CISO & DPO news #122 (30 апреля — 7мая)
CISO & DPO news #122 (30 апреля — 7мая) Минцифры расширяет обязательное применение биометрии В ближайшее время ведомство планирует нарастить масштабы использования биометрических данных и расширить каналы сбора информации, включая возможность сдать биометрию в дистанционном режиме. Вырастет и количество сценариев, где такая идентификация станет обязательной. Сейчас в единой биометрической системе находится более 100 млн образцов лица и голоса россиян. Суд вынес предупреждение оператору связи со статусом потерпевшего В июле 2025 г. в результате кибератаки персональные данные клиентов ООО «Комлайн» были опубликованы в сети, после чего оператор связи самостоятельно предоставил отчет о системных провалах в сфере информационной безопасности. Суд заменил штраф на предупреждение, однако отметил, что возбуждение уголовного дела против хакеров не освобождает оператора от административной ответственности. 159 млн записей данных из госсектора утекло в сеть в апреле Большая часть инцидентов произошла раньше, но похищенные данные были опубликованы в открытых источниках или для продажи в даркнете в прошлом месяце. Кроме того, 1,2 млн записей было похищено из медицинских организаций и еще 145 тыс. — из коммерческих. Новый банковский троян крадет данные и рассылает себя через мессенджер Вредоносное ПО загружается внутри легитимного приложения Logitech, его целью являются валютные приложения. Помимо этого, троян тяжело обнаружить из-за его противодействия антивирусному ПО. А еще трояны могут притворяться рекрутерами. JobStealer крадет данные из криптокошельков на фейковых собеседованиях Троян также собирает пароли, cookies, данные браузеров, Telegram и другую конфиденциальную информацию. Основной целью являются пользователи macOS и Windows. Схема начинается как обычное предложение о работе: злоумышленники приглашают пройти онлайн-собеседование. Однако вместо приложения для видеособеседования запускается JobStealer. Фейковое приложение ЦБ крадет деньги у владельцев Android-смартфонов с помощью NFC Схема строится на социальной инженерии: человека убеждают установить вредоносное приложение, после чего оно назначается платежным средством по умолчанию и получает возможность работать с NFC. Дальше возможны два сценария: жертва прикладывает карту к телефону, и приложение списывает деньги, или подносит телефон к банкомату для зачисления наличных на счет злоумышленников. Мошенники все чаще используют более легкие вредоносные приложения, а жертву ведут вручную. Минцифры планирует упростить процедуры обезличивания персональных данных Новый проект призван снять часть технических барьеров при передаче информации в государственные информационные системы (ГИС). Например, если обезличивание данных необходимо только для статистических показателей, их можно передавать в ГИС без использования специального ПО и системы межведомственного электронного взаимодействия, но с уведомлением РКН об использованном ПО. Документ даст возможность группировать обезличенные данные по любому признаку. Серьезную уязвимость обнаружили в Linux Dirty Frag позволяет локальному пользователю получить права root на большинстве популярных дистрибутивов. После этого он может повысить привилегии до администратора без сложных условий гонки или редкой конфигурации. Патчей для основных дистрибутивов пока нет.