Обзор рынка ИБ с 1 по 20 июня (выпуск 3)

Аватар пользователя Gum
Автор: Шуклин Андрей, DLP-Expert
(0)
()
Опубликовано в:

 

Регуляторы. Законодательство.

Основное событие июня в области законодательных инициатив – новый виток борьбы с пиратами. В начале месяца Министерство культуры предложило ряд серьезных антипиратских поправок к закону «Об информации, информационных технологиях и защите информации» (подробно с документом можно ознакомиться на сайте Госдумы. Разработка Минкультуры была резко негативно воспринята интернет-сообществом. Он подвергся открытой критике Яндекса и Google, интернет-компании предложили свои поправки, так как в первоначальном виде новая инициатива требует от исполнителей непропорциональных усилий по поиску и блокированию контента.  Поправки были приняты Думой почти единогласно с оговоркой, что документ будет дорабатываться. Более того, по задумке министерства не только владельцы сайтов и хостинг-провайдеры должны нести ответственность за распространение пиратского контента, но и рядовые пользователи, которые его скачивают. Кстати, во Франции как раз появился хороший пример наказания пользователей торрентов. Чтобы подстраховаться социальная сеть «Вконтакте» уже начала активное удаление загруженной музыки по запросам правообладателей.

За первые две декады июня произошло два важнейших для ИБ-специалистов события – публикация приказа ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также  приказа N 157 ФСБ «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации». В специальном разделе нашего портала также представлены мнения экспертов по поводу новых документов.

Среди прочих инициатив регуляторов – попытка Роскомнадзора сделать блокирование сайтов более демократичным. Принятая до недавнего времени концепция запрета доступа по IP-адресам уже доказала свою неэффективность. Теперь обсуждение новых методов происходит на сайте www.wecantrust.net.

Очередным этапом в области информационно - правового сотрудничества США и России стало создание механизма обмена информацией для лучшей защиты критических систем. По проекту, подписанному Путиным и Обамой будет создан специальный канал между профильными ведомствами двух государств. Ожидается, что углубление сотрудничества поможет ускорить передачу критически важной информации и уменьшить риск неверного понимания ситуации и последующей эскалации конфликта между государствами в рамках защиты национальных инфраструктур.

Новости безопасности

По сообщениям The Guardian, один из бывших программистов компании Booz Allen Hamilton  Эдвард Сноуден обличил постоянное нарушение прав на частную жизнь людей по всему миру со стороны американского правительства. Государственная программа PRISM, в разработке которой он принимал участие, не только позволяет властям собирать информацию о пользователях девяти крупных технологических компаний, но и открывает прямой доступ к компьютерным системам этих организаций. Но это – только вершина айсберга.

Вопрос национальной кибербезопасности теперь будут решаться и на уровне НАТО. По сообщениям Reuters, уже в октябре будет готова группа быстрого реагирования, способная на ранних этапах обнаруживать и нейтрализовать угрозы кибербезопасности национального масштаба.

Переходя к российским реалиям, отметим, что Роскомнадзор в июне добился выписки первого штрафа провайдеру за несовершение действий по блокированию запрещенного контента. Это – первая ласточка, которая, похоже, будет определять политику контроля в будущем.

Немало усилий в начале июня было направлено на борьбу с компрометацией Единого Государственного Экзамена. Правительству удалось добиться досудебной блокировки ресурсов, ввести наказания для школьников, публикующих варианты заданий и ответов, а также перевести незаконное распространение КИМов из разряда административной ответственности в уголовную. В сообщениях регуляторов говорится о том, что  в 2014 году на защиту ЕГЭ будет потрачено 300 миллионов рублей.

Инциденты и утечки

Серьезное внимание получил инцидент утечки данных из американских спецслужб. Как выяснилось, они практически беспрепятственно собирали информацию о гражданах на протяжении нескольких лет. По данным CNEWS, компании Microsoft и Apple опубликовали количество запросов со стороны правоохранительных органов. Первая из компаний передала спецслужбам ответы на почти  7 тысяч запросов по данным более 31 тысячи учетных записей за 2012 год. В Apple, в свою очередь, сообщили, что за период с 1 декабря 2012 года по 31 мая 2013 года они получили 4-5 тысяч обращений касательно около 10 тысяч учетных записей пользователей.

Громкая новость серьезно нарушила планы Израиля по развитию своей обороны. В открытом доступе появился отчет, речь в котором идет о строительстве ультрасовременной израильской базы противоракетной обороны, причем все детали указаны в мельчайших подробностях – от описания работы систем охлаждения до толщины стен.

Другая новость – настоящая шпионская история: ФСБ задержала бывшего сотрудника авиационного предприятия Новосибирска за передачу секретных чертежей по модернизации военной техники иностранным агентам.

Аналитика и тренды

В июне был опубликован очередной отчет OWASP, содержащий 10 самых популярных угроз ИБ. Данный документ выпускается раз в три года. В этом году для его составления был проведен анализ восьми баз данных уязвимостей от семи производителей. Специалисты изучили более 500 тысяч уязвимостей в тысячах приложений и подготовили отчет, а также сводную таблицу для сравнения с угрозами 2010 года.

Компания Gartner обнародовала результаты своего исследования мирового рынка информационной безопасности за 2012 год. По оценке аналитиков за прошлый год рынок ИБ вырос на 7,9% и достиг показателя в $19,135 миллиардов.

Symantec вместе с Ponemon Institute провели оценку стоимости утечек информации в 2013 году. Интересные данные о специфике отраслей и стран, а также о динамике стоимости утечек можно узнать в любопытном отчете компании. Оговоримся только, что в 2013 году потери данных и убытков в большинстве компаний происходили из-за системных сбоев и человеческой халатности. В результате средний показатель убытка от потери одной учетной записи вырос до $136!

Еще одно, недавно проведенное исследование, выявило отличия в подходах к безопасности по гендерному признаку: Microsoft удалось выяснить, что мужчины и женщины по-разному относятся к вопросам информационной безопасности. Так, опрос 10 000 пользователей мобильных и настольных операционных систем выявил интересные результаты, с которыми можно познакомиться здесь.

В заключение предлагаем результаты весьма любопытного опроса, проведенного компанией "Астерос" в рамках Positive Hack Days. Как выяснилось, большая часть талантливых хакеров хочет стать ИТ-специалистами в области безопасности. Единственное, что нужно – создать для них соответствующие условия.

Вокруг света

Интересная статья об отличиях защиты персональных данных в различных странах, и вообще о том, чем персональные данные отличаются от не персональных, была опубликована на портале Privacy Association. В настоящее время также доступен перевод статьи от «Альянс Про».

На сайте Microsoft  опубликовано техническое руководство по защите Active Directory – толковый и полезный документ.

Институт NIST опубликовал руководство по управлению рисками в национальных цепочках поставок. Вы можете ознакомиться с оригиналом текста на английском языке.

Статьи и выступления экспертов

На проходящих в настоящее время форумах все чаще обсуждаются вопросы защиты АСУ ТП и инфраструктуры критических объектов. Обзор некоторых из существующих сегодня средств защиты можно прочитать  в документе на сайте компании «Андек».

Обширный набор информации с конференции Positive Hack Days III можно найти в едином архиве PHD на SlideShare. Там выложены почти все презентации участников мероприятия, включая знаковые доклады знаменитостей. Рекомендуем ознакомиться.

На сайте Anti-Malware появилась весьма любопытная статья, в рамках которой автор производит сравнение бесплатных антивирусов класса Internet Security. Как он определяет этот класс, и какой из них оказался лучше, вы можете узнать из первых рук.

Посты в блогах

Шумиха вокруг американской программы слежения PRISM привела к особой активности в блогосфере. Особое внимание мы предлагаем обратить на искрометные блоги Алексея Лукацкого и Евгения Царева. Читая экспертов приходится задуматься: сегодня мы глядим искоса на американские спецслужбы, но чем лучше ситуация в нашей стране?  Предлагаем почитать и  обсудить данный вопрос.

В своем блоге BMS Consulting предложила 10 приемов по повышению безопасности смартфонов. Статья похожа на практическое руководство и может помочь в обучении безопасному поведению сотрудников, коллеги и домочадцев.

В блоге Андрея Прозорова можно прочитать комментарии эксперта относительно утвержденного Минюстом Приказа ФСТЭК России № 17, определяющего порядок обеспечения информационной безопасности государственных информационных систем. Как всегда, с толком и расстановкой.

Свой взгляд на Приказ №17 предлагает и Артем Агеев. Рассуждение о том, какие государственные информационные системы нужно защищать, а какие – не нужно, читайте в его личном блоге.

Компания «Leta» рассказывает о 6 приемах защиты своей репутации в глобальной сети. О том, как это делать и нужно ли это делать – читайте в официальном блоге.

Что посетить?

24 июня жителям уральского региона предлагается посетить II мини-симпозиум «Современные тенденции в криптографии». Костяк программного комитета составляют представители российских научных и научно-исследовательских учреждений РФ, ведущих фундаментальные исследования в области криптографии. Зарегистрироваться можно на официальном сайте.

С 18 по 26 августа впервые в России пройдет IX объединенная Европейская конференция по программной инженерии  (ESEC), а также Симпозиум по основам программной инженерии ACM SIGSOFT (FSE). Для тех, кто не знает, ESEC/FCE проходит раз в 2 года в различных странах. Теперь у нас есть возможность посетить мероприятие, не пересекая государственных границ. Регистрация уже открыта. С 1 июля организаторы планируют повысить стоимость участия.

Что почитать?

Специалисты в области ИБ, использующие Python или планирующие познакомиться с этим гибким и емким языком программирования могут обратить внимание на книгу Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers. В ней представлены примеры кода на Python, которые могут быть полезны для повышения уровня безопасности и автоматизации выполнения различных задач в сфере информационной безопасности.

Еще одна интересная книга: Ethics in Information Technology, 4 издание. Автор Джордж Рейнолдс рассказывает о том, как сочетаются законодательные, этические и социальные аспекты применения информационных технологий в современном обществе. В книге рассматриваются сложности, с которыми могут столкнутся первые лица компаний и государственных организаций уже в ближайшем будущем, а также предлагаются возможные решения для них. 

Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.