Kompra | Всё о безопасности
782 subscribers
964 photos
166 videos
25 files
1.25K links
Канал о новостях в сфере корпоративной безопасности. Разбираем кейсы мошенничества, коррупции и рисков работы с ненадежными компаниями.

Аналитика от команды Kompra.kz.

Задать вопрос о сервисе: hello@kompra.kz.
Download Telegram
Какие данные утекают в сеть

В 2020 году почти ¾ записей с персональными данными утекло в результате умышленных действий. Такой статистикой поделился экспертно-аналитический центр InfoWatch.

В результате во всем мире за год оказались скомпрометированы 11,06 млрд записей персональных данных и платежной информации, включая, ФИО, e-mail, номера телефонов, пароли, сведения о месте жительства, номера социального страхования, реквизиты банковских карт и данные о банковских счетах.

При этом большинство инцидентов скрывают, так как при переходе на «удаленку» не все компании успели адаптировать системы информационной безопасности к новым реалиям.

Почему на черном рынке растет ценность персональных данных для оформление кредитов и пособий, маркетинга, фишинга и шантажа, можно узнать в исследовании.

#персональные_данные #информационная_безопасность #утечка_данных
Шпионское ПО для перехвата данных

На этой неделе стало известно о новом виде коммерческого кибероружия, которое использовали десятки стран для слежки. Так смартфоны примерно 50 тыс. человек, среди которых активисты, журналисты, представители бизнеса и политики, могли пострадать от шпионского ПО производства NSO Group.

Расследование выпускают 17 редакций по всему миру. И по их данным, ПО использовали и в Казахстане. Среди потенциальных целей не только журналисты и активисты, но и действующие президент и премьер-министр Казахстана.

Стоит знать, что Pegasus может заразить телефон без необходимости нажимать на ссылку, читать сообщение или отвечать на звонок. После установки оно может извлекать данные, разговоры, контакты и журналы вызовов с телефона. И даже может включать микрофоны и камеры для бесшумной записи звука и видео в реальном времени.

На сегодня известно, что около 2000 казахстанских номеров стали целями этой программы. Но появление в списке еще не означает, что номер телефона пользователя был окончательно взломан. Это говорит о том, что данный человек представляет интерес для клиента компании NSO Group.

#информационная_безопасность #расследование
​​Тренды кибербезопасности

Представители «Сбера», Apple, IBM, Microsoft, Интерпола и других международных организаций собрались на онлайн-мероприятии, посвященном кибербезопасности в мире. Рассказываем, какие проблемы и тренды интересны нам там обсуждали.

Главный эксперт «Лаборатории Касперского» представил «пирамиду киберпреступности». Нижний уровень — самые примитивные атаки. Главная особенность — фишинговые сайты на тему COVID-19: помощь в получении компенсаций, поддельные сертификаты о вакцинации и QR-коды. На втором месте — мошенничества с доставкой товаров и услуг. Также участились звонки мошенников, которые представляются СБ банка.

Средний уровень — атаки программ-вымогателей, каждая четвертая из которых пришлась на корпоративных пользователей.

Вместо защищенных корпоративных сервисов сотрудники перешли на чаты в мессенджерах, а требования ИБ при работе с личных устройств просто игнорируются. Когда атака происходит, сотрудникам СБ приходится несколько дней отслеживать каждое личное устройство, тогда как при работе в офисе на поиск уязвимости уходили минуты.

#информационная_безопасность #сб #тренды
Крупный слив базы номеров из-за Clubhouse

Полная база телефонных номеров Clubhouse выставлена на продажу в даркнете. Это 3,8 млрд контактов не только участников соцсети, но и пользователей синхронизированных списков их контактов.

Значит, с большой вероятностью, ваши данные есть в этом списке. Если база попадет в открытый доступ, то это откроет еще больше возможностей телефонным мошенникам, которые объединяют несколько разных баз для составления полного досье на человека.

Также это еще один факт нарушения принципов европейского регламента по защите данных - незаконный сбор сведений о людях.

#утечка_данных #информационная_безопасность #новости
Кейс: как МегаФон защищает корпоративные данные от мошенников

Российская компания МегаФон предложила новое решение для бизнеса — обучающую платформу, которая помогает защитить корпоративные данные от мошенников. Она информирует сотрудников об актуальных угрозах и тренирует их навыки.

Такое решение помогает компаниям избежать возможных потерь. Внутри платформы есть курсы о правилах безопасности, которые необходимо соблюдать, чтобы защитить информацию, об отличительных чертах фишинговых сайтов, психологических приемах и технологиях, которые используют мошенники, чтобы получать конфиденциальную информацию.

Также с помощью нее можно инициировать искусственные фишинговые атаки, чтобы проанализировать готовность к внешним угрозам. Это даст возможность оценить возможный ущерб бизнесу при реальной кибератаке.

#новости #информационная_безопасность #кейс
Руководители больше волнуются о прибыли, чем о кибербезопасности

Только 40% директоров ставят во главе поддержку управления и состояния кибербезопасности компании. Специалисты Snow Software выявили такую закономерность, опросив более 400 IT-руководителей организаций.

Этот показатель говорит о том, что предприятия уделяют куда большее внимание конкуренции, нежели защите компьютерных систем.

При этом для большинства директоров гибридный формат работы в пандемию понес убытки. И часть из них связана именно с информационной безопасностью и утечками. Рекомендуем обратиться к выводам исследования.

#новости #иб #информационная_безопасность
Оптимизация кадрового состава

В сети обсуждают пермскую компанию Xsolla, которая уволила 150 сотрудников на основе Big Data-анализа их активности в рабочих сервисах.

Гендиректор Xsolla объяснил, что темпы роста компании упали ниже 40% — поэтому они решили уволить сотрудников, которые «отсиживались». Такие меры являются частью процесса реструктуризации и оптимизация кадрового состава.

Анализ активности сотрудников проходил через внутренние инструменты. Под проверку попали только данные, которые располагаются на общем сервере. Это не нарушает приватности ни одного из сотрудников. По факту «утечки» информации из писем-уведомлений уже началось внутреннее расследование.

#новости #иб #информационная_безопасность #DLP
Мифы о корпоративной кибербезопасности

На выходных зафиксировали новую утечку персональных данных казахстанцев – сканы документов попали в открытый доступ из-за взлома систем Oriflame хакерами. 700 тыс. документов опубликованы в даркнете и могут стать еще одним инструментом для мошенников.

Компании призывают проверить свои системы и внутренние корпоративные данные. Но зачастую стремление обезопасить себя со всех сторон приводит к противоположному результату. Эксперты поделились 5 мифами о корпоративной кибербезопасности, на которые стоит обратить внимание:

Миф 1: Моя компания никогда не сталкивалась с кибератаками, а значит, наша система безопасности отлично работает.

Миф 2: Киберпреступники нацелены только на крупные компании, а малый и средний бизнес их не интересует.

Миф 3: Наши сотрудники слишком заняты, чтобы отвлекать их от важных дел и рассказывать о рисках. За безопасность должны отвечать профессионалы или ИБ-департамент.

Миф 4: На каждом устройстве в нашей компании установлен антивирус — этого вполне достаточно.

Миф 5: Большинство наших сотрудников на удаленке и используют личные устройства по принципу BYOD — это безопаснее.

Полный анализ и разбор каждого из мифов можно прочитать здесь.

#новости #иб #информационная_безопасность #мошенничество
Подход «нулевого доверия» для бизнеса

Microsoft опубликовала результаты своего отчета в области кибербезопасности за 2021 год. Они рассмотрели отношение организаций к подходу Zero Trust («нулевого доверия»). В итоге 96% респондентов подтвердили, что он является критически важным для успеха их бизнеса.

Что подразумевает собой эта модель? Любая информация может быть скомпрометирована, и предполагает тщательную проверку безопасности учетных записей, конечных точек, сети и других ресурсов на основе всех доступных сигналов и данных.

Подход опирается на ситуативное применение политик в режиме реального времени, а также дает минимальный привилегированный доступ к информации.

Подробнее о применении этого метода читайте в исследовании.

#новости #иб #информационная_безопасность #мошенничество
Может ли компания следить за действиями сотрудников?

В последнее время активно обсуждается вопрос ПО для мониторинга за действиями сотрудника на работе. Но не все компании тщательно изучают закон, чтобы правильно его внедрить и использовать. Ведь основная цель такого инструмента – повысить эффективность и вовлеченность.

В чем принцип действия?
На ПК устанавливается программа, которая собирает информацию о действиях пользователя. Затем на основе собранных данных руководитель может понять, как работают наемные сотрудники и чем они заняты в рабочее время. При этом каждая программа собирает разный объем и вид информации.

На чьей стороне закон?
Отслеживать цифровой след человека запрещено. Но работодатель вправе собирать такую информацию, при соблюдении определенных условий:

1. работник должен дать письменное согласие на обработку персональных данных.
2. содержание и объем обрабатываемых данных должны соответствовать заявленным целям.
3. если сотрудник работает через личный компьютер, то необходимо обеспечить сохранность сведений о частной жизни – при утечке это попадет под уголовное наказание.

#новости #иб #информационная_безопасность #DLP