ФЗ-152: Вендоры померились сертификатами

ФЗ-152: Вендоры померились сертификатами

ФЗ-152: Вендоры померились сертификатами

В конце октября отечественный рынок инфобезопасности взбудоражила и без того крайне обсуждаемая тема скорого вступления  в силу ФЗ № 152 «О персональных данных» - в этот раз в отношении требований к антивирусам и сертификатам ФСТЭК, подтверждающим их соответствие новому закону.

21 октября компания Eset объявила о получении сертификата ФСТЭК по 4-му уровню контроля, подтверждающего соответствие комплекта Eset NOD32 Platinum Pack 4.0 (куда входят версии антивируса Eset  NOD32 и Eset NOD32 Smart Security для корпоративных пользователей, а также программные продукты Eset для защиты файловых серверов Linux, BSD, Solaris) требованиям, предъявляемым к информационным системам защиты персональных данных (ИСПДн) до 1-го класса включительно (К4-К1). «Получение сертификата ФСТЭК высшего класса «К1» делает ESET NOD32 уникальным решением на российском рынке. Ведь в настоящий момент это единственный антивирусный продукт, который позволяет привести подсистему антивирусной защиты любой организации в соответствие с требованиями закона ФЗ № 152 «О персональных данных», - заявил Андрей Албитов, глава российского представительства Eset. -  Сегодня только организации, выбравшие продукты ESET, могут быть уверенны в законности используемой антивирусной защиты».

 

«Лаборатория Касперского» в ответ выпустила официальный комментарий, в котором управляющий директор «ЛК» в России и странах Закавказья Сергей Земков назвал  заявления об уникальности продукта Eset на российском рынке свидетельствующими «либо о незнании представителями Eset законов РФ, либо о желании дезинформировать пользователей». Он отметил, что продукты «Лаборатории» еще в 2007 г. прошли аналогичную процедуру сертификации и были признаны соответствующими 3-му уровню контроля, то есть пригодны и для защиты конфиденциальной информации, составляющей гостайну. Сергей Земков также не преминул отметить, что продукты «Лаборатории», в отличие от Eset, имеют соответствующий сертификат ФСБ и могут использоваться в органах госвласти (согласно приказу Минкомсвязи РФ № 104 от 25 августа 2009 г.).  Аналогичный сертификат есть и у «Доктор Веб».

«С принятием закона ФЗ №152 «О персональных данных» процедура оценки соответствия не изменилась, не появилось никаких новых требований к программным продуктам, - говорит Земков. - Согласно постановлению Правительства РФ №781 от 17.11.2007, производители систем защиты информации обязаны пройти процедуру соответствия ранее установленным требованиям, которые были прописаны руководящим документом ФСТЭК. А в нем идет речь все о той же сертификации по НДВ, которую продукты «Лаборатории Касперского» уже прошли».

 

30 октября на сайте Eset появился пресс-релиз, разъясняющий ранее сделанное заявление об уникальности полученного сертификата. Из него следует, что Eset - единственная компания, в сертификате которой прямо указано о возможности использования антивирусного решения для защиты информации в ИСПДн до 1-го класса включительно. При этом, однако, в Eset признают, что продукты «Программный комплекс антивирусной защиты «VBA32» версии 3.12» (сертификат № 1671, действует до 26.08.2011) и «Антивирус  Касперского  для  «Дионис»  2.0» (сертификат № 1570, действует до 06.03.2011), также можно использовать в ИСПДн класса до К1 включительно, «однако ни один из указанных продуктов не имеет сертификата, где прямо говорилось бы о возможности его применения в ИСПДн определенного класса». В «ЛК», в свою очередь, утверждают, что «прямые указания» на ИСПДн в сертификате иметь не обязательно, и подтверждают это соответствующим письмом ФСТЭК. В документе говорится, что ранее сертифицированные ФСТЭК «Антивирус Касперского 5.5 для Microsoft Exchange Server 2000/2003», «Антивирус Касперского 6.0 для Windows Servers», «Антивирус Касперского 6.0 для Windows Workstations» и Kaspersky Administration Kit 6.0 можно использовать при создании ИСПДн до 1-го класса включительно.

 

На рынке очередной виток «сертификатных войн» восприняли спокойно. «Как маркетинговый шаг, я расцениваю это положительно, но и многие клиенты уже научились распознавать обман, - комментирует заявление Eset Алексей Лукацкий, менеджер по развитию бизнеса Cisco. - Соответствие ФЗ-152 - нормальное требование для продвижения продуктов российским потребителям. Без этого сложно реализовывать их потребности. Вопрос только в том, кто и как высвечивает поддержку требований. Кто-то кричит об этом на каждом углу, а кто-то просто решает задачи заказчика».

 

«Закон 152-ФЗ уже не первый месяц входит в топ обсуждаемых в ИТ-сообществе тем, - говорит Виталий Янко, коммерческий директор Agnitum. - В том числе, это связано с тем, что не у всех существует понимание, что именно, кто и как должен защищать. Строить продвижение на популярных или наболевших темах - естественный маркетинговый ход». Еще более естественным и обоснованным подобный ход становится в связи с тем, что компания Eset заинтересована в быстром возврате инвестиций, вложенных в получение сертификата, отмечает Янко.

 

«Сейчас соответствие 152-ФЗ в качестве маркетингового преимущества используют многие, - подтверждает Михаил Кондрашин, руководитель центра компетенции Trend Micro. - Я считаю любой маркетинговый шаг, который не противоречит законодательству, но при этом повышает продажи, хорошим маркетинговым шагом».

 

В то же время, и в самом законе «О персональных данных», и в подзаконных актах еще остается немало неоднозначных трактовок и «подводных камней», предупреждает Алексей Лукацкий. «Прошедшие 20 октября парламентские слушания высветили многие из них, - говорит он. - В законе отсутствует гармонизация с европейским законодательством; не учтены начавшаяся реформа технического регулирования в России и ФЦП «Электронная Россия» (в части усложнения и бюрократизации задачи работы с субъектами персданных, которые будут обращаться за госуслугами через интернет)». Другие недочеты, по словам Лукацкого, - это, в частности, предоставление правонарушителям права уничтожать свою нелицеприятную историю; отсутствие в бюджете на 2010-2011 гг. статей на реализацию положений ФЗ, что ставит выполнение ФЗ под вопрос в государственных и муниципальных органах; блокирование реформы здравоохранения в связи с невозможностью адекватно решать вопросы с обработкой данных о состоянии здоровья. «Сейчас депутаты спешно готовят вторую редакцию закона, а также планируют внести изменения в пару десятков иных законов, затрагивающих вопросы, связанные с персональными данными», - напоминает Лукацкий.

 

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru