Как обезопасить корпоративные веб-приложения от хакерских атак?
Об этом написано много всего, давайте поговорим о практике. Как изощряются хакеры в попытке получить критичные данные, где искать неочевидные, но опасные «пробелы» в безопасности, и что поможет минимизировать риски атак?
Эти и другие вопросы, а также реальные примеры из различных отраслей, мы обсудим с нашим партнером Positive Technologies на вебинаре 12 сентября в 11:00. В прямом эфире на них ответят директор по развитию облачных продуктов Positive Technologies Денис Прохорчик и руководитель направления сервисов защиты Nubes Александр Быков.
На вебинаре 12 сентября в 11.00 эксперты обсудят:
свежие кейсы атак на веб-приложения компаний среднего бизнеса и реальные примеры, демонстрирующие важность защиты от внешних угроз.
как оценить уровень защищенности приложений и топ-5 неочевидных ошибок при внедрении облачного WAF.
проведут симуляцию атаки на веб-приложение в реальном времени с демонстрацией работы решений PTAF и анализатора PT BlackBox в условиях реальных угроз.
Вебинар будет полезен руководителям и сотрудникам ИБ-подразделений, ИТ-специалистам.
На сегодняшний день трудно представить себе бизнес, который работает без использования компьютеров и цифровых технологий. А раз присутствует техника, программное обеспечение, локальные сети и т.д. – требуется сотрудник, либо же целый отдел, который следит за работой техники и сетей. Многие фирмы обращаются за помощью к компаниям, которые выполняют обслуживание айти для бизнеса.
Эти компании называются IT компании и осуществляют ит аутсорсинг. Проще говоря ИТ-аутсорсинг — это передача работ по администрированию и поддержке ИТ-инфраструктуры в руки компании, которая профессионально занимается абонентским ИТ-обслуживанием.
Аутсорсинговые компании решают широкий спектр вопросов: от обслуживания компьютеров и администрирования серверов до программирования и предоставления хостингов.
Компания OPERHELP предоставляет профессиональные услуги по ит аутсорсингу. Работа начинается с консультации в ходе которой выявляются потребности бизнеса клиента. Далее аудит, в ходе которого подбирается индивидуальный план работы и стратегия. Формирование коммерческого предложения с описанием услуг, а также стоимости на данные услуги. Заключительный этап, заключение официального договора на обслуживание. В договоре прописываются качество предоставляемых услуг, фиксированная стоимость.
Преимущества сотрудничества с OPERHELP
Удаленная тех поддержка
Специалисты всегда на связи. Ответят на каждый вопрос.
Локация
Специалисты находятся в разных уголках города Москвы.
Экономия
Команда профессионалов выполнит услуги удаленно. Это существенно экономнее, чем нанимать специального человека на работу в штат, который будет выполнять обслуживание компьютеров в офисе.
Эффективность
Все услуги предоставляются качественно и профессионально.
Опытная команда
Сотрудники OPERHELP—это профессионалы, которые работали в крупных IT компаниях России.
Подобрать тариф можно на сайте. Тарифы состоят из:
• Онлайн-обслуживания;
• Стандарт обслуживания;
• Проф обслуживания.
Включают в себя определенные услуги. Онлайн-обслуживание осуществляется полностью удаленно, стандарт представляет собой совмещенное обслуживание, а проф заключается в полном обслуживании офиса.
Кроме того, на сайте можно рассчитать стоимость аутсорсинга исходя из рабочих мест, количества принтеров, количества работников, а также количества офисов.
Чтобы получить полноценную консультацию, достаточно отправить заявку на почту, либо позвонив по бесплатному номеру указанному на сайте.
Новый телекардиограф от СберМедИИ (входит в индустрию здоровья Сбера) передан Ханской поликлинике. До конца февраля 2023 года комплексы также получат Майкопская городская клиническая больница и Кошехабльская ЦРБ.
Эти аппаратно-программные комплексы для мобильной диагностики с интегрированным сервисом на базе искусственного интеллекта. С помощью телегардиографов врачи смогут получать расшифровку данных ЭКГ пациента с помощью ИИ в режиме онлайн.
Технология с использованием ИИ с точностью до 90% помогает медицинским работникам определять сердечно-сосудистые патологии и сокращает время обработки исследований ЭКГ на 20%. Результаты ЭКГ поступают к профильным врачам областных больниц, где верифицируются и возвращаются назад с рекомендациями по лечению, маршрутизации и наблюдению пациента. На сервере хранится цифровой архив ЭКГ, организована удобная структура базы данных, имеется возможность сравнения ЭКГ в динамике, автоматизированный сбор статистики и отчетности.
Асхад Дышеков, заместитель управляющего Адыгейским отделением Сбербанка:
«В настоящее время в Адыгее успешно проходит цифровая трансформация ключевых отраслей экономики и социальной сферы. Большое внимание также уделяется вопросам цифровизации сферы здравоохранения. Благодаря совместным проектам региональной администрации и Сбера медицинская помощь становится все более доступной для жителей республики. Уверен, что телекардиографы от СберМедИИ будут эффективно помогать врачам в их работе, позволят повысить качество проводимых ЭКГ-исследований».
Наталья Филимонова, главный врач Медицинского цифрового диагностического центра (MDDC) СберМедИИ:
«Благодаря обработке ЭКГ с помощью алгоритмов повышается точность и качество диагностики, а также скорость обработки результатов исследований, от чего часто может зависеть жизнь человека. Такое комплексное решение в диагностике помогает повысить эффективность работы врачей и делает оказание медицинской помощи намного удобнее для пациентов в регионах страны, в том числе в труднодоступных населенных пунктах».
20 декабря, Москва. Компания SafeTech совместно с компанией КриптоПро расширила возможности флагманского решения PayControl. Теперь решение работает с использованием сертифицированных СКЗИ КриптоПро CSP и JCP, что позволяет реализовать формирование и проверку усиленной неквалифицированной электронной подписи в соответствии с государственными стандартами ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
Использование PayControl ГОСТ позволит организациям обеспечить максимальную безопасность своих цифровых каналов и полное соответствие требованиям законодательных органов к подтверждению волеизъявления пользователей. Продукт позволяет решить следующие задачи:
обеспечение максимального уровня безопасности транзакций для защиты денежных средств клиентов;
обеспечение клиентам возможности быстрого и удобного формирования подписи с использованием мобильного устройства;
минимизация финансовых затрат по сравнению с другими технологиями подтверждения транзакций
выполнение требований регулятора в части использования неквалифицированной электронной подписи для совершения операций.
Мобильная электронная подпись PayControl ГОСТ создается путем криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа) в сочетании с уникальными характеристиками конкретного смартфона.
Подписание и подтверждение операций происходит одним касанием экрана. PayControl ГОСТ позволяет максимально эффективно противостоять наиболее распространенным мошенническим схемам: перехват одноразовых кодов подтверждения в SMS и PUSH, использование зловредного программного обеспечения на компьютерах и мобильных устройствах, социальная инженерия и фишинг.
Решение призвано кардинально повышать безопасность цифровых каналов и развивать безопасное дистанционное банковское обслуживание. PayControl ГОСТ значительно упрощает пользовательский опыт путем трансформирования мобильного устройства в аналог USB-токена с экраном. Решение позволяет подтверждать запрос на совершение банковских транзакций, выполнять процедуру многофакторной аутентификации, создавать и подписывать электронные документы, фиксировать факты получения и/или ознакомления с определённой̆ информацией.
«Компания SafeTech старается предоставлять рынку самые современные решения как с технологической стороны, так и со стороны соответствия законодательным трендам. Использование в PayControl ГОСТ сертифицированного СКЗИ компании КриптоПро дает возможность массово использовать в мобильном банкинге не только простую, но и неквалифицированную подпись. Выход PayControl ГОСТ без сомнения станет одним из самых значимых событий 2023 года в сфере защиты банковских платежей от фрода и мошенничества и выведет дистанционные каналы на принципиально новый уровень безопасности.» –
Дарья Верестникова, Коммерческий директор SafeTech.
«Переход PayControl, зарекомендовавшего себя как эффективное решение для обеспечения безопасности банковских операций, на доверенное криптографическое ядро КриптоПро, делает его действительно передовым средством для защиты денежных средств клиентов. Мы уверены, что такое совместное решение обеспечит максимальную безопасность и удобство дистанционного банковского обслуживания как для клиентов, так и для самих банков.» - Станислав Смышляев, Заместитель генерального директора КриптоПро.
Справочная информация
SafeTech
Российский разработчик инновационных решений для защиты систем дистанционного банкинга и электронного документооборота. Компания создает инструменты безопасности для цифровых каналов, чтобы пользователи могли решать повседневные задачи проще, удобнее и безопаснее.
Внедрения решений компании SafeTech позволяют финансовым и другим организациям реализовать новые цифровые сервисы: открытие счета удаленно без посещения офиса банка, регистрация нового бизнеса в режиме онлайн, создание phygital-офиса, безбумажное взаимодействие с партнерами и многое другое.
КриптоПро
Компания КриптоПро создана в 2000 году и в настоящее время занимает лидирующее положение по распространению средств криптографической защиты информации и электронной цифровой подписи.
Основное направление деятельности компании — разработка средств криптографической защиты информации и развитие Инфраструктуры Открытых Ключей (Public Key Infrastructure) на основе использования российских и международных стандартов и рекомендаций по стандартизации, а также российских криптографических алгоритмов.
IT-отрасль в России признается одной из самых важных и приоритетных для экономики. Крупные компании развивают проекты и сервисы, которые успешно конкурируют с лучшими западными технологическими образцами.
Для развития этих проектов гиганты нередко прибегают к помощи стартапов и небольших разработчиков - инвестируют в них, помогают развивать прорывные технологии, а позже используют в своих сервисах.
Кажется, перед нами идиллия: корпорации получают инновации, а стартапы - инвестиции для развития. К сожалению, не везде и не всегда эти процессы проходят гладко. Бывают случаи, когда крупные компании не хотят делиться со стартапами и просто воруют их идеи и технологии. А затем, пользуясь связями в органах власти, уходят от ответственности.
Такие случаи сейчас происходят в Республике Татарстан, которая славится высоким уровнем развития своей IT-отрасли. При этом можно наблюдать, что одним из участников подобных событий является оператор ПАО «Таттелеком». Эта компания - крупнейший в регионе оператор проводной электросвязи, стабильно занимающий лидирующее положение на рынке оказания телекоммуникационных услуг.
Первый случай присвоения чужого программного продукта
Недавно на сайте Верховного суда РФ было опубликовано Определение от 1 июля 2022 г. N 306-ЭС22-6815 по делу N А65-1795/2021. Суд поставил окончательную точку в попытках руководителей «Таттелеком» воспользоваться данным программным продуктом. Суд первой инстанции, апелляционная инстанция, кассационная инстанция - Суд по интеллектуальным правам - и сам Верховный Суд РФ последовательно указали «Таттелекому» на превосходство Гражданского кодекса над его позицией и вменили компании возместить более 14 миллионов рублей.
Ситуация может вызвать проблему для жителей Татарстана – нарушая авторские права в отношении программного обеспечения, установленного на сети связи, «Таттелеком» попирает требования пункта 18 Приказа Мининформсвязи РФ от 02.07.2007 N 73 «Правила применения автоматизированных систем расчетов» и требования по услугам связи, имеющихся у «Таттелеком». В итоге компания может лишиться лицензии на оказание услуг связи.
Второй случай присвоения чужого программного продукта
Суды нашли еще одно подтверждение неправомерного использования чужих программ уже дочкой ПАО «Таттелеком» - ООО «ТМТ», оказывающей услуги под маркой «Летай». Факт обнаружен и подтвержден решением кассационной инстанции по делу № А65-12873/2020.
На этот раз пострадала компания ООО «Тенет», которая занимается разработкой, внедрением и поддержкой собственного программного обеспечения, преимущественно в сфере телекоммуникаций.
По обращению директора ООО «Тенет» в Следственный комитет по факту нарушения авторских прав в особо крупном размере было возбуждено уголовное дело и принято к производству 8 сентября 2022 года.
Вот что было написано в документе: «Не позднее 22 ноября 2019 года, более точное время следствием не установлено, неустановленные лица из числа руководства и работников ООО «Твои мобильные технологии» получили незаконный доступ к использованию программы для ЭВМ - Интегрированная система учета услуг мобильной связи «IRBiS.mobile», правообладателем которой является ООО «Тенет Софт», и незаконно использовали для оказания своим клиентам услуг мобильной связи, при этом общее количество абонементов, обслуживаемых в указанной программе и в пользу ООО «Твои мобильные технологии» составило не менее 733 174 единиц. В результате незаконного использования указанного объекта авторского права правообладателя ООО «Тенет Софт» причинен ущерб в особо крупном размере на сумму 35 925 526 рублей».
Однако уже на следующий день вышло Постановление об отмене возбуждения уголовного дела. Вот что пишет следователь в документе: «Изучение материалов уголовного дела показало, что принятое решение о возбуждении данного уголовного дела и принятии его к производству является необоснованным и подлежит отмене по следующим основаниям. Так, в материалах, положенных в основу принятого решения о возбуждении уголовного дела, отсутствуют объективные данные о том, что программа для ЭВМ - Интегрированная система учета услуг мобильной связи «IRBiS.mobile» незаконно используется ООО «Твои мобильные технологии». Данные о причиненном ущербе и о том, что количество абонементов, обслуживаемых по указанной программе в интересах и в пользу ООО «Твои мобильные технологии», составляет не менее 733 174 единиц, не подтверждены проведенными в ходе проверки процессуальными действиями».
Остается запастись терпением и подождать когда факты использования интеллектуальной собственности в «Таттелекоме» уже не позволят следствию закрывать на это глаза.
Что в итоге?
Что же мешало «Таттелкому» заплатить за лицензии деньги и продолжать работать в правовом поле? Зачем наносить ущерб небольшому, но талантливому коллективу ООО «Тенет», который вносит вклад в развитие IT-отрасли не только своего региона, но и всей России? Мы вряд ли узнаем ответы на эти вопросы.
Такое безответственное поведение больших компаний явно не способствует развитию высокотехнологичных отраслей экономики, которые так необходимы сегодня в условиях санкций и ухода западных компаний.
