Обзор важных материалов по ИБ 29.01.2024

Государственные инициативы.

  • МИРЭА предлагает ввести жёсткие ограничения на ИИ в России. Соответствующее письмо ректор вуза Станислав Куджа отправил главе Минцифры. Ректор Российского технологического университета МИРЭА Станислав Кудж направил письмо министру цифрового развития России Максуту Шадаеву с предложением ограничить использование искусственного интеллекта (ИИ) в определенных областях. Как сообщает ТАСС, в письме речь идет о введении законодательных запретов на применение ИИ в некоторых сферах, включая создание рекламы для детей и другие виды деятельности. В своем обращении ректор РТУ МИРЭА призывает к разработке риск-ориентированного подхода в регулировании ИИ в России. В письме указывается на необходимость выделения сфер, где использование ИИ неприемлемо, и тех, где оно связано с высокими рисками. Полный запрет на использовании ИИ вуз предлагает ввести в следующих сферах и видах деятельности:
    • подсознательное влияние на человеческое поведение, в результате которого может быть причинен физический вред человеку;
    • создание социальных рейтингов;
    • социальный скоринг;
    • принятие судебных решений в гражданском и уголовном судопроизводстве;
    • создание маркетингового контента для детей;
    • создание политического контента, в том числе в рамках избирательных кампаний.
  • Также ректор университета выделяет категории деятельности с повышенными рисками, где использование ИИ требует особого контроля. Сюда входят: обработка биометрических данных; решения по найму и зачислению в образовательные учреждения; управление объектами критической инфраструктуры; правоохранительная сфера; хранение личных данных; производство товаров, влияющих на здоровье и жизнь людей.
  • Правительство запланировало введение цифрового профиля иностранного гражданина. Распоряжением правительства утверждён план мероприятий по реализации в 2024-2025 годах концепции государственной миграционной политики РФ на 2019-2025 годы; планом предусмотрено значительное количество «цифровых» мероприятий, в частности, создание цифрового профиля иностранного гражданина. Для этого должны быть обеспечены достоверный сбор и подтверждение личности иностранных граждан и лиц без гражданства посредством их аутентификации с использованием биометрических персональных данных, размещённых в единой биометрической системе (ЕБС). Иностранным гражданам и лицам без гражданства должен быть предоставлен доступ к соответствующим сведениям с использованием цифрового профиля на едином портале госуслуг, проведены мероприятия по формированию портрета мигранта (в том числе по субъектам РФ) и цифрового профиля иностранного гражданина, позволяющие обеспечить агрегирование сопоставимых сведений миграционного учёта в различных ведомственных системах по каждому иностранному гражданину. Также должна быть расширена практика оказания государственных услуг в сфере миграции в электронной форме. Доклад по этим вопросам должен быть предоставлен в правительство 10 декабря 2024 года. Ответственные: Минцифры, МВД, ФСБ, Минэкономразвития, Минобрнауки.
  • Искусственный интеллект хотят запретить в рекламе для детей. В России необходимо запретить использование искусственного интеллекта при создании рекламы для детей. С таким предложением к главе Минцифры Максуту Шадаеву обратился ректор РТУ МИРЭА Станислав Кудж. Его письмо изучило ТАСС. Автор предлагает законодательно определить сферы, где будет запрещено использование искусственного интеллекта. В отдельную группу предлагается вынести те области, где использование искусственного интеллекта несет высокие риски. Помимо рекламы для детей, ректор РТУ МИРЭА предложил запретить применение искусственного интеллекта при создании социальных рейтингов, принятии судебных решений в гражданском и уголовном судопроизводстве, создании контента для политических целей. В последней группе предлагается особенно выделить запрет на использование ИИ в избирательных кампаниях.

Инциденты и угрозы.

  • Из-за ошибки системы распознавания лиц в США отправили в тюрьму невиновного – СМИ. Шестидесятиоднолетний американец Харви Мёрфи (Harvey Murphy) подал в суд на ретейлера Macy’s и материнскую компанию сети магазинов по продаже солнцезащитных очков Sunglass Hut — эти компании использовали технологию распознавания лиц, которая ошибочно идентифицировала истца как вооружённого грабителя, после чего его отправили в тюрьму, написала в понедельник The Guardian. Как следует из иска, работники EssilorLuxottica (владеет Sunglass Hut) и Macy’s в попытке выявить участников вооружённого ограбления магазинов загрузили в систему распознавания лиц нечёткое фото Мёрфи. Система опознала истца как грабителя, о чём работники известили полицию. На основании заявления сотрудника EssilorLuxottica в октябре 2023 Мёрфи арестовали, а после отправили в тюрьму, где он пробыл около 13 дней, пока не выяснилось, что у истца есть алиби — в момент ограбления он находился за тысячу с лишним километров от места преступления. За время нахождения в тюрьме Мёрфи подвергся групповому изнасилованию со стороны сокамерников. Теперь истец требует выплатить ему 10 миллионов долларов компенсации.
  • Новый 0day в Apple: любознательные пользователи теряют контроль над устройством. Apple выпустила обновления с исправлением очередной ошибки в своих продуктах. Apple выпустила обновления безопасности для iOS, iPadOS, macOS, tvOS и веб-браузера Safari, чтобы устранить уязвимость нулевого дня (zero-day), которая стала объектом активной эксплуатации. Уязвимость путаницы типов (Type Confusion) CVE-2024-23222 в движке WebKit позволяет злоумышленнику обманом заставить жертв посетить вредоносный веб-контент для выполнения произвольного кода. Apple заявила, что проблема решена благодаря улучшенным проверкам. Apple признала, что ей известно об эксплуатации уязвимости, но не поделилась какими-либо другими подробностями о характере атак или киберпреступниках, использующих недостаток.
  • Взлом комиссии по ценным бумагам США: чего не хватило для защиты? Каждый может извлечь урок из этой показательной атаки на SEC. Комиссия по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) подтвердила факт взлома своего аккаунта в социальной сети X*. Произошедшее ранее в январе нарушение безопасности было осуществлено через атаку типа SIM Swapping (подмена SIM-карты), при этом аккаунт не был защищён многофакторной аутентификацией (multi-factor authentication, MFA). Внутреннее расследование показало, что несанкционированный доступ к номеру телефона, привязанному к аккаунту SEC, был получен через оператора связи агентства методом подмены SIM-карты (SIM Swapping). Атака предполагает получение контроля над номером сотового телефона путем убеждения оператора мобильной связи перенести номер на SIM-карту, контролируемую злоумышленником. Как только злоумышленник получит контроль над номером телефона жертвы, он сможет использовать этот номер телефона для сброса паролей учетных записей, принадлежащих жертве.
  • Сотни жертв программной ошибки: скандал с Fujitsu Horizon перерос в масштабное расследование. Британские парламентарии активно выискивают нарушения в госконтрактах с японским софтверным гигантом. Интерес британских парламентариев к контрактам японской корпорации Fujitsu с государственными органами резко вырос на фоне недавнего скандала с программным обеспечением Horizon. Комитет по делам казначейства британского парламента направил запрос министерству финансов с требованием предоставить информацию о всех госконтрактах с японской IT-компанией Fujitsu. Речь идёт о соглашениях с 21 государственным органом и организацией с 2019 года. Депутаты хотят выяснить, проводились ли тендеры на эти контракты или они были заключены напрямую. «Если контракт был заключён напрямую, просим предоставить обоснование», — говорится в письме. Ранее СМИ сообщали о ряде контрактов Fujitsu с центральными и региональными органами власти, которые были продлены без конкурса. Последним таким решением стало продление на 2 млн фунтов контракта на обслуживание системы оповещения о наводнениях.
  • HPE обвиняет российских хакеров во взломе аккаунтов службы безопасности. Корпорация Hewlett Packard Enterprise (HPE) подозревает «российских хакеров» во взломе имейл-аккаунтов команды безопасников и краже внутренних данных. Техногигант считает, что за атакой стоит кибергруппировка Midnight Blizzard. Группу Midnight Blizzard, которую называют ещё Cozy Bear, APT29 и Nobelium, зарубежные специалисты связывают с властями России. Например, считается, что именно эти киберпреступники стоят за взломом SolarWinds. По словам представителей HPE, корпорацию уведомили о киберинциденте 12 декабря. Сам взлом облачной инфраструктуры произошёл якобы в мае 2023 года.
  • 12 ТБ утекших данных получили титул «Матери всех утечек». Максимально полная база скомпрометированных данных появилась в интернете и уже получила собственный титул «Мать всех утечек» (Mother of all Breaches или коротко MOAB). База весом 12 ТБ содержит 26 миллиардов записей. Последние собраны из различных утечек с LinkedIn, Twitter, Weibo, Tencent и многих других платформ. Об обнаружении MOAB заявил исследователь из компании SecurityDiscovery Боб Дьяченко, который отметил, что владелец этой суперутечки скорее всего останется неизвестным. Значительная часть информации в «Матери всех утечек» представляет собой старые данные. Однако исследователи утверждают, что в ней весьма вероятно есть и свежие сведения. 26 миллиардов записей распределены по более чем 3800 папкам, каждая из которых соответствует одной утечке. Тройка лидеров по объемам входящих в утечку данных выглядит так: Tencent (1,5 миллиарда записей), Weibo (504 миллиона) и MySpace (360 миллионов). 
  • Телефонные мошенники оформляют кредиты на жертв через Банки.ру Домашние пользователиМошенничествоОнлайн-мошенничество Злоумышленники сообщают по телефону о важном почтовом отправлении и просят продиктовать его номер из СМС. На самом деле это код подтверждения регистрации на banki.ru; доступ затем используется для оформления кредитов от имени жертвы. В комментарии для ТАСС эксперт Solar AURA группы компаний «Солар» пояснила: необходимые для реализации новой схемы данные, в том числе номер мобильного телефона, мошенники скорее всего получают из утечек. Письмо, используемое в качестве приманки, якобы поступило на имя жертвы в МФЦ. Для убедительности обманщик называет реальный адрес офиса и предлагает для удобства направить письмо в почтовое отделение по месту прописки собеседника, откуда потом должно прийти СМС-уведомление. Нетривиальный ход позволяет мошенникам завершить регистрацию на сайте «Банки.ру»: для этого нужен не только телефонный номер, но также одноразовый код из СМС. Сообщая его, жертва обмана добровольно передает право доступа к финансовой платформе, открывая злоумышленникам возможность действовать от ее имени, в том числе подавать заявки на оформление кредитов и микрозаймов.
  • 5 миллиардов людей и 90 ТБ данных: тайная шпионская сеть использует рекламу для слежения за всем миром. Как правительства используют инструмент Patternz для массовой слежки за гражданами? В современном мире, где технологии достигли высокого уровня развития, проблема глобального слежения становится особенно актуальной. Согласно результатам расследования 404 Media, сотни тысяч популярных приложений участвуют в глобальной сети слежения, связанной с рекламной индустрией. Приложения используют рекламу для создания профилей пользователей, отслеживая частную и личную информацию. Ключевым инструментом в системе является шпионский инструмент Patternz, который превращает смартфоны пользователей в своеобразные устройства слежения. С помощью Patternz можно получать уведомления о прибытии пользователя в определенное место или о его встрече с другими людьми. Ежедневно через Patternz обрабатывается около 90 ТБ данных, и созданы профили более 5 млрд. пользователей, данные которых получены от большого числа компаний, включая Google и X*. Расследование также показало, что в кампанию слежения вовлечены около 600 тысяч приложений. Более того, генеральный директор компании-разработчика Patternz, Рафи Тон с гордостью раскрыл его тайные возможности в уже удаленном видео на YouTube, включая отслеживание точных GPS-координат пользователя.

Исследования.

  • BI.ZONE: 69% корпоративных электронных писем в 2023 году были нелегитимными. Эксперты BI.ZONE отмечают, что 68% целевых атак на российские компании начинается с письма. Через электронную почту распространяются и массовые нежелательные сообщения: как обычный рекламный спам и флуд с набором символов, так и фишинг, письма с вредоносным программным обеспечением (ВПО), а также спуфинг. В основном такие сообщения отправляют, чтобы похитить данные ради выкупа, продажи или публикации этой информации в даркнете, проверить, активны ли email-адреса получателей, и распространить рекламу. В прошлом году 2/3 всех писем в корпоративном трафике были нелегитимными.
  • ИБ-специалисты оказались самыми нужными компаниям IT-кадрами. Специалисты по информационной безопасности оказались самыми востребованными IT-кадрами в стране. Об их нехватке заявили 35% опрошенных руководителей и начальников отделов российских компаний. Результаты опроса, который провел Исследовательский центр «Зарплаты.ру», опубликовали РИА Новости. Второй по уровню востребованности оказалась профессия сетевого инженера. Таких специалистов не хватает в 33% компаний, представители которых приняли участие в исследовании. По 20% компаний остро нуждаются в мобильных разработчиках и продакт-менеджерах. 15% участников опроса не хватает бэкенд-разработчиках. Дефицит фронтенд-разработчиков отметили 11% респондентов. Наконец, 7% компаний находятся в поисках специалистов по цифровой трансформации.
  • Россияне стали чаще обращаться к юристам за удалением персональных данных из сети. В 2023 году россияне на 10-15% чаще, чем годом ранее, обращались к юристам за помощью в удалении персональных данных с общедоступных ресурсов. Такую статистику, собранную адвокатским бюро БВМП и юридическим сервисом DestraLegal.ru опубликовал «Коммерсантъ». Физические лица просят юристов помочь в удалении личной информации, размещенной в открытом доступе. В качестве мест публикации часто выступают различные форумы и социальные сети. Если вместе с персональными данными публикуется информация, порочащая честь и достоинство человека, юристы параллельно готовят судебные иски для его защиты. Стоит отметить, что некоторые россияне борются с публикацией своих персональных данных без согласия не в цифровом, а в «аналоговом» мире. Так, жительница Курска успешно отстояла свои интересы в суде, когда управляющая компания добавила ее фамилию в список должников на придомовой территории. А в Сочи полиция ищет расклеивших объявления с фотографиями паспортов двух горожан. 
  • США против всего мира: как договор о киберпреступности ООН расколол международное сообщество. Финальный раунд переговоров уже близко. Чья позиция окажется сильнее? Правительство США твёрдо придерживается своего стремления к гораздо более узкой версии договора ООН о киберпреступности, чем проект, опубликованный в ноябре. В конце января ожидается заключительный раунд переговоров по этому договору. Инициатива по разработке договора была начата Россией в 2017 году с целью создания глобальных правил, регулирующих преступления в Интернете. На прошлой неделе, во время брифинга для журналистов, высокопоставленный представитель Госдепартамента США, участвующий в переговорах, подчеркнул, что ключевым разногласием сейчас являются различия в формулировках между преступлениями, которые охватывают любое правонарушение, так или иначе связанное с технологиями или Интернетом, и преступлениями, зависящими от киберпространства, которых в принципе не существовало до появления Интернета. США и некоторые другие страны голосуют за вторую формулировку, когда как Россия и Китай — за первую.
  • Роскомнадзор привёл статистику борьбы с киберугрозами в Рунете за 2023 год. Специалисты подведомственного Роскомнадзору Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) в 2023 году отразили 185 массированных DDoS-атак в отношении систем защищаемых субъектов, сообщает регулятор в среду. Также было выявлено и устранено 9598 нарушений маршрутизации трафика; направлено 808 бюллетеней безопасности операторам связи о выявленных уязвимостях в программном обеспечении (ПО) с рекомендациями по их устранению. За год было заблокировано 4222 фишинговых ресурса и 48 сайтов, на которых распространялось вредоносное ПО.
  • Переход госкомпаний на отечественное ПО: действительно ли это возможно к 2025 году? Правительство установило сроки перехода на российский софт. Правительство России установило сроки перехода государственных корпораций и компаний с государственным участием на использование отечественного программного обеспечения (ПО), сообщают «Ведомости». Согласно методическим рекомендациям Минцифры, опубликованных 12 января 2024 года на сайте ведомства, российские операционные системы, офисные пакеты, антивирусные программы и системы виртуализации должны использоваться этими организациями с 1 января 2025 года. А переход на отечественные системы управления базами данных (СУБД) должен произойти с 1 января 2026 года. В июне 2023 г. президент Владимир Путин поручил подготовить переход компаний с госучастием на отечественное ПО разных классов. По словам источника «Ведомостей» в правительстве, методические рекомендации ведомства как раз были сформулированы на основании июньского указа президента.
  • К 2025 году ущерб от киберпреступности превысит 12 триллионов долларов. Технологический прогресс сделал кибератаки неуязвимыми к средствам безопасности. По последним данным Группы по исследованию компьютерных преступлений (Computer Crime Research Center, CCRC), объём ущерба от киберпреступлений к 2025 году достигнет $12 триллионов. Эта цифра превышает предыдущую оценку Cybersecurity Ventures – $10,5 триллионов. CCRC ссылается на исследования CheckPoint и Orange Cyderdefense, подчеркивая постоянный рост кибератак и программ-вымогателей за последний год. Особое внимание исследователи уделяют росту атак, обусловленных использованием искусственного интеллекта (ИИ). По данным исследовательской группы Palo Alto, злоупотребление ИИ привело к увеличению числа регистраций вредоносных доменов. ИИ помогает киберпреступникам создавать сложные и целенаправленные атаки благодаря продвинутым лингвистическим техникам, включая увеличение объема текста, пунктуации и длины предложений. CCRC предупреждает, что в ближайшие 2 года киберпреступники активно будут использовать ИИ для расширения инструментов атак. Ожидается, что ИИ будет применяться для более эффективной и быстрой разработки новых вариантов вредоносного ПО и программ-вымогателей. В связи с выборными кампаниями в 2024 году, дипфейк-технологии усилят фишинг и атаки посредством имитации личности.
  • Кибератаки с использованием ИИ могут стать неуязвимыми к средствам безопасности. Группа по исследованию компьютерных преступлений – Computer Crime Research Center (CCRC) предупреждает, что в ближайшие 2 года киберпреступники активно будут использовать ИИ для расширения инструментов атак. Ожидается, что ИИ будет применяться для более эффективной и быстрой разработки новых вариантов вредоносного ПО и программ-вымогателей. Согласно данным CCRC, объём ущерба от киберпреступлений к 2025 году достигнет $12 триллионов. Исследователи ссылаются на данные CheckPoint и Orange Cyderdefense и отмечают постоянную динамику кибератак и программ-вымогателей за 2023 год. В центре внимания экспертов рост атак с использованием искусственного интеллекта. ИИ помогает киберпреступникам создавать сложные и целенаправленные атаки благодаря продвинутым лингвистическим техникам, включая увеличение объема текста, пунктуации и длины предложений. Эксперты отмечают, что в 2024 году кибервымогательство и хактивизм продолжат набирать обороты. Прогнозируется увеличение числа случаев кибервымогательства на 30-50%, причем наиболее уязвимыми окажутся корпорации, малый и средний бизнес, а также государственные структуры. Также в CCRC полагают, что старые модели кибербезопасности могут оказаться неэффективными против динамичных атак, основанных на ИИ.

Инновации.

  • Лучший доктор: как ИИ помогает побеждать генетические заболевания. Новая технология обещает прорыв в разработке персонализированных терапий. ДНК как носитель информации эффективен только при её чтении, копировании и передаче. Основным посредником в передаче генетической информации из ядра клетки является РНК, которая транскрибируется из ДНК. Учёные из Северо-Западного университета в Эванстоне, штат Иллинойс, используя методы глубокого обучения, смогли разгадать одну из ключевых загадок процесса транскрипции РНК: как клетки определяют, когда следует прекратить копирование. Точное завершение процесса транскрипции критически важно. Информация, закодированная в РНК, используется клеткой для синтеза белков и регулирования множества метаболических процессов. Передача правильного сообщения требует, чтобы РНК содержала именно столько информации, сколько необходимо — ни больше, ни меньше. Ошибки в этом процессе могут привести к различным заболеваниям, включая эпилепсию и мышечную дистрофию.
  • Киборги будущего: представлен экзоскелет, способный остановить пулю АК-47. Прорыв в защите и подвижности солдат. Военные и тактические полицейские подразделения часто сталкиваются с необходимостью носить тяжёлое снаряжение, включая бронежилеты. На помощь приходит экзоскелет ExoM Up-Armoured, который не только облегчает ношение груза, но и обеспечивает пулестойкость. Этот экзоскелет разработан немецкой компанией Mehler Protection совместно с канадской биомеханической технологической компанией Mawashi Science & Technology и французским тактическим полицейским подразделением GIGN (Groupe d’Intervention de la Gendarmerie Nationale). Экзоскелет оснащён бронепанелями по всему корпусу, обеспечивающими защиту в соответствии с европейским стандартом VPAM 8. Это означает, что он может выдержать попадание трёх пуль калибра 7.62 × 39 мм (используемых в винтовках АК-47) с расстояния около 10 метров. Титановая рама экзоскелета, по утверждениям производителя, позволяет перераспределить до 70% общего веса с плеч носителя на землю. При этом гибкий спинной элемент, скользящий пояс и артикулированные суставы в области таза, колен и лодыжек обеспечивают сохранение до 99% естественного диапазона движений.

Обзор по ИБ подготовил Дмитрий Рожков.

Print Friendly, PDF & Email