Информационная безопасность

Онлайн-кассы как инструмент  информационной безопасности продаж

Connect WIT 2017 №7-8

Процесс перевода всех касс России в онлайн-режим, запущенный государством несколько лет назад, набирает обороты. Очередной и важный рубеж был пройден 1 июля, когда вступили в силу поправки в Федеральный закон № 54-ФЗ («О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт»). Теперь интернет-магазины, принимающие к оплате банковские карты, равно как и большинство офлайн-магазинов, должны с помощью онлайн-кассы формировать фискальный чек и отправлять его покупателю на указанный им e-mail или телефон. Предпосылки появления онлайн-касс и преимущества их использования Главной предпосылкой для одного из самых масштабных ИT-проектов нашего времени стали существенные уклонения от уплаты налогов в сферах с высоким уровнем денежного оборота и, как следствие, стремление Правительства уменьшить долю теневой экономики. В число приоритетных задач закономерно вошел контроль над выручкой предприятий торговли и сферы услуг, осуществляющих расчеты с населением. Причем полный учет данных о продажах должен помочь государству не только выявлять или прогнозировать зоны нарушений в применении кассовой техники, но и отслеживать уровень цен на социально значимые товары. Крайне важно было также разработать удобный и юридически значимый механизм коммуникации между ФНС России, торговыми организациями и потребителями – на базе информационных технологий. Что касается самих торговых предприятий, то с реализацией поправок в № 54-ФЗ они получают: […]



Круглый стол - Кибервойна ближайшего будущего: ждем и готовимся?

Connect WIT 2017 №7-8

Кибервойны – уже реальность: применение кибероружия Stuxnet, саботаж производственных предприятий при помощи разработанных спецслужбами эксплойтов, слежка за высокопоставленными лицами других государств и др. Атмосфера в киберпространстве накаляется, поэтому мы решили обсудить с российскими экспертами современную ситуацию в сфере защиты государственных ресурсов и информационных систем.   В круглом столе принимают участие:   Евгений Вильтовский, руководитель компании ALPEIN Software в Швейцарии Павел Волчков, заместитель начальника отдела консалтинга Центра информационной безопасности, компания «Инфосистемы Джет» Михаил Воробьев, начальник аналитического отдела центра разработки технологий, АО «РНТ» Алексей Зенкевич, руководитель подразделения «Промышленная автоматизация», компания Honeywell в России, Белоруссии и Армении Валерий Конявский, д. т. н., заведующий кафедрой «Защита информации», ФРТК МФТИ (ФизТех) Игорь Корчагин, руководитель группы обеспечения безопасности информации компании ИВК Алексей Новиков, заместитель директора центра компетенций по экспертным сервисам, Positive Technologies Виктор Сердюк, генеральный директор АО «ДиалогНаука» Кирилл Уголев, руководитель направления инфраструктурных решений ИБ, компания «Астерос»     Насколько защищены, по вашему мнению, объекты критической информационной инфраструктуры РФ? Какие ключевые проблемы и риски кибербезопасности существуют в России и чем ситуация отличается от развитых стран Запада?   Евгений Вильтовский: На такой вопрос сложно ответить кратко, этому посвящены многие исследования и регулярно составляются подробные отчеты. Но год за годом эксперты и аналитические компании, специализирующиеся в области информационной безопасности, […]



APT-атаки: есть ли шансы устоять?

Connect WIT 2017 №7-8

  Целенаправленные атаки стали сегодня практически обыденным явлением. Еще лет пять-семь назад на различных ИБ-конференциях обязательно был доклад (или даже секция), посвященный ответу на вопрос «что такое APT-атака». Эксперты спорили о трактовке термина, теоретизировали по поводу мотивации атакующих и возможного ущерба при реализации АРТ-атак. Сейчас каждая вторая государственная или корпоративная информационная инфраструктура так или иначе уже оказывалась под прицелом целенаправленной атаки. Почему это происходит? Что наиболее уязвимо? И можно ли что-то предпринять для самозащиты? Тотальная цифровизация с сюрпризом Информационные технологии с той или иной степенью глубины проникли почти во все сферы жизни, активно идет информатизация общества. На уровне государства приняты или разрабатываются различные программы (такие как «Информационное общество» и «Цифровая экономика»), семимильными шагами выводящие в информационное пространство все большее число инфраструктур. В конкурентной среде сложилось четкое понимание, что проведение атак, нацеленных на получение необходимой информации, обещает существенные преимущества. Криминал также идет в ногу со временем и уже во многом перешел в киберпространство. Таким образом, если еще в начале этого десятилетия за APT-атаками стояли преимущественно окологосударственные структуры, то сейчас организаторами могут оказаться и коммерческие компании (в рамках промышленного шпионажа и конкурентной разведки). Появилось множество различных схем монетизации таких атак: это и прямая кража денег, если говорить о финансовом секторе, и продажа […]



Безопасность в соцсетях, мессенджерах и браузерах — тенденции и прогнозы

Connect WIT 2017 №7-8

    С развитием технологий и появлением новых онлайн-платформ растет разнообразие инструментов, доступных киберпреступникам. Ответственность за безопасность данных лежит как на разработчиках, так и на самих пользователях: самой распространенной причиной успешно реализованных атак до сих пор остается человеческий фактор. Популярные социальные сети, мессенджеры, мобильные приложения и браузеры представляют собой желанную мишень для хакеров, поскольку открывают доступ к безграничным массивам персональных данных.   Защита данных в мессенджерах Современные мессенджеры для защиты данных используют протоколы сквозного шифрования (end-to-end encryption) – сообщения шифруются и расшифровываются непосредственно на конечных устройствах. Даже сервер не имеет возможности прочитать сообщение, поскольку криптографические ключи вырабатываются на клиентах, а на сервер не передаются. Подобный тип защиты впервые предложил своим пользователям мессенджер Telegram, который обеспечивает полную защиту данных пользователя. Помимо техник шифрования «безопасные чаты» используют и другие решения, например шифрованные сообщения, которые автоматически удаляются через заданное время.   Но даже подобное end-to-end шифрование не дает 100%-ной гарантии, что никто не сможет прочитать личную переписку. Для перехвата сообщения может быть использовано шпионское ПО, которое устанавливается на клиентское устройство и позволяет получить доступ к сообщению до того, как оно было зашифровано. Кроме того, часто возникают те или иные ошибки в реализации и интеграции решений в приложения. Это подтверждают найденные уязвимости веб-клиентов для […]



Готовность России к ведению современных кибервойн

Connect WIT 2017 №7-8

    Сегодня многие государства объявляют о создании подразделений для ведения кибервойны, как и принято в политике, убеждая всех окружающих, что в их планах исключительно оборона от нападения в киберпространстве. Когда все обороняются, непонятно, кто же тогда нападает, – довольно сложно сегодня представить, что два или более государств открыто столкнутся в киберпространстве.   Кибернападение Под нападением в кибервойне сейчас подразумеваются, скорее, действия не штатных киберармий, а хакерских группировок, возможно, подконтрольных государствам (непонятно каким) или нанятых корпорациями, политизированных кибертеррористических групп либо правительственных и корпоративных разведок. Все они по-разному мотивированы, по-разному организованы и могут выступать за разные стороны конфликта последовательно или даже одновременно. Хакерские группировки больше подходят для грабежа или вымогательства, кибертеррористы, как и террористы обычные, нацелены на отдельные акции в политических целях, корпоративные и государственные разведки нацелены на скрытые операции по похищению информации с последующим оглашением либо без него.   Кибервойна в значении «война», т. е. объявленное и открытое противостояние двух и более государств, сегодня вряд ли возможна – таким образом она быстро перерастет в настоящую, горячую войну, а при участии в ней ядерной державы – и в ядерную. Однако невозможность открытой войны не исключает отдельных актов нападения всех типов, скорее всего, от неизвестного противника, что делает актуальной необходимость наращивать не […]



Кибервойна, день первый

Connect WIT 2017 №7-8

Представим себе гипотетическую картину: мы проснулись, а за окном — кибервойна. Что мы увидим? Мы увидим перегруженные перекрестки, многокилометровые пробки и транспортный коллапс на улицах (хакеры уже многократно демонстрировали перехват управления светофорами, приводящий к хаосу на дорогах). Также мы увидим подтопленные улицы и следы экологической катастрофы в водоемах (увы, сброс содержимого очистных сооружений в реку и, наоборот, блокировка слива городской канализации уже также продемонстрированы хакерами на практике). Если за окном будет ночь или сумерки, мы вообще не увидим ничего – атаки на энергетическую инфраструктуру уже отработаны и позволяют отключать электричество в целых регионах. Зато мы увидим отблески пожаров во многих окнах. Сегодня в большинстве домов уже присутствуют бытовые приборы, допускающие управление через интернет – и это не только смарт-телевизоры или холодильники, но и чайники, утюги и радио-няни. Перехватив управление этими устройствами, хакер с легкостью может перевести их в режим зажигалки. Удаленные поселки останутся без связи. Низменные районы будут затоплены в результате аварий на плотинах ГЭС. Обширные территории на годы окажутся зараженными вследствие взрывов на энергоблоках АЭС. Ослепнут системы управления воздушным движением и только чудо спасет находящиеся в воздухе самолеты. Отключатся все привычные нам каналы связи и единственным видом информации, доступным населению, окажется вражеская пропаганда –она, наоборот, будет поступать бесперебойно через […]



Информационные или психологические?

Connect WIT 2017 №7-8

Сейчас век информации. Информационными становятся технологии, безопасность и даже войны. Впрочем, информационные войны – изобретение прошлого века, когда конкурировали между собой две идеологии – «коммунизм» и «свобода». Однако на новом витке этого противостояния коллективного и индивидуалистического подходов к общественному устройству возникла новая ипостась информационного противостояния – кибервойны. Психологическая или кибер… Если взять определение информационной войны из Википедии [1], то обнаружится следующий текст: «Информационная война (англ. Information war) – термин, имеющий два значения: процесс противоборства человеческих общностей, направленный на достижение политических, экономических, военных или иных целей стратегического уровня, путем воздействия на гражданское население, власти и (или) вооруженные силы противостоящей стороны посредством распространения специально отобранной и подготовленной информации, информационных материалов, и противодействия таким воздействиям на собственную сторону… Также используется термин «психологическая война» – психологическое воздействие на гражданское население и (или) военнослужащих другого государства в целях достижения политических или чисто военных целей; целенаправленные действия, предпринятые для достижения информационного превосходства путем нанесения ущерба информации, информационным процессам и информационным системам противника при одновременной защите собственной информации, информационных процессов и информационных систем». В самом определении явно разделены два пункта: воздействие на гражданское население, власти и в конечном счете на вооруженные формирования с помощью специально подготовленной информации, точнее дезинформации. Здесь же указан синоним – психологическая война. Так […]



ИТОПК-2017: цифровой вихрь дует в паруса российской оборонки

Connect WIT 2017 №7-8

20–22 июня в Ижевске прошел VI международный форум «Информационные технологии на службе оборонно-промышленного комплекса России». Мероприятие состоялось при поддержке коллегии Военно-промышленной комиссии Российской Федерации, Правительства Удмуртской Республики, Министерства обороны России, Минпромторга России, Минкомсвязи России, ФСТЭК России. В роли организатора форума выступил Издательский дом «КОННЕКТ». В деловой программе ИТОПК получили адекватное отражение произошедшие за последний год важные изменения на ИТ-рынке, шаги регуляторов, появление большого количества новых проектов в оборонной отрасли и новых игроков. В рамках выставки были представлены ведущие отечественные разработчики ПО. Участникам форума также была предоставлена возможность посещения ряда ведущих оборонных предприятий Удмуртской Республики. Генеральным партнером мероприятия стал ФГУП «РФЯЦ-ВНИИЭФ», VIP-партнером – фирма «1С», VIP-партнером секции 1 – компания LM Soft, VIP-партнерами секции 3 – ГК «Техносерв» и компания Huawei. Также в роли партнеров секций выступили: ГК «АйТи», ГК «Остек», компания «БОСС. Кадровые системы», «АСКОН», компания «Топ Системы», производственное объединение партнерских компаний «PLM-СОЮЗ», ГК ENTEL, «Аквариус», компания iRU, Research & Development Partners (РДП.ру), платформа Winnum, компания CTI, ТЕСИС, «АйТи БАСТИОН», компании «Информзащита» и «Открытые технологии». В качестве стратегического информационного партнера форума в этом году выступил ежемесячный журнал «Национальная оборона». Информационными партнерами также стали: веб-портал «Управление производством», журнал «ПромЭнерго Лидер», журнал «Оборонно-промышленный потенциал» и телевизионный канал JSON.TV международной консалтинговой компании J’son […]



Обнаружена уязвимость в IP-камерах

Новости

Эксперт Positive Technologies Илья Смит выявил и помог устранить критическую уязвимость во встроенном программном обеспечении IP-камер компании Dahua, которые широко используются для видеонаблюдения в банковском секторе, энергетике, телекоммуникациях, транспорте, системах «умный дом» и других областях. Данной проблеме подвержены сотни тысяч камер по всему миру, выпускаемые Dahua как под своим брендом, так и изготовленные для других заказчиков. Уязвимость CVE-2017-3223 получила максимальную оценку 10 баллов по шкале CVSS Base Score. Недостаток безопасности связан с возможностью переполнения буфера (Buffer Overflow) в веб-интерфейсе Sonia, предназначенном для дистанционного управления и настройки камер. Неавторизованный пользователь может отправить специально сформированный POST-запрос на уязвимый веб-интерфейс и удаленно получить привилегии администратора, что означает неограниченный контроль над IP-камерой. «С программной точки зрения эта уязвимость позволяет сделать с камерой все что угодно, — отмечает Илья Смит, старший специалист группы исследований Positive Technologies. — Перехватить и модифицировать видеотрафик, включить устройство в ботнет для осуществления DDoS-атаки наподобие Mirai и многое другое. Компания Dahua занимает второе место в мире в области IP-камер и DVR, при этом обнаруженная нами уязвимость эксплатируется очень легко, что еще раз наглядно демонстрирует уровень безопасности в сфере IoT-устройств». Уязвимость обнаружена в IP-камерах с программным обеспечением DH_IPC-ACK-Themis_Eng_P_V2.400.0000.14.R и более ранними версиями прошивки. Для устранения ошибки необходимо обновить ПО до версии DH_IPC-Consumer-Zi-Themis_Eng_P_V2.408.0000.11.R.20170621. […]



Банк "Кубань Кредит" обезопасил онлайн-операции

Новости

Банк «Кубань Кредит» повысил степень защиты системы интернет-банкинга для корпоративных пользователей — ввёл подтверждение операций одноразовыми паролями и предоставил клиентам возможность настройки списка получателей платежей. Проект реализован при поддержке компаний R-Style Softlab, разработчика банковского ПО, и «Аладдин Р.Д.» — ведущего российского поставщика решений в сфере информационной безопасности. Реализованный в ходе проекта механизм подтверждения операций с помощью одноразового пароля защищает клиентов от несанкционированного перевода средств. Пароль формируется брелоком eToken PASS от компании «Аладдин Р.Д.», либо генерируется системой ДБО и направляется на телефон клиента в SMS-сообщении. Такой механизм позволяет защитить средства даже в том случае, если злоумышленник получит доступ к компьютеру клиента. Также по запросу КБ «Кубань Кредит» R-Style Softlab реализовала в системе возможность гибкой настройки подтверждений на стороне клиента — пользователя системы ДБО. В частности, ему доступно разделение справочника получателей (корреспондентов и бенефициаров) на контролируемых и доверенных, а также настройка перечня операций, для которых необходимо подтверждение одноразовым паролем. Например, пользователь может установить лимит денежного перевода, при превышении которого происходит запрос верификации, или включить проверку по признакам «бюджетная организация», «собственный счёт», «зарплатный проект» и др. Это позволяет настраивать проверку платежей в адрес контрагентов, не отнесённых к списку доверенных или контролируемых. «Внедрённая функциональность не только повысила безопасность платежей, но и позволила корпоративным клиентам […]


Страница 1 из 4412345...102030...Последняя »

 

ИД «Connect» © 2015-2017

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика