3501
Телеграм-канал сайта ZLONOV.ru Новости и актуальные темы из сфер: информационная безопасность, информационные технологии, кибербезопасность и около. #ИБ #ИТ #АСУТП #маркетинг Для связи: https://zlonov.ru/contactme/
Исследование К2 Кибербезопасность и Anti-Malware.ru о готовности субъектов КИИ к исполнению законодательства (187-ФЗ)
Другие отчёты и исследования тут: https://zlonov.ru/reports/
Восемь самых наглядных примеров картинок-фейков. Что там у нас с ЕБС? =)
https://www.kommersant.ru/doc/6396790
— Кем вы видите себя через пять дней?
— Дней?
— Такое время.
(с) Страдающее Средневековье
_______________________
А вот я уже точно знаю, что буду делать 20 июня следующего года =)
НКЦКИ опубликовал перечень крупных российских конференций по ИБ на 2024 год.
Календарь: https://safe-surf.ru/specialists/conference/
Новость: https://safe-surf.ru/specialists/news/701746/
Опубликованы результаты исследования по оценке развитости российского сегмента рынка информационной безопасности. В нём отражено мнение, полученное путём опроса представителей 120 организаций изо всех ключевых отраслей экономики и 26 вендоров в сфере ИБ.
Выборочные выводы:
- По мнению двух третей опрошенных заказчиков доля отечественного ПО в сфере ИБ в их компаниях составит, как минимум, 80% через 2 года.
- 90% компаний, штат которых превышает 10 тыс. человек, либо уже перешли, либо планируют переход на отечественное ПО с сфере ИБ в следующие 12 месяцев. В компаниях с числом сотрудников от 1 до 10 тыс. перешли только 27%. 45% организаций со штатом от 500 до 1 тыс. человек планируют переходить в ближайший год. Таким образом можно сделать вывод о том, что крупные компании, располагающие большими бюджетами, более оперативно адаптируются к новым условиям.
- 76% опрошенных заказчиков отметили рост числа киберугроз за последний год. При этом две трети компаний уверены, что способны эффективно противостоять угрозам. Однако лишь 28% привлекали для проверки сторонних экспертов. Таким образом восприятие уровня защищенности у топ-менеджмента компаний может быть искажено.
- Заказчики планируют в первую очередь переходить на отечественные решения в области ИБ в сферах аналитики и реагирования, а также сетевой безопасности. На эти две сферы пришлась почти половина ответов. Этот результат подтверждается ответами со стороны вендоров.
- Только 5% респондентов беспокоит отсутствие российских аналогов, что говорит о том, что уже сейчас отечественные разработчики предлагают аналогичные продукты во всех сферах ИБ.
Ссылка на исследование: https://worldmarketstudies.ru/article/realnost-i-perspektivy-rossijskogo-rynka-kiberbezopasnosti-2023-2025/
Статья на AM: https://www.anti-malware.ru/analytics/Market_Analysis/InfoSec-development-in-Russia-assessment
Другие отчёты по ИБ: https://zlonov.ru/reports/
Обновил подборку НПА по безопасности КИИ. Добавил:
- Методические рекомендации Банка России №14-МР от 26.10.2023 по информированию ФСБ России о компьютерных инцидентах
- Методические рекомендации Банка России №15-МР от 26.10.2023 по взаимодействию кредитных организаций с МВД России и ФСБ России
- Приказ ФСТЭК России №177 от 01.09.2023 «О внесении изменений в Порядок ведения реестра ЗО КИИ РФ, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. №227»
- Проекты предварительных национальных стандартов Российской Федерации
- «КИИ. Термины и определения»
- «КИИ. Доверенные ПАК. Общие положения»
- «КИИ. Доверенные интегральные микросхемы и электронные модули. Общие положения»
Исследовательская компания Ipsos и страховой гигант AXA опросили почти 3,5 тыс. экспертов из 50 стран мира и по итогу опубликовали свой очередной ежегодный отчёт, посвященный глобальным рискам будущего (Future Risks Report).
Киберугрозы вернулись на второе место (правда, опрос проводился до недавнего обострения на ближнем Востоке), а в целом - киберугрозы с 2018 года ни разу ниже третьего места не опускались.
Риски, связанные с искусственным интеллектом и большими данными, попали в ТОП-10 всего в третий раз, но впервые - на четвёртое место.
Новость в Коммерсантъ: https://www.kommersant.ru/doc/6312385
Пресс-релиз [eng]: https://www.ipsos.com/en/axa-future-risks-report-2023-world-polycrisis
Сам отчёт [eng]: https://zlonov.ru/assets/reports/AXA_Future_Risks_Report_2023_English.pdf
Читаю труд коллег из ИПУ РАН, встретил вот такое сопоставление информационной и кибербезопасности: "Информационная безопасность может рассматриваться в широком контексте. Информационная безопасность, помимо технических и организационных аспектов, человеческих факторов и социальных вопросов затрагивает сферы национальной и международной безопасности. В настоящей работе основное внимание будет уделено методическим и техническим аспектам защиты информации и системы ее обработки, поэтому в большинстве случаев вместо информационной безопасности будет использоваться более подходящий термин кибербезопасность (КБ), который делает акцент на технические и методические вопросы информационной безопасности."
Ну, тоже подход =)
Ооо! Долгожданный =)
Сертификат №4719 от 28.09.2023 на программный комплекс «CyberLympha DATAPK» (ПК CL DATAPK) подтверждает соответствие требованиям документов: Требования доверия(6), Требования к СОВ, Профили защиты СОВ (cети шестого класса защиты. ИТ.СОВ.С6.ПЗ), ЗБ.
С 1 октября двухфакторная аутентификация на «Госуслугах» стала обязательной для новых пользователей и при запросе на восстановление учётной записи: /channel/mintsifry/1993
"Дополнительное подтверждение для входа подключил уже каждый третий пользователь портала — всего более 35 млн человек" - не так плохо на самом деле, но 70 млн всё ещё "однофакторные"... Какой простор для мошенников!
Обновление подборки законодательства о КИИ на сентябрь 2023
https://zlonov.ru/kii-legislation-update-2023-09/
Шикарнейшая идея и отличная реализация! =)
Пресс-релиз: https://www.tinkoff.ru/about/news/19092023-tinkoff-launched-combat-humanoid-robots-that-distract-scammers-from-deceiving-people/
Приостановлен, но не сломлен: Что на самом деле означает статус ‘приостановлено действие’ у сертификата ФСТЭК России?
https://zlonov.ru/suspended-but-not-broken/
Случай явно вырожденный, но всё равно показательный: Суд в Ростове-на-Дону признал эмодзи эквивалентом подписи в документе.
Суть кратко:
Предприниматель из Ростова-на-Дону в марте 2022 года должен был поставить заказчику торговый киоск в виде ретрофургона Volkswagen. Согласно заключенному договору, обе стороны признавали юридическую силу документов, в том числе полученных по почте или в одном из мессенджеров.
Покупатель заплатил задаток в размере 480 тысяч рублей. Цветовое решение киоска стороны должны были утвердить допсоглашением. Однако цвет обсудили в мессенджере. На предложение заказчик ответил значком «рука с поднятым вверх большим пальцем».
Фургон не был поставлен в срок, в связи с чем заказчик потребовал возвратить задаток. Тогда поставщик напомнил заказчику о том, что цвет фургона в мессенджере они согласовали на четыре дня позже обещанной доставки, поэтому вовремя услугу предоставить было невозможно.
Суд счел смайл достаточным для закрепления договоренностей.
Всем здравствуйте!
При просмотре обновления реестра сертифицированных СЗИ увидел множественные возобновления сертификатов соответствия и решил свести эти данные в табличку.
Может быть, кому-то пригодится :)
По предложению посетителя моего сайта ZLONOV.ru добавил в подборку законодательства список недавно обновлённых документов тут https://zlonov.ru/kii/ и тут https://zlonov.ru/laws/#новые-документы-за-последние-120-дней-от-даты-редактирования
Список генерируется автоматически при каждом редактировании.
Забавно, что мы предпочитаем насмехаться над отечественными разработками, а не гордиться пусть малыми, но достижениями...
На следующей неделе в Москве состоится презентация Р-ФОН — отечественного смартфона на базе ОС «РОСА Мобайл» со встроенным мессенджером от «РОСА», по функциональности схожим с Telegram. Продукт «РОСА Мессенджер» защищен шифрованием и программой идентификации и пригоден для личного пользования, бизнеса и госсектора. В настоящее время он совместим лишь с «РОСА Мобайл» и РОСА «Хром» (обе на основе Linux), однако не исключено, что в дальнейшем список поддерживаемых ОС расширится.
Источник: https://www.anti-malware.ru/news/2023-12-13-114534/42464
Правительство утвердило Стратегию развития отрасли связи до 2035 года
...стратегией предусмотрено поэтапное внедрение новых поколений сетей связи на основе отечественных технологий, развитие отечественной защищённой инфраструктуры хранения данных, мероприятия для повышения надёжности, безопасности, отказоустойчивости сетей связи, развитие отечественной спутниковой группировки для оказания услуг связи на всей территории России.
Новость: http://government.ru/news/50304/
Мда... И это ведь "лучшая ЭТП в области качества" в одной из республик, да ещё и в ТОП-10 лучших ЭТП России входит.
Читать полностью…
"Схватка двух йокодзун" (с)
Владелец российской мобильной ОС «Аврора» «Ростелеком» просит Минцифры проверить правомерность включения в реестр отечественного софта ОС «Ред Софта», работающей на базе открытого кода Android. Эксперты опасаются, что в коде используются «закладки» американских разработчиков, которые «могут навредить безопасному использованию устройства».
https://www.kommersant.ru/doc/6351196
Трагический случай... А ведь это даже ещё и не ИИ в самом потенциально опасном его проявлении...
"В Южной Корее робот насмерть прижал мужчину. Инцидент произошел на агропредприятии в провинции Кёнсан-Намдо. Как сообщает BBC (ресурс заблокирован в РФ), из-под контроля вышла промышленная рука, предназначенная для работы с коробками овощей. Во время тестирования робот перепутал человека с неодушевленным предметом и нанес ему травмы, несовместимые с жизнью."
Источник: https://www.bfm.ru/news/537614
Обзор на книгу про опасность ИИ: https://zlonov.ru/superintelligence-dangers-strategies/
Участники Ассоциации больших данных (АБД) работают над внедрением добровольного отраслевого стандарта защиты данных. Согласно подготовленной концепции этого стандарта планируются ежегодные аудиты кибербезопасности. Ведомости пишут, что разработка стандарта стала реакцией на обсуждаемое введение оборотных штрафов за утечки данных.
Предполагается введение 26-ти критериев/метрик. При этом, например, при наличии в БД более 500 тыс записей нужно набрать не менее 18 баллов (по каждому критерию максимум составляет 1 балл), чтобы процессы в организации были признаны эффективными.
Статья в Ведомостях: https://www.vedomosti.ru/technology/articles/2023/11/03/1004188-audit-kiberbezopasnosti-ezhegodnim
Пресс-релиз АБД: https://rubda.ru/association_news/rossijskie-it-kompanii-razrabotali-konczepcziyu-otraslevogo-standarta-zashhity-dannyh/
Члены АБД: https://rubda.ru/chlenstvo/uchastniki/
Шёл 2023 год, Cisco продолжала использовать "захардкоженные" пароли...
2023: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cer-priv-esc-B9t3hqk9
2021: https://securityaffairs.com/124198/security/cisco-hard-coded-credentials.html
2018: https://www.bleepingcomputer.com/news/security/hardcoded-password-found-in-cisco-software/
Роскомнадзор, конечно, разъясняет, что «Федеральный закон № 406-ФЗ позволит Роскомнадзору блокировать интернет-сайты с информацией, рекламирующей сервисы и методы обхода блокировок, в том числе популяризирующей такие сервисы и методы, убеждающей в их привлекательности и описывающей возможность получения доступа к запрещенным ресурсам путем использования сервисов».
Но если открыть сам текст закона, то дословно там написано: [Основаниями для включения в реестр является наличие] «информации о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации».
Так что формально не обязательно рекламировать, убеждать и популязировать - достаточно просто описать.
Разъяснение Роскомнадзора: https://rkn.gov.ru/news/rsoc/news74756.htm
Текст Федерального закона № 406-ФЗ: http://publication.pravo.gov.ru/document/0001202307310022
Википедия не совсем согласна с текстом на картинке, утверждая, что на самом деле данной композицией Адриано Челентано «хотел сказать об отсутствии коммуникабельности многих людей, неспособных понять друг друга». Тем не менее - слова вымышленные, песня популярная.
А вы, как ИБшник, часто используете в общении с бизнесом вымышленные слова? Призенколиненсинайнчузол, NGФV, DLЬ, XDЯ? А, может, начать говорить на одном языке? 😉
Источник: https://pikabu.ru/story/yeksperiment_vyishel_izpod_kontrolya_10683807
Статья: https://ru.wikipedia.org/wiki/Prisencolinensinainciusol
Трек: https://music.yandex.ru/album/6082669/track/45307203
#пятничное в четверг
Ведомости со ссылкой на "федерального чиновника" и "топ-менеджера одной из нефтегазовых компаний" сообщают, что в правительство Минпромторгом был внесён документ о переносе срока обязательного импортозамещения для ПАКов в КИИ с 01 января 2025 года на дату "окончания срока эксплуатации уже действующих решений" (чтобы это ни значило).
https://www.vedomosti.ru/technology/articles/2023/09/22/996510-dlya-kriticheskoi-infrastrukturi-smyagchayut-trebovaniya
Хэппи энд:
Действие сертификата соответствия № 3509 ФСТЭК России на Dr.Web Enterprise Security Suite возобновлено: https://news.drweb.ru/show/?i=14752&lng=ru
Уязвимость BDU:2014-00226 устранена: https://bdu.fstec.ru/vul/2014-00226
Обзор российского рынка инфраструктурного ПО и анализ перспектив его развития от Strategy Partners.
Некоторые выводы:
- Российский ИТ-рынок находится в стадии активного формирования и обладает значительным потенциалом для дальнейшего роста. В период до 2030 г. рост российского ИТ-рынка будет существенно опережать темпы роста ВВП; ежегодный рост составит 12%, а отношение расходов на информационные технологии к размеру ВВП достигнет 2,8% к 2030 г. Фундаментом роста российского ИТ-рынка станет продолжающаяся цифровизация экономики, активное импортозамещение продуктов западных вендоров, а также беспрецедентный уровень государственной поддержки ИТ-сектора
- Продажи российских разработчиков на рынке инфраструктурного ПО будут расти с опережающей скоростью до 2030 г.: среднегодовой темп роста, по нашим оценкам, составит 31%. Рост требований к информационной безопасности и защищенным ИТ-решениям будет способствовать росту спроса на отечественные разработки и переходу в том числе на сертифицированные ИТ-продукты.
Внезапно: в реестре ФСТЭК России многие сертификаты на средства защиты информации (в том числе иностранных производителей), действие которых ранее было прекращено, вновь возобновлены: VMware, CyberArk, Huawei, Symantec, Microsoft, Cisco, Oracle, FortiGate, SAP и проч.
https://reestr.fstec.ru/reg3