суббота, 29 декабря 2018 г.

С наступающим Новым Годом!

Поздравляю всех с наступающим Новым годом!
Желаю всем здоровья, счастья, мира и добра в наступающем году!

пятница, 30 ноября 2018 г.

Книга: Безопасность Oracle глазами аудитора. Нападение и защита. (Александр Поляков)



Безопасность Oracle глазами аудитора. Нападение и защита.
Автор - Александр Поляков
В настоящее время анализ защищенности корпоративных сетей все чаще показывает, что уровень обеспечения информационной безопасности заметно возрос: администраторы своевременно устанавливают системные обновления на рабочие станции и серверы, стандартные пароли на доступ к активному сетевому оборудованию встречаются все реже, сети сегментируют и разграничивают доступ, парольная политика во многих системах соблюдается. Однако существует еще ряд проблем, которым до сих пор не уделяется должного внимания. Одна из них – это защищенность корпоративных систем управления базами данных (СУБД). Как известно, в корпоративных системах любая важная информация обычно хранится в базах данных, и конечной целью злоумышленника, как правило, является именно информация, находящаяся в них, которая зачастую важнее, чем права администратора на атакуемом сервере. В книге Александра Полякова "Безопасность Oracle глазами аудитора: Нападение и защита" подробно рассматривается вопрос безопасности СУБД Oracle, как наиболее распространенной среди существующих СУБД.
Большинство книг, в которых уделяется внимание безопасности Oracle, рассматривают в основном механизмы установки и настройки существующих средств безопасности. Такие книги по большому счету являются переводами разделов технической документации, отвечающих за безопасность. В них рассматриваются основные вопросы, связанные с аутентификацией, шифрованием, разграничением доступа, но крайне мало внимания уделяется тому, зачем нужны эти механизмы и как на практике осуществляется реальное проникновение в базу данных, от которого необходимо уметь защищаться. Как известно, чтобы понять, как защититься от злоумышленника, нужно хорошо знать и понимать методы его работы. Данная книга сильно отличается своим подходом к рассмотрению проблемы. Основной акцент в ней сделан на детальное объяснение практической стороны методов проникновения в СУБД; рассматриваются реальные примеры атак, реализованные автором на практике и подкрепленные детальным описанием проблемы. При этом речь идет не о простом перечне уязвимостей, а о системном подходе к вопросу проникновения в СУБД. Как итог, читатель сможет взглянуть на вопрос безопасности СУБД с точки зрения злоумышленника, что в итоге поможет ему настроить адекватную защиту.
Издательство – ДМК-Пресс
Год издания – 2010
Формат книги - PDF
Размер - 10 Мб

понедельник, 26 ноября 2018 г.

Категорирование объектов критической инфраструктуры в сфере здравоохранения

Сергей Борисов в своём блоге опубликовал серию статей, которая поможет безопасникам организации сферы здравоохранения провести мероприятия по категорированию критических объектов инфраструктуры. Статьи полезны и представителям других отраслей.

КИИ. Категорирование объектов. Часть 1

КИИ. Категорирование объектов. Часть 2

КИИ. Категорирование объектов. Часть 3.

четверг, 22 ноября 2018 г.

Всё, что вы хотели знать о ГОССОПКА

Размышления на тему значимых объектов КИИ в банках

Статья из блога "Malotavr":

Уже не первый раз слышу от банковских безопасников: "Мы - не системно значимый банк, у нас не может быть значимых объектов КИИ."
Причиной стала формулировка одного из экономических показателей в ПП127:
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, ...
Коллеги видят упоминание системно значимых банков и решают, что оно относится ко всему показателю. Но это не так.
Показатели определены только в этом документе, других норм на эту тему нет. Обычаи делового оборота тоже ничего не говорят о значимости тех или иных банковских операций для государства. В этой ситуации трактовка норм права определяется только правилами русского языка.
В данной формулировке речь идет о проведении банковских операций. Но не всех операций, а только двух определенных групп. Первая группа определяется дополнением "клиентами" и уточняется обстоятельством "по банковским счетам". Вторая группа операций определяется причастным оборотом "осуществляемых субъектами, являющимися системно значимыми...". Т.е в структуре предложения эти операции определены так:
проведение операций клиентами или операций, осуществляемых системно значимыми банками
В соответствии с правилами русского языка, причастный оборот, выделенный запятыми, определяет существительное, которое ему предшествует.
То есть на самом деле АБС может быть значимым объектом КИИ в двух случаях:
  1. Банк системно значимый, и инцидент с АБС приведет к прекращению или нарушению любого вида операций
  2. Банк не является системно значимым, и инцидент с АБС приведет к прекращению или нарушению операций, которые клиенты выполняют со своими счиетами.
Упоминание системной значимости могло бы относиться к обеим группам операций, если бы было добавлено слово "других":
проведение операций клиентами или других операций, осуществляемых системно значимыми банками
Это было бы стилистической ошибкой, но тогда из контекста было бы понятно, что речь идет только о системно значимых банках. В действующей же формулировке показатель "прекращение или нарушение проведения лпераций клиентами" относитсямко всем банкам без исключения.

Блогеры обсудили с представителями ФСТЭК вопросы по категорированию объектов КИИ

9 ноября 2018 года состоялась встреча представителей ФСТЭК России во главе с В.С Лютиковым и блогеров по ИБ (А.Лукацкий, П.Луцик, А.Комаров, В.Комаров, А.Кузнецов, С.Борисов) по теме законодательства о безопасности КИИ. Каждый участник встречи со стороны блогеров сделает соответствующую заметку по результатам встречи.

Далее информация от П.Луцика (https://plutsik.blogspot.com):


"Что касается самой встречи, то из 153 собранных с сообщества вопросов обсудить успели лишь некоторые, относящиеся к общим нормам законодательства. Частные вопросы (из серии, а Водоканал – это субъект?) не обсуждались. Весь перечень вопросов пока публиковаться не будет, т.к. был собран из разных источников.
На мой личный взгляд встреча оказалась весьма продуктивной и полезной для обеих сторон. Регулятором было предложено проводить подобные встречи на регулярной основе, что не может не радовать, особенно учитывая тот факт, что позиция регулятора по некоторым вопросам оказалась весьма неожиданной, а значит, профессиональное сообщество в своем большинстве о ней не знало, но благодаря таким встречам сможет узнать.
Далее приведу позицию ФСТЭК по обсуждаемым вопросам.

среда, 7 ноября 2018 г.

Перечень обязательных мероприятий при категорировании объектов критической информационной инфраструктуры

Для тех, кто всё-таки должен провести работы по категорированию значимых объектов критической информационной инфраструктуры Сергей Борисов подготовил небольшую, но очень полезную шпаргалку с перечнем мероприятий, которые необходимо провести в организации со ссылкой на пункты нормативных документов по КИИ.

При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны.
Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.   
Для владельцев незначимых объектов КИИ получился примерно следующий перечень



Для владельцев значимых объектов КИИ перечень существенно больше

Была ли утечка у Сбербанка и что может утечь почти у каждого...

Много шума наделали журналисты с так называемой "утечкой персональных данных" из Сбербанка. Каждый, кто видел данные, которые "утекли" у Сбербанка, понимает, что это информация, которая доступна практически каждому работнику организации, в которой развернута служба Active Directory или имеется внутренний почтовый сервер.
Более популярно про всё это нам рассказал в своём блоге Артем Агеев в статье "Слив сотрудников Сбербанка":

------------------------------------------------------------------------------------

420 тысяч записей вида "SAMAccountName","DisplayName","CanonicalName" утекли у Сбербанка через powershell запрос Get-ADUser. Утекли первоначально отсюда, а сейчас базу можно взять тут.

Я вам скажу Сбербанк ещё легко отделался.

воскресенье, 28 октября 2018 г.

Что грядёт на смену 552-П

Валерий Естехин как всегда оперативно прочитал проект нового нормативного акта Банка России о защите информации в платежной системе Банка России и написал в своём блоге мнение о новом проекте
Перепечатаем весь текст статьи без купюр:
"Ознакомившись с проектом нового Положения “О требованиях к защите информации в платежной системе Банка России", которое в скором времени придет на смену Положению от 24 августа 2016 г. № 552-П с тем же названием, сначала испытываешь шок от радикальности “обновления” документа.
Роднит эти два нормативных документа с одним и тем же названием только тот факт, что документы подготовлены Банком России. В остальном от 552-П почти ничего не осталось.
Что же поменялось в нормативном регулировании банковской сферы с даты регистрации Положения № 552-П в Минюсте – 06.12.2016, что так или иначе имело отношение к защите информации в платежной системе Банка России? Давайте разбираться.

вторник, 23 октября 2018 г.

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…
Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.

Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим. …).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе(Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.
За что сразу цеплятся глаз “бумажного безопасника”? Например, за то, что с 4-ой главы Положения начинает мелькать термин “цифровая инфраструктура”, хотя и в законе №187-ФЗ “О безопасности критической информационной инфраструктуры”, и в ГОСТ Р 57580.1-2017 используется устоявшийся термин “информационная инфраструктура”. Кто-то из рисковиков-разработчиков проекта поддался магии “цифровой экономики”. Но вот в Приложении 2 к Положению всё же встречаем традиционный термин “информационная инфраструктура”, хотя в п.1.3 Приложения 2 опять упоминается “цифровая инфраструктура”.

среда, 10 октября 2018 г.

ЦБ планирует отслеживать сомнительные транзакции в режиме онлайн

Центробанк готов взяться на усовершенствование своей системы мониторинга транзакций. 

Конечной целью этих действий является возможность в режиме реального времени выявлять сомнительные операции, что, естественно, положительно скажется на оперативности реагирования на киберинциденты. 

Соответствующей информацией поделился зампред Центрального банка Василий Поздышев. Выступая перед журналистами, он отметин следующее: 

«Мы предлагаем с помощью цифровых технологических решений доработать эту систему, чтобы и банки, и Центральный банк могли в онлайн-режиме проводить мониторинг текущих операций, в том числе с использованием системы быстрых платежей и системы перевода Банка России». 

Поздышев отметил, что на данный момент весь мониторинг транзакций основывается на ручном режиме выявления подозрительной активности. 

«Мы передаем банкам списки клиентов, которые замешаны в теневых операциях. Банки, опираясь на эти списки, ежеквартально их обрабатывают и, как думаем, должны не проводить операции с этими клиентами или, по крайней мере, прежде чем проводить, проверять операции с этими клиентами. Это такой ручной режим», — передал ТАСС слова зампреда ЦБ. 

Помимо этого, в Банке России задумались над усовершенствованием системы получения отчетности банков. Здесь регулятор интересует возможность получения необходимой информации непосредственно из банка.

Источник: https://www.anti-malware.ru/news/2018-10-10-1447/27708

Вебинар "Законодательство о безопасности КИИ"

понедельник, 8 октября 2018 г.

На сайте Банка России опубликована карта точек банковского обслуживания, где можно сдать биометрические данные

Банк России разработал специальную карту точек банковского обслуживания, где все желающие могут сдать биометрические данные, чтобы впоследствии иметь возможность дистанционно получать банковские продукты и сервисы в любой кредитной организации с помощью удаленной идентификации.
Ресурс позволяет узнать адрес и часы работы офисов банков, которые предоставляют такую услугу. Для этого достаточно выбрать в специальном окне город и наиболее удобную точку обслуживания.
В настоящий момент на карте отмечены точки банковского обслуживания в 81 субъекте РФ. Данные будут постоянно обновляться.
Для получения банковских услуг с помощью удаленной идентификации необходимо один раз пройти первичную идентификацию в уполномоченном банке. Такой банк в присутствии физического лица проверит его паспорт и СНИЛС, зарегистрирует обратившегося в Единой системе идентификации и аутентификации (ЕСИА), а также снимет необходимые биометрические данные (изображение лица и запись голоса). В дальнейшем для дистанционного открытия счета (вклада), получения кредита или осуществления перевода в новом банке гражданину нужно будет пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета или компьютера с использованием камеры и микрофона.
Банки постепенно налаживают сбор биометрических данных в структурных подразделениях по мере готовности своей технологической инфраструктуры. До конца этого года данный сервис должны предоставлять не менее 20% подразделений банка в каждом регионе присутствия, к 30 июня 2019 года – 60%, до конца 2019 года – 100%.

среда, 26 сентября 2018 г.

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…

Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.
Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим. …).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе(Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.

понедельник, 6 августа 2018 г.

ИБ. Взгляд снизу: Алгоритм действий банка в случае инцидентов в ДБО ...

ИБ. Взгляд снизу: Алгоритм действий банка в случае инцидентов в ДБО ...Согласно закона РФ от 27 июня 2018 № 167-ФЗ, в закон от 27 июня 2011 года №161-ФЗ "О национальной платежной системе" внесен ряд изменений (вступают в силу спустя 90 дней с момента опубликования). Таким образом, с 26 сентября 2018 года, согласно закона РФ № 167-ФЗ, банки должны будут оценивать риски несанкционированных переводов денежных средств и разрабатывать свои критерии таких переводов*. Банк России, в свою очередь, должен опубликовать критерии определения потенциально мошеннических операций**.

По новой версии №161-ФЗ банкам необходимо внедрить механизмы блокировок сомнительных операций в ДБО (в тех банках, где это до сих пор не сделано) и (возможно) внести изменения в действующие договоры ДБО с клиентами. При обнаружении признаков несанкционированного перевода денежных средств, банки с октября 2018 года обязаны будут приостановить исполнение платежа на срок до двух дней и запросить его подтверждение у клиента.
Ниже, основываясь на нововведениях в законе №161-ФЗ, представлено описание процессов реагирования на инциденты ИБ в системах ДБО для случаев: а) блокировки платежа по инициативе клиента – схема №1 и б) блокировки платежа по инициативе банка - схема №2.

вторник, 3 июля 2018 г.

ЦБ будет регулировать вопросы кибербезопасности во всех финансовых организациях

Ранее издаваемые регулятором нормативные документы в этой сфере должны были исполнять только банки

Банк России получил полномочия регулировать вопросы защиты кибербезопасности во всех организациях кредитно-финансовой сферы, сообщил журналистам исполняющий обязанности директора департамента информационной безопасности ЦБ Артем Сычев.
Ранее издаваемые ЦБ нормативные документы в области кибербезопасности были обязательны к исполнению только в банках, но с октября в сферу внимания ЦБ попадут также страховые, микрофинансовые и иные поднадзорные ЦБ организации.
"Мы получили сейчас возможность устанавливать соответствующие требования, которые мы должны будем согласовать с ФСБ и ФСТЭК (Федеральной службы по техническому и экспортному контролю - прим. ТАСС)", - сказал Сычев.
В конце июня президент РФ Владимир Путин подписал поправки в закон "О национальной платежной системе" и связанные с ним подзаконные акты. В частности, поправки в закон "О Центральном банке Российской Федерации" наделяют ЦБ правом по согласованию с ФСБ и ФСТЭК устанавливать обязательные требования по защите информации как для банков, так и для некредитных финансовых организаций. "Мы обязываем все организации, которые осуществляют денежные переводы, следовать признакам антифрода", - сказал Сычев.
Первыми нормативными документами, которые разработает ЦБ для некредитных финансовых организаций, станут два отраслевых стандарта, которые регулятор уже обсудил с профсообществом. Исполнение отраслевых стандартов является добровольным, при этом большинство обязательных требований уже содержится в государственном стандарте (ГОСТ 57580.1-2017, "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций"), который вступил в силу с 1 января.

Новшества для банков


С октября этого года банки должны будут оценивать риски несанкционированных переводов денежных средств и разработать свои критерии таких переводов. ЦБ в свою очередь разработает и к тому времени опубликует свои критерии потенциально мошеннических операций.
По словам Сычева, в категорию сомнительных попадают операции по переводу средств со счета юрлица на множество счетов физлиц в других регионах, а также операции с "нестандартным" назначением платежа.
Банки также должны будут внедрить механизмы блокировки таких операций и внести изменения в действующие договоры с клиентами. При обнаружении признаков несанкционированного перевода средств банки обязаны приостановить исполнение платежа на срок до двух дней и запросить его подтверждение у клиента.
Также в законе прописан порядок действий банков в случае, когда клиенты сами сообщают в банк о том, что мошенники получили доступ к управлению их счетами. 

Источник: https://tass.ru/ekonomika/5342867

В России вся инфраструктура приема карт должна работать с отечественными HSM

Все банковские процессы должны иметь отечественные средства криптографической защиты к 2024 г. При этом к 2031 г. с ними должна уметь работать  вся инфраструктура приема банковских карт. Об этом заявил и.о. директора Департамента информационной безопасности ЦБ Артем Сычев.

«К 2024 году мы рассчитываем на то, что все средства, которые работают в ядре платежных систем, так называемые host security modules, средства криптографической защиты, должны быть отечественного производства и поддерживать алгоритмы шифрования как иностранные, так и российские», — сказал А.Сычев. Он подчеркнул, что речь идет не только о Национальной платежной системе, но и о тех процессингах, которые обслуживают карты Visa и Mastercard.

Данное требование А. Сычев объяснил тем, что в условиях санкций нет гарантии того, что иностранные производители средств криптографической защиты в нужный момент не откажутся поставлять эти решения, или что они существенно не снизят надежность работы средств криптографической защиты.

«Понимая этот риск, понимания, что для этого должны быть проведены большие технические мероприятия, мы эту норму вводили», — пояснил А. Сычев. Данное требование содержится в положении Банка России о требованиях к информационной безопасности банков (382-П).

Кроме того, к 2031 г. вся инфраструктура приема платежных карт должна уметь работать с отечественными средствами криптографической защиты. На этот счет в рамках программы «Цифровая экономика» у ЦБ предусмотрено проведение определенных мероприятий.

А. Сычев добавил, что в настоящее время российский рынок делят два иностранных производителя HSM. Уже сейчас три производителя отечественного оборудования готовы «пойти в эту историю». При этом российские HSM должны иметь не только сертификацию РФ, но и международную. Здесь могут возникнуть проблемы, которые необходимо решить до 2024 г., подчеркнул А. Сычев.

По материалам PLUSworld.ru

воскресенье, 29 апреля 2018 г.

Центробанк становится системой мгновенных платежей между физлицами

Центробанк становится системой мгновенных платежей между физлицами

Система быстрых платежей

Оператором системы быстрых платежей, запуск которой готовит Ассоциация финансовых технологий (АФТ), станет Центробанк. Он будет выступать расчетным центром системы, а операционным, платежным и клиринговым центром станет АО «Национальная система платежных карт» (НСПК). Об этом со ссылкой на сообщение АФТ пишет информационное агентство «Интерфакс».
Организационно-правовая модель системы быстрых платежей уже утверждена наблюдательным советом АФТ, председателем которого является Ольга Скоробогатова, первый зампред Центробанка. Идея системы заключается в том, что через нее можно будет мгновенно осуществлять платежи, счета отправителя и получателя могут при этом находиться в любых банках.
Платежи и переводы будут осуществляться пользователем не по обычным реквизитам, а по упрощенным идентификаторам, таким как номер телефона или электронная почта. Плательщик сможет отправить деньги, используя QR-код или мобильный телефон получателя. Переводить деньги можно будет из мобильного банка, мессенджера, соцсети или через сайт интернет-магазина. Сначала система заработает для физических, а потом и для юридических лиц.

Тестирование системы

В марте АФТ сообщила на своем сайте, что банки, входящие в ассоциацию, уже подключились к прототипу системы быстрых платежей. Речь идет о банках Qiwi, АК Барс, Тинькофф и МТС. В настоящий момент они проверяют возможность перевода средств через систему от физического лица физическому лицу.


Подборка материалов по теме безопасности критической инфорационной инфраструктуры (КИИ), о государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и средствах, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (СОПКА-РКИ), о Национальном координационном центре по компьютерным инцидентам (НКЦКИ) и о Федеральном законе 187-ФЗ «О безопасности КИИ».

https://zlonov.ru/kii/

среда, 14 марта 2018 г.

Телеграм-каналы по информационной безопасности

Версия от 14.03.2018

"Пост Лукацкого"Трансляция блога и Твиттера Алексея Лукацкогоhttps://t.me/alukatsky
"Киберграмотность"Компьютерная грамотность с акцентом на приватность, анонимность и безопасность. https://t.me/cyber_gram
"Hacker News на русском"Новости об информационной безопасности, хакерах, уязвимостях, взломах и околотематика на русском языке.https://t.me/HNews
"Anti-Malware"Самые актуальные и свежие события в мире информационной безопасностиhttps://t.me/anti_malware
"Интересно #поИБэ"Последние новости RISSPA и отрасли кибербезопасностиhttps://t.me/risspa
"ZLONOV.ru"Телеграм-канал сайта ZLONOV.ru Новости и актуальные темы из сфер: информационная безопасность, информационные технологии, кибербезопасность и около. #ИБ #ИТ #АСУТП #маркетингhttps://t.me/zlonovru
"Сайберсекьюрити и Ко."Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизниhttps://t.me/alexlitreev_channel
"Информация без опасности"Очередной канал по информационной безопасности.
В основном о банковской ИБ.
(Не Лукацким единым ;) )
https://t.me/infobezopasnost

четверг, 22 февраля 2018 г.

Лекция: Кибератаки в финансовой сфере (Артем Сычев)

Лекция Артёма Сычева (Главное управление безопасности и защиты информации Банка России)

Тема кибератак в финансовой сфере часто оказывается на первых позициях в лентах новостей. Больше никто не врывается в кредитные учреждения в масках и с пистолетами. Никто не вскрывает сейфы. Деньги и информация просто исчезают. Банк России поставил себе цель - свести к минимуму количество результативных атак на банки и счета физических лиц. На форуме Vestifinance заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев рассказал, как дела обстоят сегодня.

понедельник, 15 января 2018 г.

Ликбез: Информационная безопасность банковских безналичных платежей.

Хороший цикл статей от ImbaSoft

 Часть 1 — Экономические основы

 Часть 2 — Типовая IT-инфраструктура банка

Предвыборное

В России грядут новые выборы. В марте 2018 года должны состояться выборы Президента.
Наверняка данные об избирателях хранятся не только на бумаге. Где-то есть и электронные базы данных с нашими персональными данными. Будем надеяться, что их хранят надёжнее, чем в США, где в прошлом году выявили утечку 200 миллионов данных избирателей в облачных сервисах Амазон.Данные в «облако» загрузила фирма, которая собирала сведения об избирателях для предвыборного штаба Дональда Трампа.
"В таблице, обновленной в январе 2017 года, были указаны не только стандартные анкетные сведения: имя, дата рождения, домашний адрес, телефон, данные о регистрации избирателя. В документе есть пометки о политических, религиозных и этнических взглядах. Фирмы-подрядчики, которые собирали данные для проведения «точечных» предвыборных рассылок, разбили информацию на 48 категорий. Всего в файле, не защищенном даже паролем, содержалась информация о 198 млн зарегистрированных избирателях. Это 62% населения Соединенных Штатов. Аналитики назвали инцидент «крупнейшей в истории утечкой такого рода данных». Специалист UpGuard сообщил федеральным властям об уязвимости 12 июня, утечку устранили спустя 48 часов. Ответственность за инцидент взял на себя один из подрядчиков предвыборного штаба Республиканской партии. Представитель компании рассказал, что внутреннее расследование не обнаружило следов взлома. Скорее всего, свою роль сыграл человеческий фактор."
Наверняка в российских избирательных комиссиях и предвыборных штабах человеческий фактор отрицательной роли не будет играть.

суббота, 6 января 2018 г.

Приватность в эпоху интернета

Недавно в ходе дебатов на тему защиты персональных данных студентам удалось собрать в интернете информацию о человеке по одной фотографии.
Это говорит о том, что в наше время очень сложно обеспечить свою приватность. Особенно в Интернете.
О проблеме публичности и анонимности в эпоху интернета в 2017 году сняли неплохой фантастический фильм "Сфера" по мотивам одноимённого романа Дэйва Эггерса.
Будет время - посмотрите.