Следуй за белой шляпой: государство опять заговорило о поддержке этичных хакеров
В условиях несовершенства законодательной системы, особенно в таких динамичных сферах, как ИТ и ИБ, единственной надежной защитой становится двустороннее соглашение между компанией и этичным хакером.
Подобную модель используют пентест-специалисты: компании поручают “белым” хакерам моделировать реальные атаки, доказывая наличие уязвимостей, что позволяет выявить проблемы, упущенные в ходе обычного аудита, и повысить уровень безопасности до того, как произойдет инцидент. В договоре четко прописываются способы тестирования, его рамки и другие параметры. Такой подход позволяет избежать возможных рисков при пентесте — как для компаний, так и для хакеров.
Теперь "белым шляпам" планируют облегчить работу — законопроект о легализации таких взломщиков в ближайшее время будет внесен в Госдуму, узнали "Известия". Им разрешат проводить тестирование информационных систем компаний и организаций в случае такого запроса от них.
Понятие Bug Bounty (поиск уязвимостей в ПО) до сих пор не было введено в правовое поле, и, по мысли разработчиков, заполнение этой лакуны значительно расширит спектр работы с программами и избавит таких специалистов от риска уголовной ответственности.
Предлагается предоставить правительству возможность вместе с ФСБ устанавливать сроки и порядок проведения Bug Bounty в государственном секторе и сферах критической информационной инфраструктуры. В Госдуме также рассматриваются поправки к Уголовному кодексу - это будет уже третий законопроект, связанный с деятельностью «белых хакеров». Текста в паблике пока нет.
Понятно, что в первую очередь «белые шляпы» будут работать на государство и аффилированные с ним структуры. Но в нынешних условиях даже сам факт возможной легализации их деятельности — это немалая помощь тем бизнесменам, интересы которых лежат в плоскости IT и инфобеза.
#новости_от_DRC #белые_хакеры #white_hats #инфобез #законопроекты
В условиях несовершенства законодательной системы, особенно в таких динамичных сферах, как ИТ и ИБ, единственной надежной защитой становится двустороннее соглашение между компанией и этичным хакером.
Подобную модель используют пентест-специалисты: компании поручают “белым” хакерам моделировать реальные атаки, доказывая наличие уязвимостей, что позволяет выявить проблемы, упущенные в ходе обычного аудита, и повысить уровень безопасности до того, как произойдет инцидент. В договоре четко прописываются способы тестирования, его рамки и другие параметры. Такой подход позволяет избежать возможных рисков при пентесте — как для компаний, так и для хакеров.
Теперь "белым шляпам" планируют облегчить работу — законопроект о легализации таких взломщиков в ближайшее время будет внесен в Госдуму, узнали "Известия". Им разрешат проводить тестирование информационных систем компаний и организаций в случае такого запроса от них.
Понятие Bug Bounty (поиск уязвимостей в ПО) до сих пор не было введено в правовое поле, и, по мысли разработчиков, заполнение этой лакуны значительно расширит спектр работы с программами и избавит таких специалистов от риска уголовной ответственности.
Предлагается предоставить правительству возможность вместе с ФСБ устанавливать сроки и порядок проведения Bug Bounty в государственном секторе и сферах критической информационной инфраструктуры. В Госдуме также рассматриваются поправки к Уголовному кодексу - это будет уже третий законопроект, связанный с деятельностью «белых хакеров». Текста в паблике пока нет.
Понятно, что в первую очередь «белые шляпы» будут работать на государство и аффилированные с ним структуры. Но в нынешних условиях даже сам факт возможной легализации их деятельности — это немалая помощь тем бизнесменам, интересы которых лежат в плоскости IT и инфобеза.
#новости_от_DRC #белые_хакеры #white_hats #инфобез #законопроекты
Известия
Взломать и строить: власти намерены уже весной легализовать деятельность «белых» хакеров
Компании смогут официально привлекать таких взломщиков к выявлению уязвимостей информсистем
Информационная безопасность: социальная инженерия
Социальная инженерия — это форма психологического манипулирования, при которой злоумышленники обманом получают вашу конфиденциальную информацию, доступ к IT-системам или базам. Кроме того, социальную инженерию регулярно примдля обхода традиционных технических мер безопасности, таких как брандмауэры и антивирусные программы.
Вместо использования сложных хакерских инструментов, социальные инженеры полагаются на человеческий фактор, манипулируя для получения доступа к личным данным или системам. Они могут выдавать себя за доверенных лиц, использовать психологические уловки или играть на эмоциях жертвы, чтобы заставить ее раскрыть важную информацию.
Социальная инженерия может принимать различные формы, от телефонных звонков и электронных писем до личных встреч. Независимо от метода, цель остается одной — обмануть людей и заставить их нарушить требования безопасности. Поскольку злоумышленники становятся все более изощренными в своих методах, для бизнеса крайне важно внедрять комплексную стратегию противодействия им.
Помните, что первостепенное значение будут иметь повышение осведомленности и обучение сотрудников. Регулярно проводите тренинги по социальной инженерии, чтобы помочь сотрудникам распознавать и реагировать на потенциальные угрозы.
Кроме того, не забывайте в своей борьбе с социальными инженерами о важности: используйте решения для фильтрации электронной почты, системы обнаружения вторжений, шифрование данных и другие инструменты для повышения уровня защиты.
Помните, что защита от социальной инженерии – это непрерывный процесс, в котором нужно идти в ногу с новыми угрозами и методами злоумышленников.
Не ждите, пока станет слишком поздно – защитите свою организацию от рисков социальной инженерии прямо сейчас. Эксперты по кибербезопасности юридической фирмы DRC всегда готовы помочь нашим клиентам разработать комплексную стратегию защиты, включающую обучение персонала, внедрение технических решений и разработку политик и процедур.
#инфобез
Социальная инженерия — это форма психологического манипулирования, при которой злоумышленники обманом получают вашу конфиденциальную информацию, доступ к IT-системам или базам. Кроме того, социальную инженерию регулярно примдля обхода традиционных технических мер безопасности, таких как брандмауэры и антивирусные программы.
Вместо использования сложных хакерских инструментов, социальные инженеры полагаются на человеческий фактор, манипулируя для получения доступа к личным данным или системам. Они могут выдавать себя за доверенных лиц, использовать психологические уловки или играть на эмоциях жертвы, чтобы заставить ее раскрыть важную информацию.
Социальная инженерия может принимать различные формы, от телефонных звонков и электронных писем до личных встреч. Независимо от метода, цель остается одной — обмануть людей и заставить их нарушить требования безопасности. Поскольку злоумышленники становятся все более изощренными в своих методах, для бизнеса крайне важно внедрять комплексную стратегию противодействия им.
Помните, что первостепенное значение будут иметь повышение осведомленности и обучение сотрудников. Регулярно проводите тренинги по социальной инженерии, чтобы помочь сотрудникам распознавать и реагировать на потенциальные угрозы.
Кроме того, не забывайте в своей борьбе с социальными инженерами о важности: используйте решения для фильтрации электронной почты, системы обнаружения вторжений, шифрование данных и другие инструменты для повышения уровня защиты.
Помните, что защита от социальной инженерии – это непрерывный процесс, в котором нужно идти в ногу с новыми угрозами и методами злоумышленников.
Не ждите, пока станет слишком поздно – защитите свою организацию от рисков социальной инженерии прямо сейчас. Эксперты по кибербезопасности юридической фирмы DRC всегда готовы помочь нашим клиентам разработать комплексную стратегию защиты, включающую обучение персонала, внедрение технических решений и разработку политик и процедур.
#инфобез