Бортовой журнал

«Да не робот я!»: CAPTCHA исчезнет или станет ёщё более раздражающей?

Вместе с ростом числа интернет-пользователей развивались боты для спам-рассылок и создания фейковых учетных записей. В 2000 году исследователями из Университета Карнеги-Меллона была разработана CAPTCHA, Completely Automated Public Turing Test to tell Computers and Humans Apart.

Капча служит защитным механизмом, генерируя задачи, которые легко решить людям и тяжело — ботам. Она не давала спамерам и мошенникам обманывать веб-сайты. Но с годами простые пользователи стали все больше уставать от капчи и воспринимать ее как раздражитель, а не механизм аутентификации.

Кроме того, сегодня роботы легко обходят капчи с помощью методов компьютерного зрения. Это привело к дилемме: актуальна ли сейчас технология? Или капча — это устаревший механизм, который только тратит время?

https://habr.com/ru/companies/selectel/articles/780860/

Рынок софта для финтеха вырастет практически вдвое до 2028 года

Российский рынок софта для финансового сектора в ближайшие пять лет будет расти на 13,5% в год. В 2022 г. он составлял 28 млрд руб., по итогам 2023 г. достигнет 31,5 млрд руб., а к 2028 г. его объем составит 59,5 млрд руб. Такой прогноз приводится в исследовании Strategy Partners. Этот сегмент будет расти быстрее, чем рынок программного обеспечения (ПО) в целом: весь рынок российского ПО будет расти на 12,5% в год и достигнет к 2028 г. 2,3 трлн руб., подсчитали эксперты консалтинговой компании. Опережающие темпы роста в финтехе обеспечит внедрение новых платежных систем и спрос на решения для обеспечения расчетов и обработки финансовой информации.

На фоне глобальной цифровизации бизнеса мировой рынок ПО рос на 18,5% в год на протяжении последних четырех лет, говорится в исследовании. Российский рынок софта рос еще быстрее – в среднем на 19,4% в год. В 2022 г. рынок ПО вырос сразу на 23,7% и его емкость составила 1,1 трлн руб., указано в отчете.

Первый софт для платежных терминалов включили в реестр Минцифры В российский реестр программного обеспечения (ПО) Минцифры включили первую операционную систему (ОС) для платежных кассовых терминалов – Atol OS. Об этом «Ведомостям» рассказал представитель ее разработчика – компании «Атол». Запись об этом появилась на сайте реестра, убедились «Ведомости». Представитель Минцифры подтвердил факт включения Atol OS в реестр отечественного ПО.

Atol OS разработана на базе Android Open Source Project версий 7, 10, 11 и использует исходный код и базовые функции Android, уточнил представитель «Атола». По его словам, ОС обладает модификациями и доработками, необходимыми для работы устройств на территории России, а базовые настройки позволяют отключить Google Mobile Services и защитить тем самым устройство от возможных внешних воздействий.

**В России запустят покупку лекарств онлайн по биометрии ** Россияне смогут дистанционно купить лекарства по биометрии, для этого будут использоваться данные из Единой биометрической системы (ЕБС). Об этом пишут «Известия» со ссылкой на Центр биометрических технологий (ЦБТ – совместное предприятие «Ростелекома», ЦБ и Росимущества).

Чтобы подтвердить личность, нужно любое устройства с камерой, которое способно обеспечить достаточный уровень защиты данных, пояснили в организации. Предполагается, что по биометрии человек сможет как сделать заказ, так и получить его у курьера. В Минцифры напомнили, что, по закону о биометрии подтверждение личности с помощью данных из ЕБС приравнивается к предъявлению паспорта.

В пресс-службе ЦБТ подчеркнули, что для пилотного проекта созданы все правовые условия. В то же время для запуска необходимы технические доработки со стороны аптечных организаций, пояснили в Минцифры. В частности, требуется интеграция с ЕБС, а также с Единой государственной информационной системой в сфере здравоохранения (ЕГИСЗ) и Единой системой идентификации и аутентификации (ЕСИА).

В ЦБТ уточнили, что эксперимент не подразумевает покупку по биометрии при очном посещении аптеки. В то же время там не исключили, что такая возможность станет доступна в будущем.

В марте 2023 г. в трех регионах России – Москве, Московской и Белгородской областях – начался эксперимент по доставке рецептурных препаратов. Он рассчитан на три года и завершится в 2026 г. Для оформления онлайн-заказа лекарства пациенту нужно получить электронный рецепт у лечащего врача, а затем подтвердить его на сайте аптечной сети или активировать через приложение «ЕМИАС.ИНФО». При получении препаратов покупатель должен показать курьеру QR-код заказа и паспорт.

В Минздраве заявили о стабильном росте числа проданных таким образом лекарств. По данным ведомства, в начале эксперимента ежемесячный прирост продаж составлял чуть более 50%, но уже осенью показатель приблизился к 80%. Абсолютные цифры в министерстве не назвали, отмечают «Известия».

https://www.vedomosti.ru/technology/news/2023/12/14/1010987-rossii-zapustyat-pokupku-lekarstv-onlain

Почему рукописную подпись считают надёжным способом аутентификации (и так ли это на самом деле)

Подпись — один из основных методов идентификации личности. Не самый надёжный, но часто самый простой и доступный для бумажного документооборота.

Автограф должен подтверждать подлинность документа. Например, в банках сотрудники по-прежнему сравнивают подписи в документах и в паспорте.

Подписи не уникальны и не обладают общей надёжностью, но при этом достаточно надёжны в определённых задачах.

Подделка подписи обычно дороже ожидаемой выгоды от мошенничества, и на этом допущении держится очень многое.

Разумеется, когда встаёт вопрос крупной сделки, нужны дополнительные верифицирующие факторы.

И, кажется, подписи уже отживают своё.

https://habr.com/ru/companies/gazprombank/articles/778360/

Насколько безопасна мобильная электронная подпись и где её применять

В очередном эфире телепроекта AM Live эксперты обсудили использование электронной подписи на смартфонах и планшетах.

https://www.anti-malware.ru/analytics/Technology_Analysis/How-secure-is-mobile-electronic-signature

**Криптографически стойкие генераторы псевдослучайных чисел ** Статья посвящена обзору криптографически стойких генераторов псевдослучайных чисел (CSPRNG), ключевого элемента в обеспечении безопасности криптографических систем. Рассматриваются различные виды криптографически стойких генераторов псевдослучайных чисел, проведено их сравнение и анализ их уязвимостей.

https://habr.com/ru/articles/779536/

Подписан закон, уточняющий порядок авторизации пользователей в сети Интернет

Глава государства подписал Федеральный закон «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации».

Федеральный закон направлен на совершенствование законодательства Российской Федерации в сфере информационных технологий и защиты информации.

Федеральным законом уточняется порядок проведения авторизации пользователей сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин.

http://kremlin.ru/acts/news/72978

Квантовое распределение ключей в оптических транспортных сетях

В современном мире, где информация стала самым ценным ресурсом, безопасность передачи данных приобретает критическое значение. Ассиметричные методы криптографии, на которых основана большая часть современных систем безопасности, смогут быть подвержены новым угрозам, связанным с развитием квантовых компьютеров. В это время на сцену выходит квантовая криптография, обещающая революцию в области защиты информации. Квантовая криптография использует законы квантовой физики для создания абсолютно защищенных способов передачи информации.

В центре этой технологии находится процесс, известный как квантовое распределение ключей (КРК). Этот процесс позволяет двум сторонам формировать у себя коррелированные битовые последовательности, которые в дальнейшем могут быть использованы сторонами как симметричные криптографические ключи. При этом никакой злоумышленник не сможет перехватить или скопировать этот ключ без обнаружения благодаря уникальным свойствам квантовых частиц, таких как фотоны, которые изменяют свое состояние при попытке измерения или копирования, тем самым сигнализируя о попытке вмешательства.

Таким образом, квантовое распределение ключей предлагает решение, устойчивое к атакам даже с использованием квантовых компьютеров. При этом даже в случае, если полноценный квантовый компьютер никогда не появится, технология принесет пользу в части автоматизации процесса выработки и распределения симметричных ключей, тем самым исключая из него человеческий фактор.

https://habr.com/ru/companies/quanttelecom/articles/778640/

Зарядки для электромобилей переведут на отечественное ПО с 2025 года

С 1 января 2025 г. быстрые зарядки для электромобилей должны будут работать на программном обеспечении, входящем в реестр отечественного ПО или реестр ПО членов Евразийского экономического союза. Соответствующий проект приказа опубликовало Минцифры на сайте нормативных правовых актов 8 декабря.

По данным сервиса 2Chargers, в России сейчас всего около 4500 электрозаправок, 779 из которых быстрые. Установка быстрых ЭЗС субсидируется государством: компенсируется до 60% (т. е. до 1,86 млн руб.) стоимости зарядки и до 30% (до 900 000 руб.) техприсоединения к электросети. По данным Минэкономразвития, в 2022 г. в России было установлено 439 быстрых и 783 медленные зарядки. План на 2023 г. – 659 и 2163 ЭЗС соответственно. Почти 3000 зарядных станций для электромобилей должны быть созданы в пилотных регионах РФ до конца 2024 г., следует из материалов к проекту бюджета РФ на 2024 г. и плановый период 2025–2026 гг.

**Госдума одобрила штрафы до ₽1,5 млн за нарушение закона о биометрии ** Госдума РФ в третьем чтении приняла законопроект, вводящий административную ответственность за нарушение требований по сбору и размещению биометрических данных граждан.

https://www.anti-malware.ru/news/2023-12-06-114534/42420

Суд в Москве впервые взыскал компенсацию за использование чужого видео с дипфейком

Речь идет о рекламном ролике с участием человека с лицом Киану Ривза

В России впервые взыскана компенсация за использование чужого видео, созданного с применением дипфейк-технологии. Прецедентное решение вынес арбитражный суд столицы, сообщает ТАСС.

Суд обязал взыскать с ООО «Бизнес-аналитика» в пользу ООО «Рефейс технолоджис» компенсацию в размере полумиллиона рублей, а также расходы по уплате госпошлины в размере 13 тысяч рублей за нарушение исключительного права на видеоролик. Дело было рассмотрено в упрощенном порядке. Решение подлежит немедленному исполнению.

https://www.bfm.ru/news/539508

— Кем вы видите себя через пять дней? — Дней? — Такое время.

(с) Страдающее Средневековье

А вот я уже точно знаю, что буду делать 20 июня следующего года =)

**У Москвы появится региональный сегмент Единой биометрической системы ** Это поможет избежать перегрузки федеральной базы данных, ошибок и задержек. На практике, по словам экспертов, ничего не изменится, а столице придется передавать свои наработки в федеральную базу

https://www.bfm.ru/news/539461

В Минцифры рассказали о порядке льготного кредитования IT-компаний в 2024 году

Программа льготных кредитов на разработку и внедрение продуктов для IT-компаний продолжит действовать в 2024 г. Она потребовала дополнительного финансирования из-за повышения ключевой ставки, но средства были найдены. Об этом сообщила пресс-служба Министерства цифрового развития, связи и массовых коммуникаций РФ.

«В связи с решениями Центробанка о повышении ключевой ставки в этом году программа потребовала допфинансирования. Минцифры нашло необходимые средства», – рассказали в ведомстве.

Там пояснили, что из-за роста ключевой ставки перед банками образовалась определенная задолженность, но она будет поэтапно погашаться и будет полностью закрыта с учетом планируемых к доведению средств.

«В ближайшее время первая волна платежей в адрес банков завершится и будет произведен перерасчет. Платить по рыночной ставке IT-компаниям не придется», – заявили в пресс-службе.

На субсидирование ставки в 2024 г. бюджетом предусмотрено более 4 млрд руб. Компании, которые ранее получили извещение о переводе на коммерческую ставку, сохранят льготные условия.

В мае правительство РФ внесло изменения, упрощающие получение льготного кредитования и расширяющие условия его использования. В частности, на кредиты со ставкой до 3% годовых смогли рассчитывать аккредитованные IT-компании, которые не пользуются налоговыми льготами. Раньше это условие было обязательным для получения поддержки. Кроме того, отменено обязательство по индексации заработной платы сотрудникам, но при этом разрешена выплата премий за счет льготного кредита. Компании также получили возможность возмещать за счет кредита расходы, которые понесли ранее.

Программа льготного кредитования IT-компаний действует в России с 2019 г. За это время были поддержаны 163 проекта с общим кредитным портфелем свыше 80 млрд руб.

1 декабря Минцифры выступило с заявлением о возможном продлении программы льготной ипотеки для IT-специалистов после 2024 г. Мера поддержки реализуется полтора года, и за это время было оформлено 38 500 кредитов на общую сумму 337 млрд руб. Средняя ставка по ним составила 4,2%.

**Вышла OpenSSL 3.2.0 с новыми криптоалгоритмами и поддержкой TCP Fast Open ** Вышла новая версия OpenSSL, криптографической библиотеки с открытым исходным кодом, получившая номер 3.2.0. Разработчики отмечают ряд важных улучшений и нововведений.

https://www.anti-malware.ru/news/2023-11-27-111332/42359

Требования к софту, претендующему на госзакупки, могут ужесточиться

Минцифры РФ и российские вендоры софта готовят для госреестра изменение правил, а также новые требования к разработкам, которым отдается предпочтение при госзакупках. Согласно плану, новшества вступят в силу в I квартале 2024 года.

Как выяснил «Ъ», речь идет о внесении поправок в постановления правительства 325 и 1236, регулирующие включение продуктов в реестр отечественного софта. Таких участников будут разделять на две основные категории: удовлетворяющие новым требованиям и не соответствующие им.

Поставщики, рассчитывающие на преференции на рынке госзаказа, должны будут дополнительно обеспечить следующее:

• совместимость продуктов с отечественными процессорами и браузерами;
• «достаточный уровень переработки» софта, основанного на opensource-компонентах (критерии оценки глубины, видимо, будут определены в рабочем порядке);
• полную техподдержку;
• обновление из репозиториев, расположенных на территории России;
• инфраструктуру для обучения пользователей работе с софтом (возможна аренда).

Для каждой категории софта (СУБД, ОС, офисные пакеты, ИБ-продукты и т. д.) будут введены свои дополнительные требования. Те, кто не в состоянии гарантировать соответствие, смогут рассчитывать только на налоговые льготы.

Согласно пока действующим правилам, включение софта в госреестр возможно при соблюдении ряда условий, в частности:

• правообладатель зарегистрирован в РФ;
• доля российских акционеров составляет как минимум 50%;
• сумма выплат зарубежным правообладателям не выше 30%.

Заметим, за последние годы Минцифры не раз пыталось ужесточить требования к отечественным программным продуктам, на которые теперь вынуждены полагаться госструктуры. Похоже, что на сей раз предложенные изменения станут новой нормой.

НКЦКИ опубликовал перечень крупных российских конференций по ИБ на 2024 год.

Календарь: https://safe-surf.ru/specialists/conference/ Новость: https://safe-surf.ru/specialists/news/701746/

Мошенники выманивают ключи к аккаунтам Госуслуг, притворяясь техподдержкой

Обязательная двухфакторная аутентификация (2FA) на Едином портале госуслуг РФ усложнила задачу взломщикам аккаунтов. Злоумышленники теперь от имени службы поддержки сообщают о проблемах, а потом через звонок выманивают одноразовые коды доступа.

https://www.anti-malware.ru/news/2023-11-29-114534/42377

Тинькофф запустил небрендированную авторизацию на основе Tinkoff ID для партнеров

Тинькофф запустил новое решение для партнеров по авторизации пользователей на основе Tinkoff ID. Сервис помогает компаниям настроить самый популярный и удобный способ входа на сайт или в мобильное приложение — с помощью номеру телефона — на базе технологий Tinkoff ID, с возможностью настройки под собственный бренд. Это первый подобный сервис на рынке, совмещающий себе удобство входа по номеру телефона и антифрод-технологии.

https://www.tinkoff.ru/about/news/30112023-tinkoff-launched-unbranded-authorization-based-on-tinkoff-id-for-partners/

**Новый вектор принудительной аутентификации сливает NTLM-токены Windows ** Специалисты Check Point выявили вектор «принудительной аутентификации», с помощью которого злоумышленники могут слить токены NT LAN Manager (NTLM) пользователя Windows.

https://www.anti-malware.ru/news/2023-11-28-111332/42368

Обязательная авторизация через российские учётные записи отложена до 2025 года

Госдума во втором и третьем чтениях приняла закон о продлении до 1 января 2025 г. периода, в течение которого на российских цифровых платформах разрешается регистрация и авторизация с помощью зарубежных сервисов, в том числе иностранной электронной почты. Об этом сообщили на сайте нижней палаты парламента.

https://www.vedomosti.ru/technology/news/2023/11/30/1008641-gosduma-prodlila-do-2025-goda-vvedenie-novogo-poryadka

Минцифры возобновит выдачу грантов IT-разработчикам

Минцифры с 2024 г. возобновит выдачу грантов IT-разработчикам. Об этом сообщил журналистам министр Максут Шадаев в кулуарах форума TAdviser Summit 29 ноября. Он уточнил, что в принятом законе о бюджете средства на гранты заложены. По его словам, размер софинансирования проектов со стороны государства будет снижен с 80 до 50%. На 2025 г. также планируется принятие новой программы выделения грантов, добавил он.

«Деньги на 2024 г. есть. Со следующего года мы возобновляем две программы (грантовые. – “ИФ”) – по линии фонда Бортника (Фонд содействия развитию малых форм предприятий в научно-технической сфере, занимается посевными инвестициями на начальной стадии) и ИЦК (индустриальные центры компетенций)», – сказал Шадаев (цитата по «Интерфаксу»).

Минцифры в середине июля 2023 г. приостановило выдачу грантов в IT-сфере на новые проекты, а также занялось оценкой компетенций сотрудников Российского фонда развития информационных технологий (РФРИТ), сообщалось в официальном Telegram-канале ведомства. Такое решение министерство приняло на фоне задержания по подозрению в получении взятки экс-замминистра Максима Паршина. Он курировал в Минцифры работу РФРИТ, отвечающего за выбор приоритетных проектов в сфере импортозамещения ПО и выделение господдержки разработчикам этих решений. Ведомство также планировало провести проверку принятых решений о выдаче грантов в 2022–2023 гг. и «отменить проекты, по которым есть сомнения».

В 2019–2022 гг. РФРИТ поддержал через гранты более 130 IT-проектов на сумму 10,4 млрд руб. На 2024 г. на гранты в бюджете заложено 2,4 млрд руб.

В начале ноября министр заявил на CNews Forum о том, что Минцифры отказалось от выделения прямых грантов IT-компаниям на разработку нового ПО. На тот момент позиция министерства заключалась в том, чтобы оставить только посевные инвестиции со стороны Фонда Бортника, а также г​​ранты крупным корпоративным заказчикам под большие проекты в сфере замещения иностранных продуктов.

**Пароль не нужен. Разбиение файла на зашифрованные фрагменты по схеме Шамира ** После того как Google отказалась от паролей и перешла на Passkey по умолчанию создаётся впечатление, что концепция текстовых паролей (парольных фраз) сама по себе устарела. И действительно, в некоторых случаях можно добиться достаточного уровня безопасности без паролей вообще.

Например, простенькая утилита horcrux (крестраж*) разбивает файл на несколько зашифрованных частей (например, пять), причём для дешифровки и восстановления исходного текста не нужен пароль, а нужно найти и соединить несколько из этих частей (например, три). Предполагается, что сами отдельные части хранятся у разных людей в разных местах и/или надёжно спрятаны, например, в разных местах дома, сейфах, банковских ячейках и т. д.

https://habr.com/ru/companies/globalsign/articles/776520/

*Крестраж — волшебный артефакт, созданный с помощью тёмной магии, из вселенной Гарри Поттера.

В России появится первый отечественный платежный терминал

Первый российский платежный терминал может появиться уже в 2024 г., его разработкой занимаются «Элемент-технологии». Об этом на сессии форума «Электроника России» 28 ноября рассказал директор по продуктам «Элемент-технологий» Александр Соколов. По словам источника в компании, разработчик уже договорился о поставке терминалов с одним из крупнейших российских банков.

«Мы будем первой компанией в России, которая разработает отечественный платежный терминал. Уже в следующем году представим готовое решение. Причем линейка будет полной: классические POS-терминалы, андроидные решения и встраиваемое оборудование», – заявил Соколов.

**Основы Identity and Access Management (IAM) в архитектуре приложений ** С каждым годом мы становимся свидетелями все большего количества сбоев в системах безопасности, утечек данных и хакерских атак даже на самые маленькие проекты.

Identity and Access Management (IAM) выступает как наша первая линия обороны. Оно не просто защищает наши данные, но и гарантирует, что правильные люди имеют доступ к нужной информации в нужное время. Каждая вторая транзакция в мире происходит онлайн, безопасность становится не просто приоритетом, а необходимостью.

IAM — это комплексная система, охватывающая многие процессы, которые организация использует для управления идентификацией пользователей и их доступом к различным ресурсам.

https://habr.com/ru/companies/otus/articles/775994/

В развитие российского кибербеза хотят вложить свыше 25 млрд рублей На развитие государственных систем в области кибербезопасности «Мультисканер», «Антифишинг», «Антифрод» и других, а также защиты государственных информационных систем (ГИС) планируется направить более 25 млрд руб. до 2030 года. В Минцифры рассчитывают, что это позволит заместить зарубежные решения и повысить эффективность действующих систем. Но участники рынка считают запланированные вложения завышенными, подчеркивая, что результат при этом далеко не гарантирован.

Минцифры намерено инвестировать в развитие кибербезопасности около 25,2 млрд руб. до 2030 года, следует из материалов к нацпроекту «Экономика данных». Так, 7,1 млрд руб. будут направлены на развитие новой системы противодействия компьютерным атакам «Мультисканер» на базе ГосСОПКА (госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак, контролируется ФСБ через Национальный координационный центр по компьютерным инцидентам, НКЦКИ).

На развитие госсистем «Антифрод» (противодействие мошенническим звонкам, Роскомнадзор) и «Антифишинг» (блокировка мошеннических сайтов, Минцифры) в целом пойдет 3,7 млрд руб., а на внешнюю оценку защищенности ключевых ГИС — 2,4 млрд руб. Еще 12 млрд руб. направят на системы обеспечения кибербезопасности (криптография, средства защиты и т. д.). Собеседник “Ъ” в IT-отрасли объясняет, что речь идет о субсидиях доверенным центрам разработки при Минцифры, «подобные проекты закрыты для широкого рынка из-за жестких требований».

В Минцифры рассчитывают, что в результате к 2030 году все иностранные средства защиты получат российские аналоги, «Мультисканер» сможет обрабатывать более 90 млн файлов в год, а число инцидентов, связанных с нарушениями безопасности ключевых ГИС, снизится до нуля.

В министерстве “Ъ” уточнили, что «проект еще в работе» и показатели могут измениться. В Роскомнадзоре не ответили “Ъ”.

О разработке системы «Мультисканер» в Минцифры объявили в конце октября. Она станет «аналогом бесплатного американского сервиса VirusTotal, анализирующего файлы и ссылки на предмет вредоносных программ», пояснял замминистра Александр Шойтов. Разработкой системы занимается Национальный технологический центр цифровой криптографии (создан в 2023 году Минцифры и ФСБ). Макет системы, по словам чиновника, запустят до конца года, в 2024 году планируется дополнить систему новыми функциями, а после 2025 года она «заработает в полную силу».

Госсистемы «Антифрод» и «Антифишинг» тоже запустились недавно — в январе и июле соответственно. В презентации Минцифры отмечается, что в результате внедрения «Антифрода» число мошеннических звонков в 2023 году снизилось на 38%, до 62,7 млн. Но количество скомпрометированных персональных данных в этом году растет: 303 млн записей против 276 млн за весь 2022 год.

В то же время число киберинцидентов снижается. По данным НКЦКИ, на критической информационной инфраструктуре (КИИ) за прошлый год их отмечено 170 тыс., за январь—сентябрь 2023 года — 46,7 тыс.

Стоимость софта в розничных и корпоративных продажах выросла на 10–40%** ** О росте цен с начала года вплоть до 40% на отдельные виды корпоративного софта и оборудования «Ведомостям» рассказали представители консалтинговой компании по внедрениям IT-решений «Рексофт консалтинг» и разработчика IVA Technologies. Цены на ПО выросли и в рознице, но не более чем на 10%, отмечают представители Ozon и «М.видео-Эльдорадо».

В первую очередь речь идет о специализированных решениях, которыми пользуются сами разработчики, уточнил заместитель гендиректора IVA Technologies Максим Смирнов. В частности, софт среды разработки теперь обходится компаниям примерно в 100 000 руб. за лицензию, ПО для работы дизайнеров – от 60 000 руб. за лицензию, а ПО для управления разработкой – от 3 млн руб. за лицензию, привел примеры топ-менеджер.

Технология единого входа: как работает SSO

Казалось бы, что может быть проще, чем один вход для всех сервисов? Но за этой кажущейся простотой скрываются сложные технические детали.

Концепция SSO не появилась вчера, она развивалась на протяжении многих лет. Эта идея начала набирать обороты в эпоху, когда интернет-сервисы стали частью нашей повседневной жизни, и задача управления множеством учетных записей стала более острой.

https://habr.com/ru/companies/otus/articles/776170/

**Система аутентификации: сделай сам vs возьми готовое ** Разработка системы аутентификации может показаться начинающему разработчику простой задачей. Пользователь создает учетную запись, данные сохраняются, и в дальнейшем по логину-паролю происходит вход. Но когда начинаешь копать глубже, система аутентификации, точно луковица, открывает всё новые слои. В статье разбираются некоторые общие проблемы, связанные с этим, и оцениваются возможные способы реализации.

https://habr.com/ru/companies/sberbank/articles/775840/

**Аутентификацию Windows Hello по пальцу можно обойти на ряде ноутбуков ** Исследователям в области кибербезопасности удалось обойти аутентификацию Windows Hello по сканированию отпечатка пальца на ноутбуках Dell Inspiron, Lenovo ThinkPad и Microsoft Surface Pro X. Для этого использовался ряд уязвимостей во встроенных датчиках сканирования.

https://www.anti-malware.ru/news/2023-11-23-111332/42343

Постквантовый алгоритм «Шиповник» получил открытую реализацию

Российские компании с экспертизой в области криптографии и квантовых технологий объединяют усилия для предотвращения угрозы криптографическим системам со стороны квантовых компьютеров.

https://www.anti-malware.ru/news/2023-11-17-111332/42310

Алкоголь и сигареты в обмен на биометрию: киберпанк, который мы заслужили

В центре биометрических технологий заявили, что уже в следующем году в крупных сетевых магазинах может быть внедрена система подтверждения возраста покупателя через данные Единой биометрической системы. То есть для приобретения алкоголя или никотиносодержащей продукции больше не потребуются права или паспорт: достаточно будет один раз сделать селфи в приложении «Госуслуги Биометрия», и можно смело отправляться в магазин.

https://wylsa.com/alkogol-i-sigarety-v-obmen-na-biometriyu-kiberpank-kotoryj-my-zasluzhili/

“Схватка двух йокодзун” (с)

__Владелец российской мобильной ОС «Аврора» «Ростелеком» просит Минцифры проверить правомерность включения в реестр отечественного софта ОС «Ред Софта», работающей на базе открытого кода Android. Эксперты опасаются, что в коде используются «закладки» американских разработчиков, которые «могут навредить безопасному использованию устройства». __ https://www.kommersant.ru/doc/6351196

Топ-10 паролей 2023 года до сих пор содержит всем известные комбинации

NordPass опубликовал уже пятый список самых распространённых паролей, теперь за 2023 год. По какой-то причине пользователи не хотят отходить от привычных практик и используют старые добрые комбинации «123456» и «password».

https://www.anti-malware.ru/news/2023-11-20-111332/42316

Госкорпорация «Росатом» обеспечит технологическую независимость критической информационной инфраструктуры к 2030 году

«Росатом» к 2030 г. обеспечит полный переход объектов критической информационной инфраструктуры (КИИ) на доверенное оборудование. Отраслевые планы перехода будут утверждены до 1 сентября 2024 г, сказал директор по информационной инфраструктуре госкорпорации «Росатом» Евгений Абакумов.

В ноябре 2023 г. Правительство России определило порядок и срок перехода субъектов КИИ на российское доверенное оборудование. Он начнется 1 сентября 2024 г. и продлится до начала 2030 г. При этом, согласно постановлению, переход значимых объектов КИИ на преимущественное применение доверенных ПАК должен быть завершен до 1 января 2025 г, а госкорпорация «Росатом» назначена ответственной за организацию такого перехода в области атомной энергии.

«Росатом в числе первых начал процесс замещения иностранного ПО и оборудования, в том числе и на значимых объектах КИИ. Данная работа ведется с 2019 г., и за это время Госкорпорация стала полигоном для апробации отечественных решений. Наработанная экспертиза позволяет нам не только успешно пройти этот путь внутри «Росатома», но и делиться опытом с другими отраслями. К концу текущего года мы обеспечим технологический суверенитет на уровне ПО на всех значимых объектах КИИ. Уверен, что начатый путь позволит нам прийти к тому, что к 2030 г. все объекты критической инфраструктуры будут переведены на отечественные программно-аппаратные комплексы», — сказал Евгений Абакумов.

Помимо организации перехода в атомной отрасли, «Росатом» играет существенную роль в реализации всего процесса в целом. Евгений Абакумов добавил, что разработкой доверенных ПАК занимается Научно-производственное объединение «Критические информационные системы». В рамках федерального плана предприятие будет аккумулировать информацию обо всех программно-аппаратных комплексах, не являющихся доверенными. С 2025 г. эксперты «Росатома» будут формировать и предоставлять прогноз производства доверенных ПАК в России на двухлетнюю перспективу.

Биометрическая идентификация и аутентификация: продукты компании Аладдин

Продукты компании Аладдин можно использовать для идентификации и аутентификации пользователей по биометрическим характеристикам при доступе в информационные системы. Для реализации различных сценариев есть как устройства, так и программное обеспечение.

https://www.anti-malware.ru/analytics/Technology_Analysis/Biometric-identification-and-authentication-Aladdin-products

Рособрнадзор намерен перевести все системы ЕГЭ на отечественное ПО в 2026 году

Рособрнадзор планирует перевести все системы Единого государственного экзамена (ЕГЭ) на отечественное программное обеспечение (ПО) в 2026 г., сообщил замруководителя ведомства Игорь Круглинский.

«Работа эта большая, сложная и объемная. Планируем ее завершить в 2026 г., но уже в 2024 г. в нескольких субъектах мы апробируем новое программное обеспечение, которое используется в пунктах проведения экзаменов», – сказал Круглинский, его слова привела пресс-служба.

1 сентября министр просвещения РФ Сергей Кравцов сообщил президенту России Владимиру Путину, что все российские школы полностью перешли на отечественное ПО. Министр отметил, что переходу помог опыт Москвы, Московской области и других субъектов РФ. Также во всех регионах успешно внедрили Федеральную государственную информационную систему (ФГИС) «Моя школа».

При этом в начале ноября Минцифры России предложило приостановить централизованную закупку лицензий офисного и антивирусного программного обеспечения (ПО) для федеральных органов исполнительной власти (ФОИВ) на весь 2024 г.

Уточнялось, что ФОИВ «не вправе самостоятельно осуществлять закупку лицензий ПО для собственных нужд», в то время как Минцифры не может осуществить закупку «в связи с отсутствием в нормативных правовых актах РФ указания на источник финансирования».

Обновил подборку НПА по безопасности КИИ. Добавил:

• Методические рекомендации Банка России №14-МР от 26.10.2023 по информированию ФСБ России о компьютерных инцидентах

• Методические рекомендации Банка России №15-МР от 26.10.2023 по взаимодействию кредитных организаций с МВД России и ФСБ России

• Приказ ФСТЭК России №177 от 01.09.2023 «О внесении изменений в Порядок ведения реестра ЗО КИИ РФ, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. №227»

• Проекты предварительных национальных стандартов Российской Федерации

• «КИИ. Термины и определения»

• «КИИ. Доверенные ПАК. Общие положения»

• «КИИ. Доверенные интегральные микросхемы и электронные модули. Общие положения»

В Москве установили первые банкоматы российского производства

Об этом сообщает мэр Москвы Сергей Собянин в своем телеграм-канале.

Аппараты на 80% состоят из отечественных компонентов, оснащены собственным программным обеспечением. Серийный выпуск российских банкоматов начался в индустриальном парке «Руднево» в мае этого года.

В прошлом году зарубежное оборудование и программное обеспечение для банковской сферы попали под санкции, их поставки прекратились.

По словам Собянина, первые устройства уже получили три банка-партнера. Мощность завода позволяет произвести 15 тысяч банкоматов в год.

Всего в России более 190 тысяч банкоматов.