Информационная безопасность

Как обеспечить надежную защиту персональных данных клиентов в облаке и избежать финансовых и репутационных потерь? Разберем на вебинаре.

📆 Когда: 10 июля в 11:00 мск

📍 Где: онлайн

С 30 мая 2025 года в России ужесточилась ответственность за нарушения в работе с персональными данными — штрафы выросли в разы.

На вебинаре от экспертов по методологии кибербезопасности Cloud.ru вы узнаете:

• почему защита персональных данных — это не только про штрафы, но и про доверие клиентов;

• изменения ответственности: ужесточение требований при обеспечении безопасности данных в информационных системах;

• стратегия безопасности облака: что проверяют регуляторы? Какие нарушения чаще всего находят при проверках? Основные источники рисков;

• аудит IT-процессов: какие параметры контролировать для митигации рисков в случае инцидентов;

• практика Cloud.ru: меры защиты данных в облаке (от шифрования до мониторинга инцидентов).

Будет полезно руководителям и сотрудникам ИБ-служб, IT-директорам, архитекторам инфраструктуры, юристам и всем, кто хранит данные клиентов в облаке.

Зарегистрироваться 👈

Штраф - не только за утечку персональных данных, но и за иные пользовательские данные

30.05.2025 в силу вступили поправки в КоАП 13.11. Среди прочего - добавлены пункты про утечку идентификаторов (п 12-14). И здесь же - пояснение что такое "идентификаторы":

уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

Возможно, причина в том, что на практике юридический вопрос "что есть персональные данные" компании трактуют очень субъективно (оставляя на откуп триажерам и не привлекая юристов). И законодатель решил, что теперь всё, что так или иначе относится к пользователю - если не персональные данные, так идентификаторы (id пользователя, номер транзакции, размер платежа и т.д.).

Пример из собственной практики: один известный банк на мой отчёт в багбаунти об утечке данных индивидуальных предпринимателей (совокупность: ФИО, телефон, размер перевода, электронные почты - личная и компании) ответил:

раскрывается нечувствительная и общедоступная информация о мерчанте. Платежных карт там нет, адрес email и телефон юрлица являются публичными данными.

Это при том, что согласно статьи 5 ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" от 08.08.2001 N 129-ФЗ - в общедоступных гос реестрах нет телефонного номера, а адрес электронной почты - только при указании таких сведений в заявлении о государственной регистрации.

Вот что бывает, когда вопросы юридического характера адресуют техническим специалистам.

Я работаю в финтехе AppSec инженером. В т.ч. участвую в триаже закрытой багбаунти программы. И со своей стороны стараюсь влиять на безопасность кода: в т.ч. так, чтоб и идентификаторы лишний раз не утекали.

Присоединяйтесь к публичной программе Bug Bounty Альфа-Банка на платформе BI.ZONE

Теперь у багхантеров есть возможность протестировать сервисы Альфа-Банка на предмет уязвимостей и получить вознаграждение. Размер вознаграждения зависит от критичности найденной уязвимости.

Максимальная сумма вознаграждения составляет 400 тысяч рублей.

Альфа-Банк выплачивает вознаграждение за выявление разных уязвимостей, таких как:

• удалённое выполнение кода (Remote Code Execution, RCE),

• проблемы контроля доступа (Broken Access Control, IDOR, Broken Session Management), 

• ошибки аутентификации и авторизации (Missing Authorization, Improper Authorization), 

• захват учётной записи (Account Takeover), 

• раскрытие конфиденциальной информации (Sensitive Data Exposure) и многих других.

Для исследования доступны веб- и мобильные приложения сервисов Альфа-Онлайн, Альфа-Инвестиции, Альфа-Бизнес и другие ресурсы.

По ссылке присоединяйтесь к публичной программе обнаружения уязвимостей в наших сервисах.

ИБ-ДАЙДЖЕСТ INFOWATCH

Сотрудника обвинили в краже данных

На бывшего работника Coupang Play подали иск об утечке коммерческой тайны, которую он слил перед увольнением из компании.

Дайджест новостей по биометрическим ПДн

ЭАЦ InfoWatch подготовили подборку материалов об использовании биометрических ПДн и биометрических технологий в мире.

Новая киберугроза для нефтегаза и энергетики

Центр исследований Trellix обнаружил новую APT-программу ClickOnce, используемой при фишинговых атаках на предприятия энергетического сектора.

Утечка ПДн из страховой Aflac

Против компании подали уже 11 коллективных исков после кибератаки, которая привела к краже данных ее клиентов, бенефициаров, сотрудников и агентов.

Инциденты ИБ во время конфликта на Востоке

Обострение наземного конфликта повлекло развитие взаимных кибератак на различные организации противников.

NotCVE-2025-0003 и NotCVE-2025-0004

Продолжаю по мере сил пополнять базу проекта NotCVE информацией о проблемах безопасности, которым разработчики не желают присваивать CVE (делал заметку об этом проекте). В этот раз одна проблема в компиляторе Go привела к регистрации сразу 2-х записей:

• NotCVE-2025-0003

• NotCVE-2025-0004

Т.к. помимо самого компилятора Go, пострадал и Kubernetes:

The Go team has released a fix in Go versions 1.21.11 and 1.22.4 addressing a symlink race condition when using os.RemoveAll. The Kubernetes Security Response Committee received a report that this issue could be abused in Kubernetes to delete arbitrary directories on a Node with root permissions by a local non-root user with the same UID as the user in a Pod.

Из сообщения в гитхабе Kubernetes видно насколько заразительна тенденция вместо регистрации CVE называть фикс проблемы безопасности хардерингом:

The Go team has not issued a CVE for this, as it is considered a hardening issue, and the SRC is following that decision as well.

Собственно, в случае с Docker в этом году было то же самое, для них это тоже хардеринг (моё обращение в MITRE так и не привело к появлению CVE, поэтому я зарегистрировал NotCVE-2025-001).

Как видно, ситуации, когда проблемы безопасности не приводят к появлению CVE случаются не редко. А некоторые разработчики даже пытаются оспаривать назначение CVE.

Обучающий вебинар по DLP-системе

Приглашаем на первый вебинар из летней практической серии Академии InfoWatch — «Интенсив по анализу событий в DLP-системе: методика и практика». Он пройдет 8 июля с 11:00 до 12:00.

Научим работать с DLP-системой на практике. Покажем, как находить важное даже там, где на первый взгляд все в порядке и в так называемой «серой зоне», где может скрываться нерегламентированная передача информации.

Разберем пошаговую методику анализа событий в зависимости от задачи и отработаем на практике последовательность действий.

Регистрация.

Представлен обновлённый проект Awesome Black Hat Tools, где собраны все инструменты, которые когда-либо были представлены на ИБ-конференциях Black Hat. Инструменты аккуратно структурированы по странам, где проходила конференция, по годам и категориям Red Teaming, Blue Teaming, OSINT & Recon, Exploit Development, Malware Analysis, DFIR & Forensics, Threat Intelligence, ICS/IoT/SCADA и Application Security (AppSec).

Также все презентации с выступлений Black Hat, начиная с 2023 года, собраны на отдельной странице GitHub.

Структурная адаптация к внешним ограничениям, на мой взгляд, в общих чертах завершилась. Сейчас пришло время новых структурных сдвигов, прежде всего технологических, они могут быть более масштабными. Это стремительное внедрение искусственного интеллекта, всеобщая цифровизация. Второй важнейший сдвиг – это платформизация всей экономики, меняются правила взаимодействия производителей и потребителей. Еще один структурный сдвиг – это рост сектора услуг… У нас впереди очень неспокойные времена, но я уверена, что это и новые возможности для развития.

Глава ЦБ, Эльвира Набиуллина. Финансовый конгресс Банка России

ИБ-ДАЙДЖЕСТ INFOWATCH

Утечки информации в строительстве

ЭАЦ InfoWatch собрал дайджест кибератак на застройщиков в Саудовской Аравии, США, Канаде — последствия инцидентов ИБ в этой отрасли становятся все критичнее.

Руководителя обвиняют в краже данных

Производитель колбасы Hormel Foods подала иск против конкурента и 2 бывших топ-менеджеров, обвинив их в краже рецептов колбасы, методах ее производства и маркетинговой стратегии.

Рост применения ИИ в кибербезе

Консалтинговая компания Capgemini в свежем отчете собрала 5 ключевых тенденций применения ИИ в кибербезопасности в 2025 году.

Взлом гиганта ИТ в здравоохранении

Хакеры похитили у ИТ-фирмы Episource ПДн более 5,4 млн человек, включая записи о лечении.

Утечка ПДн сотрудников банка

Группировка World Leaks похитила и опубликовала данные порядка 130 тыс. сотрудников швейцарского банка UBS.

Штраф из-за ошибки системы распознавания лиц

Житель Джорджии получил компенсацию в $2000 за неправомерный арест из-за ошибки системы распознавания лиц Clearview AI.

Кибератака на металлургов

Металлургическая компания Nucor подтвердила утечку данных из-за кибератаки, но отрицает ее финансовые последствия для бизнеса.

Кто спасёт ИИ?

Исследование hh.ru и Swordfish Security покзало, что в первом полугодии количество специалистов по безопасности ИИ выросло в 4 раза, а их медианная зарплата выросла 1,5 раза.

К сожалению, прямой запрос на Headhunter не показывает вакансий с таким названием, но результаты комплиментарны исследованию МТС RED годовой давности: всё чаще в вакансиях ИБ-специалистов компании требуют навыки работы с ИИ.

Можно выделить две основные проблемы в ИИ. Во-первых, галлюцинации — неспровоцированные неправильные ответы могут привести, например, к фейковым библиотекам в документации. Хакеры могут воспользоваться этой особенностью ИИ: если они подменят реальную библиотеку на свою, то при её использовании программа пользователя выполнит инструкции злоумышленника. Соответственно, специалисты по информационной безопасности должны следить за «зависимостями» — кодом, который имплементируется в продукт со стороны.

Во-вторых, при попытке сгенерировать тексты, картинки или видео вы можете передавать большой языковой модели чувствительные данные, но были случаи, когда она в дальнейшем использовала их и могла выдать другим пользователям.

Вышеприведённые два случая — только небольшая часть угроз, которые надо учитывать ИБ-специалисту. Поэтому нанимать профессионала, который будет сосредоточен только на безопасности ИИ, неэффективно — это всё равно что охранять только вход на большом участке, огороженном забором. Но вполне логично, что компании теперь уделяют внимание тому, чтобы специалисты обладали навыками обеспечения информационной безопасности ИИ.

Распространение ИИ приводит к спросу на специалистов, которые могут с ним работать. Данное исследование подтверждает, что бизнесу нужны специалисты, которые обладают навыками обеспечения их информационной безопасности. Вот и перспективное направление для карьерной траектории.

InfoWatch на конференции «Росатом информационная безопасность 2025» в Казани

Выступаем генеральным партнером конференции в Иннополисе 24-27 июня. Приглашаем послушать наших докладчиков на стенде 26 июня:

• 11:20 — Безопасность АСУ ТП без остановки производства.

• 13:20 — Утечка данных: штрафы и методы снижения рисков.

Когда мониторинг SOC (Security Operations Center) тонет в потоке алертов, аналитики тратят часы на обработку фолзов, а до реальных инцидентов не доходят руки, на помощь приходит ИИ!

AI‑агенты и RAG‑системы обнаруживают угрозы быстрее. Или не всегда?

Виртуальные аналитики точнее людей. Или все‑таки они тоже ошибаются?

SOC можно построить на ИИ. Или без человека в мониторинге не обойтись?

Эту сложную и спорную тему обсудят ведущие ИБ-эксперты на вебинаре «Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы» 26 июня в 11:00 по МСК. Спикеры также поделятся примерами из собственной практики внедрения ИИ в SOС и обсудят, как защитить от кибератак сами умные системы. Модератор — Лев Палей, директор по информационной безопасности компании Вебмониторэкс.

Кому будет интересен вебинар:

• Руководителям SOC и CISO

• Аналитикам кибербезопасности

• Архитекторам ИБ-систем

• Разработчикам ML

Узнайте подробности программы и зарегистрируйтесь на вебинар по ссылке.

Подключайтесь! Будет интересно!

Настройка КриптоПро HSM Client на Suse/RedHat/ROSA Linux

Подготовили пошаговую подробнейшую инструкцию со скриншотами для разработчиков информационных систем со встроенными СКЗИ по настройке КриптоПро HSM Client на Suse, RedHat и ROSA Linux (включая ошибки, которые позволяет обойти данное руководство) для того, чтобы использовать HSM как самостоятельный криптографический провайдер с выполнением всей математики на борту или в качестве надежного хранилища ключевого материала.

Заходите, читайте, сохраняйте в закладках.

ИБ-ДАЙДЖЕСТ INFOWATCH

Microsoft незаконно собирала биометрию в школах

В конце прошлого года корпорация в Новом Южном Уэльсе, штате Австралии, без уведомления Департамента образования начала сбор биометрических ПДн школьников, использующих Teams.

В Сеть утекли 16 млрд паролей

Исследователи из Cybernews обнаружили порядка 30 скомпрометированных баз данных из разных интернет-сервисов — набор из 455 млн записей, вероятно, относится к Российской Федерации, а набор из 60 млн записей может происходить из Telegram.

Утечка данных из проката автомобилей

Zoomcar Holdings в Бангалоре 13 июня подтвердила утечку ПДн около 8,4 млн клиентов — взлом не повлиял на бизнес-процессы, но пользователи могут стать жертвами фишинга.

Tesla судится с бывшим сотрудником

Компания подала иск к компании Proception и ее соучредителю Чжунцзе “Джея” Ли о краже конфиденциальных данных по созданию человекоподобных роботов Optimus.

Утекли ПДн всего населения Парагвая

Исследователи из Resecurity обнаружили в дарквебе базу данных с 7,4 млн записей конфиденциальной информации граждан Парагвая — хакер требует за нее выкуп в размере $7,4 млн.

23andMe оштрафовали за утечку

Компанию обязали выплатить 2,31 млн фунтов стерлингов за утечку ПДн около 6,9 млн пользователей, произошедшую в 2023 г.

Хакеры взломали Scania 

Злоумышленник “hensi” продавал на одном из форумов данные, украденные с сайта компании, а затем хакеры пытались получить за них выкуп у сотрудников Scania.

Настраиваем безопасный доступ пользователей к корпоративным приложениям с Yandex Identity Hub

Команда Yandex B2B Tech запустила сервис безопасности Yandex Identity Hub. С его помощью можно настроить доступ к своим веб‑приложениям с использованием технологии SSO и поддержкой многофакторной аутентификации. Решение работает по модели SaaS и может использоваться в организациях с разными типами инфраструктур: on‑premises, облачной и гибридной.

Специалисты Security Operation Center в Yandex Cloud проанализировали атаки за первое полугодие 2025 года и обнаружили, что 38% инцидентов начинаются с компрометации учетных записей.

По мнению экспертов, атаки на гибридные инфраструктуры становятся успешными из‑за слабого управления пользовательскими паролями, учетными записями и доступом к корпоративным сервисам. При этом делегирование аутентификации пользователей облачному провайдеру позволит компаниям снизить расходы на эксплуатацию.

Сервис Yandex Identity Hub был представлен 19 июня на Cloud Security Day — ежегодной конференции о безопасности в облаке. На мероприятии также анонсировали обновление сервиса для защиты от DDoS‑атак Yandex Smart Web Security: теперь он подключается перед инфраструктурой заказчика в качестве Reverse Proxy.

Посмотреть трансляцию конференции в записи можно на сайте Cloud Security Day.

Alfa AppSec Meetup #1

Приглашаем на первый митап команды AppSec Альфа-Банка! На реальных кейсах расскажем:

• чем живёт команда AppSec в банке,

• как внедряем AppSec-практики,

• разберём сервисную модель SSDLC на базе ASOC,

• обсудим, как развиваем MLSecOps, почему AppSec уделяет всё больше внимания безопасности ML,

• поделимся, как выстроили процессы в Offensive AppSec и как они помогают нам находить уязвимости до того, как это сделают другие.

Если вам интересно, как устроена безопасность приложений изнутри — в реальных проектах, в большом банке, — приходите. Будет полезно, местами остро, и точно не скучно.

Присоединяйтесь онлайн и офлайн — зарегистрироваться можно по ссылке.

Где: Москва, ул. Шарикоподшипниковской, д. 4, к. 4A., Exit Loft.

Встретимся через полчаса на вебинаре о лучших практиках сетевой безопасности

В 12:00 (мск) подключайтесь к трансляции вебинара «Сетевая безопасность: группы безопасности vs облачный файрвол» ➡️

Программа

• Обзор решений и сервисов для организации сетевой безопасности в Selectel;

• Обзор групп безопасности; 

• Обзор облачного файрвола;

• Группы безопасности vs облачный файрвол: варианты использования и комбинированные стратегии; 

• Практические кейсы настройки сетевой безопасности для разных задач;

• В конце мероприятия ответим на вопросы — задавайте их при регистрации и во время трансляции.

Задавайте вопросы во время трансляции — ответим на них в конце вебинара. За самые интересные подарим плюшевого Тирекса 🦖

Смотреть трансляцию:

📱 на YouTube

📱 в VK

DeepL заблокировали в России — это тотальный бан онлайн-переводчика от самой компании. Недоступен сайт, приложение и даже API. Вместо сайта теперь открывается лаконичная заглушка «Unavailable in your region». Никаких официальных комментариев нет. Базируется DeepL в Германии.

В первых числах июня я заметил новинку в интерфейсе Хабра, судя по всему незамеченную большинством пользователей. Этот пост создан для того, чтобы познакомить с изменениями в дизайне Хабра.

В соответствии с частью 7 статьи 15.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» уведомляем, что на основании решения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10.03.2025 № 2024-12-26-9056-СОБ указатель (указатели) страницы (страниц) сайта в сети "Интернет" https://habr.com/ru/articles/870110/ включен(ы) в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи 3014324-РИ в связи с тем, что данный указатель (указатели) страницы (страниц) сайта в сети "Интернет" содержит запрещенную информацию о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации.

Сходу я нашел такие страницы, возможно вы найдете еще:

1. https://habr.com/ru/articles/911640/

2. https://habr.com/ru/articles/843928/

3. https://habr.com/ru/articles/870110/

4. https://habr.com/ru/articles/866572/

5. to be continue...

MITRE не принимает видео доказательства из YouTube

В декабре 2024 я обратился в MITRE для регистрации CVE. Среди прочего приложил ссылки на YouTube с демонстрацией уязвимости. Через месяц мне пришёл ответ о создании CVE-2024-57695. Его статус - RESERVED. Более мне ничего не сообщали. Спустя 5 месяцев я решил поинтересоваться в связи с чем статус не меняется - в прошлый раз процесс регистрации публично доступного CVE занял около 2-х недель. И ответ пришёл неожиданный:

We do not currently accept youtube videos as the initial public reference.

Что мешало сообщить об этом в течение полугода - непонятно. Так что имейте ввиду, если соберётесь регистрировать CVE.