Утечка данных Сирена-Трэвел о бронировании авиабилетов
Не известная прежде хакерская группа заявила о краже данных Сирена-Трэвел, российского разработчика системы бронирования авиабилетов. Утверждается, что в похищенной базе 664,5 миллионов записей, то есть бронирований (за вычетом ошибок).
20 сентября в телеграмме был создан канал группы под названием Muppets. Также слив был анонсирован в канале украинского сообщества KibOrg.
В телеграме опубликованы два сэмпла базы. В одном содержатся более трёх миллионов бронирований: два за начало 2007 года и миллион за начало сентября 2023 года. Содержатся такие поля, как авиакомпания, город вылета, прилёта, данные паспорта/свидетельства о рождении, фамилия и имя, время бронирования билета и др.
Во втором сэмлпе, очевидно, из той же базы содержатся телефоны и адреса электронной почты, которые указывались при бронировании.
Я проверил по одному бронированию из 2023 года — данные сошлись. Похоже, база подлинная.
Только эти два сэмпла тянут на слив года. Если действительно утекли записи о бронированиях с 2007 года, то это фиаско.
Не известная прежде хакерская группа заявила о краже данных Сирена-Трэвел, российского разработчика системы бронирования авиабилетов. Утверждается, что в похищенной базе 664,5 миллионов записей, то есть бронирований (за вычетом ошибок).
20 сентября в телеграмме был создан канал группы под названием Muppets. Также слив был анонсирован в канале украинского сообщества KibOrg.
В телеграме опубликованы два сэмпла базы. В одном содержатся более трёх миллионов бронирований: два за начало 2007 года и миллион за начало сентября 2023 года. Содержатся такие поля, как авиакомпания, город вылета, прилёта, данные паспорта/свидетельства о рождении, фамилия и имя, время бронирования билета и др.
Во втором сэмлпе, очевидно, из той же базы содержатся телефоны и адреса электронной почты, которые указывались при бронировании.
Я проверил по одному бронированию из 2023 года — данные сошлись. Похоже, база подлинная.
Только эти два сэмпла тянут на слив года. Если действительно утекли записи о бронированиях с 2007 года, то это фиаско.
Кибервойна
Утечка данных Сирена-Трэвел о бронировании авиабилетов Не известная прежде хакерская группа заявила о краже данных Сирена-Трэвел, российского разработчика системы бронирования авиабилетов. Утверждается, что в похищенной базе 664,5 миллионов записей, то есть…
Вопрос только один: 60 тысяч рублей? (Или не назначать штраф в связи с тем, что «утечка персональных данных произошла ввиду хакерской атаки»?)
Для контекста, насколько чувствительны и востребованы эти данные. Вспомнился материал Forbes 2020 года о том, как ФБР легальным путём (со ссылкой на закон 1789 года) получала данные о поездках у Sabre — это американская компания — разработчик одной из лидирующих в мире систем бронирования авиабилетов. Международный аналог Сирены-Трэвел.
«Правительственные структуры США неоднократно обращались к Sabre, чтобы та передала им данные о путешественниках. Как минимум однажды американские власти даже требовали отслеживать перемещения подозреваемого в режиме реального времени».
«В 2015 году ФБР объявило в розыск Алексея Буркова, который, как считали в организации, руководил веб-сайтом Cardplanet с оборотом $20 млн, где можно было продать и купить краденые номера кредитных банковских карт. Чтобы выследить Буркова, ФБР обратилось за помощью не только к Sabre, но и к британской Travelport. Большая часть материалов по делу закрыта. В ноябре 2019 года Израиль экстрадировал Буркова в США, в январе 2020 года он признал себя виновным по обвинениям в электронном мошенничестве, в краже персональных данных, во вторжении в компьютерные системы и отмывании денег (в конце июня Буркова приговорили в США к девяти годам за кибермошенничество. — Forbes Russia)».
«Правительственные структуры США неоднократно обращались к Sabre, чтобы та передала им данные о путешественниках. Как минимум однажды американские власти даже требовали отслеживать перемещения подозреваемого в режиме реального времени».
«В 2015 году ФБР объявило в розыск Алексея Буркова, который, как считали в организации, руководил веб-сайтом Cardplanet с оборотом $20 млн, где можно было продать и купить краденые номера кредитных банковских карт. Чтобы выследить Буркова, ФБР обратилось за помощью не только к Sabre, но и к британской Travelport. Большая часть материалов по делу закрыта. В ноябре 2019 года Израиль экстрадировал Буркова в США, в январе 2020 года он признал себя виновным по обвинениям в электронном мошенничестве, в краже персональных данных, во вторжении в компьютерные системы и отмывании денег (в конце июня Буркова приговорили в США к девяти годам за кибермошенничество. — Forbes Russia)».
Forbes.ru
Как ФБР использует туристическую компанию стоимостью $2 млрд для слежки за преступниками со всего мира, в том числе из России
Об американской компании Sabre мало что известно, однако всякий, кто бронировал авиабилеты, скорее всего, уже есть в ее базе. Еще меньше известно о ее сотрудничестве с ФБР, которое осуществляется на основании закона XVIII века. Руководствуясь им, Sabre, в…
Кибервойна
Для контекста, насколько чувствительны и востребованы эти данные. Вспомнился материал Forbes 2020 года о том, как ФБР легальным путём (со ссылкой на закон 1789 года) получала данные о поездках у Sabre — это американская компания — разработчик одной из лидирующих…
На основе данных о бронированиях из системы Сирена-Трэвел, но за более короткий период (2014-2017) были сделаны около дюжины материалов Bellingcat, написал ранее работавший там Арик Толер.
Изучил разные материалы, связанных с утечкой данных Сирена-Трэвел (как утверждается). Вот пара моментов на полях.
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений в Солсбери. Якобы на тот момент база была доступна на нескольких сайтах с торрентами и у продавцов данных. Если это так, то это уже вторая крупная утечка из такой чувствительной системы. Интересно, что каких-то публичных разборов не было.
В этой связи интересна статья CISO Сирена-Трэвел от 2020 года о сложностях с ИБ в гражданской авиации. Например, автор не очень жизнеутверждающе пишет: «Стандарты информационной безопасности в российской авиации фактически отсутствуют».
Но особенно поразителен следующий фрагмент:
«По этому закону [ФЗ-152] в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки данных, если иное не предусмотрено федеральными законами, а также уведомить об этом субъекта персональных данных. Примерно того же от процессоров требует европейский регламент GDPR. Возникает вопрос, что считать моментом достижения целей обработки, и если этот момент не определен, то не будет ли являться нарушением закона неограниченное во времени пользование персональной информацией?
Совершенно очевидно, что удалять данные пассажира через три дня после авиаперелета нет никакой возможности. Это связано как минимум с претензионной работой авиакомпаний, осуществление которой напрямую связано с персональными данными пассажиров».
В статье этот вопрос остаётся подвешенным. Не знаю, сколько реально нужно хранить персональные данные пассажиров — наверно, три дня действительно мало. Но, if you ask me, 16 лет уж точно хранить не стоит, а именно такой давности записи есть в новом сливе. И, учитывая, что это был не первый случай, как будто можно было бы не абстрактно об этом говорить. Конечно, ни о первой, ни о нынешней утечках пока ничего неизвестно, так что это всё мысли вслух и спекуляции, но всё-таки.
Во-вторых, не все российские авиакомпании пользовались системой Сирена-Трэвел. Согласно Forbes, по состоянию на 2021 год крупнейшие авиакомпании, такие как Аэрофлот и S7 использовали иностранные системы бронирования — американские Sabre (ту самую) и Navitaire и испанскую Amadeus. С 2018 года власти в рамках общего курса на цифровой и прочий суверенитет добивались локализации данных зарубежных систем бронирования либо перехода российских авиакомпаний на российские системы от Сирена-Трэвел или ТАИС. В качестве ещё одного варианта рассматривалась передача в зарубежные системы анонимизированных данных пассажиров.
Система Сирены-Трэвел называется Леонардо, это именно её активно продвигает сейчас Ростех. Мотивируя это соображениями безопасности: «Система призвана защитить персональные данные пассажиров и заменить иностранные сервисы бронирования, дальнейшее использование которых несет риски для отрасли пассажирских перевозок».
В сэмпле базы, опубликованном хакерской группировкой, за период с 7 по 10 сентября 2023 больше всего бронирований Аэрофлота, который, похоже, перешёл на отечественную систему (ещё в конце 2022). А вот бронирований S7 там нет («S7 вообще разработала свою собственную [систему]»).
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений в Солсбери. Якобы на тот момент база была доступна на нескольких сайтах с торрентами и у продавцов данных. Если это так, то это уже вторая крупная утечка из такой чувствительной системы. Интересно, что каких-то публичных разборов не было.
В этой связи интересна статья CISO Сирена-Трэвел от 2020 года о сложностях с ИБ в гражданской авиации. Например, автор не очень жизнеутверждающе пишет: «Стандарты информационной безопасности в российской авиации фактически отсутствуют».
Но особенно поразителен следующий фрагмент:
«По этому закону [ФЗ-152] в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки данных, если иное не предусмотрено федеральными законами, а также уведомить об этом субъекта персональных данных. Примерно того же от процессоров требует европейский регламент GDPR. Возникает вопрос, что считать моментом достижения целей обработки, и если этот момент не определен, то не будет ли являться нарушением закона неограниченное во времени пользование персональной информацией?
Совершенно очевидно, что удалять данные пассажира через три дня после авиаперелета нет никакой возможности. Это связано как минимум с претензионной работой авиакомпаний, осуществление которой напрямую связано с персональными данными пассажиров».
В статье этот вопрос остаётся подвешенным. Не знаю, сколько реально нужно хранить персональные данные пассажиров — наверно, три дня действительно мало. Но, if you ask me, 16 лет уж точно хранить не стоит, а именно такой давности записи есть в новом сливе. И, учитывая, что это был не первый случай, как будто можно было бы не абстрактно об этом говорить. Конечно, ни о первой, ни о нынешней утечках пока ничего неизвестно, так что это всё мысли вслух и спекуляции, но всё-таки.
Во-вторых, не все российские авиакомпании пользовались системой Сирена-Трэвел. Согласно Forbes, по состоянию на 2021 год крупнейшие авиакомпании, такие как Аэрофлот и S7 использовали иностранные системы бронирования — американские Sabre (ту самую) и Navitaire и испанскую Amadeus. С 2018 года власти в рамках общего курса на цифровой и прочий суверенитет добивались локализации данных зарубежных систем бронирования либо перехода российских авиакомпаний на российские системы от Сирена-Трэвел или ТАИС. В качестве ещё одного варианта рассматривалась передача в зарубежные системы анонимизированных данных пассажиров.
Система Сирены-Трэвел называется Леонардо, это именно её активно продвигает сейчас Ростех. Мотивируя это соображениями безопасности: «Система призвана защитить персональные данные пассажиров и заменить иностранные сервисы бронирования, дальнейшее использование которых несет риски для отрасли пассажирских перевозок».
В сэмпле базы, опубликованном хакерской группировкой, за период с 7 по 10 сентября 2023 больше всего бронирований Аэрофлота, который, похоже, перешёл на отечественную систему (ещё в конце 2022). А вот бронирований S7 там нет («S7 вообще разработала свою собственную [систему]»).
Forwarded from SecurityLab.ru
Хостинг-провайдеры будут вынуждены раскрывать личность клиентов
⏰ С 1 декабря 2023 года хостинги обяжут идентифицировать своих клиентов.
⏰ Идентификация будет проходить через «Госуслуги», Единую биометрическую систему или по паспорту.
⏰ Поправки в законы «О связи» и «Об информации» ужесточают регулирование хостинг-провайдеров в России.
#Хостинг #Минцифры #НовыеПравила @SecLabNews
#Хостинг #Минцифры #НовыеПравила @SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Конец анонимности: Хостинги обяжут раскрывать личность своих клиентов
Можно ли сохранить анонимность после новых правил?
Кибервойна
Форум по международной информационной безопасности пройдёт 18-20 сентября в Москве Национальная ассоциация международной информационной безопасности (НАМИБ) в сентябре проведёт в Москве очередной форум по безопасности в ИКТ-среде. Мероприятие проходит уже…
Российский бизнес (снова) подключают к международной информационной безопасности
На прошедшем форуме «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», организованном Национальной ассоциацией международной информационной безопасности, была представлена новая организация, которая должна заняться развитием связей между ИБ-компаниями и государством в контексте международной политики.
Организация называется КОМИБ, а полностью АНО “Центр Координации государственно-частного партнерства в области международной информационной безопасности”. Директором КОМИБ стал вице-президент НАМИБ Дмитрий Григорьев, ранее директор департамент защиты информации и IT-инфраструктуры Норникеля — что неслучайно (см. ниже).
В пост-релизе форума подчёркнуто, что за последние полтора года российские компании получили уникальный опыт защиты страны от кибератак и теперь готовы предложить свои решения и знания дружественным государствам. А помочь в этом должен как раз КОМИБ:
«В условиях развернутой коллективным западом тотальной гибридной войны против России и её партнеров российский ИКТ-бизнес приобрел уникальный опыт обеспечения безопасности телекоммуникационных и информационных систем. Участвовавшие в Форуме представители российских ИКТ-компаний послали четкий сигнал дружественным государствам о готовности предложить свои технологические решения в сфере информационной безопасности, поделиться накопленным опытом реагирования на компьютерные атаки, осуществить программы обучения. На Форуме была представлена автономная некоммерческая организация «Центр координации государственно-частного партнерства в области международной информационной безопасности» (АНО КОМИБ), созданная НАМИБ в качестве инструмента и операционного механизма для решения этих задач. В ходе Форума руководители ведущих российских компаний в сфере информационной безопасности поддержали этот шаг, отметив его своевременность».
Это уже не первая попытка вовлечь бизнес в российскую кибердипломатию. В 2010 году в Гармиш-Партенкирхене по российской инициативе был учреждён Международный исследовательский консорциум информационной безопасности, куда вошли исследовательские центры и частные компании из России, США, Европы и других стран.
Так, к МИКИБ присоединился Норникель. В 2017 компания на очередном форуме в Гармише выступила с инициативой разработки международной хартии об информационной безопасности критических объектов промышленности — это был период, когда аналогичные предложения выдвигали западные частные компании вроде Microsoft, Siemens и в целом набирала популярность идея, что бизнесу нужен свой киберкодекс. В 2018 году проект хартии был поддержан участниками форума и затем продвигался на международных площадках, в том числе в ОБСЕ. Однако дальше дело не пошло, и в какой-то момент активная работа над развитием хартии как будто бы прекратилась.
В 2018 году Россия инициировала в ООН создание Рабочей группы открытого состава (РГОС) для обсуждения киберугроз и впервые создала возможность для участия в обсуждениях не только государств, но и негосударственных игроков, включая бизнес. Парадоксальным образом в первом созыве РГОС из российских организаций не участвовал не только Норникель, но и вообще никто (за исключением Лаборатории Касперского, которая позиционировала себя как международную компанию). После 2021 года в новом созыве РГОС, а также при Спецкомитете по разработке конвенции о киберпреступности время от времени участвуют российские компании, но без особой активности.
Так что создание КОМИБ — это дальнейшее развитие идеи вовлечения бизнеса в международную повестку. Пока за редким исключением особого интереса к мировой политике у российских компаний не наблюдалось.
На прошедшем форуме «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», организованном Национальной ассоциацией международной информационной безопасности, была представлена новая организация, которая должна заняться развитием связей между ИБ-компаниями и государством в контексте международной политики.
Организация называется КОМИБ, а полностью АНО “Центр Координации государственно-частного партнерства в области международной информационной безопасности”. Директором КОМИБ стал вице-президент НАМИБ Дмитрий Григорьев, ранее директор департамент защиты информации и IT-инфраструктуры Норникеля — что неслучайно (см. ниже).
В пост-релизе форума подчёркнуто, что за последние полтора года российские компании получили уникальный опыт защиты страны от кибератак и теперь готовы предложить свои решения и знания дружественным государствам. А помочь в этом должен как раз КОМИБ:
«В условиях развернутой коллективным западом тотальной гибридной войны против России и её партнеров российский ИКТ-бизнес приобрел уникальный опыт обеспечения безопасности телекоммуникационных и информационных систем. Участвовавшие в Форуме представители российских ИКТ-компаний послали четкий сигнал дружественным государствам о готовности предложить свои технологические решения в сфере информационной безопасности, поделиться накопленным опытом реагирования на компьютерные атаки, осуществить программы обучения. На Форуме была представлена автономная некоммерческая организация «Центр координации государственно-частного партнерства в области международной информационной безопасности» (АНО КОМИБ), созданная НАМИБ в качестве инструмента и операционного механизма для решения этих задач. В ходе Форума руководители ведущих российских компаний в сфере информационной безопасности поддержали этот шаг, отметив его своевременность».
Это уже не первая попытка вовлечь бизнес в российскую кибердипломатию. В 2010 году в Гармиш-Партенкирхене по российской инициативе был учреждён Международный исследовательский консорциум информационной безопасности, куда вошли исследовательские центры и частные компании из России, США, Европы и других стран.
Так, к МИКИБ присоединился Норникель. В 2017 компания на очередном форуме в Гармише выступила с инициативой разработки международной хартии об информационной безопасности критических объектов промышленности — это был период, когда аналогичные предложения выдвигали западные частные компании вроде Microsoft, Siemens и в целом набирала популярность идея, что бизнесу нужен свой киберкодекс. В 2018 году проект хартии был поддержан участниками форума и затем продвигался на международных площадках, в том числе в ОБСЕ. Однако дальше дело не пошло, и в какой-то момент активная работа над развитием хартии как будто бы прекратилась.
В 2018 году Россия инициировала в ООН создание Рабочей группы открытого состава (РГОС) для обсуждения киберугроз и впервые создала возможность для участия в обсуждениях не только государств, но и негосударственных игроков, включая бизнес. Парадоксальным образом в первом созыве РГОС из российских организаций не участвовал не только Норникель, но и вообще никто (за исключением Лаборатории Касперского, которая позиционировала себя как международную компанию). После 2021 года в новом созыве РГОС, а также при Спецкомитете по разработке конвенции о киберпреступности время от времени участвуют российские компании, но без особой активности.
Так что создание КОМИБ — это дальнейшее развитие идеи вовлечения бизнеса в международную повестку. Пока за редким исключением особого интереса к мировой политике у российских компаний не наблюдалось.
НАМИБ
Расширенный пост-релиз: XVII Международный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной…
«Международная безопасность в глобальной ИКТ-средев условиях формирования многополярного мира» 20 сентября 2023 года завершился XVII Международный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной…
Forwarded from Пост Лукацкого
Олег задается рядом вопросов касательно возможной утечки из "Сирена-Трэвел" ✈️ и мне есть что сказать по этому поводу.
🔤 Олег пишет, что 16 лет хранения (а именно об этом сроке говорится в утечке "Сирены-Трэвел") - это перебор. Тут, конечно, можно поспорить, так как помимо наших с вами желаний есть еще и требования по транспортной безопасности. И боюсь, что именно ради них все это и хранится так долго. Об этом говорят и поправки в Воздушный кодекс и закон "О транспортной безопасности", которые гласят, что срок хранения информации о пассажирах определяется Минтрансом по согласованию с ФСБ и МВД. И хотя этот закон вступает в силу только с 1-го марта 2024 года, не исключаю, что и раньше ради нацбезопасности данные о перемещениях накапливались достаточно длительное время.
🔤 Тот же Аэрофлот в своей политике конфиденциальности не указывает этот срок, ссылаясь на стандартную отписку про "в течение срока, необходимого для достижения соответствующей цели" или "когда закон устанавливает более продолжительный срок хранения". О том же говорит и их политика конфиденциальности в области ПДн. В политике обработки ПДн "Сирены-Трэвел", принятой в мае этого года, аналогичная конструкция.
🔤 ИКАО в своих рекомендациях в отношении записей регистрации пассажиров этот срок тоже не устанавливает, отсылая всех к локальному законодательству. Так что вроде запрета на долгое хранение нет.
🔤 Система менеджмента ИБ "Сирены-Трэвел" сертифицирована по требованиям ISO/IEC 27001:2013. Сертификат действует с января 2021 по январь 2024 года.
🔤 Информационная система персональных данных "Сирены-Трэвел" была в августе 2020-го аттестована по требованиям ФСТЭК. Аттестат закончил свое действие в августе этого года.
🔤 В феврале 2023-го "Сирена-Трэвел" была сертифицирована еще и по PCI DSS 3.2.1 (сертификат действует до февраля 2024-го).
Если факт утечки в системе бронирования авиаперевозок✈️ подтвердится (а семпл позволяет сделать такой вывод), то это будет очередной демонстрацией, что наличие сертификатов/аттестатов никак не гарантирует реальную кибербезопасность и не может служить никаким доказательством, что данные находятся в сохранности. Но и это еще не все.
Пассажиры✈️ ведь не заключают никаких соглашений с "Сиреной-Трэвел", они свои данные сдают авиакомпаниям, а то и всяким транспортным и туристическим агентствам, которые затем "сдают" их Сирене. И поэтому сразу возникает вопрос ❓ - кому предъявлять претензии, что персональные данные мои или моих детей утекли? Можно ли вообще их предъявлять, если никто официально не подтвердит факт утечки? А что-то пока про это все официальные лица молчат; что тоже понятно, "Сирену" продвигают солидные организации.
ЗЫ. Ну а пока ждем очередных журналистских расследований. Вспоминая то, что писал в свое время Bellingcat (признан иноагентом), опираясь на данные за меньший период времени, утечка об авиаперевозках за столько лет может всякое раскрыть.
Если факт утечки в системе бронирования авиаперевозок
Пассажиры
ЗЫ. Ну а пока ждем очередных журналистских расследований. Вспоминая то, что писал в свое время Bellingcat (признан иноагентом), опираясь на данные за меньший период времени, утечка об авиаперевозках за столько лет может всякое раскрыть.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Кибервойна
Изучил разные материалы, связанных с утечкой данных Сирена-Трэвел (как утверждается). Вот пара моментов на полях.
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений…
Во-первых, Bellingcat утверждали, что они получили базу данных о бронированиях авиабилетов за 2014-2016 годы в рамках расследования отравлений…
Кибервойна
Что делать госорганам с дефейснутыми сайтами?
Можно подвести итоги голосования по вопросу о реагировании государства на дефейс. Напоминаю контекст: в мае тысячи российских сайтов подверглись дефейсу со стороны IT-армии Украины, после чего были заблокированы уже российской стороной.
Чуть больше четверти (26%) опрошенных проголосовало за вариант «Уведомить и заблокировать», что, по сути, является нынешним подходом, если поменять местами порядок действий: сначала сайты блокировались, а затем владельцы уведомлялись через хостинги (а скоро хостинги будут обязаны деанонимизировать клиентов, и, получается, НКЦКИ сможет писать им уже напрямую).
Показательно, что почти половина опрошенных (суммарно 49%) проголосовала за меньшую роль госорганов: ничего не делать (11%), уведомить (18%) или помочь починить (20%). Увы, пока в качестве помощи вам пришлют только брошюру, да и то, если после блокировки вы обратитесь к НКЦКИ.
И четверть считает, что действовать нужно жёстче, причём особенно понравился участникам проголосовавшим вариант с конфискацией серверов.
Чуть больше четверти (26%) опрошенных проголосовало за вариант «Уведомить и заблокировать», что, по сути, является нынешним подходом, если поменять местами порядок действий: сначала сайты блокировались, а затем владельцы уведомлялись через хостинги (а скоро хостинги будут обязаны деанонимизировать клиентов, и, получается, НКЦКИ сможет писать им уже напрямую).
Показательно, что почти половина опрошенных (суммарно 49%) проголосовала за меньшую роль госорганов: ничего не делать (11%), уведомить (18%) или помочь починить (20%). Увы, пока в качестве помощи вам пришлют только брошюру, да и то, если после блокировки вы обратитесь к НКЦКИ.
И четверть считает, что действовать нужно жёстче, причём особенно понравился участникам проголосовавшим вариант с конфискацией серверов.
Forwarded from NewsMaker.md | Новости Молдовы, Украины и региона
Вечером 25 сентября появились сообщения о том, что хакеры атаковали сайты некоторых госучреждений в области энергетики и сайты некоторых СМИ. В Службе кибербезопасности Молдовы подтвердили кибератаку на сайты некоторых поставщиков услуг, но заверили, что это не атака на энергетическую инфраструктуру страны.
В частности, стало известно, что кибератакам подверглись сайты Moldelectrica, Premier Energy, FEE-Nord, НАРЭ и RED-Nord. Некоторые из сайтов возобновили работу. Кроме того, Ziarul de Gardă и Nokta сообщили об атаках хакеров и недоступности их сайтов. Ответственность за атаки взял телеграм-канал Народная СyberАрмия.
«В настоящее время технические специалисты предпринимают необходимые меры, чтобы снизить воздействие на системы. Первоначально доступ к сайтам из-за пределов страны будет приостановлен, чтобы не допустить их захвата», — заявили в Службе кибербезопасности.
В частности, стало известно, что кибератакам подверглись сайты Moldelectrica, Premier Energy, FEE-Nord, НАРЭ и RED-Nord. Некоторые из сайтов возобновили работу. Кроме того, Ziarul de Gardă и Nokta сообщили об атаках хакеров и недоступности их сайтов. Ответственность за атаки взял телеграм-канал Народная СyberАрмия.
«В настоящее время технические специалисты предпринимают необходимые меры, чтобы снизить воздействие на системы. Первоначально доступ к сайтам из-за пределов страны будет приостановлен, чтобы не допустить их захвата», — заявили в Службе кибербезопасности.
Forwarded from Минцифры России
Правительство поддержало инициативу Минцифры о компенсации пострадавшим от утечек персональных данных в рамках закона об оборотных штрафах.
Если компания, которая допустила утечку, обеспечит финансовое возмещение нанесённого пользователю вреда, это будет признаваться смягчающим обстоятельством. В этом случае к ней будут применяться пониженные оборотные штрафы.
Как это будет работать:
1. Компания должна сообщить пользователю об утечке, прислать ему смс/e-mail на номер/адрес, которые были указаны при регистрации. Если компания готова выплачивать компенсацию — это будет напрямую указано в тексте сообщения. Минцифры также разместит эту информацию на Госуслугах.
2. После этого у пользователя будет 15 рабочих дней, чтобы подать заявку на Госуслугах на возмещение причинённого ущерба.
3. Компания в течение 20 рабочих дней после получения заявок рассчитает объём денежной выплаты и направит через Госуслуги своё предложение всем обратившимся.
4. Пользователь сможет принять предложение или отказаться от него в течение 20 рабочих дней.
5. Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить её в течение 5 рабочих дней.
@mintsifry
Please open Telegram to view this post
VIEW IN TELEGRAM
Ну и процедура, честно говоря. А на первом этапе будет кто-то проверять, кому вообще уведомления разосланы?
Forwarded from КиберBEZправил
В ООН обсуждают применение ИИ в кибербезопасности
«Лаборатория Касперского» подняла в ООН вопрос регулирования применения искусственного интеллекта (ИИ) в области кибербезопасности. Системы на базе машинного обучения могут быстро устаревать, что создает риски, поясняют в компании, и предлагают разработать международные принципы использования ИИ, в том числе обеспечить постоянный человеческий контроль за нейросетями и обучать их на больших данных, сведя доступ к персональной информации до минимума.
Вопрос обсуждается в рамках Рабочей группы открытого состава (РГОС) по вопросам безопасности в сфере использования информационно-коммуникационных технологий при ООН.
«Лаборатория Касперского» подняла в ООН вопрос регулирования применения искусственного интеллекта (ИИ) в области кибербезопасности. Системы на базе машинного обучения могут быстро устаревать, что создает риски, поясняют в компании, и предлагают разработать международные принципы использования ИИ, в том числе обеспечить постоянный человеческий контроль за нейросетями и обучать их на больших данных, сведя доступ к персональной информации до минимума.
Вопрос обсуждается в рамках Рабочей группы открытого состава (РГОС) по вопросам безопасности в сфере использования информационно-коммуникационных технологий при ООН.
Коммерсантъ
Нейросети тянутся в ООН
«Лаборатория Касперского» предупредила о рисках использования ИИ в кибербезопасности
Гармонизация уведомлений о киберинцидентах в США
На прошлой неделе американское Министерство внутренней безопасности (DHS) представило Конгрессу доклад о гармонизации уведомлений федерального правительства о киберинцидентах. В 2022 году в США был принят закон об уведомлениях (reporting) о киберинцидентах для критической инфраструктуры (CIRCIA), в соответствии с которым был учреждён специальный совет под эгидой DHS, включающий 33 ведомства, для согласования требований различных госорганов по уведомлению о киберинцидентах. Доклад стал результатом этой работы и должен лечь в основу того, как организации будут отчитываться об инцидентах CISA.
В докладе проанализированы 52 (!) требования по уведомлению об инцидентах, действующих и предложенных, от разных ведомств, включая Минюст, FCC, FTC, Минздрав и пр. (в докладе табличка с 53 страницы). Везде разные условия, сроки, термины и т.д. Задача была посмотреть, нет ли дублирования требований, и понять, как можно их совместить, какие есть препятствия.
Рекомендации доклада:
1. принять везде, где это возможно, модельное определение киберинцидента, подлежащего уведомлению (определение на стр. 26-27);
2. принять модельные сроки и условия уведомления об инцидентах (в течение 72 часов в общем случае и в более короткий срок, если из-за инцидента нарушаются критические или жизненно важные функции);
3. отложить оповещение затронутых лиц, если это может быть сопряжено с риском для КИ, национальной безопасности или текущих расследований;
4. принять модельную форму уведомления об инцидентах;
5. оптимизировать процедуры приёма уведомлений и обмена информацией об инцидентах — возможно, с созданием единого портала;
6. предусмотреть возможность получения дополнительных уведомлений и обновлений, если появляется дополнительная информация;
7. принять общую терминологию, связанную с уведомлением о киберинцидентах;
8. усовершенствовать процессы взаимодействия с организациями после направления ими уведомлений.
На прошлой неделе американское Министерство внутренней безопасности (DHS) представило Конгрессу доклад о гармонизации уведомлений федерального правительства о киберинцидентах. В 2022 году в США был принят закон об уведомлениях (reporting) о киберинцидентах для критической инфраструктуры (CIRCIA), в соответствии с которым был учреждён специальный совет под эгидой DHS, включающий 33 ведомства, для согласования требований различных госорганов по уведомлению о киберинцидентах. Доклад стал результатом этой работы и должен лечь в основу того, как организации будут отчитываться об инцидентах CISA.
В докладе проанализированы 52 (!) требования по уведомлению об инцидентах, действующих и предложенных, от разных ведомств, включая Минюст, FCC, FTC, Минздрав и пр. (в докладе табличка с 53 страницы). Везде разные условия, сроки, термины и т.д. Задача была посмотреть, нет ли дублирования требований, и понять, как можно их совместить, какие есть препятствия.
Рекомендации доклада:
1. принять везде, где это возможно, модельное определение киберинцидента, подлежащего уведомлению (определение на стр. 26-27);
2. принять модельные сроки и условия уведомления об инцидентах (в течение 72 часов в общем случае и в более короткий срок, если из-за инцидента нарушаются критические или жизненно важные функции);
3. отложить оповещение затронутых лиц, если это может быть сопряжено с риском для КИ, национальной безопасности или текущих расследований;
4. принять модельную форму уведомления об инцидентах;
5. оптимизировать процедуры приёма уведомлений и обмена информацией об инцидентах — возможно, с созданием единого портала;
6. предусмотреть возможность получения дополнительных уведомлений и обновлений, если появляется дополнительная информация;
7. принять общую терминологию, связанную с уведомлением о киберинцидентах;
8. усовершенствовать процессы взаимодействия с организациями после направления ими уведомлений.
Forwarded from Positive Technologies
Впервые наши эксперты столкнулись с этим вредоносом в октябре 2022 года во время расследования инцидента на одном из российских промышленных предприятий.
🥷 Специфика бэкдора в том, что он отлично маскируется:
• имена его исполняемых файлов похожи на названия легитимного ПО, установленного на зараженных устройствах;
• ряд образцов имеет действительную цифровую подпись;
• разработчики вредоноса использовали утилиты-протекторы, чтобы усложнить его обнаружение и анализ.
Наши исследователи доказали, что в скомпрометированную систему MataDoor попал при помощи фишингового письма, куда был вложен файл формата DOCX. В нем содержался эксплойт для уязвимости CVE-2021-40444, особенность которого в том, что он активировался при включении режима редактирования документа.
Похожие письма с эксплойтами рассылались на российские предприятия ОПК в августе-сентябре 2022 года. Это позволяет предположить, что за всеми точечными атаками стоит одна и та же группировка. Мы назвали ее Dark River — по имени River, указанному в поле «Автор» некоторых фишинговых документов.
💬 «Главная особенность бэкдора MataDoor в том, что он имеет сложную архитектуру, — подчеркнул Максим Андреев, старший специалист отдела исследования угроз ИБ Positive Technologies. — Это хорошо проработанный вредонос, с индивидуальной разработкой в плане транспорта, скрытности и архитектуры. Он может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно».
🔐 Для защиты корпоративных систем от внедрения бэкдора MataDoor эксперты Positive Technologies рекомендуют принимать проактивные меры. Использовать песочницу PT Sandbox и систему поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD).
@Positive_Technologies
#PositiveЭксперты
Please open Telegram to view this post
VIEW IN TELEGRAM
Кибервойна
Скриншоты вложений, которые рассылались в фишинговых письмах для получения первоначального доступа в этой атаке новой группы Dark River на оборонно-промышленные предприятия.
«Часть из них по содержанию относилась к сфере деятельности атакованных предприятий, часть была составлена так, чтобы просто привлечь внимание адресата. При этом все письма побуждали пользователя активировать режим редактирования документа, что является необходимым условием для отработки эксплойта».
В первом случае хочется сменить цвет шрифта. А во втором сказать: «Вы что, прикалываетесь?»
Видимо, схема рабочая.
«Часть из них по содержанию относилась к сфере деятельности атакованных предприятий, часть была составлена так, чтобы просто привлечь внимание адресата. При этом все письма побуждали пользователя активировать режим редактирования документа, что является необходимым условием для отработки эксплойта».
В первом случае хочется сменить цвет шрифта. А во втором сказать: «Вы что, прикалываетесь?»
Видимо, схема рабочая.
Новый фронт кибервойны: группа Indian Cyber Force вчера на несколько часов сделала недоступным сайт канадских вооружённых сил. Это происходит на фоне кризиса в отношениях между Оттавой и Дели: премьер-министр Канады обвинил Индию в причастности к убийству сикхского активиста.
Ранее Канадский центр кибербезопасности призвал канадцев быть более бдительными, учитывая геополитическую напряжённость (конфликт с Индией). Как оказалось, не зря.
На Западе об индийских хактивистах, возможно, слышат не так часто, но за последние год-два Indian Cyber Force и другие проиндийские группировки были всё более заметны, проводя акции против сайтов в Южной и Юго-Восточной Азии.
Например, в 2022 году в киберконфликт оказались вовлечены группы, поддерживающие Индию с одной стороны и Малайзию, Индонезию и иные исламские страны с другой стороны. Поводом стала религия. В мае 2022 года официальный представитель Индийской народной партии оскорбительно высказалась о пророке Мухаммеде, это вызвало критику из многих исламских стран. Также реакция последовала в киберпространстве: группа DragonForce Malaysia объявила об атаках на индийские сайты, которые привели к отключениям и дефейсу. В атаках отметились также индонезийские (Hackitivists of Garuda), бангладешские (Mysterious Team Bangladesh) и другие группы. Проиндийские начали отвечать, и так по кругу вплоть до текущего времени. Например, весной проиндийская Kerala Cyber Xtractors заявила о выводе из строя сайта ЦБ Малайзии. А в этом месяце проиндонезийские группы атаковали Индию во время саммита «Группы двадцати».
Хотя в этом киберконфликте между Индией и исламским миром в основном всё ограничивается DDoS-атаками и дефейсом, хактивисты набираются опыта. Который, как показывает заявление Indian Cyber Force, может применяться и против западных целей.
Ранее Канадский центр кибербезопасности призвал канадцев быть более бдительными, учитывая геополитическую напряжённость (конфликт с Индией). Как оказалось, не зря.
На Западе об индийских хактивистах, возможно, слышат не так часто, но за последние год-два Indian Cyber Force и другие проиндийские группировки были всё более заметны, проводя акции против сайтов в Южной и Юго-Восточной Азии.
Например, в 2022 году в киберконфликт оказались вовлечены группы, поддерживающие Индию с одной стороны и Малайзию, Индонезию и иные исламские страны с другой стороны. Поводом стала религия. В мае 2022 года официальный представитель Индийской народной партии оскорбительно высказалась о пророке Мухаммеде, это вызвало критику из многих исламских стран. Также реакция последовала в киберпространстве: группа DragonForce Malaysia объявила об атаках на индийские сайты, которые привели к отключениям и дефейсу. В атаках отметились также индонезийские (Hackitivists of Garuda), бангладешские (Mysterious Team Bangladesh) и другие группы. Проиндийские начали отвечать, и так по кругу вплоть до текущего времени. Например, весной проиндийская Kerala Cyber Xtractors заявила о выводе из строя сайта ЦБ Малайзии. А в этом месяце проиндонезийские группы атаковали Индию во время саммита «Группы двадцати».
Хотя в этом киберконфликте между Индией и исламским миром в основном всё ограничивается DDoS-атаками и дефейсом, хактивисты набираются опыта. Который, как показывает заявление Indian Cyber Force, может применяться и против западных целей.