Дайджест FBK CS №3
21.02.22 - 04.03.22

«Почти половина российских компаний включила цифровые финансовые сервисы в топ-3 критериев, определяющих выбор коммерческого банка для работы. 48% участников исследования указали как минимум одну цифровую возможность среди топ-3 критериев, определяющих выбор банка. В критерии при выборе банка, помимо выгодных ставок и комиссий, вошли цифровые продукты и сервисы, доступность инструментов финансирования и других банковских продуктов и сервисов в онлайн-формате, быстрый онлайн-доступ к финансированию и интеграция с ERP-системами.»

«К 2024 г. ФСТЭК планирует разработать инструменты для безопасной разработки ПО. На проект службой выделено 510 млн руб. Тендер на разработку унифицированной среды был опубликован 16 февраля 2022 г., заявки на открытый конкурс принимаются до 4 марта, итоги будут подведены 11 марта. Проект будет представлять собой веб-ресурс для доступа к унифицированной доверенной среде. Инструменты среды будут включать средства интегрированной разработки, безопасные компиляторы, инструменты кросс-платформенной разработки, разработки и выполнения модульных тестов, статического анализа, фаззинг-тестирования, механизмы выявления атак и утечек данных. Предпочтение будет отдаваться отечественному, свободно распространяемому, независимому ПО. Опрошенные разработчики ПО позитивно отнеслись к инициативе ФСТЭК.»

«Сначала разберемся в терминах. Фишинговая кампания — это массовая рассылка спам-сообщений или других форм коммуникации с целью заставить получателей выполнить действия, которые ставят под угрозу их личную безопасность или безопасность организации, в которой они работают. Как не стать заложником такой ситуации:
— Не переходить по ссылкам в электронных спам-сообщениях и на сайтах, которым не доверяете;
— Проверяйте адреса веб-сайтов, которые вы посещаете или перешли по ссылки;
— Регулярно обновляйте ПО и операционную систему; Это гарантирует, что для защиты вашего компьютера используются новейшие исправления безопасности.
— Установите антивирусное ПО и регулярно его обновляйте; Использование антивируса или комплексного решения для обеспечения интернет-безопасности;
— Не открывайте вложения в электронных спам-сообщениях.
Один из распространённых способов заражения с помощью. вредоносных атак и других типов киберпреступлений — это вложения в электронных спам-сообщениях»

«Пользователи Habr собрали краткий перечень сервисов, в работе которых наблюдаются задержки, заблокированные (полностью или частично) или прекратившие свою деятельность на территории РФ включая поставщиков ПО, сервисов доставки и др. Сразу оговоримся, что помимо фактов статья содержит неподтвержденную информацию. Вот некоторые из числа подтвержденных:

 — Частично не работают (отдельные сервисы): Siemens, Schneider Electric, ReadTheDocs.
 — Задержки в работе: Google Play, App Store, Википедия, Google, TikTok, Instagram, Twitter, Facebook.
 — Заблокированы частично (функционально или для конкретных регионов): Apple, Google web. dev, PayPal (закрыта возможность регистрации новых пользователей из России), Google Ads, AdSense, YouTube.
 — Не работают: Keepsolid/vpnunlimited, Qt (только через VPN), Centr.org, Guix, NXP Semiconductors, Сlearvpn, Analog Devices, VyOS.
 — Планируют уход с рынка: HackerOne, Namecheap (до 22 марта), VMware.
 — Прекращение поставок (в т.ч. временное) / уход с рынка: Apple, Oracle, Nokia, Ericsson, Hewlett Packard Enterprise (HPE), MikroTik, DHL, UPS, FedEx, SAP, Atlassian, Canon, Airbnb.

Есть и хорошие новости: GitHub заявила об отсутствии намерений блокировать аккаунты российских пользователей (сообщение от 01.03.2022).»

«В связи с санкциями, введенными против банков, невозможно будет обновлять и использовать зарубежное программное обеспечение по истечению срока его лицензии, что ставит под угрозу кибербезопасность банков. По подготовленному Минцифры летом 2021 г. проекту указа переход на российское ПО и оборудование должен был состояться через два-три года, тогда как в новых условиях банкам, попавшим в санкционный список, возможно придется перейти на отечественное ПО в сжатые сроки. Сейчас уже выдвигается возможность приобретения через посредников иностранного ПО, либо использования ПО более дружественных стран, однако это приведет к ряду серьезных рисков. Минцифры обязались оказать поддержку ИТ-отрасли. Банк России и правительство РФ также будут оказывать любую необходимую поддержку банкам, попавшим под санкции западных государств.»

«Ситуация абсолютно понятная. Ряд иностранных поставщиков сертификатов SSL-шифрования, использующихся большинством банковских сайтов, отозвали выданные сертификаты или прекратили обсуживание организаций, попавших под санкции. Эта мера уже обсуждалась ранее в сообществе экспертов и кто-то уже был к этому готов.

В нашей стране существуют свои сертификационные центры, которые позволяют получить релевантный аналог SSL. Однако применим он будет только для отечественных браузеров. Банковские сайты без SSL-сертификатов могут испытвать затруднения в работе вплоть до ошибок при загрузке страниц, а для сайтов с нераспознанными сертификатами пользователя будут уведомлять о том. что сайт может быть опасен для него. Также отсутствие релевантных сертификатов шифрования, конечно, скажется на результатах поисковой выдачи. Опасность же для конечных пользователей состоит в том, что задача отличить фишинговый сайт от сайта с нераспознанным сертификатом шифрования теперь ложится на его плечи.«

«Крупные утечки информации в компаниях, банках и сервисах, экосистемах происходят регулярно. В ходе изучения обстоятельств инцидента в большинстве случаев выясняется, что причиной стали недобросовестных действия одного из сотрудников. То есть была реализована угроза, называемая внутренним нарушителем. Для защиты от подобных инцидентов необходимо:
—тщательная кадровая проверка при найме (включая проверку подлинности предоставляемых данных и ответов на вопросы о семейных связях и личных аккаунтах в социальных сетях);
— при приеме на работу ознакомить сотрудника с внутренними инструкциями в области ИБ;
— оценка контроля знаний инструкции по ИБ и дополнительное обучение при необходимости.
— применения специальных средств защиты информации для ограничения возможностей сотрудника без ущерба его основным обязанностям;
— проведение дополнительных курсов по повышению осведомленности сотрудников в области ИБ.

Для реализации этих основных мер можно использовать специализированные автоматизированные продукты. Для индивидуальной консультации по вопросу интеграции подобных решений обращайтесь к нам по следующим контактам: Рощупкин Иван Анатольевич, тел. +7(495)737−53−53 доб. 5179, моб. +7 (985) 369 7563, iroshupkin@fbkcs.ru»