В начале февраля Минцифра инициировала проект, целью которого было выявление уязвимостей на портале Госуслуг. Проект предусматривал участие исследователей в программе обнаружения ошибок или так называемом «багбаунти».
В ходе этого проекта, этичные хакеры обнаружили 34 уязвимости, большую часть из которых можно отнести к категории средней или низкой критичности. Размеры наград за обнаружение этих уязвимостей варьировались от 10 000₽ до 350 000₽.
Читать подробнее…
Давно мы хотели высказать свое мнение о составе работ по тестированию на проникновение. Еще с момента этого поста: https://svk-ugra.ru/blog/testirovanie-na-proniknovenie-pravitelstva-hmao/
Присущая нашей команде самокритичность не позволяла определить минимально достаточный для статьи (поста) набор информации, а развивать тему до учебного пособия на сотни страниц также не хотелось, однако появилось несколько причин, которые подтолкнули нас наконец сформировать золотую середину и написать-таки свою версию набора тестов на проникновение.
Читать подробнее…
Мы приняли участие в семинаре медицинских учреждений ХМАО (г.Сургут, 16 марта).
У каждого участника были свои цели, наша главная в части ИБ медучреждений неизменна уже более пяти лет.
Речь о развитии кадрового потенциала в сфере ИБ в округе через воспитание (на наших проектах) ИБ-специалистов из ИТ специалистов медучреждений (посредством выделения их в отдельные подразделения, с функциями только ИБ,
Читать подробнее…
Наша команда разработала типовые составы объектов информатизации, составляющих ГИС ГИА ХМАО-Югры и типовые модели угроз безопасности информации для каждого из таких объектов информатизации (сегмента ГИС). Управлением ФСТЭК по УрФО был сделан шаг на встречу образовательным учреждениям автономного округа.
Подход по типизации (обобщению и структурированию) объектов информатизации, предназначенных для сдачи ЕГЭ был рассмотрен и согласован.
Читать подробнее…
Последнее время при проведении тестирования на проникновение часто замечаем, что в организациях по различным причинам не уделяется должное внимание парольным политикам домена. Бывают даже курьёзные ситуации, когда не защищенным остается именно контроллер домена, следовательно, даже сертифицированные СЗИ от НСД с настроенной блокировкой учетных записей на конечных устройствах становятся чуть менее чем бесполезными (атака может проводиться проводится на не защищенном устройстве – главное иметь возможность отправлять учётные данные на контроллер домена).
Читать подробнее…
9 июля в г. Москва Генеральный директор ГК ИРС и руководитель филиала в Ханты-Мансийске приняли участие в совещании 8-го Управления ГШ Министерства обороны РФ по развитию сотрудничества Министерства обороны и предприятий, занимающихся разработкой средств защиты информации для войск России с привлечением к проектам Технополиса Министерства обороны.
Читать подробнее…
Парламентская комиссия приняла во вторник решение прекратить работу над законом о «Контингенте обучающихся». Информация об этом появилась в среду на сайте Думы.
На заседании специальной парламентской комиссии по выработке новой редакции ранее отклоненного президентом России закона о создании в Российской Федерации федеральной и региональной информационных систем «Контингент обучающихся» глава комитета Госдумы по образованию и науке Вячеслав Никонов сообщил,
Читать подробнее…