Обзор важных материалов по ИБ 31.01.2020

Представляем обзор важных материалов по информационной безопасности за неделю:

1. Фонд свободного программного обеспечения (FSF) предложил Microsoft открыть исходный код Windows 7, поддержка которой прекратилась в этом месяце. Однако в своем предложении FSF не предусмотрел то, что поддержка операционной системы прекращена только для обычных пользователей, и обновления Windows 7 будут доступны еще три года на платной основе. Кроме того, Windows 7 содержит в себе лицензионные компоненты. Кроме того, отдельные куски кода являются коммерческой тайной компании, а некоторые составляющие Windows 7 присутствуют в Windows 10.
2. Правительство РФ подготовило положительный проект официального отзыва на законопроект о блокировке опасных переписок по электронной почте. Как сообщает Интерфакс, власти поддержат законопроект, если он будет доработан. Представляется целесообразным определить понятие «организатор сервиса обмена сообщениями», которое присутствует в тексте Федерального закона.
3. Avast продает данные своих пользователей. Это стало известно в результате расследования, которое провели журналисты изданий Motherboard и PCMag. Они изучили документы, раскрывающие то, как производитель решений безопасности Avast торгует историями браузеров пользователей. В соответствии с документами, принадлежащими Jumpshot, являющейся дочерней компанией Avast, антивирусное ПО Avast собирает данные его пользователей, а Jumpshot «упаковывает» их в различные продукты, которые продает крупным корпорациям. За продукты, которые содержали опцию «все клики пользователя», позволяющую с большой точностью отслеживать активность, клики и передвижения пользователя в интернете, клиенты платили миллионы долларов. Как утверждает Avast, данные, которые собирает компания, принадлежат пользователям, которые дали свое согласие. Однако пользователи, опрошенные журналистами, не знают о продаже своих данных.
4. Новый министр связи Максут Шалаев предложил предоставить доступ уполномоченным сотрудникам силовых структур к данным россиян в онлайн-режиме. В число данных, к которым предлагается дать доступ, входят: данные банков, государственные данные, данные операторов мобильной связи, интернет-сервисов. Кроме того, он предложил цифровизацию государственных услуг и расширение способов идентификации граждан с целью снижения количества времени, затрачиваемого гражданами на общение с органами власти. Помимо этого, Максут Шалаев предложил к 2024 году обеспечить доступ граждан к данным о себе, которые есть у правительства.
5. В России телефонный номер граждан может стать идентификатором для получения финансовых услуг. По данным газеты «Коммерсантъ», 31 января в Госдуме пройдет совещание, на котором рассмотрят во втором чтении соответствующий законопроект, а также будут представлены необходимые поправки в ряд законодательных актов. Планируется создать ЕИС ПСА – Единую информационную систему проверки сведений об абонентах операторов связи. Однако одной из главных проблем является то, что около 70% телефонных номеров зарегистрированы не на их пользователей, а других людей. Однако предполагается, что в этом случае пользователь номера будет вправе сообщить оператору связи о такой ситуации и закрепить за собой ранее приобретенный номер.
6. Минкомсвязи намерено создать в России единую сеть 5G. Для этого ведомство намерено создать инфраструктурного оператора, которому государство выделит радиочастоты без торгов, он же, в свою очередь, будет предоставлять к этой сети доступ всем желающим поставщикам. Создание такого оператора описано в последней редакции концепции развития сетей 5G, которую подготовило ведомство.
7. Банк России предлагает ужесточить требования к хранению и безопасности персональных данных граждан для финансовых организаций. Также ЦБ перечислил риски при сборе и хранении биометрических данных во внутренних базах банков. Одной из угроз, по мнению Банка России, является подмена при сборе и передаче биометрии внутри банка, а также может существовать угроза удаления или компрометации персональных данных. Как сообщает газета «Известия», об этом говорится в проекте указания Банка России, который внесен в Госдуму вместе с поправками в законопроект о биометрии. Кроме того, регулятор в документе указал необходимость шифрования биометрических данных криптографическими ключами, прошедшими проверку ФСБ.
8. Представители ООН сообщили о «хорошо профинансированной» кибератаке, которой подверглись офисы организации в Женеве и Вене в середине прошлого года. В Управлении Верховного комиссара по правам человека сообщили, что скомпрометированные серверы не содержали чувствительных или конфиденциальных данных. Несмотря на то, что злоумышленникам удалось проникнуть в Active User Directory, где хранились идентификационные номера сотрудников и устройств, получить доступ к другим частям системы или же похитить пароли им не удалось.
9. «Троллинг-как-услуга» — новое явление в социальных сетях, о котором рассказал научный сотрудник Исследовательского института внешней политики США Клинт Уоттс на конференции CPX. По его словам, люди, занимающиеся троллингом за деньги, в настоящее время представляют из себя большую опасность, чем APM-группировки. Например, онлайн-хеклеры могут использовать социальные сети для дискредитации людей или каких-либо фактов.
10. Компания IDX создала маркетплейс «Датамания», который позволит пользователям зарабатывать на предоставлении доступа к своим персональным данным компаниям. Проект принадлежит Фонду развития интернет-инициатив и инвестфонду Human Digital Capital, их общий объем инвестиций в платформу может достигнуть 250 млн руб. в течение трех лет. Для пользователей iOS и Android «Датамания» станет доступна весной.
11. Из-за дефицита квалифицированных IT-специалистов на российском рынке труда, заработные платы в этой сфере продемонстрировали рост на 5-10% в 2019 году. При этом работодатели готовы существенно повышать заработную плату наиболее ценным кадрам, которые собираются менять работу. Об этом свидетельствуют данные из опубликованного международной рекрутинговой компанией Hays «Исследования рынка труда России в 2019 году». Госструктуры и крупные промышленные компании стремятся создать собственные подразделения для разработок в сфере ИИ, машинного обучения и интернета вещей. Это влечет за собой рост количества вакансий в этих областях, и, по оценкам компании Hays, он продолжится и в 2020 году.
12. Наталья Касперская, глава компании InfoWatch, выступила против появления в России крупных штрафов за утечку данных из компаний. Об этом она рассказала в своем интервью информагентству ТАСС. Свою позицию она подкрепила данными из отчетов аналитиков компании InfoWatch. Наталья Касперская обратила внимание, что в последнее время отмечается не рост самих утечек данных, а количества сообщений о подобных инцидентах. По ее словам, в России этот показатель выше по нескольким причинам. «Прежде всего, в США и других странах за утечки довольно жёстко наказывают. Вторая причина может заключаться в ускоренных темпах цифровизации России», — сообщила она. Более того, по мнению Натальи Касперской, внедрение правил безопасности может отставать от темпов цифровизации, что объясняется нехваткой квалифицированных кадров. Из-за этого глава InfoWatch выступает против ввода таких же жестких мер, как и на Западе.
13. Европейская комиссия отказалась от идеи запрета на использование технологии распознавания лиц в общественных местах. До этого Европейская комиссия рассматривала возможность запрета использования этой технологии на срок до пяти лет, чтобы в этот период разработать способы предотвращения потенциальных злоупотреблений. Пересмотренное предложение было вынесено ЕК на общественное обсуждение до 19 февраля текущего года.
14. Компания Avast намерена закрыть свою дочернюю компанию Jumpshot. Это связано со скандалом о продаже историй активности в интернете пользователей антивируса Avast. В соответствии с заявлением Avast, Jumpshot будет лишена доступа к пользовательским данным, а в дальнейшем будет и вовсе ликвидирована.
15. Лишь 5% опрошенных Security.org смогли отличить фишинговое письмо от обычного. В ходе исследования были опрошены около тысячи человек. Согласно результатам, 96% знали о существовании фишинга, а 88% полагали, что смогут распознать фишинговые письма. Вместе с тем, 47% респондентов не догадывались, что можно осуществить фишинг через софт. Кроме того, 43% считали рекламные объявления безопасными, а 30% опрошенных не подозревали, что источником фишинга могут быть социальные сети.

Обзор по ИБ подготовил Евгений Осечкин.