Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 4

Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 4
Правозащитники рассказали о нарушении прав граждан во время пандемии COVID-19

c8c87f477a9e644b530994c0647402c6.jpg


Представители международной правозащитной группы сообщили о нарушении прав граждан на частную жизнь, медицинскую тайну и свободу передвижения во время пандемии коронавирусной инфекции. Правозащитники утверждают, что представители российских властей могли злоупотреблять своими полномочиями в ходе слежки за гражданами. Например, московское приложение «Социальный мониторинг» собирало персональные данные граждан и получало доступ к GPS смартфона, камере, звонкам и просмотру других программ. Также отмечается, что в 18 регионах произошли утечки данных граждан или их диагнозов.

Эту новость можно охарактеризовать следующей цитатой: "Если что-то делаешь – делай это хорошо или вообще не берись". Если службы, которые собирают данные, не могут их сохранить, то, наверное, стоит пересмотреть методы защиты, а не пытаться продолжать собирать данные, используя устаревший метод "и так сойдет". Это не единственный прецедент, когда персональные данные пользователей утекали в сеть. Последствиями таких утечек становятся кража денежных средств и оформление кредитов в микрозаймах на людей, данные которых стали известны общественности. Я очень сомневаюсь, что данные утечки послужат поводом задуматься о построении качественной системы защиты информационных систем сбора данных о пользователях. Пока люди будут продолжать спускать на тормозах подобные ситуации и не привлекать к ответственности службы, ответственные за сбор и хранение персональных данных, люди будут продолжать становиться жертвами мошенников.

0acda7d7b0c26e1267af3f4cb858a9f3.png

Google запретит приложения для слежки за партнерами

70163c98dcdeb963f2061c7cb2f614ad.jpg

Google запретит распространение рекламы приложений и устройств, которые позволяют отслеживать активность телефона или перемещения другого человека. Речь идет о приложениях, которые можно использовать для мониторинга текстовых сообщений, телефонных звонков или истории просмотра в браузере; GPS-трекеров, которые отслеживают местоположение без согласия пользователя, камер, звукозаписывающих устройств, видеорегистраторов, "видеонянь".

Уже хорошо, что компания Google задумалась над реализацией данной меры защиты для конечных пользователей. Теперь информации о нас будет собираться "немножко" меньше :)

Цифровой след существует абсолютно у каждого человека в современном мире Интернета - у кого-то он ярче, у кого-то слабее. Но всё в наших руках, друзья! Хотя бы внимательно смотрите разрешения, которые просит приложение во время установки на ваше устройство - Google старается, но и вы должны быть более внимательны. Ведь в большинстве случаев мы сами "раскрываем все карты" и распространяем о себе много личной информации, которая может в дальнейшем нанести определенный вред.

Наиболее "вкусным блюдом" для злоумышленника на вашем устройстве является не диаграмма вашего сердцебиения или же рекорды утренней пробежки, а корпоративные данные, которые вы можете хранить у себя на устройстве при выполнении своих трудовых обязанностей. Их кража с помощью одного из таких приложений или же сбор информации для последующей атаки на организацию – вот, от чего необходимо защищаться в первую очередь.

Одно из самых адекватных решений - внедрение MDM и функций централизованного распространения/управления корпоративными приложениями в изолированном контейнере на личном устройстве пользователя. Решений данного класса представлено на рынке много. И поверьте мне, в перспективе такие меры защиты смогут минимизировать репутационные и экономические риски любой организации.

Мораль всей басни - пользуйтесь только нужными приложениями и будьте внимательнее при их установке на своё устройство.

8aa70d937b189611034fb68bd7453d64.png

Эксперты отметили рост числа деструктивных USB-атак на АСУ ТП

a002654492323c4900b8c1eb25373ae8.jpg

Команда Honeywell опубликовала отчёт " 2020 USB Threat Report ", составленный благодаря собранным за последние 12 месяцев данным с объектов АСУ ТП. Наблюдается скачок атак деструктивных вредоносных программ, доставляемых посредством USB-накопителей.

Зачастую при построении систем защиты АСУ ТП ограничиваются только разграничением сегментов технологических сетей, в том числе доходя до полной изоляции от сетей общего пользования. Однако при этом остаётся целый пласт угроз, связанных с физическим доступом на объекты, в том числе и атаки с использованием USB-носителей. Именно этот факт могут использовать злоумышленники при планировании целенаправленных атак на АСУ ТП. Исследования, подобные исследованию компании Honeywell, лишь подчёркивают недооценённость угроз, связанных с USB-носителями.

Из полученных данных специалисты Honeywell делают вывод, что съёмные USB-носители являются не только реальной, но и нарастающей угрозой для систем АСУ ТП. Тем не менее, отдельные исследования безопасности USB всё ещё не распространены, и у многих организаций отсутствует чёткое понимание того, как выстраивать и улучшать защиту против этих типов атак. Специалисты отмечают, что, к сожалению, исследований на эту тему на данный момент недостаточно. На сегодняшний день проблему можно решать с помощью применения организационных и технических мер, ограничивающих использование USB-носителей на рабочих местах операторов АСУ ТП.

46ed47a889a18c8e0b9c8d8959ca7a48.png

Единая биометрическая система получит статус государственной

df4cdf5e4858531fb82bdbb4d8ac0339.jpg

По сообщению Минкомсвязи, в настоящее время рассматривается вопрос о переводе системы, в которой хранятся образцы голоса и изображения лиц боле 140 тыс. граждан РФ, в статус государственной информационной системы. Этот статус будет гарантировать сохранность данных на уровне государства и повысит удобство использования и безопасность сервисов. При этом, по словам представителей "Ростелекома", сейчас обсуждается вариант государственно-частного партнерства. В этом случае права собственности на ЕБС будут переданы государству, но оператор останется прежним.

Как говорится: "Лучше поздно, чем никогда". Это ожидаемый ход, хотя не понятно, почему этого не сделали раньше. Теперь, помимо приказа Минкомсвязи России от 25 июня 2018 г. N 321, ГОСТ Р 57580.1-2017, на данные системы будет распространяться и приказ ФСТЭК России от 13 февраля 2013 г. № 17, что повлечет за собой обязательную аттестацию всех сегментов системы. Но и это еще не все: с такими далеко идущими планами все органы государственной власти, органы местного самоуправления, федеральные органы исполнительной власти будут обязаны реализовать возможность оказания государственных и муниципальных услуг через ЕБС. Идея хорошая, главное, чтоб организации были готовы к оперативной реализации новых требований.

15eeadc3cfb10b6091ed2ceb45771b0c.png

До встречи в следующем выпуске!

Наш блог на Яндекс.Дзен
google асу тп биометрия информационная безопасность
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.