Бортовой журнал

Обязательная авторизация через российские учётные записи отложена до 2025 года

Госдума во втором и третьем чтениях приняла закон о продлении до 1 января 2025 г. периода, в течение которого на российских цифровых платформах разрешается регистрация и авторизация с помощью зарубежных сервисов, в том числе иностранной электронной почты. Об этом сообщили на сайте нижней палаты парламента.

https://www.vedomosti.ru/technology/news/2023/11/30/1008641-gosduma-prodlila-do-2025-goda-vvedenie-novogo-poryadka

Минцифры возобновит выдачу грантов IT-разработчикам

Минцифры с 2024 г. возобновит выдачу грантов IT-разработчикам. Об этом сообщил журналистам министр Максут Шадаев в кулуарах форума TAdviser Summit 29 ноября. Он уточнил, что в принятом законе о бюджете средства на гранты заложены. По его словам, размер софинансирования проектов со стороны государства будет снижен с 80 до 50%. На 2025 г. также планируется принятие новой программы выделения грантов, добавил он.

«Деньги на 2024 г. есть. Со следующего года мы возобновляем две программы (грантовые. – “ИФ”) – по линии фонда Бортника (Фонд содействия развитию малых форм предприятий в научно-технической сфере, занимается посевными инвестициями на начальной стадии) и ИЦК (индустриальные центры компетенций)», – сказал Шадаев (цитата по «Интерфаксу»).

Минцифры в середине июля 2023 г. приостановило выдачу грантов в IT-сфере на новые проекты, а также занялось оценкой компетенций сотрудников Российского фонда развития информационных технологий (РФРИТ), сообщалось в официальном Telegram-канале ведомства. Такое решение министерство приняло на фоне задержания по подозрению в получении взятки экс-замминистра Максима Паршина. Он курировал в Минцифры работу РФРИТ, отвечающего за выбор приоритетных проектов в сфере импортозамещения ПО и выделение господдержки разработчикам этих решений. Ведомство также планировало провести проверку принятых решений о выдаче грантов в 2022–2023 гг. и «отменить проекты, по которым есть сомнения».

В 2019–2022 гг. РФРИТ поддержал через гранты более 130 IT-проектов на сумму 10,4 млрд руб. На 2024 г. на гранты в бюджете заложено 2,4 млрд руб.

В начале ноября министр заявил на CNews Forum о том, что Минцифры отказалось от выделения прямых грантов IT-компаниям на разработку нового ПО. На тот момент позиция министерства заключалась в том, чтобы оставить только посевные инвестиции со стороны Фонда Бортника, а также г​​ранты крупным корпоративным заказчикам под большие проекты в сфере замещения иностранных продуктов.

**Пароль не нужен. Разбиение файла на зашифрованные фрагменты по схеме Шамира ** После того как Google отказалась от паролей и перешла на Passkey по умолчанию создаётся впечатление, что концепция текстовых паролей (парольных фраз) сама по себе устарела. И действительно, в некоторых случаях можно добиться достаточного уровня безопасности без паролей вообще.

Например, простенькая утилита horcrux (крестраж*) разбивает файл на несколько зашифрованных частей (например, пять), причём для дешифровки и восстановления исходного текста не нужен пароль, а нужно найти и соединить несколько из этих частей (например, три). Предполагается, что сами отдельные части хранятся у разных людей в разных местах и/или надёжно спрятаны, например, в разных местах дома, сейфах, банковских ячейках и т. д.

https://habr.com/ru/companies/globalsign/articles/776520/

*Крестраж — волшебный артефакт, созданный с помощью тёмной магии, из вселенной Гарри Поттера.

В России появится первый отечественный платежный терминал

Первый российский платежный терминал может появиться уже в 2024 г., его разработкой занимаются «Элемент-технологии». Об этом на сессии форума «Электроника России» 28 ноября рассказал директор по продуктам «Элемент-технологий» Александр Соколов. По словам источника в компании, разработчик уже договорился о поставке терминалов с одним из крупнейших российских банков.

«Мы будем первой компанией в России, которая разработает отечественный платежный терминал. Уже в следующем году представим готовое решение. Причем линейка будет полной: классические POS-терминалы, андроидные решения и встраиваемое оборудование», – заявил Соколов.

**Основы Identity and Access Management (IAM) в архитектуре приложений ** С каждым годом мы становимся свидетелями все большего количества сбоев в системах безопасности, утечек данных и хакерских атак даже на самые маленькие проекты.

Identity and Access Management (IAM) выступает как наша первая линия обороны. Оно не просто защищает наши данные, но и гарантирует, что правильные люди имеют доступ к нужной информации в нужное время. Каждая вторая транзакция в мире происходит онлайн, безопасность становится не просто приоритетом, а необходимостью.

IAM — это комплексная система, охватывающая многие процессы, которые организация использует для управления идентификацией пользователей и их доступом к различным ресурсам.

https://habr.com/ru/companies/otus/articles/775994/

В развитие российского кибербеза хотят вложить свыше 25 млрд рублей На развитие государственных систем в области кибербезопасности «Мультисканер», «Антифишинг», «Антифрод» и других, а также защиты государственных информационных систем (ГИС) планируется направить более 25 млрд руб. до 2030 года. В Минцифры рассчитывают, что это позволит заместить зарубежные решения и повысить эффективность действующих систем. Но участники рынка считают запланированные вложения завышенными, подчеркивая, что результат при этом далеко не гарантирован.

Минцифры намерено инвестировать в развитие кибербезопасности около 25,2 млрд руб. до 2030 года, следует из материалов к нацпроекту «Экономика данных». Так, 7,1 млрд руб. будут направлены на развитие новой системы противодействия компьютерным атакам «Мультисканер» на базе ГосСОПКА (госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак, контролируется ФСБ через Национальный координационный центр по компьютерным инцидентам, НКЦКИ).

На развитие госсистем «Антифрод» (противодействие мошенническим звонкам, Роскомнадзор) и «Антифишинг» (блокировка мошеннических сайтов, Минцифры) в целом пойдет 3,7 млрд руб., а на внешнюю оценку защищенности ключевых ГИС — 2,4 млрд руб. Еще 12 млрд руб. направят на системы обеспечения кибербезопасности (криптография, средства защиты и т. д.). Собеседник “Ъ” в IT-отрасли объясняет, что речь идет о субсидиях доверенным центрам разработки при Минцифры, «подобные проекты закрыты для широкого рынка из-за жестких требований».

В Минцифры рассчитывают, что в результате к 2030 году все иностранные средства защиты получат российские аналоги, «Мультисканер» сможет обрабатывать более 90 млн файлов в год, а число инцидентов, связанных с нарушениями безопасности ключевых ГИС, снизится до нуля.

В министерстве “Ъ” уточнили, что «проект еще в работе» и показатели могут измениться. В Роскомнадзоре не ответили “Ъ”.

О разработке системы «Мультисканер» в Минцифры объявили в конце октября. Она станет «аналогом бесплатного американского сервиса VirusTotal, анализирующего файлы и ссылки на предмет вредоносных программ», пояснял замминистра Александр Шойтов. Разработкой системы занимается Национальный технологический центр цифровой криптографии (создан в 2023 году Минцифры и ФСБ). Макет системы, по словам чиновника, запустят до конца года, в 2024 году планируется дополнить систему новыми функциями, а после 2025 года она «заработает в полную силу».

Госсистемы «Антифрод» и «Антифишинг» тоже запустились недавно — в январе и июле соответственно. В презентации Минцифры отмечается, что в результате внедрения «Антифрода» число мошеннических звонков в 2023 году снизилось на 38%, до 62,7 млн. Но количество скомпрометированных персональных данных в этом году растет: 303 млн записей против 276 млн за весь 2022 год.

В то же время число киберинцидентов снижается. По данным НКЦКИ, на критической информационной инфраструктуре (КИИ) за прошлый год их отмечено 170 тыс., за январь—сентябрь 2023 года — 46,7 тыс.

Стоимость софта в розничных и корпоративных продажах выросла на 10–40%** ** О росте цен с начала года вплоть до 40% на отдельные виды корпоративного софта и оборудования «Ведомостям» рассказали представители консалтинговой компании по внедрениям IT-решений «Рексофт консалтинг» и разработчика IVA Technologies. Цены на ПО выросли и в рознице, но не более чем на 10%, отмечают представители Ozon и «М.видео-Эльдорадо».

В первую очередь речь идет о специализированных решениях, которыми пользуются сами разработчики, уточнил заместитель гендиректора IVA Technologies Максим Смирнов. В частности, софт среды разработки теперь обходится компаниям примерно в 100 000 руб. за лицензию, ПО для работы дизайнеров – от 60 000 руб. за лицензию, а ПО для управления разработкой – от 3 млн руб. за лицензию, привел примеры топ-менеджер.

Технология единого входа: как работает SSO

Казалось бы, что может быть проще, чем один вход для всех сервисов? Но за этой кажущейся простотой скрываются сложные технические детали.

Концепция SSO не появилась вчера, она развивалась на протяжении многих лет. Эта идея начала набирать обороты в эпоху, когда интернет-сервисы стали частью нашей повседневной жизни, и задача управления множеством учетных записей стала более острой.

https://habr.com/ru/companies/otus/articles/776170/

**Система аутентификации: сделай сам vs возьми готовое ** Разработка системы аутентификации может показаться начинающему разработчику простой задачей. Пользователь создает учетную запись, данные сохраняются, и в дальнейшем по логину-паролю происходит вход. Но когда начинаешь копать глубже, система аутентификации, точно луковица, открывает всё новые слои. В статье разбираются некоторые общие проблемы, связанные с этим, и оцениваются возможные способы реализации.

https://habr.com/ru/companies/sberbank/articles/775840/

**Аутентификацию Windows Hello по пальцу можно обойти на ряде ноутбуков ** Исследователям в области кибербезопасности удалось обойти аутентификацию Windows Hello по сканированию отпечатка пальца на ноутбуках Dell Inspiron, Lenovo ThinkPad и Microsoft Surface Pro X. Для этого использовался ряд уязвимостей во встроенных датчиках сканирования.

https://www.anti-malware.ru/news/2023-11-23-111332/42343

Постквантовый алгоритм «Шиповник» получил открытую реализацию

Российские компании с экспертизой в области криптографии и квантовых технологий объединяют усилия для предотвращения угрозы криптографическим системам со стороны квантовых компьютеров.

https://www.anti-malware.ru/news/2023-11-17-111332/42310

Алкоголь и сигареты в обмен на биометрию: киберпанк, который мы заслужили

В центре биометрических технологий заявили, что уже в следующем году в крупных сетевых магазинах может быть внедрена система подтверждения возраста покупателя через данные Единой биометрической системы. То есть для приобретения алкоголя или никотиносодержащей продукции больше не потребуются права или паспорт: достаточно будет один раз сделать селфи в приложении «Госуслуги Биометрия», и можно смело отправляться в магазин.

https://wylsa.com/alkogol-i-sigarety-v-obmen-na-biometriyu-kiberpank-kotoryj-my-zasluzhili/

“Схватка двух йокодзун” (с)

__Владелец российской мобильной ОС «Аврора» «Ростелеком» просит Минцифры проверить правомерность включения в реестр отечественного софта ОС «Ред Софта», работающей на базе открытого кода Android. Эксперты опасаются, что в коде используются «закладки» американских разработчиков, которые «могут навредить безопасному использованию устройства». __ https://www.kommersant.ru/doc/6351196

Топ-10 паролей 2023 года до сих пор содержит всем известные комбинации

NordPass опубликовал уже пятый список самых распространённых паролей, теперь за 2023 год. По какой-то причине пользователи не хотят отходить от привычных практик и используют старые добрые комбинации «123456» и «password».

https://www.anti-malware.ru/news/2023-11-20-111332/42316

Госкорпорация «Росатом» обеспечит технологическую независимость критической информационной инфраструктуры к 2030 году

«Росатом» к 2030 г. обеспечит полный переход объектов критической информационной инфраструктуры (КИИ) на доверенное оборудование. Отраслевые планы перехода будут утверждены до 1 сентября 2024 г, сказал директор по информационной инфраструктуре госкорпорации «Росатом» Евгений Абакумов.

В ноябре 2023 г. Правительство России определило порядок и срок перехода субъектов КИИ на российское доверенное оборудование. Он начнется 1 сентября 2024 г. и продлится до начала 2030 г. При этом, согласно постановлению, переход значимых объектов КИИ на преимущественное применение доверенных ПАК должен быть завершен до 1 января 2025 г, а госкорпорация «Росатом» назначена ответственной за организацию такого перехода в области атомной энергии.

«Росатом в числе первых начал процесс замещения иностранного ПО и оборудования, в том числе и на значимых объектах КИИ. Данная работа ведется с 2019 г., и за это время Госкорпорация стала полигоном для апробации отечественных решений. Наработанная экспертиза позволяет нам не только успешно пройти этот путь внутри «Росатома», но и делиться опытом с другими отраслями. К концу текущего года мы обеспечим технологический суверенитет на уровне ПО на всех значимых объектах КИИ. Уверен, что начатый путь позволит нам прийти к тому, что к 2030 г. все объекты критической инфраструктуры будут переведены на отечественные программно-аппаратные комплексы», — сказал Евгений Абакумов.

Помимо организации перехода в атомной отрасли, «Росатом» играет существенную роль в реализации всего процесса в целом. Евгений Абакумов добавил, что разработкой доверенных ПАК занимается Научно-производственное объединение «Критические информационные системы». В рамках федерального плана предприятие будет аккумулировать информацию обо всех программно-аппаратных комплексах, не являющихся доверенными. С 2025 г. эксперты «Росатома» будут формировать и предоставлять прогноз производства доверенных ПАК в России на двухлетнюю перспективу.

Биометрическая идентификация и аутентификация: продукты компании Аладдин

Продукты компании Аладдин можно использовать для идентификации и аутентификации пользователей по биометрическим характеристикам при доступе в информационные системы. Для реализации различных сценариев есть как устройства, так и программное обеспечение.

https://www.anti-malware.ru/analytics/Technology_Analysis/Biometric-identification-and-authentication-Aladdin-products

Рособрнадзор намерен перевести все системы ЕГЭ на отечественное ПО в 2026 году

Рособрнадзор планирует перевести все системы Единого государственного экзамена (ЕГЭ) на отечественное программное обеспечение (ПО) в 2026 г., сообщил замруководителя ведомства Игорь Круглинский.

«Работа эта большая, сложная и объемная. Планируем ее завершить в 2026 г., но уже в 2024 г. в нескольких субъектах мы апробируем новое программное обеспечение, которое используется в пунктах проведения экзаменов», – сказал Круглинский, его слова привела пресс-служба.

1 сентября министр просвещения РФ Сергей Кравцов сообщил президенту России Владимиру Путину, что все российские школы полностью перешли на отечественное ПО. Министр отметил, что переходу помог опыт Москвы, Московской области и других субъектов РФ. Также во всех регионах успешно внедрили Федеральную государственную информационную систему (ФГИС) «Моя школа».

При этом в начале ноября Минцифры России предложило приостановить централизованную закупку лицензий офисного и антивирусного программного обеспечения (ПО) для федеральных органов исполнительной власти (ФОИВ) на весь 2024 г.

Уточнялось, что ФОИВ «не вправе самостоятельно осуществлять закупку лицензий ПО для собственных нужд», в то время как Минцифры не может осуществить закупку «в связи с отсутствием в нормативных правовых актах РФ указания на источник финансирования».

Обновил подборку НПА по безопасности КИИ. Добавил:

• Методические рекомендации Банка России №14-МР от 26.10.2023 по информированию ФСБ России о компьютерных инцидентах

• Методические рекомендации Банка России №15-МР от 26.10.2023 по взаимодействию кредитных организаций с МВД России и ФСБ России

• Приказ ФСТЭК России №177 от 01.09.2023 «О внесении изменений в Порядок ведения реестра ЗО КИИ РФ, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. №227»

• Проекты предварительных национальных стандартов Российской Федерации

• «КИИ. Термины и определения»

• «КИИ. Доверенные ПАК. Общие положения»

• «КИИ. Доверенные интегральные микросхемы и электронные модули. Общие положения»

В Москве установили первые банкоматы российского производства

Об этом сообщает мэр Москвы Сергей Собянин в своем телеграм-канале.

Аппараты на 80% состоят из отечественных компонентов, оснащены собственным программным обеспечением. Серийный выпуск российских банкоматов начался в индустриальном парке «Руднево» в мае этого года.

В прошлом году зарубежное оборудование и программное обеспечение для банковской сферы попали под санкции, их поставки прекратились.

По словам Собянина, первые устройства уже получили три банка-партнера. Мощность завода позволяет произвести 15 тысяч банкоматов в год.

Всего в России более 190 тысяч банкоматов.

В Питере открыли полигон российских ИТ- и ИБ-вендоров

В технопарке Санкт-Петербурга открылся демонстрационный полигон, на котором отечественные ИТ-вендоры представляют инновационные продукты: серверы, коммутаторы, операционные системы, платформы виртуализации, офисные пакеты и т. п.

Как передаёт ТАСС, полигон нужен для поддержки разработок, позволяющих России не зависеть от зарубежного софта. «Демонстрационный полигон российских IT-вендоров», как его назвали организаторы, является частью концепции технологического развития РФ до 2030 года.

Фактически полигон стал первой в России открытой выставочной площадкой, где можно продемонстрировать возможности российского инфраструктурного софта и ПАК (программно-аппаратных комплексов) для обеспечения кибербезопасности.

Пока воспользоваться полигоном решили 32 вендора, представив более 50 продуктов. Организаторы планируют расширяться: ежедневно присоединяются новые вендоры.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», прокомментировал открытие полигона отечественных вендоров: «Современная сфера информационных технологий — это не только программный код, но и много реальных продуктов, которые интересно показывать людям. Запуск подобного полигона для российских разработчиков — интересное и правильно явление, его можно сравнивать с интерактивным ИТ-музеем».

Эксперты показали первый вектор кражи криптоключей при SSH-соединениях

Исследователи продемонстрировали компрометацию криптографических ключей, используемых для защиты данных в SSH-трафике, которым обмениваются клиент и сервер. По их словам, это первый рабочий вектор атаки такого рода.

https://www.anti-malware.ru/news/2023-11-14-111332/42286

ICL открыла завод по производству печатных плат

Российская IT-компания ICL запустила завод по сборке вычислительной техники и поверхностного монтажа материнских плат на территории особой экономической зоны (ОЭЗ) «Иннополис» в Татарстане. Об этом министр цифрового развития Республики Татарстан Айрат Хайруллин сообщил в своем Telegram-канале. «В условиях острой необходимости наращивания производственных мощностей, обеспечивающих технологический суверенитет и импортозамещение страны, создание таких производств является стратегической задачей», – заявил вице-премьер республики Роман Шайхутдинов.

По словам Хайруллина, ожидается, что на первом этапе завод сможет выпускать 300 000 плат в год с последующим наращиванием объемов до 1 млн. Площадь производства составит 8000 кв. м. Мощности по сборке плат позволят выпускать более 200 видов вычислительной техники российского производства, указано на сайте ICL.

Постквантовый алгоритм электронной подписи «Шиповник» получил открытую реализацию

Российские компании с экспертизой в области криптографии и квантовых технологий объединяют усилия для предотвращения угрозы криптографическим системам со стороны квантовых компьютеров.

https://safe.cnews.ru/news/line/2023-11-14_postkvantovyj_algoritm_elektronnoj

Минтранс скорректировал график внедрения биометрии на транспорте

Минтранс планирует установить на четыре объекта транспортной инфраструктуры системы для идентификации пассажиров с помощью биометрии в 2024 г. Об этом говорится в утвержденной правительством новой версии стратегии цифровой трансформации транспортной отрасли до 2030 г.

https://www.vedomosti.ru/technology/news/2023/11/13/1005462-mintrans-otlozhil

Локатор от Apple можно использовать для передачи украденных паролей

Злоумышленники могут использовать сервис для поиска устройств «Локатор» («Find My») от Apple для незаметной передачи конфиденциальной информации, похищенной кейлогерами, которые могут быть установлены в сторонние клавиатуры.

https://www.anti-malware.ru/news/2023-11-07-111332/42244

Экспорт российских ИБ-технологий в Африку и Южную Америку будет расти

Согласно результатам опроса, проведенного альянсом РУССОФТ, объемы экспорта российского софта в Азию возросли в несколько раз. Наиболее перспективными в этом плане считаются Казахстан и ОАЭ, для продуктов ИБ — страны Африки и Южной Америки.

Разработчик систем распознавания лиц «Папилон» планирует выйти на IPO

В случае выхода на биржу интерес к компании может быть даже выше, чем к разработчикам общесистемного софта, отмечают эксперты

Российский разработчик систем биометрической идентификации ГК «Системы Папилон» изучает возможность выхода на IPO. «Ведомости» обнаружили на HH.ru вакансию директора по пиару и связям с инвесторами в «дочку» «Системы Папилон» компанию 3DiVi. В карточке указано, что соискатель должен обладать опытом пиар-сопровождения IPO. Речь идет о планах проведения IPO всей группы компаний, подчеркнул источник «Ведомостей», близкий к 3DiVi, уточнив, что в компании «окно возможностей» оценивают в один-два года. Представитель самой компании от комментариев отказался.

В группу «Системы Папилон» помимо ООО «Тридиви» входят ООО «ИТ Папилон» и АО «Папилон». Все юрлица зарегистрированы в городе Миассе в Челябинской области, компания основана в 1991 г. «ИТ Папилон» разрабатывает софт для мультибиометрической идентификации (по отпечаткам, лицу, сетчатке глаз и т. д.), говорится на сайте компании. «Тридиви» занимается разработкой нейросетей и алгоритмов распознавания. ООО «Системы Папилон» производит специальное оборудование и электрокомпоненты для программно-технических комплексов распознавания, а АО «Папилон» занимается проектированием систем под требования заказчиков на базе продуктов остальных компаний группы и их интеграцией.

https://www.vedomosti.ru/technology/articles/2023/11/07/1004449-razrabotchik-sistem-raspoznavaniya-lits-papilon-planiruet-viiti-na-ipo

Цифровые платформы попросили исключить из передачи биометрии нехранимые данные

Рабочая группа при АНО «Цифровая экономика» предложила исключить необходимость передачи биометрии, собранной бизнесом для антифрода, в Единую биометрическую систему (ЕБС). Цифровые сервисы борются с мошенниками через подтверждение личности по фото или голосу, эти данные должны передаваться в ЕБС. Но в компаниях считают это нецелесообразным — данные собираются в произвольном порядке и не хранятся.

https://www.forbes.ru/tekhnologii/499706-cifrovye-platformy-poprosili-isklucit-iz-peredaci-v-ebs-nehranimye-dannye

Не набирайте тексты в интернете, или Обфускация времени между нажатиями клавиш в SSH

В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.

Спрашивается, почему разработчики озаботились такими нюансами информационной безопасности? Но причина есть. И на самом деле такие меры должны предпринять все программы, которые допускают ввод паролей в интернете (или вообще любого конфиденциального текста). В первую очередь, браузеры и мессенджеры.

https://habr.com/ru/companies/ruvds/articles/770792/

**Войти в Яндекс ID теперь можно по картинке (без пароля) ** Владельцы учётных записей в системе Яндекса теперь могут использовать вход по картинке. Разработчики обещают безопасный и более удобный метод аутентификации в сравнении с паролями.

https://www.anti-malware.ru/news/2023-10-31-111332/42211

John the Ripper и Hashcat. Эволюция брутфорса

__Кража баз паролей из взломанных систем — распространённая проблема. Особенно остро она стояла в первые годы развития Unix, когда пароли хранились в открытом виде. Утечка такой базы означала полную компрометацию системы.

Проблему решила первая в мире утилита для хэширования crypt в 70-е гг. С тех пор пароли перестали храниться в открытом виде, в базе хранились хэши. Согласно официальной документации, утилита crypt(3) до шестой редакции использовала код из эмулятора шифровальной машины M-209, которую американская армия использовала во время Второй мировой войны. В этой системе пароль использовался не в качестве шифротекста, а в качестве ключа, которым шифровалась константа. Кен Томпсон, Деннис Ритчи и другие создатели Unix думали, что это надёжный подход. Оказалось иначе.__

https://habr.com/ru/companies/globalsign/articles/770608/

ОПИ попросила кабмин о временном моратории на использование зарубежного ПО

__Организация по защите прав потребителей «Общественная потребительская инициатива» (ОПИ) направила письмо премьер-министру России Михаилу Мишустину и в Совет Федерации с просьбой ввести временный мораторий на привлечение к ответственности компаний за использование иностранного софта без согласия правообладателя. Об этом пишет «Коммерсантъ» со ссылкой на документ.

В ОПИ указали на сложность быстрого перехода на российское ПО. Там пояснили, что для банков, операторов связи других компаний смена софта повлечет не только «кратный рост капитальных затрат», но и «резкое снижение функциональности». В организации добавили, что сейчас привлечь к ответственности за использование софта могут и сами компании-разработчики, покинувшие РФ. В письме говорится, что иностранное ПО используют «Ростелеком», Tele2, Сбербанк, МТС и ряд других компаний. В качестве примера в ОПИ назвали программы Cisco, Dell, Nvidia и др. В Tele2 «Коммерсанту» сообщили, что пользуются только программами с бессрочной лицензией. В «Мегафоне» отметили, что используют софт только по лицензии правообладателя. «Ростелеком» и МТС газете не ответили.

В Минцифры заявили, что до 90% иностранных решений уже имеют российские аналоги. В иных случаях кабмин совместно с заинтересованными ведомствами разрабатывает нормативные акты со специальными условиями, добавили там. В министерстве пояснили, что при разрешении использовать иностранные ПО будут учитываться «потребности пользователя, возможности импортозамещения и необходимость своевременного исполнения планов по переходу на отечественные решения».

В ответе Совфеда, который также есть в распоряжении издания, сказано, что мораторий должен действовать в отношении только тех пользователей, который ранее правомерно приобрели лицензии на зарубежный софт. Там отметили, что к 2027 г. на российском рынке будет достаточное количество необходимого ПО. К 2030 г. в Совфеде допустили возможность полной замены иностранного софта.

В марте 2022 г. «Ведомости» писали, что правительство не планирует отменять ответственность за использование не лицензированного в России ПО из недружественных стран. Тогда в Минцифры пояснили, что ведомство выступает за «стимулирование перехода на российское ПО».__

Что можно сделать прямо сейчас

Если вы запускаете процедуру импортозамещения, то: необходимо формулировать понятные требования по безопасности к вендорам ПО и собственным разработчикам; оценивать актуальные угрозы для своей компании и систем, которые вы импортозамещаете;   налаживать взаимодействие между участниками процесса производства ПО — в том числе разработчиков с экспертами по ИБ. 

Внедрение этих практик не требует дорогостоящих инструментов. Достаточно обучить и мотивировать команду — это позволит перейти от циклического поиска дефектов и устранения инцидентов к созданию безопасных продуктов по умолчанию. 

А продукт, который изначально будет проектироваться или внедряться с учетом требований, будет быстрее проходить проверки безопасности, менее подвержен атакам и сбоям и проще внедряться в эксплуатацию.

Мнение редакции может не совпадать с точкой зрения автора

Срочное импортозамещение: что может пойти не так 

Если игнорировать требования к ИБ, у заказчиков и пользователей софта могут возникнуть проблемы. Некоторые могут появиться сразу, другие — развиваться в долгосрочной перспективе. Особенно опасны последние: из-за различных угроз, связанных с утечкой данных, хакерскими атаками, компания может понести репутационные издержки и в итоге потерять клиентов. Откуда же сегодня ждать появления рисков из-за импортозамещения ПО?

Чтобы это понять, нужно разобраться в том, как меняется характер атак. Более уязвимой в мире, где многие активы построены на данных, становится персональная и конфиденциальная информация — и хакеры в первую очередь охотятся за ней. К тому же вместе с тем, как усложняются протоколы безопасности, становятся более изощренными и методы взлома.

Так, в июне оператор связи «Инфотел», который подключает банки и юридических лиц к системе электронного взаимодействия с ЦБ, подвергся атаке группировки хактивистов. Из-за этого в работе нескольких крупных банков-клиентов произошел масштабный сбой. В течение трех дней в сети опубликовали данные клиентов 12 российских компаний. В их список вошли такие крупные игроки, как торговая сеть «Ашан», производитель матрацев и товаров для сна «Аскона», издательская группа «Эксмо-АСТ». И все это могло быть вызвано упущениями в сфере ИБ.

Как утверждают эксперты, среди наиболее распространенных способов атак на компании — социальная инженерия и эксплуатация уязвимостей в ПО. Атакам подвергаются не только сотрудники, но и сетевое оборудование, веб-ресурсы. Уязвимости ПО и всей IT-инфраструктуры появляются в том числе потому, что к вендорам и решениям не предъявляются требования по безопасности.

В итоге возникает критический для бизнеса момент — остановка бизнес-процессов из-за потенциальных атак и сбоев и открытие возможностей для мошенничества. Например, недостаточное тестирование ролевой модели в одном из банков привело к тому, что работники call-центра получили возможность просматривать кодовые слова VIP-клиентов и менять номера телефона для отправки одноразовых паролей.

Как импортозамещаться быстро и безопасно

Чтобы выявлять и предупреждать уязвимости и атаки, нужны квалифицированные кадры. Согласно исследованию К2Тех, в 2023 году 77% российских компаний столкнулись с необходимостью расширить штат ИБ-специалистов. При этом нужных людей на рынке недостает. Что с этим делать?

Среди решений — поиск талантливых кадров внутри продуктовой команды и развитие их компетенций по безопасной разработке.

Для этого можно использовать практику Security-чемпионов. Компании с этим подходом развивают сотрудников, которые знают, как создавать безопасные продукты. Такие разработчики выступают «адвокатами» ИБ внутри команды. Обычно они хорошо знают продукт со стороны разработчика — а значит, могут оценить его и со стороны злоумышленника. Понимая особенности продукта и процессов разработки, они могут быстро и качественно удовлетворить требования по безопасности.

Но это лишь кратковременный «костыль». В долгосрочной перспективе, чтобы избежать проблем с уязвимостью ПО, нужно развивать культуру информационной безопасности.

Команда разработчиков часто воспринимает задачи по обеспечению безопасности продукта как второстепенные. По их мнению, они только оттягивают момент, когда продукт можно будет вывести на рынок. Об уязвимостях специалисты планируют позаботиться позже, уже в процессе эксплуатации ПО. Именно такой подход нужно менять — на проактивный с точки зрения ИБ.

Кроме того, в большинстве компаний ИБ-процессы выстроены неэффективно — в основном применяются технические инструменты контроля. Проблема в том, что они позволяют узнать о проблемах в продукте только непосредственно перед релизом. Выявив уязвимость, команда вынуждена вернуться к этапу проектирования архитектуры или написания кода — это сильно увеличивает сроки разработки. А вот если бы команда понимала требования по безопасности на старте, она могла бы минимизировать количество ситуаций, когда выявленные дефекты вынуждают отложить очередной релиз.

Почему импортозамещение делает IT-рынок уязвимее и как с этим справиться

К 2025 году зарубежное ПО должно быть заменено отечественными аналогами — это требование касается всех объектов критической инфраструктуры, включая частные компании. Менять софт будут не только 13 отраслей, куда входят здравоохранение, банки, операторы связи и промышленность, но и компании, которые их обслуживают. Уже сегодня многие иностранные IT-решения стали недоступными для оплаты или отключены от поддержки. В спешке руководители могут выбрать ПО, которое не отвечает функциональным требованиям, в том числе по информбезопасности (ИБ). Директор по продуктам Start X Сергей Волдохин рассказывает о том, как срочное импортозамещение делает IT-ландшафт организаций уязвимее и как сделать внедрение новых решений безопасным.

Вопросы безопасности

Последние исследования рынка говорят: 44,7% коммерческих компаний не собираются переходить на отечественное ПО в ближайшее время, 27% ждут, когда закончится лицензия у установленного софта. А вот оставшиеся 22% будут замещать IT-решения на российские еще до того, как иностранные альтернативы перестанут работать — и уже сейчас тестируют отечественное ПО. И именно они могут столкнуться с проблемами по безопасности. Почему так происходит? Многие российские продукты только выходят на рынок и поэтому находятся на ранних стадиях разработки и развития. В отличие от своих аналогов, которые годами проходили «проверку на прочность», они еще только начинают путь в борьбе с багами и уязвимостями. Сегодня, так как внедрять ПО надо срочно, основной фокус сделан на том, чтобы просто повторить функциональность иностранных IT-решений. Требования по безопасности отходят на задний план.

Дело тут не только в самих разработчиках. Заказчики тоже хотят в первую очередь решить задачи своего бизнеса — о рисках можно будет поговорить потом. Поэтому они не проводят моделирование и оценку угроз, не формируют требования безопасности и не проводят испытаний.

Аудит, призванный оценить безопасность ПО, часто проводят только перед внедрением или не проводят вовсе. Причина — неэффективные процессы ИБ в компании. Многие команды не знакомы с требованиями безопасности, ПО они проверяют только на финальных стадиях — и если находят уязвимости, то устранять их в почти готовом продукте могут дольше, чем IT-решение разрабатывалось. 

К сожалению, с точки зрения регуляторов большого продвижения тут тоже нет. За последний год не вводилось значительных изменений, которые бы влияли на требования по безопасности при производстве ПО. И даже те нормы, что уже существуют, не предъявляются к продуктам ни при включении их в реестр отечественного ПО, ни при внедрении в компанию.

Как решают проблему заказчики Тот бизнес, который все же вводит проверку безопасности, обычно проверяет продукт на соответствие двум вещам: требованиям разных законов, стандартов и указаний регуляторов (их могут быть сотни); правилам, исторически принятым в компании. 

Например, в большинстве продуктов пользователи проходят аутентификацию по логину и паролю, а доступ разграничивается на уровне ролей, плюс в каком‑то виде хранятся журналы событий. Это условная «гигиена» для любого приложения, к которой все давно привыкли.

Но для корпоративной инфраструктуры с чувствительными данными этого недостаточно. Тут важными становятся двухфакторная аутентификация, шифрование, защита от утечки данных.

Проблема в том, что после релиза любые изменения в продукте потребуют много времени и будут стоить дорого. Переделать формат журналов на этапе планирования займет один день, после релиза, в готовом продукте — до месяца. Поэтому сложности с ИБ проще предотвратить, чем исправить. Но для этого нужна согласованная работа разных игроков рынка — заказчиков, вендоров и регуляторов.

МВД заявило об отсутствии возможности для выдачи россиянам цифровых паспортов

__Хотя закон предусматривает получение россиянами электронных паспортов, пока технической возможности начать их выдавать нет, заявили в МВД. «В перспективе, наверное, такая необходимость будет», — отметили в ведомстве. Ускорить проведение эксперимента по внедрению цифровых паспортов Путин призвал в феврале, в сентябре он подписал соответствующий указ. В нем подчеркивалось, что их использование будет добровольным.

__https://www.forbes.ru/tekhnologii/499410-mvd-zaavilo-ob-otsutstvii-vozmoznosti-dla-vydaci-rossianam-cifrovyh-pasportov

**Нулевая ставка налога на прибыль для IT-компаний сохранится до конца 2024 года

**__Это нужно, чтобы компании смогли вкладывать в развитие производства деньги, которые они уплачивают в бюджет как налог на прибыль

Нулевая ставка налога на прибыль для IT-компаний в России сохранится до конца 2024 года. Об этом сообщил глава Минцифры Максут Шадаев, передает ТАСС. По его словам, это нужно, чтобы чтобы компании смогли вкладывать в развитие производства деньги, которые они уплачивают в бюджет как налог на прибыль.

Шадаев также рассказал, что утильсбор за ввоз импортного IT-оборудования при наличии его отечественных аналогов может быть введен уже в середине 2024 года. Обсуждаемый размер сбора он не назвал. Предполагается, что полученные средства будут направлены на поддержку российских производств.

__https://www.bfm.ru/news/536720

Россиянам максимально упростили самостоятельную сдачу биометрии властям. В стране никто не жаждет ею делиться

__В России заработала упрощенная схема отправки биометрии в Единую биометрическую систему. Для этого нужно всего лишь поставить специальное приложение, в котором потребуется выполнить пару простых и быстрых действий. Но россияне уже выразили свое отношение к сдаче биометрии – они не хотят, чтобы власти имели доступ к столь чувствительной информации.

__https://safe.cnews.ru/news/top/2023-10-25_rossiyanam_maksimalno_uprostili

**Amazon добавил возможность авторизации через passkey

**__Американская корпорация Amazon добавила поддержку аутентификации без паролей (passkey) для авторизации на сайте онлайн-магазина и в мобильном приложении. В настоящее время функция работает только для мобильных приложений на базе iOS, для Android возможность появится позднее.

__https://www.kommersant.ru/doc/6296850

**ITDR: что это такое и зачем нужно

**__Модернизация систем аутентификации чаще касается способов удостоверения личности, не решая при этом проблемы возможной кражи учётных данных. ITDR — новый класс решений по защите реквизитов доступа — призван помочь в этом вопросе. Расскажем об отличиях ITDR от других систем схожего назначения.

__https://www.anti-malware.ru/analytics/Technology_Analysis/Identity-Threat-Detection-and-Response