Журнал "Information Security/ Информационная безопасность" #6, 2024

Пленум Верховного суда в своем Постановлении раз- деляет понятия "места, открытые для свободного посещения", под которыми он рассматривает судебные заседания, и "публичные мероприятия". Если обрабатываемая фотография используется для целей идентификации, то это будет являться обра- боткой биометрических пер- сональных данных и потре- бует согласия по ч. 4 ст. 9 закона № 152-ФЗ. Судебная практика С точки зрения судебной прак- тики корпоративные мероприя- тия подпадают под определение "публичные мероприятия". Пленум Верховного суда в своем постановлении разде- ляет понятия "места, открытые для свободного посещения", под которыми он рассматри- вает судебные заседания, и "публичные мероприятия", подтверждая тем самым, что с точки зрения Гражданского кодекса открытость не являет- ся признаком публичного меро- приятия (п. 45 ППВС РФ от 23.06.2015 № 25). Согласно мнению апелля- ционной коллегии Московского городского суда от 04.04.2018, премьерный показ фильма вки- нотеатре может быть отнесен к публичному мероприятию 1 . Такой же позиции придержи- вается Конституционный суд РФ, который в своем определении по рассмотрению жалобы Без- рукова С. В. изложил, что пред- премьерный показ фильма, вход на который ограничен, может быть отнесен к публичному меро- приятию (абз. 2 п. 1.2 определе- ния от 12.02.2019 № 274-О). Итоги анализа Если изображение работника, полученное при проведении корпоратива, не используется в целях его идентификации, не обрабатывается совместно с иными сведениями о нем (фамилия, имя, должность или другая информация) и не является основным объектом использования, то это не будет признаваться персональными данными, и согласие не нужно, поскольку оно будет считаться полученным при проведении публичного мероприятия и поз- воляет осуществлять фотосъем- ку или видеозапись без разре- шения такого лица (п. 2 ч. 1 ст. 152.1 ГК РФ). Если же планируется разме- щение на сайте изображения работника с дополнительной информацией о нем, то такая фотография или видеозапись будут считаться персональными данными и потребуют получения от него отдельного согласия на распространение (ч. 1 ст. 10.1 закона № 152-ФЗ), составлен- ного по правилам приказа Рос- комнадзора от 24.02.2018 № 18. Если обрабатываемая фото- графия используется для целей идентификации, то это будет являться обработкой биометри- ческих персональных данных и потребует согласия по ч. 4 ст. 9 закона № 152-ФЗ. l • 61 Защита Персональных данных www.itsec.ru Мисконфигурации 2024 года Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций. Д 1 https://www.mos-gorsud.ru/mgs/cases/docs/content/c1e4ba4a-b7e5-4cee-a0c0-04334b06de61 Ваше мнение и вопросы присылайте по адресу is@groteck.ru Нарушения парольной политики На 65% хостов с операционной системой macOS отсутствует настроенная парольная политика. Вместо нее применяется поли- тика по умолчанию, которая подразумевает использование паролей длиной всего лишь 4 символа. Чтобы обеспечивать безопас- ность, пароль должен включать не менее 8, а лучше 10–12 символов. 61% Linux-хостов не имеет установ- ленного пароля для загрузчика опера- ционной системы GRUB. Такая ошибка дает злоумышленнику возможность запустить однопользовательский режим, чтобы сбросить пароли системных учет- ных записей и таким образом получить контроль над системой. Почти у трети Windows-хостов отключено управление паролями локаль- ных администраторов (LAPS). Этот инструмент позволяет генерировать уни- кальный и надежный пароль админи- стратора для каждого компьютера доме- на. Пароль автоматически меняется через определенный период времени, а его значение хранится в защищенном пространстве. Отключение этой функции повышает риск того, что злоумышлен- ники скомпрометируют учетную запись локального администратора, а затем используют ее статический пароль для захвата других устройств в сети. По данным BI.ZONE, 35% высококри- тичных киберинцидентов, произошедших в российских организациях с начала 2024 г., были связаны именно с небез- опасной парольной политикой для адми- нистративных учетных записей. Системные администраторы жертвуют безопасностью Зачастую системные администраторы сами отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производитель- ность системы и упростить себе работу. Так, на 37% исследованных Windows- хостов была отключена защита LSA. Эта мисконфигурация позволяет злоумыш- ленникам получить доступ к учетным дан- ным, хранящимся в памяти процессов. Еще в 36% случаев на Windows-хостах не настроена подпись SMB-пакетов, отвечающих за удаленный доступ к фай- лам, устройствам и другим сетевым ресурсам. В случае атаки киберпреступ- ники могут перехватить неподписанные SMB-пакеты, модифицировать их и отправлять таким образом команды на целевой сервер, фактически получая контроль над системой. Также на 4% Windows-хостов используется устарев- ший протокол SMBv1. Он содержит ряд уязвимостей, которые могут быть про- эксплуатированы для получения полного доступа к интересующим их системам. Кроме того, на 13% Windows-хостов было отключено обновление компонен- тов операционной системы. Использо- вание устаревших версий программ представляет угрозу, поскольку в них регулярно выявляют уязвимости, кото- рые могут быть исправлены только с помощью обновлений. Удаленная авторизация с нарушением правил безопасности Для безопасного доступа с рабочего устройства к удаленным системам на macOS и Linux используется протокол SSH. Наиболее безопасной в рамках этого протокола считается аутентифи- кация по специально сгенерированному ключу. Однако на каждом четвертом устройстве аутентификация по ключу отключена, а вместо нее разрешен вход по SSH с аутентификацией по паролю. Такие хосты часто бывают доступны через Интернет, что повышает их уязвимость. В совокупности с нарушениями парольной политики это увеличивает вероятность успешных брутфорс-атак, то есть атак с помощью перебора паролей. Чтобы мини- мизировать этот риск, рекомендуется при- менять SSH-аутентификацию по ключу. l По материалам BI.ZONE