Как защитить «умные» камеры видеонаблюдения и радионяни от кибератак

Советы NCSC "Как защитить «умные» камеры видеонаблюдения и радионяни от кибератак"

В этом руководстве объясняется, как настроить интеллектуальную камеру для защиты от распространенных кибератак.

https://www.ncsc.gov.uk/guidance/smart-security-cameras-using-them-safely-in-your-home

Сравнение стойкости "сложного" пароля и пароля из 4 несложных слов в одной картинке

Источник: https://xkcd.com/936/?s=09

 

Международные стандарты по управлению рисками и непрерывности бизнеса

Международная организация по стандартизации (ISO) в ответ на COVID-19 предоставила бесплатный доступ к стандартам по управлению рисками и непрерывности бизнеса: 

(машинный русский перевод в формате Word)

ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements Система управления непрерывностью бизнеса	English	Русский перевод
ISO 22395:2018 Security and resilience – Community resilience – Guidelines for supporting vulnerable persons in an emergency Рекомендации по поддержке уязвимых лиц при ЧС	English	Русский перевод
ISO 22320:2018 Security and resilience – Emergency management – Guidelines for incident management - Рекомендации по управлению инцидентами	English	Русский перевод
ISO 22316:2017 Security and resilience – Organizational resilience – Principles and attributes Организационная устойчивость - Принципы и аттрибуты	English	Русский перевод
ISO 31000:2018 Risk management – Guidelines Управление рисками	English	Русский перевод

Конец эпохи парольной защиты. Мнение Microsoft

 Компания Microsoft уже высказывалась против частой смены паролей. В этот раз они пошли ещё дальше. В своём сообщении они написали, что примерно 80% кибератак направлены на пароли, а в случае корпоративных аккаунтов ежемесячно компрометации подвергается 1 из 250 корпоративных учетных записей. В связи с этим Microsoft объявляет "Год прорыва в технологии без пароля".

По информации компании уже более 150 миллионов человек используют беспарольный вход Windows. Пользователи переходят на использование биометрических данных для входа. Поэтому Microsoft намерены сделать беспарольный вход реальностью для всех своих пользователей в 2021 году. 

 Вместо паролей компания разработала системы аутентификации Windows Hello и Microsoft Authenticator.

Советы по безопасности от Ланита

Являются ли Снилс, ИНН, е-майл персональными данными. Мнение Роскомнадзора

 На прошедшем 26.11.2020 открытом семинаре для операторов персональных данных Роскмонадзор однозначно высказался на тему "являются ли СНИЛС, ИНН и е-майл персональными данными?". Ответ: да, да и да.

Советы по безопасности от АК Барс Банка

 

И вновь о худших паролях года

 Компания NordPass опубликовала отчет, в соответствии с которыми наиболее популярными паролями из 275 млн. проанализированных стали: 123456; 123456789; picture1; password; 12345678. За исключением пароля «picture1», расшифровка которого с использованием метода грубой силы, займет у хакеров около трех часов, все остальные пароли можно расшифровать с применением словарей (с собранными общими фразами и числовыми комбинациями) в течение нескольких секунд.

 Источник: https://cisoclub.ru/hudshie-paroli-2020-goda-pokazyvayut-naskolko-my-lenivy-v-voprosah-bezopasnosti/

Модель нарушителя при удалённой работе

 

Управление рисками корпоративной мобильности

 На сайте Австралийского правительственного центра кибербезопасности  (https://www.cyber.gov.au/) можно найти ряд интересных материалов по кибербезопасности.

Сейчас, в период коронавирусной пандемии, когда многие организации определяют пути решения проблем удаленной работы сотрудников полезной может оказаться статья про Управление рисками корпоративной мобильности Risk Management of Enterprise Mobility Including Bring Your Own Device. 

Публикация призвана помочь читателям понять и смягчить значительные риски, связанные с использованием устройств для рабочих целей, которые потенциально могут привести к раскрытию конфиденциальных данных. Подробно расписаны 4 сценария корпоративной мобильности, проведено их сравнение и оценка рисков каждого из сценариев.

Описано, что должна включать в себя Политика корпоративной мобильности.

Неплохая статья про безопасную разработку (DevSecOps)

В журнале JetInfo (https://www.jetinfo.ru/) опубликована неплохая статья Анастасии Дитенковой и Антона Гаврилова "Безопасная разработка: адаптивная эволюция".

В статье вы узнаете:

 Какие проблемы возникают при интеграции процессов разработки, ИТ и ИБ? 

 Как правильно сформировать ИБ-команду для DevSecOps? 

 Как выбрать инструменты для автоматизации процесса безопасной разработки?

Основные выводы авторов: 

"Главное — не браться за все и сразу. Нужно идти постепенно и выбирать то, что необходимо именно вам и именно сейчас по трем направлениям: процессы, люди и технологии.

Мошенники некоего "Росконтроля" рассылают письма предпринимателям с предложением закрыть проблемы с персональными данными

 Недавно мне позвонил знакомый предприниматель и сказал, что ему на фирму пришло письмо от Росконтроля, что он нарушает закон о персональных данных и ему нужно срочно подготовить комплект документов по обработке персональных данных у них в организации и зарегистрироваться в качеств оператора персональных данных. Я попросил переслать мне это письмо. Вот оно:

Что можно сказать по поводу этого письма. Налицо все признаки фишингового письма, но это не совсем фишинг. Человека запугивают штрафами со ссылкой на российское законодательство, Настоятельно "рекомендуют" в течении 1 (одного) дня обратиться на некий сайт, в названии которого присутствует "rkn" (что даёт намёк на сайт Роскомнадзора) и получить там "бесплатную" консультацию.

Немного смущает то, что предприниматель работает в Севастополе, а угроза штрафов и проверок исходит от организации из Санкт-Петербурга.

Что же предлагает нам названия с громким названием Федеральный центр защиты персональных данных Система сертификации "Росконтроль" (rkn.moscow он же rkn.expert и т.п.).

Для начала вас снова напугают штрафом в 6 млн.рублей и попросят пройти проверку на наличие у вас нарушений в части обработки персональных данных. Всего то нужно ввести ИНН вашей организации и получить отчёт.

И снова про оптимальную длину пароля. 22 символа! Кто больше?

В безопасном сообществе продолжается обсуждение темы того, какой длины и сложности должны быть пароли, чтобы противостоять злоумышленникам. Я уже писал своё мнение на тему актуальности требований парольной защиты (здесь).

Сегодня компания Домклик опубликовала в своём блоге на Habr статью "Какова оптимальная длина пароля?", в которой обосновывает оптимальный размер пароля и требования к его составу.

Цитирую вывод: "Пароли должны быть сильными, даже если вы не используете одни и те же сочетания в разных местах. Сила пароля измеряется энтропией, и нужно стремиться к значению в 128 бит. Для этого достаточно паролей длиной 22 символа, состоящих из прописных и строчных букв, а также цифр".

О защите домашнего роутера

В последнее время опять появились сообщения о росте атак на домашние роутеры. Например =, публикация "Trend Micro фиксирует взрывной рост атак на домашние роутеры"  (https://www.securitylab.ru/news/510370.php). 

В начале 2019 года насчитывалось 9-10 млн попыток взлома в месяц, а в сентябре – 23 млн, в октябре же число атак достигло почти 100 млн. В декабре был зафиксирован пик – почти 250 млн попыток.

Это во многом обусловлено тем, что не многие простые пользователи вообще представляют как настраивается роутер, как войти в его настройки и какие настройки можно применить для повышения защищенности как роутера, так и всей домашней сети.

Признаки того, что ваш роутер взломан можно почитать в статье "Как узнать, что Ваша Wi-Fi сеть была взломана" (https://www.securitylab.ru/blog/company/PandaSecurityRus/324181.php).

Для каждого роутера интерфейс настройки разный и скриншоты экранов настройки и просмотра протоколов работы роутера будут разными.

Попробуем проверить установлен на вашем роутере заводской пароль или при настройке роутера вам пароль администратора сменили и таким образом повысили защищенность роутера.

Для этого откройте любой браузер и наберите в нём адрес http://192.168.1.1/. При этом ваш компьютер должен быть подключен к роутеру или проводом или через Wi-Fi.

У вас должен появиться запрос логина и пароля администратора для доступа к настройкам роутера.

Заводской (дефолтный) логин  и пароль для каждого роутера разные. Иногда логин и пароль напечатаны на табличке на роутере. Найти их также можно немного погуглив или сразу поискать на сайте https://portscaner.ru/router-password-default. В строке поиска на этой странице введите наименование производителя своего роутера.

Например, для моего роутера фирмы ASUS это логин - admin, пароль - admin.

Если логин и пароль подошли, значит у вас на роутере установлены заводские настройки и злоумышленники легко могут подключиться к вашему роутеру, изменить его настройки, возможно установить вредоносное программное обеспечение и т.п.

Для изменения пароля администратора нужно войти в соответствующий раздел настроек роутера и поменять пароль. 

Например в моём ASUS это выглядит так:

Не забудьте куда-нибудь записать логин и пароль. Они вам пригодятся про изменении настроек роутера.

Если уж вы вошли в режим настройки роутера, то можно посмотреть сколько и каких устройств подключено к вашему роутеру и нет ли посторонних подключений

подключено 3 устройства

Если обнаружите посторонние подключения найдите раздел смены пароля для Wi-FI подключений и измените пароль.

Кроме того, для защиты всех внутренних подключений в домашней сети специалисты рекомендуют изменить настройки так называемого DNS-cервера, который определяет по имени сайта его IP-адрес. Для защиты от мошеннических сайтов рекомендуют подключить DNS-сервера службы Яндекс.DNS (https://dns.yandex.ru/#wifi).

У меня в настройках ASUS это делается в разделе настроек глобальной сети WAN:

Безопасной вам работы!

UPD: дополнительные советы по защите роутера можно посмотреть в "Безопасках" от 14.08.2020

Нормативка информационного безопасника

Одна из проблем безопасников и не только их - оперативный поиск необходимых нормативных и околонормативных документов по своей сфере деятельности. Богатые люди покупают доступ к системам Консультант+ или Гарант. Остальные гуглят и сохраняют основные документы себе на компьютер или смартфон и потом забывают обновить файлы после очередных изменений в нормативке. В общем, все мечтают о такой "кладовочке", где бы лежали все актуальные документы.

Спасибо компании "Имбасофт" (https://imbasoft.ru/), которые уже не первый год на Хабре ведут обновляемую страничку "Справочник законодательства РФ в области информационной безопасности" .

Страничка содержит структурированный справочник нормативных документов по самым разным аспектам информационной безопасности.

Вот сегодня 25.06.2020, а последний раз страничка обновлялась 22.06.2020. Оперативно!

Я храню ссылку на эту страничку в своём разделе "Избранное" в Телеграмме. И вам советую не очень далеко её прятать.

Информационная безопасность на удаленке

Несмотря на то, что удаленная работа сотрудников, связанная с пандемией COVID19 должна бы подходить к концу, есть вероятность, что удаленный режим работы может применяться для обеспечения непрерывности бизнеса и в других ситуациях.
Решил многочисленные рекомендации по организации безопасной удаленной работы сотрудников собрать в одном месте, чтобы не потерять.

1. Неплохая публикация от RASSE - https://vc.ru/services/118939-informacionnaya-bezopasnost-na-udalenke-kak-spravitsya-s-riskami

Классифицированы основные угрозы безопасности при организации удаленного доступа сотрудников к корпоративным электронным сервисам:
 1) Использование личных (домашних) устройств:
 · хранение конфиденциальной информации на личных устройствах (локальные диски, флешки и пр.)
 · использование слабых паролей, а зачастую их отсутствие · отсутствие автоматической блокировки устройств
 · отсутствие последних обновлений безопасности как ОС, так и прикладного ПО
 · отсутствие антивирусных систем
 2) Использование незащищенных каналов связи. К незащищенным каналам можно отнести как публичные, так и домашние сети. Общие для них особенности:
 · при использовании беспроводных сетей — недостаточное шифрование (или полное его отсутствие)
 · уязвимости маршрутизирующих устройств (слабые пароли, уязвимые прошивки, ненастроенный файервол и т.п.)
 · использование уязвимых протоколов
 3) Использование публичных сервисов для обмена файлами:
 · к таким сервисам можно отнести: Google Диск, Облако Mail.ru, Яндекс Диск и т.п.
 · если файл доступен всем, у кого есть ссылка, то он может быть проиндексирован поисковыми машинами, после чего документ станет доступен в поиске, что, в свою очередь, может привести к его утечке.
Даны советы по защите.

2.  «Ростелеком-Солар»  сделал отдельный сайт с советами по организации работы сотрудников на удпленке - https://naudalenke.rt-solar.ru/

Чтобы помочь вам справиться с возникающими на удаленке проблемами, «Ростелеком-Солар» подготовил интерактивные курсы и гайды по безопасной удаленной работе.
1. Удаленная работа - https://naudalenke.rt-solar.ru/upload/gide/1.pdf
2. Руководство удаленной командой - https://naudalenke.rt-solar.ru/upload/gide/2.pdf
3. Онлайн совещания - https://naudalenke.rt-solar.ru/upload/gide/3.pdf

3. Компания Group-IB тоже опубликовала свои рекомендации по цифровой гигиене при удаленной работе https://www.group-ib.ru/brochures/StaySafe-Workinghome-ru.pdf

GDPR на русском языке

Если вдруг ваша организация надумает при обработке персональных данных соблюдать не только 152-ФЗ, но и Общий регламент защиты персональных данных Европейского союза GDPR, то текст GDPR на русском языке вы можете найти здесь - https://gdpr-text.com/ru/

Там же можно почитать текст сразу на нескольких языках и таким образом подтянуть свой английский :)

А на рисунке ниже вы найдёте алгоритм определения того, нужно ли вам соблюдать GDPR.

ИБ. Взгляд снизу: Осведомленность #поИБэ

ИБ. Взгляд снизу: Осведомленность #поИБэ: В помощь безопасникам (для внутренней рассылки в компании) Предлагаю с периодичностью раз в неделю (или раз в месяц/квартал) с целью по...



Полезные рассылки от Валерия Естехина

Рупор "бумажной" безопасности: Что значит не понял инструкцию? Надо было спросить...

Рупор "бумажной" безопасности: Что значит не понял инструкцию? Надо было спросить...:    Свежий пример судебной практики, полезный для подготовки к проведению внутренних расследований и привлечению к дисциплинарной ответст...



Интересный судебный кейс по привлечению к ответственности работника за использование незарегистрированных носителей информации

И снова о паролях. Рекомендации Microsoft

В последнее время появляется много советов от различных экспертов по созданию и использованию паролей. От требований по сложности пароля акцент смещается на его длину. Основных советов два - использовать длинные парольные фразы и применять программные менеджеры паролей.
На этом фоне необычно выглядят рекомендации по использованию паролей, выпущенные Microsoft (https://docs.microsoft.com/ru-ru/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide).

• Не увеличивайте минимальную длину паролей (8 символов). Больше не значит лучше.
• Не требуйте использовать определенные группы символов, например *&(^%$.
• Не требуйте регулярной смены паролей для учетных записей пользователей.
• Запретите использовать распространенные пароли, чтобы в системе не было самых уязвимых паролей.
• Попросите сотрудников не использовать пароли от рабочих учебных записей для личных целей.
• Потребуйте использования многофакторной проверки подлинности.
• Включите запросы многофакторной проверки подлинности с учетом рисков.

• Не используйте такие же пароли, как на других сайтах, или аналогичные им.
• Не используйте в качестве пароля одно слово, например password, или частые фразы, например Iloveyou.
• Используйте пароли, которые будет сложно угадать даже тем, кто хорошо вас знает. Не включайте в них имена и дни рождения своих родных и друзей, названия любимых групп или фразы, которые вы часто произносите.

Особенно интересен раздел с описанием негативного влияния требований к паролям.

Распространенные требования к паролям и их негативное влияние

Описанные ниже принципы управления паролями часто используются в компаниях, но, согласно исследованиям, это зачастую приводит к отрицательным последствиям.

GDPR Day 2020. Алексей Лукацкий. Техническая защиты персональных данных

Управление инцидентами информационной безопасности от А до Я (DialogNauka)