Рубрика: Новости

Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов, преимущественно интернет-магазинов. Проблема может коснуться всех, кто использует продукты «Аспро» для своих веб-ресурсов на основе системы 1С-Битрикс. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга.

«Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным — вплоть до логина и пароля к панели управления сайтом», — комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко. 

Поскольку разработчик проблемного ПО не реагирует на обращения, специалисты по кибербезопасности hoster.by разработали инструкцию для владельцев сайтов на CMS 1С-Битрикс. С ее помощью вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by.

Как обнаружить уязвимость

Проблема касается исключительно пользователей продуктов «Аспро», а не всех сайтов на 1С-Битрикс. Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Обнаружить их можно в директории пользователя bitrix ~/ajax/).  Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе. 

Как решить проблему

Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:

1. Остановить все вредоносные процессы. 
2. Сменить пароли всех используемых учетных записей 1C-Битрикс.
3. Обновить CMS и все ее модули до последних версий.
4. Внести дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — заменить $arParams = unserialize(urldecode($_REQUEST[«PARAMS»])); на $arParams = json_decode($_REQUEST[«PARAMS»]).

«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом, и отсутствие быстрой реакции со стороны центра кибербезопасности могло бы привести к утечкам конфиденциальной информации или персональных данных». 

Если у вас не получается самостоятельно решить проблему, пожалуйста, обращайтесь в техническую поддержку hoster.by.

Сегодня в столице на площадке ”CYBER SECURITY FORUM“ состоялся круглый стол по проблематике кадрового голода в сфере информационной безопасности, формированию профессиональных компетенций и команды.

Ирина Близнюк, начальник управления образовательных услуг и связей с общественностью Центра рассказала участникам мероприятия о ключевых факторах  назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в организации.

– Важно учитывать квалификацию и опыт таких специалистов. Это лицо должно обладать достаточными знаниями в области защиты персональных данных, а также опытом работы с нормативными правовыми актами, регулирующими эту сферу. Специалист должен иметь возможность взаимодействовать с различными структурными подразделениями организации и давать обязательные к исполнению указания. Это требует определенного уровня административных полномочий и поддержки со стороны руководства, – подчеркнула Ирина Близнюк.

Она отметила, что должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных определены в Едином квалификационном справочнике должностей служащих (ЕКСД) ”Должности служащих для всех видов деятельности“.

Обсуждали в рамках круглого стола вопросы обучения и сертификации ответственных за информационную безопасность, защиту персональных данных. Своим опытом в этом вопросе делились руководители структурных подразделений по защите информации разных компаний.

Национальный центр защиты персональных данных неоднократно обозначал, что институт ответственного за осуществление внутреннего контроля за обработкой персональных данных является одним из основных инструментов обеспечения надлежащего соблюдения обязанностей, возложенных на организации Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Варианты организации внутреннего контроля за обработкой персональных данных:

• создание отдельного структурного подразделения;
• назначение освобожденного работника (специалиста по внутреннему контролю за обработкой персональных данных);
• возложение дополнительных функций на одного из работников;
• возложение дополнительных функций на нескольких работников или на отдельное структурное подразделение.

Нецелесообразно возложение функций исключительно на специалиста по информационной безопасности. Почему важно не совмещать эту роль с ответственностью за информационную безопасность?

Во-первых, присутствует конфликт интересов. Ответственное лицо за обработку персональных данных должно сосредоточиться на защите прав субъектов данных и соблюдении нормативных, организационных  и технических требований, что в большей степени характерно для работы специалиста с юридическим образованием. В свою очередь специалист по информационной безопасности занимается защитой информационных систем от внешних и внутренних угроз.

Во-вторых, совмещение этих ролей может привести к перегрузке одного сотрудника и снижению эффективности выполнения обязанностей. Назначение отдельного лица, ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов данных.

Назначение отдельного лица (структурного подразделения), ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов персональных данных.

Сегодня в Минске проходит форум по кибербезопасности, где особое внимание уделено вопросам защиты персональных данных и регуляторике информационной безопасности в Беларуси.

Эксперты Оперативно-аналитического центра при Президенте Республики Беларусь, Национального центра защиты персональных данных, Комитета по цифровой безопасности Научно-технологической ассоциации ”Инфопарк“, Белорусского межбанковского расчетного центра и Центра кибербезопасности ООО ”Надежные программы“ обсудили текущие вызовы и перспективы в сфере информационной безопасности, а также рассмотрели инициативы, направленные на усиление защиты данных.

Ключевыми темами для обсуждения стали функционирование национальной системы обеспечения кибербезопасности, повышение безопасности и надежности информационных систем, реализация норм законодательства о персональных данных в различных сферах.

Участники пленарного заседания  ”Регуляторика в информационной безопасности и как она влияет на бизнес“ отметили важность дальнейшего совершенствования нормативной базы и внедрения передовых технологий для обеспечения безопасности информации, а также обсудили возможное увеличение санкций за несоблюдение мер по обеспечению защиты персональных данных.

Виталий Диско, заместитель начальника управления контроля и аудита Национального центра защиты персональных данных подчеркнул, что на сегодняшний день в Беларуси обеспечено стабильное правовое регулирование, тем не менее, учитывая практику применения законодательства о персональных данных, прорабатывается вопрос о плановой корректировке нормативных правовых актов.

Также на форуме обсуждаются меры по предотвращению кибератак и защите критической информационной инфраструктуры.

С начала 2024 года на базе Института информационных технологий учреждения образования ”Белорусский государственный университет информатики и радиоэлектроники“ стартовало обучение по специальности переподготовки 9-09-0611-05 ”Защита персональных данных“ с последующим присвоением квалификации – ”специалист по безопасности данных“.

Сегодня это востребованный способ подготовки квалифицированных специалистов в сфере защиты данных для различных организаций.

В рамках заочной и вечерней форм получения образования по указанному направлению уже обучаются две группы слушателей, каждый второй из них имеет юридическое образование.

Прием документов на предстоящий учебный год осуществляется до 7 октября 2024 года.

Целью переподготовки является обеспечение операторов персональных данных специалистами, владеющими современными компетенциями, необходимыми для обработки персональных данных, их защиты, в том числе способными на высоком профессиональном уровне осуществлять внутренний контроль за обработкой персональных данных у оператора (уполномоченного лица).

Реализация указанной образовательной программы осуществляется в заочной (24 месяца) и вечерней (16 месяцев) формах получения образования при непосредственном взаимодействии с Национальным центром защиты персональных данных.

Дополнительную информацию можно получить у методиста Босько Ольги Владимировны по телефонам: +375(17) 366-63-85, +375(29) 390-88-95, bosko@bsuir.by.

Сайт: iit.bsuir.by. Адрес: г. Минск, ул. Козлова, д. 28.

XII Белорусско-российский молодежный форум прошел в столице 25-26 сентября.

Участники мероприятия – представители всех регионов Беларуси и шести регионов России. Насыщенная программа форума включала в себя рассмотрение актуальной повестки государственной молодежной политики и международного сотрудничества для ее реализации.

Кроме того, на базе на базе Республиканского молодежного центра состоялась секция ”Развитие медийно-информационной грамотности: новые технологии и вызовы“, где представители молодежи обсудили вопросы защиты персональных данных и цифровой безопасности. Для участников форума представители Национального центра защиты персональных данных организовали квиз по защите личной информации и вручили памятные сувениры.

Центром уделяется пристальное внимание работе с молодежью, созданию адаптированного, доступного для понимания ею материала о персональных данных и их защите.

С одной стороны, это непосредственно способствует недопущению нарушения прав и законных интересов. С другой стороны, это инвестиция в будущее, поскольку полученные сейчас знания будут успешно применяться во взрослой жизни, на рабочих местах.

25 сентября в Могилёве состоялась  конференция ”Битрикс24“,  где обсудили, почему защита персональных данных важна для бизнеса.

Участники мероприятия: предприниматели, руководители организаций малого и среднего бизнеса узнали о базовых правилах безопасности персональных данных клиентов, обязательных мерах, которые должны быть реализованы в компаниях, обсудили кейсы белорусских операторов.

Рекомендации:

1. Ограничьте доступ к персональным данным. Предоставляйте сотрудникам доступ только к той информации, которая необходима для выполнения их должностных обязанностей.
2. Внедряйте комплексную защиту. Уделите особое внимание технической безопасности. Защищайте внешний контур информационных систем организаций.
3. Держите данные и программное обеспечение в актуальном состоянии. Регулярно проверяйте и обновляйте информацию и ПО.
4. Обучайте команду порядку работы с персональными данными – это сохранит репутацию, сэкономит нервы и деньги.
5. Берегите персональные данные клиентов, не собирайте их ”про запас“, уважайте права субъектов персональных данных.

17 сентября на базе Брестского научно-технологического парка состоялся региональный бизнес-интенсив ”Защита персональных данных: реальные кейсы, эффективные стратегии“.

Такое мероприятие проводилось впервые в Бресте, это партнёрский проект Национального центра защиты персональных данных и hoster.by.

Основная цель проекта – практическая помощь представителям малого и среднего бизнеса в вопросах обеспечения надежной защиты персональных данных и информационной безопасности их организаций.

На одной площадке собрались члены регионального бизнес-клуба, владельцы компаний малого и среднего бизнеса, юристы, специалисты по информационным технологиям, защите данных.

Эксперты в области защиты персональных данных и кибербезопасности рассказали о наиболее распространённых рисках, угрозах и уязвимостях при обработке персональных данных, с которыми сталкиваются организации в своей деятельности, а также познакомили участников мероприятия с эффективными и доступными решениями для обеспечения информационной безопасности.

Практический кейс ”Безопасность данных клиентов как фактор конкурентноспособности: повышаем ценность бренда через защищённость“ представила компания ООО ”Санта Ритейл“.

Мероприятие проходило на площадке Брестского научно- технологического парка неслучайно – формирование действенной системы защиты персональных данных в цифровой среде неразрывно связано с внедрением инновационных технологий и комплексных продуктов по реализации организационных и технических решений защиты данных.

Участникам бизнес-интенсива была предоставлена возможность получить консультации от экспертов по вопросам построения системы защиты данных.

Цикл региональных бизнес-интенсивов продолжится.

Национальный центр защиты персональных данных объявляет конкурс на лучшую работу в сфере защиты персональных данных.

К участию приглашаются:

• учащиеся средних специальных учреждений образования юридического профиля,
• студенты, магистранты, аспиранты, профессорско-преподавательский состав учреждений высшего образования,
• работники научных, научно-практических и иных организаций,
• другие лица, работающие по юридическим специальностям.

На конкурс принимаются как индивидуальные, так и коллективные работы. Итоги будут подведены к Международному дню защиты персональных данных.

Темы конкурсных работ:

• Совершенствование правового регулирования осуществления видеонаблюдения – для номинации ”Лучшая студенческая работа“.
• Пределы обработки общедоступных персональных данных: национальный и зарубежный опыт – для номинации ”Лучшая работа практикующего юриста“

Сроки проведения конкурса:

• с 16 сентября по 1 декабря 2024 г. – представление работ для участия в конкурсе;
• с 27 по 31 января 2025 г. – торжественное награждение победителей конкурса.

Работы направляются по адресу: 220004, г. Минск, ул. К.Цеткин, 24-3

Конкурсные работы авторам не возвращаются.

Критерии оценки конкурсных работ:

• соответствие содержания работы теме конкурса;
• содержание, полнота и логическая последовательность изложения материала, аргументированность выводов;
• практическая значимость полученных результатов;
• качество оформления работы.

С учетом указанных критериев члены жюри оценивают каждую работу по шкале от 1 до 20 баллов. Итоговая оценка каждой работы определяется путем суммирования оценок, выставленных каждым членом жюри.

Участники конкурса, занявшие призовые места, получают награды в виде дипломов и ценных призов.

Подробно с условиями конкурса и порядком подведения итогов можно ознакомиться в положении.

11 сентября состоялось заседание комиссии Союза юристов по информатизации под председательством директора Национального центра защиты персональных Андрея Гаева, который также является заместителем председателя Общественного объединения ”Белорусский республиканский союз юристов“.

В рамках работы комиссии рассмотрен опыт информационного взаимодействия Государственного унитарного предприятия ”Национальное кадастровое агентство“ и Белорусской нотариальной палаты, в частности обмен актуальной и достоверной информацией, используемой нотариусами и регистраторами в работе.

Продемонстрирована презентация сервиса поиска информации о нотариусах, нотариальных конторах и бюро ”Найти нотариуса по карте“.

Директор Центра отметил, что взаимодействие Национального кадастрового агентства и Белорусской нотариальной палаты в обязательном порядке должно осуществляться с учётом норм законодательства о персональных данных. Особое внимание Андрей Гаев обратил на вопросы защиты внешнего контура информационных систем этих организаций, а также на реализацию обязательных мер по технической и криптографической защите персональных данных граждан в информационных ресурсах.

С 10 по 12 сентября 2024 г. в столице проходит XIV Белорусская транспортная неделя, включающая в себя Международную специализированную выставку ”Транспорт и логистика“ и тематическую деловую программу.

Это мероприятие играет важную роль в развитии транспортного комплекса и логистической системы Республики Беларусь и сопредельных государств, в нынешнем году в мероприятиях наряду с Республикой Беларусь принимают участие представители Азербайджана, Казахстана, Узбекистана, России и Китая.

В рамках деловой программы форума на Международной научно-практической конференции ”Цифровая трансформация транспортной и логистической деятельности: состояние и перспективы“ с докладом выступил первый заместитель директора Национального центра защиты персональных данных Сергей Задиран.

Он обозначил для представителей сферы ключевые аспекты защиты персональных данных в деятельности организации, обратил внимание на  типичные нарушения, связанные с реализацией обязательных мер по обеспечению защиты персональных данных, а также рассказал о последних актуальных инцидентах, повлёкших  утечку информации. Также он назвал главную причину несанкционированного доступа к персональным данным – неисполнение такой обязательной меры по обеспечению защиты данных как осуществление технической и криптографической защиты в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь.
– Отмечу для всех присутствующих, что соблюдение законодательства о персональных данных является обязательным  абсолютно для всех организаций, это повышает лояльность клиентов и позволяет сохранить конкурентное преимущество бизнеса, – подчеркнул Сергей Задиран.

Первый заместитель директора Центра пригласил представителей сферы транспорта и логистики на обучение по вопросам защиты персональных данных и информационной безопасности в рамках курсов, проводимых Центром.