ИНТЕРЕСНОЕ ЗА НЕДЕЛЮ В МИРЕ КИБЕРБЕЗОПАСНОСТИ (15-19 мая)

  1. Microsoft снова призывает приравнять кибероружие к реальному. По мнению президента компании Microsoft Брэда Смита, правительства стран мира должны пересмотреть свое отношение к угрозам в киберпространстве и приравнять кибероружие к физическому оружию в реальном мире. Microsoft и раньше призывала к подписанию так называемой цифровой Женевской конвенции, гарантирующей защиту граждан во время киберконфликтов. Компания снова вернулась к данному вопросу в связи с недавней волной масштабных кибератак с использованием вымогательского ПО WannaCry.
  2. 67% компаний сталкивались с утечками данных из-за сторонних вендоров. В среднем еженедельно доступ к сети одной организации предоставляется 181 сторонней компании, показал опрос, проведенный компанией Bomgar среди более 600 IT-специалистов. Согласно докладу, 67% компаний столкнулись с утечками данных, которые определенно (35%) или возможно (34%) были связаны со сторонними вендорами, при этом две трети респондентов признались в слишком большом доверии третьим сторонам.
  3. Путин назвал зарубежные ИТ угрозой экономической безопасности России. Владимир Путин подписал указ «О стратегии экономической безопасности Российской Федерации на период до 2030 г.». Первым пунктом в списке основных вызовов и угроз по данной тематике в стратегии прописано «стремление развитых государств использовать свои преимущества в уровне развития экономики, высоких технологий (в том числе информационных) в качестве инструмента глобальной конкуренции». Также в этом списке упоминается уязвимость информационной инфраструктуры финансово-банковской системы, а также резкое снижение роли традиционных факторов обеспечения экономического роста, связанное с научно-технологическими изменениями.
  4. Путин заявил об отсутствии серьезного ущерба для РФ от атак WannaCry. Президент РФ Владимр Путин прокомментировал последствия масштабной атаки программы-вымогателя WannaCry, в минувшие выходные парализовавшей компьютерные системы учреждений и организаций в более 150 странах мира. По словам главы государства, российские предприятия практически не пострадали от глобальной атаки, а источником угроз стали спецслужбы США.
  5. Украина заблокировала доступ к Яндекс, ВКонтакте и Одноклассникам. Президент Украины Петр Порошенко подписал указ о новых санкциях против России, которые предполагают, в частности, блокировку доступа к соцсетям «ВКонтакте» и «Одноклассники». Помимо этого доступ будет заблокирован ко всем сервисам «Яндекса» (Яндекс.Деньги, Авиа, Вебмастер, Видео, Почта, Метро, Касса, Календарь, Кинопоиск, Погода и Яндекс Новости), кроме главной страницы поисковика. Текст указа опубликован на официальном сайте главы государства.
  6. Fortinet: как защитить организации от WCry Ransomware. Программы вымогатели стали самой быстрорастущей угрозой вредоносного ПО, ориентированной на всех, от домашних пользователей до систем здравоохранения и корпоративных сетей. Анализ отслеживания показал, что с 1 января 2016 года ежедневно совершалось в среднем более 4000 нападений с целью выкупа. 12 мая FortiGuard Labs начала отслеживать новый вариант ransomware, который быстро распространился в течение дня. Fortinet рекомендует всем клиентам выполнить следующие действия: применить патч, опубликованный Microsoft на всех уязвимых узлах сети; убедиться, что сигнатуры Fortinet AV и IPS, а также механизмы веб-фильтрации включены, чтобы предотвратить загрузку вредоносного ПО, и чтобы веб-фильтрация блокировала связь с серверами команд и контроля; изолировать связь с портами UDP 137/138 и TCP 139/445.
  7. В Сети обнаружена гигантская БД, названная «матерью всех утечек». ИБ-эксперты обнаружили в открытом доступе базу данных с 560 млн утекших паролей, которую исследователи из MacKeeper уже успели окрестить «матерью всех утечек». Как показала проверка с помощью платформы Have I Been Pwned, база данных содержит свыше 243 млн уникальных электронных адресов, утекших в результате тех или иных взломов.
  8. За хакерскую атаку на Windows ответит бизнес, а не Microsoft. Ставших жертвами вируса-вымогателя WannaCry бизнесменов ждут массовые иски со стороны их клиентов в случае, если выяснится, что коммерсанты не обновляли Windows. Об этом заявили юристы. Самой Microsoft, по словам правовых экспертов, иски не грозят.
  9. «Доктор Веб» опубликовала предварительное описание троянца WannaCry. Вредоносная программа, известная под названием WannaCry, представляет собой сетевого червя, способного заражать компьютеры под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует все компоненты червя под именем Trojan.Encoder.11432. Его распространение началось примерно в 10 утра 12 мая 2017 года. Червь атакует все компьютеры в локальной сети, а также удаленные интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445. Обосновавшись на инфицированном компьютере, червь самостоятельно пытается заразить другие доступные машины — этим и объясняется массовость эпидемии. Сама вредоносная программа имеет несколько компонентов, троянец-энкодер — лишь один из них.
  10. ЛК зафиксировала снижение количества DDoS-атак в 2017 году. Согласно отчету «Лаборатории Касперского», первый квартал 2017 ознаменовался традиционным для начала года спадом числа DDoS-атак. При этом общий вектор развития угрозы подтверждает прогнозы экспертов компании. По сравнению с аналогичным периодом предыдущего года количество и сложность атак продолжает расти.
  11. Украина обвинила Россию в слежке за пользователями с помощью 1C. По словам Турчинова, специалисты Службы безопасности Украины исследовали программы и обнаружили, что некоторые из них используются для нелегального сбора информации. «То есть, это фактически кибершпионаж», — отметил секретарь СНБО. Как пояснил Турчинов, собранные данные используются для распространения вредоносного ПО с целью осуществления мощных кибератак, наподобие WannaCry на прошлой неделе. «СБУ реально проанализировала ситуацию, и это решение СНБО применяется против тех предприятий, контент которых реально опасен для киберпространства Украины», — заявил секретарь СНБО.
  12. Эксперты Symantec обнаружили ошибку в ранних версиях вымогателя WannaCry. Исследователи обнаружили, что уязвимость в вымогателе WannaCry не позволила вредоносному приложению генерировать отдельные кошельки Bitcoin для каждой жертвы для сбора платежей. Несмотря на то, что процедура шифрования этого вымогателя все еще не взломана, эксперты утверждают, что им уже удалось обнаружить ошибки во вредоносном коде. В недавнем твите Symantec Security Response говорится о том, что баг не позволял вредоносу использовать уникальный биткойн-адрес для каждой жертвы. Проблема привела к тому, что вымогатель использовал только три кошелька для сбора средств, что не позволяет его операторам отслеживать выплаты конкретным жертвам.
  13. В России появится портал по контролю за персональными данными. В России будет создан сайт по контролю за распространением персональных данных. Появление ресурса призвано решить проблему неконтролируемого сбора персональных данных. За его ведение будет отвечать Роскомнадзор. Пользователь сможет, авторизовавшись на сайте, увидеть, кто использует его персональные данные‚ и при желании запретить организации работать с ними.

Любая уникальная разработка в ИТ и информационной безопасности должна стоить дорого

Привычным делом является заказ какой-то разработки специально заточенной под потребности заказчика. Это может быть популярный продукт, который глубоко дорабатывают, либо это может быть совершенно новое решение. Понятно, что уникальные решения дороже «коробочных», т.к. есть затраты на разработку, внедрение и поддержку. При этом крайне редко учитываются правовые проблемы, которые могут возникнуть на любом этапе от разработки, до эксплуатации.

На своих семинарах я часто говорю, что оплата каких-то уникальных разработок со стороны Заказчика является его доброй волей. В моей практике, да и в практике других экспертов RTM Group много дел, когда Заказчик отказывался принимать результат работ, будь то консалтинговая услуга или какая-то техническая разработка. Дело в том, что российские компании не привыкли делать продуманное техническое задание, и даже если техническое задание было вполне себе качественным в самом начале проекта, то в ходе проекта приходится менять какие-то детали. В результате, полученный результат не совпадает на 100% с подписанным техническим заданием. Бывали случаи, когда результат не совпадает с планируемым вовсе. При этом подрядчик или вендор оказывается в опасной ситуации. Заказчик может просто не оплачивать работу, либо оплатить 10%, сказать спасибо и до свидания. Нередки случаи, когда Заказчик требует возврата аванса, т.к. результат его не устраивает. Обычно это связано со сменой внутренних планов Заказчика, сменой ИТ- или ИБ-команды на стороне заказчика, ну и неудовлетворенность ходом или результатом работ в принципе.

Если разработка не дорогая, в пределах пары миллионов рублей, то перспективы Подрядчика весьма печальны. По факту он просто не сможет истребовать оплаты. Сегодня все привыкли, что если не заплатят – пойдем в суд. Но те, кто серьезно изучал судебную практику по таким делам или проходил разбирательства лично, те знают, что это очень долго, дорого и предсказать результат сложно.

С учетом всех указанных рисков, когда компания берется за сложную уникальную разработку, то нужно предавать ее дорого. Сопли про то, что да, заказчик сложный, но у них бюджет, только 100 тысяч рублей – в пользу бедных. Если работа, не оплачивается разумно, то она просто не нужна.

Отдельной проблемой является работа корпоративных юристов. За последние пару лет я видел всего двух сильных юристов, подкованных в вопросах безопасности и ИТ. Основная масса юристов живут, с точки зрения ИТшников и ИБшников, в иной реальности. У них нет специальных знаний и нет опыта работы с экспертизами, а без экспертиз такие дела не обходятся. Юристы засыпаются на всем от постановки вопросов до интерпретации результатов. Я уже молчу про бездарное ведение дел. Судьи тоже не обладают специальными знаниями, но по собственному опыту могу сказать, что судьи ошибаются редко, а если и приходят к неверным решениям, то только по причине недоработок представителей (юристов) сторон по делу.

К чему я это? К тому, что перед тем, как делать сложную разработку нужно:

1) Устанавливать ценник с учетом правовых рисков
2) Готовить качественное ТЗ
3) Готовить качественный договор, в котором будут не только общие положения, но и условия начала работ, завершения, приостановки и прочее
4) Если возникает конфликт стараться решать его не на уровне «Я поговорил с начальником Васи, он сказал, что надо сделать так», а на уровне писем и внесения изменений в документы.
5) Если ситуация перешла в неразрешимый конфликт, и дело дошло до суда, то сразу готовим корректный иск/отзыв, берем компетентных юристов (а не тех кто есть), оцениваем перспективы дела и входим в длительный судебный спор.

Ну а в целом, худой мир лучше доброй войны. Берегите себя. С пятницей!