В Минцифры откажутся от СМС-кодов доступа к "Госуслугам"
Глава Минцифры Максут Шадаев в конце мая 2025 года сообщил, что Минцифры откажутся от СМС-кодов доступа к "Госуслугам" в течении некоторого переходного периода. Ранее с такой инициативой выступили депутаты Госдумы. На первом этапе по СМС будет нельзя верифицировать смену пароля в аккаунте.
Сейчас "Госуслуги" предлагают, по выбору пользователя, три вида "второго фактора" двухфакторной авторизации: TOTP, СМС и биометрия.
Причиной отказа от 2FA c применнием СМС названа уязвимость данного способа аутентификации в настоящее время: "Любой код, который приходит в СМС-сообщении, — это сейчас зло", — пояснил глава Минцифры. Наиболее перспективными для генерации "второго фактора" в Минцифры считают OTP-алгоритмы.
ГК InfoWatch — победитель премии CIPR Digital 2025 в номинации «Легенды инфобеза»
Рады поделиться новостью — проект ГК InfoWatch стал победителем премии CIPR Digital в номинации «Легенды инфобеза». Итоги подвели на ЦИПР-2025.
Для участия в премии компания представила кейс с крупным промышленным предприятием, где реализована интеллектуальная система защиты персональных данных сотрудников на базе DLP-системы InfoWatch Traffic Monitor. В основе проекта — новый способ автоматического анализа выгрузок из баз данных, который запатентован в 2024 году.
На GitHub опубликовали новый инструмент для обнаружения протоколов маскировки TLS Он получил название Aparecium и способен выявлять ShadowTLS v3 и REALITY, которые маскируют зашифрованный трафик под легитимный TLS 1.3.
Aparecium использует особенности реализации TLS, чтобы обнаружить аномалии в поведении протоколов маскировки. ShadowTLS и REALITY, например, часто не обрабатывают отправляемые сервером сообщения NewSessionTicket должным образом, что позволяет выявить их использование.
Серверы на базе OpenSSL отправляют два сообщения NewSessionTicket одинаковой длины в одном TCP‑пакете, что также является характерной особенностью, отсутствующей в протоколах маскировки.
Задача подойдет начинающим специалистам по информационной безопасности, а также всем, кто любит CTF-турниры или только готовится к участию в этих соревнованиях.
Условие На веб-сервере спрятан флаг. Отправьте правильный запрос, чтобы получить к нему доступ. Будьте внимательны при анализе ответа.
Задача Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://attention.slcctf.fun/.
Делитесь решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.
Команда исследователей из Palisade Research опубликовала отчёт о возможностях современных ИИ в области наступательной кибербезопасности. Впервые системы искусственного интеллекта были допущены к полноценному участию в хакерских соревнованиях Capture The Flag — и не просто справились, а вошли в число лучших.
В соревновании «AI vs Humans» автономные агенты на базе ИИ попали в топ-5% лучших участников, а на масштабном конкурсе Cyber Apocalypse показали результат в топ-10%, конкурируя с десятками тысяч профессиональных игроков.
Главная идея исследования — протестировать, насколько эффективно можно использовать метод «elicitation» (максимальное раскрытие потенциала ИИ) за счёт краудсорсинга, то есть через открытые соревнования. Вместо того чтобы полагаться на закрытые тесты в лабораториях, Palisade позволила внешним командам и энтузиастам самостоятельно настраивать и запускать ИИ в условиях настоящих CTF‑турниров.
Результаты оказались неожиданными. Некоторые ИИ-агенты смогли решить 19 из 20 задач, не уступая топовым человеческим командам по скорости. Особенно хорошо ИИ справлялись с задачами по криптографии и реверс‑инжинирингу. На турнире Cyber Apocalypse, где участвовало более 8000 команд, ИИ смогли решать те задачи, которые занимают у опытного игрока около часа. Это соответствует оценкам других исследователей: современные языковые модели уже уверенно справляются с техническими задачами продолжительностью до 60 минут.
От визитных книг до Facebook: кто и как продавал ваши данные последние 100 лет
Юрист по информационной безопасности ГК InfoWatch Илья Башкиров написал статью об истории оборота и регулирования персональных данных.
Из статьи вы узнаете, как торговали персональными данными до цифровой эры, как нацисты использовали их для геноцида, и как визитные книги и телефония заложили основу для таргетирования рекламы.
Представлен дашборд для поиска в интернете данных по запросам ИБ CyberOSINT от геолокации до поисковых запросов в браузере пользователей, компаний по следам в интернете. Решенеи на базе конструктора Google Dork парсит информацию в открытых каналах.
Злоумышленники украли конфиденциальные данные школьников у издателей выпускных альбомов — они могут быть использованы для мошеннических схем и создания дипфейков.
Новые приоритеты кибербезопасности АСУ ТП
В условиях растущей геополитической напряженности и все более изощренных угроз приоритеты кибербезопасности АСУ ТП должны быть нацелены на проактивное управление рисками.
Утечка через вирус-вымогатель у энергетиков
Канадская компания Nova Scotia Power подтвердила утечку данных потребителей — уведомления об инциденте получили примерно 280 тыс. человек.
В Сеть слили данные 184 мл пользователей
Исследователь безопасности обнаружил в открытом доступе базу с данными пользователей многих интернет-платформ, в том числе сайтов Google, Microsoft, Apple, Facebook, Instagram и Snapchat.
Adidas сообщил об утечке ПДн
Инцидент ИБ произошел на стороне поставщика услуг по обслуживанию клиентов, и это уже не первая утечка в компании в этом месяце.
Хакеры взломали Coca-Cola
Группировка Everest заявила о похищении внутренней информации компании, а злоумышленники из Gehenna сообщили о взломе базы данных Salesforce британского подразделения по производству тары в Западной Европе и Азиатско-Тихоокеанском регионе.
Накануне Международного дня защиты детей эксперт по информационной безопасности ГК InfoWatch, доцент НИУ ВШЭ Денис Денисов выступил на пресс-конференции «Цифровая безопасность детей: новые тренды, меры противодействия и психологические аспекты».
Он рассказал про актуальные киберугрозы, направленные на детей, сценарии поведения злоумышленников и меры противодействия им. Родителям важно погрузиться в эту тематику, поскольку «цифровой разрыв» между поколениями стремительно растет. Злоумышленники активнее используют нейросети и дипфейки в своей работе, а охват их активности постоянно увеличивается.
На фоне всей этой истерики с защитой персональных данных, уведомлениями, драконовскими штрафами и прочими ужосами отечественной бюрократии - смотрю на обычный почтовый конверт:
Иван Фёдорович Крузенштерн, тел. +7 901-202-33-44, адрес г. Мусохранск, улица Скотопрогонная д.4 кв.13
А это не персональные данные, нет? Доступные для неопределенного круга лиц, начиная от почтальонов всея страны, включая случайных гопников, взламывающих от скуки почтовые ящики в подъезде, дворника-нелегала, собирающего мусор в подьезде, и до работников мусорного полигона, набранных из лиц проблемного образа жизни, сортирующих мусорные мешки за копейки.
Где "принятые мероприятия", где "приказ о назначении ответственного (не более одного человека)" и прочая-прочая?
Тут должна быть крылатая фраза за авторством Лаврова, но мы же приличные люди...
«Оборотные» не за горами! Стоит ли сообщить регулятору о старых утечках?
Замглавы Роскомнадзора предложил операторам персональных данных сообщить о случавшихся у них утечках до 30 мая. По его словам, впоследствии за выявленные утечки будут грозить значительно большие штрафы и дополнительная ответственность за неуведомление о них. Пока же есть шанс заплатить за утечку десятки тысяч, а не миллионы рублей.
По нашим данным, только 31% компаний готовы уведомить власти при утечке. Разберемся, стоит ли менять позицию и «сдаваться» сейчас, или нет:
Положения закона, ужесточающие наказания, обратной силы не имеют. Это напрямую отражено в КоАП РФ и значит, что утечки, произошедшие до 30 мая, но обнаруженные позже, должны наказываться по-старому: штрафом в 60-100 тысяч рублей. Но если регулятор узнает об инциденте не от вас, а, например, из публикации похищенной базы данных, моментом нарушения он сочтет время этой публикации.
Если организацию уже штрафовали за утечку, но после 30 мая «всплывут» новые записи из пострадавшей базы персданных, регулятор может счесть это новым нарушением. Наличие этих данных в старой утечке придется доказывать.
Обязанность уведомлять Роскомнадзор об утечках введена в 2022 году. С 30 мая ее неисполнение будет грозить бизнесу штрафами в 1-3 млн р. Неуведомление – длящееся нарушение. Если утечка случилась до 30 мая, но Роскомнадзор не был вовремя уведомлен о ней, оператор будет оштрафован на крупную сумму, даже если удастся доказать более раннюю дату инцидента.
Наше исследование показало, что сейчас более 85% компаний предпочитают умалчивать или отрицать факт утечки. Однако в ближайшее время такая позиция станет чревата серьезными штрафами. Так что, если раньше у вас случались утечки, лучше все-таки сообщить о них (как и том, что вы обрабатываете персданные) до 30 мая. Это позволит отделаться «малой кровью» и избежать риска привлечения к новой ответственности за старые инциденты.
А узнать, что делать, если после 30 мая вы попадете в поле внимания регулятора, вы сможете на нашем вебинаре «Как избежать наказания за утечку» 29 мая. Это бесплатно, регистрируйтесь – будем рады вас видеть.
РТУ МИРЭА совместно с АО «НИЦ» и «РУСИБ» приглашает всех, интересующихся Инфобезом, с 7 апреля по 8 июня принять участие в гибридном хакатоне NeedForFWSpeed на самое быстрое ПО межсетевого экрана и побороться за призовой фонд 0,6 млн рублей.
По просьбам интересующихся хакатоном, организаторы NeedForFWSpeed продлили регистрацию на мероприятие до 31 мая включительно. Если Вас заинтересует этот хакатон, то ещё есть возможность успеть в последний вагон. Пост с краткой информацией размещен здесь. Ниже ссылка на сам сайт хакатона.
Потенциал для роста реестра Роскомнадзора по операторам внушительный, так как любой бизнес, будь то ООО, ИП либо СЗ, в той или иной мере всегда будет сталкиваться с обработкой персональных данных физических лиц — будь то сбор, хранение или использование информации. И, судя по закону, практически нет лазеек, чтобы избежать этого. Правительство большинство подводит под статью, обозначая нас как ОПД (оператор персональных данных) в той или иной степени.
Однако, Роскомнадзор не резиновый и существенно ограничен в трудовыx и технических ресурсаx, чтобы отслеживать всеx и каждого по данному вопросу
Так вот, для того, чтобы НЕ выделяться бездействием на фоне другиx надо, образно выражаясь, "статистически не отсвечивать"
Что это значит?
Для этого нужно соблюдать базовые минимальные правила поведения для исполнения фз 152, а именно:
- подать уведомление в Роскомнадзор как Оператор минимум по Цели обработки ПД: Подготовка, заключение и исполнение договоров гражданско-правового xарактера с контрагентами (ООО, ИП, СЗ) и Ведение кадрового и бухгалтерского учета (ООО , ИП с сотрудниками)
- опубликовать на своем сайте Политику обработки данныx
- на сайте установить всплывание сообщения, что вы собираете и обрабатываете куки, согласно Политике
- В Политике обязательно перечислите какие метрические программы (Яндекс Метрика, Пиксель ВК реклама и др.) установлены на сайте. При использовании Гугл Аналитикс сообщить Роскомнадзору о трансграничной передаче данныx
- при отправки форм пользователь должен сам ставить галочку, что согласен на обработку персональных данныx, согласно Политике
- при работе с ПД физлиц всегда запрашивать согласие на обработку ПД с помощью подписания отдельного документа (да, есть исключения, например, согласно пункту 1 часть 2 статья 6 ФЗ №152, но лучше всегда получать)
Вкратце так, иначе возможны штрафы, когда попадете своим бездействием под проверку Роскомнадзора
Естественно, для крупного и части среднего бизнеса минималкой не обойтись и требуется дополнительные цели в уведомлении для Роскомнадзора, а также выверенный полноценный регламент по работе с персональными данными, а это жесть от и до
А для микро, малого и части среднего бизнеса минималка на первом этапе будет палочкой выручалочкой, чтобы снизить вероятность претензий Роскомнадзора до минимума либо исключить полностью
Двоих сотрудников компании Opexus, ранее замешанных в организации кибератак, обвиняют во взломе, уничтожении 30 баз данных и удалении более 1800 файлов компании.
Утечка биометрии из консалтинговой фирмы
Berkeley Research Group расследует инцидент, из-за которого могли быть украдены биометрические ПДн, генетическая информация и другие данные клиентов компании.
Дайджест кибератак на библиотеки
Эксперты ЭАЦ InfoWatch собрали информацию о крупнейших кибератаках на библиотеки за последние несколько лет.
Утечка ПДн миллионов британцев
Хакеры заявили, что завладели 2,1 млн записей ПДн людей, которые обращались за правовой поддержкой в агентство юридической помощи Великобритании с 2010 года.
Coinbase потеряла до $400 млн после кибертаки
Криптобиржа прогнозирует ущерб от $180 млн до $400 млн в результате кибератаки, в ходе которой были взломаны счета группы клиентов.
Утечка ПДн клиентов Dior
Неизвестные хакеры украли данные о самых богатых клиентах французского бренда в Китае — это может стать чувствительным репутационным ударом для компании.
Данные пользователей Steam оказались в дарквебе
Злоумышленник Machine1337 продавал данные 89 млн аккаунтов Steam за $5000, но представители компании утверждают, что база содержит только одноразовые коды доступа и пользователям не о чем беспокоиться.
Перед тем как пойти в новое место, многие лезут в отзывы. Казалось бы — обычное дело. Но что, если я скажу, что ваш безобидный отзыв на шаурму у метро может раскрыть о вас гораздо больше, чем вы думаете?
Сегодня разберём, почему стоит дважды подумать, прежде чем писать отзывы, если вам важна приватность. И заодно — как эти отзывы могут использовать злоумышленники.
Причем здесь 2GIS? В приложении у каждого авторизованного пользователя есть профиль, на который можно подписаться и следить за всеми отзывами. Многие думают: «Ну и что? Я же под ником "Аноним Анонимов"!»
Но вот в чём подвох: ➜ Если кто-то добавит ваш номер телефона в контакты, 2GIS подсветит ваш профиль — со всеми отзывами, фотками и активностью.
Что можно узнать из ваших отзывов? 1️⃣ Интересы — кафе, бары, магазины, кинотеатры… Всё, что вы оцениваете, рисует ваш цифровой портрет. 2️⃣ Место жительства — некоторые пишут отзывы на свои ЖК, ТЦ рядом с домом и даже на подъезды. 3️⃣ Круг общения — если вы и ваши друзья ходите в одни и те же места и оставляете отзывы, связь легко отследить. 4️⃣ Фотографии — машина, питомец, случайно попавшие в кадр документы… Мелочи, которые могут стоить дорого.
Вывод
Интернет ничего не забывает. Даже невинный отзыв может стать кусочком пазла, который сложит вашу жизнь перед злоумышленником.
Больше контента в моем авторском telegram-канале: https://t.me/ru_vm (BritLab)
Почему традиционные тренинги по ИБ не работают — и что с этим делать?
Коллеги из Ассоциации BISA выпустили отличный видеоподкаст с командой Start X: как применять теорию фреймов в обучении сотрудников и почему без понимания психологии устойчивую защиту не построить.
Рекомендуем к просмотру всем, кто отвечает за обучение, безопасность и работу с человеческим фактором.
InfoWatch — новый участник Консорциума исследований безопасности технологий ИИ
ГК InfoWatch вступила в Консорциум исследований безопасности технологий искусственного интеллекта.
Эксперты ГК InfoWatch войдут в состав рабочих групп Консорциума. Будут участвовать в разработке нормативно-правовой базы для реализации национальной стратегии развития ИИ, тестировании уже существующих отечественных решений с точки зрения безопасности и в подготовке согласованных требований к процессам разработки при создании безопасных технологий ИИ.
Консорциум создан для исследований безопасности технологий ИИ при поддержке Минцифры России. Объединяет экспертов и организации для разработки безопасных, этичных и надежных технологий ИИ. Цель — минимизировать риски, обеспечить прозрачность и ответственное внедрение ИИ на благо общества.
