Искусственный интеллект (ИИ) уже не просто перспективная технология, а неотъемлемая часть многих сфер деятельности, включая ИБ. ИИ активно используется в IDS-системах и антивирусном ПО, а также при мониторинге, помогая оптимизировать работу и повысить ее эффективность. Однако ИИ также и несет в себе множество рисков и опасностей.

Преимущества:
▫️Автоматизация большого спектра задач, таких как анализ логов, обнаружение вредоносных файлов и мониторинг активности пользователей.
▫️ИИ способен агрегировать и анализировать информацию из множества источников (логи, базы данных, открытые источники), значительно облегчая и ускоряя поиск необходимых данных, например, для расследования инцидентов и прогнозирования угроз.
▫️Повышенная точность работы, благодаря анализу больших объемов данных, позволяет обнаруживать сложные атаки и выявлять аномалии, которые могут быть незаметны для традиционных систем.
▫️Способность выявлять новые типы вредоносного ПО и атак, которые еще не известны и не имеют сигнатур. ИИ также может предсказывать потенциальные угрозы на основе анализа данных и поведения пользователей, позволяя предотвращать атаки до их реализации.
▫️Постоянная адаптация систем на базе ИИ к новым угрозам и изменениям в IT-инфраструктуре.

Недостатки:
▫️Зависимость эффективности работы ИИ от качества и актуальности данных, используемых для обучения;
▫️Уязвимость ИИ к специфическим атакам, таким как отравление данных для обучения (data poisoning), атаки на модель (model inversion) и атаки на выводы модели (adversarial attacks);
▫️Отсутствие «прозрачности» в работе и слабая прослеживаемость причинно-следственных связей при принятии решений ИИ могут затруднить поиск, обнаружение и анализ ошибок, а также уменьшить степень доверия к результатам работы ИИ;
▫️Ложные срабатывания и ошибки в работе, причинами для которых могут быть некорректные данные для обучения, плохая настройка и изменения в поведении системы.
▫️Высокая стоимость разработки, внедрения и обслуживания ИИ-систем по сравнению с обычными средствами защиты.

Учитывая плюсы и минусы, ИИ используется в средствах защиты информации как дополнительный инструмент, не заменяющий классические решения. Кроме того, применение ИИ в ИБ поднимает ещё и ряд этических вопросов:
🔸Дискриминация – как мы уже упомянули ранее, качество работы ИИ напрямую зависит от того, какие данные использовались для его обучения. Если эти данные содержат предвзятости или отражают статистические закономерности, которые могут быть восприняты как дискриминационные, то ИИ может воспроизводить такие же предвзятые решения в отношении различных категорий людей, стран и других объектов.
🔸Ответственность – проблема ответственности за действия ИИ заключается в том, что зачастую сложно определить, кто должен нести ответственность за ошибки или негативные последствия, вызванные решениями искусственного интеллекта.
В случае с традиционными технологиями ответственность обычно лежит на разработчиках, пользователях или операторах системы. Однако с ИИ ситуация осложняется тем, что он может принимать автономные решения, основанные на сложных алгоритмах машинного обучения, которые трудно предсказать заранее. Это создает неопределенность относительно того, кто именно должен отвечать за возможные ошибки или ущерб: разработчики, владельцы ИИ-системы, пользователи или сам ИИ.

#ИБ
#ПолезноЗнать

11 февраля мы провели Kept SPb Privacy Day

В этот вторник в питерский офис Kept в гости пришло более 40 специалистов по персональным данным, информационной безопасности и комплаенс. Это было наше первое очное мероприятие в Санкт-Петербурге после пандемии.

Мы получили много положительных отзывов от коллег и обязательно продолжим проводить очные мероприятие в Санкт-Петербурге.

Основные тезисы с нашего мероприятия:

🔸«Не нужно бояться искусственного интеллекта, нужно повышать свою экспертность, обучаясь и посещая такие мероприятия, как это».
🔸«DPO должен уметь сказать «нет» и сделать так, как нужно» vs «Иногда все, что мы можем - зафиксировать «нет» от DPO, а бизнес сам примет решение»
🔸«В новых требованиях нет деталей порядка по обезличиванию персональных данных. До 1 сентября нас ждет ряд новых подзаконных актов по данной теме»
🔸«30 мая 2025 г. вступят в силу правки в КоАП по ужесточению ответственности в сфере персональных данных, в связи с чем компаниям стоит пересмотреть карту рисков в данном направлении»

▫️Мы планируем провести наш флагманский двухдневный тренинг «Персональные данные: интенсив» в Санкт-Петербурге.
Регистрация по ссылке.

#Privacy

Вопрос:

Что может быть отнесено к «избыточной» обработке персональных данных?

Ответ:

Основополагающим нормативно-правовым документом в области обработки и обеспечения безопасности персональных данных в России (152-ФЗ) устанавливаются несколько принципов обработки персональных данных (ПДн). Один из принципов заключается в том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных законных целей (ч. 2 ст. 5 152-ФЗ). При этом ПДн не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 5 152-ФЗ).
За обработку «избыточных» ПДн компания может быть привлечена к ответственности по ч. 1 ст. 13.11 КоАП РФ.

Примерами «избыточной» обработки ПДн могут являться:

▫️Сбор ненужных ПДн
🔸Компания собирает данные о месте работы или семейном положении при оформлении заказа в интернет-магазине.
🔸Компания собирает данные о семейном положении или историю болезни у кандидатов при подаче резюме.

▫️ Хранение ПДн после достижения цели обработки
🔸Компания продолжает хранить ПДн клиента после удаления аккаунта на сайте / приложении.
🔸Компания хранит копии всех документов бывшего работника, содержащие ПДн, «на случай, если он захочет вернуться».

▫️Нецелевое использование ПДн
🔸Использование системы видеонаблюдения для привлечения работника к ответственности за длительное отсутствие на рабочем месте при заявленной цели – обеспечение безопасности.
🔸Компания собирает данные о номере телефона у клиента в целях оформления доставки, но также использует его в целях рекламы других услуг.

▫️Мониторинг поведения / геолокации
🔸Компания использует файлы cookie для маркетинговых, аналитических или статистических целей без информирования и получения согласия пользователя.
🔸Приложение для отслеживания погоды требует постоянный сбор местонахождения устройства, несмотря на то что пользователь вручную указал город.

▫️Обогащение ПДн из открытых источников
🔸Компания использует ПДн, содержащихся в социальных сетях субъекта, для рекламы услуг, без его согласия.

▫️Дублирование ПДн
🔸Компания использует информацию о хобби или интересах субъекта из открытых источников для принятия решения о возможности оказания услуг.
🔸Компания использует информационные системы, которые содержат идентичные ПДн об одном субъекте.
🔸Компания собирает одни и те же данные у пользователя несколько раз (при регистрации на сайте и оформлении заказа).

#Privacy
#KeptОтвечает

CISO & DPO news #61 (10-16 февраля 2025 года)

▫️Обнаружен новый бэкдор FINALDRAFT
Исследователи Elastic Security Labs выявили использование бэкдора FINALDRAFT в кибератаках на внешнеполитическое ведомство Южной Америки и телекоммуникационную компанию в Юго-Восточной Азии. Злоумышленники загружали файлы с сервера с помощью утилиты certutil и использовали троян PATHLOADER для активации бэкдора через утилиту «mspaint.exe».

▫️Microsoft выпустила февральское обновление безопасности, устранив 55 уязвимостей
В феврале Microsoft выпустила обновление безопасности, включающее патчи для 63 уязвимостей, из которых четыре являются уязвимостями нулевого дня.

▫️Google Chrome тестирует функцию автоматической смены скомпрометированных паролей с помощью ИИ
Google тестирует в Chrome Canary функцию на основе ИИ, которая автоматически меняет пароли, обнаруженные в утечках данных. Новая опция, доступная в разделе «Экспериментальные ИИ-функции», добавляет обновленные пароли в менеджер паролей.
Для работы функции нужно активировать службу Automated Password Change, которая отслеживает скомпрометированные пароли.

▫️ФСТЭК России обнаружила более тысячи уязвимостей в 100 ГИС
ФСТЭК России выявила около 1200 уязвимостей в государственных информационных системах (ГИС), большинство из которых имеют критический или высокий уровень опасности.
Также ФСТЭК России сообщает что 47% субъектов КИИ находятся в критическом состоянии с точки зрения кибербезопасности, 40% — на низком уровне защищенности, и лишь 13% соответствуют минимально приемлемым требованиям безопасности.

▫️ФСТЭК России сообщил о разработке проекта нормативного акта, направленного на совершенствование требований защиты информации в ГИС
Документ распространяется на ГИС, иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений. Вступление в силу новых требований запланировано на 1 марта 2026 г.

▫️Правительство РФ подготовило поправки в законодательство для борьбы с кибермошенничеством
Поправки предусматривают, в том числе:
🔸Создание госинфосистемы для выявления мошенников.
🔸Обвязывание банков, операторов связи и маркетплейсов предоставлять пользователям возможность авторизовываться через биометрию.
🔸 Введение обязательной маркировки телефонных звонков.

▫️Обсуждается возможность доступа представителей силовых органов к коммерческим базам данных, содержащим ПДн
Ассоциация больших данных выразила обеспокоенность по поводу предложенных поправок к законодательству, подразумевающих предоставление правоохранительным органам доступа к коммерческим базам ПДн. В частности, предлагается разрешить ведомствам удаленно вносить и удалять записи, связанных с работниками правоохранительных органов, в базах данных компаний.

▫️Telegram оштрафован за публикацию ПДн
Мировым судом Таганского района Москвы оштрафован мессенджер Telegram на 240 тыс. руб. за публикацию ПДн россиян. Судья признала компаниюTelegram Messenger Inc. виновной в совершении административного правонарушения за незаконную публикацию ПДн.

IoT (Internet of Things, Интернет вещей) – это инфраструктура для «умной» среды, где через интернет или локальную сеть (LAN) устройства могут обмениваться информацией, в режиме реального времени реагировать на изменения окружающей среды и автономно выполнять задачи. IoT-сети позволяют управлять широким спектром объектов, от бытовой техники до промышленных систем и городской инфраструктуры.
 
Отдельные задачи, которые решает IoT:

1️⃣Сбор данных с помощью физических IoT-устройств (датчиков, систем контроля доступа, трекеров местоположения, RFID-меток).
2️⃣Передача данных через беспроводные каналы передачи данных (Wi-Fi, Bluetooth, Zigbee, NB-IoT) или проводные сети (Ethernet, RS-485).
3️⃣Принятие решений на основе обработанных данных (включение вентиляции при превышении температуры).
4️⃣Удаленное управление IoT-устройством через интерфейс, где пользователь, при необходимости, может отправить команду на устройство.
 
Количество IoT-устройств по всему миру стремительно растет, однако вместе с удобством и автоматизацией увеличиваются и риски безопасности, причинами которых могут быть:

1️⃣Небольшие вычислительные ресурсы таких устройств ограничивают использование современных методов шифрования и защиты.
2️⃣Отсутствие регулярных обновлений и предустановленные пароли от производителя IoT-устройств, которые осознанно остаются неизменными. В результате чего злоумышленники могут получить доступ к устройству.
3️⃣Физическая доступность – некоторые IoT-устройства не имеют защиты от аппаратного вмешательства, что позволяет злоумышленнику получить полный доступ к контроллеру.
4️⃣Передача данных по незащищенным протоколам и подключение к публичным Wi-Fi-сетям может привести к перехвату и модификации трафика.
5️⃣Отсутствие международных стандартов совместимости может создать сложности при подключении и взаимодействии IoT-устройств разных производителей в единой системе, а также вызвать проблемы с функциональностью, обменом данными и обновлениями. Причиной может являться использование устройствами разных протоколов, которые могут быть нестандартными, устаревшими или несовместимыми с централизованными системами безопасности.
 
Все это делает IoT-устройства легкой мишенью для атак, которые могут привести к взлому инфраструктуры и использованию устройств в целях злоумышленника, как в случае с ботнетом Mirai, который заражал устройства, используя логины и пароли, установленные по умолчанию.

#ИБ

Публикуем одиннадцатый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на март 2025 года.

Подборка мероприятий в файле под этим постом ⬇️

#Непропустимыесобытия

Согласно ст. 3 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», архивный документ – это материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации.
 
При этом более детальное описание того как следует организовать архивное хранение отражено в Приказе Росархива № 77 от 31.07.2023 г. и Приказе Росархива № 236 от 20.12.2019.
 
Так, при организации архивного хранения в компании следует:

▫️Разработать внутренние регламенты, определяющие порядок обработки и хранения документов, включая положение о защите данных.
▫️Установить четкие сроки хранения документов в соответствии с законодательством.
▫️Обеспечить физическую безопасность бумажных носителей, используя сейфы или помещения с ограниченным доступом.
▫️Для электронных документов рекомендуется осуществляться хранение в формате, который гарантирует их долговременную воспроизводимость и защиту данных от потерь.
▫️Проводить регулярную пересмотр архивных документов с целью выявления документов с истекшими сроками хранения.
▫️Уничтожать документы по истечении срока хранения в соответствии с установленной процедурой, что также должно быть задокументировано.
 
Согласно п. 2 ч. 2 ст. 1 152-ФЗ на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ не распространяется действие 152-ФЗ. 
 
Соответственно если компания переедет организацию процесса архивного хранения подрядчику, при этом передаваемые для архивного хранения документы содержат персональные данные, то компании необходимо заключить поручение на обработку ПДн с подрядчиком. Если компания передает на хранение уже сформированный ею самостоятельно архив, то 152-ФЗ не будет распространяться и поручение заключать не требуется.
 
Поскольку сегодня многие компании перешли на электронный документооборот, релевантно рассмотреть вопрос о переводе документов в архивный статус с использованием системы кадрового электронного документооборота (КЭДО).

Так, компаниям, которые используют систему КЭДО следует:

▫️Подготовить документы, упорядочив их и убедившись, что они соответствуют требованиям законодательства.
▫️Отсканировать документы, чтобы получить файлы в формате PDF.
▫️Сформировать электронный архивный документ, который должен включать основной файл, файлы приложений, файлы электронной подписи, метаданные о документе.
▫️Загрузить электронные документы в систему КЭДО, где они будут автоматически зарегистрированы для архивного хранения.
▫️Установить срок хранения.
▫️Обеспечить регулярное резервное копирование и доступ к архиву для будущего использования.

#Privacy
#ПолезноЗнать

Вопрос:

Для чего нужна SOAR-система?

Ответ:

SOAR (Security Orchestration, Automation and Response) — это класс программных решений, предназначенных для координации, управления и автоматизации работы систем безопасности. SOAR-системы способны агрегировать и обрабатывать информацию из множества источников, таких как:
▫️SIEM-системы;
▫️Антивирусное ПО;
▫️DLP-системы;
▫️Инструменты анализа угроз (Threat Intelligence);
▫️Межсетевые экраны.

Использование SOAR-системы также оптимизирует работу команды безопасности, позволяя меньшему количеству специалистов эффективно справляться с большим объемом задач.

Основные функции SOAR-системы:
▫️собирает и анализирует данные из различных источников;
▫️автоматизирует выполнение повторяющихся задач с помощью плейбуков – заранее разработанных сценариев реагирования на инциденты, которые определяют последовательность необходимых действий;
▫️интегрирует и координирует работу различных инструментов безопасности, организуя единый процесс реагирования на инциденты, что позволяет сократить время реагирования и минимизировать потенциальный ущерб;
▫️предоставляет централизованную картину всех событий безопасности, упрощая анализ и выявление скрытых угроз;
▫️формирует отчеты различного наполнения и детализации, а также предоставляет широкие возможности для визуализации данных (например, создание дашбордов, на которых в реальном времени будет отображаться информация об инцидентах, их статусе расследования и принятых мерах).

SOAR — это не просто набор инструментов, а стратегический подход к управлению кибербезопасностью, позволяющий организациям эффективно противостоять современным угрозам и защищать свои активы.

#ИБ
#KeptОтвечает

CISO & DPO news #62 (17-23 февраля 2025 года)

▫️AMD устранила шесть уязвимостей в процессорах EPYC и Ryzen

Уязвимости предоставляли следующие возможности:
🔸открывали доступ к выполнению произвольного кода;
🔸позволяли администратору с доступом к хост-окружению прочитать незашифрованное содержимое памяти;
🔸давали возможность обходить средства защиты целостности памяти виртуальных машин;
🔸позволяли привилегированному атакующему нарушить целостность памяти гостевой системы.
 
▫️Опубликован отчет по анализу киберугроз в России и СНГ

Компанией F6 был подготовлен отчет, в котором исследователи отметили рост количества APT-группировок, количества DDoS-атак, а также о том, что персональные данные остаются главной целью вымогателей.
 
▫️Подведены итоги по кибераткам на банки за 2024 г.

Эксперты Solar JSOC зафиксировали в 2024 г. рост атак на финансовый сектор России. Основные угрозы — внутреннее сканирование сети, эксплуатация уязвимостей и заражение вредоносным ПО.
 
▫️Более четверти вирусов в госучреждениях занимаются добычей криптовалют

Количество вирусов-майнеров, которыми заражены госорганы и государственные организации, увеличилось за четвертый квартал 2024 г. на 9%. На их долю приходится более четверти всех вирусов. Эксперты связывают рост заражений госучреждений майнерами с недостатком финансирования информационной безопасности и нехваткой профильных специалистов на местах.
 
▫️Обсуждается возможность исключения уголовной ответственности для специалистов в области ИБ

Между Минцифры, представителями Совета Федерации и компаниями, оказывающими услуги в области информационной безопасности, идет обсуждение по поводу выведения соответствующих специалистов из зоны ответственности по ст. 272.1 УК РФ.
 
▫️Использование технологии дипфейка предлагается приравнять к отягчающему обстоятельству

Глава Минцифры на форуме «Кибербезопасность в финансах» заявил, что использование дипфейков может стать отягчающим обстоятельством при совершении преступлений
 
▫️Представлены проекты постановлений Правительства РФ о ГИС, для обработки обезличенных ПДн

Для общественного обсуждения представлены проекты двух постановлений Правительства РФ о ГИС, предназначенной для обработки персональных данных, полученных в результате обезличивания ПДн:
🔸Первое постановление  предлагает определить федеральную ГИС «Единая информационная платформа национальной системы управления данными» в качестве системы, предназначенной для обработки ПДн, полученных в результате обезличивания персональных данных (ч. 2, 7 ст. 13.1 152-ФЗ).
🔸Второе постановление  определяет требования к правилам проверки пользователей ГИС (ч. 7 ст. 13.1 152-ФЗ)
 
▫️Представлена оценка роста рынка ИБ

По результатам 2024 г. рынок защиты информации в России вырос на 20%, при этом предполагается, что в 2025 г. рынок вырастет еще на 23%. Частично рост спроса на решения для защиты информации обусловлен ужесточением требований законодательства (ст. 13.11 КоАП).

Название CAPTCHA – это аббревиатура, которая расшифровывается как «Completely Automated Public Turing test to tell Computers and Humans Apart». Идея названия связана с тем, что CAPTCHA представляет собой автоматизированную версию теста Тьюринга – метода, предложенного британским математиком Аланом Тьюрингом для определения, может ли машина демонстрировать интеллектуальное поведение, неотличимое от человеческого. В случае CAPTCHA задача упрощена: система должна определить, является ли пользователь человеком, а не оценивать его интеллект. Название подчеркивает основную цель технологии – отличать людей от ботов, сохраняя при этом автоматизированный и публичный характер теста.

CAPTCHA эволюционировала с момента своего появления, и сегодня существует множество её разновидностей:
▫️Текстовая. Классический вид CAPTCHA, в которой пользователю предлагается ввести буквы, цифры и символы, изображенные на искаженной картинке;
▫️Графическая. Пользователю предлагается выполнить задачу, связанную с изображениями. Например, найти все светофоры или нажать в правильной последовательности на символы, изображенные на картинке;
▫️Математическая. Пользователю предлагается решить простую математическую задачу, например, сложить 2 числа;
▫️Поведенческая. Этот вид CAPTCHA анализирует поведение пользователя на сайте – скорость движения мышки, клики, прокрутку страницы и т.д. Если поведение кажется подозрительным, система может запросить дополнительную проверку;
▫️Игровая. Пользователю предлагается выполнить просто игровое действие, например, повернуть объект или собрать пазл;
▫️Аудио. Альтернатива для людей с нарушением зрения. Пользователь прослушивает аудиозапись с искаженной речью или цифрами и вводит услышанное.

Таким образом, CAPTCHA помогает защищать сайты от спама, автоматической регистрации, DDoS-атак и других злонамеренных действий ботов.

#ИБ