Бортовой журнал

В Питере открыли полигон российских ИТ- и ИБ-вендоров

В технопарке Санкт-Петербурга открылся демонстрационный полигон, на котором отечественные ИТ-вендоры представляют инновационные продукты: серверы, коммутаторы, операционные системы, платформы виртуализации, офисные пакеты и т. п.

Как передаёт ТАСС, полигон нужен для поддержки разработок, позволяющих России не зависеть от зарубежного софта. «Демонстрационный полигон российских IT-вендоров», как его назвали организаторы, является частью концепции технологического развития РФ до 2030 года.

Фактически полигон стал первой в России открытой выставочной площадкой, где можно продемонстрировать возможности российского инфраструктурного софта и ПАК (программно-аппаратных комплексов) для обеспечения кибербезопасности.

Пока воспользоваться полигоном решили 32 вендора, представив более 50 продуктов. Организаторы планируют расширяться: ежедневно присоединяются новые вендоры.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», прокомментировал открытие полигона отечественных вендоров: «Современная сфера информационных технологий — это не только программный код, но и много реальных продуктов, которые интересно показывать людям. Запуск подобного полигона для российских разработчиков — интересное и правильно явление, его можно сравнивать с интерактивным ИТ-музеем».

Эксперты показали первый вектор кражи криптоключей при SSH-соединениях

Исследователи продемонстрировали компрометацию криптографических ключей, используемых для защиты данных в SSH-трафике, которым обмениваются клиент и сервер. По их словам, это первый рабочий вектор атаки такого рода.

https://www.anti-malware.ru/news/2023-11-14-111332/42286

ICL открыла завод по производству печатных плат

Российская IT-компания ICL запустила завод по сборке вычислительной техники и поверхностного монтажа материнских плат на территории особой экономической зоны (ОЭЗ) «Иннополис» в Татарстане. Об этом министр цифрового развития Республики Татарстан Айрат Хайруллин сообщил в своем Telegram-канале. «В условиях острой необходимости наращивания производственных мощностей, обеспечивающих технологический суверенитет и импортозамещение страны, создание таких производств является стратегической задачей», – заявил вице-премьер республики Роман Шайхутдинов.

По словам Хайруллина, ожидается, что на первом этапе завод сможет выпускать 300 000 плат в год с последующим наращиванием объемов до 1 млн. Площадь производства составит 8000 кв. м. Мощности по сборке плат позволят выпускать более 200 видов вычислительной техники российского производства, указано на сайте ICL.

Постквантовый алгоритм электронной подписи «Шиповник» получил открытую реализацию

Российские компании с экспертизой в области криптографии и квантовых технологий объединяют усилия для предотвращения угрозы криптографическим системам со стороны квантовых компьютеров.

https://safe.cnews.ru/news/line/2023-11-14_postkvantovyj_algoritm_elektronnoj

Минтранс скорректировал график внедрения биометрии на транспорте

Минтранс планирует установить на четыре объекта транспортной инфраструктуры системы для идентификации пассажиров с помощью биометрии в 2024 г. Об этом говорится в утвержденной правительством новой версии стратегии цифровой трансформации транспортной отрасли до 2030 г.

https://www.vedomosti.ru/technology/news/2023/11/13/1005462-mintrans-otlozhil

Локатор от Apple можно использовать для передачи украденных паролей

Злоумышленники могут использовать сервис для поиска устройств «Локатор» («Find My») от Apple для незаметной передачи конфиденциальной информации, похищенной кейлогерами, которые могут быть установлены в сторонние клавиатуры.

https://www.anti-malware.ru/news/2023-11-07-111332/42244

Экспорт российских ИБ-технологий в Африку и Южную Америку будет расти

Согласно результатам опроса, проведенного альянсом РУССОФТ, объемы экспорта российского софта в Азию возросли в несколько раз. Наиболее перспективными в этом плане считаются Казахстан и ОАЭ, для продуктов ИБ — страны Африки и Южной Америки.

Разработчик систем распознавания лиц «Папилон» планирует выйти на IPO

В случае выхода на биржу интерес к компании может быть даже выше, чем к разработчикам общесистемного софта, отмечают эксперты

Российский разработчик систем биометрической идентификации ГК «Системы Папилон» изучает возможность выхода на IPO. «Ведомости» обнаружили на HH.ru вакансию директора по пиару и связям с инвесторами в «дочку» «Системы Папилон» компанию 3DiVi. В карточке указано, что соискатель должен обладать опытом пиар-сопровождения IPO. Речь идет о планах проведения IPO всей группы компаний, подчеркнул источник «Ведомостей», близкий к 3DiVi, уточнив, что в компании «окно возможностей» оценивают в один-два года. Представитель самой компании от комментариев отказался.

В группу «Системы Папилон» помимо ООО «Тридиви» входят ООО «ИТ Папилон» и АО «Папилон». Все юрлица зарегистрированы в городе Миассе в Челябинской области, компания основана в 1991 г. «ИТ Папилон» разрабатывает софт для мультибиометрической идентификации (по отпечаткам, лицу, сетчатке глаз и т. д.), говорится на сайте компании. «Тридиви» занимается разработкой нейросетей и алгоритмов распознавания. ООО «Системы Папилон» производит специальное оборудование и электрокомпоненты для программно-технических комплексов распознавания, а АО «Папилон» занимается проектированием систем под требования заказчиков на базе продуктов остальных компаний группы и их интеграцией.

https://www.vedomosti.ru/technology/articles/2023/11/07/1004449-razrabotchik-sistem-raspoznavaniya-lits-papilon-planiruet-viiti-na-ipo

Цифровые платформы попросили исключить из передачи биометрии нехранимые данные

Рабочая группа при АНО «Цифровая экономика» предложила исключить необходимость передачи биометрии, собранной бизнесом для антифрода, в Единую биометрическую систему (ЕБС). Цифровые сервисы борются с мошенниками через подтверждение личности по фото или голосу, эти данные должны передаваться в ЕБС. Но в компаниях считают это нецелесообразным — данные собираются в произвольном порядке и не хранятся.

https://www.forbes.ru/tekhnologii/499706-cifrovye-platformy-poprosili-isklucit-iz-peredaci-v-ebs-nehranimye-dannye

**Войти в Яндекс ID теперь можно по картинке (без пароля) ** Владельцы учётных записей в системе Яндекса теперь могут использовать вход по картинке. Разработчики обещают безопасный и более удобный метод аутентификации в сравнении с паролями.

https://www.anti-malware.ru/news/2023-10-31-111332/42211

Не набирайте тексты в интернете, или Обфускация времени между нажатиями клавиш в SSH

В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.

Спрашивается, почему разработчики озаботились такими нюансами информационной безопасности? Но причина есть. И на самом деле такие меры должны предпринять все программы, которые допускают ввод паролей в интернете (или вообще любого конфиденциального текста). В первую очередь, браузеры и мессенджеры.

https://habr.com/ru/companies/ruvds/articles/770792/

John the Ripper и Hashcat. Эволюция брутфорса

__Кража баз паролей из взломанных систем — распространённая проблема. Особенно остро она стояла в первые годы развития Unix, когда пароли хранились в открытом виде. Утечка такой базы означала полную компрометацию системы.

Проблему решила первая в мире утилита для хэширования crypt в 70-е гг. С тех пор пароли перестали храниться в открытом виде, в базе хранились хэши. Согласно официальной документации, утилита crypt(3) до шестой редакции использовала код из эмулятора шифровальной машины M-209, которую американская армия использовала во время Второй мировой войны. В этой системе пароль использовался не в качестве шифротекста, а в качестве ключа, которым шифровалась константа. Кен Томпсон, Деннис Ритчи и другие создатели Unix думали, что это надёжный подход. Оказалось иначе.__

https://habr.com/ru/companies/globalsign/articles/770608/

ОПИ попросила кабмин о временном моратории на использование зарубежного ПО

__Организация по защите прав потребителей «Общественная потребительская инициатива» (ОПИ) направила письмо премьер-министру России Михаилу Мишустину и в Совет Федерации с просьбой ввести временный мораторий на привлечение к ответственности компаний за использование иностранного софта без согласия правообладателя. Об этом пишет «Коммерсантъ» со ссылкой на документ.

В ОПИ указали на сложность быстрого перехода на российское ПО. Там пояснили, что для банков, операторов связи других компаний смена софта повлечет не только «кратный рост капитальных затрат», но и «резкое снижение функциональности». В организации добавили, что сейчас привлечь к ответственности за использование софта могут и сами компании-разработчики, покинувшие РФ. В письме говорится, что иностранное ПО используют «Ростелеком», Tele2, Сбербанк, МТС и ряд других компаний. В качестве примера в ОПИ назвали программы Cisco, Dell, Nvidia и др. В Tele2 «Коммерсанту» сообщили, что пользуются только программами с бессрочной лицензией. В «Мегафоне» отметили, что используют софт только по лицензии правообладателя. «Ростелеком» и МТС газете не ответили.

В Минцифры заявили, что до 90% иностранных решений уже имеют российские аналоги. В иных случаях кабмин совместно с заинтересованными ведомствами разрабатывает нормативные акты со специальными условиями, добавили там. В министерстве пояснили, что при разрешении использовать иностранные ПО будут учитываться «потребности пользователя, возможности импортозамещения и необходимость своевременного исполнения планов по переходу на отечественные решения».

В ответе Совфеда, который также есть в распоряжении издания, сказано, что мораторий должен действовать в отношении только тех пользователей, который ранее правомерно приобрели лицензии на зарубежный софт. Там отметили, что к 2027 г. на российском рынке будет достаточное количество необходимого ПО. К 2030 г. в Совфеде допустили возможность полной замены иностранного софта.

В марте 2022 г. «Ведомости» писали, что правительство не планирует отменять ответственность за использование не лицензированного в России ПО из недружественных стран. Тогда в Минцифры пояснили, что ведомство выступает за «стимулирование перехода на российское ПО».__

Что можно сделать прямо сейчас

Если вы запускаете процедуру импортозамещения, то: необходимо формулировать понятные требования по безопасности к вендорам ПО и собственным разработчикам; оценивать актуальные угрозы для своей компании и систем, которые вы импортозамещаете;   налаживать взаимодействие между участниками процесса производства ПО — в том числе разработчиков с экспертами по ИБ. 

Внедрение этих практик не требует дорогостоящих инструментов. Достаточно обучить и мотивировать команду — это позволит перейти от циклического поиска дефектов и устранения инцидентов к созданию безопасных продуктов по умолчанию. 

А продукт, который изначально будет проектироваться или внедряться с учетом требований, будет быстрее проходить проверки безопасности, менее подвержен атакам и сбоям и проще внедряться в эксплуатацию.

Мнение редакции может не совпадать с точкой зрения автора

Почему импортозамещение делает IT-рынок уязвимее и как с этим справиться

К 2025 году зарубежное ПО должно быть заменено отечественными аналогами — это требование касается всех объектов критической инфраструктуры, включая частные компании. Менять софт будут не только 13 отраслей, куда входят здравоохранение, банки, операторы связи и промышленность, но и компании, которые их обслуживают. Уже сегодня многие иностранные IT-решения стали недоступными для оплаты или отключены от поддержки. В спешке руководители могут выбрать ПО, которое не отвечает функциональным требованиям, в том числе по информбезопасности (ИБ). Директор по продуктам Start X Сергей Волдохин рассказывает о том, как срочное импортозамещение делает IT-ландшафт организаций уязвимее и как сделать внедрение новых решений безопасным.

Вопросы безопасности

Последние исследования рынка говорят: 44,7% коммерческих компаний не собираются переходить на отечественное ПО в ближайшее время, 27% ждут, когда закончится лицензия у установленного софта. А вот оставшиеся 22% будут замещать IT-решения на российские еще до того, как иностранные альтернативы перестанут работать — и уже сейчас тестируют отечественное ПО. И именно они могут столкнуться с проблемами по безопасности. Почему так происходит? Многие российские продукты только выходят на рынок и поэтому находятся на ранних стадиях разработки и развития. В отличие от своих аналогов, которые годами проходили «проверку на прочность», они еще только начинают путь в борьбе с багами и уязвимостями. Сегодня, так как внедрять ПО надо срочно, основной фокус сделан на том, чтобы просто повторить функциональность иностранных IT-решений. Требования по безопасности отходят на задний план.

Дело тут не только в самих разработчиках. Заказчики тоже хотят в первую очередь решить задачи своего бизнеса — о рисках можно будет поговорить потом. Поэтому они не проводят моделирование и оценку угроз, не формируют требования безопасности и не проводят испытаний.

Аудит, призванный оценить безопасность ПО, часто проводят только перед внедрением или не проводят вовсе. Причина — неэффективные процессы ИБ в компании. Многие команды не знакомы с требованиями безопасности, ПО они проверяют только на финальных стадиях — и если находят уязвимости, то устранять их в почти готовом продукте могут дольше, чем IT-решение разрабатывалось. 

К сожалению, с точки зрения регуляторов большого продвижения тут тоже нет. За последний год не вводилось значительных изменений, которые бы влияли на требования по безопасности при производстве ПО. И даже те нормы, что уже существуют, не предъявляются к продуктам ни при включении их в реестр отечественного ПО, ни при внедрении в компанию.

Как решают проблему заказчики Тот бизнес, который все же вводит проверку безопасности, обычно проверяет продукт на соответствие двум вещам: требованиям разных законов, стандартов и указаний регуляторов (их могут быть сотни); правилам, исторически принятым в компании. 

Например, в большинстве продуктов пользователи проходят аутентификацию по логину и паролю, а доступ разграничивается на уровне ролей, плюс в каком‑то виде хранятся журналы событий. Это условная «гигиена» для любого приложения, к которой все давно привыкли.

Но для корпоративной инфраструктуры с чувствительными данными этого недостаточно. Тут важными становятся двухфакторная аутентификация, шифрование, защита от утечки данных.

Проблема в том, что после релиза любые изменения в продукте потребуют много времени и будут стоить дорого. Переделать формат журналов на этапе планирования займет один день, после релиза, в готовом продукте — до месяца. Поэтому сложности с ИБ проще предотвратить, чем исправить. Но для этого нужна согласованная работа разных игроков рынка — заказчиков, вендоров и регуляторов.

Срочное импортозамещение: что может пойти не так 

Если игнорировать требования к ИБ, у заказчиков и пользователей софта могут возникнуть проблемы. Некоторые могут появиться сразу, другие — развиваться в долгосрочной перспективе. Особенно опасны последние: из-за различных угроз, связанных с утечкой данных, хакерскими атаками, компания может понести репутационные издержки и в итоге потерять клиентов. Откуда же сегодня ждать появления рисков из-за импортозамещения ПО?

Чтобы это понять, нужно разобраться в том, как меняется характер атак. Более уязвимой в мире, где многие активы построены на данных, становится персональная и конфиденциальная информация — и хакеры в первую очередь охотятся за ней. К тому же вместе с тем, как усложняются протоколы безопасности, становятся более изощренными и методы взлома.

Так, в июне оператор связи «Инфотел», который подключает банки и юридических лиц к системе электронного взаимодействия с ЦБ, подвергся атаке группировки хактивистов. Из-за этого в работе нескольких крупных банков-клиентов произошел масштабный сбой. В течение трех дней в сети опубликовали данные клиентов 12 российских компаний. В их список вошли такие крупные игроки, как торговая сеть «Ашан», производитель матрацев и товаров для сна «Аскона», издательская группа «Эксмо-АСТ». И все это могло быть вызвано упущениями в сфере ИБ.

Как утверждают эксперты, среди наиболее распространенных способов атак на компании — социальная инженерия и эксплуатация уязвимостей в ПО. Атакам подвергаются не только сотрудники, но и сетевое оборудование, веб-ресурсы. Уязвимости ПО и всей IT-инфраструктуры появляются в том числе потому, что к вендорам и решениям не предъявляются требования по безопасности.

В итоге возникает критический для бизнеса момент — остановка бизнес-процессов из-за потенциальных атак и сбоев и открытие возможностей для мошенничества. Например, недостаточное тестирование ролевой модели в одном из банков привело к тому, что работники call-центра получили возможность просматривать кодовые слова VIP-клиентов и менять номера телефона для отправки одноразовых паролей.

Как импортозамещаться быстро и безопасно

Чтобы выявлять и предупреждать уязвимости и атаки, нужны квалифицированные кадры. Согласно исследованию К2Тех, в 2023 году 77% российских компаний столкнулись с необходимостью расширить штат ИБ-специалистов. При этом нужных людей на рынке недостает. Что с этим делать?

Среди решений — поиск талантливых кадров внутри продуктовой команды и развитие их компетенций по безопасной разработке.

Для этого можно использовать практику Security-чемпионов. Компании с этим подходом развивают сотрудников, которые знают, как создавать безопасные продукты. Такие разработчики выступают «адвокатами» ИБ внутри команды. Обычно они хорошо знают продукт со стороны разработчика — а значит, могут оценить его и со стороны злоумышленника. Понимая особенности продукта и процессов разработки, они могут быстро и качественно удовлетворить требования по безопасности.

Но это лишь кратковременный «костыль». В долгосрочной перспективе, чтобы избежать проблем с уязвимостью ПО, нужно развивать культуру информационной безопасности.

Команда разработчиков часто воспринимает задачи по обеспечению безопасности продукта как второстепенные. По их мнению, они только оттягивают момент, когда продукт можно будет вывести на рынок. Об уязвимостях специалисты планируют позаботиться позже, уже в процессе эксплуатации ПО. Именно такой подход нужно менять — на проактивный с точки зрения ИБ.

Кроме того, в большинстве компаний ИБ-процессы выстроены неэффективно — в основном применяются технические инструменты контроля. Проблема в том, что они позволяют узнать о проблемах в продукте только непосредственно перед релизом. Выявив уязвимость, команда вынуждена вернуться к этапу проектирования архитектуры или написания кода — это сильно увеличивает сроки разработки. А вот если бы команда понимала требования по безопасности на старте, она могла бы минимизировать количество ситуаций, когда выявленные дефекты вынуждают отложить очередной релиз.

МВД заявило об отсутствии возможности для выдачи россиянам цифровых паспортов

__Хотя закон предусматривает получение россиянами электронных паспортов, пока технической возможности начать их выдавать нет, заявили в МВД. «В перспективе, наверное, такая необходимость будет», — отметили в ведомстве. Ускорить проведение эксперимента по внедрению цифровых паспортов Путин призвал в феврале, в сентябре он подписал соответствующий указ. В нем подчеркивалось, что их использование будет добровольным.

__https://www.forbes.ru/tekhnologii/499410-mvd-zaavilo-ob-otsutstvii-vozmoznosti-dla-vydaci-rossianam-cifrovyh-pasportov

Россиянам максимально упростили самостоятельную сдачу биометрии властям. В стране никто не жаждет ею делиться

__В России заработала упрощенная схема отправки биометрии в Единую биометрическую систему. Для этого нужно всего лишь поставить специальное приложение, в котором потребуется выполнить пару простых и быстрых действий. Но россияне уже выразили свое отношение к сдаче биометрии – они не хотят, чтобы власти имели доступ к столь чувствительной информации.

__https://safe.cnews.ru/news/top/2023-10-25_rossiyanam_maksimalno_uprostili

**Нулевая ставка налога на прибыль для IT-компаний сохранится до конца 2024 года

**__Это нужно, чтобы компании смогли вкладывать в развитие производства деньги, которые они уплачивают в бюджет как налог на прибыль

Нулевая ставка налога на прибыль для IT-компаний в России сохранится до конца 2024 года. Об этом сообщил глава Минцифры Максут Шадаев, передает ТАСС. По его словам, это нужно, чтобы чтобы компании смогли вкладывать в развитие производства деньги, которые они уплачивают в бюджет как налог на прибыль.

Шадаев также рассказал, что утильсбор за ввоз импортного IT-оборудования при наличии его отечественных аналогов может быть введен уже в середине 2024 года. Обсуждаемый размер сбора он не назвал. Предполагается, что полученные средства будут направлены на поддержку российских производств.

__https://www.bfm.ru/news/536720

**Amazon добавил возможность авторизации через passkey

**__Американская корпорация Amazon добавила поддержку аутентификации без паролей (passkey) для авторизации на сайте онлайн-магазина и в мобильном приложении. В настоящее время функция работает только для мобильных приложений на базе iOS, для Android возможность появится позднее.

__https://www.kommersant.ru/doc/6296850

**ITDR: что это такое и зачем нужно

**__Модернизация систем аутентификации чаще касается способов удостоверения личности, не решая при этом проблемы возможной кражи учётных данных. ITDR — новый класс решений по защите реквизитов доступа — призван помочь в этом вопросе. Расскажем об отличиях ITDR от других систем схожего назначения.

__https://www.anti-malware.ru/analytics/Technology_Analysis/Identity-Threat-Detection-and-Response

**Шадаев: утильсбор на иностранное ИТ-оборудование могут ввести уже в 2024 году

**__Утилизационный сбор на импортное оборудование, имеющее аналоги в России, может быть введен уже в середине следующего года, заявил министр цифрового развития РФ Максут Шадаев журналистам.

«Я думаю, в следующем году, в середине», – сказал он (цитата по ТАСС).

Правительство поддерживает введение утильсбора, пояснил министр. Предложение о введении такого сбора содержится в проекте стратегии развития отрасли связи до 2035 г. 18 октября Шадаев рассказал, что власти намерены направлять за счет сбора средства на поддержку российского производства. Он также добавил, что Минцифры выступает против ограничений на параллельный импорт.

26 октября Шадаев также заявил, что в России остается острая потребность где-то в 10% тех решений, которые поставлялись зарубежными производителями, часть из них уже в работе. Министр также отметил, что господдержка разработки отечественных решений превысила 20 млрд руб., при этом заказчики инвестировали свыше 200 млрд руб.

Как писали ранее «Ведомости», Минцифры предложило правительству увеличить финансирование программ льготного кредитования IT-компаний на 25% до конца 2023 г. Представитель ведомства пояснил, что предложения по увеличению финансирования сформированы для балансировки кредитного портфеля и сохранения для заемщиков процентной ставки.

В июне премьер-министр РФ Михаил Мишустин говорил, что суммарный объем проданных ИТ-решений и оказанных ИТ-услуг в России в 2022 г. достиг 2 трлн руб. Валовая добавленная стоимость этих проектов составила 1,9 трлн руб., что на 23% больше показателей 2021 г. Численность сотрудников, занятых в ИТ-сфере, выросла на 12,7% до 740 000 человек, а среднемесячная зарплата этих работников составила 135 500 руб. (рост на 18,6%).

__https://www.vedomosti.ru/technology/news/2023/10/26/1002690-utilsbor-na-inostrannoe-it-oborudovanie

**Шадаев: доля отечественных производителей на IT-рынке превысила 50%

**__Доля отечественных производителей на российском IT-рынке выросла в два раза, превысив 50%. Об этом заявил глава Минцифры Максут Шадаев в интервью телеканалу «Россия 24».

«Рынок у нас не схлопнулся, а при этом доля российских производителей выросла в два раза и превысила 50%, даже потеснив в определенных нишах китайцев», – отметил он (цитата по «РИА Новости»).

Шадаев добавил, что хороший потенциал имеет производство компьютерных игр в России. Он допустил, что российские разработчики могут выйти и на китайский рынок.

В сентябре «Ведомости» со ссылкой на исследование аналитиков Strategy Partners писали, что объем IT-рынка России (включая софт, услуги по разработке и техподдержке, а также оборудование) вырастет с 3 трлн руб. в 2023 г. до 7 трлн руб. к 2030 г. В частности ожидается, что рынок оборудования достигнет 4,2 трлн руб., а 2,8 трлн руб. будет приходиться на сегмент IT-услуг и ПО.

В мае во время посещения выставки «Развитие креативной экономики в России» президенту РФ Владимиру Путину рассказали о трудностях, с которыми сталкиваются российские разработчики при выходе на китайский рынок из-за отказа в выдаче лицензий. В ответ глава государства пообещал обсудить с партнерами по БРИКС продвижение отечественных игр на рынках стран – членов объединения.

В августе Путин поручил правительству РФ совместно с Российским экспортным центром и Агентством стратегических инициатив разработать предложения по продвижению отечественных видеоигр на иностранные рынки.

__https://www.vedomosti.ru/technology/news/2023/10/26/1002693-shadaev-dolya

Инцидент в сетях 1Password связан со взломом системы поддержки Okta

Киберинцидент в сетях 1Password, как оказалось, напрямую связан со взломом системы поддержки американской компании Okta, специализирующейся на управлении учётными данными пользователей.

https://www.anti-malware.ru/news/2023-10-24-111332/42161

**Минцифры: разработчикам осталось заместить 10% иностранных ИТ-решений

**__В России осталась острая потребность в замещении 10% иностранных ИТ-решений, которые ранее поставлялись в страну, заявил министр цифрового развития РФ Максут Шадаев.

«В целом у нас острая потребность остается где-то в 10% тех решений, которые поставлялись зарубежными производителями, часть из них уже в работе, им предоставлены гранты», – рассказало он (цитата по ТАСС).

Министр также отметил, что господдержка разработки отечественных решений превысила 20 млрд руб., при этом заказчики инвестировали свыше 200 млрд руб.

Как писали ранее «Ведомости», Минцифры предложило правительству увеличить финансирование программ льготного кредитования IT-компаний на 25% до конца 2023 г. Представитель ведомства пояснил, что предложения по увеличению финансирования сформированы для балансировки кредитного портфеля и сохранения для заемщиков процентной ставки.

В июне премьер-министр РФ Михаил Мишустин говорил, что суммарный объем проданных ИТ-решений и оказанных ИТ-услуг в России в 2022 г. достиг 2 трлн руб. Валовая добавленная стоимость этих проектов составила 1,9 трлн руб., что на 23% больше показателей 2021 г. Численность сотрудников, занятых в ИТ-сфере, выросла на 12,7% до 740 000 человек, а среднемесячная зарплата этих работников составила 135 500 руб. (рост на 18,6%).

__https://www.vedomosti.ru/technology/news/2023/10/26/1002621-razrabotchikam-ostalos-zamestit-10-inostrannih-it-reshenii

**В России создадут суперантивирусную систему

**__Она будет очень быстро анализировать подозрительные файлы и ссылки.

В России будет создана суперантивирусная программа, которую разрабатывает Национальный технологический центр цифровой криптографии. Об этом сообщил замглавы Минцифры РФ Александр Шойтов на Всероссийском форуме региональной информатизации «Проф-IT» в Новосибирске.

По его словам, система получила название «Мультисканер», она будет аналогом американской системы VirusTotal. Под эту технологию будет создана соответствующая инфраструктура, сообщает «Интерфакс». Шойтов пояснил принцип работы «Мультисканера». По его словам, в реальном режиме разбирается большой объем трафика, в нем отыскиваются какие-то подозрительные вредоносные элементы.

Шойтов также добавила, что уже в будущем году в полном объеме заработает система Роскомнадзора (РКН) по блокировке звонков с подменных номеров «Антифрод».

__https://www.bfm.ru/news/536686

«Чучелом или тушкой, но мы заменим все зарубежное»** ** __Сооснователь «МойОфис» Дмитрий Комиссаров об инвестициях в IT и конкурентоспособности отечественных технологий.

В 2022 г. большинство иностранных разработчиков программного обеспечения (ПО) ушли с российского рынка, что стало серьезным стимулом для роста спроса на отечественные продукты. Одним из тех, кто сумел обратить ситуацию в свою пользу, стала компания «Новые облачные технологии» (НОТ), разработчик «МойОфис» (российского аналога пакета офисных программ Microsoft Office), – ее выручка только за 2022 г. выросла в четыре раза. В 2022 г. сооснователь компании Дмитрий Комиссаров оставил пост гендиректора НОТ: сохранив за собой должность директора по развитию продуктов, он параллельно занялся другими проектами. Одним из них стал венчурный фонд «Стриго кэпитал», нацеленный на поддержку IT-стартапов. О планах по инвестициям и своем видении перспектив отечественного IT-рынка он рассказал в интервью «Ведомостям».

– Как вы считаете, в каком состоянии находится рынок российского софта и к чему он может прийти через пять лет?

– Уход зарубежных компаний открыл довольно много новых ниш, благодаря чему объем продаж у разработчиков российского софта стал вдвое больше. Мне кажется, в ближайшие 3–5 лет есть возможность вырасти еще в два раза. Также не будем забывать, что IT-рынок в принципе растет из-за проникновения технологий в целом. Поэтому я бы сказал, что рынок российского софта вырастет на треть благодаря своему органическому развитию и на две трети – из-за ухода иностранцев.

– А на пике этого развития можно ли ждать эффекта мыльного пузыря, когда в какой-то момент рынок не оправдает ожиданий по росту?

– Единичные мыльные пузыри, конечно, будут возникать – так устроена экономика. Но если рассмотреть ключевые системы, например ERP (система планирования ресурсов предприятия. – «Ведомости») и финансы, чучелом или тушкой, но мы заменим все зарубежное со временем. Считаю, что самое тяжелое для импортозамещения – это PLM (система управления жизненным циклом изделия. – «Ведомости») и АСУ ТП (автоматизированная система управления технологическим процессом. – «Ведомости»), где мы сильно отстаем от иностранных игроков. С другой стороны, в России хорошая инженерная школа. Я не вижу сейчас каких-то больших мыльных пузырей в IT. Их скорее можно ожидать в области микроэлектроники, потому что там пропасть между отечественными и зарубежными разработками.__

**Российские ученые создали инструмент выявления дипфейк-видео

**__В Донском государственном техническом университете (ДГТУ, Ростов-на-Дону) создали программу для распознавания видеоконтента, сгенерированного с помощью ИИ. Софт весом 100 Кбайт работает на Windows 7 и выше и выявляет дипфейки с приемлемой точностью.

__https://www.anti-malware.ru/news/2023-10-20-114534/42148

**Биометрия. Не скуШно. Не душно Уровень сложности ** Страх. Именно страх побудил меня заняться изучением биометрии. На мой счет поступила весьма крупная сумма от продажи единственного жилья. Дабы не познать на собственной шкуре искусство бомжевания на время заблокировала интернет-банк. Разблокировать можно было только по письменному заявлению в офисе или ответив на секретные вопросы через контактный центр банка.

https://habr.com/ru/companies/gnivc/articles/768834/

**Уровень внедрения российского софта достиг 50%

**__В 2022 г. уровень внедрения российского общесистемного и прикладного софта достиг 50%. Об этом сообщает РБК со ссылкой на копию проекта актуализированной «дорожной карты» развития «Нового общесистемного и прикладного программного обеспечения», который Минцифры разработало в середине октября. Подлинность документа подтвердил представитель ведомства.

На конец 2022 г. Минцифры оценивало долю внедрения российского софта по итогам года в 15%. Под общесистемным ПО подразумеваются операционные системы и другие программы для решения общих задач, под прикладным – текстовые и графические редакторы, браузеры, медиаплееры и др.

Кроме того, в обновленном проекте ведомство скорректировало целевые показатели до 2030 г. Так, для 2023 г. доля должна составить 54% (вместо 23% в прошлой редакции), для 2024 г. – 58% (вместо 33%), для 2025 г. – 63% (вместо 48%). Уровень внедрения российского софта на 2030 г. остался прежним – 71%.

Из пояснительной записки следует, что целевые показатели были изменены в связи с уточнением источников расчета и фактических значений 2022 г. Представитель Минцифры в разговоре с РБК заявил, что корректировка произошла на основании данных об уровне российского софта не только в госорганах и госкомпаниях, но и в других организациях.

В апреле 2023 г. глава Минцифры Максут Шадаев допустил, что госкомпании могут обязать перейти полностью на отечественное ПО к 2025 г. «Здесь уже готовность есть, и продукты в целом хорошие, конкурентные позиции по многим направлениям присутствуют», – пояснил он. По словам Шадаева, сейчас 70% объема расходов госкомпаний должно приходиться на российский софт.

__https://www.vedomosti.ru/technology/news/2023/10/24/1002176-rbk-uroven-vnedreniya-rossiiskogo-softa

Для беспилотников появится центр по импортозамещению софта

__Структура под эгидой Минцифры должна обеспечить отрасли единую экспертизу.

Президиум правительственной комиссии по цифровому развитию утвердил новый центр компетенций разработки (ЦКР) по развитию российского общесистемного и прикладного программного обеспечения «Беспилотные авиационные системы» (БАС). Документ был подписан еще летом, но активная работа по центру началась месяц назад, рассказал «Ведомостям» источник в профильной ассоциации и подтвердил собеседник из числа разработчиков. ЦКР БАС займется анализом недостающих софтверных решений для дронов и заменой иностранных решений на собственные средства участников.

«Участниками ЦКР были сформированы и проработаны инициативы, которые впоследствии легли в основу национального проекта по беспилотным авиационным системам. В рамках этого нацпроекта предусмотрены специализированные инструменты поддержки проектов по развитию БАС», — сообщил представитель Минцифры. Участники центра также могут инициировать проекты по созданию и развитию ИТ-решений по тематике БАС и претендовать на доступ к льготному кредитованию, добавил он.

ЦКР БАС создан по инициативе Минцифры для консолидации потребностей участников рынка и экспертизы инициатив и мероприятий нацпроекта по беспилотникам в части цифровых платформ, заявил представитель Минпромторга. Ведомство участвует в работе ЦКР и координирует с ним проекты мероприятий, направленных на создание интегрированного цифрового пространства БАС, добавил он.__

**Дополнительное подтверждение входа на «Госуслуги» станет обязательным для всех с 28 октября 2023 года ** Двухфакторная аутентификация на «Госуслугах» необходима для повышения безопасности и усиления защиты персональных данных. Второй фактор подключила уже почти половина пользователей «Госуслуг» — более 41 млн человек.

https://safe.cnews.ru/news/line/2023-10-20_dopolnitelnoe_podtverzhdenie

У админов по-прежнему популярны пароли admin и 123456

__Анализ 1,8 млн украденных вредоносами паролей для доступа к порталам администрирования показал, что пользователи с такими привилегиями чаще всего (более чем в 40 тыс. случаев) отдают предпочтение дефолтному «admin».

__https://www.anti-malware.ru/news/2023-10-18-114534/42132

Пользователям WhatsApp на Android дали беспарольный доступ — passkey __ Пользователи Android-версии WhatsApp теперь смогут попрощаться с двухфакторной аутентификацией по СМС. Разработчики мессенджера сообщили об имплементации ключей доступа (passkey) для любителей зелёного робота.

__https://www.anti-malware.ru/news/2023-10-17-111332/42120

Microsoft полностью заменит протокол аутентификации NTLM на Kerberos

Microsoft хочет отказаться от набора протоколов сетевой аутентификации NTLM (NT LAN Manager) в будущих релизах Windows 11. В планах — перейти на альтернативные методы аутентификации и усилить с их помощью безопасность.

https://www.anti-malware.ru/news/2023-10-16-111332/42109

**«Мегафон» заключил форвардный контракт с «Булатом» на базовые станции 2G и 4G **__ Оператор может поставить это оборудование в отдаленные регионы, считают эксперты.

«Мегафон» договорился с компанией «Булат» о поставке 5000 базовых станций (БС) для сетей связи стандартов 2G и 4G в 2024–2026 гг. О заключении контракта представители сторон объявили в ходе демодня индустриальных центров компетенций (ИЦК) «Мобильная связь» и «Фиксированная связь» 12 октября. Сумма контракта не раскрывается.

Точную стоимость нового контракта «Мегафона» сложно оценить, но она точно будет выше, чем у трех основных мировых вендоров телекомоборудования – китайской Huawei и европейских Ericsson и Nokia, предполагает гендиректор TelecomDaily Денис Кусков. До 2023 г. одна БС 2G/3G/4G стоила примерно $80 000–100 000, говорит источник «Ведомостей» в телекомоператоре.__

**X5 запустила собственную платформу аутентификации сотрудников «Х5 ключ» ** X5 Group, продуктовая розничная компания, разработала и запустила собственную систему аутентификации сотрудников «Х5 ключ». Новый инструмент делает доступ сотрудников к ключевым сервисам и данным компании более удобным и безопасным.

https://safe.cnews.ru/news/line/2023-10-12_x5_zapustila_sobstvennuyu

**«Ростелеком» закупит 800 000 российских роутеров у «Электры» **** **__Поставщик в перспективе может занять долю рынка в десятки процентов.

Ростелеком» заказал разработку WiFi-роутеров у компании «Электра». Сумма контракта – 2,7 млрд руб. Об этом представители сторон объявили в ходе демодня индустриальных центров компетенций «Мобильная связь» и «Фиксированная связь» 12 октября. Первые поставки российских роутеров стандарта WiFi5 начнутся в ноябре 2023 г., а в мае 2024 г. должны стартовать поставки техники следующего поколения WiFi6. Массовое внедрение технологий должно начаться в конце 2024 г.

Контракт предполагает производство WiFi-оборудования технологий FTTB и GPON. FTTB (Fiber to the Building) – это волоконно-оптический кабель, идущий до здания, и устройство, принимающее в здании сигнал, а GPON – сеть, которая доходит непосредственно до абонента. Стоимость проекта по разработке и внедрению 350 000 FTTB CPE-роутеров составляет 1,1 млрд руб., а 450 000 GPON ONT-роутеров – 1,6 млрд руб., следует из презентации вендора.__

**Список обязательного для предустановки в РФ софта пополнили приложением для проверки продуктов ** __Каждый год правительство обновляет список программ и приложений, обязательных для предустановки на те или иные устройства. В 2024 году появился новичок: «Честный знак».

С помощью приложения пользователи могут сканировать специальный код на упаковке продукта и получить информацию о нём вроде легальности, веса и объёма.

С помощью «Честного знака» можно проверить данные о лекарствах, БАДах, молочной продукции, питьевой воде, пиве, табаке, обуви, шубах, товарах лёгкой промышленности, фотоаппаратах и импульсных вспышках, духах и туалетной воде, антисептиках, автомобильных шинах, медицинских изделиях и креслах-колясках.__

Чипы хотят сделать полностью российскими**

**__Отечественное оборудование для выпуска микросхем планируют разработать за три года. Стоимость проекта — 100 млрд рублей. Можно ли за такой срок и за такие деньги построить практически с нуля собственное производство чипов?

Российские власти намерены выделить более 100 млрд рублей на создание машиностроения для микроэлектроники, разработав оборудование для всех циклов производства полупроводников, сообщает «Коммерсантъ». Российское производство микроэлектроники сосредоточено в Зеленограде. Это два предприятия, основанные еще в советское время, — заводы «Микрон» и «Ангстрем». Первый известен выпуском чипов для загранпаспортов, банковских карт и карт «Тройка». Второй, как считается, работает в основном на оборонку.

На «Микроне» установлено оборудование западного производства, которое позволяет выпускать чипы по технологическим нормам от 65 нанометров и больше. Этот техпроцесс появился еще в начале нулевых. Что касается «Ангстрема», про его производственные линии известно немногое. Как следует из информации на сайте предприятия, наиболее совершенный техпроцесс, который доступен Ангстрему, — 600 нанометров. Это уже в прямом смысле прошлый век, технологии середины 90-х. Но для тех областей, где используются чипы «Ангстрем», этого достаточно.

Создать за три года полностью замкнутый, или, если угодно, импортозамещенный цикл производства чипов по современным нормам невозможно в принципе. И дело здесь не только в том, что мы сильно отстаем от других. Другие — к примеру, крупнейший в мире производитель чипов TSMC, — используют технологии и оборудование, разработанные в разных странах. Продолжает гендиректор компании «Троицкий инженерный центр» Евгений Горский:

«В мире нет ни одной компании и ни одной страны, которая бы построила полный цикл производства микроэлектроники — от производства кремния до резки и корпусирования чипов. То есть это всегда, как правило, кооперация между крупными компаниями. Мое мнение, что на 100 млрд рублей за три-четыре года можно сделать очень много, если сфокусироваться на каких-то определенных темах, где у нас есть опыт, компетенции. По литографии у нас уже есть кооперация с белорусскими коллегами. Сейчас такой проект уже осуществляется между Зеленоградом и КБ «Планар», в ходе которого создается литографическая установка на вполне себе современные нормы».

Массовое производство микроэлектроники потребует развития и других отраслей. Для выпуска чипов нужны сверхчистые пластины кремния, сверхчистые газы, лазеры и многое другое. И этого многого у нас тоже нет. А главное — нет специалистов, которые могли бы прямо сейчас заняться соответствующими разработками, говорит руководитель СКБ «Робототехника» МИЭТ Станислав Шепелев:

«Технологии и люди, которые были способны разработать и произвести все это оборудование, к сожалению, были утрачены. Сейчас запускаются программы по электронному машиностроению, начинают разрабатываться учебные курсы для того, чтобы готовить специалистов в этой области. Но даже если мы направим туда людей, им же нужно, во-первых, отучиться, во-вторых, получить опыт».

Теоретически мы могли бы не разрабатывать все технологии и оборудование для производства чипов с нуля, а, скажем так, позаимствовать что-то у других. Например, разобрать современную западную линию по выпуску чипов, а потом попробовать воссоздать ее самостоятельно. Это называется обратная разработка, или reverse engineering. Но тут тоже все не так просто, отмечает аналитик телеграм-канала «Русмикро» Алексей Бойко:__

__«Reverse engineering хорош, когда купили действующий образец, он стоит на предприятии, его можно разобрать и попытаться восстановить. Но, во-первых, это не факт, что правильная идея, потому что вся линия потом должна быть такой. Купить всю линию — ну, собственно, это то, чего мы не смогли сделать за все предыдущие годы. Хотя было и желание, и деньги, и отношение к России было совершенно иным. Но даже в этой ситуации никто нам современную линию не продавал. Тем более в текущей ситуации на это, по-моему, полностью нельзя рассчитывать. В промышленном шпионаже я не силен, но подозреваю, что сейчас все владельцы этих технологий за этим следят, чтобы у них так уж легко нельзя было украсть все эти секреты».

Но, похоже, о полном импортозамещении речи не идет. Из презентации Международного научно-технологического центра МИЭТ, с которой ознакомилась газета «Коммерсантъ», следует, что на ряде этапов производства чипов на российских заводах будет использоваться оборудование из Белоруссии и Китая.

Что же касается стоимости этого проекта — цифры говорят сами за себя. 100 млрд рублей по текущему курсу — это примерно миллиард долларов. Голландская компания ASML, мировой лидер по производству фотолитографического оборудования для выпуска чипов, только в прошлом году направила на новые исследования и разработки в три с лишним раза больше.__

**Минцифры просит на четверть увеличить финансирование льготных IТ-кредитов **** **__Минцифры предложило правительству увеличить финансирование программ льготного кредитования IT-компаний на 25% до конца 2023 г., рассказал «Ведомостям» представитель ведомства. Он напомнил, что на этот год в федеральном бюджете на льготные IТ-кредиты заложено 2 млрд руб. Дополнительное финансирование в размере 500 млн руб. может быть получено путем перераспределения бюджета с других ведомственных проектов, входящих в нацпрограмму «Цифровая экономика», уточнил собеседник.

В сентябре «Ведомости» сообщали, что Минцифры пришлось проводить перерасчет средств, заложенных на финансирование программ льготного кредитования в связи с повышением ключевой ставки ЦБ. С начала лета она была поднята до 8,5%, затем до 12%, а 15 сентября еще на 1 п. п. до 13%. По схеме льготного кредитования IT-отрасли министерство компенсирует банку, который выдает льготный кредит, разницу между льготной ставкой, которую платит получатель кредита, и ключевой ставкой ЦБ, пояснял тогда «Ведомостям» вице-президент Ассоциации банков России Алексей Войлуков.__

CISA считает пароли вроде Admin123 основной причиной удачных кибератак

Агентство по кибербезопасности и защите инфраструктуры (CISA) и Агентство национальной безопасности (АНБ) США видят основного виновника успешных кибератак в дефолтных учётных данных. __ __https://www.anti-malware.ru/news/2023-10-09-111332/42065

Google предложит пользователям устанавливать passkey по умолчанию

Американская корпорация Google теперь будет предлагать пользователям установить аутентификацию без паролей (passkey) по умолчанию. При авторизации в аккаунте Google появится предложение об установке ключа доступа, который, как считается, обеспечивает более надежную криптографическую защиту, чем стандартные пароли.

https://www.kommersant.ru/doc/6267523