Forwarded from Цифровая Орда 🇰🇿
Зачем легализовали «белых хакеров»?
На этой неделе Мажилис одобрил поправки в законе о защите персональных данных, который также включает регулирование «белых хакеров» и работу баг-баунти. Цифровая орда обратилась за комментариями к отраслевым экспертам и узнала, что они думают об этих изменениях.
Олжас Сатиев, директор ЦАРКА.
💬 От принятых поправок выиграют все. Несмотря на то, что казахстанская BugBounty-платформа пока работает в пилотном режиме, на ней зарегистрировано порядка 2 200 хакеров и загружено около 2 800 отчётов с найденными уязвимостями в критически важной инфраструктуре. Они включают разные системы — от банковского сектора до электронного правительства. Никакие ЦАРКА и ГТС не смогли бы так эффективно проверить весь казахстанский сегмент интернета.
Принятый закон позволяет «белым хакером» легально сдавать отчеты с найденными уязвимостями при соблюдении правил платформы — в этом случае они никак не рискуют, а даже наоборот, получают вознаграждение. Например, на недавней конференции KazHackStan представители госслужб наградили 10 лучших этичных хакеров, которые наши больше всего уязвимостей.
Подобные правовые нормы есть и в других странах. Например, в Нидерландах и Бельгии 10 лет назад были точно такие же обсуждения в правительстве. Все понимают, что у специалиста, обнаружившего уязвимость, должна быть легальная возможность ее сдать для устранения. Если в области законодательства мы еще отстаем от Европы, то с технической стороны наша платформа намного технологичнее.
Евгений Питолин, независимый эксперт в области кибербезопасности, ИТ и коммуникаций.
💬 За последнее время понятие «конфиденциальность» сильно изменилось. На сегодня – это роскошь, которую надо тщательно защищать. Главный вопрос, как.
Одну из мер, которую предлагает государство – легализовать «белых хакеров». Смысл в том, что они будут искать уязвимости в государственных информационных системах. Для реализации этого законопроекта необходимо обеспечить механизм финансирования и легитимность пентестов. Это позволит обеспечить безопасность координации критически важных объектов.
Второе, на чем надо сосредоточиться – это постоянно повышать цифровую грамотность в компаниях.
Технологии приобретают все большее значение, и пока сотрудники все так же оставляют всю ответственность только на ИТ-отдел, дело вперед не продвинется. Защита данных – наша общая цель, в которой заинтересованы все.
Шаги, которые необходимо предпринимать на сегодня заключаются в 3-х правилах:
⬇️ Повысить уровень цифровой грамотности компаний и населения.
⬇️ Обеспечить механизм финансирования работы «белых хакеров».
⬇️ Обеспечить легитимность пентестов.
#ИБ #мнение_эксперта
@sandyq_orda – цифровизация Казахстана в деталях
На этой неделе Мажилис одобрил поправки в законе о защите персональных данных, который также включает регулирование «белых хакеров» и работу баг-баунти. Цифровая орда обратилась за комментариями к отраслевым экспертам и узнала, что они думают об этих изменениях.
Олжас Сатиев, директор ЦАРКА.
Принятый закон позволяет «белым хакером» легально сдавать отчеты с найденными уязвимостями при соблюдении правил платформы — в этом случае они никак не рискуют, а даже наоборот, получают вознаграждение. Например, на недавней конференции KazHackStan представители госслужб наградили 10 лучших этичных хакеров, которые наши больше всего уязвимостей.
Подобные правовые нормы есть и в других странах. Например, в Нидерландах и Бельгии 10 лет назад были точно такие же обсуждения в правительстве. Все понимают, что у специалиста, обнаружившего уязвимость, должна быть легальная возможность ее сдать для устранения. Если в области законодательства мы еще отстаем от Европы, то с технической стороны наша платформа намного технологичнее.
Евгений Питолин, независимый эксперт в области кибербезопасности, ИТ и коммуникаций.
Одну из мер, которую предлагает государство – легализовать «белых хакеров». Смысл в том, что они будут искать уязвимости в государственных информационных системах. Для реализации этого законопроекта необходимо обеспечить механизм финансирования и легитимность пентестов. Это позволит обеспечить безопасность координации критически важных объектов.
Второе, на чем надо сосредоточиться – это постоянно повышать цифровую грамотность в компаниях.
Технологии приобретают все большее значение, и пока сотрудники все так же оставляют всю ответственность только на ИТ-отдел, дело вперед не продвинется. Защита данных – наша общая цель, в которой заинтересованы все.
Шаги, которые необходимо предпринимать на сегодня заключаются в 3-х правилах:
#ИБ #мнение_эксперта
@sandyq_orda – цифровизация Казахстана в деталях
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Цифровая Орда 🇰🇿
Кому передадут информационную безопасность
Новым национальным институтом развития в сфере обеспечения ИБ в Казахстане может стать подведомственная МЦРИАП «Государственная радиочастотная служба». Она примет эстафету у РГП ИИВТ, чью деятельность в этой области министерство не имеет возможности должным образом контролировать.
#ИБ
@sandyq_orda – цифровизация Казахстана в деталях
Новым национальным институтом развития в сфере обеспечения ИБ в Казахстане может стать подведомственная МЦРИАП «Государственная радиочастотная служба». Она примет эстафету у РГП ИИВТ, чью деятельность в этой области министерство не имеет возможности должным образом контролировать.
#ИБ
@sandyq_orda – цифровизация Казахстана в деталях
Forwarded from Цифровая Орда 🇰🇿
🔒Любители отправлять голосовые сообщения в зоне особого внимания телефонных мошенников
В начале декабря Нацбанк предупредил казахстанцев о новом виде мошенничества с использованием поддельных голосов. Для это злоумышленники обзванивают граждан, чтобы записать образцы речи, и в дальнейшем могут представляться от их лица. Как обезопасить себя от кради голоса, Цифровой Орде рассказал эксперт по кибербезопасности Евгений Питолин.
Технология двойного назначения
Мошенничество с использованием голосовых дипфейков — это не что-то новое. Я лично знаю кейс, когда бухгалтеру подсовывали аудиосообщение от лица руководителя предприятия со ссылками на фейковую оплату. Это не считая массовых рассылок или рекламы финпирамид и тому подобного с использованием фейковых речей высокопоставленных лиц.
Важно сказать, что технологии имитации голоса задумувались для легитимных целей. Например, для локализации и озвучки различного медиаконтента, голосовых помощников, синтеза речи для людей с особыми потребностями и т.д.
Есть три основных подхода для создания голоса с помощью нейросетей:
⬇️ Синтез речи — создание голоса с нуля на основе имеющейся базы записей.
⬇️ Клонирование — копирование голоса нужного человека.
⬇️ Конвертация — трансформация речи одного человека в голос другого, включая, интонации, тембр и т.д.
Мошенники обычно используют два последних. Для этого им требуется большое количество голосовых данных. Соответственно, компании использующие голосовые сервисы, должны обеспечивать их безопасность, включая средства проверки голоса.
Как мошенники используют голосовые дипфейки
Первые полноценные имитации речи появились в США и касались американских политиков. Наиболее опасными сценариями использования голосовых подделок можно назвать новые формы мошенничества.
Если раньше злоумышленники в основном отправляли текстовые сообщения, то теперь могут сопровождать их голосовыми дипфейками. История наших голосовых записей и сообщений хранится в кэше и облачных сервисах. А если мы открываем мессенджеры на компьютере, все эти данные попадают на ПК, который априори менее защищен в сравнении с iOS. Android же в принципе не защищен.
Выбрав себе цель, злоумышленники изучают ее контакты, взламывают устройства, чтобы получить доступ к голосовым записям. Далее они подменяют идентификатор мессенджера и от лица жертвы пишут ее друзьям и знакомым. Конечно, это не единственный способ, как мошенники воруют данные. Также это могут быть фейковые звонки и другие виды социальной инженерии.
Насколько доступны технологии имитации голоса?
Компаний, разрабатывающих подобные решения сегодня множество. Например, в этом году Microsoft запустила голосовую нейросеть VALL-E, способную имитировать голос вплоть для интонации. Компания сразу заявила, что это не open source технология, для ее использования нужно пройти проверку и заплатить.
К сожалению, среди мошенников есть и технически подкованные люди, либо же они нанимают IT-специалистов. При этом последние могут даже не знать, что работают на злоумышленников.
Учитывая такие риски, компании-разработчики должны ответственно подходить к вопросу публичной доступности своих решений. К слову, недавний конфликт OpenAI тоже возник из-за того, что одна сторона хотела совершенствовать и монетизировать технологию, а другая видела в этом опасность.
Как себя обезопасить?
Многие любят отправлять голосовые сообщения, иногда даже этим злоопутробляя. Такие пользователи первые в зоне риска за счет огромной базы аудиоданных, которую они записали. Соответственно, чем меньше голосовых сообщений отправляете, тем лучше.
Если же вам вдруг пришло аудиосообщение со странными просьбами, обратите внимание на качество записи. Если она слишком детализирована, например, голос отчетливо слышно на фоне шума улицы, это признак механической обработки речи.
Проще всего мошенникам обмануть старшее поколение, поэтому тут важно заранее предупредить пожилых родственников о возможных рисках и просить их всегда вам перезванивать в любой непонятной ситуации.
#Интервью #ИБ
@sandyq_orda – цифровизация
В начале декабря Нацбанк предупредил казахстанцев о новом виде мошенничества с использованием поддельных голосов. Для это злоумышленники обзванивают граждан, чтобы записать образцы речи, и в дальнейшем могут представляться от их лица. Как обезопасить себя от кради голоса, Цифровой Орде рассказал эксперт по кибербезопасности Евгений Питолин.
Технология двойного назначения
Мошенничество с использованием голосовых дипфейков — это не что-то новое. Я лично знаю кейс, когда бухгалтеру подсовывали аудиосообщение от лица руководителя предприятия со ссылками на фейковую оплату. Это не считая массовых рассылок или рекламы финпирамид и тому подобного с использованием фейковых речей высокопоставленных лиц.
Важно сказать, что технологии имитации голоса задумувались для легитимных целей. Например, для локализации и озвучки различного медиаконтента, голосовых помощников, синтеза речи для людей с особыми потребностями и т.д.
Есть три основных подхода для создания голоса с помощью нейросетей:
Мошенники обычно используют два последних. Для этого им требуется большое количество голосовых данных. Соответственно, компании использующие голосовые сервисы, должны обеспечивать их безопасность, включая средства проверки голоса.
Как мошенники используют голосовые дипфейки
Первые полноценные имитации речи появились в США и касались американских политиков. Наиболее опасными сценариями использования голосовых подделок можно назвать новые формы мошенничества.
Если раньше злоумышленники в основном отправляли текстовые сообщения, то теперь могут сопровождать их голосовыми дипфейками. История наших голосовых записей и сообщений хранится в кэше и облачных сервисах. А если мы открываем мессенджеры на компьютере, все эти данные попадают на ПК, который априори менее защищен в сравнении с iOS. Android же в принципе не защищен.
Выбрав себе цель, злоумышленники изучают ее контакты, взламывают устройства, чтобы получить доступ к голосовым записям. Далее они подменяют идентификатор мессенджера и от лица жертвы пишут ее друзьям и знакомым. Конечно, это не единственный способ, как мошенники воруют данные. Также это могут быть фейковые звонки и другие виды социальной инженерии.
Насколько доступны технологии имитации голоса?
Компаний, разрабатывающих подобные решения сегодня множество. Например, в этом году Microsoft запустила голосовую нейросеть VALL-E, способную имитировать голос вплоть для интонации. Компания сразу заявила, что это не open source технология, для ее использования нужно пройти проверку и заплатить.
К сожалению, среди мошенников есть и технически подкованные люди, либо же они нанимают IT-специалистов. При этом последние могут даже не знать, что работают на злоумышленников.
Учитывая такие риски, компании-разработчики должны ответственно подходить к вопросу публичной доступности своих решений. К слову, недавний конфликт OpenAI тоже возник из-за того, что одна сторона хотела совершенствовать и монетизировать технологию, а другая видела в этом опасность.
Как себя обезопасить?
Многие любят отправлять голосовые сообщения, иногда даже этим злоопутробляя. Такие пользователи первые в зоне риска за счет огромной базы аудиоданных, которую они записали. Соответственно, чем меньше голосовых сообщений отправляете, тем лучше.
Если же вам вдруг пришло аудиосообщение со странными просьбами, обратите внимание на качество записи. Если она слишком детализирована, например, голос отчетливо слышно на фоне шума улицы, это признак механической обработки речи.
Проще всего мошенникам обмануть старшее поколение, поэтому тут важно заранее предупредить пожилых родственников о возможных рисках и просить их всегда вам перезванивать в любой непонятной ситуации.
#Интервью #ИБ
@sandyq_orda – цифровизация
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Цифровая Орда 🇰🇿
23 февраля в Астане состоится митап по ИИ и кибербезопасности от Astana IT Community. Организаторы анонсировали несколько докладов от экспертов по ИБ из разных компаний. Также в программе: сессия вопросов-ответов, интерактив и нетворкинг. Участие по регистрации.
#ИБ #мероприятия
@sandyq_orda – цифровизация Казахстана в деталях
#ИБ #мероприятия
@sandyq_orda – цифровизация Казахстана в деталях
Forwarded from Цифровая Орда 🇰🇿
Как пользователям Android не стать жертвами нового эксплойта в Telegram
На днях появилась новость, что злоумышленники стали отправлять в мессенджере видео и предлагать его запустить через сторонний плеер, при установке которого в смартфон попадают вирусы. Мы спросили ИБ-экспертов, чем опасна эта угроза и как от нее защититься.
Олжас Сатиев, президент TSARKA:
Злоумышленники могут распространять вредоносное ПО (.apk) на Android через поддельные видеофайлы, используя манипуляцию расширением файлов в Telegram. Файл выглядит как видео (.mp4), но при открытии система распознает его как приложение (.apk) и предлагает установить. Если пользователь дает разрешение, вредоносное ПО получает доступ к системе и может украсть данные или управлять устройством. Для защиты рекомендуется не открывать файлы из неизвестных источников и отключить в настройках установку из неизвестных источников. Также можно совсем отключить автозагрузку медиа в приложении Telegram.
Евгений Питолин, эксперт по ИБ:
Android очень удобен для преступников. В отличие от других операционных систем, на него можно устанавливать программы не только из официального магазина приложений, но и откуда угодно. Чем и пользуются злоумышленники в Telegram. И единственный способ защиты здесь прост — не открывать никакие видео и ссылки. Если это произошло, постарайтесь сразу удалить приложение через настройки телефона. Ну и не стоит забывать про установку антивирусной программы.
#мнение #ИБ @sandyq_orda – цифровизация Казахстана в деталях
На днях появилась новость, что злоумышленники стали отправлять в мессенджере видео и предлагать его запустить через сторонний плеер, при установке которого в смартфон попадают вирусы. Мы спросили ИБ-экспертов, чем опасна эта угроза и как от нее защититься.
Олжас Сатиев, президент TSARKA:
Злоумышленники могут распространять вредоносное ПО (.apk) на Android через поддельные видеофайлы, используя манипуляцию расширением файлов в Telegram. Файл выглядит как видео (.mp4), но при открытии система распознает его как приложение (.apk) и предлагает установить. Если пользователь дает разрешение, вредоносное ПО получает доступ к системе и может украсть данные или управлять устройством. Для защиты рекомендуется не открывать файлы из неизвестных источников и отключить в настройках установку из неизвестных источников. Также можно совсем отключить автозагрузку медиа в приложении Telegram.
Евгений Питолин, эксперт по ИБ:
Android очень удобен для преступников. В отличие от других операционных систем, на него можно устанавливать программы не только из официального магазина приложений, но и откуда угодно. Чем и пользуются злоумышленники в Telegram. И единственный способ защиты здесь прост — не открывать никакие видео и ссылки. Если это произошло, постарайтесь сразу удалить приложение через настройки телефона. Ну и не стоит забывать про установку антивирусной программы.
#мнение #ИБ @sandyq_orda – цифровизация Казахстана в деталях