Окончание поверхностного анализа несуразностей вокруг Мах. Начало тут и тут.

По результатам прошлого поста коллеги подсказали, что у Max выложено нечто, похожее на политику. Но все-таки это не политика по обработке ПДн, как того требует РКН. И она точно не соответствует тому, что находится в реестре РКН.

В предыдущих сообщениях я рассмотрел только отдельные, лежащие на поверхности 🏔 моменты, связанные с обработкой персональных данных и криптографической защитой в нацплатформе. Если попробовать посмотреть глубже, например, на требования нового 117-го приказа ФСТЭК, то из него вытекает (хотя и неявно), что класс защищенности информационной системы, в которой разворачивается Max, должен быть не ниже того, что у ГИС, с которыми она взаимодействует 🤝 А так как там заявлено взаимодействие с ЕСИА, то класс защищенности не должен быть ниже К1, что накладывает еще больше организационных ограничений по ИБ, которые должно выполнять ООО "Коммуникационная платформа". Но способно ли оно это выполнить? Ведь даже поручить ООО "ВК" (как в части ПДн) свою защиту оно не может, так как у ООО "ВК" нет лицензии ФСТЭК на деятельность по ТЗКИ, что требуется по закону. Такая лицензия есть у ООО "ВК Цифровые технологии", но среди указанных там видов деятельности отсутствует мониторинг ИБ.

И ведь даже до защиты самого мессенджера дело не дошло 🛡 Мне почему-то кажется, что именно в этой части там будет все нормально. Но все остальное снижает доверие и к нацплатформе, и к тому, как и кто ее продвигает... Пока это похоже на какое-то впаривание. Куда проще было просто заблокировать все мессенджеры кроме Мах. И все - задача решена. И без всех этих выкрутасов ⛔️

Я думаю, она и так будет решена, видя с каким упорством и скоростью продвигается эта нацплатформа 🤓 Будут выданы если не сертификаты, то хотя бы положительные заключения ФСБ на всю схему, будет выдан сертификат на безопасную разработку, быстро получены все лицензии, во все соглашения на обработку ПДн будут внесены изменения (да, без предупреждения субъектов), в уведомление РКН 🔢 будут внесены нужные изменения для реестра операторов ПДн, специалисты будут обучены, а в ООО "Коммуникационная платформа" будет назначен заместитель генерального директора по ИБ в соответствие с 250-м Указом (а то странно как-то, что нацплатформа не будет отнесена к стратегическим предприятиям) 🗂 И вообще будет много чего сделано... или не будет. Тут же как - у нас все равны перед законом, но есть те, кто ровнее.

Выполнить все утвержденные за долгие десятилетия нормотворчества организационные требования по ИБ и ПДн в Мах невозможно 🚫 И перед стейкхолдерами этого платформенного мессенджера встанет дилемма - забить болт на требования, попробовать их выполнить (честно скажу, нереально; особенно в столь сжатые сроки), заняться очковтирательством, запустить процесс изменения устаревших требований 🤔 Я, признаться честно, хотел бы, чтобы все пошло по последнему варианту. Собралась бы согласительная комиссия из разных ведомств, провела бы ревизию всего законодательства по ИБ и отменила бы все то говно мамонта, которое мы тянем за собой уже десятки лет. Поэтому, скорее всего, будет а вот что будет, мы посмотрим все вместе 💃

ЗЫ. Да, если, вдруг, меня читают представители ООО "Коммуникационная платформа" и на все заданные в трех заметках вопросы уже есть ответы, то был бы рад их увидеть. Готов даже про них написать, если будет продемонстрировано, что все или часть описанного не соответствуют текущей действительности ✍️ И еще раз повторю - вопросы у меня не к технической стороне защиты мессенджера, а к той обвязке, которая эту защиту должна сопровождать.

ЗЗЫ. Все-таки, куда все так торопятся с этим Мах, подставляя себя под критику иноагентов, нежелательных организаций, экстремистов, террористов, блогеров и просто интересующихся?.. ❓ Но ведь главное что? Что вся критика идет на частную компанию из двух человек. Это же не государственный мессенджер и разрабатывает его не государственная компания! И не важно, что через него будет осуществляться доступ к госуслугам (это такие "мелочи")...

Читать полностью…

Итак, сюрприз, мессенджер Мах признан национальной платформой 💬 И у меня есть что сказать по этому поводу, но для начала недоумение. Если вспомнить принятое законодательство о том, что у нас теперь на первое место выходят русскоязычные названия, то как надо читать платформу, упомянутую в распоряжении - Мах (по-русски) или Max (по-английски)? Но это лирика, на самом деле у меня комментарий будет все-таки в тему канала 🤔

Когда принимали оборотные штрафы 🤑 за инциденты с ПДн, то одним из сценариев ухода от этого наказания, называли фирмы-однодневки, которые и будут становиться операторами персональных данных вместо своих "мам" и "пап". И вот яркий пример, когда государство само показывает "как надо делать". Чтобы не подставлять ВК, статусом оператора нацмессенджера наградили некое ООО "Коммуникационная платформа" (на сайт без слез не взглянешь). Теперь, если что и произойдет, то... Будет ли ВК нести ответственность за инциденты? ❓

Если посмотреть реестр операторов персональных данных, то мы увидим, что для ООО "Коммуникационная платформа" ответственным за организацию обработки ПДн является ООО "ВК", которому принадлежит 15% в операторе нацплатформы. 84,99% принадлежат ООО "В КОНТАКТЕ", а оставшийся 0,01% ООО "КОМПАНИЯ ВК" 📊 Устанавливая Max, вы кому даете согласие на обработку ПДн? И кто в реальности их обрабатывает? Кстати, обратите внимание, между датой регистрации уведомления и датой внесения в реестр прошел... 1 (один) день! Я не вспомню больше ни одного такого случая, чтобы РКН столь оперативно регистрировал операторов ПДн 🛡

Дальше больше. Смотрим публичную информацию по компании (в СПАРКе и т.п. сервисах данных еще больше). Среднесписочная численность персонала в 2024 году - 2️⃣ человека (и по ФОТу похоже). Согласно реестру РКН данное ООО обрабатывает ПДн широкого спектра и точно более чем 100000 субъектов (уже загрузок более 2 миллионов). Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ 👮‍♂️ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн? 🤔

Смотрим дальше. В реестре РКН написано, что оператор передает ПДн по Интернет 🔗, но при этом, согласно тому же реестру, никаких шифровальных средств оператор нацплатформы не использует. Возникает очередной вопрос - а как, собственно, обеспечивается конфиденциальность персданных пользователей платформы? У ФСБ вроде вполне четкая позиция на этот счет? 🔑

А еще все говорят, что в Max будет интегрирован "Госключ" 🔑, а сам он будет связан с ЕСИА. И как это будет сделано без криптографии?.. А ведь криптографию еще надо внедрить в мессенджер и потом сертифицировать, что занимает в ФСБ немало времени (хотя может быть будет как при регистрации в реестре РКН - за 1 день?). И потом опять сертифицировать, и опять, и опять - ведь новые релизы с новыми функциями будут выпускаться еженедельно. И как при таких спринтах будет проверяться корректность встраивания СКЗИ? 👨‍💻

Продолжение следует...

#суверенитет #мессенджер #криптография #персональныеданные

Читать полностью…

У компании упал сайт... 🖥 Ну упал и упал, подумаете вы, с кем не бывает. А вот оказывается, что это может повлечь за собой негативные последствия, как это произошло с компанией Novabev, акции которой упали на пике на 5,5% из-за сообщений о приостановке работы торговой сети ВинЛаб – не работает сайт, принимающий заказы, не функционируют по техническим причинам торговые точки во всех регионах РФ 📉

Реальная причина проведения технических работ на сайте пока не озвучивалась, но хочу напомнить, что в ноябре 2023 года, проукраинская группировка C.A.S. уже сообщала у себя в Telegram-канале о том, что группировка WASSER якобы взломала 🔓 инфраструктуру Novabev, в подтверждение чего выложила скриншоты почтовой переписки, персональных данных и т.п. Остается надеяться, что компания в прошлый раз извлекла уроки из ситуации и сегодняшняя история и правда связана с оптимизацией и улучшением качества обслуживания, а не инцидентом ИБ 🥂

#инцидент #ущерб

Читать полностью…

Есть такой законопроект №960721-8 "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", который в Госдуму внесло Правительство и который должен поставить точку в многолетние споры о том, что такое государственная информационная система 📃 Если законопроект примут, а вероятность этого велика, то все информационные системы,

созданные в целях исполнения государственных и иных публичных полномочий и функций государственных органов или предусмотренных федеральными законами государственных корпораций (компаний), публично-правовых компаний, в том числе для обеспечения в указанных целях межведомственного взаимодействия, сбора статистических и иных данных из внешних источников, а также созданные в иных установленных федеральным законом целях информационные системы в случае, если такие информационные системы определены федеральным законом в качестве государственной информационной системы

будут считаться ГИСами, и все уже созданные системы, официально ГИСами не признаваемые, будут признаны таковыми 🤔

А теперь о кибербезопасности 🛡 Помимо запрета размещения технических средств, используемых для обеспечения функционирования ГИС, за пределами РФ (это уже не новость), в законопроекте есть норма об обязательном подключении и непрерывном взаимодействии с ГосСОПКА всех ГИС, а также всех иных

информационных систем государственных учреждений, государственных внебюджетных фондов Российской Федерации, государственных компаний и государственных корпораций в случае, если такими иными ИС осуществляется обработка информации, содержащейся в ГИС, МИС (муниципальная) и ВИС (ведомственная).

Также операторы ГИС должны уведомлять ФСБ 👮‍♂️ обо всех компьютерных инцидентах,

повлекших неправомерную передачу (предоставление, распространение, доступ) содержащейся в указанных информационных системах информации.

Небольшое изменение в ФЗ-149 и существенное расширение числа систем, подключаемых к ГосСОПКА. Кроме того, это потребует перестройки процессов управления инцидентами и внедрения нового инструментария, который бы смог собирать все данные, необходимые для отправки в НКЦКИ 👊

#управлениеинцидентами #регулирование

Читать полностью…

Сидим мы, значит, с мужиками в бане 🧼, обсуждаем экзистенциализм. Дошли до древнегреческого мифа о Сизифе, которого, как мы все помним боги обрекли на закатывание камня на гору, который все время скатывается вниз, заставляя Сизифа начинать все cнова и снова... и так до бесконечности 🪨

И подумалось мне, что Сизиф лучше самурая подходит в качестве аналогии для CISO. Такая же тяжелая работа для достижения цели, которая так и не приводит к результату 😫 Отсюда стресс, выгорание и, по меткому выражению Володи Бенгина, остается только бухать. Но... Тут банный разговор свернул на Камю и его эссе "Миф о Сизифе", в котором утверждается очень интересная и небанальная мысль ✍️ Сизиф, осознав бесцельность своей задачи и невозможность изменить свою судьбу, обрел свободу и достиг принятия и умиротворения! А значит Сизиф счастлив и наказание богов уже не такое жесткое, как казалось изначально 🥳

Может и CISO надо выйти за рамки привычной оценки своего труда и воспарить над бессмысленностью этого мира? Тогда не будет ни стресса, ни выгорания. И можно будет спокойно пить травяной чай! ☕️

#философия #CISO

Читать полностью…

Киберпанк, который мы заслужили.

Читать полностью…

Возвращаясь к январскому посту про будущее поиска работы ИБшниками и активное использование ИИ в процессе найма... 🤖 Два примера. В одном опытный пользователь LinkedIn выводит на чистую воду рекрутинговых ИИ-ботов. В другом пользователь получил отказ в найме, но что-то пошло не так и вместо письма прилетел незаполненный шаблон 🖕

#работа #ии

Читать полностью…

Интересное сообщение от Спортмастера 🥊 Ни сайт, ни кассы в оффлайн-магазинах, ни система лояльности, не работают по всей России. Ссылаются на вчерашнее затопление ЦОДа из-за дождя (под открытым небом он что ли стоял?). Интересная версия 🤔

К архитектуре здания ЦОДа, которое затопил не самый сильный дождик 💧, и к инфраструктуре, не учитывающей такие отказы, у меня вопросы. Особенно учитывая, что в сообщении слово ЦОД во множественном числе 🏪 То есть затопило все хранилища?..

Если, конечно, это не инцидент ИБ; тогда все встанет на свои места 🔓 Подождем, как быстро просохнут и расскажут детали.

ЗЫ. Подписчику спасибо за ссылку.

#архитектура #инцидент

Читать полностью…

А вы в любой момент времени можете ответить, сколько у вас подрядчиков и субподрядчиков? 🤔 Ведь атака может начаться не с вас, а именно с них. Наличие карты ваших киберсвязей сегодня является критически важным для ситуационной осведомленности в вопросах кибербезопасности 🗺

Составить такую карту, кстати, не так сложно 🗺 Можно начать с анализа имеющихся в бухгалтерии и у юристов договоров (не забудьте про оферты), а дополнить данными от NGFW и NTA, которые позволят составить карту сетевых потоков. Ну и не забывайте поддерживать ее в актуальном состоянии 🔄

Обидно будет, если всю вашу неприступную систему защиты обойдут только потому, что вы не подумали о контроле подрядчиков 🤔

ЗЫ. Примеры подрядчиков (в виде списков для пяти отраслей) выложены у нас на сайте (без смс и регистрации).

#supplychain

Читать полностью…

Инцидент с бывшим главой РАЭК, осужденного за распространение наркотиков, пополнилась новым эпизодом, - Сергея Гребенникова обвиняют в госизмене 🙂 Деталей, как обычно по таким статьям, нет, но история почему-то напомнила мне сразу несколько дел, которые были возбуждены в нашей ИБ-отрасли за последние 10 лет по этой же статье 🏴‍☠️

Учитывая, что наказание по 275-й УК РФ наступает не только за шпионаж или передачу гостайны иностранным государствам или организациям, но и оказание им финансовой, материально-технической, консультационной или иной помощи, гадать бессмысленно 🇺🇸

#ответственность

Читать полностью…

Тут выяснилось, что инфраструктура для зарядки электромобилей (EV) становится все более популярной мишенью 🤕 Почему? Потому что зарядки — это не просто "умные розетки", а полноценные IoT-устройства с Интернет-доступом, API и связью с корпоративной сетью оператора. И многие из них подключены к Интернету и управляются через облако или удаленные сервера ⚡️

Исследователи нашли, что:
1️⃣ Многие зарядные станции подключаются к управляемым облачным панелям — они позволяют следить за состоянием зарядки, включать/выключать устройства, управлять тарифами 🤑
2️⃣ В ряде случаев нет базовой аутентификации или она настроена "для галочки" - админ-панели открыты в Интернет без ограничения IP или без MFA.
3️⃣ Слабый или дефолтный пароль — типичная проблема 🤦‍♂️

Как результат хакеры могут:
1️⃣ Дистанционно отключать сотни зарядок, а это недопустимый риск для бизнеса операторов, городского трафика и даже целых транспортных сетей 🔋
2️⃣ Манипулировать тарифами и перенаправлять платежи на левые реквизиты.
3️⃣ Украсть персданные, так как многие зарядки хранят или передают данные профилей водителей — включая платежные данные, историю зарядок и даже геолокацию.
4️⃣ Получить черный ход во внутренние сети операторов зарядных хабов или даже энергокомпаний 🚪

В теории, по мере массового внедрения зарядок в городскую инфраструктуру мегаполисы становятся зависимыми от распределенной сети EV. Спланированная атака может привести к недопустимому событию и катастрофическим последствиям. В этом случае, в отличие от бензина, электроэнернию в канистре не привезешь 🚗

#уязвимость #недопустимое

Читать полностью…

Видеозапись, презентации и сопутствующие материалы с вебинара "Остается ли в тайне ваш диалог с LLM? 📱 Как использовать большие языковые модели безопасно!" выложены на сайте. Это первый вебинар из серии. Второй, "Не словом, а кодом. Как организовать защиту LLM без потерь производительности?", уже тоже запланирован. Он пройдет 31 июля - регистрация уже открыта 🤖

Третий мы проведем во второй половине августе и он будет посвящен тому, как разворачивать свой собственный фреймворк с локальными моделями 🤖 во внутренней инфраструктуре компании; мы будем делиться собственным опытом разворачивания LLM для собственных задач в 🟥 Четвертый вебинар будет рассказывать про использование ИИ в продуктах ИБ. Вот так, вебинар за вебинаром, и набралось на целую серию!!! 🎬

#ии #мероприятие

Читать полностью…

Кстати, интересное наблюдение. Сначала ты смотришь на изменение климата, выбросы CO2 в атмосферу, рост числа войн и беженцев, пандемии, смену менталитета молодежи и т.п. 🔄 Потом ты на основе этих изменений прогнозируешь куда это все придет (если мы не убьем себя до этого) и смотришь, какие технологии позволят нам выживать в новых условиях. А потом уже приземляешь на все это кибербез 🛡

А попутно вдруг становится понятно, что фильмы 🎬 "Джонни Мнемоник", "Робокоп", "Судья Дредд", "Бегущий по лезвию", "Голодные игры", "Бегущий человек", "Разрушитель", "Искусственный интеллект" и т.п., вполне себе отражают будущее. Не самое приятное, но уж какое есть при текущем сценарии развития событий. Можно, конечно, предположить, что наше будущее показано в фильмах "Трон", "Матрица", "Пятый элемент", "Я, робот", "Первому игроку приготовиться" и др., но это менее вероятная ветка развития событий 🍿

Будем наблюдать... 🍿

#кино #тенденции

Читать полностью…

Иногда, когда мне доводится попадать на встречи CxO 🧐 и CISO в разных компаниях, их диалог похож на этот эпизод из "Кремниевой долины" 😃

Надысь один CISO, рассказывая своему CEO стратегию по ИБ, ввернул следующую фразу:

«они пробросили шелл на сервак, используя зеродей крит и эксфильтранули базу с кредами».

CEO был немного фрустрирован этой фразой, мягко скажем. Диалог не задался. CISO потом удивлялся, почему, он же все так понятно рассказал 😂 CISO часто забывают, что в аббревиатуре должности, которую они пишут на визитках, самая главная буква - C, а не S. Перефразируя известную фразу про IoT:

В аббревиатуре CISO буква B означает Business!

ЗЫ. И да, никакая она не "Силиконовая долина". Ни с точки зрения английского языка, ни с точки зрения смысла 😫

#кино #ciso #cxo

Читать полностью…

Сергей Солдатов рассказал о секретном мероприятии, Kaspersky Cybercamp, которое проходило уже в 4-й раз в Тверской области 🏕 Формат мероприятия - TLP:RED, то есть контент только для участников, фотографировать и рассказывать о происходящем на мероприятии нельзя. Ну разве что о вечернем и ночном нетворкинге, песнях под гитару... 🎸 Я выступал и в этом году тоже, причем не только с презентацией.

Также по приглашению коллег я принимал участие в дебатах, в которых вам дают возможность защитить позицию по одной из холиварных тем 🤜 На полуфинале тема известна участникам заранее и они могут подготовиться к ней, а вот на финале (если пройдешь) тема неизвестна. Кроме того, путем жеребьевки ты выбираешь, какую позицию, ЗА или ПРОТИВ, ты будет отстаивать (независимо от твоего собственного мнения) 🎲

Сергей расписал темы дебатов у себя в канале, правда, забыв про одну из них, которая попала мне на первом полуфинале, в котором я сражался с Женей Волошиным из БИЗОНа. Это была холиварная история про "Анонимность в Интернете - это хорошо или плохо" 🤐 Судьба уготовила для меня позицию противника анонимности 🥸 Приводить свои тезисы я не буду, а то еще РКН прочитает и начнет их использовать, ссылаясь на меня. Но формат для отработки публичных выступлений интересный. Именно выступлений. Смысловая часть не так уж и важна - главное, насколько вы убедительны в кратком монологе на 1,5 минуты. Чем-то напоминает elevator pitch 🙌

В финале я сразился с Рустемом Хайретдиновым и проиграл ему в словесных баталиях на тему "Убьет ли нас AGI?" Жребий выдал мне шанс защитить ИИ, но увы, 55% зрителей придерживалось позиции, что ИИ все-таки нас грохнет 🤖 Ну или Рустем был просто убедительнее, доказывая эту мысль. В любом случае было живенько. Но сразу хочу отметить, что проводить такие дебаты имеет смысл только с опытными спикерами - все-таки уложиться в 90 секунд, разложив позицию по полочкам, четко и недвусмысленно подсветив все тезисы, непросто. Даже если вы готовились 🤔

ЗЫ. Я боялся, что в финале будет вопрос "Нужен ли антивирус?" или "Нужна ли L1 в SOC?" и мне придется защищать позицию "Да" 😱 Но пронесло...

#мероприятие #выступление

Читать полностью…

Продолжаем анализировать обвязку Max... 💬

Изучаем запись в реестре операторов ПДн дальше. Там заявлено всего 5 целей обработки у ООО "Коммуникационная платформа":
1️⃣Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства
2️⃣Осуществления трудовых отношений с работниками в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами и обеспечение работников комфортными условиями труда
3️⃣Исполнение обязательств, предусмотренных действующим законодательством РФ, включая подзаконные акты
4️⃣Оформление гостевых пропусков для однократного прохода на территорию оператора
5️⃣Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ.

Как вы думаете, какая цель описывает работу мессенджера? 🤔 Я вот думал-думал и не нашел никаких вариантов в этой пятерке. Не контрагентами же пользователей называют. А тогда на каком основании мессенджер вообще получает персональные данные своих абонентов? Кстати, заявляется об интеграции в Max еще и биометрии 🎭 Но в списке обрабатываемых данных для всех пяти целей биометрия не заявлена. Вообще там много чего не внесено из того, что с высоких трибун заявляют чиновники относительно функционала национальной платформы 🧐

Возвращаясь к первоначальному вопросу - будет ли нести ООО "ВК" ответственность за инциденты с ПДн в мессенджере? 🤔 Вроде как формулировка в реестре говорит, что ООО "Коммуникационная платформа" поручает обработку ПДн именно ВК, но... на самом деле там "поручена" организация обработки, а не сама обработка. И оператором продолжает оставаться именно оператор нацплатформы. На него и ляжет в случае чего вся тяжесть ответственности за инцидент 🚰

Кстати, по закону и многократным разъяснениям РКН политика обработки ПДн должна быть опубликована на сайте компании, чего мы не наблюдаем. Можно, конечно, сказать, что на этот кейс распространяется политика ВК, но, увы, соглашение об обработке ПДн самого ВК ни разу не упоминает ООО "Коммуникационная платформа" 🫢 Но вдруг что-то сказано в соглашении об обработке ПДн всей экосистемы ВК. Тоже пустота. Я вам скажу больше - если отбросить в сторону местами странные юридические обороты (я все-таки не юрист), историю с конклюдентным согласием (кого-то другого РКН за такой фокус выдрал бы) и отказ упоминания конкретных юрлиц, которым передаются ПДн пользователей, то мы увидим, что мессенджер Мах вообще не входит в экосистему ВК и общее соглашение для сервисов экосистемы на нацплатформу не распространяется 🫢

Как пишет Ника, продвижение нацмессенджера - это задача со звездочкой ⭐️ Соглашусь с ней в этом вопросе. Слишком уж быстро раскручивается вся ситуация, как будто кто-то дал указание срочно заместить Telegram и Whatsapp и все взяли под козырек, но делают все настолько топорно, что диву даешься 🤠 Ну как можно было не подумать об очевидных вещах, которые пробиваются на раз-два и доступны любому желающему - реестр РКН, информация о компании (и да, это не фейк, - все данные проверяются и перепроверяются по нескольким источникам), наличие лицензий ФСТЭК и ФСБ (их нет), согласие на обработку ПДн...

Окончание следует...

#суверенитет #мессенджер #персональныеданные

Читать полностью…

Лучшие практики безопасной разработки в вайб кодинге 👍

😆 Айти мемы | поддержать

Читать полностью…

Давайте представим себе ситуацию 🤔 Некие люди звонят человеку и представившись именами известных политиков или чиновников и подражая их голосам, заставили "жертву" совершить действия (словом или делом), подпадающие под действия уголовного кодекса. Представили? 🤔

Первая ваша ассоциация, скорее всего, будет связана с мошенниками, звонящими ничего не подозревающим гражданам и заставляющими их поджигать военкоматы, бросать бутылки с зажигательной смесью в отделения банков и т.п. 📞 В данном случае действия мошенников очевидно являются преступлением, как и действия жертвы, под каким бы давлением она не действовала 😡

Теперь представим, что жертву заставили перевести деньги на "безопасный счет", а оттуда они пошли на финансирование ВСУ. Звонящие 📞, опять же, однозначно, мошенники. А что с жертвой? Совершила ли она преступление? Уже не так однозначно, хотя факт перевода денег зафиксирован документально 🤑

Третий пример. Некто звонят 📞 человеку и фальшивыми голосами разводят его на критические высказывания в адрес действующей власти, что также попадает под действие Уголовного Кодекса. Какова тут будет ваша оценка? Подумайте прежде чем ответить 🤔

А если теперь я скажу, что речь идет о звонке мошенников пранкеров Вована и Лексуса писателю написавшему серию романов про Эраста Фандорина, после которого автора внесли в список террористов и экстремистов 😈 Поменялась ли теперь ваша оценка?

Причем тут кибербезопасность, спросите вы. А все просто. Неким людям попал в руки якобы номер некоего Бориса Акунина. Они записали 🎤 голос говорящего с ними человека, который был признан лицом, скрывающимся под всем известным псевдонимом (не знаю, проводилась ли экспертиза и кто подписался под тем, что по телефону можно однозначно идентифицировать гражданина). На основании данной записи (ее, вроде, как никто и не выкладывал в паблик) Следственный Комитет возбудил дело и человека внесли в список террористов 🫡

И как можно квалифицировать действия пранкеров Вована и Лексуса 🎭, которые каким-то образом нашли персональные данные писателя (связка номер телефона с ФИО и родом деятельности человека), обработали их (предположу, что без согласия), записали биометрические персональные данные (если на основе голоса идентифицировали гражданина) 🎭 и передали в органы правопорядка?

Внимание вопрос - нарушили ли пранкеры закон "О персональных данных"? 🤬

#персональныеданные #ответственность

Читать полностью…

💃 У каждой аудитории своя ИБ… Свои проблемы, свои аналогии, своя терминология 🙌 Но это все равно ИБ!

Читать полностью…

Когда только открыли платную трассу М-11 «Нева», я решил съездить в Питер 🚘 Привыкнув к тому, что на Ленинградском шоссе полно заправок, я думал, что и на платнике та же история, но увы… Ощущения, когда у тебя датчик километража, на который хватит оставшегося топлива, показывает даже не 20 км, а две черточки, а за спиной у тебя двое детей и жена рядом, такое себе… Повезло, успел доехать до заправки перед самым Питером. Но что делать, если бы я встал посередине трассы?.. Я бы проверять это на себе не хотел. Что будет, когда у нас все авто станут электрическими? ⛽️

Про рост числа атак на зарядные станции автомобилей я уже писал в мае. В пятницу я вновь вернулся к этой теме. Но началось все в феврале 2022-го года, когда на трассе М-11 были атакованы зарядные станции, установленные вдоль платной трассы 🚗 Они были приобретены еще в 2020 году у российского поставщика, но позднее оказалось, что основные компоненты, включая и контроллер, были произведены украинским предприятием, а российский поставщик просто произвел отверточную сборку 🔋

Производитель оставил в контролере "закладку", которая давала ему возможность скрытого доступа через Интернет 🔓 3 года назад этот вопрос публично никто не задавал, но нафига у работающей зарядки был доступ в Интернет? Или это была неотъемлемая часть всего процесса? Но факт есть факт, отключение заправок на целой трассе - это прям недопустимое событие для владельцев электротранспорта. А вы говорите... 🤔

#недопустимое #инцидент #supplychain

Читать полностью…

SC World рассказывает, что согласно последним прогнозам киберпреступность может стать третьей крупнейшей экономикой мира, если измерить ее ущерб и обороты 📊 И если она была бы страной – она уступала бы по масштабу только США и Китаю. По оценке Cybersecurity Ventures, общий ущерб от киберпреступности к 2025 году достигнет 10,5 триллионов долларов в год (для сравнения – в 2015 году эта цифра была "всего" 3 триллиона) ↗️ Для сравнения – мировой ВВП составляет около 110 триллионов; так что доля "черной" ИТ-экономики составляет около 10% (почти как затраты ИБ от ИТ). Еще в копилку - по данным Mastercard в 2029 году ущерб достигнет уже 15,6 триллионов 💵

В эти 10 триллионов входят не только заработки мошенников 💸, но и другие статьи:
6️⃣ Прямые выплаты выкупов.
2️⃣ Затраты бизнеса на ликвидацию последствий – расследование, восстановление данных, юристы, штрафы.
3️⃣ Простой бизнеса – потерянная выручка из-за простаивающих сервисов.
4️⃣ Репутационные потери, утрата клиентов.
5️⃣ Страховые выплаты и рост страховых премий.
6️⃣ Судебные и регуляторные издержки.
7️⃣ Сюда включают даже оценку косвенного ущерба для экономики – например, если крупная атака затронула цепочку поставок 💰

Основные же статьи "дохода" киберпреступников включают:
6️⃣ Шифровальщики — выкупы за вымогательство и продажу утечек данных.
2️⃣ Компрометации бизнес-почты (BEC).
3️⃣ Мошенничество через фишинг 🎣
4️⃣ Кража и продажа данных.
5️⃣ Темные рынки, где продают все – от доступа к сетям до фейковых документов 🪪

Эксперты называют следующие ключевые причины роста рынка киберпреступности: 📈
6️⃣ Массовая цифровизация и все большее выкладывание данных онлайн.
2️⃣ Легкий доступ к инструментам взлома – скрипты, боты, фишинговые наборы.
3️⃣ Преступные группировки становятся все более организованными и сотрудничающими между собой 🤝
4️⃣ Появляется "теневой рынок" фрилансеров, которые зарабатывают на киберпреступлениях на заказ.
5️⃣ ИИ и автоматизация дают новые способы масштабировать атаки 🤖

Киберпреступность — это уже не "интернет-мелочь по карманам тырить" и не про хулиганов в подвале. Это банды, операторы и даже "теневые стартапы" с миллиардными оборотами 👨‍💻 И по прогнозам, если ничего не менять, этот "черный рынок" по масштабу уступать будет разве что экономикам целых стран. Похоже, мир только входит в эру, когда кибербезопасность перестает быть только ИБ и даже ИТ-проблемой – и становится экономическим и политическим фактором 😲

#киберпреступность #экономика #ущерб #статистика

Читать полностью…

Два кардинально противоположных мнения 🗡 о том, сообщать ли зарубежным вендорам о найденным в их продуктах уязвимостях. Одну позицию высказал Александр - сдавать, мол, надо в ФСТЭК или ФСБ, а те сами решат, обрадовать вендора супостатного или приберечь для спецоперации в киберпространстве 🗂 По сути Александр предлагает ничего не отдавать, так как наши регуляторы (один из них так уж точно) вряд ли будут делиться с врагом.

Вторая позиция у Олега - передавать надо, так как это повышает безопасность россиян и российских организаций, продолжающих использовать зарубежное ПО в личных и служебных целях 👨‍💻

Мне позиция Олега намного ближе, так как у меня нет отечественного ПО ни на одном из 40+ гаджетов 🏡 - смартфоны, ноутбуки, принтеры, телевизоры, пианино дочери… Все это использует зарубежное ПО, которое не будет обновляться, если не отправлять найденные россиянами уязвимости. А это значит, что все это можно будет легко хакнуть 🔓

Вот когда мы импортозаместим все ИТ, когда все добровольно 🤬 начнут пользоваться отечественным, потому что оно лучше, а не потому что так сказали те, кто продолжает ездить на зарубежных служебных авто, вот тогда и можно будет подумать о запрете обмена данными об уязвимостях 🤔

#суверенитет #уязвимость #оценказащищенности

Читать полностью…

Чтобы на сегодня тему с гостайной закрыть. Госдума в первом чтении приняла законопроект, который расширил основания для лишения приобретенного гражданства РФ 🇷🇺 К имевшимся ранее основаниям (шпионаж, государственная измена, разглашение государственной тайны) добавились, среди прочего, и новые:
1️⃣ Оказание помощи противнику в деятельности, заведомо направленной против безопасности России 🇺🇸
2️⃣ Сотрудничество на конфиденциальной основе с иностранным государством, международной либо иностранной организацией против безопасности нашей страны
3️⃣ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации 🔓

Хорошо, что пока лишают только приобретенного, а не по факту рождения, гражданства. Ну и не расстреливают пока за атаки на КИИ, что тоже положительно! 🔫 Но лишать гражданства за кибератаку... Надо осмыслить.

#ответственность #кии

Читать полностью…

- Вы все еще не обновили Fortinet? Тогда мы идем к вам! (с) Безымянные хакеры

#уязвимость

Читать полностью…

📸 Вы давно мечтали это услышать: мы выложили фото с PHDays

Несколько сотен снимков всех трех дней киберфестиваля можно найти на сайте в разделе «Как это было».

Ищите себя и друзей, выкладывайте в соцсети и не забывайте отмечать наш канал — @PHDays или ставить хэштег #PHDays.

Вам не сложно, а нам приятно ❤️

Читать полностью…

Хорошо, что в свое время Роскомнадзор, алчущий порегулировать еще и тему технической защиты ПДн у негосударственных операторов ПДн получил по рукам от ФСТЭК и ФСБ. А то он бы еще и в этой сфере нарегулировал бы так, что "мама, не горюй".

Если посмотреть ответ РКН про хэш-функцию, то можно заметить, что регулятор не умеет читать. В упомянутом ГОСТе 34.11-2012 нигде не сказано, что хеш-функция - это средство криптографической защиты информации. Там сказано, что это "функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам...". В этом стандарте слово "средство" вообще не встречается ни разу! Средством криптографической защиты является средство имитозащиты, упомянутое в ПП-313 от 2012 года.

И да, хэшированные данные перестают быть персональными. Ну а чтобы вам жизнь медом не казалась знайте - РКН 7-го июля на вопрос гражданина ответил, что логин и никнейм - это персональные данные. Правда, в сентябре прошлого года тот же РКН отвечал, что TelegramID (а это логин по сути) не является персональными данными. У РКН закон что дышло... Тем и живут 🤦‍♂️

#регулирование #персональныеданные

Читать полностью…

Сегодня на стратсессии меня спросили, как мы можем обеспечить цифровой суверенитет без собственной микроэлектроники📝, ведь надежды на то, что голландская ASML будет с нами сотрудничать, нет. Я ответил, что вижу два варианта - «шарашкины конторы» или шпионаж и кража технологий 🕵️‍♀️ Причем во вторую версию я верю больше. И вот доказательство - россиянина обвиняют в краже технологий у ASML 💰

#суверенитет #утечка

Читать полностью…

Немного отъем хлеба у Руслана, уйдя в своих прогнозах аж в 2050 год 🔮 Пригласили на стратегическую сессию одной очень крупной компании и я на ней попробовал поразмышлять над тем, как изменится кибербез на горизонте 25 лет и какие триггеры таких изменений мы видим уже сейчас 🤔

Кто-то будет на пенсии, а кто-то будет в самом расцвете сил и будет заниматься ИБ в совершенно иных условиях, чем мы видим сейчас. Кстати, сейчас у нас прям почти идеальные условия для кибербеза - в будущем мир будет более жестоким 🗡 Об этом и говорил, пробрасывая мостики из дней сегодняшних в будущее и обратно.

#тенденции

Читать полностью…

Усилиями государства в области защиты прав субъектов персональных данных нас загоняют в сценарий, прекрасно продемонстрированный в этом несмешном ролике... 😫

#видео #персональныеданные

Читать полностью…

Можно ли без копейки в бюджете ИБ начать автоматизировать простые и рутинные задачи, встречающиеся в повседневной деятельности? 🛡 Да, если вы умеете программировать. А если не умеете? Тоже да. Первый пример уже в блоге.

#ии #автоматизация #аутентификация

Читать полностью…