alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Все-таки у "народных избранников" есть сложности с арифметикой 🧮 А как иначе можно трактовать продолжающуюся эпопею с законопроектом по страхованию утечек ПД. Я уже приводил цифры, прозвучавшие на заседании Совета Федерации, посвященного этой теме. Средний объем утечки в России - 2,5 миллиона записей. Если поделить максимально возможную сумму предлагаемого оборотного штрафа в 500 миллионов рублей на 2,5, то мы получим 200 рублей на одну запись.

Больше этой суммы просто нет смысла (даже в самом худшем сценарии развития) выплачивать компенсации, страховаться, оформлять банковскую гарантию, иметь резервный фонд и т.п. А граждан, чьи данные утекли, эта сумма не устроит. Бизнесу не только не выгодно, но и нецелесообразно идти в эту историю, так как платить штраф тупо проще 🤑 (даже если предположить, что суд сразу накажет оперативно и по максимуму, что маловероятно).

Законы экономики никто не отменял и даже депутатам и сенаторам это не под силу. Пока реальные потери (а не их мифическая возможность) от неделанья чего-то не будут превышать выгоды от неделанья, бизнес не поднимется со стула 🙌 Дайте ему налоговые льготы, снижение ставок страхования, отнесение затрат на ИБ и страхование на себестоимость, а не затраты из прибыли... Вот тогда можно уже с калькулятором в руках сравнивать альтернативы. А пока это разговор слепого с глухим 😠

Читать полностью…

Пост Лукацкого

Подогнали видео моих двух выступлений в Кыргызстане на темы (на каждую по 17 с небольшим минут):
1️⃣ "Способы проникновения в банковскую инфраструктуру и методы противодействия им" (презентация по ней)
2️⃣ "SOC на минималках. Основные защитные меры, закрывающие большинство угроз" (презентация по ней).

Читать полностью…

Пост Лукацкого

19 февраля кем-то был создан в Телеге ✈️ канал, который тупо копирует все мои посты отсюда 🤠 И в названии канала моя фамилия использована. Ко мне отношения он не имеет (ссылку давать не буду, чтобы не рекламировать). Допускаю, что сделан мошенниками, желающими выдать себя за меня 😈 Будьте бдительны 🎭 у меня канал только один - /channel/alukatsky

Читать полностью…

Пост Лукацкого

Звонит мне человек, представляется генеральным директором одного небольшого финтеха на 50 программистов (ИБ своей нет) и рассказывает душераздирающую историю, как их пошифровали и требуют выкуп. И вопрошал он меня, что делать в такой ситуации?

А я немного 🤏 впал в ступор, так как объяснить гендиру в кризисной ситуации по телефону последовательность действий, когда у тебя нет тех, кто это будет реализовывать, тот еще челендж. Если, конечно, не отделываться общими фразами и не начинать с похожего на рекламу «Обратитесь к нам, мы вам поможем».

В итоге родилась идея чеклиста и вебинара по тому, что делать, если вас у вас первые признаки инцидента. Вебинар пройдет 26 марта в 14.00. Забейте себе пару часиков в календаре, а ссылку я пришлю позже.

Примерный план вебинара:
1️⃣ Какие действия необходимо предпринять руководству компании в случае инцидента?
2️⃣ На что важно обратить внимание в первую очередь?
3️⃣ Кого надо привлекать для реагирования на инциденты?
4️⃣ Стоит ли вести переговоры с вымогателями и уведомлять регуляторов об инцидентах?
5️⃣ Привлекать или нет внешние компании по ИБ для расследования инцидентов?
6️⃣ Каким рекомендациям стоит следовать и в какой последовательности?

Читать полностью…

Пост Лукацкого

Если к докладу на ИБ-конференции без потери смысла можно в начало добавить «Гарри Поттер и», а в конце «на блокчейне», то можно с уверенностью утверждать, что мы имеем дело с вполне определенной питерской ветвью научной ИБ-школы! 😎

Читать полностью…

Пост Лукацкого

В привлечении в ИБ молодежи не надо быть формалистами - надо давить на болевые точки нашей смены. Например, чего боится молодой пацан 18-ти лет, который выпустился из школы? 😱 Армии!!! Хотя, скорее этого боятся его родители, так как они знают, чего опасаться, а юноша, у которого еще молоко на губах не обсохло, нет. А чего может хотеть здоровый парень с бушующим тестостероном? 😎 Вот это и надо выносить на плакаты, которые развешивать на стенах приемной комиссии!

Если уж мы говорим в ИБ о том, что надо говорить на одном языке с бизнесом, то надо трактовать это шире. Говорить на одном языке надо с целевой аудиторией. В данном случае это абитуриенты! И не надо бояться. А то вот это все скучное "если хотите попасть на специальность 10.04.01, соберите мочу в баночку и сдайте ее в окно 27Б", уже порядком поднадоело 🤠

ЗЫ. У меня, кстати, и другие идеи для плакатов есть 🫵

ЗЗЫ. Был бы у меня дизайнер нормальный, я бы завалил этот мир офигенным визуалом. Но увы, поразъехались по Сербиям да Таиландам, бары себе завели, работать не хотят. Вот и приходится полагаться только на себя да ИИ супостатский

Читать полностью…

Пост Лукацкого

У боязни дырок есть научное название - трипофобия 😱. Поэтому все ИБшники в чем-то немного трипофобы, а в чем-то борцы с трипофобией. Поэтому, если вас девушка или юноша, с которыми вы хотите познакомиться, спросят: "А ты кем работаешь?", можно смело, с налетом таинственности, ответить "Я доктор трипофобии" и загадочно улыбнуться 😱 Это придаст вам веса в глазах окружающих!

ЗЫ. Не забудьте добавить, что у вас отсрочка от армии и льготная ипотека. Тогда зависть ценность ваша в глазах других взлетит на недосягаемую высоту.

Читать полностью…

Пост Лукацкого

В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.

Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁

Читать полностью…

Пост Лукацкого

🔜 Грядет PHD2, на котором я буду нести с гордо поднятой головой ответственность за бизнес-трек 🧐, который в этом году будет идти 4 дня на 4-х разных площадках в пределах стадиона "Лужники" 🏟 - тут вам и Большая спортивная арена, и шатер поменьше на 600 человек, и совсем маленькие залы. Для каждого из них предлагается достаточно обширная и емкая программа, которая должна по задумке учесть интересы совершенно разных категорий специалистов - от начинающих ИБшников до CISO и от безопасных разработчиков до генеральных директоров 🤓

Мы уже объявили CFP на доклады во всех треках программы, но так как описать всю грандиозную задумку на сайте киберфестиваля оказалось непросто, я написал отдельную заметку, где и изложил и идею, и подробно описал все стримы внутри бизнес-трека, и сдал все явки и пароли 🫴

Так что если вам есть что сказать и вы хотите выступить на арене, на которой до вас стояли Леонид Агутин, Майкл Джексон, Rammstein и "Машина времени", то самое время податься на CFP 🫵

Читать полностью…

Пост Лукацкого

Red Canary выпустила уже 6-й ежегодный отчет с обзором угроз 🤕, который был сделан за счет анализа данных, получаемых с инфраструктуры заказчиков. Как по мне, так отчет не так чтобы и интересен с практической точки зрения. Учитывая постоянные изменения в тактике злоумышленников (не в контексте MITRE ATT&CK), читать про них спустя год после их использования... ну такое себе. Каких-то открытий в отчете нет - все идут в облака, злоумышленники используют ИИ, человеческий фактор рулит, при всем многообразии техник, хакеры используют от силы 10-20 🚫

Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
1️⃣ Для борьбы с первичным векторов атаки необходимо выстроить процесс управления уязвимостями и патчами. Если организация не в состоянии это сделать, то хотя бы бы закрывать трендовые уязвимости на периметре.
2️⃣ Отключите автоматическое монтирование контейнеров в Windows.
3️⃣ Управляйте активами, а то защищать, не зная, что, - это такое себе занятие.
4️⃣ Простые рекомендации для защиты от звонков мошенников под видом сотрудников в службу поддержки, а также от имени последних (рекомендации ENISA ☝️ могут помочь решить эту задачу)
5️⃣ Неплохие рекомендации по защите от подмены SIM-карт (SIM Swapping)
6️⃣ Разработайте и внедрите стратегию мониторинга за средствами удаленного управления.
7️⃣ И еще куча рекомендаций для защиты от разных техники и вредоносов
8️⃣ Рекомендаций по ИИ почему-то не дали 😭

ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест 👍 Я бы его все-таки разбил на множество маленьких частей - тогда пользы было бы больше.

Читать полностью…

Пост Лукацкого

Вот уже и крест на мне ставят 🦬 Хорошо, что не мне 😇

Читать полностью…

Пост Лукацкого

В последние пару дней многие обсуждают тему отключения облачных сервисов 😶‍🌫️ Microsoft и Amazon для российских пользователей. Обсуждается эта новость в контексте различных бизнес- и офисных приложений, а я бы хотел посмотреть на нее с точки зрения ИБ. Какие ИБ-сервисы из облака предлагал Microsoft, которые 20-го числа могут быть отключены (не претендую на полноту):
1️⃣ Microsoft Defender for Cloud/Endpoint/Office 365/Identity/IoT
2️⃣ Microsoft Azure Active Directory и MS Azure AD Conditional Access
3️⃣ Microsoft Entra Permission Management (бывший CloudKnox) и Entra Verified ID
4️⃣ Microsoft Purview Privileged Access Management
5️⃣ Microsoft Endpoint Manager и Microsoft Intune
6️⃣ Microsoft Sentinel
7️⃣ RiskIQ Intelligence
8️⃣ Azure Security Center
9️⃣ Microsoft Information Protection & Rights Management Service (RMS)
1️⃣0️⃣ Microsoft Advanced Threat Analytics
1️⃣1️⃣ Azure Firewall
1️⃣2️⃣ Microsoft Passport и Azure MFA
1️⃣3️⃣ Azure Key Vault
1️⃣4️⃣ GitHub Advanced Security (под вопросом).

Вообще вопрос, зачем было использовать на протяжении пары лет сервисы компании, которая ушла из России и которая неоднократно порывалась прекратить доступ к своим продуктам российскому бизнесу и пользователям, но что уж тут поделать 🙌 За оставшиеся 3 дня (17-19 марта) осталось решить кучу вопросов - от поиска альтернативы до удаления ПДн, которые располагались в облаках Microsoft, от выгрузки событий безопасности в открытом формате (если они вам нужны) до подготовки процедуры удаления всех установленных в вашей инфраструктуре агентов, а также блокирования ранее открытых портов на периметровых МСЭ для средств защиты Microsoft

ЗЫ. Хотя после того, как еще и на западном побережье Африки 3 из 4 Интернет-кабеля оказались попорченными (хуситы баловались в Красном море, это восточная часть Африки), вопрос осмысленности использования облачных сервисов встает особенно остро 🤔

Читать полностью…

Пост Лукацкого

У Макдональдса по всему миру глобальный сбой 🍔 - онлайн-заказы, заказы через приложение, заказы через киоски в самих ресторанах не работают. Компания уверяет, что это не результат кибератаки. А я в этой истории жду оценок ущерба 🤑 от такого сбоя. Всегда интересно посмотреть, во сколько оценивают простой бизнес-сервиса в течение нескольких часов. И не так уж и важна причина (сбой на стороне подрядчика или DDoS). Потому что потом это можно экстраполировать и на другие схожие бизнесы, завязанные на онлайн-заказы 🛍 (типа вот этой истории).

Читать полностью…

Пост Лукацкого

💥💥💥 Запускаем «Резбез Challenge» — конкурс на лучшую статью по результативной кибербезопасности

Как участвовать? Напишите статью по теме из перечня, в работе должны быть глубокий анализ проблемы и предложения, как ее решать.

Три лучших автора получат денежные призы, а их работы будут опубликованы на Резбезе. Статья участника должна соответствовать:
🟢 Принципам результативной кибербезопасности.
🟢 Политике сообщества.
🟢 Правилам конкурса.

Когда?
Работы принимаются с 15 марта по 31 мая включительно. Победители будут объявлены до 15 июня.

Где заполнить заявку? Прямо в этих буквах!

Читать полностью…

Пост Лукацкого

Из интересного:
1️⃣ Первые признаки аномальной активности были замечены 25 октября, но блиц-расследование ничего не выявило. Однако, ИТ/ИБ-служба заблокировала активность, провела сканирование сети (ничего не выявлено), мониторило логи (ничего не выявлено), смена пароля.
2️⃣ Спустя 2 дня Интернет-провайдер зафиксировал аномальный всплеск выкачиваемых данных - 440 ГБ. Позже выкачали еще 160 ГБ.
3️⃣ Проникновение произошло скорее всего (до конца не выяснили) через ферму терминальных серверов, используемых внутренними ИТ-админами и внешними, доверенными партнерами. Авторы отчета склоняются к атаке именно через партнеров, которых поймали на фишинг.
4️⃣ MFA на терминальных серверах не было, а антивирусы и МСЭ были, так как "дорого".
5️⃣ Хакеры задействовали легальные инструменты ИТ, сделали резервные копии 22 баз данных и выкачали их (помимо разрозненных файлов с чувствительной информацией).
6️⃣ Калькуляция финансового ущерба продолжается, а вот остальные виды потерь прописаны неплохо (хотя бы и на уровне категорий).
7️⃣ Описаны способы кризисных коммуникаций, которые позволили уведомить всех сотрудников, но при этом не раскрыть деталей расследования инцидента хакерам, которые могли находиться еще в сети.
8️⃣ Подробно расписаны шаги по перестройке всей, ранее плоской legacy инфраструктуры, - сегментация, ролевой доступ, air-gap резервирование, MFA, PAM для удаленного доступа третьих лиц, управление уязвимостями и инцидентами...
9️⃣ Из рекомендаций интересно выглядит совет заранее подготовиться и иметь на готове контакт фирмы, которая может оперативно приехать и помочь с расследованием

Читать полностью…

Пост Лукацкого

Ну а чтобы вы не чувствовали себя обделёнными интеллектуальными играми 🎮, вот вам три картинки, в которых зашифрованы анаграммы по криптографии. Анаграммы даны по возрастанию сложности 📈

Напомню, что анаграмма - это слово, перестановка букв которого дает другое слово 🎮 Раньше использовалась как метод тайнописи, с чем связано много разных забавных историй и казусов. Про них я как-нибудь расскажу потом, а у вас есть возможность угадать, что же скрыто в данных трех картинках. Правильные ответы дам в конце дня или на выходных! 🕹

Так-то у вас должно получиться минимум 2 слова, представляющих собой анаграмму, но ответом считается только одно слово, имеющее отношение к криптографии 💡

ЗЫ. А если вы не любитель интеллектуальных игр, то можете почитать про то, как сложность требований регуляторов приводит к тому, что на прошедших выборов многие избирательные комиссии применяли несертифицированные СКЗИ, используя неквалифицированные сертификаты, что является нарушением, приводит к неквалифицированной электронной подписи и, крамольную мысль выскажу, делает бюллетени нелегитимными 🤨

Читать полностью…

Пост Лукацкого

Вот, собственно, и сами рассекреченные материалы, за которые спасибо Музею криптографии! 🙏 А у нас квиз в самом разгаре 🕹

Читать полностью…

Пост Лукацкого

Сервис FlightRadar запустил карту атак на GPS (GPS Jamming). Видимо, описанная ранее история с нарушением работы систем радионавигации набирает обороты. А если мы ее экстраполируем на любые устройства с GPS (БПЛА, беспилотный транспорт, станки и даже мобильные телефоны), то сразу становится понятно, что это тема непростая. И в обычных компаниях ее могут "повесить" на ИБ.

Читать полностью…

Пост Лукацкого

Сегодняшний день на РусКрипто 2024 🤒 подарил новый термин от Баранова Александра Павловича "фантазийная криптография" и заявление от него же, что

"вся наша криптография основана на непонимании, как она работает"
😯

и добавлении, что

"квантовая криптография - это вторая тема, которую мы не понимаем, но полагаемся на нее и активно продвигаем".


Это, конечно, сильные заявления от человека, почти 20 лет фактически руководившего криптографической службой в стране 🇷🇺

Ну а я пока готовлю интеллектуальный криптографический квиз "Игра в имитацию", который пройдет уже завтра. Места во всех 8-ми командах уже расписаны, но, возможно, парочка мест еще найдется. В этом году прямо аншлаг на возможность размять мозги 🧠 и расширить свой кругозор!!!

Читать полностью…

Пост Лукацкого

Читал я тут курс по ИБ для собственников и владельцев бизнеса 🧐 из совершенно разных сфер экономики - от строительства до ритейла (не госы). И могу сказать, что тема недопустимых событий, ответственности CISO за результат, бизнес-взгляда на ИБ и т.п. очень хорошо воспринимается топами и прям находит у них отклик. Сначала они скептически смотрят на тему ("Опять будут пугать штрафами и мифическими угрозами"), а после смотрят совсем по-другому. Ну и отзывы это подтверждают - средняя оценка 9,5 (по 10-балльной шкале) 👍 Похоже нащупал и контент, и форму подачи. Но есть еще куда развиваться.

Читать полностью…

Пост Лукацкого

На досуге подрабатываю ИБ-дизайнером в виду отсутствия оных в реальной жизни 🎨 Обратились тут за консультацией, как мол, привлечь молодежь на кафедры ИБ. А то, говорят, цитаты из речи гаранта про будущие поколения и важность кибербезопасности, а также проброс к цитате Ленина про "учиться, учиться и учиться" не дают должного эффекта.

А я что, мне не сложно нагенерить кучу идей (вот чего-чего, а генерить идеи - это мое; в отличие от их реализации). Вот один из плакатов быстренько сваял "из того что было". А чего, не все знают, что история инфобеза насчитывает тысячелетия, в отличие от ИТ, которые могут похвастаться только тем, что отсчитывают свою историю от Ады Лайвлес и Чарльза Беббиджа 🧮 Родословная от дочери Байрона - это солидно, но заниматься тем, что еще Рамзес II привечал, вдвойне лучше.

ЗЫ. Да, если вы думаете, что я шучу про Древний Египет, то нет. Вот тут я рассказывал несколько историй из истории 🤓 Ну и в курсе про введение в ИБ тоже.

Читать полностью…

Пост Лукацкого

Интересный кейс подсмотрел у Алексея Мунтяна. История началась в 2018-м году, а закончилась только в февраля этого года. Один итальянский 🇮🇹 банк столкнулся в период с 11 по 21 октября 2018 года с атаками на свою систему мобильного банкинга, что повлекло за собой к утечке персональных данных клиентов банка. Банк был оштрафован и на этом историю можно было бы закончить, но тогда и писать было бы не очень (у кого данные не утекали?) 🏦

Но...в процессе расследования выяснилось, что в это же самое время у пострадавшего банка был пентест 🛡 со стороны компании NTT Data в соответствие с заключенным договором. Пентест длился с 1 по 26 октября 2018-го года. При этом сами инструментальные работы проводились с 1 по 12 октября, подготовка отчета шла с 13 по 22 октября, а уточнение представленной информации и отправка финального отчета - с 23 по 26 октября ✉️

Но дальше выяснились пикантные детали - NTT Data привлекла к проведению пентеста субподрядчика, что было явно запрещено договором. NTT Data не уведомила банк о субподряде 🤐 Субподрядчик нашел уязвимости, которые были использованы в атаке на банк, 10 октября 😵 19 октября он сообщил об этих уязвимостях в NTT Data, которая, в свою очередь, проинформировала банк об этих уязвимостях только 22 октября (уже после утечки ПДн). При этом в договоре с NTT Data было требование немедленного уведомления о критических уязвимостях

NTT Data стала оправдываться 🧑🏻‍⚖️ тем, что у нее был заключен договор не с банком, а с его материнской компанией, что он должен был все проклассифицировать, прежде чем отправлять данные об уязвимостях, что он был загружен 🤓 и поэтому был субподряд, что субподрядчик - "честный человек", что NTT Data добропорядочная компания и никогда никого не обманывала и GDPR не нарушала, что она вообще не знала 🤷‍♀️ об утечке и об атаках на банк, так как не оказывала услуг мониторинга ИБ, а только пентесты... Но суд во внимание это все не принял и наказал NTT Data на 800 тысяч евро.

А теперь, внимание, вопросы:
1️⃣ Не напоминает ли это все историю с будущими оборотными штрафами за инциденты с ПДн?
2️⃣ То, что банк хакнули через уязвимости, выявленные в ходе пентеста, это совпадение?
3️⃣ А вы, привлекая пентестеров на работы, четко описываете все такие кейсы в договоре?

Читать полностью…

Пост Лукацкого

Тут Gartner описал сферы влияния CISO, которые помогают ему достигать 🤔 чего-то важного и ценного в своей деятельности. Интересная такая картинка, с которой я местами согласен, а местами как-то не очень. Но идея показано верно - больше всего времени тратится там, где большого толка ждать не приходится ☹️ И если уж стремиться к нанесению бизнес-пользы, то и общаться надо с правильными людьми. Ну или наоборот - общаясь с правильными людьми, начинаешь думать как они и приносить для них пользу 🤑

Читать полностью…

Пост Лукацкого

Депутат заявляет, что сейчас из всех средств защиты в России отечественных уже 97%. В прошлом июне он заявлял, что таких средств "всего" 90%. И это рекорд, такой же как и число голосов, отданных за никому неизвестных кандидатов в президенты страны 🤥

Читать полностью…

Пост Лукацкого

Интересный документ выпустило ENISA - про различные практики подтверждения подлинности субъекта при удаленной идентификации 🫦 Начав с обзора сценариев, где это необходимо, они описывают модель угроз для разных сценариев и методов, а затем уже описывают, как это сделать правильно и безопасно 🛡

Читать полностью…

Пост Лукацкого

Не знаю, что вы больше празднуете, День Святого Патрика 🍀 или Масленицу 🥞, но в любом случае поздравляю вас с применением гомоморфного шифрования на выборах главы государства! Да пребудет с вами гомоморфизм! 🥂

Читать полностью…

Пост Лукацкого

Тут в "Коммерсанте" кратко формулируют, почему новости об утечках персональных данных никого не пугают и кому выгодна шумиха про них и введение оборотных штрафов 💡

Я только добавлю свои 5 копеек 🪙 относительно комаров и болота. С точки зрения теории вероятностей у жителя Земли умереть от укуса комара 🦟 шансов в 140 тысяч раз больше, чем стать жертвой акулы. То есть это мелкое насекомое не так уж и безобидно, как мы к этому привыкли (и это лишний раз показывает иррациональность человеческой оценки риска - мы акул боимся, но то, что от бегемотов и коров умирает больше людей, чем т них, в расчет не берем) 🦈

И про болото. Все-таки тут у меня есть выбор - ходить туда, где воет собака Баскервилей или нет. А вот с персданными, которые я вынужден оставлять на множестве ресурсов, чтобы не быть вырванным из жизни, увы, ситуация иная - у меня нет выбора. И, как минимум, различные госорганы обрабатывают мою личную информацию. Но в остальном всецело поддерживаю мысль Максима 🤝

Читать полностью…

Пост Лукацкого

Кстати, в последней загадке, правильный ответ 042!

Читать полностью…

Пост Лукацкого

Во исполнение ранее принятых требований по повышению безопасности ПО, используемого в госорганах США, CISA разработала аттестационную форму, которую обязаны заполнять все поставщики софта для госов. Если поставщик ее не заполняет, то предприятия обязаны запрашивать ее, а если те отказываются предоставлять, то это является формальным поводом для отказа от использования небезопасного программного обеспечения. При этом указание недостоверных сведений в этой форме будет рассматриваться как уголовное преступление со всеми вытекающими 😡

Самоаттестация требуется для любого ПО, выпущенного после 14.09.2022, крупно обновленного после этой даты, а также для всех остальных видов ПО, которые имеет регулярные обновления. Самоаттестация не требуется для
ПО, разработанного госорганами
open source, которое свободно доступно и получено федеральными агентствами (для этого другие требования есть)
для проприетарных компонентов и open source, встроенного в ПО, поставляемое в госорганы (для этого другие требования есть)
для общедоступного ПО.

Форма подписывается гендиректором компании-разработчика и должна содержать доказательства выполнения требований к безопасной разработке, подтвержденные третьей стороной, так называемыми Third Party Assessor Organization (3PAO), аккредитованными для этой работы. В требования по безопасной разработке, которые надо подтверждать, включены многие пункты из NIST SSDF:
1️⃣ Разделение сред для разработки и сборки
2️⃣ Регулярный аудит, мониторинг и регистрация событий для доверенных отношений между окружениями разработки и сборки
3️⃣ Внедрена MFA
4️⃣ Шифрование секретов и кредов
5️⃣ Мониторинг инцидентов ИБ
6️⃣ Средства анализа исходных кодов (SAST/DAST/SCA)
7️⃣ Поиск уязвимостей перед выпуском релиза
8️⃣ Наличие программы vulnerability disclosure

У меня, конечно, есть определенные вопросы к отдельным формулировкам и требованиям этой формы, но сама идея - прямо огонь 🔥 Если бы у нас Минцифры выпустило аналогичные требования для всего ПО, попадающего в реестр отечественного, или хотя бы для того ПО, которое закупается за государственные деньги, то уровень безопасности в стране существенно бы поднялся, качество разработки бы выросло, квалификация разработчиков бы поднялась, с рынка бы ушли фирмы-однодневки. И вообще наступил бы безопасно-софтверный рай 😇

Читать полностью…

Пост Лукацкого

Очень интересный отчет по результатам расследования взлома английской библиотеки 📚 в октябре прошлого года. Приятный пример открытости компании, пострадавшей от взлома, в результате которого утекло 600 ГБ персональных данных и другой информации. Компания не стала скрывать этот факт, провела расследование 👨‍💻 и опубликовала его результаты. Можно только приветствовать такую открытость.

Структура отчета описывает все ключевые и интересные для аудитории моменты:
резюме
причины и анализ атаки
оценка ущерба
реагирование и восстановление
технологическая инфраструктура
будущая оценка рисков
извлеченные уроки и рекомендации

Читать полностью…
Подписаться на канал