В 1950-м году буддийский 🧘♀️ монах-ученик совершил поджог Золотого павильона храма Кинкаку-дзи ⛩ в Киото, что подсказывает нам что раньше такого не было
Давайте перенесем историю с монахом-учеником 🧘 на современные рельсы и представим, что речь идет о джуне, который кодит во внутренней разработке под задачи компании 🧑💻 Как обеспечить защиту среды, в которой он трудится, чтобы он случайно или намеренно не наделал всяких нехороших дел? 🔥 При этом он использует в работе кучу всяких разных инструментов - Kubernetes, Docker, Git, MongoDB, Jenkins, OpenShift, Redis и т.п.
Вот вам парочка полезных ссылок с чеклистами ✔️ по харденингу среды разработки, в которой используются разные инструменты:
🔤 DevSecOps Guides
🔤 DevSec Hardening Framework
Ссылки честно утащил у Светы, подумав, что очередные философствования скучны, а так хоть какая-то польза 😎
Давайте перенесем историю с монахом-учеником 🧘 на современные рельсы и представим, что речь идет о джуне, который кодит во внутренней разработке под задачи компании 🧑💻 Как обеспечить защиту среды, в которой он трудится, чтобы он случайно или намеренно не наделал всяких нехороших дел? 🔥 При этом он использует в работе кучу всяких разных инструментов - Kubernetes, Docker, Git, MongoDB, Jenkins, OpenShift, Redis и т.п.
Вот вам парочка полезных ссылок с чеклистами ✔️ по харденингу среды разработки, в которой используются разные инструменты:
🔤 DevSecOps Guides
🔤 DevSec Hardening Framework
Ссылки честно утащил у Светы, подумав, что очередные философствования скучны, а так хоть какая-то польза 😎
Как пишет ГТС Казахстана 🇰🇿 (аналог нашего ФСТЭК) 27 ноября, во время официального визита президента России, хакеры взломали один из LED-экранов в Астане и заменили на нем изображение российского флага на флаг Украины 🔓 Вроде банальный инцидент, точно не относится к недопустимым событиям, и о нем даже не стоило бы писать (мало ли у нас схожих историй с дефейсами сайтов), если бы не одно "но". Меня зацепило объяснение владельцев взломанного LED-экрана, объяснивших случившееся следующим образом:
Честно, очень креативная версия произошедшего 😂 Почему было просто не признать взлом экрана? Насколько я помню, в Казахстане владельцы рекламных площадок не относятся к КВОИКИ (аналог российских объектов КИИ), а значит опасаться признания в кибератаке не стоит 🤔 Но чем-то владельцы взломанного экрана руководствовались, если использовали столь креативное объяснение?..
RTVI про это пишет вообще странно (я дважды перечитал, прежде чем понял, что автор текста просто не догоняет, как это все работает):
ЗЫ. Не знаю, является ли упомянутый мной RTVI иноагентом? Проверить это я не смог - ресурсы Минюста и РКН (да и Минцифры, кстати, тоже) из Японии недоступны. Зато сайты ФСТЭК, ФСБ и НКЦКИ доступны. Логика блокирования доступа из-за границы от меня ускользает... 🤦♂️
В 16.30 на LED-экране «Керуен Медиа» на изображении флага РФ на верхнем сегменте замкнул кабель и отключился белый цвет, в связи с чем тональность цвета при нагрузке электричества изменилась, стало более ярче. Таким образом, при производстве видео на сотовый телефон красный цвет при воспроизведении видео для зрительного контакта кажется желтым.
Честно, очень креативная версия произошедшего 😂 Почему было просто не признать взлом экрана? Насколько я помню, в Казахстане владельцы рекламных площадок не относятся к КВОИКИ (аналог российских объектов КИИ), а значит опасаться признания в кибератаке не стоит 🤔 Но чем-то владельцы взломанного экрана руководствовались, если использовали столь креативное объяснение?..
RTVI про это пишет вообще странно (я дважды перечитал, прежде чем понял, что автор текста просто не догоняет, как это все работает):
Хакеры с помощью зарубежных IP-адресов с использованием прокси-серверов заменили российский флаг на украинский на LED-экране
...
ЗЫ. Не знаю, является ли упомянутый мной RTVI иноагентом? Проверить это я не смог - ресурсы Минюста и РКН (да и Минцифры, кстати, тоже) из Японии недоступны. Зато сайты ФСТЭК, ФСБ и НКЦКИ доступны. Логика блокирования доступа из-за границы от меня ускользает... 🤦♂️
kaztag.kz
«Замыканием кабеля» объяснили окрашивание флага России в цвета флага Украины в Астане
Астана. 27 ноября. КазТАГ – «Замыканием кабеля» объяснили окрашивание флага России в цвета флага Украины в Астане, передает корреспондент агентства. «В 16.30 на LED-экране «Керуен Медиа» на...
Соловьиные полы, или "угуисубари", представляют собой особую конструкцию полов в японских замках и храмах⛩, разработанную для защиты от незаметного проникновения. При ходьбе по таким полам возникает звук, напоминающий пение соловья, что служило своеобразной сигнализацией против воров и злоумышленников 🥷 Интересно, что попытки передвигаться на цыпочках лишь усиливали этот эффект, поскольку давление на пол в таком случае было выше, чем при обычной ходьбе. Наиболее известным примером является замок Нидзё в Киото, где такие полы сохранились до наших дней 🍱
Можно было бы предположить, что в корпоративных сетях роль таких полов играют обманные системы (вот и ГРЧЦ объявил закупку на такую систему), но нет 👎 Аналогом такой пассивной системы мониторинга посторонних в инфраструктуре является NDR/NTA 👀 Именно они срабатывают на определенные триггеры и индикаторы (нажатие половицы) и работают в пассивном режиме. Правда, и ложных срабатываний у таких систем может быть немало, так как в отличие от IDS/СОВ они базируют...
Можно было бы предположить, что в корпоративных сетях роль таких полов играют обманные системы (вот и ГРЧЦ объявил закупку на такую систему), но нет 👎 Аналогом такой пассивной системы мониторинга посторонних в инфраструктуре является NDR/NTA 👀 Именно они срабатывают на определенные триггеры и индикаторы (нажатие половицы) и работают в пассивном режиме. Правда, и ложных срабатываний у таких систем может быть немало, так как в отличие от IDS/СОВ они базируют...
В России арестовали Wazawaka, хакера, которого долгие годы пыталось задержать американское правосудие, но безуспешно 🥷 Wazawaka, он же Михаил Матвеев, он же m1x, он же Boriselcin, он же Uhodiransomwar, был задержан, а после отпущен под залон с одновременным изъятием большей части криптовалютных активов 💸 и выплатой двух штрафов. После задержания членов группировки REvil, это уже второй достаточно громкий случай, когда российские правоохранительные органы задерживают киберпреступников, "работающих" вне страны 🎃
Так говорил Матвеев в своих интервью, а он раздавал их много и охотно. И отсюда возникает вопрос, почему его все-таки задержали и что будет дальше? 🤔 Я лично, не претендуя на полноту информации, вижу следующую причину для ареста и зовут ее Дональд Трамп 🇺🇸 Для американцев тема шифровальщиков является достаточно болезненной и хотя ее активно начал двигать Байден в последний год, Трамп от нее тоже не откажется 🇺🇸 А...
"Матушка Россия вам поможет. Любите свою страну, и вам всегда все будет сходить с рук"
Так говорил Матвеев в своих интервью, а он раздавал их много и охотно. И отсюда возникает вопрос, почему его все-таки задержали и что будет дальше? 🤔 Я лично, не претендуя на полноту информации, вижу следующую причину для ареста и зовут ее Дональд Трамп 🇺🇸 Для американцев тема шифровальщиков является достаточно болезненной и хотя ее активно начал двигать Байден в последний год, Трамп от нее тоже не откажется 🇺🇸 А...
Что будет, если в самое высокое здание в округе, построенное из дерева, а крыша которого покрыта железом, ударит молния? ⚡️ Правильно! Пожар! Такое сплошь и рядом происходило в Японии, где многие храмы и пагоды, дворцы и замки строились из дерева 🔥 Но почему-то никто не думал об уроках, которые можно было бы извлечь из этих часто повторяющихся событий. Так и в корпоративной ИБ часто мы наступаем на одни и те же грабли, не учась не только на ошибках коллег, но и на своих тоже 🤦♂️
Можно было бы предположить, что для японцев все эти строения были неважны, но нет, это не так. К храмам 🍱 отношение было трепетное, к замкам и дворцам, в которых жила знать и в которых самураи оборонялись от врагов, тоже. Раз строение деревянное, то его можно было бы возвести заново? Тоже нет. Многие офигенно красивые ⛩ замки и храмы, которые я видел, и которые по счастливой случайности остались целы и которые даже американцы не разбомбили во время Второй мировой войны, строились годами. Некоторые даже заново возводились после по...
Можно было бы предположить, что для японцев все эти строения были неважны, но нет, это не так. К храмам 🍱 отношение было трепетное, к замкам и дворцам, в которых жила знать и в которых самураи оборонялись от врагов, тоже. Раз строение деревянное, то его можно было бы возвести заново? Тоже нет. Многие офигенно красивые ⛩ замки и храмы, которые я видел, и которые по счастливой случайности остались целы и которые даже американцы не разбомбили во время Второй мировой войны, строились годами. Некоторые даже заново возводились после по...
Интересно, а у нас Департамент кибербезопасности Минцифры проводит такие тренинги для своих служащих, как их коллеги из Казахстана? 🤔
www.gov.kz
Тренинг-семинар на тему «Профилактика синдрома эмоционального выгорания и поддержка психического здоровья»
Презентация18 июня 2024 года уполномоченным по этике Комитета по информационной безопасности был организован тренинг-семинар с участием психологов Канафиной А. Т. и Охроменко А.В. на тему «Профилактика синдрома эмоционального выгорания и поддержка психического…
Про блокирование сообщений e-mail ✉️ с иностранных доменов я уже писал. Тогда это были просто рекомендации, которые теперь могут стать законом. Да, пока это касается обращения граждан, но как по заголовку e-mail определить, пришло оно от гражданина или от организации? Либо никак, либо надо создавать реестр 📨 (и на это обязательно попросить много денюжков) всех доменов всех юрлиц и индивидуальных предпринимателей. Ну а что, домены и публичные IP-адреса же у субъектов КИИ по 213-му приказу ФСБ уже собрали (должны были собрать). То есть почва подготовлена. Осталось туда всех остальных загнать и все, дело в шляпе 🤠 Надеюсь, до этого все-таки не дойдет. Хотя это идеальный способ взять всех на карандаш и блокировать тех, кто не выйдут из Сумрака (как с регистрацией блогеров-десятитысячников),
Я вот сейчас в Китае нахожусь и могу сказать, что мы (Россия) достаточно активно перенимаем местный опыт 🐲 Если честно, то я поначалу особой разницы, когда прилетел и не заметил, - ни при общении с таксистами, ни во время ...
Я вот сейчас в Китае нахожусь и могу сказать, что мы (Россия) достаточно активно перенимаем местный опыт 🐲 Если честно, то я поначалу особой разницы, когда прилетел и не заметил, - ни при общении с таксистами, ни во время ...
Российская отрасль ИБ в чем-то уникальна 😲 Вот представьте себе, что у вас есть дача и вы приходите к местным пожарникам и просите их увеличить штрафы за нарушение пожарных правил у вашего соседа? Странно звучит 🚽 Или вы, являясь владельцем автомобиля, просите сотрудников ДПС увеличить штрафы за нарушение ПДД другими автолюбителями. Или вы владелец бизнеса и просите налоговую увеличить размеры налогов, отчисляемых в государственную казну. Нонсенс, не так ли? 🤦♂️
Но почему-то многие российские ИБ-компании и ИБ-специалисты регулярно просят регуляторов и законодателей увеличить штрафы за утечки ПДн, побольше делать проверок, выпустить новый приказ или закон, и посерьезнее наказывать провинившихся в нарушении правил ИБ 😡 И вот закономерный итог - Минэкономразвития предложил штрафовать разработчиков средств ИБ за утечки данных, допущенных из-за несовершенства средств защиты. По словам представителя Минэка, все российские вендора уверяют, что у нас в стране достаточно решений для защиты данных, и поэтому вендо...
Но почему-то многие российские ИБ-компании и ИБ-специалисты регулярно просят регуляторов и законодателей увеличить штрафы за утечки ПДн, побольше делать проверок, выпустить новый приказ или закон, и посерьезнее наказывать провинившихся в нарушении правил ИБ 😡 И вот закономерный итог - Минэкономразвития предложил штрафовать разработчиков средств ИБ за утечки данных, допущенных из-за несовершенства средств защиты. По словам представителя Минэка, все российские вендора уверяют, что у нас в стране достаточно решений для защиты данных, и поэтому вендо...
Странный список ключевых слов для мониторинга соцсетей у американских спецслужб 👮 (если верить его правдивости). Тема кибербеза вообще очень слабо описана ✍️ Я бы предположил, что это просто вброс для отвлечения внимания от реального списка; обманка. Так как для даже для министерства национальной безопасности (то есть, занимающегося внутренними делами страны) список явно очень поверхностный. Опять же, на мой непросвещенный в делах перлюстрации взгляд
Одним из значимых событий, произошедших во время моего отпуска, стало принятие двух законов 👨⚖️ об оборотных штрафах за инциденты ИБ с ПДн и введении уголовки 😡 за незаконную обработку ПДн. Законы сырые, как кеды 👟 во время ливня, но их инициатор свалил в кресло губернатора; так что на правки рассчитывать не приходится. Поэтому подсобрал все, что мне ✍️ кажется важным относительно этих законов, подсветил косяки, обратил внимание на несуразности.
Сделает ли новое законодательство наши ПДн защищеннее? Не уверен. Вырастет ли рынок ИБ от этого? ↗️ Незначительно. Но вот спама от вендоров / интеграторов / консультантов / оргов мероприятий станет точно больше 🤪
ЗЫ. Доступ к моему сайту может быть ограничен по не раз описанным мной причинам. Ну да для специалистов это не проблема же 🤔
Сделает ли новое законодательство наши ПДн защищеннее? Не уверен. Вырастет ли рынок ИБ от этого? ↗️ Незначительно. Но вот спама от вендоров / интеграторов / консультантов / оргов мероприятий станет точно больше 🤪
ЗЫ. Доступ к моему сайту может быть ограничен по не раз описанным мной причинам. Ну да для специалистов это не проблема же 🤔
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Персональные данные и оборот штрафов вокруг них
Стоило уйти в отпуск, как столько всего сразу стало происходить в российской ИБ... Начинаю разгребать набежавшие новости и не могу не начать с принятого закона об оборотных штрафах за утечки персональных данных, о проекте которого я уже писал полтора года…
Странно, наверное, что из всех 16 номинантов "Премии Рунета 2024" в номинации "Информационная безопасность" 🎖 я знаю только 6 имен. Победителями же стали три проекта:
🏆 "Кибер забота"
🏆 "Киберликбез"
🏆 Сообщество "Кибердружина".
Специальным дипломом наградили проект "Киберквиз" от ПАО "Вымпелком" и проект "Международная школа интернет-безопасности молодежи" 🏆
Победителей я вообще не знаю 🤓, что ничего плохого не говорит о лауреатах. Скорее говорит о том, что у меня с организаторами премии немного разное понимание "информационной безопасности" и вклада в нее. Ну да ничего, бывает 🤷♀️
🏆 "Кибер забота"
🏆 "Киберликбез"
🏆 Сообщество "Кибердружина".
Специальным дипломом наградили проект "Киберквиз" от ПАО "Вымпелком" и проект "Международная школа интернет-безопасности молодежи" 🏆
Победителей я вообще не знаю 🤓, что ничего плохого не говорит о лауреатах. Скорее говорит о том, что у меня с организаторами премии немного разное понимание "информационной безопасности" и вклада в нее. Ну да ничего, бывает 🤷♀️
premiaruneta.ru
Шорт-лист Премия Рунета 2024
Национальная премия за вклад в развитие российского сегмента сети интернет «Премия Рунета»