Embed Size (px)
Citation preview
#15Січень, 2015
IPR Values Digest
Шановні колеги!Наприкінці минулого року уряд України та Microsoft підписали Угоду про співробітництво з питань безпеки (Government Security Program). Вважаємо це важливим кроком для нашої країни, який свідчить про формування нових цінностей у нашій державі. Сподіваємось, що доступ до унікальних знань і передових рішень Microsoft у галузі кібербезпеки відкриє для України нові можливості для розвитку національної кібербезпеки.
Турбуючись про безпеку користувачів та бізнесу, команда Microsoft з кібербезпеки підготувала 17-ий випуск Security Intelligence Report – аналіз світових кіберзагроз, нових методів, що використовуються кіберзлочинцями та найбільш розповсюджених шкідливих програм. На сторінках нового випуску дайджесту ми охоче поділимося з вами результатами цього дослідження, яке базується на аналізі понад мільярда комп‘ютерів у всьому світі.
З повагою,
Олена Дмітрієва
Зміст:Microsoft Ukraine Inside ............3
Microsoft Ukraine Outside ........5
IPR Protection World ...................9
Media About Us ..........................15
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 2
Microsoft Ukraine Inside
Наприкінці 2014 року компанія «Майкрософт Україна» та уряд України підписали Угоду про співробітництво з питань безпеки (Government Security Program або GSP), в рамках якої Microsoft надасть Держспецзв′язку доступ до вихідного коду і технічних даних про програмне забезпечення, сервіси та служби Microsoft, а також можливість оцінювати їх безпеку та цілісність шляхом тестування у Центрі прозорості Microsoft. В рамках угоди корпорація також надаватиме оперативну інформацію про глобальні кіберзагрози та джерела мережевих атак, що сприятиме попередженню та реагуванню на інциденти у цифровому просторі в умовах сучасних викликів України.
Уряд України і Microsoft підписали угоду про співробітництво з питань безпеки
Програма GSP є важливою частиною політики «Майкрософт Україна» щодо підтримки українського уряду за допомогою надання інформації, необхідної для забезпечення надійного кіберзахисту, аналізу ситуації в реальному часі і аудиту ІТ-продуктів для того, щоб робота уряду могла будуватися на технологіях, яким можна довіряти. Програма також сприяє посиленню зв’язків і співпраці між фахівцями з безпеки Microsoft і учасниками програми.
Угоду підписали голова Держспецзв’язку Володимир Звєрєв та директор із захисту інформації та національної безпеки Microsoft Джеймі Уіллі.
Продовження на наступній сторінці
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 3
Microsoft Ukraine Inside
GSP включає програму безпеки програмного забезпечення (Security Cooperation Program, SCP) – це безоплатна ініціатива, яка забезпечує можливість уряду брати участь у спільних заходах безпеки з Microsoft для реагування на комп’ютерні інциденти та попередження наслідків кібератак. Мета SCP – допомогти урядам реагувати на загрози національній безпеці, економіці та громадській безпеці більш ефективно на основі спільних проектів та за допомогою обміну найновішою технічною інформацією.
Прес-брифінг Держспецзв′язку та «Майкрософт Україна» у Києві. Зліва направо:
Ігор Козаченко, начальник Державного центру захисту інформаційно-телекомунікаційних систем Держспецзв’язку;
Володимир Звєрєв, голова Держспецзв’язку;
Надія Васильєва, генеральний директор Компанії «Майкрософт Україна»;
Михайло Шмельов, директор з технологічної політики «Майкрософт Україна».
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 4
Нове дослідження Microsoft: слабкий захист паролів користувачів призвів до крадіжки 2,3 мільйонів облікових даних протягом восьми місяців
Протягом восьми місяців (з листопада 2013 року по червень 2014 року) у світі зафіксовано близько 1700 випадків крадіжок облікових даних користувачів, в результаті яких сторонні особи отримали доступ до 2,3 мільйонів облікових даних. Про це свідчать дані 17-го випуску звіту Microsoft Security Intelligence Report
(SIRv17), в якому проаналізовано вразливості та загрози, з якими зіштовхнулись понад мільярд систем у всьому світі.
Дані щодо крадіжок є приблизними, оскільки лише невелика частина таких інцидентів отримують висвітлення в пресі, тож крадіжки обсягом у мільйони облікових записів можуть бути використані зловмисниками, не викликаючи суспільного резонансу.
Продовження на наступній сторінці
Microsoft Ukraine Outside
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 5
Особливості використання паролів Microsoft вивчали ще у 2007 році. Згідно з результатами дослідження, кожен користувач інтернету був зареєстрований приблизно на 25 сайтах, при цьому мав в середньому сім паролів – тобто однакові паролі щонайменше для трьох облікових записів. Схоже дослідження провела компанія CSID у 2012 році: тоді понад половина респондентів (61%) відповіли, що використовують один і той самий пароль для кількох сайтів. Трохи більше половини (54%) користувачів сказали, що мають всього п’ять чи менше паролів для всіх своїх облікових записів.
Експерти Microsoft рекомендують сервісам зберігати паролі користувачів, використовуючи технологію одностороннього криптографічного хешування. Після її застосування пароль зберігається у зашифрованому вигляді, з якого пароль практично неможливо відтворити, – і таким чином залишається захищеним.
Microsoft Ukraine Outside
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 6
Власникам прострочених програм захисту зазвичай здається, що їхні комп’ютери у безпеці. Але дослідження показують, що це не так: застарілі антивіруси та інші захисні програми насправді забезпечують дуже низький ступінь безпеки від шкідливих програм.
Наведена нижче таблиця допомагає проілюструвати це ствердження.
З графіку видно, що для тих систем, які працюють із застарілими захисними програмами, ймовірність зараження шкідливим ПЗ у чотири рази більша, ніж для тих систем, які працюють із вчасно оновленим захисним програмним забезпеченням.
Крім цього, кількість заражених систем із застарілим захисним ПЗ відрізняється від кількості заражених систем, які взагалі не мають захисного програмного забезпечення лише на 0,2%. Таким чином, можна сказати, що не оновлене вчасно захисне ПЗ несе майже такий самий ступінь загрози для комп‘ютера, що й повна відсутність захисних програм.
Застарілі захисні програми захищають комп’ютер у чотири рази гірше
Microsoft Ukraine Outside
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 7
Microsoft Ukraine Outside
За даними SIRv17, на кожну тисячу інтернет-хостів в Україні припадає 29,9 фішингових сайтів. За цим показником Україна посіла перше місце в світі у другому кварталі 2014 року. Слідом за нашою країною, найвищі показники фішингових сайтів у Бразилії – 15,8 на 1000 хостів, і ПАР – 13,2 на 1000 хостів. Найнижчі – у Японії (1,8), Тайваню (1,8) та Кореї (2,0).
Україна – перша у світі за кількістю фішингових сайтів
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 8
IPR Protection world
Мінекономрозвитку України провело круглий стіл щодо захисту інтелектуальної власності
22 січня 2015 року на круглому столі в Міністерстві економічного розвитку і торгівлі України розглядали Дорожню карту щодо захисту інтелектуальної власності, розроблену гравцями ринку та профільними асоціаціями.
Дорожня карта – це скомпільований з ініціатив різних років документ з 24 пунктів, призначений для обговорення гравцями ринку. Таким чином, Мінекономрозвитку намагається створити майданчик для діалогу і вирішення нагальних питань ІТ.
У заході взяли участь держслужбовці, представники асоціацій правовласників, телеканалів і декількох телеком-операторів.
Пропонуємо короткий опис ініціатив, що обговорювались
1. Продовжити публічну роботу над законопроектом про захист авторського права в інтернеті. Пропонується створити групу на віртуальній платформі, де представники інтернет-галузі та правовласники зможуть обговорювати законопроект.
2. Створити освітню кампанію, яка розповідає про те, що піратство – це погано. У приклад наводиться ініціатива «Чисте небо».
3. Встановити власників основних піратських ресурсів і публічно запропонувати їм провести «люстрацію контенту» у визначений термін.
4-5. Налагодити співпрацю між держінспекторами з Держслужби інтелектуальної власності та правовласниками. Створити групу із взаємодії інспекторів з правоохоронцями та судами.
6. Провести позапланові перевірки піратських ресурсів з оформленням актів, протоколів (до червня 2015 р. перевірки підприємств проводяться тільки з дозволу Кабміну).
7. Застосувати судові методи впливу на «невиправних піратів»: розделегування доменних імен, блокування DNS, штрафні санкції і т. д. Передбачається, що у майбутньому законі про захист авторських прав в інтернеті для таких випадків буде спрощена процедура.
8. Спростити процедуру доказів прав правовласника в суді.
9. Визначити, що оператори і провайдери зобов’язані «сприяти запобіганню правопорушень». Цей пункт має ще одне уточнення – про внесення змін до законодавства про нотаріат «з метою забезпечення доказів порушень прав інтелектуальної власності в мережі інтернет».
10. Внести зміни до законодавства про рекламу. Заборонити рекламу на піратських сайтах. Маються на увазі сайти, що визначені судом як порушники прав правовласників.
11. Забезпечити виконання Держслужбою інтелектуальної власності та іншими органами вимог постанови Кабміну №1433 і №253 (про порядок використання ПЗ в органах влади).
12-17. Провести легалізацію програмного забезпечення в органах влади.
18-20. Створити систему колективного управління авторськими правами.
21. Внести зміни до Кримінального і Митного кодексів в тому, що стосується виготовлення та збуту контрафакту.
22-23. Провести PR-кампанію, яка поінформує громадян про незаконність кардшарингу (спосіб перегляду супутникових каналів без абонентський карти). Створити групи взаємодії інспекторів з правоохоронцями з питань кардшарингу.
24. Посилити відповідальність ТВ-провайдерів і телеорганізацій за порушення законодавства в галузі захисту авторських прав.
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 9
IPR Protection world
Фахівці Державної служби інтелектуальної власності України (ДСІВ) взяли участь в 11-му спільному засіданні Робочої групи з питань покращення захисту прав інтелектуальної власності в рамках Підкомітету №1 з питань торгівлі та інвестицій Комітету з питань співробітництва між Україною та Європейським Союзом.
Представники ДСІВ надали європейській стороні актуальну інформацію щодо питань імплементації розділу «Інтелектуальна власність» Угоди про асоціацію між Україною та ЄС, а саме ряду законопроектів у галузі авторського права і суміжних прав. Також плануються нові законодавчі зміни у частині електронної комерції та боротьби з інтернет-піратством: розроблено проект Закону України «Про внесення змін до деяких законодавчих актів щодо захисту авторського права і суміжних прав у мережі інтернет», доопрацьовано проект Закону України «Про авторське право і суміжні права».
Проведення наступного засідання заплановано на вересень 2015 року.
Триває робота над імплементацією розділу «Інтелектуальна власність» Угоди про асоціацію між Україною та ЄС
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 10
IPR Protection world
Держспецзв’язку взяла участь у міжнародному саміті кібербезпекиДелегація Держспецзв’язку взяла участь у п’ятому Глобальному саміті з питань співробітництва в кібернетичному просторі (Global Cyberspace Cooperation Summit V), який проходив з 3 по 5 грудня 2014 року в Берліні. У заході взяли участь перший заступник Голови Держспецзв’язку Олександр Корнейко та директор Департаменту спеціальних інформаційно-телекомунікаційних систем адміністрації Держспецзв’язку Сергій Нежурбіда.
Під час заходів відбулися дві робочі зустрічі з керівником підрозділу з питань координації кіберполітики МЗС Німеччини Карстеном Гайером та
президентом німецької Національної ради з питань кібербезпеки Арне Шонбомом. Ці зустрічі дозволили дізнатися про основні підходи до організації національної системи кібербезпеки у Федеративній Республіці Німеччина, розподілу повноважень між відомствами Німеччини.
У ході зустрічі досягнуто низку робочих домовленостей про надання німецькій стороні на експертизу проектів стратегії забезпечення кібернетичної безпеки України та Закону України «Про основні засади забезпечення кібербезпеки України».
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 11
Уряд Угорщини вирішив виділити 100 тисяч євро на кіберзахист України, а також направити військового представника в офіс НАТО у Києві, заявив міністр оборони Угорщини Чаба Хенде на інтернет-конференції з безпеки Security Jam.
«Уряд Угорщини вирішив внести 100 тисяч євро до цільового фонду НАТО (NATO Cyber Trust Fund), щоб допомогти Україні посилити захист кіберпростору. Крім того, ми плануємо відправити військового представника в офіс НАТО у Києві», − зазначив Хенде.
Угорщина вирішила виділити 100 тисяч євро на кібербезпеку України
IPR Protection world
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 12
Директор з інформаційних технологій групи компаній DF Group Олексій Яновський поділився з виданням delo.ua своїми думками з приводу розбудови інформаційної безпеки в України.
Сьогодні ні в кого немає сумнівів, що питання інформаційної безпеки вимагає підвищеної уваги. Так, за результатами дослідження PWC, середній збиток великих організацій від кібератак становить близько 5 мільйонів доларів. У зв’язку з цим, забезпечення захисту інформації стає особливо пріоритетним завданням, на вирішення якого бізнес інвестує все більше ресурсів. Згідно з прогнозами компанії Gartner, у 2014 році витрати корпорацій на IT-безпеку збільшаться на 7,9% і досягнуть 71,1 млрд доларів. У 2015 році витрати на ІТ-безпеку зростуть ще
на 8,2% − до 76,9 млрд.
Віртуальна війна зачіпає не тільки корпоративні, а й державні інтереси. В Україні найбільше від кібератак страждають впливові медіа, фінансові та державні установи. При цьому зараз зростає не тільки кількість атак на інформаційну інфраструктуру, але і їх складність.
Великі компанії та фінансові установи в нашій країні готові інвестувати значні ресурси на захист даних. На державному рівні підготовлено кілька законопроектів, які змінять підходи до інформаційної безпеки України. Нам тільки належить побудувати нову систему, яка зможе своєчасно виявляти ризики інформаційної безпеки та адекватно на них реагувати. Які проблеми мають бути вирішені в першу чергу?
Кібербезпека: куди глобальні компанії витратять $76,9 млрд
Продовження на наступній сторінці
IPR Protection world
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 13
Експерт називає 5 ключових проблем у галузі інформаційної безпеки:
• Відсутність єдиного державного органу, який би в масштабах країни координував пов’язані з інформаційною безпекою та IT питання в цілому.
• Система національних стандартів захисту інформації безнадійно застаріла. Вона відірвана від бізнес-практики, не гарантує фінансово виправданих і надійних заходів захисту.
• Відсутність обміну інформацією про деталі кібератак між державними організаціями та бізнесом. В результаті − неможливість їх детального дослідження.
• Використання неліцензійного програмного забезпечення. Висока кількість заражених вірусами і неправильно сконфігурованих систем, за допомогою яких проводяться DDoS-атаки. За оцінками експертів, в Україні є тисячі заражених і неправильно сконфігурованих систем, які використовуються при атаках на інші компанії.
• Відсутність процесу ефективного публічного обговорення державних ініціатив у галузі інформаційної безпеки серед експертів галузі.
Для подолання вищенаведених проблем експерт пропонує виділити чотири першочергові задачі.
По-перше, необхідно створити єдиний координуючий орган у галузі інформаційної безпеки та ІТ.
По-друге, за словами Олексія Яновського, потрібно створити нормативну базу, що відповідає вимогам світових стандартів. Швидкого ефекту можна досягти, використовуючи документи, які вже існують українською мовою, і готові до застосування − це стандарт забезпечення інформаційної безпеки ISO-27001/ISO-27002, перекладений Національним Банком України, та стандарт IT-управління Cobit, розроблений міжнародною асоціацією IT-управління ISACA.
По-третє, як вважає експерт, слід створити галузеві центри реагування на загрози у галузі IT-безпеки. Ці центри реагування повинні проводити обмін деталями про атаки на корпоративні та державні ресурси, повинні підтримувати «чорний список» серверів, з яких відбуваються атаки.
Нарешті, необхідно налагодити процес освіти і професійної підготовки фахівців у галузі управління ІТ та інформаційної безпеки, яких все ще не вистачає в Україні.
IPR Protection world
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 14
Пропонуємо вам витяг з інтерв‘ю Михайла Шмельова журналу «Новое время».
Цифровий щит. Директор з технологічної політики «Майкрософт Україна» − про кібервійни, соцмережі та хмари
− Чому на фоні кризового стану економіки та складної політичної ситуації держава повинна займатися кібербезпекою?
− Саме на цьому фоні як ніколи важливо займатися кібербезпекою, а також посилювати прозорість роботи держави.
Протягом минулого року ми зробили вибір на користь певних цінностей. Це насамперед верховенство права і демократія. В основі їх − довіра нас як громадян до держави. Головним фактором довіри є прозорість. Ми хочемо знати і бути впевненими в тому, що держава робить те, на що ми з вами її уповноважили.
− Яким ризикам наражається Україна у віртуальному середовищі?
− У цифровому світі ми постійно стоїмо перед загрозам, які змінюються щодня. Україна піддається гігантській кількості мережевих атак. Вони бувають різного
типу і класу − від стандартних DdoS-атак, до атак класу low and slow − вони цілеспрямовані, їх складніше виявити, з ними складніше боротися. Кіберзахист та легальність ПЗ − це основа всіх процесів і систем, які управляють цими процесами. Мова йде не про дані зі статусом держтаємниці, які повинні бути захищені за замовчанням, а про критично важливі інфраструктури − аеропорти, газопроводи, енергомережі, атомні станції, банківську систему, реєстри майна, освіту.
− До переліку ризиків належить комп’ютерна безграмотність держслужбовців і звичайних користувачів? Як з нею можна впоратись?
Цифровий щит. Директор з технологічної політики «Майкрософт Україна» − про кібервійни, соцмережі та хмари
Media About Us
Продовження на наступній сторінці
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 15
− Люди повинні розуміти, що таке кіберзахист. На сьогодні це органічна частина нашого життя: ми звикли, що замикаємо квартиру або ставимо авто на сигналізацію. У цифровому світі питання безпеки такі ж важливі, як і у звичайному світі − необхідні базові заходи обачливості.
− Яким чином тоді Україні будувати обіцяний багатьма політиками e-governance?
− Сам термін E-governance − досить складний, це ціла електронна екосистема, покликана зробити державу прозорою, а інформацію − доступною громадянам, а також налагодити надання низки послуг в електронній формі.
Держава перед нами має звітувати та надавати відкриті дані. Уявіть, що ви купили машину, проте не отримали право бачити швидкість, рівень масла, бензину, стан двигуна, і кожного разу потрібно звертатися за цією інформацією до виробника у письмовій формі. А дані ці належать вам і більше того − вони вам необхідні. Тому сьогодні мова йде про таке поняття як відкриті державні дані. І вони повинні генеруватися та стати доступними автоматично.
− Як ви оцінюєте рішення окремих країн щодо переходу на хмарні сервіси?
− Хмара, в той же час, це ресурс, який дозволяє зняти «головний біль» − закупівлю серверів, іншого обладнання, їх обслуговування і так далі. Крім цього, хмарні ресурси в багатьох випадках дозволяють практично безболісно і швидко відбивати кібератаки. Наша хмара також надає захист декількох
рівнів та часто вона міцніша, ніж захисні інструменти компаній, фінансових установ та держорганів. Єдине питання, яке стоїть зараз: чи можна це робити держорганам. Я сподіваюся, що євроінтеграція призведе до того, що законодавство буде гармонізовано у відповідності до європейського. Зараз у нас занадто багато відмінностей у тлумаченні, закони нечіткі та незрозумілі. Але це тільки питання часу. Як громадянин, я більше зацікавлений в тому, щоб держава брала з мене податки на прогнозовані оперативні витрати, ніж на капітальні − наприклад, на закупівлю обладнання, яке буде використовуватися тільки на 20%.
− Тобто, державі часто вигідніше віддавати IT-послуги на аутсорс?
− Так, у тому числі на державний аутсорс. Якщо є щось загальне, що притаманне всім органам влади, то чому б це не централізувати − зібрати 50 високопрофесійних системних адміністраторів з серйозною зарплатою, які будуть підтримувати веб-системи органів влади на високому рівні. Це і буде державне хмара, тим паче, що її можна побудувати − немає ніяких заборон.
− Наскільки реально це в сьогоднішній Україні?
− Думаю, що процес реформ та гармонізація законодавства, а також погляд більш молодої і професійної команди − щонайменше, діючий уряд справляє таке враження − призведуть до того, що все у нас буде добре.
Повний текст інтерв‘ю шукайте за посиланням.
Media About Us
IPR VALUES DIGEST #15 | СІЧЕНЬ, 2015 16
