Обзор рынка ИБ с 5 по 12 июля (Выпуск 5)

Регуляторы. Законодательство.

Закон "О электронной подписи" постепенно делает российскую деловую практику ориентированной на электронные взаимоотношения. В частности, опубликованный 28 июня ФЗ-134 «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям» придал статус юридической значимости электронной базе данных Единый государственный реестр юридических лиц (ЕГРЮЛ). Теперь данные в этом Реестре являются юридически значимыми - контрагенты вправе на это рассчитывать, а ответственность за несвоевременное обновление данных возлагается на ту компанию, которая эти изменения не внесла. Собственно, это является уже практикой российской деловой деятельности, которая к тому же теперь закреплена и на законодательном уровне.

Этот же закон комментирует в своём блоге Михаил Емельянников. Его пост с названием "На смерть банковской тайны" как бы намекает на то, что закон направлен не только против незаконных финансовых операций, но в том числе и по добросовестным людям, которые не смогут защитить свою финансовую информацию в том числе от государственных чиновников - в новом законе предпрлагается, что налоговая инспекция и правоохранительные органы могут получить сведения от банков без согласия владельцев счёта. Наверно, такая мера была бы правильной, если бы у предпринимателей была вера в честный суд и налогового инспектора.

В том же законе предполагается внесение изменений в ГК, в статью 859 «Расторжение договора банковского счета». В новой редакции этой статьи у банка есть возможность в одностороннем порядке расторгнуть договор банковского обслуживания, правда предупредив при этом клиента в бумажной форме. Правда, если в 60 дней со дня отправки такого оповещения клиент не пришел за деньгами, то банк вправе перевести их на специальный счёт.

Новости безопасности

"Лаборатория Касперского" предупредила всех о возможном мошенничестве с уплатой штрафов в ГИБДД. Появилось очень много сайтов, которые якобы позволяют оплатить эти штрафы, но пользоваться рекомендуется только официальным - gibdd.ru.

Экспертами по безопасности обнаружили возможность модифицировать приложения для Android без изменения ее электронной подписи. На текущий момент Google выпустила исправления для нее, однако пользователям этой платформы стоит обновить прошивку своих устройств.

Инциденты и утечки

Продолжается разбор дела по DDoS-атаке на сейт "Аэрофлота" организованный основателем платежной системы Chronopay Павлом Врублевским. Прокурор потребовал осудить фигурантов дела к трём годам колонии.

В Иркутске задержан хакер, подозреваемый во «взломе» платежного терминала, который как оказалось участвовал во Всероссийской олимпиаде по информатике и занял на ней второе место.

Печерский районный суд города Киева приговорил к пяти годам лишения свободы с отсрочкой на три года организатора и двух участников международной преступной группировки, занимавшейся созданием и распространением вредоносных компьютерных программ семейства Trojan.Carberp в России и на Украине.

Аналитика и тренды

Компания Symantec опубликовала результаты опроса 2500 компаний малого и среднего бизнеса, в котором изучала их отношение к ИТ. В этих компаниях отношение в ИТ-технологиям напрямую зависит от руководства компании - где руководитель хорошо относится к информационным технологиям и знает как их использовать, там и доверие к ним выше.

По результатам исследования портала Russia Beyond the Headlines в России уровень пиратского использования электронных книг составляет 95% - именно столько пользователей предпочитают не покупать электронные книги, а скачивать их с бесплатных ресурсов.

Вокруг света

На сайте MacWorld опубликована статья, которая посвящена принципам безопасности, которые заложены в продукты компании Apple. Основным из них является незаметность безопасности. Если другие платформы требуют от пользователя прилагать определенные усилия для защиты платформы, такие как покупать антивирусы, межчетевые экраны или другие средства безопасности, то Apple стремится встроить защиту в платформу, и тем самым привязать пользователя к своим продуктам и услугам. В качестве примеров такой стратегии рассматриваются новые механизмы безопасности компании iCloud Keychain, Activation Lock и магазин иложений Mac App Store, которые были представлены на прошедшей конференции для разработчиков компании Worldwide Developers Conference.

Брайан Кребс в своем блоге подробно описал набор эксплойтов Styx exploit pack, который используется для заражения посетителей сайтов зомби-компонентом. Разработчики предлагают услуги данной зомби-сети якобы для проведения "стресс-тестов", но на самом деле не ограничивают их в использовании команд зомированных компьютеров. Кребс также провёл расследование и выяснил, что следы создателей этого набора эксплойтов ведут на Украину, в город Хмельницкий.

Статьи и выступления экспертов

Контроль программных привилегий - модуль UAC, который появился в Windows Vista, а потом был перенесен и в семёрку, и в восьмёрку, традиционно считается неудачным. Много инструкций как ео отключить, тем не менее для разработчиков важнее реализовать в своих продуктах поддержку этого механизма, даже если пользователь им пользоваться не будет. Подробное описание того, как это можно сделать появилось недавно в статье на Хабре, где автор с примерами кодов описывает как именно можно сделать так, чтобы минимизировать случаи запроса у пользователя полномочий администратора.

На Хабре появилось описание применения протокола согласования криптографических алгоритмов IKEv2 при использовании в среде Cisco FlexVPN. В материале даются подробные инструкции как настраивать маршрутизаторы Cisco для работы со второй версией IKE, которая несовместима с первой.

Посты в блогах

Алексей Лукацкий привел в своем блоге список законопроектов, которые внесены в Думу перед закрытием весенней сессии и относятся к отрасли информационной безопасности. Обсуждаться и приниматься они будут уже на осенней сессии.

Андрей Прозоров обсуждает в своём блоге приказ ФСТЭК №17, который регламентирует защиту государственных информационных систем. В первой части речь шла о самых различных аспектах от срока действия приказа (1 сентября 2013) до пересечения с аналогичным приказом по защите персональных данных №21, а во второй подробно обсуждается набор мер, которые должны быть реализованы для защиты ГИС.

Михаил Емельянников написал пост про методы, которыми действуют некоторые аналитики в том числе и в сфере информационной безопасности для продвижения своих услуг.

Что посетить?

На этой неделе в Индии состоится шестое открытое мероприятие Yahoo! Hack India.

Компания Digital Security определилась со временем проведения ZeroNights 2013, которая в этом году состоится 7 и 8 октября в Москве.

Что почитать?

Книга "Информационные вызовы национально и международной безопасности", которая была издана в 2001 году ПИР-Центром, представляет интерес и по сей день. Она определяет понятия информационной войны (на путать с современным "кибервойнами") и обсуждает национальные и международные проблемы которые с этим связаны. Конечно, книга написана научным языком, который воспринимается достаточно трудно, тем не менее он максимально точно отражает терминологию и идеологию информационных войн.

Опубликована вторая версия стандарта NIST по безопасности мобильных устройств, где обсуждаются угрозы от использования мобильных технологий в компаниях. В нем также описываются и средства защиты в виде MDM-решений. Текст стандарта стал короче, за счёт более высокоуровневого описания подходов к мобильной безопасности. Собственно, для безопасного использования мобильных устройств в компании нужно сделать три действия: определить правила использования мобильных устройств, обеспечить безопасность устройств во время всего жизненного цикла и внедрить MDM. Подробные инструкции как это сделать даны в документе.

Оцените материал:
Total votes: 106
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.