Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 4

Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 4
Правозащитники рассказали о нарушении прав граждан во время пандемии COVID-19

c8c87f477a9e644b530994c0647402c6.jpg


Представители международной правозащитной группы сообщили о нарушении прав граждан на частную жизнь, медицинскую тайну и свободу передвижения во время пандемии коронавирусной инфекции. Правозащитники утверждают, что представители российских властей могли злоупотреблять своими полномочиями в ходе слежки за гражданами. Например, московское приложение «Социальный мониторинг» собирало персональные данные граждан и получало доступ к GPS смартфона, камере, звонкам и просмотру других программ. Также отмечается, что в 18 регионах произошли утечки данных граждан или их диагнозов.

Эту новость можно охарактеризовать следующей цитатой: "Если что-то делаешь – делай это хорошо или вообще не берись". Если службы, которые собирают данные, не могут их сохранить, то, наверное, стоит пересмотреть методы защиты, а не пытаться продолжать собирать данные, используя устаревший метод "и так сойдет". Это не единственный прецедент, когда персональные данные пользователей утекали в сеть. Последствиями таких утечек становятся кража денежных средств и оформление кредитов в микрозаймах на людей, данные которых стали известны общественности. Я очень сомневаюсь, что данные утечки послужат поводом задуматься о построении качественной системы защиты информационных систем сбора данных о пользователях. Пока люди будут продолжать спускать на тормозах подобные ситуации и не привлекать к ответственности службы, ответственные за сбор и хранение персональных данных, люди будут продолжать становиться жертвами мошенников.

0acda7d7b0c26e1267af3f4cb858a9f3.png

Google запретит приложения для слежки за партнерами

70163c98dcdeb963f2061c7cb2f614ad.jpg

Google запретит распространение рекламы приложений и устройств, которые позволяют отслеживать активность телефона или перемещения другого человека. Речь идет о приложениях, которые можно использовать для мониторинга текстовых сообщений, телефонных звонков или истории просмотра в браузере; GPS-трекеров, которые отслеживают местоположение без согласия пользователя, камер, звукозаписывающих устройств, видеорегистраторов, "видеонянь".

Уже хорошо, что компания Google задумалась над реализацией данной меры защиты для конечных пользователей. Теперь информации о нас будет собираться "немножко" меньше :)

Цифровой след существует абсолютно у каждого человека в современном мире Интернета - у кого-то он ярче, у кого-то слабее. Но всё в наших руках, друзья! Хотя бы внимательно смотрите разрешения, которые просит приложение во время установки на ваше устройство - Google старается, но и вы должны быть более внимательны. Ведь в большинстве случаев мы сами "раскрываем все карты" и распространяем о себе много личной информации, которая может в дальнейшем нанести определенный вред.

Наиболее "вкусным блюдом" для злоумышленника на вашем устройстве является не диаграмма вашего сердцебиения или же рекорды утренней пробежки, а корпоративные данные, которые вы можете хранить у себя на устройстве при выполнении своих трудовых обязанностей. Их кража с помощью одного из таких приложений или же сбор информации для последующей атаки на организацию – вот, от чего необходимо защищаться в первую очередь.

Одно из самых адекватных решений - внедрение MDM и функций централизованного распространения/управления корпоративными приложениями в изолированном контейнере на личном устройстве пользователя. Решений данного класса представлено на рынке много. И поверьте мне, в перспективе такие меры защиты смогут минимизировать репутационные и экономические риски любой организации.

Мораль всей басни - пользуйтесь только нужными приложениями и будьте внимательнее при их установке на своё устройство.

8aa70d937b189611034fb68bd7453d64.png

Эксперты отметили рост числа деструктивных USB-атак на АСУ ТП

a002654492323c4900b8c1eb25373ae8.jpg

Команда Honeywell опубликовала отчёт " 2020 USB Threat Report ", составленный благодаря собранным за последние 12 месяцев данным с объектов АСУ ТП. Наблюдается скачок атак деструктивных вредоносных программ, доставляемых посредством USB-накопителей.

Зачастую при построении систем защиты АСУ ТП ограничиваются только разграничением сегментов технологических сетей, в том числе доходя до полной изоляции от сетей общего пользования. Однако при этом остаётся целый пласт угроз, связанных с физическим доступом на объекты, в том числе и атаки с использованием USB-носителей. Именно этот факт могут использовать злоумышленники при планировании целенаправленных атак на АСУ ТП. Исследования, подобные исследованию компании Honeywell, лишь подчёркивают недооценённость угроз, связанных с USB-носителями.

Из полученных данных специалисты Honeywell делают вывод, что съёмные USB-носители являются не только реальной, но и нарастающей угрозой для систем АСУ ТП. Тем не менее, отдельные исследования безопасности USB всё ещё не распространены, и у многих организаций отсутствует чёткое понимание того, как выстраивать и улучшать защиту против этих типов атак. Специалисты отмечают, что, к сожалению, исследований на эту тему на данный момент недостаточно. На сегодняшний день проблему можно решать с помощью применения организационных и технических мер, ограничивающих использование USB-носителей на рабочих местах операторов АСУ ТП.

46ed47a889a18c8e0b9c8d8959ca7a48.png

Единая биометрическая система получит статус государственной

df4cdf5e4858531fb82bdbb4d8ac0339.jpg

По сообщению Минкомсвязи, в настоящее время рассматривается вопрос о переводе системы, в которой хранятся образцы голоса и изображения лиц боле 140 тыс. граждан РФ, в статус государственной информационной системы. Этот статус будет гарантировать сохранность данных на уровне государства и повысит удобство использования и безопасность сервисов. При этом, по словам представителей "Ростелекома", сейчас обсуждается вариант государственно-частного партнерства. В этом случае права собственности на ЕБС будут переданы государству, но оператор останется прежним.

Как говорится: "Лучше поздно, чем никогда". Это ожидаемый ход, хотя не понятно, почему этого не сделали раньше. Теперь, помимо приказа Минкомсвязи России от 25 июня 2018 г. N 321, ГОСТ Р 57580.1-2017, на данные системы будет распространяться и приказ ФСТЭК России от 13 февраля 2013 г. № 17, что повлечет за собой обязательную аттестацию всех сегментов системы. Но и это еще не все: с такими далеко идущими планами все органы государственной власти, органы местного самоуправления, федеральные органы исполнительной власти будут обязаны реализовать возможность оказания государственных и муниципальных услуг через ЕБС. Идея хорошая, главное, чтоб организации были готовы к оперативной реализации новых требований.

15eeadc3cfb10b6091ed2ceb45771b0c.png

До встречи в следующем выпуске!

Наш блог на Яндекс.Дзен
google асу тп биометрия информационная безопасность
Alt text

ООО «Акстел-Безопасность»

ГК Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.