Росатом без Apple

Продолжается отказ российских ведомств и госкорпораций от техники Apple. Согласно источникам Коммерсанта, Росатом начал переводить сотрудников с iPhone'ов на устройства на Android.

На прошлой неделе стало известно, что от Apple призывают отказаться сотрудников подведомственных учреждений Минздрава.

Ранее сообщалось о запретах на Apple или таких планах на предприятиях Ростеха (Швабе, КамАЗ, Уралвагонзавод), в Минопромторге, Минпросвещения, Минобрнауки, Росмолодёжи, Минцифры, РЖД, ЦИК, Минфине, Минэнерго.

Отказ от iPhone'ов начался после заявления ФСБ от 1 июня об обнаружении разведывательной акции американских спецслужб через технику Apple. Но ещё за два месяца до этого избавиться от iPhone'ов попросили сотрудников Администрации президента.

Одновременно похожие ограничения на использование Apple в служебных целях расширяются в Китае. А во Франции временно прекратили продажу 12 модели iPhone'а из-за превышения регламентированного уровня электромагнитного излучения — компания уже пообещала выпустить обновление софта, чтобы соответствовать французским требованиям.

Уже не первый год звучат призывы передавать технологии развивающимся странам, чтобы освободить их от цифровой колониальной зависимости, но ни Китай, ни Россия по этому пути не идут. Интересно, почему?

❗️ Роскомнадзор разработал проект приказа о критериях запрета распространения в интернете материалов с информацией об обходе блокировок.

В ведомстве предлагают начать применение критериев с 1 марта 2024 года.

@kommersant

Штрафы держат планку

Попалась новость, что суд оштрафовал университет «Синергия» на 60 тыс. руб. за утечку данных пользователей (по ч. 1 ст. 13.11 КоАП РФ).

Из постановления суда можно узнать некоторые подробности. Известно, что речь идёт об утечке данных пользователей сайта synergy[.]ru, но неясно, какие именно данные стали доступны неограниченному кругу лиц и в каком объёме. «Синергия» сама уведомила Роскомнадзор об инциденте. Наконец, указана причина утечки, что в судебных решениях встречается далеко не всегда:

«Согласно Уведомлению о факте неправомерной или случайной передачи персональных данных Оператора причиной, повлекшей инцидент, является неправомерный доступ к компьютерной информации неустановленными лицами при помощи уязвимости CVE-2021-46433 РНР-компонента Fenom».

Но если информация о решении по «Синергии» попала в СМИ, то многие штрафы вообще в публичное поле не попадают. Вот некоторые организации, оштрафованные за допущение утечки персональных данных за последний месяц:

Ситилинк: на электронную почту сотрудника было направлено письмо, содержащее образец заявления и доверенности, в которых были персданные двух посторонних человек (фамилия, имя, отчество, номер телефона, адрес, дата рождения, паспортные данные, реквизиты банковского счета).

GeekBrains: очевидно, штраф за утечку 2022 года, с которой компания пыталась бороться путём жалоб на посты в профильных каналах. Тогда сообщалось, что утекли 105 тыс. строк, содержащие имя, email, телефон клиентов. Из решения суда выясняется, что причиной утечки стала «низкая осведомленность рядовых сотрудников в вопросах информационной безопасности». Отдельный привет работникам суда, оставившим в судебном решении электронные адреса 6 клиентов GeekBrains. (утечка?)

ТВОЁ: согласно уведомлению компании, утечка произошла в связи со взломом базы данных сайта tvoe[.]ru либо в результате sql-инъекций, либо в результате использования уязвимостей CMS Bitrix. В итоге были слиты более 2 млн записей с данными пользователей: ID пользователя, дата создания пользователя, логин, технический зашифрованный пароль, сведения о блокировке аккаунта, имя, фамилия, дата последней авторизации на сайте, номер телефона.

О3-Коутингс: в мае этого года в интернет утекла база с 2,5 млн строк с пользовательскими данными с сайта o3[.]com: запросы пользователей о качественных характеристиках продукции, имена, номера телефонов. Как это произошло, неизвестно, но оператор уведомил Роскомнадзор, обнаружив на сайте сообщение о хищении данных.

Фонд «Сколково»: штраф за майскую утечку 100 тыс. записей: ФИО, email, номер телефона.

Международная гимназия Сколково: видимо, поскольку это отдельное юрлицо, в отношении международной гимназии было заведено отдельное дело, хотя речь идёт о той же майской утечке, и в документе цитируется одно и то же уведомление, в котором предварительной причиной утечки названа «компьютерная атака, проведённая внешними злоумышленниками». В случае с международной гимназией Роскомнадзор обнаружил утечку базы данных с 273 записями: ФИО, ИНН, паспортные данные, свидетельство о рождении.

Уже только по этим примерам видно, насколько абсурдно сейчас выглядит система штрафов. Данные двух человек, двухсот, ста тысяч, двух миллионов? Сумма штрафа везде одна — 60 тысяч рублей (за исключением решения по GeekBrains, в котором сумма не указана).

В завершение пара забавных моментов:

Ситилинк в августе, за несколько дней до заседания по своему делу, вместе с другими членами Ассоциации компаний интернет-торговли обратился к Минфину и Минцифры с просьбой отложить вступление в силу закона об оборотных штрафах за утечки. Непонятно, что нужно откладывать, если законопроект в Госдуму так и не внесли и не факт, что в этом году внесут.

Сопротивление компаний большим оборотным штрафом, наверно, можно понять. Но некоторым не хочется платить и 60 тысяч. Так, ТВОЁ обжаловало решение суда — ещё на заседании представитель компании просила не назначать штраф, поскольку «утечка персональных данных произошла ввиду хакерской атаки». В Сколково до этого не додумались.

Международный уголовный суд подвергся кибератаке

МУС сообщил в Твиттере, что в конце прошлой недели он обнаружил «аномальную активность, затрагивающую его информационные системы». Ответственные службы суда отреагировали на инцидент, также помощь оказала принимающая страна — Нидерланды. Больше никаких подробностей пока нет.

Дополнение: согласно источнику голландского СМИ NOS, из МУС было похищено большое количество чувствительных документов, но суд не хочет это подтверждать.

По совпадению (или нет) прокурор МУС буквально несколько недель назад заявил о намерении расследовать военные киберпреступления.

У разработчика антивирусов Dr.Web приостановлена лицензия ФСТЭК для одного из ключевых продуктов за «несоответствие требованиям безопасности информации».

Участники рынка говорят, что подобная остановка действия сертификата — большая редкость, а в условиях постоянного роста кибератак и ухода зарубежных вендоров ситуация для пользователей антивируса может стать критичной.

Хэппи энд:

Действие сертификата соответствия № 3509 ФСТЭК России на Dr.Web Enterprise Security Suite возобновлено: https://news.drweb.ru/show/?i=14752&lng=ru

Уязвимость BDU:2014-00226 устранена: https://bdu.fstec.ru/vul/2014-00226

Прежде чем аплодировать защитникам Рунета, давайте разберёмся, о чём же идёт речь, потому что в пресс-релизе максимально неконкретно об этом сказано.

О каких шести тысячах сайтах идёт речь? Какая такая CMS? Когда была массовая атака?

Подсказку можно найти в сообщении ТАСС:

«"Совместно с Национальным координационным центром по компьютерным инцидентам с 26 мая 2023 года выявили около 6 000 российских сайтов, подвергшихся взлому. Доступ к ним ограничили, чтобы предотвратить распространение компьютерных атак", - рассказали в центре.

Как пояснили в ЦМУ ССОП, зафиксированная атака шла на устаревшие версии систем управления сайтами. С зараженных ресурсов злоумышленники совершали DDoS-атаки на инфраструктуру объектов государственного, транспортного, банковского, энергетического и других секторов. Кроме того, злоумышленники использовали взломанные сайты для незаконного получения персональных данных пользователей ресурсов.

К устранению проблемы центр подключил 117 организаций, предоставляющих услуги хостинга, на чьих IP-адресах были размещены взломанные домены. Каждой организации было направлено оперативное указание с рекомендациями по устранению уязвимостей и последствий взлома.

"Со стороны хостингов реакция на получение оперативного указания от ЦМУ ССОП с рекомендациями в целом положительная. Большинство организаций приняли информацию о взломе в работу и оповестили своих клиентов об угрозе. В настоящий момент более половины ресурсов устранили уязвимость и разблокированы, доступ к остальным ресурсам временно заблокирован, до устранения последствий взлома и уязвимости. Взломанные ресурсы не несут угрозы для остального Рунета", - заключили в центре».

Таким образом, речь идёт о майской атаке, о которой я уже писал подробно. Напомню, что произошло: 26 мая IT-армия Украины объявила о массовом дефейсе российских сайтов. Вскоре выяснилась, что атака была проведена на сайты на устаревшей версии CMS Битрикс, которая содержала обнаруженную в марте 2022 года уязвимость. Компания выпустила обновление вскоре после этого, но как-то особо об этом не распространялась — в июне 2022 года сообщалось, что всего 10% клиентов регулярно обновляют свои сайты. В итоге к маю 2023 тысячи сайтов были уязвимы, чем и воспользовались злоумышленники. После атаки CyberOK подготовил рекомендации по реагированию на такие атаки, а после реакции сообщества ИБ и публикаций в СМИ «1С-Битрикс» выпустил первый за несколько лет пресс-релиз, посвящённый безопасности, намекнув, что виноваты во всём владельцы сайтов.

Со стороны государства реакция была следующей: поскольку сайты подверглись дефейсу и на них был размещено послание IT-армии Украины, это было классифицировано как размещение противоправного контента. В итоге НКЦКИ и ЦМУ ССОП обнаружили около шести тысяч таких российских сайтов и заблокировали их, а через хостинги направили рекомендации.

На мой взгляд, немного странно в сентябре бравурно отчитываться о таком подвиге — всё-таки суть истории в том, что такая массовая атака вообще произошла спустя больше года после обнаружения уязвимости. Весьма удобно выставлять крайними владельцев сайтов.

Также интересно было бы посмотреть не только на количество заблокированных сайтов, но и на то, сколько из них в итоге было разблокировано по этой схеме с уведомлением через хостинги (более половины), сколько времени это заняло.

И, конечно, основной вопрос: были ли из всей ситуации вынесены какие-то уроки? Или стоит ждать очередных отчётов о блокировках российских сайтов?

Вопрос не праздный — буквально неделю назад в базу ФСТЭК была добавлена свежая уязвимость в модуле Битрикса. В курсе ли владельцы сайтов, что им надо обновиться?