Минцифры предложило механизм уменьшения штрафов для компаний за утечки, новая методика анализа защищенности объектов критической информационной инфраструктуры, масштабирование программ Bug Bounty, а также новые киберугрозы.

Картина ключевых событий в сфере информационной и кибербезопасности с 18 по 30 ноября — в материале ICT.Moscow.

В России рассматривают возможность введения минимального оборотного штрафа для компаний, которые допустили утечку персональных данных. Условием для назначения минимального штрафа может стать компенсация ущерба большинству пострадавших. В Минцифры уточнили, что такой вариант обсуждается вместо создания компенсационного фонда, пополнение которого ранее планировалось за счет оборотных штрафов. Однако пока не ясно, каким образом будет проводиться расчет числа пользователей, которым компенсировали ущерб от утечки. В свою очередь Ассоциация больших данных (АБД) выступила против внесудебных выплат за утечки персональных данных. В АБД считают, такое условие «нереализуемо на практике в силу индивидуальности восприятия ущерба субъектом, что делает всю конструкцию смягчающих обстоятельств неработоспособной».

Отдельные же игроки прибегают к программам Bug Bounty, чтобы минимизировать риски, в том числе от утечек данных. Например, компания VK, после использования компетенций сторонних ИБ-специалистов для поиска уязвимостей магазина приложений RuStore планирует снова принять участие в аналогичной программе. Но на этот раз ее масштабировали на 27 проектов VK. В случае выявления уязвимостей исследователи безопасности получат вознаграждения от 3 тыс. до 1,8 млн руб. в зависимости от уровня критичности угрозы. Ранее общая сумма компенсаций экспертам по результатам работы на платформе Standoff 365 Bug Bounty от Positive Technologies составила 3 млн руб.

Другой пусть усиления киберзащиты — анализ защищенности сетей на предмет атак, разработанный Федеральной службой технического экспортного контроля. Методику планируется применять к госорганам, банкам, операторам связи и другим компаниям, которые обладают критической информационной инфраструктурой. Компании будут оцениваться по уровню защиты данных, скорости реагирования на инциденты и осведомленности сотрудников о киберрисках. В результате ведомство ожидает выделить четыре уровня защищенности: высокий, базовый повышенный, базовый и низкий. Пока методика будет носить рекомендательный характер, обязательность внедрения оценят после апробации.

Разработки и внедрение

● «Лаборатория Касперского» разрабатывает шлюз безопасности для умных автомобилей, который будет работать на операционной системе KasperskyOS. Предполагается, что шлюз можно будет устанавливать на телематический или центральный блок автомобиля с архитектурой ARM. Это позволит «защитить автомобиль от взлома, обеспечить безопасное обновление как самого шлюза, так и электронных блоков автомобиля по воздуху». Также решение «позволит собирать логи с внутренней сети автомобиля и отправлять их в центр мониторинга безопасности».

● «Росводоканал» использовал ИБ-решения «РТК-Солар» для защиты 20 веб-ресурсов от киберугроз. Таким образом для 14 площадок «Росводоканала», расположенных в разных регионах страны, создана единая точка входа в интернет и разработаны общие политики безопасности.

● «РТК-Солар» запатентовала технологию анализа исполнимого кода. Она внедрена в Solar appScreener, который позволяет выявлять уязвимости и недекларированные возможности, подсвечивая их в коде проверяемого приложения.

Киберриски и угрозы

● В Positive Technologies прогнозируют новую волну кибератак на российский сегмент интернета в 2023 году. По мнению аналитиков, атаки будут не массовыми, а целенаправленными, сложными и хорошо подготовленными. Также ожидается эксплуатация уязвимостей нулевого дня (против которых еще не созданы защитные механизмы — прим. ред.) в операционной системе Astra Linux и появление вредоносного ПО для систем на Linux. При этом к концу 2022 году, по данным «РТК-Солар», 42% российских организаций пришли к выводу, что им необходимо перестроить свои системы киберзащиты. Среди основных причин рост киберугроз, новые регуляторные требования, а также уход зарубежных вендоров из России и потребность в импортозамещении. Также в конце года в «РТК-Солар» выяснили, что заказчики отечественных ИБ-решений столкнулись с ростом цен и задержкой поставок. При этом коммерческие компании отметили рост цен в большей степени, чем госструктуры.

● По данным InfoWatch, за девять месяцев 2022 года в России снизилось число утечек информации из медицинских организаций. Однако объем похищенных данных вырос в 775 раз, составив 31 млн записей, что объясняется весенней утечкой данных более чем 30 млн клиентов сети медицинских лабораторий.

● В BI.ZONE выяснили, что с августа 2022 года десятки российских компаний малого и среднего бизнеса были взломаны через уязвимость сервера рабочей почты Miscrosoft Exchange.

Атаки и утечки

В числе наиболее заметных инцидентов, связанных с утечкой персональный данных за последние две недели, случай с атакой на Главный радиочастотный центр (ГРЧЦ). В результате в сеть попали скриншоты внутренней переписки организации. Кроме этого, хакеры утверждали, что им удалось зашифровать рабочие станции сотрудников и нанести урон инфраструктуре организации. В ГРЧЦ опровергли их заявление, уточнив, что станции сотрудников не зашифрованы и к ним остался доступ, а в проникновении применили уязвимость, которая ранее нигде не использовалась.

Кибератаки также зафиксировали и на российские брокерские компании, включая «БКС мир инвестиций», «Финам» и «Открытие инвестиции». В результате DDoS-атак злоумышленники вызвали технические проблемы в работе сайтов компаний. По мнению экспертов StormWall, «такие мощные атаки на брокерские компании наблюдались впервые и стали большой проблемой для организаций».

Список сфер, в которых фиксировали утечки данных, пополнился еще одной — ювелирной. В открытый доступ попали базы двух сетей UVI.RU и «Адамас». Общий объем утечки в «Адамас» исчисляется десятками миллионов строк, а база UVI.RU содержит информацию о 53 тыс. пользователях. А в регулировании споров — суд зарегистрировал протокол Роскомнадзора против АНО «Образовательные технологии Яндекса» за нарушения при обработке персональных данных. Компании может грозить штраф в размере до 100 тыс. руб.

***

30 ноября отмечается Международный день защиты информации и изучения проблем компьютерной безопасности. ICT.Moscow собрал специальную подборку решений разработчиков в сфере информационной безопасности.

Более полная хронология ИБ-новостей об утечках данных, DDoS-атаках, новых решениях, соглашениях и регуляторных инициативах отражена на обновляемом таймлайне ICT.Moscow.

Прошлые выпуски ИБ-сводок с ключевыми событиями в сфере информационной безопасности читайте на сайте ICT.Moscow.