Техасский центр рака оштрафован на $ 4,3 млн за утечки данных

22/06/2018

Хьюстон (AP). Федеральные должностные лица здравоохранения приказали Университету штата Техас MD Cancer Center заплатить штраф в размере 4,3 миллиона долларов США за то, что он не смог обеспечить безопасность данных.

Хьюстонская хроника сообщает, что Департамент здравоохранения и социальных служб США объявил в понедельник, что отказ MD Anderson зашифровать  медицинские записи нарушил закон о конфиденциальности пациентов от 1996 года, известный как Закон о переносимости и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act -HIPAA).

Дело включает три инцидента, произошедшие в 2012 и 2013 годах, когда устройства центра были либо украдены, либо потеряны, что потенциально может поставить под угрозу медицинские записи 35 000 человек. Управление расследования гражданских дел в отношении нарушений данных обнаружило, что центр не полностью зашифровал все свои устройства за это время.

М.Д. Андерсон утверждал, что центр не подпадает под требования шифрования, поскольку информация о здоровье используется для исследования.

А теперь вопрос.

Ну нельзя же не думать о том, что пронесет еще раз. Ведь жареный петух клюнул уже дважды. Ждать третий раз? Не понимаю. Прошло 6 лет, а шифрование полностью так и не внедрено, хотя сегодня это уже реализовано прямо в операционной системе. Не знаю, как это назвать? Пофигизм? Тогда точно за него нужно расплачиваться. А как думаете вы? Или тоже ждете когда вас оштрафуют?

 

Реклама

Часовые ремешки Montblanc могут использоваться для бесконтактных платежей

22/06/2018

Mont

Рынок мобильных кошельков стал популярным из-за повышенного интереса к технологии NFC, и сегодня создаются предпосылки для создания надлежащей инфраструктуры, которая позволит и побудит пользователей отказаться от наличных платежей.

Читать далее…


Сказки о безопасности: Следящая реклама

20/06/2018

http://www.itweek.ru/themes/detail.php?ID=201750

Настало лето. Несмотря на ранее утро, уже было жарко. Но это лишь свидетельствовало о том, что днем жара будет просто невыносимой. Именно в такие утренние часы Иоганн любил прогуляться по тенистому парку, идя на работу. Тишина и пение птиц всегда помогали ему настроиться с утра. Это утро не было исключением.

— Шеф, вам с утра кофе со льдом и мороженным? Или сок со льдом?

— А вы что будете, Софи?

— Я? Я, наверное, буду кофе с мороженным!

— Тогда два кофе и давайте посмотрим, что у нас на сегодня запланировано.

— Шеф, я так и думала. Вот кофе, сейчас принесу планшет и скажу, что у вас на сегодня.

— Софи, что тебя тревожит? Ты какая-то сегодня не такая! Не улыбаешься как обычно.

— От вас ничего не скрыть. Действительно, я сегодня хотела подойти к Максу и Рите, у меня проблема.

— Та-а-ак! Зови их сюда и приготовь, пожалуйста, черный кофе для Макса и стакан апельсинового сока со льдом для Риты. Будем думать над твоими проблемами вместе.

Прошло 10 минут.

— Шеф, вызывали?

— Не вызывал, а просил зайти! У нашей Софи проблемы. Я просил бы вас ей помочь. Рассказывайте, Софи!

— Как вы помните, неделю тому назад моя мама попала в аварию. Сейчас она лежит в императорском военном госпитале, в отделении политравмы.

— Конечно помним, как она себя чувствует, кстати? С ней все хорошо? Помощь нужна?

— Спасибо, шеф! С ней все хорошо, она уже почти в порядке. Она ведь отделалась ушибами и легким сотрясение мозга. Скоро уже выпишут. Но проблема не в этом. Ей, а чуть позже и мне, стала приходить реклама разных юридических фирм, специализирующихся на подобных травматических случаях. И это сильно напрягает. Нам не нужны их услуги, так как согласно указа императора, юридическую помощь служащим военных и силовых структур и их семьям бесплатно оказывает армейская юридическая служба. А мы считаемся военнослужащими. Я не могу понять, откуда у них мамин, а тем более мой номер телефона? Неужели это утечка из госпиталя.

— Ты не запрашивала госпиталь?

— Только неофициально побеседовала с их руководителем информационной безопасности. Я училась с его братом. Он клянется, что у них все в порядке.

— Макс, бери своих ребят и займись этим делом. Что-то мне подсказывает, что все весьма серьезно. И проверьте не только этот госпиталь.

Прошло две недели.

— Шеф! Увы, вы правы. Реально пациенты по всей империи получают подобные рассылки. Мы заехали в ряд юридических компаний чтобы выяснить, откуда они получают данные. Оказалось, что они используют технологии геофенсинга и геотрекинга, ориентированных на пациентов больниц, травмпунктов и т. д.

После того, как человек вошел в подобное учреждение, он автоматически попадает в маркетинговый таргет-список юридической компании, которая предоставляет услуги юристов при получении травм, после чего все его мобильные устройства в течение месяца будут получать рекламные объявления от этой юридической компании. Невероятно, но такая практика, оказывается, не противоречит законам империи. Такие методы уже использовались розничными продавцами в последние годы, но теперь очередь дошла до больниц, а потому можно говорить о том, что мы имеем дело с вторжением в конфиденциальные вопросы медицинского статуса людей и их здоровья.

— Что мы можем предложить уже сегодня? До того, как империя примет соответствующий закон?

— Только применять VPN. Использование такого сервиса позволяет вам скрывать ваше местоположение, а потому никто не будет знать, где находился ваш сотовый телефон в определенный момент.

— Ну что ж, Софи, готовьте заявление для прессы и готовьтесь выступить с ним на телевидении. Граждане империи должны чувствовать себя в безопасности!

Вы считаете это фантастика? Совсем нет! Подобная ситуация уже стала реальностью в штате Филадельфия (США).


Угрозы безопасности: угроза автомобильным инновациям

19/06/2018

Темп инноваций в автомобильной промышленности просто захватывает. Еще десять лет назад сама концепция легковых и грузовых автомобилей без водителя-человека считалась научной фантастикой. А сегодня это уже обычное явление на дорогах всего мира.

Многие из этих нововведений носят поистине революционный характер. Умные автомобили позволяют экономить топливо, снизить загруженность и аварийность на дорогах. Однако вместе с тем, в конкурентной борьбе за то, чтобы вывести на рынок все больше и больше подключенных автомобилей крайне важно чтобы производители не пропустили основы кибербезопасности и не поставили под угрозу безопасность автомобилей и пользователей.

До этого времени законодатели и производители приоритетное внимание уделяли физической безопасности автомобильных технологий. А теперь пришло время сосредоточиться на кибербезопасности.

Основные угрозы автомобилю – физическая и кибер.

С точки зрения любого специалиста по безопасности автомобиль это еще одна сложная система, которая становится все более связанной с целью повышения эффективности и удобства клиентов. Проблема, которая при этом создается – все больше возможностей подключения, что означает больше векторов атаки и больше возможностей для хакеров.

С точки зрения безопасности вызывает озабоченность физическая безопасность, ведь если системы управления транспортными средствами могут использовать удаленные соединения, то всегда есть вероятность, что они открыты для взлома, что означает немедленную и неприемлемую опасность для водителей, пассажиров и других участников дорожного движения. Например, три года назад американский производитель автомобилей Chrysler выпустил официальное предупреждение о 1,4 миллионах автомобилей в ответ на уязвимость программного обеспечения, которая позволила исследователям полностью контролировать автомобиль по воздуху. Удивительно, но этот инцидент, похоже, не ослабил желания потребителей в отношении большей автоматизации и интернет-услуг в их транспортных средствах, или скорости, с которой производители автомобилей хотят их производить.

Второй областью, требующей повышенного внимания, является конфиденциальность личных данных. Автомобили становятся все более ценными генераторами персональных данных. GPS-навигационные системы регистрируют поездки, чтобы сократить время, затрачиваемое на трафик, дилеры предупреждаются, когда достигнуты интервалы обслуживания, и страховые компании могут отправить помощь по первым показаниям серьезной аварии. Производители также собирают данные об использовании транспортных средств для улучшения будущих проектов.

Проблема, стоящая перед производителями автомобилей, заключается в том, что многие из этих систем не были разработаны с учетом безопасности, поскольку они никогда не предназначались для подключения к внешним коммуникациям. Однако в современных автомобилях мы находим GSMA, Bluetooth, WiFi и другие беспроводные технологии — не говоря уже о портах USB — повсеместно и могут предоставлять шлюзы для критически важных систем управления. Универсальная CAN-шина, которая управляла автомобильными компонентами в течение двух десятилетий, оказалась особенно сложной для защиты и изоляции. Действительно, непреднамеренное разоблачение CAN-шины позволило атаковать автомобили Chrysler. Исследователи не только смогли получить доступ к CAN-шине через мультимедийный блок управления, который был теоретически изолирован от CAN-шины, но и для установки индивидуальной прошивки без разрешения.

Усиление мер кибербезопасности

В результате производители сегодня гораздо более чувствительны к проблемам безопасности, чем три года назад, а в октябре 2017 года 15 членов Европейской ассоциации автопроизводителей (ACEA) одобрили набор шести принципов кибербезопасности. Эти обязательства являются весьма обнадеживающими и включают принятие подхода к жизненному циклу кибербезопасности для развития транспортных средств, а также обмен информацией между субъектами промышленности для решения новых угроз по мере их возникновения.

Руководящие принципы ACEA должны приветствоваться как введение в концепцию «безопасного проектирования» для автомобильного мира.

Возможно, именно поэтому в январе 2018 года исследователи все еще могли показать, что электронный блок управления (ECU) в ряде недавно построенных автомобилей от разных производителей был восприимчив к удаленному взлому через беспроводные сети даже при выключенном двигателе.

Есть уроки, которые отрасль может извлечь из других секторов. Методы, которые регулярно разворачиваются в корпоративных сетях для выявления и карантина аномального поведения, — определение атак раньше, другими словами, должны быть разработаны для конкретных взаимодействий внутриавтомобильной сети. Также важно, чтобы производители разрабатывали культуру постоянного тестирования и упрочнения их защиты до и после выпуска продукта.

Когда дело доходит до интеграции подключенных систем с системами управления транспортными средствами, требуется лучшее понимание того, как сегментировать сетевые функции и защищать устаревшие системы, и в то же время получать доступ к данным, которые будут стимулировать инновации.

Что касается рисков, связанных с сбором персональных данных в современных автомобилях, то производители должны вкладывать больше средств в образование потребителей по своей продукции. Сегодня водители могут даже не знать, что данные о поездке собираются и хранятся «умными» компонентами в их транспортных средствах, поскольку пользовательские соглашения и условия часто зарыты в конце руководств.


Сказки о безопасности: Уязвимый смартфон

19/06/2018

https://www.itweek.ru/security/article/detail.php?ID=201725

— Комиссар, вы просили отследить передвижения Кроули? Увы, но мы можем это сделать только с точностью 100-200 м. Через сотовые вышки. А за городом точность будет еще ниже, там вышки реже.

— Увы, это хорошо, но недостаточно. Нам нужно точнее. Подумайте, как мы можем это сделать.

— Комиссар, а каким телефоном он пользуется?

— Стажер, ты что-то придумал?

— Кажется да. Но нужно точно знать модель его аппарата. Вы знаете его номер?

— Конечно. Но что нам это дает?

— Как что? Мы узнаем IMEA аппарата и узнаем его модель.

— А дальше что?

— А вот дальше я скажу, только если сумею что-то сделать. Мне нужна модель.

— Марк, чего ты стоишь? Мигом дай срочный запрос в компанию сотовой связи!

Прошло полчаса.

— Комиссар, что они сказали?

— Смартфон А07 от компании S. Что нам это дает?

— Сейчас попробуем. О! Нам везет. Эта модель есть в списке.

— Стажер, ты крови моей хочешь? Что за список!

— Короче, комиссар, мы можем подсунуть удаленно на это смартфон вредоносное ПО, которое не только передаст нам координаты устройства, но и по команде включит микрофон, что позволит нам слушать что творится вокруг.

— Стажер, а можешь пояснить что это и как, — подал голос начальник отдела технических средств.

— Конечно. На данном аппарате открыт по умолчанию порт отладки, что позволит нам удаленно подключиться к аппарату. Более того, поддерживается отладка по Wi-Fi.

— А он что, не знает об этом?

— Конечно нет! Более того, десятки тысяч подобных устройств сегодня работают в сети.

— Тогда за дело!

Буквально через день троян был удаленно установлен на нужный смартфон. Задача была решена.

Это совсем не фантастика. В настоящее время на рынке доступно огромное количество уязвимых устройств.


25% сотрудников используют один и тот же пароль для всех учетных записей

13/06/2018

Согласно докладу OpenVPN из них 81% вообще не защищает паролем свой телефон или компьютер.

Согласно докладу OpenVPN, сотрудники – самый крупный актив любой компании, однако они же составляют самый большой риск кибербезопасности.

Несмотря на повышенное внимание к обучению безопасности, 25% опрошенных 500 американских сотрудников сообщили, что они используют один и тот же пароль для каждой своей учетной записи. А еще 23% сказали, что часто нажимают на ссылки до того, как проверят что они безопасны.

Согласно данным отчета, из тех сотрудников, которые используют один и тот же пароль для всех своих учетных записей, 81% заявили, что не защищают паролем свой смартфон или компьютер.

Сегодня компании сосредоточены на внешних угрозах и упускают из виду то, что их собственные сотрудники все чаще оказываются угрозой внутри организации.

Разумеется, повторное использование паролей является рискованным поведением, которое может поставить под угрозу всю компанию, так как слабые пароли можно легко обойти с помощью атак грубой силы.

Кроме того, это может нанести ущерб пользователю, так как использование одного и того же пароля для защиты банковских счетов, электронной почты и социальных сетей может подвергнуть риску как личную, так и рабочую информацию.

Традиционные рекомендации к паролям (использование прописных и заглавных букв, спецсимволов и регулярная смена паролей, по словам Билла Берна, уже не являются полезными. Вместо этого гораздо полезнее использовать длинные, запоминающиеся фразы. Кроме того, необходимо чтобы в случае возможной компрометации пользователь мог легко сменить свой пароль.

Сегодня некоторые компании для повышения уровня аутентификации используют биометрические сервисы. Такие методы приветствуются сотрудниками: 77% заявляют, что доверяют биометрическим пароля, а 62% считают, что использование биометрии только усиливает их аутентификацию. На данный момент около половины сотрудников (55%) используют биометрические пароли. Хотя увеличивает ли это безопасность или нет – весьма спорный вопрос. Но это несомненно усиливает удобство использования.


Сказки о безопасности: ДНК на пограничной службе

13/06/2018

https://www.itweek.ru/security/article/detail.php?ID=201638

Уже который год в империи шла видимая и невидимая борьба с терроризмом. Шла она с переменным успехом. Высланные в провинцию А вооруженные силы, предназначенные для борьбы с террористами и помощи местному правительству, фактически только усилили террор.

Основная часть террористов была из бедных горных районов, жители которых, несмотря на все усилия, в массе своей оставались все такими же малограмотными и бедными. Они слушали своих священников и считали, что только война с силами империи поможет им построить правильное религиозное общество.

В империи все понимали, что война бессмысленна, но если вывести войска, то станет только хуже. Внешне это была религиозная война, на самом же деле это была война за полезные ископаемые, ведь тот, кто будет контролировать эту провинцию, будет контролировать их.

А пока в городах взрывались бомбы и смертники. Но самое страшное было то, что все чаще взрывы звучали в центре империи. В связи с этим было принято решение наказывать не только самих террористов, но и их родственников. Но как?

И тут руководство армейской разведки предложило использовать две международные организации. Естественно, ни их сотрудники, ни их руководство не должны были знать этого.

— Эй, доктор! Вам пришло письмо по электронной почте. В селении Т разразилась новая эпидемия. Нам нужно срочно туда выехать.

— Мы ж там были недавно.

— Все верно, но заболели дети. Никто не понимает в чем дело. Нужно снова взять анализы крови и слюны. И доставить их сюда, а уж здесь в лаборатории разберутся. И да, чтобы не ехать дважды, нужно взять у всех именные анализы.

А в это время группа экологов в столице создавала систему раздельного сбора мусора. Никто из добровольцев этой службы не подозревал, что их организация давно финансируется имперской разведкой, а вся идея с мусором, так же как и со сбором анализов, связана также со сбором ДНК.

Через несколько лет база ДНК ближайших родственников подозреваемых в терроризме была создана и успешно применялась для розыска самих террористов. Впоследствии проект расширили на соседние бедные страны, и пограничники получили мощный инструмент выявления потенциальных террористов при пересечении границы.

Думаю, в скором будущем нам будет предложено вместе с паспортами предъявлять пограничникам и образцы слюны. А вы как думаете?