ФСТЭК может запретить субъектам КИИ почту с зарубежных IP

Олеся Афанасьева 21 Марта 2023 - 12:50

...

ФСТЭК может запретить субъектам КИИ почту с зарубежных IP

Критически значимым компаниям — операторам, банкам и структурам ТЭК — могут запретить взаимодействие с иностранными IP-адресами. Ограничение предлагает ФСТЭК. Мера может затруднить коммуникации с клиентами и партнерами, предупреждают эксперты.

Новеллы в обеспечении безопасности критической информационной инфраструктуры упоминаются в недавней презентацией ФСТЭК, пишет “Ъ”.

Регулятор призывает отключить удаленный доступ к критическим узлам и сетям, запретить open relay, а также взаимодействие через электронную почту с иностранными IP-адресами.

Защита нужна и от “внутренних нарушителей”, говорится в документе.

В частности, следует записывать действия привилегированных пользователей и не допускать пересечения прав администратора и работников.

По последним данным, в 60% российских компаний, в том числе государственных, каждый месяц встречаются угрозы привилегированного доступа. Чаще всего суперюзеры скачивают запрещённый контент и обходят политики безопасности в личных целях.

Экспертиза ФСТЭК также показала, что компании часто не учитывают взаимодействие с другими объектами критической информационной инфраструктуры и занижают размеры ущерба от нарушений работы.

Кроме того, регулятор хотел бы внести в объекты КИИ и системы, обеспечивающие технологические процессы компаний.

Некоторые рекомендации ФСТЭК выглядит вполне обоснованными, другие требуют проверки на предмет влияния на значимые для компании процессы, считают эксперты.

К “неплохой практике” относят, например, отключение прямого удаленного доступа к управляющим интерфейсам и запрет open relay.

Фильтр на зарубежные адреса уже “ставили” на госучреждения, напомнили в “Информзащите”.

Но для субъектов КИИ такой опыт не всегда возможен — на иностранных IP-адресах могут “сидеть” клиенты и контрагенты.

Рекомендации выглядят как подготовка к переходу субъектов КИИ на работу с использованием исключительно российского ПО, считают юристы.

Вопрос адекватности мер — скорее технический, но, очевидно, от бизнеса потребуется немало усилий для обеспечения полного соответствия, отмечают они.

Добавим, по состоянию на октябрь 2022 года, Региональные госпорталы продолжали использовать иностранные сервисы. Каждый второй сайт местных органов власти использует сервисы Google, а функция защиты внешних ресурсов от подмены не настроена ни на одном из них.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »