Какой тип атак нацелен на получение доступа к конфиденциальной информации путем обмана?
Anonymous Quiz
94%
Фишинг
0%
DoS-атака
5%
DDos-атака
1%
SQL-инъекция
🤔2👌1
Проведение фишинговой атаки с точки зрения злоумышленника можно представить в виде пяти шагов:
Шаг 1. Проведение разведки
Перед осуществлением фишинговой атаки, злоумышленники определяют цели нападения. Далее они собирают сведения (рабочая эл. почта, информация о руководстве и т. п.), что позволяет повысить вероятность успеха атаки.
Шаг 2. Разработка инструментов для проведения атаки
Мошенники могут ставить себе разные задачи при проведении фишинга – чаще всего это кража учетных данных и внедрение вредоносного ПО. Для кражи учетных данных мошенники создают фишинговые ресурсы, похожие на легитимные сервисы - эл. почта, веб-сайт соцсети или мобильное приложение банка. Вредоносное ПО может быть замаскировано под текстовый рабочий документ, например, проект договора или счет на оплату.
Шаг 3. Подготовка фишингового сообщения
Мошенники должны обойти два этапа проверок – технические спам-фильтры и человеческое недоверие. Чтобы жертва «клюнула» на сообщение, необходимо составить убедительное письмо, например, схожее с официальным обращением от известной организации.
Для обхода технических фильтров существует ряд различных техник. Стандартные действия – специфичная настройка доменного имени и почтового сервера. Более сложные техники могут включать отправку писем через формы обратной связи Google.
Шаг 4. Рассылка
Наиболее распространенными каналами для рассылок являются эл. почта, SMS или соцсети. При этом, мошенники делают рассылки постепенно, каждой жертве отдельно. Фишинговые сообщения делают персональными, без шаблонных фраз, так мошенники учитывают личность жертвы.
Шаг 5. Сбор и использование украденной информации
В результате удачной атаки злоумышленники получают доступ к устройству или конфиденциальные данные жертвы. Далее, злоумышленники могут продать полученные результаты другим хакерским группировкам или же могут проводить более сложные атаки, которые приведут к еще большим финансовым и репутационным потерям для компании.
#ИБ
#Социнженерия
Шаг 1. Проведение разведки
Перед осуществлением фишинговой атаки, злоумышленники определяют цели нападения. Далее они собирают сведения (рабочая эл. почта, информация о руководстве и т. п.), что позволяет повысить вероятность успеха атаки.
Шаг 2. Разработка инструментов для проведения атаки
Мошенники могут ставить себе разные задачи при проведении фишинга – чаще всего это кража учетных данных и внедрение вредоносного ПО. Для кражи учетных данных мошенники создают фишинговые ресурсы, похожие на легитимные сервисы - эл. почта, веб-сайт соцсети или мобильное приложение банка. Вредоносное ПО может быть замаскировано под текстовый рабочий документ, например, проект договора или счет на оплату.
Шаг 3. Подготовка фишингового сообщения
Мошенники должны обойти два этапа проверок – технические спам-фильтры и человеческое недоверие. Чтобы жертва «клюнула» на сообщение, необходимо составить убедительное письмо, например, схожее с официальным обращением от известной организации.
Для обхода технических фильтров существует ряд различных техник. Стандартные действия – специфичная настройка доменного имени и почтового сервера. Более сложные техники могут включать отправку писем через формы обратной связи Google.
Шаг 4. Рассылка
Наиболее распространенными каналами для рассылок являются эл. почта, SMS или соцсети. При этом, мошенники делают рассылки постепенно, каждой жертве отдельно. Фишинговые сообщения делают персональными, без шаблонных фраз, так мошенники учитывают личность жертвы.
Шаг 5. Сбор и использование украденной информации
В результате удачной атаки злоумышленники получают доступ к устройству или конфиденциальные данные жертвы. Далее, злоумышленники могут продать полученные результаты другим хакерским группировкам или же могут проводить более сложные атаки, которые приведут к еще большим финансовым и репутационным потерям для компании.
#ИБ
#Социнженерия
👍10🔥2
Ранее мы выяснили, что cookies – это персональные данные (ПДн), значит для их обработки необходимо обеспечить правовое основание. Для этого можно использовать cookie-баннер, при этом, законодательством РФ не предъявляются требования к его формату и содержанию.
Тем не менее, при выборе функционала cookie-баннера важно помнить о принципах предметности и конкретности согласия (ч. 1 ст. 9 152-ФЗ):
• Если на сайте обрабатываются только строго необходимые cookies, требуемые для его бесперебойной работы, то необходимо оповестить пользователя сайта о такой обработке ПДн.
Исходя из позиции Роскомнадзора, согласие на обработку ПДн может быть получено путем уведомления пользователя через всплывающее окно (пример в карточке 1).
• Если сайт обрабатывает строго необходимые и, например, статистические cookies, то баннер должен предусматривать возможность выбора обрабатываемых cookie – принять опциональные или оставить только строго необходимые (пример в карточке 2).
• Если на сайте обрабатываются более двух видов cookies, то необходимо предоставить возможность пользователю сайта отдельно согласиться на обработку каждого вида cookies. Требование возникает в связи с разными целями обработки данных у разных видов cookies.
Сделать это можно с помощью управления видами cookies (пример в карточке 3).
Важно, чтобы предпочтения пользователя по видам обрабатываемых cookies учитывались и сохранялись, а не просто создавали видимость выбора.
#Privacy
#ПолезноЗнать
Тем не менее, при выборе функционала cookie-баннера важно помнить о принципах предметности и конкретности согласия (ч. 1 ст. 9 152-ФЗ):
• Если на сайте обрабатываются только строго необходимые cookies, требуемые для его бесперебойной работы, то необходимо оповестить пользователя сайта о такой обработке ПДн.
Исходя из позиции Роскомнадзора, согласие на обработку ПДн может быть получено путем уведомления пользователя через всплывающее окно (пример в карточке 1).
• Если сайт обрабатывает строго необходимые и, например, статистические cookies, то баннер должен предусматривать возможность выбора обрабатываемых cookie – принять опциональные или оставить только строго необходимые (пример в карточке 2).
• Если на сайте обрабатываются более двух видов cookies, то необходимо предоставить возможность пользователю сайта отдельно согласиться на обработку каждого вида cookies. Требование возникает в связи с разными целями обработки данных у разных видов cookies.
Сделать это можно с помощью управления видами cookies (пример в карточке 3).
Важно, чтобы предпочтения пользователя по видам обрабатываемых cookies учитывались и сохранялись, а не просто создавали видимость выбора.
#Privacy
#ПолезноЗнать
👍10❤1
Вступило в силу 03 июня 2024 г.:
Письмо Федерального казначейства от 17.05.2024 № 07-04-05/11-13417 об интеграции ИС УЦ с ГИС ЕБС
· для кого: заявители на выпуск сертификата ключа проверки электронной подписи (СКПЭП)
· что делать: подать запрос на выпуск СКПЭП через ГИС ЕБС
Опубликовано 05 июня 2024 г.:
Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 о порядке представления субъектами КИИ сведений о результатах категорирования
· для кого: субъекты КИИ
· что делать: при изменении сведений о результатах категорирования объекта КИИ следует учесть рекомендации об информировании ФСТЭК России.
Вступило в силу 13 июня 2024 г.:
Указ Президента РФ от 13.06.2024 № 500 о внесении изменений в Указ Президента РФ от 01.05.2022 № 250
· для кого: органы госвласти, госфонды, госкорпорации, стратегические и системообразующие предприятия, а также субъекты КИИ
· что делать: принять к сведению сведения о новых полномочиях ФСБ России в отношении центров ГосСОПКА, а также учесть запрет использования услуг по ИБ из недружественных стран с 01.01.2025
Вступило в силу 18 июня 2024 г.:
Приказ Минэкономразвития России от 23.04.2024 № 247 об отнесении информации к общедоступной информации, размещаемой госорганами и органами местного самоуправления на своих веб-сайтах
· для кого: государственные органы, органы местного самоуправления
· что делать: при публикации на веб-сайтах открытых данных руководствоваться методическими указаниями
Опубликовано 22 июня 2024 г.:
Федеральный закон от 22.06.2024 № 158-ФЗ о внесении изменений в 149-ФЗ и 236-ФЗ
· для кого: иностранные операторы поисковых систем в сети Интернет, осуществляющих деятельность на территории РФ и не распространяющих рекламу, направленную на потребителей, находящихся на территории РФ
· что делать: быть готовыми реализовать требования потребителей об удалении их персональных данных из общего доступа («право на забвение»)
#ДеЮре
#ИБ
Письмо Федерального казначейства от 17.05.2024 № 07-04-05/11-13417 об интеграции ИС УЦ с ГИС ЕБС
· для кого: заявители на выпуск сертификата ключа проверки электронной подписи (СКПЭП)
· что делать: подать запрос на выпуск СКПЭП через ГИС ЕБС
Опубликовано 05 июня 2024 г.:
Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 о порядке представления субъектами КИИ сведений о результатах категорирования
· для кого: субъекты КИИ
· что делать: при изменении сведений о результатах категорирования объекта КИИ следует учесть рекомендации об информировании ФСТЭК России.
Вступило в силу 13 июня 2024 г.:
Указ Президента РФ от 13.06.2024 № 500 о внесении изменений в Указ Президента РФ от 01.05.2022 № 250
· для кого: органы госвласти, госфонды, госкорпорации, стратегические и системообразующие предприятия, а также субъекты КИИ
· что делать: принять к сведению сведения о новых полномочиях ФСБ России в отношении центров ГосСОПКА, а также учесть запрет использования услуг по ИБ из недружественных стран с 01.01.2025
Вступило в силу 18 июня 2024 г.:
Приказ Минэкономразвития России от 23.04.2024 № 247 об отнесении информации к общедоступной информации, размещаемой госорганами и органами местного самоуправления на своих веб-сайтах
· для кого: государственные органы, органы местного самоуправления
· что делать: при публикации на веб-сайтах открытых данных руководствоваться методическими указаниями
Опубликовано 22 июня 2024 г.:
Федеральный закон от 22.06.2024 № 158-ФЗ о внесении изменений в 149-ФЗ и 236-ФЗ
· для кого: иностранные операторы поисковых систем в сети Интернет, осуществляющих деятельность на территории РФ и не распространяющих рекламу, направленную на потребителей, находящихся на территории РФ
· что делать: быть готовыми реализовать требования потребителей об удалении их персональных данных из общего доступа («право на забвение»)
#ДеЮре
#ИБ
👍9
Вопрос:
Распространяется ли 152-ФЗ при осуществлении парсинга?
Ответ:
Да, 152-ФЗ применяется при парсинге персональных данных (ПДн).
Несмотря на то, что действующим законодательством РФ не предусмотрено понятие «парсинг», суды определяют это понятие как:
· автоматизированный сбор информации с сайтов при помощи специальной программы;
· технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму, без взломов и нарушения авторского права.
В первую очередь важно понять, будут ли собираться ПДн с веб-сайтов. Если компания планирует проводить сбор данных в состав которых будут входить ПДн, то тогда необходимо учесть требования по предоставлению доказательств получения правового основания (например, согласия на обработку ПДн субъекта (п. 3 ст. 9 152-ФЗ)).
При отсутствия указанных доказательств, для компании возникает риск привлечения к ответственности (ч. 1 ст. 13.11 КоАП РФ)
В свою очередь владелец веб-сайта может предпринимать попытки ограничения сбора ПДн, например, включить запрет использования автоматизированных скриптов для сбора информации в пользовательское соглашение веб-сайта.
Кроме того, введённая норма о распространении ПДн (ст. 10.1 152-ФЗ), о которой мы рассказывали ранее, предоставляет субъектам ПДн правовую защиту от незаконного сбора ПДн.
Также стоит упомянуть известный спор о парсинге ПДн - дело ВКонтакте против Double Data и Национального бюро кредитных историй. В результате судебных процессов Double Data и ВКонтакте пришли к мировому соглашению об уничтожении пользовательских данных, собранных Double Data, и не допущению сбора таких данных в будущем.
В итоге можно сделать вывод о необходимости соблюдать требования 152-ФЗ и подзаконных актов в области обработки и защиты ПДн при проведении парсинга ПДн. Применение технологий парсинга ПДн может быть связано с правовыми рисками и должно быть всесторонне оценено перед их использованием.
#Privacy
Распространяется ли 152-ФЗ при осуществлении парсинга?
Ответ:
Да, 152-ФЗ применяется при парсинге персональных данных (ПДн).
Несмотря на то, что действующим законодательством РФ не предусмотрено понятие «парсинг», суды определяют это понятие как:
· автоматизированный сбор информации с сайтов при помощи специальной программы;
· технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму, без взломов и нарушения авторского права.
В первую очередь важно понять, будут ли собираться ПДн с веб-сайтов. Если компания планирует проводить сбор данных в состав которых будут входить ПДн, то тогда необходимо учесть требования по предоставлению доказательств получения правового основания (например, согласия на обработку ПДн субъекта (п. 3 ст. 9 152-ФЗ)).
При отсутствия указанных доказательств, для компании возникает риск привлечения к ответственности (ч. 1 ст. 13.11 КоАП РФ)
В свою очередь владелец веб-сайта может предпринимать попытки ограничения сбора ПДн, например, включить запрет использования автоматизированных скриптов для сбора информации в пользовательское соглашение веб-сайта.
Кроме того, введённая норма о распространении ПДн (ст. 10.1 152-ФЗ), о которой мы рассказывали ранее, предоставляет субъектам ПДн правовую защиту от незаконного сбора ПДн.
Также стоит упомянуть известный спор о парсинге ПДн - дело ВКонтакте против Double Data и Национального бюро кредитных историй. В результате судебных процессов Double Data и ВКонтакте пришли к мировому соглашению об уничтожении пользовательских данных, собранных Double Data, и не допущению сбора таких данных в будущем.
В итоге можно сделать вывод о необходимости соблюдать требования 152-ФЗ и подзаконных актов в области обработки и защиты ПДн при проведении парсинга ПДн. Применение технологий парсинга ПДн может быть связано с правовыми рисками и должно быть всесторонне оценено перед их использованием.
#Privacy
👍9🔥2
CISO & DPO news #30 (22-28 июня 2024 года)
1/8 Сообщается о росте фишинговых атак под видом техподдержки
2/8 Google представила архитектуру с использованием ИИ для поиска уязвимостей
3/8 Зафиксировано использование плагинов WordPress для проведения атак
4/8 Обнаружено новое вредоносное ПО для кражи данных в ОС Linux
5/8 Роскомнадзор предлагает издать инструкции и стандарты для операторов персданных
6/8 Роскомнадзор предлагает изменить основание обработки персданных на сайтах
7/8 Шведский банк оштрафован на €1,3 млн за недостаточные меры защиты персданных
8/8 Германия и Китай подписали декларацию об обмене данными
1/8 Сообщается о росте фишинговых атак под видом техподдержки
2/8 Google представила архитектуру с использованием ИИ для поиска уязвимостей
3/8 Зафиксировано использование плагинов WordPress для проведения атак
4/8 Обнаружено новое вредоносное ПО для кражи данных в ОС Linux
5/8 Роскомнадзор предлагает издать инструкции и стандарты для операторов персданных
6/8 Роскомнадзор предлагает изменить основание обработки персданных на сайтах
7/8 Шведский банк оштрафован на €1,3 млн за недостаточные меры защиты персданных
8/8 Германия и Китай подписали декларацию об обмене данными
👍7
Что из перечисленного является основным принципом модели безопасности Zero Trust?
Anonymous Quiz
3%
Полное доверие к пользователям, находящимся в офисе
7%
Автоматическое предоставление полного доступа всем аутентифицированным пользователям
73%
Предположение, что система уже скомпрометирована
17%
Запрет на передачу данных между пользователями
🔥3🤔2
Модель безопасности Zero Trust (нулевое доверие) основывается на принципе, что никакая часть информационной системы не должна доверять другой автоматически, независимо от того, находится ли она внутри периметра сети компании или вне его. Особенности модели:
• Отсутствие доверия - ни одному устройству или пользователю в сети компании нельзя доверять.
• Минимальные привилегии - доступ к ресурсам компании предоставляется на основе принципа минимальной необходимости.
• Многофакторная аутентификация - использование многофакторной аутентификации повышает уровень безопасности и снижает риск компрометации учетных данных.
• Микросегментация - сеть компании разбивается на мелкие сегменты для разграничения доступа и уменьшения потенциала для атак.
• Контроль и мониторинг - постоянный мониторинг и анализ всех действий пользователей и устройств для обнаружения подозрительной активности и аномалий.
Таким образом, модель Zero Trust предлагает комплексный подход к защите информационных систем, сетей и автоматизированных систем управления, фокусируясь на проверке и контроле всех действий.
#ИБ
• Отсутствие доверия - ни одному устройству или пользователю в сети компании нельзя доверять.
• Минимальные привилегии - доступ к ресурсам компании предоставляется на основе принципа минимальной необходимости.
• Многофакторная аутентификация - использование многофакторной аутентификации повышает уровень безопасности и снижает риск компрометации учетных данных.
• Микросегментация - сеть компании разбивается на мелкие сегменты для разграничения доступа и уменьшения потенциала для атак.
• Контроль и мониторинг - постоянный мониторинг и анализ всех действий пользователей и устройств для обнаружения подозрительной активности и аномалий.
Таким образом, модель Zero Trust предлагает комплексный подход к защите информационных систем, сетей и автоматизированных систем управления, фокусируясь на проверке и контроле всех действий.
#ИБ
👍13
В рамках Петербургского международного юридического форума (ПМЮФ) заместитель главы Роскомнадзора Милош Вагнер предложил (3:53) внести изменения в КоАП РФ в части внедрения механизмов добровольной денежной компенсации субъектам персональных данных (ПДн) в случае нарушения их прав операторами ПДн – так он видит реализацию «мягкого права» в области ПДн.
Термин «мягкое право» как определённый антипод «жёсткому праву» (hard law) в международном праве стал формироваться ещё в 70-х гг. XX в., и сегодня достаточно часто применяется в международных правоотношениях. Концепция включает в себя два основных вида норм права:
· декларативные, отсылочные и рекомендательные нормы, определенные в форме международно-правовых договоров, межгосударственных, межправительственных и ведомственных соглашений;
· нормы, содержащиеся в стандартах, кодексах, различных резолюциях международных органов и организаций.
В области ПДн концепция «мягкого права» может применяться, в частности, при обсуждении вопросов ответственности за утечки ПДн, использования правовых оснований обработки ПДн (законный интерес), сертификации и др.
Ознакомиться с мнениями других экспертов по данной теме вы сможете в статье Rspectr.
#Privacy
Термин «мягкое право» как определённый антипод «жёсткому праву» (hard law) в международном праве стал формироваться ещё в 70-х гг. XX в., и сегодня достаточно часто применяется в международных правоотношениях. Концепция включает в себя два основных вида норм права:
· декларативные, отсылочные и рекомендательные нормы, определенные в форме международно-правовых договоров, межгосударственных, межправительственных и ведомственных соглашений;
· нормы, содержащиеся в стандартах, кодексах, различных резолюциях международных органов и организаций.
В области ПДн концепция «мягкого права» может применяться, в частности, при обсуждении вопросов ответственности за утечки ПДн, использования правовых оснований обработки ПДн (законный интерес), сертификации и др.
Ознакомиться с мнениями других экспертов по данной теме вы сможете в статье Rspectr.
#Privacy
👍11❤1