Новости информационной безопасности за ноябрь 2023
Рекордные хищения криптовалюты, хакерская «черная пятница» и впечатляющее обновление российского законодательства в сфере ИБ – ноябрь 2023 года запомнился рядом ярких событий и инцидентов.
Новое в законодательстве
В ноябре в зоне особого внимания оказались безопасная разработка ПО для КИИ, усиление ответственности за незаконный сбор биометрии, а также расширение полномочий ФСТЭК. Законодатели не обошли вниманием и тех, кто отвечает за сертификацию СЗИ и процессов безопасной разработки – испытательные лаборатории и компетентные органы обяжут проходить аккредитацию, а их сотрудники будут сдавать квалификационные тесты.
ФСТЭК сосредоточилась на безопасной разработке
Федеральная служба разместила проект нового приказа, регламентирующего порядок безопасной разработки, в том числе путем сертификации.
Цель процедуры сертификации – подтвердить, что процесс безопасной разработки ПО соответствует требованиям ГОСТ Р 56939-2016.
В частности, Приказ будет определять:
перечень данных, которые изготовитель должен будет указать в заявке на проведение сертификации;
перечень документов, прилагаемых к заявке;
порядок и сроки рассмотрения заявок ФСТЭК;
порядок проведения самой процедуры;
порядок оформления решений о сертификации и подготовки протоколов по итогам ее проведения.
В приложениях к Приказу можно найти образцы документов, необходимых для проведения сертификации. Вступает в силу 01.06.2024 г.
Аттестация и аккредитация – официально опубликованы Приказы ФСТЭК
В ноябре были официально опубликованы приказы ФСТЭК, касающиеся порядка аккредитации органов по сертификации и испытательных лабораторий, а также аттестацииих сотрудников.
Квалификационный тест из 100 вопросов во ФСТЭК будут сдавать специалисты, занятые сертификацией СЗИ от несанкционированного доступа и от утечки по техническим каналам. Также получить сертификат придется тем, кто выполняет сертификацию средств, предназначенных для противодействия зарубежным разведкам или сертифицирует процессы безопасной разработки ПО СЗИ.
Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы
Документ устанавливает правила, которые будут действовать в течение шестилетнего переходного периода.
Программно-аппаратный комплекс (ПАК) представляет собой «набор» из программ и технических средств, совместно выполняющих какую-либо задачу. При этом в случае их «разделения» ПО и технических средств эта задача выполняться не будет.
К примерам ПАК можно отнести:
машины виртуализации;
системы видеонаблюдения;
системы контроля доступа;
медицинское диагностическое оборудование;
комплексы для формирования электронных очередей и многое другое.
Под доверенными ПАК понимают комплексы, соответствующие следующим характеристикам:
есть документ от ФСБ или ФСТЭК (для комплексов, имеющих функцию защиты информации;
программное обеспечение в составе комплекса отвечает требованиям Федерального закона № 44-ФЗ и Федерального Закона № 223-ФЗ, в том числе соответствует характеристикам, относящимся к ПО, которое используется в госорганах и на других объектах КИИ;
Согласно Постановления уже с 1 сентября 2024 года на значимых объектах КИИ будет разрешено использовать только доверенные ПО и технические средства. Однако из этого правила есть ряд исключений. Они будут распространятся на комплексы:
не имеющие доверенных аналогов в России (доказать этот факт можно при наличии соответствующего заключения от Минпромторга);
комплекс был приобретен до 1 сентября 2024 года.
Важно учесть, чтоб субъекты КИИ обязаны полностью перейти на доверенные комплексы к 01.01.2030 г.
Госдума рекомендует увеличить штрафы за незаконную обработку биометрии
В первой половине текущего года Комитет по госстроительству и законодательству представил к рассмотрению проект закона о внесении изменений в Административный кодекс. Предполагалось, что закон установить штрафы за нарушение Федерального Закона № 572-ФЗ. Предложенный диапазон штрафов варьировался от 6 тысяч рублей для физических лиц до 700 тысяч для юридических. В рамках рассмотрения законопроекта поступил ряд поправок касательно увеличения предельной суммы штрафов. Текущая редакция устанавливает следующие максимальные суммы:
для граждан – до 30 тысяч рублей;
для должностного лица – до 300 тысяч рублей;
для юр.лиц – до 1,5 миллионов рублей.
Также предложено установить ответственность за нарушение требований к размещению информации в ЕИС и обновлению биометрии со стороны МФЦ, финансовых и иных организаций. Предлагаемый уровень штрафов варьируется от 100 тысяч до миллиона рублей.
В настоящее время прием поправок завершен, дата окончания работы над ними пока неизвестна.
Минцифры – о защите информации в системах, подключенных к Интернету
1 ноября был опубликован приказ Минцифры № 936 устанавливает ряд требований, призванных защитить данные в ИС, постоянно подключенных к Интернету. В первую очередь этот документ коснется деятельности провайдеров.
В частности, провайдеров обязывают непрерывно взаимодействовать с ГосСОПКА, информировать НКЦКИ о компьютерных атаках и инцидентах, реализовывать меры по выявлению и устранению причин и последствий таких атак.
Полномочия ФСТЭК станут шире
Указом Президента РФ штатное расписание ФСТЭК расширено, а сама служба наделена рядом дополнительных функций и полномочий. Чем еще будет заниматься ФСТЭК:
мониторить состояние и оценивать эффективность деятельности по обеспечению безопасности значимых объектов КИИ и деятельности по тех.защите информации;
разрабатывать процесс тех.защиты информации и обеспечения безопасности значимых объектов КИИ (при этом специалисты ФСТЭК обязаны учесть отраслевые особенности объектов);
вести учет объектов КИИ и информационных систем;
создавать информационные системы, предназначенные для обеспечения безопасности ЗО КИИ и управления технической защитой информации.
Вышла в свет обновленная версия CVSS 4.0
Предыдущая крупная версия фреймворка CVSS 4.0 была представлена в уже далеком 2015 году, так что масштабного обновления пришлось ждать около 8 лет. Чем порадовали разработчики:
устранение ряда неоднозначностей в оценках;
улучшение детализация базовых метрик;
упрощение метрик угроз;
представлены 5 новых метрик, позволяющих более полно оценивать уязвимости;
подготовлена новая номенклатура под классификацию метрик.
В целом стандарт был пересмотрен с учетом современных реалий, деталей стало больше, а оценка – более сложной и точной.
Самые громкие ИБ - инциденты ноября
Антирекорд 2023 года по потерям из-за криптоэксплойтов
Компания CertiK, специализирующаяся на безопасности блокчейнов, заявила о рекордных убытках криптоактивов, связанных с действиями хакеров. Так, по данным CertiK, за ноябрь киберпреступники похитили активов на сумму свыше 360 миллионов долларов США, что в 11 раз больше, чем в октябре. Основными способами хищения стали:
эксплойты - около 316 миллионов долларов;
флеш-кредиты - около 45 миллионов долларов.
Крупнейшие эксплойты сосредоточились на биржах HTX/Heco Brudge и Poloniex – их суммарные убытки за ноябрь превысили 244 миллиона долларов. Еще одну популярную биржу — KyberSwap – атаковали, использовав уязвимости срочного кредита. Этот инцидент занял «почетное» третье место среди самых крупных успехов киберпреступников – злоумышленникам удалось похитить около 45 миллионов долларов. Наиболее успешная (с точки зрения преступников) фишинговая атака принесла мошенникам около 27 миллионов долларов.
С учетом ноябрьских потерь, общая сумма ущерба, связанного с действиями киберпреступников в сфере криптовалют, в 2023 году достигла 1,7 миллиардов долларов США.
Скандал, суд, санкции и Binance
Одна из крупнейших криптовалютных бирж мира Binance по итогам судебного разбирательства будет вынуждена выплатить штраф более 4 миллиардов долларов США, ее а основатель Чанпэн Чжао лишился поста гендиректора и отделался более «скромным» штрафом («всего» 50 миллионов американских долларов).
В чем причина? Минюст США обвинил Binance в том, что биржа не принимает мер по борьбе с отмыванием денег и недостаточно эффективно контролирует финансовый оборот с подсанкционными государствами. В частности, в иске заявлено, что около миллиарда долларов было переведено гражданам Ирана. Также упоминалась Сирия, и, конечно же, Россия.
Злоумышленники не обошли вниманием и онлайн-аптеки. На их долю пришлось 14% общего числа инцидентов. В большинстве случаев целью преступников является вымогательство — они требуют у атакованных онлайн-магазинов «выкуп» за прекращение атак.
Интересные ИБ-инициативы в России
Усиливать информационную безопасность можно по-разному. В ноябре появилось несколько инициатив, направленных на заботу о защите информации. Некоторые из них представляются довольно противоречивыми:
Появилось предложение дополнить функции Госуслуг еще двумя:
дать возможность пользователю пожаловаться на спам-звонки. Как будет оформляться жалоба приблизительно понятно, однако кто и какие действия будет предпринимать в дальнейшем – пока неясно. Теоретически ФАС и Роскомнадзор должны будут проверить абонента-спамера на соблюдение законодательства о рекламе. Каким способом эти службы смогут это сделать, не располагая базой номеров на данный момент не разъяснено.
отображать номера мобильных телефонов, зарегистрированные на пользователя. Основная цель – борьба с телефонными мошенниками. Пользователь, увидев неизвестный номер в числе принадлежащих ему, сможет заблокировать его сразу через Госуслуги. Удобный вариант, однако по сути предполагает, что абонент будет брать на себя часть обязанностей мобильных операторов, установленных законом «О связи».
2. Минюст выступил с инициативой, согласно которой планируется предоставить доступ к геолокации мобильных телефонов должников ФССП. Предполагается, что этот шаг упростит создание единого долгового досье, а также поможет быстрее находить должников и идентифицировать их имущество.
Ноябрь 2023 года в очередной раз продемонстрировал рост активности хакерских группировок. Законодательные инициативы должны помочь повысить защищенность информации и снизить риски от кибергугроз.
Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.