Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
𝐂𝐨𝐦𝐩𝐥𝐢𝐚𝐧𝐜𝐞 𝐑𝐞𝐦𝐢𝐧𝐝𝐞𝐫
В рамках законодательства Республики Казахстан о ПОД/ФТ, субъекты финансового мониторинга должны на ежегодной основе осуществлять оценку степени подверженности услуг (продуктов) субъекта рискам:
- отмывания денег (ОД),
- финансирования терроризма (ФТ),
- финансирования распространения оружия массового уничтожения (ФРОМУ).
Детально данный вопрос описывается в Требованиях к правилам внутреннего контроля в целях ПОД/ФТ различных субъектов финансового мониторинга, которые хоть и схожи, но могут отличаться в деталях, например, в части необходимости/отсутствия необходимости отправки такого отчета в адрес регулятора и пр. Имейте это в виду.
Также не забудьте грядущем курсе:
https://www.linkedin.com/feed/update/urn:li:activity:7108028686162874369/
#compliancereminder от Compliance Hub призван повысить осведомленность комьюнити о требованиях, затрагивающих вопросы комплаенс и ПОД/ФТ, а также положительно сказаться на формировании комплаенс культуры
𝐂𝐨𝐦𝐩𝐥𝐢𝐚𝐧𝐜𝐞 𝐑𝐞𝐦𝐢𝐧𝐝𝐞𝐫
Для платежных организаций
В соответствии с Требованиями к Правилам внутреннего контроля в целях ПОД/ФТ/ФРОМУ для платежных организаций, платежные организации на ежегодной основе должны осуществлять оценку степени подверженности услуг (продуктов) организации рискам ОД/ФТ/ФРОМУ с учетом отчета оценки рисков ОД/ФТ/ФРОМУ.
Итоги (результаты) ежегодной оценки документируются в соответствии с внутренними документами и процедурами платежной организации, о которых уведомляется уполномоченный орган по финансовому мониторингу и уполномоченный орган не позднее первого квартала, следующего за календарным годом.
Учитывая вышесказанное, не забудьте направить данную отчетность в срок.
#compliancereminder от Compliance Hub призван повысить осведомленность комьюнити о требованиях, затрагивающих вопросы комплаенс и ПОД/ФТ, а также положительно сказаться на формировании комплаенс культуры
#compliancehub#amlcft#compliance
𝐂𝐨𝐦𝐩𝐥𝐢𝐚𝐧𝐜𝐞 𝐑𝐞𝐦𝐢𝐧𝐝𝐞𝐫
Публикуем наш очередной Compliance Reminder для Комплаенс и AML офицеров.
Для субъектов финансового мониторинга - участников МФЦА
В соответствии с AIFC Anti-Money Laundering, Counter-Terrorist Financing and Sanctions Rules, субъектам финансового мониторинга, работающим на МФЦА необходимо ежегодно заполнять и направлять местному регулятору Annual AML Return Form, которая представляет собой описание особенностей системы ПОД/ФТ в компании и некоторых других данных.
Предоставляется данная форма ежегодно, в течение двух месяцев после окончания года, то есть до конца февраля.
Учитывая вышесказанное, не забудьте направить данную отчетность в срок.
#compliancereminder от Compliance Hub призван повысить осведомленность комьюнити о требованиях, затрагивающих вопросы комплаенс и ПОД/ФТ, а также положительно сказаться на формировании комплаенс культуры
#compliancehub#amlcft#compliance
𝐂𝐨𝐦𝐩𝐥𝐢𝐚𝐧𝐜𝐞 𝐑𝐞𝐦𝐢𝐧𝐝𝐞𝐫
Небольшое напоминание для участников рынка ценных бумаг и МФО.
Постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 29 июня 2020 года № 67 "Об утверждении форм отчетности о соблюдении требований законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, предоставляемой профессиональными участниками рынка ценных бумаг (за исключением банков второго уровня), организациями, осуществляющими микрофинансовую деятельность" утверждены формы отчета о соблюдении требований законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ) для:
– профессиональных участников рынка ценных бумаг (за исключением банков второго уровня);
– организаций, осуществляющих микрофинансовую деятельность.
Данный отчет должен содержать описание системы ПОД/ФТ организации, в том числе, ее программ:
– идентификации клиента;
– управления рисками ОД/ФТ;
– подготовки и обучения работников;
– мониторинга и изучения операций.
Согласно требованиям указанного постановления, профессиональным участниками рынка ценных бумаг и организациям, осуществляющим микрофинансовую деятельность, необходимо на полугодовой основе направлять заполненные формы в Агентство Республики Казахстан по регулированию и развитию финансового рынка.
Срок предоставления - не позднее 15 числа месяце, следующего за отчетным полугодием.
Учитывая вышесказанное, не забудьте направить следующую отчетность не позднее 15 января.
#compliancereminder от Compliance Hub Community призван повысить осведомленность комьюнити о требованиях, затрагивающих вопросы комплаенс и ПОД/ФТ, а также положительно сказаться на формировании комплаенс культуры
#compliancehub#amlcft#compliance
𝐂𝐨𝐦𝐩𝐥𝐢𝐚𝐧𝐜𝐞 𝐑𝐞𝐦𝐢𝐧𝐝𝐞𝐫
Напоминание для коллег из платежных организаций.
В соответствии с Правилами представления сведений о платежных услугах, утвержденными Постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 213, платежные организации, прошедшие учетную регистрацию в Национальном Банке, должны представлять регулятору форму "Сведения по принятым мерам, направленным на противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
Данная форма представляется на полугодовой основе, не позднее десятого (включительно) числа месяца, следующего за отчетным полугодием.
Пояснение к заполнению формы отражены в приложении 16 к указанным правилам.
#compliancereminder от Compliance Hub призван повысить осведомленность комьюнити о требованиях, затрагивающих вопросы комплаенс и ПОД/ФТ, а также положительно сказаться на формировании комплаенс культуры
#compliancehub#compliance#amlcft#moneylaundering