Представляем обзор важных материалов по информационной безопасности за неделю.
Государственные инициативы.
- Путин подписал закон о запрете использования цифровых активов как средства платежа. Согласно закону, операторы электронных платформ признаются субъектами национальной платежной системы. В этом качестве им предоставляется право осуществлять расчеты по сделкам, совершенным с использованием электронных платформ, при соблюдении ряда требований.
- Законопроект об информационном обмене между Банком России и МВД прошел I чтение. Механизм предусматривает, что МВД будет передавать ЦБ данные о действиях, связанных с попытками перевода денег без согласия клиента. Банк России, в свою очередь, будет передавать МВД сведения из базы данных о попытках совершения противоправных операций. Это касается в том числе информации о всей цепочке транзакций, которая станет основой для проведения оперативно-розыскных мероприятий.
- Минцифры хочет сделать штрафы за утечку личной информации соразмерными объему данных. Также, согласно предлагаемым изменениям, будет определено, что именно является объектом утечки личных данных и порядок установления вины конкретной организации, допустившей утечку.
- Прокурорский контроль хотят повернуть вспять. В Госдуму внесен пакет законопроектов, направленный на установление судебного порядка ограничения доступа к интернет-ресурсам, содержащим недостоверные обвинения в совершении преступлений и иную порочащую информацию. Среди прочего, изменения лишают органы прокуратуры имеющегося сейчас права ограничивать доступ к интернет-ресурсам во внесудебном порядке.
- Великобритания запретила компаниям платить выкуп вымогателям. Национальный центр кибербезопасности Великобритании (NCSC) и Управление уполномоченного по информации (ICO), регулирующее защиту данных, призвали юристов предостеречь своих клиентов от уплаты выкупа вымогателям. Согласно совместному письму, выплата выкупа не обеспечит безопасность данных и не смягчит последствия.
- ЕС позволит правительствам законно шпионить за гражданами. Еврокомиссия внесла поправки в статью 45.2 регламента eIDAS, согласно которым браузеры будут обязаны принимать разработанные Евросоюзом квалифицированные сертификаты веб-аутентификации ( Qualified Web Authentication Certificates, QWAC ). Однако, безопасность этих сертификатов значительно слабее существующих сертификатов, которые допускают большинство браузеров. Более того, браузеры не смогут применять существующие проверки безопасности организаций, которые выдают эти сертификаты, тем самым обходя средства защиты от киберпреступности.
- Главы MI5 и ФБР совместно предупреждают о растущей угрозе со стороны Китая. Директор ФБР также предупредил, что китайское правительство «представляет собой еще более серьезную угрозу для западного бизнеса, чем могут представить себе многие искушенные предприниматели», и «нацелено на кражу ваших технологий». «Хакерская программа китайского правительства «больше, чем у всех остальных крупных стран вместе взятых».
Инциденты и угрозы.
- В Сеть потенциально попали данные 25 млн клиентов СДЭК. Вместе с февральским инцидентом эта утечка компании может стать крупнейшей этом году. PR-директор СДЭК Анна Иоспа сообщила, что сейчас проводится внутреннее расследование, выясняются обстоятельства. От каких-либо дополнительных комментариев она отказалась.
- США стала мишенью агрессивной кампании программ-вымогателей. Согласно отчету агентства кибербезопасности Sophos, число атак программ-вымогателей на медицинские организации увеличилось на 94% с 2021 по 2022 год. Более двух третей учреждений здравоохранения в США заявили, что они подверглись взлому в 2021 году, по сравнению с 34% в 2020 году.
- BlackCat создала сайт для поиска украденных данных. Участники BlackCat утверждают, что сделали это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях.
- Растет угроза кибератак на образовательные учреждения. Согласно исследованию Sophos , угроза вымогательских кибератак на сектор образования стремительно растет, поскольку для киберпреступников это легкая и прибыльная цель. Средний выплаченный школами выкуп составил $1,97 млн. Эта цифра может показаться высокой, но работа с крупными школьными округами может быть чрезвычайно прибыльной. Средний выкуп, выплачиваемый университетами, составил $905 тыс., что по-прежнему является хорошим доходом для вымогателей.
Исследования.
- Небезопасность зарубежного софта вошла в топ причин перехода бизнеса РФ на локальное ПО. Об этом сообщается в результатах совместного исследования аналитического центра НАФИ и компании “Киберпротект”, проведенного в мае среди 500 представителей малого и среднего бизнеса во всех федеральных округах РФ. Большая часть предпринимателей (61%) рассчитывает, что переход на отечественные IТ-решения в их компаниях займет несколько месяцев. Такого мнения чаще придерживаются представители компаний в сфере строительства, транспорта, логистики и хранения.
- Наш мозг легко распознает сложные дипфейки. Новое исследование из Австралии показывает, что наш мозг легко распознает сложные дипфейки, даже когда мы подсознательно верим в реальность изображения. Результаты исследования также указывают на возможность использования нейронных реакций людей (а не их мнения) на дипфейковые лица для обучения автоматизированных систем распознавания дипфейков.
Инновации.
- “Ростелеком-Солар” запустил первый российский облачный сервис контроля уязвимостей. Использование сервиса контроля уязвимостей из облака позволит исследовать и повысить уровень своей защищенности не только крупным организациям, но и среднему бизнесу.
- NVIDIA объединяет классические и квантовые вычисления. Новая вычислительная платформа Quantum Optimized Device Architecture (QODA) призвана облегчить специалистам по вычислительной технике использование сложных квантовых вычислений (Quantum Computing, QC) при разработке приложений и методов ускорения рабочих нагрузок.