По факту ИБ может найти 100500 уязвимостей, передать разработчикам описание по их устранению, но бизнес решит их не устранять: нужно скорее скорее в прод. После эксплуатации одной уязвимости у клиента придут не к разработчикам за претензиями, а к ИБ. И тут не поможет даже официальная фиксация отказа устранять - в случае финансовых убытков у клиента об этом забудут.
И не стоит забывать о второй стороне медали: после таких инцидентов у ИБ специалиста может пасть репутация и будущие работодатели не будут вникать в подробности этого. "Чёрная метка" уже есть.
А в некоторых случаях (КИИ) ещё и уголовная ответственность предусмотрена, если прокуратура будет разматывать цепочку полностью.
Придётся как раньше (может быть кто-то ещё помнит). Предварительно планировать поездку, записывать номера телефонов местных такси (таксофоны пока не забанили) и т.д. Возвращаемся к истокам.
Объясните мне пожалуйста, в смартфоны будет вживляться какой-то аппаратный модуль? Я не исключаю, что между ЕСИА и самими серверами МАКСа сделают канал на ГОСТовом шифровании. А как будет защищаться канал между смартфоном/ПК, где установлен мессенджер и серверами МАКСа (защита аутентификационной информации в стответствии с требованиями регуляторов). Или вся аутентификационная информация граждан будет храниться на серверах МАКСа и это будет аналог облачной ЭЦП в личном кабинете налоговой?
ИТшники, не переходите в ИБ :) Вы столкнетесь с непониманием вашей необходимости, постоянно придется что-то доказывать. Столкнётесь с токсичностью. Доход от этого у Вас не возрастёт (см. выступления руководителя авторов статьи). Более того, сейчас регуляторы (ФСТЭК/ФСБ/МинЦифры..) столько навыпускали документов, что в них можно утонуть. Игра свеч не стоит, но у каждого всегда есть выбор.
Немного непонятна роль Security Operation Center во всём этом. Обычно внутри компании применяются комплексные меры, например такие как:
Должен быть отдельный регламент (или в составе верхнеуровнего документа) действий сотрудников при получении неожиданных предложений о покупке чего-либо, связанного с компанией (включая цифровые активы). Обязателен ли отчёт в СБ при этом? Это нужно для единых правил поведения и культуры безопасности.
Должны проводиться регулярные тренинги по социальной инженерии с использованием реальных кейсов (в том числе как «покупка Telegram-ника»). Как часто? Как оценивается эффективность таких тренингов? Это нужно для оценки обучения персонала и вовлечённости HR/обучения в ИБ.
Должен вестись учёт и защита цифровых активов компании (никнеймы, домены, соцсети), и документ кто за это отвечает (например, реестр) с мониторингом. Это нужно для оценки управления цифровыми активами — требует координации между ИТ, маркетингом, ИБ.
Должна быть политика по использованию мессенджеров в рабочих целях.Если используются личные аккаунты, то как обеспечивается безопасность ( я к тому, легализовано ли "подслушивание" в соответствии с законом "О связи")? Это нужно для оценки корпоративной политики коммуникаций — требует участия ИТ, юристов, руководства.
Скорее всего на основании этого событие было расценено как атака на «Газинформсервис», а не как случайное предложение. Но в статье нет признаков, которые указывают на целенаправленность атаки.
Был бы более интересен разбор, как Security Operation Center технически может противодействовать данным угрозам:
Как GSOC реагирует на попытки мошенничества, если они выявлены сотрудником
Есть ли процесс анализа, документирования и передачи данных в правоохранительные органы?
Используются ли технические решения для мониторинга подозрительных коммуникаций в мессенджерах (Telegram, WhatsApp и др.)?
Как GSOC оценивает уровень угрозы от атак, маскирующихся под легитимные бизнес-процессы?
Есть ли база угроз (Threat Intelligence), включающая подобные сценарии?
Проводятся ли ред-тесты (simulated social engineering attacks) для проверки бдительности сотрудников? Какие сценарии используются? Какие результаты?
Как GSOC взаимодействует с внешними платформами (Telegram, Fragment) при выявлении мошеннических аккаунтов? Есть ли каналы связи? Подавались ли жалобы по данному инциденту?
Поподробнее пожалуйста про лицензию на ПДн, это какой такой регулятор выдает? :)
Лицензия может быть на деятельность организации или на соответствие автоматизированной системы. MAX - это программное обеспечение, на него выдается сертификат. Только не выдадут, т.к. исследований того требующих не проводилось. Если вы про ИСПДн, то это немного другое.
Госуслуги - это по сути несколько ГИС (государственных информационных систем). Если МАХ будет интегрироваться с Госуслугами, то где его аттестат соответствия (Приказ ФСТЭК России от 18.02.2013 N 21)?
Для обеспечения квалифицированное ЭЦП нужно подтверждение контроля встраивания в MAX СКЗИ (Приказ ФСТЭК России № 489 от 31.08.2010)
Разработчик MAX наверное должен обладать лицензией ФСТЭК на разработку и производство средств защиты
Есть ли это уже всё или это какое-то альфа-тестирование в масштабах страны? Или не на всех распространяются требования регуляторов по ИБ?
Реклама приносит доход. А уязвимость могут другие не обнаружить.
Если в компании нет плана по недопустимым событиям, то ничего с этим не сделаешь. Пока в компании зрелость ИБ на зачаточном уровне, но значимый инцидент это может быстро исправить. Тогда на ИБ и бюджет найдется, и ФОТ.
Не поверите, но часто. И в самой школе на это давят, видимо нужно выполнять какой-то план. Раньше классный руководитель был своеобразным психологом.
Но такие разводы стары как мир. Я уже рассказывал, что когда учился в школе в 90х, то в школу пришли из секты дионетиков (кажется так называлась) и выписали адреса и телефоны учеников из классных журналов. А потом тоже звонили всем и пытались получить информацию о достатке в семье и скорее всего дальше тоже какие-то схемы с выманиванием средств.
Это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.
Интересно, а клиенты, которые же сами вносят кучу формулировок про обеспечение безопасности данных, паролей в том числе, осознают, что всё это работает, пока всё хорошо? И если делать все "по правильному", то контрагенту всё равно, что они теряют 100500 денег в секунду и нужно поступать, как это требуют ограничения в договоре?
Если руководство все отчёты ИБ отделов по выявленным недостаткам складывают в стол, т.к. дорого... когда случится, тогда и будем шевелиться... так и приходим к таким цифрам.
Это ведь результаты уже случившегося, а превентивные меры стоят не дешево и много где отдел ИБ "для галочки", да зарыться от регуляторов.
Т.е. этот их единый инструмент для обеспечения цифровой и финансовой безопасности абонентов домашнего интернета и мобильной связи защищает только своих абонентов, а то что каждый день с рандомных сотовых номеров поступают назойливые спам-звонки от Ростелекома - это другое?
По факту ИБ может найти 100500 уязвимостей, передать разработчикам описание по их устранению, но бизнес решит их не устранять: нужно скорее скорее в прод. После эксплуатации одной уязвимости у клиента придут не к разработчикам за претензиями, а к ИБ. И тут не поможет даже официальная фиксация отказа устранять - в случае финансовых убытков у клиента об этом забудут.
И не стоит забывать о второй стороне медали: после таких инцидентов у ИБ специалиста может пасть репутация и будущие работодатели не будут вникать в подробности этого. "Чёрная метка" уже есть.
А в некоторых случаях (КИИ) ещё и уголовная ответственность предусмотрена, если прокуратура будет разматывать цепочку полностью.
Будет, даже без смартфона/ПА.
Придётся как раньше (может быть кто-то ещё помнит). Предварительно планировать поездку, записывать номера телефонов местных такси (таксофоны пока не забанили) и т.д. Возвращаемся к истокам.
Мне тут в другой ветке с пеной у рта доказывали, что этот перечень всего из двух сайтов и что дополняться конечно же не будет:
https://rkn.gov.ru/activity/electronic-communications/registerSocResources/
Чем сложнее сделать доступ, тем меньше граждан этим будут пользоваться. Экономия :)
Зачем в условиях ограничений службы такси, если у самих такси их приложения не работают, т.к. нет Интернет или нет геолокации?
По проводу также будут делать?
Объясните мне пожалуйста, в смартфоны будет вживляться какой-то аппаратный модуль? Я не исключаю, что между ЕСИА и самими серверами МАКСа сделают канал на ГОСТовом шифровании. А как будет защищаться канал между смартфоном/ПК, где установлен мессенджер и серверами МАКСа (защита аутентификационной информации в стответствии с требованиями регуляторов). Или вся аутентификационная информация граждан будет храниться на серверах МАКСа и это будет аналог облачной ЭЦП в личном кабинете налоговой?
Все эти слова только ради пиара. Нефть дорожает - стоимость бензина растёт, нефть дешевеет - стоимость бензина растёт. Но работа ведётся :)
ИТшники, не переходите в ИБ :) Вы столкнетесь с непониманием вашей необходимости, постоянно придется что-то доказывать. Столкнётесь с токсичностью. Доход от этого у Вас не возрастёт (см. выступления руководителя авторов статьи). Более того, сейчас регуляторы (ФСТЭК/ФСБ/МинЦифры..) столько навыпускали документов, что в них можно утонуть. Игра свеч не стоит, но у каждого всегда есть выбор.
Немного непонятна роль Security Operation Center во всём этом. Обычно внутри компании применяются комплексные меры, например такие как:
Должен быть отдельный регламент (или в составе верхнеуровнего документа) действий сотрудников при получении неожиданных предложений о покупке чего-либо, связанного с компанией (включая цифровые активы). Обязателен ли отчёт в СБ при этом? Это нужно для единых правил поведения и культуры безопасности.
Должны проводиться регулярные тренинги по социальной инженерии с использованием реальных кейсов (в том числе как «покупка Telegram-ника»). Как часто? Как оценивается эффективность таких тренингов? Это нужно для оценки обучения персонала и вовлечённости HR/обучения в ИБ.
Должен вестись учёт и защита цифровых активов компании (никнеймы, домены, соцсети), и документ кто за это отвечает (например, реестр) с мониторингом. Это нужно для оценки управления цифровыми активами — требует координации между ИТ, маркетингом, ИБ.
Должна быть политика по использованию мессенджеров в рабочих целях.Если используются личные аккаунты, то как обеспечивается безопасность ( я к тому, легализовано ли "подслушивание" в соответствии с законом "О связи")? Это нужно для оценки корпоративной политики коммуникаций — требует участия ИТ, юристов, руководства.
Скорее всего на основании этого событие было расценено как атака на «Газинформсервис», а не как случайное предложение. Но в статье нет признаков, которые указывают на целенаправленность атаки.
Был бы более интересен разбор, как Security Operation Center технически может противодействовать данным угрозам:
Как GSOC реагирует на попытки мошенничества, если они выявлены сотрудником
Есть ли процесс анализа, документирования и передачи данных в правоохранительные органы?
Используются ли технические решения для мониторинга подозрительных коммуникаций в мессенджерах (Telegram, WhatsApp и др.)?
Как GSOC оценивает уровень угрозы от атак, маскирующихся под легитимные бизнес-процессы?
Есть ли база угроз (Threat Intelligence), включающая подобные сценарии?
Проводятся ли ред-тесты (simulated social engineering attacks) для проверки бдительности сотрудников? Какие сценарии используются? Какие результаты?
Как GSOC взаимодействует с внешними платформами (Telegram, Fragment) при выявлении мошеннических аккаунтов? Есть ли каналы связи? Подавались ли жалобы по данному инциденту?
Поподробнее пожалуйста про лицензию на ПДн, это какой такой регулятор выдает? :)
Лицензия может быть на деятельность организации или на соответствие автоматизированной системы. MAX - это программное обеспечение, на него выдается сертификат. Только не выдадут, т.к. исследований того требующих не проводилось. Если вы про ИСПДн, то это немного другое.
Госуслуги - это по сути несколько ГИС (государственных информационных систем). Если МАХ будет интегрироваться с Госуслугами, то где его аттестат соответствия (Приказ ФСТЭК России от 18.02.2013 N 21)?
Для обеспечения квалифицированное ЭЦП нужно подтверждение контроля встраивания в MAX СКЗИ (Приказ ФСТЭК России № 489 от 31.08.2010)
Разработчик MAX наверное должен обладать лицензией ФСТЭК на разработку и производство средств защиты
Есть ли это уже всё или это какое-то альфа-тестирование в масштабах страны? Или не на всех распространяются требования регуляторов по ИБ?
На самом деле таких историй много, в том числе и в отношении крупных компаний. Просто не все пишут статьи :)
Реклама приносит доход. А уязвимость могут другие не обнаружить.
Если в компании нет плана по недопустимым событиям, то ничего с этим не сделаешь. Пока в компании зрелость ИБ на зачаточном уровне, но значимый инцидент это может быстро исправить. Тогда на ИБ и бюджет найдется, и ФОТ.
Не поверите, но часто. И в самой школе на это давят, видимо нужно выполнять какой-то план. Раньше классный руководитель был своеобразным психологом.
Но такие разводы стары как мир. Я уже рассказывал, что когда учился в школе в 90х, то в школу пришли из секты дионетиков (кажется так называлась) и выписали адреса и телефоны учеников из классных журналов. А потом тоже звонили всем и пытались получить информацию о достатке в семье и скорее всего дальше тоже какие-то схемы с выманиванием средств.
Интересно, а клиенты, которые же сами вносят кучу формулировок про обеспечение безопасности данных, паролей в том числе, осознают, что всё это работает, пока всё хорошо? И если делать все "по правильному", то контрагенту всё равно, что они теряют 100500 денег в секунду и нужно поступать, как это требуют ограничения в договоре?
Если руководство все отчёты ИБ отделов по выявленным недостаткам складывают в стол, т.к. дорого... когда случится, тогда и будем шевелиться... так и приходим к таким цифрам.
Это ведь результаты уже случившегося, а превентивные меры стоят не дешево и много где отдел ИБ "для галочки", да зарыться от регуляторов.
Т.е. этот их единый инструмент для обеспечения цифровой и финансовой безопасности абонентов домашнего интернета и мобильной связи защищает только своих абонентов, а то что каждый день с рандомных сотовых номеров поступают назойливые спам-звонки от Ростелекома - это другое?
Не в защиту Астры, упаси меня от этого. Но в Linux проблемы решаются, но не так как в Windows. Просто по другому.