суббота, 21 марта 2020 г.

Пока все дома. Безопасность удаленной работы.

По всему миру сотрудники массово переводятся на работу из дома, как по причине карантина, так и в рамках сокращения издержек. Безусловно это самый массовый рост удаленной работы за всю историю. Но не стоит забывать о угрозах, которые скрываются в данном направлении.

Ниже я описал основные моменты на которые стоит обратить внимание и что можно предпринять, чтобы минимизировать риски в данных обстоятельствах.

ПК сотрудника. На ПК сотрудника, личный он или корпоративный должно ОБЯЗАТЕЛЬНО стоять антивирусное ПО. Без него время заражения ПК с подключением к глобальной сети Internet исчисляется часами. Также рекомендовано использовать персональные межсетевые экраны.

Программы удаленного доступа. Например, одна из самых популярных: TeamViewer - может быть уязвима в ряде версий. Сторонний человек может получить доступ к вашему ПК и выполнить действия для вывода денег или краже информации. Если вам нужно настраивать ПК удаленно пользуйтесь только последней официальной версией с включенным 2 FA. И вообще откажитесь от не лицензионного ПО на ПК с критичной или финансовой информацией, так как бесплатно это значит что кто-то за это платит. В лучшем случае это реклама или майнинг, в худшем троян, который ворует у вас информацию и деньги.   

Распространение информации. Передавая информацию для обработки сотрудникам на личных ПК, вы сильно расширяете периметр ее обращения. И вероятность ее утечки к конкурентам как преднамеренно, так и случайно очень сильно возрастает. Контролируйте передачу критичной информации. Возможно стоит рассмотреть возможность подключения к терминальным серверам без права копирования, для обработки таковой информации. Вариант с предоставлением ноутбука с ограниченными правами тоже возможен, хоть и является менее эффективным.

Передача информации. Следует помнить, что вся передаваемая информация на флеш накопителях или по почте должна быть зашифрована. Можно использовать контейнеры Truecrypt, создавать запароленные архивы или использовать PGP. В любом случае это должна быть шифрованная передача информации любыми каналами - флеш накопитель, почта или мессенджеры. В противном случае не один канал не гарантирует безопасности передачи данных.

Сервисы. Если вы используете Google Docs озаботьтесь кому и на какой срок вы предоставляете доступ к документам. Если пользуетесь почтой, это должна быть именно корпоративная почта. Настоятельно рекомендую включить двухфакторную аутентификацию (2FA) для доступа ко всем важным сервисам. 

Правовые аспекты. Вы не можете просто поставить на ПК сотрудника кейлогер, чтобы смотреть, что он делает или включить камеру. Это должно быть письменно согласовано с сотрудником. И в целом, если вы используете такие методы, то возможно это говорит о неправильной оценке эффективности сотрудника (KPI) и требуется приложить усилия для их корректирования. Также в рамках использования общедоступных сервисов и приложений поинтересуйтесь договором публичной оферты и правовыми аспектами договора.  

Непрерывность бизнеса. Если у вас не внедрены процессы BCM (процессы непрерывностью бизнеса) то сейчас самое время озаботится этим вопросом. Описать процессы и подготовить планы реагирования. А если таковые есть, то это отличная возможность их протестировать. И начать стоит, например, с проверки систем бекапирования. 

Если у вас есть вопросы или необходима консультация по вопросам безопасности - обращайтесь на почту, буду рад помочь.    

пятница, 13 марта 2020 г.

PSD(2). Что мы об этом знаем?

Еще в декабре 2015 года была опубликована директива об оказании платежных услуг Payment Services Directive (EU) 2015/2366 (PSD2). Которая в 2018 году вступила в силу. 

И хотя времени прошло немало, но тема не слишком популярна за пределами профильных кругов.

Усилия решения во многом направлены на регулирование рынка финансовых услуг, борьбу с мошенничеством, продвижение финансовых онлайн услуг, увеличение комфорта для потребителей и снижения их ответственности.

Внедрения требований строгой аутентификации клиентов для совершения платежа (кроме малых платежей 30-50 Евро) с сентября 2019 года. Но окончательные сроки внедрения для разных стран ЕС остаются открытыми из-за неготовности соответствующих органов и инфраструктуры. Механизм правового регулирования на территории разных стран ЕС тоже вызывает затруднения.
Часть требований коррелирует с основами GDPR о минимально необходимой достаточности сбора персональных данных и их безопасности.

В целом очень интересный нишевый документ, который может быть рассмотрен во взаимодействии с требованиями PCI DSS и GDPR. 

И несколько ссылок для более детального ознакомления - 1, 2 и 3.

вторник, 28 января 2020 г.

Draft PCI DSS 4.0


Все мы давно ждали стандарт PCI DSS 4.0.  И вот недавно появилась предварительная версия PCI DSS 4.0. Минимум год еще потребуется для согласования и официальной публикации стандарта. Потом конечно же будет переходной период, когда можно будет делать аудит еще по PCI DSS 3.2.1. 

Что же интересного можно найти в данном документе? 
Я лично ожидал от данной версии стандарта огромного количества изменений - требования к длинным PAN и BIN, большое количество требований к процессам разработки ПО, альтернативные компенсационные меры, работа с облачными системами и сервисами и много чего еще. 

А что же в реальности? 
В реальности в документе целых 46 новых требований. И ряд уточнений по разделам документа PCI DSS 3.2.1. Немало, но их уровень можно описать как “побелить- покрасить”. Где-то поменяли частоту выполнения требований, где-то скоуп оценки или контроля, где-то антивирус заменили на antimalware, брандмауеры и маршрутизаторы на средства управления сетевой безопасностью. Некоторые изменения коснулись отчетности для аудиторов. 
Это все конечно важно и хорошо, уточнения это отлично. Но где новая версия стандарта? 

Эти все улучшения и уточнения, это PCI DSS 3.3, но ни как не PCI DSS 4.0.
Понятно, что требования к разработке вынесли в отдельный стандарт. Но его скоуп применимости отличается от требований PCI DSS, а разработка зачастую присутствует в обоих случаях. 
Использование мобильных систем тоже регламентируется отдельно. И так далее.

Возможно, что за грядущий год еще будет много изменений до официальной публикации, но на данный момент это скорее похоже на обновление существующей версии стандарта, чем на его новую версию.  






среда, 11 декабря 2019 г.

Все самое нужно по GDPR

1. Вышел обновленный перевод GDPR - тут.

2. Много полезной информации по GDPR - тут.

3. Самоопросники на сайте ICO - тут.

4. Штрафы GDPR - тут.

5. Актуальное по GDPR - тут.

Бонус.

воскресенье, 17 ноября 2019 г.

Взломы криптовалютных бирж

Вчера я читал презентацию и в рамках доклада приводил ссылки
на информационные ресурсы по взлому криптобирж за последнее время.
Так как было много просьб опубликовать эту информацию - публикую.
Ниже вы можете найти некоторые ссылки на ресурсы и публикации по взлому криптовалютных
бирж - 1  2  3

Вот визуализация данных одной из публикаций

Или вот еще интересные данные
Вообщем читайте первоисточники, там интересно.

воскресенье, 10 ноября 2019 г.

Длинный BIN на стандартном PAN

В данной статье хотел бы поделиться очень коротким и простым, но очень полезным по моему мнению документом.

Вопрос длинных BIN на стандартной длине номера карты (16) с точки зрения PCI DSS не так и
просто решить. PCI DSS разрешает оставлять 6 первых и 4 последних цифры номера карты и
никаких других  рекомендаций не дает. Возможно, будут рекомендации в PCI DSS 4.0 но пока их
нет. От представителей платежных систем я также не смог получить детальных рекомендаций. 
Есть рекомендации отдельно от VISA и MASTERCARD как поступать в случае более
длинных BIN (7+) на длинных номерах карт (17+). Но как поступать с длинными BIN на
стандартных 16 цифрах не всегда понятно. 

Решение очень простое и весьма логичное - оставлять суммарное количество не маскированных
цифр таким же, как того требует стандарт - 10. Но вместо 6+4 использовать, например 8+2. Да, это повышает вероятность коллизий среди пользователей одного банка, но зато сохраняет стойкость.
Кроме того, в разных процессах зачастую требуется разная информация. И там, где нужен полный
BIN возможно вовсе не нужны последние цифры карты (например, для определения через какой платежный шлюз направить транзакцию для более выгодной комиссии). А для идентификации пользователя может быть вполне достаточно классических 6+4. 

Ну и стоит помнить, что нужно принять меры для невозможности сопоставления данных одной
карты с разными маскированными элементами. 


воскресенье, 29 сентября 2019 г.

GDPR. Штрафы

Несмотря на неверие в полноценное внедрение GDPR и последующие штрафы, в том числе и мое, не только количество утечек но и количество штрафов за такие деяния или бездеятельность неуклонно растет. 

На официальном ресурсе ICO нашел занимательную информацию по штрафам - оригинал.

1. Используйте шифрование при хранении информации. 150 000 фунтов штрафа за утерю DVD диска с не зашифрованной информацией. 80 000 фунтов штрафа за украденную карту памяти. 150 000 фунтов за утерю носителей резервных копий с персональными данными.

2. Используйте шифрование при передаче информации. 120 000 фунтов за ошибку в адресе получателя при отправке электронной почты. Информация была не зашифрована. 75 000 фунтов за передачу персональных данных по ФАКСУ (его еще используют :-)) ошибочному получателю.  

3. Используйте шифрование при обработке информации. 150 000 фунтов за потерю двух не шифрованных ноутбуков с персональными данными. 

Если вы все еще думаете, стоит ли соответствовать требованиям GDPR, то теперь уже вывод очевиден. Однозначно стоит. Более детально тут.

вторник, 13 августа 2019 г.

В ожидании PCI DSS 4.0

Уже этой осенью обещают представить черновик стандарта PCI DSS 4.0 для ограниченной аудитории.

Стандарт будет представлен для обсуждения, но вероятно доступен для QSA. А так же в рамках рабочих групп по направлениям. 

Итоговый PCI DSS 4.0 планируется представить вначале 2021 года. 
Все 12 разделов стандарта останутся. Возможно в него войдут рекомендации которые уже давно требуют регламентирования, а именно. 

  • Длинные BIN и PIN.
  • Системы контейнеризации.
  • Замена устаревших формулировок и подходов.

Также планируется добавить риск ориентированный подход в PCI DSS 4.0

QR коды для оплаты и технологии блокчейн пока, вероятно, остаются за бортом стандарта.    

PA DSS пока поддерживается, но на замену ему готовится новый стандарт разработки ПО. 

Более детально о планируемых изменениях в группе стандартов PCI SSC можно посмотреть в презентации Jeremy King (International Director – Europe PCI Security Standards Council) которая была представлена в рамках конференции #PAYMENTSECURITY 2019

Отдельно несколько интересных бонусных презентаций:




вторник, 18 июня 2019 г.

Блоги и сообщества - невыгодно или неинтересно?

Пересмотрел блоги, сообщества и профильные издания и из 100 ресурсов жив только каждый пятый. То есть за 8 лет умерли 80% блогов. Вероятно, авторы так и не научились на них зарабатывать, а тратить время впустую не захотели. Что мотивирует писать оставшихся? Есть ли новые форматы - подкасты, публикации, каналы в Telegram, группы в Viber?
Если я кого-то забыл - дополните пожалуйста список, вероятно и новые ресурсы тоже должны были бы появиться.

пятница, 3 мая 2019 г.

Согласие на обработку данных и права субъекта данных (GDPR)

Вот такой замечательный материал по части GDPR в ключе согласия на обработку персональных данных доступен на русском языке. Рекомендую с ним детально ознакомиться, а может быть даже и перечитать дважды. Очень детально с пояснениями указаны особенности и нюансы.
Также есть и вторая статья данного авторства о работе с персональными данными сотрудников и контрагентов. Очень хороший материал.
Кроме того вот информация по правам субъекта данных в разрезе GDPR от другого специалиста.
Самое время доделать GDPR в тех местах, которые не были затронуты в первичном аврале год назад.