«И ещё». Эту фразу произносят под занавес презентаций Apple перед анонсом очередного «революционного» продукта. Эффект сюрприза усиливается тем, что информация о новинках не попадает в прессу раньше времени. За это отвечает Отдел глобальной безопасности. Но сотрудники идут на все, чтобы заработать на секретах корпорации: перебрасывают детали через забор, прячут в нижнем белье и сливают в унитаз. Эти и другие, более технологичные приемы инсайдеров перечислили на закрытом совещании Apple. По иронии судьбы аудиозапись «утекла» в СМИ. Вот короткий пересказ https://goo.gl/JY22HU

Банковская тайна – больше не тайна. Под лозунгом борьбы с уклонением от уплаты налогов Еврокомиссия хочет заставить финансовых посредников, включая банки, сообщать о схемах движения денег в налоговые органы. Пока органы справляются своими силами и даже платят инсайдерам за информацию. Бельгийский суд, например, не видит ничего плохого в том, чтобы покупать и использовать украденные данные для поиска «уклонистов». И даже Швейцария постепенно сдает позиции. Верховный суд страны разрешил использовать утечки данных как основание для раскрытия информации о клиентах банков. Правда, с одной оговоркой https://goo.gl/PHbP1d

Собрали короткий ИБ-дайджест последних событий. Новость номер один, конечно, угроза блокировки Telegram в России. Павел Дуров написал, что в эпоху VPN любые блокировки бессмысленны. Правда, пока он писал, Госдума успела одобрить в первом чтении запрет самих VPN-сервисов для обхода блокировок. Если конфликт между мессенджером и государством все же не разрешится, будем встречаться на нашей Facebook-странице https://www.facebook.com/SearchInform/ Присоединяйтесь:)
Еще в нашем обзоре – утечка в Microsoft и атака на парламент Великобритании, которую спровоцировали госслужащие, используя слишком простые пароли к почте https://goo.gl/7CUkgx

Отвлечемся от утечек и вирусов. Поговорим о людях. За четыре года телефонные мошенники под видом налоговых инспекторов обманули более 10 тысяч американцев, которые «заплатили» за доверчивость 54 млн долларов. Специалист по информационной безопасности решил дать отпор – и парализовал работу вымогателей http://telegra.ph/Gray-hat-Robin-Hood-06-28

Telegram в России не блокируют, еще вчера мессенджер включили в реестр (номер 90-PP). Против Petya/exPetr, кажется, нашли «лекарство». Выдыхаем – и возвращаемся к инсайдерам и утечкам.
Неделю назад сооснователь и генеральный директор компании Uber подал в отставку. Теперь всплывают любопытные детали. Оказывается, его вынудили уволиться инвесторы, потому что он нанял инженера, зная, что тот украл 14 тысяч конфиденциальных файлов у Alphabet, материнской компании Google. И это только один из череды скандалов, повлиявших на решение инвесторов https://goo.gl/BpmfQL

Неважно, чем вы занимаетесь (если это законно), защита персональных данных клиентов всегда должна оставаться в списке приоритетов. Ребята из Калифорнии организовали продажу медицинской марихуаны (в Калифорнии это законно с 2016 года), но не позаботились о мерах информационной безопасности. И теперь вымогатели требуют у ребят в три раза больше, чем стоит их бизнес. Иначе угрожают опубликовать данные клиентов https://goo.gl/qFGYJe

В «темном» интернете обнаружили новаторский способ монетизации краденных данных пользователей. Идея в том, чтобы роботизировать классический метод социальной инженерии – телефонный фишинг. Робот обзванивает жертв под видом официальной автоматической службы банка и просит подтвердить PIN-код карты. Правда, у потенциальных заказчиков есть претензии к качеству голосовых сообщений https://goo.gl/QybycP

Эстонскому бизнесу предлагают «обдумать возможность» страхования от киберрисков. Эстония занимает 18-е место среди 175 стран в мировом рейтинге развития IT-сферы (Россия, например, 43-я в списке). И аргументы страховых компаний кажутся разумными https://goo.gl/QbQXFK В случае утечки информации компании тратят деньги на кризисное управление и на оповещение клиентов, чьи данные пострадали. Страховщики убеждают, что взносы составят небольшую часть бюджета на информационную безопасность. И сравнивают киберстраховку со страховкой на случай пожара, что не избавляет от необходимости соблюдать правила пожарной безопасности.
Как вы думаете, разумно ли включать страховку в ИБ-стратегию?

▪️ 17% (9) Да, это поможет быстрее справляться с последствиями инцидентов
🔸🔸

▫️ 29% (15) Нет, это выгодно только страховым компаниям
🔸🔸🔸🔸

▪️ 52% (27) Зависит от стоимости страховки
🔸🔸🔸🔸🔸🔸🔸🔸
👥 51 - gross votes

Неделю назад российским врачам официально разрешили оформлять электронные больничные. Через полгода начнет действовать закон о телемедицине. Медучреждения накапливают все больше данных в цифровом формате – и становятся все более уязвимыми перед ИБ-угрозами. Вот пример-предостережение из Австралии. Некто продает в «темном» интернете доступ к данным медицинской страховки всех жителей страны, а это почти 24 млн потенциальных жертв утечки. Теоретически доход от продажи может превысить полмиллиарда долларов https://goo.gl/NCfs5L

Персональные данные минимум 3 млн клиентов развлекательной корпорации WWE хранились на «облаке» без пароля. Дискуссии вокруг инцидента сосредоточились на двух моментах. Первый – этика. Оказалось, корпорация предлагала пользователям указывать в профиле пол, этническую принадлежность и возраст детей. Второй – ответственность провайдера услуг. ИБ-эксперты предлагают операторам облачных сервисов отслеживать появление незащищенных критических данных и самостоятельно блокировать к ним доступ https://goo.gl/WFWFRz

Госдума приняла в третьем чтении закон о безопасности критической информационной инфраструктуры. Сопутствующий пакет поправок среди прочего устанавливает уголовную ответственность за кибератаки (до 10 лет), а также за нарушение правил эксплуатации средств хранения, обработки и передачи охраняемой компьютерной информации и за неправомерный доступ к ней (до 6 лет) https://www.kommersant.ru/doc/3352257

Вот результаты исследования ESET: 4 из 5 компаний недооценивают ИБ-риски, связанные с человеческим фактором. А вот история про человеческий фактор: ИБ-директор взломал генератор случайных чисел Ассоциации лотерей в США. Коротко пересказываем историю, больше похожую на сценарий фильма о приключениях Оушена и друзей https://goo.gl/KT9Nch

На портале госуслуг «Доктор Веб» обнаружил вредоносный код, способный заражать компьютеры посетителей сайта и красть пользовательские данные. Коллеги сообщили об уязвимости в техподдержку сайта. Госуслуги в Твиттере написали, что «потенциальная угроза незначительна». А управление пенсионного фонда по Москве и Московской области отправило персональные данные 17 тысяч граждан по списку рассылки.
И это в течение недели, когда депутаты приняли закон о безопасности критической инфраструктуры, по которому тюремный срок грозит не только хакерам, но и госслужащим, из-за попустительства которых произошла атака или утечка. Правда, пенсионный фонд утверждает, что во всем виноват провайдер https://goo.gl/s3bGuA

Американский суд принял историю поисковых запросов в Google как убедитльное доказательство преступного умысла. Научный сотрудник Массачусетского технологического института получил инсайдерскую информацию от жены, зарегистрировал брокерский счет на маму в Китае, а попался на том, что искал в интернете «как безопасники вычисляют необычный трейдинг». Теперь его судят за мошенничество с ценными бумагами https://goo.gl/ZMfqTK

Поговорим о «ценообразовании» в ИБ? Вот, например, полицейский из Югры сливал журналистам служебную информацию за билеты в кино и семейный абонемент в спортзал. Суд посчитал, что это «стоит» никак не меньше 5 лет условно и 2 млн штрафа https://goo.gl/9Mvn6k