Сейчас в базе: продуктов/услуг - 305; организаций - 135; Добавлено за последнюю неделю - 10. Не нашли то, что искали ? Напишите нам
Дайджест ИБ за 13 - 26 октября 2014 года

Дайджест ИБ за 13 - 26 октября 2014 года

altОбзор самого интересного, что произошло за прошедшие 2 недели в области ИБ:
  • новости законодательства и отраслевого регулирования

  • новости ИБ

  • интересные посты русскоязычных и англоязычных блогов

  • исследования и аналитика

  • громкие инциденты информационной безопасности

  • обзор событий предстоящих недель

 

Новости законодательства и отраслевого регулирования

  • . 25 октября 2014 года вступит в силу Указание ЦБ РФ от 25.07.2014 № 3342-У "О требованиях к информационным технологиям, используемым операторами услуг платежной инфраструктуры, для целей признания платежной системы национально значимой платежной системой". В документе определяется, каким требованиям должны соответствовать материальные носители платежных карт и криптографический модуль, используемый в интегральной схеме платежной карты. В Указании также говорится, что требования к защите информации при осуществлении переводов денежных средств должны соответствовать Положению ЦБ РФ от 09.06.2012 № 382-П. Документ разработан в целях реализации п. 2 ч. 13 ст. 22 Федерального закона от 27 июня 2011 года №161-ФЗ «О национальной платежной системе» для обеспечения условий создания национально значимой платежной системы.

  • . С 21 октября текущего года в действие вступают в силу новые правила, регулирующие отправку SMS-сообщений. В соответствии с , внесенными в закон «О связи», с этого дня операторы сотовой связи обязаны получать согласие абонентов на рассылку SMS-рекламы. При этом пользователь должен подтвердить свое разрешение сначала в письменной форме, а затем через SMS-сообщение. В том случае, если оператор начинает рассылку, не получив предварительно согласия, компания может попасть под штрафные санкции.

  • На сайте Минэкономразвития опубликован проект федерального закона «», который устанавливает отвественность за нарушение правил обработки персональных данных (в статье 13.11 (и подстатье 13.111). Законопроект предполагает увеличение штрафа за нарушение до 1 000 000 рублей, а срока давности с трех месяцев до одного года.

Новости ИБ

  • . Чтобы обезопасить пользователей от кражи паролей и информации, хранящейся в «облачных» сервисах, эксперты Google разработали USB-флешку, которая будет проверять каждый сайт, запрашивающий логин и пароль из цепочки Google. Специалисты называют это вторичной верификацией - подтверждением того, что сайт является безопасным и, введя свои данные, пользователь не отдаст их в руки мошенников. Попадая на сайт, который кажется подозрительным и требует введения данных аккаунта Google, пользователь просто вставляет флешку в свой компьютер и запускает процесс проверки. Пока Google-ключ работает лишь в браузере Google Chrome.

  • . Согласно результатам исследования мобильных угроз, проведенного «Лабораторией Касперского» совместно с Интерполом, за период с августа 2013 года по июль 2014 года 60% атак, предотвращенных защитными продуктами компании на Android-устройствах, были нацелены на кражу денег пользователей. Мошенников в большинстве случаев интересовали финансы россиян, однако атакам также были подвержены пользователи на Украине, в Испании, Великобритании, Вьетнаме, Малайзии, Германии, Индии и Франции.

  • . Национальная система платёжных карт может быть запущена без технологий, обеспечивающих защиту оплаты товаров и услуг в интернете. Согласно данным газеты «Ведомости», такое развитие событий возможно, если разработчикам проекта не будет хватать времени на его реализацию. Российские специалисты планируют выпустить собственную систему защиты к первому кварталу 2015 года, однако если они не уложатся в срок, то НСПК выйдет в урезанном варианте. В таком случае россиянам придётся совершать интернет-платежи на свой страх и риск.

  • , а именно о мерах доверия и предотвращения перерастания киберинцидентов в полномасштабный конфликт. Двухстороннее соглашение может быть подписано в ходе визита президента РФ Владимира Путина в Пекин (для участия в саммите АТЭС) 10 ноября. . Ранее Соединенные Штаты неоднократно обвиняли китайских хакеров в шпионаже и развязывании кибервойны. США также называли Китай и Россию своими главными киберугрозами.

  • . Интернет-поисковик Google теперь будет более активно бороться с пиратским контентом. Так, уже в ближайшее время сайты, распространяющие нелицензионные копии фильмов, музыки, игр и других защищенных авторским правом материалов, будут опускаться на несколько страниц ниже в результатах поисковой выдачи. В настоящее время Google может удалить ссылку на тот или иной ресурс, если правообладатель свяжется с администрацией поисковика и оформит соответствующий запрос. Теперь разработчики поисковика исправят алгоритмы поиска таким образом, что пиратские ресурсы будут опускаться в зависимости от количества ранее поданных запросов.

  • чтобы спецслужбы могли, в случае необходимости, получать доступ к данным пользователей. ФБР беспокоит стремление крупнейших ИТ-компаний максимально защитить коммуникации своих клиентов. В прошлом месяце стало известно о том, что в iOS 8 шифрование находящихся в памяти мобильного устройства всех пользовательских данных будет включено по умолчанию. Аналогичный уровень защиты введен корпорацией Google в ее новой платформе Android 5.0 Lollipop.

Интересные посты русскоязычных блогов по ИБ

  • и пакете результирующих материалов, которые должны формироваться по итогам проведения этих самых расследований, читайте в посте Игоря Агурьянова.

  • Андрей Врублевский в блоге на Хабрахабр рассказал об на примере отражения атаки на крупный банк.

  • Алексей Лукацкий поднял в своем блоге дискуссионную на основании результатов моделирования угроз.

  • Обо всех аспектах успевшей уже наделать шума читайте в блоге на Хабрахабр пользователя valievkarim.

  • Алексей Лукацкй также поделился своей презентацией с прошедшей в Челябинске конференции по информационной безопасности, в которой он раскрывает .

Интересные посты англоязычных блогов по ИБ

  • , позволяющих автоматизировать выполнение определенных процессов в рамках внедрения требований ISO 27001 рассуждает в своем блоге Dejan Kosutic.

  • - об этом читайте в корпоративном блоге компании Tripwire.

  • Javvad Malik в своем блоге опубликовал так называемое "", в котором он в сатирической форме оценивает смысл внедрения каждого из требований стандарта ISO 27001.

Исследования и аналитика

  • Эксперты компании Imperva представили . Отчет был составлен по итогам анализа 99 приложений. Согласно отчета, из всех систем управления контентом (CMS) WordPress наиболее часто становилась объектом кибератак. Попытки скомпрометировать web-сайты под WordPress, совершаются на 24,1% чаще, чем в отношении сайтов, работающих на других CMS.

  • Компания HP Enterprise Security совместно с Ponemon Institute представила . Согласно результатам исследования, средний ущерб от кибератак в расчете на организацию составил 3,3 млн долл, а средний годовой убыток организации составил 12,7 млн долл. В среднем время, уходящее на устранение последствий кибератаки, за 5 лет выросло на 33%, а ущерб от одной атаки превысил 1,6 млн долл.

  • Компания Symantec представила . Согласно отчета с января по август 2014 года количество DDoS-атак с использованием техники DNS-отражения и усиления возросло на 183%. По данным экспертов, в первой половине текущего года наибольший объем трафика DDoS-атак был зафиксирован в Индии (26%) и США (17%).

  • Group-IB представила результаты исследования киберпреступности в . Согласно отчета, в России и странах СНГ русскоговорящие хакеры заработали 2,5 млр.долл. США, что составляет лишь 2% от глобального рынка, оцененного компаний Symantec. Русскоязычные хакеры замечены в осуществлении DDoS-атак ($113 млн), а также в других сомнительных операциях, например, продаже траффика, эксплоитов, предоставлении услуг по анонимизации ($288 млн), рассылке поддельного ПО ($841 млн).

  • . В опросе приняли участие около 800 респондентов – подписчиков официальных групп ESET Russia в социальных сетях. Респондентам было предложено выбрать один из вариантов ответа на вопрос:“Вы сталкивались в игровой реальности с настоящими кибермошенниками?”. Как выяснилось, 41% респондентов уже становились жертвами интернет-мошенников из-за собственной наивности или невнимательности.

Громкие инциденты ИБ
  • Крупная торговая сеть США Kmart подверглась кибератаке. Как сообщили в компании, ещё в начале сентября хакеры внедрили в платёжную систему ритейлера некое новое вредоносное программное обеспечение, похожее на компьютерный вирус. С помощью этого ПО злоумышленники похитили номера кредитных и дебетовых карт покупателей.
  • . «Имеют место DDoS-атаки на сайт ЦИК. Это тоже было вполне прогнозируемо, поэтому заранее было налажено взаимодействие ЦИК и Госспецсвязи с провайдерами, обслуживающими зеркала и каналы. Пока зафиксирована интенсивность 400 Мбит/с, это сравнительно немного. Еще раз напоминаем: если какой либо сайт «мерцает» в результате DDоS-атаки, это не значит, что его «взломали хакеры», – говорится в сообщении службы в «фейсбуке».
  • Сервис для синхронизации и хранения данных Apple iCloud подвергся атаке хакеров, которые пытаются перехватить регистрационные данные пользователей при их попытке зайти на сервис.

Обзор событий предстоящих недель

Посетить
  • 30 октября, Пермь – Конференция “”.

  • 5 ноября, Москва – V международная конференция “”.

Послушать
  • 28 октября, 11:00 – Вебинар “” от компании ДиалогНаука.

  • 30 октября, 11:00 – Вебинар “” от компании Инфозащита.

  • 30 октября, 11:00 – Вебинар “” от компании Код безопасности.

---
 
Составители дайджеста
 
, ,
 

Добавить комментарий


Защитный код
Обновить

|
Email-подписка на Дайджесты ИБ: