфостилерами или попавшие в открытый доступ из-за утечек данных).

🛡Специалисты выяснили, что пароль «123456» использовался более 3 млн раз, причем на его взлом уходило менее секунды. Согласно ещё одному исследованию, 8-значный пароль может быть взломан всего за 37 секунд, если он включает только цифры без букв и символов. Подробнее об этом рассказывали тут.

💬tg_AC

🫥Подведение итогов проекта: как сделать это быстро и эффективно

Подведение итогов проекта — важный этап, который помогает не только оценить результаты, но и извлечь уроки для будущих проектов. Вот несколько советов, как сделать этот процесс быстрым и эффективным, не жертвуя качеством:

➡️Создайте шаблоны для итоговых отчетов, чтобы ускорить процесс написания
Это поможет вам структурировать информацию и избежать лишних деталей. Например, мы в своей работе используем такие шаблоны и заполняем их после каждого завершенного проекта: таблица аспектов менеджмента, саммари проекта, паспорт проекта и кейс с описанием.

➡️Регулярно публикуйте отчеты о статусе проекта
Это позволит всем заинтересованным лицам быть в курсе ситуации и своевременно выявлять проблемы. Например, можно проводить еженедельные или ежемесячные обзоры, чтобы отслеживать прогресс и вносить коррективы.

➡️Храните все обновления, задачи и цели проекта в одном месте, используя инструменты управления проектами
Это облегчит доступ к информации и ее актуализацию. Инструменты управления проектами позволяют отслеживать задачи, сроки их выполнения и прогресс, что упрощает процесс подведения итогов.

➡️Включайте в отчет только самую важную информацию
Избегайте лишних деталей, чтобы финальный текст был кратким и понятным.

➡️После завершения проекта сформируйте итоговый отчет, в котором резюмируйте основные результаты и выводы
Включите информацию о достигнутых целях, а также тех проблемах, с которыми столкнулась ваша команда. Если их грамотно проанализировать, можно извлечь полезные уроки для будущих проектов.

Надеемся, эти простые советы помогут вам легче, быстрее и эффективней подводить итоги выполненной работы. #практика_РП

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣ФСТЭК составит рейтинг объектов КИИ с самой плохой информзащитой
Пока такой рейтинг будет носить рекомендательный характер, т.е. никаких санкций за попадание в него не будет.

🗣В России готовят новый закон о работе «белых хакеров»
Авторы предлагают обязать все компании, относящиеся к КИИ, проводить тестирование, а также установить финансовые требования к операторам платформ Bug Bounty.

🗣Безопасная обработка данных станет приоритетным направлением нового нацпроекта «Экономика данных»
Также среди важных направлений — применение квантовых технологий и ИИ, расширение возможностей системы ЭДО и развитие отечественного ПО.

🗣Сбер: к 2026 году утечки данных из-за ИИ могут вырасти в четыре раза
К 2026 году с использованием ИИ будет проводиться 70% кибератак, из-за чего более 200 млрд строк данных по всему миру могут утечь.

🗣Эксперимент по повышению уровня защищённости ГИС ФОИВ предлагается вновь продлить
Сроки эксперимента продлевались уже два раза, в свежем проекте постановления указан новый дедлайн — до конца 2025 года.

🗣Минцифры хочет ввести «государственные тарифы» за участие в программе Bug Bounty
Участники рынка отмечают, что заинтересовать программистов работой с госсектором можно будет, только если тарифы на участие будут не ниже рыночных.

🗣Исследование: 10 самых перспективных тенденций, которые будут определять развитие отечественной IT-отрасли в 2025 году
Среди ключевых трендов — управление безопасностью и рисками в области ИИ, адаптация и импортозамещение практик использования IT, цифровые двойники.

💬tg_AC

🗣Нижний порог штрафа за повторные утечки ПДн для компаний может быть увеличен с 0,1% до 1% от годовой выручки. Об этом говорится в проекте поправок в КоАП, предусматривающих оборотные штрафы за повторную утечку ПДн.

В новой версии законопроекта также появились смягчающие обстоятельства: компания должна инвестировать не менее 0,1% годовой выручки в мероприятия, посвященные ИБ, на протяжении хотя бы трех лет.

❗Однако просто инвестиций в ИБ будет недостаточно: в документе указано, что нужно также иметь лицензию ФСБ на разработку систем с использованием криптографии или привлечь организацию, обладающую такой лицензией.
#ПДн #оборотные_штрафы

💬tg_AC

🫥В каких ситуациях может помочь страхование киберрисков?

Вчера мы рассказали, какие бывают киберриски и почему важно их страховать. Сегодня давайте рассмотрим, почему страхование киберрисков является важной мерой и каковы перспективы развития данного направления.

Полисы страхования киберрисков могут покрывать различные аспекты, включая:

➡️Убытки от перерыва в бизнесе
Восстановление после кибератаки может занять время, и страхование может компенсировать потерю дохода на этот период.

➡️Расходы на реагирование на инциденты
Страхование помогает покрыть расходы на расследование кибератак, включая привлечение специалистов по кибербезопасности.

➡️Убытки от утечки данных
Страхование может покрывать расходы на уведомление клиентов и юридические издержки, возникающие в результате утечки конфиденциальной информации.

➡️Репутационный ущерб
Некоторые полисы могут включать кризисные услуги по управлению репутацией.

В России рынок страхования киберрисков развивается умеренными темпами. Сейчас существует несколько компаний (СОГАЗ, СберСтрахование, АльфаСтрахование, Ингосстрах), к которым можно обратиться за соответствующими услугами.

Список рисков, которые можно предусмотреть в договоре, страхователь выбирает самостоятельно. Расширенные программы рассчитаны не только на возмещение ущерба, связанного с утечками данных, но и на компенсацию расходов по проведению внутреннего расследования.

↗️Ожидается, что рынок киберстрахования будет расти в связи с увеличением осведомленности бизнеса о важности кибербезопасности и растущим числом правовых требований. В свою очередь, страховые компании начнут внедрять более индивидуализированные программы для удовлетворения конкретных потребностей клиентов.

💬tg_AC

🔎Хоть работу специалиста по анализу защищённости и нельзя полностью автоматизировать, значимая часть его деятельности выполняется с помощью специализированных инструментов, которые используются на разных этапах пентеста.

Эксперт AKTIV.CОNSULTING Артем Храмых специально для портала CISOCLUB рассмотрел наиболее популярные инструменты для пентеста, а также специализированные утилиты, которыми пользуются этичные хакеры для сбора информации о своей цели.

🆗Разведка:

• Whatweb – инструмент с открытым исходным кодом, с помощью которого можно собрать информацию о веб-приложении.
• Nikto – бесплатный сканер, позволяющий обнаруживать уязвимости в веб-серверах.
• Dirb – сканер веб-контента, который даёт возможность подбирать директории сайта по словарю.
• Gobuster – сканер веб-контента, предназначенный для брутфорса директорий и файлов веб-сайтов и DNS субдоменов.

🆗Сканирование портов:

• Nmap – утилита с открытым исходным кодом для исследования сети и проверки безопасности. Позволяет обнаруживать открытые порты и веб-сервисы на них.
• Zenmap – графическая утилита Nmap для Windows.

🆗Получение доступа:

• Metasploit – фреймворк, который помогает обнаруживать и исследовать уязвимости в сетях и на серверах.
• Searchsploit – локальная версия сайта Exploit-DB, представляющая собой базу данных с эксплоитами. Позволяет обнаруживать и исследовать уязвимости в сетях и на серверах.
• Hashcat – инструмент, с помощью которого осуществляется взлом паролей.

🆗Повышение привилегий:

• PXEnum – утилита, которая позволяет осуществлять сбор всей доступной информации о системе.

И конечно, самым важным инструментом многих пентестеров является ОС «Kali Linux», которая включает в себя большинство вышеизложенных утилит.


Другие популярные инструменты для пентеста и OSINT вы можете найти в статье нашего эксперта для CISOCLUB⏩

#пентест #анализ_защищенности

💬tg_AC

#EDPC

😎Eurasian Data Protection Congress - это 12 часов контента в области приватности и не только!

💬День 1️⃣. Материалы:

YouTube
ВК
Презентации

💬День 2️⃣. Материалы:

YouTube
ВК
Презентации

RPPA.pro | PPCP.pro | EDPC.network

🫥Страхование киберрисков: необходимость и практика в условиях современных угроз

Сегодня цифровая трансформация охватывает все сферы бизнеса, и страхование киберрисков становится неотъемлемой частью стратегии управления рисками. Каждый день организации сталкиваются с множеством угроз, таких как кибератаки, фишинг, вредоносные программы и утечка данных.

Киберриски можно классифицировать на несколько категорий:

⏩Технические риски: включают уязвимости ПО, отсутствие обновлений, неправильную конфигурацию систем и несанкционированный доступ.

⏩Человеческий фактор: ошибки сотрудников, недостаточная подготовка или намеренные действия, такие как внутренние угрозы.

⏩Риск третьих сторон: недостаточная защита поставщиков или партнеров может привести к утечке данных и сбою в работе основных бизнес-процессов.

По данным различных исследований, стоимость кибератак для бизнеса может достигать миллионов долларов, включая не только прямые убытки, но и ущерб репутации. Поэтому многие компании начинают осознавать необходимость защиты своих активов через киберстрахование.

❗️Страхование киберрисков — это не просто финансовая подушка, а стратегический инструмент, который может обеспечить долгосрочную устойчивость бизнеса. В условиях возрастающих киберугроз компании, не имеющие соответствующей защиты, рискуют не только финансовым состоянием, но и своей репутацией на рынке.

Что покрывает страхование киберрисков?
Рассмотрим этот вопрос завтра.

💬tg_AC

🌐Полиграф при приеме на работу: регламентируется ли порядок обработки персональных данных?

Полиграф (а точнее психодиагностический тест с применением полиграфа) всегда вызывает много интереса у людей, которые с ним не сталкивались. Данная практика применяется в ряде российских компаний уже много лет.

И если применение опроса с использованием полиграфа (далее – ОИП) в государственных структурах и в ходе проведения оперативно-розыскных мероприятий однозначно регламентировано, то применение полиграфа и хранение его результатов при возникновении трудовых отношений в коммерческих организациях вызывает вопросы.

📄Мы изучили законодательство (Конституция РФ, ТК РФ, Федеральный закон № 152-ФЗ «О персональных данных») на тему регламентации соблюдения ИБ при обработке информации, которая документируется в процессе ОИП при проведении кадрового отбора, и сделали следующие выводы:

⏩ требования к обработке результатов ОИП при приеме на работу не прописаны в законодательстве в явном виде, но так как обрабатываемая полиграфологом информация содержит личные данные кандидата, к обработке результатов ОИП применяются требования законодательства в сфере ПДн;

⏩ проведение исследования возможно только с письменного согласия кандидата (24 статья Конституции РФ);

⏩ сбор ПДн кандидата при проведении исследования осуществляется исключительно в целях обеспечения соблюдения законов и иных НПА (86 статья ТК РФ);

⏩ кандидат имеет право на получение информации, касающейся обработки его ПДн, которая содержится в отчете полиграфолога (статья 14, часть 6, Федерального закона № 152-ФЗ). Это означает, что потенциальный работодатель не имеет права отказать кандидату в ознакомлении с отчетом полиграфолога по его исследованию, так как в нем содержатся ПДн. В то же время в законодательстве не указано имеет ли полиграфолог право скрыть свой анализ ответов и психофизических показателей испытуемого;

⏩ в процессе исследования полиграфолог документирует информацию о кандидате, в т.ч. относящуюся к общедоступным (ФИО, телефонный номер, дата рождения, семейное положение), биометрическим (видеозапись ОИП) и специальным (психофизиологическое состояние кандидата) категориям ПДн (часть 6, статья 14, Федерального закона № 152-ФЗ);

⏩ потенциальный работодатель не имеет права получать и обрабатывать специальные категории ПДн безосновательно. В тоже время при наличии согласия на обработку таких ПДн, а также во исполнение трудового законодательства обрабатывать специальные ПДн разрешено (п. 4, статья 86 ТК; п.п. 2.3, часть 2, статья 10, Федерального закона № 152-ФЗ);

⏩ ответственность за защиту ПДн кандидата до передачи отчета по ОИП работодателю с последующим уничтожением несет компания, оказывающая услугу проведения ОИП (в случае, если ОИП проводится с привлечением подрядной организации) (п.п. 1.1, статья 3, Федерального закона № 152-ФЗ);

⏩ защита ПДн работника от неправомерного их использования или утраты должна быть обеспечена работодателем, который также несет ответственность за ПДн, содержащиеся в отчете полиграфолога (п.п. 1.1, статья 3, 152-ФЗ; п. 7, статья 86, ТК).

Таким образом, нельзя однозначно утверждать, что порядок обработки ПДн, содержащихся в результатах ОИП, который проводится при приеме на работу, не регламентирован в российском законодательстве.

❗️В любом случае, важно повышать осведомленность соискателей об их правах, возникающих в рамках трудовых отношений. #ПДн

💬tg_AC

🔐Поздравляем специалистов по безопасности с профессиональным праздником!

Желаем уверенности в собственных силах, смелости в принятии решений и готовности к любым задачам. Пусть будет поменьше инцидентов и побольше довольных клиентов.

😀Спасибо вам за ту важную работу, которую вы делаете!

💬tg_AC

🗣Исследователи обнаружили неисправленные уязвимости в информационно-развлекательной системе автомобилей Mazda. Они позволяют злоумышленникам выполнять произвольный код с правами root.

Некоторые баги дают возможность получить неограниченный доступ к системам автомобиля, что потенциально может привести к раскрытию информации, внедрению произвольных команд, полной компрометации системы, закреплению в ней злоумышленника и выполнению произвольного кода до загрузки ОС.

❓Какие ещё существуют способы кибератак в автомобильной сфере и как обеспечивается безопасность транспортных средств — рассказывали в этом посте.

💬tg_AC

✅Сложности при внедрении Zero Trust для специалистов

Завершаем нашу серию постов про концепцию Zero Trust (ZT). В прошлых публикациях мы рассказали:
1. Что такое ZT?
2. Какие существуют подходы к реализации данной концепции?
3. Как на нее повлиял уход иностранных вендоров?

Сегодня поделимся, с какими основными сложностями могут столкнуться специалисты при внедрении концепции ZT:

🌓Усложнение рабочего процесса
Внедрение принципов ZT может привести к увеличению числа проверок и разным уровням доверия к результатам аутентификации, что иногда воспринимается как препятствие в работе.

🌓Чувство контроля
Некоторые сотрудники могут ощущать себя под постоянным контролем СЗИ и ИТ-систем, а также «давлением» работодателя, что способно негативно сказаться на психологическом климате внутри коллектива.

🌓Обучение и адаптация
Необходимость в обучении новым ИТ- и ИБ- системам и процедурам может вызвать стресс и потенциальное снижение продуктивности в переходный период.

Однако при правильном подходе к внедрению ZT и активной поддержке сотрудников многие организации замечают положительные изменения в культуре безопасности и чувстве ответственности за защиту данных.

Главное — наладить коммуникацию и объяснить преимущества концепции Zero Trust для повышения безопасности организации.

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Глава Минцифры рассказал про последствия для организаций, которые не успеют импортозаместить КИИ к концу года
Им предложат подписать форвардные контракты с разработчиками софта.

🗣ФСБ готовит закон о подключении бизнеса к госсистеме мониторинга кибератак
Сейчас участие в системе обязательно только для субъектов критической инфраструктуры.

🗣Решение по оборотным штрафам для компаний за утечки персональных данных планируется принять до конца года
По словам Минцифры, между расходами на штрафы или на инфраструктуру безопасности компании будут выбирать второе.

🗣Ущерб российской экономики от кибератак, совершенных в 2023 и 2024 годах, может составить 1 трлн рублей
За первую половину 2024 количество DDoS-атак на российские организации выросло до 355 тыс., что на 16% больше, чем за весь 2023 год.

🗣ФСТЭК рассказала о методике оценки состояния защиты КИИ
Согласно статистике регулятора, 49% объектов на данный момент получили низшую оценку защищённости, а 31% — среднюю.

🗣Долю утекших данных взрослого населения РФ оценили в 90%
Основными источниками утечек оказались интернет-магазины и медицинские учреждения.

🗣Всероссийский союз страховщиков разрабатывает страховой продукт, компенсирующий моральный вред от утечек личной информации
Размер выплат будет зависеть от категории данных и составит от 1 тыс. до 5 тыс. рублей.

💬tg_AC

Мы ищем в команду AKTIV.CОNSULTING Специалиста по информационной безопасности, который:

🦓готов развиваться в области ИБ;
🦓не боится работать с большим количеством информации;
🦓на «ты» с нормативными документами и регуляторикой;
🦓умеет внедрять ИБ-процессы;
🦓желает участвовать в разработке новых консалтинговых продуктов по ИБ;
🦓готов к созданию экспертных материалов, участию в техническом пресейле и маркетинговых активностях.

В свою очередь, мы готовы предложить:

✅возможность гордиться своей работой и видеть ее результаты на уровне изменений, происходящих в компании-клиенте;
✅профессиональное развитие и рост за счет наставничества и прозрачной системы грейдов;
✅уникальный опыт и возможность расширять свою отраслевую и экспертную специализацию;
✅отсутствие профессиональной стагнации, возможность участвовать в разнообразных, зачастую, уникальных проектах, отличающихся отраслевой и бизнес-спецификой;
✅удобное офисное пространство, гибкий график и гибридный формат, а также отсутствие токсичности в коммуникациях.

Узнать подробнее о вакансии и откликнуться можно по ссылке ⬅️

#работа_в_консалтинге

💬tg_AC

⚡️Работа в AKTIV.CОNSULTING

Недавно мы рассматривали, какие возможности дает работа в ИБ-консалтинге, а сегодня расскажем о специалисте, которого ждем к нам в команду.

Олег Симаков, наш директор по развитию, записал краткое видеоописание того, кого мы ищем, а чуть ниже вы найдете конкретные пожелания к эксперту и ссылку на вакансию.

⬇️

⌨️Мошенники постоянно совершенствуют актуальность своих схем. Новым способом обмана стали попытки получить доступ к счетам россиян, звоня с аккаунта «Почты России» в мессенджере.

Как с помощью якобы нового приложения «Почты России» злоумышленники получают доступ к мобильным банкам — рассказала порталу Mail.Финансы наш эксперт Анастасия Калиничева. Также в статье она привела несколько простых правил, как можно обезопасить себя.

Главное — помните:

✅не бывает ситуаций, в которых вас будут торопить совершать какие-либо действия с вашим устройством, в особенности смысл которых вы не понимаете;

✅не бывает ситуаций, в которых нельзя перезвонить по официальному номеру/обратиться физически в офис банка/на почту/в налоговую и т.п.;

✅если собеседник настаивает на конфиденциальности вашего разговора — не забывайте, что конфиденциальные данные не обсуждаются по открытым каналам связи, в т.ч. по телефону.

Читать статью

💬tg_AC

💠Обзор сессии «Управление рисками информационной безопасности»

Продолжаем делиться основными моментами прошедшей 22 октября конференции АБИСС и сегодня расскажем о сессии, посвященной вопросам управления рисками ИБ. На ней с докладами выступили как представители авторитетных консалтинговых организаций, так и эксперты различных компаний. Модератором сессии стал Олег Симаков, директор по развитию AKTIV.CОNSULTING.

По результатам встречи участникам удалось:
✅обменяться практическим опытом в реализации процессов управления рисками ИБ и способами преодоления типовых сложностей;
✅выявить выгоды для служб ИБ и бизнеса компаний от внедрения процессов управления рисками ИБ.

Основные выводы сессии:

➡️Формирование результативной стратегии развития ИБ возможно только с применением риск-ориентированного подхода. Дальнейшее построение и реализация дорожных карт по развитию ИБ также не может обходится без процедур управления рисками.

➡️Важно соблюдать последовательность процедур при анализе и оценке рисков, а также не забывать о необходимости вовлечения в процессы управления рисками высшего руководства и бизнес-подразделений организации.

➡️Для анализа рисков и пополнения дефицитной статистики по инцидентам подходят доступные отечественные и зарубежные аналитические отчеты по ИБ от различных авторитетных компаний.

➡️Полезно изучать как успешные, так и ошибочные практики для обеспечения непрерывности критических процессов в ходе отражения компьютерных атаках и при внештатных ситуациях.

➡️Ресурсы, выделяемые на осознанное, методичное и системное управление риском ИБ кратно компенсируются пользой, которую в итоге получает не только подразделение ИБ, но и основные бизнес-юниты, а также заинтересованные подразделения организации.

#Конференция_АБИСС

💬tg_AC

🗣В мошеннической базе ЦБ оказались данные легальных клиентов банков.

Физические лица могли оказаться в черном списке ЦБ, если их персональные данные были слиты и использованы мошенниками для открытия счетов, на которые они переводили украденные денежные средства.

❗Наши эксперты напоминают, что вы можете проверить все свои счета (как открытые, так и закрытые) на сайте ФНС России в личном кабинете. При обнаружении в списке незнакомого счета рекомендуем незамедлительно связаться с банком, узнать все детали по нему (дата и обстоятельства открытия, движение средств и т.д) и обсудить с представителем дальнейшие действия.

💬tg_AC

❓Как на концепцию Zero Trust повлиял уход иностранных вендоров и процесс импортозамещения?

1. Уход иностранных вендоров со «зрелыми» решениями усилил необходимость создания отечественных решений, что привлекло внимание к кибербезопасности и концепции Zero Trust (ZT) как способу защиты данных.

2. Компании начали больше внимания уделять созданию независимой и защищенной инфраструктуры, что является важным аспектом ZT, так как данный подход фокусируется на максимальной защите данных независимо от их местоположения.

3. Процесс импортозамещения также способствовал осознанию необходимости защиты от новых вызовов (в т.ч. изменяющейся геополитической ситуации), угроз и уязвимостей, что привело к необходимости адаптации ZT.

❗️Таким образом, уход иностранных вендоров и процесс импортозамещения побудили компании пересмотреть свои подходы к безопасности и активнее внедрять концепцию Zero Trust в свои стратегические планы, а это, в свою очередь, нашло отклик на рынке у отечественных вендоров.

💬tg_AC

🫥 Какие существуют подходы к реализации концепции Zero Trust, и что может мешать её внедрению?

Недавно мы рассказывали про концепцию Zero Trust (ZT) и перспективы её развития. По мнению экспертов в России сформировались два подхода к реализации концепции ZT: мультивендорный (интеграционный) и моновендорный. На зарубежном рынке значительно чаще применяется последний, а в РФ пока преобладает первый.

👀При мультивендорном подходе нет чётких правил по наличию в системе того или иного продукта с определенными технологиями или функциями безопасности, поэтому нет и заранее определённых приоритетов, каким образом реализовывается концепция ZT в компании. Продукты также не всегда бесшовно взаимодействуют друг с другом, поэтому часто приходится проводить дополнительные тестирования перед их интеграцией.

Причины, которые могут мешать активному внедрению ZT в организациях:

⏩идея ZT требует изменения «мышления» ИТ и ИБ внутри организации: от доверия к пользователям и устройствам до строгой верификации доступа;

⏩интеграция существующих систем и технологий с новыми решениями ZT может быть сложной и времязатратной, а также для этого требуется глубокая техническая экспертиза;

⏩первоначальные вложения в технологии, переобучение персонала и изменение традиционного уклада могут быть значительными;

⏩для реализации концепции требуется поддержка высшего руководства, четкое понимание необходимости стратегического внедрения ZT и выделение на это ресурсов;

⏩наличие доступных на рынке решений IAM, MFA, NAC, AppID, ITAM, VM, безопасности облачных сред и др., которые способны дополнить организационные процессы и помогут выстроить стратегию нулевого доверия.

💬tg_AC

🗣ИИ-модель впервые обнаружила уязвимость безопасности памяти в реальных условиях. SQLite, популярный движок баз данных с открытым исходным кодом, столкнулся с проблемой, которая могла позволить злоумышленникам вызвать сбой системы или даже выполнить произвольный код.

В ходе работ было собрано несколько последних коммитов репозитория SQLite и вручную отсеяны тривиальные изменения, чтобы направить ИИ на анализ оставшихся данных. Традиционные методы обнаружения уязвимостей, такие как фаззинг, не смогли найти данную проблему. Однако ИИ-модель впервые в мире обнаружила ранее неизвестную уязвимость в широко используемом ПО.

📍Перевод подробного отчета о данном кейсе можно прочитать здесь.

💬tg_AC

📢Приведет ли появление нового стандарта по безопасной разработке к удорожанию продуктов для конечных пользователей?

На прошлой неделе мы рассказывали, что изменится с внедрением нового стандарта безопасной разработки программного обеспечения. Сегодня давайте рассмотрим, какие вложения потребуются со стороны разработчиков и подорожает ли продукт для потребителей.

Инвестиции могут потребоваться по следующим направлениям:

➡️Процессная составляющая: потребуется перераспределение ролей, ответственности, внедрение новых процессов безопасности в существующие процессы разработки.

➡️Инструментальная составляющая: для автоматизации процессов безопасности будет необходимо использовать новые ПАК/ПО/СЗИ, а именно средства композиционного анализа, укрепление пайплайнов CI/CD и оркестраторов контейнеров, управление секретами и т.п.

➡️Кадровая составляющая: еще больше возрастет спрос на и так дефицитных специалистов, либо придется привлекать сторонние команды аудиторов и консультантов.


Что касается итоговой цены продуктов, на нее может повлиять не столько наличие новой редакции ГОСТ, сколько обязательность его внедрения по требованию различных регуляторов и госкорпораций. К примеру, требования по безопасной разработке уже предъявляет платформа ГосТех, и в перспективе подобных кейсов может быть больше.

⚙Компаниям, у которых не были внедрены соответствующие процессы, могут потребоваться дополнительные ресурсы для обучения сотрудников, внедрения новых функций и инструментов по безопасности. Также возможно увеличение затрат на тестирование и аудит ПО для соответствия стандартам.

Сложно сказать, насколько вырастет цена конечных продуктов, но здесь возможен «эффект домино»: компания-разработчик, закупающая новое ПО для проверок безопасности, заложит его стоимость во вновь разрабатываемый продукт. В свою очередь, компания, оказывающая сервисные услуги с помощью этого ПО, переложит издержки на своего конечного клиента, что приведет к повышению цены на итоговый продукт. #БРПО

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣В Роскомнадзоре заявили о необходимости разработать отраслевые стандарты работы с данными
Они должны предусматривать переход от бесконтрольного получения сведений от самого гражданина к получению информации от уполномоченных органов.

🗣Банк России запустил анонимный опрос о безопасности банковских услуг
Результаты регулятор будет учитывать в мероприятиях по обеспечению ИБ финансовых организаций. Пройти опрос можно по ссылке.

🗣Порядок получения персональный данных будет ужесточен
В первом чтении принят законопроект, согласно которому согласие на обработку ПДн должно будет всегда оформляться как отдельный документ.

🗣Робота-помощника на «Госуслугах» оснастят отечественным ИИ
Бета-версию консультанта планируется запустить до конца года.

🗣Минцифры начало разработку перечня случаев для сбора властями обезличенных данных у бизнеса
Пока в нем шесть оснований для запроса, в т.ч. чрезвычайные ситуации, а также экономические и социальные исследования в интересах госуправления.

🗣«МегаФон»: в 2024 году продажи антивирусов в России выросли на 81%
Пользователи все чаще приобретают лицензии на антивирусы с длительным сроком действия.

🗣Обнаружена новую уязвимость в ОС Windows, связанная с темами оформления
Она позволяет злоумышленникам удалённо красть учётные данные.

💬tg_AC

📣Что изменится с внедрением нового стандарта безопасной разработки ПО?

Недавно на сайте ФСТЭК России был размещен приказ Росстандарта от 24 октября 2024 года № 1504-ст «Об утверждении национального стандарта», которым утверждается стандарт ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Портал RSpectr узнал у экспертов, как повлияет данный стандарт на разработчиков.

➡️ Наш консультант по ИБ Владислав Крылов в комментарии изданию отметил, что первоначальная версия стандарта ГОСТ Р 56939 была принята еще в 2016 году. За это время развился стек IT-технологий, увеличилось количество аспектов безопасности, на которые необходимо обращать внимание при разработке, и, соответственно, увеличилось количество различных практик безопасности.

✅Меры защиты, изложенные в новой редакции стандарта, шире покрывают этапы жизненного цикла ПО, а также особенности его разработки (к примеру, пайплайны CI/CD).

✅Важным нововведением новой редакции ГОСТ Р 56939 является фокус на проведении внешнего независимого аудита компаний-разработчиков.

В то же время уровень готовности компаний неравномерный – для организаций, ранее осуществлявших сертификацию ПО в системе ФСТЭК России и ФСБ России, критически ничего не изменится, но большинству коммерческих разработчиков прикладного ПО придется перестраивать свои процессы разработки, либо внедрить у себя несколько новых процессов, связанных с безопасностью.

➡️ Подробнее о том, как новый ГОСТ повлияет на ИБ-разработчиков и их потребителей, читайте в материале RSpectr с комментарием нашего эксперта.

#БРПО

💬tg_AC

🗣Согласно обследованию НИУ ВШЭ, организации, использующие технологии ИИ, тратят на них порядка 15% общего объема затрат на цифровые технологии. Из них:

✅32% приходится на приобретение машин и оборудования;

✅17% — на покупку ПО (лицензий), его аренду, разработку, адаптацию и доработку. В расходах на ПО почти половину занимают траты на готовые продукты.

Подробнее

💬tg_AC

🫥Основные моменты сессии «Аутсорсинг технологических процессов»

Продолжаем рассказывать про прошедшую 22 октября ежегодную межотраслевую Конференцию АБИСС по вопросам регуляторики в сфере ИБ. Все посты можно найти по тегу #Конференция_АБИСС

В рамках сессии «Аутсорсинг технологических процессов» специалисты отрасли делились своим опытом взаимодействия с поставщиками различных услуг и продуктов через призму информационной безопасности, а также привели несколько рекомендаций по оптимальному выстраиванию процессов.

Тренды, которые эксперты отметили в своих докладах:

➡️Увеличение спроса на облачные решения
Организации всё чаще переходят на облачные платформы для выстраивания своей инфраструктуры. Это связано с гибкостью, масштабируемостью и экономичностью облачных сервисов.

➡️Сотрудничество с удаленными командами экспертов
Дефицит квалифицированных кадров в сфере разработки ПО и ИБ вынуждает компании ориентироваться не на собственный коллектив, а на сторонние команды, с которыми заключаются соответствующие договоры (либо на конкретные работы, либо на поддержку).

➡️Технические коммуникации так же важны, как и система ИБ
Значимость операторов связи, поддержания климатконтроля и стабильности подачи электричества при функционировании информационных систем была отдельно подчеркнута докладчиками. Если не обращать внимания на подобные технические системы, злоумышленник может увидеть в этом слабое место в периметре защиты.

Ключевые рекомендации, которыми поделились спикеры:

1. Проводите тщательную оценку аутсорсинговых компаний, включая их репутацию, опыт в области безопасности и наличие соответствующих сертификатов.

2. Убедитесь, что все обязательства, связанные с безопасностью данных, прописаны в договоре с контрагентом (SLA), включая условия обработки и хранения информации.

3. Определите, какие данные могут быть отданы на аутсорс, и убедитесь, что критически важная информация остается под контролем организации.

4. Проводите регулярные аудиты безопасности у аутсорсинговых провайдеров для оценки их соответствия установленным стандартам и требованиям.

5. Настройте строгую политику управления доступом. Пусть он будет только у тех сотрудников и провайдеров, которые действительно нуждаются в этом.

Обеспечение безопасности аутсорсинга технологических процессов требует комплексного подхода и активного управления как со стороны организации-контрагента, так и со стороны провайдеров услуг.

💬tg_AC

🏹Как быть с супостатами, политики внутренние нарушающими?

Здесь следует оценивать следующие факторы:
✅источник события;
✅состав задействованных сотрудников и элементов ИС;
✅значимость последствий инцидента.

Когда выявлены все три фактора, необходимо локализовать распространение инцидента, зафиксировать артефакты, которые являются доказательной базой и помогут определить цели, источники, использованные инструменты и участников инцидента, а уже затем разбираться, кому голову с плеч долой.

Технические вопросы по восстановлению работы сети, хостов и устранению уязвимостей будут освещены отдельно, а сейчас немного расскажем об организационных «возмездиях» злодеям.

⚔️Если мы понимаем, что превентивные меры по повышению осведомленности и доведению внутренних политик ИБ не сработали, настает время доставать розги.

Как показывает практика, на данном этапе просто прилюдными порками (разъяснительными беседами, устными выговорами и прочим психологическим воздействием) желаемый результат достигается не очень эффективно. Иногда мы даже получаем злостных рецидивистов, ведь приходит осознание, что не так уж страшно нарушать правила – всего-то отругали. Хотя при не слишком чувствительных инцидентах, безусловно, начинать надо именно с разъяснений и внушений.

Намного более эффективно показали себя штрафы за существенные либо повторные нарушения. А вот если наш злодей умышленно содействовал инциденту, да еще и нанес организации ущерб, то это уже вполне подсудное дело, которое должно решаться по всей строгости действующего законодательства, и тут уже и репрессии с казнями становятся уместны.

👑Надеемся, что в вашем царстве-королевстве никогда не дойдет до таких крайностей. А для этого богатыри из ИБ должны всегда быть на страже и вести постоянный диалог как с боярами и князьями организации, так и с простым людом трудовым, и не допускать до работы с ИС всяких кикимор и леших.

💬tg_AC

⚙️ Часто топ-менеджменту кажется, что достаточно купить и установить СЗИ, чтобы обезопасить свой бизнес, но это далеко не так. Некорректно настроенное СЗИ ни только не обеспечит безопасность, но даже может ей вредить, вводя в заблуждение службу ИБ.

Чтобы каждый раз не проводить изыскательскую работу на предмет «А был ли инцидент?», лучшим вариантом будет выделить специалиста, который на постоянной основе станет отслеживать работу конкретного СЗИ (например, только DLP), анализировать недостатки, прописывать политики для системы и при необходимости вносить в них корректировки.

❗️Главное — не распылять силы одного человека сразу на несколько СЗИ, т.к. с высокой долей вероятности вы не получите желаемого качества отработки задачи. А вот специалисты, занимающиеся сопровождением разных СЗИ, обязательно должны регулярно взаимодействовать, делиться наработками и определять единые векторы развития и/или коррекции работы СОИБ.

Такой подход может существенно сократить число ложных срабатываний мониторинговых систем, а также внутренних нарушений, способных повлечь реальный инцидент со всеми вытекающими. Благодаря этому появится возможность сосредоточиться на главном – реагировании на действительно значимые инциденты и атаки. О том, как с ними быть, мы рассказываем в постах по тегу #пентест

💬tg_AC

🔔Так как же определить именно те события, по которым действительно важно проводить реагирование?

Для начала необходимо задаться вопросом: а просвещал ли кто-то в доходчивой форме сотрудников компании о требованиях ИБ и цифровой гигиене?

Если у вас есть внутренние регламенты и приказы, это абсолютно не значит, что сотрудники действительно сознают правила игры при работе с корпоративными ресурсами. Повышение осведомленности персонала в вопросах ИБ должно быть систематическим, а главное — доходчивым и запоминающимся, чтобы выработать у каждого сотрудника безусловный рефлекс задумываться, прежде чем что-то делать с полученной на работе информацией.

❗️Превентивные разъяснения зачастую дают лучший эффект, чем наказания постфактум.

💬tg_AC

✨В одном царстве, в информационном государстве произошел инцидент компьютерный, да не один.

Повадился Кащеев из инженерного отдела по почте электронной письма с чертежами закрытыми рассылать, будто то с именинами поздравления. В бухгалтерии Лихова письма фишинговые открывать надумала с хворями иноземными.

Упырев из логистики вообще флешку в компьютер воткнул, которую до этого не известно откуда приволок. Так еще и система оборонительная мониторинговая как с цепи сорвалась, алерты так и шлет, проклятая.

⚔️Закручинились богатыри из ИБ. За что хвататься, кому первому плетей давать, а кого и вовсе на кол – не понятно. Кругом нечисть да супостаты.


Такую страшную сказку можно увидеть во многих компаниях, где уже начали активно внедрять СЗИ, в том числе DLP и SIEM.

Складывается ощущение, что собственные сотрудники намного более вредоносны и неуправляемы, чем внешний злоумышленник. И действительно, СЗИ с настройками по умолчанию, выдают нам целый поток событий, идентифицированных как инциденты ИБ, но зачастую такими не являющиеся.

🛡Этот фактор порождает вопрос – как отделить зерна от плевел, т.е. выделить в общем объеме те события, по которым действительно нужно проводить реагирование? В сегодняшней серии постов будем вместе с этим разбираться.

💬tg_AC

🎙Одним из спикеров сессии «КИИ: практика обеспечения безопасности» стала наш ведущий консультант по ИБ Ольга Копейкина. Она рассказала о практике комплексной защиты технологических объектов КИИ с использованием метода укрупнения (обобщения) и кластеризации уровня взаимодействия и обеспечения безопасности.

В своем выступлении Ольга сделала акцент на возможности минимизации затрат на построение СОИБ ОКИИ, а также сохранении защищаемых систем в насколько возможно неизменном виде. #Конференция_АБИСС

⤵️Делимся с вами презентацией доклада нашего эксперта.

💬tg_AC

⏳Обзор сессии «КИИ: практика обеспечения безопасности»

Мы продолжаем делиться основными аспектами прошедшей 22 октября конференции АБИСС. Сегодня расскажем про ключевые моменты сессии, посвященной вопросам обеспечения безопасности КИИ.

▫️Помимо построения эффективных систем обеспечения безопасности объектов КИИ, а также импортозамещения состава таких систем и самих объектов КИИ, важно не забывать о корректном категорировании и поддержании актуальности сведений, подаваемых во ФСТЭК.

▫️При решении задач по управлению ИБ субъектам КИИ следует учитывать взаимосвязь юридических лиц, имеющих отношение к защищаемым объектам, и использовать инструменты и практики, помогающие облегчить организационные процессы, такие как PDCA, FMEA, SADT, EPC, Process Landscape, Матрица RACI, UML Use Case Diagram.

▫️В отношении импортозамещения вопросов все еще больше, чем ответов. Тем не менее отмечается тенденция объединения и автоматизации процессов для комплексной миграции СЗИ и прикладного ПО, а также поддержка российских ОС, СУБД, платформенных решений и PaaS-провайдеров.

▫️Нормативные акты по ИБ в части требований пересекаются намного больше, чем может показаться на первый взгляд. Например, в Приказах № 21, № 17, № 31 и № 239 75-80% требований повторяются хотя бы раз, а 46%-62% одинаковы. На основании этой аналитики можно сделать вывод, что не надо защищать КИИ как отдельную сущность (когда это возможно). Более эффективным будет построение комплексной СУИБ, учитывающей все потребности и риски организации-субъекта.

#Конференция_АБИСС

💬tg_AC

🗣Количество атак умных ботов на микрофинансовые организации выросло с начала года почти на 25%.

Рост числа подобных атак связан с тем, что злоумышленники пытаются подобрать логин и пароль для доступа к личным кабинетам, используя данные из утекших баз.

❗️По словам экспертов, атаки таких умных ботов могут быть успешны, посколько во многих сервисах в качестве логина используется адрес электронной почты или номер телефона, а пароль не редко может дублироваться с другими сервисами, из-за чего выяснив его единожды, можно использовать и на других ресурсах.

💬tg_AC

💬 Основные моменты Пленарной сессии конференции АБИСС. Продолжение

Выше мы рассказали о запланированных изменениях в законодательстве, озвученных на пленарном заседании АБИСС. Помимо нормативных изменений, спикеры озвучили текущие тенденции в сфере ИБ:

➡️Сертифицирование средств защиты информации
Одной из проблем сертифицирования эксперты назвали затянутость процесса для разработчиков. Пока разработчик получает сертификат, средство устаревает. В отношении упрощенного порядка сертифицирования ПО было отмечено, что нагрузка переносится с плеч специализированных лабораторий и ФСБ России на самих разработчиков (вместе с ответственностью за некорректную сертификацию).

➡️Вопросы и проблемы импортозамещения с точки зрения регуляторов и поднадзорных организаций
Начальник отдела ДИБ Банка России Антон Чернодед подчеркнул, что хоть в Указе Президента РФ от 01.05.2022 г. срок полного перехода на импортозамещенные СЗИ сжатый, организациям все равно необходимо ориентироваться на январь 2025 года. По мнению экспертов, в России существуют все классы СЗИ, но для заказчиков эти решения часто бывают с низким уровнем производительности, а интерфейс не всегда является комфортным. Кроме того, невозможно заменить 100% зарубежных СЗИ единовременно, ведь специалистам нужно время для переобучения работе на российских СЗИ.

➡️Проблема атак на цепочки поставок
Специалисты обсудили, что все требования по ИБ, которые соблюдает заказчик, должны в полной мере исполняться и поставщиком. Для минимизации рисков атак на цепочку поставок необходимо активно внедрять процессы БРПО, при этом важно со студенческой скамьи обучать будущих разработчиков практике безопасной разработки с сопутствующими контрольными мероприятиями.

➡️Векторы развития в регулировании ИБ
Все спикеры пришли к единому мнению, что согласованная работа регуляторов безусловно важна, но необходимости в создании единого контролирующего органа они не видят. Объединение регуляторов — сложная задача, т.к. в разных ведомствах существует разная градация организаций, и это может усложнить процесс согласования регуляторных требований. Основной вектор развития регуляторики на данный момент – модернизация существующих НПА, а также взаимодействие поднадзорных организаций с регуляторами в рамках этого процесса.

Председатель Ассоциации АБИСС и руководитель AKTIV.CОNSULTING Анастасия Харыбина призвала экспертное сообщество быть более инициативным, давать регуляторам обратную связь и активно подключаться к трудовым комитетам.

#Конференция_АБИСС

💬tg_AC

🗣Основные моменты Пленарной сессии конференции АБИСС

22 октября в Москве прошла ежегодная конференция АБИСС по вопросам регуляторики в сфере ИБ. Подготовили для вас серию постов, в которых наши эксперты расскажут о ключевых моментах каждой сессии.

Сегодня расскажем о регуляторных нововведениях, озвученных на пленарном заседании конференции.

◽️Оценка соответствия по ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022
Начальник отдела ДИБ Банка России Антон Чернодед отметил, что по окончании переходного периода, в течение которого финансовые организации осуществляют внедрение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, требование о прохождении оценки соответствия по указанным стандартам интегрируется в НПА Банка России.

◽️Показатель допустимой доли деградации технологического процесса
По словам Антона Чернодеда, финансовые организации несколько злоупотребляют данным инструментом управления рисками, вследствие чего необходимо установить определенные рамки. Ужесточение требований произойдет уже в следующем году путем внесения точечных правок в соответствующие НПА.

◽️Законодательное регулирование аутсорсинга ИТ- и ИБ-услуг
Запланированы несколько нововведений, касающихся регулирования использования аутсорсинга финансовыми организациями:
✅внесение изменений в Положение ЦБ РФ от 08.04.2020 № 716-П;
✅работа над соответствующим проектом ГОСТ (какие-либо сроки неизвестны);
✅работа над проектом федерального закона о возможности передачи банковской тайны третьим лицам на определенных условиях (прошел первое чтение).

◽️Упрощенный порядок проведения оценки влияния при встраивании СКЗИ
Представитель ФСБ России Алексей Петров рассказал, что банки, участвующие в пилоте цифрового рубля, при выпуске обновлений своих мобильных приложений смогут не дожидаться заключений испытательных лабораторий, а сразу публиковать новые версии в магазинах приложений. Указанные изменения в процедуре будут детально определены в порядке ее проведения, разрабатываемом ФСБ России.

◽️Аккредитация центров ГосСОПКА
Представитель НЦКЦИ Андрей Раевский сообщил, что проект приказа, устанавливающего порядок аккредитации центров ГосСОПКА, будет вынесен на общественное обсуждение в начале 2025 года. В нем, среди прочего, будут установлены требования к специалистам таких центров, осуществляющим проведение мероприятий по оценке уровня защищенности.

◽️Федеральный закон о ГосСОПКА
Андрей Раевский отметил, что в данный момент совместно с заинтересованными ФОИВами готовится Федеральный закон о ГосСОПКА. Конкретные сроки пока неизвестны.

#Конференция_АБИСС

💬tg_AC

🗣Ещё в июне ФСТЭК России представил доработанный проект национального стандарта ГОСТ Р 56939. Основные изменения документа мы рассматривали в этом посте ⬅️

💥 Требования к разработке безопасного ПО утверждены Росстандартом

ФСТЭК России разместил приказ Росстандарта от 24.10.2024 № 1504-ст «Об утверждении национального стандарта», которым утверждается стандарт ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Новый стандарт вводится в действие с 20 декабря 2024 года, отмечается в документе.

🔥 Подписаться 🔥

Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой

🫥Концепция Zero Trust и перспективы её развития

По оценкам экспертов, лишь около 30% отечественных компаний внедряют концепцию Zero Trust, несмотря на её актуальность. Портал ComNews опросил экспертов и узнал, что это за концепция и что ждет её в будущем.

✔️Наш консультант по ИБ Владислав Крылов в комментарии изданию пояснил, что концепция Zero Trust— это стратегический подход к кибербезопасности, который подразумевает, что никакому условному пользователю или устройству не следует автоматически доверять, даже если они находятся внутри корпоративной сети.

Вместо этого, все попытки доступа к ресурсам должны проходить тщательную проверку и аутентификацию, вне зависимости от их местонахождения. Это включает в себя постоянный мониторинг и оценку уровня доверия по мере того, как пользователи и устройства взаимодействуют с данными и системами.

➡️Подробнее о перспективах развития концепции Zero Trust читайте в материале ComNews с комментарием нашего эксперта.

💬tg_AC

🔓Как защитить цепочку поставок ПО?

Завершаем серию постов про создание безопасной цепочки поставок программного обеспечения. В прошлых постах мы рассказали про:

1. Существующие подходы к политике применения прикладного ПО
2. Жизненный цикл разработки ПО
3. Фреймворки защиты цепочки поставок ПО

Сегодня хотим представить чек-лист мер безопасности, которые стоит реализовать в организации в зависимости от выбранной политики применения ПО. В чек-листе постарались заострить внимание прежде всего на неочевидных мерах, поскольку про техники SAST, DAST, fuzzing, формирование ASOC есть масса подробных материалов.

⤵️Подготовили для вас таблицу, в которой представлены виды разработки ПО, лучшие практики и рекомендации для каждого этапа разработки.

Подробнее про некоторые пункты в таблице вы можете прочитать в статье на нашем сайте. Переходите, изучайте, делитесь с коллегами.

🆗В завершении темы хотим подчеркнуть, что безопасность цепочки поставок ПО обеспечивается комплексом организационных и технических мер, к которым относится применение не только наложенных средств защиты, но и встраиваемых в конкретное ПО и в конкретной среде исполнения функций безопасности, а также организация процесса взаимодействия между всеми участниками.

💬tg_AC

❤️Знакомство с командой AKTIV.CОNSULTING

Продолжаем делиться с вами интересными фактами о членах нашей команды. Сегодня хотим рассказать об экспертном пути Варвары Шубиной, менеджера по маркетингу AKTIV.CОNSULTING.

⏩Работает в ИБ-сфере с 2007 года, специализируясь на маркетинге и PR.

⏩Отвечает за продвижение AKTIV.CОNSULTING, в том числе за лидогенерацию и увеличение воронки продаж, утепление существующей базы маркетинговых контактов, развитие корпоративного сайта и PR-сопровождение.

⏩Развивает наш экспертный тг-канал AKTIV.CОNSULTING;

⏩Курирует разработку позиционирования, создание и реализацию стратегии продвижения, формирование маркетингового плана и бюджета, контроль за их реализацией, анализ эффективности.

⏩Является редактором подкаста про управление информационной безопасностью «Безопасный выход». Все выпуски подкаста можно посмотреть по ссылке.

#команда_АС

💬tg_AC

🛠 LLaMator: Red Teaming фреймворк для тестирования уязвимостей LLM
#LLM #red_team

В этом материале мы, команда LLaMaстеры — студенты 1 курса магистратуры ИТМО AI Talent Hub, представляем фреймворк LLaMator, победивший на хакатоне AI Product Hack в кейсе от компании Raft. Наша задача — создать инструмент для тестирования уязвимостей интеллектуальных систем, например, чат-бота для консультирования клиентов автосалона, на базе больших языковых моделей (LLM).

Сегодня интеллектуальные помощники внедряются повсеместно, делая нашу жизнь удобнее и более эффективной. Однако это также создаёт новые угрозы безопасности, поскольку такие системы могут быть уязвимы к атакам со стороны злоумышленников. Важно регулярно проверять их устойчивость к возможным атакам.

На рынке уже существуют решения для автоматизированной проверки LLM, например, Garak, PyRIT и Giskard, но они нацелены непосредственно на тестирование генеративных моделей и не учитывают региональную специфику. Наша команда решила сосредоточиться на проверке русскоязычных чат-ботов, которые базируются на больших языковых моделях.

➡️ Читать далее

📱 Github

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

🛡Фреймворки защиты цепочки поставок ПО

Сегодня давайте рассмотрим те стандарты и фреймворки безопасности, которые релевантны именно для безопасности цепочек поставок ПО.

⏩Международный опыт

Национальный институт стандартов и технологий (NIST) в феврале 2022 года выпустил документ NIST SP 800-218 «Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities» («Фреймворк создания безопасного программного обеспечения: рекомендации по снижению рисков программных уязвимостей»).

В документе приводится базовый набор способов и мер разработки безопасного ПО высокого уровня, которые могут быть интегрированы в каждый этап жизненного цикла разработки ПО. Также там приводится маппинг на похожие меры безопасности в других стандартах безопасности, таких как BSIMM, IEC 62443, OWASP SAMM, PCI SSLC и другие.

Следование такой практике должно помочь производителям ПО сократить количество уязвимостей в выпускаемом ПО, снизить потенциальное воздействие использования необнаруженных или неурегулированных уязвимостей и устранить коренные причины уязвимостей для предотвращения их повторения в будущем.

⏩Отечественный опыт

В России в 2016 году вступил в силу ГОСТ Р 56939, который устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного ПО.

В стандарте предусмотрены различные виды испытаний и проверок безопасности ПО: статический/динамический, экспертиза кода (code review), функциональное тестирование программы, тестирование на проникновение, фаззинг-тестирование и т.д. При этом, по состоянию на сентябрь 2024 года, данный ГОСТ находится в состоянии активной доработки в ТК 362.

⏩Также хочется отметить документы, разработанные компанией Cloud Native Computing Foundation (CNCF), которая является проектом Linux Foundation. Речь идет о специализированном стандарте «Software Supply Chain Best Practices».

Согласно данному документу, практика реализации процесса обеспечения безопасности цепочки поставок ПО основана на четырех основных принципах:
✅эшелонированная защита (многоуровневый комплексный контроль безопасности);
✅подписание ЭП и проверка;
✅анализ артефактов и их метаданных;
✅автоматизация процессов CI/CD.

Если обобщить практики из вышеуказанных стандартов и применить их к реалиям современной разработки, то можно сформировать условный чек-лист мер безопасности, которые стоит реализовать в организации в зависимости от выбранной политики применения ПО. Расскажем подробнее про данный чек-лист в нашем тг-канале уже совсем скоро, не пропустите!

💬tg_AC

⚙️Жизненный цикл разработки ПО

Недавно мы рассматривали существующие подходы к политике применения прикладного ПО внутри организаций. Сегодня давайте разберем этапы типового процесса разработки ПО при непрерывной интеграции и непрерывном развертывании. Для примера возьмем веб-приложение.

1. Анализ и планирование
На этом этапе определяются требования к проекту, цели и задачи, составляется план работы и распределяются ресурсы.

2. Написание кода
Программисты создают программный код, реализующий функционал по требованиям, используя выбранные языки программирования и технологии.

3. Сборка
На этапе сборки скомпилированный код объединяется в исполняемые файлы или пакеты, готовые для тестирования и развертывания.

4. Тестирование
Выполняются проверки работы программного продукта на наличие ошибок, багов и соответствие требованиям. Тестируются как функционал, так и производительность.

5. Развертывание
ПО устанавливается в рабочую среду, проводятся финальные настройки и конфигурации для запуска.

6. Эксплуатация
Программный продукт переходит в стадию эксплуатации, и пользователи начинают активно работать с ним.

7. Мониторинг
На этом этапе осуществляется наблюдение за работой ПО, выявляются возможные проблемы, и собирается обратная связь для дальнейших улучшений.

На каждом этапе существуют свои сложившиеся ИТ-практики, а также риски и угрозы. Как защититься? Разберемся в следующих постах.

💬tg_AC

Ура! Стартовала конференция АБИСС🔥

Что приготовила команда AKTIV.CОNSULTING для гостей конференции?

Мы расскажем о
🟡Защите ОКИИ на базе АСУ без влияния на конструктив
🟡Практике обеспечения безопасности в финансовой отрасли
🟡Практике внедрения процессов операционной надежности: взаимодействие с поставщиками

Поделимся своими мыслями и наблюдениями на тему
👻Что удивляет международный бизнес в отечественной регуляторике

А еще
🙌Мы ждем гостей на нашем стенде: будем рады знакомству и обсуждению разных вопросов на тему регуляторики. К тому же у нас есть ароматный кофе☕️

Желаем всем участникам конференции продуктивного дня и бодрого настроения!

📣Список интересных мероприятий на ноябрь

🌐 «Интерполитех»
6-8 ноября, Москва
Крупнейшее в России мероприятие в сфере обеспечения безопасности государства.

🌐 CNews Forum «Информационные технологии завтра»
7 ноября, Москва
Цель встречи – предоставить независимую площадку для обсуждения ключевых вопросов и актуальных проблем рынка ИКТ, инновационных технологий, подходов к реализации ИТ-проектов.

🌐 SOC Форум
8 ноября, Москва
В этом году SOC Forum расширит рамки своей традиционной тематики и будет посвящен комплексной кибербезопасности.

🌐 Moscow Hacking Week
18-26 ноября, Москва
Мероприятие по кибербезопасности, объединяющее хакеров и специалистов по ИБ разных профилей и уровня подготовки.

🌐 Форум технологий безопасности «SAY FUTURE: SECURITY»
19-21 ноября, Москва
Уникальная единая демонстрационная платформа технологий безопасности для госсектора и личности, объединяющая разработчиков и производителей с заказчиками.

🌐 ПромIT: ИТ-новации для промышленности
20 ноября, Москва
Цель мероприятия — поиск решений и обмен опытом по вопросам внедрения лучших инновационных IT решений в промышленности.

🌐 TAdviser SummIT
28 ноября, Москва
Главной темой докладов станет повышение эффективности бизнеса и государства с помощью технологий. Ведущие ИТ-компании расскажут о передовых разработках, которые готовятся к выходу на рынок.

💬tg_AC

📊Число DDoS-атак в третьем квартале выросло более чем на 300%

Число DDoS-атак, то есть атак большим количеством запросов к серверам для отказа в обслуживании, в третьем квартале 2024 года было на 319% больше, чем за аналогичный период 2023 года, пишет «Коммерсантъ» со ссылкой на отчет вендора решений для кибербезопасности Qrator Labs.

В сравнении со вторым кварталом 2024 года прирост составил 80% на сетевом и транспортном уровнях, и 70% на уровне приложений (веб-серверов). В Qrator Labs отмечают, что такой динамичный рост наблюдают в этом году впервые. Целью злоумышленников, как и в предыдущем квартале 2024 года, были компании из отрасли финансов, электронной коммерции, а также IT и телекоммуникаций.

Однако пиковая интенсивность таких атак, напротив, снизилась год к году и в третьем квартале составила 446 Гб/с, тогда как годом ранее более 675 Гб/с. В компании отмечают, что в 2022 и 2023 годах были характерны значительно более высокие показатели: 903 Гб/с».

❤️ Читайте подробнее на сайте

@frank_media

⚡️Уже завтра пройдет Конференция АБИСС по вопросам регуляторики в сфере ИБ.

Мероприятие объединит на своей площадке специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям.

Если планируете посетить мероприятие, не пропустите выступления наших экспертов:

🦏Сессия 1. КИИ: практика обеспечения безопасностиДоклад: Защиты ОКИИ на базе АСУ без влияния на конструктив
Ольга Копейкина, ведущий консультант по ИБ AKTIV.CОNSULTING

🦏Сессия 2. Финансовая отрасль: практика обеспечения безопасности
Доклад: Практика внедрения процессов операционной надежности: взаимодействие с поставщикамиАлександр Моисеев, ведущий консультант по ИБ AKTIV.CОNSULTING

🦏Открытый микрофон
Доклад: Что удивляет международный бизнес в отечественной регуляторикеВладислав Крылов, консультант по ИБ AKTIV.CОNSULTING

Также будем рады лично с вами познакомиться. Приглашаем на наш стенд! Пообщаться, получить консультацию и выпить чашечку ароматного кофе☕️

📍Узнать подробнее о конференции и успеть зарегистрироваться можно по ссылке.

💬tg_AC

🔎Поисковые системы для разведки (пентеста)

Продолжаем делиться практикой проведения пентестов. Все прошлые посты вы можете найти по тегам #пентест и #анализ_защищенности.

Сегодня давайте обсудим, как можно эффективно использовать поисковые системы для упрощения повседневного поиска информации в интернете или даже для проведения этапа разведки внешнего тестирования на проникновение.

Предлагаем рассмотреть этот вопрос на примере поисковой системы Google. ИБ-специалисты для сбора информации о конкретной цели применяют расширенные операторы поиска, т.е. особым образом формируется запрос, при котором выдаётся лишь необходимая информация.

Вот наиболее популярные расширенные операторы поиска:

🔎site: – поиск на определенном сайте.
Пример: site:habr.com OSINT — так можно найти все упоминания OSINT на хабре.

🔎" " – поиск точных совпадений.
Пример: "tor" "блокировка" "Китай" — так можно найти все публикации, где говорится о блокировке tor в Китае и её обходе.

🔎Знак «-» – убирает из поиска результаты со словом после знака.
Пример: сканер портов linux -nmap — так можно найти менее популярные сканеры открытых портов под OC Linux.

🔎filetype: – поиск страниц с файлами определённого типа.
Пример: пентест filetype:pdf — так можно найти все файлы с названием "пентест" в формате PDF.

🔎intext: – поиск определенного слова в тексте.
Пример: site:wikipedia.org intext:пентест — так можно найти все страницы на википедии со словом пентест.

🔎intitle: – поиск определенного слова в заголовке.
Пример: site:habr.com intitle:пентест — так можно получить все страницы хабра с заголовком пентест.

🔎inurl: – поиск страниц с определенным словом в url-адресе.
Пример: site:wikipedia.org inurl:OSINT — так можно получить все страницы на википедии с аббревиатурой OSINT в URL.

💬tg_AC

⚡️Кому и зачем нужна безопасная разработка, и что необходимо для запуска подхода DevSecOps в организации?

Обсудили эту актуальную тему в свежем выпуске подкаста «Безопасный выход». Вместе с Ильей Шмаковым, BISO и DevSecOps TeamLead в Росбанке, разобрали распространение DevSecOps, его адаптацию и внедрение в процесс разработки в отечественных компаниях.

Смотрите подкаст и вы узнаете:

• что драйвит внедрение DevSecOps, и как посчитать его эффективность;
• какой нужен MVP для запуска процессов безопасной разработки;
• кто может стать DevSecOps, и где готовят таких специалистов;
• кто такие Security Champion, и как их вырастить среди своих разработчиков;
• каковы перспективы развития безопасной разработки в России.

💬VK Видео

📱Rutube

📹YouTube

🎼Podster

Подписывайтесь на подкаст, чтобы не пропустить новые выпуски! #подкаст #Безопасныйвыход

📣Новостной дайджест прошедшей недели

🗣Госдума в первом чтении приняла законопроект о легализации белых хакеров
Тестировщикам компьютерных программ разрешат не получать согласие разработчиков при проверках на уязвимость.

🗣Минэкономразвития предложило кратно сократить штрафы за утечки ПДн
Кроме того, министерство хочет ввести ответственность за утечку биометрических данных и ПДн специальной категории (о расовой, национальной принадлежности, состоянии здоровья, религиозных убеждениях и др.)

🗣ЦБ обязал банки ускорить борьбу с мошенниками
Со следующего года крупные финорганизации будут обязаны за один час вносить реквизиты злоумышленников из «черного списка» ЦБ в свои внутренние базы данных для блокировки денежных переводов.

🗣Рынок киберстрахования может превысить 3 млрд рублей по итогам года
Это связано с интересом страховщиков к сегменту на фоне низкой конкуренции, а также спросом со стороны компаний, которые подвергаются хакерским атакам.

🗣Роскомнадзор за девять месяцев 2024 года зафиксировал 110 фактов утечек данных
Чаще всего утечки фиксировались у компаний, работающих в сфере торговли и оказания услуг.

🗣Минцифры положительно оценило готовность объектов КИИ к запрету на использование иностранного ПО
Представитель министерства подчеркнул, что для большинства средств защиты информации и программного обеспечения существуют отечественные аналоги.

🗣МВД РФ: количество кибератак на бизнес в России выросло
Шифровальщики стали самым распространенный типом вредоносного ПО, который хакеры используют в кибератаках.

💬tg_AC

📣Что важно учесть в SLA с поставщиками?

В требованиях к опернадежности, изложенных в ГОСТ Р 57580.4, описаны процедуры по обеспечению безопасности цепи поставок, а именно «заключение соглашений об уровне оказания услуг (SLA)» с поставщиком ИТ-услуг для финансовой организации. Давайте рассмотрим, какие положения следует отразить в SLA.

Рекомендуем прежде всего обратить внимание на «опросник» Банка России, который рассылался поднадзорным организациям летом этого года. Данный документ содержит 7 блоков детализированных вопросов.

Представляем основные правовые и технические аспекты, на которых акцентировал внимание регулятор и которые должны быть отражены в SLA с поставщиками:

➡️Доступы и обработка конфиденциальной информации, как охраняемой законом, так и являющейся коммерческой тайной самой ФО, в т.ч. их гарантированное удаление.

➡️Стратегия разрыва отношений, т.е. то, как будете выходить из договорных отношений (по обоюдному решению, в одностороннем порядке по инициативе поставщика или из-за каких-либо красных флагов), как будете перемещать оборудование, отключаться от сервиса, заменять программный компонент или переключаться на другого поставщика, за какую временную дельту.

➡️Обязательства об уведомлении о привлечении к работам субподрядчиков, т.е. третьей стороны в ваших взаимоотношениях. И, соответственно, транслирование им всех требований и обязательств.

➡️Определение порядка возмещения потерь: денежная компенсация, рабочие часы, доп.услуги и т.п.

➡️Привлечение к надзорным мероприятиям регуляторов (ЦБ, РКН, ФСТЭК и ФСБ России): предоставление свидетельств по процессам, взаимодействие при реагировании и расследовании.

➡️Применение СКЗИ для защиты каналов связи.

➡️Применение основного и резервного ЦОД (желательно с двумя и более зонами доступности), наличие резервных каналов связи и электропитания.

➡️Применение различных технических средств выявления аномалий, обнаружения вторжений и компьютерных атак.

➡️Регламентация правил удаленного подключения и формирование перечня ресурсов удаленного доступа.

❗️Подробнее тему грамотного взаимодействия с поставщиками и выполнения требований по опернадежности к финансовым организациям рассмотрит наш ведущий консультант по ИБ Александр Моисеев на конференции АБИСС 22 октября в рамках сессии 2. Финансовая отрасль: практика обеспечения безопасности. Не пропустите!

✔️Если еще не успели зарегистрироваться на конференцию АБИСС, переходите по ссылке. Для представителей поднадзорных организаций участие в конференции бесплатное.

💬tg_AC

🗣Представлен новый метод внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR).

Эта техника задействует особенности процесса создания приложений в Windows и минимизирует риск обнаружения. В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима.

❗️Техника Early Cascade Injection способна эффективно обходить системы обнаружения, так как позволяет внедрять код до того, как EDR успевает активировать защитные механизмы.

💬tg_AC

❓Какова роль DPO в бизнесе, и что важно знать о регуляторике обработки персональных данных?

Эти вопросы обсудят более 60 экспертов в сфере персональных данных на Евразийском конгрессе по защите данных, который состоится 24 и 25 октября. Мероприятие будет проходить в онлайн-формате с возможностью для офлайн-нетворкинга в локациях партнеров.

Это уникальная возможность познакомиться с экспертами по приватности из разных стран, приобрести новые знания и включиться в работу множества локальных сообществ.

Участие бесплатное, подключиться к мероприятию можно здесь⬅️