Лента ИТ-источников 7258

Главное на рынке информационной безопасности: 16 - 20 ноября

Сообщество BISA создано под эгидой одноименной Ассоциации Business Information Security (BISA). Оно объединяет профессионалов в области информационной безопасности, руководителей бизнес подразделений, представителей регуляторов и других специалистов, заинтересованных в развитии информационной безопасности в России и мире.
Законодательство

На сайте технического комитета ТК-122 опубликованы для обсуждения два проекта стандартов Центрального банка: СТО БР ИБНФО Б-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций. Общие положения» и СТО БР ИБНФО М-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций, соответствующих критериям отнесения к малым предприятиям и микропредприятиям. Общие положения». Первый проект стандарта определяет требования к информационной безопасности для крупных и средних некредитных финансовых организаций (НФО), а второй – для малых и микропредприятий. В рекомендациях указано, что при количестве сотрудников в компании более 60 человек рекомендуется использовать первый стандарт, а меньше – второй. Впрочем, оба стандарта являются рекомендательными, если иное не указано в других законодательных актах.

В обоих стандартах указывается, что в НФО должны построить систему обеспечения информационной безопасности (СОИБ), которая состоит из системы информационной безопасности (СИБ) и системы мониторинга информационной безопасности (СМИБ). Отличия только в наборе требований, которые, тем не менее, являются базовыми и могут быть изменены по результатам деятельности СМИБ. Характерно, что для реализации СОИБ Центробанк предлагает пользоваться услугами подводной организации, которые имеют лицензию на деятельность по ТЗКИ. Стандарты были опубликованы 5 ноября для ознакомления. Замечания по стандарту принимаются до 5 декабря.

Опубликован указ Президента РФ номер 560, который вводит в действие новый план обороны Российской Федерации на срок с 2016 по 2020 годы. Подробных планов не приводится, но из общих соображений можно предположить, что информационная безопасность России там тоже присутствует.

Аналитика

Социологи «Левада-Центра» провели опрос 1600 человек в 134 населенных пунктах 46 регионов РФ, который показал, что россияне в целом не очень любят делать селфи. В частности, 73% населения никогда не снимают себя на мобильный телефон, раз в месяц делают селфи всего 12% россиян, и несколько раз в месяц – только 9%. В исследовании указывается, что реже всего свои снимки делают следующие категории: люди старше 55 лет (никогда не делали селфи – 95%), малообразованные (88%) и с достатком ниже среднего (85%) – такие люди точно неинтересны банкам. Таким образом, в России ещё лучше должен сработать метод оценки заемщиков, предложенный некоторыми английскими банками, при котором доверие вызывают те люди, которые регулярно публикуют свои изображения в сети. Аналогичные проекты с идентификацией по селфи предлагает также и китайская платёжная система, а у MasterCard вообще есть система Selfie Pay, позволяющая верифицировать клиента по селфи. Результаты «Левада-Центра» показывают, что в России такая модель верификации добросовестных клиентов также может быть использована.

Эксперты компании Digital Security опубликовали результаты исследования защищённости промышленных сетей в нефтегазовой индустрии. Оказалось, что до 75% предприятий этого сектора уязвимы к атакам киберпреступников. Причём уязвимы не просто сайты компаний, но сами промышленные сети, которые часто тесно связаны с такими системами, как SAP xMII, SAP Plant Connectivity, SAP HANA, Oracle E-Business Suite и аналогичными, которые в свою очередь связаны с общекорпоративными и часто уязвимыми для атак из-вне сетями. То есть чисто теоретически хакеры могут получить доступ к промышленному оборудованию нефтегазовых компаний. Однако сейчас активно ведётся ценовая война между классическими нефтяными поставщиками и добытчиками сланцевых нефти и газа. В борьбе за такие рынки могут использоваться самые жёсткие методы конкуренции, в том числе и провоцирование аварий через взлом технологических сетей.

Уязвимости

В США обнаружилось, что нагрудные камеры, которые носят полицейские, заражены червём Conficker. Это обнаружила компания iPower, которая представляет услуги облачного хранения информации с камер. Компания заявила, что камеры, произведённые Martel Electronics и поставленные в полицию США, были заражены данным вредоносом. Впрочем, он был записан в память камеры, не перехватывая управление процессором. Однако при подключении камеры к компьютеру для снятия информации антивирус выдавал предупреждение о заражении, что и привлекло внимание сотрудников iPower. В России полицейские также носят нагрудные камеры-видеофиксаторы, однако куда сохраняются собранные данные и были ли с ними инциденты – не известно. В прошлом году была зафиксирована атака на автоматические видеофиксаторы ГИБДД, которые стоят вдоль дорог.

На азиатской конференции по кибербезопасности PanSec 2015 был опубликован доклад компании Tencent's Xuanwu Lab, где обсуждается возможность использования штрих-кодов для взлома различных систем. В частности, утверждается, что для этого можно использовать коды, которые содержат полный набор символов таблицы ASCII. В частности, на конференции была продемонстрирована атака на сканер, обычно применяемый в аэропортах для считывания информации посадочных талонов пассажиров. Оказалось, что для него можно сформировать такой штрих-код, который позволяет запустить определённые действия на компьютере, к которому подключен сканер. Ранее уже предсказывалась возможность использования специальных QR-кодов, однако сведений о реальном использовании данной возможности пока не поступало. Тем не менее, штрих-коды используются чаще и активнее, поэтому для них реальный сценарий атаки придумать проще.

Новости

Компания Google планирует вести в своём сервисе Gmail функцию с предупреждением о том, что полученное письмо на определённом этапе не было зашифровано, то есть его содержание может быть доступно третьим лицам. По данным компании есть страны, правительства которых запрещает использовать шифрование сообщений – к ним относятся Тунис, Ирак, Папуа – Новая Гвинея, Непал, Кения, Уганда и Лесото. Каждое пятое сообщение с почтовыми серверами в этих странах, по данным Google, передаётся без шифрования. Тем не менее, в компании отмечают возросшую долю шифрованных сообщений, которые получают сервера Gmail извне – за два последних года этот показатель увеличился с 33% до 61%. Таким образом, обычная электронная почта становится все более защищённой от прослушивания.

Блоги

Компания "Крипто Про" опубликовала на своём сайте статью о том, как по их предположению АНБ взламывала зашифрованные соединения. Утверждается, что виной всему не очень случайный выбор "случайных" чисел для генерации секретных ключей протокола RSA. В статье обсуждаются работы криптографов из различных стран, которые проанализировали используемые открытые ключи и обнаружили, что в них очень часто используются одинаковые простые числа – в этом случае с помощью вычисления наибольших общих делителей можно достаточно быстро найти оба секретных ключа. Кроме того, эксперты компании указывают на возможную предсказуемость команды процессора Intel по генерации псевдослучайной последовательности. В конце авторы дают определённые рекомендации по использованию правильных алгоритмов шифрования, среди которых указываются российские алгоритмы на эллиптических кривых. Указывается, что российские криптографы никогда не доверяли RSA и сложности задачи дискретного логарифмирования.

Андрей Прозоров рекомендует свой вариант внедрения системы измерения в информационной безопасности. Сделать это можно всего за 20 шагов. Задача, в принципе, классическая, но Андрей Прозоров добавил в неё своего опыта внедрения, что и делает материал интересным.

События

ФСТЭК России приняла участие в конференции «Информационная безопасность. Невский диалог», которая прошла в Санкт-Петербурге 10 и 11 ноября в рамках выставки по безопасности Sfitex/Securika. На конференции обсуждались проблемы информационной безопасности для ключевых элементов инфраструктуры, проблемы построения защищённого электронного документооборота и построение системы "Безопасный город". Возможно, под чётким руководством ФСТЭК "Безопасный город" станет ещё более безопасным, поскольку в этой системе накапливается очень много информации, привлекательной для злоумышленников.

Новости ИБ
Тэги: 
Дайджест ИБ

© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2015

Опубликовано 26.11.15 12:42
Просмотров 433
Разместил