Журнал "Директор по безопасности" Август_2019 - Page 4

КОРОТКО Данные о кибератаках на критические объекты в РФ утекают за рубеж Российские компании, в чьи обязан- ности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом сообщает «РБК». Согласно действующему с прошлого года закону «О безопасности критиче- ской информационной инфраструк- туры», компании, управляющие объ- ектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей ка- тегории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к со- зданной ФСБ Государственной системе обнаружения, предупреждения и лик- видации последствий компьютерных атак (ГосСОПКА) и сообщать о кибера- таках на свои объекты в Националь- ный координационный центр по ком- пьютерным инцидентам (НКЦКИ). Однако далеко не все компании выполняют требования закона и со- общают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об ин- цидентах на объектах критической ин- фраструктуры, не может адекватно на них реагировать и делать прогнозы. Как бы то ни было, компании обме- ниваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ № 367 и № 368, согласно которым обмен данны- ми с зарубежными организациями дол- жен согласовываться с ФСТЭК. Однако ни одного обращения по данному во- просу служба не получала. В ФСТЭК считают, что предоставляе- мая иностранным компаниям инфор- мация о кибератаках на объекты кри- тической инфраструктуры РФ в итоге попадает в руки зарубежным спецслуж- бам, которые могут с ее помощью оце- нить состояние безопасности россий- ской критической инфраструктуры. Securitylab.ru Центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы Охранников обяжут сдавать экзамен по борьбе с терроризмом Новая дисциплина включена в про- грамму подготовки граждан, прохо- дящих обучение для дальнейшей ра- боты частными охранниками. Теперь при проверке теоретических знаний в рамках квалификационного экзамена они будут сдавать предмет «противо- действие терроризму». Соответству- ющее постановление кабинета мини- стров от 20 июня 2019 г. № 783 «О внесении изменения в приложение № 6 к постановлению Правительства Российской Федерации от 14 августа 1992 г. № 587» вступило в силу 4 июля. «В связи с растущими сегодня, к сожа- лению, вызовами и угрозами, вопросы защиты жизни, здоровья, повышения антитеррористической защищенности граждан приобретают особую значи- мость, – отмечает член комитета Сове- та Федерации по обороне и безопасно- сти Ольга Ковитиди. – Все это требует хорошей подготовки людей, которые нас защищают. В том числе сотрудни- ков охранных фирм, которых в России около 1,5 миллиона. Уверена, вопросы антитеррористической защищенности общества, а значит профессиональной подготовки кадров, которые осущест- вляют эту охрану, должны быть на осо- бом контроле государства. На особом контроле должны быть не только объ- екты торговли, метро, но и все места массового скопления людей. Именно поэтому данное постановление акту- ально и востребовано обществом». Зампредседателя комитета Госдумы по безопасности и противодействию коррупции Александр Хинштейн также считает, что обеспечение внутренней безопасности силами частной охраны на объектах повышенной антитеррори- стической защищенности, где поток лю- дей составляет не менее 50 человек в час, – один из самых острых вопросов. «Мы видели разную реакцию со сторо- ны частных охранных организаций на происшествия на охраняемых ими объ- ектах, – напомнил депутат. – Где-то она была, действительно эффективной и быстрой, а где-то, к сожалению, охран- ники срабатывали очень нерастороп- но, не оперативно… Именно поэтому подготовка кадров, лицензирование и контроль за деятельностью частных ох- ранных структур – первоочередная за- дача», – резюмировал парламентарий. Парламентская газета МВД подвело итоги тестирования систем распознавания лиц в Москве В ГУ МВД по Москве рассказали: с помощью 1000 камер снаружи подъ- ездов жилых домов за время тести- рования системы распознавания лиц правоохранители задержали 90 человек. В метро системы видео- аналитики тестируют на нескольких станциях, где разыскиваемых не за- держивали годами. Теперь ситуация там изменилась: ежемесячно удаeтся задерживать от 5 до 10 человек. Со- став полиции при этом увеличивать не пришлось, передают «Ведомости». Ранее к системе распознавания лиц многие относились скептически, отме- чает представитель ГУ МВД по Москве. Сейчас стало ясно: благодаря ей поиск разыскиваемых существенно упростил- ся. Система сопоставляет лица из ви- деопотока с базой лиц, которые нахо- дятся в розыске, и в случае совпадения уведомляет сотрудников полиции. Система VisionLabs, которая уча- ствует в тестировании, помогла за- держать в метро около сотни человек, 62 из них находились в федеральном розыске, остальные проходили по дру- гим контрольным базам. В Московском метрополитене и департаменте информационных тех- нологий Москвы не раскрыли стати- стику, но отметили, что благодаря ин- теллектуальному видеонаблюдению и другим мерам количество правонару- шений в метро сократилось вдвое за последние 2,5 года.  Право.ru Двое дончан оштрафованы на 100 тыс. рублей за продажу данных абонентов сотовой связи Сотрудники УФСБ России по Ростов- ской области задержали двух дончан, организовавших в Сети торговлю де- тализацией мобильных телефонов жителей Ростовской области, сооб- щают местные СМИ. Организатором бизнеса стал выпуск- ник одного из вузов региона, полу- чивший диплом программиста. После посещения многочисленных хакер- ских форумов молодой человек при- думал схему быстрого обогащения, к которой привлек своего знакомого, работавшего в салоне сотовой связи и обладающего доступом к конфиден- циальной информации. Один из напарников регистриро- вался на хакерских форумах и разме- щал объявления о продаже инфор- мации, включая паспортные данные и детализацию звонков и сообщений. Вся информация передавалась заказ- чикам через мессенджер Telegram. Подпольный бизнес просущество- вал всего около месяца, а затем за «предпринимателями» пришли со- трудники ФСБ. В отношении молодых людей было возбуждено уголовное дело по статье «Неправомерный до- ступ к компьютерной информации». Обвиняемые полностью признали свою вину, в итоге суд оштрафовал каждого на 100 тыс. руб. Приговор вступил в законную силу. Securitylab.ru Биометрия за компанию. Применение новой технологии распространят на юрлица Компании смогут открывать счета и получать другие услуги банков дис- танционно на основании биометрии, сданной их уполномоченными со- трудниками. Такой проект стартует в России в будущем году. Биометрия в корпоративном сегменте может быть выгодна и банкам, и их клиентам. Однако есть и риски увеличения ко- личества однодневок, предупрежда- ют эксперты. Велика вероятность, что должностные лица просто не захотят сдавать образцы лица и голоса для нужд компаний. С 2020 г. Банк России планирует запустить пилотный проект по использованию образцов лица и голоса граждан, сдан- ных в Единую биометрическую систе- му (ЕБС), при обслуживании корпора- тивных клиентов. Для его реализации кредитные организации, согласно па- спорту проекта «Удаленная идентифи- кация. 2-й этап» (есть в распоряжении “Ъ”), должны сформировать и предста- вить на рассмотрение рабочей груп- пе свои предложения для проработки организационно-правовой базы. В ЦБ подтвердили “Ъ”, что вопрос прораба- тывается. В «Ростелекоме» (оператор ЕБС) отметили, что уже разработана «дорожная карта» реализации проекта, он обсуждается с рынком. В банках отмечают, что использо- вание биометрии в корпоративном сегменте выгодно и банкам, и клиен- там. «Сейчас удаленное обслуживание бизнеса ограничено географией пар- тнерской курьерской сети, – поясняет глава управления по работе с малым бизнесом Райффайзенбанка Денис Скоков. – Возможность удаленной идентификации предпринимателя стирает эти границы». kommersant.ru  Западные спецслужбы пытались взломать «Яндекс» для слежки за пользователями В конце 2018 года хакеры, работаю- щие на западные спецслужбы, пред- приняли попытку взлома российской компании «Яндекс» для слежки за пользователями. Об этом сообщило агентство Reuters со ссылкой на четы- ре осведомленных источника. В ходе атак злоумышленники исполь- зовали редкое вредоносное ПО Regin, которое, как считается, применяет альянс «Пять глаз»(Five Eyes), включаю- щий США, Великобританию, Австралию, Новую Зеландию и Канаду. По словам источников, определить, из какой стра- ны исходила атака, не удалось, а сама попытка взлома была произведена между октябрем и ноябрем 2018 года. Как пояснили собеседники агентства, злоумышленников интересовала техни- ческая информация, которая помогла бы узнать, как «Яндекс» проводит ав- торизацию пользователей. С помощью этих сведений разведслужба могла бы выдать себя за пользователя «Яндекса» и получить доступ к его частным сооб- щениям. По данным агентства, целью злоумышленников была группа разра- ботчиков «Яндекса». Представители российской компа- нии подтвердили попытку взлома, от- метив, что атака была обнаружена и нейтрализована на начальной стадии, до причинения ущерба. «Можем заве- рить, что злоумышленники не смогли получить доступ к данным пользовате- лей сервисов Яндекса», – подчеркнули в пресс-службе компании. В «Яндексе» также отметили, что компания посто- янно сталкивается с различными вида- ми киберугроз и ее политика не подра- зумевает распространения подробной информации о таких инцидентах. Securitylab.ru ЦБ подготовит материалы по противодействию кибермошенничеству По сведениям Центробанка, стано- вится все больше преступлений с ис- пользованием социальной инженерии. Регулятор пообещал подумать, как предупреждать население о таких мо- шенничествах. Защищаться от кибер- преступлений важно, а наказания недо- статочно суровые, считает зампред ЦБ. Самый частый вид такого преступле- ния, когда мошенник звонит человеку под видом работника службы безопас- ности банка и выуживает данные для того, чтобы украсть деньги с карты. При этом он знает некоторые персо- нальные данные. Например, он может обратиться по имени и отчеству, знать последние цифры номера карты и т. д., пишут «Ведомости».  Чтобы проанализировать такие пре- ступления, регулятор создал рабочую группу из представителей розничных банков. По итогам исследования груп- па должна будет подготовить для граж- дан информирующие материалы с ме- тодами противодействия мошенникам. Ответственность за преступления в сфере компьютерной информации предусмотрена гл. 28 УК РФ, а также ря- дом статей о мошенничестве (ст. 159.3, 159.6 УК РФ). Среди возможных нака- заний – штраф от 100 000 руб., прину- дительные работы от шести месяцев до пяти лет, ограничение свободы до двух лет, а также лишение свободы на срок до 10 лет. В 2017 г. в УК был добавлен состав за неправомерное воздействие на информационные системы РФ, пред- назначенные для решения ключевых го- сударственных задач (ст. 274.1). Крайняя мера наказания – лишение свободы на срок от пяти до десяти лет.  Право.ru Мошенники придумали новую схему с тендерами Преступники представляются по- тенциальными заказчиками, ко- торые готовы заключить крупный контракт. Контрагенту для этого необходимо зарегистрироваться в специальном реестре или получить определенный сертификат за день- ги. Когда компания выполнит это требование, «заказчики» исчезают. С конца 2018 года аудиторам все чаще стали приходить письма от яко- бы потенциальных заказчиков с убе- дительным предложением заключить контракт. Например, на проведение годового аудита стоимостью 3–5 млн руб., сообщает «Коммерсант». Стро- ительным компаниям предлагают по- участвовать в создании бассейна или поселковой канализации.  Зачастую мошенники отправляют сообщения от лица реальных компа- ний, которые обязаны заключать до- говор по результатам тендера и кото- рые, как правило, действительно в это время проводят конкурс. В перечне обязательных требований преступни- ки указывают членство в неизвестной ассоциации или наличие неизвестного до этого сертификата.  Самые распространенные среди ас- социаций – Межрегиональная ассоци- ация надежных исполнителей (МАНИ), СДС «Реестр добросовестных исполни- телей», «Национальный реестр добро- совестных исполнителей». Членство в них платное – от 37 000 до 50 000 руб. за включение в их список, по данным «Коммерсанта».  После оплаты такого взноса «заказ- чики» исчезают. Как отмечает замглавы Финэкспертизы Наталья Борзова, встре- чаются также случаи, когда мошенни- ки требуют внести гарантийный взнос на депозит, который не возвращают. И если с депозитом доказать преступное деяние можно, то со вступлением в ас- социацию или получением сертифика- та сделать это довольно сложно, пред- упреждает Борзова. Компания сама напрямую оплачивает реестру необхо- димый взнос, он свои обязанности по включению в список выполняет. Право.ru