НЕ ИГНОРИРУЙТЕ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ!!!
В конце прошлого года мир увидел ряд новых инициатив в сфере регулирования безопасности данных. В основном это коснулось компании, которые занимаются торговлей государственными ценными бумагами и их подрядчиков. Как сообщает Risk Management Magazine, в США данное регулирование затрагивает около трех тысяч организаций. В четвертом квартале прошлого года Национальная клиринговая корпорация по ценным бумагам (NSCC) предложила, чтобы члены и новые участники представляли подтверждение о кибербезопасности в качестве первоначальной заявки на членство и на постоянной основе не реже одного раза в два года. Начиная с 9 декабря данная норма вступила в силу.
Подтверждением информационной безопасности является комплексная программа кибербезопасности. Данная программа должна быть основана на оценке рисков, которая защищает конфиденциальность, целостность и доступность данных и информационных систем организации. Также, программа должна соответствовать общепризнанным в отрасли системам, таким как NIST's Cybersecurity Framework или стандарт ISO 27001.
Одним из важных элементов является управление рисков кибербезопасности сторонних поставщиков. То есть, не только данные компании должны быть хорошо защищены, но также и контрагентов. К примеру, с помощью простого поиска на сайте объекта исследования возможно вы не сможете найти ценную информацию напрямую. Но вероятно, что сможете сделать за счет его поставщиков.
Возьмем реальный пример. Введите в GOOGLE "site:
trello.com КТЖ" и получите несколько интересных и актуальных ссылок.
Вторая ссылка называется “развитие информационной системы кдтс”. Тут скорее всего речь идет о компании АО "Кедентранссервис" (лого соответствует). Там имеется ряд интересных вкладок, таких как:
▪️Бюджет 2020;
▪️На согласовании;
▪️Идеи;
▪️Очередь на реализацию;
▪️В работе;
▪️На оплату;
▪️Оплачено;
▪️Приемка работ.
Мы думаем, что невнимательные сотрудники КДТС забыли изменить настройки приватности. Теперь за ними может наблюдать весь интернет. Таким простым действием, без особых хакерских навыков, можете собрать материал на многие квазигос.компании и государственные организации. Особенно интересной находкой можно назвать планы действий проплаченных пиарщиков перед какими-нибудь важными событиями.
Мы понимаем, что сейчас вокруг распространяется коронавирус и многие работают на удаленке, но это не является основанием пренебрегать информационной безопасностью. Надеемся наш посыл дойдет до государственных и квазигосудартсвенных компаний и нам не придется по очереди приводить примеры для каждой из организаций.
Мы будем периодически публиковать наши исследования по квазигос. и гос. компаниям с помощью OSINT (open source intelligence).
Надеемся, что мы хоть как-то сможем помочь коллегам из ЦАРКА в их нелегком деле.@RiskTakersKZ