Популярные пароли, например «iloveyou» или «1234567890», присутствуют в специальных словарях – сборниках популярных паролей. Их используют для атак перебором по словарю, поэтому аккаунты с такими паролями взламываются в первую очередь.

Наиболее устойчивый пароль должен состоять из букв в обоих регистрах, цифр и спецсимволов. Кроме того, пароль должен исключать какую-либо информацию о пользователе. Злоумышленники могут сгенерировать новые словари с паролями, используя личную информацию пользователя – имя, дата рождения, номер телефона. Значительная часть сведений находится в свободном доступе в сети, а потому делает пароль на основе такой информации уязвимым.

Кроме независимого содержимого пароль должен обладать надлежащей длиной. Обычно это 8 символов и более. Менее длинный пароль подвержен перебору всех возможных значений (брутфорс) посимвольно в достаточно короткий срок (до нескольких дней). Но мощности для перебора всё время растут, поэтому и пароли надо использовать большей длины.

Поэтому надёжнее использовать не просто пароли, а целые кодовые фразы, которые основаны на сочетании нескольких существующих слов. Хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке.

Пользователю сложно запоминать бессмысленные пароли, поэтому со временем он начинает их повторять и хранить на стикерах. Пользователю гораздо проще заполнить кодовую фразу, чем набор бессмысленных символов.

Но использование даже самого сложного пароля не спасёт вас от утечки базы данных стороннего ресурса, поэтому обязательно используйте разные пароли на всех чувствительных ресурсах и включайте двухфакторную аутентификацию.

#ИБ

Продолжается набор на четвертый поток курса «Персональные данные: интенсив», который пройдет 3-4 июня.

За 2 дня вы сможете пройти экспресс-погружение в сферу правового регулирования и обеспечения безопасности персональных данных в России.

Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.

Тренинг будет полезен юристам, HR-менеджерам, экспертам по информационной безопасности, бизнес-аналитикам, проектным и продуктовым менеджерам, маркетологам.

Подробная программа и регистрация по ссылке.

#Privacy

Cтрахование киберрисков все чаще обсуждается среди регуляторов как один из возможных инструментов снижения потенциального ущерба от инцидентов ИБ путем покрытия расходов на восстановление систем, юридические издержки, компенсации третьим лицам, а также штрафы от регуляторов.

Такой инструмент имеет свой порог вхождения – для приобретения полиса компании необходимо доказать свою способность защищаться, включая наличие зрелой системы управления ИБ и наличие определенных мер и средств защиты.

Страховые компании могут «на входе» проводить аудиты информационной безопасности своих потенциальных клиентов для определения страховой премии. Делается это обычно с помощью профессионалов – пула доверенных консультантов, специализирующихся на вопросах ИБ.

В случае инцидента страховая помогает клиентам не только финансово, но и предоставляя экспертную поддержку в устранении последствий атаки и восстановлении работы с привлечением тех же консультантов из доверенного пула.

#ПолезноЗнать
#КиберСтрахование

Вопрос:
Как защититься от фишинговой атаки?

Ответ:
Мы рекомендуем придерживаться следующих правил, чтобы противодействовать фишинговым атакам:

· Проверять адреса эл. почты отправителя, адреса сайтов или номера телефонов
Перед тем как предоставить какую-либо информацию или выполнить какие-либо действия, убедитесь, что вы имеете дело с официальным источником. Проверьте, является ли корректным адрес эл. почты, от которого ожидается письмо, подлинные ли адрес сайта и номер телефона.

· Не поддаваться эмоциям
Фишеры часто используют срочность и ограниченность времени, чтобы заставить вас действовать необдуманно. Если сообщение вызывает желание срочно выполнить действия, то стоит остановиться и подумать – нужно ли действовать.

· Проводить дополнительную верификацию по другому каналу связи
Если вы получили подозрительное сообщение, следует проверить информацию через дублирующий канал связи (например, позвонить по телефону).

· Проявлять осторожность по отношению к ссылкам и вложениям
Не переходите по ссылкам, полученным от неизвестных источников, и не открывайте вложения, если вы не уверены в их содержании.

· Не передавать учётные данные и одноразовые пароли
Никогда и никому не сообщайте свои учётные данные и пароли.

· Обращаться в службу ИБ в случае сомнений
Если вы подозреваете, что столкнулись с фишингом, обратитесь в службу информационной безопасности вашей компании.

#KeptОтвечает
#ИБ

Согласно п.5 ч.1 ст.6 152-ФЗ обработка персональных данных (ПДн) допускается в случае, если она необходима для исполнения или для заключения договора по инициативе субъекта ПДн и если субъект является:

• стороной договора (ст.420 ГК РФ)
• выгодоприобретателем (ст.ст.430, 842, 930, 1012 ГК РФ)
• поручителем (ст.361 ГК РФ)

В соответствии с позицией Роскомнадзора данное правовое основание ограничено только гражданско-правовыми договорами. Однако суды толкуют норму расширительно, включая также трудовой договор.

При обработке ПДн на основании договора следует иметь ввиду следующие правила:

• должна быть обеспечена связь цели обработки ПДн с предметом договора
• обработка ПДн должна быть необходима для исполнения обязательств сторон договора
• обработка ПДн должна быть прекращена одновременно с расторжением договора
• договор не может содержать положения, ограничивающие права субъекта ПДн или устанавливающие не предусмотренную законом обработку ПДн несовершеннолетних
• договор не может содержать положения, не допускающие в качестве условия заключения договора бездействие субъекта ПДн

#Privacy

Ранее мы рассказывали про основные методы социальной инженерии. Сегодня поделимся реальными случаями применения мошенниками психологических манипуляций.

Например, человеку присылают сообщение о том, что его аккаунт на Госуслугах якобы взломан и указывают номера телефонов, с которых поступит звонок от «службы поддержки» для восстановления доступа. При личном разговоре с человеком злоумышленник получает код для двухфакторной аутентификации и дальнейшего доступа к аккаунту.

В 2023 г. в Telegram стала популярна схема FakeBoss. Мошенники создают фейк-аккаунты топ-менеджеров компаний и пишут рядовым сотрудникам с целью выполнения определённых действий. Так, сотрудник бухгалтерии может получить сообщение от "начальника" с просьбой о переводе денежных средств на указанный счет в срочном порядке.

В январе 2024 г. были выявлены случаи использования аудиодипфейков в схеме FakeBoss. Злоумышленник, применяя технологии искусственного интеллекта, не ограничивается простой отправкой текста от чужого имени, а звонит или записывает аудиосообщение с голосом руководителя.

Чтобы иметь возможность защититься от подобных манипуляций рекомендуем:

· проявлять бдительность, перепроверять информацию и не поддаваться эмоциям, о чем мы говорили ранее;
· следить за трендами и за новыми методами атак, включая методы социальной инженерии, чтобы не быть застигнутым врасплох.
 
#ИБ
#ПолезноЗнать

Опубликовано 2 мая 2024 г.:

Методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ»
· для кого: государственные органы, органы местного самоуправления, юридические лица и субъекты КИИ;
· что делать: провести оценку текущего состояния защиты информации, в том числе персональных данных и состояния безопасности значимых объектов КИИ.
В настоящее время документ носит рекомендательный характер.
 
Опубликовано 15 мая 2024 г.:

Информационное письмо Банка России от 15.05.2024 № ИН-08-12/31
· для кого: кредитные организации;
· что делать: усилить контроль за деятельностью привлекаемых банковских платежных агентов.
 
Вступило в силу 28 мая 2024 г.:

Указание Банка России от 05.02.2024 № 6679-У
· для кого: кредитные организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с Указанием и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
 
Указание Банка России от 05.02.2024 № 6680-У
· для кого: некредитные финансовые организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с документом и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
 
Вступит в силу 1 июня 2024 г.:

Приказ ФСТЭК России от 01.12.2023 № 240
· для кого: разработчики средств защиты информации;
· что делать: реализовать требования к этапам проведения сертификации процессов безопасной разработки ПО средств защиты информации, составляющей гостайну.
 
#ДеЮре
#ИБ

Вопрос: Требуется ли включать в перечень информационных систем персональных данных (ИСПДн) информационные системы (ИС) которые используются компанией, но которые ей не принадлежат?

Ответ: Нет, не требуется.

В соответствии с ч. 10) ст. 3 152-ФЗ, ИСПДн – это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Согласно разъяснениям Роскомнадзора, в ч. 2 ст. 13 149-ФЗ определены условия, при которых лицо может быть собственником ИС – использование технических средств для обработки данных, содержащихся в базах данных, на законном основании. Также собственник ИС может заключить договор об эксплуатации ИС, при таких обстоятельствах оператором ИС (п. 12 ст. 2 149-ФЗ) будет являться сторона, с которой этот собственник заключил договор об эксплуатации информационной системы.

Так, Роскомнадзор делает вывод о том, что у одной информационной системы может быть только один оператор.

При этом мы рекомендуем отражать обработку ПДн в сторонних ИСПДн в реестре процессов обработки ПДн (ранее мы писали про его содержание).

#Privacy
#KeptОтвечает