Журнал "Директор по безопасности" Август_2019 | Page 4

КОРОТКО
Данные о кибератаках
на критические объекты в РФ
утекают за рубеж
Российские компании, в чьи обязан-
ности входит управление объектами
критической инфраструктуры, без
ведома ФСБ делятся с зарубежными
коллегами данными о кибератаках.
Об этом сообщает «РБК».
Согласно действующему с прошлого
года закону «О безопасности критиче-
ской информационной инфраструк-
туры», компании, управляющие объ-
ектами критической инфраструктуры,
обязаны предоставлять данные о них
Федеральной службе по техническому
и экспортному контролю (ФСТЭК) для
присвоения им соответствующей ка-
тегории (требования по безопасности
для каждой категории разные). Кроме
того, они обязаны подключиться к со-
зданной ФСБ Государственной системе
обнаружения, предупреждения и лик-
видации последствий компьютерных
атак (ГосСОПКА) и сообщать о кибера-
таках на свои объекты в Националь-
ный координационный центр по ком-
пьютерным инцидентам (НКЦКИ).
Однако далеко не все компании
выполняют требования закона и со-
общают НКЦКИ о кибератаках на свои
системы. По этой причине центр не
владеет полной информацией об ин-
цидентах на объектах критической ин-
фраструктуры, не может адекватно на
них реагировать и делать прогнозы.
Как бы то ни было, компании обме-
ниваются информацией о кибератаках
с иностранными организациями. Этим
они нарушают приказы ФСБ № 367 и
№ 368, согласно которым обмен данны-
ми с зарубежными организациями дол-
жен согласовываться с ФСТЭК. Однако
ни одного обращения по данному во-
просу служба не получала.
В ФСТЭК считают, что предоставляе-
мая иностранным компаниям инфор-
мация о кибератаках на объекты кри-
тической инфраструктуры РФ в итоге
попадает в руки зарубежным спецслуж-
бам, которые могут с ее помощью оце-
нить состояние безопасности россий-
ской критической инфраструктуры.
Securitylab.ru
Центр не владеет полной
информацией об инцидентах
на объектах критической
инфраструктуры, не может
адекватно на них реагировать
и делать прогнозы
Охранников обяжут сдавать
экзамен по борьбе
с терроризмом
Новая дисциплина включена в про-
грамму подготовки граждан, прохо-
дящих обучение для дальнейшей ра-
боты частными охранниками. Теперь
при проверке теоретических знаний в
рамках квалификационного экзамена
они будут сдавать предмет «противо-
действие терроризму». Соответству-
ющее постановление кабинета мини-
стров от 20 июня 2019 г. № 783
«О внесении изменения в приложение
№ 6 к постановлению Правительства
Российской Федерации от 14 августа
1992 г. № 587» вступило в силу 4 июля.
«В связи с растущими сегодня, к сожа-
лению, вызовами и угрозами, вопросы
защиты жизни, здоровья, повышения
антитеррористической защищенности
граждан приобретают особую значи-
мость, – отмечает член комитета Сове-
та Федерации по обороне и безопасно-
сти Ольга Ковитиди. – Все это требует
хорошей подготовки людей, которые
нас защищают. В том числе сотрудни-
ков охранных фирм, которых в России
около 1,5 миллиона. Уверена, вопросы
антитеррористической защищенности
общества, а значит профессиональной
подготовки кадров, которые осущест-
вляют эту охрану, должны быть на осо-
бом контроле государства. На особом
контроле должны быть не только объ-
екты торговли, метро, но и все места
массового скопления людей. Именно
поэтому данное постановление акту-
ально и востребовано обществом».
Зампредседателя комитета Госдумы
по безопасности и противодействию
коррупции Александр Хинштейн также
считает, что обеспечение внутренней
безопасности силами частной охраны
на объектах повышенной антитеррори-
стической защищенности, где поток лю-
дей составляет не менее 50 человек в
час, – один из самых острых вопросов.
«Мы видели разную реакцию со сторо-
ны частных охранных организаций на
происшествия на охраняемых ими объ-
ектах, – напомнил депутат. – Где-то она
была, действительно эффективной и
быстрой, а где-то, к сожалению, охран-
ники срабатывали очень нерастороп-
но, не оперативно… Именно поэтому
подготовка кадров, лицензирование и
контроль за деятельностью частных ох-
ранных структур – первоочередная за-
дача», – резюмировал парламентарий.
Парламентская газета
МВД подвело итоги тестирования
систем распознавания лиц
в Москве
В ГУ МВД по Москве рассказали: с
помощью 1000 камер снаружи подъ-
ездов жилых домов за время тести-
рования системы распознавания
лиц правоохранители задержали
90 человек. В метро системы видео-
аналитики тестируют на нескольких
станциях, где разыскиваемых не за-
держивали годами. Теперь ситуация
там изменилась: ежемесячно удаeтся
задерживать от 5 до 10 человек. Со-
став полиции при этом увеличивать
не пришлось, передают «Ведомости».
Ранее к системе распознавания лиц
многие относились скептически, отме-
чает представитель ГУ МВД по Москве.
Сейчас стало ясно: благодаря ей поиск
разыскиваемых существенно упростил-
ся. Система сопоставляет лица из ви-
деопотока с базой лиц, которые нахо-
дятся в розыске, и в случае совпадения
уведомляет сотрудников полиции.
Система VisionLabs, которая уча-
ствует в тестировании, помогла за-
держать в метро около сотни человек,
62 из них находились в федеральном
розыске, остальные проходили по дру-
гим контрольным базам.
В Московском метрополитене и
департаменте информационных тех-
нологий Москвы не раскрыли стати-
стику, но отметили, что благодаря ин-
теллектуальному видеонаблюдению и
другим мерам количество правонару-
шений в метро сократилось вдвое за
последние 2,5 года. 
Право.ru
Двое дончан оштрафованы
на 100 тыс. рублей за продажу
данных абонентов сотовой связи
Сотрудники УФСБ России по Ростов-
ской области задержали двух дончан,
организовавших в Сети торговлю де-
тализацией мобильных телефонов
жителей Ростовской области, сооб-
щают местные СМИ.
Организатором бизнеса стал выпуск-
ник одного из вузов региона, полу-
чивший диплом программиста. После
посещения многочисленных хакер-
ских форумов молодой человек при-
думал схему быстрого обогащения, к
которой привлек своего знакомого,
работавшего в салоне сотовой связи
и обладающего доступом к конфиден-
циальной информации.
Один из напарников регистриро-
вался на хакерских форумах и разме-
щал объявления о продаже инфор-
мации, включая паспортные данные
и детализацию звонков и сообщений.
Вся информация передавалась заказ-
чикам через мессенджер Telegram.
Подпольный бизнес просущество-
вал всего около месяца, а затем за
«предпринимателями» пришли со-
трудники ФСБ. В отношении молодых
людей было возбуждено уголовное
дело по статье «Неправомерный до-
ступ к компьютерной информации».
Обвиняемые полностью признали
свою вину, в итоге суд оштрафовал
каждого на 100 тыс. руб. Приговор
вступил в законную силу.
Securitylab.ru
Биометрия за компанию.
Применение новой технологии
распространят на юрлица
Компании смогут открывать счета и
получать другие услуги банков дис-
танционно на основании биометрии,
сданной их уполномоченными со-
трудниками. Такой проект стартует в
России в будущем году. Биометрия в
корпоративном сегменте может быть
выгодна и банкам, и их клиентам.
Однако есть и риски увеличения ко-
личества однодневок, предупрежда-
ют эксперты. Велика вероятность, что
должностные лица просто не захотят
сдавать образцы лица и голоса для
нужд компаний. С 2020 г.
Банк России планирует запустить
пилотный проект по использованию
образцов лица и голоса граждан, сдан-
ных в Единую биометрическую систе-
му (ЕБС), при обслуживании корпора-
тивных клиентов. Для его реализации
кредитные организации, согласно па-
спорту проекта «Удаленная идентифи-
кация. 2-й этап» (есть в распоряжении
“Ъ”), должны сформировать и предста-
вить на рассмотрение рабочей груп-
пе свои предложения для проработки
организационно-правовой базы. В ЦБ
подтвердили “Ъ”, что вопрос прораба-
тывается. В «Ростелекоме» (оператор
ЕБС) отметили, что уже разработана
«дорожная карта» реализации проекта,
он обсуждается с рынком.
В банках отмечают, что использо-
вание биометрии в корпоративном
сегменте выгодно и банкам, и клиен-
там. «Сейчас удаленное обслуживание
бизнеса ограничено географией пар-
тнерской курьерской сети, – поясняет
глава управления по работе с малым
бизнесом Райффайзенбанка Денис
Скоков. – Возможность удаленной
идентификации предпринимателя
стирает эти границы».
kommersant.ru 
Западные спецслужбы пытались
взломать «Яндекс» для слежки
за пользователями
В конце 2018 года хакеры, работаю-
щие на западные спецслужбы, пред-
приняли попытку взлома российской
компании «Яндекс» для слежки за
пользователями. Об этом сообщило
агентство Reuters со ссылкой на четы-
ре осведомленных источника.
В ходе атак злоумышленники исполь-
зовали редкое вредоносное ПО Regin,
которое, как считается, применяет
альянс «Пять глаз»(Five Eyes), включаю-
щий США, Великобританию, Австралию,
Новую Зеландию и Канаду. По словам
источников, определить, из какой стра-
ны исходила атака, не удалось, а сама
попытка взлома была произведена
между октябрем и ноябрем 2018 года.
Как пояснили собеседники агентства,
злоумышленников интересовала техни-
ческая информация, которая помогла
бы узнать, как «Яндекс» проводит ав-
торизацию пользователей. С помощью
этих сведений разведслужба могла бы
выдать себя за пользователя «Яндекса»
и получить доступ к его частным сооб-
щениям. По данным агентства, целью
злоумышленников была группа разра-
ботчиков «Яндекса».
Представители российской компа-
нии подтвердили попытку взлома, от-
метив, что атака была обнаружена и
нейтрализована на начальной стадии,
до причинения ущерба. «Можем заве-
рить, что злоумышленники не смогли
получить доступ к данным пользовате-
лей сервисов Яндекса», – подчеркнули
в пресс-службе компании. В «Яндексе»
также отметили, что компания посто-
янно сталкивается с различными вида-
ми киберугроз и ее политика не подра-
зумевает распространения подробной
информации о таких инцидентах.
Securitylab.ru
ЦБ подготовит материалы
по противодействию
кибермошенничеству
По сведениям Центробанка, стано-
вится все больше преступлений с ис-
пользованием социальной инженерии.
Регулятор пообещал подумать, как
предупреждать население о таких мо-
шенничествах. Защищаться от кибер-
преступлений важно, а наказания недо-
статочно суровые, считает зампред ЦБ.
Самый частый вид такого преступле-
ния, когда мошенник звонит человеку
под видом работника службы безопас-
ности банка и выуживает данные для
того, чтобы украсть деньги с карты.
При этом он знает некоторые персо-
нальные данные. Например, он может
обратиться по имени и отчеству, знать
последние цифры номера карты и т. д.,
пишут «Ведомости». 
Чтобы проанализировать такие пре-
ступления, регулятор создал рабочую
группу из представителей розничных
банков. По итогам исследования груп-
па должна будет подготовить для граж-
дан информирующие материалы с ме-
тодами противодействия мошенникам.
Ответственность за преступления
в сфере компьютерной информации
предусмотрена гл. 28 УК РФ, а также ря-
дом статей о мошенничестве (ст. 159.3,
159.6 УК РФ). Среди возможных нака-
заний – штраф от 100 000 руб., прину-
дительные работы от шести месяцев до
пяти лет, ограничение свободы до двух
лет, а также лишение свободы на срок
до 10 лет. В 2017 г. в УК был добавлен
состав за неправомерное воздействие
на информационные системы РФ, пред-
назначенные для решения ключевых го-
сударственных задач (ст. 274.1). Крайняя
мера наказания – лишение свободы на
срок от пяти до десяти лет. 
Право.ru
Мошенники придумали новую
схему с тендерами
Преступники представляются по-
тенциальными заказчиками, ко-
торые готовы заключить крупный
контракт. Контрагенту для этого
необходимо зарегистрироваться в
специальном реестре или получить
определенный сертификат за день-
ги. Когда компания выполнит это
требование, «заказчики» исчезают.
С конца 2018 года аудиторам все
чаще стали приходить письма от яко-
бы потенциальных заказчиков с убе-
дительным предложением заключить
контракт. Например, на проведение
годового аудита стоимостью 3–5 млн
руб., сообщает «Коммерсант». Стро-
ительным компаниям предлагают по-
участвовать в создании бассейна или
поселковой канализации. 
Зачастую мошенники отправляют
сообщения от лица реальных компа-
ний, которые обязаны заключать до-
говор по результатам тендера и кото-
рые, как правило, действительно в это
время проводят конкурс. В перечне
обязательных требований преступни-
ки указывают членство в неизвестной
ассоциации или наличие неизвестного
до этого сертификата. 
Самые распространенные среди ас-
социаций – Межрегиональная ассоци-
ация надежных исполнителей (МАНИ),
СДС «Реестр добросовестных исполни-
телей», «Национальный реестр добро-
совестных исполнителей». Членство в
них платное – от 37 000 до 50 000 руб.
за включение в их список, по данным
«Коммерсанта». 
После оплаты такого взноса «заказ-
чики» исчезают. Как отмечает замглавы
Финэкспертизы Наталья Борзова, встре-
чаются также случаи, когда мошенни-
ки требуют внести гарантийный взнос
на депозит, который не возвращают. И
если с депозитом доказать преступное
деяние можно, то со вступлением в ас-
социацию или получением сертифика-
та сделать это довольно сложно, пред-
упреждает Борзова. Компания сама
напрямую оплачивает реестру необхо-
димый взнос, он свои обязанности по
включению в список выполняет.
Право.ru