ИБ в Узбекистане (ITTS)

2021-12-16 11:59:06 Открыть/Комментировать

2021-12-16 11:59:03 Давайте представим такую ситуацию. В автосервисе где-то на Лабзаке осуществляется замена моторного масла . В эту мастерскую пришел аудитор для изучения того как выполняется закон «О персональных данных». Автослесарь рассказывает, что записывает всех своих клиентов в бумажный журнал, вписывает туда марку автомобиля, гос.номер, текущий пробег, марку заливаемого масла, имя и фамилию владельца, его номер телефона. Телефон ему нужен чтобы напоминать о необходимости повторной замены. Автослесарь уверяет, что компьютера у него нет, и журнал это его единственный документ, где он фиксирует клиентов.
Аудитор выписывает такую рекомендацию: «Данный случай подпадает под действие закона, т.к. это коммерческое использование данных (а не для личных/частных целей, как в предыдущей задачке). Автомастерская должна соблюдать требования закона - разработать «порядок об обработке ПДн», назначить ответственного за обработку ПДн и их защиту. Статья 20 закона «О персональных данных» прямо требует - базы персональных данных подлежат регистрации в Государственном реестре баз персональных данных. Необходимо зарегистрировать бумажный журнал автослесаря в государственном реестре баз персональных данных». Прав ли аудитор? Открыть/Комментировать

2021-12-15 14:08:28 Открыть/Комментировать

2021-12-15 14:08:25 Предлагаем очередной квиз - опрос на знание закона «О персональных данных».
Как Вы думаете, регулирует ли закон защиту персональных данных, которые человек собирает, что называется, «для себя». Например, кто-то записывает адреса, номера телефонов, даты рождения, детали биографии , семейный статус, сведения о здоровье, размере одежды, кольца , пристрастиях в еде всех своих знакомых. Если заниматься этим систематически, то за несколько лет можно собрать неплохое такое досье. Тем более если вести его в электронной таблице. Внимание, вопрос. Открыть/Комментировать

2021-12-13 13:23:03 Два года назад мы рассказывали вам анекдот про ковбоя , медведя и информационную безопасность.
Недавно нам встретилась ещё одна англоязычная метафора на ту же тему. Это low-hanging fruit (дословно низко висящие фрукты). Литературно это переводится это как «легкая добыча». А мошенники это те, кто хочет минимальными усилиями добыть плоды. Ведь всегда первым обрывают то, что висит ниже всего . Чтобы снизить риски атаки (того, что вас «сорвут») - необязательно расти на верхушке. Главное, как минимум, не быть самыми легкодоступными плодами.
В условиях Узбекистана хорошей практикой будет выполнить хотя бы часть контролей из этого перечня. Так вы точно окажитесь ближе в вершине нашего воображаемого дерева.
(Фото автора, Газалкент, 2020 г.) Открыть/Комментировать

2021-12-13 10:36:33 Почти каждый день в соцсетях (в том же Потребителе.уз) пишут о мошенниках, которые представляясь сотрудниками платёжных систем выманивают у пользователей пластиковых карт коды подтверждения для привязки карт/кабинетов. И потом крадут все деньги с карты. Или заманивают на фишинговый сайт, где пользователь сам вводит код подтверждения.
При этом слабо работают предостережения, которые есть прямо в самой sms.
Что можно ещё сделать на стороне банка/платежной системы? В порядке «мозгового штурма» можно предложить:
1. Сократить до минимума передачи кодов подтверждения через sms. Использовать для этого каналы самого приложения. Обратите внимание, что и Telegram и Facebook передают коды подтверждения сначала в самом приложении. И только в крайнем случае через sms.
2. Перевести получение кода в голосовой режим. Ведь если вам звонит мошенник и просит продиктовать код подтверждения, то вы физически не сможете это сделать если сам код придёт вам не через sms, а «голосом».
2.a Разбивать код подтверждения на два сообщения. В любом случае такая процедура потребует больше времени, а значит - возрастает шанс, что пользователь заподозрит неладное. Главное - растянуть время и количество доп.действий, которое нужно пользователю на передачу кода мошеннику.
3. Отключить возможность первой привязки карт к платёжным приложениям через месяц-два после эмиссии. Обычно, если пользователь пользуется такими приложениями, то привязывает хотя бы одно из них сразу же после получения карты. Ведь странно выглядит ситуация, когда человек полгода активно пользуется картой, а потом вдруг решил «привязать» её к приложению. Для восстановления возможности привязки - нужно было бы обращаться в банк.
4. Включить в sms описание того для чего используется присланный код. Так и писать, что кто-то производит привязку вашей карты. Если это не вы, то игнорируйте, не сообщайте и т.д.

Мы прекрасно понимаем, что любая защитная мера усложняет работу с платёжными системами, снижает их обороты и прибыль. Кроме этого возрастает нагрузка на службы тех.поддержки. Открыть/Комментировать

2021-12-09 11:42:39 ПРО ДЕДА МОРОЗА И ПДн. (ПДн - персональные данные)
Поговорим о Дедушке Морозе. Теперь он оператор ПДн! Да ещё и ПДн несовершеннолетних. Может ли он обрабатывать их данные без согласия? С одной стороны, ПДн обрабатываются в интересах детей (субъектов). С другой стороны, согласие на обработку данных детей могут дать только их законные представители (обычно родители). Да и к тому же дед, скорее всего, работает не один (снегурочка), а здесь уже пахнет передачей ПДн! Передача согласно статье 7 ФЗ возможна только с согласия, если иное не указано в законе. А что-то я не припомню ФЗ "О дедморозовой деятельности" Так что письмо нужно дополнить согласием родителя! А это значит, что к данным детей добавятся данные родителей, в том числе паспортные Вы можете возразить, мол, какие же это ПДн ребёнка, когда там имя и возраст? Вернитесь к статье 7 - про обезличенные ни слова! Про общедоступные источники есть в статье 8, но опять же для включения туда данных нужно письменное согласие. Вот в такие дебри можно зайти, если подходить к закону буквально.
———
Выше одна из заметок из книги Ксении Шудровой «Мысли про…информационную безопасность и жизнь», которая бесплатна и доступна онлайн.
С Ксенией мы знакомы лично, у нас есть совместные публикации. Очень рекомендуем её книги по защите персональных данных. Их можно купить напрямую у автора через инстаграм за совершенно символические денежки.
В них рафинированный опыт эксперта, конкретные рекомендации и никакой «воды». Сами книги, хоть и написаны российским экспертом, на 90% применимы и для Узбекистана. А если уметь самостоятельно сопоставлять правовые нормы - то на все 100. Открыть/Комментировать

2021-12-03 08:23:10 Чем начинается и заканчивается каждый день в детском лагере , армии ? Правильно - поверкой. Детей и солдат буквально считают по головам, чтобы быть уверенными что все на месте. Если кого-то не хватает - тут же начинаются его поиски. Ну и на незнакомца, появившегося в строю, обратят внимание.
О том, как хорошо известная процедура инвентаризации применяется при обеспечении информационной безопасности рассуждает Антон Ракитский в статье для декабрьского номера журнала «Управление предприятием». Она доступна на русском и узбекском языках.
Совсем кратко:
1. Составьте детальный перечень всего эксплуатируемого на предприятии оборудования.
2. Составить перечень всего используемого программного обеспечения.
3. Проработайте административную процедуру инвентаризации и действий в случае обнаружения неавторизованных устройств и программ.
4. Способствовать применению средств автоматизации в проведении инвентаризации оборудования и ПО.
У нас на сайте полная авторская редакция статьи "Инвентаризация 2.0 Как хорошо известные приёмы прошлого помогут обеспечить информационную безопасность предприятия" Открыть/Комментировать

2021-12-02 14:29:31 Кибероружие опаснее ядерного? Пришло время его ограничить?
Предлагаем прослушать 15-ти минутный интересный взгляд на проблемы кибербезопасности от российского историка Леонида Млечина.
Что поняли мы? Наша с вами профессия (ИБ) становится всё более популярной и востребованной. Особенно в Узбекистане . Если раньше дети мечтали стать космонавтами , то недалёк день, когда будут мечтать о том чтобы стать специалистами по ИБ. Открыть/Комментировать

2021-12-01 09:03:28 Мы считаем, что номер телефона это персональные данные. Ведь прямо по определению из закона, персональные данные это то, что позволяет идентифицировать человека. За конкретным номером телефона чаще всего стоит один конкретный человек. Номер этот закреплён за ним договором с оператором.
Номер мобильного телефона является основным идентификатором почти во всех месенджерах, в системах мобильного банкинга и т.д. Если добавить номер человека в адресную книгу, то можно найти и посмотреть его профили в телеграм, Whatsapp, его аватарки , узнать как он себя идентифицирует в этих системах - никнейм, имя, фамилия (если они прописаны). Пожалуй, только по номеру телефона можно узнать о человеке даже больше, чем зная только его имя и фамилию.
И, самое главное, таким образом на номер телефона распространяются все требования закона «О персональных данных». Т.е. его обработка может производиться только на законных основаниях. Например, при рассылке рекламных сообщений нужно согласие на это абонента и т.п. Собственно этому посвящена вся 18-я статья "Условия обработки персональных данных" закона о ПДн. Открыть/Комментировать