На прошлой неделе, 25-26 июня в Санкт-Петербурге прошел форум "ИТ-Диалог", где мне довелось уже второй год подряд модерировать (вместе с руководителем ИБ Санкт-петербургского Комитета по информатизации Андреем Лихолетовым) одну из секций - "Россия защищенная". Мероприятие было целиком ориентировано на государственные и муниципальные структуры; поэтому и докладчики в секции были соответствующие…
В РКН не так давно сменилась команда. Результатом стали платные комментарии от сотрудников Роскомнадзора, ознакомиться с которыми я рекомендую каждому. Учитывая предыдущую традицию публиковать свои разъяснения на сайте, новый способ доводить позицию ведомства по злободневным вопросам до населения вызывает, мягко говоря, множество вопросов. Лично я вижу в этом коррупцию и желание отдельных сотрудников Роскомандзора получать гонорар за то, за что они уже получают свою зарплату из моих налогов…
Android — операционная система с открытым исходным кодом. По идее, это должно помогать специалистам по информационной безопасности, изготовителям устройств под этой ОС и поставщикам услуг своевременно разрабатывать и выпускать исправления выявленных уязвимостей ПО. На деле наоборот: в среде BYOD (пользование личными устройствами для работы) действует множество устройств с самыми разными уязвимостями, исправлению которых изготовители не уделяют достаточного внимания…
Несмотря на то, что уже несколько лет я являюсь подписчиков разных национальных версий Forbes меня не может не огорчать глубина проработки в части ИБ. Только навскидку можно найти как минимум 3 крупнейших "режущих глаз" ляпа по теме ИБ…
Я думал, что я самый безбашенный человек в лагере, пока не приехал преподаватель Яндекса. Босиком. Он отпил глоток воды из графина и сказал: «Эээх, раньше я так водку пил». Затем он прочитал искрометную лекцию и «нарисовал» множество эллиптических кривых…
Разработчики Facebook допустили много ошибок в работе над конфиденциальностью данных пользователя. Мы перевели небольшой фрагмент обсуждений на американском сервисе вопросов и ответов Quora, чтобы рассказать о самых серьезных прегрешениях крупнейшей социальной сети…
Новые документы, которые просочились в свет, благодаря бывшему аналитику разведки США, Эдварду Сноудену, были опубликованы на прошлой неделе в The Intercept. В них содержится информация о том, что Агентство по национальной безопасности США (АНБ) и его британский коллега, Центр правительственной связи (ЦПС), шпионили за антивирусными компаниями, включая Avast, AVG, Kaspersky Lab, и Antiy…
На днях состоялась встреча Роскомнадзора с представителями бизнеса, посвящённая вопросам исполнения 242-ФЗ. Говорят, на этой неделе должны быть выложены разъяснения Роскомнадзора по этому поводу. Пока их нет, почитайте, что говорит регулятор под катом…
В очередной раз очередной «регулятор» засветился с очередной … инициативой. Речь идёт о Комментариях Роскомнадзора к 152-ФЗ «О персональных данных». Сразу уточняю: Комментарии не читал! Того, что представлено в посте А.Прозорова от 18.06.2015, вполне достаточно для анализа…
С первого дня, когда я начал осознавать как работает большинство финансовых процессингов, в голове крутилось болезненное «Так жить нельзя!». Но теперь, концепция того как можно попробовать жить, кажется, сложилась. Хотите строгую консистентность на N репликах без линейной потери скорости? Хранение состояний на блокчейнах?...
Обратился недавно к моему коллеге один из руководителей службы внутреннего аудита крупной компании с вопросом - для чего нужны аудиторы ИТ? Ситуация вроде бы даже забавная - кому, как не руководителю функции лучше знать зачем ему те или иные специалисты? Но, на самом деле, случай этот не единственный. Ко мне с таким же вопросом неоднократно обращались коллеги по ремеслу - руководители внутреннего аудита различных компаний…
Осталось 2 месяца до вступления в силу последней редакции закона "О персональных данных", включая и поправки, внесенные ФЗ-242. Роскомнадзор проводит последние встречи с операторами ПДн, разъясняя им новые положения законодательства. Решил и я обновить презентацию о том, какие последние новшества законодательства произошли совсем недавно и что нас ждет совсем скоро. По сути, это некоторое переложение моей недавней заметки…
Пароли, сколько их уже хоронили, сколько говорили про то, что они ненадежны, они все равно остаются основным средством аутентификации. Практически любой пентестер подтвердит, что в рамках работ по взлому он сталкивается с ситуацией нахождения учетных записей, у которых установлен пароль вроде p@ssw0rd или 123456. Сам помню как в одном случае мы наткнулись на учетную запись с паролем secret (абсолютно реальный случай), которая давала админский доступ как минимум к половине всей инфраструктуры заказчика…
Один из читателей блога по поводу поста «Арбитражная практика: Обработка персональных данных, избыточных по отношению к заявленным целям их обработки» задал мне в блоге вопрос. Пока я готовила на него ответ, коллега удалил свой комментарий, но я решила всё-таки опубликовать свой ответ, поскольку затронутая тема, как мне кажется, может быть интересна многим…
В данный момент на просторах интернета, к сожалению, не так и много статей и отчетов о соревнованиях по информационной безопасности CTF (да и о соревнованиях и олимпиадах в целом), написанных от лица самих организаторов. Чтобы хоть немного исправить это недоразумение, мы (PeterPen, команда по информационной безопасности из СПбГУ) хотели бы описать свой опыт проведения индивидуального CTF-соревнования StepCTF 2015, прошедшего 11 и 12 мая 2015 года…
Достаточно часто приходится читать различную документацию на различные проектируемые/внедряемые/поддерживаемые системы. Хочется думать, что мне просто не везло, но постоянно попадается документация, которая ужасна, и причины я бы выделил две: а) проблемы у авторов с формальной логикой, б) непонимание цели разрабатываемого документа. Не берусь лечить проблемы с логикой, буду оптимистично надеяться, что эволюция это исправит, но постараюсь посражаться со второй причиной…
Службы ИБ многих организаций строго централизованы. В одном подразделении сосредоточен практически "полный цикл" по выработке, реализации и контролю политики ИБ. Несмотря на понятные преимущества такого подхода существует и системная уязвимость - отсутствие конкуренции мнений…
Во время подготовки одной из предыдущих статей про структуру документов ИБ наткнулся на очередные изменения в лучших практиках – австралийской Information Security Manual, который мне захотелось рассмотреть поподробнее…
