Большинство утечек персональных данных из государственных информационных систем (ГИС) связано с неосмотрительностью самих граждан, которым принадлежат эти сведения: если в 2022 году на такие инциденты приходилось 43,6 % случаев, то в 2023-м — 38,6 %. Об этом, как сообщает газета «Ведомости», говорится в исследовании российской компании «СёрчИнформ».

В опросе приняли участие 1300 сотрудников госучреждений. К персональным данным аналитики относят ФИО и сведения из различных документов, удостоверяющих личность и статус человека, а также информацию из электронных аккаунтов, факты о состоянии здоровья и личные убеждения/предпочтения, используя которые можно установить личность.

Источник изображения: pixabay.com

Одной из основных причин утечек респонденты называют внешние атаки на ГИС, но доля таких случаев в общем объёме инцидентов сокращается. Если в 2022 году показатель равнялся 32,7 %, то в текущем году он снизился до 31 %. Вместе с тем, выросла доля тех, кто считает главной причиной утечек действия сотрудников госучреждений: значение достигло 30,04 % против 20 % в прошлом году.

Среди основных видов утечек (возможен выбор нескольких вариантов) опрошенные называют вирусные угрозы (56,3 %), методы социальной инженерии (25 %), внешние кибератаки (23,8 %), случайные утечки (18,8 %), уничтожение/порчу данных/кибервандализм (8,3 %), умышленное хищение данных инсайдерами (5,9 %) и хищение или порчу аппаратных носителей информации (5,3 %).

Количество утёкших персональных данных в 2023 году удвоилось по сравнению с 2022-м, а объём вырос как минимум в три раза — с 1 Тбайт в конце 2022-го до 3 Тбайт к октябрю 2023 года. Виновниками инсайдерских инцидентов более половины (50,7 %) респондентов считают сотрудников младшей группы специальностей. Ключевыми каналами утечек (возможен выбор нескольких вариантов) участники исследования называют интернет-ресурсы, такие как облачные хранилища, файлообменные сервисы и социальные сети (80,3 %), мессенджеры (55,2 %), электронную почту (50,4 %), съёмные носители (36,04 %) и бумажные документы (24,1 %). 

Каждая пятая компания, владеющая критической инфраструктурой (КИИ), не успеет перейти на российскоге ПО к 2025 году из-за отсутствия подходящего аналога зарубежным продуктам. Такие данные представлены в совместном исследовании «К2 кибербезопасности» (подразделение компании «К2Тех») и Anti-Malware.ru.

Авторы исследования в июне–августе 2023 года опросили 108 руководителей по ИТ и ИБ российских компаний с выручкой более 5 млрд руб. и госкорпораций в разных отраслях, а также представителей разработчиков аппаратного и программного обеспечения для кибербезопасности. Напомним, что согласно указу президента от 30 марта 2022 года, с 1 января 2025 года госкомпаниям запрещено использовать иностранное ПО и оборудование для обеспечения работы КИИ.

Источник: «К2Тех»

58 % опрошенных компаний уверены в том, что успеют уложиться в сроке и реализовать все требования закон, тогда как 21 % компаний полагают, что не успеют вовремя реализовать необходимые проекты. Основным препятствием последние называют сложности с заменой иностранных решений на отечественные, связанные как с высокой стоимостью, так и с нехваткой оборудования. При этом 2 % компаний сказали, что у них в принципе нет средства на реализацию требований 187-ФЗ, ещё 44 % были вынуждены кратно увеличить расходы на ИБ, причём у 14 % компаний бюджеты выросли сразу на порядок.

Источник: «К2Тех»

Как показало исследование, лишь 8 % российских компаний завершили переход с иностранного на российское ПО. Еще 14 % находятся на завершающей стадии, а 10 % не приступали к переходу. При этом 24 % респондентов не понимают, какие решения нужны для выполнения указа, а 31 % уверены, что отечественные решения неспособны справиться с предъявляемыми требованиями. Среди наиболее востребованного ПО опрошенные называли межсетевые экраны (54 % респондентов), антивирусную защиту (33 %), сетевое оборудование (29 %) и средства криптографической защиты (25 %).

Источник: «К2Тех»

Участники рынка отмечают, что проблемы с выполнением законодательства в области КИИ связаны с тем, что многие владельцы подобных объектов не занимаются присвоением категорий, что является нарушением требований законодательства. К КИИ относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда других компаний.

«Лаборатория Касперского» сообщила о получении экспертного заключения Национального координационного центра по компьютерным инцидентам, подтверждающего соответствие программного комплекса Kaspersky Unified Monitoring and Analysis Platform (KUMA) требованиям к средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), утверждённым приказом ФСБ России N196 от 6 мая 2019 года.

KUMA относится к классу решений SIEM (Security information and event management) и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий ИБ, выявлять инциденты информационной безопасности, оперативно реагировать на возникающие угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем.

Архитектура решения Kaspersky Unified Monitoring and Analysis Platform

По словам «Лаборатории Касперского», SIEM-решение KUMA стало первым среди отечественных технологий этого класса, подтвердившим соответствие требованиям к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

«Соответствие системы 196 приказу означает не только наличие интеграции с ГосСОПКА, но и выполнение других требований регулятора к функциям SIEM. Полученное экспертное заключение — независимое подтверждение всех заявленных возможностей продукта, на которое смогут опираться компании, которым ещё предстоит выбрать SIEM», — говорится в заявлении компании.

Компания «Базальт СПО», занимающаяся разработкой российских ОС на базе Linux, Некоммерческое партнёрство разработчиков программного обеспечения «Руссофт» и Палата Индо-Российского технологического сотрудничества (CIRTC) подписали меморандум о взаимопонимании в рамках инициативы Российско-Индийской группы по особым интересам (RISING).

Стороны намерены сотрудничать по нескольким направлениям. Одно из них — создание суверенной и безопасной индийской ОС на основе решений с открытым исходным кодом. В рамках данного проекта планируется поддержка независимого репозитория и технологий для обеспечения производства защищенных дистрибутивов.

Кроме того, участники инициативы изучат жизненный цикл безопасной разработки; оценят существующие и потенциальные угрозы и уязвимости; разработают план совместных инициатив Индии и России по построению всеобъемлющей и суверенной инфраструктуры безопасной разработки; выработают рекомендации по политикам обеспечения кибербезопасности.

Источник изображения: «Базальт СПО»

Отмечается, что индийские партнёры заинтересованы в инструментах и технологиях «Базальт СПО». Стороны намерены проводить исследования в области архитектуры кибербезопасности. Будет также выработан план совместных инициатив Индии и России по созданию суверенной инфраструктуры безопасной разработки.

«Объединив опыт и компетенции "Базальт СПО" в области технологий с одной стороны, и возможности индийских компаний по разработке программных продуктов с другой, мы сможем создавать инновационные решения не только для Индии и России, но и других стран», — отметил Сергей Трандин, генеральный директор «Базальт СПО».

Касающаяся большинства информационных интернет-систем уязвимость, получившая название HTTP/2 Rapid Reset (CVE-2023-44487), стала причиной беспрецедентной DDoS-атаки, самой масштабной во всей истории Сети. Как сообщает Dark Reading, фактически речь идёт о новой главе в эволюции DDoS-угроз. Эксперты ожидают экспоненциального роста уровня атак, масштаб которых будет удваиваться примерно каждые 18 месяцев.

Серии атак по несколько минут каждая регистрировались 28 и 29 августа, за ними наблюдали AWS, Cloudflare и Google Cloud. Речь шла о кибернападениях на облачных и инфраструктурных провайдеров. Известно, что лазейкой послужил баг в протоколе HTTP/2, использующемся приблизительно в 60 % веб-приложений. IT-гиганты, наблюдавшие за ситуацией, координировали действия с другими облачными провайдерами, сервисами по обеспечению интернет-инфраструктуры, а также компаниями, занимающимися защитой от киберугроз.

Источник изображения: Lewis Kang'ethe Ngugi/unsplash.com

Как заявили в Cloudflare, HTTP/2 является фундаментальным элементом работы интернета вообще и большинства сайтов в частности. Атака позволила генерировать сотни тысяч запросов за раз, после чего немедленно отменять их, перегружая сайты и выводя из строя всё, что использует протокол HTTP/2. На пике Cloudflare регистрировала более 201 млн запросов в секунду. Google в то же время регистрировала по 398 млн запросов в секунду, в 7,5 раз больше, чем во время любой другой атаки против её ресурсов. AWS — 155 млн запросов, направленных на сервис Amazon CloudFront.

При этом в ходе августовского инцидента применялся довольно скромный ботнет из приблизительно 20 тыс. узлов — оружие оказалось довольно эффективным с учётом того, что регулярно наблюдаются более масштабные сети, иногда включающие миллионы машин. Хотя эффект от атаки оказался не столь сокрушительным, как, вероятно, надеялись её организаторы, владельцам интернет-проектов стоит уделить соответствующим угрозам особое внимание, поскольку речь идёт о гонке на опережение — злоумышленники состязаются с разработчикам защиты.

Владельцам ресурсов и сервисов рекомендуется оценить уровень защищённости своих систем от DDoS-атак и немедленно устранить уязвимость, применив патчи к серверам и иным сервисам и приложениям. Наконец, в качестве последнего средства допускается отключение HTTP/2 и также уязвимого HTTP/3 — при этом стоит помнить, что даунгрейд до HTTP/1.1 неизбежно снизит производительность.

Предоставляющая облачные сервисы компания CloudMTS (входит в группу МТС) сообщила о получении заключения о соответствии требованиям российского стандарта безопасности финансовых операций ГОСТ Р 57580.1-2017.

Выполнение упомянутого стандарта является обязательным для работы банков и FinTech-организаций. Заключение о соответствии требованиям ГОСТа даёт CloudMTS возможность предоставлять финансовым организациям услуги виртуальной IT-инфраструктуры, в том числе аттестованной в соответствие со 152-ФЗ «О персональных данных», для размещения информационных систем, содержащих данные финансовых операций. ГОСТ был получен как на физическую инфраструктуру CloudMTS — два дата-центра в Москве и один в Санкт-Петербурге, так и на программное обеспечение и отдельные услуги провайдера для финансовых организаций.

Источник изображения: МТС

Помимо защиты информационных систем внутри своей инфраструктуры, CloudMTS также обеспечивает безопасность данных при их пересылке. Для этого в ЦОД, где развёрнуто облако, и в финансовой организации устанавливаются средства криптографической защиты информации (СКЗИ) — они шифруют данные при их передаче через сеть. СКЗИ в зависимости от требований банка могут быть в виде программно-аппаратного комплекса или в виде ПО.

Кроме соответствия ГОСТу Р 57580.1-2017, облако CloudMTS имеет защищённый сегмент, аттестованный по ФЗ-152, который позволяет размещать в нем государственные информационные системы и персональные данные. Также инфраструктура провайдера сертифицирована по международному стандарту безопасности PCI DSS, позволяющему хранить, обрабатывать и передавать данные банковских карт.

Минцифры РФ, по сообщению газеты «Коммерсантъ», подготовило обновлённый проект постановления, регулирующего процедуру проверки личности клиентов хостинг-провайдеров. Ведомство предлагает предусмотреть дополнительные способы идентификации пользователей, в том числе по банковским данным.

Изначально планировалось, что хостеры смогут идентифицировать клиентов четырьмя способами: посредством «Госуслуг», через Единую биометрическую систему, при помощи усиленной квалифицированной электронной подписи и через личное представление документов. Теперь могут добавиться ещё несколько вариантов.

Источник изображения: pixabay.com

В частности, Минцифры предлагает закрепить возможность идентификации клиентов с помощью номера мобильного телефона. Кроме того, станет возможна проверка личности посредством Системы быстрых платежей (СБП) и банковских карт. При таком способе компании на время оказания услуг придётся хранить данные о дате и месте совершения оплаты, сумме, на которую совершена транзакция, и идентификаторе платежа (уникальный идентификатор начисления).

Предполагается, что предлагаемые изменения упростят процесс идентификации клиентов хостеров в рамках обеспечения безопасности IT-инфраструктуры. Однако участники рынка отмечают, что данная процедура создаст дополнительную финансовую нагрузку на компании, что может привести к росту стоимости услуг. Кроме того, как отмечается, поправки не решают проблему идентификации иностранных пользователей, которые используют зарубежные счета и номера телефонов.

Компания «Интеллектуальная безопасность», работающая на ИБ-рынке под брендом Security Vision, пополнила портфолио защитных решений новым продуктом по реагированию на киберугрозы следующего поколения — Next Generation SOAR.

Security Vision Next Generation SOAR представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности (Security Operation Center, SOC). Программный комплекс аккумулирует данные об инцидентах ИБ из множества источников, обеспечивает координацию работы команды SOC и автоматизирует процедуры реагирования.

Источник изображения: securityvision.ru

Платформа умеет самостоятельно осуществлять триаж (первичное категорирование) поступающих оповещений, приоритизировать инциденты, выбирать подходящий сценарий реагирования и оперативно предпринимать контрмеры по локализации инцидента для недопущения его распространения и нанесения значимого ущерба организации. В продукте задействованы методы машинного обучения и статистического анализа свойств инцидентов для выявления аномалий и возможных незамеченных ранее киберинцидентов в IT-инфраструктуре, а также для прогнозирования дальнейших шагов атакующих и развития инцидента с целью выбора оптимальных мер противодействия.

Security Vision Next Generation SOAR также позволяет формировать и отправлять отчётности по киберинцидентам в НКЦКИ (через систему ГосСОПКА), ФинЦЕРТ (через интерфейс АСОИ), Роскомнадзор и в отраслевые CERT. Для автоматизации такого взаимодействия в систему встроены инструменты отправки уведомлений и обмена данными с указанными структурами, а также для создания внутренней отчётности и визуализации состояния киберзащищенности компании в целях обеспечения ситуационной осведомлённости ИБ-служб.

Разработчики ПО в России регулярно нарушают требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) в плане соблюдения сроков устранения уязвимостей в своих продуктах. Как сообщает газета «Коммерсантъ», связано это в том числе с резким ростом спроса на отечественный софт в сложившейся геополитической обстановке.

Весной 2022 года ФСТЭК отозвала сертификацию у более чем 50 иностранных разработчиков, включая IBM, Microsoft, Oracle и др. Причиной послужила остановка технической поддержки российских заказчиков. Вместе с тем в рамках программы импотозамещения начали стремительно увеличиваться продажи отечественного ПО.

В соответствии с требованиями регламента включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК разработчик в случае поступления информации о «дыре» должен принять меры по её устранению в течение 30–60 дней (в зависимости от степени угрозы). Это может быть выпуск патча, новой версии и пр. Однако всё чаще установленные сроки не соблюдаются.

Источник изображения: pixabay.com

Участники рынка говорят, что российские разработчики «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные. Между тем нарушение регламента ФСТЭК может обернуться отзывом сертификата на продукт. Сами разработчики связывают ситуацию с ростом спроса и загруженностью «всех уровней поддержки». Российские компании оказались не готовы к резкому увеличению запросов по обработке инцидентов после ухода западных поставщиков.

Ещё одна сложность заключается в том, что многие продукты с сертификатом ФСТЭК основаны на открытом коде, устранением уязвимостей в котором «занимается не конкретный разработчик, а сообщество». Поэтому устранение «дыр» в таком софте растягивается на месяцы.

Positive Technologies сообщила о выпуске на рынок программного комплекса MaxPatrol EDR.

Разработанный российской компанией продукт относится к решениям класса Endpoint Detection & Response и предназначен для предотвращения, обнаружения и реагирования на киберинциденты в корпоративной сети. MaxPatrol EDR обеспечивает многоуровневую защиту рабочих станций и серверов, а также включает технологии статического и поведенческого анализа аномалий в IT-инфраструктуре организации. Новинка поддерживает операционные системы Windows, macOS, Linux (в том числе российские сертифицированные ОС) и предоставляет ИБ-службам богатый выбор действий для автоматического и своевременного реагирования на угрозы: остановка процесса, удаление файлов, изоляция устройства, отправка на анализ, синкхолинг (sinkholing).

Как работает MaxPatrol EDR (источник изображения: ptsecurity.com)

MaxPatrol EDR поставляется с набором экспертных правил PT Expert Security Center, благодаря чему программный комплекс способен выявлять угрозы и популярные тактики и техники злоумышленников из матрицы MITRE ATT&CK (топ-50 для Windows и топ-20 для Linux). Кроме того, положенные в основу решения технологии позволяют обнаруживать атаки с использованием легитимных инструментов (PowerShell, WMI, CMD, BASH), которые могут пропустить традиционные средства защиты, основанные на сигнатурном анализе.

Система поддерживает совместную установку с другими средствами защиты. Её агенты могут работать автономно, то есть проводить анализ и противодействовать угрозам на конечных точках в изолированных сетях, без обращения к серверу.

MaxPatrol EDR можно приобрести как самостоятельный продукт. Также он является частью PT XDR — комплексного решения для расширенного обнаружения угроз и реагирования на них, которое Positive Technologies выпустила в 2021 году.