Апрель 2024 года оказался насыщенным в плане киберинцидентов и запомнился масштабной DDoS-атакой и интересными новинками в сфере безопасности. Законодатели же традиционно сосредоточились на проблеме защиты персональных данных, а также упростили процедуру оформления Госключа.

Новое в законодательстве

В апреле 2024 года законодатели сосредоточились на уточнениях и разъяснениях ранее разработанных законов и правил, особенно пристальным оказалось внимание к биометрическим персональным данным и разработка ПО СЗИ, а также расширенные права Росгвардии.

Госключ – через банковское отделение или МФЦ

Соответствующее разъяснение опубликовано Минцифры 18.04.2024 года. Ранее оформление Госключа было доступно только в дистанционном формате. Для этого пользователю необходим был действующий заграничный паспорт либо подтвержденная биометрия. С апреля 2024 года оформить Госключ можно при личном визите. Для этого нужно обратиться в любой МФЦ или посетить отделение одного из банков-партнеров.
Найти отделения, где доступно очное оформление Госключа, можно на специальной карте. Стоит учесть, что карта носит ознакомительный характер, поэтому наличие возможности оформления в выбранном отделении лучше дополнительно уточнить перед визитом.
Напомним, «Госключ» — это приложение для подписания юридически значимых документов в электронном виде. В нём можно бесплатно получить сертификат и сформировать усиленную квалифицированную или неквалифицированную электронную подпись.

Росгвардия получила право на создание собственных ГИС

Соответствующие полномочия были закреплены Федеральным законом. Эта федеральная служба получила право создавать, развивать и эксплуатировать государственные информационные системы сразу в нескольких сферах, в число которых вошли:

• • деятельность охранных подразделений некоторых юридических лиц;
  • контроль за безопасностью объектов ТЭК;
  • вневедомственная охрана;
  • деятельность частных компаний, предоставляющих охранные или детективные услуги;
  • оборот оружия.

 
Планируется, что Правительством будет дополнительно утверждено положение о перечисленных разновидностях ГИС.
Изменения, касающиеся Росгвардии, вступят в силу спустя полгода с даты публикации закона.

Повышение квалификации в сфере работы с ПДн – в зоне особого внимания ФСТЭК

Федеральная служба в апреле сосредоточилась на вопросах повышения квалификации в части безопасности ПДн. Так, ФСТЭК был опубликован целый ряд документов, регламентирующего и разъяснительного характера, в том числе:

• • информационное сообщение №240/11/1429 от 27.03.2024 г. о новой программе повышения квалификации в части обеспечения безопасности ПДн в процессе их обработке с использованием ИС (дата публикации – 03.04.2024 г.);
  • программа повышения квалификации для тех, кто занимается обработкой ПДн в ИС;
  • выписка из перечня примерных программ для специалистов, занимающихся технической защитой информации и противодействием техническим разведкам других стран.

ФСТЭК регламентирует сертификацию безопасной разработки ПО СЗИ

Соответствующий Приказ службы был зарегистрирован Минюстом 16 апреля 2024 года и вступит в силу уже 1 июня. Документ устанавливает целый комплекс требований к сертификации, в том числе:

• • список сведений, который должен содержаться в заявке на сертификацию;
  • порядок проведения сертификации и оформления заключения.

 
Образцы всех необходимых документов можно найти в приложениях к Приказу.
Сертификат будет оформляться на тот срок, который указали в тексте заявки, при этом максимальный срок его действия ограничен и составляет 5 лет.

ТК 26 – за отечественные алгоритмы криптографии

Технический комитет по стандартизации, работающий в сфере криптозащиты информации, также известный как ТК 26, представил обновленные рекомендации касательно применения российских разработок в области криптографии. Документ включает в себя описание порядка использования отечественных криптоалгоритмов. Они должны использоваться в протоколах получения OCSP (актуальные статусы сертификатов). Рекомендации призваны повысить эффективность криптографической защиты данных и предусматривают использование российских разработок.

Биометрия и требования №572-ФЗ – Правительство и Банк России разъясняют важные нюансы

Правительство РФ опубликовало Постановление, определяющее точный и исчерпывающий список биометрических ПДн, на которые распространяются требования № 572-ФЗ. Речь идет об обязанности взаимодействовать с ЕБС и проходить аккредитацию, если юр.лицо использует векторы ЕБС для идентификации и аутентификации физ.лиц самостоятельно.
В соответствии с Постановлением к таковым биометрическим ПДн относят только запись голоса и изображение лица человека. Если локальная система идентификации, используемая юр.лицом, не использует эти данные, то обязанность по взаимодействию с ЕБС пока не возникает.
Банк России также не обошел вниманием особенности исполнения требований №572-ФЗ и опубликовал информационное письмо с разъяснениями. В документе уточняется порядок получения актов проверки. Такие акты являются обязательными для финансовых и иных организаций, а также ИП, использующих аутентификацию на основе биометрических ПДн.
В письме разъясняется, что финансовые организации могут получить акт проверки путем направления обращения в Банк России. Заявление нужно направить в электронной форме, после чего специалисты Банка России проведут все необходимые проверочные мероприятия, по результатам которых составят и предоставят заявителю соответствующий акт.

Самые громкие события и инциденты апреля 2024 года в России

Крупнейшая в истории кибератака, повышенное внимание к сервисам по продаже билетов и новый отечественный сервис для самопроверки на утечку персональных данных – апрель оказался месяцем, полным сюрпризов в сфере информационной безопасности.

Самая мощная кибератака или хакеры против «Диктанта Победы»

«Ростелеком» и «Единая Россия» заявили об успешном отражении DDoS-атаки беспрецедентной мощности. По данным экспертов она является самой мощной за всю историю наблюдений. На пике количество запросов составляло около 1,5 миллионов в секунду. Всего было зафиксировано более 5 тысяч попыток сорвать мероприятие. По этому показателю атака на «Диктант Победы» превзошла даже аналогичные атаки, происходившие в период президентских выборов.
Центры кибербезопасности компании предполагали, что мероприятие окажется в зоне особого внимания злоумышленников, поэтому предприняли ряд превентивных мер и вовремя среагировали на начавшуюся атаку.

Злоумышленники атакуют сервисы продажи билетов

Апрель ознаменовался взрывным ростом количества кибератак на компании, которые занимаются грузопассажирскими перевозками. Количество выросло со 150 тысяч атак (фиксировалось по состоянию на 1 апреля) до 350 тысяч атак в сутки.
Эксперты объясняют этот факт востребованностью сервисов продажи билетов – россияне начинают заказывать их на майские праздники и в преддверие летних отпусков. Злоумышленники стремятся не только причинить финансовый ущерб перевозчикам, но также нанести репутационный урон, а также и причинить неудобства рядовым гражданам.

Проверить свои личные данные на утечку возможно онлайн

НКЦКИ представил онлайн-сервис, где каждый может проверить свои личные данные на утечку. По сути этот портал представляет собой отечественный аналог сервиса «Have I Been Pwned?».
В утекших базах данных можно попытаться найти:

• • адрес электронной почты;
  • номер мобильного телефон;
  • пароль;
  • логин.

 
Соответствующую информацию пользователь вносит в поле поиска.
Сервис осуществляет проверку по открытым источникам, при этом сводная база постоянно пополняется.
Если утечка имела место, ответ сервиса будет положительным, при этом портал в некоторых случаях предоставляет информацию о том, откуда именно утекли данные пользователя. Дополнительно портал дает рекомендации по информационной безопасности.