r/ #technology
Банкомат, который показывает всем окружающим твоё фото и твой баланс на карте
Спонсором этой кампании является… Роскомнадзор. Кто бы сомневался…
Так что ждем в декабре активной рекламы с теми, кто согласится на щедрое предложение и будет топить за то, что наказание за утечку ПДн надо усилить, углубить и все такое 😈
Этот эфир на Standoff получился самым для меня насыщенным - в течение часа мы поговорили о том:
📌 почему компании не ограничиваются пентестами и идут в программы Bug Bounty,
📌 почему платформа Bug Bounty лучше своей собственной программы,
📌 во сколько обойдется участие в Bug Bounty для компании,
📌 чем Bug Bounty отличается от пентеста и когда надо их применять,
📌 какие выгоды получает компания от участия в Bug Bounty,
📌 и т.п.
Парадоксальная ситуация. Когда публикуешь дайджест законодательных инициатив раз в месяц и там набирается 25-28 пунктов, он не вызывает такой реакции, как дайджест сразу за два месяца с 50-56 НПА 🤔
С точки зрения математики и здравого смысла - это одно и тоже (число НПА за заданный период). Но второе воспринимают как «достали уже со своей писаниной регуляторы», а первое такой реакции не вызывает.
Интересно, если подвести годовой итог и там получится под триста НПА по ИБ, то какой будет реакция?
Но все это, конечно, объяснимо - психология. Чем реже мы о чем-то слышим/узнаем, тем бОльшую реакцию это вызывает в момент ознакомления. В психологии восприятия рисков та же история - события с меньшей частотой чаще преувеличиваются, а события, происходящие постоянно, принижаются.
Мы часто ругаем регуляторику, считая, что она мешает заниматься реальной ИБ. И на этом основании даже не пытаемся поставить нормативку себе на службу, правильно ее интерпретируя для решения задач, которые ставит перед ИБ бизнес.
Непрерывный мониторинг, устранение уязвимостей, пентесты, повышение осведомленности, MFA, мониторинг сетевых аномалий, обнаружение и реагирование (xDR) на разных уровнях, киберучения, сегментация… Все это есть в нормативке и все это составные части результативной ИБ.
Но нет… Мы прицепимся к какой-нибудь дурацкой фразе (а они есть, чего уж тут скрывать) и на этом основании будем утверждать, что весь документ говно. Вместо того, чтобы сочетать формулировки НПА по ИБ с современными технологиями и подходами, мы ищем причины, почему оно не взлетит 🤬, и требуя отменить весь приказ/стандарт/методичку.
Да, было идеально, если бы регулятор выпускал сразу идеальные документы, но увы… Чего ждать от госоргана, который часто в глаза не видел того, безопасность чего он регулирует? Но такова уж специфика вообще регуляторов во всем мире. Не нравится - подскажи, как правильно. Есть регуляторы, открытые к диалогу. Сообща может родиться что-то полезное. Есть регуляторы упертые и думающие не о том, чтобы сделать лучше. Тут приходится творчески трактовать их требования, что тоже возможно. А можно уйти в глухую оборону «все говно». Каждый выбирает для себя…
В ГИС министерства использовались несертифицированные средства защиты?! А так можно было?
Читать полностью…Частота сканирования уязвимостей для активов, доступных из Интернет. Явного лидера нет, но смущает, что 45% делает это раз в квартал или реже. И речь не о пентестах, а об обычном сканировании тех ресурсов, через которые и могут пролезть плохие парни и вредоносы.
Читать полностью…Аналитики любят глазами, а потому вендора по ИБ пытаются решить эту проблему, уходя от табличных представлений данных (атаки, инциденты, уязвимости, контроли и т.п.) в своих решениях в сторону визуализации, приближенной к реальной инфраструктуре потребителя. Отсюда появляются истории про решения, визуализирующие цепочку действий злоумышленников, возможные вектора атак и т.п. Где-то это просто прогнозирование возможного развития событий, опираясь на данные об уязвимостях, где-то эта информация сочетается с данными об атаках в реальном времени для слежения за хакерами "здесь и сейчас".
Читать полностью…Англичане 🇬🇧 в один из своих законопроектов по ИБ (Online Safety Bill) хотят ввести ответственность 👮 CIO, CIO, CTO и т.п. за любое несоответствие требованиям государства; независимо от нанесенного ущерба. А вы говорите, наши регуляторы лютуют ;-)
Читать полностью…Microsoft «убьет» рынок DLP?!.. Они включили в свои решения новую функцию по борьбе с инсайдерами, а именно отслеживание движения мыши, нажатия клавиш и все такое. Все для борьбы с кражей интеллектуальной собственности и другими внутренними инцидентами.
Читать полностью…Почти 60 нормативных актов и их проектов попало в очередной дайджест, который я опубликовал в блоге.
Читать полностью…Чем ближе внесение в Госдуму законопроекта об оборотных штрафов за утечку ПДн, тем больше задумываюсь, не будут ли оборотные штрафы стимулировать выплату выкупов вымогателям или похитителям ПДн, а не рост инвестиций в ИБ личных данных?
Читать полностью…Если вы даже дома не блокируете компьютер, отходя пописать, то настоящий ли вы безопасник?
Читать полностью…⚡ Максут Шадаев: «Подготовлены поправки в закон о критической информационной инфраструктуре (КИИ). Сейчас КИИ определяет сам собственник, и то, как он классифицирует, что относится к КИИ, а что – нет, это его ответственность. Но зачастую компании этим правом пренебрегают и минимизируют количество систем, которые определяются как КИИ. Потому что это дополнительная ответственность. Разбираясь в разрезе отраслей, какие системы являются критичными, мы поняли, что значимая часть систем не классифицирована как КИИ.
Законопроект наделяет правительство полномочиями сверху определять по каждой отрасли те типы информационных систем, которые будут обязательно относиться к КИИ. По ним будут устанавливаться сроки перехода на российские решения. Мы подходим к этому с осторожностью, сроки должны быть увязаны с готовностью решений».
@mintsifry #TAdviser
Интересный способ применения геймификации в банковском деле 😂 Интересно, какая ачивка будет у лидера списка? Кирпич, бита, паяльник?..
ЗЫ. Спасибо подписчику Виталию за ссылку!
Вы же знаете Анну Семенович? Вы думаете она фигуристка ⛸️? Нет! Певица 👩🎤? Нет! Она инфлюенсер!
Пришло тут ко мне рекламное агентство, которое продвигает топовых инфлюенсеров, и предложило снять со мной ролик. Ну все, думаю. Вот она слава пришла. Теперь Тик-Ток у моих ног, я с Анной Семенович, Лизой ЛПшкой или Лерой Изумруд в одном ряду. Софиты, поклонницы, миллиарды доходов…
Но все оказалось куда прозаичнее ;-(
Последние пару дней ознаменовались тем, что две ИБ-компании столкнулись с инцидентами. Одна, уже известная LastPass, которая уже страдала от взлома в августе этого года и вот снова - кто-то, получивший доступ к аутентификационной информации еще в августе, использовал ее сейчас для доступа к облачным сервисам LastPass. И хотя LastPass ссылается на то, что пароли пользователей не пострадали (у них же архитектура Zero Knowledge, ё-моё), я бы все-таки их поменял. На всякий случай.
Второй инцидент у компании ENC Security, технологии которой используются в USB таких производителей как Sandisk, Sony, Lexar и т.п. Утекли конфигурации и файлы сертификатов за целый год. Причина - некорректная конфигурация поставщика.
Известная поговорка, что и на старуху бывает проруха, доказана дважды. Нет смысла делать какие-то выводы (все могут пострадать), кроме одного - подумайте о безопасности цепочек поставок и о том, как вы защищаетесь от возможной компрометации ваших подрядчиков и поставщиков, в том числе и в области ИБ.
🔸Генеральная прокуратура выявила нарушение закона о защите персональных данных в Минэкономразвития РФ. До настоящего времени Минэкономразвития не приняты нормативно-правовые акты, определяющие угрозы безопасности персональных данных, актуальные при их обработке в их информационных системах..
🔸Также ов министерстве допускается эксплуатация государственных информационных систем без учета требований безопасности, а также "применяется несертифицированное уполномоченными органами программное обеспечение".
🔸По материалам проверки Генеральной прокуратуры в отношении виновного лица уже составлен протокол. И будут решен вопрос о рассмотрении дела об административном правонарушении.
🇷🇺⚡🏛️ #минэк #прокуратура #испд #сзпд #сертификация
В Албании 5-х специалистов по ИТ/ИБ, работавших в госорганах, посадили под домашний арест в качестве наказания за нарушение имеющихся правил по ИБ, что и привело к успешной атаке Ирана на албанские госресурсы летом этого года. Блин, ведь бывает же так. Прям как в фантастическом кино. Виноват - наказан и не важно, что ты в госоргане работаешь и вроде как рука руку моет. Нет!
У нас это обычно заканчивается тем, что проблему замылили и реальных виновных не наказали. Зато можно попросить бюджетов на ИБ, потребовать пучок новых статей в Уголовный Кодекс, рассказать журналистам о растущей важности ИБ и покрасоваться на телевизионном канале, обсуждая хакеров всего мира, которые неустанно долбят российскую демократию.
Вся проблема в правоприменении. Бессмысленно принимать новые поправки в КоАП и УК, если у нас даже текущие статьи нормально не применяются, судьи не понимают "компьютерных" дел, следователи не любят "глухарей" из дел по 272-274-й статьям, надзор редкий и без оргвыводов, проверяющие низкоквалифицированные. Без исправления этого, все остальное бессмысленно, - так и будем постоянно говорить о том, как организовать борьбу вместо того, чтобы реально "бороться".
NIST подготовил 2-ю версию проекта документа по защите личных мобильных устройств (BYOD)
Читать полностью…Интересно, если это управление по организации борьбы, то кто занимается самой борьбой?
Читать полностью…День Китая 🇨🇳 в канале продолжается. Чтобы обойти цензуру, китайские диссиденты обмениваются новостями и сведениями о местах ближайших манифестаций с помощью Airdrop, который позволяет это делать, минуя Интернет и, как следствие, цензуру.
Китайские власти попросили и Apple не мог не прислушаться - в итоге обмен по Airdrop в Китае ограничили.
Это к разговору о том, чье мнение важно для коммерческой компании - миллиарда потенциальных потребителей или государства, которое может вообще не дать достучаться до этого миллиарда.
Существование любой успешной ИТ/ИБ-компании - это всегда баланс между требованиями рынка, государства и человеческими ценностями. Хотим мы того или не хотим 🤷
У смартфонов Хуавей обнаружилась интересная фича - он удаляет видео китайских протестов. Сам, по своей воле. Ну или по воле пославшей его жены партии. Очень удобная функция в демократическом обществе. Этакий Managed Smartphone Service.
Интересно, что еще может делать китайский смартфон удаленно, по команде из Пекина? А то ведь эта марка у многих российских чиновников сейчас используется вместо продукции Apple 🍎
34 года назад мир изменился! С международным днем защиты информации! Поздравляю всех причастных, сопричастных, деепричастных и дееспособных!!!
Читать полностью…На днях коллега сказал мне, что я хожу по грани со своими постами в Телеграмме 😫В тот же день, вечером, другой мой коллега сказал, что я перестал жестить и мои посты стали какими-то невдохновляющими на срач… Вы бы видели, какие я веду беседы со своим внутренним цензором на тему ⛔️ публиковать или нет очередную свою заметку ✍️. У меня сейчас уже несколько десятков неопубликованных постов, из которых впору создавать отдельный анонимный канал 🤫То регулятора что-то может задеть, то попадает под свежий 547 приказ ФСБ, то партнеру может не понравиться, то заказчику… 😈 Выйду на пенсию 🏡 опубликую мемуары и вы поймете, какого творчества я сам себя лишил ;-)
Читать полностью…Этот, самый популярный из всех эфир первого дня Standoff, был посвящен обзору киберучений на реальной инфраструктуре Позитива, которую пыталась взломать команда ЦАРКА и реализовать принятые руководством компании недопустимые события. Интересный эфир с участием двух сторон - нападающей и защищающейся, с блиц-обсуждением техник и тактик, с забавными наблюдениями в процессе киберучений.
Читать полностью…Скоро те, кто не категорировал объекты КИИ, смогут расслабиться и уже ничего не делать - за них это сделает регулятор; так, как посчитает нужным!
Читать полностью…