Вопрос:

Могут ли автоматизированные системы управления технологическим процессом являться информационными системами ПДн?

Ответ:

Автоматизированными системами управления технологическим процессом (АСУ ТП) являются системы, которые включают в себя комплекс технических и программных средств, предназначенных для автоматизации управления технологическими процессами предприятия.

Структуру АСУ ТП можно описать следующим образом:
▫️Нижний уровень – датчики, контрольно-измерительные приборы, исполнительные механизмы на производственных участках.
▫️Средний уровень – программируемые логические контроллеры (ПЛК), промышленные компьютеры, которые непосредственно связанны с датчиками и исполнительными устройствами нижнего уровня. Такие устройства могут также быть оснащены рабочим местом оператора.
▫️Верхний уровень – рабочие места операторов и разработчиков (инженеров) АСУ ТП, а также серверы, обрабатывающие данные с устройств средних и нижних уровней.

Рассматривая структуру АСУ ТП с точки зрения обработки ПДн, следует выделить верхний и средний уровни АСУ ТП:

1️⃣ На верхнем уровне субъектами ПДн могут быть операторы и разработчики АСУ ТП, в состав обрабатываемых ПДн которых могут входить:
▫️Ф.И.О. оператора;
▫️должность оператора;
▫️логин учетной записи / идентификатор оператора;
▫️логи о действиях оператора, в том числе время входа / выхода из учетной записи;
▫️графики работы;
▫️сведения о здоровье для допуска (в случае интеграции с иными системами предприятия), например: наличие признаков опьянения, температура тела, уровень артериального давления и частота пульса.

2️⃣ На среднем уровне субъектами ПДн могут быть операторы АСУ ТП, в состав обрабатываемых ПДн которых могут входить:
▫️логин учетной записи / идентификатор оператора;
▫️логи о действиях оператора, в том числе время входа / выхода из учетной записи, а также сведения о запуске оператором управляющих программ (например, программы для ЧПУ-станка);
▫️местоположение устройства, если оно позволяет определить геолокацию оператора.

Таким образом, если АСУ ТП при первом рассмотрении не рассматривалась компанией как информационная система ПДн, то рекомендуется провести обследование АСУ ТП на предмет обработки ПДн.
Если по результатам обследования будет выявлена обработка ПДн, то предприятию следует провести работы по оценке соответствия АСУ ТП требованиям в области обработки и защиты ПДн.

#Privacy
#KeptОтвечает

Атака «человек посередине» (Man-in-the-Middle, MITM) – это тип атаки, при котором злоумышленник встраивается в коммуникацию между двумя сторонами (например, пользователем и сайтом) и может перехватывать и изменять данные, передаваемые между ними.

Рассмотрим варианты ответов:

▫️Отравление DNS (DNS Poisoning) – это тип атаки, при котором злоумышленник подменяет записи в DNS-кэше, чтобы перенаправить пользователей на поддельные или вредоносные сайты. Атака относится к MITM, поскольку злоумышленник подменяет данные на DNS-сервере, который в последствии выдает пользователю вредоносный URL.

▫️Подделка параметров (Parameter Tampering) – это тип атаки на веб-приложения, при котором злоумышленник изменяет параметры, передаваемые между клиентом и системой. В данном виде атаки злоумышленник напрямую взаимодействует с сервером через клиент, не перехватывая и не изменяя данные, передаваемые между двумя другими сторонами, поэтому атака не относится к MITM. Например, выполняя такую атаку, злоумышленник может изменить цену на товар в интернет-магазине в своем запросе, изменив его параметры вручную. Если сервер не проверяет цену на своей стороне, он может принять цену, записанную злоумышленником.

▫️Подмена ARP (ARP Spoofing) – это тип атаки, при которой злоумышленник отправляет поддельные ARP-сообщения (сообщения, предназначенные для определения MAC-адреса другого компьютера по известному IP-адресу) в локальную сеть, чтобы связать свой MAC-адрес с IP-адресом другого устройства (например, роутера). Таким образом, трафик, предназначенный для легитимного устройства, передается на устройство злоумышленника. Полученные данные злоумышленник может изменять и передавать далее, либо вовсе блокировать, поэтому атака относится к MITM.

▫️Перехват Wi-Fi (Wi-Fi Eavesdropping) – это тип MITM атаки, при котором злоумышленник перехватывает данные, передаваемые по беспроводной сети Wi-Fi. Для захвата данных, передаваемых между устройством и точкой Wi-Fi, используются специальные инструменты, например, анализаторы сетевого трафика. Если данные не зашифрованы или шифрование слабое, злоумышленник может их расшифровать и получить доступ к конфиденциальной информации, например, к паролям, сообщениям, банковским данным и т.д.

#ИБ
#Викторины

CISO & DPO news #70 (14-20 апреля 2025 года)

▫️Обнаружено вредоносное ПО, маскирующееся под обновление ViPNet Client

Компании Лаборатория Касперского и Т-Технологии обнаружили вредоносное ПО – бэкдор, которые распространялся как обновление ViPNet Client. Бэкдор был обнаружен у государственных организаций, а также у компаний финансовой сферы и промышленных предприятий.
Считается, что основной целью бэкдора являлась кража конфиденциальной информации.
 
▫️Обнаружены 0-day уязвимости в планировщике задач Windows

Исследователи выявили четыре уязвимости в компоненте «schtasks.exe» планировщика задач Windows, позволяющие локальным злоумышленникам обходить контроль учетных записей пользователей, получать права SYSTEM и удалять журналы безопасности.
 
▫️Злоумышленники крадут криптовалюту с Android-смартфонов

Доктор Веб обнаружил вредоносное ПО в прошивке некоторых Android-смартфонов от китайских производителей. ПО маскируется под WhatsApp и использует фреймворк LSPatch для подмены обновлений, отслеживания буфера обмена и изменения адреса криптокошельков, а также собирает личные данные. Основная часть заражённых устройств — смартфоны, мимикрирующие под модели известных производителей, таких как S23 Ultra и Note 13 Pro.
 
▫️Apple закрыла две опасные 0-day уязвимости в iOS и macOS

Apple устранила критические 0-day уязвимости в iOS 18.4.1 и macOS Sequoia 15.4.1, уже использовавшиеся в атаках. CVE-2025-31200 позволяла заразить устройство с помощью аудиофайла через уязвимость в подсистеме CoreAudio, а CVE-2025-31201 — обойти механизм защиты памяти (PAC). Пользователям рекомендуется срочно установить обновление, так как уязвимости затронули почти все современные устройства Apple.
 
▫️База данных ЦБ РФ с реквизитами мошенников увеличилась почти наполовину

ЦБ РФ сообщил, что объем данных о реквизитах, используемых мошенниками, увеличился на 46% за 2024 год. Банки применяют заградительные меры и блокируют инструменты дистанционного обслуживания для предотвращения повторного использования реквизитов мошенниками.
 
▫️Минцифры опубликовало Методические указания по категорированию объектов КИИ в сфере связи

Методические указания согласованы с ФСТЭК России и включают в себя информацию о порядке категорирования объектов КИИ, в том числе перечни типовых критических процессов, перечень типовых объектов КИИ, функционирующих в сфере связи, а также рекомендации по заполнению акта категорирования объекта КИИ.
 
▫️Опубликованы документы об изменении порядка обезличивания ПДн

Опубликован приказ Минздрава России от 20.03.2025 № 139н, утверждающий обновленный порядок обезличивания ПДн пациентов и лиц, проходящих медицинские обследования. Документ вступает в силу 01.09.2025 г. и будет действовать до 01.09.2031 г., заменяя приказ Минздрава России от 14.06.2018 № 341н. Отметим, что применяемые методы и состав обезличиваемых сведений остаются без изменений.
Также опубликованы проекты Минцифры России о порядке формирования составов ПДн, полученных в результате обезличивания ПДн, и об установлении требований к обезличиванию ПДн.
 
▫️ Минцифры утвердило правила обезличивания ПДн для государственной аналитической системы

С 01.09.2025 г. организации начнут передавать обезличенные ПДн в единую государственную систему анализа информации. Минцифры разработало 5 методов обезличивания, включая замену идентификаторами, разбиение ПДн на части и их статистическое обобщение. Обрабатывать ПДн можно будет только через специальное ПО, которое ведомство предоставит бесплатно.
 
▫️Рассматриваются рекомендации GDPR для использования технологий блокчейн

Европейский совет по защите данных рассматривает руководящие принципы обработки персональных данных (ПДн) с помощью блокчейнов и готов сотрудничать с Европейским офисом по искусственному интеллекту (European Artificial Intelligence Office) в разработке руководящих принципов по Закону об искусственном интеллекте (AI Act) и законодательству Евросоюза о защите ПДн (GDPR). Руководство доступно для общественного обсуждения до 9 июня.

Вопрос:

Как нейросети помогают преступникам?

Ответ:

Ранее мы уже рассказывали о применении искусственного интеллекта (ИИ) как о системе защиты информации. Но также ИИ уже сейчас активно используется при проведении кибератак, предоставляя злоумышленникам множество новых инструментов и возможностей.
 
Этапы применения ИИ в кибератаках можно условно разделить на следующие:
▫️помощь начинающим злоумышленникам – ИИ позволяют быстро разобраться в основах, получить нужную информацию и спланировать атаку.
▫️поддержка отдельных этапов атаки – ИИ помогает генерировать вредоносный код, проверять его, создавать фишинговые письма, дипфейки и поддельные сайты.
▫️автоматизация этапов атаки –автоматизированный сбор данных о жертвах, эксплуатация уязвимостей, работа с фальшивыми аккаунтами и массовая генерация контента с помощью ИИ.
▫️полная автоматизация атак – в перспективе возможно выполнение атак без участия человека, самостоятельное определение цели на основе заданных значений, анализ эффективности атак и адаптация стратегии в реальном времени. 
 
Примеры способов применения ИИ злоумышленниками:
 
▫️Разведка и сбор информации (OSINT) – ИИ упростил OSINT, автоматизируя сбор и анализ данных из открытых источников.
Благодаря ИИ возможно обрабатывать огромные массивы информации из социальных сетей, веб-сайтов, новостных лент и других источников, выявляя ценные данные о потенциальных жертвах. ИИ может идентифицировать персональные данные, учетные данные, привычки, хобби, информацию о деятельности организации и ее технических средствах, предоставляя киберпреступникам все необходимое для планирования целевых атак. Более того, ИИ стирает языковые барьеры, позволяя злоумышленникам собирать информацию на разных языках и расширять географию своих операций.
 
▫️Социальная инженерия и фишинг – ИИ значительно повышает эффективность фишинговых атак с помощью генерации убедительных фишинговых сообщений на разных языках и адаптации их под конкретных жертв.
ИИ также используется для автоматизации диалога с жертвами, создания поддельных веб-сайтов и генерации дипфейков. Рост числа дипфейков, обусловленный доступностью инструментов для их создания, представляет серьезную угрозу как для частных лиц, так и для организаций любого масштаба.
 
▫️Эксплуатация уязвимостей – ИИ используется для автоматизации поиска и эксплуатации уязвимостей в программном обеспечении.
Не смотря на то, что пока ИИ в основном используется для помощи в проведении отдельных шагов атаки, ИИ имеет значительный потенциал для полной автоматизации этого процесса. Эффективные инструменты на базе ИИ могут значительно ускорить процесс эксплуатации уязвимостей, делая атаки более опасными.
 
▫️Вредоносное ПО – ИИ используется для генерации и модификации вредоносного кода, создавая новые виды вредоносного ПО, которые сложнее обнаружить антивирусными средствами.
 
В современных реалиях ИИ уже давно пополнил инструментарий киберпреступников и предоставил им множество новых возможностей, что сделало ИИ серьезной угрозой для кибербезопасности.

#ИБ
#KeptОтвечает

Публикуем тринадцатый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на май 2025 года.

Подборка мероприятий в файле под этим постом ⬇️

#Непропустимыесобытия

Вчера мы провели конференцию Kept Cyber and Privacy Online Meetup 2025, которая стала своеобразным полугодовым «мостиком» между нашими большими ежегодными октябрьскими конференциями.

Пока мы готовим запись вчерашней встречи, предлагаем вам ознакомиться с выступлениями октябрьского мероприятия Kept Cyber & Privacy Conf 2024. По ссылке вы найдете перечень тем, которые мы обсуждали, и ссылки на каждую запись.

Для получения заключения SOC 2 тип II недостаточно просто разработать и внедрить систему контролей в области информационной безопасности (ИБ). Этот тип аудита требует тестирования эффективности выполнения контролей в рамках системы в течение определенного периода времени, обычно от 6 до 12 месяцев.
Отчет SOC 2 тип II подтверждает не только дизайн контрольных процедур и их внедрение, но и фактическую эффективность работы средств контроля, основываясь на проверке соблюдения компанией своих политик и процедур безопасности в динамике.
Сразу после внедрения системы контролей в области ИБ может быть получено заключение SOC 2 тип I.
SOC 2 тип I выпускается на определенную дату и покрывает только дизайн и внедрение контрольных процедур.

Ранее уже писали о важности SOC-отчетов для оценки систем контролей в области информационной безопасности в компаниях, предоставляющих услуги. Процедуры аудита проводятся на основании критериев, установленных в фреймворке «Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy», разработанном Американским институтом дипломированных бухгалтеров (AICPA).

#ИБ
#Викторины

▫️Уже завтра состоится наша полугодовая конференция Kept Cyber and Privacy Online Meetup 2025.

🟣 Успейте зарегистрироваться по ссылке.

Полная программа мероприятия ниже⬇️

CISO & DPO news #69 (7-13 апреля 2025 года)

▫️Google представила ИИ-модель для анализа угроз кибербезопасности

Google выпустила Sec-Gemini v1 — ИИ-модель для поддержки специалистов по ИБ. Модель обрабатывает данные киберразведки из Google Threat Intelligence (сервис Google по сбору и анализу данных о киберугрозах), свободной базы уязвимостей в opensource-проектах и Mandiant Threat Intelligence (платформа для анализа тактик и методов злоумышленников). Модель способна выявлять связи между уязвимостями и угрозами, помогает анализировать инциденты почти в реальном времени и опережает конкурентные ИИ-модели по ключевым метрикам. Доступ открыт исследователям и НКО.
 
▫️Google исправили уязвимость, позволявшую отслеживать историю просмотров браузера

Версия Chrome 136 beta устранит уязвимость, позволявшую сайтам отслеживать посещения по цвету ссылок – синие ссылки означали непосещённые сайты, фиолетовые — посещённые. История переходов теперь будет храниться с учётом контекста — ссылка считается посещённой только на том сайте, где был переход. Обновление выйдет 23 апреля.
 
▫️В Linux нашли уязвимость, открывающую root-доступ 

Исследователь раскрыл рабочий эксплойт для CVE-2023-6931 — уязвимости в ядре Linux, существовавшей еще с 2014 г. Уязвимость использует технику heap spraying и объекты netlink socket для переполнения буфера, обхода KASLR и запуска ROP-цепочки, в результате чего атакующий получает root-доступ. Настоятельно рекомендуем обновить ОС до ядра версии 6.7 или как минимум установить патч, устраняющий CVE-2023-6931.
 
▫️В апрельском обновлении Android устранено две критические 0-day уязвимости

В обновлении Android за апрель устранено 62 уязвимости. В их числе две серьезные 0-day-уязвимости — баг в драйвере ALSA, позволявший злоумышленнику повысить привилегии (CVE-2024-53197), и ошибка в ядре Android, связанная с утечкой данных при чтении памяти (CVE-2024-53150).
 
▫️Роскомнадзор против иностранных VPN-протоколов

Роскомнадзор рекомендовал российским VPN-провайдерам прекратить использование зарубежных протоколов шифрования, поскольку они могут применяться для обхода блокировок запрещённого контента. В исключительных случаях компаниям разрешено подавать заявки в ЦМУ ССОП с обоснованием необходимости таких технологий и указанием IP-адресов. Данное решение усилит контроль над VPN-трафиком и ограничит доступ к нелегальным ресурсам.
 
▫️Возможно ограничение работы зарубежных провайдеров хостинга

Роскомнадзор готов ограничить работу зарубежных хостинг-провайдеров в России из-за систематического нарушения ими требований российского законодательства по защите данных и противодействию киберугрозам, что создаёт риски внезапной блокировки и уязвимости российских интернет-ресурсов.
 
▫️Немецкие защитники потребителей подали в суд на Lidl

Приложение программы лояльности Lidl Plus обвиняют в скрытом сборе данных 100 млн пользователей в обмен на скидки. Истец (Федеральное объединение немецких центров защиты потребителей) утверждает, что условия использования программы лояльности недостаточно прозрачны. Суд Штутгарта рассмотрит, насколько законна такая бизнес-модель.
Результаты данного судебного процесса могут повлиять на регулирование цифровых программ лояльности и повлечь ужесточение правил сбора ПДн.
 
▫️ Apple против британских властей

Компания Apple отказалась выполнить требование британских властей предоставить спецдоступ к зашифрованным данным пользователей iCloud. При этом суд Великобритании отказался рассматривать дело на закрытом судебном заседании.
Компания рассматривает возможность отключения ряда своих сервисов на территории Великобритании для защиты конфиденциальности пользователей. При этом Правительство США назвало такое давление на Apple неприемлемым, так как оно угрожает правам человека.

Вопрос:

Какие уязвимости есть у WiFi-сетей и как от них защититься?

Ответ:

Wi-Fi — это удобный, но крайне уязвимый способ передачи данных. Популярность подобных сетей привлекает злоумышленников, которые используют уязвимости для несанкционированного доступа к данным.

Разберём популярные уязвимости Wi-Fi:

1️⃣ Использование устаревших стандартов и протоколов безопасности
▫️WEP (Wired Equivalent Privacy) – один из первых механизмов защиты беспроводных сетей. Он использует алгоритм шифрования RC4 и считаетсяуязвимым и устаревшим.
▫️WPA (Wi-Fi Protected Access) – стандарт безопасности, разработанный для замены WEP. WPA обеспечивает более надежное шифрование и аутентификацию, поскольку каждое устройство, подключенное к сети, имеет собственный уникальный ключ для шифрования и дешифрования данных. Этот стандарт использует алгоритм шифрования TKIP, который в настоящее время не считается надежным.
▫️WPA2 – улучшенная версия WPA, которая считается достаточно надёжной. Однако использование данного стандарта с алгоритмом шифрования TKIP остаётся небезопасной практикой.
▫️WPS – протокол, предназначенный для упрощённого подключения к роутеру. Реализация первой версии протокола с функцией подключения по восьмизначному пин-коду является небезопасной, и атакующий может быстро подобрать код для подключения.

2️⃣ Использование слабых паролей
Использование пользователями слабых паролей, состоящих только из цифр, популярных слов или паролей, содержащих персональную информацию, повышает вероятность успешного подбора злоумышленником.

3️⃣ Уязвимости в программном обеспечении маршрутизаторов
Эксплуатация уязвимостей в программном обеспечении маршрутизаторов позволяет злоумышленникам удалённо исполнять произвольный код (RCE), заражать вредоносным программным обеспечением уязвимые маршрутизаторы или совершать иную вредоносную активность.

Список некоторых известных уязвимостей в роутерах:
▫️ CVE-2023-1389 (роутеры TP-Link) – возможность RCE;
▫️ CVE-2024-20017 (роутеры на SoC MediaTek) – возможность RCE;
▫️ CVE-2024-0769 (роутеры D-Link) – возможность чтения файлов без аутентификации в веб-панели.

Рекомендации по защите:
▫️Использование стандартов WPA2/WPA3-Enterprise с аутентификацией по сертификатам для корпоративных сетей;
▫️Использование стандарта WPA2-PSK (AES) или переход на WPA3 для домашних сетей;
▫️Отключение функции пин-кода в первой версии WPS;
▫️Использование паролей для беспроводных сетей из цифр, знаков и букв длиной от 16 символов;
▫️Периодическое обновление программного обеспечения маршрутизаторов.

#KeptОтвечает

Уважаемые читатели!

Как вы могли заметить, у нас произошли изменения в расписании - нас покинула рубрика #ПолезноЗнать. Мы модифицировали и объединили её с рубрикой #KeptОтвечает. Это изменение направлено на улучшение структуры нашего материала и удобства его восприятия без ущерба содержанию.

Теперь наши регулярные рубрики выглядят так:
▫️Викторины
▫️Kept Отвечает (#KeptОтвечает)
▫️Непропустимые события (#Непропустимыесобытия)
▫️Деюре (#Деюре)
▫️CISO & DPO news

Ниже мы перечислили некоторые темы из уходящей рубрики, а все посты можно найти по тегу #ПолезноЗнать:

▫️ Экстерриториальность законов о персональных данных
▫️ Что такое eDiscovery
▫️ Разница между обезличиванием и анонимизацией персональных данных
▫️ VPN — цифровой щит в мире Интернета
▫️ Базовые методы защиты данных
▫️ Что такое CTF-турниры?
▫️ Безопасность автомобильных сигнализаций
▫️ Преимущества сетевого сегментирования
▫️ Искусственный интеллект как система защиты информации
▫️ Что такое Threat Intelligence

Мы надеемся, что эти изменения сделают ваше чтение еще более приятным и информативным.

Спасибо, что остаетесь с нами!

Incident Response (IR, реагирование на инциденты) – комплекс процессов и мер, направленный на выявление, анализ, устранение и восстановление после инцидента ИБ. Эти процессы не могут быть успешными без должной подготовки, которая, в свою очередь, сильно зависит от извлеченных уроков, поэтому классический Incident Response выглядит так:

1️⃣ Подготовка

▫️Разработка плана реагирования на инциденты
▫️Создание и обучение команды IR (SOC, CERT, CSIRT)
▫️Настройка мониторинга и средств обнаружения угроз
▫️Регулярное тестирование и проведение учений

2️⃣ Идентификация

▫️Обнаружение аномалий и подозрительной активности
▫️Анализ журналов, сетевого трафика, поведения пользователей
▫️Подтверждение факта инцидента и его классификация (DDoS, утечка, взлом и т. д.)
▫️Оценка критичности инцидента

3️⃣ Сдерживание

▫️Локализация угрозы для предотвращения её распространения
▫️Изоляция заражённых узлов, блокировка учетных записей
▫️Применение временных мер защиты
▫️Коммуникация внутри компании и вовне

4️⃣ Устранение

▫️Выявление первопричины атаки
▫️Удаление вредоносного ПО, исправление уязвимостей
▫️Проверка всех систем на наличие следов компрометации

5️⃣ Восстановление

▫️Безопасный возврат инфраструктуры в рабочее состояние
▫️Мониторинг активности на предмет повторных атак
▫️Восстановление приложений и данных
▫️Возврат процессов в рабочий режим

6️⃣ Выводы, анализ и усовершенствование

▫️Разбор произошедшего, обновление плана IR
▫️Документирование и отчетность по результатам инцидента
▫️Обучение сотрудников на основе реального кейса
▫️Улучшение процессов мониторинга и реагирования
▫️Доработка правил средств защиты на основе инцидента

Без правильно выстроенного IR любая кибератака может привести к масштабным последствиям: утечке данных, финансовым потерям, простою бизнеса и репутационным рискам.

#ИБ

CISO & DPO news #68 (31 марта - 6 апреля 2025 года)

▫️Предприятия российской промышленности атакованы новым бэкдором

Хактивистская группа Head Mare атаковала около 100 российских промышленных предприятий, распространяя бэкдор PhantomPyramid через вредоносные вложения в электронных письмах.
 
▫️Первый зампред Комитета Совфеда предложил метод идентификации «белых хакеров»

Сенатор Артем Шейкин предложил применять Единую систему идентификации и аутентификации (ЕСИА) для идентификации «белых хакеров», участвующих в тестировании КИИ и государственных ресурсов. Это позволит обеспечить прозрачность и безопасность при работе специалистов с такими объектами.
 
▫️Apple предупредила об активно эксплуатируемых 0-day уязвимостях

Apple выпустила обновления безопасности для устранения трех критических 0-day уязвимостей, затрагивающих устройства на iOS, iPadOS и macOS, и рекомендует пользователям немедленно обновить свои устройства.
 
▫️Новый Android-троян  TsarBot крадет банковские данные

Обнаружен новый банковский троян TsarBot, атакующий устройства на базе Android. Он маскируется под GooglePlay Services и накладывает поддельные экраны входа поверх легитимных приложений, похищая конфиденциальные данные пользователей.
 
▫️В сеть утекли персональные данные более 270 тыс. клиентов Samsung Germany

Хакер слил в интернет ПДн более 270 тыс. клиентов Samsung Germany, раскрыв имена, электронные адреса, домашние адреса и данные по заказам. Обнародованные ПДн могут быть использованы для целевых фишинговых атак, захвата аккаунтов или физической кражи доставленных товаров.
 
▫️ Компенсация морального вреда может быть присуждена за рекламу без согласия

Верховный суд РФ постановил, что навязчивые рекламные звонки без согласия абонента нарушают неприкосновенность частной жизни и могут повлечь компенсацию морального вреда. Так суд рассмотрел дело между банком и его клиентом, когда кредитная организация продолжала звонить клиенту с предложениями о кредите, несмотря на письменное требование прекратить звонки. Верховный суд РФ признал вину банка, подчеркнув, что техническая ошибка не исключает ответственности за причиненный моральный вред.
 
▫️Опубликован Федеральный закон о создании ГИС противодействия правонарушениям, совершаемым с использованием ИКТ

Федеральный закон вводит комплекс мер по защите граждан от мошенничества, включая обязательную маркировку звонков от организаций и запрет на передачу права пользования номером телефона третьим лицам. Закон вступит в силу с 01.06.2025 г.
 
▫️Британский регулятор наказал IT-компанию за халатность в отношении ПДн

Британский регулятор оштрафовал компанию AdvancedComputer Software Group на 3,07 млн. фунтов стерлингов за несоблюдение требований к защите ПДн. В августе 2022 года из-за отсутствия многофакторной аутентификации была проведена кибератака, в результате которой были раскрыты данные 79 404 субъектов ПДн.

Вопрос:

Что важно знать российской компании в области персональных данных, если она хочет вести бизнес в Турции?

Ответ:

Компании, ведущие бизнес на территории Турции, должны соблюдать требования Закона о защите персональных данных от 2016 года № 6698 (Personal Data Protection Law, PDPL), в который были внесены изменения в 2024 году, а также обширное количество подзаконных нормативно-правовых актов.

Основные требования, которые должны выполнять компании, включают, но не ограничиваются:

1️⃣ Если компания не является резидентом Турции, такая компания обязана назначить своего представителя на территории Турции;
2️⃣ Если компания является оператором персональных данных (ПДн), она должна зарегистрироваться в Реестре контролеров данных (VERBIS);
3️⃣ Информировать субъектов ПДн об обработке их персональных данных в момент получения ПДн;
4️⃣ Уведомлять регулятора и субъектов ПДн об утечках ПДн;
5️⃣ Обеспечить выполнение требований к трансграничной передаче ПДн, которые с 2024 года приведены в соответствие с требованиями GDPR. А также в случае использования Standard Contractual Clauses (SCC) уведомить регулятора о нем в течение 5 рабочих дней.
6️⃣ Если компания работает в сфере финансов, обеспечить выполнение требований по локализации.
 
Несоблюдение требований PDPL может повлечь за собой административные штрафы в размере от 50 000 до 1 000 000 турецких лир.

#Privacy
#KeptОтвечает

В прошлую пятницу мы провели 7 поток двухдневного тренинга «Персональные данные: интенсив».

Следующие потоки пройдут:
▫️22-23 мая впервые в питерском офисе. Регистрация по ссылке.
▫️19-20 июня в московском офисе. Регистрация по ссылке.

⚡На раннюю регистрацию действует скидка.

Преимущества нашего тренинга – очный формат и живое общение, решение практических кейсов, непосредственно связанные с компаниями или сферой деятельности участников, а также обсуждение вопросов, которые действительно волнуют участников.

На прошедшем потоке мы разобрали с участниками следующие темы:
▫️обязанности и задачи DPO;
▫️как выявить и управлять процессами обработки ПДн;
▫️как сделать «идеальный» cookie-баннер;
▫️порядок передачи и поручения обработки ПДн;
▫️трансграничная передача ПДн;
▫️и другие вопросы, связанные с обязанностями DPO.

Спасибо всем участникам за интересные вопросы и дискуссии!

🟣Содержание тренинга доступно по ссылке.

#Privacy

Kept подготовила обзор санкций, предусмотренных за нарушение требований законодательства РФ в области персональных данных.

▫️Тема со штрафами и другими видами ответственности за нарушение требований законодательства в области персональных данных остается одной из самых обсуждаемых в отрасли вот уже более года.

▫️Материалов по теме довольно много, но, зачастую, они охватывают только нововведения и не покрывают весь спектр ответственности, или, наоборот, не учитывают обновления, которые вступят в силу уже в мае этого года.

🟣Для вашего удобства наша команда разработала удобный материал, который отражает всю необходимую информацию по этому вопросу. Ознакомиться с брошюрой можно по ссылке или ниже ⬇️

Вступило в силу 6 марта 2025 г.:

▫️ Методические рекомендации Банка России № 3-МР по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению в целях составления отчетности
🔸для кого: кредитные организации и операторы услуг платежной инфраструктуры, осуществляющие деятельность операционных и платежных клиринговых центров, не являющиеся кредитными организациями
🔸 что делать: применять обновленные рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений
Вступило в силу 18 марта 2025 г.:
▫️ Приказ ФСБ от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств»
🔸 для кого: государственные органы
🔸 что делать: определить классы криптозащиты СКЗИ и уровни значимости информации, провести оценку влияния технических средств ИС на выполнение предъявляемых к СКЗИ требований, выполнять требования к физической защите и для защиты информации, содержащейся в ИС, использовать СКЗИ, сертифицированные ФСБ России

Вступило в силу 28 марта 2025 г.:

▫️ Положение Банка России от 30 января 2025 г. № 851-П "Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
🔸для кого: кредитные организации, иностранные банки, осуществляющие деятельность на территории РФ через свои филиалы
🔸 что делать: формировать для клиентов рекомендации по защите информации от воздействия вредоносных кодов в целях противодействия осуществлению переводов денежных средств без согласия клиента, по заявлению клиентов устанавливать ограничения на осуществление операций либо ограничения максимальной суммы одной операции и (или) операций за определенный период времени,обеспечить защиту информации в отношении объектов информационной инфраструктуры, прикладного ПО автоматизированных систем и приложений и технологии обработки защищаемой информации, выполнять требования по использованию средств электронной подписи и СКЗИ и требования по предотвращению вовлечения несовершеннолетних в преступную деятельность с использованием финансовых механизмов

Вступило в силу 31 марта 2025 г.:

▫️ Национальный стандарт РФ ГОСТ 59453.3-2025
🔸для кого: разработчики средств защиты информации (далее – СЗИ), реализующих политики управления доступом, а также органы по сертификации и испытательные лаборатории при проведении сертификации СЗИ, реализующих политики управления доступом
🔸что делать: разработать и описать формальные модели управления доступом, на основе которых разрабатываются СЗИ, реализующие политики управления доступом
▫️ Национальный стандарт РФ ГОСТ 59453.4-2025
🔸для кого: разработчики СЗИ, реализующих политики управления доступом, а также органы по сертификации и испытательные лаборатории при проведении сертификации СЗИ, реализующих политики управления доступом
🔸что делать: верифицировать СЗИ, реализующие политики управления доступом

▫️ Информационные сообщения ФСТЭК России от 21.03.2025 об обновлении на сайте реестров ФСТЭК России перечня органов по аттестации, реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий и государственного реестра сертифицированных СЗИ.

#Деюре

С развитием технологий компании все чаще используют облачные сервисы для хранения данных, совместной работы и ведения бизнеса. Однако переход в облачную среду сопровождается рисками, связанными с несанкционированным доступом, утечками данных и несоответствием требованиям безопасности. Для решения этих проблем применяются брокеры безопасности облачного доступа (CASB — Cloud Access Security Broker), которые обеспечивают контроль и защиту взаимодействия пользователей с облачными сервисами.
CASB — это платформа безопасности, выступающая посредником между пользователями и облачными сервисами. Она может быть реализована либо как локальное решение, либо как облачное решение, Наибольшей популярностью, ввиду быстрого развертывания, масштабируемости и более низких затрат, пользуется именно облачное решение.

Решения CASB выполняют ряд задач, обеспечивая защиту облачных ресурсов:

1️⃣Обнаружение и контроль теневого ИТ (Shadow IT – использование сотрудниками технологий, сервисов, приложений или устройств в рабочей среде без одобрения или контроля со стороны IT-службы компании)
▫️Выявление несанкционированных облачных сервисов, используемых сотрудниками;
▫️Помощь в анализе рисков, связанных с несанкционированными приложениями, путем предоставления о них необходимой информации.

2️⃣Защита данных;
▫️Контроль передачи конфиденциальных данных;
▫️Шифрование информации перед отправкой в облако;
▫️Блокировка несанкционированного скачивания файлов.

3️⃣Управление доступом и идентификацией
▫️Реализация политики контроля доступа на основе ролей (RBAC);
▫️Интеграция с системами единого входа (SSO) и многофакторной аутентификации (MFA).

4️⃣Обнаружение угроз и предотвращение атак
▫️Мониторинг аномальной активности пользователей;
▫️Выявление вредоносного ПО и предотвращение атак;
▫️Анализ поведения пользователей с помощью технологий машинного обучения.

5️⃣Обеспечение соответствия нормативным требованиям
▫️Выполнение нормативных требований стандартов безопасности (GDPR, ISO 27001, PCI DSS, HIPAA) за счет встроенных функций контроля доступа, защиты данных и возможности аудита облачных сервисов;
▫️Генерация отчетов по итогам аудита.

Существуют три основных метода внедрения CASB:
▫️API-ориентированная модель – интеграция CASB с облачными сервисами напрямую, что позволяет анализировать данные и управлять доступом без изменения маршрутизации трафика;
▫️Проксирование (forward/reverse proxy) – CASB обрабатывает трафик в реальном времени, контролируя все операции между пользователем и облаком;
▫️Гибридное исполнение – сочетает API и прокси, обеспечивая наибольшую гибкость, контроль трафика в реальном времени и широкое покрытие при анализе.

Несмотря на очевидные преимущества, использование CASB может быть сопряжено с рядом сложностей:
▫️Масштабируемость – так как CASB должен обрабатывать огромные объемы данных, поступающих из различных облачных сервисов и приложений, по мере роста компании и увеличения числа используемых облачных решений, CASB может испытывать проблемы с масштабируемостью;
▫️Реагирование на угрозы – не все CASB-системы обладают функционалом немедленного реагирования на угрозы. Некоторые решения только обнаруживают инциденты, но не могут их автоматически блокировать или нейтрализовать;
▫️Интеграция – CASB должен быть совместим с текущей IT-инфраструктурой компании. Проблемы с интеграцией могут привести к тому, что CASB не сможет получить полный обзор активности пользователей и потенциальных угроз. Это особенно важно для организаций, использующих большое количество разнородных систем;
▫️Конфиденциальность данных – в случае использования облачного решения CASB осуществляется передача данных в сторонний сервис, что может вызывать вопросы в отношении конфиденциальности. Компании должны учитывать, как провайдер CASB обрабатывает и защищает их данные, а также соответствуют ли механизмы безопасности требованиям законодательства.

CASB позволяет организациям перейти от реактивного к проактивному подходу в безопасности в облаке, предотвращая угрозы до того, как они нанесут ущерб.

#ИБ

CISO & DPO news #67 (24-30 марта 2025 года)

▫️Обнаружена 0-day уязвимость в Windows

Обнаружена 0-day уязвимость в Windows, позволяющая злоумышленникам удаленно похищать NTLM-хеши при открытии пользователями папки с вредоносным файлом в проводнике Windows. Уязвимость затрагивает все версии ОС вплоть до самых последних. Microsoft знают об уязвимости и работают над её устранением. До выхода официальных исправлений пользователи могут использовать бесплатные патчи от ACROS Security.
 
▫️Обнаружен новый способ для маскировки Android-зловредов

McAfee выявила атаки с Android-зловредами, замаскированными под легитимные приложения с помощью .NET MAUI. Этот фреймворк сохраняет логику приложений в бинарных blob-файлах, которые современные средства защиты Android не проверяют, что позволяет злоумышленникам скрывать вирусы. Для маскировки вредоносных файлов также применяется поэтапное выполнение кода, многослойное шифрование, увеличение файла случайными строками, а также установка соединения с C2-сервером через TCP-туннель.

▫️ Уязвимость в ядре Linux угрожает пользователям Ubuntu 

Обнаружена критичная уязвимость CVE-2025-0927 в драйвере HFS+ ядра Linux, затрагивающая Ubuntu 22.04. Ошибка заключается в переполнении буфера в функции hfs_bnode_read_key и позволяет повысить привилегии на уязвимых устройствах. По шкале оценки уязвимостей (CVSS) данная уязвимость получила 7.8 баллов. Canonical выпустила патч, который пользователям рекомендуется установить в срочном порядке.
 
▫️Приняты изменения в 187-ФЗ

25 марта Государственная Дума приняла закон о внесение изменений в 187-ФЗ (закон о КИИ). Изменения исключают из зоны действия закона ИП, расширяют полномочия Правительства РФ по установке перечня типовых отраслевых объектов КИИ и ужесточают требования к ПО и ПАК. Также устанавливаются новые правила мониторинга и информирования об инцидентах, а обязанности по защите информационных ресурсов возлагаются на руководителей государственных органов, предприятий и учреждений. Закон вступает в силу 1 сентября 2025 года.
 
▫️Госдума приняла закон о защите от кибермошенничества 

Основные изменения:
🔸Введена обязательная маркировка звонков с отображением названия организации, что поможет распознавать мошенников.
🔸Массовые звонки и рассылки будут возможны с разрешения абонента.
🔸Госорганы и бизнес больше не смогут рассылать уведомления через мессенджеры.
🔸Через «Госуслуги» можно будет добровольно ограничить подключение новых услуг.
🔸Для сервисов объявлений использование ЕСИА / ЕБС стало добровольным.

 
▫️Microsoft анонсировала новые ИИ-решения для безопасности данных

Компания Microsoft представила 6 своих и 5 партнерских AI-агентов для Microsoft Security Copilot для автоматизированной борьбы с фишингом и анализа утечек. Также компания анонсировала инструмент Microsoft Purview Data Security Investigations (DSI), который анализирует утекшие данные и помогает оценить их влияние. Дополнительно были усовершенствованы решения Microsoft Defender и Microsoft Entra.
 
▫️ФСБ России ужесточила требования к защите информации, содержащейся в государственных информационных системах 

26.03 был официально опубликован приказ ФСБ России от 18.03.2025 № 117, согласно которому госорганы и учреждения обязаны использовать одобренные ФСБ России криптосредства (СЗКИ) при передаче ПДн, их хранении на носителях и работе с электронными подписями. Уровень защиты зависит от важности информации. Все СКЗИ должны пройти проверку ФСБ России. В помещениях, в которых хранятся СКЗИ и их компоненты, должны обеспечиваться дополнительные меры безопасности.

▫️РКН разработал проект нового приказа об обезличивании ПДн

27 марта Роскомнадзор (РКН) вынес на обсуждение проект нового приказа об обезличивании ПДн, заменяющий Приказ РКН № 966 от 05.09.2013. Тезисы проекта:
🔸компании должны заранее определить состав ПДн для обезличивания и оценить выбранные методы;
🔸обезличенные данные нужно хранить отдельно от исходных данных;
🔸все действия по обезличиванию ПДн подлежат обязательной регистрации;
🔸РКН утвердил три метода обезличивания, исключив декомпозицию.

Вопрос:

В каких ситуациях нужно извлекать данные с Android-устройств и как это сделать?

Ответ:

Согласно статистике за 2024 год, продажи устройств на базе операционной системы Android опережают продажи устройств на базе iOS среди пользователей по всему миру. Это обусловлено наличием на рынке большого спектра производителей (Samsung, Huawei, Xiaomi и др.) и моделей устройств на базе Android, что приводит к более низкой цене по сравнению с iOS-конкурентами. Из-за своей доступности Android-смартфоны и планшетные компьютеры широко используются недобросовестными сотрудниками компаний, которые стремятся реализовать мошеннические схемы, такие как хищение денежных средств или клиентской базы. На устройстве может быть множество полезной для расследования внутреннего мошенничества информации: переписка, фотографии, аудиозаписи, электронные файлы и др.

Поэтому извлечение данных с устройств на базе Android приобретает особую актуальность: с одной стороны, широкий ассортимент таких устройств упрощает выбор для пользователей, предоставляя им множество вариантов, но с другой стороны — это создает сложности для криминалистов, которым необходимо подбирать методы извлечения данных в зависимости от производителя, версии операционной системы, модели устройства и даже модели процессора.

Сегодня существуют несколько методов извлечения данных с устройств на базе Android:

1️⃣Логический метод

Самый безопасный метод с точки зрения манипуляций с телефоном. Обычно основан на формировании резервной копии данных в телефоне (аналогичный процесс выполняют пользователи для сохранения своих данных).

Также к логическим методам относится установка в память телефона «агента» – программы, получающей повышенные привилегии и собирающей определенные данные (SMS-сообщения, звонки, файлы во внутренней памяти, список Wi-Fi и Bluetooth подключений и т.д.)

2️⃣Расширенный логический метод

Это более технически сложный метод, который подходит не для всех типов устройств и предусматривает их частичный разбор. В зависимости от установленного на системной плате чипсета (MediaTek, Spreadtrum, Qualcomm, Exynos), извлечение данных проводится с переводом устройств в режим модема путем замыкания специальных контактов простым пинцетом и подключения устройства к компьютеру.

При таком подходе устройство запускается в сервисном режиме, при этом никакого изображения на экране нет. Использование такого метода позволяет эксплуатировать уязвимости в архитектуре операционной системы Android определенных версий и получать максимально подробный набор данных с телефона, включая переписки в мессенджерах, посещенные ресурсы в сети Интернет. Иногда этот подход может быть использован для обхода парольной или графической защиты.

3️⃣Физический метод

Является наиболее трудоемким методом извлечения, он предусматривает либо подключение к системной плате устройства через интерфейс JTAG, либо выпаивание микросхемы памяти с платы телефона, ее подключение к специальному устройству (программатор) и чтение памяти напрямую.

Сегодня большая часть Android-устройств поддерживает не только полное шифрование данных, но и пофайловое. Это делает невозможным применение физических методов извлечения для большинства современных устройств, так как при подключении микросхемы к программатору криминалист столкнется с полностью шифрованным набором данных.

При этом, подобный метод остается актуальным для телефонов предыдущих поколений, особенно для тех, на которых имеются критические дефекты. В мире цифровой криминалистики и судебной экспертизы известны случаи успешного извлечения данных с телефонов, пролежавших некоторое время под водой, в земле и даже подвергшихся воздействию открытого горения.

Таким образом, извлечение данных с Android-устройств возможно. В зависимости от производителя, модели устройства, версии операционной системы и используемого чипсета могут быть применены различные методы, обеспечивающие полноту и неизменность пользовательской информации, которая в большей степени и представляет интерес для криминалиста.

#DigitalForensics
#KeptОтвечает
#MobileForensics

Платные медицинские услуги – это медицинские услуги, предоставляемые на возмездной основе за счет личных средств граждан, средств работодателей и иных средств на основании договоров, в том числе договоров добровольного медицинского страхования (п. 2 Правил предоставления медицинскими организациями платных медицинских услуг, утвержденных Постановлением Правительства РФ от 11.05.2023 № 736).
Договор на оказание платных медицинских услуг заключается потребителем и (или) заказчиком с исполнителем в письменной форме и должен содержать, следующие сведения о потребителе: Ф.И.О., адрес места жительства, иные адреса, номер телефона, данные документа, удостоверяющего личность.
 
С точки зрения предоставления платных медицинских услуг анонимно, отраслевой регулятор – Министерство здравоохранения высказало свою позицию. Так в ответе на запрос регулятор отметил, что считает неприемлемым анонимное оформление информированного добровольного согласия гражданина на медицинское вмешательство в связи с возможностью выявления опасной для жизни пациента патологии (например, онкологической). В такой ситуации оповещение пациента о результатах медицинского исследования с учетом сохранения врачебной тайны, а также организации оказания необходимой медицинской помощи такому пациенту представляются невыполнимыми.
 
Таким образом, в ответе Министерство здравоохранения делает вывод о том, что оформление информированного добровольного согласия на медицинское вмешательство при оказании пациенту платных медицинских услуг без заполнения графы «Фамилия, имя, отчество» является недопустимым.

#Privacy

CISO & DPO news #66 (17-23 марта 2025 года)

▫️WhatsApp устранил серьезную 0-Click уязвимость

WhatsApp (принадлежит Meta – признанной экстремистской организацией в РФ) устранил 0-Click уязвимость, позволяющую установить вредоносное ПО на устройства пользователей. Злоумышленники добавляли пользователей в чаты и отправляли им PDF-файлы, которые, благодаря уязвимости, автоматически загружались вместе с шпионским модулем Graphite.
 
▫️Миллионы Linux-систем в опасности

Недоработки в дистрибутивах Linux позволяют хакерам внедрять бэкдоры до подписания пакетов. Для этого используются уязвимости типа «инъекция аргументов» в службе Apps Directory, сервисе Pagure и инструментарии Open Build Service. Это грозит компрометацией всех пакетов и заражением миллионов устройств, так как данный метод атаки доступнее и проще, чем компрометация отдельных проектов, как было в случае с XZ Utils.
 
▫️ Троян OctoV2 маскируется под чат-бот Deepseek AI

Под видом популярного чат-бота Deepseek AIраспространяется банковский троян OctoV2. Злоумышленники заманивают жертв на поддельный сайт, где предлагают скачать вредоносный APK для android-устройства. После установки троян запрашивает доступ к Accessibility Service и устанавливает дополнительные вредоносные компоненты. OctoV2 использует алгоритм DGA для обхода блокировок и передает данные об установленных приложениях на сервер злоумышленников.
 
▫️Уязвимость в Windows остается без исправлений

Десятки хакерских группировок активно используют уязвимость в обработке *.LNK файлов в Windows. Несмотря на это, Microsoft не планирует выпускать исправление, объясняя это тем, что рассматривает уязвимость не как угрозу безопасности, а как особенность пользовательского интерфейса. Для защиты и минимизации ущерба от эксплуатации уязвимости рекомендуется фильтровать .LNK вложения, использовать решения класса RBI для блокировки загрузки опасных файлов из сети и SIEM системы для быстрого обнаружения и реагирования на вторжения.
 
▫️Идентификация по биометрии может стать обязательной для онлайн-займов

ЦБ поддержал идею обязательного сбора биометрии при выдаче онлайн-микрозаймов для борьбы с мошенничеством. Внесено предложение поэтапного внедрения с учетом необходимой технической доработки для микрофинансовых организаций (МФО). Минцифры уточняет, что граждане смогут оформить микрозайм лично в МФО, если не хотят использовать биометрию. МФО критикуют инициативу, ссылаясь на малое количество зарегистрированных в ЕБС россиян, высокие затраты и непропорциональность меры в сравнении с ущербом от мошенничества в банковском секторе.
 
▫️Предлагается внедрение «векторной модели» биометрии для компаний

Законопроект по борьбе с мошенничеством дополнят «векторной моделью» биометрии, позволяющей организациям единовременно закупать пакеты биометрических векторов вместо оплаты каждого запроса в ЕБС. Векторная модель ЕБС позволит маркетплейсам и другим организациям получать массивы данных по фиксированному тарифу, снижая затраты и упрощая использование. Подобный подход уже применяют крупные банки.
 
▫️Обсуждаются риски внедрения обязательного подтверждения личности биометрией на сайтах

В Общественной палате РФ считают, что обязательная биометрия для авторизации на сайтах, предусмотренная новым законопроектом о борьбе с мошенничеством, может привести к утечке данных. Законопроект обяжет банки, операторы связи, соцсети и маркетплейсы с аудиторией более 300 тыс. интегрироваться в ЕБС. В целях ограничения роста поддельных сайтов обсуждается возможность сделать биометрическую авторизацию правом, а не обязанностью пользователей.
 
▫️Россия заняла пятое место в мире по утечкам персональных данных

Согласно отчету InfoWatch, Россия заняла пятое место в мире по числу утекших данных в 2024 г. (1,58 млрд записей, +31,7% к 2023 г.) – это 8,5% глобальных утечек (778 инцидентов). Впереди – США, Китай, Индия и Испания, хотя в этих странах утечек стало меньше. В мире число утечек снизилось на 25,2% до 9175, а объем скомпрометированных данных — до 26,77 млрд записей.

Публикуем двенадцатый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на апрель 2025 года.

Подборка мероприятий в файле под этим постом ⬇️

#Непропустимыесобытия

🔜Coming soon. Регистрируйтесь по ссылке.

Вопрос:
 
Как работает и зачем нужен алгоритм RSA?
 
Ответ:
 
RSA — один из наиболее известных и широко используемых алгоритмов шифрования. Его главная особенность в том, что он относится к асимметричной криптографии: для шифрования и расшифрования применяются два разных ключа.
 
Как устроен RSA?

Работа алгоритма основана на использовании больших чисел, обладающих определенными свойствами. Принципы работы заключаются в следующем:

1️⃣Создание ключей
▫️Генерируются два случайных больших простых числа.
▫️На основе произведения этих чисел вычисляется дополнительный параметр, называемый модулем.
▫️С помощью вышеупомянутых элементов вычисляются функция Эйлера и алгоритм Евклида.
▫️Исходя из результатов вычислений генерируется пара ключей: открытый и закрытый. Открытый ключ предназначен для публичного распространения и шифрования сообщений, а закрытый должен храниться в тайне и служит для расшифрования данных и для цифровой подписи, в том числе открытого ключа.

2️⃣Шифрование данных
▫️Чтобы передать конфиденциальную информацию, отправитель использует открытый ключ получателя.
▫️Сообщение преобразуется в числовой формат и проходит математическое преобразование, в результате чего получается зашифрованный текст.
▫️В таком виде данные могут быть переданы через любые каналы связи, включая интернет, без риска перехвата и несанкционированного доступа.

3️⃣Расшифрование
▫️На стороне получателя используется закрытый ключ для обратного преобразования данных.
▫️Только владелец закрытого ключа может восстановить исходное сообщение.
 
Почему RSA надёжен?

Надёжность RSA основана на сложности факторизации больших чисел. Если взять два больших простых числа и перемножить их, получить результат просто. Но если дано только произведение этих чисел, найти исходные множители крайне сложно. Именно эта особенность делает RSA устойчивым к взлому.
Для увеличения безопасности в современных системах используют большие размеры ключей — обычно 2048 или 4096 бит. При таких параметрах даже самые мощные компьютеры не смогут взломать алгоритм за разумное время.
 
В каких случаях применяется алгоритм?

▫️Защита интернет-соединений. RSA используется в протоколе HTTPS, обеспечивая безопасную передачу данных между браузером и сайтом.
▫️Электронные подписи. Этот алгоритм помогает проверить подлинность документов и сообщений, что особенно важно в банковской и юридической сфере.
▫️Шифрование электронной почты и мессенджеров. 
RSA используется для защиты переписки, а также для шифрования файлов.
 
Хотя RSA до сих пор популярен, современные системы безопасности постепенно переходят на более эффективные методы, например, криптографию на эллиптических кривых, которая обеспечивает аналогичный уровень защиты при меньшем размере ключей. Тем не менее, RSA продолжает оставаться фундаментом современной криптографии.

#ИБ
#KeptОтвечает

Digital Signature Algorithm (DSA, алгоритм цифровой подписи) — это криптографический метод, предназначенный для подтверждения подлинности и целостности электронных документов.

Алгоритм был разработан Национальным институтом стандартов и технологий США (NIST) и впервые опубликован в 1991 году. В 1994 году он был официально включен в стандарт Digital Signature Standard (DSS, стандарт цифровой подписи), целью создания которого было предоставить универсальный, надежный и открытый метод цифровой подписи, доступный для широкого использования, и при этом обеспечить высокий уровень безопасности.

Цифровая подпись генерируется пользователем с помощью закрытого ключа и может быть проверена открытым ключом любым заинтересованным лицом.

Процесс цифровой подписи с использованием DSA состоит из нескольких этапов:

1️⃣Исходное сообщение преобразуется в хэш с использованием криптографический функций SHA-2 (Secure Hash Algorithm) или SHA-3.

2️⃣На основе полученного хэша, секретного ключа отправителя, известного только ему, и специально сгенерированного случайного числа формируется цифровая подпись. Подпись уникальна для каждого сообщения и не может быть подделана без доступа к секретному ключу.

3️⃣Для проверки подписи получатель вычисляет хэш полученного сообщения и затем использует открытый ключ отправителя, доступный всем желающим, чтобы убедиться в соответствии подписи и сообщения. Если вычисленные значения совпадают, подпись считается действительной, что подтверждает неизменность сообщения и личность отправителя.

Безопасность алгоритма DSA обусловлена сложностью задачи вычисления дискретного логарифма в конечных полях. Для успешной защиты цифровой подписи критически важно корректно реализовать генерацию случайных чисел и обеспечить сохранность секретного ключа. Неправильная реализация алгоритма может привести к уязвимостям и компрометации подписи.

Альтернативой и развитием алгоритма DSA является ECDSA (Elliptic Curve Digital Signature Algorithm), в котором для формирования цифровой подписи используются эллиптические кривые. Основное преимущество ECDSA — аналогичный уровень безопасности при меньших размерах ключей, что позволяет значительно ускорить вычисления и снизить нагрузку на системы.

DSA и ECDSA широко применяются в онлайн-банкинге, защищённых каналах связи, юридически значимом документообороте и других областях, где требуется высокая степень защиты информации.

Таким образом, благодаря своей надежности и распространённости, DSA и его более новая версия ECDSA играют важную роль в обеспечении доверия и безопасности цифровых коммуникаций.

#ИБ

CISO & DPO news #65 (10-16 марта 2025 года)

▫️Российский бизнес атакует новый шифровальщик PE32

В феврале российский малый и средний бизнес подвергся атакам новой программы-вымогателя PE32, написанной на языке программирования Rust. Заражение происходит с помощью скомпрометированнго удалённого доступа, затем вирус шифрует файлы пользователя и через Telegram и эл. почту требует выкуп в биткоинах. Для защиты рекомендуется использовать MFA, регулярно обновлять ПО и создавать резервные копии.
 
▫️В популярных микрочипах ESP32 обнаружен скрытый «бэкдор»

Специалисты Tarlogic Security выявили скрытые команды в микрочипах ESP32, установленных более чем в миллиарде «умных» устройств по всему миру. Недокументированные команды позволяют злоумышленникам незаметно изменять данные устройств, подделывать MAC-адреса, выполнять вредоносный код и полностью перехватывать управление устройствами. Такая возможность появилась благодаря уязвимости, эксплуатация которой может быть возможна при физическом подключении либо по Bluetooth. Для защиты рекомендуется следить за обновлениями прошивок и ограничивать доступ к устройствам извне.
 
▫️Исследователь обошел защиту Passkey

Исследователь ИБ продемонстрировал атаку на технологию аутентификации Passkey, ранее считавшуюся надежнее паролей и MFA. Он использовал две схемы атаки: перехват запроса аутентификации через уязвимость мобильных браузеров с использованием ссылок FIDO и Bluetooth-устройства, а также подмену процесса входа путём подключения жертвы к поддельной Wi-Fi-сети. Браузеры уже выпустили патчи, поэтому пользователям рекомендуется обновить ПО и избегать подключения к подозрительным сетям.
 
▫️Обнаружена опасная уязвимость в WinDbg

В WinDbg (отладчик Windows, используемый разработчиками и специалистами по ИБ) обнаружена уязвимость (CVE-2025-24043, 7,5 CVSS), позволяющая удалённо выполнить код (RCE) через некорректную проверку криптоподписей в расширении SOS. Проблемазатрагивает проекты .NET Core (dotnet-sos, dotnet-dump, dotnet-debugger-extensions). Microsoft выпустила патчи – пользователям рекомендуется обновить WinDbg.
 
▫️C начала 2025 года «утекло» более 24 млн. записей о россиянах

Роскомнадзор сообщил о 19 случаях утечек ПДн в январе-феврале 2025 г., в результате которых в открытый доступ попало более 24 млн. записей о россиянах. Наибольшее количество утечек зафиксировано у компаний, работающих в сфере торговли и оказания услуг.
 
▫️Бизнес прокомментировал проект постановления Правительства РФ о передаче геоданных абонентов сотовой связи

Ассоциация больших данных (далее – АБД), в которую входят такие компании как «Яндекс», «VK» и «Сбер», раскритиковала проект постановления Правительства РФ, обязывающий мобильных операторов передавать обезличенные геотреки абонентов в широком перечне случаев. По мнению АБД, этот список является избыточным и позволяет властям запрашивать ПДн практически в любом случае, что может угрожать тайне связи и личной жизни граждан. Юристы подчеркивают, что анонимизация таких данных крайне сложна и может привести к их повторной идентификации.
 
▫️Прорабатывается страхование ответственности операторов за утечку ПДн

Всероссийский союз страховщиков работает над новым видом страхования – страхование операторов ПДн от утечек ПДн. Размер страховой выплаты будет зависеть от категории скомпрометированных ПДн и объема хранимых оператором данных, варьируясь от 5 млн. до 1 млрд. рублей. Для автоматизации выплат предлагается обязать операторов уведомлять Роскомнадзор об утечках ПДн, который, в свою очередь, будет информировать пострадавших субъектов ПДн о возможности получения страхового возмещения.
 
▫️Роскомнадзор выдвинул условия возвращения на российский рынок ИТ-компаний

Роскомнадзор заявил, что иностранные ИТ-компании могут полноценно работать в РФ при соблюдении требований законодательства. Главные условия – открытие представительств в РФ, локализация баз ПДн в РФ, а также блокировка запрещенной информации.

Вопрос:

Как обеспечить законность и этичность сбора цифровых доказательств?

Ответ:

С ростом объема и сложности цифровых данных возникает необходимость в обеспечении законности и этичности их сбора. Этот вопрос требует внимательного рассмотрения, поскольку неправильные действия могут привести к серьезным последствиям, включая нарушение прав субъекта и недопустимость доказательств в суде.

Первым шагом к обеспечению законности сбора цифровых доказательств является понимание правовых основ, регулирующих эту деятельность. В большинстве стран существуют законы, касающиеся конфиденциальности, защиты данных и прав на личную жизнь. Например, в США это может быть Четвертая поправка к Конституции, которая защищает граждан от необоснованных обысков и арестов. В ЕC действует Общий регламент по защите данных (GDPR), который устанавливает строгие правила обработки персональных данных. В РФ это Закон №152-ФЗ «О персональных данных» и Закон №149-ФЗ «Об информации».

Цифровые криминалисты должны быть хорошо осведомлены о действующих законах и нормативных актах, чтобы избежать нарушения прав граждан. Перед сбором цифровых доказательств существует необходимость получения соответствующих разрешений и ордеров на доступ к данным, а также соблюдение процедур, предусмотренных законодательством.

Этичность сбора данных подразумевает уважение к правам и свободам личности и включает в себя следующие аспекты:

▫️Лица, чьи данные собираются, должны быть проинформированы о целях сбора и способах использования их информации. Это должно быть сделано через согласия, которые разъяснят субъекту использование его данных.
▫️Собирать следует только те данные, которые необходимы для конкретного расследования. Избыточный сбор информации может привести нарушениям прав субъектов.
▫️Необходимо обеспечить защиту собранных данных от несанкционированного доступа и утечек, используя методы шифрования, безопасные хранилища и разграничение доступа к чувствительной информации.

Для обеспечения законности и этичности сбора цифровых доказательств также важно следовать методическим указаниям и лучшим практикам:

▫️Все действия, связанные со сбором и анализом данных, должны быть тщательно задокументированы. Это обеспечит прозрачность и возможность проверки на всех этапах.
▫️Применять следует только проверенные и сертифицированные инструменты (в РФ – ФСБ России и ФСТЭК России) для сбора и анализа данных (программное обеспечение и программно-аппаратные комплексы), чтобы избежать ошибок и недочетов, которые могут повлиять на законность доказательств.
▫️Каждая задача должна выполняться с учётом своих методических рекомендаций признанных экспертов в области компьютерной криминалистики, описанным в специализированной литературе. Например, при сборе доказательств необходимо обеспечить неизменность информации и минимизировать вред для источника сбора (если не требуется разрушающий метод).

В рамках судебного процесса вопросы законности и этичности регулируются процессуальным кодексом и ФЗ №73 «О государственной судебно-экспертной деятельности в Российской Федерации». В остальных случаях важным аспектом обеспечения законности и этичности сбора цифровых доказательств является сотрудничество с юридическими экспертами. Юристы могут помочь в интерпретации законов и норм, а также в разработке стратегий, которые обеспечат соблюдение прав субъектов. Это сотрудничество особенно важно на этапе планирования расследования, когда необходимо определить, какие данные могут быть собраны и как это сделать законно.

Обеспечение законности и этичности сбора цифровых доказательств — это сложная, но необходимая задача, которая требует комплексного подхода. Понимание правовых основ, соблюдение этических принципов, следование установленным процедурам и сотрудничество с юридическими экспертами помогут создать надежную и законную практику в области цифровой криминалистики. В конечном итоге это не только защитит права субъектов, но и повысит эффективность расследований, что является важным аспектом правоприменения в современном мире.

#DigitalForensics
#KeptОтвечает

Уважаемые коллеги!

В условиях ужесточения требований к защите персональных данных соблюдение законодательства становится критически важным для любого бизнеса. Несоответствие требованиям может привести не только к штрафам, но и к потере доверия клиентов.

Веб-сайт — это визитная карточка компании. Через него клиенты составляют первоначальное мнение о вашем бизнесе. Важно, чтобы сайт не только привлекал аудиторию, но и строго соответствовал требованиям закона: это защитит репутацию и вызовет доверие у клиентов и партнеров.

Приглашаем вас на мастер-класс, посвященный аудиту сайта компании на предмет корректной работы с персональными данными.

В программе:
▫️Ключевые требования законодательства: что проверять на сайте?
▫️Типовые ошибки: cookies, формы сбора данных, политика обработки персональных данных, авторизация на сайте
▫️Разборы реальных кейсов
▫️Ответы на вопросы
▫️Чек-лист для самостоятельной проверки сайта

Дата: 20 марта
Время: 10:00
Формат: онлайн на платформе «МТС-Линк»
Стоимость: бесплатно
Регистрация: доступна по ссылке и возможна до 19 марта включительно

Ждем встречи на мастер-классе!

#Privacy

APT (Advanced Persistent Threat) – это сложные, многоэтапные кибератаки, направленные на проникновение в инфраструктуру конкретной организации и достижение определенной цели, например, кражи интеллектуальной собственности, шпионажа или саботажа. В отличие от обычных кибератак, APT-атаки характеризуются длительной подготовкой, высокой степенью скрытности, использованием сложных техник и инструментов, значительной затратой ресурсов, а также продолжительным пребыванием злоумышленников в системе. Подобные атаки, ввиду своей сложности и эффективности, чаще всего нацелены на крупные компании или правительство.

Главная особенность APT-атак – их целевой характер. Злоумышленники тщательно выбирают жертву и изучают её инфраструктуру, выявляя уязвимости и разрабатывая индивидуальный план атаки. Они используют различные методы проникновения, такие как фишинг, вредоносное ПО, социальная инженерия и уязвимости в программном обеспечении.

Типичный сценарий APT-атаки включает несколько этапов:
▫️разведка – сбор информации о цели, включая её сотрудников, используемое программное обеспечение и сетевую инфраструктуру;
▫️проникновение – получение начального доступа к системе, например, через фишинговое письмо или эксплуатацию уязвимости;
▫️закрепление – установка вредоносного ПО, создание бэкдоров и получение дополнительных привилегий в системе;
▫️распространение – движение по сети, поиск и компрометация других систем и сервисов;
▫️сбор данных – поиск и извлечение ценной информации;
▫️вывод данных – передача украденных данных злоумышленникам.

APT-атаки представляют серьезную угрозу для организаций любого размера. Их сложно обнаружить, поскольку злоумышленники используют сложные техники обхода систем безопасности, значительные ресурсы и действуют скрытно, иногда выжидая длительное время, прежде чем нанести атаку. Последствия APT-атак могут быть катастрофическими, включая финансовые потери, репутационный ущерб и нарушение бизнес-процессов. Поэтому для защиты от APT-атак необходимо применять комплексный подход, включающий:
▫️Обучение сотрудников:
🔸Развитие культуры безопасности, обучение методам выявления социальной инженерии и фишинга;
🔸Проведение регулярных тестов на осведомленность сотрудников.

▫️Управление уязвимостями:
🔸Регулярное обновление ПО и патч-менеджмент;
🔸Анализ безопасности: аудит инфраструктуры, тестирование на проникновение.

▫️Мониторинг событий:
🔸Идентификация угроз и классификация инцидентов с использованием SIEM и EDR;
🔸Постоянное пополнение сведений и индикаторов компрометации.

▫️Реагирование на инциденты:
🔸Разработка регламентов, обеспечивающих скоординированные действия SOC;
🔸Автоматизация реагирования с помощью SOAR-платформ;
🔸Разбор инцидентов, выявление слабых мест и внесение улучшений в процессы защиты.

▫️Использование современных технологий защиты:
🔸NGFW (Next-Generation Firewall) с функциями IDS/IPS;
🔸NAD (Network Anomaly Detection) для выявления аномального поведения в сети;
🔸MFA (многофакторная аутентификация) для защиты учетных записей;
🔸Sandboxing для анализа подозрительных файлов.

APT-атаки – это динамично развивающаяся угроза. Злоумышленники совершенствуют свои инструменты, изобретают новые способы атак и задействуют значительные ресурсы. В связи с этим важно постоянно улучшать комплексные системы защиты, уделять внимание разведке угроз и мониторингу активности для своевременного выявления и нейтрализации потенциальных атак.

CISO & DPO news #64 (3-9 марта 2025 года)

▫️Банки начнут уточнять налоговый статус клиентов

Минфин совместно с Росфинмониторингом, Банком России и ФНС России доработал порядок обновления информации о налоговом резидентстве. Предлагается анализировать геолокационные данные клиентов банка, при использовании сервисов дистанционного банковского обслуживания (ДБО). Если в течение 6 месяцев более 50% случаев использования ДБО происходило с территории иностранных государств, это может являться основанием запросить у клиента информацию о статусе налогового резиденства.

▫️Защита персональных данных – ключ к предотвращению преступлений с использованием ИИ

Генеральный директор «Белого Интернета», центра по защите прав граждан и бизнеса в сфере цифровых технологий, отметила связь между кражей ПДн граждан и использованием искусственного интеллекта в противоправных целях. По ее мнению, предотвращение кражи ПДн напрямую способствует снижению числа цифровых преступлений. Также директор центра поддержала инициативу СК РФ по усилению внимания к расследованию киберпреступлений, подчеркнув необходимость разработки эффективных методов их выявления.

▫️РКН получит полномочия по утверждению требований обезличивания ПДн

Правительство РФ опубликовало проект постановления, согласно которому Роскомнадзор сможет утверждать требования обезличивания персональных данных. Исключение составляют случаи, указанные в п. 9.1 ч. 1 ст. 6 152-ФЗ (в целях эксперимента по установлению специального регулирования искусственного интеллекта в Москве, а также в рамках федерального закона «Об экспериментальных правовых режимах в сфере цифровых инноваций» от 31.07.2020 N 258-ФЗ).
Новая волна штрафов за нарушение локализации ПДн
Суд Таганского района Москвы вынес решения по делам о нарушении требований по локализации персональных данных россиян. По ст. 13.11 КоАП РФ крупные IT-компании получили штрафы:
🔸 Twitch Interactive — 13 млн руб.
🔸 Pinterest — 12 млн руб.
🔸 Zoom Video Communications — 15 млн руб.
🔸 SnapChat — 10 млн руб.
🔸 Hotels.com — 5 млн руб.

Все компании оштрафованы по ч. 9 ст. 13.11 КоАП за повторное несоблюдение требований по первоначальному сбору данных российских пользователей на территории РФ.

▫️Обнаружена масштабная фишинговая кампания с использованием PDF и CAPTCHA

Киберпреступники используют заражённые PDF-документы, размещённые на сайтах, для распространения вредоносного ПО. Эксперты Netskope обнаружили 5000 таких файлов на 260 различных сайтах. Хакеры применяют SEO (Search Engine Optimization) для повышения видимости сайтов. Вредоносные PDF содержат поддельные CAPTCHA, заставляющие пользователей запускать PowerShell-команды, загружая Lumma Stealer — инфостилер для кражи данных с Windows. Защититься помогает изоляция браузера, предотвращающая заражение корпоративных систем.

▫️Мошенники используют Telegram-бота для кражи данных с Госуслуг

Киберполиция России выявила новую схему телефонного мошенничества, направленную на кражу аккаунтов «Госуслуг». Злоумышленники звонят от имени «Почты России» и предлагают уточнить адрес доставки через Telegram-бота.

▫️В Vim обнаружена опасная уязвимость, связанная с tar-архивами

В текстовом редакторе Vim выявлена критическая уязвимость (CVE-2025-27423), связанная с некорректной обработкой команд в плагине tar.vim и позволяющая злоумышленникам выполнять произвольный код через специально подготовленные tar-архивы. Уязвимость, получившая 7,1 балла по шкале оценки критичности уязвимостей (CVSS), была устранена разработчиками в обновлении v9.1.1164, в связи с чем пользователям настоятельно рекомендуется обновить редактор.

▫️Злоумышленники скрывают фишинг, имитируя работу антивируса Kaspersky

Злоумышленники собирают учетные данные пользователей Telegram, предлагая проголосовать за участников конкурса. Для повышения доверия к ресурсу при переходе на страницу с голосованием фишинговый сайт имитирует проверку антивирусом Kaspersky, после чего пользователь авторизуется через Telegram, тем самым передавая введенные данные мошенникам.

Вопрос:

Что такое SIEM?

Ответ:

SIEM-система (Security Information and Event Management) – централизованная платформа для сбора, анализа и корреляции информации о событиях безопасности из различных источников в режиме реального времени.

Ключевые функции SIEM:
▫️сбор данных – SIEM агрегирует информацию из разных источников, включая серверы, сетевые устройства, базы данных и приложения;
▫️анализ и корреляция данных – система анализирует собранные данные, выявляя взаимосвязи между событиями и определяя потенциальные угрозы. Например, массовое изменение правил маршрутизации может указывать на сетевую атаку;
▫️оповещения – в случае обнаружения подозрительной активности SIEM генерирует оповещения, уведомляя специалистов по безопасности;
▫️отчетность – SIEM позволяет формировать детальные отчеты о состоянии безопасности;
▫️расследование инцидентов – в случае инцидента SIEM помогает в проведении расследования.

Преимущества использования SIEM:
▫️централизованная обработка информации о событиях безопасности;
▫️сокращение времени реагирования на инциденты ИБ;
▫️снижение нагрузки на специалистов ИБ;
▫️обработка больших объемов данных с возможностью масштабирования.

В качестве источников информации для SIEM-решений могут выступать службы журналирования событий, встроенные в оборудование и ПО, к которым относятся:
▫️системы авторизации и аутентификации;
▫️межсетевые экраны;
▫️журналы сетевого оборудования, серверов и рабочих станций;
▫️контроллеры домена;
▫️антивирусное ПО;
▫️IDS/IPS-системы;
▫️DLP-системы;
▫️решения для контроля активов и инвентаризации.

SIEM-системы необходимы для работы с большим количеством событий в ИТ-инфраструктуре и принятия осознанных решений на основании такой обработки.

Эффективность SIEM-системы возрастает при интеграции с SOAR-решениями. SOAR автоматизирует рутинные задачи, связанные с реагированием на инциденты, основываясь на данных, полученных от SIEM. Например, при обнаружении SIEM-системой подозрительной активности, SOAR может автоматически заблокировать IP-адрес злоумышленника, изолировать зараженную систему или запустить сканирование на наличие вредоносного ПО. Такое сочетание позволяет значительно сократить время реакции на инциденты, освободить специалистов ИБ от выполнения повторяющихся операций и повысить общую эффективность системы кибербезопасности.

Интеграция SIEM и SOAR обеспечивает более высокий уровень автоматизации и оркестрации процессов безопасности.

#ИБ
#KeptОтвечает

В соответствии с ч. 1.1 ст. 1 152-ФЗ, его положения применяются к обработке персональных данных (ПДн) граждан РФ, осуществляемой иностранными юридическими и физическим лицами (далее – иностранные лица), на основании договора, стороной которого являются граждане РФ, иных соглашений либо на основании согласия гражданина РФ на обработку его ПДн.

Порядок применения и контроля соблюдения данной нормы остается неясным, в частности, из-за отсутствия критериев применимости.

В таком случае полезно обратиться к Регламенту ЕС о защите ПДн, устанавливающему критерии его применения к иностранным лицам. Требования GDPR распространяются по экстерриториальному принципу, то есть соблюдать нормы Регламента должны также компании, находящиеся за пределами ЕЭЗ, но при определенных условиях, указанных в статьях 3(2a) и 3(2b) GDPR:

1️⃣Осуществляется обработка ПДн субъектов, находящихся в ЕЭЗ.
2️⃣Обработка связана с предложением товаров и услуг вне зависимости от оплаты.
3️⃣Обработка ПДн включает мониторинг поведения субъектов ПДн в ЕЭЗ.
 
Толкуя 152-ФЗ с другими НПА и Постановлением ВС РФ, мы приходим к аналогичному трактованию распространения 152-ФЗ на иностранных лиц, при условии, что они имеют направленность своей деятельности на российский рынок вне зависимости от их местоположения.

Например, сайт в Интернете может считаться ориентированным на российских потребителей, если:
▫️Один из языков сайта — русский.
▫️Цены указаны в российских рублях.
▫️Контактные телефоны имеют российские коды.
▫️Другие доказательства, например, заказ услуг по повышению цитируемости сайта для российских пользователей.
 
Вопрос соблюдения иностранными лицами норм 152-ФЗ остается сложной задачей из-за отсутствия критериев применимости, правоприменительной практики и ограниченных возможностей контроля. При этом принцип экстерриториальности позволяет расширить область защиты интересов субъектов, а системное применение этого принципа может способствовать более ответственному отношению иностранных лиц к требованиям российского законодательства.

#Privacy

CISO & DPO news #64 (24 февраля - 2 марта 2025 года)

▫️Обнаружена критическая уязвимость в MITRE Caldera

В популярном инструменте для киберучений и автоматизации тестирования безопасности MITRE Caldera обнаружена критическая уязвимость, позволяющая атакующим удаленно выполнять произвольный код. Исследователи уже раскрыли детали уязвимости, что повышает риск ее эксплуатации злоумышленниками.
 
▫️Вредонос GhostSocks использует прокси SOCKS5 для обхода систем обнаружения

Новый вредонос GhostSocks применяет прокси-протокол SOCKS5 для скрытого трафика и обхода систем киберзащиты. Это позволяет хакерам поддерживать устойчивый доступ к скомпрометированным устройствам и организовывать вредоносные операции, оставаясь незамеченными.
 
▫️Обнаружен троян, проводящий атаки в сферах энергетики, здравоохранения и логистики

Вредоносное ПО FatalRAT используется хакерами для атак на промышленные организации, проникая в системы энергетики, здравоохранения и логистики. В списке затронутых стран оказались Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.
 
▫️Опубликован Федеральный закон № 23-ФЗ о внесении изменений в 152-ФЗ и иные законы РФ

Изменения в 152-ФЗ включают в себя, в том числе:
🔸уточнение требований к локализации баз данных ПДн;
🔸новые требования к обработке ПДн сотрудников силовых ведомств и судей.
Новая редакция 152-ФЗ вступает в силу с 01.07.2025 г.
 
▫️Предложено проверять возраст всех интернет-пользователей

Уполномоченный по правам человека в РФ предложил законодательно регламентировать процесс верификации возраста пользователей в интернете для защиты детей от негативного контента. В докладе за 2024 г. отмечено, что текущие механизмы позволяют любому пользователю получить доступ к материалам «18+» без реальной проверки возраста.
 
▫️Предложено информировать граждан о случаях хищения ПДн

Уполномоченный по правам человека в РФ считает необходимым обязать организации уведомлять граждан об утечках их ПДн. Это даст людям возможность предпринять защитные меры, например, заменить банковские карты или установить запрет на оформление кредитов. В настоящее время операторы ПДн обязаны информировать об утечках только Роскомнадзор, но не пострадавших граждан.
 
▫️ФСТЭК России опубликовало финальную версию проекта стандарта по защите информации

На сайте ФСТЭК России доступна окончательная редакция проекта национального стандарта ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки». Документ устанавливает методологию разработки систем с конструктивной информационной безопасностью.
 
▫️ФСТЭК России вынесла на обсуждение порядок лицензионного контроля в сфере защиты информации

ФСТЭК России вынесла на общественное обсуждение проект приказа, устанавливающий сроки и порядок административных процедур по лицензионному контролю за разработкой и производством средств защиты конфиденциальной информации. Документ определяет регламент проведения плановых и внеплановых проверок лицензиатов.

Вопрос:

Что такое дефейс сайта?

Ответ:

Дефейс (deface) – изменение внешнего вида страницы веб-сайта злоумышленником. При этом доступ к остальной части сайта может блокироваться, а на обновленной странице будет располагаться реклама, предупреждение, сообщение или угроза. Подобные кибератаки могут привести к серьезному удару по репутации компании и отпугнуть клиентов.

Дефейсеры – это не просто одиночки, взламывающие сайты ради забавы. У них есть развитое сообщество со своей внутренней иерархией и конкуренцией. Существуют публичные архивы, где документируются успешные дефейсы. Эти архивы служат своеобразной «доской почета», где конкурирующие группы выставляют напоказ результаты своих взломов и следят за достижениями соперников, подсчитывая очки за каждый взломанный сайт.

Для того чтобы получить несанкционированный доступ и изменить контент сайта, злоумышленники используют различные уязвимости в веб-приложениях или серверах, например:
▫️внедрение SQL-инъекции в запросы для получения доступа к базе данных и изменения контента;
▫️межсайтовое выполнение сценариев – внедрение вредоносных скриптов на веб-страницу, которые выполняются при открытии сайта пользователем;
▫️получение доступа к учетным записям администратора сайта;
▫️эксплуатация известных уязвимостей в системах управления контентом (CMS) и установленных плагинах.

Чем опасен дефейс?
▫️ущерб репутации – дефейс может подорвать доверие клиентов и партнеров;
▫️потеря трафика – посетители могут покинуть сайт и больше не возвращаться;
▫️SEO-проблемы (Search EngineOptimization) – поисковые системы могут понизить рейтинг сайта или даже заблокировать его;
▫️штрафы и иные санкции – в случае размещения на сайте противоправной или нарушающей закон информации.

Как защититься от дефейса?
▫️устанавливайте последние обновления безопасности, чтобы закрыть известные уязвимости;
▫️создавайте уникальные и сложные пароли для всех учетных записей;
разрешите доступ к панели управления только доверенным пользователям;
▫️регулярно делайте резервные копии для быстрого восстановления после атаки дефейсеров;
▫️используйте систему WAF для блокировки вредоносного трафика и защиты сайта от кибер-атак;
▫️проводите регулярное сканирование на уязвимости с использованиемспециализированных инструментов для выявления уязвимостей вашего веб-ресурса.

Дефейс представляет угрозу для организаций любого масштаба, однако, применяя комплексный подход к обеспечению безопасности, можно значительно снизить риск таких атак и обеспечить стабильное функционирование веб-ресурса.

#ИБ
#KeptОтвечает

Вступило в силу 17 февраля 2025 г.:

Стандарт Банка России об обеспечении безопасности использования QR-кодов при осуществлении переводов денежных средств (СТО БР БФБО-1.9-2024)
▫️для кого: кредитные организации, некредитные финансовые организации, операторы платежных систем, клиринговый центр СБП и организации, участвующие в осуществлении переводов денежных средств через QR-коды, поставщики ПО, применяемого для платежей и перевод с использованием QR-кодов.
▫️что делать: обеспечить безопасное применение QR-кодов при осуществлении переводов денежных средств путем:
🔸выделения технологических участков и подэтапов процессов осуществления переводов денежных средств с использованием QR-кодов;
🔸определения риска ИБ на технологических участках и подэтапах процессов осуществления переводов денежных средств с использованием QR-кодов, актуальных угроз безопасности информации и мер защиты информации для снижения выявленного риска;
🔸стандартизации взаимодействия участников процессов осуществления переводов денежных средств с использованием QR-кодов;
🔸внедрения единых правил формирования и использования QR-кодов в процессах осуществления переводов денежных средств на основе международных стандартов.

#ДеЮре

В условиях стремительного роста кибератак традиционный реактивный подход к информационной безопасности уже неэффективен. Организациям необходимо не только реагировать на инциденты, но и предугадывать потенциальные угрозы. Для этого используется Threat Intelligence (TI) — процесс, позволяющий с помощью соответствующих решений выявлять угрозы до их реализации и минимизировать риски.
 
Результатами TI являются аналитически обработанные данные об угрозах, объединяющие:

▫️контекст — сведения о происхождении и механизмах угроз;
▫️индикаторы компрометации (IoC) — технические признаки атак, например, хэши вредоносных файлов или IP-адреса, используемые злоумышленниками;
▫️взаимосвязи — связи между угрозами, их целями и методами реализации.
 
Эти данные проходят этапы сбора, нормализации, обогащения дополнительной информацией и анализа. В результате формируется «карточка» угрозы, которую специалисты используют для оценки рисков и принятия решений.
 
TI подразделяется на три уровня:

▫️операционный (технический) — IoCиспользуются для автоматического выявления и блокировки угроз. Злоумышленники могут быстро менять IP-адреса, домены и другие индикаторы, некоторые IoC имеют ограниченный срок жизни. Поэтому операционный уровень нуждается в постоянном обновлении данных;
▫️тактический — анализ тактик, техник и методов злоумышленников (TTP), позволяющий прогнозировать возможные атаки и разрабатывать проактивные меры защиты;
▫️стратегический — разработка глобальных аналитических отчётов о тенденциях угроз, используемых для долгосрочного планирования ИБ.
 
Стоит учитывать, что эффективное применение TI требует работы на всех трёх уровнях.
 
Основные преимущества использования TI:

▫️проактивная защита — TI позволяет предвидеть атаки и принимать меры предосторожности, а не просто реагировать на уже произошедший инцидент;
▫️экономия ресурсов — благодаря фокусу на самых актуальных и опасных угрозах возможно оптимизировать расходы на безопасность и избежать ненужных трат;
▫️эффективное принятие решений — TI предоставляет ценную информацию для директора по ИБ (CISO), позволяя принимать стратегические решения в области кибербезопасности. 
 
Основные трудности внедрения TI связаны сразнообразием источников данных и отсутствием единых стандартов, необходимостью автоматизированной обработки большого объёма информации, а также сложностью оценки эффективности TI из-за отсутствия универсальных метрик.
 
Для эффективной работы с TI необходимоопределить цели внедрения и ожидаемые результаты, использовать специализированную платформу для управления киберразведданными и регулярно оценивать качество источников и устранять неактуальные или недостоверные данные.
 
Threat Intelligence — это ключевой элемент информационной безопасности, позволяющий не только выявлять угрозы, но и предугадывать возможные атаки. Компании, применяющие TI, могут снизить риски и повысить устойчивость к кибератакам благодаря своевременному доступу к актуальной информации об угрозах.

#ИБ
#ПолезноЗнать

Название CAPTCHA – это аббревиатура, которая расшифровывается как «Completely Automated Public Turing test to tell Computers and Humans Apart». Идея названия связана с тем, что CAPTCHA представляет собой автоматизированную версию теста Тьюринга – метода, предложенного британским математиком Аланом Тьюрингом для определения, может ли машина демонстрировать интеллектуальное поведение, неотличимое от человеческого. В случае CAPTCHA задача упрощена: система должна определить, является ли пользователь человеком, а не оценивать его интеллект. Название подчеркивает основную цель технологии – отличать людей от ботов, сохраняя при этом автоматизированный и публичный характер теста.

CAPTCHA эволюционировала с момента своего появления, и сегодня существует множество её разновидностей:
▫️Текстовая. Классический вид CAPTCHA, в которой пользователю предлагается ввести буквы, цифры и символы, изображенные на искаженной картинке;
▫️Графическая. Пользователю предлагается выполнить задачу, связанную с изображениями. Например, найти все светофоры или нажать в правильной последовательности на символы, изображенные на картинке;
▫️Математическая. Пользователю предлагается решить простую математическую задачу, например, сложить 2 числа;
▫️Поведенческая. Этот вид CAPTCHA анализирует поведение пользователя на сайте – скорость движения мышки, клики, прокрутку страницы и т.д. Если поведение кажется подозрительным, система может запросить дополнительную проверку;
▫️Игровая. Пользователю предлагается выполнить просто игровое действие, например, повернуть объект или собрать пазл;
▫️Аудио. Альтернатива для людей с нарушением зрения. Пользователь прослушивает аудиозапись с искаженной речью или цифрами и вводит услышанное.

Таким образом, CAPTCHA помогает защищать сайты от спама, автоматической регистрации, DDoS-атак и других злонамеренных действий ботов.

#ИБ

CISO & DPO news #62 (17-23 февраля 2025 года)

▫️AMD устранила шесть уязвимостей в процессорах EPYC и Ryzen

Уязвимости предоставляли следующие возможности:
🔸открывали доступ к выполнению произвольного кода;
🔸позволяли администратору с доступом к хост-окружению прочитать незашифрованное содержимое памяти;
🔸давали возможность обходить средства защиты целостности памяти виртуальных машин;
🔸позволяли привилегированному атакующему нарушить целостность памяти гостевой системы.
 
▫️Опубликован отчет по анализу киберугроз в России и СНГ

Компанией F6 был подготовлен отчет, в котором исследователи отметили рост количества APT-группировок, количества DDoS-атак, а также о том, что персональные данные остаются главной целью вымогателей.
 
▫️Подведены итоги по кибераткам на банки за 2024 г.

Эксперты Solar JSOC зафиксировали в 2024 г. рост атак на финансовый сектор России. Основные угрозы — внутреннее сканирование сети, эксплуатация уязвимостей и заражение вредоносным ПО.
 
▫️Более четверти вирусов в госучреждениях занимаются добычей криптовалют

Количество вирусов-майнеров, которыми заражены госорганы и государственные организации, увеличилось за четвертый квартал 2024 г. на 9%. На их долю приходится более четверти всех вирусов. Эксперты связывают рост заражений госучреждений майнерами с недостатком финансирования информационной безопасности и нехваткой профильных специалистов на местах.
 
▫️Обсуждается возможность исключения уголовной ответственности для специалистов в области ИБ

Между Минцифры, представителями Совета Федерации и компаниями, оказывающими услуги в области информационной безопасности, идет обсуждение по поводу выведения соответствующих специалистов из зоны ответственности по ст. 272.1 УК РФ.
 
▫️Использование технологии дипфейка предлагается приравнять к отягчающему обстоятельству

Глава Минцифры на форуме «Кибербезопасность в финансах» заявил, что использование дипфейков может стать отягчающим обстоятельством при совершении преступлений
 
▫️Представлены проекты постановлений Правительства РФ о ГИС, для обработки обезличенных ПДн

Для общественного обсуждения представлены проекты двух постановлений Правительства РФ о ГИС, предназначенной для обработки персональных данных, полученных в результате обезличивания ПДн:
🔸Первое постановление  предлагает определить федеральную ГИС «Единая информационная платформа национальной системы управления данными» в качестве системы, предназначенной для обработки ПДн, полученных в результате обезличивания персональных данных (ч. 2, 7 ст. 13.1 152-ФЗ).
🔸Второе постановление  определяет требования к правилам проверки пользователей ГИС (ч. 7 ст. 13.1 152-ФЗ)
 
▫️Представлена оценка роста рынка ИБ

По результатам 2024 г. рынок защиты информации в России вырос на 20%, при этом предполагается, что в 2025 г. рынок вырастет еще на 23%. Частично рост спроса на решения для защиты информации обусловлен ужесточением требований законодательства (ст. 13.11 КоАП).

Вопрос:

Для чего нужна SOAR-система?

Ответ:

SOAR (Security Orchestration, Automation and Response) — это класс программных решений, предназначенных для координации, управления и автоматизации работы систем безопасности. SOAR-системы способны агрегировать и обрабатывать информацию из множества источников, таких как:
▫️SIEM-системы;
▫️Антивирусное ПО;
▫️DLP-системы;
▫️Инструменты анализа угроз (Threat Intelligence);
▫️Межсетевые экраны.

Использование SOAR-системы также оптимизирует работу команды безопасности, позволяя меньшему количеству специалистов эффективно справляться с большим объемом задач.

Основные функции SOAR-системы:
▫️собирает и анализирует данные из различных источников;
▫️автоматизирует выполнение повторяющихся задач с помощью плейбуков – заранее разработанных сценариев реагирования на инциденты, которые определяют последовательность необходимых действий;
▫️интегрирует и координирует работу различных инструментов безопасности, организуя единый процесс реагирования на инциденты, что позволяет сократить время реагирования и минимизировать потенциальный ущерб;
▫️предоставляет централизованную картину всех событий безопасности, упрощая анализ и выявление скрытых угроз;
▫️формирует отчеты различного наполнения и детализации, а также предоставляет широкие возможности для визуализации данных (например, создание дашбордов, на которых в реальном времени будет отображаться информация об инцидентах, их статусе расследования и принятых мерах).

SOAR — это не просто набор инструментов, а стратегический подход к управлению кибербезопасностью, позволяющий организациям эффективно противостоять современным угрозам и защищать свои активы.

#ИБ
#KeptОтвечает

Согласно ст. 3 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», архивный документ – это материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации.
 
При этом более детальное описание того как следует организовать архивное хранение отражено в Приказе Росархива № 77 от 31.07.2023 г. и Приказе Росархива № 236 от 20.12.2019.
 
Так, при организации архивного хранения в компании следует:

▫️Разработать внутренние регламенты, определяющие порядок обработки и хранения документов, включая положение о защите данных.
▫️Установить четкие сроки хранения документов в соответствии с законодательством.
▫️Обеспечить физическую безопасность бумажных носителей, используя сейфы или помещения с ограниченным доступом.
▫️Для электронных документов рекомендуется осуществляться хранение в формате, который гарантирует их долговременную воспроизводимость и защиту данных от потерь.
▫️Проводить регулярную пересмотр архивных документов с целью выявления документов с истекшими сроками хранения.
▫️Уничтожать документы по истечении срока хранения в соответствии с установленной процедурой, что также должно быть задокументировано.
 
Согласно п. 2 ч. 2 ст. 1 152-ФЗ на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ не распространяется действие 152-ФЗ. 
 
Соответственно если компания переедет организацию процесса архивного хранения подрядчику, при этом передаваемые для архивного хранения документы содержат персональные данные, то компании необходимо заключить поручение на обработку ПДн с подрядчиком. Если компания передает на хранение уже сформированный ею самостоятельно архив, то 152-ФЗ не будет распространяться и поручение заключать не требуется.
 
Поскольку сегодня многие компании перешли на электронный документооборот, релевантно рассмотреть вопрос о переводе документов в архивный статус с использованием системы кадрового электронного документооборота (КЭДО).

Так, компаниям, которые используют систему КЭДО следует:

▫️Подготовить документы, упорядочив их и убедившись, что они соответствуют требованиям законодательства.
▫️Отсканировать документы, чтобы получить файлы в формате PDF.
▫️Сформировать электронный архивный документ, который должен включать основной файл, файлы приложений, файлы электронной подписи, метаданные о документе.
▫️Загрузить электронные документы в систему КЭДО, где они будут автоматически зарегистрированы для архивного хранения.
▫️Установить срок хранения.
▫️Обеспечить регулярное резервное копирование и доступ к архиву для будущего использования.

#Privacy
#ПолезноЗнать

Публикуем одиннадцатый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на март 2025 года.

Подборка мероприятий в файле под этим постом ⬇️

#Непропустимыесобытия

IoT (Internet of Things, Интернет вещей) – это инфраструктура для «умной» среды, где через интернет или локальную сеть (LAN) устройства могут обмениваться информацией, в режиме реального времени реагировать на изменения окружающей среды и автономно выполнять задачи. IoT-сети позволяют управлять широким спектром объектов, от бытовой техники до промышленных систем и городской инфраструктуры.
 
Отдельные задачи, которые решает IoT:

1️⃣Сбор данных с помощью физических IoT-устройств (датчиков, систем контроля доступа, трекеров местоположения, RFID-меток).
2️⃣Передача данных через беспроводные каналы передачи данных (Wi-Fi, Bluetooth, Zigbee, NB-IoT) или проводные сети (Ethernet, RS-485).
3️⃣Принятие решений на основе обработанных данных (включение вентиляции при превышении температуры).
4️⃣Удаленное управление IoT-устройством через интерфейс, где пользователь, при необходимости, может отправить команду на устройство.
 
Количество IoT-устройств по всему миру стремительно растет, однако вместе с удобством и автоматизацией увеличиваются и риски безопасности, причинами которых могут быть:

1️⃣Небольшие вычислительные ресурсы таких устройств ограничивают использование современных методов шифрования и защиты.
2️⃣Отсутствие регулярных обновлений и предустановленные пароли от производителя IoT-устройств, которые осознанно остаются неизменными. В результате чего злоумышленники могут получить доступ к устройству.
3️⃣Физическая доступность – некоторые IoT-устройства не имеют защиты от аппаратного вмешательства, что позволяет злоумышленнику получить полный доступ к контроллеру.
4️⃣Передача данных по незащищенным протоколам и подключение к публичным Wi-Fi-сетям может привести к перехвату и модификации трафика.
5️⃣Отсутствие международных стандартов совместимости может создать сложности при подключении и взаимодействии IoT-устройств разных производителей в единой системе, а также вызвать проблемы с функциональностью, обменом данными и обновлениями. Причиной может являться использование устройствами разных протоколов, которые могут быть нестандартными, устаревшими или несовместимыми с централизованными системами безопасности.
 
Все это делает IoT-устройства легкой мишенью для атак, которые могут привести к взлому инфраструктуры и использованию устройств в целях злоумышленника, как в случае с ботнетом Mirai, который заражал устройства, используя логины и пароли, установленные по умолчанию.

#ИБ

CISO & DPO news #61 (10-16 февраля 2025 года)

▫️Обнаружен новый бэкдор FINALDRAFT
Исследователи Elastic Security Labs выявили использование бэкдора FINALDRAFT в кибератаках на внешнеполитическое ведомство Южной Америки и телекоммуникационную компанию в Юго-Восточной Азии. Злоумышленники загружали файлы с сервера с помощью утилиты certutil и использовали троян PATHLOADER для активации бэкдора через утилиту «mspaint.exe».

▫️Microsoft выпустила февральское обновление безопасности, устранив 55 уязвимостей
В феврале Microsoft выпустила обновление безопасности, включающее патчи для 63 уязвимостей, из которых четыре являются уязвимостями нулевого дня.

▫️Google Chrome тестирует функцию автоматической смены скомпрометированных паролей с помощью ИИ
Google тестирует в Chrome Canary функцию на основе ИИ, которая автоматически меняет пароли, обнаруженные в утечках данных. Новая опция, доступная в разделе «Экспериментальные ИИ-функции», добавляет обновленные пароли в менеджер паролей.
Для работы функции нужно активировать службу Automated Password Change, которая отслеживает скомпрометированные пароли.

▫️ФСТЭК России обнаружила более тысячи уязвимостей в 100 ГИС
ФСТЭК России выявила около 1200 уязвимостей в государственных информационных системах (ГИС), большинство из которых имеют критический или высокий уровень опасности.
Также ФСТЭК России сообщает что 47% субъектов КИИ находятся в критическом состоянии с точки зрения кибербезопасности, 40% — на низком уровне защищенности, и лишь 13% соответствуют минимально приемлемым требованиям безопасности.

▫️ФСТЭК России сообщил о разработке проекта нормативного акта, направленного на совершенствование требований защиты информации в ГИС
Документ распространяется на ГИС, иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений. Вступление в силу новых требований запланировано на 1 марта 2026 г.

▫️Правительство РФ подготовило поправки в законодательство для борьбы с кибермошенничеством
Поправки предусматривают, в том числе:
🔸Создание госинфосистемы для выявления мошенников.
🔸Обвязывание банков, операторов связи и маркетплейсов предоставлять пользователям возможность авторизовываться через биометрию.
🔸 Введение обязательной маркировки телефонных звонков.

▫️Обсуждается возможность доступа представителей силовых органов к коммерческим базам данных, содержащим ПДн
Ассоциация больших данных выразила обеспокоенность по поводу предложенных поправок к законодательству, подразумевающих предоставление правоохранительным органам доступа к коммерческим базам ПДн. В частности, предлагается разрешить ведомствам удаленно вносить и удалять записи, связанных с работниками правоохранительных органов, в базах данных компаний.

▫️Telegram оштрафован за публикацию ПДн
Мировым судом Таганского района Москвы оштрафован мессенджер Telegram на 240 тыс. руб. за публикацию ПДн россиян. Судья признала компаниюTelegram Messenger Inc. виновной в совершении административного правонарушения за незаконную публикацию ПДн.

Вопрос:

Что может быть отнесено к «избыточной» обработке персональных данных?

Ответ:

Основополагающим нормативно-правовым документом в области обработки и обеспечения безопасности персональных данных в России (152-ФЗ) устанавливаются несколько принципов обработки персональных данных (ПДн). Один из принципов заключается в том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных законных целей (ч. 2 ст. 5 152-ФЗ). При этом ПДн не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 5 152-ФЗ).
За обработку «избыточных» ПДн компания может быть привлечена к ответственности по ч. 1 ст. 13.11 КоАП РФ.

Примерами «избыточной» обработки ПДн могут являться:

▫️Сбор ненужных ПДн
🔸Компания собирает данные о месте работы или семейном положении при оформлении заказа в интернет-магазине.
🔸Компания собирает данные о семейном положении или историю болезни у кандидатов при подаче резюме.

▫️ Хранение ПДн после достижения цели обработки
🔸Компания продолжает хранить ПДн клиента после удаления аккаунта на сайте / приложении.
🔸Компания хранит копии всех документов бывшего работника, содержащие ПДн, «на случай, если он захочет вернуться».

▫️Нецелевое использование ПДн
🔸Использование системы видеонаблюдения для привлечения работника к ответственности за длительное отсутствие на рабочем месте при заявленной цели – обеспечение безопасности.
🔸Компания собирает данные о номере телефона у клиента в целях оформления доставки, но также использует его в целях рекламы других услуг.

▫️Мониторинг поведения / геолокации
🔸Компания использует файлы cookie для маркетинговых, аналитических или статистических целей без информирования и получения согласия пользователя.
🔸Приложение для отслеживания погоды требует постоянный сбор местонахождения устройства, несмотря на то что пользователь вручную указал город.

▫️Обогащение ПДн из открытых источников
🔸Компания использует ПДн, содержащихся в социальных сетях субъекта, для рекламы услуг, без его согласия.

▫️Дублирование ПДн
🔸Компания использует информацию о хобби или интересах субъекта из открытых источников для принятия решения о возможности оказания услуг.
🔸Компания использует информационные системы, которые содержат идентичные ПДн об одном субъекте.
🔸Компания собирает одни и те же данные у пользователя несколько раз (при регистрации на сайте и оформлении заказа).

#Privacy
#KeptОтвечает

11 февраля мы провели Kept SPb Privacy Day

В этот вторник в питерский офис Kept в гости пришло более 40 специалистов по персональным данным, информационной безопасности и комплаенс. Это было наше первое очное мероприятие в Санкт-Петербурге после пандемии.

Мы получили много положительных отзывов от коллег и обязательно продолжим проводить очные мероприятие в Санкт-Петербурге.

Основные тезисы с нашего мероприятия:

🔸«Не нужно бояться искусственного интеллекта, нужно повышать свою экспертность, обучаясь и посещая такие мероприятия, как это».
🔸«DPO должен уметь сказать «нет» и сделать так, как нужно» vs «Иногда все, что мы можем - зафиксировать «нет» от DPO, а бизнес сам примет решение»
🔸«В новых требованиях нет деталей порядка по обезличиванию персональных данных. До 1 сентября нас ждет ряд новых подзаконных актов по данной теме»
🔸«30 мая 2025 г. вступят в силу правки в КоАП по ужесточению ответственности в сфере персональных данных, в связи с чем компаниям стоит пересмотреть карту рисков в данном направлении»

▫️Мы планируем провести наш флагманский двухдневный тренинг «Персональные данные: интенсив» в Санкт-Петербурге.
Регистрация по ссылке.

#Privacy

Искусственный интеллект (ИИ) уже не просто перспективная технология, а неотъемлемая часть многих сфер деятельности, включая ИБ. ИИ активно используется в IDS-системах и антивирусном ПО, а также при мониторинге, помогая оптимизировать работу и повысить ее эффективность. Однако ИИ также и несет в себе множество рисков и опасностей.

Преимущества:
▫️Автоматизация большого спектра задач, таких как анализ логов, обнаружение вредоносных файлов и мониторинг активности пользователей.
▫️ИИ способен агрегировать и анализировать информацию из множества источников (логи, базы данных, открытые источники), значительно облегчая и ускоряя поиск необходимых данных, например, для расследования инцидентов и прогнозирования угроз.
▫️Повышенная точность работы, благодаря анализу больших объемов данных, позволяет обнаруживать сложные атаки и выявлять аномалии, которые могут быть незаметны для традиционных систем.
▫️Способность выявлять новые типы вредоносного ПО и атак, которые еще не известны и не имеют сигнатур. ИИ также может предсказывать потенциальные угрозы на основе анализа данных и поведения пользователей, позволяя предотвращать атаки до их реализации.
▫️Постоянная адаптация систем на базе ИИ к новым угрозам и изменениям в IT-инфраструктуре.

Недостатки:
▫️Зависимость эффективности работы ИИ от качества и актуальности данных, используемых для обучения;
▫️Уязвимость ИИ к специфическим атакам, таким как отравление данных для обучения (data poisoning), атаки на модель (model inversion) и атаки на выводы модели (adversarial attacks);
▫️Отсутствие «прозрачности» в работе и слабая прослеживаемость причинно-следственных связей при принятии решений ИИ могут затруднить поиск, обнаружение и анализ ошибок, а также уменьшить степень доверия к результатам работы ИИ;
▫️Ложные срабатывания и ошибки в работе, причинами для которых могут быть некорректные данные для обучения, плохая настройка и изменения в поведении системы.
▫️Высокая стоимость разработки, внедрения и обслуживания ИИ-систем по сравнению с обычными средствами защиты.

Учитывая плюсы и минусы, ИИ используется в средствах защиты информации как дополнительный инструмент, не заменяющий классические решения. Кроме того, применение ИИ в ИБ поднимает ещё и ряд этических вопросов:
🔸Дискриминация – как мы уже упомянули ранее, качество работы ИИ напрямую зависит от того, какие данные использовались для его обучения. Если эти данные содержат предвзятости или отражают статистические закономерности, которые могут быть восприняты как дискриминационные, то ИИ может воспроизводить такие же предвзятые решения в отношении различных категорий людей, стран и других объектов.
🔸Ответственность – проблема ответственности за действия ИИ заключается в том, что зачастую сложно определить, кто должен нести ответственность за ошибки или негативные последствия, вызванные решениями искусственного интеллекта.
В случае с традиционными технологиями ответственность обычно лежит на разработчиках, пользователях или операторах системы. Однако с ИИ ситуация осложняется тем, что он может принимать автономные решения, основанные на сложных алгоритмах машинного обучения, которые трудно предсказать заранее. Это создает неопределенность относительно того, кто именно должен отвечать за возможные ошибки или ущерб: разработчики, владельцы ИИ-системы, пользователи или сам ИИ.

#ИБ
#ПолезноЗнать

Фаззинг – метод тестирования безопасности, который заключается в передаче приложению на вход неправильных, нетипичных и случайных данных. Этот подход позволяет выявить ошибки и слабые места в ПО как на стадии разработки, так и в процессе его использования.

Классификации фаззинга:

1️⃣По способу генерации входных данных:
▫️Мутационный фаззинг – случайная модификация правильных входных данных для проведения тестов;
▫️Генеративный фаззинг – генерация случайных данных на основе заданных правил. Например, грамматический фаззинг, который генерирует случайные данные на основе формальной грамматики входного языка;
▫️Фаззинг на основе покрытия кода – адаптация и модификация входных данных с учётом результатов предыдущих тестирований с целью увеличения области проверки кода (практика показывает, что данный метод является одним из самых эффективных на сегодня).

2️⃣По знанию о целевой системе:
▫️Черный ящик – отсутствие знаний о внутренней структуре тестируемой системы;
▫️Белый ящик – наличие доступа к исходному коду и возможность использования этой информации для более эффективной генерации тестовых данных (например, для достижения максимального покрытия функций обработки внешнего ввода);
▫️Серый ящик – частичное знание о целевой системе, например, о формате входных данных или о некоторых внутренних функциях.

3️⃣По целевой системе:
▫️Фаззинг файлов – тестирование программ, обрабатывающих файлы;
▫️Протокольный фаззинг – тестирование реализации сетевых протоколов;
▫️Браузерный фаззинг – тестирование веб-браузеров;
▫️Фаззинг API – тестирование интерфейсов программирования приложений.

Преимущества фаззинга:
▫️Автоматизация тестирования безопасности;
▫️Поиск неочевидных уязвимостей и необработанных исключений в сложных кодах;
▫️Быстрая идентификация ошибок в логике.

Недостатки:
▫️Вероятность ложных срабатываний;
▫️Высокая стоимость инструментария;
▫️Большие временные затраты на выполнение процедур.

Фаззинг — инструмент для поиска уязвимостей, дополняющий другие методы тестирования безопасности. Применение различных типов фаззинга позволяет адаптировать подход к специфике тестируемой системы и повысить эффективность обнаружения уязвимостей.

#ИБ

CISO & DPO news #60 (3-9 февраля 2025 года)

▫️ Опасный Wi-Fi в Шереметьево
В аэропорту Шереметьево зафиксированы случаи фишинга через поддельную Wi-Fi-сеть. Злоумышленники создали сеть с названием, похожим на название настоящей сети аэропорта, что позволяло злоумышленникам красть учетные данные от Telegram.

▫️ Вредоносные пакеты DeepSeek в PyPI
Специалисты Positive Technologies выявили атаку на разработчиков. Злоумышленники разместили в PyPI вредоносные пакеты deepseeek и deepseekai, которые крали конфиденциальные данные из переменных окружения.

▫️ Уязвимость в Subaru STARLINK
Эксперты выявили критическую уязвимость в системе STARLINK от Subaru, позволявшую злоумышленникам отслеживать местоположение автомобилей, разблокировать двери и даже заводить двигатель, используя только данные государственного регистрационного знака автомобиля.

▫️ Syncjacking: захват браузера через расширения Chrome
Специалисты SquareX выявили атаку Syncjacking, позволяющую захватывать управление браузером с помощью вредоносных расширений для Chrome. Атака использует поддельные инструменты с реальной функциональностью и требует минимальных разрешений.

▫️ Обнаружена уязвимость в медицинском оборудовании
Управление по контролю за продуктами и лекарствами США (FDA) предупреждает об уязвимостях в сердечных мониторах, подключенных к сети Интернет. Уязвимости позволяют злоумышленникам получать доступ к информации о пациентах, а также вывести монитор из строя.

▫️ В России планируют создать антифрод-платформу для борьбы с телефонными мошенниками
Правительство РФ планирует собрать векторы голосов подозреваемых в правонарушениях без их согласия и аккумулировать данные на единой платформе. ИИ-системы операторов связи будут анализировать звонки и сравнивать векторы голосов звонящих с векторами из антифрод-платформы, а затем предупреждать граждан о возможных мошеннических звонках.

▫️ Евросоюз официально запретил использование ИИ-систем с «неприемлемым риском»
Парламент Евросоюза разделил ИИ-системы на четыре группы риска и запретил использование ИИ-систем с «неприемлемым риском», включая технологии, нарушающие права человека, такие как манипулятивные алгоритмы, сбор биометрических данных, создание социальной оценки.

▫️ Роскомнадзор сообщил о результатах выявления утечек за 2024 г.
Всего Роскомнадзором было зафиксировано 135 утечек ПДн, затронувших более 710 млн записей. Наибольшее количество утечек в 2024 г. произошло в компаниях из сферы торговли и услуг.
Общая сумма штрафов, назначенных судами по фактам утечек, составила 2 млн руб.

Вопрос:

Что следует учитывать при построении процесса резервного копирования?

Ответ:

Продолжая описание процесса резервного копирования, следует отметить также и другие его составляющие:

4️⃣Автоматизация процесса
Комплексная автоматизация повышает надежность резервного копирования и минимизирует риски потери данных. Автоматизация должна охватывать не только запуск задачи, но и весь процесс резервного копирования, включая:

▫️Настройку регулярного выполнения через планировщик задач или специализированное ПО.
▫️Использование надежных инструментов и скриптов для создания резервных копий с учетом целостности данных.
▫️Регулярную проверку сохраненных данных, включая контрольные сверки и пробное восстановление.
▫️Внедрение механизмов, обеспечивающих быстрое и корректное восстановление данных в случае сбоя.

5️⃣Периодическая проверка резервных копий
Резервная копия теряет свою ценность, если восстановить данные из нее невозможно, поэтому важно регулярно тестировать процесс восстановления.
Периодичность тестирования зависит от частоты создания резервных копий. Некоторые системы требуют проверки раз в неделю или месяц, а редко обновляемые — раз в год. Необходимо заранее предусмотреть тестирование восстановления данных, составив четкий план с указанием периодичности и ответственных.
План должен быть обязательно выполнен, чтобы убедиться, что резервные копии действительно работают и позволяют восстановить данные при необходимости.

6️⃣Шифрование данных
Если копии хранятся в облаке или на внешних носителях, то следует использовать шифрование (например, AES-256).

Грамотно организованный процесс резервного копирования позволяет защитить данные от потерь, сбоев и атак. Определение критичных данных, выбор подходящего метода резервного копирования, правильное хранение, автоматизация и регулярное тестирование восстановления — ключевые шаги, которые обеспечивают надежность системы. Реализация этих шагов минимизирует риски и гарантирует доступность информации даже в случае чрезвычайных ситуаций.

#ИБ
#KeptОтвечает

Формат нашего дайджеста немного изменился: раньше он выходил в формате карточек, однако мы решили попробовать что-то новое и перейти на текстовый формат.

Нам интересно узнать – как вам изменения? Может быть, вам было привычнее и комфортнее с карточками? Или, наоборот, текст кажется более удобным и информативным?

Сетевое сегментирование — разделение сети на более мелкие изолированные участки с помощью аппаратного или программного обеспечения. Сегментирование позволяет ограничивать распространение угроз, минимизировать ущерб от атак и оптимизировать управление трафиком.
Без сегментирования злоумышленник, проникнув в один узел сети, может свободно перемещаться по всей инфраструктуре, получая доступ к критически важным данным и системам.

Ключевые преимущества:
▫️Минимизация последствий атак — если один сегмент скомпрометирован, атака не распространяется на всю сеть.
▫️Контроль трафика — уменьшение нагрузки на сеть и предотвращение нежелательных соединений.
▫️Соответствие требованиям — сегментация сети является обязательной для организаций в соответствии требованиям различных нормативно-правовых актов и фреймворков (например, приказов ФСТЭК России №17, №21 и № 239, а также ГОСТ Р 57580, ISO/IEC 27001, PCI DSS и т.д.)
▫️Гибкость управления — упрощение мониторинга и администрирования, разделение зон по уровню доверия и разграничение прав доступа.

Как реализовать?
▫️Использовать VLAN (Virtual Local Area Network) — технологию, позволяющую виртуально разделить физическую сеть на изолированные логические сегменты.
▫️Разделить сети на логические зоны (DMZ, внутренняя, гостевая сеть) в зависимости от назначения с разными уровнями доверия и безопасности.
▫️Использовать межсетевые экраны для контроля и фильтрации сетевого трафика между различными подсетями.
▫️Настроить списки управления доступом (ACL) и межсетевые политики.

#ИБ
#ПолезноЗнать

11 февраля (вторник) в питерском офисе Kept впервые пройдёт Kept SPb Privacy Day

Недавно мы рассказывали о том, как 28 января провели Kept Privacy Day в нашем московском офисе. А уже через неделю мы встретимся с нашими питерскими коллегами, чтобы обсудить самые актуальные вопросы в сфере работы с персональными данным (ПДн).

Среди тем для обсуждения:

▫️новеллы законодательства по персональным данным;
▫️применение искусственного интеллекта в рутинной деятельности функции приватности;
▫️роль личности в построении функции приватности.

Помимо выступлений, в ходе мероприятия будут проведены кофе-брейк с квизом и дискуссионная панель, а завершающим аккордом станет фуршет, где можно будет пообщаться со спикерами и друг с другом и обсудить интересующие вопросы.

Спикерами мероприятия будут:

▫️Роман Мартинсон, Kept
▫️Ксения Кожушко, Kept
▫️Станислав Змичеровский, Скаенг
▫️Владислав Архипов, СПбГУ
▫️Екатерина Мулюкина, Атриум Инновейшенс Рус
▫️Николай Бределев, Группа Илим
▫️Александр Закалин, Балтика
▫️Наталья Черняева, Северсталь-Инфоком
▫️Станислав Дерягин, Айкон Тайерс

Участие бесплатное.

🟣Регистрация доступна по ссылке и возможна до 10 февраля включительно.

Ждем встречи на мероприятии!

Вступило в силу 01 января 2025 г.:

Постановление Правительства РФ от 10.07.2024 № 929 об утверждении Положения о государственной единой облачной платформе
▫️для кого: участники эксперимента по использованию государственной единой облачной платформы
▫️что делать: адаптировать информационные системы под требования государственной единой облачной платформы и обеспечить их совместимость с российским ПО

ФЗ от 31.07.2023 № 406-ФЗ о внесении изменений в ст. 8 149-ФЗ
▫️для кого: владельцы информационных ресурсов, имеющих возможности авторизации пользователей на ресурсах
▫️что делать: проводить авторизацию пользователей из РФ способами, предусмотренными ч. 10 ст. 8 149-ФЗ:
🔸по мобильному номеру телефона;
🔸через Единую систему идентификации и аутентификации;
🔸с помощью Единой биометрической системы;
🔸через иную ИС, обеспечивающую авторизацию пользователей и принадлежащую российскому юридическому лицу (как минимум на 50% находящегося под российским контролем)

Указ Президента РФ от 01.05.2022 № 250 о дополнительных мерах по обеспечению ИБ РФ (п. 6)
▫️для кого: органы исполнительной власти федерального и регионального уровней, государственные фонды и корпорации, стратегические предприятия и общества, системообразующие организации, субъекты КИИ
▫️что делать: использовать отечественные средства защиты или поставляемые дружественными государствами

Указ Президента РФ от 30.03.2022 г. № 166 о мерах по обеспечению технологической независимости и безопасности КИИ РФ (пп. б п. 1)
▫️для кого: государственные органы, организации, осуществляющие закупки в соответствии с 223-ФЗ
▫️что делать: использовать отечественное ПО на значимых объектах КИИ

Вступило в силу 02 января 2025 г.:

Изменения в ФЗ от 29.12.2022 № 572-ФЗ об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн (ч. 11)
▫️для кого: организации, осуществляющие аутентификацию на основе биометрических ПДн, при использовании государственных информационных систем
▫️что делать: соблюдать требования о защите информации в государственных ИС, предусмотренные Приказом ФСТЭК России от 11.02.2013 №17

Опубликовано 22 января 2025 г.:

Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей ИБ в организациях финансового рынка
▫️для кого: кредитные и некредитные финансовые организации, субъекты национальной платежной системы, бюро кредитных историй
▫️что делать: рассмотреть рекомендации, в частности к:
🔸порядку проведения тестирования;
🔸содержанию технического задания на проведение тестирования;
🔸методам проведения тестирования;
🔸форме отчета по результатам тестирования;
🔸информированию Банка России об инцидентах защиты информации, возникших в ходе тестирования.

Информационные сообщения ФСТЭК России:
▫️ от 27.12.2024 № 240/11/6702 о методических рекомендациях по разработке программ профессиональной переподготовки и повышения квалификации специалистов в области обеспечения безопасности значимых объектов КИИ критической, противодействия иностранным техническим разведкам и технической защиты информации.
▫️от 27.12.2024 № 240/11/6703 о рассмотрении проектов дополнительных профессиональных программ в области ИБ.
▫️ от 27.12.2024 № 240/11/6704 о примерных дополнительных профессиональных программах в области обеспечения безопасности КИИ.
▫️ от 27.12.2024 № 240/11/6705 о новой редакции примерной программы профессиональной переподготовки по ИБ.
▫️ от 27.12.2024 № 240/11/6706 о новых редакциях примерных программ профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам, технической защиты информации и обеспечения безопасности значимых объектов КИИ.
▫️ от 28.12.2024 № 240/11/6707 о новой редакции примерной программы повышения квалификации по защите ПДн.

#ДеЮре

По общему правилу (ч. 1 ст. 9 152-ФЗ) согласие на обработку персональных данных (ПДн) может быть дано в любой форме, позволяющей подтвердить факт его получения, если специальная форма дачи согласия прямо не предусмотрена 152-ФЗ или другими федеральными законами.
 
Как мы писали ранее, обработка специальных категорий ПДн допускается при наличии согласия субъекта ПДн в письменной форме или других правовых оснований, предусмотренных ч. 2 ст. 10 ФЗ № 152.
Требования к содержанию письменного согласия приведены в ч. 4 ст. 9 ФЗ № 152.
 
По общему правилу равнозначным согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью в соответствии с ч. 1 ст. 6 Федерального закона «Об электронной подписи» № 63-ФЗ от 06.04.2011 (ФЗ № 63).
При этом, согласно ч. 2 ст. 6 ФЗ № 63 допускается использование простой электронной подписи и неквалифицированной электронной подписи, если между оператором и субъектом ПДн существует соглашение, предусматривающее порядок использования и верификации таких подписей. Данное соглашение также должно учитывать требования ст. 9 ФЗ № 63.
 
О том чем отличаются друг от друга разные виды электронных подписей мы рассказывали ранее.
 
#Privacy

CISO & DPO news #59 (27 января - 2 февраля 2025 года)

▫️Зафиксирован рост обходов спам-фильтров с помощью скрытого текста
Во второй половине 2024 г. резко выросло число атак с использованием метода скрытого добавления текста. Эта техника позволяет внедрять невидимые символы в HTML-код писем, обходя фильтры.
 
▫️Linux признан угрозой информационной безопасности
Соцсеть Faсеbook* начала блокировать публикации и ресурсы, посвящённые операционной системе Linux. Сообщается, что соцсеть внесла Linux в список потенциальных киберугроз.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России 
 
▫️Обнаружен рост атак на API, связанные с ИИ
Компания Wallarm в отчете «API ThreatStats Report 2025» говорит о росте количества уязвимостей API, связанных с искусственным интеллектом (ИИ), на 1205% за последний год.
 
▫️Тысячи хакеров стали жертвами троянского билдераXWorm RAT
Более 18 000 устройств заражены троянизированной версией билдера XWorm RAT, распространяемого под видом обучающего инструмента через GitHub, Telegram и файлообменники.
 
▫️Представлена методика тестирования на проникновение для финансовых организаций
22 января Банк России опубликовал Методические рекомендации, включающие в том числе условия тестирования и форму отчета по итогам тестирования.
 
▫️Регистрация через «Госуслуги» на маркетплейсах и досках объявлений может стать обязательной
Правительство РФ работает над пакетом поправок (в частности, к законам «О связи» и «Об информации»), где предлагается обязательная регистрация пользователей через «Госуслуги» в интернет-сервисах.
 
▫️В Единой биометрической системе зафиксировано около 3 млн регистраций
Гендиректор Центра биометрических технологий подчеркнул, что в результате проведенных работ по запуску новых сервисов увеличено количество регистраций в ЕБС, 80% которых пришлось на 2024 г.
 
▫️В сеть утекла база с ПДн граждан Грузии
ПДн о жителях Грузии были размещены на сервере, который принадлежит немецкой компании – поставщику облачных услуг. Общее число утёкших ПДн составило свыше 5 млн. записей.

Вопрос:

Что следует учитывать при построении процесса резервного копирования?

Ответ:

Резервное копирование — ключевой элемент защиты данных от сбоев, атак и случайного удаления. Чтобы элемент работал, важно правильно организовать процесс.

1️⃣Определение критичных данных
Сперва следует определить, какие данные необходимо защищать. Это могут быть базы данных, конфигурационные файлы, документы и др.

2️⃣Выбор метода резервного копирования
Существует три основных типа резервного копирования:
▫️Полное — сохраняет полный набор данных но занимает много места и требует больше ресурсов, чем другие виды.
▫️Дифференциальное — сохраняет данные, измененные с момента последней полной резервной копии.
▫️Инкрементное — сохраняет данные, измененные с момента последней инкрементной копии. Это сокращает объем хранимых данных, однако полное восстановление требует много времени, так как необходимо собрать изменения всех инкрементов.

Рекомендуется использовать комбинированный подход. Например, полные копии раз в неделю и инкрементные — ежедневно.
Однако сроки резервного копирования будут отличаться для многих систем. Так, если в системе появляется новая запись раз в неделю, то ежедневное резервное копирование может быть избыточным, а если данные меняются каждую минуту, то резервирование раз в месяц будет недостаточным.

3️⃣Выбор места хранения
Следует распределять хранение резервных копий, для этого может быть использовано правило 3-2-1:
▫️3 копии данных (оригинальные файлы и две копии);
▫️2 разных носителя информации (например, локальный диск и облако);
▫️1 копия за пределами основной площадки.

В будущем мы расскажем про остальные аспекты организации резервного копирования: автоматизацию процесса, периодическую проверку резервных копий и шифрование данных.

#ИБ
#KeptОтвечает

Сигнализация автомобиля представляет собой охранное устройство, позволяющее запирать двери автомобиля и запрещать запуск двигателя. Обычно такие устройства оснащены пультом дистанционного управления – брелоком, а с недавних пор ещё и мобильным приложением (если охранное устройство имеет GSM модуль с сим-картой).

Общение брелока с модулем сигнализации, установленном в авто, происходит через радиосигналы. Общение может быть как одностороннее, так и диалоговое. Из-за всенаправленной природы радиосигнала общение между брелоком и охранным модулем могут «слышать» все принимающие устройства в зоне излучения радиосигнала. По этой причине сигнал брелока может быть перехвачен, записан и воспроизведён злоумышленниками.

Когда охранные системы только появлялись, каждой команде брелока соответствовал свой пакет данных, передаваемый по радиосигналу. Код нажатия каждой кнопки был фиксированным. Такой подход стал эксплуатироваться злоумышленниками по причине появления устройств, способных запоминать сигналы и воспроизводить их.
Для незаконного доступа к автомобилю достаточно было находиться со специальным записывающим устройством в зоне действия сигнала брелока в момент передачи. Шифрование самого кода в этом случае не помогало, так как достаточно было просто воспроизвести записанный сигнал.

Производители автомобильных сигнализаций озадачились вопросом защиты передаваемых данных. Решением стал динамически изменяемый код (rolling code). Динамический код представляет из себя последовательность данных, которые изменяются при каждой передаче. Алгоритм изменения известен только охранному модулю и связанному с ним брелоку.
Такая система делает абсолютно бесполезными запись и повтор сигналов, так как на старые сигналы система не реагирует, и ожидает уже изменённую последовательность данных в сигнале.

Таким образом, применение динамического кода повышает безопасность автосигнализации и сильно усложняет жизнь угонщикам.

В будущем мы расскажем про аналогичные технологии, применяемые в устройствах контроля доступа.

#ИБ
#ПолезноЗнать

Сегодня 28 января в Международный день защиты персональных данных мы провели ежегодное мероприятие Kept Privacy Day

В московский офис Kept сегодня в гости пришло более 100 специалистов по персональным данным, информационной безопасности и комплаенс, чтобы отметить с нами свой профессиональный праздник.

Основные тезисы с нашего мероприятия:

▫️Основная задача DPO выстроить функционирующие процессы. Сертификация может с этим помочь
▫️«Меняйся или умри» - принцип, который необходимо принять для внедрения новых требований
▫️Privacy engineer снимает с DPO управление техническими задачами, которые сложно или некому делегировать
▫️152-Ф3 можно отнести к «помогающим профессиям»
▫️Работа по обеспечению безопасности это комплексное мероприятие, которое должно включать команду специалистов - юристы, ИТ и ИБ
▫️Аудит ПДн на предприятиях это сложная задача, которая не решается за неделю, так как нужно провести обследование всех возможных систем
▫️DPO должен быть отдельно выделенный человек без совмещения с другими функциями
▫️Нужно формировать правильное отношение к риску: работник должен знать, где можно перебегать на красный свет, а где нельзя перебегать на красный свет
▫️«Не ищи побед, избегай поражений»
▫️Руководству нужно показывать такую сумму риска, которую можем обосновать

🟣11 февраля мы проведем Kept Privacy Day в Санкт-Петербурге.
Регистрация по ссылке.

#Privacy

EDR (Endpoint Detection and Response) — это технология, которая обеспечивает защиту конечных устройств, таких как компьютеры, серверы и мобильные устройства, от сложных угроз. EDR-системы отслеживают и анализируют активность на устройствах в реальном времени. Главное преимущество EDR-решений состоит в том, что угроза не обязательно должна быть известной, для обнаружения достаточно отклонения от обычных моделей работы системы. 
 
Основная задача EDR — обнаружение подозрительного поведения и угроз, которые могут обойти традиционные антивирусы. EDR-система ищет необычные и нежелательные образцы поведения, изолирует подозрительные файлы и останавливает вредоносные процессы, а также уведомляет аналитика ИБ для дальнейшего изучения, в то время как антивирусы работают по сигнатурной схеме, то есть выявляют участки кода, признаки веб-ресурса или сетевого соединения, которые однозначно являются вредоносными.
Стоит отметить, что возможно принятие решений в отношении угроз не только в ручном режиме, но и путем использования сценариев автоматического реагирования.
 
Главные преимущества EDR-системы:

▫️работа более глубоком уровне — на уровне ядра (ring 0), в отличие от антивирусов, которые работают на уровне пользователя (ring 3);
▫️постоянный детальный мониторинг активности конечных устройств, что позволяет выявлять скрытые и сложные атаки;
▫️логирование и хранение большого количества деталей о процессах и событиях конечного устройства, что позволяет проводить более тщательные расследования;
▫️возможность применения технологий машинного обучения для анализа поведения и выявления аномалий.

#ИБ

"_blank" class="primary-link">ka/22894175" target="_blank" class="primary-link">rkn.gov.ru/news/news348048.htm" target="_blank" class="primary-link">ec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-28-dekabrya-2024-g-n-240-11-6707" target="_blank" class="primary-link">

CISO & DPO news #58 (17 - 23 января 2025 года)

1/8 Троян QBot обновлен и вновь используется для проведения атак.
2/8 Новая уязвимость в поисковом боте ChatGPT позволяет запускать DDoS-атаки.
3/8 В Signal и Discord найдена уязвимость, раскрывающая местоположение пользователей.
4/8 Выявлена уязвимость в 7-Zip, позволяющая обойти систему защиты Windows.
5/8 Представлена примерная программа повышения квалификации в сфере персданных.
6/8 Опубликованы результаты проверки веб-сайтов в части защиты персональных данных.
7/8 59% российских компаний не сообщали о произошедших утечках персональных данных.
8/8 Полиция Евросоюза предлагает раскрывать зашифрованные сообщения в мессенджерах.