#Інформаційна_безпека
🛡 СЕЗАМ, ВІДКРИЙСЯ! РЕКОМЕНДАЦІЇ CNIL ЩОДО ПАРОЛІВ
Парольна автентифікація є найпростішим і найдешевшим способом контролю доступу і підтвердження особи. Французький регулятор CNIL надав нові рекомендації щодо використання паролів для гарантування мінімального рівня безпеки.
📍Про рекомендації
Рекомендації CNIL не є стандартом, але відповідають сучасним тенденціям, на які може спиратися будь-який контролер даних в контексті зобов'язань, передбачених статтями 5 (1)(f) та 32 GDPR, при використанні парольної автентифікації для захисту обробки персональних даних.
📍Інші заходи безпеки
Процесор. Якщо питання управління паролями, доручаються, повністю або частково, процесору, необхідно забезпечити дотримання умов статті 28 GDPR. Ролі та обов'язки повинні бути чітко визначені та формалізовані, необхідний рівень безпеки та цілі обробки, покладеної на процесора, повинні бути чітко визначені, враховуючи характер обробки та ризики.
Програмне забезпечення. Хоча видавці простого програмного забезпечення для управління паролями не підпадають під дію законодавства щодо захисту даних, користувачі повинні його дотримуватися.
❓Які ризики пов'язані з поганим управлінням паролями?
🔻простота пароля;
🔻перехоплення мережі з метою збору переданих паролів;
🔻незашифроване зберігання паролів;
🔻слабкість процедур відновлення пароля у разі його забування ("секретні" питання).
📍Основні рекомендації CNIL
🔹Фокус на ступінь складності пароля (ентропію), а не на мінімальну довжину, щоб забезпечити більшу свободу у визначенні надійних політик паролів, адаптованих до конкретних випадків використання.
🔹Скасовано варіант використання, заснованого на секретній інформації (додаткові питання), як заходу, що знижує вимоги до безпеки пароля.
🔹Скасовано вимогу оновлення паролів для стандартних облікових записів користувачів (поновлення залишається для "привілейованих" акаунтів, тобто типу адміністратора або з розширеними правами).
🔹Запровадження переліку складних, але відомих паролів, яких слід уникати з огляду на нові моделі атак.
🔹Роз'яснення правил створення та оновлення паролів для забезпечення послідовного рівня безпеки протягом усього життєвого циклу пароля, у вигляді кращих практик (менеджер паролів, відмова від використання очевидної інформації).
📍Вгадуваність
Поняття "вгадуваності" є новим підходом до визначення стійкості пароля. За допомогою спеціальної алгоритмічної обробки оцінюється, наскільки легко противнику підібрати заданий пароль. У літературі на цю тему рекомендується мінімальна стійкість до атаки 1014 спроб.
📍Варіанти використання
CNIL визначив 3 різні сучасні варіанти використання паролів, які пов'язані з різними мінімальними рівнями ентропії:
🔸проста парольна автентифікація;
🔸варіант, коли впроваджуються заходи, що обмежують ризики онлайн-атак;
🔸варіант із апаратним кодом розблокування.
📍Зберігання паролів
Паролі ніколи не повинні зберігатися у вигляді відкритого тексту. Якщо автентифікація відбувається на віддаленому сервері, а також в інших випадках, якщо це технічно можливо, пароль повинен бути перетворений за допомогою безпечної, незворотної криптографічної функції, у тому числі з використанням “солі” або ключа.
📍Компрометація пароля
Якщо контролер даних виявляє порушення даних, пов'язане з паролем особи:
🔹повідомити регулятора протягом 72 годин;
🔹вимагати від користувача змінити свій пароль при вході в систему;
🔹рекомендувати змінити паролі для інших сервісів, якщо використовувався один пароль.
❓Які ризики для організацій?
Серйозне порушення принципів безпеки → штрафні санкції у розмірі до 4% обороту або 20 000 000 євро.
CNIL також нагадує, що порушення, пов'язані з політикою паролів, одні з найпоширеніших та можуть призвести до витоку даних.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Паролі: Нові рекомендації CNIL для підвищення безпеки
🔹Запитання та відповіді щодо нових рекомендацій
🛡 СЕЗАМ, ВІДКРИЙСЯ! РЕКОМЕНДАЦІЇ CNIL ЩОДО ПАРОЛІВ
Парольна автентифікація є найпростішим і найдешевшим способом контролю доступу і підтвердження особи. Французький регулятор CNIL надав нові рекомендації щодо використання паролів для гарантування мінімального рівня безпеки.
📍Про рекомендації
Рекомендації CNIL не є стандартом, але відповідають сучасним тенденціям, на які може спиратися будь-який контролер даних в контексті зобов'язань, передбачених статтями 5 (1)(f) та 32 GDPR, при використанні парольної автентифікації для захисту обробки персональних даних.
📍Інші заходи безпеки
Процесор. Якщо питання управління паролями, доручаються, повністю або частково, процесору, необхідно забезпечити дотримання умов статті 28 GDPR. Ролі та обов'язки повинні бути чітко визначені та формалізовані, необхідний рівень безпеки та цілі обробки, покладеної на процесора, повинні бути чітко визначені, враховуючи характер обробки та ризики.
Програмне забезпечення. Хоча видавці простого програмного забезпечення для управління паролями не підпадають під дію законодавства щодо захисту даних, користувачі повинні його дотримуватися.
❓Які ризики пов'язані з поганим управлінням паролями?
🔻простота пароля;
🔻перехоплення мережі з метою збору переданих паролів;
🔻незашифроване зберігання паролів;
🔻слабкість процедур відновлення пароля у разі його забування ("секретні" питання).
📍Основні рекомендації CNIL
🔹Фокус на ступінь складності пароля (ентропію), а не на мінімальну довжину, щоб забезпечити більшу свободу у визначенні надійних політик паролів, адаптованих до конкретних випадків використання.
🔹Скасовано варіант використання, заснованого на секретній інформації (додаткові питання), як заходу, що знижує вимоги до безпеки пароля.
🔹Скасовано вимогу оновлення паролів для стандартних облікових записів користувачів (поновлення залишається для "привілейованих" акаунтів, тобто типу адміністратора або з розширеними правами).
🔹Запровадження переліку складних, але відомих паролів, яких слід уникати з огляду на нові моделі атак.
🔹Роз'яснення правил створення та оновлення паролів для забезпечення послідовного рівня безпеки протягом усього життєвого циклу пароля, у вигляді кращих практик (менеджер паролів, відмова від використання очевидної інформації).
📍Вгадуваність
Поняття "вгадуваності" є новим підходом до визначення стійкості пароля. За допомогою спеціальної алгоритмічної обробки оцінюється, наскільки легко противнику підібрати заданий пароль. У літературі на цю тему рекомендується мінімальна стійкість до атаки 1014 спроб.
📍Варіанти використання
CNIL визначив 3 різні сучасні варіанти використання паролів, які пов'язані з різними мінімальними рівнями ентропії:
🔸проста парольна автентифікація;
🔸варіант, коли впроваджуються заходи, що обмежують ризики онлайн-атак;
🔸варіант із апаратним кодом розблокування.
📍Зберігання паролів
Паролі ніколи не повинні зберігатися у вигляді відкритого тексту. Якщо автентифікація відбувається на віддаленому сервері, а також в інших випадках, якщо це технічно можливо, пароль повинен бути перетворений за допомогою безпечної, незворотної криптографічної функції, у тому числі з використанням “солі” або ключа.
📍Компрометація пароля
Якщо контролер даних виявляє порушення даних, пов'язане з паролем особи:
🔹повідомити регулятора протягом 72 годин;
🔹вимагати від користувача змінити свій пароль при вході в систему;
🔹рекомендувати змінити паролі для інших сервісів, якщо використовувався один пароль.
❓Які ризики для організацій?
Серйозне порушення принципів безпеки → штрафні санкції у розмірі до 4% обороту або 20 000 000 євро.
CNIL також нагадує, що порушення, пов'язані з політикою паролів, одні з найпоширеніших та можуть призвести до витоку даних.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Паролі: Нові рекомендації CNIL для підвищення безпеки
🔹Запитання та відповіді щодо нових рекомендацій
#Інформаційна_безпека
🛡 10 ТЕРАБАЙТІВ ДАНИХ ЩОМІСЯЦЯ
Цього жовтня ЄС провели місяць кібербезпеки. На його завершення, як вишенку на тортик, ENISA випустили звіт по загрозах інформаційній безпеці за період з липня 2021 по липень 2022.
Нижче ділимось ключовими знахідками та трендами.
❓Як страждають дані?
Щомісяця викрадається 10 терабайтів даних. Найчастіше це відбувалось через хакерський злам (~50%), зловмисне програмне забезпечення (~40%), соціальну інженерію (~20%) і помилки (13%).
При цьому найважливішими об’єктами атаки були сервери (майже 90%), люди (менше 30%) і розробники (менше 20%). Крім того, з’явився новий тренд – атаки на розумні речі (IoT).
80% інцидентів були спричинені загрозами ззовні організації, 20% – загрозами всередині.
У 82% інциденти спричинені людським фактором (хтось помилився, повівся на соціальну інженерію тощо).
❓Хто найбільше страждає від атак?
🔹Державний сектор – 24% (війна дуже вплинула на цю статистику);
🔹Постачальники цифрових послуг – 13%;
🔹Звичайні люди – 12%.
Загалом же, зловмисники не оминули жоден сектор суспільства, між ними розподілені інші 50% досліджуваних інцидентів.
❓Які загрози справджуються найчастіше?
🔹Програми-вимагачі (ransomware)
Система лише зростає. Приблизно 60% постраждалих платять викуп.
Нагадуємо, що детальний звіт на цю тему вийшов на каналі на початку вересня.
З нового, в США (Північна Кароліна та Флорида) цього року заборонили державному сектору сплачувати викупи та зобов’язали повідомляти про такі атаки. Це має стати дуже цікавим законодавчим експериментом.
Оскільки 90% інцидентів мотивуються насамперед фінансово, і тепер можливість отримання грошей зникає – кількість атак дійсно може зменшитись.
🔹Шкідливе програмне забезпечення (malware)
Зловмисники частіше стали використовувати помилки або недопрацювання розробників у програмному забезпеченні (66 випадків).
Якщо ж навіть випускались оновлення, в середньому 8 днів потрібно було зловмисникам, щоб запустити відповідний вірус. Хто не оновився – ми не винуваті.
🔹Соціальна інженерія
Фішинг залишається популярним, але виділяють нові форми: spear-phishing (ціль — конкретні організації або люди), whaling (ціль — впливові люди: політики, менеджмент), smishing (працює через SMS) і vishing (працює через голосові виклики).
🔹Загрози доступності
Звичайно ж, це DDoS-атаки. Так само популярні і лише ускладнюються.
Тренд — мультивекторність та поєднання різних засобів атаки.
У липні 2022 року в ЄС зафіксували найбільшу за всю історію DDoS-атаку, за версією ENISA, на користувачів платформи Prolexic (працює для захисту від DDoS та інших атак — іронічно).
Протягом 30 днів користувачі були атаковані 75 разів різними способами.
Крім того, з початку війни спостерігалося більше атак задля руйнування інтернет-інфраструктури, збоїв та перенаправлення інтернет-трафіку.
Цікаво, що ENISA включає в дослідження також фізичне руйнування потужностей на окупованих українських територіях.
🔹Дезінформація
Ескалюється за допомогою штучного інтелекту, дипфейків і дезінформації як послуги. Інформаційна війна триває на всіх фронтах.
До речі, окремо згадують TikTok як прекрасне джерело фейків за дизайном (публікації неверифікованих коротких відео) та Telegram як кейс по розповсюдженню фейків (новини з непідтвердженими джерелами поширюються більше, ніж з перевірених каналів).
🔹Атаки на ланцюги постачальників
Мається на увазі схема, коли атаку на іншу організацію використовують, щоб потім залізти вже у ваші дані.
Такі випадки поширюються – 17% інцидентів у 2021 році порівняно з менш ніж 1% у 2020.
Ось чому важливо розуміти ризики безпеки ваших контрагентів та просити в них гарантії щодо даних.
🏆 ВИСНОВКИ
Безпека і ще раз безпека.
Більше даних – більше загроз та інцидентів.
Неможливо передбачити все, але навіть найпростіші речі, такі як моніторинг помилок, оновлення та навчання людей, можуть допомогти.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Звіт ENISA щодо загроз інформаційної безпеки
🔹Наймасштабніша DDoS-атака в ЄС
🛡 10 ТЕРАБАЙТІВ ДАНИХ ЩОМІСЯЦЯ
Цього жовтня ЄС провели місяць кібербезпеки. На його завершення, як вишенку на тортик, ENISA випустили звіт по загрозах інформаційній безпеці за період з липня 2021 по липень 2022.
Нижче ділимось ключовими знахідками та трендами.
❓Як страждають дані?
Щомісяця викрадається 10 терабайтів даних. Найчастіше це відбувалось через хакерський злам (~50%), зловмисне програмне забезпечення (~40%), соціальну інженерію (~20%) і помилки (13%).
При цьому найважливішими об’єктами атаки були сервери (майже 90%), люди (менше 30%) і розробники (менше 20%). Крім того, з’явився новий тренд – атаки на розумні речі (IoT).
80% інцидентів були спричинені загрозами ззовні організації, 20% – загрозами всередині.
У 82% інциденти спричинені людським фактором (хтось помилився, повівся на соціальну інженерію тощо).
❓Хто найбільше страждає від атак?
🔹Державний сектор – 24% (війна дуже вплинула на цю статистику);
🔹Постачальники цифрових послуг – 13%;
🔹Звичайні люди – 12%.
Загалом же, зловмисники не оминули жоден сектор суспільства, між ними розподілені інші 50% досліджуваних інцидентів.
❓Які загрози справджуються найчастіше?
🔹Програми-вимагачі (ransomware)
Система лише зростає. Приблизно 60% постраждалих платять викуп.
Нагадуємо, що детальний звіт на цю тему вийшов на каналі на початку вересня.
З нового, в США (Північна Кароліна та Флорида) цього року заборонили державному сектору сплачувати викупи та зобов’язали повідомляти про такі атаки. Це має стати дуже цікавим законодавчим експериментом.
Оскільки 90% інцидентів мотивуються насамперед фінансово, і тепер можливість отримання грошей зникає – кількість атак дійсно може зменшитись.
🔹Шкідливе програмне забезпечення (malware)
Зловмисники частіше стали використовувати помилки або недопрацювання розробників у програмному забезпеченні (66 випадків).
Якщо ж навіть випускались оновлення, в середньому 8 днів потрібно було зловмисникам, щоб запустити відповідний вірус. Хто не оновився – ми не винуваті.
🔹Соціальна інженерія
Фішинг залишається популярним, але виділяють нові форми: spear-phishing (ціль — конкретні організації або люди), whaling (ціль — впливові люди: політики, менеджмент), smishing (працює через SMS) і vishing (працює через голосові виклики).
🔹Загрози доступності
Звичайно ж, це DDoS-атаки. Так само популярні і лише ускладнюються.
Тренд — мультивекторність та поєднання різних засобів атаки.
У липні 2022 року в ЄС зафіксували найбільшу за всю історію DDoS-атаку, за версією ENISA, на користувачів платформи Prolexic (працює для захисту від DDoS та інших атак — іронічно).
Протягом 30 днів користувачі були атаковані 75 разів різними способами.
Крім того, з початку війни спостерігалося більше атак задля руйнування інтернет-інфраструктури, збоїв та перенаправлення інтернет-трафіку.
Цікаво, що ENISA включає в дослідження також фізичне руйнування потужностей на окупованих українських територіях.
🔹Дезінформація
Ескалюється за допомогою штучного інтелекту, дипфейків і дезінформації як послуги. Інформаційна війна триває на всіх фронтах.
До речі, окремо згадують TikTok як прекрасне джерело фейків за дизайном (публікації неверифікованих коротких відео) та Telegram як кейс по розповсюдженню фейків (новини з непідтвердженими джерелами поширюються більше, ніж з перевірених каналів).
🔹Атаки на ланцюги постачальників
Мається на увазі схема, коли атаку на іншу організацію використовують, щоб потім залізти вже у ваші дані.
Такі випадки поширюються – 17% інцидентів у 2021 році порівняно з менш ніж 1% у 2020.
Ось чому важливо розуміти ризики безпеки ваших контрагентів та просити в них гарантії щодо даних.
🏆 ВИСНОВКИ
Безпека і ще раз безпека.
Більше даних – більше загроз та інцидентів.
Неможливо передбачити все, але навіть найпростіші речі, такі як моніторинг помилок, оновлення та навчання людей, можуть допомогти.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Звіт ENISA щодо загроз інформаційної безпеки
🔹Наймасштабніша DDoS-атака в ЄС