Дайджест Jet CSIRT [06.07.2021]

06.07.2021

Компания Kaseya выпустила официальный пресс-релиз по ситуации с кибератакой

 

Пресс-релиз опубликован на сайте globenewswire.com. Согласно заявлению, в результате атаки REvil были взломаны системы примерно 60 прямых клиентов компании (из 35 тысяч), которые обслуживают от 800 до 1500 бизнесов, с помощью продукта Kaseya VSA. Производитель напоминает, что все локальные серверы VSA должны оставаться в автономном режиме до тех пор, пока Kaseya не даст дальнейших указаний о том, когда их снова можно будет безопасно эксплуатировать.  


Раскрыта информация об уязвимостях в Kaspersky Password Manager

 

Специалисты исследовательской команды Ledger Donjon обнаружили несколько проблем в генераторе паролей, входящий в состав Kaspersky Password Manager. Наиболее критичным является использование ГПСЧ, не подходящего для криптографических целей, т.к его единственным источником энтропии было текущее время. Все созданные KPM пароли можно было подобрать за секунды. Разработчики «Лаборатории Касперского» уже исправили уязвимости в новых версиях KPM.


В QNAP NAS исправлена опасная уязвимость

 

Тайваньский производитель сетевых хранилищ (NAS) QNAP устранил критическую уязвимость системы безопасности. Проблема, получивщая идентификатор CVE-2021-28809, была обнаружена в решении QNAP для аварийного восстановления и резервного копирования данных HBS 3 (Hybrid Backup Sync). Уязвимость позволяла неаутентифицированному злоумышленнику повышать привилегии, удаленно выполнять команды получать доступ конфиденциальную информацию на атакуемом устройстве.

content-img.png


Опубликован ГОСТ Р 59407-2021 «Базовая архитектура защиты персональных данных»

 

На сайте Федерального агентства по техническому регулированию и метрологии в июньском 2021 года разделе выложен стандарт ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных» объёмом 46 страниц, вступающий в силу 30.11.2021 года. Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук» (ФИЦ ИУ РАН), ООО «Информационно-аналитический вычислительный центр» (ООО «ИАВЦ») и акционерным обществом «Аладдин РД»; внесён техническим комитетом по стандартизации ТК 022 «Информационные технологии».


Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных и использования средств защиты информации при использовании ЕБС

ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ».


Информация ФСТЭК России для субъектов КИИ из сферы здравоохранения

 

ФСТЭК России уточняет порядок представления субъектами критической информационной инфраструктуры, осуществляющих деятельность в сфере здравоохранения, сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий. Соответствующее информационное сообщение от 18 июня 2021 г. № 240/82/1037 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий» опубликовано на сайте регулятора.


Роскомнадзор разработал сервис для операторов персональных данных

 

С 1 июля на официальном сайте Роскомнадзора запущен сервис для операторов персональных данных (ПД), который позволит им сформировать шаблон формы согласия на обработку ПД, разрешенных субъектом для распространения. С 1 сентября для операторов вступают в силу обязательные требования к форме согласия на обработку ПД, разрешенных для распространения. Разработанный Роскомнадзором сервис позволит операторам ПД сформировать шаблон согласия, который будет соответствовать требованиям, а также учитывать специфику деятельности конкретного оператора.


Государственный контроль в сфере электронной подписи

 

Официально опубликовано постановление Правительства Российской Федерации от 29.06.2021 № 1044 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи».


Изменения в 31-й приказ ФСТЭК

 

Официально опубликованы изменения в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды, утверждённые приказом ФСТЭК России от 14.03.2014 № 31. Изменения касаются применения сертифицированных средств защиты информации, соответствующих тому или иному уровню доверия, в зависимости от класса защищённости автоматизированных систем управления.


Стратегия национальной безопасности Российской Федерации

 

Официально опубликована обновлённая Стратегия национальной безопасности Российской Федерации: Указ Президента Российской Федерации от 02.07.2021 № 400 «О Стратегии национальной безопасности Российской Федерации».