Пост Лукацкого

2023-07-20 18:18:01 Иногда получишь письмо - видишь сразу спам. Иногда сразу видно, что фишинг (на личные адреса, не корпоративные; там все чётенько). А иногда прям зависаешь над сообщением, силясь понять, что это было Вот редкий пример. И, что характерно, допускаю, что он пройдет все антиспам-фильтры Открыть/Комментировать

2023-07-20 14:50:23 Решение заняться результативным кибербезом и занятие результативным кибербезом - это две большие разницы, как говорят в Одессе. Это как заниматься сексом и принять решение заниматься сексом Открыть/Комментировать

2023-07-20 12:12:06 Microsoft согласилась предоставить своим клиентам логи без дополнительной оплаты. Об этом с вендором договорилось американское агентство CISA Открыть/Комментировать

2023-07-20 11:01:47 Ну хоть правила допуска и доступа к гостайне депутатам с зарубежными активами (то есть почти всем?) ужесточают. Открыть/Комментировать

2023-07-20 09:15:26 На 60-м году жизни скончался легендарный хакер, Кевин Митник Открыть/Комментировать

2023-07-20 07:40:10 В России до недавнего момента не было решений, укладывающихся в концепцию Zero Trust. Так говорили сами вендора, когда ты их об этом спрашивал. Многие считали это очередным американским маркетингом. Потом этот маркетинг дал плоды и заказчики стали спрашивать вендоров о решениях Zero Trust. Те стали отвечать, что Zero Trust - это не продукт, а подход. Но клиенты не сдавались, а чего не сделаешь ради денег клиентов. Теперь у нас стали появляться продукты Zero Trust Открыть/Комментировать

2023-07-19 21:11:01 Вопрос за 300: "А в вашей компании тоже персональные данные нового безопасника утекают раньше, чем он устроился на работу?"

ЗЫ. Спасибо подписчику за присланную шутку Открыть/Комментировать

2023-07-19 18:08:01 Помните (хотя скорее всего нет), год назад я писал про американскую программу "Киберпатриот"? Оказывается в России, при участии Минобороны, было создано одноименное движение. И еще до того, как это сделали американцы, в 2017-м году. Правда, с 2021-го года про него что-то ничего не слышно; по крайней мере сайт движения застыл в 2020-м году, как и официальная группа движения в VK. И только свежий анонс от ГРЧЦ напомнил о существовании наших "Киберпатриотов", но только в контексте конкурса на разработку патриотических компьютерных игр. Открыть/Комментировать

2023-07-19 14:17:01 Идея лицензирования всех операторов ПДн не нова - такое уже было в 2008-м году, когда регуляторы считали, что любой оператор ПДн должен получать лицензию ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ). Ведь защита - это лицензируемый вид деятельности, а защищать ПДн организация обязана. Вуаля, всем в очередь за лицензией

Все бы ничего, только авторы инициатив по обязательному лицензированию забывают, что лицензия дает право заниматься определенным видом деятельности, а защита, как и обработка, персданных - это обязанность любого оператора, от которой отказаться нельзя. Следовательно, требовать получать лицензию на то, что ты и так обязан делать, странно, если не сказать хуже

РКН успел отречься от инициативы, заявив, что речь идет не обо всех операторах ПДн (а в феврале СПЧ хотел именно всех загнать в аккредитацию), а только о тех, которые обрабатывают более 1 миллиона записей о субъектах ПДн. Почему 1 миллион? В ПП-1119 по уровням защищенности верхняя граница проходит по 100 тысячам записей. В законопроекте по оборотным штрафам граница еще ниже. Почему бы не привести все к единообразию? Тем более, что все в руках Минцифры и РКН , которые и отвечают за регулирование ПДн в стране? Вводить ограничения все горазды. Внести правки в уже разработанную нормативку - никого нет, мы в домике.

РКН говорит, что они не хотят вводить ограничения, а хотят повысить уровень защиты ПДн россиян. Благое начинание Но почему вдруг РКН устанавливает требования по защите, а не ФСТЭК с ФСБ, которые по ст.19 ФЗ-152 и уполномочены это делать? Сами же идеи РКН местами странноватые. 5 человек с высшим образованием в области ИБ? Вы где столько видели в одной неИБ-компании? Финансовое обеспечение ответственности в 100 миллионов рублей? Ну хоть не 500 миллионов как у обработчиков биометрических ПДн. Подтвердить выполнение требований по ИБ? А вот это интересный пункт. Как подтвердить? У госов - это аттестация, что прописано в 17-м приказе . А у коммерческих организаций? Аудит (фу, это бумажная ИБ)? Пентест (он и так прописан в 21-м приказе)? Багбаунти (как для портала госуслуг и ЕСИА)? И кто будет проверять качество ИБ? РКН? А откуда там специалисты по ИБ? В общем, много вопросов вокруг очередной непродуманной инициативы. Лучше бы законопроект об оборотных штрафах довели до ума (но его, похоже, в эту сессию работы Госдумы уже не внесут - время вышло). Посмотрели бы на результаты, оценили бы их. А потом уже новые ограничения вводили бы. Но нет, принтер простаивает... Открыть/Комментировать

2023-07-19 11:11:01 Есть во многих компаниях такая практика - следовать жестко заданной процедуре именования учетных записей на корпоративном сервисе e-mail. Например, первая буква имени и дальше 5, 6, 7 символов фамилии, а иногда и целиком фамилия. Например, inewton@ (Isaac Newton) или bgrebenscshikov@ (Борис Гребенщиков). Иногда это создает неудобство людям (как на фото). Знавал я Петра Оганесяна, почта которого начиналась с poganets@ В принципе, можно понять такую политику, - унификация именования учетных записей. Удобно и даже не зная e-mail, можно угадать адрес своего визави, которому пишется письмо.

Но это же часто и подсказка для хакеров. Ведь публично доступный адрес e-mail часто совпадает в своей первой части (до собаки) с учеткой пользователя в домене. А иногда, для удобства, пользователь выбирает точно такую же учетку и в личной почте. А это уже вектор для атаки. И вот что тут делать? Выбирать унификацию и удобство или неизвестность и безопасность? Вопрос, однако... Открыть/Комментировать