Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Взлом банковского холдинга Capital One привел к утечке данных более 106 млн человек

Информационная безопасность *IT-инфраструктура *
В результате взлома одного из крупнейших банковских холдингов США — Capital One – произошла утечка данных более 106 млн клиентов финансовой организации. О происшествии Capital One сообщил на своем сайте. Об утечке стало известно 19 июля. В связи с делом в понедельник арестована женщина-хакер, Пейдж Томпсон. Сообщается, что она «хвасталась о взломе в интернете».

image

Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.9K
Комментарии 2

Facebook добавит свое название к сервисам Instagram и WhatsApp

Информационная безопасность *Аналитика мобильных приложений *Социальные сети и сообщества IT-компании
Facebook добавит упоминание своего бренда к названиям Instagram и WhatsApp, чтобы чётче заявить о своем владении сервисами. В названиях обоих продуктов появится подпись, что они «от Facebook». Изменения уже затронули Instagram в России.

image

Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 9K
Комментарии 7

В сеть попала база данных 70 тыс. клиентов Бинбанка

Информационная безопасность *IT-инфраструктура *
В сеть попала база данных клиентов Бинбанка в количестве 70 тыс. строк стоимостью около 5 рублей за строку. Как сообщил основатель DeviceLock Ашот Оганесян «Коммерсанту», база «на днях была уже продана эксклюзивно в одни руки». Сейчас ее предлагают еще несколько продавцов данных, пишет издание.

image
Источник: ria.ru

Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Просмотры 5.7K
Комментарии 8

Google заплатит 170 млн долларов штрафа за сбор данных о детях на YouTube

Информационная безопасность *Хранение данных *Законодательство в IT
Google и принадлежащий ей сервис YouTube заплатят 170 млн долларов штрафа в качестве компенсации за нарушение закона о защите конфиденциальности детей в интернете. Об этом в среду сообщила Федеральная торговая комиссия США (FTC).

image

Компанию подозревают в том, что с помощью cookie она собирала личную информацию о зрителях детских каналов, которым не исполнилось 13 лет, и не спрашивала при этом разрешения их родителей, пишет «Медуза». На основе этих данных детям показывали таргетированную рекламу.

Читать дальше →
Всего голосов 14: ↑10 и ↓4 +6
Просмотры 2K
Комментарии 3

Немецкое агентство по кибербезопасности: Firefox является самым надежным браузером

Firefox Информационная безопасность *IT-стандарты *Браузеры
imageФото: bwc front/Flickr

Федеральное управление по информационной безопасности (немецкое правительственное агентство, сокращенно BSI) протестировало четыре основных браузера: Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 и Microsoft Edge 44, чтобы выяснить, какой из них является самым надежным для пользователей. Лучше всего себя показал Firefox.

Однако агентство не рассматривало в своем исследовании Safari, Brave, Opera и Vivaldi.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 5.5K
Комментарии 8

Вебинар — Как организовать связность с публичными, частными и глобальными облаками

Блог компании Linxdatacenter IT-инфраструктура *Виртуализация *Конференции Облачные сервисы
image

Когда: 12 ноября 2020 г. с 16:00 до 18:00 по московскому времени.

Кому будет полезно: ИТ-специалистам компаний, рассматривающих решения по организации связности с международными облачными платформами.

О чем пойдет речь:

  • Какие задачи позволяет решать AWS?
  • Как можно организовать подключение к глобальным облакам?
  • Возникают ли юридические риски при подключении к международным облачным платформам?
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 531
Комментарии 2

Самостоятельная подготовка ИСПДн к аттестации (часть 1)

Информационная безопасность *
Из песочницы
В настоящее время защита персональных данных является одной из наиболее актуальных задач для большинства коммерческих и государственных организаций. Информационные системы должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 июля 2011 года.

Я планирую написать цикл статей об общих методах защиты персональных данных, которые помогут вашей компании немного сократить издержки на услуги фирм, занимающихся защитой данных или, по крайней мере, понять, за что вы платите. Все это мы испытали на собственной компании.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 22K
Комментарии 3

Требуйте защиты своих персональных данных, не отходя от кассы

Блог компании Код Безопасности
На днях нам попалась заметка хабражителя Mairon, найденная по теме «Защита моих персональных данных – мое личное дело».

Вызвала эта заметка массу мыслей и соображений, даже взволновала не на шутку. Спешим поделиться с Хабром своими мыслями на указанную тему.

Постоянно приходится слышать на всех мероприятиях, которые по долгу службы мы регулярно посещаем, бесконечное причитание представителей солидных, небедных компаний о том, что «как-так можно выполнить требования ФЗ-152 нам не понятно?», «как-так столько денег надо на это потратить?», «как-так государство не выделило нам средств на это?»… Все это происходит на фоне нашей повседневной, личной некорпоративной жизни, где мы постоянно сталкиваемся:
  • с обязательной галочкой про передачу ПД третьим лицам во всех договорах, которые нам подсовывают банки, страховые, поставщики разных товаров в Интернет-магазинах и так далее, с которыми мы подписываем договоры
  • с наглыми «звездочками» напротив обязательных к заполнению строчек, во всех он-лайн регистрационных формах на разных сайтах,
  • с постоянно заполненным спамом личным электронным ящиком и множеством рекламных смсок…
  • перечисление можно продолжать…
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Просмотры 13K
Комментарии 12

В октябре начнется добровольная сертификация интернет-магазинов

Информационная безопасность *
Немало шума наделала история с попаданием данных о покупателях более 80 интернет-магазинов в свободный доступ. По свежим следам Ассоциация дистанционной торговли и Роскомнадзор создают технический совет, главная миссия которого – рассказать владельцам интернет-магазинов, как можно надежно защищать персональные данные пользователей.

Решение о создании техсовета было принято на встрече Романа Шередина (замруководитель Роскомнадзора) и Александра Иванова (президент Ассоциации дистанционной торговли). В состав совета войдут представители ассоциации, интернет-магазинов, чиновники, возможно, представители «Яндекс» и «Google» (приглашения отправлены). Техсовет будет специализироваться на разработке рекомендаций по защите персональных данных покупателей.

А здесь самое интересное…

Читать дальше →
Всего голосов 31: ↑30 и ↓1 +29
Просмотры 989
Комментарии 119

24-летний студент начал войну против Facebook

Социальные сети и сообщества


24-летний студент юридического факультета Венского университета Макс Шремс (Max Schrems) вот уже несколько месяцев ведёт неравный бой с компанией Facebook. Всё началось с того, что Макс отправил несколько грамотно составленных запросов и добился-таки, что из калифорнийского офиса ему прислали CD-диск со всеми персональными данными, собранными за три года активности на сайте.

Каждый гражданин может потребовать у Facebook выдачи ему в течение 40 дней всей собранной на него персональной информации. На сайте есть специальная форма для такого запроса. Вам придёт CD с файлом PDF объёмом несколько сотен мегабайт и более 1000 страниц. Макс Шремс получил PDF из более 1200 страниц, вся информация в файле была разбита на 57 категорий (работа, образование, друзья, политические взгляды, хобби, фотографии и т.д.). Как говорит Макс, даже у КГБ не было такого полного досье на граждан.

Но самое удивительное, что среди всего прочего в присланном файле были удалённые сообщения, чат-сессии, имена бывших друзей и другие данные с пометкой deleted:true.
Читать дальше →
Всего голосов 323: ↑296 и ↓27 +269
Просмотры 39K
Комментарии 246

Мифы о защите персональных данных в облаке

Блог компании КРОК Информационная безопасность *

В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.

Примерный список вопросов таков:
  • Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
  • Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
  • Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
  • Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
  • Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
  • Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
  • От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?
Читать дальше →
Всего голосов 29: ↑15 и ↓14 +1
Просмотры 39K
Комментарии 30

Снова о защите персональных данных или готовимся к проверке Роскомнадзора

Информационная безопасность *Законодательство в IT
Из песочницы

Вступление



Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

image
Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Читать дальше →
Всего голосов 65: ↑59 и ↓6 +53
Просмотры 182K
Комментарии 39

Согласование действий пользователей в VMware перед их выполнением

Информационная безопасность *
Из песочницы
Вот вышли новые требования ФСТЭК России приказом №21 по части защиты перcональных данных.

Решили его применить на Заказчике (уже даже в голове говорю себе о них всегда с большой буквы), у него инфраструктура на VMware. Но вот на какое требование указала мне коллега: «Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных». Требование работает для УЗ 1, УЗ 2 и УЗ 3. Т.е. широта охвата, наверное, будет нормальная.
Как требование ложится на согласование дейстий в VMware vSphere? Добро пожаловать под хабракат.

Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 2.7K
Комментарии 5

Поданы жалобы на европейские подразделения Apple, Facebook, Microsoft, Yahoo, Skype

Социальные сети и сообщества
Два года назад студент юридического факультета Венского университета Макс Шремс (Max Schrems) начал неравный бой с компанией Facebook. Он отправил десятки жалоб и запросов по каждому пункту функциональности сайта, нарушающей европейское законодательство. Это стало возможным только по той причине, что Facebook в 2009 году открыл штаб-квартиру Facebook Ireland Ltd в Дублине для уклонения от уплаты налогов в США. Так же поступают и другие корпорации. С этого момента каждая из них подпадает под европейское законодательство о защите информации, которое жёстче, чем в США.

В 2011-2012 году активность студента привела к аудиту (обыску) офиса Facebook в Дублине комиссарами ЕС по защите персональных данных. В итоге, социальная сеть была вынуждена изменить некоторые принципы работы в Европе.

Вскрывшиеся факты сотрудничества интернет-компаний с Агентством национальной безопасности США по программе PRISM — основание для начала нового разбирательства на территории ЕС. Хотя штаб-квартиры компаний зарегистрированы в США, и выемка данных тоже происходила в США, но благодаря особенностям европейского законодательства есть зацепки, как можно уличить эти компании в нарушении европейских законов о защите персональных данных.
Читать дальше →
Всего голосов 89: ↑79 и ↓10 +69
Просмотры 35K
Комментарии 13

Как изменения в интернет-законодательстве США могут осложнить жизнь российским разработчикам игр и операторам игровых платформ

Разработка веб-сайтов *Разработка мобильных приложений *Разработка игр *
Из песочницы
Хабравчане, здравствуйте. На днях по роду своей профессиональной деятельности я столкнулась с проблемой, которая практически не освещена в рунете. Речь идет об изменениях в американском «Законе о защите конфиденциальности детей в Интернете» (Children's Online Privacy Protection Act или COPPA), которые затрагивают в том числе и иностранных операторов веб сайтов, в особенности игровых, если оные посещаются юзерами из США.

What is COPPA

COPPA — вещь не новая. Этот федеральный закон вступил в силу в 2000 году и применяется к сбору персональной информации от детей младше 13 лет. Согласно его основным положениям, операторы веб сайтов и интернет сервисов не имеют права запрашивать и хранить личные данные детей без получения официального согласия их родителей или опекунов. Несмотря на то, что законодательством предусмотрено несколько способов испросить согласия, большинство сайтов (например, Facebook, Twitter и Google+) предпочитают попросту блокировать доступ пользователям, не достигшим 13 лет.

В июле 2013 года закон ужесточили. Что произошло? Было расширено определение термина «персональная информация». Теперь сюда входят:

• ФИО;
• Контактные данные, включая адрес проживания, номер телефона, E-Mail, номер ICQ или Skype и тп.
• Ник пользователя, виртуальное имя
• Номер социального страхования
• Фото и видео ребенка, запись его голоса
АХТУНГ: номер cookie, IP-адрес, номер процессора или серийный номер устройства, которое осуществляет доступ в сеть
• Информация о геолокации

Should I care?

Действие COPPA распространяется не только на местные компании, но и на операторов иностранных сайтов, если они ведут дела с США и привлекают американских пользователей. Под удар попадают, например, мобильные приложения, игровые платформы, плагины, рекламные сети.

При этом Федеральная торговая комиссия (FTC), отвечающая за надзор за исполнением закона, делает различия между сайтами, направленными на детей, и сайтами с «широкой аудиторией». Последние должны следовать COPPA лишь случае, когда им известно, что определенной доле их посетителей не исполнилось 13 лет.

Ирония заключается в том, что целевая аудитория сайта или мобильного приложения для FTC значения не имеет. Важно лишь то, кто на самом деле этот сайт посещает, и какие данные о посетителях сайтом фиксируются.
Читать дальше →
Всего голосов 58: ↑55 и ↓3 +52
Просмотры 24K
Комментарии 85

Двойные стандарты в шифровании учетных записей

Информационная безопасность *Криптография *
Из песочницы
image
Думаю каждый, кто хоть немного интересовался информационной безопасностью, да и просто периодически читает про события в сфере IT, встречал новости, что очередная компания или интернет-сервис были взломаны, и у них были украдены учетные записи пользователей, куда обычно входят электронные адреса, пароли, номера кредитных карт, как зовут вашего домашнего питомца и многое другое (далеко ходить за примером не нужно, в октябре этого года Adobe «поделилась» базой на 130-150 миллионов учетных записей). И хорошо еще, если сервис позаботился о хешировании паролей хотя бы без применения соли, в таком случае можно надеяться, что если злоумышленники захотят воспользоваться украденным, то им придется приложить некоторые усилия для этого.

Но достаточно продолжительное время меня удивляло другое — почему в большинстве случаев хешируются лишь пароли, почему такое пренебрежение к другим важным данным пользователя, как электронные адреса или номера кредитных карт?

Эта статья не претендует на открытие в сфере безопасности и, вероятно, будет содержать неточности и домыслы. Это скорее мысли вслух о проблеме защиты данных и случаях их утечки.
Читать дальше →
Всего голосов 24: ↑12 и ↓12 0
Просмотры 7.4K
Комментарии 17

Национальная платёжная система: что это значит для вас, и когда конкретно паниковать

Блог компании КРОК Информационная безопасность *
Возможно, вы уже слышали про национальную платёжную систему. Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей, которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись.
Читать дальше →
Всего голосов 73: ↑51 и ↓22 +29
Просмотры 46K
Комментарии 29

Использование шифрования в компаниях России

Блог компании КиберСофт Информационная безопасность *Криптография *

Введение


Немногим более двух десятилетий тому назад криптография в России находилась приблизительно на том же уровне секретности, что и технологии производства оружия – ее практическое применение относилось к сфере деятельности исключительно военных и спецслужб, то есть было полностью подконтрольно государству. В открытом доступе встретить какие-либо издания и научные работы по этому вопросу не представлялось возможным – тема криптографии была закрыта.

Ситуация изменилась лишь в 1990 году, когда в действие был введен стандарт шифрования ГОСТ 28147-89. Изначально алгоритм имел гриф ДСП и официально «полностью открытым» стал лишь в 1994 году.

Сложно точно сказать, когда именно в отечественной криптографии был совершен информационный прорыв. Скорее всего, это произошло с появлением у широкой общественности доступа в интернет, после чего в сети начали публиковаться многочисленные материалы с описаниями криптографических алгоритмов и протоколов, статьи по киптоанализу и другая информация, имеющая отношение к шифрованию.
Читать дальше →
Всего голосов 21: ↑6 и ↓15 -9
Просмотры 58K
Комментарии 32

Опыт проверок Роскомнадзором операторов персональных данных за последний год

Информационная безопасность *
Указанное в заголовке ведомство в последнее время все чаще фигурирует на хабре в новостях, связанных какими-нибудь очередными черными списками и смешными блокировками, но в этой статье я хотел бы вспомнить об одной из не менее важных функций Роскомнадзора – надзор за выполнением законодательства в сфере защиты персональных данных.

Так получилось, что в 2013-2014 годах в планы проверок Роскомнадзора попало немало наших клиентов, но мы особо этого не боялись, потому что проверки у наших клиентов проходили и ранее, опыт есть и весьма позитивный. Мы знали, что у новых клиентов тоже все приведено в порядок и ждали очередной проверки только чтобы поставить новую галочку в разделе портфолио «Успешно проведенные проверки регуляторов». Но эта статья не появилась бы на свет, если бы все соответствовало нашим оптимистичным ожиданиям…

Читать дальше →
Всего голосов 44: ↑41 и ↓3 +38
Просмотры 15K
Комментарии 16

Новый ФСТЭК сертификат для Kerio Control Appliance 8.2

Блог компании Kerio Technologies
Уважаемые коллеги!

На прошлой неделе наш орган по сертификации передал во ФСТЭК комплект документации для получения сертификата на продукт Kerio Control 8.2.
Решение Kerio Control 8.2 доступно в виде программного комплекса и не требует для своего функционирования отдельной операционной системы.
Данный продукт сертифицируется по 3-му классу защищённости как межсетевой экран. Контроль недекларируемых возможностей проводится по 4-му классу. Мы ожидаем получить соответствующий сертификат ФСТЭК в конце декабря 2014 года, либо в начале января 2015 года.

Сертифицированный продукт Kerio Control 8.2 уже доступен для заказа. Сам продукт можно приобрести прямо сейчас, а сертифицированный дистрибутив можно будет приобрести начиная с января 2015 года.

Пожалуйста, со всеми вопросами пишите сюда или в наш отдел продаж по адресу
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 2.3K
Комментарии 0