Реформа защиты персональных данных в Евросоюзе

European_Com2 месяца назад Еврокомиссия приняла целый ряд документов, задача которых создать единый подход к обеспечению безопасности персональных данных (приватности) на территории Евросоюза. Серьезное влияние на процесс принятия «регулятивной» и «директивной» частей оказала волна судебных процессов с Google и Facebook. Тогда в ЕС был очередной бардак с согласованием единого мнения.

Политики ЕС поставили задачу – обеспечить нормативную базу ЕС инструментарием для дальнейших судебных и внесудебных разбирательств. При этом такая нормативная база должна быть едина для всего ЕС. Собственно, идеи создания новой единой нормативной базы продвигались с 2012 года, но в момент разбирательств с Google процесс получил новый толчок.

Фактически создана новая единая нормативная база для всех стран Евросоюза в части защиты персональных данных. Новые требования должны быть приняты в законы всех стран ЕС до 2018 года. Собственно, тогда новые требования заработают в полную силу.

Хорошая подборка ссылок по тематике как и сами правила доступны тут.

Минкомсвязь: абоненты Skype и Viber не будут лишены телефонных звонков

viber«Коммерсант» в поисках сенсации поднял волну ни о чем. Ни о каких запретах звонков речи не идет. Однако! Появляется регуляция деятельности «IP-операторов», раньше такой регуляции не было.

Вопрос, а нужна ли регуляция деятельности IP-операторов?

Конечно, нужна!

Другое дело, что регулировать их работу по старым лекалам не получится, т.к. это фактически облачный сервис и зачастую далеко не российские компании такой сервис поставляют. Режим регуляции нужно прорабатывать с экспертным сообществом и придумать работающую схему. Иначе не ровен час появится, что-нибудь вроде «закона о вечной блокировке».

Недавно в «Коммерсанте» сообщалось, что принятие проекта постановления относительно изменений схемы взаимодействия операторов связи лишит абонентов VoIP (Voice over IP) возможности звонить на стационарные или мобильные номера. Кроме того, высказывалось опасение относительно возможности совершения бесплатных звонков между самими абонентами VoIP, поскольку нововведения затронут и процесс получения нумерации операторами.

Пресс-служба Минкомсвязи, ссылаясь на слова Михаила Быковского, замдиректора департамента регулирования радиочастот и сетей связи, поспешила опровергнуть подобное утверждение. Проект никак не меняет существующего регулирования в отношении операторов IP-телефонии и нацелен на сглаживание диспропорции между сетями мобильной и стационарной связи в вопросе стоимости вызовов.
Предполагается, что в рамках предложенного проекта удастся ввести дополнительные маршруты для голосового трафика. Для этого операторы местной связи получат возможность прямого присоединения к сетям международных и междугородних операторов, в обход зонового уровня.

В сообщении пресс-службы отмечается, что проекту еще предстоят доработки с учетом результатов опроса общественного мнения.

Немного про социальную инженерию. От Джейсона Стрита

jayПример развитого рынка безопасности, есть конкретные люди, которые занимаются профессионально социальной инженерией. Причем глобально.

Мир глазами социального инженера

Информация является самым ценным товаром в современном мире. И Джейсон Стрит знает, как ее раздобыть. Во время наших бесед я узнал, как он смог проникнуть в самые безопасные организации в США, Малайзии, Иордании, Германии, Ямайке, Франции и Ливане.

«Я проникаю в банки в Бейруте (Ливан). На мне – кожаная куртка DEF CON. Я не говорю на арабском или французском, и, честно говоря, не очень хорошо вписываюсь в образ этого города», — сказал он во время одной из встреч.

Как вы понимаете, это не останавливает Джейсона. Вскоре он уже сидит в офисном кресле, уговорив кассира подключить свой USB накопитель Hak5 Rubber Ducky к компьютерной системе. Кроме того, в конце этого вторжения, он уже имеет в своем распоряжении логин, пароль и смарт-карту помощника менеджера банка.

«Вооруженный этой информацией, я иду в другое отделение банка. Прокладываю себе путь, отсоединяю компьютер и забираю его с собой. Что я делаю дальше? Иду в третье отделение и подключаюсь к внутренней сети», — вспоминает Стрит.

Владельцы банка были шокированы столь низким уровнем безопасности. Они поняли, что каждый человек, получивший подобный доступ, может совершить любые махинации.

На этом этапе Стрит пытается изложить суть как можно проще – если вы желаете усилить информационную безопасность, прежде всего, обеспечьте надлежащую физическую защиту. Чтобы защитить данные, позаботьтесь о безопасности жесткого диска, на котором они сохранены.

«Я не являюсь лучшим кодировщиком или программистом. И никогда не буду таковым. Но мне это и не нужно, если у меня есть отвертка и я могу забрать жесткий диск. Мне не нужно преодолевать информационную защиту, если я могу легко обойти администратора», — говорит он.

Важность физической безопасности

Стрит говорит, что еще ни разу не потерпел неудачи, добиваясь доступа к нужным данным. Но ему нравится бросать самому себе вызов, и иногда его подход внешне выглядит довольно смешным.

Например, в прошлом году он сумел проникнуть в инфраструктуру фешенебельной гостиницы во французской Ривьере, ходя по отелю босиком и будучи одетым в шорты с изображением черепашек Ниндзя.

Ключевой момент в поведении социального инженера – самоуверенность, и Джейсон Стрит знает, как ее использовать. Однажды, во время работы он наткнулся на незащищенный вход в зону, предназначенную только для персонала. И уже через 30 минут находился в офисе. Работники не ожидали, что кто-то может зайти сюда в нерабочее время, а потому защита просто отсутствовала: ключи на столе, свободный доступ к компьютерам. Все, игра закончена!

«У меня никогда не возникало проблем с охраной, даже в правительственных или финансовых учреждениях. В действительности, однажды ночной охранник помог мне вынести сервер и погрузить в мою машину», — весело вспоминает Стрит.

Как предотвратить социально-инженерную атаку

«Я не пытаюсь уничтожить организацию. Я обеспечиваю социальную осведомленность. Моя работа в том, чтобы обучить и помочь людям понять», — объясняет Стрит.

По сути, Стриту искренне хочется быть пойманным. На последней стадии вторжения он специально выполняет очевидно подозрительные действия, чтобы быть разоблаченным.

«Я всегда прихожу с каким-либо предупреждением. Например, когда я проник в здание с высоким уровнем безопасности в Нью-Йорке, на мне была футболка с надписью «Компьютерный работник вашей компании», — вспоминает Джейсон Стрит.

После вторжения, он всегда возвращается обратно и объясняет сотрудникам, что произошло и почему. Эта часть его работы заключается в том, чтобы повысить осведомленность в сфере информационной безопасности и сделать это на эффективном практическом примере.

«Независимо от исхода моего вторжения, я никогда не встречался с глупыми пользователями», — замечает Стрит. «Я видел недостаточно обученных или осведомленных пользователей. А потому просвещение относительно важности безопасности должно стать неотъемлемой частью подготовки персонала».

По мнению Джейсона Стрита большинство социально-инженерных атак возможно предотвратить. Он предлагает следующие подсказки:

1. Если вы чувствуете, что что-то идет не так, прислушайтесь к внутреннему голосу и действуйте в соответствии с ним;

2. В каждой организации должны быть люди, к которым можно обратиться в случае, если сотрудник сомневается. Каждый работник должен знать, что если он заметил подозрительную личность или получил странное электронное письмо, то есть человек, к которому он может обратиться со своими опасениями. Джейсон Стрит предупреждает: «Не подходите к подозрительному человеку, не открывайте письмо, поставьте в известность службу безопасности».

Такой совет может показаться слишком простым, но приключения Стрита по всему миру доказывают, что даже крупнейшие международные организации не применяют элементарных мер безопасности и не учат этому свой персонал. До тех пор, пока не будут приняты надлежащие меры, человеческий фактор так и останется слабым звеном в цепи информационной безопасности.
The life of a social engineer: Hacking the human