К концу декабря давайте подведем итоги месяца: вспомним все самые важные события, произошедшие в сферах ИТ и ИБ.
Изменения в области защиты ПДн
1)Роскомнадзор представил к обсуждению формы проверочных листов, необходимых для будущих проверок операторов ПДн
Для общественного обсуждения представлен приказ РКН «Об утверждении форм проверочных листов (списков контрольных вопросов), используемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при проведении выездной проверки при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных».
Новости из сферы ИТ и ИБ
1) Провал дорогостоящей миграции ИТ-системы МВД программного обеспечения IBM на российский и открытый софт.
Провалом дочерней структуры АФК «Система» увенчалось исполнение ей 60-миллионного контракта с МВД. Одной из главных задач проекта был отказ от ПО IBM в пользу российских аналогов.
Выполнение работы предполагалось в три этапа, а закончить ее было предписано до 10 декабря 2020 г. Проблемы возникли уже на первом этапе, но стороны сошлись на выплате исполнителем неустойки за просрочку в досудебном порядке в размере 20,1 млн руб. Что касается запланированных работ 2 и 3 этапов, то они так и не завершились.
В планах была реализация платформенно независимого сервера приложений и обновления версий JAVA-библиотек, замена поисковой платформы IBM OmniFind, переход с IBM Cognos на отечественный аналог.
2)Определен топ-3 шифровальщиков, атакующих бизнес РФ
В результате исследования Group-IB определены самые популярные среди злоумышленников программы-вымогатели для атак на бизнес РФ. Это Dharma, Crylock и Thanos. Их распространенность объясняется используемой партнерской моделью — Ransomware-as-a-Service («Вымогательство как услуга»).
В 2021 году в России количество атак программ-вымогателей возросло на 200%. Максимальным запрошенным выкупом стала сумма в 250 млн рублей, а максимальным выплаченным — 40 млн рублей.
Проникновения злоумышленников в сети бизнеса в большинстве случаев происходят через компрометацию публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В топ-3 способов проникновения также входят два чуть менее популярных метода — атаки через электронную почту и через публично доступные приложения.
3) Московский метрополитен запустил систему Face Pay. Чтобы пользоваться системой, необходимо будет зарегистрироваться в приложении «Метро Москвы», привязать личную фотографию, а также банковскую карту со средствами и карту «Тройка». После этого для оплаты проезда будет достаточно посмотреть в камеру возле турникета. Face Pay связана с единой биометрической системой.
4)Компанией «ИнфоТеКС» представлена квантовая криптографическая система выработки и распределения ключей ViPNet Quandor.
Существует риск компрометации (включая случаи с применением квантового компьютера) ключей шифрования для СКЗИ, генерируемых и передаваемых с участием человека.
Эти риски нивелируются за счет использования квантово-криптографической аппаратуры защиты информации. Она обеспечивает передачу ключа между абонентами, которая будет устойчива к атакам квантовым компьютером. Предоставляется быстрый способ доставки случайного симметричного ключа, стойкий к атакам в теоретико-информационном смысле. Технология основана на использовании эффектов квантовой физики, обеспечивающих полную секретность вырабатываемых ключей и автоматическую доверенную доставку криптографических ключей в СКЗИ без участия человека.
5) Новая уязвимость Log4Shell — самая серьезная со времен WannaCry, со слов специалистов.
«Ахиллесова пята» расположена в утилите Log4J для ведения журнала. Эта утилита работает в миллионах разнообразных сервисов и приложений. Уязвимость касается приложений и серверов на основе Java, в которых применяется библиотека Log4j. Софт, не подключенный к интернету, также может быть подвержен риску, так как данные передаются от системы к системе. Эта уязвимость уже принесла ущерб ряду компаний: Apple, Amazon, CloudFlare, Google, LinkedIn.Подвержены риску также решения от Cisco, Oracle, RedHat и другие крупные компании.
Для конечных пользователей в этой связи масса вариаций ущерба: остановка работы любимого сервиса, кража персональных данных, взятие под контроль персональных устройств и т.д.
6) Критика единой биометрической системы экспертами по информационной безопасности.
Оператор ЕБС (Ростелеком) говорит о полной безопасности системы, но у других специалистов возникают вопросы о негативных последствиях, которые могут возникнуть во время массовой выдачи кредитов, оформления недвижимости через ЕБС.
Возможное появление цифровых двойников также может представлять опасность: злоумышленники, владеющие Вашими биометрическими персональными данными, могут выдать себя за Вас.
7)РЖД приняло решение о внедрении единой корпоративной автоматизированной биометрической системы идентификации и аутентификации сотрудников.
Объясняется такая инновация тем, что пароль может быть забыт или просмотрен злоумышленником, а проверка подлинности личности для допуска к АРМ и для доступа к корпоративным системам информации с помощью биометрики повысит уровень безопасности.
Закончить проект по разработке и внедрению БСИА РЖД планирует в ноябре 2023 года.
8)Президент России В.В.Путин поддержал предложение главы Минцифры Максута Шадаева о введении индивидуальной ответственности глав госкомпаний за выполнение требований по переходу на российское программное обеспечение. По словам президента, руководители должны понимать, что иностранное ПО может оказаться недоступным в любой момент.
