1684
События, о которых стоит подумать. Обзор актуальных новостей информационной безопасности.
Обнаружена новая техника, которая позволяет недобросовестным веб-сайтам добывать валюту, используя процессоры пользователей, даже после того, как пользователь закрыл окно такого сайта. Один из исследователей недавно задокументировал 2500 сайтов, активно работающих с криптоватизационным кодом в браузерах.
Источник: https://www.anti-malware.ru/news/2017-11-30-1447/24962
Ежегодные убытки российской экономики от киберпреступности Сбербанк оценил в 600-650
млрд рублей, сообщил зампред правления кредитной организации Станислав Кузнецов. Взгляд, 28.11.17: https://vz.ru/news/2017/11/28/897266.html
Более половины граждан России, или 58%, уверены, что лучше всего их персональные данные
защищены в банках, а также в государственных сервисах — 53%, свидетельствуют данные
опроса аналитического центра НАФИ за 2017 год. RNS, 27.11.17: https://rns.online/internet/Opros-bolee-20-rossiyan-ne-veryat-v-sohrannost-personalnih-dannih-v-internet-magazinah-2017-11-27/
Совет безопасности поручил ФСБ ввести идентификацию пользователей онлайн-игр и социальных сетей с помощью сотовых телефонов. Власти не раз утверждали, что в игровых чатах общаются террористы.
Подробнее на РБК:
https://www.rbc.ru/technology_and_media/27/11/2017/5a1812759a7947098fd6b0b2
Android-устройства фиксируют адреса ближайших сотовых вышек по идентификаторам Cell ID
и отправляет их в компанию Google. Данные собираются и передаются даже тогда, когда на устройстве отключены геолокационные сервисы и не вставлена SIM-карта. Google начала
прибегать к этой практике 11 месяцев назад. Cnews, 22.11.17: http://safe.cnews.ru/news/top/2017-11-22_google_vedet_slezhku_za_polzovatelyami_dazhe_kogda
Евросоюз принял решение о создании сертификационной системы мирового уровня для
программных продуктов, в первую очередь, связанных с обеспечением кибернетической
безопасности. ТАСС, 20.11.17: http://tass.ru/ekonomika/4743487
Нет в году более богатого на события дня, чем 16 ноября. Семинар Gartner по ИБ, ZeroNight, конференции РБК по ПДн и АИС про экономическую безопасность... А вы ходите на отраслевые мероприятия?
бываю, но редко – 3
👍👍👍👍👍👍👍 75%
не трачу на это время – 1
👍👍 25%
часто посещаю
▫️ 0%
👥 4 people voted so far.
Коллеги, очень важно - проконтролируйте установку свеженьких обновлений Windows в своих компаниях.
Сегодня корпорация Microsoft исправила очень серьезную брешь в Microsoft Office, которая может быть использована для запуска вредоносного кода без взаимодействия с пользователем на всех версиях Windows, выпущенных за последние 17 лет. https://www.anti-malware.ru/news/2017-11-15-1447/24773?utm_source=dlvr.it&utm_medium=facebook
Эксперты в области информационной безопасности отметили появление нового банковского трояна, получившего имя IcedID. Вредонос может похищать финансовые данные пользователя с помощью атак, основанных на редиректах – IcedID устанавливает локальный прокси для перенаправления пользователей на фишинговые сайты.
Источник: https://www.anti-malware.ru/news/2017-11-13-1447/24747
Страсти по фейсбуку продолжаются. Роскомнадзор анонсировал проверку Facebook. В 2018 году социальная сеть должна выполнить закон Российской Федерации о локализации персональных данных, иначе будет заблокирована. НСН, 09.11.17: http://nsn.fm/hots/marinichev-facebook-pridetsya-ochen-postaratsya-chtoby-ostatsya-v-rossii.html
Читать полностью…
Российский бизнес в целом по-прежнему не способен успешно противостоять кибератакам,
выяснила PwC. У 40% компаний нет стратегии информационной безопасности, а 56% компаний
вовсе не реагируют на подобные инциденты. Хуже всего дела c кибербезопасностью обстоят на
предприятиях с небольшим количеством сотрудников, чьи руководители зачастую закрывают
глаза на возможные проблемы. Коммерсант, 09.11.17: https://www.kommersant.ru/doc/3461367
Алексей Лукацкий сформулировал признаки двух типов SOC - ориентированных на выполнение требований законодательства и на реальный мониторинг происходящего на предприятии в контексте кибербезопасности. https://lukatsky.blogspot.ru/2017/11/soc-compliance-socforum.html
Читать полностью…
Кибератака должна быть признана реальным актом агрессии — к такому выводу пришли
парламентарии Евросоюза, предложив закрепить этот факт на законодательном уровне. Если
закон будет принят, то пострадавшее государство получит право в ответ на хакерский взлом
применить реальное оружие. Газета.ру, 01.11.17: https://www.gazeta.ru/tech/2017/11/01/10966304/declaration_of_war.shtml
В лондонском аэропорту Хитроу начали расследование утечки данных: на одной из улиц
города нашли флешку с большим объемом секретной информации о работе аэропорта. Там, к
примеру, была карта с подробным расположением камер наблюдения и информация о мерах
безопасности во время визита королевы. Коммерсант-FM, 30.10.17: https://www.kommersant.ru/doc/3454412
Вирус-шифровальщик Bad Rabbit только за два дня заработал на вымогательстве у
пользователей более 10 тысяч долларов США. Больше всего пострадали компьютеры в России
и Украине, также были зафиксированы случаи взломов в Турции и Германии. Вирус работает не
по принципу уязвимости компьютерной системы, он ловит пользователей на доверчивости. Новая газета, 27.10.17: https://www.novayagazeta.ru/articles/2017/10/27/74351-lovtsy-na-doverii
в феврале 2017 года начинающий хакер вошел на официальный сайт саратовского телекомоператора, и, используя созданную им программу, скопировал базу "Единых личных кабинетов", в которой содержались данные о 7325 абонентах телекоммуникационной компании. Затем, молодой человек разместил в социальной сети объявление, продал нескольким
клиентам скачанные учётные записи, за которые покупатели платили ему от 15 до 18 тысяч рублей.
Теперь юношу ожидает суд,Nag.ru, 29.11.17: https://nag.ru/news/newsline/100214/skopirovat-i-prodat-bazu-dannyih-operatora-okazalos-prosche-prostogo.html
По подсчетам страховщиков, потери от мошенников составляют 80-90 млрд руб. в год. Чаще всего злоумышленники "зарабатывают" на каско и ОСАГО: на эти виды приходится до 90% всех случаев страхового мошенничества. Способом борьбы с мошенниками может стать информационная база по различным видам страхования — создать ее предлагают Минфин и ЦБ. https://www.kommersant.ru/doc/3473718
Читать полностью…
Администрация одного из самых популярных сайтов для загрузки фотографий Imgur признала
факт масштабной утечки данных пользователей.
По данным сайта, крупный взлом произошел в 2014 году. Тогда злоумышленникам удалось
украсть информацию 1,7 миллиона пользователей, в том числе логины и пароли для доступа к
аккаунту на Imgur. Lenta.ru, 28.11.17: https://lenta.ru/news/2017/11/28/imgur_zhivi/
Регуляторы сразу нескольких стран обратили внимание на новый скандал вокруг Uber. В среду
стало известно, что компания заплатила $100 тыс. хакерам, которые в конце прошлого года
взломали компьютерную систему сервиса и похитили личные данные 57 млн ее пользователей и
водителей. Тогда Uber не проинформировал об инциденте. Коммерсант, 23.11.17: https://www.kommersant.ru/doc/3475460
Intel провела аудит прошивки ME и обнаружила в ней 10 уязвимостей. Поскольку баги находятся на уровне прошивки, хакер
может запустить через них вредоносный код или совершать другие действия на устройстве незаметно для ОС, администратора и других пользователей. http://safe.cnews.ru/news/top/2017-11-21_uyazvimosti_v_proshivkah_intel_pozvolyayut_ispolnyat
Обнаружен новый эксплоит для Android, заставляющий пользователей без их ведома записывать видео с экранов своих устройств. Уязвимыми являются версии Android от 5.0 Lollipop до Android 7.1 Nougat.
Подробнее: https://www.securitylab.ru/news/489763.php
ЦБ предложит публичным компаниям ввести в советы директоров компетенции
кибербезопасности. Цель — разработка политик по управлению киберрисками и контроль за их
исполнением менеджментом. Такая новация в ближайшее время будет внесена в кодекс
корпоративного управления, рекомендованный ЦБ для исполнения ПАО. Коммерсант, 16.11.17: https://www.kommersant.ru/doc/3468158
Смартфоны уже в следующем году могут заменить паспорт. Госдума в весеннюю сессию
инициирует разработку законопроекта, по которому SIM-карта станет полноценным
идентификатором личности гражданина. Об этом «Известиям» рассказал председатель комитета
Госдумы по финансовому рынку Анатолий Аксаков. Известия, 15.11.17: https://iz.ru/670346/anastasiia-alekseevskikh/sim-karta-zamenit-pasport
Вьетнамские исследователи обманули систему биометрической идентификации Face ID с помощью маски.
Подробнее: http://www.securitylab.ru/news/489643.php
Требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, работающих в России – А. Жаров
https://rkn.gov.ru/news/rsoc/news51780.htm
Российские национальные стандарты в таких областях, как информационная безопасность,
"большие данные" (big data), "интернет вещей", "умное производство", "умные города" и
"искусственный интеллект", могут быть утверждены в 2020 году. ТАСС, 07.11.17: http://tass.ru/ekonomika/4709268
«Ростелеком» рассчитывает запустить «Национальную биометрическую платформу» для
идентификации пользователей по голосу и лицу в конце 2018 года. Об этом говорится в
финансовом отчете компании. RNS, 02.11.17: https://rns.online/it-and-media/Rostelekom-mozhet-zapustit-Natsionalnuyu-biometricheskuyu-platformu-v-kontse-2018-goda-2017-11-02/
Роспотребнадзор по поручению президента разработал проект федерального закона о расширении перечня административных правонарушений, связанных с нарушением прав потребителей. За принуждение людей к тому, чтобы при совершении различных сделок они сообщали свои персональные данные, будут наказывать рублем. Должностных лиц предлагается штрафовать на 1-3 тысячи рублей, а бизнес может лишиться 10-20 тысяч рублей. Российская газета, 01.11.17: https://rg.ru/2017/10/31/prodavcam-zapretiat-vymanivat-personalnye-dannye-pokupatelej.html
Читать полностью…
По данным Cisco 2017 Annual Cybersecurity Report, многие организации слишком медленно реагируют на проблемы кибербезопасности. 90 % специалистов в области безопасности инвестируют средства в киберзащиту только после компрометации данных.
Источник: https://www.anti-malware.ru/news/2017-10-30-1447/24579
В крупнейших банках уже начали готовиться к сбору биометрических параметров россиян. Ряд
кредитных организаций запустил пилотные проекты по сбору изображений лица и голосовых
слепков. Об этом «Известиям» рассказали в ВТБ, Бинбанке, банках «Ак Барс», «Восточный» и
«Открытие», а также в Уральском банке реконструкции и развития, входящих в топ-30 по активам. Известия, 26.10.17: https://iz.ru/662530/anastasiia-alekseevskikh/banki-pristupili-k-sborubiometricheskikh-
dannykh-klientov