Обзор рынка ИБ (выпуск 9)

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

Регуляторы. Законодательство.

Продолжаются попытки привести закон "О персональных данных" в соответствие с логикой и правилами российского бизнеса. На этот раз поправки в ФЗ-152 обсуждались на уровне Совета Федерации, где было обещано, что они не позднее 1 декабря будет инициирован процесс внесения дополнительных изменений в закон "О персональных данных". Михаил Емельянников в своём блоге очень позитивно отозвался о подготовке этого закона.

Сейчас активно обсуждается проект приказа Минкомсвязи, устанавливающего требования к системе оперативно-розыскных мероприятий (СОРМ), которая должна соответствовать современным требованиям. В своём блоге Алексей Лукацкий проанализировал историю развития требований к СОРМ. А Николай Федотов - предположил, что вряд ли и новый СОРМ-3 будет эффективно работать.

Новости безопасности

Агентство DARPA объявило конкурс на создание системы безопасности, которая могла бы самостоятельно и автоматически исправлять уязвимости в программном обеспечении. Конкурс планируется закончить к 2016 году, когда его участникам будут выплачены призы в размере 2 млн. долл. за первое место.

Обнаружилось, что сайт UploaderTalk, где можно было обсуждать возможности по обмену пиратским контентом, оказался а самом деле антипиратской ловушкой. Он был недавно закрыт с пояснениями, что его организатор достиг поставленных перед проектом целей - собрал исчерпывающий материал на пиратов. Правда, не совсем понятно как эта информация будет в дальнейшем использоваться.

Инциденты и утечки

У компании Adobe случилась одна из крупнейших утечек. В начале речь шла о воровстве 3 млн. учетных записей абонентов и кодах продуктов линейки Acrobat. Однако выяснилось, что проблемы серьёзнее - число утекших записей насчитывает 38 млн., а исходники утекли, в том числе и Photoshop, и ColdFusion. Для всего Интернета доступ чёрного рынка к исходным кодам таких продуктов может представлять опасность.

"Грабь награбленное" - стандартный лозунг смутных времён, когда государство не может выполнять своих обязанностей в части защиты граждан от преступников. Сейчас, видимо, именно такое время. Во всяком случае это показывает преступление, раскрытое недавно правоохранительными органами, когда сотрудник мобильного оператора перечислял себе деньги со счетов выявленных им мобильных мошенников.

Аналитика и тенденции

Компания Positive Technologies опубликовала в своём блоге результаты исследования веб-сайтов крупных российских компаний. Оказалось, что 45% из них по-прежнему уязвимы, но этот показатель начинает снижаться - владельцы ресурсов, особенно государственных, заинтересовались услугами аудита сайтов и даже используют рекомендованные им методы защиты.

До конца технической поддержки Windows XP остаётся очень мало времени, и аналитические компании предсказывают к этому времени увеличение числа атак на эту операционную систему. Уже сейчас исследования показывают, что заражённость компьютеров под Windows XP выше, а доля их присутствия в Интернет по прежнему остаётся достаточно большой. Впрочем, антивирусные компании и производители браузеров будут поддерживать эту ОС и после снятия её с поддержки самой Microsoft.

Вокруг света

Брюс Шнайер в своём блоге проанализировал противостояние государственных структур и распределенных самоуправляемых организаций. Если раньше Интернет давал преимущества вторым, то теперь госструктуры начинают отвоёвывать свои позиции в этом противостоянии.

В своём блоге компания Trend Micro подробно анализирует такую часть киберкриминального рынка как производство вымогателей, которые требуют деньги за восстановление зашифрованных ими самими данных. Эта криминальная бизнес-модель активно развивается по всему миру, хотя изначально она зародилась в России. Тем не менее сейчас проблемы, связанные с шифрованием важных данных подобными вредоносами, становятся всё более актуальны.

Статьи и выступления экспертов

Статья посвящена защите электронной почты,. Эта проблема сейчас вызывает повышенный интерес в связи с разоблачениями АНБ и обсуждением новых СОРМ. В статье разбираются самые разнообразные риски, которые возникают при организации электронной переписки через Интернет.

Подробная статья о разработках американского стартапа Vicarious, который разработал методы обхода механизмов защиты от роботов - CAPTCHA. Утверждается, что полученные этой компанией результаты позволяют распознать изображение на картинке с вероятностью 80%, чего, похоже, даже человек сможет достигнуть с трудом.

Посты в блогах

Своим мнением о прошедшей конференции Information Security Russia 2013 поделился Александр Бодрик. Речь идёт о дискуссии с Александром Бондаренко в рамках круглого стола "Аутсорсинг ИБ - да или нет?", на котором обсуждались проблемы аутсорсинга в информационной безопасности.

Артём Агеев опубликовал обзорный пост про краснодарскую компанию "Орбита", которая, похоже, находится в тяжелом положении. При этом из записи следует, что специалисты, в том числе и в области ИБ, которые в ней работали, ищут новые приложения своим умениям - на территории Краснодарского Края они, оказывается, не очень востребованы.

Что посетить?

В начале ноября проходит третье мероприятие ZeroNigths, организованное DefCon Russia при поддержке компании Digital Security. На нём обсуждаются проблемы прикладной информационной безопасности, организуются конкурсы и проводятся мастер-классы. Мероприятие пройдёт в Москве 7 и 8 ноября.

В конце ноября состоится четвертая международная конференция «Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud Russia – 2013», на которой обсуждаются методы противостояния мошенничеству во всех сферах, где применяются ИТ. Организатором выступает Академия Информационных Систем.

Что почитать?

Перевод статьи об услугах "электронного сейфа", опубликованной на странице открытой франкоязычной группы социальной сети LinkedIn, которая занимающейся работой над стандартом NF Z 42-013. Во Франции Национальная комиссия по информатике и свободам граждан CNIL решила определить требования к услугам защищенного хранения данных в облаке и легализовать такой термин как "электронный сейф". Возможно, аналогичную работу стоит проделать и в России.

Проблема доверия к программному обеспечению обсуждается в статье на Хабре с названием " Теория «Черного лебедя» и фундаментальная уязвимость автоматизированных систем". В ней обсуждаются проблемы и возможные варианты разработки доверенного программного обеспечения, которые формируется с помощью компилятора.

Оцените материал:
Total votes: 90
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.