Кабинет Министров Украины внес изменения в свое постановление № 112 от 31 января 2025 года разрешил передачу данных пациентов из Электронной системы охраны здоровья на портал «Дія». Кроме этого, данные о пациентах из Электронной системы здравоохранения будут попадать еще и в системы поставщиков электронных коммуникационных услуг. Передача данных необходима для обеспечения работы новых сервисов в «Дія», где скоро появятся электронные медицинские сообщения. В виде push-уведомлений в «Дія» будут доступны: номер рецепта на выписанные лекарства и код его погашения, код электронного направления к врачу, запросы на доступ к данным, информация об утверждении плана лечения и т.п. Согласно постановлению Кабмина № 112 от 31 января 2025 года, функциональные возможности электронной системы здравоохранения должны обеспечивать: «передачу информации, определенной статьей 24-2 Основ законодательства Украины о здравоохранении, из центральной базы данных в Портал Дія и информационно-коммуникационных систем поставщиков электронных коммуникационных услуг с целью отправки пациентам текстовых сообщений, необходимых для осуществления их медицинского обслуживания, средствами мобильной связи и сервисов обмена сообщениями �� Интернете».

Все мы слышали о том, что Закон "О персональных данных" в наши дни часто бывает нарушен. Но все ли понимают, что под этим подразумевается? Давайте рассмотрим несколько примеров нарушений данного закона.

Первым и наиболее частым нарушением является нелегитимная обработка персональных данных. Как правило, данное нарушение свидетельствует о том, что организация или какое-либо 3-е лицо ведет обработку персональных данных без согласия.

Второе - это нарушение формы письменного согласия на обработку персональных данных. В некоторых случаях для обработки персональных данных необходимо именно письменное согласие субъекта. Данное нарушение означает, что согласие не включает в себя, например, цель обработки персональных данных, реквизиты субъекта или иные данные.

Третьим нарушением является раскрытие персональных данных третьим лицам без согласия субъекта. В современном мире многие организации и лица, владеющие персональными данными других людей, передают или привлекают к обработке персональных данных третьих лиц. В случае передачи персональных данных необходимо получить согласие субъекта на передачу данной информации 3-им лицам.

В этом посте я рассказала вам о наиболее частых и грубых нарушениях Закона "О персональных данных". Подписывайтесь и не пропустите следующий пост на не менее важную тему.

@zabyurist Инфографика: Персональные данные - ценность 21 века, которую каждый человек старается сохранить в безопасности и не допустить обработки этих данных неизвестными лицами. Но что делать, если при оказании какой-то даже незначительной услуги с вас требуют личную информацию, объясняя тем, что ее иначе не предоставят? Все подробности - в новом материале⬇ Источник: duma.gov.ru #инфографика #персональныеданные #юрист #госдума #забюрист #zabyurist ZABYURIST.RU | 8-800-7777-830 (at Государственная Дума) https://www.instagram.com/p/CXADOyHIvlh/?utm_medium=tumblr

Всегда был против биометрии и иных "удобств". Считаю, что удобства должны быть там, где ими можешь воспользоваться только ты и твои близкие. А там, где за твои удобства "отвечают" третьи лица, это уже совсем не удобства! Но многие отмахивались, да что будет, они в безопасности. Ну да, ну да, особенно последние два года, то одна база в интернет уплывет, то другая, то штраф по фейсу придет. Ну если и это не доказательства, то послушайте человека, который непосредственно с этим связан☝️☝️☝️ (https://www.google.com/amp/s/amp.rbc.ru/rbcnews/rbcfreenews/615d52599a7947bcb0d1e331) Это оценочное суждение, публикация не носит цели оскорбить кого-либо, а лишь дает информацию для размышления, вся информация взята из открытых источников. #личныеданные #персональныеданные #геноцид #кибербезопасность #уничтожение #лабораториякасперского #истребление #предатели #убийцы #socialruss #socium #social #власть #психопаты #просыпайтесь #вставайте #думайте #включайтемозги #паспорта #искуственныйинтеллект #безопасность #воз #предателиродины #опыты #биометрия #пропаганда #фашисты #банки #враги #утечкаданных (at Росси́я - Российская Федерация - Russia) https://www.instagram.com/p/CUun5uiMzZ_/?utm_medium=tumblr

Зачем нужно защищать персональные данные?

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она преврат��лась в самый дорогой товар.

О ценности конфиденциальности личной информации не задумываешься до тех пор, пока не сталкиваешься с надоедливыми звонками операторов, которые настойчиво предлагают услуги, или не находишь информацию из собственного паспорта на просторах Интернета.

Подобные случаи возникают в результате утечек и незаконного использования ПДн, которые граждане доверяют операторам.

Каждый раз, вводя паспортные данные или личный номер телефона на сайте, в регистрационной форме, или даже просто изучая страницы сайта, вы предоставляете свои персональные данные и попадаете в базу данных оператора.

Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и нако��ленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.

Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?..

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

Отвечая на вопрос, зачем нужно защищать персональные данные, помните, что защита персональных данных — это не прихоть законодателя, а необходимость, которая позволит обезопаситься от хакерских атак и обеспечить спокойствие граждан.

Такой эластичный, что вся Big Data утекает: 9 крупных инцидентов cybersecurity с Elasticsearch за последние 3 года

Продолжая разговор про Elastic Stack, сегодня мы рассмотрим проблемы cybersecurity в Elasticsearch: разберем самые известные утечки данных за последнюю пару лет и поговорим, кто и как обнаруживает подобные инциденты. Читайте в нашей статье, какие средства используют «белые хакеры» для поиска уязвимостей в Big Data системах и что общего между Росгвардией и Microsoft.

Самые известные утечки данных с Elasticsearch за последние 3 года: 9 крупных кейсов

Одним из главных н��достатков Elasticsearch (ES) является отсутствие встроенных средств обеспечения информационной безопасности, таких как система авторизации и ограничения прав доступа. После установки движок по умолчанию связывается с портом 9200 на все доступные интерфейсы, что открывает доступ к базе данных [1]. Эта уязвимость хороша известна злоумышленникам и активно ими используется. В частности, с марта 2020 года взломано более 15 тысяч серверов ES, которые не были защищены паролем. Атаки осуществляются с помощью скрипта, который сканирует интернет в поисках открытых серверов Elasticsearch. Обнаружив незащищенную базу данных, скрипт подключается к ней, пытается удалить содержимое и создает новый пустой индекс [2]. Также в марте 2020 года из облачной платформы автоматизации рекрутмента Potok.io утекли более 5 миллионов записей, содержащих персональные данные соискателей работы. Это произошло по причине отсутствия защиты на ES-копии поискового индекса сервиса из-за последовательности непредусмотрительных действий сотрудников в процессе миграции на более защищенную площадку согласно требованиям GDPR [3]. В феврале 2020 года из-за незащищенного сервера ElasticSearch в публичном доступе оказались более 123 милллионов записей о клиентах и сотрудниках компании Decathlon – французской сети спортивных гипермаркетов для всей семьи. Среди утекшей информации были незашифрованные электронные письма и пароли клиентов, журналы API, личные данные сотрудников (сведения о трудовом договоре, даты рождения, номера свидетельств социального страхования и пр) [4]. Еще в феврале 2020 года в сети был обнаружен открытый сервер ElasticSearch крупной российской IT-компании «Инфотех Груп», которая предоставляет отраслевые решения промышленного интернета вещей и предиктивной аналитики для частных и государственных организаций. В рамках этой утечки на незащищенном ES-сервере было более ГБ данных: 1600 индексов из 343 480 600 записей: логины (электронная почта) и пароли CRM-системы клиентов «Инфотех Груп», включая охранные предприятия Росгвардии [5]. В январе 2020 года данные около 250 миллионов клиентов Microsoft оказались в открытом доступе из-за неправильной настройки СУБД Elasticsearch. Параметры ES были установлены так, что вся информация из каталога (адреса электронной почты, IP-адреса и сведения об оказанной пользователям техподдержке) была доступна для просмотра всем желающим [6]. В декабре 2019 года в открытом доступе обнаружилось около 2,7 млрд электронных адресов и более 1 млрд незашифрованных паролей к ним из незащищенной базы данных Elasticsearch. Утекшая информация содержала сведения о пользователях сразу нескольких китайских компаний: NetEase, Tencent, Sohu и Sina [7]. В марте 2019 года в открытом доступе оказался сервер Elasticsearch с логами медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD), откуда можно было получить ФИО, пол, даты рождения пациентов, ФИО врачей, стоимость исследований, данные исследований, файлы с результатами скрининга и многие другие личные данные. Общий размер логов превышал 400 Мб, включая более миллиона записей. В качестве основания утечки компания CMD указала ошибку передачи конфиденциальной информации в техническую базу по причине человеческого фактора [8]. В январе 2019 года в открытом доступе оказался ES-кластер американской компании Ascencion с базой данных объемом 51 ГБ. Утекшая информация включала 24 миллиона банковских документов, в т.ч. записи о займах и ипотеках по клиентам нескольких крупных банков: CitiFinancial, Wells Fargo, CapitalOne и др. В итоге в сеть попали персональные данные клиентов: имена и фамилии, сферы деятельности, даты рождения, адреса, телефоны, номера социального страхования и банковских счетов, а также сведения о кредитах [9]. Из наиболее крупных утечек 2018 года, связанных с Elasticsearch, стоит отметить открытый сервер с 73 Гб, включающих персональные данные на почти 57 миллионов граждан США: имя и фамилию, домашний адрес, страну, индекс, номер телефона и IP-адрес. Тогда же была обнаружена незащищенная ES-СУБД из почти 25 миллионов записей на компании, включая их названия, индексы, точные координаты (широту и долготу), информацию о переписных участках, телефонные номера, сетевые адреса, email, число сотрудников, сведения о доходах, коды NAICS, SIC и прочая конфиденциальная информация [10].

Кто и как обнаружи��ает утечки Big Data: белые хакеры и их методы

Обычно подобные инциденты с открытыми ES-серверами обнаруживаются специалистами по информационной безопасности, которые сканируют интернет на предмет поиска на предмет поиска открытых портов. В случае Elasticsearch это порт 9200. Например, запрос «port:"9200" all:"elastic indices"» в специальном поисковике Shodan выдаст целый перечень ES-СУБД со всеми подробностями об их размере, количестве узлов, IP-адресе и локации. Shodan – не единственное средство поиска открытых баз. Существуют и другие подобные программы, например, LeakLooker, Lampare, BinaryEdge, Censys и т.д. Кроме простого поиска с помощью поисковой строки, их платные версии включают API-интерфейсы и множество разнообразных фильтров: по стране, размеру базы данных и пр. [11].

Вывод серверов Elasticsearch в интерфейсе поисковика Shodan Из наиб��лее известных исследователей информационной безопасности по обнаружению открытых серверов Elasticsearch стоит упомянуть Боба Дьяченко (Bob Diachenko), который сотрудничает с международной организацией Hacken Proof. Головной офис Hacken Proof находится в Таллинне, а офис исследований и разработок - в Киеве. Эта компания объединяет так называемых «белых хакеров» со всего мира, которые занимаются баг-хантингом: ищут уязвимости, но не с целью их зловредного использования, а для улучшения информационной безопасности и защиты данных. Также эти ИБ-специалисты зарабатывают на корпоративных аудитах cybersecurity, обнаруживая уязвимости и рекомендуя меры по их устранению [12]. В следующей статье мы рассмотрим меры предупреждения утечек данных с ES-серверов. А все технические подробности, как обеспечить информационную безопасность кластера Elasticsearch и других средства сбора и анализа больших данных в своих проектах цифровизации, вы узнаете на практических курсах по администрированию и эксплуатации Big Data систем в нашем лицензированном учебном центре повышения квалификации и обучения руководителей и ИТ-специалистов (разработчиков, архитекторов, инженеров и аналитиков) в Москве. Смотреть расписание Записаться на курс Источники 1.       https://ru.bmstu.wiki/Elastic_Elasticsearch 2.       https://www.securitylab.ru/news/506377.php 3.       https://infobezopasnost.ru/blog/news/dannye-platformy-dlya-rekruterov-potok-io-utekli-v-set/ 4.       https://www.tadviser.ru/index.php/Компания:Декатлон_(Decathlon) 5.       https://infobezopasnost.ru/blog/news/obnaruzhen-elasticsearch-s-dannymi-infoteh-grup/ 6.       https://www.tadviser.ru/index.php/Статья:История_Microsoft 7.       https://www.tadviser.ru/index.php/Статья:DLP:_громкие_утечки_информации 8.       https://habr.com/ru/post/451678/ 9.       https://www.securitylab.ru/news/497613.php 10.   https://xakep.ru/2018/11/30/leaky-elasticsearch-server/ 11.   https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html 12.   https://www.hackenproof.com/about Read the full article

Юристы пояснили, как собранные данные по QR-кодам могут навредить россиянам

Для того, чтобы выйти дальше 100 метров от своего дома, москвичу нужно указать паспортные данные, электронную почту, телефон, место работы, ИНН, номер автомобиля или проездного, домашний адрес, цель поездки и место назначения, сообщает портал URA.ru. Ещё одно приложение, разработанное в качестве мер с распространением коронавируса, «Госуслуги. Стопкоронавирус» требует, помимо персональных ... Читать далее

Репост из Телеграмм-канала #СБ #Сбербанк #персональныеданные https://www.instagram.com/p/B_fOL0sHz65/?igshid=1ppdr24mo8yws

Сведения третьей строки паспорта – отчество разрешено менять по собственному желанию еще с 1 января 2021 года. Именно с тех пор действуют нормы Закона «О внесении изменений в некоторые законодательные акты о праве физического лица на смену отчества», где предусмотрена возможность свободно менять отчество. Данным законом внесены изменения в ст. 295 Гражданского кодекса Украины и ст. 149 Семейного кодекса Украины, которые теперь разрешают физическому лицу изменять не только свою фамилию и (или) имя (что уже предусмотрено действующим законодательством), но и отчество. Такое право дается всем лицам с 16 лет. С четырнадцати лет лицо имеет право изменить свою фамилию и (или) собственное имя, и (или) отчество с согласия родителей (опекуна или попечителя, если находится под опекой). Смена отчества, как и смена имени и фамилии, будет проводиться органами государственной регистрации актов гражданского состояния (РАГС).

Ну что тут сказать... Сами видите: эфир удался :) Час пролетел как-то совсем незаметно, отлично пообщались с @daria.muhina, Юрий Геворкян и Sergey Grebennikov. Помимо "заданной темы" (#ПерсональныеДанные и предложения по поправкам в #КонституцияРФ про цифровые технологии и #безопасность), удалось обсудить многое другое: 1) #ЦифровойДиктант #DigitalДиктант #DD2020 2) #РИФ2020 3) #ЭкономикаРунета 4) #ЦифроваяГрамотность И даже перерывы на новости не таили угроз и не сбивали позитив эфира: как-то ничего нового за этот час про коронавирус, про экономические потрясения... Так и закончили на позитивной волне, о чем имеется фотосвидетельство. Дарья и Юра, обязательно зовите в эфир ещё :) #РадиоРоссии #РАЭК #РОЦИТ (at ВГТРК Телеканал Россия) https://www.instagram.com/p/B9OgyAvI8Xy/?igshid=94qe81l6hndt

Ответственность за распространение персональных данных

Согласно Федеральному закону “О персональных данных” №152-ФЗ, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ грозит правонарушителю:

 - Штрафом до 200 тыс. руб.,   - либо обязательные работы на срок до 360 часов,   - либо исправительные работы на срок до одного года,   - либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового),   - либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет).

RockYou2021 — именно такое название получила атака с крупнейшей в истории утечкой данных, это 3,2 миллиарда паролей.

Что делать — немедленно проверить, не повлияла ли эта утечка на их пароли. Сделать это можно с помощью сайта Have I Been Pwned или средства проверки утечки личных данных CyberNews.

Если окажется, что один из ваших паролей скомпрометирован, немедленно измените все пароли для всех своих учетных записей в Интернете. Используйте менеджер паролей, который поможет создать надежные и сложные пароли.

Кроме того, не забудьте включить двухфакторную аутентификацию для всех своих учетных записей (о ней мы писали пару постов ранее).

Ну и профилактика, не забывайте проверять все нежелательные спам-сообщения, звонки и текстовые сообщения на предмет потенциальных фишинговых атак.

Никогда не нажимайте на ссылки и не загружайте файлы в сообщениях, которых вы не ожидали, или от отправителей, которых вы не знаете.

✦ Поделитесь полезной информацией с другими людьми, чтобы помочь им обезопасить свои данные.

Источник: Tech Xplore

@zabyurist Инфографика: Закон, согласно которому операторы будут обязаны удалять персональные данные по первому запросу пользователей При заполнении согласия на использование персональных данных человек сам будет решать, что из информации (Ф.И.О., мобильный телефон и т. д.) может использоваться публично, а что останется приватным. Все подробности об этом законе в материале⬇ Источник: duma.gov.ru #инфографика #роскомнадзор #персональныеданные #новое #закон #чита #ростов #юрист #госдума #забюрист #zabyurist ZABYURIST.RU | 8-800-7777-830 (at Государственная Дума) https://www.instagram.com/p/CNFKsLMh7Qs/?igshid=tgd7kqo515zs

Холодильничек-не болей!! Самый прикол в том,что это фото сделано в моем доме!!! Прихожу-открываю холодильник, а там -такое)))) 👍👌✌️👌☝️👏👏👏🤞🖖👍👍 и немного о серьёзном: Персональные данные Роскомнадзор утвердил новые рекомендации, в соответствии с которыми представляется уведомление о начале обработки персональных данных. В частности, приведена новая рекомендуемая форма такого уведомления. 8(495)972-91-04 8(495)765-53-04 [email protected] http://nalogmsk.ru #юридическаяпомощь #персональныеданные #юридическиеуслуги #обработкаперсональныхданных #юрист #юриствмоскве #услугиюриставмоскве #бухгалтерскиеуслуги #nalogmsk (at Moscow, Russia)

Сегодня в Череповце «Медиа-Центр», одним из первых, подписал Кодекс этической деятельности в Интернете от #роскомнадзор Я там присутствовал. #медиацентр #журналистывологодчины #правоедело #интернет #персональныеданные #череповец #мокиевский #follow #follow4follow #followme (at Cherepovets)

Алиса посылает Бобу сообщение: криптография в IoT и Big Data системах

Почти каждая статья по системам шифрования и криптографическим методам иллюстрируется примере отношений Алисы с Бобом и прочими метафизическими личностями [1]. В продолжение темы информационной безопасности в Internet of Things и Big Data, сегодня мы поговорим о том, как именно криптография помогает защитить каналы передачи данных и IoT-устройства от перехвата управления и утечек информации.

Криптографические методы интернета вещей

Прежде всего, напомним, что интернет вещей состоит из нескольких уровней: ·       smart-приборы – конечные IoT-устройства (датчики, сенсоры, контроллеры и пр.), которые собирают малые данные с технологического оборудования или бытовой техники и передают их в сеть; ·       каналы передачи данных – проводные и беспроводные сетевые протоколы (Serial, RS-485, MODBUS, CAN bus, OPC UA, BLE, WiFi, Bluetooth, 6LoRaWAN, Sigfox и пр.) для отправки информации с конечных IoT-устройств на промежуточные шлюзы и в облака; ·       сетевые шлюзы и хабы – роутеры, объединяющие и подключающие конечные устройства к облачной IoT-платформе; ·       облачная Big Data система (IoT-платформа) – удаленный сервер или кластер в датацентре, на котором развернуто ПО для приема, обработки, хранения и анализа информации.    Для защиты каналов передачи данных и программных приложений, в т.ч. Big Data, от утечек информации применяются современные криптографические методы [2]: ·       симметричные (DES, AES, ГОСТ 28147-89, Camellia, Twofish, Blowfish, IDEA, RC4 и др.) и асимметричные (RSA и Elgamal) алгоритмы; ·       электронная подпись (ЭЦП); ·       хеш-функции (MD4, MD5, MD6, SHA-1, SHA-2, ГОСТ Р 34.11-2012); ·       управление ключами; ·       квантовая криптография. В разных странах приняты свои национальные стандарты шифрования, например, в США с 2001 года используется симметричное шифрование AES (Advanced Encryption Standard) на основе алгоритма Рэндала с длиной ключа 128, 192 и 256 бит. В России действует стандарт ГОСТ 34.12-2015 с режимами шифрования блока сообщения длиной 64/128 битов и длиной ключа 256 бит. Также, для создания ЭЦП применяется алгоритм ГОСТ Р 34.10-2012 [2]. Эти методы реализованы в IoT-системах, как в протоколах передачи данных, так и в самих smart-устройствах. Используемые при этом варианты шифрования и алгоритмы криптографии для кодирования сообщения, а также математические криптофункции делают расшифровку сообщения невозможной без секретного ключа [3].  Асимметричная криптография

Криптографические протоколы IoT и Big Data систем

Наиболее популярными криптографическими протоколами в IoT и Big Data системах являются следующие: ·       набор межсетевых протоколов IPsec (IP Security) для аутентификации, проверки целостности и шифрования IP-пакетов, а также защищённого обмена ключами в интернете. Часто применяется для организации VPN-соединений. ·       TLS (Transport Layer Security) – протокол защиты транспортного уровня, обеспечивающий защищённую передачу данных между узлами в интернете на основе асимметричного шифрования для аутентификации, симметричного шифрования для конфиденциальности и кодов аутентичности сообщений для сохранения их целостности. Данный протокол широко используется в веб-приложениях, электронной почте, мессенджерах и IP-телефонии (VoIP). ·       Kerberos – сетевой протокол взаимной аутентификации клиента и сервера перед установлением связи между ними. Широко используется в Big Data системах и входит в состав некоторых дистрибутивов Apache Hadoop (HortonWorks, MapR).   Также очень часто в IoT-системах используется протокол 6LoWPAN (IPv6 over Low-Power Wireless Personal Area Networks), который позволяет безопасно передавать пакеты IPv6 в небольших фреймах канального уровня поверх маломощных беспроводных персональных сетей. Подробнее об этом протоколе мы рассказывали здесь.

Криптографические микрочипы для защиты IoT-устройств

Несмотря на то, что во многие IoT-устройства встроены энергоэффективные микрочипы криптографической защиты, они не защитят от взлома или утечки данных, если пользователь smart-прибора не применяет их по назначению или злоумышленник проявляет особую настойчивость. Например, закрытые ключи можно считать из памяти IoT-устройства, вычислить по динамическому изменению тока питания или даже по электромагнитному излучению [4]. Усилить безопасность smart-приборов поможет установка дополнительной защитной электроники - миниатюрных компонентов, которые соединяют периферийные устройства с принимающими микроконтроллерами или микропроцессорами, и отвечают за персонализирован��ые сертификаты, безопасное размещение закрытых ключей и управление криптографическими элементами [4]. Аналогичным образом можно защитить шлюз, который собирает малые данные от smart-устройств и передает их в облачную IoT-платформу. Для этого к главному процессору IoT-шлюза устанавливается дополнительный микрочип, который обеспечивает бесперебойное TLS-соединение с сервером и выполняет задачу обеспечения шлюза ресурсами по протоколам HTTPS или MQTTS [4]. Отметим, что эти прикладные протоколы семейства TCP/IP также широко используются в программной части IoT-систем, на стороне облачной Big Data платформы для отправки/приема запросов и управления очередями сообщений в брокерах RabbitMQ, Apache Qpid, Apache ActiveMQ и Apache Kafka [5]. Зачастую производители микроконтроллеров для IoT-устройств встраивают в них специализированное оборудование для реализации криптографических алгоритмов. Например, крупный производитель микрочипов Texas Instruments включает в свои микросхемы ускоритель алгоритма AES, который реализует процессы шифрования и дешифрования. Аналогичные аппаратные ускорители применяются для других распространенных криптографических функций, в частности, для MAC-алгоритма аутентификации, используемого для проверки достоверности [3]. Наиболее распространенным MAC-алгоритмом является функция SHA (Secure Hash Function), утвержденная Национальным институтом стандартов и технологий США. Для ее выполнения в микроконтроллерах IoT-устройств предусмотрены свои ускорители. Например, микроконтроллеры Kinetis от компании Freescale имеют сопроцессор для ускорения AES и SHA, который может работать автономно от центрального процессора и использовать выделенную память, чтобы команды и данные могли быть буферизованы для устройства криптографического ускорения. IoT-электроника компании Atmel обеспечивает безопасность с помощью устройства защиты памяти. Оно использует симметричную аутентификацию, шифрование данных и MAC-функции, чтобы обеспечить безопасное хранение информации через стандартный последовательный интерфейс микроконтроллера. Благодаря дополнительным схемам определения несанкционированного доступа информация защищена от атак внешних устройств. Компания Maxim Integrated производит серию микросхем с аппаратной реализацией стандарта SHA-256 для безопасной передачи данных с помощью обычного однопроводного интерфейса. Распознавание ведущего IoT-устройства ведомым защищает память от изменений, которые может внести неидентифицированный прибор. Это обеспечивает сверхвысокую надежность, что актуально в IoT-устройствах, когда аутентификация прибора определенного производителя предотвращает использование ��оддельной техники. В прикладном смысле это важно, если показания датчиков используются, например, для расчета платы за коммунальные услуги [3]. Криптографические методы защиты информации работают везде: от физического устройства до программного приложения Как обеспечить безопасное хранение больших данных в облачном кластере IoT-платформы, узнайте на наших практических курсах в специализированном учебном центре для руководителей, аналитиков, архитекторов, инженеров и исследователей Big Data в Москве: DSEC: Безопасность озера данных Hadoop HADM: Администрирование кластера Hadoop

Смотреть расписание занятий

Зарегистрироваться на курс   Источники 1.       https://ru.wikipedia.org/wiki/Алиса_и_Боб 2.      https://ru.wikipedia.org/wiki/Криптография 3.      https://www.terraelectronica.ru/news/5118 4.      https://controlengrussia.com/internet-veshhej/bezopasnost-interneta-veshhej/ 5.       https://habr.com/ru/company/itsumma/blog/416629/     Read the full article