Защита БД клиентов банков
Вслед за вступившим в силу 1 сентября ФЗ №242, вводящим запрет на хранение ПДн российских граждан за границей, Центробанк России постановил о необходимости размещения электронных баз данных о клиентах на территории Российской Федерации. Соответствующее Указание ЦБ РФ было Зарегистрировано в Минюсте 18 августа. Отныне банки, использующие зарубежные серверы и центры обработки данных, будут вынуждены сменить свои ИТ-площадки и перенести серверы на территорию РФ.
Реестр нарушителей прав субъектов персональных данных
С 1 сентября 2015 года создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Реестр будет включать в себя доменные имена, указатели страниц и адреса сайтов, содержащих информацию, обрабатываемую с нарушением законодательства о персональных данных.
Создание, формирование и ведение системы будет осуществлять Роскомнадзор в соответствии с правилами, утвержденными Правительством РФ.
«Пакт о ненападении» в киберпространстве
По информации из СМИ экспертной группой специалистов ООН по международной информационной безопасности из 20 стран мира, включая Россию, США и Китай, был разработан доклад, определяющий соглашения об ограничении своих действий в информационном пространстве. В соответствии с договоренностями государства обязуются использовать кибертехнологии исключительно в мирных целях, не допуская реализацию компьютерных атак на объекты критически важной инфраструктуры друг друга и применение программно-аппаратных закладок в IT-продукции. Страны-участники соглашения обязуются оказывать содействие в борьбе с киберпреступниками, действующими с их территории, и не выдвигать бездоказательных обвинений в кибератаках по отношению друг к другу.
Впрочем, установленные в докладе ООН нормы носят лишь добровольный характер и не являются юридически обязующими. Однако экспертами подчеркивается важность данного события, которое, безусловно, укрепляет сотрудничество в области международной информационной безопасности.
SHA-3
Национальный институт стандартов и технологий США (NIST) выпустил окончательную версию своего нового стандарта «Защищенный алгоритм хешировании — 3» (Secure Hash Algorithm-3, SHA-3).
Разработка нового криптографического алгоритма велась в течение девяти лет в рамках открытого конкурса, в котором приняли участие 64 алгоритма, представленные специалистами из разных стран. Победителем конкурса стал Keccak — алгоритм хеширования переменной разрядности, который и лег в основу SHA-3.
В NIST отмечают, что SHA-3 сильно отличается от утвержденного в 2002 году SHA-2, однако новый стандарт не заменяет предыдущий, а предлагается в качестве резервного на случай, если в будущем надежность хеш-функции SHA-2 значительно снизится из-за роста мощности и производительности устройств, а также из-за появления новых методов криптоанализа.
Ключевым преимуществом нового алгоритма является возможность эффективной реализации на большом количестве аппаратных платформ, включая миниатюрные встраиваемые устройства (например, USB-флеш-накопитель).
Новые уязвимости SCADA
Команда экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT опубликовала предупреждение о наличии критических уязвимостей в человеко-машинных интерфейсах SCADA-систем (Human-machine interface, HMI), разработанных Schneider Electric.
Schneider Electric Modicon M340 PLC Station P34 подвержен уязвимостям, которые могут быть проэксплуатированы злоумышленниками для осуществления DoS-атак и удаленного выполнения кода.