Представляем обзор важных материалов по информационной безопасности за неделю.

Государственные инициативы.

  • Двоичный кодекс. Россия и США внесли на рассмотрение Генеральной Ассамблеи ООН совместную резолюцию об ответственном поведении государств в киберпространстве. Документ выглядит неожиданно с учетом длительного соперничества двух держав, продвигавших в ООН конкурирующие переговорные механизмы по кибербезопасности. Москва и Вашингтон рассчитывают, что объединение усилий позволит сделать процесс внедрения добровольных правил ответственного поведения государств в сети более эффективным. При этом из резолюции следует, что в будущем речь может пойти и об обязательных нормах.
  • ВС Франции подготовили новую доктрину противодействия информационным атакам. Министр вооруженных сил Франции Флоранс Парли представила в среду новую военную доктрину борьбы против информационного воздействия (документ L2I). Выдержки выступления, состоявшегося в главном здании военного ведомства на юге Парижа, размещены на странице министра в Twitter.
  • В Минюсте считают, что искусственный интеллект является только помощником человека. Замминистра юстиции Максим Бесхмельницын отметил, что “это освобождение человека от некоторых рутинных обязанностей” и давать ему возможность принимать решения не стоит. Он рассказал, что Минюст в своей работе использует разные технологии, при этом информационная безопасность является самым первым и глобальным приоритетом цифровизации.
  • Власти предложили участникам рынка вместе искать дыры в Linux. Власти пригласили игроков ИТ-рынка совместно искать уязвимости операционной системы Linux, на базе которой создается отечественный софт. Результаты этой работы готовы засчитывать при получении сертификатов безопасности продуктов.
  • В России утвердили правила борьбы с тюремными «колл-центрами». Правительство России утвердило правила блокировки мобильной связи в исправительных колониях и СИЗО. Бороться с незаконными тюремными «колл-центрами» будут Федеральная служба исполнения наказаний (ФСИН) вместе с сотовыми операторами. Если в колонии обнаружат, что кто-то из заключённых пользуется связью, оператор по заявке руководства учреждения должен будет за трое суток отключить абонента.

Инциденты и угрозы.

  • Найдена лазейка для кражи денег с Apple Pay. Исследователи в области информационной безопасности обнаружили новую лазейку в механизме Apple Pay, которая может подвергнуть пользователей iPhone риску ограбления. Причем в силу того, что кража осуществляется в бесконтактном режиме, жертва может понять, что ее ограбили, только через несколько часов или дней. Apple Pay считается одним из самых безопасных на сегодняшний день способов бесконтактной оплаты. Поэтому крайне необычно слышать о подобной уязвимости.
  • Число DDoS-атак на российские компании выросло за год в 2,5 раза. В основном атаки направлены против финансовых организаций, государственного сектора, сферы онлайн-торговли. Дата-центры и гейминг по сравнению с прошлым годом атакуют меньше. Больше всего атак — 60% — приходится на организации в Москве. Здесь же атаки и самые мощные — в среднем более 70 Гбит/с.
  • Данные 50 млн водителей Москвы и Подмосковья продаются в сети за 800 долларов. Перечень содержит следующую информацию: модель и марка автомобиля, регистрационный и VIN-номер, дата постановки на учет, мощность двигателя, фамилия и имя владельца, дата его рождения и номер телефона. По мнению основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, выставленная на продажу база автовладельцев – не результат утечки из системы ГИБДД, а скорее выгрузка из баз страховщиков. 

Исследования.

  • VK усиливает систему информационной безопасности. VK создала позицию директора по информационной безопасности экосистемы, отвечающего за все проекты компании. Эту позицию в июле 2021 года занял Антон Антропов. Его задача— централизация информационной безопасности всей компании. Основная цель команды под руководством Антона — повышение защищенности инфраструктуры всей экосистемы VK. Экосистема включает в себя около 200 проектов и связывается едиными сервисами, такими как VK ID и VK Mini Apps.
  • 3 млн долларов выручки потеряла Snap Inc. из-за обновления политики конфиденциальности Apple. В третьем квартале 2021 года объём выручки Snap Inc. был на 3 млн долларов меньше прогнозируемого. Проводить рекламные кампании, оценивать их эффективность и получать доход Snap Inc помешали устройства на системе iOS. В августе 2021 года стало известно, что из-за политики Apple рекламодателей стала терять Facebook. Apple внедрила функцию App Tracking Transparency, которая позволяет запретить устройству делиться персональными данными пользователей с приложениями и отслеживать действия владельцев устройств в сети.
  • Четверть россиян оценивает свой уровень цифровой зрелости как низкий. в настоящее время в России увеличивается запрос на цифровой диалог среди пользователей. Количество россиян, общающихся в интернете, увеличилось почти в два раза по сравнению с прошлым годом. “У нас кратный рост количества контактов общения людей в интернете. Если в прошлом году мы говорили, что около четверти людей коммуницировали, то сейчас это уже 45%”, – сообщила начальник отдела социологии АНО “Диалог” Елена Удалова.
  • «Лаборатория Касперского» выяснила, с какими проблемами кибербезопасности сталкивается малый и средний бизнес в России. Опрос «Лаборатории Касперского» под названием «Малый и средний бизнес: переживая пандемию»* показал, что небольшие компании сталкиваются с разными проблемами кибербезопасности. Почти в трети компаний (31%) возникают вопросы, как защищать корпоративные данные на личных устройствах сотрудников, 29% испытывают трудности с обеспечением безопасности в связи с тем, что на одного сотрудника приходится несколько рабочих устройств, 27% называют проблемой недостаток цифровой грамотности среди сотрудников. Каждая четвёртая компания сталкивается с тем, что сотрудники не соблюдают правила информационной безопасности при ведении переписки по электронной почте, а каждая пятая (22%) — с тем, что они не всегда используют собственный отдельный логин и пароль для входа в системы. Для 19% компаний одна из основных проблем в области ИБ — обеспечить соответствие своих IT-систем законодательным требованиям.

Инновации.

  • Эксперты считают, что центр “Русский” в Приморье позволит довести инновации до потребителя. Для раскрытия технологического потенциала ИНТЦ нужно в первую очередь наладить логистику и обеспечить возможность комфортно добираться до острова большому количеству людей. ИНТЦ будет работать по трем основным направлениям научно-технологической деятельности – это Мировой океан, биотехнологии и информационно-коммуникационные технологии. Первыми резидентами центра станут компании, которые создают или уже имеют производство на Дальнем Востоке. Вокруг них будет формироваться пул стартапов и пилотных образовательных программ.
  • Центризбиркому не хватает российского  ГАС «Выборы» и в 2022 году не сможет обойтись без западного программного обеспечения  Центризбирком продолжит использование продуктов американской компании Oracle для обеспечения работы ГАС «Выборы» в 2022 году, следует из тендера, размещенного Федеральным центром информатизации при ЦИКе. В России с 2015 года установлены ограничения на закупки госорганами иностранного программного обеспечения, и у ЦИКа, по мнению главы Центра по импортозамещению в сфере ИКТ Ильи Массуха, было достаточно времени для перехода на российские аналоги продукции Oracle. Главный конструктор ГАС «Выборы» Олег Качанов нарушений в этом не видит и напоминает, что поэтапный переход на новую версию системы, полностью основанную на отечественных разработках, завершится к 2024 году.

Обзор по ИБ подготовил Евгений Осечкин.