Квантовая запутанность кибербеза в компании. Отношение к ИБ постоянно меняется. Думаю, что если слово "кибербез" заменить на "CISO", то смысл картинки тоже не пострадает
Читать полностью…Не знаю, можно ли ориентироваться на Яндекс с точки зрения размера инвестиций в ИБ, а с другой стороны, почему бы и нет. В зависимости от позиции ("Хочу как Яндекс" или "Но мы же не Яндекс") можно эту цифру взять за точку отсчета.
ЗЫ. Это про Яндекс.Облако, если что...
В общем, проблемы с уведомлениями об инцидентах у всех одинаковые. Но кто-то пытается решить проблему, а кто-то наращивает число уведомлений 🤦♂️
Читать полностью…Сколько бы штабных киберучений я не проводил, почти всегда вижу одно и тоже, - отсутствие реального плана реагирования на инциденты в организациях. Знакомые и типовые ситуации отрабатываются достаточно неплохо - достаточно просто иметь общие знания в ИБ. А стоит копнуть чуть глубже, выйти за рамки типичных и массовых историй, а то и вовсе дать на вход нестандартный кейс, и все, пиши пропало. Иногда еще можно выехать на практическом опыте, но далеко не всегда. Ведь чем план отличается от обычной рутины? Четкое следование процедуре "1-2-3" - никаких шагов в сторону. И вот этого не хватает.
Читать полностью…Если вдруг вы хотите посмотреть на то, как начинают раскручивать общественное мнение и депутатский корпус на принятие закона об оборотных штрафах, то вот вам прекрасный пример. Статья соткана из множества разрозненных фактов и фейков, но подано таким образом, что складывается впечатление, что все, пиши пропало, утекли анализы мочи и кала депутатов, а это пострашнее утечки гостайны и надо срочно что-то делать...
Читать полностью…ЦБ сейчас активно проводит киберучения среди банков, отправляя им вредоносные вложения и ссылки и... 💌 И вот тут и начинаются проблемы. Вроде идея-то здравая - проверить способность подопечных оперативно обнаруживать и реагировать на угрозы (надеюсь, что сам-то ЦБ знает как это все делать и регулярно своим сотрудникам проводит такие же киберучения). Но вот на практике получается как-то не так...
В банковском чатике по ИБ только и дело, что уже несколько дней обсуждают, как правильно уведомить ЦБ об обнаруженных вредоносах. Надо это делать по каждому фишинговому письму или можно пачкой, по каждому почтовому ящику или по всем сразу, надо сообщать по тому, что попало в ящики или по тем, что открыли пользователи, а по тем, что были отброшены почтовым сервером или защитным почтовым шлюзом ушедшей из России компании надо? Это какой-то трэш. Отличная же идея - проверять навыки, но нет, давайте засрем всем мозг своей бумажной ИБ и на каждый чих будем требовать оформить стопицот бумажек ✍️ и вздрючим за то, что "отчеты у них не той системы" оформлено все не так, как никто и не сказал как, но вы догадайтесь.
Вот почему любая нормальная инициатива, направленная на достижение результата в ИБ, превращается в какое-то 💩? Вместо фокуса на самой инициативе все внимание смещается в отчетность по ней. Вместо расширения числа симуляций и кейсов для киберучений, расширяется число полей в уведомлении по ним. Вместо того, чтобы оценивать результативность учений, чиновники оценивают число проведенных киберучений и число участников в них? Куда катится этом мир? 🍑
ЗЫ. Надеюсь, что где-нибудь есть нормальный чатик по ИБ в финсекторе, в котором бы обсуждали реальные задачи финансовой ИБ - как защищать DeFi, как оценивать результативность ИБ, как оценивать аутсорсера, как бороться с Man-in-the-Browser или выявлять ботов, как бороться с подменой авторизационных 3DS-страниц, как идентифицировать дропов, как работать с цифровыми отпечатками устройств, какие атаки на POS-терминалы сейчас активны, как защищать криптобиржи (а их сейчас активно ломают) и т.п.
Вот когда научатся таких ботов распознавать, тогда можно подумать и об открытии комментариев в канале 😊 А пока не хочется тратить кучу времени на вычистку сообщений от ботов, криптомошенников, девиц с низкой социальной ответственностью, рекламодателей конференций, на которых в сотый раз будут обсуждать категорирование КИИ, и других персонажей, коими изобилуют другие ИБшные чаты.
Читать полностью…Минцифры в своем канале пишет, что Правительство одобрило инициативу министерства по включению в законопроект об оборотных штрафах идеи про компенсацию 🤑 пострадавшим от утечки определенной суммы денег от оператора ПДн, у которого утечка и произошла. О сумме речь не идет, но судя по тексту заметки, оператор сам определит сумму возмещения, которое он готов выплатить, а задача 80% пострадавших с этой суммой согласиться или нет.
Помните я делал опрос о том, на какую сумму компенсации согласились бы вы, если бы ваши ПДн утекли. Теперь, если предположить, что максимальная сумма штрафа не может быть более 500 миллионов рублей (или 3% от годового оборота, но не более 500 миллионов), то с точки зрения банальной арифметики оператору нет смысла выплачивать компенсации больше максимальной суммы штрафа. Соответственно, если мы поделим 500 миллионов на объем утечки, то получим сумму, выше которой компенсация быть не может (а иначе какой в ней смысл - проще штрафом отделаться).
Можно и наоборот посмотреть - поделить 500 миллионов на сумму желаемой компенсации. И получается, что при желаемой компенсации в 75 тысяч (в опросе это звучало как "больше 50 тысяч") рублей, в утечке не должно быть больше 6666 записей. При сумме компенсации в 1 тысячу рублей (пара чашек кофе ☕️ в центре Москвы), объем утечки не должен быть больше полумиллиона записей. А мы помним, что почти все последние утечки очень часто превышали это значение.
И это я использую схему "либо-либо", то есть либо компенсация, либо максимальный штраф. Но ведь, чтобы заслужить от суда максимальный штраф надо еще постараться. В реальности цифры будут существенно ниже. Вот и получается, что при всей своей интересности инициатива Минцифры малореализуема на практике, так как операторам ПДн она экономически не интересна; только время потратят на процедуру.
Выпустил тут Сбер свое видение будущего на горизонте до 2035-го года, почему-то иллюстрируя все положительные его стороны с помощью Midjourney, а все отрицательные с помощью своей нейросети "Кандинский" (у меня были подозрения, что "Кандинский" обучался на депрессивном датасете и, видимо, Сбер это и сам понимает).
Там все про людей и общество, но есть и по нашей с вами теме. Я выделил несколько интересных прогнозов:
🔤Многих специалистов заменит искусственный интеллект. Требуется постоянное обучение в новых форматах (микрообучение, цифровизация обучения, отсутствие фундамента и т.п.)
🔤Погружение в метавселенные, деанонимизация, исчезновение "персональных" данных, цифровые следы, тотальный цифровой контроль, цифровые границы (кто сказал NGFW), оффлайн становится эксклюзивом для богатых.
🔤Рост числа киберугроз, связанных с цифровыми двойниками, цифровыми "слепками", цифровой идентичностью.
🔤Децентрализованные финансы DeFi, повсеместный Интернет вещей, телемедицина, нейротехнологии, киберпротезирование
🔤Расслоение общества на касты, увеличение числа бедных, рост рисков с их стороны, уход их в онлайн и переход на дофаномику (дофаминовая экономика).
Сбер нарисовал просто классический пример киберпанка будущего (никаких "свободы, равенства, братства", "оптимизм" так и "брызжет"). При этом России уготована ведущая роль в восточном цивилизационном анклаве (Китай не спросили, что он об этом думает?) и лидирующие позиции в области ИИ, робототехники, метавселенных и, внимание, кибербезопасности. Ждать ⏳ осталось недолго 😊
Хакеры, взломавшие Sony, пытаются выглядеть солидно и преподносят себя как пентестеров; правда, работающих без предварительных договоренностей и договора. Мы вас взломали - заплатите нам 🪙 А нет, мы получим деньги за свою работу иным путем.
Новое в этом кейсе другое. Хакеры заявляют, что работают в полном соответствии с GDPR 🇪🇺, забыв, правда, получить согласие на доступ к чужим персданным 😂 Но дальше вновь проявляется сущность вымогателей. Если не заплатить, то обещают пожаловаться в местный «Роскомнадзор» (интересно, в какой, ведь на Японию GDPR вроде не распространяется) ✍️
Если ИБшник не очень хорошо разбирается в бизнесе, который он призван защищать в информационной сфере, то для таких ситуаций регуляторы начали выпускать перечни типовых отраслевых объектов КИИ, которые есть уже, например, для транспорта, энергетики, ТЭК... В них перечислены критические процессы, которые требуют защиты. У ЦБ есть аналогичная история с ключевыми процессами в 716-П по операционным рискам. А там недалеко уже и до общения с бизнесом на его языке 🤑
Не факт, конечно, что у регуляторов стояла такая задача - научить ИБшников понимать их бизнес. Скорее все было не так - регуляторы видели, что все стараются уйти от выполнения требований ФЗ-187, занизить себе категории объектов КИИ, а то и вовсе уйти из под действия закона. Поэтому и родилась идея, что пусть категорируют не субъекты сами себя, а отраслевые регуляторы по четким (насколько это возможно) критериям. Ну а кто, как не отраслевой регулятор, знает свои критические процессы. Так и родились перечни типовых отраслевых объектов КИИ. Но использовать их можно с пользой, раз уж нельзя выйти из под действия регуляторики.
На Sakhalin Security НКЦКИ рассказывало о том, что они видят по тем инцидентам, которые попадают в прицел их внимания. То, что было в 2022-м году на мой взгляд не так интересно, а вот наблюдения по 2023-му году гораздо ближе нам и ценнее. Все говорит о том, что время тестирования возможностей прошло и плохие парни по ту сторону баррикад начинают более активные действия:
🔤Координация атакующих вместо разрозненных атак
🔤Реальный ущерб вместо PR на атаках
🔤Больше реальных утечек, а не фейков или компиляций
🔤DDoS не как самоцель, а для маскировки других атак
🔤Атаки не цепочки поставок
🔤Закрепление в скомпрометированной инраструктуре.
Раскраски - незаслуженно забытый элемент маркетинга мероприятий по ИБ. Вместо скучных блокнотиков, скапливаемых десятками, лучше бы раскраски раздавали. Все польза во время скучных докладов и пленарок. Да и мелкую моторику рук развивает…
Читать полностью…2016-й год, если что. С исходной предпосылкой ошибся (на текущий момент), но последствия еще тогда можно было предположить и подумать о вариантах нейтрализации (хотя думать об этом не хотелось). Кто-то подготовился, кто-то нет…
ЗЫ. Первый раз я такой сценарий на штабных киберучениях в 2012-м опробовал, еще до Крыма. Подняли на смех, сказали, что я квасу обпился…
vx-underground решили ответить Вазаваке на его идею с мерчем с фото из «Самые разыскиваемые преступники 😈 по версии ФБР» своим мерчем. Все троллят друг друга 😕
Читать полностью…Гармонизация уведомлений о киберинцидентах в США
На прошлой неделе американское Министерство внутренней безопасности (DHS) представило Конгрессу доклад о гармонизации уведомлений федерального правительства о киберинцидентах. В 2022 году в США был принят закон об уведомлениях (reporting) о киберинцидентах для критической инфраструктуры (CIRCIA), в соответствии с которым был учреждён специальный совет под эгидой DHS, включающий 33 ведомства, для согласования требований различных госорганов по уведомлению о киберинцидентах. Доклад стал результатом этой работы и должен лечь в основу того, как организации будут отчитываться об инцидентах CISA.
В докладе проанализированы 52 (!) требования по уведомлению об инцидентах, действующих и предложенных, от разных ведомств, включая Минюст, FCC, FTC, Минздрав и пр. (в докладе табличка с 53 страницы). Везде разные условия, сроки, термины и т.д. Задача была посмотреть, нет ли дублирования требований, и понять, как можно их совместить, какие есть препятствия.
Рекомендации доклада:
1. принять везде, где это возможно, модельное определение киберинцидента, подлежащего уведомлению (определение на стр. 26-27);
2. принять модельные сроки и условия уведомления об инцидентах (в течение 72 часов в общем случае и в более короткий срок, если из-за инцидента нарушаются критические или жизненно важные функции);
3. отложить оповещение затронутых лиц, если это может быть сопряжено с риском для КИ, национальной безопасности или текущих расследований;
4. принять модельную форму уведомления об инцидентах;
5. оптимизировать процедуры приёма уведомлений и обмена информацией об инцидентах — возможно, с созданием единого портала;
6. предусмотреть возможность получения дополнительных уведомлений и обновлений, если появляется дополнительная информация;
7. принять общую терминологию, связанную с уведомлением о киберинцидентах;
8. усовершенствовать процессы взаимодействия с организациями после направления ими уведомлений.
Сегодня я в Минске, на Positive SOCcon, рассказываю про факторы, влияющие на необходимость построения SOC в организации. Небольшое введение в проблематику перед выступлениями позитивных коллег, которые будут погружаться уже в тему более глубоко - автопилот в SOC, типовые ошибки, разные типы центров (SOC/CERT/ЦПК/ЦКО), необходимые технологии, выбор фидов, нюансы развертывания SIEM, анализ поверхности атаки, архитектура и т.д.
Читать полностью…ДССТЗИ СБУ Украины опубликовало обзорный отчет о киберактивности против государственных и частных организаций в стране. Каких-то прям открытий нет - просто все сведено в единый документ и показана динамика 📈. Глубоких технических деталей нет, но ключевые тактики, используемые против Украины, описаны. Если бы у нас аналогичные структуры выпускали такие же обзорные отчеты (а я уверен, что России 🇷🇺 тоже есть что сказать), то думаю, что они [отчеты] вряд ли бы сильно отличались по сути. Разве что названия хакерских группировок были бы другие 💻. Но даже по той информации, что НКЦКИ (кстати, вы знали, что в Украине есть свой НКЦК; только там последняя К означает "кибербезопасность") публикует, видно, что тактики не сильно отличаются друг от друга 👨💻
Читать полностью…Стеганография выходит на новый уровень. На фотках три примера использования одной из нейросеток, которая генерит картинки и внедряет в них либо нужную картинку (робот Бендер в панораме города, похожего на Нью-Йорк), либо нужный текст. Причем делает это очень нативно. Пока это выглядит все как проба пера, но сделать что-то более тонкое не составляет большого труда, как мне видится. Сначала ты просто внедряешь текст в картинку, потом ты делаешь внедряешь в надписи на фасадах, городские указатели, граффити, журналы, которые держат в руках персонажи фотографии...
И все это выглядит настолько целостно, что ты даже не понимаешь, что в картинке или видео скрыто какое-то послание. Вариант с китом 🐋 вообще офигенный (как и с котами, но рассматривать его как пропаганду 🐈 не стоит). Да, Большую советскую энциклопедию так не передашь (если только не в сериале "Путеводный свет", насчитывающем 18+ тысяч серий и шедшем на экранах 57 лет), но какие-то короткие тексты, чертежи, фото и т.п. вполне себе. И как такое ловить, пока не очень понятно 🔍
С другой стороны инициатива может быть рассмотрена с точки зрения "дилеммы заключенного" ⚖️ из теории игр. Что выгоднее для участников (субъект и оператор ПДн) - договориться хотя бы о минимальной сумме компенсации или стоять на своем до конца? В худшем случае субъект не получит ничего, а оператор ПДн выплатит максимальный штраф. А в лучшем?..
Читать полностью…Когда я читал прогнозы Сбера, у меня сразу возникло два вопроса к исследованию, - использование Midjourney и излишний пессимизм в отношении нашего будущего ⚰️. И вот в Интернет активно обсуждается тема реального авторства этого отчета. Кто-то говорит, что это утечка из Сбера внутреннего документа. Кто-то считает, что этот отчет - явный фейк 🙃. Кто-то говорит, что авторы отчета (возможно и сам Сбер) просто проверяют реакцию людей. Но ни СМИ, ни сам Сбер официально не подтверждают, но и не опровергают авторство. И вот последнее меня и смущает больше всего. Если бы это был явный фейк и подстава Сбера (а за такие прогнозы им вряд ли морковку дадут), то уже давно бы (а отчет гуляет по Интернет с 7-го сентября) PR Сбера из кожи вон лез, чтобы всем доказать, что это фейк. Но этого нет. А значит, вполне возможно, что отчет и правда их.
Но в любом случае, у меня, кстати, описанное будущее не вызвало вопросов 😊 Оно вполне укладывается в общую канву развития и технологического, и финансового, и даже Сберовского. Но если подтвердится, что это реально был фейк, то это станет прям интересным кейсом, который заставит задуматься о проблеме происхождения информации, которая считается до сих пор нерешенной и США лет 15 назад включили ее в список самых главных тем для НИОКР 🤔 в области кибербеза.
Задумывались ли вы, какой смартфон безопаснее: iPhone или Android? 🤔
Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, считает, что не существует такого понятия, как «безопасный смартфон». С чем это связано — читайте на карточках.
Ответы на какие вопросы по кибербезопасности вы бы хотели узнать от экспертов Positive Technologies? Напишите в комментариях под этим постом 💬
#вопросэксперту #кибербезопасность #cybersecurity #безопасностьданных @SecLabNews
Меня тут в личке спрашивают, буду ли я давать ссылку на бусты, чтобы поддержать канал. Спасибо, коллеги, что хотите его поддержать 🤝, но ссылки не будет. Я не вижу пока смысла в бустинге, сторис и гонке за числом премиум-пользователей в канале. Фотки и видео я и так могу постить, без сторис. А если захочу их поднять на верх, то никто не отменял pin 📌. Хвалиться перед рекламодателями мне тоже не надо, как и монетизировать канал. В общем, пока живем в прежнем режиме 💻
Читать полностью…На штабных киберучениях, которые я проводил на Сахалине, один из кейсов касался темы недопустимых событий. По легенде заместитель руководителя организации по цифровой трансформации для выполнения требований МинЦифры и получения высоких рейтингов по этой теме должен составить перечень недопустимых событий в своем органе исполнительной власти и для этого он обращается за помощью к руководителю по ИБ. Я спросил, что должен делать последний, чью роль и выполняли участники киберучений.
И тут я вынужден сказать, что если в коммерческом секторе понятие недопустимых событий понимают гораздо лучше, то в госухе с этим сложно ❓. На учениях звучала идея, что надо взять угрозы ИБ 👿, сформированные по методике оценки ФСТЭК, и просто перегнать их в недопустимые события. Кто-то пошел чуть дальше и решил негативные последствия из новой, еще неопубликованной ФСТЭК, но автоматизированной у них на сайте, методики использовать 🫡.
В другом чатике на тему новой методики Минцифры, в которой и упоминаются недопустимые события, представители госорганов требовали предъявить им список НС, чтобы можно было выбрать из него то, что нужно. Но ведь это коренным образом нарушают все логику с определением событий с катастрофическими последствиями. Это должны делать первые лица организации - губернатор, министр и т.п. Но никак не ИБшник, который по привычке потянет за собой киберугрозы. И тут не может быть никакого списка, из которого можно будет выбирать варианты. В общем, Минцифре стоит усилить мероприятия по продвижению этой темы у подопечных...
Олег задается рядом вопросов касательно возможной утечки из "Сирена-Трэвел" ✈️ и мне есть что сказать по этому поводу.
🔤Олег пишет, что 16 лет хранения (а именно об этом сроке говорится в утечке "Сирены-Трэвел") - это перебор. Тут, конечно, можно поспорить, так как помимо наших с вами желаний есть еще и требования по транспортной безопасности. И боюсь, что именно ради них все это и хранится так долго. Об этом говорят и поправки в Воздушный кодекс и закон "О транспортной безопасности", которые гласят, что срок хранения информации о пассажирах определяется Минтрансом по согласованию с ФСБ и МВД. И хотя этот закон вступает в силу только с 1-го марта 2024 года, не исключаю, что и раньше ради нацбезопасности данные о перемещениях накапливались достаточно длительное время.
🔤Тот же Аэрофлот в своей политике конфиденциальности не указывает этот срок, ссылаясь на стандартную отписку про "в течение срока, необходимого для достижения соответствующей цели" или "когда закон устанавливает более продолжительный срок хранения". О том же говорит и их политика конфиденциальности в области ПДн. В политике обработки ПДн "Сирены-Трэвел", принятой в мае этого года, аналогичная конструкция.
🔤ИКАО в своих рекомендациях в отношении записей регистрации пассажиров этот срок тоже не устанавливает, отсылая всех к локальному законодательству. Так что вроде запрета на долгое хранение нет.
🔤Система менеджмента ИБ "Сирены-Трэвел" сертифицирована по требованиям ISO/IEC 27001:2013. Сертификат действует с января 2021 по январь 2024 года.
🔤Информационная система персональных данных "Сирены-Трэвел" была в августе 2020-го аттестована по требованиям ФСТЭК. Аттестат закончил свое действие в августе этого года.
🔤В феврале 2023-го "Сирена-Трэвел" была сертифицирована еще и по PCI DSS 3.2.1 (сертификат действует до февраля 2024-го).
Если факт утечки в системе бронирования авиаперевозок ✈️ подтвердится (а семпл позволяет сделать такой вывод), то это будет очередной демонстрацией, что наличие сертификатов/аттестатов никак не гарантирует реальную кибербезопасность и не может служить никаким доказательством, что данные находятся в сохранности. Но и это еще не все.
Пассажиры ✈️ ведь не заключают никаких соглашений с "Сиреной-Трэвел", они свои данные сдают авиакомпаниям, а то и всяким транспортным и туристическим агентствам, которые затем "сдают" их Сирене. И поэтому сразу возникает вопрос ❓ - кому предъявлять претензии, что персональные данные мои или моих детей утекли? Можно ли вообще их предъявлять, если никто официально не подтвердит факт утечки? А что-то пока про это все официальные лица молчат; что тоже понятно, "Сирену" продвигают солидные организации.
ЗЫ. Ну а пока ждем очередных журналистских расследований. Вспоминая то, что писал в свое время Bellingcat, опираясь на данные за меньший период времени, утечка об авиаперевозках за столько лет может всякое раскрыть.
Интересно, сейчас все обсуждают утечку почтового архива зама руководитея ФНС, курирующего вопросы информатизации и ИБ (последние письма датированы августом 2023-го года). Но странная ситуация. Все обсуждают, ЧТО утекло, а не ПОЧЕМУ эта информация публикуется в канале, который уже не один год сливает очень чувствительные данные по высокопоставленным чиновникам 🧐
Шалтая-Болтая за схожие фокусы прихватили очень быстро. Проукраинские каналы с утечками ПДн россиян тоже прикрывают регулярно (хотя они также быстро восстают из пепла) ⛔️ А тут канал продолжает работать много лет, сливает не только персданные, но и конфиденциалку и ДСП; и хоть бы что 🤷♀️ И все наши депутаты, сенаторы, роскомнадзоры и иже с ними активно обсуждают, что с началом СВО увеличилось число утечек персональных данных российских граждан, что против нас ведется кибервойна, что серый цифровой профиль гражданина регулярно пополняется новыми данными, а про источник утечек гораздо более критичной и более ценной информации - ни слова?..
Cui prodest? Cui bono?
Вдруг вспомнилось, что раньше логотип ГосСОПКИ был другой. Но ассоциация с медведем и всяческими группировками, в названии которых встречалось слово Bear (Fancy, Energetic, Cozy...), были уж слишком явные. Наверное, поэтому заменили на радар.
ЗЫ. Хотя вот ЦИБ ФСБ не стеснялся таких ассоциаций и в своем настенном календаре на 2019 год хорошо прошелся по теме медведей и страхов американских военных, на мониторах которых вдруг появляется медвежья морда 😊