Обзор рынка ИБ (выпуск 8)

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

Регуляторы. Законодательство.

В начале сентября Роскомнадзор обнародовал письмо с разъяснениями по поводу того, как региональным отделениям нужно трактовать положения ФЗ-152. Подготовлено оно было четырьмя экспертами отрасли. Статус этого письма рекомендательный, поскольку регуляторных постановлений Роскомнадзор выпускать не может. Наталья Храмцовская в своём блоге подробно разобрала положения данного письма.

Законопроект по защите критически важных объектов практически единственный проект федерального закона, который относится к сфере информационной безопасности. Причём Госдума даже организовала его общественное слушание, однако желающих участвовать в разработке закона оказалось очень мало. Мнениями о процессе этих общественных слушаний высказал в своём блоге Алексей Лукацкий.

Новости безопасности

Samsung объявил, что он собирается предустанавливать на свои устройства, работающие под управлением Android и предназначенные для корпоративных пользователей, антивирусный продукт компании Lookout. Он будет интегрироваться с корпоративной платформой Samsung Knox. Будут ли предустанавливаться этот антивирусный продукт в персональные смартфоны - пока не известно.

Новый сервис класса "безопасносность как сервис" предложила компания BitSight Technologies. Она подготовила услугу BitSight Partner SecurityRating, в рамках которой весь входящий и исходящий трафик собирается и анализируется специальной системой компании на предмет обнаружения в нем DDoS-атак, работающих зомби и других признаков нападения. Сервис позволяет клиентам вовремя заметить подозрительную активность и постараться исправить возникшую проблему. Отчеты компания готовит ежедневно.

Инциденты и утечки

Промышленный скандал разразился в компании HTC, где в воровстве технологических секретов были обвинены три руководителя компании - одним из них оказался вице-президент HTC по дизайну продукции Томас Чиэнь, который принимал участие в разработке смартфонов HTC Hero и HTC One. Утверждается, что они организовали собственные  компании и перевели в них часть интеллектуальной собственности HTC и в скором времени планировали выпустить собственные смартфоны, став тем самым конкурентами HTC. Судебные разбирательства ещё продолжаются.

Игровая компания Zynga примирилась со своим бывшим сотрудником Аланом Пэтмором, который перешёл к конкуренту - компании Kixeye, захватив с собой более 760 файлов. Несмотря на то, что бизнесу Zynga мог быть нанесён определённый урон, всем трём сторонам удалось договориться - Пэтмор принёс публичные извинения Zynga.

Citibank пришлось заплатить штраф в 55 тыс. долл. за допущенную им в 2011 году утечку персональных данных пользователей. Тогда хакерам удалось получить доступ к именам, номерам счетов и адресам электронной почты 360 тыс. владельцев карточек с помощью взлома системы Интернет-банкинга. Впрочем, это не единственная потеря банка - злоумышленникам тогда удалось похитить 2,7 млн. долл. со счетов клиентов.

Аналитика и тенденции

Компания Group-IB привела исследование российского рынка киберпреступности, который она оценила в 1.9 млрд долл. Причём это на 6% меньше, чем было ранее за счёт уменьшения сумм потерь в финансовой сфере от несанкционированного использования ДБО.

Аналитики предсказывают рост популярности услуг аренды систем видеонаблюдения. Для небольших и даже средних компаний построить собственную интеллектуальную систему видеонаблюдения не всегда возможно. При этом вполне по силам использовать арендованные продукты, которые установлены на платформе оператора и занимаются распознаванием критических событий. Клиентам не нужно разворачивать собственные решения, но использовать их функциональные возможности вполне под силу.

Вокруг света

Исследователи из MIT опубликовали доклад, в котором показали возможность создания аппаратных троянцев при помощи изменения легирования материалов микросхем. Такое легирование трудно определить как с помощью изучения топологии, так и с помощью проведения программных тестов электроники. В отчете приведены два примера подобных троянцев, которые уже могли использоваться при производстве современных процессоров, в том числе и компании Intel.

Брюс Шнайер в своём блоге подробно описал очередную утечку данных про систему АНБ. В частности, речь идёт о том, как именно американская спецслужа могла перехватывать зашифрованные соединения с помощью атак типа "человек посредине". 

Статьи и выступления экспертов

Идентификация и частная жизнь - две взаимоисключающие категории. Как обеспечить идентификацию граждан, чтобы сохранить в неприкосновенности их частную жизнь - именно этим вопросом позаботились авторы статьи, которую перевела Наталия Храмцовская в своём блоге.

Пароли как инструмент аутентификации является не всегда хорош. Для аутентификации пользователей лучше использовать что-то привязанное к самой природе человека и неотделимое от него. В частности, можно использовать шаблоны поведения, по которым удается не просто отличить одного человека от другого, но и обнаружить в почедении испытуемого нестандартное поведение и неожиданные цели. Возможности такого способа аутентификации разобраны в статье на Хабре.

Посты в блогах

Мнение эксперта InfoWatch о возможном влиянии на КОИБы со стороны государства. Конечно, подозревать государство в возможности влияния на выпускаемую им самим технику уже сродни теории заговора, но рассуждения для многих знакомые.

Рассуждения на тему "Какая информационная безопасность нужна бизнесу?" с точки зрения бизнеса. Точнее менеджеров, которые этим бизнесом управляют. Предполагается, что откровения Сноудена могут стимулировать развитие рынка ИБ, однако может быть и обратный эффект.

Что посетить?

Компания "Рестек" продолжает проводить выставку по информационной безопасности под названием "ИнфоБез", которая в основном ориентирована на государственных заказчиков. В этом году она на две недели позже InfoSecurity, тем не менее сравнения с последней "ИнфоБезу" всё-равно не избежать.

Международный форум для специалистов в области информационной безопасности. Люди большей частью знакомые, поддержка АИС, RISSPA, "Персональные данные" и других. В общем ещё одно мероприятие по ИБ, но в конце октября.

Что почитать?

АНБ продолжает вдохновлять разработчиков средств безопасности на всё новые и новые изобретения. Вот, например, инструмент для использования шифрования сообщений в социальной сети "ВКонтакте". Правда, от АНБ такой простой способ вряд ли защитит, но попробовать стоит.

Борис Мирошников долгое время возглавлял спецслужбы, которая занималась расследованием киберпреступлений. А когда уволился и перешёл на работу в компанию Cyberplat, написал книгу "Сетевой фактор", которая посвящена сетевой национальной безопасности. На портале Cnews опубликованы выдержки из неё, которые вполне характеризуют и остальной текст.

 

Группа IETF обычно занимается разработкой стандартов для Интернет, однако есть один день в году, когда инженеры этой группы не занимаются серьёзной работой. В этот день они шутят. Поэтому, когда вы видете странное RFC со странным названием - посмотрите на дату публикации документа. Обычно они датированы 1 апреля. Причём выпускаться такие документы могут в любой день. Подборку таких шуточных RFC привёл в своём блоге Евгений Шауро.

 

Оцените материал:
Total votes: 71
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.