Похоже, основные баги скрипта, сравнивающего версии реестров сертифицированных СрЗИ, отловлены. Скрипт, правда, не сохранил версию реестра от 28 марта (а она точно была), но эта ошибка уже исправлена и больше не должна повториться.
Пока из нерешённого - периодическое отсутствие доступности сайта ФСТЭК России при запуске скрипта (возможно - дело в IP-адресе, с которого он обращается к сайту) и не самое удобное отображение результатов сравнения.
Из наблюдений:
реестр обновляется по пятницам, причём еженедельно;
обновляется каждый раз примерно полтора десятка сертификатов;
оказывается, существовал Межсетевой экран «Гарда FW», но сейчас разработчик ООО «ТехАргос» переименовал его в «Агрос FW»;
количество сертифицированных СУБД продолжает расти.
Давно хотел как-то автоматизировать отслеживание изменений в реестре сертифицированных ФСТЭК России средств защиты информации и вот, наконец, дошли руки доделать скрипт, который:
проверяет наличие нового файла с перечнем сертификатов на сайте https://reestr.fstec.ru/reg3 (по дате обновления);
скачивает новый файл при наличии;
проводит построчное сравнение версий файла;
оформляет результат сравнения в виде списка с тремя группами: Исключены/Добавлены/Изменены.
Заодно добавляются ссылки на карточки соответствующих СрЗИ в Хабе Злонова (при наличии).
Скрипт пока вряд ли лишён ошибок, да и над представлением результата можно ещё поработать, но что-то уже и сейчас он позволяет быстро выявить без ручного анализа.
Например:
в марте в реестре появились новые сертифицированные SIEM-система и две СУБД;
Солар Секьюрити сменил форму собственности с ООО на АО;
техподдержка для ОС Аврора теперь заявлена до 31.12.2030, а для Аврора Центр - до 31.12.2026;
сертификат на Libercat Certified переоформлен с ООО «БЕЛЛСОФТ» на АО «АКСИОМ».
Пятый алгоритм HQC дополнит стандарты NIST по постквантовому шифрованию
Национальный институт стандартов и технологий США (NIST) объявил о включении пятого алгоритма — HQC — в свой портфель постквантовой криптографии (PQC). Этот алгоритм станет резервным для ML-KEM и предназначен для механизмов encapsulation (KEM).
Более трети опрошенных россиян готовы отказаться от традиционных паролей
«Лаборатория Касперского» совместно с «Почта Mail» и Hi-Tech Mail выяснили, как люди относятся к беспарольным способам авторизации — одноразовым и QR-кодам, использованию отпечатков пальца или скана лица и другим способам для входа в аккаунты.
37% атак на бизнес начались с кражи логинов: число инцидентов растёт
В 2024 году 37% успешных атак на российские компании начались с компрометации учётных данных сотрудников — почти вдвое больше, чем в 2023 году (19%). Одной из причин роста стал всплеск утечек данных, из-за которого злоумышленники получили доступ к корпоративным логинам и паролям.
С таким предложением к правительству обратилась Ассоциация разработчиков и производителей электроники. В отрасли считают, что такая мера поддержки нужна на случай возвращения ушедших из России иностранных вендоров
Ассоциация разработчиков и производителей электроники (АРПЭ) обратилась к правительству с предложениями по поддержке российских компаний на случай возвращения западных игроков. Свои идеи ее представители изложили в письме, которое направили премьер-министру Михаилу Мишустину в минувший четверг. Копия есть у РБК. Введение 30-процентной импортной пошлины — лишь одна из мер, о которой просят представители отрасли, но, пожалуй, самая впечатляющая.
Автоматическое подписание документов электронной подписью используют там, где требуется пакетная подпись документов без участия сотрудника. Это могут быть как небольшие сайты, например по продаже билетов в театр и музей, или порталы с онлайн-обучением при отправке сертификатов о прохождении курсов, так и крупные банковские приложения, например, при генерации выписок по счетам, форм договоров или квитанций. В ЕСИА, СМЭВ, ГИС ЖКХ и других государственных информационных системах также реализована автоматическая подпись.
Очередной обзор изменений в законодательстве от коллег из УЦСБ - за февраль 2025 года. По тексту для упоминаемых НПА добавлены ссылки на карточки в Хабе Злонова.
АРПП Отечественный софт представила 680 решений для защиты КИИ
Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» передала в Минцифры и другие государственные ведомства перечень российских программных решений, способных заменить зарубежное ПО на объектах критической информационной инфраструктуры (КИИ).
В списке указаны сведения о программных продуктах, возможных сферах их применения, опыте внедрения, а также наличии сертификатов от регуляторов.
По данным АРПП «Отечественный софт», на 1 января 2025 года лишь 20% объектов КИИ полностью перешли на отечественное программное обеспечение. Еще 15% запланировали миграцию в первой половине 2025 года.
«Для ускоренного перехода критической инфраструктуры на российское ПО мы направили в Минцифры России и другие ведомства перечень из 680 отечественных решений, способных заменить иностранное программное обеспечение. В нем содержатся данные о продуктах, сферах их применения, опыте внедрения и наличии сертификатов ФСТЭК», — говорится в письме, подготовленном ассоциацией.
В документе также отмечается, что предоставленная информация может быть полезна при реализации Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Указа Президента РФ № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ».
Помимо Минцифры, копии письма были направлены в Минпромторг, Минэкономразвития, Минобрнауки, Минпросвещения, Минстрой, Минздрав, ФСТЭК России, а также в Департамент информационных технологий Москвы, ФГАУ НИИ «Восход», ФГБУ «ЦЭКИ», АНО «Центр компетенций по импортозамещению в сфере ИКТ», АНО «Цифровая экономика» и Ассоциацию КП ПОО.
Впервые АРПП «Отечественный софт» составила перечень программных продуктов для объектов КИИ в 2020 году. С 2022 года список обновляется ежегодно. За этот период его объем увеличился почти в четыре раза.
Российский сервис разведки утечек данных и мониторинга даркнета DLBI провел ежегодное исследование наиболее популярных у интернет-пользователей паролей. В новом исследовании были проанализированы 6,1 млрд уникальных учетных записей (пар электронная почта/пароль), из них около 581 млн новых, появившихся в различных утечках в течение 2024 г.
Сбер начал внедрять отечественную систему удаленного доступа
Сбер внедрил новую систему удалённого доступа для сотрудников, работающих дистанционно, заменив её на отечественное решение Remote Access VPN. Проект реализуется совместно с компаниями «Амикон» и «ИТ-Экспертиза».
Remote Access VPN представляет собой виртуальную частную сеть (VPN), обеспечивающую защищённое соединение.
Технология шифрует передаваемые данные, снижая риск их перехвата и несанкционированного доступа, что позволяет повысить безопасность удалённой работы.
Новая система охватывает всю корпоративную инфраструктуру банка, включая центральный офис и региональные филиалы. Одним из ключевых требований при её разработке стала совместимость с различными операционными системами.
Google добавила поддержку постквантовых алгоритмов шифрования в Cloud KMS
Компания Google объявила о внедрении стандартов NIST в области квантово-устойчивой криптографии (PQC). Поддержка двух из них добавлена в облачный сервис управления ключами (KMS), третий будет реализован позднее, но в этом году.
Дипфейки в России могут признать обстоятельством, отягчающим вину
В Минцифры России рассматривают возможность закрепления на законодательном уровне еще одного обстоятельства, отягчающего наказание за совершение преступления, — использование дипфейк-технологий.
Оплата по биометрии заработает на всех станциях столичного метро до конца года
Платежный сервис с биометрией заработает на всех турникетах в столичном метрополитене до конца 2025 года. Об этом сообщает РИА Новости со ссылкой на Дептранс.
В ведомстве рассказали, что для расширения технологии и поддержки высокой скорости работы в вестибюлях станций появится дополнительное оборудование отечественного производства. При оплате по биометрии пассажирам не понадобятся карты, телефоны или наличные деньги. Также такой способ предполагает самые низкие тарифы на проезд. Система имеет банковский уровень защиты, все данные зашифрованы.
С момента запуска сервиса с биометрией в Москве им воспользовались более 140 миллионов раз, а каждый рабочий день по биометрии совершают свыше 160 тысяч проходов.
Производственные мощности по выпуску смартфонов и планшетов в России позволяют выпускать около 100 тысяч устройств в год, однако их загрузка составляет лишь 20%. По оценке Минпромторга, фактический уровень недозагрузки может быть даже выше.
Как сообщили «Коммерсанту» в холдинге Fplus, совокупные производственные мощности российских компаний позволяют выпускать до 500 тысяч мобильных устройств в год, при этом в отрасли задействованы порядка десяти производителей.
Вице-президент холдинга «Рикор» Сергей Куприянов отметил, что объем поставок российских мобильных устройств в 2024 году остался на уровне 2023 года.
По данным Минпромторга, в реестре министерства зарегистрировано 25 моделей российских смартфонов и 79 планшетов, из которых 50–60 тысяч устройств работают на операционной системе «Аврора». В ведомстве также отметили, что существующие мощности позволяют нарастить производство до 1 миллиона устройств в год.
Несмотря на низкую загрузку, сами производители электроники не рассматривают это как проблему. По их словам, производственные линии легко адаптируются для выпуска другой продукции, такой как серверы или системы хранения данных.
В то же время, как сообщили «Коммерсанту» представители двух производителей, на 2025 год зафиксирован значительный рост числа заказов. Так, в компании ЦТС объем заказов увеличился в 2,5 раза. О росте спроса также заявили в GS Group и «Аквариус».
По данным GS Group, общий объем российского рынка смартфонов в количественном выражении снизился на 3%, но при этом его денежный эквивалент вырос на 6%. Лидирующие позиции занимают бренды Xiaomi, Tecno, Infinix, Apple, Samsung и Realme.
Сегмент планшетов, напротив, демонстрирует рост: по данным «М.Видео – Эльдорадо», их продажи в России увеличились на 22% в количественном выражении. Наибольшим спросом пользуются устройства Huawei, Honor, Samsung, Redmi и Apple.
Россияне смогут использовать биометрию при посадке на поезд
Воспользоваться услугой можно будет после того, как сервис протестируют в закрытом режиме в 2025 году
Правительство разрешило применять биометрию для посадки на поезд, если у железнодорожного перевозчика есть такая техническая возможность. Остальные способы посадки на поезд также сохраняются, пишет «Интерфакс».
Воспользоваться услугой смогут пользователи Единой биометрической системы (ЕБС) после того, как сервис протестируют в закрытом режиме в 2025 году.
Таким образом, с запуском сервиса у пассажиров поездов появится возможность отправляться в путешествие, используя свои биометрические данные. При этом биометрия станет альтернативой предъявлению бумажного билета или паспорта, но не заменит их. Пассажир всегда сможет выбрать наиболее предпочтительный способ получения услуги.
ЕБС — государственная информационная система, обеспечивающая сбор биометрических персональных данных (фото лица и записи голоса), их хранение и использование для аутентификации и идентификации пользователей для получения гражданами государственных услуг и доступа к банковским сервисам.
Импорт электроники в Россию упал впервые за два года. Поставки сократились до 3%. Об этом пишет газета «Коммерсант», ссылаясь на участников рынка. По их словам, раньше сокращение поставок было только в 2014 и 2022 годах, и причиной тому в основном были санкции со стороны США и ЕС. Теперь импорт сократился из-за высокой ключевой ставки Центробанка. Еще одна причина — проблемы с проведением платежей в Китай.
Эксперты указывают: спрос на новую бытовую технику в России сокращается, при этом спрос на подержанный товар вырос почти в два раза. Они прогнозируют, что будет расти спрос и на локализованную электронику, так как она стоит дешевле. При этом иностранные производители в России будут в выигрыше, так как кредитуются в Европе или Китае под меньшую ставку.
7 из 10 москвичей поддерживают верификацию в сервисах аренды электросамокатов через Mos ID
Большинство москвичей поддерживают аренду электросамоката только после прохождения верификации через Mos ID. В опросе сервиса по поиску работы SuperJob приняли участие 1600 представителей экономически активного населения Москвы. Об этом CNews сообщили представители SuperJob.
Google Chrome научился самостоятельно менять украденные пароли на сторонних сайтах
В тестовой Canary-сборке браузера Google появилась функция замены скомпрометированных паролей на сайтах. ИИ прочёсывает базы данных украденных логинов и паролей и, находя совпадения, предлагает заменить его. С соглашения пользователя алгоритм генерирует новую комбинацию и меняет её на сайте. Включить опцию можно в разделе «Экспериментальные функции».
Безопасность гарантирует система сверки хеш-префиксов на стороне пользователя. Ни пароли, ни полные хеши третьей стороне не передаются.
reCAPTCHA — не преграда для ботов, зато собирает кучу данных о юзерах
На YouTube опубликован ролик, призванный доказать, что тесты reCAPTCHA v2 и v3 плохо защищают от ботов и используются Google для слежки и сбора пользовательских данных с целью персонализации рекламы.
В рамках ежегодного исследования «СерчИнформ» выяснила, успевают ли российские организации перейти на отечественную ИТ-инфраструктуру. В 2024 г. в России лишь 2% организаций успели полностью завершить переход на отечественные ОС и БД. Это следует из результатов опроса «СерчИнформ» об уровне информационной безопасности в компаниях России. Респондентами стали владельцы и руководители бизнеса, ИБ-специалисты коммерческих и государственных организаций различного масштаба. Об этом CNews сообщили представители «СерчИнформ».
В 2023 г. о планах начать переход на отечественные ОС и БД заявляли 37% государственных организаций, в 2024 г. больше половины перешли от слов к делу. Так, по данным исследования, проведенного с сентября по ноябрь 2024 г., 56% государственных организаций были активно заняты импортозамещением иностранного софта. Еще 38% планировали начать в ближайшее время. Полностью завершили переход лишь 2%.
Что касается коммерческого сектора, то полностью завершили переход лишь 1% компаний. Активно заняты замещением меньше четверти (24%) и меньше половины (48%) заявили о планах начать импротозамещение. Кроме того, бизнес пока не готов отказываться от использования иностранных ОС и БД, об этом заявили 27% опрошенных.
«Разработчики не успевают адаптировать прикладное ПО под отечественные ОС и СУБД. Поэтому темпы внедрения среди заказчиков такие низкие. Заказчики не будут внедрять ОС, если на ней не работает, например, корпоративная CRM или ПО для проектирования, или ее не поддерживают средства защиты информации. Мы уже завершили адаптацию своих ИБ-решений под отечественные ОС, поэтому знаем, насколько этот процесс может быть трудоемким и долгим», – сказал Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СерчИнформ».
77% государственных компаний и 57% частных компаний в 2024 г. направили бюджеты на импортозамещение оборудования и прикладного ПО, в частности, средств защиты информации. Также 55% государственных организаций и 28% частных компаний назвали импортозамещение одной из основных причин увеличения бюджета на информационную безопасность в 2024 г.
«Не только государственные организации, но и частный бизнес пришел к пониманию, что переход на отечественное – лишь вопрос времени. Мы видим это по структуре бюджета. Да, немногие компании уже полностью перешли на отечественные технологии, подавляющее большинство занимается этим процессом прямо сейчас – сказал Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СерчИнформ».
Несмотря на все сложности, отечественное системное ПО на деле оказывается и самым выгодным с точки зрения цены (как минимум нет прямой привязки к курсу валют), а также гарантирует поддержку и является наиболее безопасным. Более того, у отечественного системного ПО есть уникальная опция кастомизации, ведь разработчик имеет тесную связь с заказчиком. Ни Microsoft, ни свободно распространяемые ОС таких условий не предоставляли».
В рамках исследования эксперты «СерчИнформ» выяснили, какие отечественные средства защиты информации уже используют в российских компаниях. Больше половины частных и государственных организаций пользуются встроенными средствами ИБ в ОС. При этом в государственном секторе в 65% организаций используют шифрование, в то время как в частных компаниях эту технологию используют меньше половины (38%). Также отличается количество компаний, внедривших DLP: система для предотвращения утечек информации внедрена в 40% частных компаний и в 27% государственных организаций.
В Москве запретили аренду электросамокатов без верификации через Mos ID
Аренда электросамоката в Москве теперь будет возможна только после прохождения верификации через Mos ID. Для этого понадобится полная учетная запись на портале mos.ru, сообщил столичный департамент транспорта.
«С этого года меры по повышению безопасности будут усилены. Для предотвращения доступа в сервис детей и подростков арендовать самокат в столице можно будет только после прохождения верификации через Mos ID», — говорится в телеграм-канале ведомства.
Дептранс также отмечает, что единая верификация «сделает поездки на СИМ удобнее и безопаснее для всех участников движения. Позволит быстрее привлекать к ответственности нарушителей ПДД».
Подтвердить вход на портал госуслуг теперь можно по упрощенной биометрии
Для доступа в личный кабинет пользователя по биометрии достаточно скачать специальное приложение и сфотографироваться. Ранее это можно было сделать с использованием загранпаспорта или при личной явке в банк. Об оптимизации процедуры сообщило Минцифры России на своем сайте.
Расширен перечень случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения. Например, теперь они могут использоваться для осуществления продажи алкогольной, табачной продукции, тонизирующих, энергетических напитков и т.д;
Банк России опубликовал рекомендации по проведению пентеста объектов информационной инфраструктуры организаций финансового рынка;
Представлена Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий;
ФСТЭК России подготовила рекомендации по повышению безопасности СрЗИ, в состав которых входят средства контейнеризации, интерпретаторы, веб-сервера и сервера приложений;
В России могут ввести продажи алкоголя и заселение в гостиницу по биометрии
В Единой биометрической системе зарегистрировались 3 млн человек. Глава Центра биометрических технологий Владислав Поволоцкий рассказал ТАСС о планах развития системы на 2025 год. По его словам, планируется внедрение подтверждения возраста по биометрии при покупке алкоголя в офлайн-магазинах.
Кроме того, рассматривается возможность внедрения системы в туристической отрасли. Например, заселять туристов в отели по биометрическим данным. Оплата по биометрии станет возможна и в наземном транспорте. Но это пока отдаленная перспектива.
По данным ВЦИОМ, в прошлом году 41% респондентов сообщил, что относится к технологии позитивно. Для сравнения: в 2023-м таких было всего 27%.
Основным местом для размещения подборок законодательных актов ещё в прошлом году стал Хаб Злонова, но уже давно существующий раздел “Безопасность КИИ и 187-ФЗ” на основном сайте всё ещё пользуется популярностью.
Мне, например, он визуально нравится больше. Проблема с ним была только в том, что раньше приходилось обновлять его вручную при выходе каждого нового документа, так что получалось делать это довольно редко.
Но, наконец, дошли руки написать скрипт, генерирующий эту страницу автоматически из базы НПА Хаба Злонова. Так что теперь частота обновлений должна, по идее, увеличиться.
Т-Банк сообщил о завершении миграции с центра сертификации Microsoft СА на отечественное решение SafeTech CA. CA (Certification Authority) является ключевым компонентом в инфраструктуре открытых ключей — выдает, приостанавливает и отзывает сертификаты, используемые внутри компании для различных технологических нужд. Таким образом, Т-Банк стал первой в стране финансовой организацией, кто отказался от иностранного CA в пользу решения российского вендора.
Переход с Microsoft СА на SafeTech CA был полностью бесшовный благодаря реализованной в отечественном продукте возможности импорта самих сертификатов и шаблонов из Microsoft СА.
Пилотный проект в кредитной организации продлился 4,5 месяца. В ходе тестирования было проверено множество различных сценариев использования СА во внутренней инфраструктуре Банка, возможности продуктового REST API в. части интеграции во внутренние бизнес-процессы, и даже возможности команды разработки вендора на предмет доработок тех или иных дополнительных функций. Было выпущено несколько тысяч технологических сертификатов для различных типов устройств и различных операционных систем Windows и Linux.
Олег Щербаков, технический директор Т-Банка:
«Замена зарубежных компонентов инфраструктуры на отечественные средства защиты информации (СЗИ) — приоритетное направление для Т-Банка. В рамках этого проекта мы рассматривали многие решения и остановили свой выбор на решении компании SafeTech. Гибкость в интеграции и настройке позволила нам сохранить текущую инфраструктуру и повысить эффективность работы за счет внедрения более оптимизированных и современных технологий».
Александр Санин, генеральный директор SafeTech Lab:
«Т-Банк еще раз подтвердил свою репутацию одного из самых технологичных банков страны, первым завершившим подобный проект миграции. Мы рады, что наше решение выполнило все поставленные задачи. И мы видим, что активно растет интерес к данной теме и нашему продукту не только со стороны кредитных организаций, но и со стороны ТЭК, государственных организаций, телекомов и т. д.».
**Google Password Manager скоро позволит удалять все пароли одной кнопкой
**
Google Password Manager скоро обзаведётся новой функциональностью и позволит пользователям Android-смартфонов разом удалить все сохранённые учётные данные при переходе на альтернативный менеджер паролей.
Не пора ли переходить на постквантовые криптоалгоритмы уже сейчас?
Авторы одного из докладов на прошедшей конференции «РусКрипто» очень четко показали преимущества криптоанализа на основе гибридных вычислений, совместно использующих традиционные и квантовые компьютеры, по сравнению с классическим криптоанализом.
Дальнейшие события прошедшего года, включающие в себя как усиление возможностей квантовых вычислений «в железе», а не только на бумаге, так и активные действия по разработке и стандартизации постквантовых криптоалгоритмов, показали, что далее игнорировать или относиться скептически к квантовым вычислениям/криптоанализу губительно.
Предлагаю вашему вниманию статью с анализом степени срочности перехода на постквантовые алгоритмы. Справедливости ради, я приведу и недавние высказывания известных экспертов-скептиков, но основная мысль статьи состоит в том, что откладывать далее переход на постквантовые криптоалгоритмы невозможно – начинать их реализацию и думать об их внедрении необходимо прямо сейчас, чтобы, скажем, через 5 лет такой переход был уже осуществлен. Иначе можем опоздать (прежде всего, из-за усиливающихся с каждым годом возможностей гибридных вычислений).
Эксперты предупреждают о лавинообразном росте дипфейк-атак
По итогам 2024 года количество атак с использованием технологий дипфейков, преимущественно голосовых, достигло десятков тысяч. Эксперты прогнозируют резкий рост подобных инцидентов в 2025 году, вплоть до увеличения их числа в несколько раз.
Представьте зал суда. Прокурор с гордостью представляет неопровержимые, как ему кажется, доказательства: отпечаток пальца, запись с камеры наблюдения, ДНК-экспертизу. Всё сходится идеально, виновность очевидна. И тут адвокат, заявляет: «Ваши доказательства подходят и к его брату-близнецу»…
Физическая биометрическая идентификация однояйцевых или монозиготных близнецов - частная задача биометрии, актуальная для систем с высокой стоимостью ошибки (например, в оборонке). По сути, задача сводится к одному вопросу - сможет ли система отличить однояйцевых близнецов друг от друга. Но каждый новый кейс сияет ярко, потому что указывает на несовершенства существующих технологий.
Эта статья — обзор ключевых биометрических технологий, таких как анализ отпечатков пальцев, распознавание лиц и радужной оболочки. Разберём, в чем сложность идентификации близнецов, рассмотрим результаты исследований и выясним, что уже работает, а что пока остаётся под вопросом.
Минтруд пополнил перечень уполномоченных органов, ответственных за организацию перехода субъектов КИИ на преимущественное применение ДПАК на принадлежащих им ЗО КИИ в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов КИИ, созданных РФ в целях осуществления государством пенсионного обеспечения, обязательного пенсионного страхования и обязательного соцстрахования).
Недвижимость россиян дополнительно защитят от мошенников
Новый законопроект Росреестра в борьбе с мошенничеством делает ставку на биометрические данные физлиц. А в Москве для противодействия злоумышленникам создадут рабочую группу из представителей органов власти и профессиональных участников рынка.
Система проверки CAPTCHA столкнулась с проблемами из-за развития искусственного интеллекта. Нейросети способны за миллисекунды решать задачи по распознаванию искаженных символов, определять объекты на изображениях и имитировать естественные действия пользователя.
Сегодняшние системы, такие как Google Vision и OpenAI Clip, распознают изображения быстрее и точнее человека. Это позволяет ботам обходить проверки, создавая фальшивые аккаунты и распространяя спам. В результате многие пользователи сталкиваются с проблемами доступа, в то время как системы остаются беззащитными перед автоматизированными атаками.
«С помощью ИИ хакерам становится легче взламывать пользователей и даже корпоративную сеть. Именно поэтому необходимо тщательно защищать ИТ-инфраструктуру. Против ИИ лучше использовать надежные отечественные программные комплексы, которые также используют машинное обучение, например Ankey ASAP, который основан на поведенческом анализе (UEBA). Такое ПО помогает своевременно выявить признаки инцидентов ИБ, а также позволяет сотрудникам предпринять меры по деактивации и сохранить данные компании в целости и сохранности», — сказала Ксения Ахрамеева, к. т. н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».
Специалисты Московского государственного университета им. М. В. Ломоносова и Российского квантового центра представили первый в стране прототип 50-кубитного квантового вычислителя на одиночных холодных атомах. Об этом сообщила пресс-служба МГУ. «Учеными Московского государственного университета им. М. В. Ломоносова и Российского квантового центра в рамках дорожной карты “Квантовые вычисления”, которую координирует госкорпорация “Росатом”, создан первый в России прототип 50-кубитного квантового вычислителя на одиночных нейтральных атомах рубидия», – сообщили в МГУ. Контрольный эксперимент, позволивший протестировать прототип суперкомпьютера, состоялся 19 декабря, уточнили в вузе.
Прототип суперкомпьютера представляет собой оптический стол, большую часть которого занимает лазерная система, используемая для охлаждения и управления состояниями атомов, а также система со сверхвысоким вакуумом и оптическим доступом, уточнил руководитель сектора квантовых вычислений Центра квантовых технологий физического факультета МГУ Станислав Страупе. «В настоящий момент в Центре квантовых технологий МГУ мы можем создавать квантовые регистры из 50 атомов, расположенных в упорядоченном массиве, реализовывать операции над одиночными кубитами. <…> Нейтральные атомы в оптических пинцетах – хорошая система с точки зрения перспектив масштабирования, нам более-менее понятно, как дойти от систем из десятков кубитов к сотням и даже тысячам кубитов», – пояснил ученый, чьи слова приводит пресс-служба университета.
«Результат, полученный Центром квантовых технологий Московского университета, – это важный шаг к достижению технологического суверенитета нашей страны. Фокус завершающейся в этом году дорожной карты по квантовым вычислениям – разработка квантовых вычислителей. На новом этапе важно начать практическое применение квантовых инноваций. Атомная отрасль уже запустила программу пилотных внедрений квантовых вычислений. Мы рассчитываем на синергию в этой области усилий “Росатома” и научных коллективов страны, включая ЦКТ МГУ имени М. В. Ломоносова», – сказала, в свою очередь, директор по цифровизации госкорпорации «Росатом» Екатерина Солнцева, которую цитирует пресс-служба университета.
Правительство РФ в 2020 году утвердило дорожную карту развития высокотехнологичной области «Квантовые вычисления». Одна из ее целей – создание до конца 2024 года квантового вычислителя мощностью не менее 50 кубитов. В России эту задачу реализуют несколько научных групп, развивающих прототипы на разных технологических платформах: нейтральных атомах, ионах, сверхпроводниках и фотонах. Созданный вычислитель основан на одиночных нейтральных атомах рубидия, которые захватываются оптическими пинцетами (сфокусированными лазерными лучами).
Помимо цифровых видеокамер, «ЦТС» отгрузил 2 тыс. собранных на производстве коммутаторов доступа, также по заказу компании QTECH. Это оборудование четырех различных модификаций имеет статус ТОРП (телекоммуникационного оборудования российского происхождения) и обладает высокой степенью защищенности и отказоустойчивости.
Камеры и коммутаторы собираются на заводе «ЦТС» впервые. Такое оборудование в сочетании с современным ПО, может использоваться для видеонаблюдения, хранения и передачи информации в рамках программы импортозамещения государственными ведомствами, учреждениями, госкорпорациями и предприятиями ВПК. Также оборудование может быть интегрировано в системы комплексной охраны объектов.
IP-видеокамеры – это уличные всепогодные изделия серии MiR, предназначенные для систем охранного и технологического видеонаблюдения – QVC-MiR201, QVC-MiR501 и QVC-MiR803. Разработка всех этих моделей шла с 2022 г., в производство модели QVC-MiR201 и QVC-MiR803 были запущены в 2022 г., а QVC-MiR501 – в 2023 г.
Все перечисленные модели предназначены для построения систем видеонаблюдения и относятся к уличным цилиндрическим видеокамерам с фиксированным объективом от 2,8 мм, обладают встроенным микрофоном, а также поддержкой карты памяти microSD до 256 ГБ. Все эти камеры включены в реестр российской радиоэлектронной продукции Минпромторга.
Скорость производства одной IP-видеокамеры составляет всего 2 минуты. На мощностях «ЦТС» производится сборка электронных модулей с использованием технологии поверхностного и выводного монтажа, сборка изделий в корпус, тестирование и упаковку.
«Наработанные компетенции и современное оборудование позволяют нам держать высокий темп производства. Мы можем собирать сложные технические устройства и устанавливать в одно миниатюрное изделие сразу четыре печатные платы, а не одну, как делается обычно», – рассказал о нюансах производства Дмитрий Фомичев, генеральный директор «ЦТС».
«Хочу отметить высокую скорость и качество сборки таких сложных технических устройств, как IP-видеокамеры. «ЦТС» зарекомендовал себя как надежный контрактный производитель. Наше сотрудничество с заводом позволяет нам обеспечить наших заказчиков востребованной продукцией российского происхождения», – отметил Антон Родионов, директор по производству QTECH.
Как рассказали CNews в компании QTECH, данная партия была произведена не под конкретный заказ клиента, это плановый заказ, который должен обеспечить наличие данных моделей на складе. В 2024 г. продано 20 тыс. российских камер, QTECH планирует увеличить объем их продаж в 2,5-3 раза.
Постквантовая криптография: почему уже сейчас необходимо формировать фундамент для защиты от квантовых атак
Постквантовая криптография - необходимость. Важно разрабатывать такие системы, которые смогут противостоять будущим угрозам. Тем же, кто в непосредственных разработках не участвует, но кому квантовый компьютер несёт угрозу (а это, по сути, все — и граждане, и предприятия), следует внимательно следить за новостями (в частности, на сайте ТК26) и обновить своё ПО, как только появятся квантово-защищённые и достаточно проверенные версии.
От чего зависит безопасность квантовой сети? Часть 1
Квантовое распределение ключей (QKD) является одним из наиболее стремительно развивающихся направлений в современной науке. Важнейшим преимуществом QKD является безопасность передачи персональных данных квантово-распределенными ключами, основанная на законах квантовой физики, а не на математических алгоритмах. Последние могут быть взломаны, а вот обмануть фундаментальные законы физики не представляется возможным.
Работа над развитием технологии QKD может рассматриваться в качестве основы в процессах безопасной передачи данных по глобальной сети. Лишь несколько вариантов топологий сетей до недавнего времени были предложены и проанализированы наряду с основными транспортными схемами и оценками их безопасности. Однако, существующее ограничение в расстоянии между двумя соседними узлами подталкивает к развитию широкомасштабных квантовых сетей, которые смогли бы охватить большие площади или превратиться в магистральные сети, соединяющие города и страны.
Почти каждая пятая российская компания использует иностранное ПО
Как показал опрос 530 российских компаний, проведенный компанией «Р7», 100 из них по-прежнему используют зарубежное ПО. Основные причины – высокая стоимость и недостаточная функциональность российских аналогов.
Результаты данного исследования оказались в распоряжении ТАСС. Причем 100 компаний, которые тянут с переходом на отечественное ПО являются довольно крупными, с оборотом свыше 800 млн рублей.
Основным критерием выбора ПО является стоимость (70%) и функциональность (60%). Однако приоритет зависит от размера: чем меньше компания, тем более значим фактор цены, тогда как для среднего бизнеса важнее функциональность.
«Не все компании готовы к полному переходу. Им не хватает информации, рекомендаций и практических примеров», — обращают внимание авторы исследования.
Больше половины респондентов (55%) заявили, что для них условием перехода на отечественное ПО является, помимо снижения цены и улучшения функциональных возможностей, упрощение миграции с используемых систем на их отечественные аналоги.
Вместе с тем такая проблема возникает даже при переходе на новую версию популярных продуктов. Так, участники круглого стола «Российские альтернативы Microsoft Exchange» обратили внимание на то, что потеря данных является частым явлением при обновлении версии Exchange.
Как пройти капчу неважно где (в стиме или на обычном сайте) как Профи — разбираемся в сложностях автоматизации
Автоматизация может утомлять, особенно, если опыта в этом не так много, а задачи стоят «интересные» или «нестандартные» — читай сложные или невыполнимые. Не будем рассматривать все возможные варианты, почему задачу считается «интересной» или «нестандартной», а разберёмся с одной задачей, которая тормозит примерно 50% неопытных автоматизаторов — Как пройти капчу!
Минцифры ужесточает требования для признания ПО российским**
**
Минцифры вводит дополнительные критерии для признания ПО российским. Теперь для попадания в реестр программная система должна быть совместима с двумя российскими операционными системами.
Для получения преференций при госзакупках также необходима будет совместимость с российским процессором и наличие прав на средства разработки.
На Федеральном портале проектов нормативных актов размещен проект постановления о дополнительных требованиях к программному обеспечению в реестре Минцифры.
Одним из ключевых требований для признания ПО отечественным является совместимость с двумя российскими операционными системами. Однако если речь идет о программной составляющей ПАК, достаточно совместимости с одной российской ОС.
Данное требование будет вводиться постепенно. Для средств виртуализации и офисных приложений оно начнет действовать с 1 июня 2025 года, для систем обслуживания облачных сред и ПО для систем хранения данных — с 1 января 2026 года, для промышленного ПО — с 1 января 2027 года. Сроки для программных продуктов, которые уже входят в реестр российского ПО, Минцифры будет определять индивидуально.
Ужесточение касается и включения в реестр разработок каптивных ИТ-компаний, разработанных для нужд материнских структур. Они могут попадать в реестр только в том случае, если там отсутствует их аналог.
Для получения преференций при госзакупках (правило «второй лишний») также вводятся дополнительные критерии. Это подтвержденная совместимость с отечественными процессорами (как минимум одним, с 2028 года с двумя), отечественными браузерами, а также, при наличии средств разработки, отсутствие ограничений (например, санкционных) на использование российскими субъектами.
Виды аутентификации для современных веб-приложений
Рост популярности веб-приложений в современных технологиях значительно изменил способы взаимодействия пользователей с цифровыми сервисами. Однако с этим увеличением цифровой зависимости возникает и повышенная потребность в надежных механизмах безопасности, особенно в части аутентификации пользователей. Аутентификация служит ключевым элементом защиты пользовательских данных и предотвращения несанкционированного доступа к конфиденциальной информации. В этом контексте важно понимать разнообразие методов аутентификации, доступных для разработчиков и администраторов, а также способы их применения для минимизации рисков и улучшения пользовательского опыта.
**Как беспарольная аутентификация спасает компании от новейших киберугроз
**
Почему классические методы аутентификации уходят в прошлое? Как защитить компанию от современных векторов атак, подготовиться к эре квантовых вычислений и передовых нейросетей? И что ждёт те организации, которые проигнорируют переход на новые методы аутентификации?
В России обсуждается законопроект об идентификации личности геймеров
Группа сенаторов и депутатов подготовила законопроект, который обяжет цифровые площадки информировать пользователей о содержании видеоигр, а издателей — идентифицировать игроков с помощью мобильного номера или через «Госуслуги». Игроки рынка идею критикуют и называют избыточной
«Класс платы определяет плотность размещения элементов. Первый класс — грубо говоря, используется малая плотность, такие платы применяются для силовой электроники. Седьмой класс — это сверхплотное размещение элементов, применяется для мобильных телефонов. Платы четвертого-пятого класса сейчас выпускаются серийно, то есть проблем нет, они уже выпускаются многими предприятиями, их около 19 в стране. Что касается плат шестого класса и сверхлицензионных седьмого класса, почему написано к 2030 году — это важно: сейчас в России нет острой необходимости в их выпуске. Мы не лидеры по производству смартфонов или умных часов — но это пока. Как раз к тому времени в России увеличится выпуск носимой электроники и смартфонов. Как раз к 2030 году мы должны быть готовы к тому, что у нас должно быть производство уже плат шестого и седьмого классов, все правильно. Что касается сложности в производстве, например, плат седьмого класса, нужно более высокоточное нанесение фотошаблонов. Это должен быть очень точный и очень мелкий рисунок. И следующее — это технологическое оборудование, которое может работать с этим стандартом сверхмалого размещения компонентов. И, конечно же, это специалисты, инженеры-технологи, которые должны иметь соответствующий опыт для работы с такими платами, и это сверхчистая химия и ее тоже сверхточная дозировка для травления таких плат. Это все приходит с опытом, как раз за пять-шесть лет мы сможем добиться успехов».
В компании Yadro сообщили, что производственный комплекс «Ядро Фаб Дубна», на котором производятся в том числе печатные платы седьмого класса, был запущен в апреле прошлого года, инвестиции составили 14 млрд рублей. Осенью 2022 года предприятие попало под санкции США.
Отечественные производители электроники будут обязаны использовать российские печатные платы. Но только с 2030 года, а пока предприятия начнут серийный выпуск плат шестого и седьмого уровней с 2028 года. Седьмой уровень используется для серверов, компьютеров, смартфонов и другой современной аппаратуры.
Эти пункты есть в утвержденном плане Минпромторга по развитию российской микроэлектроники, пишет газета «Коммерсантъ». Серийное производство плат развернут на предприятиях Yadro, «Аквариуса», «Росатома», «Итэлмы» и других. Удивляет только срок до 2030 года, говорит председатель совета директоров компании «БазальтСПО» Алексей Смирнов.
— В компьютерных устройствах внутри есть плата, на которой все монтируется — процессор, память. Речь идет о том, чтобы плата была изготовлена в России, то есть чтобы разводка платы была российская. Меня удивил срок, 2030 год, потому что уже сейчас есть фирмы, которые открыли производства и которые умеют и разводить платы, и изготавливать, в том числе уже есть контрактное производство. Недавно увидел фирму ИВК, у них под Москвой с год уже контрактное производство печатных плат, проектирование тоже свое.
— А контракт с кем заключен?
— Контрактный — имеется в виду можно сделать для своих компьютеров. Я производитель компьютеров и делаю для себя печатные платы. А контрактное производство — когда ко мне приходит заказчик и говорит: изготовь нужные мне печатные платы.
— Это вопрос того, что эти платы могут к нам не поставляться из-за рубежа через какое-то время, нужно самообеспечение, или это вопрос виртуальной безопасности?
— Всегда есть риски с поставками, но речь о том, какие у нас есть компетенции и технологии. То есть тут я не люблю говорить об импортозамещении, речь идет о технологической независимости. То есть о наличии у нас компетенций и технологий. Раньше компетенций по проектированию и изготовлению плат фактически не было, сейчас это развивается, и этот сегмент мы реально можем уже закрыть.
По словам представителя Минпромторга, цель — повысить уровень локализации отечественной электроники, после запуска предприятий на седьмой класс точности должно прийти до 10% общего объема выпускаемых печатных плат. Есть ли в проекте госбюджет, в Минпромторге не пояснили.
Все производство печатных плат пятого, шестого и седьмого класса можно оценить в 15-20 млрд рублей, но только при условии использования иностранных химии, материалов и станков для производства. Седьмой класс — самый емкий среди печатных плат на сегодня, говорит исполнительный директор ассоциации «Консорциум отечественных разработчиков систем хранения данных» Олег Изумрудов:
Как работает RSA и почему ему угрожают квантовые компьютеры
Представьте себе 70-е годы прошлого века: мир активно подключается к открытым каналам связи, а защита данных становится вопросом первостепенной важности. В то время три профессора-математика Массачусетского технологического института — Рональд Ривест, Ади Шамир и Леонард Адлеман — размышляли над революционным способом шифрования. Они искали подход, который бы позволил передавать данные в открытом доступе, не рискуя безопасностью. В итоге они придумали алгоритм, известный сегодня как RSA (аббревиатура, составленная из первых букв фамилий его создателей: Rivest, Shamir и Adleman), и долгое время считавшийся стандартом безопасности. Но кажется, его время скоро пройдет.
Уже скоро мне предстоит в очередной раз обновить обзор чатов и каналов Telegram по информационной безопасности, но совсем недавно узнал о канале, молчать про который, дожидаясь ежегодного обзора, сил моих нет =)
100+ ИБ-шпаргалок публикуют PDF-файлы из свёрстанных, полагаю, в Word таблиц с подборками на самые разные ИБ-тематики. Может, формат и не самый удачный, но контент точно достоин внимания. 363 подписчика не должно никого смущать - это явно недоразумение и вы, подписавшись, можете помочь его устранить ;-)
Мои коллеги из УЦСБ подготовили вебинар по свежим изменениям в законодательстве о персональных данных: “Ответственность за нарушение 152-ФЗ: Новые составы правонарушений и оборотные штрафы – что нас ждет?”. Пройдёт 10 декабря в 12:00 (МСК), регистрация тут: https://sec.ussc.ru/shtrafy_pdn
Основная масса россиян никогда не меняла пароли в соцсетях
Как показало исследование социальной сети «Одноклассники», 40% российских пользователей соцсетей никогда не меняли пароль после первичной настройки учетной записи.
2024-й: топ-10 используемых паролей выглядит всё так же удручающе
Наиболее популярные пароли в 2024 году выглядят так же плохо, как и несколько лет назад. Свежее исследование показало, что люди не хотят менять привычки и выдумывать сложные комбинации.
В России хотят создать базу образцов голосов мошенников
А также разрешить использовать искусственный интеллект для выявления злоумышленников во время телефонных разговоров. Инициативу прорабатывают в Минцифре.
По данным «Контур.Закупки», российские госкомпании за 9 месяцев 2024 года закупили ПО от Microsoft на более чем 24 млн рублей. Это на 55% меньше, чем за аналогичный период 2023 года.
Как сообщили в «Контур.Закупки» корреспондентам «Коммерсанта», на закупку Windows российские госкомпании за 9 месяцев 20204 года потратили 7 млн рублей, на MS Office – 3 млн рублей.
Это меньше на 69% и 75% соответственно, чем за аналогичный период 2023 года. Оставшаяся сумма была потрачена на другие продукты Microsoft и закупки в малых объемах.
Представители «Контур.Закупки» связали данную ситуацию с тем, что российские компании и госорганы не могут отказаться от использования MS Office, поскольку у многих приложений из его состава просто нет российских аналогов. Среди таковых были названы издательская система MS Publisher и облачное хранилище OneDrive.
Как напомнил председатель совета директоров «Базальт СПО» Алексей Смирнов, до сих пор многие приложения из Реестра российского ПО работают только в Windows, а введение обязательного требования по совместимости с отечественными операционными системами перенесено на июль 2025 года.
Например, среди российских САПР большая часть продуктов не имеет нативных версий для Linux, а в ряде сегментов, в частности, BIM и CAM не работает в российских ОС ни один.
Минцифры ищет способы ограничить разработку уже имеющихся на рынке решений
Собственные IT-решения госкомпаний останутся в реестре российского программного обеспечения, только если будут продаваться в определенном объеме и внешним заказчикам, сообщил глава Минцифры Максут Шадаев. Это должно ограничить практику, когда не имеющие рыночных перспектив внутренние IT-продукты создаются в госкомпаниях для отчета «наверх» о проведенном импортозамещении, отнимая при этом часть рынка у IT-компаний и переманивания у них кадры. Эксперты, впрочем, отмечают, что у ряда крупных госкомпаний с сильными IT-командами создавать софт на продажу вполне получается.
Слушатель Business FM задумался о безопасности системы оплаты по биометрии после того, как у него списали деньги за спуск в метро в то время, когда он уже готовился ко сну дома в Подмосковье. Впрочем, эксперты пока скорее стремятся успокоить мужчину
Минпромторг проводит конкурс на НИР стоимостью 1 036 000 000,00 ₽ по теме перехода субъектов КИИ на ДПАК. Любопытно, во сколько можно оценить сам переход?
Выполнение научно-исследовательской работы «Организация перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры», шифр «Технологический суверенитет»
В статье на стыке ИБ и юриспруденции разбираются правовые основы видеонаблюдения. Как организовать его в компании в соответствии с законом, какими статьями и нормами оно регулируется, как собирать биометрию и при каких условиях в дело вступает Единая Биометрическая Система.
Аэрофлот начал эксплуатацию полностью импортозамещенного сервиса «Электронный портфель пилота». Он объединяет навигационные карты, руководства по лётной эксплуатации и по производству полётов, перечни оборудования (MEL), сборник действий экипажа в нештатных ситуациях.
Приложение разработано дочерней ИТ-компанией Аэрофлота «АФЛТ-Системс». Также в разработке участвовал российский провайдер аэронавигационных данных СЗ РЦАИ. Работы над его созданием начались в марте 2024 года.
Запуск в промышленную эксплуатацию, как сообщила авиакомпания, запланирован на начало 2025 года. Для работы с сервисом Аэрофлот закупил более 7400 планшетов, сертифицированных для использования на борту самолетов, с российской ОС «Аврора».
В приложении впервые реализована система «все в одном»: электронное полётное задание, схемы, отчёт о выполнении рейса. Приложение полностью соответствует промышленным стандартам. Разработчики также предоставили возможность оперативно вносить доработки и увеличивать функциональность системы.
В перспективе планируется развёртывание сервиса на всю Группу «Аэрофлот». Как заявили в «АФЛТ-Системс», есть запросы на внедрение данного продукта и от других российских авиакомпаний, которые заинтересованы во внедрении отечественного ПО.
Мониторинговый опрос ВЦИОМ, проведенный в октябре 2024 года, показал повышение уровня информированности россиян о биометрических технологиях. Теперь основная масса граждан настроена к применению данных технологий положительно или нейтрально.
**Find My Device в Android теперь требует биометрическую аутентификацию **
Реализация сети Find My Device от Google продолжает совершенствоваться. На этот раз разработчики добавили биометрическую аутентификацию для подтверждения личности владельца утерянного устройства.
Четверть россиян не уверены в безопасности созданных ими паролей
«Лаборатория Касперского» и «Почта Mail» провели совместное исследование, чтобы выяснить отношение россиян к созданию и хранению паролей. Почти каждый четвертый (24%) опрошенный не уверен в надежности созданных им паролей от важных для него сервисов — справочно-информационных, мессенджеров, социальных сетей. У экспертов по кибербезопасности такие результаты вызывают опасения, поскольку пароль остается важнейшим элементом защиты аккаунтов и конфиденциальных данных пользователей.
Банк России предложил сдавать биометрию через мобильные приложения
Первый заместитель председателя Банка России Ольга Скоробогатова на форуме Finopolis предложила передавать биометрические данные через мобильные приложения банков. Она сослалась на запрос со стороны клиентов.
На данный момент средний срок поставок вычислительной техники от отечественных производителей составляет примерно 50 дней.
«Срок поставки — ключевое конкурентное преимущество, особенно в конце года, когда компании завершают проекты в рамках годовых бюджетов. Способность компании обеспечить быстрые и стабильные поставки становится особенно ценной, снимая опасения клиентов и повышая их доверие. Компании, готовые удовлетворять запросы клиентов в рекордные сроки, выделяются среди конкурентов. Это свидетельствует о способности отрасли вычислительной техники эффективно адаптироваться к изменяющимся условиям», — сказала Светлана Легостаева, генеральный директор консорциума «Вычислительная техника».
«С каждым годом развития рынка отечественной вычислительной техники все больше факторов влияет на конкуренцию. Срок поставки оборудования — один из них. “Гравитон” поддерживает существенный неснижаемый запас на складе: сотни тысяч клиентских, десятки тысяч серверов и СХД, несколько тысяч печатных устройств и МФУ. Это помогает осуществлять поставки в течение двух рабочих дней. Если необходимо изготовить партию ИТ-оборудования по спецификации заказчика, проект можно реализовать за 2 недели», — отметил Михаил Шаповалов, директор по стратегии «Гравитон».
«Компания RDW Technology при планировании поставок на рынок электроники России в III и IV кварталах 2024 г. установила собственный регламент. Мы готовы поставлять клиентские решения в течение 14 рабочих дней. Поставка серверов теперь займёт до 20 рабочих дней», – сказал Сергей Акопов, вице-президент RDW Technology.
Заместитель председателя правления Россельхозбанка (РСХБ) Николай Ульянов анонсировал полное импортозамещение систем виртуализации в банке до конца 2024 года. Решения от VMware заменит отечественное решение, разработанное компанией РЕД СОФТ.
В течение двух месяцев РСХБ и РЕД СОФТ проводили пилотное тестирование системы «Ред Виртуализация».
За время пилота были разработаны инструменты инвентаризации, адаптированы алгоритмы автоматизированного управления виртуальными серверами, тестировалась производительность работы системного и прикладного ПО.
Полный переход центрального офиса банка на «Ред Виртуализация» запланирован на конец 2024 года. Кроме того, идет активное внедрение нового решения в региональных филиалах. Переход на отечественное ПО серверной виртуализации позволяет банку снизить затраты на приобретение программного обеспечения до 25%.
FIDO стандартизирует безопасный перенос passkey на другие платформы
Участники альянса FIDO опубликовали рабочую версию стандарта безопасной передачи ключей доступа passkey при смене платформы или сервис-провайдера. Унификация должна устранить проблемы с совместимостью и вероятность потери данных.
Android-троян TrickMo ворует ПИН-коды с помощью фейкового экрана блокировки
В свежих кибератаках исследователи выявили целых сорок новых вариантов TrickMo, банковского трояна для Android-устройств. Основной фишкой этих образцов является возможность вытаскивать ПИН-коды, которыми защищены смартфоны пользователей.
Telegram ввел для компаний сервис верификации телефонных номеров клиентов
Теперь через мессенджер можно отправлять проверочные коды пользователям. Стоимость отправки одного верификационного кода будет стоить по всему миру 0,01 доллара. Если номер не привязан к аккаунту в Telegram, плата за его подтверждение взиматься не будет.
Комиссия Госдумы по регламенту и обеспечению деятельности нижней палаты парламента согласовала проведение работ по переходу на отечественное программное обеспечение (ПО) подключенных к интернету автоматизированных рабочих мест (АРМ) депутатов.
Их порядок, как узнали «Ведомости», был утвержден еще 18 сентября. По данным издания, еще в ноябре 2023 года Госдума закупила 1800 лицензий на ОС Astra Linux и офисный пакет «МойОфис». Общая сумма закупки составила 52 млн рублей.
Также, по оценке опрошенных «Ведомостями» экспертов, рабочие места, помимо офисного набора, будут также включать мессенджеры, средства видеоконференцсвязи, средства групповой работы, клиент электронной почты.
Наиболее вероятно использование наборов «Среда» на базе сервисов VK, который активно внедряют в различных государственных ведомствах, или «Яндекс 360».
Работы по переходу на российское ПО начнутся уже в текущем октябре. Первыми будут полностью переведены на отечественные решения профильный комитет по информационной политике, информационным технологиям и связи, а также комиссия по регламенту. Полностью завершить проект в Госдуме планируют в июле 2025 года.
Свежий прогноз от ЦСР: Рынок кибербезопасности в Российской Федерации 2024-2028.
> Исследование проводилось с апреля по сентябрь 2024 года на основе анализа открытых источников о выручке основных вендоров продуктов информационной безопасности за 2023 год, непосредственного опроса вендоров и дистрибьюторов — представителей основных игроков российского рынка. При интерпретации результатов в спорных случаях мы исходили из принципа добросовестности игроков рынка и доверяли предоставленным сведениям.
Все мы хорошо знаем о том, что пароли можно подобрать или перехватить другими способами. В рамках данной статьи мы будем говорить именно о подборе паролей. Будем считать, что наш атакующий не имеет физического доступа к машине, с которой осуществляется аутентификация и следовательно, поставить троян или кейлоггер он не может. Также хакер не может контролировать каналы связи, весь трафик между клиентом и сервером зашифрован и у злоумышленника нет возможности реализовать Man in the Middle. Но зато, хакеру доступен интерфейс атакуемого приложения, где он может вводить свои учетные данные.
Российская авиаотрасль переходит на отечественное ПО
Речь здесь идет обо всех программах, регулирующих работу аэропортов и полеты самолетов. Авиаперевозчики занимаются переводом всех процессов на отечественное ПО с 2022 года и констатируют, что российские разработки ничуть не хуже зарубежных
«Аэрофлот» завершит переход на российское программное обеспечение в следующем году, заявил гендиректор перевозчика Сергей Александровский. Премьер Михаил Мишустин назвал это критически важным для всей авиаотрасли. Как выглядит российское ПО для аэропортов и самолетов и не столкнемся ли мы с проблемами?
В этом году «Аэрофлот» перейдет на российское программное обеспечение на 95%, а в следующем году завершит этот процесс, отметили в руководстве перевозчика. Речь здесь идет обо всех программах, регулирующих работу аэропорта и полеты самолетов. От сервисов, отслеживающих движение багажа, до платформ, на которых работают планшеты в спинках кресел в пассажирских лайнерах. Переход на российские разработки не должен пугать и не должен выглядеть откровением — на самом деле, авиаперевозчики ведут эту работу с 2022 года, говорит главред портала Avia.ru Роман Гусаров.
В следующем году «Аэрофлот» запустит программу по автоматизированному управлению доходами с использованием ИИ. «Для пассажиров будет возможность выбора билетов по оптимальной стоимости, пояснил Александровский. Также перевозчик начнет внедрение программы «Купол», которая заменит старую программу поддержания летной годности. На подходе — еще один сервис по планированию полетов, он должен экономить до 5% топлива. Или 8 млрд рублей в год. Перейти на свое ПО — это не композитные крылья разработать и не свои комплектующие создать, говорит авиаэксперт и главред портала FrequentFlyers.ru Илья Шатилин.
На мировом рынке множество поставщиков ПО, привязок к странам как таковых нет. Так же, как в Германии ездят не только на Volkswagen и Mercedes, а в Италии не только на Fiat.
Поэтому все российские программы будут нормально стыковаться с иностранными. И в случае успешного применения нашего ПО его можно продавать перевозчикам из дружественных стран.
Студенты Гарварда научили смарт-очки Meta собирать личные данные прохожих*
Студенты Гарварда открыли ящик Пандоры, подключив умные очки Ray-Ban Stories к системе распознавания лиц и публичным базам данных. Получилось идеальное шпионское устройство.
Система работает практически в реальном времени, но требует отдельного компьютера, на котором открыта трансляция с умных очков. Программа определяет лица прохожих в видеопотоке, а дальше с помощью открытых поисковиков изображений ищет совпадения с аккаунтами в социальных сетях.
Обнаружив аккаунты прохожих, скрипт прогоняет имя профиля через открытые базы данных, уточняя адрес проживания, место работы, контактные номера и даже фотографии родственников.
Т-Банк запустил верификацию по T-Business ID для предпринимателей в сервисах VK
Т-Банк и VK запустили возможность быстрого подтверждения профиля в сервисах соцсети для предпринимателей и компаний по T-Business ID. Процесс бесшовного подтверждения реквизитов у бизнес-клиентов Т-Банка проходит моментально и не требует дополнительной отправки документов, что снижает время на заполнение и проверку данных и минимизирует вероятность ошибок.
«МТС Exolve» разработала решение облачной верификации звонков для операторов связи
Решение позволяет операторам быстро и эффективно проверять подлинность входящих и исходящих звонков, чтобы минимизировать риски мошенничества и обеспечить соответствие актуальным требованиям законодательства.
На базе программируемого логического контроллера (ПЛК) «Северсталь-инфоком» разрабатывает среду исполнения для него. Она нужна для загрузки программ, по которым впоследствии ПЛК будет работать и управлять оборудованием. Разработка создаётся на основе открытого кода, что в перспективе обеспечит независимость компонентов, возможность развертывания на разных платформах и свободного дополнения нового функционала другими компаниями за счет написания собственных модулей. В данный момент ведется поиск партнеров как среди вендоров, так и среди промышленных компаний, имеющих компетенции в собственной разработке, для совместной реализации пилота.
Без секции или, как минимум, доклада по Безопасной разработке уже не обходится, пожалуй, ни одна из конференций по ИБ. Что и не удивительно - этот сегмента рынка неуклонно растёт.
Но проходят ещё и отдельные мероприятия исключительно про AppSec/Secure SDLC. Из ближайших мне, например, известны вот такие три (ниже). Добавляйте в комментариях, если ещё какие-то знаете.
Распознавание капчи – разбираемся в сложном для понимания процесса максимально просто
Капча – это не отдельное слово, которому можно дать определение, а целых девять слов (и два предлога) - Completely Automated Public Turing Test To Tell Computers and Humans Apart. Сократили это все до емкого CAPTCHA, чтобы не создавать очередное сложнопроизносимое слово. В переводе на русский эта аббревиатура звучит так - Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей.
Не получается из этого набора слов КАПЧА, правда? Да это в принципе и не нужно, всем и так понятно о чем идет речь. Найди указанные картинки, или введи указанный текст, чтобы подтвердить что ты не робот.
В торговых точках и общепитах появится возможность «оплаты лицом»
Клиенты всех банков смогут оплачивать покупки лицом в 2025 году. Об этом рассказали в пресс-службе Центра биометрических технологий.
Там напомнили, что сейчас оплату по биометрии параллельно развивают Сбербанк и Национальная система платежных карт (НСПК).
Сбербанк к настоящему времени установил 750 тысяч платежных устройств, считывающих биометрию, до конца года их число должно составить не менее миллиона терминалов.
Проект НСПК в свою очередь доступен для пассажиров Казанского метрополитена.
«В ближайшей перспективе начнется масштабирование сервиса — на торговые точки и заведения общепита. Подключиться к сервису можно уже сейчас. Для этого нужно сделать селфи в приложении «Госуслуги биометрия» и привязать биометрию к счету в приложении СБПэй», — добавили в пресс-службе.
Сбербанк принял решение отказаться от платформы Citrix для организации виртуальных рабочих мест в пользу отечественного решения Termidesk от компании «УВЕОН — облачные технологии», входящей в состав «Группы Астра». Termidesk будет развернут на 150 тысячах рабочих мест.
Termidesk был выбран благодаря возможностям по масштабированию на 100 тысяч и более подключений.
Кроме того, продукт от «Группы Астра» использует протокол Tera, позволяющий устойчиво работать даже при использовании слабых каналов связи. Дополнительными преимуществами также стали средства управления и повышения отказоустойчивости.
Внедрение Termidesk проходит для сотрудников банка практически незаметно. Команда «Астра Консалтинг», отвечающая за работу над проектом, тщательно планирует каждый этап, чтобы обеспечить бесперебойную работу системы и сохранить привычный рабочий процесс.
Кирилл Меньшов, старший вице-президент, руководитель блока «Технологий» Сбербанка:
«Сбер всегда следит за другими игроками, и если мы видим качественный продукт, то внедряем его в свои процессы. Таким примером стало решение от «Группы Астра», которое отвечает всем нашим требованиям. Замещение западных продуктов на отечественные технологии гарантирует стабильность услуг для наших клиентов, что соответствует высоким стандартам обслуживания. Сбербанк не только делает шаг к полной независимости от зарубежных технологий, но и создаёт комфортные условия для своих сотрудников, что, безусловно, положительно скажется на общей эффективности работы. Ожидается, что перевод большинства сотрудников банка на это решение должен завершиться в начале 2025 года».
Илья Сивцев, генеральный директор «Группы Астра»:
«Заказчики из финансового сектора для «Группы Астра» сегодня имеют самый высокий приоритет, поскольку мы осознаем всю важность сохранения эффективности бизнес-процессов ключевых организаций отрасли. Партнёрство со Сбербанком значительно расширяет нашу экспертизу в проектах миграции и построении сложных ИТ-инфраструктур. Реализация столь масштабного перехода подтверждает зрелость VDI-решения Termidesk».
На конференции BIS Summit прозвучали заявления о том, что сроки, установленные указом президента на замену зарубежных средств защиты информации (СЗИ), сдвигаться не будут.
«С инициативой сдвинуть сроки выполнения Указов точно выходить не будем. Будем помогать тем, кто не готов к выполнению Указов», — отметил в своем выступлении на пленарной сессии BIS Summit заместитель директора ФСТЭК России Виталий Лютиков.
Вместе с тем заместитель руководителя ФСТЭК признал проблемы с целыми классами решений: «Плохая ситуация с отдельными классами — во-первых, в аспектах наличия таких сертифицированных средств, а второе — качество этих средств и их эффективность».
Он при этом анонсировал, что до конца года получат сертификаты ФСТЭК России NGFW от двух вендоров. Уже сегодня ГК «Солар» сообщила о получении сертификата на Solar NGFW. Также Виталий Лютиков раскритиковал высокие цены на ПО.
Директор АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий» Илья Массух заявил о том, что цены находятся в разумных пределах, хотя и признал, что они растут более высокими темпами, чем инфляция. Кроме того, он обратил внимание на то, что при пересчете в доллары или евро цены на ПО в России будут заметно ниже, чем на зарубежных рынках.
По мнению депутата Госдумы Андрея Свинцова, росту цен способствует распыление сил игроков на схожие проекты: «Когда в рамках рабочих групп выясняется, что десятки компаний разрабатывают одно и тоже — количество потребителей и денег конечно и когда на рынок выходит 10 одинаковых продуктов, это приводит к задиранию цен, чтобы отбить затраты. А эти затраты начинают расти сильно выше инфляции. Когда 10 команд пилят одно и то же, владелец начинает докупать себе персонал, рынок начинает разгоняться».
Свинцов призвал вмешаться в данный процесс и перераспределять разработчиков на другие продукты, поскольку, используя исключительно рыночные механизмы, ситуацию исправить не удастся.
«На своем уровне с Минцифры и разработчиками несколько подходов сделали. Выбрали 4 ОС, назвали их целевыми. К сожалению, регуляторику подогнать, что они “главные“ для импортозамещения, до конца не удалось. Такая же идея была с базами данных: пройти по всем классам и обозначить общесистемные решения, на которые весь рынок должен ориентироваться. Тут нужна позиция правительства с точки зрения регулирования», — отметил Илья Массух.
Директор АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий» привел пример Китая, где за несколько лет количество разработчиков некоторых видов ПО снизилось с сотен до 4.
Сбер объявил о том, что до конца 2024 года полностью перейдет с зарубежных СУБД на использование собственной платформы Platform V Pangolin на значимых объектах критической информационной инфраструктуры.
Реляционная СУБД Platform V Pangolin является форком PostgreSQL. Platform V Pangolin содержит ряд важных доработок в сфере производительности, быстродействия, безопасности, доступности и надежности, что выводит решение в сегмент корпоративного класса.
С 2020 года Platform V Pangolin является целевой СУБД в Сбере. Platform V Pangolin входит в Реестр российского ПО и полностью подходит для задач импортозамещения. С 2021 года продукт доступен для внешнего рынка и используется в крупных российских компаниях.
**ИИ научили вычислять пароли по глазам аватарки владельца Apple Vision Pro
**
Университетские исследователи показали, как удаленно получать пароли и другой ввод с виртуальной клавиатуры Vision Pro. Метод GAZEploit основан на анализе движения глаз аватарки в ходе видеосвязи на гаджете Apple и использует с этой целью ИИ.
Почта России полностью откажется от Windows за 3 годаПроект по импортозамещению затронет в общей сложности 130 тысяч рабочих мест в отделениях, логистических центрах и административного персонала всех уровней. Windows будет заменена на отечественную ОС Alt Linux. Партнером проекта стал разработчик — «Базальт СПО».
«Почта России» с 2022 года проводила тестирование отечественных ОС. Все это время формировались требования к продуктам, шло тестирование и тендерные процедуры.
В результате к началу официального старта проекта ОС «Альт» была уже установлена на почти 2 тысячах рабочих мест в отделениях, которые были модернизированы по поручению Президента России.
Помимо помощи во внедрении и технической поддержки, «Базальт СПО» возьмет на себя также обучение персонала. Для этого уже разработаны две программы: базовая и экспертная.
**Минцифры будет продвигать российские SSL-сертификаты
**
Уже текущей осенью Минцифры может обязать предустанавливать российские SSL-сертификаты на поставляемое оборудование. Такое требование содержится в предложениях рабочей группы для разработки регулирования в данной сфере.
Простая электронная подпись: риски, ограничения и способы с ними бороться
Каждый день мы пользуемся электронной подписью, когда заходим на сайты при помощи логина и пароля, вводим код из смс и т.д. Интересные случаи из судебной практики по делам об оспаривании такой подписи приводятся в материале руководителя юридического департамента IT-компании Sign.Me Вадима Дерюжинского.
14-летняя уязвимость позволяла создать клон YubiKey через тайминг-атаку
Французские исследователи доказали, что аппаратные ключи безопасности YubiKey можно получить через атаку по стороннему каналу. Метод EUCLEAK требует физического доступа к устройству, спецоборудования стоимостью $11 тыс. и хороших технических навыков.
Как отмечают в банке, прежняя процессинговая система имела монолитную архитектуру и полностью исчерпала все резервы по масштабированию.
В основе нового процессинга Сбера лежит Platform V DataGrid — резидентная система управления базами данных (СУБД) для работы с данными в режиме реального времени, которая была разработана СберТех и ориентирована на высоконагруженные системы. Для небольших нагрузок Сбер использует Platfrom V Pangolin.
Пилотный проект внедрения нового решения начался еще в 2023 г. В текущем году проект перешел на стадию масштабирования и к началу сентября 2024 г. полностью завершен.
Фонд «Центр стратегических разработок» опубликовал отчёт “Оценка рынка безопасной разработки программного обеспечения в Российской Федерации”.
На самом деле оценён рынок только средств (инструментов) безопасной разработки без учёта сопутствующих услуг. Сама методология тоже не бесспорна, но в целом для примерной оценки - вполне можно опираться.
Если кому-то вдруг не хватало отечественных NGFW, то вот, пожалуйста, ещё один игрок:
МТС RED, дочерняя компания ПАО «МТС»), выходит на рыноквысокопроизводительных многофункциональных межсетевых экранов, представив на закрытом клиентском мероприятии прототип МТС RED NGFW. Уже сейчас решение показывает высокую скорость фильтрации трафика – до 50 Гбит/с в режиме NGFW, удовлетворяя потребности в сетевой защите крупных компаний. В перспективе года этот показатель планируется увеличить до 100 Гбит/с.
Продолжается планомерная борьба с «левыми» и/или «обезличенными» SIM-картами:
Внести оплату наличными можно будет […] только при предъявлении документа, удостоверяющего личность, или с использованием ЕСИА […];
физлицу может быть выделено операторами сотовой связи и предоставлено в пользование абонентами - юридическими лицами либо ИП в совокупности не более 20 абонентских номеров;
иностранному гражданину […] может быть выделено в совокупности не более 10 абонентских номеров (в это число входят и личные, и корпоративные номера);
в договор об оказании услуг подвижной радиотелефонной связи с иностранным гражданином […] будут включать сведения о пользовательском оборудовании (об оконечном оборудовании) […].
Из удобств:
у физлиц [С 1 апреля 2025 г.] появится возможность подавать через Единый портал госуслуг запрос о заключенных с ними договорах об оказании услуг подвижной радиотелефонной связи и выделенных по ним абонентских номерах в Роскомнадзор.
**Мобильным операторам разрешат собирать биометрию граждан
**
Минцифры оценивает способность операторов связи самостоятельно заниматься сбором биометрических данных граждан в Единую биометрическую систему (ЕБС), сообщил 23 августа ТАСС со ссылкой на министра Максута Шадаева. По его словам, для этого телекомоператоры должны соответствовать серьезным требованиям – к примеру, по безопасности. «Сейчас мы обсуждаем, насколько эти требования могут быть операторами связи выполнены в своих торговых точках», – заявил Шадаев.
Общественный(?) проект Surveillance Watch предлагает ознакомиться с интерактивной картой “сети компаний, осуществляющих слежку, их дочерних компаний, партнеров и финансовых спонсоров”. Про Россию информация тоже представлена.
Власти потратят более 1,5 млрд рублей на разработку безопасных российских ОС и другого ПО. Такую сумму из федерального бюджета выделят Федеральной службе по техническому и экспортному контролю (ФСТЭК), пишет CNews со ссылкой на документ.
Всего в рамках федерального проекта «Информационная инфраструктура» ФСТЭК курирует пять проектов, которые закреплены за разными вузами. Основная задача проекта, согласно информации на сайте Минцифры, — это создание общедоступной, устойчивой и безопасной инфраструктуры высокоскоростной передачи данных.
Руссофт зафиксировал снижение падения популярности к зарубежным ОС и СУБД
Вследствие санкционной политики зарубежных стран, с одной стороны, и развития программ импортозамещения в России — с другой, разработка приложений для зарубежных операционных систем (ОС) и систем управления базами данных (СУБД) сокращалась, а для российских — очень быстро росла. По итогам 2023 года эти изменения уже стали не столь значительными и однозначными.
Согласно данным исследования НП «Руссофт», отчетливо виден рост числа компаний, создающих приложения для ОС семейства Linux, на базе которого разработаны основные отечественные ОС, и небольшие сокращения у ОС Windows, Android и iOS. Значительно сократилась только доля macOS.
«С учётом погрешности можно говорить даже о некоторой стабилизации интенсивности разработки приложений под Windows. Продолжилось снижение интенсивности разработки и у Android, — говорят авторы исследования. — Подобная стабилизация означает, что замещение Windows и Android продолжает идти преимущественно в государственных органах, учреждениях и корпорациях, а также в крупных коммерческих компаниях, попавших в санкционные списки, а также на предприятиях, управляющих объектами критической инфраструктуры. Этот круг корпоративных клиентов поставщиков российских аналогов определился. Также в целом известны их потребности в приложениях и новых решениях».
В «Руссофт» также обращают внимание на то, что конечные пользователи и бизнес, который не связан регуляторными ограничениями, не видит острой необходимости в отказе от привычного ПО, как для настольных, так и мобильных систем. Но ситуация меняется, на что влияют как технологические сбои, как тот, что имел место 19 июля, так и политика Microsoft по отношению к российским пользователям.
Схожий процесс идет и на рынке СУБД. Рыночная доля зарубежных СУБД Oracle, MongoDB и MySQL выросла, тогда как количество пользователей СУБД MS SQL продолжила снижение. Несмотря на некоторый откат к показателям предыдущих лет, отрыв PostgreSQL от занимающей второй место СУБД Oracle по-прежнему огромный. А вот доля «ванильной» PostgreSQL по итогам 2023 года существенно снизилась.
В НП «Руссофт» при этом обращают внимание на то, что СУБД используют только крупные организации и корпорации, которые обычно тщательно оценивают возможные риски. В этом сегменте, по мнению аналитиков «Руссофт», сложностей с замещением возникнуть не должно, хотя асимметричные изменения в уровне востребованности PostgreSQL и Oracle могут свидетельствовать о сопротивлении импортозамещению СУБД Oracle, прежде всего в банковской сфере и в Телекоме.
«На перспективы рынка отечественных ОС и СУБД стоит смотреть широко. Потенциал крупных коммерческих компаний еще не исчерпан, а конкуренция вынудит поставщиков создавать новые, более востребованные продукты. Важным направлением роста являются решения для облачных вычислений, например, когда в компактном контейнере представлены ОС, СУБД и/или отечественная Java. В долгосрочной, но многообещающей перспективе драйвером могут стать российские производители железа: от серверов до планшетов и смартфонов.
При этом будет расти спрос на техподдержку ИТ-систем, созданных на базе Open Source компонент. Ведь экспертиза вендора позволит минимизировать риски в случае критических сбоев», - прокомментировал результаты исследования Сергей Лунегов, директор по продуктам Axiom JDK.
По оценке аналитиков FinExpertiza, российские крупные и средние предприятия потратили в 2023 г. на закупку и разработку ПО рекордные 329 млрд рублей, что на 6% больше уровня 2022 г. За последние шесть лет годовые корпоративные затраты на ПО в России увеличились практически в три раза.
Расчеты основаны на статистических данных Росстата (форма 12-Ф), по которой отчитываются крупные и средние предприятия (кроме банков, страховых компаний и других финансовых организаций, а также государственных и муниципальных учреждений).
Корпоративные расходы на создание и приобретение программного обеспечения включают в себя затраты на разработку и покупку всех видов ПО, а также других ИТ-продуктов.
Как подсчитали в FinExpertiza, в среднем каждая российская компания в 2023 году потратила на программное обеспечение 3,9 млн руб. Максимальные суммы, в среднем расходуемые на софт одним предприятием, фиксировались в Ямало-Ненецком автономном округе (13,8 млн руб. в год), Санкт-Петербурге (11,8 млн руб.), Москве (9,4 млн руб.), Вологодской области (6,1 млн руб.), Краснодарском крае (5,8 млн руб.), Татарстане (5,1 млн руб.), Московской области (2,44 млн руб.), Красноярском крае (2,43 млн руб.), Липецкой области (2,38 млн руб.) и Якутии (2,1 млн руб.).
Но при этом темпы роста в 2023 г. вдвое снизились по сравнению с 2022 г. Ускорение темпов увеличения рынка в FinExpertiza связали с ускоренным импортозамещением и экстренными закупками ПО взамен потерявшей работоспособность продукции ушедших с рынка зарубежных компаний.
Номинальные расходы корпоративного сегмента на разработку и закупку существующего программного обеспечения стабильно увеличивались из года в год с 2005 года. Исключением стали 2010-й и 2017-й, когда затраты снижались. Начиная же с 2018 года траты на софт демонстрируют непрерывный рост. Всего за последние шесть лет они увеличились практически в три раза.
Банк России выпустил рекомендации по выявлению дипфейков
Регулятор предупредил о возросшей активности мошенников, которые начали использовать нейросети для генерации сообщений с использованием дипфейков, полученных ими разными путями.
Вообще не про ИБ, но впечатляет: мобильный лазерный комплекс (МЛК) впервые был использован для демонтажа выведенных из эксплуатации высотных металлоконструкций – кранов-перегружателей ТЭЦ в Кургане.
У въезжающих в Турцию будут брать отпечатки пальцев
Новая система, как предполагается, поможет бороться с нелегалами. В стране зарегистрированы 4,437 млн мигрантов, большая часть которых — граждане Сирии
Турция планирует брать отпечатки пальцев у прибывающих в страну иностранцев. Об этом сообщили в МВД республики, отметив, что стратегическое решение по этому вопросу уже принято правительством. При этом ожидаемые сроки вступления новых правил в силу пока не называются.
Правительство России дополнительно выделило 2,5 млрд руб. на льготное кредитование IT-компаний, которые реализуют проекты по цифровой трансформации на основе отечественных решений. Об этом сообщается на сайте кабмина.
Распоряжение о выделении средств из резервного фонда правительства подписал премьер-министр Михаил Мишустин.
«Федеральное финансирование поможет завершить реализацию ранее поддержанных проектов, что особенно важно для дальнейшей цифровизации, цифровой трансформации отраслей экономики и, что еще важнее, для сокращения любой зависимости от иностранных аналогов», – сказал глава кабмина на заседании правительства.
Программа льготного кредитования проектов цифровой трансформации заработала в декабре 2019 г. Компании могут получить заем до 10 млрд руб. Субсидируемая ставка по программе составляет от 1 до 5% годовых, а для аккредитованных предприятий – не выше 3%. Средства можно потратить, в том числе, на приобретение ПО и лицензий на него, создание собственных технологий и софта, зарплату сотрудникам.
В 2022 г. правительство также ввело льготы для IT-специалистов, работающих в аккредитованных компаниях. Наличие компании в реестре Минцифры дает ей право претендовать на льготы по налогам, страховым взносам и др., а также предоставляет ее сотрудникам отсрочку по призыву в армию, в том числе в рамках частичной мобилизации, при соблюдении ряда условий.
29 февраля президент РФ Владимир Путин в ходе выступления с посланием Федеральному собранию заявил, что в России запускается новый национальный проект «Экономика данных», на его реализацию будет выделено 700 млрд руб. Глава государства пояснил, что в рамках нацпроекта к 2030 г. нужно сформировать цифровые платформы во всех ключевых отраслях экономики и социальной сферы.
Тендеры касаются микросхем для навигационной системы, полупроводникового импульса лазера, фотодиодов и др. Стоимость одного тендера варьируется от 300 млн до 540 млн руб.
Основанием для закупки является «развитие оборонно-промышленного комплекса РФ», говорится в материале.
По сообщению издания, отбор выиграли АО «Зеленоградский нанотехнологический центр», АО «Центральный научно-исследовательский институт “Электрон”», АО НПО «Орион», АО «НИИ “Полюс” имени М.Ф. Стельмаха» и АО «Научно-исследовательский институт космического приборостроения». Сроком выполнения заказов указан 2026 г.
В июле сообщалось, что Минпромторг поручил ГК «Элемент» к 2028 г. организовать серийное производство процессоров с топологией 65 нм. «Ведомости» со ссылкой на источники 18 июня писали, что «Элемент» в 2025 г. запустит серийное производство радиомодулей и электронной компонентной базы (ЭКБ) для базовых станций (БС) 4G и 5G.
The Telegraph: ПО для британских подлодок создавали программисты из РФ и РБ
Речь идет о внутренней сети для инженеров атомных субмарин, которая работала бы по принципу интернета, но была изолирована от него. Заказ отдали на аутсорс разработчикам из минской компании, один из которых и вовсе находился в Томске.
Программное обеспечение для инженеров британских атомных субмарин заказали аутсорсерам из России и Белоруссии. Как пишет The Telegraph со ссылкой на попавшие в ее распоряжение документы Минобороны Великобритании, несколько лет назад Rolls-Royce Submarines — конструктор атомных подлодок — обратилась к консалтинговой фирме WM Reply для разработки обновления своей внутренней корпоративной сети за полмиллиона фунтов. Фирма наняла недорогих разработчиков из Минска и Томска.
По информации The Telegraph, в британском военном ведомстве сочли, что участие белоруса и россиянина в создании внутренней сети для Rolls-Royce представляет серьезную угрозу нацбезопасности. В частности, были опасения, что программисты могли использовать созданный код для обнаружения местоположения подводных лодок. Газета отметила, что представители WM Reply несколько месяцев держали в секрете сведения об участии в проекте потенциально опасных разработчиков и даже думали дать им в отчетных документах имена умерших подданных Великобритании, чтобы скрыть от заказчика их происхождение.
В Rolls-Royce подтвердили, что сотрудники WM Reply и их субподрядчики не имели доступа к информации на защищенных серверах. «Сеть используется для отправки коммерческих уведомлений, поддержания корпоративного духа и в качестве канала связи между коллегами», — заявили в компании.
Британское командование также объявило, что безопасность не была нарушена.
Лица и голоса москвичей можно будет обрабатывать и передавать в обезличенном виде
Персональные данные жителей столицы можно будет обрабатывать и передавать в обезличенном виде, причем без прямого согласия обладателя. Тем не менее за 30 дней до передачи собранных данных операторы будут обязаны уведомить об этом владельца данных
Фото лиц и записи голоса москвичей можно будет обрабатывать и передавать в обезличенном виде, причем без прямого согласия обладателя конкретного лица и голоса. Такие поправки подготовлены ко второму чтению законопроекта об обезличивании персональных данных. Их собираются внести в закон «О проведении в Москве эксперимента по установлению правового режима, связанного с внедрением технологий искусственного интеллекта», пишет ТАСС.
В тексте есть важная оговорка: за 30 дней до передачи собранных данных операторы будут обязаны уведомить об этом человека, с которого собирались изображения лица и записи голоса. Он сможет запретить использовать эти данные. Если запрета не будет, данные будут переданы дальше.
Представители отрасли радиоэлектроники попросили Минпромторг ускорить принятие закона о запрете закупок иностранной электроники для госкорпораций и госкомпаний (компаний с госучастием). Это предложение обсуждалось на круглом столе в Торгово-промышленной палате (ТПП) Санкт-Петербурга «Локализация электроники в России: контроль производства и реализации отечественной продукции», который состоялся 19 июля 2024 г. По итогам встречи 25 июля Ассоциация предприятий в сфере радиоэлектроники, информационных технологий, цифровых инноваций и инжиниринга направила письмо министру промышленности и торговли Антону Алиханову (копия документа есть в распоряжении «Ведомостей»).
«Сейчас компании с госучастием, которые охватывают существенный объем рынка, обязаны использовать для российских продуктов только ценовую преференцию и минимальную обязательную долю, однако по факту эти механизмы практически не работают (оригинальная стилистика в цитате сохранена. – «Ведомости»), – отмечается в письме ассоциации. – Помочь отечественным производителям выйти на конкуренцию с Китаем, особенно на первом этапе, могут только запреты на иностранные закупки».
Больше половины субъектов КИИ не имопртозаместят информзащиту до конца года
Больше половины (59%) средних и крупных компаний с критической информационной инфраструктурой (КИИ) не успеют полностью перейти на отечественные решения по кибербезопасности. Такой вывод содержится в исследовании компании «К2 кибербезопасность», специалисты которой провели анонимный опрос более 80 IT- и ИБ-директоров таких компаний.
К объектам КИИ относятся отдельные наиболее важные IT-системы в банках, аэропортах, госучреждениях, сетях связи и т. д. По указу президента № 250 от 30 марта 2022 г. весь софт и программно-аппаратные комплексы (ПАК) на объектах КИИ должны быть импортозамещены до 1 января 2025 г. Введение мер объяснялось обеспечением технологической независимости и безопасности КИИ страны.
Уязвимость в Cisco позволяла менять пароли любым пользователям системы
Cisco устранила десятибалльную уязвимость в своей платформе Smart Software Manager On-Prem. Ошибка в процедуре авторизации позволяла подменять пароли любым пользователям с помощью HTTP-запроса.
Биометрическую аутентификацию Windows Hello можно обойти даунгрейдом
Система аутентификации Windows Hello for Business (WHfB), защищающая сотрудников и организации от фишинга, оказалась уязвима к атакам даунгрейда. С помощью этого вектора злоумышленники могут проникнуть на устройства в обход биометрической аутентификации.
Пароли остаются важным средством обеспечения кибербезопасности, и едва ли им найдется адекватная замена в обозримом будущем. Да, иногда вместо паролей применяют токены, но у них другая, не до конца изученная модель угроз, а ведь зачастую нужно выбирать проверенные средства. Не теряет своей актуальности и задача подбора паролей, причем задумываются над этим направлением работы не только лишь киберпреступники.
IT-компании смогут воспользоваться пониженной ставкой по налогу на прибыль в размере 5% только в отношении прибыли, полученной с продаж отечественного софта. Это следует из поправок к законопроекту о реализации основных направлений налоговой политики, принятому 23 июля в третьем чтении.
Сейчас льготой могут воспользоваться компании, имеющие государственную аккредитацию Минцифры, если они осуществляют деятельность в области IT и не менее 70% их выручки составляют «квалифицируемые» доходы в соответствии с перечнем, установленным ст. 284 НК РФ, отметила партнер департамента налогового и юридического консультирования Kept Светлана Скрипник. В этот перечень входят разработка и установка ПО, баз данных, программно-аппаратных комплексов, услуги в IT-сфере и т. д.
В последние годы в состав группы ВТБ вошли другие банки, что оставило отпечаток на всей IT-инфраструктуре, поэтому в 2019 г. у банка было сразу шесть АБС, рассказал Кулик. Перед организацией стояла задача по «приведению многосердия банковских систем в некую единую сердечно-сосудистую систему». К 2022 г. банк «практически довел эту операцию до конца»: удалил из ландшафта все шесть старых АБС, выбрал в качестве базового решения продукт от Центра финансовых технологий (ЦФТ), доработал его под себя и перевел все процессы в единый контур. Однако из-за того, что решение ЦФТ было построено на базе американской системы управления базами данных Oracle, использовать его в полной мере стало невозможно по указу президента. Тогда ВТБ принял решение создавать свою АБС, поскольку вендор не смог предложить решение, обеспечивающее приемлемый уровень работы на доступном отечественном оборудовании и системном ПО.
Охотники за 2FA-кодами Госуслуг и банков начали звонить от имени Мосэнерго
Российская правоохрана фиксирует рост числа жалоб на мошеннические звонки от имени «Мосэнерго» и «Мосэнергосбыта». В ходе беседы имитаторы выманивают одноразовый СМС-код для получения доступа к аккаунту Госуслуг или банковскому счету жертвы.
«Сбер» полностью перешел на шлюз безопасности «СберТеха»
«Сбер» полностью перешел на использование в шлюзах безопасности отечественного продукта Platform V SOWA от «СберТеха». На сегодняшний день команда «Сбера» обеспечила решением более 300 автоматизированных систем «Сбера» и более 500 проектов компании. Всего развернуто свыше 12 тыс. инсталляций Platform V SOWA.
Platform V SOWA проверяет запросы клиентов от мобильного или веб-приложения банка на наличие вредоносного контента, контролирует форматы передаваемых сообщений, балансирует и маршрутизирует трафик, а также преобразовывает транспортные протоколы. Тем самым обеспечивает высокий уровень безопасности, надежности, гибкости и масштабируемости.
Важным преимуществом решения является наличие собственного движка безопасности. Он позволяет гибко настраивать цепочки действий для фильтрации кибератак. Кроме того, решение дает командам возможность легко масштабировать свои сервисы под различные бизнес-задачи и быстрее выводить продукты в промышленную эксплуатацию.
Продукт зарегистрирован в реестре российского ПО и соответствует корпоративным требованиям в области безопасности, производительности и надежности.
Кирилл Меньшов, старший вице-президент, руководитель блока «Технологии» Сбербанка, сказал: «Platform V SOWA позволяет отказаться от дорогого оборудования в пользу более доступных решений. Это достигается за счет переноса ключевых функций ИТ-ландшафта с аппаратного слоя на программный. Переход на собственное решение позволил не только повысить надежность, но и оказал экономический эффект: совокупная стоимость владения в некоторых системах оказалась до 28 раз ниже, чем у зарубежных программно-аппаратных комплексов».
Телеграм-боты доставляют пользователям СМС-стилеры для перехвата кодов 2FA
Специалисты Positive Technologies предупреждают об активности киберпреступников, использующих Telegram в качестве командного центра (C2). В частности, исследователи выявили в мессенджере более тысячи ботов, использующих СМС-стилеры для перехвата кодов аутентификации.
В Android-версию Firefox добавили расширенную поддержку ключей доступа
Разработчики Firefox в последней Android-версии браузера добавили поддержку функции операционной системы, предназначенной для объединения ключей доступа (passkey) и сторонних менеджеров паролей.
**Уязвимость в протоколе RADIUS раскрывает сети для MitM-атак
**
Специалисты по кибербезопасности выявили уязвимость в сетевом протоколе удалённой аутентификации — RADIUS. Получившая имя BlastRADIUS брешь может использоваться в атаках вида Mallory-in-the-middle (MitM) для обхода проверки целостности.
Премьер Михаил Мишустин дал ряд поручений, призванных стимулировать переход отечественных компаний на российское ПО и программно-аппаратные комплексы. Среди предлагаемых мер инвестиционный налоговый вычет, запуск грантовой поддержки и подготовка IT-кадров. Об этом сообщается на сайте правительства РФ.
Мишустин также поручил Минэкономразвития, Минфину, Минпромторгу и Минцифры проработать запрет госкорпорациям создавать ПО, отечественные аналоги которого уже есть на российском рынке. Минцифры и ФАС поручено провести мониторинг цен российского программного обеспечения с 2021-го по 2024 год, говорится на сайте правительства. Это поможет разработать предложения по регулированию стоимости ПО в рамках госзаказа.
Российские системы сортировки багажа до 2022 г. использовались только в небольших аэропортах.
Терминал D международного московского аэропорта «Шереметьево» перевел оборудование для управления обработкой багажа на отечественный софт. Об этом рассказал «Ведомостям» директор департамента транспорта и логистики компании «Рексофт» Александр Семенов и подтвердил представитель «Шереметьево».
«Шереметьево» – самый крупный аэропорт страны. Терминал D предназначен для обслуживания пассажиров внутренних и международных воздушных линий (например, сейчас отсюда летают все шереметьевские рейсы лоукостера «Победа»). Общая площадь терминала – 170 500 кв. м, пропускная способность – 25 млн пассажиров в год. Также действует межтерминальный переход – автоматизированная система перевозки пассажиров с беспилотными поездами под летным полем из терминала D в терминалы В, C.
Почти 10 млрд паролей: специалисты сообщают о крупнейшей утечке
Исследователи в области кибербезопасности считают, что наткнулись на крупнейшую утечку паролей за всё время. Речь идёт о почти 10 млрд скомпрометированных учётных данных в виде простого текста.
В России начали активно менять мониторы, купленные до 2022 г., на новые устройства с большей диагональю
Доля отечественных мониторов на рынке в первые три месяца 2024 г. достигла 10%, подсчитали аналитики дистрибутора электроники OCS. Два года назад этот показатель не превышал 1%, уточнил представитель компании. Самыми заметными отечественными производителями мониторов на рынке стали «Бештау», «Гравитон», Aquarius, Delta Computers и LightCom, уточнил он.
«Российские устройства стали чаще выбирать корпоративные заказчики: наибольший интерес в I квартале текущего года проявили крупные компании из энергетики, нефтегазового сектора, строительства и ЖКХ, а также финансовые организации», – отметил директор департамента персональных систем OCS Distribution Александр Логинов.
Минпромторг собирается субсидировать конечную стоимость отечественных процессоров для снижения их цены до уровня иностранных чипов, сообщает «Коммерсантъ» со ссылкой на источник.
Таким образом министерство рассчитывает стимулировать спрос. По мнению участников рынка, на эти цели не потребуется значительных средств из бюджета.
По словам собеседника издания, суть в том, чтобы российские производители компьютеров, систем хранения данных и серверов могли выпустить серию техники на отечественном чипсете без роста стоимости конечного оборудования.
5 июня сообщалось, что Минпромторг разместил госзакупку на разработку и освоение производства цифровых базовых матричных кристаллов (БМК), которые должны стать заменой микросхемы Intel (Altera). 23 апреля министерство опубликовало открытый конкурс на опытно-конструкторские работы (ОКР) для освоения производства БМК под шифром «Алмаз-100». В конкурсе приняла участие единственная организация, ставшая победителем, – Научно-исследовательский институт молекулярной электроники (НИИМЭ).
27 июня «Ведомости» писали, что производитель и разработчик вычислительной техники Yadro (ООО «КНС групп», входит в «ИКС холдинг») планирует выпустить планшет на базе собственного процессора на архитектуре RISC-V в 2025 г. По словам гендиректора «Ядро клиентские системы» Дмитрия Черкасова, компания уже получила первый прототип собственного процессора на архитектуре RISC-V.
Опыт — это то, что получаешь, когда не получил того, что хотел (с) Ну, или то, чем поделятся мои коллеги на очередном вебинаре цикла про безопасность КИИ.
Тема по безопасной разработке сейчас особенно актуальна, а когда без необходимости самостоятельно вникать во все нюансы и штудировать свежую нормативку тебе всё раскладывают по полочкам, да ещё и с примерами (конечно, немало реализованных УЦСБ по этой теме проектов мне знакомы “изнутри”, но, понятно, далеко не все) - устоять просто не возможно! Пожалуй, я и не устою =) И вы не устаивайте, если заявленные тезисы интересны:
9 июля (вторник) в 12:00 (мск) состоится вебинар УЦСБ «Безопасная разработка ПО для значимых объектов КИИ».
Мы расскажем:
Какие существуют требования регуляторов к прикладному ПО, которое обеспечивает выполнение функций значимых объектов КИИ
Кто должен реализовать требования Приказа ФСТЭК России от 25 декабря 2017 г. N 239 и как им соответствовать
Как выстроить процессы безопасной разработки в организации и какие инструменты для этого необходимы
А также поделимся практическими кейсами
Вебинар ориентирован на:
Топ-менеджмент организаций, подпадающих под сферу действия 187-ФЗ
Руководителей и сотрудников отделов кибербезопасности субъектов КИИ
Всех, кто интересуется защитой данных и кибербезопасностью
Для участия в вебинаре необходимо зарегистрироваться на его странице: https://www.kiiussc.ru
Участники мероприятия получат запись встречи и презентацию, а также приятный подарок (мерч УЦСБ) за самый интересный вопрос.
Защиту Passkey Microsoft- и GitHub-аккаунтов можно снять AitM-атакой
Эксперт eSentire доказал возможность взлома аккаунтов, защищенных Passkey. Многие сайты и сервисы предлагают этот способ аутентификации как опцию, и ее можно удалить со страницы входа через атаку «противник посередине» (Adversary-in-the-Middle , AitM).
Дыра в роутере D-Link DIR-859 используется для кражи паролей
Киберпреступники используют уязвимость в Wi-Fi-роутере D-Link DIR-859 для сбора информации на устройстве жертвы. В числе прочих данных злоумышленниками пытаются вытащить и пароли.
Из списка параллельного импорта могут исключить продукцию американской HP и японской Fujitsu. Об этом консорциум «Вычислительная техника» (АНО ВТ, объединяет ряд крупных российских производителей электроники, в том числе «Аквариус», Yadro, Depo и др.) попросил Минпромторг. Это следует из письма, которое ассоциация направила 25 июня на имя замминистра промышленности и торговли Василия Шпака (есть в распоряжении «Ведомостей», его подлинность подтвердил источник, знакомый с обсуждением инициативы).
Представитель Минпромторга подтвердил получение письма, пояснив, что «оно будет рассмотрено в установленном порядке». Он также отметил, что Минпромторг на постоянной основе собирает от отраслевых объединений предложения по корректировке перечня параллельного импорта.
Российские госкомпании за последний год – с июля 2023 г. по июнь 2024 г. – провели 28 закупок программного обеспечения от американской Adobe, сообщили «Ведомостям» в поисково-аналитической системе по управлению тендерами «Тендерплан». Общий объем госзакупок продуктов Adobe был небольшим: за год он составил всего 27,2 млн руб. по начальной максимальной цене закупки (НМЦ), а фактическая цена закупок составила 21,5 млн руб.
В 2024 г. иностранный софт практически исчез из госзакупок на волне импортозамещения. За пять месяцев 2024 г. состоялось лишь две госзакупки ПО Microsoft на общую сумму 30 400 руб. против 11 госзакупок этого ПО на 721 500 руб. за аналогичный период 2023 г., говорит гендиректор «Тендерплана» Максим Кузнецов. По словам Кузнецова, за тот же период 2022 г. было объявлено 149 гостендеров на закупку ПО Microsoft на общую сумму 615,8 млн руб., а фактические госзакупки тогда превысили 100 млн руб.
«Лаборатория Касперского»: как мошенники используют OTP-боты для обхода двухфакторной аутентификации
Популярность метода двухфакторной аутентификации привела к появлению многочисленных способов взломать или обойти его. Чаще всего в качестве второго фактора используется верификация с помощью одноразовых кодов, или OTP (One Time Password). Их можно получить различными способами — в виде SMS, голосового сообщения по телефону, письма на почту, сообщения в мессенджере от официального бота сервиса или пуш-уведомления от приложения. За этими кодами и охотится большинство онлайн-мошенников. Например, для перехвата кодов они используют OTP-боты — автоматизированное ПО, способное выманивать у пользователей одноразовые пароли в схемах с использованием социальной инженерии.
**Злоумышленники крадут логины и пароли от почты под видом представителей компании из Дубая
**
Эксперты «Лаборатории Касперского» обнаружили новую фишинговую схему, в которой атакующие пытаются украсть учетные данные от почтового ящика. Она нацелена на российских пользователей, вероятно — на представителей небольших компаний, сегмента МСБ. Злоумышленники под видом главы отдела закупок дубайской компании интересуются наличием некоего продукта или аналогичной модели
Россия в рамках разрабатываемого нового нацпроекта будет развивать средства производства и автоматизации. Об этом заявил премьер-министр РФ Михаил Мишустин, передает «Интерфакс».
«На сегодняшний день мы поддержали по поручению президента новую программу развития средств производства и автоматизации. Это национальный проект будет, в нем есть и проекты станкостроения, и робототехники, и по машиностроению», — сказал Мишустин в пятницу во время посещения Московского государственного технологического университета (МГТУ) «Станкин».
Об этом сообщила компания на своем официальном сайте «Русала» 21 июня 2024 г.
Кампания по импортозамещению рассчитана до 2031 г. Судя по сообщению «Русала», для перехода на отечественное оборудование выделили 20 млрд руб., на данный момент сумма предварительная и в ходе реализации программы может вырасти.
«Ранее отечественные разработчики контроллерного оборудования и соответствующего софта не реализовывали проектов подобного масштаба. Такие крупные долгосрочные заказы позволят российским производителям систем автоматизации инвестировать в расширение производства и освоение новых компетенций, повысить свою глобальную конкурентоспособность», — пишут представители компании.
Могут ли дипфейки сделать биометрическую идентификацию бесполезной?
С практикой использования биометрии все уже хорошо знакомы. Имеют хождение биометрические паспорта, развиваются системы видеофиксации лиц. На рынке успешно работает ряд компаний, предлагающих биотокены для безопасного доступа к информационным системам. Но куда движется этот сегмент?
Kaspersky: 45% найденных в дарквебе паролей подбираются менее чем за минуту
Специалисты «Лаборатории Касперского» в этом месяце изучили 193 миллиона паролей, лежащих в открытом доступе на ресурсах дарквеба. Вывод неутешительный: 45% (87 млн) подбираются менее чем за минуту.
«Р-фон» подключается к рынку
Российский смартфон «Р-фон» готовится к выходу на потребительский рынок. Речь об устройстве на отечественной операционной системе «РОСА Мобайл». Его протестировали 13 июня, следующие испытания намечены на конец месяца. Гаджет представили в 2023 году, разработкой занималась компания «РуТЭК». Тогда, впрочем, говорили о старте продаж только для корпоративных клиентов.
«Р-фон» собирают на заводе в Саранске. Мордовские власти называли гаджет антишпионским смартфоном. Разработчики уверяют, что для обеспечения безопасности инженеры сами пишут программы. Предполагается, что на устройстве будет стоять учетная запись «РОСА ID» для доступа к сервисам экосистемы, а также собственный мессенджер, магазин приложений и облачное хранилище.
Все устройства, которые сейчас делаются в России с пометкой “отечественное”, следует все-таки воспринимать как технику для госсектора. Эти устройства конкурентно проигрывают практически всему, что уже есть на рынке. И настолько долго они делаются, что на момент анонса они еще имеют какой-то смысл, но китайцы за то время, которое пройдет до выхода гаджетов в серию, создадут четыре поколения смартфонов. Поэтому это, к сожалению, сложнопреодолимая преграда на данном этапе. На этом же поломалась Yota, несмотря на то, что у них было несколько интересных решений. Устройства, которые анонсировали и которые выходили, появлялись совершенно в разных ситуациях в мире.
Минпромторг заморозил программы господдержки развития радиоэлектроники
Минпромторг приостановил выдачу субсидий по направлению радиоэлектроники и проверяет эффективность использования ранее выделенных компаниям средств. Об этом «Ведомостям» рассказали три топ-менеджера компаний – производителей электроники. Собеседники связывают это с невыполнением получателями средств показателей госпрограммы «Развитие электронной и радиоэлектронной промышленности», отсутствием дополнительного финансирования, а также пересмотром планов работы Минпромторга в связи с назначением министром Антона Алиханова (экс-губернатор Калининградской области стал министром в новом правительстве в мае).
«Новый министр промышленности озабочен эффективностью расходования средств на IТ», – говорит один из опрошенных «Ведомостями» топ-менеджеров. По его словам, Алиханова в этом поддерживает Счетная палата в лице ее нового председателя Бориса Ковальчука (также назначен в мае 2024 г.). «Все заморозки и переносы сделаны для того, чтобы подвести результаты и пересмотреть предыдущие субсидии. Так или иначе финансирование получали одни и те же участники рынка», – отметил собеседник. Близкий к правительству источник, в свою очередь, говорит, что решение о приостановке выдачи субсидий было принято еще до прихода в Минпромторг нового руководства.
Минпромторг начал поиск разработчика для отечественной игровой приставки. Этот вопрос еще в марте поручил проработать Владимир Путин, пишет РБК со ссылкой на пресс-службу министерства.
Минпромторг уже обсуждает проект совместно с заинтересованными ведомствами и бизнесом, отметили в пресс-службе министерства. На данном этапе определяются потенциальные исполнители среди производителей, а также необходимые для этого ресурсы и меры поддержки.
Но эксперты на рынке не уверены, что проект получится реализовать и окупить без госсубсидий. При этом создать российский аналог Xbox или Sony PlayStation может быть крайне сложно.
Как пишет РБК со ссылкой на экспертов, для того чтобы консоль привлекла внимание потребителя, она должна иметь минимум 150 адаптированных игр. В частности, около десяти из них высокобюджетных уровня «Ведьмака», Elden Ring и Baldur’s Gate III. Средняя цена на такую консоль, чтобы окупить затраты на производство при продаже хотя бы 20 млн штук, должна составлять около 50-60 тысяч рублей. По такой цене в магазинах реализуются PlayStation 5.
Критическая брешь обхода аутентификации затрагивает 7 моделей роутеров ASUS
ASUS выпустила обновление прошивки, которое должно устранить опасную уязвимость, затрагивающую семь моделей роутеров. В случае эксплуатации эта брешь позволяет удаленному злоумышленнику залогиниться.
Firefox теперь защищает сохраненные пароли аутентификацией на уровне ОС
Mozilla усовершенствовала защиту локально сохраненных в Firefox учетных данных. Теперь получить доступ к паролям можно с помощью одного из способов аутентификации на устройстве: сканирования отпечатка пальца, лица или ввода ПИН-кода.
В официальных закупках к концу 2023 г. доля отечественных решений на российском рынке CAD (Computer-aided design), или САПР (средств автоматизированного проектирования), в денежном выражении составила 90%. Но на деле значительную часть рынка до сих пор составляют пиратские версии иностранного софта, а на российское ПО приходится порядка 15–20% рынка используемых лицензий. Об этом «Ведомостям» рассказали собеседник в одной из крупных IT-компаний и руководитель лаборатории стратегического развития продуктов кибербезопасности аналитического центра кибербезопасности компании «Газинформсервис» Дмитрий Овчинников.
САПР используют компании, которые занимаются проектированием (изделий или зданий и сооружений), разработкой конструкторской, технологической, строительной документации, объясняет генеральный директор компании «Аскон» Максим Богданов. Наиболее крупными потребителями такого софта считаются предприятия из отраслей машиностроения, строительства, металлургии, ТЭК и химии. В основном САПР используют в своей деятельности проектные институты, строительные компании, в меньшей степени – студенты вузов, говорит Овчинников.
Лидером сегмента стала компания – разработчик решений для автоматизации ресторанов iiko: ее выручка за год приросла на 46% до 3 млрд руб. В 2023 г. количество клиентов компании достигло 22 000 в России и странах СНГ – Узбекистане, Киргизии и Таджикистане, указано в отчете. Из него следует, что рост был связан с развитием внутреннего туризма в России. За год появилось много новых ресторанов и отелей, которые заинтересованы в развитии и систематизации всех процессов, говорится в исследовании, отмечают в Smart Ranking.
Минпромторг сделает полигоны для тестирования оборудования для производства чипов
Минпромторг определился с тремя направлениями, по которым планируется создание полигонов для тестирования оборудования и материалов для производства электроники. Такие площадки будут созданы для проведения испытаний в областях опто- и СВЧ-электроники, для силовой и микроэлектроники и для фотошаблонов. Об этом «Ведомостям» рассказал представитель ведомства.
О том, что такие полигоны нужны, замминистра промышленности и торговли Василий Шпак говорил еще в интервью «РИА Новости» в начале ноября 2023 г. В интервью речь шла о возможности переиспользования и реконструкции под эти нужды существующих мощностей заводов в Москве, Зеленограде, Санкт-Петербурге и Новосибирске.
Модуль МП21 выполнен в бескорпусном исполнении, его масса составляет около 100 г без теплораспределительной пластины. Потребляемая мощность — меньше 40 Вт. Может работать при температурах от –40°С до +55°С. Разработкой занимались специалисты ИНЭУМ им. Брука (входит в «Росэлектронику»).
Установленный в МП21 двухъядерный процессор «Эльбрус-2С3» имеет тактовую частоту не менее 1600 МГц, снабжен встроенным графическим ядром, что позволяет использовать компьютер в системе отображения информации. МП21 оснащен оперативной памятью до 8 ГБ и твердотельным накопителем от 60 до 480 ГБ.
МП21, как отмечает «Ростех»,— полностью российская разработка, способная заменить иностранные аналоги. Может применяться на объектах с повышенными требованиями к информационной безопасности. Предполагается, что компьютер можно будет использовать в бортовых вычислителях авиационной техники. Первый заместитель гендиректора ИНЭУМ им. Брука Игнат Бычков считает, что массогабаритные характеристики компьютера «значительно повышают вариативность его использования».
Дыры в биометрических терминалах ZKTeco позволяют обойти контроль доступа
Специалисты «Лаборатории Касперского» обнаружили сразу несколько уязвимостей в биометрических терминалах производства компании ZKTeco. В случае эксплуатации злоумышленники могут обойти систему контроля доступа и физически проникнуть в охраняемые места.
«Для поддержки IT-отрасли предусмотрим целый ряд мер, включая учет с повышенным коэффициентом расходов на отечественные цифровые решения в расчете налога на прибыль. Также установим пониженную ставку по налогу на прибыль в размере 5% для российских IT-компаний. Она будет действовать до 2030 г. включительно», – сказал он.
Президент подчеркнул, что в горизонте 6 лет не менее 80% российских организаций ключевых отраслей экономики должны перейти на отечественное программное обеспечение в производственных и управленческих процессах.
28 мая «Ведомости» со ссылкой на источник в Минфине писали, что налогообложение для IT-компаний изменится. С начала 2025 г. они будут платить налог на прибыль по ставке 5%. В 2020 г. власти снизили ставку налога на прибыль для IT-компаний до 3% вместо стандартных 20%. Кроме того, были уменьшены тарифы страховых взносов – с 14 до 7,6% бессрочно.
Apple покажет новое приложение Passwords на следующей неделе
По последним сообщениям, Apple планирует представить новое приложение «Passwords», которое поможет пользователям управлять учётными данными. Анонс ожидается на конференции для разработчиков WWDC (пройдёт на следующей неделе).
«Элемент» начнет производить комплектующие для «Атомов»
ГК «Элемент» начнет поставлять электронику для российского электромобиля «Атом», разработку которого ведет компания «Кама». В планах компаний – наладить совместную разработку электронной компонентной базы (ЭКБ) широкого применения для электромобилей. Об этом «Ведомостям» сообщил представитель «Элемента». Представитель «Камы» подтвердил планы по сотрудничеству.
У «Элемента» уже есть линейка электронных компонентов для автопрома (различные микросхемы), которые производятся на принадлежащем ГК зеленоградском заводе «Микрон». Для «Атома» список компонентов будет расширен за счет разработок «Элемента» в части силовой электроники на основе карбида кремния, таких как транзисторы, силовые диоды, силовые модули и преобразователи. Эти устройства используются в управлении электродвигателем и зарядной инфраструктуре.
Учебный центр Эшелон, преподаватели которого сами имеют сертификаты CISSP (Certified Information Systems Security Professional) и ранее проводили курсы по подготовке к сдаче соответствующего зарубежного экзамена, теперь будет готовить к сертификации ЦЫССП (зачёркнуто) к ССК (Сертифицированный специалист по кибербезопасности).
Как заявлено в описании: «Данный сертификационный экзамен является отечественным аналогом американского CISSP».
Что особо интересно в наше меркантильное время: «Онлайн-подготовка к сдаче экзамена и онлайн-экзамен будут бесплатными для соискателей».
И вот это тоже примечательный ход: «Отдельное преимущество для всех граждан России, обладающих действующим сертификатом CISSP: они смогут получить сертификат ССК без сдачи экзамена».
Пора уже Заказчикам в требованиях к исполнителю в ТЗ начинать писать: «Наличие в штате сертифицированных специалистов CISSP и/или ССК», как считаете?
Рынок ждет смартфонов «Р-фон» с лета 2023 г., но пока их никто не видел. По данным СПАРК, заводом «Рутек» Рейман владеет напрямую с 2015 г.
Компания «Рутек», принадлежащая экс-министру связи Леониду Рейману, планирует построить новый завод на территории особой экономической зоны (ОЭЗ) «Система» в Саранске. Строительство должно быть завершено в 2025 г. Инвестиции в проект составят «несколько миллиардов рублей», рассказал «Ведомостям» гендиректор «Рутека» Дмитрий Иванников. Он уточнил, что соглашение с главой Мордовии Артемом Здуновым о строительстве предприятия будет подписано в рамках ПМЭФ-2024.
Резиденты ОЭЗ в Мордовии с сентября 2023 г. получают налоговые льготы. В частности, ставка по налогу на прибыль в течение пяти налоговых периодов составляет 0%, с шестого по десятый периоды – 2%, после этого срока – 13,5%. «Ведомости» направили запрос в правительство региона.
Специализированный мобильный браузер SFERRA от компании SafeTech - альтернатива работе с, например, личным кабинетом банка через обычный мобильный браузер. Ждём теперь появление в магазинах приложений и запуска совместных проектов с банками.
Аналог кристалла Intel можно встраивать в электронику для самолетов и космических аппаратов.
Минпромторг России разместил госзакупку на разработку и освоение производства цифровых базовых матричных кристаллов (БМК), которые должны стать заменой микросхемы Intel (Altera). Ведомство опубликовало открытый конкурс на опытно-конструкторские работы (ОКР) для освоения производства БМК под шифром «Алмаз-100» 23 апреля. На проект выделено 370 млн руб. В конкурсе принимала участие всего одна организация, ставшая победителем, – Научно-исследовательский институт молекулярной электроники (НИИМЭ).
Согласно описанию объекта закупки, БМК разрабатываются для обеспечения ускоренной разработки цифровых изделий с большим количеством цифровых блоков и высокой скоростью выходных данных. Микросхемы предназначены для использования в бортовых цифровых вычислительных системах авиационной и космической техники, в том числе в качестве замены зарубежных программируемых логических интегральных схем (ПЛИС) семейства Cyclone V компании Intel (Altera), указано в документации.
На текущий момент почти все банкоматы в России и в мире работают на операционной системе Windows, которая принадлежит корпорации Microsoft. Тинькофф в рамках своей стратегии по импортозамещению разработал собственное программное обеспечение на операционной системе с открытым исходным кодом Linux.
Все программное обеспечение устройств, включая логику работы банкомата (бэкенд) и пользовательские интерфейсы, разработано внутри Тинькофф.
Число продуктов в едином реестре российского программного обеспечения (ПО) превысило 21 000. Это следует из данных замдиректора департамента развития IT-отрасли Минцифры РФ Алексея Дорожко, с которыми ознакомился ТАСС.
В реестр российского ПО на данный момент входят 21 201 продуктов и 7 928 правообладателей. В апреле премьер-министр России Михаил Мишустин заявлял, что в реестр вошло более 20 000 IT-решений. Так, за месяц список пополнили более 1000 продуктов.
21 мая стало известно, что Минэкономразвития упростило патентование IT-разработок. Чтобы получить правовую охрану изобретения, разработчик должен подтвердить работоспособность технологии с использованием реальных устройств. В тот же день Мишустин отчитался, что инвестиции компаний всех отраслей в IT превысили 4 трлн руб.
29 мая «Ведомости» писали, что Минцифры предложило запретить «IT-дочкам» госкомпаний разрабатывать для внутреннего пользования базовое ПО, аналоги которого уже есть на рынке в России. Ведомство объяснило эту инициативу концентрацией финансовых ресурсов – их эффективнее направлять на разработку продуктов, которыми будет пользоваться весь рынок, а не только одна компания, которая занималась разработкой.
Обзор российского рынка инфраструктурного ПО от Strategy Partners:
Российский рынок ПО вырос на 14% в 2023 году. Отмечается рост качества российских продуктов за счет притока финансовых и людских ресурсов на фоне ухода западных вендоров.
Сегмент инфраструктурного ПО достиг 101 млрд рублей (прирост +31% к уровню 2022 года), но по-прежнему не достиг уровня 2021 года. Доля отечественных вендоров в сегменте превысила 50%.
Прогноз ИТ-рынка в РФ на 2030 год сохраняется — он продолжит рост с темпами 13% год к году и достигнет 7,0 трлн рублей.
Рынок средств резервного копирования вырос на 30% и приблизился к уровню 2021 года. Выручка лидера («Киберпротект») выросла на 122%
Рынок решений для виртуализации вырос на 37% по причине высокого приоритета импортозамещения данного класса ПО у заказчиков
Минцифры предложило запретить «IT-дочкам» госкомпаний разрабатывать для внутреннего пользования базовое программное обеспечение (ПО), аналоги которого уже есть на российском рынке. Об этом заявил министр Максут Шадаев 26 мая на конференции TAdviser SummIT 2024. Он уточнил, что запрет коснется софта, для которого госкомпания не планирует дальнейшей коммерциализации. По его словам, соответствующие нормативные акты министерство подготовит до конца года.
Эту инициативу глава Минцифры объяснил концентрацией финансовых ресурсов, которые было бы эффективнее направлять на разработку конкурентных продуктов, которыми будет пользоваться весь рынок, а не одна госкомпания-разработчик.
Минцифры рассматривает введение сбора с российских компаний, продолжающих использовать иностранный софт. Об этом заявил глава ведомства Максут Шадаев на TAdviser SummIT, передает ТАСС.
По его словам, правительство обсуждает создание дополнительных стимулов для перехода бизнеса на российское ПО, речь идет о «налоговых мотивациях».
Вместе с тем Минцифры думает о введении «определенной платы, сбора» для компаний, которые хотят продолжить пользоваться зарубежным софтом. Шадаев выразил мнение, что такая мера должна «уравнять» условия внедрения российского ПО с иностранным.
На пленарном заседании IX конференции «Цифровая индустрия промышленной России» (ЦИПР) премьер-министр РФ Михаил Мишустин сообщил, что кабмин рассматривает идею предоставления льготных кредитов для перехода компаний на российский софт. По его оценке, к декабрю 2024 г. более половины российских компаний будут использовать отечественное ПО. Мишустин добавил, что правительство будет компенсировать организациям до половины затрат на внедрение отечественного инженерного и промышленного ПО.
Пользователи Яндекса смогут проверить и повысить защиту аккаунта
В Яндекс ID появился инструмент для простой и удобной настройки уровня безопасности аккаунта. С его помощью пользователи могут проверить, насколько защищён их аккаунт, и настроить дополнительную защиту. Проверка доступна в личном кабинете Яндекс ID в разделе «Безопасность».
> The following links are for free and low-cost online educational content on topics such as information technology and cybersecurity. Some, not all, may contribute towards professional learning objectives or lead to industry certifications and online degrees.
У металлургов, химиков и в других отраслях промышленности требования к контроллерам могут существенно различаться, отмечают эксперты/ Максим Стулов / Ведомости
«Северсталь» планирует создать контроллер на базе открытой платформы при участии других компаний металлургической и химической отраслей. Такое устройство позволит считывать сигналы датчиков и давать команды электродвигателям, насосам, прессам и может использоваться в добыче полезных ископаемых и изготовлении металлопроката. О потребности в таком контроллере заявил владелец, председатель совета директоров «Северстали» Алексей Мордашов на конференции «Цифровая индустрия промышленной России» (ЦИПР-2024) в Нижнем Новгороде. Сейчас «Северсталь» использует контроллеры немецкой Siemens, американской GE и японской Omron, уточнил «Ведомостям» представитель компании.
«Мы начали пилот по созданию собственного российского контроллера с российским производителем. Мы рассчитываем, что в I квартале будущего года мы уже будем в состоянии представить российский контроллер, сделанный по нашему заказу, с нашим дизайном совместно с российским разработчиком», – заявил Мордашов. Партнера он не назвал.
Настройка аутентификации по протоколу WebAuthn в OpenAM
WebAuthn - протокол, разработанный консорциумом W3C и FIDO Alliance для аутентификации без паролей. Используя WebAuthn, можно аутентифицироваться, используя биометрию мобильного телефона или ноутбука. Можно так же использовать аутентификацию при помощи аппаратных USB токенов. В данной статье мы настроим вход по протоколу WebAuthn в системе управления аутентификацией с открытым исходным кодом - OpenAM.
«Ростелеком» создаст собственную импортонезависимую биллинговую систему на базе отечественной системы управления базами данных (СУБД) Pangolin от «Сбера». Ранее биллинг госоператора базировался на компонентах американской Oracle. Об этом заявил вице-президент «Ростелекома» Дарий Халитов на пленарной сессии индустриального центра компетенций «Мобильная и фиксированная связь» на конференции «Цифровая индустрия промышленной России» (ЦИПР-2024) 22 мая.
Биллинговые системы – софт, позволяющий собирать информацию об использовании услуг и их тарификации и отвечающий за выставление счетов абонентам и обработку платежей. Биллинг – это жизненно важная система для оператора, объясняет генеральный директор «Комфортела» Дмитрий Петров.
Базовые станции 4G «Иртея» будет ставить в реальную сеть, а оборудование 5G будет работать в тестовых зонах, сообщил Лаконцев. Чтобы технику «Иртеи» допустили до реальной эксплуатации в сети оператора, она должна пройти весь цикл испытаний, который займет около трех месяцев (с августа по октябрь), пояснил топ-менеджер. «Испытания устроены по стандартному сценарию: лабораторные, потом на открытой местности, потом драйв-тесты, т. е. испытания движения в рельефе и испытания по производительности, когда на определенное количество дней снимаются характеристики с реально работающей сети стандартного вендора, например Nokia. И потом Nokia демонтируется, ставятся наши базовые станции и еще 10 дней снимаются характеристики и показываются сравнимые результаты со стандартным вендором. Конечно, мы соревнуемся с довольно старенькой Nokia, она уже возрастная, ей 5–7 лет, но если хотя бы это сделать, то будет огромный challenge», – рассказывал Лаконцев на сессии.
В России создана импортонезависимая АСУ ТП для крупных предприятий с непрерывным производством
Холдинг «Т1» готовится вывести на рынок АСУ ТП «Силарон» для крупных предприятий с непрерывным производством. Уже создан опытный образец комплекса , который сейчас проходит тестирование. Аппаратная часть построена на отечественной компонентной базе, сборка устройств будет осуществляется на территории России. Ожидается, что на первых порах будет производиться до 3,5 тыс. модулей в год.
За четыре года вложения компаний всех отраслей в цифровые технологии выросли более чем на 80% и превысили 4 трлн руб. Об этом заявил 21 мая на пленарной сессии конференции «Цифровая индустрия промышленной России» (ЦИПР) в Нижнем Новгороде премьер-министр Михаил Мишустин. По его словам, инвестиции в развитие IT-инфраструктуры увеличились на треть до 1,5 трлн руб., вложения во внедрение программных продуктов – в 2,5 раза (абсолютные объемы премьер не привел).
Самыми востребованными Мишустин назвал программы по управлению бизнес-процессами и производством, на 2-м месте – системы цифрового проектирования и моделирования. «По поручению президента [России Владимира Путина] надо увеличить темпы инвестиций в них, как вы помните, на уровне как минимум вдвое выше валового внутреннего продукта», – заявил глава правительства. По его словам, 80% всех предприятий к концу десятилетия должны перейти на отечественный софт.
Начались испытания первого российского литографа. С помощью этой технологии можно выпускать большеразмерные чипы до 350 нанометров, заявил замминистра промышленности и торговли России Василий Шпак, в кулуарах конференции ЦИПР в Нижнем Новгороде. Испытания, по словам Шпака, начались в Зеленограде. Чипы размером до 350 нанометров используются в микроконтроллерах, телекоммуникационных схемах, автомобильной электронике.
Следующий шаг, отметил замминистра, — это выпуск чипов до 130 нанометров к 2026 году. Оборудование такого уровня сложности собирают лишь несколько мировых игроков, включая нидерландский ASML, Canon и Nikon.
А дальше будет разработка литографа для чипов 90 нанометров и оборудования для еще более тонких техпроцессов, заключил Шпак. Это уже уровень чипов современных смартфонов. Те чипы, выпуск которых Россия тестирует уже сейчас, уже могут использоваться в системах наведения ракет или в системах наведения дронов с помощью искусственного интеллекта.
Идея создания отечественной игровой консоли обсуждается. Об этом заявил заместитель министра промышленности и торговли Василий Шпак на конференции «Цифровая индустрия промышленной России» (ЦИПР).
«Обсуждение идеи по созданию отечественной игровой приставки в РФ ведется, дискуссия идет, мы на связи с отраслевым сообществом и собираем обратную связь по тому, кто и какими ресурсами обладает для ее создания», – сказал он (цитата по ТАСС).
Шпак обратил внимание, что при этом параллельно должен идти процесс создания российских видеоигр, чтобы «было во что играть на этих консолях». Замминистра добавил, что это «серьезная, комплексная работа», поскольку игры являются одним из инструментов воспитания молодежи.
Он также отметил важность сотрудничества с разработчиками из дружественных стран, поскольку на фоне санкций большинство зарубежных игр, которые есть на рынке РФ, не будут совместимы с отечественной консолью.
В конце марта президент РФ Владимир Путин поручил правительству РФ рассмотреть вопрос об организации производства стационарных и портативных игровых приставок и консолей. Срок исполнения – до 15 июня 2024 г.
В апреле и начале мая продажи игровых консолей в России вырос на 51%, а средний чек увеличился на 12% до 25 050 руб., писали «Ведомости». Самыми популярными были PlayStation, Xbox и Nintendo Switch. По данным re:Store, в апреле и начале мая по сравнению с аналогичным периодом прошлого года продажи портативных игровых приставок выросли на 30%, а стационарных – на 5%.
Серверы и системы хранения данных могут быть исключены из списка параллельного импорта, пишет ТАСС со ссылкой на замминистра промышленности и торговли России Василия Шпака.
«Да, сейчас мы действительно получили предложения от отрасли. Прорабатываем запрос на исключение части позиций по вычислительной технике. В первую очередь обсуждаем серверы и системы хранения данных», – рассказал он агентству.
9 апреля «Ведомости» писали, что Минпромторг прорабатывает вопрос повышения ввозных таможенных пошлин на радиоэлектронную продукцию. В ведомстве сообщили, что в первую очередь рассматривается возможность повышения пошлин по товарным категориям, в которых объем внутреннего производства достаточен для покрытия потребностей рынка.
25 декабря 2023 г. глава Минпромторга Денис Мантуров сообщил, что механизм параллельного импорта будет продлен на 2024 г. Он также заявил, что перечень и номенклатура товаров будут уменьшаться по мере того, как российские компании начнут выходить на заданные показатели объемов и качества.
Параллельный импорт предполагает ввоз в РФ оригинальных товаров без разрешения правообладателя или производителя, данный механизм заработал 29 марта 2022 г. в ответ на западные санкции. В конце прошлого года первый вице-премьер России Андрей Белоусов заявлял, что за два года по параллельному импорту в Россию ввезли товаров на сумму более $70 млрд.
Смартфоны на Android 15 получат аутентификацию по одному тапу через passkey
В Android 15 и Wear OS 5 обнаружилось еще одно интересное нововведение: усовершенствование процесса аутентификации с помощью ключей доступа (passkeys). Смартфоны на Android получат возможность аутентифицироваться «по одному тапу».
Кабмин рассматривает идею с льготами для перехода компаний на отечественный софт
Правительство РФ рассматривает идею предоставления льготных кредитов для перехода компаний на российский софт. Об этом заявил премьер-министр Михаил Мишустин на пленарном заседании IX конференции «Цифровая индустрия промышленной России» (ЦИПР), передает пресс-служба кабмина.
«Михаил Мишустин сообщил, что правительство рассматривает возможность предоставления компаниям льготных кредитов для перехода на отечественный софт», – говорится в сообщении.
По оценке премьера, к декабрю 2024 г. более 50% российских компаний будут использовать отечественный софт. Он отметил, что предприятия заинтересованы в применении отечественных разработок, но есть препятствия для этого, в частности, финансовые. Мишустин добавил, что правительство будет компенсировать организациям до половины затрат на внедрение отечественного инженерного и промышленного ПО.
В январе 2024 г. «Ведомости» писали, что Минцифры установило для госкорпораций и компаний с госучастием сроки перехода на отечественный софт. Российские операционные системы (ОС), офисные пакеты, антивирусные программы и системы виртуализации они должны будут использовать с 1 января 2025 г., а системы управления базами данных (СУБД) – с 1 января 2026 г.
В феврале стало известно, что кабмин и ЦБ определят жесткий порядок перехода на отечественный софт. В частности, они будут формировать перечень объектов критической информационной инфраструктуры (КИИ), которые должны будут с 2025 г. обязательно отказаться от зарубежного софта.
Минэкономразвития определило правила патентования IТ-разработок и разместило соответствующий приказ на сайте правовых актов. Для получения правовой охраны изобретения разработчик должен будет подтвердить работоспособность технологии с использованием реальных устройств. Ранее такие патенты на софт не выдавались, так как правил патентования не было, а IТ-разработки охранялись только авторским правом, которое защищало дизайн и код на бумаге, но не принцип работы продукта. Это облегчало кражу непатентованного продукта разработчиков конкурентами.
Приказ Минэкономразвития – это ответ на запрос бизнеса, отметил заместитель министра экономического развития Максим Колесников в ответе на запрос «Ведомостей». «Теперь мы вносим определенность по патентованию решений в области IТ. Изменения помогут российским разработчикам защищать свои инновационные решения», – пояснил он.
Стоимость проекта до конца года может превысить 600 млн рублей
О том, что РЖД планирует переводить рабочие устройства сотрудников на операционную систему «Аврора», компания заявила еще в августе 2023 г., писало «РИА Новости». Однако никаких деталей своего плана компания тогда не раскрывала. Сейчас стало известно, что переход пройдет в два этапа. Первую партию – 7000 отечественных устройств – компания закупила в конце 2023 г., до конца 2024 г. будет закуплено еще 9000 гаджетов. В июне 2023 г., по данным «РИА Новости», в ФПК работало 28 000 проводников. Однако устройства не привязаны к конкретным людям и нужны только тем проводникам, кто непосредственно занимается проверкой билетов, документов пассажиров, их регистрацией при посадке на поезд или отслеживает информацию о заказах, оформленных пассажирами в процессе поездки. Поэтому 16 000 устройств – это количество, необходимое, чтобы полностью перевести сотрудников на отечественные решения, объяснил представитель ФПК.
В ФПК не раскрыли, ни какие именно устройства приобретает компания, ни сумму закупки. На портале госзакупок информация о деятельности РЖД скрыта с начала 2023 г.
По оценке экспертов, инвестиции в проект могут начинаться от 180 млн рублей
Газпромбанк импортозамещает программные решения для виртуализации серверов и рабочих мест сотрудников на софт отечественной компании «Базис». На данный момент банк перевел на российское решение 1000 рабочих мест, а всего до конца 2025 г. планирует перевести 30 000, рассказал «Ведомостям» генеральный директор «Базиса» Давид Мартиросов и подтвердил представитель Газпромбанка. Таким образом, компания планирует полностью перейти на отечественные решения: судя по информации, указанной на официальном сайте банка, всего там работает «более 20 000 сотрудников».
Речь идет о решениях, которые позволяют компаниям экономить на «железе», повышать уровень безопасности и контролировать работу сотрудников: все данные централизованно хранятся на серверах, а не на рабочих компьютерах сотрудников, доступ к данным можно централизованно контролировать, при этом сотрудники не могут самостоятельно поставить на рабочий компьютер какие-либо сторонние приложения.
Россия впервые запустила спутники связи с 5G
Россия впервые запустила три низкоорбитальных спутника связи со стандартом 5G NTN для связи с абонентами. Об этом сообщает Министерство цифрового развития.
Спутники запустила российская компания «Бюро 1440», это ее вторая исследовательская миссия. Первая миссия «Рассвет-1» началась 27 июня 2023 г., ее признали полностью успешной.
Спутники миссии «Рассвет-2» разрабатывались 14 месяцев, они в два раза больше по массе и габаритам из-за нового оборудования. Также отмечается, что при прохождении первой миссии скорость составляла 48 Мбит/сек, задержка – 42 миллисекунды. Такие показатели позволяют сделать видеозвонок на несколько человек и смотреть телевидение в разрешении 4К. Результаты второй миссии ожидаются в ближайшие месяцы.
18 мая замглавы Минцифры Дмитрий Угнивенко заявил, что тестовые зоны сетей мобильной связи пятого поколения (5G) появятся в России до 2030 г. в каждом субъекте страны. Появление тестовых 5G зон предусматривается проектом национальной программы «Экономика данных и цифровая трансформация государства». Замминистра добавил, что ведомство планирует создать единую сеть интернета вещей (IoT) – она позволит управлять удаленными датчиками, собирать данные в единую инфраструктуру в дистанционном формате без участия человека и обрабатывать их.
ГК «Элемент» проведет IPO на СПб Бирже не позже июня
«Элемент» — лидер на российском рынке производителей микрочипов. По результатам IPO доля акций в свободном обращении составит не менее 10%, участие в торгах доступно для квалифицированных и неквалифицированных инвесторов. Им будут предложены исключительно акции дополнительного выпуска. Основные акционеры компании — «Ростех» и АФК «Система».
Потенциальный размер IPO может составить до 15 млрд рублей, но финальная оценка бизнеса будет зависеть от конъюнктуры рынка. Справедливая оценка ГК «Элемент», по мнению экспертов, находится в пределах 100-150 млрд рублей.
У беспилотников появятся цифровые двойники
Они пригодятся для тестирования новых технологий без поднятия реальных дронов в небо
Московский физико-технический институт (МФТИ) разрабатывает программно-аппаратный комплекс (ПАК), в котором с помощью виртуального моделирования можно будет протестировать новые технологии применения дронов без их физического запуска в небо. Об этом рассказал заместитель руководителя центра проектной деятельности института Дмитрий Курулюк на экспертной сессии «Бесшовное небо: кто и как будет обеспечивать безопасность в небе для беспилотных авиационных систем (БАС)» на выставке-форуме «Россия» на ВДНХ 15 мая.
В федпроекте «Перспективные технологии для беспилотных авиационных систем» предусмотрена работа по созданию ПАКов для отработки новых технологий для дронов, уточнил Курулюк (МФТИ осуществляет экспертно-аналитическое и организационно-техническое сопровождение этого федпроекта, входящего в национальный проект БАС. – «Ведомости»). Этот федпроект, в свою очередь, является частью нацпроекта БАС. Он был утвержден правительством осенью 2023 г. и стартовал 1 января 2024 г. В конце августа прошлого года «Ведомости» писали, что объем финансирования нацпроекта составит 898 млрд руб. до 2030 г.
В 2024 г. количество утекших паролей в России выросло в шесть раз
По данным Kaspersky Digital Footprint Intelligence, более 19 млн паролей российских пользователей были обнаружены в базах данных, опубликованных в даркнете и на других специализированных площадках в первом квартале 2024 г. Это в шесть раз больше, чем за аналогичный период 2023 г.
В ЦБТ заявили, что ЕБС нельзя использовать для штрафования граждан
Ранее «Известия» сообщили, что власти обсуждают введение автоматических штрафов с помощью умных камер за переход улицы, курение или распитие алкоголя в неположенных местах, как за нарушение ПДД
Единая биометрическая система (ЕБС) не связана с городскими системами видеонаблюдения и по закону не может использоваться в оперативно-разыскной деятельности.
Об этом сообщили в Центре биометрических технологий (ЦБТ), который является оператором системы, передает ТАСС. Там также напомнили, что регистрация биометрических данных в системе — добровольная.
Для обработки данных в системе требуется согласие гражданина, подчеркнули в ЦБТ.
Ранее газета «Известия» сообщила, что власти обсуждают введение автоматических штрафов за переход улицы, курение или распитие алкоголя в неположенных местах, как за нарушение ПДД. По данным издания, проработать вопрос использования камер с искусственным интеллектом комиссия Госсовета РФ поручила Минцифры.
Минпромторг и Росстандарт совместно с Всероссийским научно-исследовательским институтом радиоэлектроники и производителями электроники разрабатывают концепцию стандартизации радиоэлектронной промышленности в соответствии с актуальными критериями Международной электротехнической комиссии (МЭК). Об этом «Ведомостям» рассказали ректор Академии стандартизации, метрологии и сертификации Росстандарта Александр Зажигалкин и руководитель Центра технического регулирования ВШЭ Вячеслав Попов, принимающий участие в разработке документа. По словам Зажигалкина, новая концепция должна быть утверждена в 2024 г. Представитель Минпромторга перенаправил запрос в Росстандарт.
МЭК – всемирная организация по стандартизации электроники, в которую входит более сотни стран, включая Россию, США, Южную Корею и др. Миссия МЭК состоит в унификации систем оценки соответствия для обеспечения безопасности, эффективности, надежности и совместимости электронных устройств при международной торговле.
Часто встречаются в интернете таблицы времени подбора паролей от компании Hive Systems, которые публикуются без дополнительных данных о методе их формирования. Соответственно сразу в комментариях к таким публикациям появляются много “критиков”, которые спешат поделиться своим мнением о бесполезности этих таблиц. Так возникла идея перевести и опубликовать основные тезисы авторов исследования, на основании которого возникли таблицы.
Злоумышленники взломали сервис электронной подписи Dropbox
В среду компания Dropbox сообщила, что данные пользователей Sign были скомпрометированы. Dropbox Sign позволяет легко подписывать документы в режиме онлайн. Количество активных пользователей сервиса — более 700 миллионов.
Более 400 миллионов учетных записей Google защищены с помощью passkeys
Как отметила в своем блоге вице-президент Google по безопасности Хизер Адкинс, с 2022 года более 400 миллионов учетных записей Google активировали защиту с помощью ключей доступа (passkeys).
WhatsApp запустил беспарольный доступ (passkey) на iPhone
Разработчики WhatsApp запустили поддержку ключей доступа на iPhone по всему миру. Теперь верификацию можно проходить без необходимости отправки и ввода одноразовых кодов из СМС-сообщений.
Объем рынка контрактного производства электроники России в 2023 г. вырос на 42% и достиг 35 млрд руб., согласно исследованию Ассоциации российских разработчиков и производителей электроники (АРПЭ), с которым ознакомились «Ведомости». Средний уровень загрузки предприятий составил 79%.
В I квартале 2024 г. по сравнению с аналогичным периодом прошлого года объем вырос на 44% (абсолютных показателей здесь и далее АРПЭ не дает). В январе – марте выросли и инвестиции в производство на 160%.
Эксперты показали результаты брутфорса паролей, зашифрованных Bcrypt
Исследования показали, что пароли длинной 7 символов и короче могут быть взломаны в течение нескольких часов. Эти результаты заметно отличаются, ведь в прошлогодних тестах слабые пароли из 11 символов, зашифрованные с помощью MD5, были взломаны мгновенно. Такой же пароль, состоящий из 11 символов, в алгоритме Bcrypt взламывается за 10 часов.
**19% россиян до сих пор хранят пароли на стикерах, 11% — на рабочем столе
**
По результатам опроса, проведенного Art Engineering, 47% россиян считают, что к 2030 году все пароли станут биометрическими, и их не надо будет запоминать. Сейчас 19% респондентов по старинке записывают их на бумаге, а 11% — в файл на рабочем столе.
Компании – производители электроники через АНО «Вычислительная техника» (АНО ВТ; в него входят «Аквариус»», Yadro и проч.) предложили Минпромторгу начислять баллы для признания планшетов и серверов отечественными за наличие исключительных прав на конструкторскую и технологическую документацию. Помимо этого ассоциация предлагает давать баллы за применение отечественной системы автоматизированного проектирования работ (САПР) в процессе разработки электронных модулей. Об этом «Ведомостям» сообщил представитель АНО
По его словам, письмо с этими предложениями было направлено в Минпромторг 18 апреля 2024 г. «Ведомости» сделали запрос в министерство.
Отечественный рынок тяжелого инженерного ПО эксперты оценивают в 10 млрд руб. в год.
Минпромторг выделит 1,5 млрд руб. в 2024 г. на возмещение части затрат предприятий на внедрение так называемого тяжелого промышленного и инженерного софта, а также программно-аппаратных комплексов (ПАК). Речь идет о проектах замещения, которые обеспечивают сложные процессы разработки и производства высокотехнологичной продукции, пояснил представитель министерства.
На текущий год размер субсидии уже одобрен Минфином, отметил представитель Минпромторга. Не менее половины расходов будет покрываться предприятиями за счет собственных или привлеченных средств, уточнил он.
ЦБ РФ хочет запустить в этом году эксперимент по видеоидентификации клиентов банков
Банк России хочет разрешить в экспериментальном режиме видеоидентификацию клиентов банков. Эта функция должна обеспечить дополнительную защиту от мошенников, так как банк может убедиться в том, что банковской картой пользуется именно ее владелец.
Тестирование планируют начать в этом году. Под него готовится законодательная база.
Как заявила зампред ЦБ Ольга Полякова, практически уже готовы изменения в 115-й закон, передает ТАСС. В настоящее время действующее законодательство не позволяет банкам проводить удаленную идентификацию новых клиентов с использованием различных технических средств, включая средства видеосвязи.
При этом банки могут использовать технологии видео-конференц-связи для аутентификации (подтверждения личности) уже находящихся на обслуживании клиентов.
**Хакеры перехватывают 2FA с помощью хитроумной переадресации звонков
**
Специалисты по безопасности обнаружили, что злоумышленники отправляют жертвам вредоносную ссылку, которая автоматически настраивает переадресацию вызовов на нужный телефонный номер.
В свою очередь, как объясняют в 404 Media, это позволяет злоумышленникам перехватывать звонки и извлекать из них коды двухфакторной аутентификации.
Хакеры обманным путем заставляют своих жертв посредством нажатия на мошенническую ссылку с префиксом «tel://» набрать строго определенный номер телефона, указанный после слеша.
В Минпромторге обсуждается вопрос выделения субсидий российским производителям электроники на возмещение разницы в стоимости отечественной и иностранной продукции. Об этом «Ведомостям» сообщили несколько источников в компаниях на рынке электроники. Информацию подтвердил и представитель министерства.
Предполагается, что отечественный производитель будет предоставлять потребителю скидку на приобретение своей электроники. А разницу между стоимостью с иностранными аналогами будет возвращать производителю государство. Это позволит российской электронике приблизиться в цене к импортным товарам. Об этом механизме «Ведомостям» сообщил один из источников, знакомых с ходом обсуждения инициативы.
Шадаев рассказал о дополнительных стимулах для перехода бизнеса на отечественное ПО
Во время совещания президента России Владимира Путина с членами правительства обсуждался, помимо прочего, вопрос отказа российских компаний от зарубежного ПО. По словам главы Минцифры Максута Шадаева, правительство в скором времени может принять дополнительные меры для стимуляции перехода на отечественное ПО. Переход с одного программного обеспечения на другое, пояснил он, повлечет дополнительные затраты у компаний. Правительство может сделать их менее обременительными.
«Дополнительные экономические стимулы, которые бы сделали дополнительные затраты наших предприятий, которые будут отказываться от зарубежных решений и переходить на российские. Это фактически дополнительные затраты. Для того чтобы эти затраты были для них менее обременительные, мы предложили целый набор мер»,— сказал министр (цитата по «Интерфаксу»).
Какие именно меры будут приняты правительством, господин Шадаев не уточнил. Министр рассчитывает, что соответствующие поручения глава государства даст по итогам совещания.
Цены на российский софт за 2023 год увеличились на 10–20%. С учетом того, что в прошлом году Минцифры и крупные участники рынка подписали хартию, которая ограничивает рост формулой «индекс потребительских цен плюс 15%», подорожание не выглядит драматичным.
Сервисы предупреждают об отключении авторизации через Apple ID или Google ID
Российские сервисы начали предупреждать о запрете авторизации через Apple ID и Google ID. Об этом пишет РБК. Обновление связано с изменениями в законах «Об информации, информационных технологиях и защите информации» и «О связи». Согласно им, легальными способами регистрации на российских сайтах будут считаться вход по номеру телефона, через портал «Госуслуги», Единую биометрическую систему или иную инфосистему, зарегистрированную в России, например, российские почтовые сервисы или соцсеть «ВКонтакте». «Литрес» сообщил, что уберет эту функцию 22 апреля.
В настоящее время в Сбербанке ведутся работы по замене импортного софта, в том числе ERP-системы производства ушедшей из России SAP. Для управления ресурсами кредитной организации планируется использовать собственное решение.
В рамках данного проекта будет создано несколько прикладных платформ по управлению финансами, закупками, недвижимостью, кадрами. Объем инвестиций и сроки реализации пока неизвестны.
«В основе новых прикладных платформ будут лежать все высокотехнологичные наработки, реализованные в Platform V, и накопленный в банке опыт построения высокоэффективных бизнес-процессов с использованием ИИ, — уточнили в пресс-службе Сбера в ответ на запрос РИА Новости. — В связи с этим мы прорабатываем возможность в дальнейшем создания на базе этих прикладных платформ продуктов, которые будут доступны рынку».
По оценкам специалистов, создание собственной ERP может обойтись компании в сотни млн, а то и в миллиарды рублей, а процесс создания — занять до пяти лет. Пока же, судя по январскому фото, филиалы и отделения Сбера продолжают пользоваться продуктами SAP, без возможности обновлений из первоисточника.
Германский вендор начал свой уход с российского рынка с прекращения продаж и поддержки клиентов, попавших под западные санкции. На следующем этапе был ограничен доступ к облачным сервисам SAP из России, а в этом году было решено уйти из страны окончательно.
Согласно оценкам Национального центра компетенций по информационным системам управления холдингом (НЦК ИСУ), объем рынка ERP в России по итогам 2023 года составил около 90 млрд руб., а в этом году может превысить 100 млрд рублей. На долю отечественных ERP приходится около 55% рынка (остальное — в основном разработки SAP и Oracle), из них более 80% составляют решения 1С.
Forbes: банки просят отложить переход на российское ПО
Отечественные IT-решения не будут готовы к 1 января 2025 г., как требует указ президента РФ Владимира Путина, говорит собеседник издания. По его словам, ответственность за срыв срока возникнет у банков, в то время как у разработчиков ее не будет. По словам вице-президента АБР Алексея Войлукова, с такой проблемой, как утверждается, столкнулись не только банки, но и крупнейшие компании в сфере энергетики, транспорта и других субъектов критической информационной инфраструктуры (КИИ).
Сотрудники Microsoft раскрыли пароли из-за ошибки в системе безопасности
Корпорация Microsoft устранила ошибку в системе безопасности, из-за которой внутренние файлы и учетные данные компании были представлены в открытом доступе в интернете.
Так компания планирует соблюсти требование о минимальной доле закупок российского оборудования
РЖД закупит более 9000 автоматизированных рабочих мест (АРМ) на замену иностранным, чтобы выполнить требование постановления правительства о минимальной доле закупок товаров российского происхождения. Исполнитель должен будет поставить АРМ не позднее 25 ноября 2024 г. Компьютеры предназначены для инфраструктурных и управленческих филиалов компании в Москве, Петербурге, Калининграде, Иркутске, Самаре, Нижнем Новгороде.
В состав закупаемых АРМ должны входить системный блок, монитор, клавиатура и мышь, включенные в реестр Минпромторга, следует из документов РЖД. Согласно техзаданию, на АРМ должны быть предустановлены российская операционная система Astra Linux Special Edition и браузер «Яндекса».
На российское программное обеспечение (ПО) в рамках национального проекта «Экономика данных» должны будут перейти до 80% предприятий в России, заявил вице-премьер Дмитрий Чернышенко на пленарной сессии «Многополярность технологического мира будущего: роль России» в рамках конференции «Data Fusion: Эпоха больших данных».
«В новый нацпроект мы заложили такие индикаторы, как переход до 80% предприятий на использование российского ПО. Мы ожидаем, что темпы роста инвестиций в отечественные решения как минимум в два раза превысят темпы роста экономики. Наконец в 10 раз должна увеличиться совокупная мощность суперкомпьютеров, используемых для задач в сфере ИИ», – сказал он.
Чернышенко добавил, что переход на отечественное ПО позволит к 2030 г. получить эффект для экономики России в размере 11,2 трлн руб. Кроме того, по его оценкам, число выпускников по прикладным программам в сфере ИИ будет увеличено в пять раз. По его словам, Россия уже становится «регуляторным раем для отечественных и зарубежных компаний».
Власти в рамках нацпроекта должны обеспечить переход всей государственной IT-инфраструктуры и большинства систем предприятий на отечественные решения, напомнил вице-премьер.
Президент РФ Владимир Путин объявил о запуске нацпроекта «Экономика данных» 29 февраля в ходе выступления с посланием Федеральному собранию. На его реализацию будет выделено 700 млрд руб. до 2030 г.
«Ведомости» со ссылкой на презентацию главы Минцифры Максута Шадаева в ноябре 2023 г. писали, что нацпроект может быть профинансирован в том числе за счет повышения платы за частотный спектр, введения акцизов на персональные устройства, утильcбора и штрафов экоконтроля для производителей, налога на майнинг и др.
На прошлой неделе НКЦКИ сообщил о запуске сервиса «Утекли ли Ваши данные? Проверьте» (УЛВДП). Естественно захотелось его сравнить с другим весьма популярным «Have i been pwned?» (HIBP).
Результаты навскидку такие:
HIBP ищет только по электронной почте, УЛВДП - ещё и по логину и по номеру телефона;
HIBP приводит краткую справку о самой утечке с ссылкой на более детальное описание, УЛВДП отображает только наименование источника утечки и дату;
HIBP обычно находит больше утечек (сравнивал по нескольким адресам), но УЛВДП порой указывает на отсутствующие у HIBP - например, утечку Tele2.ru;
HIBP позволяет подключить отдельный дашборд для поиска всех утечек для конкретного почтового домена;
HIBP позволяет работать через API;
на сайте HIBP есть общая статистическая информация и отдельная информация о всех подключенных базах, в сервисе УЛВДП такой информации нет.
В целом, для первой итерации - УЛВДП получился вполне рабочим, хотя о полной альтернативе HIBP говорить пока рано. Ну, а для бОльшего эффекта рекомендовал бы пользоваться ими обоими одновременно.
UPDATE 18.04
Обнаружился ещё один адрес: https://safe-surf.ru/leak-check/ - тут есть поиск по паролю, но сервис проверки работает гораздо менее стабильно: результат поиска пароля “qwerty” я так и не смог получить.
SIM-карту не купишь без биометрии. В России введут новые жесткие требования подключения к сотовым сетям
В России меняются правила покупки SIM-карт местных операторов связи. Власти хотят заставить предоставлять не только паспортные, но и биометрические данные. Затронет это пока не всех, а только лишь мигрантов и иностранных граждан, а причина изменений – борьба за безопасность.
Мусасимару победил и сравнялся по количеству побед с Таканоханой:
Мобильная ОС «Ред ОС М», созданная на базе AOSP, осталась в Реестре российского ПО. Против признания данного продукта российским выступал «Ростелеком», который разрабатывает конкурирующую ОС – «Аврора».
Минпромторг РФ планирует поддержать промышленных заказчиков при внедрении ими российских решений на своей ИT-инфраструктуре. В министерстве рассказали “Известиям”, что оснащать отечественными ПО и “железом” будут автоматизированные системы управления на предприятиях. Также речь идет о программном обеспечении, которое отвечает за информационную поддержку изделий на протяжении всех этапов их жизненного цикла.
Существуют различные способы аутентификации в системах Windows, каждый из этих способов сохраняет или кэширует переданные учетные данные. В этом модуле мы рассмотрим основные типы аутентификации и места кэширования переданных данных, а также разберем, как можно получить к ним доступ.
После ухода вендоров из недружественных стран отечественным мобильным операторам пришлось проавансировать производство базовых станций в России/ Андрей Гордеев / Ведомости
Половина сетевого оборудования операторов связи на российском рынке уже имеет отечественные аналоги. Об этом заявил генеральный директор «Мегафона» Хачатур Помбухчан на XX форуме «Телеком 2024» газеты «Ведомости» 9 апреля. «В России со связью стало лучше, стало быстрее. У нас уже порядка 50% от всех позиций сетевого оборудования имеют аналоги. Оставшиеся 50% – это больше про 3G, которая выходит из эксплуатации. Поэтому самое сложное пройдено. Дальше я не вижу больших проблем», – рассказывал топ-менеджер.
В конце декабря 2022 г. операторы «большой четверки» (Tele2, «Билайн», «Мегафон» МТС) заключили форвардные контракты с производителями отечественных базовых станций, напомнил представитель Минцифры. Сумма форвардных контрактов составила более 100 млрд руб. с общим объемом поставок 75 000 базовых станций до 2030 г., говорил в январе 2023 г. замминистра Дмитрий Ким. По плану российское телекомоборудование начнет вводиться в промышленную эксплуатацию в 2025 г., а с 2028 г. можно будет использовать только российские базовые станции. Доля импортного оборудования DWDM (блоки, позволяющие увеличить пропускную способность оптических волокон) находится в пределах 80–90%, приводил «Ведомостям» данные представитель «РТК-сервиса» в августе 2023 г. Тогда же ведущий научный сотрудник Центра прикладной фотоники и квантовых технологий «Сколтеха» Виталий Шуб оценивал, что она составляет примерно 50–60%.
«Газпром» закупил 134 000 лицензий на операционную систему «Ред ОС» от компании «Ред cофт» для серверов и рабочих станций. Об этом «Ведомостям» рассказал заместитель генерального директора разработчика Рустам Рустамов. Стоимость контракта он не раскрыл. О закупке знает и источник «Ведомостей», близкий к «Газпрому». Это первый масштабный проект по импортозамещению для нефтегазовой компании.
Переход «Газпрома» на отечественную ОС – один из этапов внедрения системы централизованного управления инфраструктурой предприятия «Ред АДМ промышленная редакция 1.1», пояснил Рустамов. Помимо ОС в систему также входит файловое хранилище, которое обеспечивает доступ к общим файлам и папкам, и подсистема централизованной установки ОС, которая обеспечивает массовое развертывание операционных систем на предприятии. Внедрение «Ред АДМ» в IT-контур «Газпрома» позволило создать инфраструктуру, которая позволяет использовать одновременно продукты как Microsoft, так и «Ред софта», объяснил Рустамов.
Оказывается, электронное письмо, полученное от доверенного лица, и даже подписанное его электронной подписью, - может оказать фишинговым.
Суть проблемы в том, что большинство почтовых клиентов позволяет использовать CSS (Cascading Style Sheets - каскадные таблицы стилей) для оформления электронных писем в формате HTML и грамотное использование особенностей DOM (Document Object Model - объектная модель документа) позволяет сформировать такое письмо, которое изначально выглядит вполне невинно, так как его часть просто скрыта (например, путём применения стиля «display: none;»), но при пересылке - изменяется и превращается в нечто совершенно иное.
Поэтому, как вариант, ваш шеф может переслать вам письмо с вопросами от потенциального клиента, а вы в свою очередь - получить от него уже указание необходимости перевода крупной суммы денег по неким банковским реквизитам.
«Кобольдскими» такие письма автор оригинальной статьи назвал как раз потому, что кобольды (нечистые духи в германской мифологии, сродни гномам или домовым) обычно невидимы и склонны к пакостям.
Уязвимость актуальна (в упомянутой статье приведены наглядные примеры) как минимум для:
Thunderbird;
веб-версии Outlook;
Gmail.
В качестве меры защиты можно отключить HTML в почтовом клиенте и «включить» критическое мышление.
Автор, конечно, приводит пример с развитием событий в виде звонка шефу с просьбой подтвердить легитимность письма, и по его версии - необходимое подтверждение вы вполне можете получить, но, на мой взгляд, это уже притянуто за уши. Вряд ли кто-то спросит: «Вы пересылали мне сегодня письмо?», - но не упомянет его содержимое.
АО «Гринатом Простые Решения» (подразделение АО «Гринатом», ИТ-интегратора Госкорпорации «Росатом») и ПАО «Россети» подписали партнерское соглашение в области комплексного импортозамещения. Документ обеспечит возможность для ПАО «Россети» в оптимальные сроки перейти на российские операционные системы. Для этого планируется использовать инструмент автоматизированной миграции «Атом.Порт».
«Атом.Порт» представляет возможности сбора данных об оборудовании в сети и установленном ПО на рабочих местах, формирования множества гибких отчетов, быстрого автоматизированного перехода с одной ОС на другую при минимальном участии технического персонала, удаленного управления смешанной ИТ-инфраструктурой. Система также позволяет оптимизировать затраты на миграцию (за счет автоматизации процесса), осуществлять переход на отечественные решения с последующим управлением конфигурациями компьютеров. Решение подходит для крупных коммерческих предприятий и государственных организаций, которые меняют Windows на отечественные ОС.
«Партнерское соглашение с ПАО „Россети“ — важнейший шаг на пути к расширению присутствия на рынке уже зарекомендовавшего себя ИТ-продукта „Атом.Порт“. Он позволяет ответственно подойти не только к процессу миграции рабочих мест на отечественное программное обеспечение, но и в дальнейшем управлять ИТ-инфраструктурой», — сказала Светлана Борматова, генеральный директор АО «Гринатом Простые Решения».
Пока российские производители покрывают не более 10–12% спроса на платы в стране. Минпромторг считает российской только ту электронику, в которой использованы отечественные печатные платы.
Отечественная компания «Технотех» к концу 2025 г. планирует увеличить производство печатных плат с 1,8 млн до 7,5 млн кв. дм. Об этом «Ведомостям» рассказал генеральный директор компании Мирват Март.
В 2023 г. компания произвела 1,8 млн кв. дм плат. По итогам 2024 г. мощности завода «Технотеха» в Йошкар-Оле будут увеличены до 3 млн кв. дм и до 7,5 млн – к концу 2025 г.
Вы видите 13% этого материала
«Почта России» обсуждает с IT-компанией «Рексофт» возможность импортозамещения ПО, необходимого для управления сортировочными машинами. Об этом 2 апреля на встрече с журналистами рассказал заместитель генерального директора по IT и развитию цифровых сервисов «Почты России» Дмитрий Ильин. Сейчас госкомпания обсуждает «возможности будущего сотрудничества», но никаких окончательных договоренностей на текущий момент нет, уточнил «Ведомостям» представитель «Почты России». Представитель «Рексофта» отказался от комментариев.
Проблема с импортозамещением софта на сортировочной машине заключается в том, что, как правило, производители такого оборудования самостоятельно разрабатывают и устанавливают систему управления, объяснил Ильин. По его словам, основной целью является замена системы управления контроллерами, потому что сейчас это проприетарный продукт производителей сортировочных машин или их поставщиков. «Это иностранное ПО для нас действительно является достаточно критичным, так как иногда требуется внести некоторые изменения», – говорит топ-менеджер. Он также уточнил, что компания планирует импортозаместить систему сортировки к середине 2025 г.
Российский b2b-сегмент начал постепенно переключаться на отечественные ОС.
Рынок отечественных операционных систем (ОС) для персональных компьютеров и серверов в 2023 г. вырос год к году на 57% до 11,3 млрд руб. Такую оценку приводит консалтинговая компания Strategy Partners. В исследовании учитывалась выручка российских разработчиков от продаж ОС в b2b- и b2g-сегментах, статистика не учитывает показатели российского рынка иностранных ОС, а также розничные продажи на b2c-рынке, уточнил представитель консалтера. Фактический рост рынка оказался выше их изначальных прогнозов, отмечают авторы исследования: в прогнозном сценарии ожидался рост на 44% до 10,4 млрд руб.
Согласно подсчетам, динамичный рост рынка обеспечил процесс импортозамещения в сегменте b2b, т. е. в средних и крупных компаниях, на которые не распространяются регуляторные требования по обязательному переходу на российское ПО. Доля этого сегмента достигла 10% рынка, уточняется в исследовании Strategy Partners. Эти компании переходили на российский софт в силу невозможности покупать или продлевать лицензии на привычное ПО, в частности от Microsoft. Указанный фактор станет дополнительным драйвером роста продаж российских ОС в среднесрочной перспективе, уточняется в исследовании.
Основным потребителем микроэлектроники в России оказалась промышленность.
Отечественный рынок микроэлектроники может вырасти к 2030 г. почти в 4 раза до 1,1 трлн руб. Из этой суммы больше половины (55%), или 578 млрд руб., придется на продукцию российских производителей. Такую оценку в оптимистичном сценарии приводят эксперты аудиторской компании Kept (ранее KPMG в России) в своем исследовании российского и мирового рынка.
При более реалистичном «базовом» сценарии в 2023–2030 гг. российский рынок микроэлектроники будет расти в среднем на 15,2% в год и достигнет 780 млрд руб., отмечают эксперты Kept. Доля продукции российских производителей вырастет с 20% в 2023 г. до 45% к 2030 г. и составит 351 млрд руб. Основными поставщиками микроэлектронной продукции на отечественный рынок за последние три года были азиатские страны, доля которых составляла около 70% от общего объема рынка, отмечается в исследовании.
Разработчик российского аналога VMware удвоил выручку после ухода конкурента
Разработчик инфраструктурного ПО «Базис» по результатам 2023 г. увеличил выручку на 80% до 3 млрд руб. Об этом «Ведомостям» рассказал представитель компании. Ранее компания консолидированных показателей не раскрывала. В 2022 г. консолидированная выручка организации составила 1,67 млрд руб., уточнил собеседник, но данных по прибыли компании ни за один из отчетных периодов он раскрывать не стал.
Компания «Базис» (ООО «Облачная платформа») образована за счет объединения IT-активов «Ростелекома», Yadro и Rubytech в 2021 г. В этой структуре «Ростелекому» принадлежит 50,3%, «КНС груп» (Yadro) – 29,69%, «Рубитеху» – 20%. Компания специализируется на разработке инфраструктурного ПО, решениях по виртуализации и облачных продуктах. В первую очередь импортозамещает известные продукты прекратившей свою деятельность в России VMware – разработчика ПО для виртуализации (софт, позволяющий запускать несколько операционных систем и прикладных решений на одном устройстве, что дает компаниям возможность экономить «железо»). «Базис» также разрабатывает программно-аппаратные комплексы (ПАК) для перехода российских предприятий с зарубежной инфраструктуры на отечественную.
Yadro запустила розничные продажи противоударного планшета
Производитель и разработчик электроники Yadro (ООО «КНС групп», входит в «ИКС холдинг») вышел в розницу. Компания запустила продажи флагманского планшета Kvadra_T в собственном онлайн-магазине kvadra.tech с 1 апреля. Yadro также планирует продавать планшет через площадки маркетплейсов и в розничных магазинах, уточнил представитель компании, не ответив на вопрос о конкретных партнерах.
Планшет Kvadra имеет 6 ГБ оперативной памяти и 128 ГБ встроенной, слот для SD-карты и поддержку LTE и WiFi. Гарантия составляет 12 месяцев. В онлайн-магазине компания также предлагает пользователям приобрести фирменные аксессуары для своего планшета, убедились «Ведомости»: чехлы с держателем для стилуса, чехлы-книжки и чехлы с клавиатурой.
Нижегородский производитель смарт-карт «Новакард» вывел на российский рынок сим-карты с отечественной операционной системой, сообщили в пресс-службе компании.
Как рассказали в «Новакарде», новая операционная система Simart Mi — это полностью российская разработка, которая уже включена в Единый реестр российских программ для электронных вычислительных машин и баз данных. А первой компанией, которая начала закупать такие сим-карты, стала МТС.
Комментирует директор по развитию проекта «СМИ-2» Юрий Синодов: «Это крупная, заметная компания, например, по меркам Нижнего Новгорода точно. Они реализовывали проект местной карты по типу «Тройка», он назывался «Сити-карт», по-моему, сейчас в Нижнем Новгороде она работает или параллельно с картой «Тройка», или они хотят отказаться в пользу «Тройки», но навыки работы со смарт-картами у ребят очень большие. Мощности по производству карт у них огромные, оборудование было закуплено еще давно. Что касается разработки операционных систем для сим-карт, это сложная история, она требует времени и разработчиков. Теоретически ничего сложного нет, потому что есть спецификации, в соответствии с которыми все надо делать, есть спецификации чипов, но все равно нужна серьезная квалификация, чтобы все работало, потому что продукт массовый и какие-то ошибки неприемлемы. Российский аналог сейчас появился в связи с тем, что при наличии злонамеренного кода навредить можно изрядно, например, банальной передачей информации о том, где находится абонент, с точностью до базовой станции. Что касается чипов, тут могу предполагать, но даже если бы был инсайд, я бы не стал его передавать, но я не удивлюсь, если чипы все еще французские, китайские. «Растворить» объем поставок, требуемый России, где-нибудь в Китае совершенно несложно, потому что Россия поменьше, чем Китай, и запрос на сим-карты у нас меньше».
Сообщается, что российская операционная система для сим-карт поддерживает международные и отечественные алгоритмы аутентификации абонентов в сетях мобильной связи.
Более 2 млрд паролей в руках злоумышленников: как помогает автоматизация обработки утечек данных
VK/Mail.ru обнародовала шокирующие данные о суммарном объёме уникальных логинов и паролей, утёкших в открытый доступ. Масштаб проблемы — явно нешуточный, но российская компания сумела выстроить эффективную систему противодействия угрозам.
Добавил к списку докладов ИБ АСУ ТП КВО 2024 ссылки на краткие пересказы видео выступлений, сгенерированные нейросетью YandexGPT: https://zlonov.ru/events/2024-03-13-14-ибкво/
Владимир Путин поручил правительству проработать вопрос об организации производства приставок и консолей. Речь идет о запуске производства как стационарных, так и портативных приставок, а также о создании ОС и облачной системы доставки игр и программ будущим владельцам отечественных консолей. Кабмин должен представить свой доклад по этому вопросу до 15 июня.
Такого российские геймеры и представители игровой индустрии от президента, наверное, не ожидали. Продолжает игровой журналист, шеф-редактор игрового сайта Riot Pixels Владимир Горячев:
«Слушая эту новость, я вообще удивился, что президенту пришлось дать поручение и что никакая компания не взялась за производство консолей, за создание экосистемы. У нас ведь много богатых компаний, которые могли бы этим заняться, но почему-то никто не хочет. Странно, что пришлось команду сверху давать, я этим очень удивлен. Это прибыльно, если делать все правильно, как показывает опыт Nintendo Switch, Xbox, PlayStation. Сейчас проблема в том, что доступ к играм на этих консолях и к самим консолям в России, мягко говоря, ограничен. Есть большой рынок, который можно окучить, а вот с технической базой, я боюсь, все сложнее».
Относительно несложно наладить в России выпуск портативных консолей — там не требуются сверхмощные процессоры и видеочипы. Хватит тех платформ, которые уже используются в современных смартфонах. Другое дело, что сами смартфоны уже практически вытеснили с рынка портативные консоли. По сути, единственная платформа, которая сегодня осталась, — это как раз Nintendo Switch. Да и то во многом из-за популярных игр, которые нигде больше недоступны.
Что же касается стационарных приставок, таких как Xbox и PlayStation, то это, по сути, уже достаточно мощные игровые компьютеры на базе современных чипов. Наладить выпуск таких консолей в России будет проблематично в ближайшей перспективе — отечественных процессоров и для обычных компьютеров пока не хватает.
«Аэрофлот» переводит сотрудников и бортпроводников на отечественные планшеты
Российская авиакомпания «Аэрофлот» переходит с планшетов iPad на российские устройства от IT-холдинга Fplus. Об этом «Ведомостям» сообщили представители авиакомпании и производителя планшетов. Fplus выиграла конкурс на поставку планшетов в конце 2023 г., сообщили в компании. К поставке планируются модели планшетов Т1100 на ОС «Аврора», уточнил представитель холдинга.
Представитель разработчика операционной системы – компании «Открытая мобильная платформа» – уточнил, что всего авиакомпания приобрела 9000 отечественных планшетов для сотрудников и бортпроводников, которые будут поставлены в течение 2024 г. Представитель «Аэрофлота» уточнил, что компания заключила контракт на 11 500 планшетов. Максимальная объявленная стоимость в рамках открытой процедуры закупки составляла почти 577 млн руб., уточнил он. В «Аэрофлоте» и Fplus итоговую сумму закупки комментировать не стали.
С 2021 года в эксперименте участвует завод GS Group в Калининградской области, теперь к нему присоединились «Миландр» и «Микрон» в Зеленограде. В чем заключается процесс корпусирования и для чего нужна его локализация?
Разработчик российских микропроцессоров локализует один из этапов производства. «Байкал электроникс» планирует запустить корпусирование своих чипов в Зеленограде.
Процессор в кристалле кремния — это «полуфабрикат». Чтобы использовать его, допустим, в компьютере, этот кремний нужно поместить в корпус с контактами для установки на материнскую палату. Этот процесс и называется «корпусирование».
О том, из каких этапов он состоит, рассказывает руководитель СКБ робототехника МИЭТ Станислав Шепелев:
«У вас есть интегральная микросхема, вы ее изготовили, проверили определенным образом на пластине, после этого разделяется на отдельную микросхему, и эта микросхема устанавливается на определенную заготовку — зависит от типа корпуса, это может быть подложка, может быть рамка. После этого контакты микросхемы соединяются с контактами либо подложки, либо рамки, а потом это в зависимости от техпроцесса может быть закрыто специальным компаундом. Это, безусловно, очень важный этап для локализации микроэлектроники, если вы соберетесь делать какие-то микросхемы для промышленности или для потребителей — именно для продукции общего назначения».
Компания «Байкал электроникс» уже запустила эксперимент по корпусированию своих чипов на линиях GS Group в Калининградской области. По информации «Ведомостей», разработчик российских чипов, которые раньше выпускали на Тайване на линиях TSMC, столкнулся с проблемами. В Калининграде «больше половины партий чипов на выходе оказываются бракованными», рассказал один из собеседников издания. По словам источников, причиной может быть и неправильная настройка оборудования, и недостаточная квалификация персонала, который на этом оборудовании работает. Тем не менее эксперимент решено расширить. Компания «Байкал электроникс» намерена запустить корпусирование чипов на мощностях компаний «Миландр» и «Микрон» в Зеленограде. О сроках никакой информации пока нет.
**Kerberos простыми словами
**
Хотя в названии статьи фигурирует «простыми словами» однако эта статья предполагает, что читатель уже имеет какое‑то представление о Kerberos.
Разработчик сервиса видеоконференцсвязи (ВКС) IVA Technologies собирается провести IPO в течение 2024 г. Об этом «Ведомостям» рассказали два собеседника в различных компаниях – разработчиках софта. По словам еще одного источника в инвестиционном подразделении крупного банка, знакомого с планами компании, IVA Technologies может выйти на биржу уже до конца III квартала. По словам другого собеседника, знакомого с планами IТ-компании, разработчик уже нанял банковских консультантов и юристов, а сделка будет предусматривать и продажу акций действующих акционеров.
Представитель потенциального эмитента не стал комментировать информацию о возможном IPO. «Как и любая успешная компания, IVA Technologies рассматривает различные стратегические варианты развития, однако о каких-либо конкретных планах говорить преждевременно», – заявил он.
Министр цифрового развития Максут Шадаев ставит IT-отрасли условия для продления налоговых льгот
Минцифры обсуждает возможность продления льготы по налогу на прибыль для IT-компаний с определенным порогом выручки. Об этом министр Максут Шадаев завил на расширенном заседании комитета по информполитике Госдумы 26 марта. Решение по пролонгации льгот будет принято после получения агрегированных данных от ФНС по налогам за 2023 г., добавил он.
Закон, обнуливший налог на прибыль до 2024 г. для IT-компаний, был принят весной 2022 г. Он был одной из мер поддержки для IT-сектора после введения санкций США и ЕС. До этого, с 2020 г., налог для отрасли был понижен с 20 до 3%, эта норма действовала бессрочно.
«Мегафон» закончил тесты российских маршрутизаторов и начал их внедрять
«Мегафон» начал внедрение отечественных маршрутизаторов в работающую сотовую сеть. До этого оператор проводил лишь лабораторные тесты. Маршрутизаторы B4Com – элемент базовой станции (БС), который отвечает за перераспределение трафика – уже установлены на нескольких десятках станций в Москве, Татарии и Свердловской области, уточнил представитель «Мегафона». Сотрудничество также подтвердил представитель B4Com. До конца 2024 г. оператор планирует расширить пилотный проект до нескольких сотен единиц, а также внедрить новое оборудование в других регионах России.
По словам представителя «Мегафона», новое оборудование способно пропускать трафик на скорости 100 Гбит/c, а также позволяет увеличить пропускную способность сети и организовать один или несколько резервных маршрутов пропуска трафика до БС для обеспечения бесперебойной связи. То есть по своим техническим характеристикам оно сопоставимо с иностранными аналогами, которые оператор использовал ранее, уверяет собеседник.
«Выручка компаний IТ-отрасли за прошлый год выросла более чем на 40%», – заявил Шадаев на заседании комитета Госдумы по информполитике.
В его презентации указывалось, что рост в сравнении с 2022 г. составил 43,2%, а по сравнению с 2019 г. выручка IТ-компаний из России выросла в 2,6 раза.
17 января вице-премьер России Дмитрий Чернышенко заявлял, что ожидаемая выручка лидирующей сотни российских IТ-компаний увеличится в 2,5 раза до 5,3 трлн руб. благодаря реализации нацпроекта «Экономика данных». Чернышенко отмечал, что к 2030 г. государством будет поддержано не менее 1000 IТ-стартапов.
Российские IT-компании заинтересованы в покупке отечественных разработчиков ОС
VK, «Ростелеком», «Росатом» и МТС рассматривают возможность приобретения российских разработчиков операционных систем. Речь идет о «Базальт СПО», «Ред Софт», ГК «Астра» и НТЦ ИТ РОСА, пишет «Коммерсантъ» со ссылкой на источники на IT-рынке.
По словам собеседников газеты, активность инвесторов может быть обусловлена стремлением холдингов «выстраивать собственные экосистемы IT-продуктов». В то же время разработчикам это позволит ускорить создание продуктов благодаря притоку финансирования, считают эксперты.
Создатель венчурного фонда «Стриго Кэпитал» Дмитрий Комиссаров подтверждает интерес крупных IT-компаний, в том числе VK и МТС, к приобретению разработчиков ОС. Явными кандидатами для приобретения он назвал «Базальт СПО» и «Ред Софт». По оценке эксперта, из-за растущей выручки разработчиков стоимость «Базальт СПО» может достигать 5–8 млрд руб., «Ред Софта» – 9-12 млрд руб.
Глава НП «Руссофт» Валентин Макаров полагает, что интерес IT-холдингов к разработчикам ОС вызван необходимостью импортозамещения, появлением новых обязательств для критической информационной инфраструктуры по переходу на российские решения, а также планами по созданию собственной электроники.
Иностранные разработчики софта, в том числе Microsoft, покинули российский рынок после начала спецоперации на Украине в феврале 2022 г. Это позволило отечественным IT-компаниям нарастить выручку при отсутствии конкурентов. Так, у производителя аналога Microsoft Office – «Мойофиса» - показатель вырос в четыре раза в 2022 г. до 3,3 млрд руб. Выручка производителя ПО «Ред софт» в 2022 г. выросла вдвое до 1,29 млрд руб. Оборот ГК «Астра» в 2022 г. вырос в 2,7 раза год к году и составил 6,4 млрд руб. против 2,4 млрд в 2021 г.
В июне прошлого года президент России Владимир Путин поручил отечественным госкомпаниям с начала 2025 г. перейти на российские операционные системы и офисные пакеты, системы виртуализации и управления баз данных.
Ранее аналогичное требование действовало только к объектам критической информационной инфраструктуры. Госкомпаниям и всем, кто делает закупки по 223-ФЗ, было запрещено с 2022 г. закупать для использования на объектах критической информационной инфраструктуры зарубежные ИТ-решения, а с 2025 г. – их использовать.
Разработчик процессоров Baikal локализует один из этапов производства
Разработчик процессоров Baikal компания «Байкал электроникс» расширит эксперимент по корпусированию своих чипов в России. Еще в ноябре 2021 г. компания начала тестировать этот технологический процесс на мощностях российского холдинга GS Group в Калининградской области, а теперь запустит его на мощностях «Миландра» и «Микрона» в Зеленограде (округ Москвы). Об этом «Ведомостям» рассказали два источника в компаниях – производителях радиоэлектронной продукции.
Корпусирование – процесс установки полупроводниковых кристаллов в корпус, завершающая стадия производства процессоров. До 24 февраля 2022 г. «Байкал электроникс» заказывала производство чипов, в том числе их корпусирование, на тайваньской фабрике TSMC. В 2021 г. «Байкал электроникс» выпустила 130 000 процессоров. Компания планировала нарастить годовые объемы производства до 600 000 чипов к 2025 г. Но после введения санкций в отношении российских компаний TSMC прекратила сотрудничество. В 2022 г. 300 000 процессоров Baikal, уже выпущенных TSMC, не стали отгружать в Россию.
Минцифры планирует создать систему для выявления дипфейков
Но ее эффективность зависит от того, захотят ли участвовать онлайн-платформы.
Минцифры займется созданием платформы для выявления дипфейков, созданных с помощью технологий искусственного интеллекта (ИИ), рассказал «Ведомостям» представитель министерства. Соответствующее поручение министерству дал премьер Михаил Мишустин по итогам прошедшей в конце декабря 2023 г. стратегической сессии, посвященной нацпроекту «Экономика данных».
«Обсуждается возможность создания единой платформы, которая будет выявлять недостоверную информацию, сгенерированную в том числе с помощью технологий ИИ, – пояснил представитель Минцифры. – Предложено предварительно провести научно-исследовательские работы по обозначенной тематике». Собеседник не уточнил, когда планируется запуск платформы и кто займется ее разработкой.
Microsoft отказывается от 1024-битных RSA-ключей в Windows
Microsoft уведомила пользователей и организации о скором отказе от 1024-битных RSA-ключей в Windows Transport Layer Security (TLS). Новые минимальные требования — 2048 бит — помогут повысить защищённость аутентификации
Доля коммерческих решений, созданных на основе открытого исходного кода (Commercial Open Source Software, COSS), еще к середине 2023 г. в корпоративном сегменте выросла в 3 раза – до 12% против 4% в конце 2022 г. Речь идет о таких решениях, как операционная система Astra Linux или система управления базами данных Arenadata. Такие данные привел Институт изучения мировых рынков (ИИМР). Всего к COSS аналитики отнесли программные продукты 26 российских разработчиков.
Аналитики анализировали закупки более сотни крупных и средних заказчиков ПО, таких как НЛМК, «Почта России», Росбанк, Росводоканал и др. в феврале – июне 2023 г. Например, COSS-решениями в области хранения данных уже пользуются X5 Group, «Магнит», «Ашан», «Рив гош», «Комус», «Газпром нефть», ВТБ, Росбанк, ПСБ, Дом.РФ, ФНС и другие организации, говорится в исследовании.
Необходимо сформировать межотраслевой архитектурный совет для совместной разработки различных IT-решений, необходимых для химической, металлургической, нефтегазовой и нефтехимической отраслей. С такой инициативой выступил директор департамента цифровых технологий Минпромторга Владимир Дождев на демодне индустриального центра компетенций (ИЦК) «Химия» 14 марта. По словам Дождева, такой совет поможет промпредприятиям перейти от закрытых иностранных платформ к открытым архитектурам, созданным в том числе на базе решений с открытым исходным кодом.
Дождев уточнил, что Минпромторг готов поддержать инициативу, но ее должны проявить сами компании. В пример Дождев привел межотраслевую рабочую группу, организованную для совместной разработки АСУ ТП (автоматизированной системы управления технологическим процессом).
Россия готовит правовую базу для признания белорусских чипов российскими
Правительство готовит правовую базу для признания белорусских материалов и компонентов (чипы, платы и т. д.) российскими. Проект соответствующего постановления, подготовленного Минпромторгом, был опубликован на сайте нормативных правовых актов 12 марта.
Документ вносит изменения в постановление от 17 июля 2015 г. № 719. Это постановление содержит критерии для признания продукции произведенной на территории России. Для получения статуса российского продукта введена специальная балльная система, в которой установлено минимальное количество баллов для попадания в реестр Минпромторга. Баллы начисляются за счет использования в производстве товара российских комплектующих и техпроцессов, которые налажены на территории страны.
Серия вебинаров УЦСБ «Безопасность КИИ и требования 187-ФЗ» в далёком доВСЕГОшнем, как говорится, 2018 году пользовалась весьма неплохой популярностью - суммарная пара десятков тысяч просмотров не даст тут соврать. Но с тех пор и законодательных актов существенно прибавилось, да и практического опыта удалось накопить немало - первые клиенты, для которых проводилось категорирование, успели уже и СОИБ построить и плановые проверки ФСТЭК России пройти.
В общем, думаю, понятно, куда я клоню =) Всё верно - мои коллеги из аналитического центра УЦСБ “перезапускают легендарную франшизу” и завтра, 19 марта, проводят первый вебинар серии «Как защитить КИИ от киберугроз». Присоединяйтесь и вы к слушателям: https://www.kiiussc.ru
Крупнейший российский производитель микроэлектроники собрался на IPO
Группа компаний «Элемент» планирует выйти на биржу до конца 2024 г. Об этом «Ведомостям» рассказали четыре собеседника, знакомых с ходом подготовки к IPO. Двое из них знают о том, что «Элемент» рассчитывает получить оценку в 100–150 млрд руб. и планирует привлечь 10–15 млрд руб. для финансирования масштабной инвестпрограммы. Если ожидания компании по капитализации оправдаются, это IPO может стать самым крупным для российского технологического сектора за последние несколько лет.
«Элемент» – крупнейший производитель российской микроэлектроники. Компания была создана в 2019 г. на базе активов АФК «Система» и «Ростеха». Основная цель партнерства заключалась в создании единого национального центра компетенций в области микроэлектронной компонентной базы и обеспечении технологического суверенитета страны в этой области. Обе стороны внесли в совместное предприятие 19 организаций, работающих в области разработки, производства и дизайна микроэлектроники. В «Элемент», например, вошел крупнейший производитель чипов в России – зеленоградский «Микрон».
Потому что 7 раз «F.A.С.С.T.» Написано с русскими «С» =)
Вот и думай - то ли это способ в очередной раз подчеркнуть российское происхождение компании, то ли наглядный урок по техникам тайпсквоттинга =)
А новость - да, интересная. И советы адекватные, разве что использование несуществующего термина «двухфакторная идентификация» меня традиционно забавляет =)
Deepvoice = Deep Trouble. Новая схема атаки с помощью генерации голоса знакомых и коллег
В начале 2024 года в России появилась новая схема атак на людей — в ней злоумышленники вымогают деньги голосами родственников и друзей, а в корпоративных фродах — голосами руководителей.
Генерация голоса уже замечена в схеме Fake Boss, схеме с поддельным фото банковской карты и схеме угона аккаунта в соцсетях. Больше всего случаев встречается в Телеграме — мошенники взламывают аккаунт, генерируют голос владельца аккаунта и рассылают по всем чатам короткое голосовое сообщение с просьбой выслать денег.
Мы разобрали новую схему по шагам — на примерах рассказываем об атаке на людей, а в конце даем советы, как защитить аккаунты и противостоять новой схеме.
Министр цифрового развития РФ Максут Шадаев сообщил, что в России работает более 1 млн камер видеонаблюдения, каждая третья задействована в системе распознавания лиц.
“На сегодня у нас фактически каждая третья камера подключена к системе распознавания лиц. Все камеры, которые стоят на дорогах, автоматически распознают номера”, - пояснил глава Минцифры на пленарной сессии дня искусственного интеллекта в рамках Международной выставки-форума “Россия” (цитата по ТАСС).
Шадаев также отметил, что всего в России стоит больше миллиона камер, которые смотрят за безопасностью - в местах проживания, в общественных местах, на объектах транспорта и на дорогах.
Как следует из презентации главы Минцифры, также в 14 регионах ведется внедрение систем обработки фото- и видеоизображений дорог и объектов благоустройства.
Объем российского medtech-рынка в денежном выражении в 2023 г. увеличился на 27% до 46,63 млрд руб., говорится в отчете агентства Smart Rankings, с которым ознакомились «Ведомости». В такую сумму аналитики компании оценили суммарную выручку 70 самых крупных игроков сегмента, в который входят IT-технологии, применяемые в здравоохранении. Основной годовой прирост рынка по-прежнему приходится на сегмент телемедицины, но большую долю в medtech занимает сфера разработчиков программного обеспечения, говорится в отчете.
Оценка в 47 млрд руб. «близка к реальности и даже может быть несколько больше», считает основатель medtech-стартапа Unim Алексей Ремез. Он считает, что драйверами данного рынка являются импортозамещение, в рамках которого пишутся различные программные продукты, и достаточно стремительное развитие телемедицины. «Но нужно учитывать, что в случае телемедицины присутствует эффект низкой базы», – уточняет бизнесмен.
Пароль как мелодия. Генерация стойких паролей в музыкальных аккордах
Несмотря на популярность парольных менеджеров, никто не отменяет необходимость в реальном запоминании длинных стойких паролей. В крайнем случае, мастер-пароль для самого парольного менеджера ведь надо запомнить.
К сожалению, человеческая память не приспособлена для запоминания абсолютно случайных символов, включая буквы в разных регистрах, цифры и специальные символы. Лучшие профессионалы на чемпионате мира по памяти используют ассоциации и фантазию с выстраиванием сюжета истории, в которой последовательные карты или цифры ассоциируются с различными объектами и действиями. В виде истории можно запомнить очень длинную последовательность событий (случайных символов) с первого-второго раза.
Как выяснил CNews, «Россети Московский регион» закупят программное обеспечение (ПО) систем информационной безопасности (ИБ) почти на 290 млн руб.
Тендер был размещен на сайте госзакупок 6 марта 2024 г. Участники могут подать заявки до 22 марта 2024 г. 10 апреля 2024 г. будет определен победитель торгов.
Одной из основных закупаемых позиций станет «ОС специального назначения» от «Астры».
Участник должен иметь лицензию ФСБ России, а поставляемый софт должен быть в реестре Минцифры. Помимо этого, юридическое лицо должно будет предоставить справку о цепочке собственников со всеми подтверждающими документами, справку об аффилированности и подтверждающие документы из ЕГРЮЛ.
В документе указан перечень передаваемых прав на использование конкретного ПО «Россетями». На момент публикации материала в нем присутствует софт от «Лаборатории Касперского», Positive Technologies, «Киберпротект», «РусБИТех-Астра» и других.
Центр национальной компьютерной безопасности Великобритании (NCSC) представил набор бесплатных простых онлайн-утилит для проверки IP-адреса, почтового домена и браузера. На российские домены и IP вроде не ругается - проверяет и даёт дельные советы.
Цитата: «Все проверки проводятся удаленно, без необходимости установки программного обеспечения и используют ту же общедоступную информацию, которую киберпреступники используют для поиска легких целей».
Компания Apple не только заблокировала приложения КриптоПро в App Store из-за введённых санкций, но и отозвала сертификат подписи кода продуктов для операционных систем macOS, из-за чего те, в частности, перестают корректно открываться после обновления ОС: https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=22960
Система распознавания лиц Москвы помогла найти 26 тысяч преступников
Более 26 тысяч человек, находящихся в розыске, удалось установить в Москве с 2020 года благодаря системе распознавания лиц, сообщает портал мэрии столицы.
Городская система видеонаблюдения насчитывает около 230 тысяч видеокамер, установленных на объектах городской инфраструктуры.
За последние 13 лет общее количество квартирных краж сократилось в 35 раз, разбоев — в десять раз, грабежей — в 14 раз.
Опубликованы данные неаудированной отчётности Positive Technologies по итогам 2023 года. Интересно посмотреть на распределение ~25 млрд руб валовой прибыли отгрузок по продуктовой линейке. 6 продуктов дают вклад 75%. Остальные (PT Sandbox, PT ISIM, PT MultiScanner и проч.), судя по отсутствию на слайде, порог в 500 млн перешагнуть не смогли.
Минцифры хочет упростить правила попадания в реестр аккредитованных при министерстве IT-компаний. Проект соответствующего постановления правительства был опубликован на портале нормативных актов 5 марта. При принятии документа большинство изменений должно вступить в силу с 1 мая 2024 г.
В частности, ведомство предложило не проверять долю IT-дохода у малых технологических компаний, созданных менее трех лет назад. «Если компания получила аккредитацию [в реестре Минцифры] в год своего создания, то она может в этот год не проходить плановую процедуру подтверждения», – отмечается в документе.
Мошенники начали активно выманивать образцы голосов граждан
В интернете выросло количество объявлений с предложением о платной озвучке рекламы и фильмов, публикуемых мошенниками. Сами по себе эти объявления не являются мошенническими, но собранные дата-сеты голосов злоумышленники используют для обучения нейросетей и генерируют на их основе аудиосообщения, с помощью которых вымогают деньги у друзей и родственников жертвы. О том, что такая схема набирает популярность, говорится в исследовании компании по кибербезопасности Angara Security.
По словам представителя Angara Security, большая часть таких объявлений размещена в Telegram, но используются и другие ресурсы, например Habr или спам-звонки с предложением заработать на «большом проекте». Согласно исследованию, количество таких сообщений без учета спам-звонков в 2021 г. составляло 1200, в 2022 г. их количество выросло в четыре раза – до 4800, а к 2023 г. достигло 7000.
Вышла моя статья на Anti-Malware, конечно же, про КИИ =)
Запрет иностранных решений в КИИ: как обстоят дела в реальности
Рассмотрим, какие нормативные правовые акты реально регулируют применение иностранных решений в КИИ, какие действуют ограничения и запреты, где всё ещё могут быть использованы альтернативные варианты.
Сегодня у большинства людей на их мобильных устройствах стоят код-пароли — это может быть как короткий пин-код, так и пароль с использованием букв и цифр. Но несколько десятков раз на дню вводить его было бы просто неудобно. Поэтому многие компании придумали, как упростить процесс разблокировки своих девайсов с помощью биометрии — отпечаток пальца, сканирование лица или сетчатки глаза. Все эти способы имеют свои плюсы и минусы, но в общем-то свою основную задачу успешно выполняют — быстро разблокируют устройство.
Биометрия не является полноценной заменой код-пароля, так как при работе с настройками безопасности и раз в 48 часов вам обязательно нужно его вводить. Тем не менее, она существенно упрощает жизнь. С другой стороны, в случае код-пароля единственным носителем этой информации является ваш головной мозг (да, да, автор не в курсе о существовании бумаги и ручки, всё так), откуда вытащить информацию, конечно, можно, но это очень сложно. Казалось бы, с биометрией всё точно также. Но нет. При определенном старании вы можете заполучить биометрию владельца незаметно для него: отпечаток пальца, параметры лица, ну и сетчатку глаза (это наиболее труднодоступная информация, но из головного мозга достать пароль всё ещё сложнее, не прибегая к известным методам).
Поэтому с помощью биометрии вы не можете получить доступ к тем же настройкам безопасности — вас в любом случае обяжут вводить пароль.
Ещё один путь, по которому можно пойти, дабы заполучить доступ к вашей информации — это взломать устройство, в памяти которого находятся биометрия и пароль. Именно поэтому компании особенно тщательно оберегают такие данные не только на программном уровне, но и на аппаратном. Как? Давайте поговорим об этом, предварительно рассмотрев, каким образом, собственно, работает сканирование вашей биометрии.
Хочется напомнить, что с 01 марта вступает в силу Приказ №168 Роскомнадзора, который в том числе определяет Критерии «оценки информации о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации» - т.е. информации об обходе блокировок.
У себя в блоге нашёл аж три таких публикации. Пришлось последовать примеру SecurityLab, 4PDA и других.
Бизнес увеличил закупки российских компьютеров в 2023 году на 70%
Продажи офисных компьютеров (системных блоков, рабочих станций и моноблоков) в корпоративном секторе России выросли в 2023 г. на 71% до 100 000 шт. Об этом рассказала «Ведомостям» вице-президент компании – дистрибутора техники OCS Distribution Ольга Доровская.
По подсчетам одного из крупных дистрибуторов, все российские компании произвели в 2023 г. 500 000 системных блоков, моноблоков и рабочих станций. В последние два года российский бизнес планомерно наращивает закупки компьютерной техники российского производства. В 2022 г. закупки системных блоков, моноблоков и рабочих станций в корпоративном секторе по сравнению с 2021 г. увеличились на 67%, уточнила Доровская.
В OCS Distribution не раскрывают конкретных производителей, чье оборудование пользовалось спросом, но Доровская уточнила, что речь идет о 20 крупнейших отечественных брендах. Самыми востребованными отечественными ПК в России в 2023 г. были персональные компьютеры DNS (DEXP), iRu, ICL, Depo и «Аквариус», отмечает основатель компании «Роббо» Павел Фролов. Спрос связан с качеством, сопоставимым с иностранными аналогами, подчеркивает он.
Яндекс ID запустил вход по лицу или отпечатку пальца
Яндекс ID продолжает развивать беспарольную авторизацию. Теперь входить на сервисы Яндекса и внешние сайты можно по отпечатку пальца или по лицу — не нужно вводить пароль или коды.
Новый беспарольный способ входа стал доступен благодаря внедрению веб-стандарта WebAuthn. Он соответствует высоким требованиям безопасности и конфиденциальности и не позволяет воспроизвести ключ со стороннего устройства или его подделать. Яндекс ID не имеет доступа к информации о лице и отпечатке пользователя — эти данные хранятся на устройстве и никуда не передаются.
Чтобы подключить новую функцию, нужно войти в личный кабинет Яндекс ID и создать ключ для устройства в разделе «Вход по лицу или отпечатку». У одного аккаунта может быть до десяти ключей для разных устройств — не только смартфонов, но и, например, умных часов или USB-ключей YubiKey для ПК.
Сбербанк занялся производством серверов, рассказали «Ведомостям» три источника в компаниях – производителях вычислительной техники и подтвердил представитель банка. Оборудование используется для внутренних нужд банка и адаптировано под работу в собственных дата-центрах, добавил представитель «Сбера». Банк практически «завершил вывод из эксплуатации проприетарных программно-аппаратных комплексов» других вендоров, уточнил собеседник, не назвав долю оставшейся в работе «чужой» техники.
По словам представителя банка, речь идет о производстве серверов собственного дизайна на архитектуре x86. Сбербанк собирает серверы на процессорах Intel и AMD, говорит собеседник в одном из производителей вычислительной техники. Банк планирует подать заявку на включение своих серверов в реестр отечественной радиоэлектронной продукции Минпромторга, отметил представитель «Сбера». Пока требования реестра позволяют включать в него оборудование на иностранных процессорах.
Банк ВТБ до конца 2024 г. рассчитывает перевести всех своих сотрудников на российскую операционную систему Astra Linux и закупил необходимое количество лицензий отечественного софта, рассказал «Ведомостям» заместитель руководителя технологического блока, старший вице-президент ВТБ Сергей Безбогов. Представитель ГК «Астра» (разработчик ОС) подтвердил информацию. Условия сделки стороны не раскрыли.
Сколько лицензий приобрел банк, представители компаний также не уточнили, как и общего числа сотрудников. По данным рейтинга Forbes «50 крупнейших работодателей России», на конец 2023 г. в ВТБ работало 85 943 человека.
ID:** способы аутентификации сегодня, их преимущества, недостатки и перспективы развития**
Прогресс не стоит на месте и даже такие базовые вещи, как аутентификации на сайтах и в приложениях, обновляются и развиваются каждый день. В данном обзоре рассмотрены популярные сегодня методики аутентификации, новые перспективные методы и возможности для бизнеса, связанного с подключением «живых» пользователей к единой информационной системе.
SmartFlow: «В начале был пароль…» или новая аутентификация VK ID
Рассказ Android-разработчика в команде VK ID про SmartFlow -новый процесс аутентификации ВКонтакте, нюансы его внедрения и отличия от старого процесса переключения факторов применительно к Android-платформе.
AdGuard в своём блоге рассказывает о том, как именно работает сбор данных о пользователях iOS через push-уведомления:
__- Разработчик приложения пишет код, который хочет запустить в фоновом режиме
Разработчик отправляет push‑уведомление пользователю приложения. Тема может быть любой: от новостей или результатов матча до запроса на добавления в друзья
Устройство пользователя получает push‑уведомление, но пока не показывает его на экране. iOS распознаёт, что уведомление пришло от приложения, например, социальной сети, и запускает его в фоновом режиме. Приложение запущено, но пользователь пока не видит уведомление и не может с ним взаимодействовать
Приложение запускает код, который разработчик подготовил для работы в фоновом режиме. Это может быть вполне безобидный код, который, например, добавляет информацию в уведомление. А может быть такой код, который собирает данные с устройства пользователя и отправляет их на серверы разработчика
В итоге разработчики могут получить уникальную комбинацию программных и технических характеристик устройства пользователя.__
Пароли в открытом доступе: ищем с помощью машинного обучения
В статье Александр Рахманный, разработчик в команде информационной безопасности в Lamoda Tech, делится опытом поиска в корпоративных ресурсах чувствительных данных — паролей, токенов и строк подключения — с использованием самописного ML-плагина.
Free2FA: Телеграм-бот для двухфакторной аутентификации
Free2FA - это бесплатное, Open Source решение для двухфакторной аутентификации с пуш-уведомлениями, основанное на FreeRADIUS, Telegram-боте и административной веб панели управления. Применялось с Cisco AnyConnect, подходит для любых систем авторизации с пользователями из Active Directory .
“Росатом” перешел на отечественную систему, предназначенную для автоматизации рабочих процессов казначейства и управления финансовыми операциями предприятий, сообщила компания “Гринатом” (отраслевой интегратор “Росатома” в области информационных технологий).
“Сотрудники казначейств и финансовых служб предприятий атомной отрасли начали работу в новой импортозамещенной финансовой автоматизированной системе “Расчетный центр Корпорации” (ИС РЦК)… Отраслевая информационная система “Расчетный центр Корпорации” предназначена для автоматизации рабочих процессов казначейства и управления финансовыми операциями организации”, — говорится в сообщении.
Отмечается, что эта система охватывает более 250 организаций атомной отрасли. Новый продукт базируется на российских сертифицированных решениях и соответствует требованиям по защите информации объектов критической информационной
Исследование DLBI: названы самые популярные пароли 2023 года
По результатам анализа всей массы данных, топ-25 самых популярных паролей в мире за все время исследований не изменился. В него входят: 123456, 123456789, qwerty123, 12345, qwerty, qwerty1, password, 12345678, 111111 и 1q2w3e.
При этом рейтинг 10 самых популярных паролей, попавших в утечки только за 2023 г., значительно отличается как от общего топа, так и от самых популярных паролей прошлого года. В него вошли: 123456 (занимавший 2 место в 2022 г.); 123456789 (занимавший 3 место в 2022 г.); 1000000 (новый пароль). 12345678 (занимавший 7 место в 2022 г.); 12345 (занимавший 4 место в 2022 г.); 123123 (новый пароль); 1234567890 (занимавший 8 место в 2022 г.); 123123qwe (новый пароль); qwerty (новый пароль); Qwerty123 (новый пароль).
Доля RuStore среди магазинов приложений заметно выросла**
**
Отечественный магазин приложений RuStore обогнал App Store по количеству заходов в приложение, следует из статистики сервиса «Билайн.Аналитика». По этим данным, в декабре 2023 г. Google Play занимал первое место по количеству заходов в магазин – 91,2%, на втором месте RuStore – 4,07%, замыкал тройку App Store – 3,3%. У магазина Huawei было 1,15% заходов.
Годом ранее, в декабре 2022 г., на первом месте по количеству заходов в приложение был Google Play с 95,4%, на втором – App Store с 3,22%, на третьем – магазин приложений Huawei с 1%. Общее количество сессий на RuStore составляло лишь 0,25% от всех магазинов приложений.
«Россети» переводят офисы на российскую операционную системуГруппа «Россети» («ФСК-Россети», владеет магистральными и большей частью распределительных электросетей страны) перешла на российскую операционную систему (ОС) «Альт». «Базальт СПО» поставила «Россетям» свыше 97 000 лицензий «Альт рабочая станция» (универсальная ОС для компьютеров и ноутбуков) и 3000 лицензий «Альт сервер» (ОС с набором прикладного ПО для серверов различного назначения), рассказал генеральный директор IТ-компании Сергей Трандин. Построенные на базе ядра Linux ОС «Альт» включены в реестр российского ПО, напомнил он. Представитель «Россетей» подтвердил сотрудничество с «Базальт СПО».
В начале ноября 2023 г. «Россети» разместили четыре закупки различного софта, следует из данных портала госзакупок. Один конкурс проводился на поставку ОС на 752,4 млн руб. Победитель конкурса в закупке не приводится. Из информации в разделе «подведение итогов запроса цен» следует, что интегратор «Ланит» был единственным участником конкурса. «Ланит» не занимается разработкой ОС и в данном случае мог выступать лишь как интегратор, т. е. поставлять и устанавливать системы другого разработчика, обеспечивать сервис продукта. Представитель «Ланита» воздержался от комментариев.
Компанию из Гонконга обманули почти на 26 млн долларов. Мошенники применили групповой дипфейк
Мошенники обманули компанию из Гонконга на 25,6 млн долларов. Они сделали это уникальным способом — с помощью группового дипфейка. Как пишут СМИ, некая транснациональная компания (ее названия не приводится) лишилась крупной суммы денег из-за одного доверчивого сотрудника финансового отдела.
Сначала ему на рабочую почту пришло письмо якобы от топ-менеджера британского офиса компании. Там было приглашение к участию в видеоконференции. Он подключился и увидел, что в беседе принимает участие не только директор, но и несколько других сотрудников.
Оказалось, что на этой встрече только сам обманутый сотрудник был настоящим. Остальные участники были сгенерированы по технологии дипфейк — их лица и голоса были подделаны. Но так качественно, что у сотрудника не возникло подозрений. Он перевел на указанные счета 26 млн долларов и заподозрил неладное только спустя неделю.
Система видеоаналитики «Сфера» смогла найти больше 1,3 тысячи пропавших людей в Москве.
Московская система видеоаналитики под названием «Сфера» смогла найти 1324 пропавших человека. В основном это были пожилые люди и потерявшиеся дети. Об этом сообщил Дептранс Москвы со ссылкой на главу ведомства Максима Ликсутова. По его словам, «Сфера» работает 3,5 года и за это время ищет не только пропавших людей, но и преступников — убийц, насильников, грабителей. Сама система работает только в московском транспорте, в основном в метро, и для активного поиска конкретного человека нужно сначала загрузить в «Сферу» фотографию разыскиваемого лица.
«Коммерсантъ»: банки пожаловались на сроки получения данных из ЕБС
Представители российских банков жалуются на задержки при получении биометрических векторов из Единой биометрической системы (ЕБС). Участники рынка просят установить нормативный срок в одну минуту на запрос вектора, сообщает «Коммерсантъ» со ссылкой на источники в банковском секторе.
Собеседники издания отмечают, что банки не могут получать оперативный ответ из ЕБС. Задержки подтвердили ряд банкиров, а также в Национальном совете финансового рынка (НСФР). В ряде случаев персональные данные могут подтверждаться в течение одного или двух дней. Один из источников «Коммерсанта» считает, что задержка может возникать в части криптографической защиты данных. Представители НСФР направили письмо Минцифры и Центр биометрических технологий (ЦБТ) с просьбой рассмотреть варианты нормативных сроков по процедуре ЕБС.
За пределами номера телефона: Использование TOTP для усиления безопасности
Двухфакторная аутентификация, хоть и добавляет шаг в процессе распознавания пользователя со стороны системы или сайта, но все же становится необходимой мерой для безопасной коммуникации. Большинство крупных веб-ресурсов мира сделало этот метод обязательным ввиду расширения списка возможных киберугроз. SMS и Call Password (звонок клиенту) для этой цели — инструменты привычные, но что насчет альтернатив? Иную реализацию «двухфакторки» предлагает TOTP — алгоритм одноразового пароля на основе времени.
**Многофакторная аутентификация: реализовываем на платформе Secure Authentication Server **
Использование многофакторной аутентификации для обеспечения конфиденциальности данных становится всё более востребованной мерой защиты. Компания MFASOFT (ООО «СИС разработка») реализовывает эту меру с использованием платформы аутентификации Secure Authentication Server.
Мда… Некоторые инициативы должны навсегда оставаться только инициативами. Тут явно такой случай:
Банкам предложили определять нерезидентов по геолокации
Если выяснится, что российский гражданин заходит в приложение банка в основном из-за рубежа, организация должна будет запросить у него дополнительную информацию о месте проживания. А если этих данных банк не получит, то сможет в одностороннем порядке расторгнуть договор и перестать проводить операции по счету клиента. Соответствующее предложение Минфина содержится в проекте постановления правительства, пишут «Известия».
В WhatsApp на iOS можно будет входить в аккаунты без пароля
Мессенджер WhatsApp (принадлежит Meta, которая признана в РФ экстремистской и запрещена) тестирует новую функцию, которая поможет пользователям устройств от Apple входить в профили без пароля. Благодаря системе аутентификации без паролей (passkey) можно будет осуществить вход с помощью отпечатка пальца (Touch ID), скана лица (Face ID) или PIN-кода.
Сайт с интересной функциональностью: “...собраны различные рекламные сервисы и сервисы для сбора аналитики, чтобы вы могли проверить на них эффективность вашего блокировщика.”
В Москве может появиться региональный сегмент Единой биометрической системы
Минцифры предложило создать в Москве региональный сегмент Единой биометрической системы (ЕБС). Проект соответствующего постановления правительства опубликован на портале проектов нормативных актов.
Данные региональной системы, как ожидается, можно будет использовать для оплаты проезда, аутентификации на региональных ресурсах в Интернете, прохода на территорию госорганов и в многоквартирные дома, при обращении в МФЦ, а также при посещении культурных мероприятий и учреждений.
**Росэнергоатом импортозаместил программное обеспечение 95% всех рабочих мест
**
Подведя итоги работы по направлению информационных технологий (ИТ) за 2023 год, концерн «Росэнергоатом» (входит в электроэнергетический дивизион Госкорпорации «Росатом») отчитался о переводе на импортонезависимую операционную систему Astra Linux более 95% от всех рабочих мест пользователей дивизиона. Плановый показатель по переводу на 2023 год был выполнен в полном объеме.
Ключевая цель концерна в области ИТ — обеспечить технологическую независимость. В 2023 году совместно с технологическими партнерами были разработаны и внедрены три полностью отечественных доверенных программно-аппаратных комплекса. Одним из них является комплекс для реализации частного облака, который позволил повысить эффективность эксплуатации инфраструктуры, динамично распределять нагрузку между сервисами, снизить риск простоев, а также ускорить развертывание новых приложений. 1000 отечественных компьютеров «Бобер» на процессорах «Байкал» были распределены по центральному аппарату и АЭС, протестированы. Уже более 700 из них установлены на рабочих местах пользователей.
В 2023 году успешно завершен проект по импортозамещению информационной системы управления бюджетированием АО «Концерн Росэнергоатом», в результате которого система, ранее реализованная на базе SAP BPC, была замещена системой на основе отечественного решения «Форсайт. Бюджетирование». Система введена в промышленную эксплуатацию на 11 АЭС, в центральном аппарате и шести малых филиалах концерна.
Еще одна импортозамещенная система «Росэнергоатома» — производственная автоматизированная система управления технической документацией — в 2023 году введена в промышленную эксплуатацию на 14 объектах концерна. Система позволяет сотрудникам иметь постоянный доступ к актуальной технической документации в электронном виде, что необходимо для выполнения ежедневных задач.
Особое внимание в «Росэнергоатоме» уделяется совершенствованию и модернизации систем информационной безопасности. В 2023 году завершена модернизация системы межсетевого экранирования на 11 атомных станциях и в центральном аппарате, что позволило обновить парк оборудования (заменено более 40 единиц оборудования), повысить его производительность, а также обеспечить высокий уровень защищенности внешнего и внутреннего периметров сетевой инфраструктуры от компьютерных атак. Было организовано внедрение системы защиты средств виртуализации на девяти АЭС с переходом на импортозамещенные решения по управлению виртуализацией. Система спроектирована и внедрена, завершается промышленная миграция более 900 виртуальных серверов информационных систем атомных станций.
Плюс один специализированный антивирус для АСУ ТП:
Dr.Web Industrial осуществляет защиту серверов и рабочих станций в промышленных системах управления и на объектах критической инфраструктуры от заражения вредоносным ПО и целевых атак. Решение позволяет контролировать доступ к файлам и директориям, а также подключаемые сотрудниками устройства и активность сторонних приложений.
__Особенностью защитного комплекса является отсутствие необходимости прерывания технологического процесса при обнаружении вредоносной активности. Все участники производственной цепочки, от оператора рабочей станции до ИБ-службы компании могут отслеживать ситуацию в режиме реального времени и принимать решение по устранению угрозы безопасности.
Защитный комплекс Dr.Web Industrial предназначен для работы в среде Windows, Linux, FreeBSD. Лицензирование продукта осуществляется по количеству защищаемых объектов АСУ ТП.__
Сочетание методов верификации и аутентификации через почту и SMS: добавит ли безопасности и нельзя ли проще?
Недавно в России вступил в силу закон, запрещающий использовать иностранные сервисы для авторизации на отечественных ресурсах. Привычные уже мессенджеры и системы SSO вроде Google/Apple ID в скором времени для аутентификации работать не будут. Что теперь — возвращаться на SMS и почту, или рынок предлагает альтернативные варианты решения?
Россияне смогут регистрироваться в отелях через «Госуслуги»
Такую инициативу предложило правительство. Также россиянам могут разрешить заселяться в гостиницы по загранпаспорту. Как эти новшества оценивают отельеры?
Когда пользователь устал, или Как хакеры обходят MFA
В начале января от действий скамера пострадала Mandiant — ИБ-дочка Google. Злоумышленник взломал аккаунт компании в Twitter* и использовал его для криптографического мошенничества. Оказалось, что в инциденте виноваты сотрудники Mandiant и некий «переходный период». Специалисты банально запутались в новых правилах MFA на площадке и в том, кто за нее отвечает.
В сервисах «МТС Линк» появились новые способы аутентификации
«Вебинар Технологии», российская компания-разработчик экосистемы сервисов для бизнес-коммуникаций и совместной работы «МТС Линк», объявила, что теперь платформа поддерживает все три ключевых протокола аутентификации и авторизации пользователей.
Крайне любопытный нестандартный вектор атаки: отслеживание положения пальцев руки пользователя через датчик освещённости ноутбука/планшета/смартфона.
Ладонь частично отражает свет от экрана на датчик, что при должном умении (не обошлось без привлечения ИИ) позволяет определить положение руки пользователя.
Пока атака в реальных условиях нереализуема (для достоверности результата рука должна быть неподвижна пару десятков минут), но это повод уже сейчас озаботиться дополнительными механизмами защиты от неё в будущем: ограничить доступ приложений к датчикам освещённости, понизить частоту их срабатывания и/или разместить датчики сбоку, а не на фронтальной поверхности.
В России до конца года создадут биометрическую систему учета въезжающих иностранцев
Биометрию иностранцы смогут сдавать через специальное приложение, что позволит обеспечить достоверное подтверждение личности. Business FM спросила представителей нескольких диаспор и юристов, как они относятся к нововведению.
Российские радиовещатели смогли заместить большую часть иностранного оборудования, попавшего под американские санкции, отечественным. Это следует из отраслевого доклада «Радиовещание России 2022-2023 годы», подготовленного при поддержке Минцифры. С ним ознакомилась газета «Коммерсантъ».
От автора: __Я долго собирал информацию о том, как организовать свои аккаунты. Как сделать доступ к ним достаточно надёжным и стойким к утере девайсов.
Меня интересовало, как я могу залогиниться туда, где многофакторная авторизация через телефон, в случае потери телефона.
Или, как обезопасить себя от забывания мастер пароля от менеджера паролей? На моей практике я несколько раз забывал пин-код от банковской карты, состоящий из 4-ёх цифр, после ежедневного использования на протяжении многих месяцев. Мозг - странная штука.
В итоге, спустя месяцы изучения темы, я пришёл к следующему сетапу, который решил описать в виде мануала.__
**В ЦБ предупредили о новом виде мошенничества с имитацией голосов родных
**
Аферисты вынуждают сделать денежный перевод или сообщить необходимые для финансовых операций сведения
В ЦБ предупредили о новом виде мошенничества. Аферисты с помощью специальных программ имитируют голоса родных и близких потенциальной жертвы, после чего вынуждают сделать денежный перевод или сообщить необходимые для финансовых операций сведения, сообщили РИА Новости в Банке России. При возникновении любых сомнений ЦБ советует позвонить человеку, от имени которого вам звонят, и уточнить у него информацию.
Злоумышленники часто создают адресные схемы, которые составлены по цифровому портрету человека. Как пояснили в Центробанке, мошенники могут составить его, например, на основании информации, которую сам гражданин размещает на открытых интернет-ресурсах: о родственниках, друзьях, работе, досуге. В этой связи регулятор рекомендует осторожно подходить к размещению личной и финансовой информации в социальных сетях и на других открытых ресурсах.
**Брак без паспорта впервые зарегистрировали в РФ
**
Во время свадебной церемонии использовались биометрические данные, которые подтвердили личности жениха и невесты. Свой союз с помощью новых технологий и планшета скрепили молодые учителя из Воронежской области Роман и Дарья Бабаевы, рассказали РИА Новости в Центре биометрических технологий (ЦБТ).
Уточняется, что молодожены заранее зарегистрировали подтвержденные биометрические данные. Регистрация прошла в павильоне № 75 в рамках Дня Воронежской области на выставке-форуме «Россия» на ВДНХ.
Мошенники освоили технологии искусственного интеллекта и общаются с россиянами «клонированными» голосами друзей и родственников. Собеседники Business FM добавляют, что самые продвинутые вымогатели научились делать то же самое при звонках в реальном времени.
Не ожидал, что у нас ТАКОЕ количество каналов по ИБ: при первоначальном списке в 92 канала новых мне прислали уже почти 50 штук. Видимо, в следующем рейтинге надо будет какие-то критерии включения вводить (число подписчиков, возраст канала, активность или что-то ещё - надо подумать).
Одноразовые пароли для доступа по ssh через HashiCorp Vault
HashiCorp Vault имеет в своём арсенале SSH secrets engine, который позволяет организовать защищённый доступ к вашим машинам по ssh, через создание клиентских сертификатов и одноразовых паролей. Про последнее – создание одноразовых паролей (OTP) – и идёт речь в этой статье.
В Москве испытали светофор с системой распознавания лиц пешеходов-нарушителей
На пешеходном переходе Бережковской набережной в Москве протестировали прототип светофора с биометрической камерой распознавания лиц. Устройство может фиксировать нарушения правил дорожного движения, заявил начальник столичной Госавтоинспекции Александр Быков в журнале «Безопасность дорожного движения».
«Фотофиксация предусматривает отображение трека перемещения пешехода и сигнала светофора. При нарушении пешеходом ПДД РФ его изображение (без идентификации) транслируется на электронное табло отображения информации, расположенное рядом с местом нарушения», – пояснил Быков.
Он отметил, что для эффективной работы автоматизированной системы привлечения пешеходов к административной ответственности нужно собрать биометрию у всех граждан. Это может быть возможно, только если сдача биометрической информации в стране станет не правом ее жителей, а обязанностью, уверен начальник Госавтоинспекции Москвы. В таком случае в действующее законодательство потребуется внести изменения, подчеркнул Быков.
Но доля ушедшего немецкого вендора остается доминирующей у крупного бизнеса.
Около 15–20% российских компаний к концу 2023 г. перешли на аналоги программного обеспечения немецкой SAP, подсчитали по просьбе «Ведомостей» крупные IT-интеграторы «Т1 интеграция» и Winbyte (принадлежит «Ланиту», занимается техподдержкой SAP). В реестре российского ПО уже зарегистрировано около 200 аналогов ERP (систем управления ресурсами организаций) от SAP, но при этом около 60% компаний в нефтегазовой, горнодобывающей, металлургической сферах и машиностроении продолжают использовать продукты немецкого вендора, отмечают представители интеграторов.
SAP – немецкий разработчик ПО для организаций. Наиболее распространенное решение компании – система управления предприятием ERP, состоящая из отдельных модулей для финансов, ресурсов, жизненного цикла оборудования, сбыта продукции и т. д. Компания – третий крупнейший разработчик ПО в мире после Microsoft и Oracle.
— Может быть из-за некоторых особенностей балльной системы, что она направлена именно на стимуляцию производства и только его, то есть она не затрагивает вопросы разработки. То есть не имеет значения, где это разработано, хотя, на мой взгляд, это имеет значение.
— Какие сейчас используются технологии, есть ли отечественные платы и что вы можете сказать об их качестве?
— Есть изготовители, которые делают, по крайней мере, я могу отвечать за свой сектор, мы занимаемся разработкой, производством корпоративных мобильных устройств, в них все достаточно компактно и плотно, как вы можете понять, потому что место обычно ограниченно в мобильных устройствах. производители могут делать российские платы нужного класса точности и с необходимым стеком материалов. Единственное, что получается заметно дороже, чем в Китае. Чтобы соответствовать пороговому значению балльной системы, если мы говорим про вычислительную технику, по крайней мере, естественно, отвечаю за свой сектор — это мобильные устройства, ноутбуки, компьютеры, то там пороговое значение изменяется, начиная с Нового года оно становится вместо ста 140 баллов нужно набрать — это довольно приличный скачок, который можно достичь несколькими способами. Способ изготавливать здесь печатную плату — это всего лишь один из способов, он самый очевидный и основной, но есть и другие способы. Можно использовать российские элементы, можно использовать электронные российские модули внутри самих устройств. Варианты есть.
Как отмечает «Ъ», производители могут пойти на хитрость: устанавливать в устройство опытные образцы российских плат, регистрироваться в реестре и уже перед поставкой менять их на китайские. О том, как это контролируется, говорит директор по связям с общественностью РАТЭК Антон Гуськов (директор по связям с общественностью РАТЭК):
«Эта тема в основном касается рынка госзакупок, а потребительский рынок эти вещи не затрагивают. Если говорить о истории с отслеживаемостью, скажем так, компонентов для выявления российскости, то сейчас Минпромторг уже объявил, с конца ноября, с 1 декабря уже объявлено об эксперименте по маркировке различной электроники, там светодиодов, в том числе электроники и компонентов для производства. То есть сейчас будет проводиться эксперимент, который теоретически должен будет позволить отслеживать в том числе и происхождение этих компонентов, являются ли они российскими или нет, то есть они должны будут давать достаточно полную информацию. Насколько удачно пройдет эксперимент, покажет время, мы в нем тоже принимаем участие. Производство самих плат и микросхем это технологичный процесс. Мы знаем, что есть предприятия, которые это делают, в том числе там завод Yadro в Дубне, некоторые другие предприятия. Кто-то это еще не делает, но тут уже вопрос рынка и вопрос требований, которые предъявляет государство. Но большого количества на рынке этого товара пока нет, российского производства».
При этом в Минпромторге заявляли, что на рассмотрении Торгово-промышленной палаты находятся больше 2,5 тысячи заявок на включение в реестр. То есть компании были готовы со временем перестраиваться и работать по новым правилам, отметили в министерстве.
Из-за строгости системы часть позиций может лишиться преференций на рынке госзакупок.
Минпромторг проигнорировал просьбы производителей электроники о смягчении требований для попадания в реестр отечественной техники. Об этом пишет газета «Коммерсантъ» со ссылкой на свои источники.
Со следующего года ужесточается балльная система оценки российской техники. Теперь, чтобы Минпромторг признал устройство отечественным, а его производитель получил доступ к госзакупкам, в нем должна быть печатная плата российского производства. Но производители этих компонентов способны обеспечить только 10% гражданского рынка. Компании Yadro, GS Group и «Бештау» уже планируют выпускать платы для себя самостоятельно, но на отладку производств потребуется несколько лет, отмечает газета.
Таким образом, из реестра выпадет «заметный объем техники», а сами производители могут пойти на хитрость: устанавливать в устройство опытные образцы российских плат, регистрироваться в реестре и уже перед поставкой менять их на китайские.
О ситуации с печатными платами в России говорит популяризатор отечественной микроэлектроники, блогер Максим Горшенин (популяризатор отечественной микроэлектроники, блогер):
«Это те самые платки в каждом электронном устройстве, куда монтируются электронные компоненты, например процессор, память, блоки питания, где смонтированы все электронные компоненты. Это имеется в каждом устройстве, будь то часы электронные, умные, телевизор или наушники, смартфоны, компьютер. Ее проблема с производством лишь в том, что в большинстве своем российская техника разработана не самостоятельно, а документация на нее куплена в Китае, и производство смещается в Китай, а тут придется делать российскую плату. И ее надо будет как-то отправлять китайцам, чтобы они сделали поверхностно монтаж. А они будут еще сопротивляться, что им это не нравится, тогда придется где-то тут это все делать. То есть основная сложность, почему все сопротивляются, потому что у них порушатся все выстроенные цепочки, когда они под видом российского поставляют китайское, но перевели документацию. Техника не станет хуже, если установят отечественные платы, потому что они будут одинаковые, никто не заметит разницы. К примеру, на «Эльбрусах» давно используются российские платы, их ставят в системы хранения данных, которые обрабатывают, хранят загранпаспорта, но никто не видит разницы. Для потребителя даже плюс будет, потому что больше рабочих мест. Наши производители электроники начали строить свои заводы, то же Yadro, тот же «Бештау». Есть сторонние производители, другие подтянутся. Пока не будет закона, никто не начнет ничего строить и вкладывать деньги. Дефицита не случится, всем был дан минимум год на строительство завода, а все решили за один месяц в декабре проводить. Даже я выпускал ролик, в сентябре у них было, все собирались, чтобы отменить. А отменить почему? Потому что год никто ничего не делал. Сделать мораторий и наложить на один год. Но где гарантия, что через год они точно так же не соберутся и не скажут: а мы ничего не сделали. Поэтому Минпромторг все правильно делает, а те, кто обманывают государство, обманывают нас и пытаются всячески увильнуть, я, наоборот, буду только рад, что они уйдут с реестра Минпромторга».
Балльная система оценки российской техники была введена 1 апреля этого года. На первом этапе от производителей требовалось использовать российские центральные процессоры. Баллы начисляются и за другие отечественные компоненты в приборе. Не видит особых проблем в ужесточении закона и гендиректор разработчика смартфонов и планшетов Mobile Inform Group Константин Манцветов:
В 2023 году 2FA включили 16 млн пользователей VK (плюс 21%)
В 2023 году двухфакторную аутентификацию (2FA) для защиты аккаунтов включили еще 16 млн пользователей VK. Показатель «ВКонтакте» за год возрос на 21%, «Одноклассников» — на 15%.
В Госкорпорации «Росатом» завершился 4-летний проект по переводу отраслевой системы электронного документооборота на импортонезависимое ПО: отечественную платформу «Атом.Контент» и СУБД Postgres Pro.
Проект был выполнен в рамках реализации задач по импортозамещению и достижению технологического суверенитета. В нем приняли участие АО «Гринатом» (ИТ-интегратор Росатома) и компания «Философия.ИТ» (входит в «АТ Консалтинг», организацию Росатома).
Проект состоял из четырех этапов: проектирование архитектуры решения, разработка платформы, адаптация ядра платформы к ЕОСДО, перевод ЕОСДО с СУБД ORACLE на СУБД Postgres Pro. Совместной командой АО «Гринатом» и компании «Философия.ИТ» была создана и сертифицирована во ФСТЭК России платформа «Атом.Контент», внесенная в марте 2022 года в реестр отечественного ПО. Таким образом, был выполнен перевод ЕОСДО с OpenText Documentum на «Атом.Контент». В декабре 2022 года завершился третий этап проекта, в рамках которого ядро платформы «Атом.Контент» было адаптировано к функционалу эксплуатируемой отраслевой системы документооборота Росатома. Финальными шагами в ноябре 2023 года стали миграция СУБД Oracle на СУБД Postgres Pro и запуск системы в промышленную эксплуатацию, все предприятия атомной отрасли России перешли с ЕОСДО 1.0 на импортонезависимую ЕОСДО 2.0. В рамках проекта реализован перевод серверной инфраструктуры, обеспечено интеграционное взаимодействие со смежными системами, а также выполнен ряд оптимизационных задач, которые позволили сохранить целевые показатели производительности.
Созданная в ходе проекта импортонезависимая технологическая платформа «Атом.Контент» представляет собой фреймворк, позволяющий реализовать бизнес-логику системы управления контентом в любых приложениях, требующих обработки больших объемов данных. И поскольку текущая база ЕОСДО на Postgres Pro составляет около 20 терабайт, объем контента — более 300 терабайт, на сегодняшний день «Атом.Контент» является одной из немногих технологических платформ в России, работающих в подобных масштабах в централизованной архитектуре.
«Пользователями ЕОСДО являются более 110 тысяч работников предприятий атомной отрасли. Поэтому важность реализованного обновления системы невозможно переоценить. Мы обеспечили импортонезависимость электронного документооборота в Росатоме, при этом новое решение имеет высокие показатели в части функциональности и масштабируемости, а также позволяет тиражировать проектный опыт внутри отрасли и на внешнем рынке», — подчеркнул Евгений Абакумов, директор по информационной инфраструктуре Госкорпорации «Росатом».
Google Chrome запустит проверку надежности паролей в фоновом режиме
В браузере Google Chrome проверка безопасности паролей теперь будет работать постоянно. Непрерывное сканирование интернета на предмет компрометации одного из паролей поможет оперативно сообщать пользователям о необходимости их замены.
Производство транспортных карт «Тройка» стало полностью российским, их первая партия с отечественным чипом была передана для тестирования в метро, сообщил мэр Москвы Сергей Собянин в своем Telegram-канале.
«На заводе “Микрон Секьюрити Принтинг” в ОЭЗ “Технополис Москва” запустили первую производственную линию одного из ключевых процессов изготовления “Тройки” – корпусирование микросхем», – написал он.
В ходе это процесса происходит контакт чипа с антенной, пояснил мэр. Следующим этапом является внедрение уже полностью российского чипа нового поколения с утроенным объемом памяти, что «прилично расширит» функционал «Тройки», отметил мэр.
«Первая тысяча “Троек” с таким чипом уже изготовлена и передана для тестирования в метро», – добавил Собянин.
Массовый выпуск новых карт начнется в следующем году и станет событием для всей страны, поскольку «Тройка» сегодня внедрена во многих регионах, добавил он.
Раньше чипы для «Тройки» закупали у нидерландской компании NXP, но поставки прекратились из-за санкций. Теперь же их поставляет совместное предприятие Московского метрополитена и компании «Микрон», 50% в котором принадлежит метро. Заместитель мэра Москвы по вопросам транспорта Максим Ликсутов ранее говорил, что более современный чип для транспортной и банковской сфер, разработанный СП, позволит внедрять больше удобных билетных решений для пассажиров.
Карта «Тройка» появилась в Москве в 2013 г. Затем опыт нового способа оплаты переняли и регионы. Сегодня, помимо Москвы и Московской области, «Тройка» действует еще в ряде субъектов России, включая Владимирскую, Нижегородскую, Новосибирскую, Ростовскую, Курскую области, Хабаровский край, Карелию и др. В августе «Тройка» заработала и в ДНР.
Российские производители умных счетчиков электроэнергии попросили генпрокурора России Игоря Краснова проверить гарантирующих поставщиков (ГП; ключевые энергосбытовые компании регионов) и электросетевые компании на предмет законности закупок импортного оборудования. Об этом говорится в письме Ассоциации предприятий в сфере радиоэлектроники, информационных технологий и инжиниринга от 7 декабря.
Их запустят на отечественном оборудовании во всех городах России с населением свыше 100 тысяч человек
Сети формата 5G на отечественных базовых станциях начнут активно развертывать в крупных городах России с 2026 года. Об этом сообщает ТАСС со ссылкой на заявление главы Минцифры Максута Шадаева.
По словам министра, к запуску таких сетей начнут готовиться в 2025 году. Также уже прорабатывается вопрос о развертывании систем 6G, в 2024 году по ним начнутся научно-исследовательские и опытно-конструкторские работы.
Шадаев добавил, что коммерческая эксплуатация сетей 5G и 6G-Ready в России начнется с 2030 года, при этом сети 5G запустят на отечественном оборудовании во всех городах России с населением свыше 100 тысяч человек.
Цифровой аватар пакистанского экс-премьера призвал сторонников выиграть выборы. Оригинал сидит в тюрьме
Экс-премьер Пакистана находится за решеткой с августа, суд признал его виновным в коррупции и запретил участвовать в выборах. Через два месяца в Пакистане пройдут парламентские выборы, и Имран Хан обратился к сторонникам с помощью своей цифровой копии, которая зачитала написанный экс-премьером текст.
Российские IT-разработчики в январе – ноябре 2023 г. подали 30 463 заявки на регистрацию интеллектуальной собственности, это на 14,8% больше, чем за тот же период прошлого года, сообщил «Ведомостям» представитель Роспатента.
По данным Минцифры, с начала 2023 г. в реестр отечественного ПО было включено 4333 решения, это на 16% больше, чем в 2022 г. Но и исключать софт из реестра стали в 3 раза чаще: в 2022 г. из реестра вывели 250 решений, а 2023 г. – 792. Большая часть исключенных решений – около 600 – это однотипные записи от одной компании, т. е. убраны отдельные наименования, их собрали под одной реестровой записью, пояснил представитель министерства. Сейчас в реестре 19 417 записей.
«Да не робот я!»: CAPTCHA исчезнет или станет ёщё более раздражающей?
Вместе с ростом числа интернет-пользователей развивались боты для спам-рассылок и создания фейковых учетных записей. В 2000 году исследователями из Университета Карнеги-Меллона была разработана CAPTCHA, Completely Automated Public Turing Test to tell Computers and Humans Apart.
Капча служит защитным механизмом, генерируя задачи, которые легко решить людям и тяжело — ботам. Она не давала спамерам и мошенникам обманывать веб-сайты. Но с годами простые пользователи стали все больше уставать от капчи и воспринимать ее как раздражитель, а не механизм аутентификации.
Кроме того, сегодня роботы легко обходят капчи с помощью методов компьютерного зрения. Это привело к дилемме: актуальна ли сейчас технология? Или капча — это устаревший механизм, который только тратит время?
Российский рынок софта для финансового сектора в ближайшие пять лет будет расти на 13,5% в год. В 2022 г. он составлял 28 млрд руб., по итогам 2023 г. достигнет 31,5 млрд руб., а к 2028 г. его объем составит 59,5 млрд руб. Такой прогноз приводится в исследовании Strategy Partners. Этот сегмент будет расти быстрее, чем рынок программного обеспечения (ПО) в целом: весь рынок российского ПО будет расти на 12,5% в год и достигнет к 2028 г. 2,3 трлн руб., подсчитали эксперты консалтинговой компании. Опережающие темпы роста в финтехе обеспечит внедрение новых платежных систем и спрос на решения для обеспечения расчетов и обработки финансовой информации.
На фоне глобальной цифровизации бизнеса мировой рынок ПО рос на 18,5% в год на протяжении последних четырех лет, говорится в исследовании. Российский рынок софта рос еще быстрее – в среднем на 19,4% в год. В 2022 г. рынок ПО вырос сразу на 23,7% и его емкость составила 1,1 трлн руб., указано в отчете.
Первый софт для платежных терминалов включили в реестр МинцифрыВ российский реестр программного обеспечения (ПО) Минцифры включили первую операционную систему (ОС) для платежных кассовых терминалов – Atol OS. Об этом «Ведомостям» рассказал представитель ее разработчика – компании «Атол». Запись об этом появилась на сайте реестра, убедились «Ведомости». Представитель Минцифры подтвердил факт включения Atol OS в реестр отечественного ПО.
Atol OS разработана на базе Android Open Source Project версий 7, 10, 11 и использует исходный код и базовые функции Android, уточнил представитель «Атола». По его словам, ОС обладает модификациями и доработками, необходимыми для работы устройств на территории России, а базовые настройки позволяют отключить Google Mobile Services и защитить тем самым устройство от возможных внешних воздействий.
**В России запустят покупку лекарств онлайн по биометрии
**
Россияне смогут дистанционно купить лекарства по биометрии, для этого будут использоваться данные из Единой биометрической системы (ЕБС). Об этом пишут «Известия» со ссылкой на Центр биометрических технологий (ЦБТ – совместное предприятие «Ростелекома», ЦБ и Росимущества).
Чтобы подтвердить личность, нужно любое устройства с камерой, которое способно обеспечить достаточный уровень защиты данных, пояснили в организации. Предполагается, что по биометрии человек сможет как сделать заказ, так и получить его у курьера. В Минцифры напомнили, что, по закону о биометрии подтверждение личности с помощью данных из ЕБС приравнивается к предъявлению паспорта.
В пресс-службе ЦБТ подчеркнули, что для пилотного проекта созданы все правовые условия. В то же время для запуска необходимы технические доработки со стороны аптечных организаций, пояснили в Минцифры. В частности, требуется интеграция с ЕБС, а также с Единой государственной информационной системой в сфере здравоохранения (ЕГИСЗ) и Единой системой идентификации и аутентификации (ЕСИА).
В ЦБТ уточнили, что эксперимент не подразумевает покупку по биометрии при очном посещении аптеки. В то же время там не исключили, что такая возможность станет доступна в будущем.
В марте 2023 г. в трех регионах России – Москве, Московской и Белгородской областях – начался эксперимент по доставке рецептурных препаратов. Он рассчитан на три года и завершится в 2026 г. Для оформления онлайн-заказа лекарства пациенту нужно получить электронный рецепт у лечащего врача, а затем подтвердить его на сайте аптечной сети или активировать через приложение «ЕМИАС.ИНФО». При получении препаратов покупатель должен показать курьеру QR-код заказа и паспорт.
В Минздраве заявили о стабильном росте числа проданных таким образом лекарств. По данным ведомства, в начале эксперимента ежемесячный прирост продаж составлял чуть более 50%, но уже осенью показатель приблизился к 80%. Абсолютные цифры в министерстве не назвали, отмечают «Известия».
По предложению посетителя моего сайта ZLONOV.ru добавил в подборку законодательства список недавно обновлённых документов тут https://zlonov.ru/kii/ и тут https://zlonov.ru/laws/#новые-документы-за-последние-120-дней-от-даты-редактирования
Список генерируется автоматически при каждом редактировании.
**Криптографически стойкие генераторы псевдослучайных чисел
**
Статья посвящена обзору криптографически стойких генераторов псевдослучайных чисел (CSPRNG), ключевого элемента в обеспечении безопасности криптографических систем. Рассматриваются различные виды криптографически стойких генераторов псевдослучайных чисел, проведено их сравнение и анализ их уязвимостей.
Забавно, что мы предпочитаем насмехаться над отечественными разработками, а не гордиться пусть малыми, но достижениями…
__На следующей неделе в Москве состоится презентация Р-ФОН — отечественного смартфона на базе ОС «РОСА Мобайл» со встроенным мессенджером от «РОСА», по функциональности схожим с Telegram. Продукт «РОСА Мессенджер» защищен шифрованием и программой идентификации и пригоден для личного пользования, бизнеса и госсектора. В настоящее время он совместим лишь с «РОСА Мобайл» и РОСА «Хром» (обе на основе Linux), однако не исключено, что в дальнейшем список поддерживаемых ОС расширится.
__
Источник: https://www.anti-malware.ru/news/2023-12-13-114534/42464
Подписан закон, уточняющий порядок авторизации пользователей в сети Интернет
Глава государства подписал Федеральный закон «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации».
Федеральный закон направлен на совершенствование законодательства Российской Федерации в сфере информационных технологий и защиты информации.
Федеральным законом уточняется порядок проведения авторизации пользователей сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин.
С 1 января 2025 г. быстрые зарядки для электромобилей должны будут работать на программном обеспечении, входящем в реестр отечественного ПО или реестр ПО членов Евразийского экономического союза. Соответствующий проект приказа опубликовало Минцифры на сайте нормативных правовых актов 8 декабря.
По данным сервиса 2Chargers, в России сейчас всего около 4500 электрозаправок, 779 из которых быстрые. Установка быстрых ЭЗС субсидируется государством: компенсируется до 60% (т. е. до 1,86 млн руб.) стоимости зарядки и до 30% (до 900 000 руб.) техприсоединения к электросети. По данным Минэкономразвития, в 2022 г. в России было установлено 439 быстрых и 783 медленные зарядки. План на 2023 г. – 659 и 2163 ЭЗС соответственно. Почти 3000 зарядных станций для электромобилей должны быть созданы в пилотных регионах РФ до конца 2024 г., следует из материалов к проекту бюджета РФ на 2024 г. и плановый период 2025–2026 гг.
Квантовое распределение ключей в оптических транспортных сетях
В современном мире, где информация стала самым ценным ресурсом, безопасность передачи данных приобретает критическое значение. Ассиметричные методы криптографии, на которых основана большая часть современных систем безопасности, смогут быть подвержены новым угрозам, связанным с развитием квантовых компьютеров. В это время на сцену выходит квантовая криптография, обещающая революцию в области защиты информации. Квантовая криптография использует законы квантовой физики для создания абсолютно защищенных способов передачи информации.
В центре этой технологии находится процесс, известный как квантовое распределение ключей (КРК). Этот процесс позволяет двум сторонам формировать у себя коррелированные битовые последовательности, которые в дальнейшем могут быть использованы сторонами как симметричные криптографические ключи. При этом никакой злоумышленник не сможет перехватить или скопировать этот ключ без обнаружения благодаря уникальным свойствам квантовых частиц, таких как фотоны, которые изменяют свое состояние при попытке измерения или копирования, тем самым сигнализируя о попытке вмешательства.
Таким образом, квантовое распределение ключей предлагает решение, устойчивое к атакам даже с использованием квантовых компьютеров. При этом даже в случае, если полноценный квантовый компьютер никогда не появится, технология принесет пользу в части автоматизации процесса выработки и распределения симметричных ключей, тем самым исключая из него человеческий фактор.
**Госдума одобрила штрафы до ₽1,5 млн за нарушение закона о биометрии
**
Госдума РФ в третьем чтении приняла законопроект, вводящий административную ответственность за нарушение требований по сбору и размещению биометрических данных граждан.
Суд в Москве впервые взыскал компенсацию за использование чужого видео с дипфейком
Речь идет о рекламном ролике с участием человека с лицом Киану Ривза
В России впервые взыскана компенсация за использование чужого видео, созданного с применением дипфейк-технологии. Прецедентное решение вынес арбитражный суд столицы, сообщает ТАСС.
Суд обязал взыскать с ООО «Бизнес-аналитика» в пользу ООО «Рефейс технолоджис» компенсацию в размере полумиллиона рублей, а также расходы по уплате госпошлины в размере 13 тысяч рублей за нарушение исключительного права на видеоролик. Дело было рассмотрено в упрощенном порядке. Решение подлежит немедленному исполнению.
**У Москвы появится региональный сегмент Единой биометрической системы
**
Это поможет избежать перегрузки федеральной базы данных, ошибок и задержек. На практике, по словам экспертов, ничего не изменится, а столице придется передавать свои наработки в федеральную базу
Программа льготных кредитов на разработку и внедрение продуктов для IT-компаний продолжит действовать в 2024 г. Она потребовала дополнительного финансирования из-за повышения ключевой ставки, но средства были найдены. Об этом сообщила пресс-служба Министерства цифрового развития, связи и массовых коммуникаций РФ.
«В связи с решениями Центробанка о повышении ключевой ставки в этом году программа потребовала допфинансирования. Минцифры нашло необходимые средства», – рассказали в ведомстве.
Там пояснили, что из-за роста ключевой ставки перед банками образовалась определенная задолженность, но она будет поэтапно погашаться и будет полностью закрыта с учетом планируемых к доведению средств.
«В ближайшее время первая волна платежей в адрес банков завершится и будет произведен перерасчет. Платить по рыночной ставке IT-компаниям не придется», – заявили в пресс-службе.
На субсидирование ставки в 2024 г. бюджетом предусмотрено более 4 млрд руб. Компании, которые ранее получили извещение о переводе на коммерческую ставку, сохранят льготные условия.
В мае правительство РФ внесло изменения, упрощающие получение льготного кредитования и расширяющие условия его использования. В частности, на кредиты со ставкой до 3% годовых смогли рассчитывать аккредитованные IT-компании, которые не пользуются налоговыми льготами. Раньше это условие было обязательным для получения поддержки. Кроме того, отменено обязательство по индексации заработной платы сотрудникам, но при этом разрешена выплата премий за счет льготного кредита. Компании также получили возможность возмещать за счет кредита расходы, которые понесли ранее.
Программа льготного кредитования IT-компаний действует в России с 2019 г. За это время были поддержаны 163 проекта с общим кредитным портфелем свыше 80 млрд руб.
1 декабря Минцифры выступило с заявлением о возможном продлении программы льготной ипотеки для IT-специалистов после 2024 г. Мера поддержки реализуется полтора года, и за это время было оформлено 38 500 кредитов на общую сумму 337 млрд руб. Средняя ставка по ним составила 4,2%.
Минцифры РФ и российские вендоры софта готовят для госреестра изменение правил, а также новые требования к разработкам, которым отдается предпочтение при госзакупках. Согласно плану, новшества вступят в силу в I квартале 2024 года.
Как выяснил «Ъ», речь идет о внесении поправок в постановления правительства 325 и 1236, регулирующие включение продуктов в реестр отечественного софта. Таких участников будут разделять на две основные категории: удовлетворяющие новым требованиям и не соответствующие им.
Поставщики, рассчитывающие на преференции на рынке госзаказа, должны будут дополнительно обеспечить следующее:
совместимость продуктов с отечественными процессорами и браузерами;
«достаточный уровень переработки» софта, основанного на opensource-компонентах (критерии оценки глубины, видимо, будут определены в рабочем порядке);
полную техподдержку;
обновление из репозиториев, расположенных на территории России;
инфраструктуру для обучения пользователей работе с софтом (возможна аренда).
Для каждой категории софта (СУБД, ОС, офисные пакеты, ИБ-продукты и т. д.) будут введены свои дополнительные требования. Те, кто не в состоянии гарантировать соответствие, смогут рассчитывать только на налоговые льготы.
Согласно пока действующим правилам, включение софта в госреестр возможно при соблюдении ряда условий, в частности:
правообладатель зарегистрирован в РФ;
доля российских акционеров составляет как минимум 50%;
сумма выплат зарубежным правообладателям не выше 30%.
Заметим, за последние годы Минцифры не раз пыталось ужесточить требования к отечественным программным продуктам, на которые теперь вынуждены полагаться госструктуры. Похоже, что на сей раз предложенные изменения станут новой нормой.
**Вышла OpenSSL 3.2.0 с новыми криптоалгоритмами и поддержкой TCP Fast Open
**
Вышла новая версия OpenSSL, криптографической библиотеки с открытым исходным кодом, получившая номер 3.2.0. Разработчики отмечают ряд важных улучшений и нововведений.
Правительство утвердило Стратегию развития отрасли связи до 2035 года
…стратегией предусмотрено поэтапное внедрение новых поколений сетей связи на основе отечественных технологий, развитие отечественной защищённой инфраструктуры хранения данных, мероприятия для повышения надёжности, безопасности, отказоустойчивости сетей связи, развитие отечественной спутниковой группировки для оказания услуг связи на всей территории России.
Мошенники выманивают ключи к аккаунтам Госуслуг, притворяясь техподдержкой
Обязательная двухфакторная аутентификация (2FA) на Едином портале госуслуг РФ усложнила задачу взломщикам аккаунтов. Злоумышленники теперь от имени службы поддержки сообщают о проблемах, а потом через звонок выманивают одноразовые коды доступа.
Тинькофф запустил небрендированную авторизацию на основе Tinkoff ID для партнеров
Тинькофф запустил новое решение для партнеров по авторизации пользователей на основе Tinkoff ID. Сервис помогает компаниям настроить самый популярный и удобный способ входа на сайт или в мобильное приложение — с помощью номеру телефона — на базе технологий Tinkoff ID, с возможностью настройки под собственный бренд. Это первый подобный сервис на рынке, совмещающий себе удобство входа по номеру телефона и антифрод-технологии.
**Новый вектор принудительной аутентификации сливает NTLM-токены Windows
**
Специалисты Check Point выявили вектор «принудительной аутентификации», с помощью которого злоумышленники могут слить токены NT LAN Manager (NTLM) пользователя Windows.
Обязательная авторизация через российские учётные записи отложена до 2025 года
Госдума во втором и третьем чтениях приняла закон о продлении до 1 января 2025 г. периода, в течение которого на российских цифровых платформах разрешается регистрация и авторизация с помощью зарубежных сервисов, в том числе иностранной электронной почты. Об этом сообщили на сайте нижней палаты парламента.
Минцифры с 2024 г. возобновит выдачу грантов IT-разработчикам. Об этом сообщил журналистам министр Максут Шадаев в кулуарах форума TAdviser Summit 29 ноября. Он уточнил, что в принятом законе о бюджете средства на гранты заложены. По его словам, размер софинансирования проектов со стороны государства будет снижен с 80 до 50%. На 2025 г. также планируется принятие новой программы выделения грантов, добавил он.
«Деньги на 2024 г. есть. Со следующего года мы возобновляем две программы (грантовые. – “ИФ”) – по линии фонда Бортника (Фонд содействия развитию малых форм предприятий в научно-технической сфере, занимается посевными инвестициями на начальной стадии) и ИЦК (индустриальные центры компетенций)», – сказал Шадаев (цитата по «Интерфаксу»).
Минцифры в середине июля 2023 г. приостановило выдачу грантов в IT-сфере на новые проекты, а также занялось оценкой компетенций сотрудников Российского фонда развития информационных технологий (РФРИТ), сообщалось в официальном Telegram-канале ведомства. Такое решение министерство приняло на фоне задержания по подозрению в получении взятки экс-замминистра Максима Паршина. Он курировал в Минцифры работу РФРИТ, отвечающего за выбор приоритетных проектов в сфере импортозамещения ПО и выделение господдержки разработчикам этих решений. Ведомство также планировало провести проверку принятых решений о выдаче грантов в 2022–2023 гг. и «отменить проекты, по которым есть сомнения».
В 2019–2022 гг. РФРИТ поддержал через гранты более 130 IT-проектов на сумму 10,4 млрд руб. На 2024 г. на гранты в бюджете заложено 2,4 млрд руб.
В начале ноября министр заявил на CNews Forum о том, что Минцифры отказалось от выделения прямых грантов IT-компаниям на разработку нового ПО. На тот момент позиция министерства заключалась в том, чтобы оставить только посевные инвестиции со стороны Фонда Бортника, а также гранты крупным корпоративным заказчикам под большие проекты в сфере замещения иностранных продуктов.
**Пароль не нужен. Разбиение файла на зашифрованные фрагменты по схеме Шамира
**
После того как Google отказалась от паролей и перешла на Passkey по умолчанию создаётся впечатление, что концепция текстовых паролей (парольных фраз) сама по себе устарела. И действительно, в некоторых случаях можно добиться достаточного уровня безопасности без паролей вообще.
Например, простенькая утилита horcrux (крестраж*) разбивает файл на несколько зашифрованных частей (например, пять), причём для дешифровки и восстановления исходного текста не нужен пароль, а нужно найти и соединить несколько из этих частей (например, три). Предполагается, что сами отдельные части хранятся у разных людей в разных местах и/или надёжно спрятаны, например, в разных местах дома, сейфах, банковских ячейках и т. д.
Первый российский платежный терминал может появиться уже в 2024 г., его разработкой занимаются «Элемент-технологии». Об этом на сессии форума «Электроника России» 28 ноября рассказал директор по продуктам «Элемент-технологий» Александр Соколов. По словам источника в компании, разработчик уже договорился о поставке терминалов с одним из крупнейших российских банков.
«Мы будем первой компанией в России, которая разработает отечественный платежный терминал. Уже в следующем году представим готовое решение. Причем линейка будет полной: классические POS-терминалы, андроидные решения и встраиваемое оборудование», – заявил Соколов.
**Основы Identity and Access Management (IAM) в архитектуре приложений
**
С каждым годом мы становимся свидетелями все большего количества сбоев в системах безопасности, утечек данных и хакерских атак даже на самые маленькие проекты.
Identity and Access Management (IAM) выступает как наша первая линия обороны. Оно не просто защищает наши данные, но и гарантирует, что правильные люди имеют доступ к нужной информации в нужное время. Каждая вторая транзакция в мире происходит онлайн, безопасность становится не просто приоритетом, а необходимостью.
IAM — это комплексная система, охватывающая многие процессы, которые организация использует для управления идентификацией пользователей и их доступом к различным ресурсам.
В развитие российского кибербеза хотят вложить свыше 25 млрд рублей
На развитие государственных систем в области кибербезопасности «Мультисканер», «Антифишинг», «Антифрод» и других, а также защиты государственных информационных систем (ГИС) планируется направить более 25 млрд руб. до 2030 года. В Минцифры рассчитывают, что это позволит заместить зарубежные решения и повысить эффективность действующих систем. Но участники рынка считают запланированные вложения завышенными, подчеркивая, что результат при этом далеко не гарантирован.
Минцифры намерено инвестировать в развитие кибербезопасности около 25,2 млрд руб. до 2030 года, следует из материалов к нацпроекту «Экономика данных». Так, 7,1 млрд руб. будут направлены на развитие новой системы противодействия компьютерным атакам «Мультисканер» на базе ГосСОПКА (госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак, контролируется ФСБ через Национальный координационный центр по компьютерным инцидентам, НКЦКИ).
На развитие госсистем «Антифрод» (противодействие мошенническим звонкам, Роскомнадзор) и «Антифишинг» (блокировка мошеннических сайтов, Минцифры) в целом пойдет 3,7 млрд руб., а на внешнюю оценку защищенности ключевых ГИС — 2,4 млрд руб. Еще 12 млрд руб. направят на системы обеспечения кибербезопасности (криптография, средства защиты и т. д.). Собеседник “Ъ” в IT-отрасли объясняет, что речь идет о субсидиях доверенным центрам разработки при Минцифры, «подобные проекты закрыты для широкого рынка из-за жестких требований».
В Минцифры рассчитывают, что в результате к 2030 году все иностранные средства защиты получат российские аналоги, «Мультисканер» сможет обрабатывать более 90 млн файлов в год, а число инцидентов, связанных с нарушениями безопасности ключевых ГИС, снизится до нуля.
В министерстве “Ъ” уточнили, что «проект еще в работе» и показатели могут измениться. В Роскомнадзоре не ответили “Ъ”.
О разработке системы «Мультисканер» в Минцифры объявили в конце октября. Она станет «аналогом бесплатного американского сервиса VirusTotal, анализирующего файлы и ссылки на предмет вредоносных программ», пояснял замминистра Александр Шойтов. Разработкой системы занимается Национальный технологический центр цифровой криптографии (создан в 2023 году Минцифры и ФСБ). Макет системы, по словам чиновника, запустят до конца года, в 2024 году планируется дополнить систему новыми функциями, а после 2025 года она «заработает в полную силу».
Госсистемы «Антифрод» и «Антифишинг» тоже запустились недавно — в январе и июле соответственно. В презентации Минцифры отмечается, что в результате внедрения «Антифрода» число мошеннических звонков в 2023 году снизилось на 38%, до 62,7 млн. Но количество скомпрометированных персональных данных в этом году растет: 303 млн записей против 276 млн за весь 2022 год.
В то же время число киберинцидентов снижается. По данным НКЦКИ, на критической информационной инфраструктуре (КИИ) за прошлый год их отмечено 170 тыс., за январь—сентябрь 2023 года — 46,7 тыс.
Стоимость софта в розничных и корпоративных продажах выросла на 10–40%**
**
О росте цен с начала года вплоть до 40% на отдельные виды корпоративного софта и оборудования «Ведомостям» рассказали представители консалтинговой компании по внедрениям IT-решений «Рексофт консалтинг» и разработчика IVA Technologies. Цены на ПО выросли и в рознице, но не более чем на 10%, отмечают представители Ozon и «М.видео-Эльдорадо».
В первую очередь речь идет о специализированных решениях, которыми пользуются сами разработчики, уточнил заместитель гендиректора IVA Technologies Максим Смирнов. В частности, софт среды разработки теперь обходится компаниям примерно в 100 000 руб. за лицензию, ПО для работы дизайнеров – от 60 000 руб. за лицензию, а ПО для управления разработкой – от 3 млн руб. за лицензию, привел примеры топ-менеджер.
Казалось бы, что может быть проще, чем один вход для всех сервисов? Но за этой кажущейся простотой скрываются сложные технические детали.
Концепция SSO не появилась вчера, она развивалась на протяжении многих лет. Эта идея начала набирать обороты в эпоху, когда интернет-сервисы стали частью нашей повседневной жизни, и задача управления множеством учетных записей стала более острой.
Опубликованы результаты исследования по оценке развитости российского сегмента рынка информационной безопасности. В нём отражено мнение, полученное путём опроса представителей 120 организаций изо всех ключевых отраслей экономики и 26 вендоров в сфере ИБ.
Выборочные выводы:
По мнению двух третей опрошенных заказчиков доля отечественного ПО в сфере ИБ в их компаниях составит, как минимум, 80% через 2 года.
90% компаний, штат которых превышает 10 тыс. человек, либо уже перешли, либо планируют переход на отечественное ПО с сфере ИБ в следующие 12 месяцев. В компаниях с числом сотрудников от 1 до 10 тыс. перешли только 27%. 45% организаций со штатом от 500 до 1 тыс. человек планируют переходить в ближайший год. Таким образом можно сделать вывод о том, что крупные компании, располагающие большими бюджетами, более оперативно адаптируются к новым условиям.
76% опрошенных заказчиков отметили рост числа киберугроз за последний год. При этом две трети компаний уверены, что способны эффективно противостоять угрозам. Однако лишь 28% привлекали для проверки сторонних экспертов. Таким образом восприятие уровня защищенности у топ-менеджмента компаний может быть искажено.
Заказчики планируют в первую очередь переходить на отечественные решения в области ИБ в сферах аналитики и реагирования, а также сетевой безопасности. На эти две сферы пришлась почти половина ответов. Этот результат подтверждается ответами со стороны вендоров.
Только 5% респондентов беспокоит отсутствие российских аналогов, что говорит о том, что уже сейчас отечественные разработчики предлагают аналогичные продукты во всех сферах ИБ.
Опубликованы результаты исследования по оценке развитости российского сегмента рынка информационной безопасности. В нём отражено мнение, полученное путём опроса представителей 120 организаций изо всех ключевых отраслей экономики и 26 вендоров в сфере ИБ.
Выборочные выводы:
По мнению двух третей опрошенных заказчиков доля отечественного ПО в сфере ИБ в их компаниях составит, как минимум, 80% через 2 года.
90% компаний, штат которых превышает 10 тыс. человек, либо уже перешли, либо планируют переход на отечественное ПО с сфере ИБ в следующие 12 месяцев. В компаниях с числом сотрудников от 1 до 10 тыс. перешли только 27%. 45% организаций со штатом от 500 до 1 тыс. человек планируют переходить в ближайший год. Таким образом можно сделать вывод о том, что крупные компании, располагающие большими бюджетами, более оперативно адаптируются к новым условиям.
76% опрошенных заказчиков отметили рост числа киберугроз за последний год. При этом две трети компаний уверены, что способны эффективно противостоять угрозам. Однако лишь 28% привлекали для проверки сторонних экспертов. Таким образом восприятие уровня защищенности у топ-менеджмента компаний может быть искажено.
Заказчики планируют в первую очередь переходить на отечественные решения в области ИБ в сферах аналитики и реагирования, а также сетевой безопасности. На эти две сферы пришлась почти половина ответов. Этот результат подтверждается ответами со стороны вендоров.
Только 5% респондентов беспокоит отсутствие российских аналогов, что говорит о том, что уже сейчас отечественные разработчики предлагают аналогичные продукты во всех сферах ИБ.
**Система аутентификации: сделай сам vs возьми готовое
**
Разработка системы аутентификации может показаться начинающему разработчику простой задачей. Пользователь создает учетную запись, данные сохраняются, и в дальнейшем по логину-паролю происходит вход. Но когда начинаешь копать глубже, система аутентификации, точно луковица, открывает всё новые слои. В статье разбираются некоторые общие проблемы, связанные с этим, и оцениваются возможные способы реализации.
**Аутентификацию Windows Hello по пальцу можно обойти на ряде ноутбуков
**
Исследователям в области кибербезопасности удалось обойти аутентификацию Windows Hello по сканированию отпечатка пальца на ноутбуках Dell Inspiron, Lenovo ThinkPad и Microsoft Surface Pro X. Для этого использовался ряд уязвимостей во встроенных датчиках сканирования.
Постквантовый алгоритм «Шиповник» получил открытую реализацию
Российские компании с экспертизой в области криптографии и квантовых технологий объединяют усилия для предотвращения угрозы криптографическим системам со стороны квантовых компьютеров.
Алкоголь и сигареты в обмен на биометрию: киберпанк, который мы заслужили
В центре биометрических технологий заявили, что уже в следующем году в крупных сетевых магазинах может быть внедрена система подтверждения возраста покупателя через данные Единой биометрической системы. То есть для приобретения алкоголя или никотиносодержащей продукции больше не потребуются права или паспорт: достаточно будет один раз сделать селфи в приложении «Госуслуги Биометрия», и можно смело отправляться в магазин.
__Владелец российской мобильной ОС «Аврора» «Ростелеком» просит Минцифры проверить правомерность включения в реестр отечественного софта ОС «Ред Софта», работающей на базе открытого кода Android. Эксперты опасаются, что в коде используются «закладки» американских разработчиков, которые «могут навредить безопасному использованию устройства».
__
https://www.kommersant.ru/doc/6351196
Топ-10 паролей 2023 года до сих пор содержит всем известные комбинации
NordPass опубликовал уже пятый список самых распространённых паролей, теперь за 2023 год. По какой-то причине пользователи не хотят отходить от привычных практик и используют старые добрые комбинации «123456» и «password».
«Росатом» к 2030 г. обеспечит полный переход объектов критической информационной инфраструктуры (КИИ) на доверенное оборудование. Отраслевые планы перехода будут утверждены до 1 сентября 2024 г, сказал директор по информационной инфраструктуре госкорпорации «Росатом» Евгений Абакумов.
В ноябре 2023 г. Правительство России определило порядок и срок перехода субъектов КИИ на российское доверенное оборудование. Он начнется 1 сентября 2024 г. и продлится до начала 2030 г. При этом, согласно постановлению, переход значимых объектов КИИ на преимущественное применение доверенных ПАК должен быть завершен до 1 января 2025 г, а госкорпорация «Росатом» назначена ответственной за организацию такого перехода в области атомной энергии.
«Росатом в числе первых начал процесс замещения иностранного ПО и оборудования, в том числе и на значимых объектах КИИ. Данная работа ведется с 2019 г., и за это время Госкорпорация стала полигоном для апробации отечественных решений. Наработанная экспертиза позволяет нам не только успешно пройти этот путь внутри «Росатома», но и делиться опытом с другими отраслями. К концу текущего года мы обеспечим технологический суверенитет на уровне ПО на всех значимых объектах КИИ. Уверен, что начатый путь позволит нам прийти к тому, что к 2030 г. все объекты критической инфраструктуры будут переведены на отечественные программно-аппаратные комплексы», — сказал Евгений Абакумов.
Помимо организации перехода в атомной отрасли, «Росатом» играет существенную роль в реализации всего процесса в целом. Евгений Абакумов добавил, что разработкой доверенных ПАК занимается Научно-производственное объединение «Критические информационные системы». В рамках федерального плана предприятие будет аккумулировать информацию обо всех программно-аппаратных комплексах, не являющихся доверенными. С 2025 г. эксперты «Росатома» будут формировать и предоставлять прогноз производства доверенных ПАК в России на двухлетнюю перспективу.
Биометрическая идентификация и аутентификация: продукты компании Аладдин
Продукты компании Аладдин можно использовать для идентификации и аутентификации пользователей по биометрическим характеристикам при доступе в информационные системы. Для реализации различных сценариев есть как устройства, так и программное обеспечение.
Рособрнадзор планирует перевести все системы Единого государственного экзамена (ЕГЭ) на отечественное программное обеспечение (ПО) в 2026 г., сообщил замруководителя ведомства Игорь Круглинский.
«Работа эта большая, сложная и объемная. Планируем ее завершить в 2026 г., но уже в 2024 г. в нескольких субъектах мы апробируем новое программное обеспечение, которое используется в пунктах проведения экзаменов», – сказал Круглинский, его слова привела пресс-служба.
1 сентября министр просвещения РФ Сергей Кравцов сообщил президенту России Владимиру Путину, что все российские школы полностью перешли на отечественное ПО. Министр отметил, что переходу помог опыт Москвы, Московской области и других субъектов РФ. Также во всех регионах успешно внедрили Федеральную государственную информационную систему (ФГИС) «Моя школа».
При этом в начале ноября Минцифры России предложило приостановить централизованную закупку лицензий офисного и антивирусного программного обеспечения (ПО) для федеральных органов исполнительной власти (ФОИВ) на весь 2024 г.
Уточнялось, что ФОИВ «не вправе самостоятельно осуществлять закупку лицензий ПО для собственных нужд», в то время как Минцифры не может осуществить закупку «в связи с отсутствием в нормативных правовых актах РФ указания на источник финансирования».
Об этом сообщает мэр Москвы Сергей Собянин в своем телеграм-канале.
Аппараты на 80% состоят из отечественных компонентов, оснащены собственным программным обеспечением. Серийный выпуск российских банкоматов начался в индустриальном парке «Руднево» в мае этого года.
В прошлом году зарубежное оборудование и программное обеспечение для банковской сферы попали под санкции, их поставки прекратились.
По словам Собянина, первые устройства уже получили три банка-партнера. Мощность завода позволяет произвести 15 тысяч банкоматов в год.
В технопарке Санкт-Петербурга открылся демонстрационный полигон, на котором отечественные ИТ-вендоры представляют инновационные продукты: серверы, коммутаторы, операционные системы, платформы виртуализации, офисные пакеты и т. п.
Как передаёт ТАСС, полигон нужен для поддержки разработок, позволяющих России не зависеть от зарубежного софта. «Демонстрационный полигон российских IT-вендоров», как его назвали организаторы, является частью концепции технологического развития РФ до 2030 года.
Фактически полигон стал первой в России открытой выставочной площадкой, где можно продемонстрировать возможности российского инфраструктурного софта и ПАК (программно-аппаратных комплексов) для обеспечения кибербезопасности.
Пока воспользоваться полигоном решили 32 вендора, представив более 50 продуктов. Организаторы планируют расширяться: ежедневно присоединяются новые вендоры.
Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», прокомментировал открытие полигона отечественных вендоров: «Современная сфера информационных технологий — это не только программный код, но и много реальных продуктов, которые интересно показывать людям. Запуск подобного полигона для российских разработчиков — интересное и правильно явление, его можно сравнивать с интерактивным ИТ-музеем».
Эксперты показали первый вектор кражи криптоключей при SSH-соединениях
Исследователи продемонстрировали компрометацию криптографических ключей, используемых для защиты данных в SSH-трафике, которым обмениваются клиент и сервер. По их словам, это первый рабочий вектор атаки такого рода.
Российская IT-компания ICL запустила завод по сборке вычислительной техники и поверхностного монтажа материнских плат на территории особой экономической зоны (ОЭЗ) «Иннополис» в Татарстане. Об этом министр цифрового развития Республики Татарстан Айрат Хайруллин сообщил в своем Telegram-канале. «В условиях острой необходимости наращивания производственных мощностей, обеспечивающих технологический суверенитет и импортозамещение страны, создание таких производств является стратегической задачей», – заявил вице-премьер республики Роман Шайхутдинов.
По словам Хайруллина, ожидается, что на первом этапе завод сможет выпускать 300 000 плат в год с последующим наращиванием объемов до 1 млн. Площадь производства составит 8000 кв. м. Мощности по сборке плат позволят выпускать более 200 видов вычислительной техники российского производства, указано на сайте ICL.
Постквантовый алгоритм электронной подписи «Шиповник» получил открытую реализацию
Российские компании с экспертизой в области криптографии и квантовых технологий объединяют усилия для предотвращения угрозы криптографическим системам со стороны квантовых компьютеров.
Минтранс скорректировал график внедрения биометрии на транспорте
Минтранс планирует установить на четыре объекта транспортной инфраструктуры системы для идентификации пассажиров с помощью биометрии в 2024 г. Об этом говорится в утвержденной правительством новой версии стратегии цифровой трансформации транспортной отрасли до 2030 г.
Трагический случай… А ведь это даже ещё и не ИИ в самом потенциально опасном его проявлении…
“В Южной Корее робот насмерть прижал мужчину. Инцидент произошел на агропредприятии в провинции Кёнсан-Намдо. Как сообщает BBC (ресурс заблокирован в РФ), из-под контроля вышла промышленная рука, предназначенная для работы с коробками овощей. Во время тестирования робот перепутал человека с неодушевленным предметом и нанес ему травмы, несовместимые с жизнью.”
Локатор от Apple можно использовать для передачи украденных паролей
Злоумышленники могут использовать сервис для поиска устройств «Локатор» («Find My») от Apple для незаметной передачи конфиденциальной информации, похищенной кейлогерами, которые могут быть установлены в сторонние клавиатуры.
Согласно результатам опроса, проведенного альянсом РУССОФТ, объемы экспорта российского софта в Азию возросли в несколько раз. Наиболее перспективными в этом плане считаются Казахстан и ОАЭ, для продуктов ИБ — страны Африки и Южной Америки.
Исследовательская компания Ipsos и страховой гигант AXA опросили почти 3,5 тыс. экспертов из 50 стран мира и по итогу опубликовали свой очередной ежегодный отчёт, посвященный глобальным рискам будущего (Future Risks Report).
Киберугрозы вернулись на второе место (правда, опрос проводился до недавнего обострения на ближнем Востоке), а в целом - киберугрозы с 2018 года ни разу ниже третьего места не опускались.
Риски, связанные с искусственным интеллектом и большими данными, попали в ТОП-10 всего в третий раз, но впервые - на четвёртое место.
В случае выхода на биржу интерес к компании может быть даже выше, чем к разработчикам общесистемного софта, отмечают эксперты
Российский разработчик систем биометрической идентификации ГК «Системы Папилон» изучает возможность выхода на IPO. «Ведомости» обнаружили на HH.ru вакансию директора по пиару и связям с инвесторами в «дочку» «Системы Папилон» компанию 3DiVi. В карточке указано, что соискатель должен обладать опытом пиар-сопровождения IPO. Речь идет о планах проведения IPO всей группы компаний, подчеркнул источник «Ведомостей», близкий к 3DiVi, уточнив, что в компании «окно возможностей» оценивают в один-два года. Представитель самой компании от комментариев отказался.
В группу «Системы Папилон» помимо ООО «Тридиви» входят ООО «ИТ Папилон» и АО «Папилон». Все юрлица зарегистрированы в городе Миассе в Челябинской области, компания основана в 1991 г. «ИТ Папилон» разрабатывает софт для мультибиометрической идентификации (по отпечаткам, лицу, сетчатке глаз и т. д.), говорится на сайте компании. «Тридиви» занимается разработкой нейросетей и алгоритмов распознавания. ООО «Системы Папилон» производит специальное оборудование и электрокомпоненты для программно-технических комплексов распознавания, а АО «Папилон» занимается проектированием систем под требования заказчиков на базе продуктов остальных компаний группы и их интеграцией.
Участники Ассоциации больших данных (АБД) работают над внедрением добровольного отраслевого стандарта защиты данных. Согласно подготовленной концепции этого стандарта планируются ежегодные аудиты кибербезопасности. Ведомости пишут, что разработка стандарта стала реакцией на обсуждаемое введение оборотных штрафов за утечки данных.
Предполагается введение 26-ти критериев/метрик. При этом, например, при наличии в БД более 500 тыс записей нужно набрать не менее 18 баллов (по каждому критерию максимум составляет 1 балл), чтобы процессы в организации были признаны эффективными.
Цифровые платформы попросили исключить из передачи биометрии нехранимые данные
Рабочая группа при АНО «Цифровая экономика» предложила исключить необходимость передачи биометрии, собранной бизнесом для антифрода, в Единую биометрическую систему (ЕБС). Цифровые сервисы борются с мошенниками через подтверждение личности по фото или голосу, эти данные должны передаваться в ЕБС. Но в компаниях считают это нецелесообразным — данные собираются в произвольном порядке и не хранятся.
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.
Спрашивается, почему разработчики озаботились такими нюансами информационной безопасности? Но причина есть. И на самом деле такие меры должны предпринять все программы, которые допускают ввод паролей в интернете (или вообще любого конфиденциального текста). В первую очередь, браузеры и мессенджеры.
**Войти в Яндекс ID теперь можно по картинке (без пароля)
**
Владельцы учётных записей в системе Яндекса теперь могут использовать вход по картинке. Разработчики обещают безопасный и более удобный метод аутентификации в сравнении с паролями.
__Кража баз паролей из взломанных систем — распространённая проблема. Особенно остро она стояла в первые годы развития Unix, когда пароли хранились в открытом виде. Утечка такой базы означала полную компрометацию системы.
Проблему решила первая в мире утилита для хэширования crypt в 70-е гг. С тех пор пароли перестали храниться в открытом виде, в базе хранились хэши. Согласно официальной документации, утилита crypt(3) до шестой редакции использовала код из эмулятора шифровальной машины M-209, которую американская армия использовала во время Второй мировой войны. В этой системе пароль использовался не в качестве шифротекста, а в качестве ключа, которым шифровалась константа. Кен Томпсон, Деннис Ритчи и другие создатели Unix думали, что это надёжный подход. Оказалось иначе.__
__Организация по защите прав потребителей «Общественная потребительская инициатива» (ОПИ) направила письмо премьер-министру России Михаилу Мишустину и в Совет Федерации с просьбой ввести временный мораторий на привлечение к ответственности компаний за использование иностранного софта без согласия правообладателя. Об этом пишет «Коммерсантъ» со ссылкой на документ.
В ОПИ указали на сложность быстрого перехода на российское ПО. Там пояснили, что для банков, операторов связи других компаний смена софта повлечет не только «кратный рост капитальных затрат», но и «резкое снижение функциональности». В организации добавили, что сейчас привлечь к ответственности за использование софта могут и сами компании-разработчики, покинувшие РФ.
В письме говорится, что иностранное ПО используют «Ростелеком», Tele2, Сбербанк, МТС и ряд других компаний. В качестве примера в ОПИ назвали программы Cisco, Dell, Nvidia и др. В Tele2 «Коммерсанту» сообщили, что пользуются только программами с бессрочной лицензией. В «Мегафоне» отметили, что используют софт только по лицензии правообладателя. «Ростелеком» и МТС газете не ответили.
В Минцифры заявили, что до 90% иностранных решений уже имеют российские аналоги. В иных случаях кабмин совместно с заинтересованными ведомствами разрабатывает нормативные акты со специальными условиями, добавили там. В министерстве пояснили, что при разрешении использовать иностранные ПО будут учитываться «потребности пользователя, возможности импортозамещения и необходимость своевременного исполнения планов по переходу на отечественные решения».
В ответе Совфеда, который также есть в распоряжении издания, сказано, что мораторий должен действовать в отношении только тех пользователей, который ранее правомерно приобрели лицензии на зарубежный софт. Там отметили, что к 2027 г. на российском рынке будет достаточное количество необходимого ПО. К 2030 г. в Совфеде допустили возможность полной замены иностранного софта.
В марте 2022 г. «Ведомости» писали, что правительство не планирует отменять ответственность за использование не лицензированного в России ПО из недружественных стран. Тогда в Минцифры пояснили, что ведомство выступает за «стимулирование перехода на российское ПО».__
Если вы запускаете процедуру импортозамещения, то:
необходимо формулировать понятные требования по безопасности к вендорам ПО и собственным разработчикам;
оценивать актуальные угрозы для своей компании и систем, которые вы импортозамещаете;
налаживать взаимодействие между участниками процесса производства ПО — в том числе разработчиков с экспертами по ИБ.
Внедрение этих практик не требует дорогостоящих инструментов. Достаточно обучить и мотивировать команду — это позволит перейти от циклического поиска дефектов и устранения инцидентов к созданию безопасных продуктов по умолчанию.
А продукт, который изначально будет проектироваться или внедряться с учетом требований, будет быстрее проходить проверки безопасности, менее подвержен атакам и сбоям и проще внедряться в эксплуатацию.
Мнение редакции может не совпадать с точкой зрения автора
Если игнорировать требования к ИБ, у заказчиков и пользователей софта могут возникнуть проблемы. Некоторые могут появиться сразу, другие — развиваться в долгосрочной перспективе. Особенно опасны последние: из-за различных угроз, связанных с утечкой данных, хакерскими атаками, компания может понести репутационные издержки и в итоге потерять клиентов.
Откуда же сегодня ждать появления рисков из-за импортозамещения ПО?
Чтобы это понять, нужно разобраться в том, как меняется характер атак. Более уязвимой в мире, где многие активы построены на данных, становится персональная и конфиденциальная информация — и хакеры в первую очередь охотятся за ней. К тому же вместе с тем, как усложняются протоколы безопасности, становятся более изощренными и методы взлома.
Так, в июне оператор связи «Инфотел», который подключает банки и юридических лиц к системе электронного взаимодействия с ЦБ, подвергся атаке группировки хактивистов. Из-за этого в работе нескольких крупных банков-клиентов произошел масштабный сбой. В течение трех дней в сети опубликовали данные клиентов 12 российских компаний. В их список вошли такие крупные игроки, как торговая сеть «Ашан», производитель матрацев и товаров для сна «Аскона», издательская группа «Эксмо-АСТ». И все это могло быть вызвано упущениями в сфере ИБ.
Как утверждают эксперты, среди наиболее распространенных способов атак на компании — социальная инженерия и эксплуатация уязвимостей в ПО. Атакам подвергаются не только сотрудники, но и сетевое оборудование, веб-ресурсы. Уязвимости ПО и всей IT-инфраструктуры появляются в том числе потому, что к вендорам и решениям не предъявляются требования по безопасности.
В итоге возникает критический для бизнеса момент — остановка бизнес-процессов из-за потенциальных атак и сбоев и открытие возможностей для мошенничества. Например, недостаточное тестирование ролевой модели в одном из банков привело к тому, что работники call-центра получили возможность просматривать кодовые слова VIP-клиентов и менять номера телефона для отправки одноразовых паролей.
Как импортозамещаться быстро и безопасно
Чтобы выявлять и предупреждать уязвимости и атаки, нужны квалифицированные кадры. Согласно исследованию К2Тех, в 2023 году 77% российских компаний столкнулись с необходимостью расширить штат ИБ-специалистов. При этом нужных людей на рынке недостает. Что с этим делать?
Среди решений — поиск талантливых кадров внутри продуктовой команды и развитие их компетенций по безопасной разработке.
Для этого можно использовать практику Security-чемпионов. Компании с этим подходом развивают сотрудников, которые знают, как создавать безопасные продукты. Такие разработчики выступают «адвокатами» ИБ внутри команды. Обычно они хорошо знают продукт со стороны разработчика — а значит, могут оценить его и со стороны злоумышленника. Понимая особенности продукта и процессов разработки, они могут быстро и качественно удовлетворить требования по безопасности.
Но это лишь кратковременный «костыль». В долгосрочной перспективе, чтобы избежать проблем с уязвимостью ПО, нужно развивать культуру информационной безопасности.
Команда разработчиков часто воспринимает задачи по обеспечению безопасности продукта как второстепенные. По их мнению, они только оттягивают момент, когда продукт можно будет вывести на рынок. Об уязвимостях специалисты планируют позаботиться позже, уже в процессе эксплуатации ПО. Именно такой подход нужно менять — на проактивный с точки зрения ИБ.
Кроме того, в большинстве компаний ИБ-процессы выстроены неэффективно — в основном применяются технические инструменты контроля. Проблема в том, что они позволяют узнать о проблемах в продукте только непосредственно перед релизом. Выявив уязвимость, команда вынуждена вернуться к этапу проектирования архитектуры или написания кода — это сильно увеличивает сроки разработки. А вот если бы команда понимала требования по безопасности на старте, она могла бы минимизировать количество ситуаций, когда выявленные дефекты вынуждают отложить очередной релиз.
К 2025 году зарубежное ПО должно быть заменено отечественными аналогами — это требование касается всех объектов критической инфраструктуры, включая частные компании. Менять софт будут не только 13 отраслей, куда входят здравоохранение, банки, операторы связи и промышленность, но и компании, которые их обслуживают. Уже сегодня многие иностранные IT-решения стали недоступными для оплаты или отключены от поддержки. В спешке руководители могут выбрать ПО, которое не отвечает функциональным требованиям, в том числе по информбезопасности (ИБ). Директор по продуктам Start X Сергей Волдохин рассказывает о том, как срочное импортозамещение делает IT-ландшафт организаций уязвимее и как сделать внедрение новых решений безопасным.
Вопросы безопасности
Последние исследования рынка говорят: 44,7% коммерческих компаний не собираются переходить на отечественное ПО в ближайшее время, 27% ждут, когда закончится лицензия у установленного софта. А вот оставшиеся 22% будут замещать IT-решения на российские еще до того, как иностранные альтернативы перестанут работать — и уже сейчас тестируют отечественное ПО. И именно они могут столкнуться с проблемами по безопасности. Почему так происходит?
Многие российские продукты только выходят на рынок и поэтому находятся на ранних стадиях разработки и развития. В отличие от своих аналогов, которые годами проходили «проверку на прочность», они еще только начинают путь в борьбе с багами и уязвимостями. Сегодня, так как внедрять ПО надо срочно, основной фокус сделан на том, чтобы просто повторить функциональность иностранных IT-решений. Требования по безопасности отходят на задний план.
Дело тут не только в самих разработчиках. Заказчики тоже хотят в первую очередь решить задачи своего бизнеса — о рисках можно будет поговорить потом. Поэтому они не проводят моделирование и оценку угроз, не формируют требования безопасности и не проводят испытаний.
Аудит, призванный оценить безопасность ПО, часто проводят только перед внедрением или не проводят вовсе. Причина — неэффективные процессы ИБ в компании. Многие команды не знакомы с требованиями безопасности, ПО они проверяют только на финальных стадиях — и если находят уязвимости, то устранять их в почти готовом продукте могут дольше, чем IT-решение разрабатывалось.
К сожалению, с точки зрения регуляторов большого продвижения тут тоже нет. За последний год не вводилось значительных изменений, которые бы влияли на требования по безопасности при производстве ПО. И даже те нормы, что уже существуют, не предъявляются к продуктам ни при включении их в реестр отечественного ПО, ни при внедрении в компанию.
Как решают проблему заказчики
Тот бизнес, который все же вводит проверку безопасности, обычно проверяет продукт на соответствие двум вещам:
требованиям разных законов, стандартов и указаний регуляторов (их могут быть сотни);
правилам, исторически принятым в компании.
Например, в большинстве продуктов пользователи проходят аутентификацию по логину и паролю, а доступ разграничивается на уровне ролей, плюс в каком‑то виде хранятся журналы событий. Это условная «гигиена» для любого приложения, к которой все давно привыкли.
Но для корпоративной инфраструктуры с чувствительными данными этого недостаточно. Тут важными становятся двухфакторная аутентификация, шифрование, защита от утечки данных.
Проблема в том, что после релиза любые изменения в продукте потребуют много времени и будут стоить дорого. Переделать формат журналов на этапе планирования займет один день, после релиза, в готовом продукте — до месяца. Поэтому сложности с ИБ проще предотвратить, чем исправить. Но для этого нужна согласованная работа разных игроков рынка — заказчиков, вендоров и регуляторов.
МВД заявило об отсутствии возможности для выдачи россиянам цифровых паспортов
__Хотя закон предусматривает получение россиянами электронных паспортов, пока технической возможности начать их выдавать нет, заявили в МВД. «В перспективе, наверное, такая необходимость будет», — отметили в ведомстве. Ускорить проведение эксперимента по внедрению цифровых паспортов Путин призвал в феврале, в сентябре он подписал соответствующий указ. В нем подчеркивалось, что их использование будет добровольным.
**Нулевая ставка налога на прибыль для IT-компаний сохранится до конца 2024 года
**__Это нужно, чтобы компании смогли вкладывать в развитие производства деньги, которые они уплачивают в бюджет как налог на прибыль
Нулевая ставка налога на прибыль для IT-компаний в России сохранится до конца 2024 года. Об этом сообщил глава Минцифры Максут Шадаев, передает ТАСС. По его словам, это нужно, чтобы чтобы компании смогли вкладывать в развитие производства деньги, которые они уплачивают в бюджет как налог на прибыль.
Шадаев также рассказал, что утильсбор за ввоз импортного IT-оборудования при наличии его отечественных аналогов может быть введен уже в середине 2024 года. Обсуждаемый размер сбора он не назвал. Предполагается, что полученные средства будут направлены на поддержку российских производств.
Россиянам максимально упростили самостоятельную сдачу биометрии властям. В стране никто не жаждет ею делиться
__В России заработала упрощенная схема отправки биометрии в Единую биометрическую систему. Для этого нужно всего лишь поставить специальное приложение, в котором потребуется выполнить пару простых и быстрых действий. Но россияне уже выразили свое отношение к сдаче биометрии – они не хотят, чтобы власти имели доступ к столь чувствительной информации.
**Amazon добавил возможность авторизации через passkey
**__Американская корпорация Amazon добавила поддержку аутентификации без паролей (passkey) для авторизации на сайте онлайн-магазина и в мобильном приложении. В настоящее время функция работает только для мобильных приложений на базе iOS, для Android возможность появится позднее.
**__Модернизация систем аутентификации чаще касается способов удостоверения личности, не решая при этом проблемы возможной кражи учётных данных. ITDR — новый класс решений по защите реквизитов доступа — призван помочь в этом вопросе. Расскажем об отличиях ITDR от других систем схожего назначения.
Читаю труд коллег из ИПУ РАН, встретил вот такое сопоставление информационной и кибербезопасности: “Информационная безопасность может рассматриваться в широком контексте. Информационная безопасность, помимо технических и организационных аспектов, человеческих факторов и социальных вопросов затрагивает сферы национальной и международной безопасности. В настоящей работе основное внимание будет уделено методическим и техническим аспектам защиты информации и системы ее обработки, поэтому в большинстве случаев вместо информационной безопасности будет использоваться более подходящий термин кибербезопасность (КБ), который делает акцент на технические и методические вопросы информационной безопасности.”
Ну, тоже подход =)
**Шадаев: утильсбор на иностранное ИТ-оборудование могут ввести уже в 2024 году
**__Утилизационный сбор на импортное оборудование, имеющее аналоги в России, может быть введен уже в середине следующего года, заявил министр цифрового развития РФ Максут Шадаев журналистам.
«Я думаю, в следующем году, в середине», – сказал он (цитата по ТАСС).
Правительство поддерживает введение утильсбора, пояснил министр. Предложение о введении такого сбора содержится в проекте стратегии развития отрасли связи до 2035 г. 18 октября Шадаев рассказал, что власти намерены направлять за счет сбора средства на поддержку российского производства. Он также добавил, что Минцифры выступает против ограничений на параллельный импорт.
26 октября Шадаев также заявил, что в России остается острая потребность где-то в 10% тех решений, которые поставлялись зарубежными производителями, часть из них уже в работе. Министр также отметил, что господдержка разработки отечественных решений превысила 20 млрд руб., при этом заказчики инвестировали свыше 200 млрд руб.
Как писали ранее «Ведомости», Минцифры предложило правительству увеличить финансирование программ льготного кредитования IT-компаний на 25% до конца 2023 г. Представитель ведомства пояснил, что предложения по увеличению финансирования сформированы для балансировки кредитного портфеля и сохранения для заемщиков процентной ставки.
В июне премьер-министр РФ Михаил Мишустин говорил, что суммарный объем проданных ИТ-решений и оказанных ИТ-услуг в России в 2022 г. достиг 2 трлн руб. Валовая добавленная стоимость этих проектов составила 1,9 трлн руб., что на 23% больше показателей 2021 г. Численность сотрудников, занятых в ИТ-сфере, выросла на 12,7% до 740 000 человек, а среднемесячная зарплата этих работников составила 135 500 руб. (рост на 18,6%).
**Шадаев: доля отечественных производителей на IT-рынке превысила 50%
**__Доля отечественных производителей на российском IT-рынке выросла в два раза, превысив 50%. Об этом заявил глава Минцифры Максут Шадаев в интервью телеканалу «Россия 24».
«Рынок у нас не схлопнулся, а при этом доля российских производителей выросла в два раза и превысила 50%, даже потеснив в определенных нишах китайцев», – отметил он (цитата по «РИА Новости»).
Шадаев добавил, что хороший потенциал имеет производство компьютерных игр в России. Он допустил, что российские разработчики могут выйти и на китайский рынок.
В сентябре «Ведомости» со ссылкой на исследование аналитиков Strategy Partners писали, что объем IT-рынка России (включая софт, услуги по разработке и техподдержке, а также оборудование) вырастет с 3 трлн руб. в 2023 г. до 7 трлн руб. к 2030 г. В частности ожидается, что рынок оборудования достигнет 4,2 трлн руб., а 2,8 трлн руб. будет приходиться на сегмент IT-услуг и ПО.
В мае во время посещения выставки «Развитие креативной экономики в России» президенту РФ Владимиру Путину рассказали о трудностях, с которыми сталкиваются российские разработчики при выходе на китайский рынок из-за отказа в выдаче лицензий. В ответ глава государства пообещал обсудить с партнерами по БРИКС продвижение отечественных игр на рынках стран – членов объединения.
В августе Путин поручил правительству РФ совместно с Российским экспортным центром и Агентством стратегических инициатив разработать предложения по продвижению отечественных видеоигр на иностранные рынки.
**Минцифры: разработчикам осталось заместить 10% иностранных ИТ-решений
**__В России осталась острая потребность в замещении 10% иностранных ИТ-решений, которые ранее поставлялись в страну, заявил министр цифрового развития РФ Максут Шадаев.
«В целом у нас острая потребность остается где-то в 10% тех решений, которые поставлялись зарубежными производителями, часть из них уже в работе, им предоставлены гранты», – рассказало он (цитата по ТАСС).
Министр также отметил, что господдержка разработки отечественных решений превысила 20 млрд руб., при этом заказчики инвестировали свыше 200 млрд руб.
Как писали ранее «Ведомости», Минцифры предложило правительству увеличить финансирование программ льготного кредитования IT-компаний на 25% до конца 2023 г. Представитель ведомства пояснил, что предложения по увеличению финансирования сформированы для балансировки кредитного портфеля и сохранения для заемщиков процентной ставки.
В июне премьер-министр РФ Михаил Мишустин говорил, что суммарный объем проданных ИТ-решений и оказанных ИТ-услуг в России в 2022 г. достиг 2 трлн руб. Валовая добавленная стоимость этих проектов составила 1,9 трлн руб., что на 23% больше показателей 2021 г. Численность сотрудников, занятых в ИТ-сфере, выросла на 12,7% до 740 000 человек, а среднемесячная зарплата этих работников составила 135 500 руб. (рост на 18,6%).
Инцидент в сетях 1Password связан со взломом системы поддержки Okta
Киберинцидент в сетях 1Password, как оказалось, напрямую связан со взломом системы поддержки американской компании Okta, специализирующейся на управлении учётными данными пользователей.
**__Она будет очень быстро анализировать подозрительные файлы и ссылки.
В России будет создана суперантивирусная программа, которую разрабатывает Национальный технологический центр цифровой криптографии. Об этом сообщил замглавы Минцифры РФ Александр Шойтов на Всероссийском форуме региональной информатизации «Проф-IT» в Новосибирске.
По его словам, система получила название «Мультисканер», она будет аналогом американской системы VirusTotal. Под эту технологию будет создана соответствующая инфраструктура, сообщает «Интерфакс». Шойтов пояснил принцип работы «Мультисканера». По его словам, в реальном режиме разбирается большой объем трафика, в нем отыскиваются какие-то подозрительные вредоносные элементы.
Шойтов также добавила, что уже в будущем году в полном объеме заработает система Роскомнадзора (РКН) по блокировке звонков с подменных номеров «Антифрод».
В 2022 г. большинство иностранных разработчиков программного обеспечения (ПО) ушли с российского рынка, что стало серьезным стимулом для роста спроса на отечественные продукты. Одним из тех, кто сумел обратить ситуацию в свою пользу, стала компания «Новые облачные технологии» (НОТ), разработчик «МойОфис» (российского аналога пакета офисных программ Microsoft Office), – ее выручка только за 2022 г. выросла в четыре раза. В 2022 г. сооснователь компании Дмитрий Комиссаров оставил пост гендиректора НОТ: сохранив за собой должность директора по развитию продуктов, он параллельно занялся другими проектами. Одним из них стал венчурный фонд «Стриго кэпитал», нацеленный на поддержку IT-стартапов. О планах по инвестициям и своем видении перспектив отечественного IT-рынка он рассказал в интервью «Ведомостям».
– Как вы считаете, в каком состоянии находится рынок российского софта и к чему он может прийти через пять лет?
– Уход зарубежных компаний открыл довольно много новых ниш, благодаря чему объем продаж у разработчиков российского софта стал вдвое больше. Мне кажется, в ближайшие 3–5 лет есть возможность вырасти еще в два раза. Также не будем забывать, что IT-рынок в принципе растет из-за проникновения технологий в целом. Поэтому я бы сказал, что рынок российского софта вырастет на треть благодаря своему органическому развитию и на две трети – из-за ухода иностранцев.
– А на пике этого развития можно ли ждать эффекта мыльного пузыря, когда в какой-то момент рынок не оправдает ожиданий по росту?
– Единичные мыльные пузыри, конечно, будут возникать – так устроена экономика. Но если рассмотреть ключевые системы, например ERP (система планирования ресурсов предприятия. – «Ведомости») и финансы, чучелом или тушкой, но мы заменим все зарубежное со временем. Считаю, что самое тяжелое для импортозамещения – это PLM (система управления жизненным циклом изделия. – «Ведомости») и АСУ ТП (автоматизированная система управления технологическим процессом. – «Ведомости»), где мы сильно отстаем от иностранных игроков. С другой стороны, в России хорошая инженерная школа. Я не вижу сейчас каких-то больших мыльных пузырей в IT. Их скорее можно ожидать в области микроэлектроники, потому что там пропасть между отечественными и зарубежными разработками.__
**Российские ученые создали инструмент выявления дипфейк-видео
**__В Донском государственном техническом университете (ДГТУ, Ростов-на-Дону) создали программу для распознавания видеоконтента, сгенерированного с помощью ИИ. Софт весом 100 Кбайт работает на Windows 7 и выше и выявляет дипфейки с приемлемой точностью.
**Биометрия. Не скуШно. Не душно
Уровень сложности
**
Страх. Именно страх побудил меня заняться изучением биометрии. На мой счет поступила весьма крупная сумма от продажи единственного жилья. Дабы не познать на собственной шкуре искусство бомжевания на время заблокировала интернет-банк. Разблокировать можно было только по письменному заявлению в офисе или ответив на секретные вопросы через контактный центр банка.
**__В 2022 г. уровень внедрения российского общесистемного и прикладного софта достиг 50%. Об этом сообщает РБК со ссылкой на копию проекта актуализированной «дорожной карты» развития «Нового общесистемного и прикладного программного обеспечения», который Минцифры разработало в середине октября. Подлинность документа подтвердил представитель ведомства.
На конец 2022 г. Минцифры оценивало долю внедрения российского софта по итогам года в 15%. Под общесистемным ПО подразумеваются операционные системы и другие программы для решения общих задач, под прикладным – текстовые и графические редакторы, браузеры, медиаплееры и др.
Кроме того, в обновленном проекте ведомство скорректировало целевые показатели до 2030 г. Так, для 2023 г. доля должна составить 54% (вместо 23% в прошлой редакции), для 2024 г. – 58% (вместо 33%), для 2025 г. – 63% (вместо 48%). Уровень внедрения российского софта на 2030 г. остался прежним – 71%.
Из пояснительной записки следует, что целевые показатели были изменены в связи с уточнением источников расчета и фактических значений 2022 г. Представитель Минцифры в разговоре с РБК заявил, что корректировка произошла на основании данных об уровне российского софта не только в госорганах и госкомпаниях, но и в других организациях.
В апреле 2023 г. глава Минцифры Максут Шадаев допустил, что госкомпании могут обязать перейти полностью на отечественное ПО к 2025 г. «Здесь уже готовность есть, и продукты в целом хорошие, конкурентные позиции по многим направлениям присутствуют», – пояснил он. По словам Шадаева, сейчас 70% объема расходов госкомпаний должно приходиться на российский софт.
__Структура под эгидой Минцифры должна обеспечить отрасли единую экспертизу.
Президиум правительственной комиссии по цифровому развитию утвердил новый центр компетенций разработки (ЦКР) по развитию российского общесистемного и прикладного программного обеспечения «Беспилотные авиационные системы» (БАС). Документ был подписан еще летом, но активная работа по центру началась месяц назад, рассказал «Ведомостям» источник в профильной ассоциации и подтвердил собеседник из числа разработчиков. ЦКР БАС займется анализом недостающих софтверных решений для дронов и заменой иностранных решений на собственные средства участников.
«Участниками ЦКР были сформированы и проработаны инициативы, которые впоследствии легли в основу национального проекта по беспилотным авиационным системам. В рамках этого нацпроекта предусмотрены специализированные инструменты поддержки проектов по развитию БАС», — сообщил представитель Минцифры. Участники центра также могут инициировать проекты по созданию и развитию ИТ-решений по тематике БАС и претендовать на доступ к льготному кредитованию, добавил он.
ЦКР БАС создан по инициативе Минцифры для консолидации потребностей участников рынка и экспертизы инициатив и мероприятий нацпроекта по беспилотникам в части цифровых платформ, заявил представитель Минпромторга. Ведомство участвует в работе ЦКР и координирует с ним проекты мероприятий, направленных на создание интегрированного цифрового пространства БАС, добавил он.__
**Дополнительное подтверждение входа на «Госуслуги» станет обязательным для всех с 28 октября 2023 года
**
Двухфакторная аутентификация на «Госуслугах» необходима для повышения безопасности и усиления защиты персональных данных. Второй фактор подключила уже почти половина пользователей «Госуслуг» — более 41 млн человек.
У админов по-прежнему популярны пароли admin и 123456
__Анализ 1,8 млн украденных вредоносами паролей для доступа к порталам администрирования показал, что пользователи с такими привилегиями чаще всего (более чем в 40 тыс. случаев) отдают предпочтение дефолтному «admin».
Пользователям WhatsApp на Android дали беспарольный доступ — passkey
__
Пользователи Android-версии WhatsApp теперь смогут попрощаться с двухфакторной аутентификацией по СМС. Разработчики мессенджера сообщили об имплементации ключей доступа (passkey) для любителей зелёного робота.
Microsoft полностью заменит протокол аутентификации NTLM на Kerberos
Microsoft хочет отказаться от набора протоколов сетевой аутентификации NTLM (NT LAN Manager) в будущих релизах Windows 11. В планах — перейти на альтернативные методы аутентификации и усилить с их помощью безопасность.
«Мегафон» договорился с компанией «Булат» о поставке 5000 базовых станций (БС) для сетей связи стандартов 2G и 4G в 2024–2026 гг. О заключении контракта представители сторон объявили в ходе демодня индустриальных центров компетенций (ИЦК) «Мобильная связь» и «Фиксированная связь» 12 октября. Сумма контракта не раскрывается.
Точную стоимость нового контракта «Мегафона» сложно оценить, но она точно будет выше, чем у трех основных мировых вендоров телекомоборудования – китайской Huawei и европейских Ericsson и Nokia, предполагает гендиректор TelecomDaily Денис Кусков. До 2023 г. одна БС 2G/3G/4G стоила примерно $80 000–100 000, говорит источник «Ведомостей» в телекомоператоре.__
**X5 запустила собственную платформу аутентификации сотрудников «Х5 ключ»
**
X5 Group, продуктовая розничная компания, разработала и запустила собственную систему аутентификации сотрудников «Х5 ключ». Новый инструмент делает доступ сотрудников к ключевым сервисам и данным компании более удобным и безопасным.
Ростелеком» заказал разработку WiFi-роутеров у компании «Электра». Сумма контракта – 2,7 млрд руб. Об этом представители сторон объявили в ходе демодня индустриальных центров компетенций «Мобильная связь» и «Фиксированная связь» 12 октября. Первые поставки российских роутеров стандарта WiFi5 начнутся в ноябре 2023 г., а в мае 2024 г. должны стартовать поставки техники следующего поколения WiFi6. Массовое внедрение технологий должно начаться в конце 2024 г.
Контракт предполагает производство WiFi-оборудования технологий FTTB и GPON. FTTB (Fiber to the Building) – это волоконно-оптический кабель, идущий до здания, и устройство, принимающее в здании сигнал, а GPON – сеть, которая доходит непосредственно до абонента. Стоимость проекта по разработке и внедрению 350 000 FTTB CPE-роутеров составляет 1,1 млрд руб., а 450 000 GPON ONT-роутеров – 1,6 млрд руб., следует из презентации вендора.__
__«Reverse engineering хорош, когда купили действующий образец, он стоит на предприятии, его можно разобрать и попытаться восстановить. Но, во-первых, это не факт, что правильная идея, потому что вся линия потом должна быть такой. Купить всю линию — ну, собственно, это то, чего мы не смогли сделать за все предыдущие годы. Хотя было и желание, и деньги, и отношение к России было совершенно иным. Но даже в этой ситуации никто нам современную линию не продавал. Тем более в текущей ситуации на это, по-моему, полностью нельзя рассчитывать. В промышленном шпионаже я не силен, но подозреваю, что сейчас все владельцы этих технологий за этим следят, чтобы у них так уж легко нельзя было украсть все эти секреты».
Но, похоже, о полном импортозамещении речи не идет. Из презентации Международного научно-технологического центра МИЭТ, с которой ознакомилась газета «Коммерсантъ», следует, что на ряде этапов производства чипов на российских заводах будет использоваться оборудование из Белоруссии и Китая.
Что же касается стоимости этого проекта — цифры говорят сами за себя. 100 млрд рублей по текущему курсу — это примерно миллиард долларов. Голландская компания ASML, мировой лидер по производству фотолитографического оборудования для выпуска чипов, только в прошлом году направила на новые исследования и разработки в три с лишним раза больше.__
**__Отечественное оборудование для выпуска микросхем планируют разработать за три года. Стоимость проекта — 100 млрд рублей. Можно ли за такой срок и за такие деньги построить практически с нуля собственное производство чипов?
Российские власти намерены выделить более 100 млрд рублей на создание машиностроения для микроэлектроники, разработав оборудование для всех циклов производства полупроводников, сообщает «Коммерсантъ».
Российское производство микроэлектроники сосредоточено в Зеленограде. Это два предприятия, основанные еще в советское время, — заводы «Микрон» и «Ангстрем». Первый известен выпуском чипов для загранпаспортов, банковских карт и карт «Тройка». Второй, как считается, работает в основном на оборонку.
На «Микроне» установлено оборудование западного производства, которое позволяет выпускать чипы по технологическим нормам от 65 нанометров и больше. Этот техпроцесс появился еще в начале нулевых. Что касается «Ангстрема», про его производственные линии известно немногое. Как следует из информации на сайте предприятия, наиболее совершенный техпроцесс, который доступен Ангстрему, — 600 нанометров. Это уже в прямом смысле прошлый век, технологии середины 90-х. Но для тех областей, где используются чипы «Ангстрем», этого достаточно.
Создать за три года полностью замкнутый, или, если угодно, импортозамещенный цикл производства чипов по современным нормам невозможно в принципе. И дело здесь не только в том, что мы сильно отстаем от других. Другие — к примеру, крупнейший в мире производитель чипов TSMC, — используют технологии и оборудование, разработанные в разных странах. Продолжает гендиректор компании «Троицкий инженерный центр» Евгений Горский:
«В мире нет ни одной компании и ни одной страны, которая бы построила полный цикл производства микроэлектроники — от производства кремния до резки и корпусирования чипов. То есть это всегда, как правило, кооперация между крупными компаниями. Мое мнение, что на 100 млрд рублей за три-четыре года можно сделать очень много, если сфокусироваться на каких-то определенных темах, где у нас есть опыт, компетенции. По литографии у нас уже есть кооперация с белорусскими коллегами. Сейчас такой проект уже осуществляется между Зеленоградом и КБ «Планар», в ходе которого создается литографическая установка на вполне себе современные нормы».
Массовое производство микроэлектроники потребует развития и других отраслей. Для выпуска чипов нужны сверхчистые пластины кремния, сверхчистые газы, лазеры и многое другое. И этого многого у нас тоже нет. А главное — нет специалистов, которые могли бы прямо сейчас заняться соответствующими разработками, говорит руководитель СКБ «Робототехника» МИЭТ Станислав Шепелев:
«Технологии и люди, которые были способны разработать и произвести все это оборудование, к сожалению, были утрачены. Сейчас запускаются программы по электронному машиностроению, начинают разрабатываться учебные курсы для того, чтобы готовить специалистов в этой области. Но даже если мы направим туда людей, им же нужно, во-первых, отучиться, во-вторых, получить опыт».
Теоретически мы могли бы не разрабатывать все технологии и оборудование для производства чипов с нуля, а, скажем так, позаимствовать что-то у других. Например, разобрать современную западную линию по выпуску чипов, а потом попробовать воссоздать ее самостоятельно. Это называется обратная разработка, или reverse engineering. Но тут тоже все не так просто, отмечает аналитик телеграм-канала «Русмикро» Алексей Бойко:__
С помощью приложения пользователи могут сканировать специальный код на упаковке продукта и получить информацию о нём вроде легальности, веса и объёма.
С помощью «Честного знака» можно проверить данные о лекарствах, БАДах, молочной продукции, питьевой воде, пиве, табаке, обуви, шубах, товарах лёгкой промышленности, фотоаппаратах и импульсных вспышках, духах и туалетной воде, антисептиках, автомобильных шинах, медицинских изделиях и креслах-колясках.__
**Минцифры просит на четверть увеличить финансирование льготных IТ-кредитов
****
**__Минцифры предложило правительству увеличить финансирование программ льготного кредитования IT-компаний на 25% до конца 2023 г., рассказал «Ведомостям» представитель ведомства. Он напомнил, что на этот год в федеральном бюджете на льготные IТ-кредиты заложено 2 млрд руб. Дополнительное финансирование в размере 500 млн руб. может быть получено путем перераспределения бюджета с других ведомственных проектов, входящих в нацпрограмму «Цифровая экономика», уточнил собеседник.
В сентябре «Ведомости» сообщали, что Минцифры пришлось проводить перерасчет средств, заложенных на финансирование программ льготного кредитования в связи с повышением ключевой ставки ЦБ. С начала лета она была поднята до 8,5%, затем до 12%, а 15 сентября еще на 1 п. п. до 13%. По схеме льготного кредитования IT-отрасли министерство компенсирует банку, который выдает льготный кредит, разницу между льготной ставкой, которую платит получатель кредита, и ключевой ставкой ЦБ, пояснял тогда «Ведомостям» вице-президент Ассоциации банков России Алексей Войлуков.__
Google предложит пользователям устанавливать passkey по умолчанию
Американская корпорация Google теперь будет предлагать пользователям установить аутентификацию без паролей (passkey) по умолчанию. При авторизации в аккаунте Google появится предложение об установке ключа доступа, который, как считается, обеспечивает более надежную криптографическую защиту, чем стандартные пароли.
CISA считает пароли вроде Admin123 основной причиной удачных кибератак
Агентство по кибербезопасности и защите инфраструктуры (CISA) и Агентство национальной безопасности (АНБ) США видят основного виновника успешных кибератак в дефолтных учётных данных.
__
__https://www.anti-malware.ru/news/2023-10-09-111332/42065
Сертификат №4719 от 28.09.2023 на программный комплекс «CyberLympha DATAPK» (ПК CL DATAPK) подтверждает соответствие требованиям документов: Требования доверия(6), Требования к СОВ, Профили защиты СОВ(cети шестого класса защиты. ИТ.СОВ.С6.ПЗ), ЗБ.
**В России хотят ввести штрафы до 20 млн рублей за утечку биометрии
**__
Российские парламентарии разработали законопроект, вводящий штрафы до 20 млн руб. за утечку биометрических данных. В случае рецидива с нарушителя могут взыскать от 0,1% до 3% годовой выручки.
Минцифры разработало правила использования «цифрового паспорта»
__Минцифры России разработало правила использования «цифрового паспорта», созданного для упрощения использования документов, удостоверяющих личность.
Согласно документу, россияне смогут показывать QR-код в мобильном приложении «Госуслуги» вместо паспорта или другого документа в некоторых ситуациях. Например, для посадки на поезд, при покупке алкоголя и посещении мероприятий, при заселении в гостиницу, при обращении в медорганизацию или почтовое отделение. Уточняется, что QR-коды и приложение не станут заменой паспорта и других документов – добавится только возможность показывать QR-код вместо них.
Воспользоваться «цифровым паспортом» смогут те, кто разместил свои биометрические персональные данные в единой биометрической системе (ЕБС), а также те, кто загрузил в приложение «Госуслуг» фото загранпаспорта, водительского удостоверения или карты болельщика или сдал биометрические данные в МФЦ.__
Локализация производства оборудования может стать одним из критериев оценки технологической независимости критической информационной инфраструктуры (КИИ). Об этом «Ведомостям» рассказал представитель Минцифры.
Требование о переходе на отечественные IT-решения в КИИ были сформулированы в президентских указах № 166 от 30 марта 2022 г. и № 250 от 1 мая 2022 г. Согласно первому, с 1 января 2025 г. запрещено использовать иностранное программное обеспечение (ПО) на значимых объектах КИИ. Во втором указе говорится о том, что с 1 января 2025 г. органы и организации не смогут использовать средства защиты информации (СЗИ – программно-аппаратные средства, предназначенные для защиты от актуальных угроз) из недружественных стран.__
На рынке инфраструктуры открытых ключей (PKI) в ближайшее время могут произойти значительные изменения. Самое главное из них — предложение Google по сокращению срока службы сертификатов SSL/TLS. Максимально допустимым сроком сертификата станет 90 дней. Это потребует от владельцев веб-сайтов полной автоматизации выдачи, переоформления и продления сертификатов, чего и добивается Google.
**Пароли пользователей ccontent[.]ru в виде простого текста утекли в Сеть
**
Сервис «готовых постов для Instagram (признана экстремистской и запрещена на территории России) и ВК», находящийся по адресу ccontent[.]ru, стал очередной жертвой утечки. Слитый дамп БД датируется 26 июля 2023 года.
Роскомнадзор, конечно, разъясняет, что «Федеральный закон № 406-ФЗ позволит Роскомнадзору блокировать интернет-сайты с информацией, рекламирующей сервисы и методы обхода блокировок, в том числе популяризирующей такие сервисы и методы, убеждающей в их привлекательности и описывающей возможность получения доступа к запрещенным ресурсам путем использования сервисов».
Но если открыть сам текст закона, то дословно там написано: [Основаниями для включения в реестр является наличие] «информации о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации».
Так что формально не обязательно рекламировать, убеждать и популязировать - достаточно просто описать.
Почти половина (48,2%) российских IT-разработчиков не увидели в запуске индустриальных центров компетенций (ИЦК) и центров компетенций разработки (ЦКР) реального влияния на софтверную индустрию, а еще 17,7% не почувствовали от них существенной поддержки. Об этом говорится в исследовании ассоциации «Руссофт» (объединяет более 340 IT-компаний), презентованном на заседании пресс-клуба 3 октября.
26,9% опрошенных вообще затруднились дать однозначный ответ об эффективности ИЦК и ЦКР и только 7,2% респондентов сочли инструменты поддержки ИЦК и ЦКР значительными, говорится в исследовании. «Относительно возможностей работы с ИЦК и ЦКР в целом у разработчиков ПО оказалось недостаточно информации», – следует из опроса.__
__Эксперты оценивают затраты на реализацию проекта в 1–3 млрд рублей.
Для хранения отечественного софта к 2027 г. может быть создана система защищенных репозиториев. Первоначально в нее будет включено около 30% доверенных отечественных решений, а к 2030 г. этот показатель достигнет 80%. Об этом говорится в рабочем документе АНО «Цифровая экономика», составленном по итогам конференции «Э+Данные», которая прошла 11 сентября.
Доверенное программное обеспечение (ДПО) – это софт, который разрабатывается в соответствии с концепцией жизненного цикла безопасной разработки, пояснил «Ведомостям» директор по стратегии и развитию технологий Axiom JDK Роман Карпов. Критерии «доверенности» ПО и программно-аппаратных комплексов (ПАК) определяют ФСТЭК и ФСБ. «В широком смысле доверенным можно назвать ПО, которое прошло проверки по безопасности и иной технический аудит в аккредитованных для этих целей организациях, не содержит «закладки», т. е. его работе заказчик может доверять», – добавил директор департамента разработки ПО компании «Рексофт» Николай Сокорнов.__
Методы хэширования паролей. Долгий путь после bcrypt
__Прошло 25 лет с момента изобретения алгоритма хэширования bcrypt (1997), но он до сих пор считается одним из самых стойких к брутфорсу хэшей.
Вот уже несколько десятилетий некоторые специалисты прогнозируют, что аутентификация будет производиться ключами/сертификатами. Но этого до сих пор не случилось. Пароли остаются неотъемлемой частью систем информационной безопасности. Вообще, они широко использовались ещё до изобретения компьютеров, так что в таком долгожительстве нет ничего удивительного.__
Переезжаем с DUO Mobile на Мультифактор. Опыт (и грабли) QIWI
__Когда каждый день слышишь о новых утечках учетных данных пользователей, а социальная инженерия и разного рода мошенники активно прокачивают свои скиллы в выманивании паролей у пользователей, многофакторная аутентификация становится must have.
А если мы говорим о работе в больших компаниях, где есть множество разных систем с разным уровнем доступа, то без одного или нескольких дополнительных факторов не обойтись.__
**Ozon разработал собственную операционную систему для умных телевизоров Hartens
**
__Ozon при сотрудничестве с VK разработал операционную систему, которая будет устанавливаться на телевизоры Hartens (собственная торговая марка Ozon). Тестовая партия устройств уже доступна на маркетплейсе. До конца года Ozon планирует произвести более 25 тыс. устройств на базе Ozon TV.
Как сообщила пресс-служба маркетплейса, новая операционная система получит ряд встроенных сервисов. Среди них — магазин приложений RuStore и голосовой помощник Маруся. Также на телевизорах Hartens будут доступны VK Видео и VK Play.
«Устройства Hartens всего за два года продаж завоевали доверие потребителей и стали лидером в категории телевизоров на Ozon — на них приходится 30% от всех проданных Smart TV на площадке. Мы получили много отзывов от покупателей Hartens и решили усовершенствовать цифровую начинку и сервисы в наших устройствах — так родилась оболочка Ozon TV со встроенными сервисами от VK»,— рассказал директор по развитию бизнеса Ozon в категории «Электроника» Александр Милькин.
Телевизоры Hartens производятся с 2021 года, их выпуск налажен на заводе российского производителя телевизоров «Квант» в Воронеже. До конца текущего года маркетплейс планирует произвести более 25 тыс. устройств на базе Ozon TV.__
**Двухфакторная аутентификации на «Госуслугах» стала обязательной с 1 октября
**
При таком способе аутентификации у пользователя при входе запрашивается пароль и дополнительное подтверждение, которое можно получить через одноразовый СМС-код, по биометрическим данным или через актуальный код в приложении ТОРТ
**«Цифровая экономика» предложила создать оператора для лицензирования ПО
**
__АНО «Цифровая экономика» предложила крупнейшим разработчикам и производителям смартфонов создать оператора для производства и лицензирования отечественных мобильных сервисов. Пока инициатива не нашла поддержки среди больших компаний, хотя российскому ПО требуется помощь для борьбы с иностранными конкурентами, говорит эксперт
Участники рынка мобильной разработки обсуждают возможность создания отраслевого консорциума. Он призван координировать программы развития мобильных технологий на федеральном уровне. Такое предложение содержится в письме гендиректора АНО «Цифровая экономика» Сергея Плуготаренко, которое было отправлено в конце сентября крупнейшим разработчикам приложений и производителям смартфонов.__
**«Группа Астра» планирует провести IPO
**
__Производитель защищенного инфраструктурного ПО «Астра» объявил о планах провести первичное размещение (IPO) акций на Мосбирже в октябре 2023 г. Об этом сообщили в пресс-службе компании.
«Наша команда убеждена, что IPO компании на Мосбирже <…> позволит обратить еще большее внимание инвесторов на российский IT-рынок, обладающий колоссальным потенциалом роста», — сообщил генеральный директор группы компаний «Астра» Илья Сивцев.
В компании отметили, что это станет первым IPO среди российских разработчиков инфраструктурного ПО. «Астра» планирует продать на Мосбирже 5% своих акций, действующие акционеры сохранят за собой преобладающую долю акций. Других подробностей размещения компания не привела.
Согласно данным отчетности по МСФО, по итогам первого полугодия 2023 г. выручка «Астры» составила 3,11 млрд руб., что более чем в три раза превышает показатели первого полугодия 2022 г., когда объем выручки компании составлял 1,009 млрд руб. Чистая прибыль по итогам первых шести месяцев этого года составила 1,163 млрд руб. против 0,497 млрд руб. в прошлом году.
В марте 2023 г. директор департамента по работе с эмитентами торговой площадки Наталья Логинова сообщила, что в 2023 г. около десяти компаний могут провести IPO на Мосбирже. По ее словам, IPO могут провести эмитенты из «новой экономики» – финтехкомпании, ритейлеры. Те, кому нужен капитал для быстрого роста, уточнила она.__
**Депутатов Госдумы переводят на отечественные аналоги Windows и Microsoft Office
**
__Аппарат Госдумы приобрел для депутатов и административных работников парламента 1800 лицензий отечественных аналогов операционной системы Windows и пакета офисных программ Microsoft Office, рассказал «Ведомостям» сотрудник крупной IT-компании и подтвердил технический директор поставщика лицензий – интегратора Step Logic Станислав Дарчинов.
Вместо Windows аппарат Госдумы закупил ОС Astra Linux, вместо Microsoft Office – пакет «Мойофис», рассказал источник «Ведомостей». Речь идет о бессрочных лицензиях с трехлетним сроком получения обновлений. По его словам, общая сумма покупки двух решений составила около 52 млн руб.
Точная сумма закупки Госдумы – почти 52,5 млн руб., следует из информации на портале госзакупок. Из этой суммы порядка 23,1 млн руб. стоили 1800 лицензий «Мойофиса» и 29,3 млн руб. – лицензии на Astra Linux. Стартовая цена закупки составляла 52,7 млн руб. На конкурс поступила только заявка Step Logic, следует из конкурсной документации.
«Решения в полном объеме были поставлены заказчику в сентябре», – уточнил Дарчинов.
Представители «Новых облачных технологий» (развивает проект «Мойофис») и ГК «Астра» отказались от комментариев.
В пресс-службе Госдумы подтвердили закупку ПО.
Собеседник в аппарате нижней палаты парламента говорит, что это плановый переход на отечественное ПО. Сейчас на него перешли сотрудники четырех управлений нижней палаты парламента, сказал он: «Затем планово на это ПО перейдут весь аппарат Госдумы, аппарат фракций и депутаты». Он также отмечает, что нынешняя закупка 1800 лицензий производилась для компьютеров, которые работают с внешней сетью, с интернетом, а в следующем году закупка планируется также для компьютеров, работающих с внутренней сетью – интранетом.
Переход с зарубежных решений на российские обычно сопровождается трудностями, связанными с привычкой к использованию иностранных решений, говорят опрошенные «Ведомостями» эксперты.
С начала 2023 г. на программное обеспечение «Мойофис» перешли ряд крупных компаний и госучреждений, в том числе группа «Аэрофлот», в которую помимо одноименной авиакомпании входят «Россия» и «Победа», и МГУ. В июне 2022 г. о покупке около 100 000 лицензий «Мойофиса» сообщал ВТБ. Стоимость контракта оценивалась в 1,2 млрд руб. В сентябре о приобретении 150 000 лицензий Astra Linux объявило правительство Татарстана. Также на решения ГК «Астра» перешли АО «Концерн Росэнергоатом», МГТУ им. Н. Э. Баумана и МИРЭА.
«Пользователи уже хорошо знают зарубежные системы, на которых работали, и, даже если отечественный софт предлагает улучшенные функциональные возможности, люди не сразу готовы перестроиться. Поэтому заказчики высоко ценят обучение, выпуск бесплатных и углубленных курсов от российских вендоров», – обращает внимание коммерческий директор PIX Robotics Вячеслав Мусолов. Массовым переходам практически всегда предшествуют пилотные периоды использования, добавил он.
Также сложности могут быть связаны с интеграцией систем. «Программы работают не в вакууме сами по себе, они активно взаимодействуют между собой, происходит обмен информацией между различными системами. Важно обеспечить совместимость с другими приложениями», – напоминает руководитель аналитического центра Zecurion Владимир Ульянов.
Например, если у заказчика много приложений, работающих только под ОС Windows, могут возникнуть трудности с их переносом на другую операционную систему, добавляет эксперт по российскому ПО ГК Softline Александра Залманова. В таких случаях заказчику придется либо отказаться от приложений, которые несовместимы с новой ОС, либо адаптировать их под новую среду, что может потребовать дополнительных затрат и времени, добавляет она. Внедрение новых IT-решений в компании обычно начинается с небольшой группы сотрудников, которых предварительно обучают и дают им время на тестирование, отметила руководитель QA-отдела IT-компании SimbirSoft Марина Тарасова. Остальные специалисты продолжают использовать привычное ПО, чтобы производительность не упала, добавляет эксперт.__
С 1 октября двухфакторная аутентификация на «Госуслугах» стала обязательной для новых пользователей и при запросе на восстановление учётной записи: https://t.me/mintsifry/1993
“Дополнительное подтверждение для входа подключил уже каждый третий пользователь портала — всего более 35 млн человек” - не так плохо на самом деле, но 70 млн всё ещё “однофакторные”… Какой простор для мошенников!
Российские банкиры хотят аккредитоваться для работы с биометрией
Сбербанк, ВТБ и Почта Банк подали заявки на включение в реестр Минцифры по аккредитации для работы с данными из ГИС ЕБС. Новый статус позволит расширить спектр услуг на основе биометрии, а также повысить безопасность таких сервисов.
В приложении «Яндекс с Алисой» появился инструмент для быстрого и безопасного входа в сервисы
__«Яндекс» сделал двухфакторную аутентификацию доступнее и интегрировал «Яндекс ключ» в приложение «Яндекс с Алисой». Теперь у пользователей под рукой будет инструмент для быстрого и безопасного входа в «Яндекс ID» — «Ключ» не нужно устанавливать отдельно.
«Яндекс ключ» создаёт уникальные одноразовые пароли для быстрого и безопасного входа в ID — единый аккаунт в «Такси», «Еде», «Почте», «Диске», «Кинопоиске», «Музыке» и других сервисах «Яндекса». Для аутентификации с помощью «Ключа» нужно скопировать временный пароль или отсканировать QR-код.__
С 1 января в Казахстане при выдаче паспорта будут брать отпечатки пальцев
С 1 января 2024 года в Казахстане вводится обязательная дактилоскопическая регистрация при получении паспорта и удостоверения личности. Новая норма призвана упростить жизнь граждан этой страны.
**Эволюция CAPTCHA: доказательство PoW, продвинутые боты
**
__Поскольку во всех типах капчи системы ИИ показывают результат лучше человека, исследователи задались задачей придумать более эффективные методы защиты от ботов.
Например, mCaptcha — опенсорсная CAPTCHA, работающая по принципу proof-of-work. Её уже можно встретить на некоторых сайтах.__
Википедия не совсем согласна с текстом на картинке, утверждая, что на самом деле данной композицией Адриано Челентано «хотел сказать об отсутствии коммуникабельности многих людей, неспособных понять друг друга». Тем не менее - слова вымышленные, песня популярная.
А вы, как ИБшник, часто используете в общении с бизнесом вымышленные слова? Призенколиненсинайнчузол, NGФV, DLЬ, XDЯ? А, может, начать говорить на одном языке? 😉
Пассворк — современный менеджер паролей для компаний, организаций и бизнеса
В обновлённом релизе корпоративного менеджера паролей «Пассворк 6.0» представлен ряд улучшений для более гибкой и комфортной совместной работы с паролями, оптимизированы пользовательский интерфейс и раздел настроек, усилена безопасность.
С 1 декабря этого года с помощью биометрии можно будет совершать покупки и получать ряд госуслуг
В Москве оплата проезда в метро системой Face Pay действует с 2021 года, биометрические сервисы развивают у себя некоторые банки и торговые сети. Теперь развитие пойдет на уровне правительства. Есть ли у системы, помимо удобства, минусы?
Бюджетные расходы на базовые станции сотовой связи перераспределят «КНС групп»**
**
Государство выделит дополнительные средства «КНС групп» на создание отечественных базовых станций (БС) сотовой связи. В 2024 г. «КНС групп» получит на 3 млрд руб. больше, чем планировалось в законе о федеральном бюджете на 2023 г. и на плановый период 2024 и 2025 гг. При этом госкорпорация «Ростех» получит на 3,5 млрд руб. меньше. Об этом говорится в пояснительной записке к проекту федерального бюджета на 2024 г. и на плановый период 2025 и 2026 гг., имеющейся в распоряжении «Ведомостей».
__
Изменение параметров финансового обеспечения предусмотрено федеральным проектом «Цифровые технологии» нацпрограммы «Цифровая экономика».__
На Южном Урале открыто дело о краже учеток с целью продажи
В Челябинске задержан молодой человек по подозрению в совершении серии взломов онлайн-аккаунтов с помощью вредоносной программы. Скомпрометированные учетки впоследствии за плату расшаривались в Telegram.
Простой способ компрометации приватных ключей при помощи SSH-Agent
Уязвимость ли это? Не совсем. Как и многие вещи в мире безопасности, эта «атака» на самом деле является зловредным применением обычной функциональности. Задача этого поста — объяснить вам, что теоретически может произойти в подходящих обстоятельствах.
Фишеры вытаскивают пароли сотрудников под видом анкет самооценки
Кибермошенники запустили новую рассылку, в которой пытаются ввести в заблуждение доверчивых сотрудников организаций. Под видом анкет самооценки фишеры пытаются выудить логины и пароли от корпоративных аккаунтов.
**Компания Леонида Реймана выпустит антишпионский смартфон
**
__Саранский завод «Рутек», принадлежащий структурам экс-министра связи России Леонида Реймана, начал производство антишпионского защищенного смартфона «Р-фон» на операционной системе «Роса Мобайл». Об этом «Ведомостям» рассказал представитель разработчика НТЦ «ИТ Роса», владельцем которого также является бывший чиновник. Представитель «Рутека» подтвердил «Ведомостям» информацию.
НТЦ «ИТ Роса» анонсировал выпуск первого смартфона на своей ОС еще летом. О планах представить первый смартфон на «Роса Мобайле» осенью 2023 г. РБК рассказал гендиректор компании Олег Карпицкий. В августе 2023 г. Forbes сообщал, что устройство будет производиться в Гонконге: издание обнаружило запись в реестре ЕЭК, разрешающую ввоз продукции на территорию ЕАЭС. Компания декларировала смартфон под торговой маркой Ruteq в нескольких моделях, произведенный компанией Bopel Mobile Technology Co Limited из Гонконга.__
Ведомости со ссылкой на “федерального чиновника” и “топ-менеджера одной из нефтегазовых компаний” сообщают, что в правительство Минпромторгом был внесён документ о переносе срока обязательного импортозамещения для ПАКов в КИИ с 01 января 2025 года на дату “__окончания срока эксплуатации уже действующих решени__й” (чтобы это ни значило).
**Форм-факторы смарт-карт. Сводная информация
**
Число и разнообразие микропроцессорных смарт-карт постоянно растет. По оценке компании Thales это самая распространенная вычислительная платформа на планете. Актуальность их применения не снижается. С новыми технологиями появляются новые форм факторы смарт карт. В статье собраны как справочный материал названия тех форм факторов смарт карт, которые сегодня встречаются.
**Участники TNF заявили о росте спроса на российское ПО для нефтегаза
**
__Зарубежные компании все чаще интересуются российским программным обеспечением (ПО) для нефтегазовой отрасли. В частности, спрос на него растет в странах СНГ, Юго-Восточной Азии, Латинской Америки и Ближнего Востока, отметили участники промышленно-энергетического форума TNF.
«У наших компаний есть немало преимуществ: многие предоставляют полный доступ к своему ПО и после продажи, например, не смогут его просто отключить, что крайне важно для чувствительных отраслей», – сказал генеральный директор «Цифровой индустриальной платформы» (совместное предприятие «Газпром нефти» и ГК «Цифра») Александр Смоленский.
Смоленский обратил внимание, что российские разработчики не копируют западные технологии «с устаревшей архитектурой и технологическим стеком».
Президент группы компаний InfoWatch Наталья Касперская пояснила, что сотрудничество привлекает зарубежные страны своей «относительной независимостью». По ее словам, западная модель подразумевает поставку технологий «в виде черных ящиков» и обучение, как ими пользоваться, но не дает разрешения изучать, «как они устроены». «Нaшa же модель должна быть открытой. Это хорошая возможность для стран третьего мира построить какие-то элементы своего цифрового суверенитета», – отметила Касперская.
В сентябре 2022 г. в ходе форума TNF в Тюмени вице-премьер, министр промышленности и торговли РФ Денис Мантуров заявил, что к 2025 г. Россия планирует использовать в нефтегазовой промышленности 80% российского оборудования. По его словам, еще в 2014 г. технологическая независимость РФ по нефтегазовому машиностроению составляла чуть более 40%, в 2022 г. – уже 60%.__
Микрозаем можно будет взять только при наличии электронной подписи
Микрозаем можно будет взять только при наличии электронной подписи (ЭП). Процедура их выдачи поменяется с 1 октября 2024 года. С этого времени микрофинансовые организации (МФО) должны будут обеспечить для своих клиентов использование простой или усиленной ЭП для выдачи микрозаймов. Это следует из проекта указания Центробанка, пишут «Известия». Отмечается, что для простой ЭП участники рынка обязаны обеспечить криптографическую защиту и проводить аутентификацию отправителя сообщения.
Президент России Владимир Путин подписал указ, приравнивающий предъявление сведений из удостоверяющих личность документов через мобильное приложение «Госуслуги» к предъявлению самих документов. Документ опубликован на портале правовой информации.
Иранские хакеры успешно взломали военные организации США из-за бездарных паролей
__Иранским хакерам удалось взломать тысячи значимых организаций в США и как минимум ещё одной страны, используя простую, но эффективную методику - password spraying («распыление паролей»).
Распылением паролей называется скоординированная попытка получить доступ ко множеству аккаунтов, используя один и тот же пароль. В этом ключевое различие такой тактики с брутфорсом, где злоумышленники пытаются получить доступ к определённым аккаунтам, вводя один за одним пароли из длинного списка.__
❗️❗️❗️ Минпромторг установил план, по которому до конца 2024 года объекты критической информационной инфраструктуры должны полностью перейти на российский софт.
👔Доля российского софта в госкомпаниях оценивается в промежутке 40–50%. А за последние полтора года импортозамещение ускорилось.
Об этом 66.RU рассказал эксперт УЦСБ Евгений Баклушин. По его словам, госкомпании стали чаще переходить на отечественный софт из-за необходимости повышать уровень своей безопасности.
Подробнее о том, с каким какими трудностями сталкиваются предприятия при переходе с зарубежного софта на отечественный читайте в материале 66.ru
Вектор атаки WiKI-Eve позволяет украсть пароль пользователя по Wi-Fi
Новый вектор атаки под названием «WiKI-Eve» позволяет перехватить передачу данных в виде простого текста со смартфонов, подключённых к современным роутерам Wi-Fi, и вычислить отдельные нажатия клавиш с точностью до 90%. Другими словами, условный злоумышленник может вытащить пароли владельца девайса.
__Еще в июле 2022 г. «Ведомости» со ссылкой на Сивцева сообщали о том, что ГК «Астра» рассматривает возможность выхода на Московскую биржу. Возможные сроки и сумма, которую компания планирует привлечь, не раскрывались. Эксперты прогнозировали, что компания может выйти на биржу с оценкой в 10-17 млрд руб. с учетом мультипликатора EV/EBITDA (отношение стоимости компании к полученной ею прибыли до вычета процентов и налога на прибыль) не более х10.
«В перспективе IPO может быть одним из стратегических путей развития компании, мы его, естественно, не исключаем, но на текущий момент рано об этом говорить, – сказала Бородкина. – Так как мы активно растем и развиваем наш бизнес, у нас есть потребность во внутренних изменениях, в привлечении качественных кадров, развитии экосистемы, поэтому всегда изучаем и рассматриваем возможные способы привлечения капитала».
Пока что из российских технологических компании на бирже представлены только интернет-холдинги «Яндекса» и VK и сервис кикшеринга Whoosh, который вышел на IPO в конце 2022 г., а из разработчиков – Softline и Positive Technologies. Softline провел размещение акций на Лондонской бирже в октябре 2021 г. Компанию тогда оценили в $400 млн по цене $7,5 за бумагу. Капитализация компании составила $1,5 млрд. Вторичный листинг Softline прошел на Мосбирже 1 ноября 2021 г. Positive Technologies вышла на Московскую биржу в декабре 2021 г. В первый день ее бумаги торговались в диапазоне 980–985 руб. за штуку, что дало капитализацию около 60 млрд руб. при предварительной оценке в 44–103 млрд руб. На 21 июля 2023 г. акции Softline на Мосбирже стоят 160 руб., акции Positive Technologies – 2096 руб. за штуку.
В случае IPO «Астры» сегодня оценка компании может быть сильно выше, чем год назад. Динамика рынка за последнее время показывает, что у локальных инвесторов есть и средства, и аппетит к новым размещениям, так что сейчас конъюнктура для IPO гораздо более благоприятная, рассуждает Либин. «С учетом впечатляющей динамики выручки, высокого уровня рентабельности, а также благодаря тренду на импортозамещение в технологической отрасли, думаю, что сейчас справедливая стоимость находится в диапазоне 30-40 млрд руб.», – полагает эксперт.
Оценка может быть 40-45 млрд руб., считает Делицын. «К примеру, сейчас оценка Positive Technologies значительно превышает 100 млрд руб. при выручке 14 млрд руб. с мультипликатором 8х», – рассуждает он. Более того, к тому моменту, когда компания проведет IPO, выручка еще может вырасти, отмечает эксперт.
«В Positive Technologies отмечали, что переход на отечественное ПО еще толком не стартовал на предприятиях, а значит, потенциал для кратного роста выручки есть, и через год она вполне может достигнуть 10 млрд руб.», – резюмировал эксперт.
По оценке представителя «Тинькофф инвестиций», маржинальность «Астры» по EBITDA выше ее международных аналогов (54% против 35% в среднем). «Маржинальность сопоставима с российским игроком сектора кибербеза Positive Technologies, поэтому если оценивать компанию по мультипликатору EV/EBITDA Positive Technologies за 2022 г. в размере 20x, “Астра” может оцениваться минимум в 58 млрд руб.», — оценивает он. Оценка «Астры» может составить в районе 60 млрд руб., подтвердил инвестиционный консультант «Альфа-капитала» Александр Абрамян.__
ГК «Астра» увеличила выручку в 2,5 раза за 2022 г. по сравнению с 2021 г. Она составила 5,4 млрд руб. против 2,16 млрд руб. в 2021 г. Это следует из отчетности по МСФО, которую компания раскрыла впервые.
Чистая прибыль увеличилась в 2,8 раза год к году до 3 млрд руб., а EBITDA – в 2,7 раза до 2,9 млрд руб. Такой рост в самой компании объясняют прежде всего активной политикой импортозамещения в госсекторе и в крупном бизнесе.
«Астра» – объединение отечественных IT-брендов, включающее операционную систему Astra Linux, диспетчер виртуальных рабочих мест Termidesk (разработчик «Увеон – облачные технологии»), комплекс средств резервного копирования RuBackup от ООО «Рубэкап», систему корпоративной почты RuPost от ООО «Рупост» и др. В 2022 г. компания учредила юрлицо «Астра Консалтинг», а в октябре объявила о приобретении 75% разработчика СУБД-решений ООО «Лаборатория Тантор» (сумма сделки не раскрывалась). Эти продукты используются в основном в государственных организациях, а также в промышленности и на объектах критической информационной инфраструктуры. По информации из отчетности, генеральному директору группы Илье Сивцеву принадлежат 20%, остальные 80% - у Дениса Фролова. Партнеры также владеют производителем светотехнического оборудования ГК «Вартон», который в июне 2021 г. приобрел контрольный пакет акций АО «Байкал электроникс».
Ранее по РСБУ «Астра» раскрывала показатель по выручке в 6,4 млрд руб. Цифра по МСФО отличается из-за разницы в методологии учета, уточнила «Ведомостям» заместитель гендиректора по экономике и финансам компании Елена Бородкина.
«По РСБУ вся реализация признается в моменте. В МСФО же продукты, которые мы предоставляем на 2–3 года, переносятся на следующие периоды и учитываются по факту завершения конкретного контракта. Например, выручка от сопровождения продуктов, которое мы продаем на 12–36 месяцев, попадает не в этот, а уже в следующие периоды», – объяснила она.
Компания показывает хороший рост по всем продуктам стека, говорит Бородкина. Выручка складывается из продажи ОС и других продуктов. Сейчас в портфеле компании 15 решений, продолжает она: их доля в выручке с 3,7% в 2021 г. выросла до 13,4% в 2022 г.
На продажи ОС Astra Linux приходится 77,5% выручки компании. Остальное приходится на сопровождение продуктов. «Пока большую часть выручки генерирует ОС, но ее мы и развиваем дольше, с 2008 г. Экосистемные продукты появлялись позднее», – объясняет Бородкина.
Помимо того компания активно работает над обеспечением совместимости решений «Астры» с прикладным софтом и железом других вендоров, сейчас таких решений около 3500, добавила она.
Увеличение продаж флагмана связано с тем, что бизнес начал активно переходить на отечественные IT-решения, говорит Бородкина. В первую очередь речь о банках, крупных энергетических, нефтяных, промышленных компаниях, госкорпорациях, перечисляет топ-менедджер группы компаний.
Сейчас решениями группы пользуются 20 000 компаний, а доля Astra Linux на рынке ОС в денежном выражении составляет 76%, добавил гендиректор группы Илья Сивцев.
«В 2022 г. российский IT-рынок получил мощный стимул к развитию и переходу на импортонезависимые продукты, – заявил Сивцев. – Текущие структурные изменения носят долгосрочный характер, что благоприятно сказывается на наших планах укрепить лидерские позиции. <…> В ближайшие годы планируем активно инвестировать в развитие продуктового портфеля, расширять клиентскую базу и выходить на международные рынки».
О каких странах идет речь, представители компании не уточняют.
Публикацию МСФО можно расценивать как сигнал подготовки к IPO, считает аналитик Газпромбанка Сергей Либин. «МСФО – однозначный сигнал того, что компания готовится к IPO», – согласен аналитик ГК «Финам» Леонид Делицын.__
Объем IT-рынка России (включая софт, услуги по разработке и техподдержке, а также оборудование) вырастет с 3 трлн руб. в 2023 г. до 7 трлн руб. к 2030 г. При этом рынок оборудования достигнет 4,2 трлн руб., а 2,8 трлн руб. будет приходиться на сегмент IT-услуг и программного обеспечения (ПО). Доля отечественных разработчиков в различных сегментах возрастет с 50% в 2023 г. до 90%. К такому выводу пришли аналитики Strategy Partners.
Согласно подсчетам Strategy Partners, последние четыре года российский IT-рынок в среднем рос более чем в 2 раза быстрее мирового – на 12% в год против 5% в долларовом выражении. Сфера ПО и IT-услуг развивалась быстрее остальных сегментов: среднегодовой темп ее роста в 2019–2022 гг. составил 19,4%.__
Обзор российского рынка инфраструктурного ПО и анализ перспектив его развития от Strategy Partners.
Некоторые выводы:
Российский ИТ-рынок находится в стадии активного формирования и обладает значительным потенциалом для дальнейшего роста. В период до 2030 г. рост российского ИТ-рынка будет существенно опережать темпы роста ВВП; ежегодный рост составит 12%, а отношение расходов на информационные технологии к размеру ВВП достигнет 2,8% к 2030 г. Фундаментом роста российского ИТ-рынка станет продолжающаяся цифровизация экономики, активное импортозамещение продуктов западных вендоров, а также беспрецедентный уровень государственной поддержки ИТ-сектора
Продажи российских разработчиков на рынке инфраструктурного ПО будут расти с опережающей скоростью до 2030 г.: среднегодовой темп роста, по нашим оценкам, составит 31%. Рост требований к информационной безопасности и защищенным ИТ-решениям будет способствовать росту спроса на отечественные разработки и переходу в том числе на сертифицированные ИТ-продукты.
Случай явно вырожденный, но всё равно показательный: Суд в Ростове-на-Дону признал эмодзи эквивалентом подписи в документе.
Суть кратко:
__Предприниматель из Ростова-на-Дону в марте 2022 года должен был поставить заказчику торговый киоск в виде ретрофургона Volkswagen. Согласно заключенному договору, обе стороны признавали юридическую силу документов, в том числе полученных по почте или в одном из мессенджеров.
Покупатель заплатил задаток в размере 480 тысяч рублей. Цветовое решение киоска стороны должны были утвердить допсоглашением. Однако цвет обсудили в мессенджере. На предложение заказчик ответил значком «рука с поднятым вверх большим пальцем».
Фургон не был поставлен в срок, в связи с чем заказчик потребовал возвратить задаток. Тогда поставщик напомнил заказчику о том, что цвет фургона в мессенджере они согласовали на четыре дня позже обещанной доставки, поэтому вовремя услугу предоставить было невозможно.
Суд счел смайл достаточным для закрепления договоренностей.__
**Ошибка системы распознавания лиц могла влететь близнецу в копеечку
**
При списании денег со счета система «Оплата улыбкой» в магазине «Пятерочка» упорно принимала 47-летнего петербуржца за его брата-близнеца, проживающего в Анапе.
По данным газеты, представители РСХБ, Газпромбанка, Промсвязьбанка, ВТБ и Дом.РФ выступили с таким предложением на совещании в Банке России. Требование о том, что субъекты критической информационной инфраструктуры (КИИ) должны прекратить использование иностранного софта, вступает в силу с 1 января 2025 г.
Источник пояснил, что сейчас в банках преимущественно используется система управления базами данных (СУБД) от Oracle. По его словам, адаптация под отечественные СУБД «займет длительный срок и потребует крупных инвестиций». Собеседник добавил, что отсрочка нужна, чтобы российские поставщики автоматизированных банковских систем (АБС) разработали софт с российскими СУБД.
Источник «Коммерсанта» на IT-рынке утверждает, что ВТБ, РСХБ и Дом.РФ рассматривают возможность учредить консорциум для подготовки за несколько лет новой АБС. Собеседник в одном из банков уточнил, что инициатива принадлежит ВТБ, идея была озвучена около шести месяцев назад. По его словам, изначально банк планировал разработать АБС самостоятельно, но потом понял, что «проект слишком масштабный и дорогой».
В ЦБ заявили, что обсуждают с участниками рынка вопросы импортозамещения, включая сроки перехода на отечественное ПО к 2025 г.__
«Лаборатория Касперского»: фишеры используют нестандартную схему для кражи учётных данных от электронной почты
Эксперты «Лаборатории Касперского» обнаружили всплеск рассылок, в которых фишеры применяют упрощённую тактику для кражи личных данных и почтовых аккаунтов. Письма ориентированы на русскоязычных пользователей. В них злоумышленники сообщают потенциальной жертве о необходимости верифицировать учётную запись электронной почты. Однако нужную им информацию (имя, фамилию, логин и пароль) просят прислать ответным сообщением, а не переходить для этого по ссылке на фишинговую страницу. В противном случае мошенники грозят деактивировать аккаунт.
Компания «Актив» приступила к производству смарт-карт «Рутокен ЭЦП» 3.0 3100
Компания «Актив», разработчик и производитель продуктов и решений для обеспечения информационной безопасности, объявляет о старте крупносерийного производства смарт-карт «Рутокен ЭЦП» 3.0 3100, которые стали дополнением к линейке продуктов «Рутокен ЭЦП» 3.0. Смарт-карты предназначены для электронной подписи, надежной двухфакторной аутентификации пользователей и качественной поддержки безопасности систем защищенного электронного документооборота. Также устройства применяются как интеллектуальные ключевые носители в комплексных решениях обеспечения ИБ.
__Несмотря на объявленную 17 июля Минцифры приостановку выдачи грантов на новые разработки в сфере IT, Минфин по поручению премьера Михаила Мишустина подготовил доклад с предложением выделить 11 млрд руб. из резервного фонда на финансирование мероприятий дорожных карт (ДК) развития высокотехнологичных направлений «Новое индустриальное программное обеспечение» (НИПО) и «Новое общесистемное программное обеспечение» (НОПО). Об этом рассказал «Ведомостям» источник в правительстве и подтвердил собеседник, близкий к Минцифры.
«Минфин проработал и направил в правительство доклад о том, что предлагает выделить 11 млрд руб. из резервного фонда правительства на НОПО и НИПО. Если он получит одобрение от премьера, Минфин подготовит документы о выделении этих денег, и они будут выделены», – пояснил собеседник «Ведомостей» в правительстве.
Представитель пресс-службы правительства переадресовал запрос в Минцифры. В настоящее время решается вопрос о выделении необходимых средств на проекты НИПО и НОПО, сообщил представитель Минцифры. «Вместе с тем до перенастройки процедур выделение грантов, в том числе в рамках дорожных карт НИПО и НОПО, не планируется», — добавил он. Это означает, что до 1 сентября 2023 г. финансирование новых проектов финансироваться не будет, уточнил собеседник. «Ведомости» также направили запрос в Минфин, но ведомство не ответило к моменту публикации заметки.
17 июля Минцифры в своем Telegram-канале объявило о том, что до 1 сентября приостановит выдачу новых грантов на новые разработки в сфере IT и проведет аудит финансирования проектов в 2022–2023 гг. Также ведомство проведет оценку компетенций сотрудников основного оператора грантов – Российского фонда развития информационных технологий (РФРИТ), обновит экспертов и состав органов, которые принимают решения.
Объявление о постановке на паузу выдачи грантов произошло через четыре дня после задержания замминистра цифрового развития Максима Паршина. В Минцифры он участвовал в том числе в работе по координации деятельности ведомства по льготам IT-компаниям и грантовой поддержки. 13 июля Басманный суд Москвы отправил Паршина под домашний арест до 12 сентября. Чиновник стал фигурантом уголовного дела о получении взятки в особо крупном размере. Он проходит по одному делу с генеральным директором «БФТ-холдинга» Александром Моносовым.
По итогам конференции «Цифровая индустрия промышленной России» (ЦИПР-2023) в начале июня Мишустин дал поручение Минфину до 17 июля предусмотреть выделение финансирования из резервного фонда правительства на разработку проектов НИПО и НОПО. Соответствующие ДК правительственная комиссия по цифровому развитию утвердила в середине декабря 2022 г. Работа по ним началась по поручению премьера на предыдущем ЦИПР в июне 2022 г. в рамках ИЦК (индустриальные центры компетенций) и ЦКР (центры компетенций по развитию общесистемного и прикладного ПО). В ИЦК вошли вошли представители крупнейших промышленных компаний (заказчики), а в ЦКР – IT-компании (исполнители). Деятельность центров компетенций направлена на скорейшее импортозамещение иностранного ПО в России.
Уже после выхода материала на сайте пресс-служба Минфина прислала комментарий: «Решение по выделению средств на реализацию мероприятий “дорожных карт” НОПО и НИПО еще не принято, а Минфин России пока не согласовал сумму финансирования, обсуждение ведется».__
__Александр Зенков, технический директор компании «Конфидент-Интеграция», рассказал журналу RUБЕЖ, как отечественные вендоры информационной безопасности обеспечили промышленные объекты необходимой защитой и каких аналогов на российском рынке пока нет.
Какие потребности вы закрываете на стороне заказчиков вашими российскими решениями (взамен иностранных)?
Александр Зенков: Конкретизация требований по информационной безопасности промышленных объектов произошла еще в 2014 году после утверждения 31-го приказа ФСТЭК. Но предприятия неохотно исполняли эти требования ввиду отсутствия бюджета, непонимания требований: отложили его в долгий ящик и вовсе потом забыли. Но после выхода 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» это направление заиграло новыми красками.
У предприятий появилось понимание, кто и каким образом должен защищаться, и самое главное, как и с чего начать и к чему нужно прийти – это практически «дорожная карта».
До 2017 года не было продуктов защиты информации, нацеленных на производство с учетом специфики информатизации. Но наши разработчики оперативно выпустили средства защиты, заточенные для защиты АСУ ТП. На текущий момент есть минимум четыре вендора, производящих средства защиты для АСУ ТП. По итогу можно смело сказать, что всю нашу промышленность можно защитить российскими продуктами.
Какие потребности заказчиков пока не можете закрыть своим оборудованием и почему?
А. Зенков: Что касается вопросов по защите информации, все потребности заказчиков закрываем своим оборудованием или программным обеспечением.
Но при выполнении работ по повышению уровня защищенности информатизации промышленных объектов от коллег со стороны заказчика всегда шел запрос на импортозамещение именно в АСУ ТП. Часто встречали объекты, которые были внедрены, к примеру, еще в 2008 году и эксплуатируются до сих пор. Они, естественно, уже морально устарели, не говоря уже о том, что физически выработались и банально не поддерживают современные протоколы связи. В таких случаях при проектировании приходилось закладывать обновление сетевого оборудования, и к сожалению не отечественного, так как нет подобных аналогов у нас на рынке, и пока мы о них не слышали, даже на стадии разработки.__
Всем здравствуйте!
При просмотре обновления реестра сертифицированных СЗИ увидел множественные возобновления сертификатов соответствия и решил свести эти данные в табличку.
Может быть, кому-то пригодится :)
Внезапно: в реестре ФСТЭК России многие сертификаты на средства защиты информации (в том числе иностранных производителей), действие которых ранее было прекращено, вновь возобновлены: VMware, CyberArk, Huawei, Symantec, Microsoft, Cisco, Oracle, FortiGate, SAP и проч.
Путешествие от шифра Цезаря до RSA. Прикладная теория чисел.
Во все времена люди пытались найти способ безопасной передачи информации, метод, при котором зашифрованное сообщение мог прочитать только тот, кому оно было адресовано. В статье рассмотрены разные методы шифрования и прослежено их развитие на протяжении нескольких тысяч лет.
Отечественный комплекс безопасной передачи данных прошел тестирование__Российские компании протестировали программно-аппаратный комплекс (ПАК), который обеспечивает безопасную передачу данных в сетях объектов критической информационной инфраструктуры (КИИ). В проекте приняли участие производители телеком-оборудования Qtech и «Т-ком», ИБ-вендоры «Код безопасности» и «Хэлф», а также ИТ и ИБ-интегратор «Инкома».
ПАК работает по принципу однонаправленной передачи данных. Первичный вход данных осуществляется через коммутатор Qtech QSW-3750-28T-AC-R, затем поток информации обрабатывается Межсетевым экраном и криптошлюзом АПКШ «Континент». Через коммутатор «Т-ком» данные доходят до ПАК Industrial Diode, который пропускает их к защищенному сегменту корпоративной сети и не позволяет проходить в обратном направлении.
«ПАК Industrial Diode компании «Хэлф» на физическом уровне обеспечивает передачу данных только в одну сторону, что делает его эффективным средством для безопасного сбора данных АСУ ТП и защиты от внешних атак на объектах КИИ, – сказал директор по развитию бизнеса компании «Инкома» Денис Головкин. – В этой инсталляции «Континент 4» от «Кода безопасности» обеспечивает защиту сетевого периметра и играет роль криптошлюза. Управляемые коммутаторы «Т-ком» и Qtech связывают сетевые устройства в единую систему».
Тестирование проводилось по нескольким параметрам: корректность передачи файлов, защита передачи данных с применением механизма динамического контроля сессий, уровень качества обнаружения и предотвращения сетевых атак, совместимость отдельных решений при взаимодействии. По итогам исследований, специалисты подтвердили, что оборудование соответствует заявленному функционалу и отвечает требованиям безопасности по нормативам российских регуляторов.
«Результаты детального и многоаспектного исследования работы оборудования Qtech подтвердили эффективность работы с программно-аппаратным комплексом. Таким образом коммутатор QSW-3750-28T-AC-R продемонстрировал свою надежность и безупречное функционирование в условиях сильного электромагнитного воздействия и обеспечил безупречную передачу данных в ПАК, – отметил директор по развитию бизнеса Qtech Илья Бишкиревич. – По итогу можно утверждать, что модель коммутатора QSW-3750-28T-AC-R будет востребована в автоматизированных системах управления и на объектах КИИ».
Комплексное решение будет востребовано в отраслях, где компании собирают информацию в одностороннем порядке. Это могут быть обновления программного обеспечения, получение сигнала с IP-камер вне защищенного периметра, входящие потоки данных из открытых источников. В числе сфер применения: энергетика, транспорт, здравоохранение, финансовые организации.
«После ухода западных вендоров развитие отечественных систем безопасности стало краеугольным камнем в защите объектов КИИ, – сказал коммерческий директор «Кода безопасности» Федор Дбар. – Концепция однонаправленный передачи применяется на предприятиях, где работают АСУ ТП, в Центрах обработки данных, в контроллерах и т.д. С помощью данного комплекса российские организации смогут избежать утечек данных и остановку деятельности».
Федеральные учреждения уже выразили интерес к данному проекту, и обсуждаются вопросы проведения «пилотных» запусков на площадках государственных организаций. Это подтверждает значимость и актуальность разработанного__ комплексного решения, которое может существенно повысить уровень безопасности и защиты данных важных национальных объектов.
NIST выложил первый драфт стандартов для квантово-устойчивой криптографии
Национальный институт стандартов и технологий (NIST) подготовил первый драфт стандартов для квантово-устойчивой криптографии с открытым ключом. В её основу легли алгоритмы, одобренный самим ведомством.
«Пользователи сторонних сервисов смогут бесшовно подключить их к Облаку – так файлы будут надежно защищены от потери и блокировок», – говорится в сообщении.
Сейчас можно перенести файлы из 11 облачных сервисов, среди которых – Google Диск, Dropbox, OneDrive и др. Для доступа к этой функции пользователю необходимо установить приложение «Облако» Mail.ru на компьютер, авторизоваться в нем и сторонних хранилищах, а дальше следовать системным подсказкам.
При переносе форматы файлов будут автоматически конвертированы в общедоступные – так, например, переносимые из Google Диск документы и таблицы будут сконвертированы в стандартные форматы Microsoft Office.
В начале августа VK объявил о запуске Mail.ru нового домена xmail.ru для переноса пользователями писем со своих аккаунтов в зарубежных почтовых сервисах. После регистрации пользователь сможет перенести письма и их вложения из предыдущего аккаунта, причем письма, приходящие на прежний адрес почты, сохранятся. Останется также и возможность писать письма от имени зарубежного почтового ящика.__
**ЦИК заявил о переговорах с российскими разработчиками о поставке смартфонов
**
__Центризбирком России (ЦИК) обсуждает с российскими разработчиками мобильных устройств возможность поставки техники членам и сотрудникам аппарата комиссии для использования в служебных целях. Об этом пишет ТАСС со ссылкой на пресс-службу избирательной комиссии.
20 июля в пресс-службе ЦИК сообщили о подготовке документа о запрете на использование iPhone и iPad в служебных целях. С мая 2023 г. в комиссии действует рекомендация, связанная с использованием техники Apple на рабочем месте.
«Также ведутся переговоры с отечественными разработчиками мобильных устройств о поставке техники для использования в служебных целях», – сказали ТАСС в ЦИК.
В пресс-службе отметили, что владельцы устройств Apple смогут участвовать в дистанционном электронном голосовании (ДЭГ), ограничений в этом вопросе нет.
Ранее пользоваться техникой Apple в служебных целях запретили сотрудникам Минпромторга и подведомственным министерству организациям. Запрет был введен во всех подразделениях «Ростеха». Также о подготовке соответствующих приказов заявили в Минцифры, Федеральной таможенной службе и ЦИК. Ограничения на использование iPhone ввела и Росавиация. В августе о таких мерах объявил «Камаз».
В июне ФСБ сообщила о раскрытии разведывательной акции США с использованием вируса на мобильных устройствах Apple. Помимо российских пользователей спецслужба также обнаружила вирус на гаджетах зарубежных абонентов, использующих sim-карты, зарегистрированные на диппредставительства и посольства в России.
Председатель Совета Федерации Валентина Матвиенко в конце июля говорила, что iPhone нельзя использовать в служебных целях в связи с угрозой национальной безопасности.__
__Минцифры намерено ужесточить правила включения российского софта в реестр, пишет газета «Коммерсантъ». В частности, одним из условий станет совместимость российского программного обеспечения как минимум с двумя отечественными операционными системами. Кроме того, необходимо, чтобы ПО получило преференции на госзакупках, оно должно быть совместимо хотя бы с одним процессором, который включен в реестр Минпромторга.
Эксперты считают, что подобное предложение может вводиться как задел на будущее, когда российским разработчикам удастся договориться печатать микросхемы в Китае или Тайване, так как сейчас российские чипы не производятся из-за санкций.
Предполагается, что Минцифры введет новые правила уже в этом году, однако вступать в силу они будут поэтапно, начиная с 2024 года.
По информации компании «Руссофт», доля российских компаний, которые разрабатывают приложения для Windows, снизилось до рекордно низкого уровня в 68%, в то время как в период с 2020 по 2022 годы он держался в районе 75%, а до этого был стабильно выше 90%.__
За два года в «Госключе» подписано более 2,7 млн документов
«Госключ» — это мобильное приложение, в котором можно бесплатно оформить и использовать электронную подпись. За два года работы в нём подписано более 2,7 млн документов и оформлено более 3,3 млн сертификатов электронной подписи.
Google представила первую имплементацию квантово-устойчивого ключа FIDO2
Google и Швейцарская высшая техническая школа Цюриха представили первую реализацию квантово-устойчивого ключа безопасности FIDO2 с открытым исходным кодом. Он отличается использованием уникальной схемы гибридной подписи ECC/Dilithium.
__Холдинг «Росэлектроника» госкорпорации «Ростех» представил межсетевой экран Zenator SE с функциями обнаружения вторжений. Решение обеспечивает коммутацию, маршрутизацию и фильтрацию трафика, в том числе ограниченного доступа, для создания доверенных сегментов сетей с использованием современных технологий пакетной обработки данных. Изделие уже прошло испытания и представляется широкой публике впервые.
Межсетевой экран Zenator SE имеет модульную архитектуру, поддерживает различные виды интерфейсов и может обеспечить подключение до 24 оконечных устройств на скорости передачи данных от 1 до 40 ГБ/сек. Устройство обеспечивает высокий уровень сетевой безопасности благодаря системе обнаружения и предотвращения вторжений.
Zenator SE поддерживает современные версии сетевых протоколов, обладает средствами организации виртуальных частных сетей (VPN), контроля сессий, трансляции адресов NAT/PAT, функциями организации территориально-распределенных сетей, а также управления качеством сервисов (QoS).
В составе «Росэлектроники» проект реализует НИИ «Масштаб».
«Межсетевой экран Zenator SE – полностью отечественная разработка. Это дает возможность использовать его в проектах с повышенными требованиями к безопасности, которые выдвигаются ведомственными структурами, имеющими дело с конфиденциальной информацией. Кроме того, защитой данных сейчас обеспокоено и бизнес сообщество, заинтересованное в создании отказоустойчивой доверенной ИТ-инфраструктуры. Во время испытаний Zenator SE подтвердил все заявленные технические характеристики, в том числе высокую производительность – до 5,3 млн пакетов в секунду», – сказал генеральный директор НИИ «Масштаб» Владислав Иванов.__
«Росэлектроника» показала новый комплекс для идентификации работников на предприятиях
Холдинг «Росэлектроника» госкорпорации «Ростех» впервые представил программно-аппаратный комплекс ExitNet. Разработка позволяет проводить идентификацию пользователей на рабочих компьютерах с помощью персональных смарт-карт, используемых в системах контроля и управления доступом предприятий.
__Глава Ассоциации профессиональных пользователей соцсетей и мессенджеров Владимир Зыков показал российский смартфон Р-ФОН, который стал первым устройством на операционной системе Rosa Mobile.
Новинка имеет 6,7-дюймовый дисплей, 8 ГБ оперативной и 128 ГБ встроенной памяти, батарею на 5 тыс. мА•ч и тройную основную камеру с главным модулем на 50 Мп. Предусмотрены слот для двух сим-карт, модули Wi-Fi, Bluetooth и NFC, порт USB-C, 3,5-миллиметровый аудиовыход для наушников и датчик отпечатка пальца на боковой грани. Детальная информация о Р-ФОН не раскрывается.
«Все возможности ОС и интерфейс держатся в секрете до анонса! Выход “РОСА мобайл” на потребительский рынок запланирован на 2024 год. Для корпоративного сектора и госзаказчиков операционная система выйдет в 2023 году»,— отметил Владимир Зыков.
Заявлено, что разработчиком операционной системы выступает научно-технический центр информационных технологий РОСА, а производителем смартфона станет АО «Рутек», которое уже выпускает ноутбуки и другую электронику на своем предприятии в Зеленограде.__
Восстание 3D-принтеров: часть напечатала что-то странное, а часть — сломалась
В ночь на 15 августа популярные 3D-принтеры Bambu X1C или P1P внезапно начали сходить с ума. Часть из них без каких-либо команд со стороны пользователей начала печатать либо прошлые заготовки, либо вообще что-то странное.
Kaspersky Password Manager теперь хранит ключи 2FA и поддерживает Opera
«Лаборатория Касперского» представила две новые и важные функциональные возможности в своём менеджере паролей. Теперь Kaspersky Password Manager позволяет безопасно хранить ключи для 2FA и генерировать одноразовые пароли. Кроме того, расширился список поддерживаемых браузеров.
__Холдинг «Росэлектроника» госкорпорации «Ростех» впервые представил программно-аппаратный комплекс ExitNet. Разработка позволяет проводить идентификацию пользователей на рабочих компьютерах с помощью персональных смарт-карт, используемых в системах контроля и управления доступом предприятий.
Новый программно-аппаратный комплекс, разработанный специалистами концерна «Автоматика», обеспечивает идентификацию пользователей на компьютерах с операционными системами Windows и Linux. В состав решения входят: считыватель смарт-карт и клиентское программное обеспечение, устанавливающееся на каждое автоматизированное рабочее место, а также серверное ПО, размещающееся на доменном контроллере предприятия.
ExitNet позволяет организовать централизованную систему аутентификации пользователей с отдельным доменом безопасности для хранения пользовательских данных, использование электронной подписи внутренних документов, а также разграничение прав доступа к ресурсам сети предприятия.
«В настоящее время почти во всех организациях по всей стране внедряются и модернизируются системы управления контролем доступа. ExitNet способен не только фиксировать вход и выход конкретного пользователя на территорию, но и обеспечивает безопасный доступ к информационным ресурсам компании. Кроме того, уникальной особенностью продукта является то, что он поддерживает возможность плавного перехода с доменной структуры ОС Windows, применяемой на предприятии, на доменную структуру защищенной и сертифицированной ОС Astra Linux. В настоящее время новый программно-аппаратный комплекс проходит тестирование», – сказал временный генеральный директор концерна «Автоматика» Иван Братухин.__
**Более 100 тыс. паролей хакеров попали в Сеть из-за неосторожности **
Исследователи выявили 120 тысяч систем, содержащих учётные данные участников различных форумов для киберпреступников. Интересно, что многие скомпрометированные аккаунты принадлежат именно злоумышленникам.
В WhatsApp добавят поддержку ключей доступа (passkey) для защиты аккаунтов
__Сейчас есть несколько способов защитить ваш аккаунт WhatsApp: помимо простого пароля, существует двухфакторная аутентификация (2FA). Однако скоро разработчики добавят поддержку ключей доступа (passkey), которые должны ещё лучше обезопасить учётные данные.
Вообще, passkey можно назвать трендом, поскольку многие приложения и веб-сайты уже имплементировали их поддержку. Например, GitHub запустил ключи доступа в публичной бета-версии. В июне Microsoft сообщила о расширении поддержки passkey в операционной системе Windows 11.
Apple в этом плане тоже не отстаёт: корпорация планирует автоматически назначать ключ доступа каждому владельцу её устройств.
Теперь издание WABetaInfo нашло скрытые настройки ключей доступа в последней бета-версии WhatsApp для Android.__
__Холдинг «Росэлектроника» госкорпорации «Ростех» продемонстрировал работу защищенных мессенджеров «Импульс» и «Колибри» для мобильных устройств под управлением операционных систем Android и «Аврора». Приложения позволяют пользователям безопасно обмениваться информацией и минимизируют возможность утечки личных и служебных данных.
Мессенджеры обеспечивают защищенный обмен речевой, текстовой, файловой и голосовой информацией, а также ведение групповых чатов. «Колибри» функционирует на ОС «Аврора 4.0», а «Импульс» – на ОС Android. Приложения разработаны специалистами Пензенского научно-исследовательского электротехнического института (ПНИИЭИ, входит в «Росэлектронику»).
Каждый из мессенджеров входит в состав комплексного решения, которое дополнительно включает в себя серверное программное обеспечение, а также изделия для организации защищенных VPN-каналов связи с использованием отечественных криптоалгоритмов.
«Сегодня наблюдается значительный рост российского рынка ПО для бизнес-коммуникаций. Наш комплексный продукт построен на отечественных доверенных решениях и обеспечивает защищенное информационное взаимодействие между сотрудниками и безопасный доступ к информационным ресурсам организации. Несмотря на то, что «Колибри» и «Импульс» устанавливаются на устройства с разными операционными системами, они способны взаимодействовать между собой. Абоненты с «Колибри» и абоненты с «Импульсом» могут без проблем обмениваться сообщениями и звонить друг другу», – сказал генеральный директор ПНИЭИ Вячеслав Фунтиков.
Работа «Колибри» и «Импульса» при взаимодействии мобильных абонентов возможна в двух режимах: через аппаратное средство криптографической защиты информации (СКЗИ) «Портал-10» и напрямую без его использования.
«Колибри» и «Импульс» также позволяют организовать защищенный удаленный доступ корпоративных абонентов к прикладным WEB-сервисам – электронной почте, облачному хранению файлов, видеоконференциям, – развернутым на серверной платформе.__
Сбер запустил сервис для оформления онлайн-подписей дистанционно
__«Сбер» запустил сервис для физических лиц и самозанятых «Онлайн-подпись», позволяющий дистанционно выпустить усиленную неквалифицированную электронную подпись. Об этом сообщили в пресс-службе банка.
Весь функционал доступен по ссылке podpis.sber.ru. Документы и сама электронная подпись хранятся в зашифрованном виде в облачном хранилище, поэтому пользователям не понадобятся флеш-накопители и специальное ПО.
Отмечается, что сразу после оформления онлайн-подписью можно подписывать 90% документов, в том числе договоры аренды недвижимости, оказания услуг и другие. После этого можно отправить ссылку на подписанный договор своему контрагенту любым удобным способом – по электронной почте, в мессенджере или с помощью sms. В «Сбере» добавили, что все входящие документы подписываются бесплатно, оплата происходит за исходящие файлы. __
Менеджеры паролей. Какие бывают и правда ли безопасны?
__В 1997 году американский криптограф и специалист по компьютерной безопасности Брюс Шнайер написал первый в мире менеджер паролей — Password Safe. Это была простая и бесплатная утилита для Windows 95 с примитивным пользовательским интерфейсом и базой данных в виде зашифрованного файла, внутри которого хранился список логинов и паролей.
Однако последние 20 с лишним лет менеджеры эволюционировали. Сегодня это полноценные кроссплатформенные приложения с продвинутым интерфейсом и множеством полезных (и не очень) фич. В этой статье мы рассмотрим, какие менеджеры паролей бывают и в каких ситуациях они будут полезны.__
Отечественные платформы виртуализации и их безопасность
__Виртуализация стала главным трендом информационных технологий. Сейчас уже сложно найти сервер, который используется в промышленной эксплуатации без виртуализации, и даже малые предприятия осознали выгоду подобных решений для бизнеса. В этой статье мы рассмотрим, какие решения виртуализации сегодня существуют на отечественном рынке, расскажем, на что стоит обращать внимание при выборе оптимальной платформы и какие требования предъявляются к безопасности таких систем. __
**__Решение должно стать заменой иностранным аналогам от Oracle, Teradata и Amazon.
В реестр российского софта 2 августа включили первый программно-аппаратный комплекс (ПАК) для обработки больших данных. Из описания решения «Машина больших данных Скала-Р МБД.Х» следует, что ПАК позволяет строить статистический и предсказательный анализ на основе слабоструктурированных сведений. Такие ПАКи используются в госведомствах и крупном бизнесе, который работает с big data.
Согласно сайту разработчика «Скала-Р» (по данным ЕГРЮЛа, на 100% принадлежит ООО «Рубитех интеграция»), этот ПАК должен стать заменой иностранным решениям Oracle Big Data Appliance, Teradata Appliance for Hadoop и Amazon Elastic MapReduce.__
**__Средства могут пойти на выпуск экспериментальных партий оборудования для тестирования.
Правительство дополнительно направит 3,4 млрд руб. на выпуск отечественных базовых станций (БС) до конца 2023 г. Об этом заявил премьер Михаил Мишустин на оперативном совещании с вице-премьерами 7 августа.
«Чтобы облегчить операторам переход к мобильным сетям пятого поколения, в текущем году дополнительно направим около 3,5 млрд руб. – это на выпуск в нашей стране базовых станций. Всего за последние три года из бюджета на эти цели выделено почти 12 млрд руб. Принятое решение обеспечит сотовое покрытие на аппаратной базе, которая сделана в России», – сообщил премьер-министр.**
**Бюджетные средства будут выделены из резервного фонда правительства для предоставления субсидий «КНС групп» (Yadro) «на возмещение затрат, направленных на создание указанным обществом подсистемы базовых станций стандарта GSM/LTE/NR (5G) для сетей связи общего пользования, в том числе с использованием российской электронной компонентной базы», следует из опубликованного на сайте кабмина распоряжения.
Эта сумма должна компенсировать часть затрат на создание БС в соответствии с дорожной картой развития высокотехнологичного направления «Современные и перспективные сети мобильной связи» до 2030 г., говорится в документе.
Основная статья расходов в дорожной карте приходится на производство отечественного телекомоборудования для сетей сотовой связи. В соответствии с дорожной картой, о которой «Ведомости» писали в конце декабря 2022 г., заложенный объем госфинансирования на эти цели составляет более 120 млрд руб. до 2030 г., из которых в 2023 г. предполагалось выделить 11,8 млрд руб.
Представитель правительства переадресовал запрос «Ведомостей» в Минцифры. «Финансирование на создание базовых станций из средств федерального бюджета было заложено изначально», – заявил представитель Минцифры. Он уточнил, что в этом году финансирование в объеме 3,4 млрд руб. предусмотрено на создание базовых станций GSM/LTE, а также 5G. Эта сумма входит в запланированные 11,8 млрд руб.__
__Центр стратегических разработок опубликовал свежее исследование, посвященное российскому рынку кибербезопасности. Исследование показало, что рынок продолжает расти, несмотря на спад в 2022 г., который был существенно мягче прогнозируемого. Рост рынка кибербезопасности ожидается около 24% CAGR в период с 2022 по 2027 гг., что к 2027 г. составит 559 млрд руб. На долю российских вендоров придется 95% рынка.
Руководитель отдела консалтинга и аудита компании Angara Security Александр Хонин отмечает, что рост рынка кибербезопасности в России вполне ожидаем и обусловлен происходящими в мире событиями.
«Как отмечено в прогнозе, в первую очередь сказалась история с уходом зарубежных вендоров. Они занимали значительную часть рынка и ограничивали рост отечественных вендоров. Тяжело развивать собственные продукты при такой конкуренции, когда есть риск их невостребованности. Но ситуация коренным образом изменилась, и сейчас есть все предпосылки для резкого роста», - отметил Александр Хонин.
«Есть и второй фактор. На фоне происходящего вопросы ИБ стали острыми как никогда. Практика показывает: количество кибератак за последний год выросло в разы, и если раньше для многих это было страшной «сказкой», то теперь многие компании столкнулись с реальными инцидентами ИБ, которые приводят вплоть до остановки основных бизнес-процессов. И это многих заставило пересмотреть свои подходы к обеспечению ИБ, пересмотреть рубежи защиты. Это тоже явилось неким драйвером для рынка», - сказал Александр Хонин.
Сегмент средств защиты сетей (network security) является крупнейшим на рынке кибербезопасности, но лидерство по-прежнему за зарубежными вендорами. Однако, исследование прогнозирует активную борьбу за лидерство в этом сегменте. Объем рынка услуг кибербезопасности в 2027 г. составит 145,3 млрд руб. против 49,8 млрд руб. в 2022 г. На долю российских вендоров придется 138 млрд руб.
Исследование прогнозирует бурный рост рынка кибербезопасности в следующие пять лет с постепенным снижением темпов роста, но сохранением динамики роста существенно выше среднемировых.__
Технология защиты биометрических систем Liveness по одному кадру компании VisionLabs прошла международное тестирование
__Компания VisionLabs разработала технологию защиты биометрических систем, которая всего по одному кадру позволяет определить, что перед камерой находится живой человек, а не его распечатанная фотография, изображение с экрана устройства или маска для попытки подлога. Проверка с новым алгоритмом OneShot Liveness занимает доли секунды и не требует специального оборудования или дополнительных действий от пользователей. __
__РЖД, Минтранс и Минцифры планируют с 2024 г. начать проведение эксперимента, который позволит пассажирам поездов дальнего следования подтверждать свою личность при помощи биометрии вместо проверки паспортов.
В Центре биометрических технологий (ЦБТ, оператор единой биометрической системы) пояснили, что такая возможность прорабатывается. При этом там подчеркнули, что проверка по биометрии не исключает существующих способов подтверждения личности.__
Формы и форматы при обучении пользователей основам ИБ на примере темы паролей
Повышение киберграмотности пользователей, кибергигиена, основы безопасного поведения в Сети, повышение осведомлённости сотрудников… и куча других названий, под которыми скрывается боль сотрудников отдела информационной безопасности. Внезапно оказывается, что регламенты и должностные инструкции – это хорошо, но недостаточно. И надо бы как-то ещё научить сотрудников делать хорошо и не делать плохо. Увы серебряной пули здесь нет. По сслыке автор делится советами на основе собственного опыта о том, как сеять умное-доброе-вечное.
ГК «Астра» увеличила выручку в 2,5 раза за 2022 г. по сравнению с 2021 г. Она составила 5,4 млрд руб. против 2,16 млрд руб. в 2021 г. Это следует из отчетности по МСФО, которую компания раскрыла впервые.
Чистая прибыль увеличилась в 2,8 раза год к году до 3 млрд руб., а EBITDA – в 2,7 раза до 2,9 млрд руб. Такой рост в самой компании объясняют прежде всего активной политикой импортозамещения в госсекторе.__
«Билайн» первым среди операторов мобильной связи начнет полевые тесты образцов отечественного оборудования 4G в ноябре-декабре 2023 г. Использовать базовые станции отечественного производства компания собирается в сельской местности и для покрытия автодорог. Об этом рассказал «Ведомостям» директор по стратегии и долгосрочному планированию развития сети «Билайна» Владимир Валькович.
Вендора отечественного оборудования Валькович не раскрыл. По словам двух собеседников «Ведомостей», близких к оператору, тестироваться будут базовые станции «КНС групп» (Yadro). Представитель «КНС групп» воздержался от комментариев.__
В Directum Solo на iOS можно подписывать документы с помощью токенов и смарт-карт «Рутокен»
«Актив» и Directum успешно завершили тестирование совместимости USB-токенов и смарт-карт @Рутокен@ с мобильным приложением Directum Solo для ОС iOS и iPadOS версии 16.2 и новее. Тестовые испытания проводились для USB-токенов и смарт-карт линеек «Рутокен ЭЦП 2.0» и «3.0 NFC» (в том числе с разъемами Type-C). По результатам испытаний партнеры подписали соответствующий сертификат совместимости.
В Москве разработали мобильное приложение «Мой ID» для хранения цифровых копий документов
Подведомственное департаменту информационных технологий Москвы ГКУ «Инфогород» разработало новое мобильное приложение «Мой ID», в котором отображаются сведения из всех основных документов пользователя: данные российского и заграничного паспортов, СНИЛС, ИНН, полис ОМС, водительское удостоверение, информация о домашнем животном. Сейчас приложение можно скачать из App Store, Google Play, AppGalery, RuStore и RuMarket, убедились «Ведомости». Приложение опубликовано в магазинах приложений в середине мая, указано в описании. В приложении отображаются документы, которые также есть в личном кабинете пользователя на mos.ru, при этом у человека есть возможность выбрать, какие именно документы с портала он хочет перенести в «Мой ID».
Квалифицированная электронная подпись для юрлиц в смартфоне
Компании SafeTech и «Криптопро» выпустили обновление приложения myDSS 2.0, решения для мобильной электронной подписи. Теперь myDSS 2.0 работает с сертифицированными токенами и смарт-картами «Рутокен» с поддержкой NFC, разработанными компанией «Актив». Совместное решение трех российских вендоров позволит руководителям организаций и индивидуальным предпринимателям подписывать документы на смартфоне.
Средства будут выделены, даже несмотря на приостановку грантовой программы Минцифры.
__Несмотря на объявленную 17 июля Минцифры приостановку выдачи грантов на новые разработки в сфере IT, Минфин по поручению премьера Михаила Мишустина подготовил доклад с предложением выделить 11 млрд руб. из резервного фонда на финансирование мероприятий дорожных карт (ДК) развития высокотехнологичных направлений «Новое индустриальное программное обеспечение» (НИПО) и «Новое общесистемное программное обеспечение» (НОПО). Об этом рассказал «Ведомостям» источник в правительстве и подтвердил собеседник, близкий к Минцифры.
«Минфин проработал и направил в правительство доклад о том, что предлагает выделить 11 млрд руб. из резервного фонда правительства на НОПО и НИПО. Если он получит одобрение от премьера, Минфин подготовит документы о выделении этих денег, и они будут выделены», – пояснил собеседник «Ведомостей» в правительстве.__
Минцифры разработало документ о приравнивании электронных прав к бумажным
__Министерство цифрового развития подготовило проект постановления правительства, который утвердит внесение изменений в Правила дорожного движения (ПДД) о приравнивании электронных документов к бумажным. Документ опубликован на портале проектов нормативных правовых актов.
«Предъявление в электронном виде с использованием мобильного приложения федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)» сведений, содержащихся в документах, предусмотренных настоящими Правилами, приравнивается к предъявлению таких документов», – говорится в проекте постановления. Таким текстом предлагается дополнить сноску «*» пункта 2.1.1 ПДД.
О том, что ГИБДД и Минцифры готовит проект постановления, в начале июля рассказывал глава Госавтоинспекции генерал-лейтенант полиции Михаил Черников.__
Какими приключениями грозит невключенная двухфакторная авторизация на Госуслугах
__Я был достаточно неосмотрителен, чтобы эта история произошла со мной, но, возможно, достаточно технически грамотен, чтобы рассказать ее детали, сдерживая эмоции и понимая, что происходит, в отличии от большинства людей, оказавшихся в этой ситуации еще и с ощущением полного непонимания происходящего.
__
https://habr.com/ru/articles/747752/
На моём сайте ZLONOV.ru есть полузабытый (даже мной) раздел “Каталог средств защиты информации”, в котором в своё время систематизировал (больше - для себя) имеющиеся на рынке СрЗИ. Тем не менее, раздел, судя по всему, посещается и посещается, в том числе, маркетолагами компании Индид, которые(-ая) и прислали(-а) мне описания продуктов для включения в Каталог. С большим удовольствием разместил всё присланное: https://zlonov.ru/catalog/vendors/#%D0%B8%D0%BD%D0%B4%D0%B8%D0%B4-%D0%BE%D0%BE%D0%BE.
Прорыв кукварта. Что умеет российский квантовый процессор?
__Первый в России кудитный квантовый процессор на основе ионов в электромагнитных ловушках создан специалистами Российского квантового центра и Физического института Академии наук при координации Росатома. Это уникальная технология, работа над которой ведётся всего в нескольких странах. На что способна инновация и какие ещё квантовые технологии разрабатываются в нашей стране – в специальном репортаже Антона Подковенко. __
Автор статьи не смог найти ресурсов с описанием протокола, после которых у меня не осталось бы только больше вопросов. Поэтому, после прочтения спецификаций и разборок с OpenSSH, хочу разложить всё по полочкам здесь.
__Главной темой круглого стола Х конференции OS Day 2023 стала унификация российского ПО. Она необходима для совместимости сертифицируемых продуктов. Но разработчики настаивают на создании новых стандартов для достижения поставленной цели.
Как показала дискуссия в ходе круглого стола по теме «Взаимодействие разработчиков операционных систем и прикладного ПО, проблемы унификации и способы их решения», российские разработчики пока не готовы принять необходимость обеспечить единообразие. Они объясняют это отсутствием чётких требований со стороны ФСТЭК России, которые определяли бы, что именно им нужно соблюдать. Регулятор рассчитывает создать их путём консультаций с разработчиками и призывает последних к поддержке.
Пока более или менее ясно выглядит только развитие требований связанных с безопасностью. ФСТЭК России продолжает проработку соответствующих документов по разным прикладным направлениям. Разработчики считают, что унификация будет формироваться «автоматически» благодаря использованию существующих стандартов. По другим направлениям они призывают создавать новые.
Пока нет ясности в отношении того, как будут развиваться отечественные стандарты по направлениям ИИ и квантовых вычислений. Одним из путей может стать создание отечественных ассоциаций по этим проблемным направлениям.__
**Минцифры создало единую базу всех потребностей бизнеса в софте
**
__Минцифры составило обзорную карту IТ-решений, у которых уже есть отечественные аналоги, и тех, которым только предстоит найти замену. До конца лета ведомство должно представить этот «IT-ландшафт» на заседании президиума правительственной комиссии по цифровому развитию вице-премьеру Дмитрию Чернышенко, рассказал «Ведомостям» источник в Минцифры. По его словам, в министерстве рассчитывают, что до сентября 2023 г. этот документ будет утвержден и станет руководством к действию в части развития недостающих решений.
По сути, этот «ландшафт» – «это то, что в итоге должно получиться, это стратегия без временной шкалы», отметил собеседник «Ведомостей» в Минцифры.
В пресс-службе Минцифры подтвердили разработку документа. «IT-ландшафт» необходим для того, чтобы оценить потребности отраслей экономики и сформировать перечень проектов, которые в том числе смогут претендовать на различные формы поддержки: гранты, льготные кредиты, получение статуса системно значимых проектов. То есть соответствие проекта «ландшафту» – необходимое условие для принятия решения о его поддержке, отметил представитель Минцифры. По его словам, сейчас документ находится в стадии уточнения.__
Аутентификацию по голосу можно обмануть дипфейком с вероятностью до 99%
Сотрудники канадского Университета Ватерлоо доказали, что меры против спуфинга, реализуемые в системах аутентификации по голосу, далеки от совершенства. Разработанный учеными метод обхода при тестировании показал эффективность 99% после шести попыток.
Yadro планирует разработать и выпустить смартфон под брендом Kvadra, узнал “Ъ”. Производство может быть начато в Дубне в конце 2024 года. Компания планирует в том числе наладить выпуск печатных плат для смартфонов, а в перспективе перейти на использование собственного процессора на открытой архитектуре RISC-V. Собеседники “Ъ” говорят, что Yadro сможет освоить выпуск печатных плат для смартфонов, но для этого понадобятся уникальные специалисты, способные поставить и настроить оборудование.
По словам собеседника “Ъ” на рынке электроники, группа Yadro (входит в «ИКС-Холдинг») планирует вслед за планшетами, которые выпускает под брендом Kvadra, вывести на российский рынок собственные смартфоны. Источник “Ъ” считает, что Yadro не пойдет по пути крупноузловой сборки из китайских компонентов, а организует производство, в том числе с применением российских печатных плат. Выпуск устройств, по его данным, может начаться в конце 2024 года.__
VisionLabs представила биометрическую технологию для индустрии организации мероприятий
__VisionLabs разработала решение для ускоренной регистрации участников мероприятий. Биометрическая идентификация станет альтернативой проверке по спискам и предъявлению распечатанных бейджей, что сократит время на регистрацию и повысит безопасность. Также решение дает возможность автоматически получать аналитику посещаемости события.
При регистрации на сайте или в мобильном приложении мероприятия участник загружает свою фотографию. После чего алгоритмы VisionLabs проверяют качество полученного изображения по таким параметрам, как отсутствие засветов и перекрытия лица, достаточная освещенность, поворот головы. Это помогает получить фотографии, подходящие как для дальнейшего распознавания участников, так и для печати на бейджах, а также избежать ситуаций с загрузкой картинок без изображения человека.__
Переход на отечественные ОС станет невозможным, если не ускорить процесс
__Стало известно, что Microsoft заменит Windows 11 на облачную версию не только для корпоративных пользователей, но и для домашних. Без ускорения импортозамещения плавный переход на отечественную ОС может скоро оказаться невозможным.
Независимость используемой программной платформы делает безальтернативным для России не только создание собственной ОС для настольных и мобильных систем, но и её полноценное внедрение. Это позволит избежать неуправляемости в случае перехода Microsoft к модели «двух программных миров».
В то же время развитие отечественных Linux-систем нельзя рассматривать изолированно от развития альтернативных ОС. Необходимо активное участие российских разработчиков в мировых сообществах, занимающихся разработкой новых интерфейсов, стандартов, технологий, языков. Если не сделать этого, то неизбежно «искусственное» попадание в сегмент «undeveloped». Пока вероятность такого развития событий высока.
Наконец, при разработке отечественных операционных платформ необходимо сразу уделять пристальное внимание использованию специальных дополнительных средств защиты в облаке. Это могут быть, например, брокеры безопасности или что-то другое, но контроль должен быть сквозным, чтобы пользователь не зависел от делегирования этой функции облачному провайдеру.__
__Это стало возможным из-за ухода иностранных вендоров и сокращения объема закупок такого ПО.
Доля отечественного инженерного ПО, так называемых CAD или САПР (средств автоматизированного проектирования), в госзакупках впервые превысила 90%, следует из данных мониторинга Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий (ЦКИТ) за 2022 г., с которыми ознакомились «Ведомости». Результаты исследования опубликованы на сайте центра.
Системы CAD используются в различных отраслях, включая разработку промышленного оборудования, машиностроение, проектирование промышленных объектов, а также при строительстве зданий.__
__В 2022 г. российский ИТ-рынок вырос несмотря на санкционное давление, ограничения на ввоз товаров и уход крупных западных вендоров. Конечно, у российских ИТ-компаний выпала часть доходов, связанных с поставкой иностранных решений, но одновременно освободилось множество ниш, которые теперь может занять отечественный бизнес. В результате выручка крупнейших российских ИТ-компаний из рейтинга CNews100 выросла почти на 9%. В 2023 г. лидеры российского ИТ-рынка планируют развивать собственное производство оборудования, разрабатывать ПО не только под запросы конкретного клиента, но и готовые отраслевые решения, расширять спектр оказываемых услуг и развивать собственные экосистемы.
Уход зарубежных ИТ-компаний с российского рынка подстегнул рост выручки отечественных игроков. Суммарная выручка 100 крупнейших российских ИТ-компаний, вошедших в рейтинг CNews100, в 2022 г. увеличилась на 8,8% и достигла ₽2,1 трлн. Особенно успешным год оказался для разработчиков ПО и интеграторов — их выручка в среднем увеличилась на 28,5%. Выручка производителей и дистрибьюторов оборудования, напротив, сократилась на 7,2%. Выручка иностранных компаний сократилась на 62%. Число специалистов, работающих в сотне крупнейших российских ИТ-компаний, в 2022 г. в среднем выросло на 19%. Ключевыми заказчиками цифровых решений остаются телеком и госсектор.
В начале 2022 г. аналитики IDC традиционно предсказывали падение российского ИТ-рынка примерно на четверть. Однако их прогнозы не оправдались. Выручка российских ИТ-компаний не просто не упала, а выросла примерно на треть. Не столь катастрофичными оказались и цифры оттока из страны ИТ-специалистов. Рост российской ИТ-отрасли и сохранение кадрового потенциала в 2022 г. во многом стали возможными благодаря поддержке, оказанной государством. Которое и в дальнейшем планирует способствовать реализации грандиозных планы по созданию отечественного ПО и оборудования.__
__Смартфоны Apple признаны шпионскими устройствами.
Чиновникам Минпромторга и подведомственным министерству организациям с 17 июля будет запрещено использовать мобильные устройства Apple в рабочих коммуникациях. Соответствующее распоряжение было разослано сотрудникам ведомства 4 июля за подписью первого заместителя министра Василия Осьмакова.
О внутреннем запрете Минпромторга знает и сотрудник одной из компаний-разработчиков IT-решений. Аналогичные запреты в ближайшее время будут вводиться и в других крупных ведомствах и регионах, говорит он.__
__По данным опроса «Лаборатории Касперского»*, треть родителей хотят, чтобы их ребенок работал в сфере ИТ, когда вырастет. При этом среди детей доля тех, кто хотел бы в будущем работать в этой отрасли, еще выше — 41%. Об этом CNews сообщили представители «Лаборатории Касперского».
Тем не менее, есть и другие отрасли, которые кажутся родителям хорошими вариантами для трудоустройства. Так, 23% хотели бы, чтобы их ребенок работал в здравоохранении, еще столько же — в финансовой сфере, 18% — в области юридических услуг, 13% — в промышленности. По 10% приходится на строительство, туризм и образование. Меньше перспектив взрослые видят, например, в индустрии развлечений (4%), торговле (2%), социальном бизнесе (2%).
«Как показал наш опрос, 60% родителей хотели бы, чтобы их ребенок стал программистом, разработчиком. Чтобы быть конкурентоспособным специалистом, нужно готовиться к этому еще со школьной скамьи. Если иметь сильную математическую базу, можно применить себя с успехом во многих сферах, в том числе в информационной безопасности. Мы заинтересованы в таких профессионалах и поэтому активно участвуем в проекте „Математическая вертикаль“, у нас есть своя отдельная программа по этому направлению. Кроме того, мы вкладываемся и в преподавателей. Уже более 400 учителей математики и информатики Москвы закончили курсы повышения квалификации, разработанные нами», — сказал Вениамин Гинодман, советник генерального директора «Лаборатории Касперского» по образовательным проектам.
В 2018 г. в рамках общегородской программы Департамента образования города Москвы «Лаборатория Касперского» запустила собственный образовательный курс для школьников с акцентом на программирование и информационную безопасность — «Математическая вертикаль Касперского». Программа дополняет образовательные стандарты. В 2023 г. первые участники программы, то есть те, которые начали обучение по ней в 7 классе, закончили школу. Они участвовали во множестве соревнований, в том числе стали финалистами и лауреатами Национальной технологической олимпиады по информационной безопасности.
Также компания разработала курс «Основы информационной безопасности для 7-9 классов». С 1 сентября 2023 г. он будет доступен всем учителям и ученикам Москвы через систему «Московская электронная школа» (МЭШ).
Опрос проведен компанией «Онин» по заказу «Лаборатории Касперского» весной 2023 г. в России среди родителей и их детей школьного и дошкольного возраста. Всего опрошено 2032 человека — взрослых и детей.__
Ассиметричный алгоритм криптографии RSA, датой возникновения концепции которого считается 1976 год сейчас очень активно используется для обмена данными, верификацией источника программного обеспечения и в других сферах, где необходимо обмениваться данными или верифицировать отправителя. Кроме того, он является базовой частью HTTPS протокола, использование которого в России достигло 98% по данным Яндекс.Радара.
Минцифры обсуждает с Минфином бессрочное продление действующей ставки 0% по налогу на прибыль для IT-компаний. Совещание по этому вопросу ведомства проведут до конца июля. Об этом «Ведомостям» рассказал источник в Минцифры и подтвердил собеседник в отраслевой ассоциации. По словам последнего, обсуждается как бессрочный характер льгот, так и их продление до 2030 г.
Представитель Минфина отказался комментировать вопрос об обсуждении налоговой льготы для IT-компаний. В Минцифры не ответили на запрос «Ведомостей».__
Ключи Passkeys — начало постпарольной эпохи? Не так быстро…
__В мае 2023 года компания Google присоединилась к общему тренду отказа от паролей — и выкатила passkeys (ключи доступа), которые позволяют войти в аккаунт без пароля, а по пальцу, лицу, локальному пинкоду или аппаратному ключу. То есть авторизоваться в Google тем же методом, которым вы авторизуетесь в операционной системе (на смартфоне или ПК). Ранее об отказе от паролей заявила Microsoft.
По своей природе парольные ключи невозможно «потерять». Ими не может воспользоваться злоумышленник. Разработчики заявляют, что такие ключи надёжнее обычных паролей и даже надёжнее, чем 2FA через SMS, поскольку SMS легко перехватить.
Хотя некоторые говорят о начале постпарольной эпохи, всё-таки подобный оптимизм кажется слегка чрезмерным.
С мая ключи доступа поддерживаются на всех аккаунтах Google, а с июня — на некоторых аккаунтах Workspace и Cloud (тестирование). Браузер Chrome поддерживает парольные ключи с декабря.__
Бесплатный менеджер паролей со сквозным шифрованием Proton Pass стал доступен для всех пользователей
__Швейцарская технологическая компания Proton сделала доступным для скачивания менеджер паролей Proton Pass. Компания заявляет, что это первый сервис по защите паролей, который оснащен сквозным шифрованием. Proton Pass предлагается в бесплатной и платной версиях — премиальные подписчики получат дополнительные функции.
Proton Pass доступен на iOS и Android, а также в расширениях для браузеров Google Chrome и Brave. Данные хранятся на собственных серверах компании в Швейцарии, где, как заявляют в компании, одни из самых строгих законов конфиденциальности данных. Также менеджер паролей прошел аудит безопасности немецкой компании Cure53. Сервис зашифровывает абсолютно все данные, так что даже сотрудники Proton не могут просматривать информацию пользователя. Proton анонсировала менеджер паролей Proton Pass в апреле. Компания Proton в первую очередь известна своей службой защищенной электронной почты, также она предоставляет услуги VPN и облачных хранилищ.__
В Windows 11 добавили встроенный менеджер ключей доступа (passkey)
__Microsoft расширяет поддержку ключей доступа (passkey) в операционной системе Windows 11. Теперь пользователи смогут более безопасно аутентифицироваться на сайтах и приложениях с помощью биометрии.
Технология passkey подразумевает привязку уникальных кодов к определённым устройствам. Один ключ доступа вы можете привязать к десктопу, другой — к планшету, третий — к смартфону. Получается удобно и безопасно.
Есть мнение, что passkey существенно снижает риск взлома и утечки данных: поскольку злоумышленники не могут украсть или перехватить такие коды, фишинг в этом случае будет бесполезен.
Ключи доступа являются более защищённой и надёжной альтернативой паролям, поскольку позволяют использовать ПИН-код или биометрию (сканирование отпечатка пальца и лица) для входа в аккаунты.
По словам Microsoft, в сборке Windows 11 Insider Preview Build 23486 разработчики усовершенствовали технологии беспарольного входа. Пользователи ОС смогут логиниться с помощью ключей и Windows Hello.__
TelecomDaily провёл исследование (опрос пользователей и экспертов) по определению того, кто из мобильных операторов эффективнее всего защищает от мошенников и спама.
Краткие тезисы:
снижение его [спама] частоты
порядка 46% жертв телефонного мошенничества не верят в эффективность правоохранительных органов и не обращаются к ним после хищения средств
54% пострадавших пытаются вернуть деньги, но удалось это лишь каждому пятому (10,6%)
94% абонентов убеждены, что защиту должен брать на себя именно оператор связи
В экспертном голосовании победил «Тинькофф Мобайл», который на пяти сервисах из шести возможных набрал 326 баллов. МТС с таким же количеством сервисов получил 319,6 баллов, «МегаФон» — 319,4.
__Федеральная таможенная служба (ФТС) собирается полностью импортозаместить американское телекомоборудование Cisco к 2025 г., сообщил заместитель руководителя ведомства Денис Терещенко в кулуарах конференции «Ведомостей» «Российская микроэлектроника» 23 июня. Он уточнил, что сейчас доля отечественного оборудования на сети ведомства составляет примерно 60%.
«В замене Cisco на российское оборудование компании «Элтекс» (новосибирская компания, производит свою линейку маршрутизаторов, которые являются главной альтернативой американскому железу в телекомотрасли. – «Ведомости») на текущий момент ФТС России продвинулась примерно на 60%. Это плановая замена, есть конкретные решения, мы их внедряем уже с 2020 г. Полную замену телекомоборудования Cisco на «Элтекс» мы проведем к 2025 г.», – сообщил Терещенко «Ведомостям».__
**Беспарольная аутентификация: риски и решения
**
__В мае 2022 года компания Google объявила о поддержке стандарта нового поколения для беспарольной аутентификации в Android и браузере Chrome, получившего название Passkeys. Он был предложен альянсом Fast Identity Online (FIDO Alliance) и получил поддержку со стороны не только Google, но также Apple и Microsoft.
Применение технологии Passkeys не требует передачи биометрической информации. В случае утери самого устройства привязки (смартфона) пользователь может заблокировать ранее настроенный вход и провести аутентификацию заново.
В то же время определённые риски при использовании Passkeys сохраняются. Они связаны с возможным использованием ошибок межсайтового скриптинга или мошенническим захватом управления над устройством привязки, а также с отсутствием единого стандарта по содержимому ключей доступа в WebAuthn.
К текущему моменту пока нет информации о появлении техник взлома Passkeys.__
Минцифры предлагает создать центры оценки совместимости российских IT-решений**
**
__Минцифры обсуждает создание в России независимых центров тестирования совместимости российского софта с отечественным оборудованием и операционными системами, заявил на сессии конференции «Ведомостей» «Российская микроэлектроника» заместитель министра Максим Паршин. По его словам, ведомство «планирует инициировать или, скажем так, стимулировать» создание таких центров.
Пока обсуждается, будет ли эта система использовать только бюджетное финансирование или же ее будут финансировать совместно с заказчиками софта, отметил Паршин. Также прорабатывается механизм функционирования этих центров, порядок отзыва их лицензий при каких-либо нарушениях в их работе и т. п.
Такие центры определенно нужны, отмечает председатель совета директоров «Базальт СПО» Алексей Смирнов. «Пользователю нужен работоспособный ПК в целом, а не только работающая операционная система или то или иное решение», – пояснил он в комментарии «Ведомостям». Минцифры обсуждает новые требования к отечественному софту для включения его в реестр и одно из этих требований – как раз совместимость с платформами и оборудованием, добавил Смирнов. «Если такое требование возникает, должен быть объективный механизм проверки», – отметил он.
По словам Смирнова, «Базальт СПО» как разработчик платформы со своей стороны проводит такую работу по тестированию совместимости прикладных решений со своей платформой, но эти заключения не имеют сейчас государственного статуса.
Если заключение по совместимости того или иного софта будет иметь государственный статус, то логично, если такая экспертиза будет проводиться за бюджетное финансирование, продолжил Смирнов. По его словам, такие компетенции сейчас есть у отраслевых объединений – Ассоциации документальной электросвязи, НИИ «Восход», а также у Центра компетенций по импортозамещению ИКТ.
Такие центры сейчас нужны потенциальным пользователям российского софта среди промышленных групп, заявил присутствовавший на сессии директор департамента защиты информации и IT-инфраструктуры «Норильского никеля» Алексей Мартынцев. «Мы поддерживаем данную инициативу. На мой взгляд, в настоящий момент не хватает некой системности. С одной стороны, огромный плюс, что многие сейчас ринулись разрабатывать программные продукты, оборудование. Но с другой стороны, пока это все происходит без контроля государства. И если получится это систематизировать и с помощью этого повысить качество, то, конечно же, мы за», – отметил Мартынцев.
О том, что проблема совместимости программных продуктов остро стоит перед разработчиками, также рассказали вице-президент по развитию информационных систем «Ростелекома» Дарий Халитов и замгендиректора группы компаний «Гарда» Рустэм Хайретдинов. Но даже если проблема совместимости софта решается, то возникает проблема запуска прикладных программ на той или иной архитектуре микропроцессоров, отметил Халитов.
В середине июня «Ведомости» сообщили, что Минцифры подготовило проект постановления, по которому разработчики должны будут обеспечить совместимость своего софта минимум с двумя отечественными операционными системами (ОС), для того чтобы продукт мог претендовать на включение в реестр российского ПО.
Требования будут распространяться как на новое ПО, так и на уже включенное в реестр, сообщал «Ведомостям» представитель Минцифры. По его словам, требования будут вводиться поэтапно для разных классов ПО и для уже включенного в реестр ПО будет предоставлен переходный период для его доработки под новые требования.__
Замглавы Минцифры: отечественные вендоры занимают 90% рынка ИБ в стране**
**
__Заместитель главы Минцифры Александр Шойтов заявил, что отечественные решения занимают на сегодняшний день около 90% рынка кибербезопасности в России. При этом ещё только в начале 2022-го эта доля составляла приблизительно 60%.
Такие цифры Шойтов привёл в интервью РИА Новости. Комментируя ситуацию с долей иностранных средств защиты информации (СЗИ), замглавы Минцифры пояснил: «В начале 2022 года доля [иностранных СЗИ] была не более 40%. Сейчас — 10%. По нашим оценкам, российские средства занимают около 90%».
Шойтов также отметил, что в России есть аналоги практических всех зарубежных ИБ-продуктов. Например, средства криптографической защиты информации (СКЗИ) применялись исключительно отечественные. Особенно это касается госсектора.
Тем не менее замглавы Минцифры признаёт, что где-то российских аналогов недоставало. Например, межсетевые экраны нового поколения (Next-Generation Firewall, NGFW), реализация которых в России недотягивала по ряду технических характеристик: скорость работы, обработки одного пакета.
«Но и тут была проведена большая работа, в начале года появились достойные отечественные аналоги», — подытожил Шойтов.__
В России появится первое контрактное производство отечественных марок смартфонов**
**
__GS Group планирует запустить первый в России ODM-завод (Original Design Manufacturer), который будет разрабатывать и собирать смартфоны отечественных торговых марок под заказ, рассказал «Ведомостям» источник, близкий к компании. Представитель холдинга подтвердил эту информацию, уточнив, что также там планируется собирать ноутбуки и планшеты.
Серийное ODM-производство на предприятиях инновационного кластера «Технополис GS» в Гусеве Калининградской области должно запуститься до конца 2023 г., уточнил представитель GS Group. Холдинг планирует инвестировать около 3,5 млрд руб. в R&D, создание образцов, лицензионное ПО, а также в дооснащение имеющихся мощностей. По его словам, GS Group рассчитывает выпускать по 30 000 устройств ежемесячно.__
Перед вами руководство для начинающих, в котором описан обход пароля BIOS на ноутбуках Lenovo. Определяем, в чем проблема, как выявить уязвимую микросхему, как её обойти, а также анализ причины уязвимости и способы её устранения.
**__Российский аналог «Википедии» – «Рувики» – стал ____доступен __для читателей в бета-версии, убедился корреспондент «Ведомостей». Как указано на сайте «Рувики», сейчас на портале размещено почти 2 млн статьей на русском языке.
__
«Работает бета-версия, мы меняем контент, технические вопросы обслуживаем. На самом деле она запустилась не сегодня, сегодня это просто заметили. Она работала уже все выходные, это тестовый режим, который мы пока для тестеров включили», – ____рассказал __ТАСС генеральный директор АНО «Интернет – энциклопедия Рувики» Владимир Медейко. По его словам, полноценный запуск портала планируется до конца этого месяца.
__
О создании «Рувики» в конце мая ____рассказал ____заместитель председателя комитета Госдумы по информационной политике Антон Горелкин. Это не первый аналог «Википедии». Еще летом прошлого года Горелкин ____сообщал __о запуске российского аналога «Википедии» – «Руниверсалис». Сейчас энциклопедия «Руниверсалис» доступна.
Банки начали уведомлять клиентов о переносе биометрии в ЕБС
__Сбербанк с 22 июня начал уведомлять своих клиентов, ранее сдавших биометрию, о переносе данных в государственную Единую биометрическую систему (ГИС ЕБС), пишет «Коммерсантъ».
«Клиентам направляют СМС или push-уведомления с информированием о передаче данных в ЕБС, и, если клиент не против, через 30 дней данные будут перенесены в ЕБС по защищенному каналу в автоматическом режиме», – рассказали в пресс-службе Сбербанка.
В банке также помнили, что клиент имеет право отказаться от переноса данных, в этом случае они будут удалены из системы «Сбера». Центр биометрических технологий (ЦБТ, «дочка» «Ростелекома» – оператор ЕБС) сообщал ранее о 75 млн образцов биометрии, накопленных коммерческими системами (сейчас сбор биометрии в них запрещен), причем на «Сбербанк» приходится более 30 млн из них.__
__«Криптопро» получила все необходимые разрешительные документы для распространения аппаратных модулей безопасности собственной разработки. Эти устройства работают в банках и обеспечивают защиту транзакций от хакеров. Они создавались на замену модулей французской Thales – крупнейшего вендора таких устройств, ушедшего из России в 2022 г. Новинка «Криптопро» – первый модуль, у которого есть все необходимые сертификаты. Он уже тестируется в банках, но назвать его на 100% отечественным нельзя – в нем немало иностранных компонентов.
В России появился первый отечественный аппаратный модуль кибербезопасности (Hardware Security Module, HSM), позиционируемый в качестве продукции французской компании Thales. Ее продукция – это HSM для защиты банковских транзакций от перехвата, а сама компания является крупнейшим поставщиком таких устройств во всем мире.
Как сообщал CNews, Thales оказалась одной из первых компаний, решивших поддержать антироссийские санкции. Она сбежала из России еще в середине лета 2022 г., что могло спровоцировать массовые проблемы с безопасностью платежей россиян. Банки срочно начали искать замену среди российских продуктов, но звучало предположение, что поиски могут затянуться.
Так и вышло – первый отечественный HSM-модуль на замену продукции Thales появился лишь спустя год. Как пишет «Коммерсант», он называется HSM 2.0 R3 и на нем стоит логотип российской компании «Криптопро». Разработчики получили все необходимые разрешительные сертификаты для своего нового устройства во второй половине июня 2023 г.__
Apple присвоит каждому ключ доступа для беспарольного входа в аккаунт
__Apple будет автоматически назначать ключ доступа (passkey) каждому владельцу «яблочных» устройств, чтобы те могли входить в аккаунты без паролей. Соответствующая функциональность ждёт пользователей с выходом iOS 17, iPadOS 17 и macOS Sonoma (осенью этого года).
Кроме ресурсов самой Apple, новый принцип поможет пользователям аутентифицироваться без паролей на тех сайтах, которые поддерживают «Sign in with Apple». Если взять условные PayPal, Shopify и Kayak, где реализована поддержка passkey, владельцы iPhone смогут просто просканировать QR-код для входа.__
Новый Android-троян Fluhorse ворует СМС для перехвата 2FA-кодов
По словам Fortinet, объявившийся в мае Android-зловред создан с помощью SDK Flutter, что сильно затрудняет анализ. Новейший образец Fluhorse, изученный экспертами, использует также упаковщик для сокрытия вредоносной полезной нагрузки.
Вышла открытая бета-версия DuckDuckGo с менеджером паролей для Windows
Разработчики браузера DuckDuckGo с упором на конфиденциальность выкатили открытую бета-версию для пользователей Windows. Релиз оснащён собственным менеджером паролей и специальным видеоплеером с защитой от отслеживания.
__В 2022 году объём продаж российских компаний, занимающихся разработкой софта, достиг отметки в 1,661 трлн рублей. Несмотря на резкое сокращение зарубежных продаж, снизившихся на 27% до 544 млрд рублей (в основном из-за проблем с недружественными странами), был зафиксирован небольшой рост.
Одновременно продажи внутри российского рынка увеличились гораздо сильнее, чем экспорт, и выручка от работы в России выросла на 37,1% до 1,117 трлн рублей.
Это масштабное изменение ориентации софтверных компаний с внешних рынков на внутренний происходит во всей отрасли. Если рассматривать отдельные компании, то, как правило, значительное сокращение экспорта сопровождается аналогичным снижением оборота. Из 240 опрошенных компаний, входящих в РУССОФТ, 11 испытали более чем 40% сокращение экспорта, при этом доля зарубежных продаж составляла не менее 10% от общей выручки.
Из этих 11 компаний только 4 сумели увеличить свой оборот. Чаще всего у компаний экспорт сократился на десятки процентов или в разы, однако у некоторых из них продажи на внутреннем рынке также увеличились, и даже более значительно.
Согласно данным Банка России, экспорт компьютерных услуг в 2022 году сократился на 19,6% до 5,11 млрд долларов. Эти цифры отражают только часть экспортного дохода разработчиков программного обеспечения, но демонстрируют значительное падение.
9,6% опрошенных компаний сообщили о сокращении своего оборота. Только в 2017 и 2021 годах доля компаний с падением оборота была еще ниже. В условиях стабильного развития отрасли этот показатель был примерно на том же уровне. Сокращение темпов роста оборота российских программных компаний в 2022 году связано не только с проблемами экспорта на недружественные рынки, но в большей степени с прекращением работы ряда иностранных компаний и центров разработки программного обеспечения в России. Если не учитывать эти компании, оборот остальных компаний вырос не менее чем на 13%.__
Любопытный способ хранить мнемонические (seed) фразы для восстановления доступа к криптокошелькам.
Позволяет хранить до 24 слов длиной не более 4 букв, чего достаточно, если использовать специальный словарь BIP39, в котором первые 4 буквы позволяют однозначно определить слово целиком.
Цена в России около 5 000 руб. Не такая большая сумма за помощь злодею в однозначном определении того, что у него в руках именно мнемоническая фраза =)
Хакеры с помощью ИИ подделали голос ребенка и заявили его матери о похищении. Такие случаи становятся массовыми
На слушаниях по ИИ в Сенате США выступила мать двух девочек, одну из которых «виртуально похищали» мошенники. В качестве доказательства они использовали клонированный с помощью ИИ голос ребёнка.
**Ведомствам упрощают процедуру закупок софта
**
__Для ведомств разработают упрощенный порядок закупок программных продуктов с государственного маркетплейса IT-сервисов и приложений «Госмаркет». Соответствующий законопроект сейчас разрабатывает Минфин, рассказал «Ведомостям» представитель министерства. С введением такого механизма процедура закупки может сократиться с нескольких месяцев до 3–4 дней, уточнил «Ведомостям» директор ФКУ «Гостех» Василий Слышкин.
«Такие закупки предлагается проводить путем запроса котировок (самый короткий конкурентный способ закупки, до шести календарных дней. – «Ведомости») без ограничений предельной цены одного контракта и годового объема таких закупок, а также закупки у единственного поставщика в действующих электронных магазинах на электронных площадках», – сообщил представитель Минфина. В последнем случае цена одной закупки ПО не должна превышать 50 млн руб., а годовой объем – 200 млн руб., уточнил он.__
«Это ключ? Нет, кое-что получше»: будущее беспарольной аутентификацииСкорую «смерть» паролей предрекают уже больше 10 лет, их не любил даже Билл Гейтс. Однако мы и сейчас продолжаем использовать пароли настолько часто, что быстро отказаться от них не получится. Несмотря на это, впереди уже проглядывается будущее, в котором заходить в любой сервис можно будет, например, с помощью отпечатка пальца или скана лица. А пароли навсегда уйдут в прошлое. О том, насколько мы уже приблизились к этому времени, читайте по ссылке ниже.
__Delta Computers совместно с технологическим партнером — «Научно-техническим центром информационных технологий РОСА» (НЦТ ИТ РОСА) по заданию концерна «Росэнергоатом» (входит в электроэнергетический дивизион госкорпорации «Росатом») разработала полностью отечественный программно-аппаратный комплекс (ПАК) для реализации частного облака. Решение успешно прошло тестовые испытания и внедрено в концерне.
Переход на облачную инфраструктуру – это общемировая тенденция. При традиционной инфраструктуре с разрозненными серверами вычислительные ресурсы зачастую используются неоптимально, серверы для одних функций и приложений перегружены, другие серверы недоиспользованы и частично простаивают. При этом ИТ-подразделение не может оперативно реагировать на потребности бизнеса, так как увеличение мощности влечет за собой длительные процессы закупки оборудования, его подключения и настройки. Основное преимущество облачной инфраструктуры — в ее гибкой масштабируемости. Облако позволяет динамически выделять ИТ-ресурсы для различных нагрузок по запросу: больше нагрузки — облако автоматически даст больше ресурсов. Предприятию не нужно держать про запас резервные мощности на случай пиковых нагрузок.
Сегодня концерн обладает масштабной ИТ-инфраструктурой, а за последние годы количество информационных систем в организации значительно выросло. Чтобы снизить затраты на поддержку ИТ-оборудования, руководство компании приняло решение о переходе на облачную инфраструктуру, а именно на частное облако, учитывая специфику отрасли и требования по информационной безопасности.
Созданный по заданию концерна ПАК полностью спроектирован на базе отечественных продуктов и реализован в рамках выполнения программы Правительства РФ по импортозамещению. Решение аттестовано на соответствие требованиям по защите информации ФСТЭК России органом по аттестации «Атомзащитаинформом», в том числе на соответствие требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Благодаря данному комплексу «Росэнергоатом» получил возможность динамично распределять нагрузку между сервисами, снизить риск простоев, а также ускорить развертывание новых приложений.
Для управления ПАКом использовался продукт Delta Cloud Appliance — портал управления ресурсами, благодаря которому системные администраторы концерна теперь могут более эффективно управлять своей виртуальной инфраструктурой.
Аппаратная платформа ПАКа состоит из серверов Delta Tioga Pass, дисковых полок Delta Argut и серверных шасси Delta Akturu. А в состав его программного обеспечения входит платформа виртуализации серверов и рабочих мест корпоративного уровня ROSA Virtualization, созданная НТЦ ИТ РОСА.
«Программно-аппаратный комплекс, который мы создали, позволил повысить эффективность эксплуатации инфраструктуры и оптимизировать работу ИТ-специалистов концерна «Росэнергоатом». Администрирование и эксплуатация ИТ-оборудования стали значительно менее трудозатратными процессами в компании. В обозримой перспективе мы планируем развивать продукт. Нет сомнения, что мы с коллегами из «Росэнергоатома» и дальше будем достигать поставленных целей благодаря слаженной работе наших экспертных команд», — сказал Андрей Чернышев, генеральный директор Delta Computers.
«Создание импортозамещенных программно-аппаратных комплексов (ПАК) — одна из стратегических инициатив госкорпорации «Росатом» по достижению технологического суверенитета Российской Федерации. Использование ПАК позволяет нам получить сбалансированные и горизонтально масштабируемые аппаратные решения на российском «железе» с прогнозируемыми параметрами качества работы информационных систем, уровнем безопасности и стоимости владения на всем жизненном цикле решения. Наше сотрудничество в очередной раз доказало эффективность кооперации разработчиков ПО, производителей оборудования и заказчика», — отметил директор департамента управления ИТ-проектами и интеграцией концерна «Росэнергоатом» Олег Шальнов.__
**В App Store появился браузер «Луна»
**
__В App Store появился браузер «Луна». Из истории версий следует, что первая версия была загружена в магазин три месяца назад. Актуальная версия 3.1.2 была обновлена 2 июня. Разработчиком «Луны» в App Store указана компания Innovative Development LLC, в политике конфиденциальности – компания ООО «Инновационная разработка».
Как следует из данных «СПАРК-Интерфакса», это зарегистрированное в марте 2022 г. ООО на 99% принадлежит компании «Мультибонус», владельцем которой является «Почта банк». «Ведомости» направили запрос в «Почта банк».__
Национальные сертификаты безопасности сайтов используют только 30% россиян**
**
__Российские TLS-сертификаты, использующиеся для создания зашифрованного соединения между сайтом и его пользователями, сейчас установлены на 25–30% устройств. Об этом 16 июня на сессии ПМЭФ-2023 «Развитие критической информационной инфраструктуры: угрозы и перспективы» рассказал руководитель блока «Технологии» Сбербанка Андрей Белевцев.
После начала СВО иностранные удостоверяющие центры, например, южноафриканский Thawte Consulting, американский Digicert и др., начали отказывать в продлении сертификатов безопасности подсанкционным российским компаниям. Из-за этого пользователи из России при посещении сайтов начали сталкиваться либо с их блокировкой браузером, либо с предупреждением о небезопасности ресурса.
Минцифры решило разработать собственные TLS-сертификаты, их выпуском занимается Национальный удостоверяющий центр (НУЦ). В марте 2022 г. на «Госуслугах» заработал сервис выдачи сертификатов, после этого российские компании начали переводить на них свои сайты и советовать клиентам их установить. Так, Сбербанк перевел свои сайты и сервисы на сертификаты НУЦ осенью прошлого года.
Обычные пользователи могут установить сертификаты вручную или скачать браузер, куда они встроены по умолчанию, например, «Яндекс Браузер» и «Атом» от VK. Для корректной работы сертификат должен быть и у сайта, и установлен на пользовательском устройстве.
Представитель Минцифры уточнил, что браузерами, которые поддерживают работу национальных сертификатов без дополнительных действий пользователя, ежемесячно пользуются более 75 млн человек. Он также напомнил, что сейчас в Госдуме рассматривается законопроект, который сделает обязательной поддержку таких сертификатов разработчиками ПО.
Статистика «Сбера» свидетельствует, что российские сертификаты в данный момент установлены только на 25–30% устройств, заходящих на сайт банка, следует из слов Белевцева. «Это большая проблема, потому что это означает, что в 70% случаев мы пользуемся сертификатами из неизвестного для нас источника, – сказал он. – C этим надо бороться разными способами, прежде всего просветительским путем – просвещением и пропагандой, если хотите». Он также выразил надежду, что присутствующие на сессии, среди которых были замминистра цифрового развития Александр Шойтов, зампред правления Газпромбанка Дмитрий Зауэрс и другие, объединят усилия, чтобы повысить процент пользователей с российскими сертификатами безопасности.
Представитель «Сбера» уточнил, что для увеличения этого показателя важно ускорить перевод на национальные сертификаты государственных сервисов, включая сайт «Госуслуги», а также повышать уровень информированности граждан по этому направлению.
Сертификаты Минцифры нужны прежде всего для того, чтобы работоспособность крупного портала или сайта не была внезапно нарушена путем отзыва сертификата западной компанией, которая подчиняется санкционной политике, сказал гендиректор Safetech Lab Кирилл Мещеряков. Если сертификат будет отозван, то пользователи, на компьютеры или смартфоны которых не установлены сертификаты Минцифры, не смогут зайти на портал и получить услугу, объяснил он. По его словам, некоторые банки из топ-10 до сих пор пользуются иностранными сертификатами для своих сайтов.
Кроме того, цифровые сертификаты позволяют пользователю убедиться, что канал связи с сервером зашифрован и это именно тот веб-сайт, который ему нужен, а не созданный хакерами «двойник», сказал замдиректора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслан Пермяков. Такие «двойники» часто используются для мошеннических действий: клиент уверен, что подтверждает нужную ему финансовую операцию, а в действительности он передает код подтверждения мошенникам, которые от его имени выводят средства с его банковского счета, объяснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.__
__Ассоциация крупнейших потребителей программного обеспечения и оборудования (КП ПОО) объявила о запуске витрины IT-продуктов крупнейших компаний России в рамках Петербургского международного экономического форума.
На витрине представлены более 100 разработок «Ростелекома», «Транснефти», «Газпром нефти», «Дом.РФ», «Росатома» и РЖД. Платформа была создана для межотраслевого обмена внутренними решениями между крупнейшими компаниями страны. Оператором витрины стал «Ростелеком».
«Мы создали витрину, которая поможет IT-специалистам и руководителям компаний найти отечественные аналоги продуктов иностранных вендоров и новые, уникальные разработки, представленные только на российском рынке», — сообщил старший вице-президент по информационным технологиям «Ростелекома» Кирилл Меньшов. Он отметил, что к развитию и наполнению витрины будут привлечены разработчики, заинтересованные в дополнительном канале продвижения своих продуктов.
«Создание витрины IT-решений — это логичный шаг в развитии кооперации крупнейших компаний страны. Это наглядная демонстрация существующих рыночных решений, которые внесены в реестр отечественного ПО, внедрены и апробированы на крупнейших отраслевых предприятиях нашей страны. Витрина предоставляет возможность для кросс-отраслевого обмена решениями, поиска продуктов по компаниям, направлениям, замещаемым аналогам», — заявила председатель Ассоциации КП ПОО Рената Абдулина. По ее словам, главные преимущества IT-интеграторов — это высокий уровень экспертизы, скорость разработки и экономическая эффективность.__
**«Выпуск ЦФА не должен быть нацелен на создание квазиденег»
**Блокчейн-платформа Atomyze в начале 2022 г. стала первым в России оператором выпуска цифровых финансовых активов (ЦФА). Ранние пилотные выпуски ЦФА были предназначены для юрлиц, но в конце года площадка первой на рынке развернулась и в сторону розничных инвесторов. В интервью «Ведомостям» генеральный директор Atomyze Екатерина Фроловичева рассказала о том, как привлечь эмитентов и инвесторов к ЦФА, на чем зарабатывает оператор и что необходимо рынку для дальнейшего развития.
Федеральным законом предусматривается наделение Банка России полномочием по согласованию планов мероприятий кредитных и некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры, а также полномочием по контролю за соблюдением реализации указанных планов и осуществления закупок иностранного программного обеспечения и связанных с ним услуг.
Обзор основных запретов на использование иностранного программного обеспечения и оборудования на объектах критической информационной инфраструктуры: https://zlonov.ru/no-foreign-for-kii/
**Продажи российского софта в рознице выросли в 6 раз
**
За первые пять месяцев 2023 г. продажи российского софта в __потребительском сегменте оказались в 2,5–6 раз выше по сравнению с аналогичным периодом годом ранее, подсчитали в Wildberries, «М.Видео-Эльдорадо» и Ozon. В лидерах продаж оказались операционные системы «Ред ОС» и Uncom OS, пакет офисных приложений «Р7-офис», а также антивирусы Kaspersky и Dr.Web.
С начала 2023 г. в России ежемесячно продается по 15 000–20 000 лицензий на российский софт различных категорий, тогда как отдельно антивирусов ежемесячно продается по 100 000 штук, говорит источник в одном из крупных разработчиков. Схожую оценку продаж называет аналитик акселератора Fintech Lab Сергей Вильянов. По его подсчетам, с начала года в рознице было продано около 1 млн лицензий на отечественный софт.__
**Евгений Касперский сравнил глобальных ИТ-вендоров с вымирающими динозаврами
**
__Выручка «Лаборатории Касперского» в Европе и Северной Америке в 2022 г. снизилась на 30-40%. Но за счет роста доходов в России и остальных странах мира это падение оказалось нивелировано, и по итогам года компания не оказалась с нулевой выручкой, что в нынешних реалиях позитивный признак. Об этом основатель и гендиректор «Лаборатории Касперского» Евгений Касперский рассказал 15 июня, выступая на сессии «Борьба за инвестиции» на ПМЭФ-2023.
Такое уже случалось с его компанией, продолжил бизнесмен, – в 2018-2019 гг., когда «Лабораторию» «грязью поливали со всех сторон». Тогда некоторые клиенты ушли, но спустя год-полтора вернулись, резюмировал он.
Продукты же, которые развивает «Лаборатория Касперского» на зарубежных рынках, Касперский сравнил с автомобилями BMW. «Знаете, говорят: BMW, “Жигули”… Вот в данном случае мы делаем BMW, а их заставляют (зарубежных клиентов – Прим. “Ведомостей”) пересаживаться на “Жигули”. Они плачут и не хотят этого делать, так что я с нетерпением жду небольшого, а может, и большого отскока, чтобы наши старые клиенты вернулись к нам обратно», – отметил Касперский.
В дальнейшем глобальных зарубежных ИТ-вендоров основатель «Лаборатории Касперского» сравнил с вымирающими динозаврами, а отечественные ИТ-компании – с млекопитающими, которым предстоит заселить освободившиеся территории.
До 2022 г. «Лаборатория Касперского», как и другие отечественные компании, инвестировала деньги в точечные ИТ-решения, которые не могли активно развиваться из-за лидирующих позиций международных корпораций уровня Microsoft на российском рынке, констатировал Касперский. Но с начала прошлого года российским ИТ-компаниям пришлось в авральном режиме замещать те ниши, которые покинули международные гиганты, «закрывать дырки, которые остались после тех, кто ушел». «Динозавры покинули планету – значит, пора развиваться млекопитающим», – заявил Касперский.__
Российские госкомпании с 2025 года должны перейти на отечественные ОС и офисные пакеты
«Президентом подписано поручение было, 12 июня, в праздник, о том, что по всем госкомпаниям к 1 января 2025 г. обеспечить тотальное замещение операционных систем, офисного пакета, систем виртуализации, систем управления баз данных», – сообщил Шадаев. Он уточнил журналистам, что ранее аналогичное требование действовало только к объектам критической информационной инфраструктуры (КИИ).
Российские госкомпании с 2025 года должны перейти на отечественные ОС и офисные пакеты
«Президентом подписано поручение было, 12 июня, в праздник, о том, что по всем госкомпаниям к 1 января 2025 г. обеспечить тотальное замещение операционных систем, офисного пакета, систем виртуализации, систем управления баз данных», – сообщил Шадаев. Он уточнил журналистам, что ранее аналогичное требование действовало только к объектам критической информационной инфраструктуры (КИИ).
**Предприятие Росатома внедрило отечественный программно-аппаратный комплекс для реализации частного облака
**
__В АО «Концерн Росэнергоатом» (входит в Электроэнергетический дивизион Госкорпорации «Росатом») внедрен полностью отечественный программно-аппаратный комплекс (ПАК) для реализации частного облака, разработчиками которого выступили компания Delta Computers совместно с технологическим партнером - «Научно-техническим центром информационных технологий РОСА» (НЦТ ИТ РОСА). Решение было разработано по заказу Росэнергоатома, перед внедрением оно успешно прошло тестовые испытания.
Созданный по заданию Концерна ПАК полностью спроектирован на базе отечественных продуктов и реализован в рамках выполнения программы Правительства РФ по импортозамещению. Решение аттестовано на соответствие требованиям по защите информации ФСТЭК России органом по аттестации АО Центр «Атомзащитаинформ», в том числе на соответствие требованиям по обеспечению безопасности объектов критической информационной инфраструктуры Российской Федерации. Благодаря данному комплексу Росэнергоатом получил возможность динамично распределять нагрузку между сервисами, снизить риск простоев, а также ускорить развертывание новых приложений.
Для управления ПАК используется продукт Delta Cloud Appliance (портал управления ресурсами, позволяющий более эффективно управлять виртуальной инфраструктурой). Аппаратная платформа ПАКа состоит из серверов Delta Tioga Pass, дисковых полок Delta Argut и серверных шасси Delta Akturu. В состав его программного обеспечения входит платформа виртуализации серверов и рабочих мест корпоративного уровня ROSA Virtualization, созданная НТЦ ИТ РОСА.
«Программно-аппаратный комплекс, который мы создали, позволил повысить эффективность эксплуатации инфраструктуры и оптимизировать работу ИТ-специалистов Концерна «Росэнергоатом». Администрирование и эксплуатация ИТ-оборудования стали значительно менее трудозатратными процессами в компании. В обозримой перспективе мы планируем развивать продукт. Нет сомнения, что мы с коллегами из «Росэнергоатома» и дальше будем достигать поставленных целей благодаря слаженной работе наших экспертных команд», - заявил Андрей Чернышев, генеральный директор Delta Computers.
«Создание импортозамещенных программно-аппаратных комплексов (ПАК) - одна из стратегических инициатив Госкорпорации «Росатом» по достижению технологического суверенитета Российской Федерации. Использование ПАК позволяет нам получить сбалансированные и горизонтально масштабируемые аппаратные решения на российском «железе» с прогнозируемыми параметрами качества работы информационных систем, уровнем безопасности и стоимости владения на всем жизненном цикле решения. Наше сотрудничество в очередной раз доказало эффективность кооперации разработчиков ПО, производителей оборудования и заказчика», — отметил директор департамента управления ИТ-проектами и интеграцией Росэнергоатома Олег Шальнов.__
VK начала тестировать авторизацию по биометрии OnePass
__VK начала тестирование функции OnePass, которая позволит входить в аккаунт без пароля. Вместо него будет использоваться аутентификация по биометрии с помощью Touch ID и Face ID.
Уже сейчас OnePass доступен части пользователей «ВКонтакте». Функция появится и в партнерских сервисах компании, где используется авторизация через VK ID. Публичный запуск запланирован на лето 2023 г.
Компания подчеркивает, что обработка данных происходит на устройстве, а не на серверах VK. Сама авторизация занимает несколько секунд, а биометрию поддерживают «большинство современных смартфонов, планшетов и ПК».
OnePass работает на базе электронных ключей passkeys по стандарту беспарольной авторизации WebAuthn. За счет этого можно синхронизировать все устройства, привязанные к одному аккаунту. Помимо быстрой авторизации функция позволит восстановить аккаунт в упрощенном режиме.__
Совместимость с двумя российскими операционками станет обязательной для отечественного софта__Разработчики должны будут обеспечить совместимость своего софта минимум с двумя отечественными операционными системами (ОС), для того чтобы продукт мог претендовать на включение в реестр российского ПО. Соответствующий проект постановления правительства подготовлен Минцифры, рассказал «Ведомостям» его представитель. Требования будут распространяться как на новое ПО, так и на уже включенное в реестр, уточнили в министерстве. Сейчас проект документа прорабатывается с отраслевыми ассоциациями, а затем будет направлен на согласование заинтересованным ведомствам, добавил представитель Минцифры. По его словам, требования будут вводиться поэтапно для разных классов ПО: «Для уже включенного в реестр ПО будет предоставлен переходный период для его доработки под новые требования».
Сейчас большая часть программ в реестре не имеют совместимости сразу с двумя отечественными ОС, сходятся в оценке председатель совета директоров «Базальт СПО» Алексей Смирнов и замгендиректора «Ред софта» Рустам Рустамов. Такого ПО может быть больше 50%: до сих пор в реестре Минцифры не было такого параметра, как «совместимость с отечественными ОС или процессорами», и у разработчиков не было необходимости такую совместимость декларировать, говорит замгендиректора НППКТ Сергей Васильев.__
НСПК сделает платным для банков SMS-подтверждение онлайн-оплаты покупок
__Оператор платежной системы «МИР» Национальная система платежных карт (НСПК) сделает платной для банков SMS-подтверждение при онлайн-покупках.
Таким решением НСПК планирует мотивировать банки перейти на более современную систему аутентификации. Банкам предстоит определять, с какого устройства пользователь зашел на сайт, что ускорит и упростит проведение платежа.
Комиссия для банков и для эмитентов составит 20 коп. за одно подтверждение. Если на сайт зашли не через интернет-браузер, а мобильное приложение, то для эквайера она составит 10 коп. При этом комиссия не сможет превысить 2,5 млн руб.__
Компании «Еврохим» и «Северсталь» совместно с рядом других промышленных предприятий разрабатывают отечественную автоматизированную систему управления технологическим процессом (АСУ ТП) на базе открытого кода. Об этом на пленарном заседании конференции «Цифровая индустрия промышленной России» (ЦИПР) в Нижнем Новгороде заявил председатель совета директоров и основной владелец «Северстали» Алексей Мордашов.
«Создана рабочая группа при поддержке Минпромторга, сопредставителями в которой являются «Еврохим» и «Северсталь», а участниками – «Норникель», «Фосагро», «Уралхим», ассоциация «Индустриальные инновации» (среди участников «Газпромнефть – цифровые решения» и «Нефтетранссервис»). Целью этой рабочей группы является инициатива по созданию отечественной АСУ ТП», – рассказал бизнесмен.__
«Сбер» осенью начнет установку новых POS-терминалов с биометрией
Терминалы банка в магазинах будут заменены на модели с распознаванием лиц. Сейчас у «Сбера» около 2 млн терминалов по всей России. Для оплаты покупки нужно будет улыбнуться в камеру. Осенью 2023 г. планируется установить несколько тысяч первых установок новых терминалов, сообщили «Ведомостям» в пресс-службе «Сбера».
**Власти могут ограничить параллельный импорт вычислительной техники
**
__Минпромторг совместно с российскими производителями вычислительной техники рассматривает возможность ограничения параллельного импорта в Россию продукции более 20 зарубежных брендов, включая Acer, IBM, Dell и других. Российские вендоры считают, что необходимо вообще запретить поставки оборудования, чьи аналоги производятся в стране.
Но участники IT-рынка и операторы центров обработки данных говорят, что текущего количества и качества отечественной техники не хватит для удовлетворения спроса, а в случае ограничений она только дополнительно подорожает.__
Российские ИТ-компании подписали хартию об ограничении цен на ПО
__Российские разработчики программного обеспечения (ПО) подписали хартию о добровольном ограничении роста цен на свою продукцию. Церемония подписания состоялась на конференции «Цифровая индустрия промышленной России» (ЦИПР).
Документ предусматривает ограничение цен уровнем инфляции плюс 15%. «Речь идет не о заморозке цен, речь идет о некоем разумном ограничении. Это инфляция плюс 15%», – заявил замглавы Минцифры Максим Паршин (цитата по «Интерфаксу»).
Также в хартии говорится, что при разработке более функционального ПО того же класса компании будут в течение года поддерживать предыдущую версию и ограничивать его стоимость установленным потолком.__
__Двухфакторная авторизация при входе в аккаунт на портале «Госуслуги» стала обязательной с 1 июня, обратил внимание РБК. В феврале такое правило анонсировал министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев.
При попытке зайти на сайт «Госуслуг» пользователям предлагают подключить «дополнительный способ подтверждения входа». Из сообщения сервиса следует, что обязательной двухфакторная авторизация станет с 1 октября 2023 г., убедился корреспондент «Ведомостей».__
Опубликован текст проекта постановления Правительства РФ “О реализации пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях”.
Деталей пока немного, но задумка впечатляет масштабами:
__Задачами пилотного проекта являются:
__ - __разработка и апробация критериевтехнологической независимости […];
__
__**разработка **[…] **правил формирования и ведения реестра доверенных ПАК **для КИИ;
__
__[…] __
__формирование предложений по изменению и принятию новых нормативных правовых актов […];
__
__организация и полномасштабное развертывание системы испытательных полигонов атомной отрасли […], включая вычислительную технику, телекоммуникационное оборудование и АСУ ТП, на их соответствие требованиям по надежности, функциональности, производительности и совместимости […];
__
проведение тестирования и апробации технических решений __[…];
__
внедрение доверенных ПАК на значимых объектах КИИ в атомной и космической отраслях.
Опубликован текст проекта постановления Правительства РФ “О реализации пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях”.
Деталей пока немного, но задумка впечатляет масштабами:
__Задачами пилотного проекта являются:
__ - __разработка и апробация критериевтехнологической независимости […];
__
__**разработка **[…] **правил формирования и ведения реестра доверенных ПАК **для КИИ;
__
__[…] __
__формирование предложений по изменению и принятию новых нормативных правовых актов […];
__
__организация и полномасштабное развертывание системы испытательных полигонов атомной отрасли […], включая вычислительную технику, телекоммуникационное оборудование и АСУ ТП, на их соответствие требованиям по надежности, функциональности, производительности и совместимости […];
__
проведение тестирования и апробации технических решений __[…];
__
внедрение доверенных ПАК на значимых объектах КИИ в атомной и космической отраслях.
Видеоролик с демонстрацией использования дрона для доставки портативного автономного специально собранного устройства максимально близко к компьютеру жертвы с целью эксплуатации одной из самых опасных и зрелищных современных физических атак - MouseJack (https://www.mousejack.com/faq). Суть атаки - в имитации нажатий клавиш беспроводной клавиатуры для скачивания и установки программы удалённого управления за долю секунды и практически незаметно для пользователя.
Яндекс запустил генеративную нейросеть «Шедеврум», которая может создавать изображения по описанию (на русском или английском языках). Работает на iOS и Android, но пока можно только смотреть и отмечать понравившиеся чужие “шедевры” - одобрения запроса на генерацию своих собственных придётся подождать.
__Что мы знаем о капче? Капча — автоматизированный тест тьюринга, помогающий отсеивать подозрительные действия недобросовестных роботов от реальных людей. Но, к сожалению (или к счастью, смотря для кого), текстовая капча сильно устарела. Если еще 10 лет назад она была более-менее эффективным методом защиты от роботов, то сейчас ее может взломать любой желающий человек, более-менее разбирающийся в компьютере.
__
В данной статье показано, как создать собственную нейросеть по распознанию текстовых капч, имея под рукой домашний компьютер, базовые знания в python и пример__ы капч.
__
https://habr.com/ru/post/673440/
Насколько глубоко использование электронной подписи вошло в бизнес-процессы российских компаний? Чем различаются квалифицированные и неквалифицированные подписи? Как можно удалённо подтвердить личность при выпуске сертификата ЭП? В какую сторону будет развиваться рынок электронной подписи и есть ли перспективы у трансграничных сертификатов?
Практическая демонстрация (https://sites.google.com/view/nuitattack/home) атак на голосовые помощники, в ходе которых с помощью команд, неслышимых человеческому уху, открываются двери и производятся другие манипуляции, наглядно показывает: не стоит давать им (помощникам) возможности большие, чем включение/выключение света и запуск любимого плейлиста. А ещё лучше - и вовсе отказаться от их использования.
Официальный канал конференции #ИБАСУТПКВО2023: https://t.me/ibkvo В комментариях к постам можно задавать вопросы докладчикам. Ответы, правда, можно услышать только непосредственно в зале ;)
НКЦКИ (Акимов К.А.): Процедура аккредитации центров ГосСОПКА пока не определена, поэтому до декабря 2025 года действует переходный период: можно привлекать организации, у которых есть соглашение с НКЦКИ. #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): Планирование создания СБ ОКИИ на 2024-25 гг для ОКИИ, категорирование которых было выполнено в 2019-20 гг - это халатность! #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): При модернизации ЗО КИИ обязательна процедура повторных приёмочных испытаний. Непроведение её - административное нарушение. #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): С 01 января 2023 года все невстроенные средства защиты информации должны соответствовать требованиям доверия. Имеете право применять несертифицированные СрЗИ, но должны при приёмке провести соответствующие мероприятия. #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): __Перекатегорирование из-за изменения критериев в ПП127 нужно провести “в ближайшее время”. Перекатегорирование не требует значительных средств и сил. __ #ИБАСУТПКВО2023
ФСТЭК России (Е.Б. Торбенко): Провели более 100 проверок субъектов КИИ в рамках госконтроля. Почти ни в одной организации действительные сведения об объектах КИИ не совпали с направленными нам субъектом. #ИБАСУТПКВО2023
Плюс ещё один подход в копилку к параллельному импорту и принудительному лицензированию: “АтомРеверс”.
….объединяет инженерные решения для воспроизведения и оптимизации оборудования и его компонентов. Продукт предназначен для широкого круга российскихпромышленных предприятий из различных отраслей, эксплуатирующих сложную импортнуютехнику и столкнувшихся с трудностями в ее обновлении, ремонте и обслуживании.
С современного спутника можно “увидеть” немало деталей, с метеозонда - ещё больше, а уж с крана - и подавно.
WSJ узнала, что США подозревают Китай в шпионаже через портовые краны: __…краны содержат сложные датчики, которые могут регистрировать и отслеживать происхождение и место назначения контейнеров, вывезенных или ввезенных в США.
__
https://www.rbc.ru/politics/06/03/2023/6404f5939a79471aa906afe4
При этом у Тинькофф пропало не только банковское приложение, но и другие. В том числе - Тинькофф Мобайл, функции которого по управлению сотовыми тарифами не продублированы в личном кабинете на сайте.
Сам банк предлагает действующим клиентам не удалять приложение, а новым обещает помощь со стороны своего представителя: https://www.tinkoff.ru/apps/
Видимо, придётся всё-таки им теперь спешно личный кабинет дорабатывать. Раньше ведь об “отказоустойчивости” этого сервиса подумать было нельзя.
Президент России Владимир Путин поддержал предложение главы Минцифры Максута Шадаева ввести в стране цифровое удостоверение личности на смартфоне вместо бумажного паспорта.
Подготовка к проведению тренировки по реагированиюна компьютерныеинциденты учрежденийздравоохранения
Программа вебинара:
__ - Формирование замысла тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
Оформление тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
**Подготовительные мероприятия **до начала тренировки по реагированию на компьютерные инциденты в учреждениях здравоохранения;
Практический опыт подготовки и проведения тренировки по реагированию на компьютерные инциденты на примере Московской больницы;
-** Кадровое обеспечение по ИБ для проведения тренировок** по реагированию на компьютерные инциденты;
Ответы на вопросы.__
Спикеры:
__ - Валерий Комаров (@blog_ruporsecurite), эксперт/преподаватель Академии Информационных Систем
Алексей Жуков, Начальник отдела научно-медицинских цифровых решений НИИ неотложной детской хирургии и травматологии ДЗМ (Москва)
Игорь Хайров, Заместитель директора Академии Информационных Систем__
Глядишь - экспертизы и станут менее спорными: законопроект о создании реестра верифицированных IT-экспертов для рассмотрения споров в судах может быть внесен в Госдуму в ближайшие месяцы.
Минцифры доработало правила допуска компаний к биометрии граждан
Минцифры ужесточит требования для получения аккредитации компаниями, которые планируют собирать и обрабатывать биометрические данные. Это следует из проекта постановления правительства, опубликованного на портале нормативно-правовых актов. В частности, требуемый для этого размер собственного капитала компании увеличился в 10 раз, с 50 млн до 500 млн руб., а величина финансового обеспечения убытков в случае неверной аутентификации выросла в 2 раза – с 50 млн до 100 млн руб. Требования распространяются и на частные, и на государственные компании, следует из документа.
14 октября был опубликован проект постановления правительства РФ «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Проектом предлагается введение обязательства отраслевых ведомств осуществлять мониторинг актуальности и достоверности сведений о результатах категорирования объектов критической информационной инфраструктуры (КИИ), предоставляемых подведомственными субъектами КИИ.
Проект также предлагает внесение изменений в Перечень показателей критериев значимости объектов КИИ.
Предлагается внести изменения в следующие критерии:
1 Показатели социальной значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
2 Показатели экономической значимости. Снизился порог оценки ущерба бюджету РФ или субъекта РФ и ущерба от прекращения/нарушения банковских операций кредитными организациями.
3 Показатели экологической значимости. Нижний порог критериев с 2-3 человек увеличился до 10.
Согласно пояснительной записке к проекту, уточнение критериев показателей социальной значимости позволит исключить из значимых объектов КИИ объекты, обеспечивающие функционирование мелких сельских поселений.
Предлагается добавить следующие показатели:
1 Показатель социальной значимости: время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.
2 Показатели экономической значимости:
• прекращение/нарушение проведения операций по исполнению обязательств центральным контрагентом;
• прекращение/нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;
• прекращение/нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;
• прекращение/нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;
• прекращение/нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Обзор изменений в законодательстве за октябрь 2022:
поручения о размещении согласий субъектов персональных данных на Госуслугах,
назначение оператора** единой биометрической системы** и законопроект о системе,
порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре,
изменения в правила категорирования объектов критической информационной инфраструктуры,
методические рекомендации об импортозамещении,
положение о платформе для создания государственных информационных систем,
дополнение к правилам допуска к государственной тайне,
публикация профессиональных стандартов специалистов в области ИБ и ИТ,
изменения в порядок сертификации средств защиты в системе ФСТЭК России,
Аутентификация по отпечатку пальца от «Аладдин Р.Д.» может быть интегрирован в комплекс обработки больших данных «Криптонита»
Специалисты компании «Криптонит» провели испытание совместимости поддерживающей биометрию смарт-карты JaCarta PKI/BIO компании «Аладдин Р.Д.» со своим аппаратно-программным комплексом обработки больших данных «Берилл». Эксперты компании изучили возможности смарт-карты в качестве дополнительного средства аутентификации удалённых пользователей. Результаты признали положительными, что в ближайшем будущем может стать основой для интеграции такой дополнительной защиты в комплекс «Берилл».
Лучший вариант при автоподборе паролей к RDP и SSH — password
Исследователи из Rapid7 проверили надежность админ-паролей, используемых для удаленного доступа к системам по RDP или SSH, и результаты оказались плачевными. Анализ собранных с ловушек данных о брутфорс-атаках показал, что в 99,997% случаев такой ключ можно получить перебором по словарю.
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
«Почта» защищает аккаунты от неправомерного доступа и взлома: пароли и их связки с логинами автоматически проверяются на надежность. Специальный алгоритм анализирует сложность пароля и проверяет на совпадение с информацией из утечек сторонних сервисов. Например, если логин и пароль от «Почты» использовались для входа в магазин или сервис, система безопасности которого была скомпрометирована, то пользователь получит уведомление о необходимости сменить пароль. Это снижает вероятность неправомерного или случайного доступа к аккаунту.
**Google выкатывает поддержку беспарольных Passkey для Android и Chrome
**
__Google объявила о введении поддержки Passkeys, стандарта аутентификации нового поколения, для Android и Chrome. Впервые функцию представили в мае 2022 года и подали её под соусом движения в сторону беспарольной аутентификации.
Старт технологии Passkeys дал альянс FIDO, после чего её поддержали Apple и Microsoft. Задача Passkeys в сухом остатке — заменить пароли специальными цифровыми ключами, которые будут храниться на устройстве.__
ThermoSecure: ваши пароли узнают по тепловым следам ваших пальцев
Исследователи заявили, что им удалось разработать основанную на ИИ систему, которая может угадывать пароли от компьютеров и смартфонов за считаные секунды. Принцип ее работы строится на анализе тепловых следов, которые оставляют пальцы пользователя на клавиатуре или дисплее.
Биометрия по закону: что нового и есть ли перспективы
С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии.
**Знакомимся с не-X.509 сертификатами для документов нового поколения
**
Статья о сертификатах не-X.509 формата, которые называются card verifiable self-descriptive certificate (CV).
Что может сделать злоумышленник зная пароль от Госуслуг
В настоящий момент полностью верифицированная учётка на Госуслугах - это ключ, который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля,__ весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе.__
**Около 150 тыс. россиян столкнулись с ворующими пароли троянами в 2022 году
**
__Такую статистику за январь — сентябрь представили решения «Лаборатории Касперского», детектировавшие троянов на устройствах пользователей. __
__Трояны-стилеры вытаскивают учётные данные от аккаунтов в мессенджерах, социальных сетях, а также сохранённые в браузерах и программах пароли. __
__Кроме того, вредоносы не брезгуют заглядывать в реестр и системные файлы в поисках конфиденциальной информации. Собрав все необходимые сведения, зловреды отсылают их своим операторам. __
По данным Kaspersky, с этими троянами сталкиваются, помимо прочих, блогеры и администраторы Telegram-каналов.
Режим приложений в Chrome позволяет создавать формы для кражи паролей
Новый фишинговый вектор позволяет злоумышленникам использовать режим приложений в браузере Chrome (Application Mode) для отображения форм, в которые нужно вводить учетные данные. Этот метод облегчает кражу логинов и паролей.
Режим приложений доступен в каждом браузере, основанном на Chromium, включая Microsoft Edge, Brave и, конечно же, сам Chrome. Функция позволяет создавать вполне убедительные формы для ввода данных, которые достаточно сложно отличить от настоящих.
⚡️ Максут Шадаев: «Мы начали работу по импортозамещению в госорганах заблаговременно, они сделали значимый прорыв, перешли на наши системы, софт и тд. Если отраслевой регулятор уже завершает переход на российское ПО, то ему и отрасль убедить проще. Главный риск для нас, что многие компании, вложив деньги в зарубежные продукты, останутся на них. Иногда сами компании не относят системы первостепенной значимости к критической информационной инфраструктуре, но теперь правительство сможет определять, какие решения будут относиться к КИИ. Кабмин сможет устанавливать срок перехода на наши решения. Сроки будут ставиться исходя из готовности решений. Государство готово софинансировать до 80%».
Банки для защиты клиентов от мошенников обязали идентифицировать телефон и электронную почту
С 1 октября нынешнего года банки для защиты клиентов от кибермошенников обязаны идентифицировать устройства, с которых проводятся онлайн-операции, а также подтверждать телефонные номера и адреса электронной почты клиентов. Соответствующие требования описаны в указании ЦБ РФ.
Создан «убийца» ненавистной CAPTCHA. В нем не нужно вводить символы и искать картинки
Cloudflare создала сервис Turnstile на замену CAPTCHA. Он работает в полностью автоматическом режиме – не нужно вводить текст и искать изображения. Продвигая Turnstile, Cloudflare не скрывает свою нелюбовь к CAPTCHA и уверяет, что этот сервис раздражает всех пользователей без исключения.
Windows 11 теперь предупреждает о вводе пароля в небезопасных приложениях
Microsoft недавно выпустила версию Windows 11 22H2, добавив в ОС очень интересную защитную функцию, направленную на сохранность учётных данных. Нововведение под названием Enhanced Phishing Protection предупреждает пользователей, когда те вводят пароль от Windows в небезопасных приложениях или на непроверенных веб-сайтах.
Вредоносные OAuth-приложения используются для взлома серверов Exchange
Как отметила команда Microsoft 365 Defender Research, киберпреступники применили технику credential stuffing (автоматизированная подстановка скомпрометированных учётных данных). Причём атакуются исключительно те аккаунты, которые не активировали многофакторную аутентификацию (MFA). С помощью аккаунтов с правами администратора злоумышленники получают первоначальный доступ к серверам, а затем регистрируют вредоносное OAuth-приложение и используют его права для модификации настроек Exchange-сервера. Так им удаётся разрешить передачу электронных писем с определённых IP-адресов через скомпрометированный сервер.
Атакующие полюбили MFA Fatigue для обхода MFA в корпоративных сетях
Киберпреступники часто прибегают к методам социальной инженерии для получения доступа к учётным записям и крупным корпоративным сетям. Один из элементов таких атак становится всё более популярным у злоумышленников — техника под названием «MFA-усталость» (MFA Fatigue).
Ученые предложили выявлять голосовые дипфейки с помощью флюидодинамики
В университете Флориды изучили достижения артикуляционной фонетики и разработали новую технику распознавания дипфейк-аудио — по отсутствию ограничений, влияющих на работу голосового аппарата человека. Созданный в ходе исследования детектор способен по одной фразе определить подмену с точностью 92,4%.
Минцифры обнародовало перечень из 195 специальностей в сферах IT и связи, по которым рекомендована отсрочка от мобилизации (.pdf). С 27 сентября на госуслугах будет запущен сервис для сбора данных о сотрудниках аккредитованных IT-компаний и операторов связи, «которые не должны привлекаться на военную службу в рамках частичной мобилизации».
Минцифры направило во все военкоматы телеграммы, в которых разъяснило положение об отсрочке для определенных категорий IT-специалистов, которые сейчас получают повестки.
Со ссылкой на позицию Генштаба от 22 сентября в телеграмме указывается перечень документов, которые должен иметь айтишник при посещении военкомата:
Оригинал или заверенная копия действующего** договора между сотрудником и организацией**;
Оригинал или заверенная копия диплома о получении высшего образования, необходимого для участия в деятельности организации;
Заверенная копия выписки из реестра аккредитованных организаций, осуществляющих деятельность в области IT, или заверенная копия выданной организации лицензии об осуществлении деятельности в области указания услуг связи;
Справка с места работы, подписанная руководителем или уполномоченным им лицом, подтверждающая, что сотрудник задействован в разработке, развитии, внедрении, сопровождении и эксплуатации решений в сфере IT или в обеспечении информационной инфраструктуры, или подтверждающая, что сотрудник задействован в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а также центров обработки данных (в отношении операторов связи).
Браузерные менеджеры паролей — изначально ошибочная защита
Стандартные функции управления паролями браузеров Chrome, Firefox и Edge обеспечивают лишь видимость защищённого хранения паролей. На самом деле, они не дают абсолютно никакой защиты сохраняемых пользовательских паролей.
Как из скриптов и палок собрать на коленке offline root CA с хранением закрытых ключей на YubiHSM. YubiHSM - это недорогой, стоимостью всего несколько сотен долларов, HSM, выполненный в виде USB модуля.
__Минцифры поддерживает решение Минобороны о предоставлении права на отсрочку от мобилизации для сотрудников приоритетных высокотехнологичных отраслей экономики.
Право на отсрочку могут получить имеющие соответствующеевысшееобразование и работающие полныйрабочийдень сотрудники:__
__
• аккредитованныхИТ-компаний, задействованные в разработке, развитии, внедрении, сопровождении и эксплуатации ИТ-решений (программного обеспечения, программно-аппаратных комплексов) или задействованные вобеспечениифункционированияинформационнойинфраструктуры;__
__
• операторовсвязи, задействованные в обеспечении устойчивости, безопасности и целостности функционирования отдельных сооружений связи, средств связи и линий связи сети связи общего пользования, а такжецентровобработкиданных;__
__
• зарегистрированныхСМИ, радиовещателей, телевещателей, включенных в переченьсистемообразующих, задействованные в производстве и распространении информационной продукции.__
Microsoft Teams хранит токены аутентификации в виде простого текста
Специалисты по кибербезопасности выявили серьёзную уязвимость в десктопной версии приложения Microsoft Teams. Проблема кроется в принципе хранения токенов аутентификации, позволяющем злоумышленникам получить к ним доступ.
На Госуслугах стала доступна отправка заявлений в Росреестр на исправление технической ошибки в данных ЕГРН полностью онлайн. Подписать заявление на услугу теперь можно в мобильном приложении «Госключ», не прибегая к бумажным заявлениям или платным электронным подписям.
Microsoft и Google годами крадут пароли и персональные данные малограмотных пользователей. Как защититься
Существует единственный гарантированно действенный способ не дать ни Google, ни Microsoft складировать персональные данные пользователей в своих облаках. Для этого необходимо отключить всего одну функцию в Edge и Chrome. Она носит название «Расширенная проверка правописания». Если она активна, абсолютно весь текст, даже приватное сообщение в чате в любой социальной сети, будет направлено в облако.
TLS-сертификаты доступны для установки на смартфоны, компьютеры и планшеты
На Госуслугах опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем.
**Фишеры обходят 2FA Google и Microsoft с помощью нового прокси-сервиса
**
Эксперты Resecurity опубликовали результаты расследования фишинговых атак, проведенных с использованием спецсервиса EvilProxy. Новый пакет услуг позволяет не только массово распространять ссылки на поддельные страницы Google, Microsoft, «Яндекса», но также с успехом обходить многофакторную аутентификацию (MFA), призванную усилить защиту аккаунтов пользователей от взлома. Новый PhaaS-сервис (Phishing-as-a-Service, фишинг как услуга) позиционируется как имитатор фишинговых атак в организациях, но активно продвигается в даркнете. В некоторых источниках его называют также Moloch, что, по мнению исследователей, указывает на связь с уже известным фишинг-паком, специально созданным для атак на финансовые институты и сферу электронной коммерции.
В Москве проведут конкурс для выбора русского названия сервиса Face Pay
Власти Москвы намерены выбрать русское название для сервиса оплаты проезда в транспорте при помощи системы распознавания лиц Face Pay, сообщил заммэра столицы Максим Ликсутов.
Система оплаты проезда Face Pay заработала сегодня на всех станциях Московского центрального кольца (МЦК), сообщили в департаменте транспорта и развития дорожно-транспортной инфраструктуры столицы.
Сервис оплаты проезда по распознаванию лица в тестовом режиме начал функционировать в Москве с 3 сентября. Подключиться к Face Pay можно в приложении «Метро Москвы», отметили в департаменте.
Онлайн-сервисы Сбера переходят на российские TLS-сертификаты
«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Сертификаты выдаются бесплатно», – прокомментировал глава Минцифры России Максут Шадаев.
**МТС представила сервис удаленной идентификации физических лиц для крупного бизнеса
**
С его помощью компании могут быстрее проверять информацию о физических лицах и уберегать себя от мошеннических действий недобросовестных пользователей
Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. № 740-ст утверждён национальный стандарт Российской Федерации ГОСТ P 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Указанный национальный стандарт размещён на официальном сайте Федерального агентства по техническому регулированию и метрологии.
Разработчикам средств защиты информации, испытательным лабораториям и органам по сертификации при разработке и испытаниях средств защиты информации необходимо руководствоваться положениями указанного национального стандарта.
На основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. № 746-ст отменён ГОСТ P 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. № 740-ст утверждён национальный стандарт Российской Федерации ГОСТ P 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Указанный национальный стандарт размещён на официальном сайте Федерального агентства по техническому регулированию и метрологии.
Разработчикам средств защиты информации, испытательным лабораториям и органам по сертификации при разработке и испытаниях средств защиты информации необходимо руководствоваться положениями указанного национального стандарта.
На основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. № 746-ст отменён ГОСТ P 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
**У вас captcha? Тогда мы уходим от вас
**
CAPTCHA создана для различия между человеком и машиной. Пользователь посещает множество сайтов, ставит множество дополнительных программ на свой компьютер или смартфон. Даже сторонние сайты могут отправлять запросы без ведома пользователя. Другими словами инструмент удобства пользователя может самостоятельно генерировать подозрительный трафик (антивирус не поможет).
Ngenix реализовал поддержку SSL/TLS-сертификатов с российской криптосистемой ГОСТ 34.10
Ngenix, провайдер облачных решений для защиты и ускорения веб-ресурсов, реализовал на своей облачной платформе нативную поддержку TLS-сертификатов с российской криптосистемой семейства ГОСТ 34.10 наряду с распространенными системами шифрования RSA/ECDSA.
**Банки не успели внедрить выдачу кредитов по биометрии
**
Внедрить идентификацию через ЕБС банкам мешают санкции, нехватка ресурсов, низкий интерес граждан к системе, слабая наполняемость и технические сложности. В конце июля стало известно, что биометрические данные клиентов банков, собранные по собственным программам, не соответствуют стандартам Единой биометрической системы. По качеству проходят только 10%.
Завершил редизайн раздела сайта с подборкой НПА и дополнительных материалов по теме безопасности КИИ. Предложения/замечания/дополнения приветствуются: https://zlonov.ru/kii/
«Актив» получила сертификат ФСБ на USB-токены и смарт-карты «Рутокен ЭЦП 3.0»
Полученный сертификат ФСБ России за номером СФ/124-4307 подтверждает, что СКЗИ «Рутокен ЭЦП 3.0» соответствует требованиям Федерального закона «Об электронной подписи» №63-ФЗ и требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, вычисление имитовставки, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти СКЗИ, создание и проверка электронной подписи, создание ключа и ключа проверки электронной подписи). Сертификат выдан на основании результатов сертификационных испытаний, проведенных фирмой «Анкад» и будет действовать до 11 августа 2025 г.
VK предупредит пользователей об утечке паролей в других сервисах
__Теперь пользователь «Вконтакте» получит уведомление, если такой же, как у него, пароль окажется в базах утёкших данных сторонних сервисов. При этом весь процесс полностью автоматический, пароли проверяются только в зашифрованном виде и на серверах VK. Функция уже доступна в социальной сети «Вконтакте», а в будущем она появится и в других сервисах VK.
Команда безопасности VK проводит регулярный мониторинг утечек из других сервисов — как локальных, так и международных. Когда в сети появляется информация о новых скомпрометированных данных, сотрудники оперативно проверяют её на достоверность и учитывают в системе предупреждения пользователей.__
Система распознавания лиц перепутала нарушителя с его братом-близнецом
Московские камеры “опознали” преступника, находившегося в розыске. Его увезли в отделение полиции. Позже выяснилось, что задержанный — брат-близнец настоящего нарушителя закона.
Исследование: треть россиян никогда не меняет пароли от почты и соцсетей
__32% россиян никогда не меняют пароли от личных кабинетов почты, онлайн-банков и соцсетей, выяснила компания «Альфастрахование» в ходе исследования по теме кибербезопасности. При этом чаще всего (45%) россияне записывают свои пароли в текстовые файлы на ПК или добавляют в заметки на смартфонах. 28% хранят пароли на бумаге — в записных книжках и на стикерах.
Лишь 6% россиян регулярно (раз в месяц и чаще) обновляют пароли для доступа в личный кабинет почты, онлайн-банка или соцсетей. Каждый четвертый (26%) респондент отметил, что старается менять пароли раз в несколько месяцев, а свыше трети (36%) россиян проходят эту процедуру раз в полгода-год.__
Минцифры предлагает использовать Госуслуги для подтверждения личности в бытовых ситуациях
Минцифры России предлагает запустить на Госуслугах сервис, при помощи которого можно быстро подтвердить личность, когда это требуется в бытовых ситуациях:
• Для подтверждения права бесплатного проезда;
• При покупках в магазине для получения скидки или подтверждения возраста;
• При посещении мероприятий с ограничениями на вход;
• Для входа в офисные центры с пропускной системой и т.д.
ФСТЭК России проводит открытый конкурс на создание информационной инфраструктуры, обеспечивающей “проведение тестирования обновлений безопасности программного обеспечения, страной происхождения которого являются недружественные государства, и программного обеспечения с открытым кодом, а также предоставление доступагосударственным органам (организациям) и субъектам критической информационной инфраструктуры к результатам тестирования.”
Первые результаты тестирований предполагаются к публикации не позднее 20.12.2022.
ФСБ сертифицировала приложение для выдачи электронных подписей через смартфон
Разработчик Sign.Me получил разрешение ФСБ выдавать квалифицированную электронную подпись (ЭП) через смартфон. Служба выдала сервису сертификат, который наделяет такую электронную подпись юридической силой и позволяет приравнивать ее к собственноручной.
За клиентом банка в Подмосковье приехала полиция. Менеджеру показалось, что мужчина, заказавший крупную сумму наличными, мошенник. Лицо в окошке не походило на фотографию в паспорте.
**Похищаем сохраненный в Chrome пароль с помощью XSS
**
Рассмотренная атака наглядно демонстрирует, как могут быть опасны XSS-атаки в сочетании с социальной инженерией, и как важно не допускать уязвимостей, которые могут привести к XSS, и своевременно их устранять. Варианты использования подобных уязвимостей ограничиваются только возможностями javascript и фантазией исследователя.
Расширение KeePassXC снижает вероятность успешности атаки, но полностью не исключает. В любом случае, это значительно безопаснее, чем хранить пароли в браузере.
**Liveness Detection: распознавание живого присутствия
**
Задачи идентификации и аутентификации пользователя с использованием лицевой биометрии не могут быть надежно решены без определения живого присутствия (Liveness Detection) пользователя в кадре – необходимо удостовериться, что создание биометрического шаблона происходит именно по данным самого человека, а, например, не печатного изображения, поднесённого к камере. Возможны самые разные варианты атак, о которых будет рассказано ниже. Все они направлены на то, чтобы заменить живого пользователя системы его изображением (без живого присутствия пользователя), тем самым «обманув» биометрический алгоритм и добившись желаемого атакующими результата, утверждая, что именно пользователь акцептовал совершаемую операцию.
Брутфорс соседского Wi-Fi (в исключительно исследовательских целях)
Надежные и постоянно меняющиеся пароли - это здорово. Особенно когда они меняются и на Wi-Fi роутере и WPS на нем вообще отключен. В этом посте: сколько занимает перебор WPS pin и есть ли у этого практическое применение? А еще напишем программу для брутфорса на C#
Картинкам нельзя верить. Видеоспуфинг в реальном времени
__Некоторые люди полагаются на зрение для распознавания личности собеседника. Это крайне ненадёжный подход, если можно подделать картинку на экране. В эпоху цифровой видеосвязи внешность, голос и поведение человека перестали выполнять функцию надёжной идентификации.
За последние годы разработано несколько эффективных инструментов для подделки видеопотока, в том числе Avatarify Desktop и Deepfake Offensive Toolkit. Таким образом, у злоумышленников появились все возможности, чтобы подделать лицо и голос произвольного человека во время звонка. Специалисты по безопасности и пользователи должны понимать, насколько элементарно выполняется такая операция.__
Методология ЭДО, или 5 ошибок при переходе на электронную подпись
**
**__Электронный документооборот становится неотъемлемой частью работы организаций. Государство поэтапно осуществляет план по полному переходу на цифровую документацию, реализуя в его рамках все больше возможностей для полного отказа от бумажных носителей. __
Фишеры могут обойти MFA с помощью приложений Microsoft WebView2
На днях исследователь в области кибербезопасности под ником mr.d0x показал новый метод обхода MFA с использованием приложений Microsoft Edge WebView2. Способ mr.d0x позволяет украсть cookies аутентификации для входа в защищённые MFA аккаунты. Эта техника получила имя WebView2-Cookie-Stealer. Для успешной работы используются два исполняемых файла WebView2, которые при запуске открывают легитимный веб-сайт с формой для ввода учётных данных. Фокус в том, что этот сайт открывается внутри приложения. Всё благодаря функциональности Microsoft Edge WebView2, которая позволяет встраивать браузер с поддержкой HTML, CSS и JavaScript в нативные приложения.
Microsoft закрывает доступ к своим ИИ-разработкам распознавания лиц и генерации голоса
Компания Microsoft опубликовала новые правила использования своих разработок, связанных с искусственным интеллектом. Доступ к тем из них, что позволяют создавать «рискованные» решения, будет жестко ограничен.
SRAM PUF. Внедрение уникальных ID по «цифровому отпечатку» микросхем
__У современных производителей устройств IoT система PKI внедряется непосредственно на заводе. То есть прямо на конвейере. Каждое устройство получает уникальный ID и сертификат, по которому выполняется идентификация и аутентификация этого конкретного девайса на протяжении всего жизненного цикла.
Сам себе PKI: Теория на примере Let’s Encrypt (Статьи 1 и 2)
Давайте разберемся как работают системы PKI, т.к. они еще долго будут актуальны для обеспечения аутентификации и безопасной передачи данных. В данной статье рассмотрим теорию и в качестве примера PKI возьмём самую известную в мире реализацию PKI - HTTPS протокол в сети Интернет. В качестве удостоверяющего центра будем использовать бесплатный Let’s Encrypt.
Как Apple обеспечила в iOS 16 и macOS Ventura беспарольный доступ через Passkeys
Apple добавила поддержку беспарольной аутентификации в свои обновлённые продукты. Новая технология получила название Passkeys. Она позволяет отказаться от текстового ввода паролей и обеспечивает сквозную аутентификацию для доступа с разных устройств, используя только одно Apple-устройство (iPhone, iPad, Apple Watch) для биометрического контроля.
Власти в режиме секретности запустили систему слежки за россиянами по силуэтам
**
**В Подмосковье и еще двух регионах России заработала система слежки за людьми на основе их силуэтов. Она работает совместно с городскими системами видеонаблюдения. Новшество призвано определять степень загруженности общественных пространств, но доступ к системе обязательно получат правоохранительные органы.
**Автоматическая установка сертификатов S/MIME для корпоративных пользователей
**
__В последней версии AEG 7.5 (обновление от мая 2022 года) реализована функция Ready S/MIME — это автоматическое развёртывание сертификатов S/MIME в масштабе всей организации на большое количество пользователей.
AEG — система автоматизации и управления PKI, которая автоматизирует любые действия с сертификатами.__
Тесты банков для проверки личности «чрезвычайно уязвимы» для deepfake атак
Автоматизированные тесты “liveness tests”, используемые банками и другими учреждениями для проверки личности пользователей, легко обмануть дипфейками, говорится в новом докладе.
**А имеет ли Okta альтернативы?
**
__Okta ведущий игрок в сфере IAM (Идентификация и управление доступом), и уже достигла немалых успехов в этой области, осваивая искусственный интеллект, выходя таким образом за рамки стандартного использования пароля и других вариантов многофакторной аутентификации.
Okta обладает рядом преимуществ - таких как безопасность, масштабируемость и простота в использовании. Но с точки зрения затрат Okta больше подходит крупным компаниям, являясь достаточно дорогой для небольших организаций.
И хотя Okta наиболее популярна, это не означает, что у нее нет альтернатив. Есть несколько других вариантов для предприятий, желающих пойти по пути IAM, и каждый из них имеет свои преимущества.__
Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США
__Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример. __
Американцам посоветовали не указывать имена питомцев в качестве пароля
__Аналитики Aura изучили привычки пользователей интернета из США и пришли к выводу, что люди часто используют имена домашних животных в качестве паролей. Если быть точными, 39% хозяев указывают клички своих пушистых друзей.
Как отмечают исследователи, это крайне рискованная практика, поскольку информацию о питомце часто можно найти в Сети. Например, специалисты Aura приводят следующие данные:
59% хозяев публиковали в Сети фотографии своего домашнего животного.
Программист из Австралии Трой Хант решил поиздеваться над спамерами весьма изощрённым способом.
Спамерам, чьи письма Трой перемещает в специальную папку, автоматически приходит ответ, в котором говорится, что Трою очень интересно полученное предложение и он готов к сотрудничеству, только просит заполнить небольшую регистрационную форму, указав свои контакты.
Дальше и начинается веселье - клюнувшего спамера просят ввести адрес электронной почты и придумать пароль. Но всё дело в том, что подходящий пароль придумать просто невозможно!
Спамеру выдвигаются всё новые и новые требования:
Пароль должен содержать хотя бы одну заглавную букву
Пароль должен содержать хотя бы одну цифру
Пароль не должен заканчиваться на «!» или «1»
Пароль должен содержать имя главного персонажа мультсериала Симпсоны
Пароль должен заканчиваться на «dog»
…
Самых настойчивых ожидает сообщение, что нужно придумать новый пароль, так как введённый уже кто-то использует =)
В своём блоге Трой пишет, что ловушка работает и спамеры реально тратят своё время (пусть даже и всего 80 секунд) впустую.
**Electronic Signature vs Digital Signature: подпись подписи рознь
**
Короткая заметка о том, что в англоязычной сфере встречаются два термина, взаимосвязанные друг с другом, но разные по сути. Это electronic signature и digital signature. Отличия их друг от друга полезно знать хотя бы для точного понимания статей, стандартов и законов.
Биометрический курьез произошёл в Подольске. Мужчина пришел в отделение банка с целью снять крупную сумму денег. Однако, менеджеру банка показалось, что клиент, заказавший наличные, мошенник: лицо в окошке не походило на фотографию в паспорте, поэтому в строгом соответствии с инструкцией он вызвал полицию. В ходе последовавшего разбирательства выяснилось, что гражданин с момента получения паспорта набрал лишний вес и перестал быть похожим на себя =)
Дабы не оказаться в подобной ситуации порекомендовал бы (опробовано на себе):
Ключ от всех дверей: Тинькофф запускает Tinkoff ID для всего рунета
__Тинькофф запустил универсальный Tinkoff ID — сервис для быстрой и максимальной безопасной авторизации и единого входа в любых сервисах рунета.
С помощью Tinkoff ID пользователи смогут безопасно, быстро и бесшовно авторизовываться без ввода логина и пароля в разных сервисах в рунете и получать любые платные и бесплатные услуги — от покупок до устройства на работу без лишних документов.__
Минцифры разработало проект ФЗ, по которому ЕБС будет использоваться “для прохода на промышленные оборонные, атомные, ядерные, оружейные, химические предприятия, а также в организации транспортной инфраструктуры, на субъекты критической информационной инфраструктуры, объекты, «совершение террористического акта на территории которых может привести к чрезвычайным ситуациям с опасными социально-экономическими последствиями»”.
Согласитесь, трудно не согласиться с точкой зрения, что “мера в первую очередь нужна, чтобы создать гарантированный спрос на услуги ЕБС”.
Ну, а владельцам объектов КИИ в случае принятия нового ФЗ добавится очередной головной боли в довесок к тем и так непростым вопросам, что уже встали в полный рост.
А вообще, что-то новости про биометрию плотным потоком пошли. К дождю? =)
Исследование «Одноклассников»: 31% пользователей Рунета записывают свои пароли в блокнот или на бумажку
Итоги опроса показали, что практически каждый второй опрошенный (49%) задает в своих паролях номера телефонов, инициалы, даты рождений. Более того, 20% опрошенных устанавливают абсолютно одинаковый пароль для всех сайтов и приложений, а 18% используют два типа паролей: для «важных» – более сложный, для «не очень важных» – несложный типовой, чтобы не забыть. Двухфакторную аутентификацию при авторизации используют только 15% респондентов из всей базы опрошенных. Лишь 21% пользователей следуют рекомендациям по созданию надежного пароля, а 5% соглашаются на «пароль-абракадабру», который предлагают сайты при регистрации.
**Применение технологий FIDO для корпоративной беспарольной аутентификации
**
__Стандарты безопасной аутентификации FIDO приобретают особую актуальность на фоне роста числа кибератак, осуществляемых через взлом или похищение учётных записей бизнес-пользователей. __
__Парольная защита несёт ряд существенных рисков (слишком простые и повторяющиеся пароли, передача учётных данных, аккаунты временного доступа), минимизировать которые сложно, а в ряде случаев — невозможно. __
«Росатом» придумал, как распознавать лица без оглядки на закон о защите персональных данных
**
**Оператор атомных станций России, входящий в «Росатом», создает систему аутентификации сотрудников по лицу «без обработки биометрической информации». При ее проектировании госкорпорация ориентировалась на технические решения, которые позволят с юридической точки зрения не заниматься обработкой и хранением персональных данных, а значит и не подпадать под регулирующие нормы 152-ФЗ.
И опять про биометрию и ЕБС: банки собрали за прошедшие годы много “биометрии”, но для переноса в ЕБС она плохо подходит. Да ещё и неподходящие образцы банкам по действующим правилам надо удалять.
Статья, автор которой не указан, на портале, владелец которого в сервисе whois скрыт, критикует необдуманное применение биометрии =)
ЕБС тоже упоминается, но из текста явно не следует - относится ли критика и к этой системе либо же в ЕБС всё продумано и “Этого будет достаточно для дистанционного взаимодействия с финансовыми учреждениями — например, открытия счёта, перевода денег на вклад”?
“портал… создан при поддержке Центра реагирования на компьютерные инциденты в информационно-телекоммуникационных сетях органов государственной власти Российской Федерации (GOV-CERT.RU)”
GOV-CERT.RU переадресует на cert.gov.ru
gov.ru зарегистрирован на Special Communications and Information Service of the Federal Guard Service of the Russian Federation (Spetssvyaz FSO RF).
Так что всё хорошо - советам можно верить =) И критике тоже - она по делу.
КоммерсантЪ сообщает, что “к концу 2022 года доля ноутбуков и клавиатур без раскладки на русском языке вырастет до 10%. Это произойдет из-за параллельного импорта. На этом фоне спрос на сервисы, которые наносят гравировку на клавиатуры, вырос почти в два раза”.
Интересно, вырастет ли спрос на тренажёры для освоения слепой печати? Мой любимый, к слову, вот этот: https://www.keybr.com/ru/index Настоятельно рекомендую.
Говорят, кстати, что в идеале учиться как раз на клавиатуре без подписанных букв - нет соблазна подглядывать =)
SCADAfence опубликовала результаты глобального опроса специалистов по кибербезопасности в сферах IT и OT: Выводы показывают, что нехватка хорошо обученного персонала служб безопасности OT, человеческие ошибки и отсутствие контроля над сетями OT являются причинами увеличения числа атак OT по всему миру.
Гляди в оба: куда уже проникла биометрия и какие у нее перспективы в России
__Современные решения на основе машинного обучения уже умеют идентифицировать пользователей исходя из их поведения в Сети, а с появлением мощного искусственного интеллекта преступник не сможет выдать себя за кого-то другого — например, так, как это сделали двое жителей КНР. Как сообщает The Xinhua Daily Telegraph, они покупали фотографии и личные данные соотечественников на черном рынке, создавали дипфейки, что помогло им манипулировать налоговой информацией и обманывать государственную систему распознавания лиц на десятки миллионов долларов.
Итак, биометрия будет приживаться там, где важна персонализация, уместно самообслуживание и необходима особенная защита. Конечно, при условии того, что текущие пилоты помогут удешевить технологию и упростить ее внедрение — и если, что еще важнее, удастся исключить погрешности, оградиться от злоумышленников и построить разумную систему сдержек и противовесов, чтобы избежать злоупотреблений контролем.__
Биометрию включат в мобильные приложения банков по распоряжению ЦБ
__ЦБ обяжет банки добавить в мобильные приложения биометрию. Это следует из проекта указания «О критерии для мобильных приложений банков с универсальной лицензией…». Он опубликован на сайте регулятора. Согласно ему, банки смогут выдавать кредиты и открывать вклады через свое приложение только в том случае, если это приложение сможет регистрировать новых клиентов при помощи их данных из Единой биометрической системы.
Документ вступит в силу спустя десять дней после опубликования. Замечания к нему принимаются до 28 июля. Требование не распространяется на банки, которые отключат свое мобильное приложение в течение полугода после публикации документа.__
__Президент РФ Владимир Путин поддержал инициативу правительства о запрете использования зарубежного ПО на любых объектах критической информационной инфраструктуры (КИИ), включая негосударственные.
…разрабатываемый Минцифры проект президентского указа должен распространить требования по использования только отечественного ПО на все значимые объекты КИИ, а не только на те, которые принадлежат госорганизациям и госкомпаниям.
Кроме того, предполагается создать единый каталог и провести категорирование всех значимых объектов КИИ. “У нас зачастую возникают ситуации, когда сама компания добровольно, по своему усмотрению относит какие-то важные информационные системы к значимым объектам КИИ, а какие-то нет. Поэтому для каждой отрасли профильное федеральное ведомство совместно с Минцифры, ФСБ и ФСТЭК определят, какие типы информационных систем необходимо отнести к значимым объектам КИИ”, - сказал вице-премьер Дмитрий Чернышенко.__
#разминкадляума
Федеральная Налоговая Служба подикнула задачку по расшифровке своего письма (что-то с кодировкой). Декодер Лебедева оказался бессилен, пришлось вспомнить азы криптографии =)
Эксперимент с усиленными электронными подписями продлят до конца 2023 года
Минцифры решило продлить проведение эксперимента с использованием в России усиленной электронной подписи. Первоначально его планировалось завершить уже 31 июля 2022 г., такой срок был определен постановлением правительства от 15 июля 2021 г. Из поправок к постановлению, опубликованных на портале regulation.gov.ru 20 июня, следует, что дата окончания эксперимента переносится на 31 декабря 2023 г.
Россияне не дождутся электронных паспортов — проект заморозили из-за «более насущных проблем»
__Минцифры заморозило проект выдачи цифровых паспортов в надежде вернуться к нему позднее, рассказал РИА Новости глава ведомства Максут Шадаев в кулуарах ПМЭФ.
__
https://ria.ru/20220617/pasport-1795960800.html
Всемирный день пароля: как цифровая информация обзавелась защитой?
__Каждый первый четверг мая в IT-мире отмечается World Password Day: всемирный день паролей. Его предложил ввести в 2005 году Марк Бернетт как напоминание о важности паролей — и выразил пожелание, чтобы хотя бы в этот день пользователи вспоминали о необходимости их периодически обновлять. По предложению Intel Security, с 2013 года он получил своё место в календаре: в 2022 году он пришёлся на четверг 5-го мая.
Современные компьютерные технологии и Интернет невозможны и не представимы без бесчисленных паролей. А также менеджеров паролей, многоэтапных авторизаций, сложных систем шифрования и прочих подобных радостей. Информация во все века была ценностью, угрозой и оружием. Естественно, в информационную эпоху тотальной цифровизации это стало актуальным, как никогда прежде.__
Технология беспарольной защиты является по сути развитием многофакторной аутентификации без использования пароля. Это освобождает компании от необходимости поддержки защищённых баз данных с паролями и хешами, потребности в средствах контроля прохождения парольной проверки по сети. Достоинство систем беспарольной аутентификации состоит в том, что они не содержат данных, кража которых даёт злоумышленникам возможность взлома корпоративных систем. Стоит также отметить простоту и удобство использования.
Минцифры и МВД согласовали план запуска сервиса предъявления водительского удостоверения в приложении «Госуслуги Авто»
В планах – обеспечить разработку сервиса до конца 2022 года. В настоящее время Минцифры совместно с МВД активно ведут проектирование сервиса.
Сейчас в «Госуслуги Авто» уже можно предъявлять СТС сотруднику ГИБДД в виде QR-кода. Схожий функционал будет лежать и в основе предъявления электронного водительского удостоверения. Информация о нем будет загружаться из витрины данных ГИБДД в мобильное приложение и предъявляться в виде QR-кода.
Приложение «Госуслуги Авто» работает и офлайн, сохраненное в приложение электронное водительское удостоверение можно будет предъявлять без подключения к интернету.
**Клептография и криптовирология
**
В современной криптографии широко используются асимметричные алгоритмы шифрования и электронной подписи. Большинство их реализаций имеет зарубежное происхождение и вызывает обоснованные сомнения в надёжности.
__
Насколько можно доверять средствам шифрования, призванным защищать вашу приватность и коммерческую тайну? Нет ли в популярных криптографических продуктах скрытых лазеек, оставленных разработчиками в корыстных целях или под давлением спецслужб?__
В Подмосковье внедрят систему распознавания силуэтов
Власти Московской области и двух других регионов внедряют платформу видеоаналитики NtechLab с возможностью обезличенного распознавания силуэтов. Она уже работает на 200 локациях. Официальная цель — отслеживание загруженности объектов и обеспечение безопасности. В Подмосковье доступ к данным получат сотрудники оперативных служб и адвокаты
Познакомимся с Zero Storage Captcha, которая работает локально (возможно, в виде дополнительного класса в коде приложения), не обязывает хранить информацию на стороне сервера о сгенерированных картинках и в тот же момент позволяет проверить ответ любого пользователя со стопроцентной вероятностью.
В России создали комплекс скрытого досмотра, который оценивает опасность людей для окружающих
Мы пошли намного дальше функции идентификации людей. Мы разработали инструменты профайлинга людей, исходя из их сетевой активности на платформах TikTok, YouTube, ВКонтакте, Яндекса и других сервисов.Система позволит создать профиль человека и оценить степень угрозы для людей по совокупности характерных признаков во время прохода через комплекс досмотра.
Google представил нейросеть Imagen, распознающую любые текстовые запросы и генерирующую из них фотореалистичные изображения.
Публичного доступа нет: “его могут использовать неправильно в социальных сферах”.
Действительно, “человек, похожий на генерального прок__у__рора” или “мистер Пупкин, берущий кредит с помощьюЕБС” вполне могут привести к негативным последствиям =)
ГНИИИ ПТЗИ ФСТЭК России: Два иностранных разработчика ПО АСУ ТП отказались взаимодействовать по вопросу устранения уязвимостей, что даёт нам право на открытую публикацию выявленных в их продуктах уязвимостей.
Яркий пример абсолютно некорректного подхода маркетинговой службы одной небезызвестной ИБ компании к организации рассылок по электронной почте: можно сколько угодно отписываться от их писем, но твой адрес всё равно добавят в очередной новый список рассылки, который, судя по названиям, каждый раз создаётся заново.
Как считаете, ч.1 ст. 18 Закона № 38-ФЗ «О рекламе» в данном случае нарушается?
Huawei выпустила дверной замок с искусственным интеллектом
Компания Huawei выпустила дверной замок с искусственным интеллектом Smart Door Lock Pro на базе операционной системы HarmonyOS. Топовая версия аксессуара оснащена встроенной камерой от смартфона Huawei P50 Pro, которая позволяет использовать технологию 3D-распознавания лиц с углом обзора 150 градусов. Замок имеет экран с диагональю 3,97 дюйма, который можно использовать в качестве дверного глазка. Фирменная операционная система HarmonyOS делает возможной интеграцию замка в систему «умного» дома. Помимо распознавания лиц, Huawei Smart Door Lock Pro оснащен физической личинкой замка для ключа, опциями открытия со смартфона и «умных» часов через NFC-карту или пароль. Встроенный аккумулятор 8800 мА•ч обеспечивает до полугода работы без подзарядки. В Китае новый дверной замок будет стоить около $580, а упрощенная версия Huawei Smart Door Lock обойдется примерно в $390.
На что необходимо обратить внимание при внедрении IAM-системы
Система централизованной аутентификации на базе IAM-решений является критической системой в ИТ-ландшафте множества компаний. Любой сбой в её работе может привести к тому, что множество бизнес-приложений окажутся недоступными для пользователей. Однако выгоды, которые можно получить в результате, перевешивают эти риски. Потому не стоит бояться внедрять их у себя в компании. На рынке достаточно достойных IAM-решений, и к текущему моменту уже накоплена практика их внедрения.
МТС обслужит по лицу // Оператор запустил свой биометрический сервис
Клиенты МТС смогут получить услуги в салонах оператора без предъявления паспорта, если сдадут биометрию в систему компании. Оператор рассчитывает, что так сможет удаленно обслуживать клиентов из любой точки мира. Но конкуренты пока не разделяют оптимизм: в «МегаФоне», например, считают услугу не слишком востребованной, а издержки — слишком высокими. В перспективе, чтобы развивать коммерческие биометрические системы, потребуется аккредитация Минцифры, поэтому интерес к технологии дополнительно снизится, считают эксперты.
Обновлять или не обновлять, вот в чем вопрос...** **
НКЦКИ предлагает простой пошаговый алгоритм принятия решения по обновлению критичного ПО. Комментарии к алгоритму и границы его применимости изложены в соответствующем бюллетене: https://safe-surf.ru/specialists/news/678042/
В этом проекте я поэтапно расскажу о создании умного сейфа с одноразовым паролем на основе времени (TOTP). Если коротко, то TOTP — это метод генерации 6-циферного пароля на основе текущей даты и времени с использованием предопределённого ключа. То есть, пока сейф будет иметь возможность отслеживать время, я смогу использовать приложение Authenticator для получения нового пароля каждые 30 секунд.
Найден способ кражи логинов и паролей, от которого нет спасения
**
**На GitHub опубликованы шаблоны для проведения атаки «Браузер-в-браузере», которая позволяет выводить убедительно выглядящие окна для перехвата реквизитов доступа. Атаки тем самым чрезвычайно упростились, а отбиться от них весьма сложно.
Минцифры России составило список социальных сетей, мессенджеров, сервисов и программ, которыми россияне смогут пользоваться вместо зарубежных аналогов.
…и никакой VPN не поможет войти в аккаунт недавно заблокированной фотосоцсети, если её владелец просто не отправляет СМС с кодами на российские номера. Тот самый случай, когда 2FA повышает безопасность настолько, что доступ пропадает даже у легального пользователя =)
🗃В связи с недавними новостями относительно обеспечения технологической независимости на значимых объектах КИИ, актуализирован состав базовых нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ.
c 31 марта 2022г. заказчики (за исключением оргaнизаций c муниципальным участием), оcyществляющие закупки в соответствии c 223-Ф3 (далее - заказчики), не могутосуществлять закупки иностранного ПО, в том числе в составе программно-аппаратных комплексов, в целях его использования на принадлежащих им значимых объектах КИИ, a также закупки услуг, необходимых для использования этого ПО на таких объектах, без согласования возможности осуществления закупок c ФОИВ, уполномоченным Правительством РФ
c 1 января 2025 г. органам государственной власти, заказчикам [определение см.выше] запрещаетсяиспользовать иностранное ПО на принадлежащих им значимых объектах КИИ
**Как удобно и выгодно применять биометрическую аутентификацию в корпоративной среде
**
Зачем организациям нужна биометрия, если можно обойтись другими методами аутентификации? Каковы преимущества и недостатки применения биометрии? Как убедить сотрудников в безопасности биометрии, а также минимизировать риски компрометации системы и утечки биометрических идентификаторов?
ФСТЭК России приостановила действие 56 сертификатов соответствия, включая сертификаты Microsoft, Cisco, Red Hat, SUSE Linux, VMware, FortiGate, eToken, SAP, Veeam, Skybox, CyberArk, Oracle.
“В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.”
Один из иностранных производителей ИБ решений: «…we do not have a presence in or do business with Russia. If we had a presence in Russia, we would most certainly have ceased operations.»
Оригинально, в духе нетленного - «если бы у рыбы была шерсть…»
Российская соцсеть «ВКонтакте» предложила пользователям перенести все фото и видео из Instagram в свою соцсеть. Это можно сделать с помощью специального приложения — https://vk.com/instagram_manager
АО «РАСУ» и ООО «УЦСБ» на паритетной основе создали совместное предприятие по разработке комплексных решений в сфере обеспечения информационной безопасности автоматизированных систем управления
Visa и MasterCard, выпущенные российскими банками, вот-вот прекратят приниматься зарубежными площадками. Самое время пересмотреть используемые онлайн-сервисы с подписками:
Обновление iOS позволит разблокировать iPhone с защитной маской на лице
__Следующее обновление программного обеспечения Apple устранит проблему, которая беспокоит пользователей с начала пандемии COVID-19, — теперь появится возможность разблокировать iPhone и iPad, не снимая защитную маску, ____передает ____агентство Bloomberg.
По информации агентства, обновленная функция Face ID, скорее всего, будет доступна в версии iOS 15.4, которая может выйти в первой половине марта. Обновление позволит системе распознавания лиц идентифицировать пользователя по областям вокруг глаз, которые индивидуальны у каждого человека.__
Агентство национальной безопасности (АНБ) опубликовало руководство с рекомендациями по защите устройств сетевой инфраструктуры и их учётных данных: «Типы паролей Cisco: лучшие практики».
Агентство национальной безопасности (АНБ) опубликовало руководство с рекомендациями по защите устройств сетевой инфраструктуры и их учётных данных: «Типы паролей Cisco: лучшие практики».
ИИ-сервис для силовиков ищет деньги, чтобы научиться распознавать абсолютно всех жителей Земли
Крупный американский поставщик ИИ-технологий распознавания лиц с неоднозначной репутацией Clearview AI ищет инвесторов. Фирма приобрела дурную славу, беззастенчиво собирая фотографии людей в социальных сетях и поисковых системах для обучения собственных нейросетей. Теперь компании нужны $50 млн на развитие технологий, лоббирование, международную экспансию, а также наполнение базы снимков лиц – в идеале, чтобы иметь возможность идентифицировать любого жителя Земли.
Первый - про «Создание инфраструктуры для систематического** исследования безопасности** критичных компонентов, составляющих основу российских дистрибутивов операционных систем и иных программных средств», второй - «Разработка унифицированной среды разработки безопасного отечественного программного обеспечения».
На каждый - не менее 6 претендентов (если ориентироваться на предложения, поданные для определения максимальной цены контракта).
DLP-система «Сёрчинформ КИБ» научилась распознавать пользователей по лицам и детектировать попытки фотографирования экрана ПК
__В новом релизе DLP-системы «Сёрчинформ КИБ» появилась функциональность, которая позволяет детектировать попытки сфотографировать экран и распознавать пользователей по лицам. Система на основе контрольных снимков с веб-камеры определяет, что пользователь навел на монитор смартфон с камерой. Модуль DLP-системы Monitorcontroller собирает информацию об открытых сайтах и процессах, активных в момент съемки, поэтому при необходимости можно увидеть всю информацию о действиях сотрудника, которые произошли за время сбора данных. Благодаря другому обновлению – функции распознавания лиц, система идентифицирует, кто в момент потенциального нарушения находился за экраном компьютера.
__
https://safe.cnews.ru/news/line/2022-02-15_dlp-sistema_serchinform_kib
Войти в электронную медкарту москвича теперь можно по отпечатку пальца и Face ID
В мобильном приложении системы здравоохранения Москвы «ЕМИАС.ИНФО» теперь можно авторизоваться с помощью короткого кода, отпечатка пальца или Face ID. Ранее вход был возможен только с помощью кода из СМС.
Марк Гурман из Bloomberg сообщает, что Apple планировала установить систему распознавания лиц Face ID в iMac 24.
Впервые Face ID должен был появиться в iMac из-за толщины корпуса: текущие размеры системы не позволяют установить её в тонкие дисплеи ноутбуков.
А это правда, что на ИБ мероприятиях до сих пор выступают не те, кому есть, что рассказать по теме мероприятия, а те, у кого есть деньги, чтобы заплатить за участие? =)
Microsoft: Только 22% корпоративных клиентов используют MFA
Microsoft уже несколько лет пытается объяснить пользователям и организациям, что многофакторная аутентификация (MFA) в современных реалиях — уже необходимость, а не просто дополнительный слой защиты аккаунтов. Тем не менее далеко не все клиенты Azure Active Directory (AD) прибегают к MFA, согласно статистике корпорации.
Со стороны CL DATAPK реализована интеграция в части приема и нормализации событий от СКДПУ, что позволяет на текущий момент: выявлять подключения к устройствам, выполняемые в обход СКДПУ, фиксировать в CL DATAPK обнаруженные СКДПУ (попытки выполнения запрещенных команд, запуски запрещенных приложений, попытки установки запрещенных удаленных подключений в рамках разрешенных удаленных подключений через СКДПУ). Помимо этого, в рамках расширения интеграции планируется проработать вопрос по контролю конфигурации СКДПУ с помощью CL DATAPK
Нейросети могут быть опасными: сгенерированные лица и синтезированные голоса все более реалистичны
Т__ехнология машинного обучения, нейросети - все это стало уже давно привычным во многих отраслях науки, технологий, медицины и других сфер. В том, что они могут быть очень полезными, нет никаких сомнений. Но есть и обратная сторона медали - использование возможностей современных технологий для обмана.__
__
Если раньше киберпреступники массово рассылали фишинговые письма, то сейчас уже известны случаи, когда они же пытаются подделать голос руководителя компании для достижения своих целей. Мы уже писали о трендах в киберзащите, связанных с искусственным интеллектом, и проблема фейковых голосов и лиц - одна из них.__
BioSmart и VisionLabs представили отечественное решение для контроля доступа на базе ИИ
Интеграция BioSmart Quasar с LUNA PLATFORM обеспечивает бесконтактный способ прохода через турникет по биометрии лица. Достаточно посмотреть в камеру – распознавание занимает доли секунды. Высокочувствительная оптическая система BioSmart Quasar, состоящая из RGB и 3D-камер, а также камеры глубины, выполняет детекцию лица и проверку на liveness, а нейросети LUNA PLATFORM извлекают из изображения биометрический шаблон и сравнивают его с существующей базой данных. Если они совпадают – проход будет разрешен.
«Авито» стал первым сервисом, реализовавшим верификацию аккаунта через «Госуслуги» с помощью приложения «Госключ»
Верификация через «Госуслуги» с помощью приложения «Госключ» — это первый шаг в эксперименте Минцифры России по подключению агрегаторов товаров и услуг в интернете к Единой системе идентификации и аутентификации портала «Госуслуги». Всего в пилотном проекте участвует 10 компаний, ответственных за работу 12 сайтов и приложений.
Натуральный шелк способен повысить надежность аутентификации и шифрования
Исследование, проведенное в Институте наук и технологий Кванджу, Южная Корея, показало, что натуральный шелк можно использовать для создания устойчивых к взлому цифровых систем безопасности. Уникальность генерируемых ключей достигается за счет непредсказуемого изменения интенсивности света, проходящего сквозь слой неупорядоченных природных волокон.
DrawnApart — новая техника снятия отпечатков пользователей с помощью GPU
Команда экспертов из университетов Франции, Израиля и Австралии показали интересный метод создания уникальных цифровых отпечатков пользователей Сети и веб-отслеживания. Для этого исследователи задействовали графические процессоры самих объектов слежки (GPU).
Сложный банковский 2FA-троян в Google Play заразил 10 000 Android-устройств
В официальном магазине приложений Google Play Store более двух недель распространялся банковский троян, замаскированный под софт для двухфакторной аутентификации. Это приложение успели скачать более 10 тыс. пользователей.
Samsung анонсировала сканер отпечатков пальцев для платёжных карт
__Компания Samsung представила технологию защиты банковских карт и пропусков — в «пластик» добавили сканер отпечатков пальцев.
На одном чипе разместили дактилоскопический сенсор, процессор и модуль безопасности. Как будет осуществляться питание устройства, неизвестно. Вероятно, для работы сканера будет достаточно энергии, передаваемой NFC.__
DLBI назвал самые популярные пароли у интернет-пользователей
В традиционный топ самых популярных кириллических паролей вошли: йцукен, пароль, любовь (поднявшаяся с 4 места), привет (в прошлом году занимавший 5 место), наташа (перешедший с 6 места), максим (упавший с 7 места), марина (поднявшаяся с 9 позиции), люблю, андрей (занимавший 10 место) и кристина.
Не паролем единым. Как защищать данные в современных организациях
__Начните с малого — расскажите сотрудникам о современных подходах к информационной безопасности и средствах защиты информации, откажитесь от публичных облаков и организуйте частное облако в подконтрольной инфраструктуре. Такое облако может быть в собственности, управлении и обслуживании у самой организации либо у доверенной стороны, а также может располагаться как на территории предприятия, так и за его пределами.
Следующим шагом, который приведет к повышению компьютерной грамотности персонала и, как следствие, к снижению рисков утечки данных, станет переход на использование прикладного программного обеспечения с поддержкой квалифицированной электронной подписи, уровень криптографической стойкости которой находится принципиально на другом уровне.__
Альтернатива сложным комбинациям: оценили надежность и удобство эмодзи-паролей
Идея использовать эмодзи в качестве паролей не лишена привлекательности, и в ней есть рациональное зерно. Так, например, техногигант Apple и некоторые производители сетевого оборудования ее уже воплотили. Если тоже захотите реализовать эту возможность, имейте в виду, что проект будет неизбежно сопряжен с трудностями технического характера. Если (читайте: когда) что-то пойдет не так, специалистам по кибербезопасности и разработчикам не хватит ромашкового чая 🌼🍵, чтобы успокоить нервы и разрешить проблемы. А еще эти пользователи… они умудряются испортить любую хорошую идею!
На фоне новости о том, что Twitter начал исполнять закон «о приземлении», возросла посещаемость вот этого моего давнего поста: https://zlonov.com/howto-remove-all-tweets Хотя, может, просто совпадение =)
Японцы придумали систему оплаты, которая распознаёт лица в масках
Японская компания Glory запустила тестирование системы бесконтактной оплаты, которая способна распознавать лица людей в защитных масках.
Сейчас BioPay работает в десяти магазинах и ресторанах города Ниигата. Для регистрации необходимо загрузить фотографию лица и привязать банковскую карту на сайте Glory.
CISA опубликовало инфографику, чтобы подчеркнуть важность сегментации сети.
**Преимущества сегментации между ИТ и ОТ сетями:
**• Сегментированные зоны изолируют и защищают ценные активы и данные.
• Вредоносный трафик легче обнаружить, предотвратить и сдержать.
• Злоумышленники должны преодолеть несколько межсетевых экранов и других рубежей для доступа к среде OT.
И молвил ИИ человеческим голосом // Как сейчас применяются технологии клонирования голоса
Индустрия синтеза голоса и речи быстро растет и развивается, и ее объемы уже превышают $1 млрд. Широкие возможности применения таких технологий очевидны: голосовые помощники, говорящие роботы, радио- и телепрограммы, озвучивание книг и фильмов голосами известных людей, восстановление голосов тех, кто умер или лишился возможности говорить и т. п. В последние два года в условиях пандемии разработки в этой области заметно активизировались.
На «Госуслугах» появится возможность входа в личный кабинет по биометрии
Минцифры заключило контракт с «Ростелекомом» (оператор «Единой биометрической системы») на интеграцию единой системы идентификации и аутентификации госуслуг с «Единой биометрической системой». Согласно техзаданию, войти на портал можно будет с помощью биометрии. Через приложение госуслуг Минцифры планирует собирать биометрические данные лица, а также голоса. Стоимость контракта — 1,2 млрд руб., работа должна быть выполнена к 5 декабря 2022 г.
Эксперты разработали систему для решения CAPTCHA на сайтах дарквеба
__Команда исследователей из университетов Аризоны, Джорджии и Флориды представили основанную на машинном обучении систему для решения тестов CAPTCHA. По словам экспертов, их разработка способна обойти 94,4% CAPTCHA на сайтах в дарквебе.
Авторы солвера выложили его на GitHub, поэтому существует риск использования новой системы и в киберпреступных целях.__
Владельцы иностранных информационных ресурсов с суточной аудиторией более полумиллиона российских пользователей обязаны создать в РФ филиал, представительство или уполномоченное юрлицо, зарегистрировать личный кабинет на сайте Роскомнадзора, а также разместить на своем ресурсе электронную форму для обратной связи с российскими гражданами или организациями.
__
В первую очередь закон коснется Facebook, Instagram, Twitter, TikTok, Google, YouTube, WhatsApp, Viber, Telegram, World of Tanks.__
Сервис Have I Been Pwned добавил 441 000 аккаунтов, украденных RedLine
Знаменитый сервис Have I Been Pwned, собирающий информацию об утечках и позволяющий проверить свои данные на предмет компрометации, добавил 441 000 аккаунтов в свою базу. Эти учётные записи объединяет одно: все они были украдены в ходе кампаний операторов вредоноса RedLine.
**Two steps from domain admins
**
__Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.
На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.__
Вредонос RedLine напомнил всем: нельзя сохранять пароли в браузерах
Вредоносная программа RedLine стала очередным напоминанием пользователям о том, что хранить пароли в браузерах нельзя ни при каких обстоятельствах. Как отметили эксперты по кибербезопасности, этот зловред крадёт учётные данные из Google Chrome, Microsoft Edge и Opera.
**Мастер-пароли пользователей LastPass могли быть скомпрометированы
**
__Пользователи менеджера паролей LastPass сообщают о попытках компрометации их мастер-паролей. Людям приходят соответствующие электронные письма, в которых говорится о попытках входа из неизвестного местоположения. __
Также в письмах сервис оповещал пользователей о блокировке попыток аутентификации, поскольку использовалась новая геолокация, ранее неизвестная LastPass. С помощью электронной почты пользователь мог либо подтвердить вход, либо отклонить.
Для подтверждения личности пройдитесь: аутентификация по походке
__Ученые из университета Плимута (Великобритания) предложили интересную идею: если походка человека так индивидуальна, как и его лицо или отпечатки пальцев, то ее можно использовать для верификации его личности на смартфонах. Насколько сильны отличия между походками, как смартфоны собирали о них данные, и насколько безопасна система верификации на базе походки? Ответы на эти опросы - в докладе ученых. __
Как выбрать метод аутентификации пользователей в СУБД
Как грамотно выбрать надёжный метод аутентификации для пользователей в системе управления базами данных (СУБД), опираясь на такие критерии, как сложность и цена реализации, а также уровень безопасности? Как расширение и графический веб-интерфейс могут упростить работу? Рассмотрим на примере отечественной СУБД Jatoba.
Жители трех пилотных регионов смогут оформить первые цифровые паспорта
Правительство России с 2023 года начнет внедрять цифровой паспорт. Первыми пилотными регионами, жителям которых станет доступна такая опция, станут Москва, Московская область (Подмосковье) и Татарстан. Об этом в интервью РИА Новости сообщил вице-премьер Дмитрий Чернышенко.
Единственный и бессменный админ-пароль — частая причина заражения сети
__Анализ внутренних систем компаний, пораженных шифровальщиком, показал, что взломщики использовали доступ по RDP с локальными правами администратора. Исследователи из AhnLab также отметили, что во всех случаях пароль был одинаков и не менялся последние год или дв__а.
**От 1FA к Zero-Trust через рынок ИБ
**
В данной статье автором осуществляется фундаментальный обзор актуальных на сегодняшний день алгоритмов аутентификации пользователей, а также производится разбор и оценка возможности их применимости в контексте инфраструктурного подхода Нулевого Доверия (англ. Zero-Trust).
Какой Identity-провайдер выбрать для реализации технологии Single Sign On
В статье сравниваются популярные инструменты аутентификации и авторизации, которые упростят работу с технологией единого входа — Single Sign On. Собранный материал будет полезен для новичков и специалистов с опытом. Статья ориентирована в основном на .NET-разработчиков, но есть здесь инсайты и для работающих с Java и JavaScript.
Мошенники в России научились обходить СМС-коды банка для аутентификации
Секрет успеха злоумышленников кроется в одновременном проведении поддельной операции на фишинговом сайте, который обычно маскируют под оплату ОСАГО, и реальном переводе средств жертвы.
Дума одобрила перевод Единой биометрической системы в статус государственной
Депутаты Госдумы на пленарном заседании 22 декабря одобрили в окончательном, третьем чтении законопроект, согласно которому Единая биометрическая система (ЕБС) получит статус государственной. Документ переносит с 1 января на 1 сентября 2022 г. вступление в силу нормы по предоставлению участниками финансового рынка услуг после прохождения лицом идентификации и аутентификацию по биометрии. Предполагается, что законопроект вступит в силу со дня его подписания.
Беспарольное сканирование сети — новый сервис Scan Assistant от Rapid7
__В рамках любой хорошей программы ИТ безопасности, компании регулярно сканируют свои сети, чтобы определить где они уязвимы. Один из самых неудобных нюансов сканирования сети заключается в том, что для полной оценки набора целей, сканер должен иметь возможность аутентифицироваться для этих целей.
Предоставление необходимых учетных данных ядру сетевого сканирования сопряжено с рядом проблем и дополнительными рисками.
Scan Assistant — это облегченный сервис, который может сканировать объекты без необходимости предоставления учетных данных.__
На «Госуслугах» появится обязательная двухфакторная аутентификация
__Минцифры планирует в 2022 г. ввести на портале «Госуслуги» обязательную двухфакторную аутентификацию, чтобы защитить пользователей портала от мошенничества, сообщили «Известия» со ссылкой на пресс-службу министерства. Там отметили, что сейчас пользователи могут сами включить такую функцию, чтобы подтверждать свой вход не только паролем, но и с помощью смс, однако мало кто это делает.
__
https://www.vedomosti.ru/technology/news/2021/12/22/901937-gosuslugah-identifikatsiyu-sms
Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия
__Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.
Используя описанный метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.__
В Минцифры сообщили об устранении разногласий по проекту электронного паспорта
Минцифры устранило все разногласия по проекту указа о цифровых паспортах, заявил «РИА Новости» министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. По его словам, проект указа о цифровых паспортах планируется внести на рассмотрение уже на этой неделе.
В прошлом для аутентификации в большинстве приложений и веб-сервисов пользователи должны были запоминать и при каждом логине вводить свои пароли. Кроме неудобства, это создавало ещё и угрозы безопасности, поскольку пользователи часто выбирали слабые пароли и использовали их в нескольких сервисах. Аутентификация на основе токенов устраняет подобные проблемы. Давайте разберёмся, как она реализуется.
В Канаде запретили распознавать лица без согласия людей
Управления по защите приватности трех провинций в Канаде — Британской Колумбии, Альберты и Квебека — предписали компании Clearview AI прекратить сбор и какое-либо использование изображений граждан этих провинций без их на то согласия.
МТС станет владельцем системы распознавания лиц Visionlabs
__Дочерняя структура мобильного оператора МТС — компания Intema — договорилась о покупке разработчика системы распознавания лиц Visionlabs, сообщили «Ведомостям» в пресс-службе МТС. Сумма сделки составит порядка 7 млрд руб.
Intema выкупит разработчика у основателей Visionlabs, которым до сделки принадлежало 51,77% акций, а также у структур «Сбера» — 25,07% и венчурного фонда АФК «Системы» Sistema VC — 23,16% акций. Сооснователь и председатель совета директоров Visionlabs продолжит работу в компании. __
Facebook сделает двухфакторную авторизацию обязательной для политиков и журналистов
__Социальная сеть Facebook объявила, что обяжет пользователей с высоким риском взлома аккаунта включить двухфакторную аутентификацию, сообщает Techcrunch со ссылкой на представителей компании. Речь идет, в частности, о политиках, журналистах и правозащитниках.
Если пользователь откажется от включения двухфакторной аутентификации (вход не только по паролю, но и по коду из СМС или биометрии), то он будет автоматически заблокирован до тех пор, пока не подключит функцию. В компании пока не планируют распространять это требование на всех пользователей соцсети.__
Частичные пароли: история о том, как задёшево вывести из себя пользователя и/или как вставить палки в колёса кейлоггерам.
__Что такое частичный пароль? Каковы достоинства и недостатки их использования в процессе аутентификации? В статье подробно рассматриваются математические основы, технические детали и практика применения частичных паролей. Предлагается порассуждать об их месте в современных цифровых системах. __
RecFaces представила интеграцию биометрического решения Id-Gate со сканером документов Regula
__Компания RecFaces провела интеграцию готового биометрического решения Id-Gate со сканером документов компании «Регула». Пилотный проект реализовали по заданию одного из крупнейших вузов России.
«Регула» – международный производитель экспертных продуктов, предназначенных для проверки подлинности документов, денежных знаков и ценных бумаг. Разработки компании востребованы в разных странах мира.
Главной целью проекта стало создание открытой системы доступа в здание университета, которая объединила бы проверку паспортов с верификацией человека по лицевой биометрии и не требовала предварительного оформления пропусков.__
Баги миллиардов чипов Wi-Fi и Bluetooth допускают кражу паролей
Исследователи из Дармштадтского технического университета и Центра новых производств и технологий опубликовали документ, в котором описывается способ извлечь пароли и манипулировать трафиком за счёт Wi-Fi-чипа и Bluetooth-компонента устройства жертвы.
Оказывается, существуют USB-ключи и смарт-карты ФОРОС http://smart-park.ru/index.php/products/forosnew.html
Интересно, какая сейчас ёмкость у рынка аппаратных средств аутентификации, раз всё новые и новые игроки находят себе на нём место?…
Как связаны аутентификация и теория относительности? Учёные ищут способы защиты ATM за гранью физики
__В ноябре Nature опубликовал работу учёных Женевского университета (UNIGE) и канадского Университета Макгилла, которые решили заменить привычную систему PIN-кодов на более безопасную. В поисках сверхнадежной аутентификации исследователи предложили пересмотреть фактор владения и опираться на метод математического доказательства с нулевым разглашением в связке со специальной теорией относительности. __
Уязвимости протокола OAuth 2.0: опасно ли аутентифицироваться через профиль в соцсетях
OAuth 2.0 — протокол авторизации, позволяющий входить на сайты с помощью профиля в социальных сетях. Протокол имеет гибкую структуру, в нём отсутствуют обязательные функции безопасности, что повышает вероятность успешной атаки со стороны злоумышленников. Наличие уязвимостей в OAuth 2.0 зависит от правильности применения потоков протокола, а также от использования его параметров.
В сервисы «Яндекса» будут пускать по паспорту. ИТ-гигант внедрит авторизацию через ЕСИА
__Российский ИТ-гигант «Яндекс» планирует запустить новую систему доступа пользователей к своим профилям. Для входа в личный кабинет во всех сервисах «Яндекса» россиянам можно будет использовать Единую систему идентификации и аутентификации. Другими словами, будут использоваться данные, применяемые для доступа к порталу госуслуг.
О скором внедрении ЕСИА в сервисы «Яндекса» сообщил действующий глава российского Минцифры Максут Шадаев. Министр подчеркнул, что в скором будущем эта практика распространится и на другие популярные у россиян веб-сервисы, но не уточнил, на какие именно.__
Сканер отпечатков пальцев MacBook и iPad взломали с помощью фото, клея и плёнки
На видео длиной всего одну минуту показывают, насколько прост процесс взлома: достаточно взять фото отпечатка, перевести его в чёрно-белый вариант без оттенков серого и распечатать получившуюся картинку на лазерном принтере на ацетатной плёнке. Напечатанный отпечаток будет объёмным. Дальше достаточно будет нанести на этот отпечаток обычный столярный клей и подождать, пока он затвердеет.
«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах
В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.
«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах
В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.
Израильская армия использует технологии распознавания лиц для отслеживания палестинцев
__Израильские военные используют технологии распознавания лиц для отслеживания палестинцев на оккупированном Израилем Западном берегу реки Иордан. Бывшие израильские солдаты рассказали изданию The Washington Post о программном обеспечении для смартфонов под названием Blue Wolf, которое делает фотографии палестинцев и сопоставляет их с большой базой данных. Затем телефон оповещает солдата, следует ли арестовать, задержать или оставить данного человека в покое.
Израильская армия последние два года наполняла базу данных тысячами изображений палестинцев и даже проводила так называемые «конкурсы», награждая солдат за то, что они фотографировали как можно больше людей.__
Facebook откажется от использования системы распознавания лиц
__Компания Meta, которой принадлежит соцсеть, удалит шаблоны более одного миллиарда людей, поскольку регуляторы пока не регламентировали применение этой технологии.
«Мы прекращаем работу системы распознавания лиц в Facebook. Люди, которые соглашались ее использовать, больше не будут автоматически определяться на фото и видео»,— отметили в Meta.
По словам вице-президента по искусственному интеллекту в Facebook Джерома Песенти, регуляторы еще не создали определенный набор требований к использованию системы распознавания лиц, поэтому необходимо пока ограничить ее. Предполагается, что компания удалит шаблоны лиц к декабрю 2021 года.__
SSL сертификаты. Для чего они нужны, какие бывают, от чего защищают, кто использует, как долго действуют, есть ли гарантия? Разберем основные вопросы – кратко, в режиме твиттера – не более 280 символов на ответ.
ФБР получило ордер на разблокировку устройства с помощью биометрии
__Для получения информации о деятельности мужчины, обвиняемого в участии в захвате Капитолия 6 января 2021 года и нападении на полицейских с применением перцового баллончика, ФБР использовало один из самых противоречивых своих методов.
Как сообщает Forbes, 4 февраля нынешнего года агенты ФБР получили ордер на обыск по месту жительства подозреваемого в городе Юнионтаун (штат Пенсильвания, США) и разблокировку устройств с помощью его отпечатков пальцев, лица или других биометрических данных. Попав внутрь помещения, они обнаружили, что подозреваемый Питер Шварц (Peter Schwartz) использовал для разблокировки своего Samsung S10 отпечаток большого пальца.__
Сноуден: Не сдавайте свою биометрию в обмен на криптовалюту
__На днях новый стартап венчурного инвестора Сэма Альтмана Woldcoin вышел из режима секретности, раскрыв некоторые подробности о своих разработках. Компания создала устройство для сканирования радужки глаза и планирует выплачивать согласившимся пройти сканирование награду в собственной криптовалюте. Реализован проект на блокчейне Ethereum.
Разработчики заверяют, что как такового сбора биометрии в базу данных не происходит. Скан радужной оболочки глаза преобразуется в цифровой код прямо в устройстве. После этого исходные данные удаляются, а код хранится в распределенном реестре, служа уникальным идентификатором пользователя. Восстановить скан по коду невозможно.
Эдвард Сноуден, известный сторонник конфиденциальности, раскритиковал создание базы биометрических данных стартапом Worldcoin. Сноуден призвал своих подписчиков в Twitter не обменивать свои биометрические данные на криптовалюту.__
__Пользователи очень любят простые пароли. Причины этого могут быть разные - кто-то просто не задумывается о сложности пароля, кому-то лень запоминать, а кому-то просто нравится когда в качестве пароля используется распространенное, но крутое слово.
Адекватной реакцией на эту проблему со стороны разработчиков является проверка пользовательских паролей и, соответственно если пароль слишком прост, предложение создать пароль посерьезней. Давайте рассмотрим как можно реализовать наиболее распространенные проверки.__
**И снова про безопасность банков и СМС
**
Сегодня меня попытались “развести” интернет-мошенники. Схема обычная и нехитрая - “у вас скомпрометирована карта, пришлите код из СМС чтобы мы заблокировали операцию”. Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные “утекли” и что с подобным кодом могли сделать жулики, я проверил - и мне стало реально страшно.
Правительство разрешило собирать биометрию водителей каршеринга и такси
__Правительство утвердило перечень случаев, в которых нефинансовые организации смогут собирать и обрабатывать в информационных системах персональные биометрические данные физлиц. Соответствующее постановление подписал премьер-министр Михаил Мишустин. Документ опубликован на официальном портале правовой информации.
Документ разрешает использование биометрических данных для идентификации и аутентификации водителей легковых такси и автомобилей каршеринга.
В Минцифры заверили, что в постановлении правительства описана ситуация, когда владельцы такси или каршеринга по собственной инициативе используют коммерческие биометрические системы. Они смогут предоставлять услуги по биометрической идентификации только при условии наличия аккредитации на предмет соответствия требованиям по информационной безопасности и хранению биометрических персональных данных. Ее будет проводить Минцифры с 2022 года.
Постановление вступит в силу 1 марта 2022 года и будет действовать шесть лет.__
Новый метод на базе ИИ позволяет подсмотреть вводимый PIN-код в банкоматах
__Исследователи из Италии и Нидерландов разработали метод машинного обучения, способный определять вводимый человеком PIN-код в банкомат. Новый метод работает даже в тех случаях, когда клиент банкомата прикрывает рукой панель ввода.
Поскольку экран банкомата вряд ли будет скрыт во время ввода PIN-кода, время нажатия клавиши может быть установлено путем синхронизации движений руки с появлением «замаскированных» цифр (обычно звездочек), которые появляются на экране банкомата в ответ на запрос пользователя. Синхронизация показывает точное расположение рук в «скрытом» сценарии в момент ввода.
Рассматривая меры противодействия существующим системам, исследователи считают, что реально действенных средств защиты от такого рода атак не существует. Увеличение минимального числа необходимых цифр в PIN-коде затруднит запоминание чисел, случайный порядок расположения цифровых клавиш на программной клавиатуре сенсорного экрана также вызывает проблемы с удобством использования, а защитные пленки для экрана не только будут дорогими для установки на существующие банкоматы, но и, возможно, сделают способ атаки еще более простым в реализации. Исследователи утверждают, что их атака работоспособна даже тогда, когда скрыто 75% клавиатуры (закрытие большего количества затрудняет ввод текста пользователем).__
7-Eleven собрала биометрические данные 1,7 млн человек без их согласия
__Австралийский комиссар по информации обнаружил , что оператор крупнейшей сети небольших магазинов 7-Eleven нарушал приватность своих клиентов, собирая биометрическую информацию без их согласия.
С июня 2020-го по август 2021 года компания 7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами. Эти планшеты, установленные в 700 магазинах, захватывали изображения лиц участников опроса два раза - в процессе заполнения и после.
Узнав об этом в июле прошлого года, Управление австралийского комиссара по информации (Office of the Australian Information Commissioner, OAIC) инициировало расследование.__
Власти решили перенести переход бизнеса на новый формат электронной подписи
__Власти приняли решение перенести последний этап реформы электронной подписи на более поздние сроки. Об этом сообщил РБК со ссылкой на источники среди участников рынка. Изначально планировалось, что бизнес с 1 января 2022 г. перейдет на машиночитаемые доверенности — электронные документы, подтверждающие, что сотрудник имеет право подписывать документ от имени организации.
Представитель аппарата вице-премьера Дмитрия Чернышенко подтвердил, что на совещании у вице-премьера было принято решение, что в 2022 г. будет введен переходный период для использования так называемых машиночитаемых доверенностей. В течение следующего года такие электронные документы можно будет применять добровольно, а аккредитованные удостоверяющие центры смогут, как и раньше, выпускать на сотрудников электронные подписи с привязкой к организации.__
Мэрия Москвы планирует контролировать ношение масок в ТЦ с помощью камер
__Мэрия Москвы потребовала от торговых центров записи с камер, которые подключат к городской системе видеонаблюдения, чтобы следить за соблюдением масочного режима, __сообщил __«Коммерсантъ» со ссылкой на источник, присутствовавший на совещании в департаменте торговли и услуг Москвы 13 октября.
Торговые центры получили указание до 20 октября интегрировать видеокамеры с входных групп объектов с единым центром хранения данных (ЕЦХД) мэрии города. В инструкции для ТЦ говорится, что разрешение камеры должно быть не ниже 720p, частота кадров — 15-25 кадров в секунду.
Администрация ТЦ должна назначить ответственного для взаимодействия с департаментом информационных технологий (ДИТ) Москвы. На запрос издания в ДИТ не ответили__.
**Банки попросили ЦБ отложить обязательную выдачу кредитов по биометрии
**
Банки не успевают выполнить новые требования так называемого антиотмывочного закона о запуске с 1 января 2022 года возможности дистанционного открытия счетов, вкладов и выдаче кредитов с помощью Единой биометрической системы (ЕБС). Ассоциация банков «Россия» (АБР), в которую входят крупнейшие кредитные организации, попросила ЦБ фактически перенести срок вступления этих требований на 1 января 2023 года — до этого времени регулятору предлагается не применять к банкам меры воздействия (закон о ЦБ включает в их число штрафы, ограничение операций, ограничение компенсирующих выплат сотрудникам, назначение временной администрации и т.д.).
Дипфейк-голоса могут обмануть IoT-устройства и людей после пяти секунд обучения
__Исследователи из Чикагского университета протестировали программы синтеза дипфейк-голосов, доступные на сайте сообщества разработчиков с открытым исходным кодом Github, с целью узнать, могут ли они обойти системы распознавания голоса в Amazon Alexa, WeChat и Microsoft Azure.
По словам разработчиков программе требуется всего пять секунд для создания приемлемой имитации. Созданный «набор инструментов для клонирования голоса в реальном времени» был в состоянии обмануть Microsoft Azure примерно в 30% случаев и в 63% случаев успешно обманывал WeChat и Amazon Alexa.
Программа смогла обмануть и человеческие уши — из 200 добровольцев, которых просили определить настоящие голоса среди дипфейков, примерно в половине случаев ответы были неправильные.__
Google раздал 10 тысяч флэшек с ключами безопасности
__Google бесплатно раздал USB-ключи безопасности 10 тыс. пользователям с высоким риском быть взломанными хакерами. Как сообщает «Би-би-си», это специальные флешки с паролями от аккаунтов, обеспечивающие дополнительный уровень безопасности.
Флэшки с ключами безопасности были розданы, в первую очередь, людям с высоким риском взлома. К ним относятся политики и правозащитники. С помощью USB-ключей пользователи смогут настроить двухфакторную аутентификацию.__
Баг LibreOffice и OpenOffice позволяет подделать подписанные документы
__Разработчики LibreOffice и OpenOffice выпустили обновления, призванные устранить уязвимость в этих офисных пакетах. Согласно описанию, брешь позволяет злоумышленникам замаскировать файлы под документы, подписанные надёжным источником.
Несмотря на то что баг получил среднюю степень риска, его эксплуатация может привести к печальным последствиям, поскольку пользователи склонны доверять подписанным документам. С помощью бреши любой может выдать документ за доверенный, а потом выполнить вредоносный код на компьютере жертвы.__
__Говорят, что лучший менеджер паролей — это наш мозг. В этом утверждении есть смысл, но иногда приходится задействовать и внешние ресурсы. Сегодня мы хотим рассказать о лучших менеджерах паролей 2021 года, которые могут сделать вашу жизнь немного проще.
Выбрать удобный и надёжный менеджер паролей — непростая задача. Вы должны действительно доверять сервису. В конце концов, именно он будет хранить ваши секретные данные.
Мы протестировали два десятка менеджеров паролей и выбрали десять, которые являются лучшими с точки зрения функциональности, безопасности и удобства. Все оценки субъективны, конечно же.__
Avanpost FAM обеспечит многофакторную аутентификацию для Microsoft Exchange
__«Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, успешно интегрировала систему Avanpost FAM с корпоративной почтой Microsoft Exchange.
Avanpost FAM помогает обеспечить централизованный контроль доступа пользователей к корпоративной почте Microsoft Exchange и использует для ее защиты современные способы многофакторной аутентификации. При этом система позволяет защитить почту не только веб-клиентов, но и пользователей мобильных приложений Outlook, подключаемых по Exchange ActiveSync. Данное решение позволяет отказаться от стандартного подхода к многофакторной аутентификации в Exchange с использованием облачного сервиса MFA, позволяя реализовать аутентификацию в on-premise-инфраструктуре организации.__
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet
**
**Администратор форума RAMP и бывший оператор шифровальной группировки Babuk выложил реквизиты доступа к полумиллиону скомпрометированных устройств Fortinet. Уязвимости в них устранены, но администраторы забыли сменить логины и пароли.
__Европарламент проголосовал за резолюцию, призывающую к полному запрету биометрических систем массового слежения, использующих технологии искусственного интеллекта. Речь идет в первую очередь о системах распознавания лица.
Основным мотивом для озабоченности европарламентариев стали риски дискриминации, необъективности и несправедливости при использовании данных систем правоохранительными органами. В ходе обсуждения были представлены многочисленные примеры, доказывающие несовершенство и ошибочность работы систем распознавания лиц.__
__Российские власти готовятся к очередному этапу цифровизации страны. Минцифры создало рабочую группу, в рамках которой будет разрабатываться механизм внедрения усиленных квалифицированных электронных подписей (УКЭП) в SIM-карты граждан. Это позволит в перспективе полностью избавиться от необходимости в физических подписях документов.
В сообщении Минцифры сказано о том, что усиленные квалифицированные электронные подписи (УКЭП) можно будет ставить на базе стандартных сим-карт для телефонов. Поскольку такая подпись защищена и программно, и юридически, сопоставима по значимости с личной, такой подход избавит россиян от многих проблем при проведении критически важных и рискованных операций, а также избавит от необходимости личного посещения различных инстанций. Как именно будет реализована технология УКЭП на сим-картах, не уточняется.__
Google самостоятельно подключит пользователей к двухфакторной аутентификации
__Американская корпорация Google к концу 2021 года автоматически подключит к двухфакторной аутентификации свыше 150 млн пользователей, а также более 2 млн авторов на YouTube. В компании считают, что это поможет усилить безопасность учетных записей.
Сейчас Google автоматически включает двухэтапную аутентификацию в тех аккаунтах, где указан номер телефона или резервный адрес электронной почты. Ранее, в мае 2021 года, Google разрешила поставить пароль на историю действий на сайтах, в приложениях и сервисах Google, поисковые запросы, историю просмотров YouTube и вопросы «Google Ассистенту».
__
https://www.kommersant.ru/doc/5018924
«Яндекс» будет предупреждать о скомпрометированных паролях
__Российская компания «Яндекс» объявила об усилении безопасности аккаунтов пользователей. Теперь при входе в учетную запись пароль будет проверяться на надежность: если он был скомпрометирован, «Яндекс» попросит поменять пароль.
«Яндекс» будет осуществлять проверку по базе из 1,2 млрд скомпрометированных паролей, пополняемых из открытых источников. Будут учитываться пароли, раскрытые в результате утечек данных. Если пароль был скомпрометирован, то «Яндекс» попросит его сменить и подтвердить права на аккаунт через СМС. Также «Яндекс» теперь будет присылать уведомления обо всех входах в учетную запись, чтобы можно было сразу принять меры и защитить аккаунт.__
Mozilla: Бэтмен и Человек-паук чаще всего фигурируют в слитых паролях
__Пароли с отсылками к фильмам про супергероев стали чаще фигурировать в базах скомпрометированных учётных данных. Об этом говорит исследование, которое недавно провели специалисты компании Mozilla.
В этот раз исследователи решили выяснить, какие пароли чаще всего встречаются в утечках. Удивительно, но пользователи довольно часто задействуют имена супергероев для защиты своих аккаунтов. Например, Супермен встретился аналитикам 368 397 раз, Бэтмен — 226 327 раз, Человек-паук — 160 030. Росомаха и Железный человек тоже фигурировали в тысячах утечек.__
Касперская посоветовала россиянам не сдавать биометрические данные
__Президент InfoWatch Наталья Касперская посоветовала не сдавать биометрические данные из-за отсутствия понимания, как их будут защищать, сообщили «РИА Новости».
«Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на удобство. Их практически с гарантией украдут, продадут, сольют. Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников. При этом мне лично непонятно, а зачем вообще нужно использование биометрии?» — сказала она.__
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
The Rise of One-Time Password Interception Bots - пост Брайна Кребса про сервисы перехвата одноразовых паролей (One-Time Password):
__Клиент (злоумышленник) OTP Agency (прим. - __это один из таких сервисов) вводит номер телефона и имя жертвы, а затем служба инициирует автоматический телефонный звонок, который предупреждает этого человека о несанкционированной активности в его аккаунте. Далее голосовой бот предлагает пользователю ввести OTP-пароль, сгенерированный мобильным приложением его телефона («для целей аутентификации»), после чего этот полученный код сообщается злоумышленнику через веб-сайт OTP Agency.
SRP-6a. Безопасная аутентификация по небезопасному каналу
Как аутентифицировать пользователя без передачи пароля на сервер? Возможно ли проверить, что пользователь ввёл правильный пароль, не передавая пароль на сервер. Да, такое возможно, благодаря доказательству нулевого разглашения.
Вывод (спойлер):
SRP является отличным протоколом парольной аутентификации, устойчив к перебору по словарю, прослушиванию, подмены. Аутентификационные данные хранятся на сервере в виде, не позволяющем извлечь первоначальный пароль. Более того, алгоритм может использоваться для шифрования передаваемых данных.
Баг в драйвере AMD CPU может раскрыть пароли пользователей Windows
Американская компания AMD, производящая процессоры, настоятельно рекомендует пользователям операционной системы Winodws установить все вышедшие обновления. Оказалось, что разработчики пропатчили опасную уязвимость, с помощью которой злоумышленники могут снять дамп системной памяти и украсть конфиденциальные данные. Эта брешь отслеживается под идентификатором CVE-2021-26333 и затрагивает компьютеры с процессорами от AMD. Как объяснил сооснователь ZeroPeril, обнаруживший уязвимость, основная проблема заключается в драйвере AMD Platform Security Processor (PSP), который, по сути, является эквивалентом Intel SGX.
Сегодня в 11 МСК конференция Гротек: Защита информации в АСУ ТП. Безопасность критической информационной инфраструктурыhttps://www.tbforum.ru/online/2021/kii
Злоумышленники измазали солидолом самокаты в Москве в конце августа. А к середине сентября их не только нашли. Они успели подписать мировое соглашение с владельцами испорченных самокатов — «Яндексом» и сервисами Whoosh и Urent. И теперь заплатят им миллион рублей компенсации. То есть вычислили «солидольщиков» очень быстро. И сделали это, судя по всему, по записям камер наблюдения. Ими увешана вся Москва. В столице работает система распознавания лиц, которая позволяет узнать человека, даже если он в медицинской маске. Плюс к этому многие используют транспортную карту «Тройка». И найти человека, который совершил какой-то проступок, а потом еще и поехал на метро, стало достаточно легко.
Microsoft разрешила отказаться от паролей для аккаунтов
Microsoft предоставила возможность пользователям полностью отказаться от паролей в учетных записях. В компании считают пароли «устаревшими» и представляющими угрозу безопасности аккаунтов.
На выбор представляется сразу несколько альтернатив, включая биометрические. Подтверждать доступ к аккаунту можно будет с помощью мобильного телефона и электронной почты, приложения Microsoft Authenticator, распознавания отпечатка или лица с помощью Windows Hello, а также ключа безопасности.
Оплату лицом могут ввести в наземном транспорте Москвы, на МЦК и МЦД в 2022 году
Власти Москвы прорабатывают возможность подключения МЦД, МЦК и наземного транспорта к технологии оплаты проезда по лицу FacePay, сообщил заммэра столицы по вопросам транспорта Максим Ликсутов.
Кому не хватало подкастов по ИБ на русском? =) Вот отличный старт от Медиа Группы «Авангард». Ведущего, кстати, можно было не писать - кто же не знает его голос и манеру говорить? 😉
https://soundcloud.com/caatp2zvua7o/sets/soc-podcast
**Взлом госуслуг: мифы и реальность
**
В последнее время в СМИ обсуждаются множественные случаи взлома портала “Госуслуги”. В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.
Российская компания создала бесконтактный инфракрасный сканер для ладони
__Разработанный екатеринбургской компанией Biosmart (резидент «Сколково») первый в мире бесконтактный прибор сканирует кровеносные сосуды ладони. Делать свою работу ему не мешают ни грязь на руках, ни мелкие порезы, ни даже перчатки. На сканирование уходит не больше полусекунды.
По эффективности технология значительно превосходит зарубежные аналоги, представленные главным образом в Японии и Южной Корее: те сканируют ладонь с помощью ИК-излучения только одной длины (около 760 нм), поэтому камера помимо венозного рисунка невольно захватывает и некоторые видимые особенности ладони: складки, порезы, шрамы, которые зашумляют изображение рисунка вен и приводят к ошибкам в идентификации. PalmJet сканирует ладонь в диапазонах 850 и 940 нм, поэтому камера «видит» больше уникальных особенностей кровеносного рисунка, а число шумов и помех сокращается. Следовательно, качество идентификации выше.
Считыватель PalmJet нужен там, где требуется подтвердить личность человека, например для предоставления цифровых услуг (банковских или социальных сервисов), учета рабочего времени или прохода на закрытую территорию.__
Мошенники получают дубликаты сим-карт предпринимателей и крадут их деньги
__Исследователи из антивирусной компании ESET рассказали о набирающем обороты виде онлайн-мошенничества с сим-картами. С помощью новой схемы злоумышленники могут получить доступ к телефонному номеру жертвы и перевести его деньги из банковских приложений.
«Фишка» нового подхода в комбинации уже известных ранее мошеннических уловок, и, как предупредили в ESET, такой обман на практике очень сложно доказать. Всё начинается с создания поддельного аккаунта, который можно приобрести, например, на чёрном онлайн-рынке.
Невооруженный глаз не сможет отличить такие учётные записи от настоящих. Во-первых, они созданы несколько лет назад, во-вторых — содержат фотографии, которых нет в поиске Google и Яндекс.
Злоумышленники также обновляют контент таких учёток (пусть не так часто), чтобы поддерживать иллюзию активности живого пользователя. Жертву мошенники ищут в Facebook и Instagram, специально рассчитывая потенциальный успех социальной инженерии. Главный интерес представляют владельцы бизнеса, предприниматели.
Минцифры предложило собирать биометрию у водителей такси и каршеринга
__Минцифры разработало проект постановления правительства, в котором предлагается ввести сбор и обработку биометрических данных для идентификации водителей такси и каршеринга. Соответствующий документ опубликован на портале проектов нормативно-правовых актов.
«Случаями осуществления сбора и обработки используемых для… идентификации и аутентификации биометрических персональных данных… являются идентификация водителей легкового такси, идентификация водителей транспортных средств, предоставленных в краткосрочную (до 24 часов) аренду на основе поминутной тарификации физическим лицам для целей, не связанных с осуществлением такими физическими лицами предпринимательской деятельности (каршеринг)», — говорится в документе.
Минцифры также предложило собирать биометрию для прохода на территорию организаций финансового рынка и участия в собрании гражданско-правового сообщества.
Нововведения в случае одобрения вступят в силу с 1 января.
В начале лета стало известно, что Минцифры обсуждает с аэропортами пилотные проекты по регистрации пассажиров на рейс c помощью биометрических данных, без паспорта.__
Исследование: каждый шестой работник сталкивался с попыткой взлома рабочего пароля
Служба исследований российской платформы онлайн-рекрутинга hh.ru выяснила уровень цифровой гигиены и насколько строго работники российских компаний соблюдают правила кибербезопасности. Опрос проводился с 20 июля по 4 августа 2021 г. среди 1,2 тыс. респондентов со всей России.
__
Почти половина (46%) работников соблюдает одно из основных правил цифровой безопасности на работе и придумывают сложные пароли, имеющие от 7 до 10 символов. Наибольшая доля (53%) таких работников в Москве и Татарстане, а также среди высшего менеджмента, бухгалтерии, финансов и административного персонала.__
Свыше трети (37%) сотрудников компаний создает еще более сложные пароли из более чем 10 символов. Такие пароли использует каждый второй сотрудник из ИТ и молодой специалист в начале карьеры. Легко подбираемые пароли (до 7 символов) использует каждый шестой (17%) сотрудник в российских компаниях.
__
У 76% сотрудников рабочие пароли никогда не совпадают с используемыми для личных аккаунтов. У каждого пятого бывают пересечения, 2% всегда используют одинаковые пароли для личных и рабочих целей.__
__
Каждый третий (32%) работник старается менять рабочие пароли раз в 3-6 месяцев, каждый пятый – раз в месяц, каждый шестой – раз в год. При этом 25% респондентов никогда не меняют пароли, лишь меньшинство (5%) практикует частую смену пароля (раз в 1-2 недели).
__
Большинство (68%) сотрудников запоминает и держит в голове свои пароли – феноменальная память широко распространена среди работников отрасли транспорта и логистики, высшего менеджмента, молодежи и студентов. Каждый пятый (24%) записывает их в блокноте, 17% пользуются специальными менеджерами хранения паролей, 16% хранят в браузере, 12% записывают в заметки в мобильном телефоне. Меньше всего (4%) респондентов пользуются самым уязвимым методом – записывают пароли на стикере. Некоторые респонденты предпочитают лайфхаки хранения паролей собственной разработки: имеют алгоритм формирования паролей, который знают только они, придумывают наводящие вопросы, помогающие вспомнить пароль, а также «шифруют в текстах».
__
Подавляющее большинство (79%) работников указали, что в их компаниях не принято делиться паролями, в компаниях каждого десятого респондента такая практика существует. Чаще всего она встречается у работников компаний из Татарстана и Свердловской области, а также среди работников на производстве, в бухгалтерии и маркетинге. Чаще всего обмениваются паролями с коллегами в устной форме (72%), реже всего – по почте (13%). Каждому пятому (19%) работнику все же приходилось делиться своим паролем с коллегами, каждому шестому (15%) - с руководителем. Почти во всех случаях (95%) обмена паролем с коллегами или руководителем негативных последствий не возникло.__
__
Мнения о штрафах со стороны работодателя за случаи передачи паролей разделились поровну – 30% считают, что за такое поведение должны увольнять, 32% – не должны, 37% затруднились с ответом.
Каждый шестой (15%) работник сталкивался с попыткой взлома рабочего пароля, у 3% – попытка взлома увенчалась успехом хакеров. 67% респондентов не взламывали и не пытались взломать.__
__
В компаниях половины опрошенных респондентов действует политика и правила информационной безопасности, у свыше трети (35%) работников работодатель требует менять пароли с определенной периодичностью и придумывать сложный пароль. В компаниях каждого шестого (15%) работника не предпринимают никаких мер для обеспечения информационной безопасности. В редких случаях в компаниях действует двухфакторная аутентификация входа в рабочие приложения и регулярно проводятся пен-тесты. В компаниях 17% респондентов есть практика использования одного пароля на команду/отдел для доступа к информации или ресурсу, в половине из них этот пароль никогда не меняется.__
Использование «мастер-лиц» для обхода систем идентификации с распознаванием лиц (англ.)
«Мастер-лицо» - это изображение лица, которое проходит идентификацию на основе лица для значительной части населения, и может использоваться для обмана алгоритмов распознавания лиц с высокой вероятностью успеха без доступа к какой-либо пользовательской информации. Мы оптимизируем эти лица, используя эволюционный алгоритм в скрытом пространстве встраивания генератора лиц StyleGAN. Представленные нами результаты демонстрируют, что для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.
Исследование с наглядной демонстрацией недостатков биометрии: …для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.
Использование «мастер-лиц» для обхода систем идентификации с распознаванием лиц (англ.)
«Мастер-лицо» - это изображение лица, которое проходит идентификацию на основе лица для значительной части населения, и может использоваться для обмана алгоритмов распознавания лиц с высокой вероятностью успеха без доступа к какой-либо пользовательской информации. Мы оптимизируем эти лица, используя эволюционный алгоритм в скрытом пространстве встраивания генератора лиц StyleGAN. Представленные нами результаты демонстрируют, что для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.
Эстонский хакер загрузил 286 тыс. фотографий из паспортов сограждан
__Эстонские власти сообщили о задержании местного жителя, который воспользовался уязвимостью в правительственной базе данных и загрузил 286 438 фотографий из паспортов эстонцев.
Как отметили правоохранители, своеобразная атака имела место в июле 2021 года. Подозреваемого арестовали на прошлой неделе, 23 июля. Пока полиция не раскрывает личность предполагаемого преступника. Известно лишь, что это мужчина, проживающий в Таллине.
Представители стороны обвинения отметили, что задержанный выявил уязвимость в БД, за которую отвечало эстонское государственное учреждение RIA. Оно же, кстати, управляет государственными ИТ-системами Эстонии. По словам ответственных лиц, база данных обычно проверяется пятью различными подсистемами. Только после этого она якобы выдаёт удостоверяющее личность фото.
«Подозреваемый обнаружил уязвимость в одном из наших приложений, которое, как оказалось, недостаточно хорошо проверяло валидность запроса», — пишет RIA.
Для эксплуатации дыры нужно было всего лишь предоставить имя гражданина Эстонии вместе с корректным идентификационным кодом.__
Новый Android-вредонос использует VNC для записи экрана и кражи паролей
__Прежде не встречавшийся экспертам Android-троян, открывающий злоумышленникам удалённый доступ к девайсам жертв, недавно был замечен в атаках на пользователей мобильных устройств.
Оказалось, что вредонос способен записывать экран и красть конфиденциальные данные. Троян получил имя «Vultur», поскольку он использует Virtual Network Computing (VNC), систему удалённого доступа к рабочему столу. Вредоносная программа распространяется через официальный магазин Google Play Store и маскируется под безобидное приложение «Protection Guard».
«Мы впервые наблюдаем банковский троян для операционной системы Android, который может записывать экран устройства и фиксировать нажатие клавиш. С помощью этих функций вредонос способен легко перехватывать учётные данные», — рассказывают специалисты компании ThreatFabric.
«Как правило, подобные трояны используют технику наложения окон, но в этом случае разработчики решили отойти от привычной практики. Этот метод, к слову, так же эффективно фиксирует пароли и другую конфиденциальную информацию».
Vultur задействует специальные возможности операционной системы Android и использует VNC для записи экрана и логирования активности на смартфоне. Кроме того, вредонос включает кросс-платформенную утилиту ngrok для установки удалённого доступа к VNC-серверу, запущенному локально на мобильном устройстве.__
**Seagate представил жесткие диски со сканером отпечатков пальцев
**
__Компания Seagate показала две новые модели внешних жестких дисков, получившие встроенный сканер отпечатка пальцев. Новые внешние диски уже появились в продаже по цене от 8,5 тыс. руб. за жесткие диски и от 9,1 тыс. руб. за SSD-носители.
В линейку Executive Fingerprint Secure вошли жесткие диски емкостью на 1 и 2 Тб и твердотельные SSD-накопители 512 Гб и 1 Тб.
Особенностью новинок стала защита данных в реальном времени на основе 256-битного аппаратного шифрования AES и технологии распознавания отпечатков пальцев. Система позволяет внести в память жесткого диска восемь отпечатков пользователей и отпечаток одного администратора — данные не хранятся в энергозависимой памяти компьютера или диска, что повышает безопасность информации на носителе.
Жесткие диски поддерживают интерфейс USB 3.2 GEN 1 с разъемом USB-C и могут работать как с компьютерами на Windows, так и на Mac OS, обеспечивая обмен данными со скоростью до 5 Гбит/с. Кроме компьютеров носители можно подключать к телевизорам.__
Минцифры запустило мобильное приложение для подписания договоров онлайн
__«Госключ» — сервис для пользователей портала госуслуг с подтвержденной учетной записью, которых сейчас почти 80 млн.
В приложении бесплатно создается электронная подпись пользователя, которая хранится в защищенной и безопасной инфраструктуре электронного правительства. Установить приложение и получить электронную подпись пользователь сможет менее, чем за три минуты.
Первым электронным договором, который можно подписать с помощью «Госключа», стал договор на оказание услуг сотовой связи. Сейчас эта возможность доступна для абонентов Tele2. В ближайшее время такую опцию откроют МТС, «Мегафон» и «Билайн».
В будущем перечень сделок и юридических документов, которые можно подписывать с помощью нового сервиса, будет расширен. В том числе планируется использование «Госключа» для онлайн-подписания договоров купли-продажи автомобиля и аренды недвижимости.
Эксперимент по использованию электронной подписи реализует Минцифры России в рамках Постановления Правительства России от 15 июля 2021 г. №1207. В проекте используются сервисы единой цифровой платформы для создания и выдачи электронной подписи, предоставляемые «Ростелекомом» и ВТБ.__
В московском метро начали тестировать систему оплаты с распознаванием лиц
__На Филевской линии Московского метро запускают тестирование оплаты проезда с помощью технологии Face Pay, сообщил столичный дептранс.
«На Филевской линии метро для пассажиров заработает Face Pay. Мы начинаем его тестирование — пока для 1000 человек», — говорится в сообщении.
Впоследствии тестирование расширится на все линии метро, увеличится и число участников теста. До конца этого года сервис будет доступен на всех станциях, подчеркнули в департаменте.
«Face Pay будет ещё одним удобным сервисом для пассажиров, но не обязательным. Уверены, такой способ выберут десятки тысяч москвичей, которые следят за трендами и любят современные технологии», — добавили в дептрансе.
О запуске Face Pay мэрия объявила осенью 2020 г. В мае этого года заммэра города по вопросам транспорта Максим Ликсутов сообщал, что технология несколько месяцев тестируется на отдельных станциях метро. Он рассказал, что пассажир метро должен будет остановиться у бокового правого турникета. Система «узнает» его, за полторы секунды списывает деньги с банковской карты, и пассажир проходит через турникет. Систему могут запустить также и на кассах в метро.__
«Это ни к чему хорошему не приведет»: бизнес раскритиковал предложения Минцифры по работе с биометрией
Ведомство выступило за запрет сбора таких данных для компаний с долей иностранного участия выше 49% и капиталом менее 500 млн рублей. Это ударит по банкам, торговым сетям, каршерингу и другим видам бизнеса, считает РСПП.
**Менеджер паролей с GPG шифрованием: настройка PASS на iOS + Git
**
__Менеджер паролей PASS имеет большую поддержку со стороны сообщества. Есть бесшовная синхронизация через git между экземплярами PASS на компе, ноутах, телефонах. Существуют реализации программы для Android и iOS, плагины для веб-браузеров Chrome и Firefox, графические клиенты для Windows, Mac и Linux, расширения для Alfred, dmenu, rofi и Emacs, скрипты для импорта паролей из других менеджеров паролей!
PASS покрывает возможность хранения всей базы паролей на своем сервере/локальном компьютере/флешке/диске.
Поддерживается возможность делать быстрый backup паролей. Вы вольны выбирать какой тип шифрования использовать для сокрытия ваших паролей и любой другой приватной информации!__
Из-за бага Kaspersky Password Manager позволял генерировать слабые пароли
__В прошлом году разработчики Kaspersky Password Manager (KPM) попросили пользователей обновить свои пароли на более стойкие. Теперь специалисты Ledger Donjon (ИБ-подразделение компании Ledger, разрабатывающей крипокошельки) рассказали о том, почему это произошло, и какие проблемы они обнаружили в KPM некоторое время назад.
По словам исследователей, создаваемые с использованием времени пароли были весьма ограничены, и их можно было подобрать за несколько минут. Так, если атакующему было известно время создания конкретной учетной записи (что совсем нетрудно посмотреть на любом форуме), диапазон вероятностей сильно сокращался, равно как и время, необходимое для брутфорса, который мог занять всего несколько секунд.
«Последствия [использования такого механизма] определенно были скверные: любой пароль мог быть взломан. Например, между 2010 и 2021 годом прошло 315619200 секунд, поэтому KPM может сгенерировать не более 315619200 паролей для заданного набора символов. Их перебор занимал всего несколько минут», — гласит отчет Ledger Donjon.
В период с октября по декабрь 2019 года разработчики представили ряд патчей для KPM (поскольку исходный патч для Windows работал некорректно), и в итоге проблему исправили в Windows, Android и iOS.
В октябре 2020 года «Лаборатория Касперского» выпустила KPM 9.0.2 Patch M, уведомив пользователей о необходимости обновления некоторых слабых паролей на более надежные. Этой проблеме был присвоен идентификатор CVE-2020-27020, о котором компания рассказала в сообщении от апреля 2021 года.__
**Пароли в умных домах пытаются взломать более 300 раз в сутки
**
__Эксперимент, поставленный британской НКО Which? совместно с NCC Group и специалистами «Глобального киберальянса» (Global Cyber Alliance, GCA), показал, что атаки на умные дома могут проводиться с частотой более 12 тыс. раз в неделю.
В основном это сканирование на предмет уязвимостей, но нередко за такой разведкой следует попытка взлома пароля, открывающего доступ к IoT-устройству.
Исследователи создали фейковый умный дом, закупив уйму бытовых смарт-приборов — телевизоров, холодильников, чайников, камер видеонаблюдения и т. п.
В мае ловушка была подключена к интернету и начала фиксировать попытки атаки. В первую неделю экспериментаторы насчитали 1017 уникальных проверок защиты на прочность; как минимум 66 из них носили явно враждебный характер.
В июне этот поток возрос до 12,8 тыс. атак в неделю; почти в 20% случаев (в числовом выражении 2435) неизвестные пытались авторизоваться на IoT-устройстве путем подбора дефолтных логинов и паролей. Это 14 попыток брутфорса в час и свыше 300 в сутки.
Больше всего попыток взлома пришлось на принтер Epson, но все они оказались провальными: смарт-устройство спас достаточной сильный заводской пароль. Принтер Canon, система безопасности Yale, телевизор Samsung тоже хорошо держали удар, а вот беспроводная камера ieGeek, купленная на сайте Amazon из-за высокого рейтинга, перед хакерскими атаками не устояла. Ее взломали, изменили некоторые настройки и пытались использовать для слежки. После уведомления Amazon сняла эти видеокамеры с продажи.__
АНБ США и ФБР рассказали о новых брутфорс-атаках российских спецслужб
__В сущности, Агентство национальной безопасности (АНБ) США, ФБР, Министерство внутренней безопасности США и Центр правительственной связи (GCHQ) обвиняют российские спецслужбы в целой серии кибератак, которые длятся аж с середины 2019 года.
Основная цель Кремля по их мнению — собрать побольше конфиденциальной информации у стратегически важных организаций, считают в США и Великобритании. Для доступа к таким данным Fancy Bear якобы методично перебирает связки логин-пароль, используемые военными подрядчиками, компаниями энергетической и правовой сферы, аналитическими центрами и университетами.
Помимо этого, американские и британские спецслужбы заявили, что российские хакеры задействуют контейнеры Kubernetes для более успешных попыток брутфорс, а для ухода от обнаружения киберпреступники используют TOR и платные VPN-сервисы.__
Краткая история банкоматов: от вендинговых машин до отпечатков пальцев
__Желание отказаться от пластиковой карты и сделать обслуживание более безопасным от скиммеров — миниатюрных считывающих устройств, которые крепятся к банкомату — привело к развитию более индивидуальных подходов, таких как распознавание лица, голоса и отпечатков пальцев.
Несколько лет назад решение с функцией биометрии предлагал тайваньский E.Sun Commercial Bank, но первый блин комом и банкомат просил вставить пластиковую карточку, после чего происходил процесс идентификации личности.
Сейчас возможность проводить операции без использования физического носителя уже существуют.
В России такой технологией в 2017 году озаботился Тинькофф банк совместно с VisionLab и создал платформу Luna, а Сбербанк представил первое устройство осенью 2020. Распознавание лица работает только с согласия клиента и используется в офисах, торговых точках и при входе на сайты банка. Создатели утверждают, что алгоритм распознает вас даже с бородой или сменой причёски.
За рубежом таким решением занялась Intel и в январе 2021 анонсировала новую систему распознавания лиц, которая обещает обеспечить биометрический доступ, подобный FaceID, к банкоматам, интеллектуальным замкам и многому другому. Создатели заявили, что новая система камер RealSense ID включает в себя active depth sensor и специализированную нейронную сеть. Эта технология проверяет до 16 000 контрольных точек на лице, после чего позволяет совершить транзакцию.
В чём могут быть сложности распознавания: пользователь должен смотреть в камеру, например, не должно быть очков или одежды, закрывающих его лицо и глаза, потребуется соответствующее освещение.
Компания NCR Corporation создала банкомат, который сканирует отпечатки пальцев без соприкосновения с поверхностью. Работает устройство с помощью мобильного приложения, в котором необходимо указать данные для транзакции, после чего держать ладонь над специальной поверхностью для сканирования. К биометрии относится также узор вен на пальцах.
Что касается распознавания голоса, считается, что оно лучше подойдёт для запуска мобильного банкинга дома или в любом другом уединённом месте из-за шумных вестибюлей и лишних наблюдателей. Для того же мобильного банкинга советуют использовать технологию снимков глаз.__
**Google потребует от создателей Android-программ 2FA и физический адрес
**
__Компания Google решила расширить набор данных, идентифицирующих разработчика Android-приложений в ее магазине, а также настоять на использовании двухфакторной аутентификации (2FA) для защиты таких аккаунтов.
Новые меры безопасности вводятся на Google Play в связи с учащением случаев мошенничества и использования учетной записи разработчика для распространения вредоносных программ.
К концу года всех разработчиков обяжут обновить данные аккаунта, дополнительно указав его тип (персональный или групповой), имя контактного лица и свое фактическое местонахождение. Им также придется включить 2FA и подтвердить правильность номера телефона и email-адреса — персональных данных, которых в настоящее время достаточно для прописки в магазине Google.__
Более трети россиян использует дату рождения в составе пароля
Почтовые сервисы и социальные сети регулярно напоминают пользователям о важности использования сложных паролей, менеджеров паролей и двухфакторной аутентификации. Однако 40% пользователей сталкивались со взломом аккаунта, следует из опроса Hi-Tech Mail. __ru.
Более 33% респондентов указывали в составе (или в составе (или в качестве)) пароля дату рождения, около трети – простые комбинации цифр, например, 11111 и 12345. 19% использовали девичью фамилию матери и 11% – кличку питомца. Также паролем могут служить имена любимых персонажей из игр и популярной культуры. Наиболее надежной пользователи считают комбинацию букв разного регистра, цифр и случайных символов.
Интересно, что 73% участников опросов считают менеджеры паролей полезной функцией, но больше половины все равно не доверяют ей, предпочитая хранить пароли иначе: запоминать или записывать.__
__Специализирующаяся на кибербезопасности компания «Доктор Веб» обнаружила в цифровом магазине Google Play несколько замаскированных под приложения троянских программ, которые воруют пароли от учетных записей Facebook. Эти Android-программы были установлены на свыше чем 5,9 млн устройств.
«Доктор Веб» нашел девять таких приложений, включая редактор изображений PIP Photo (более 5 млн загрузок), фоторедактор Processing Photo (500 тыс. скачиваний), а также App Lock Keep, Sheralaw Rence, App Lock Manager, Rubbish Cleaner, Horoscope Daily, Inwell Fitness и HscopeDaily mono. «Доктор Веб» сообщил об этом в Google, и часть из этих приложений уже была удалена из магазина.__
Мэрия Москвы введет идентификацию по биометрии на городских порталах
В мэрии пояснили, что биометрию будут использовать только для ограниченного круга уполномоченных сотрудников при доступе к Единому центру хранения и обработки данных. В то же время эксперты, опрошенные изданием, предполагают, что столичные власти будут использовать биометрию в будущем для повышения эффективности системы распознавания лиц и автоматического выписывания нарушителям штрафов.
Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud
Исследователь в области кибербезопасности Лаксман Матья обвинил Apple в непорядочном поведении, касающемся уязвимости в функции сброса пароля. Именно Матья выявил брешь, позволяющую получить контроль над аккаунтами iCloud. По словам самого специалиста, обнаруженная дыра позволяла обойти меры безопасности, которые Apple внедрила для защиты учётных записей пользователей от брутфорса функции «забыл свой пароль».
Вероятно, в скором времени стоит ожидать публикаций новых исследований о средней стойкости паролей или чему-то подобному.
“Новая вкладка «Проверка паролей» позволяет в режиме реального времени оценить устойчивость каждого из сохранённых паролей. Нововведение даже сортирует учётные данные по степени надёжности и объединяет их в соответствующие группы.”
“По мере усиления угрозы, исходящей от киберпреступников, офицеры по информационной безопасности должны применять все более и более передовые решения. Вместо этого, как показало исследование, они сами не следят за цифровой гигиеной, пользуются общедоступным Wi-Fi и принимают запросы на дружбу в социальных сетях от незнакомцев.”
Проект изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127»
__В целях обеспечения актуальности и достоверности представляемых в ФСТЭК России сведений о значимых объектах критической информационной инфраструктуры предлагается проектом постановления Правительства Российской Федерации:
наделить государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, полномочиями по осуществлению ведомственного и (или) отраслевого мониторинга состояния работ по категорированию объектов критической информационной инфраструктуры;
предусмотреть норму о направлении в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, уточненных сведений о значимом объекте критической информационной инфраструктуры в случае их изменения.__
Не все дела по ст.274.1 УК (Неправомерное воздействие на КИИ РФ) заканчиваются обвинительным приговором (спойлер - срок дали, но по другой статье).
В Прикамье суд рассмотрел уголовное дело в отношении сотрудника оборонного порохового завода, обвиняемого в использовании вредоносных программ и неправомерном воздействии на критическую информационную инфраструктуру страны. По версии следствия, он скачал на свой ноутбук ключи, которые позволяют использовать нелицензионный пакет Microsoft. В итоге там оказалась вирусная программа, которая передавала исходящий трафик в США. Как считают силовики, его адресатами могли оказаться спецслужбы, а вирус мог передавать засекреченную информацию. Но в итоге суд счел, что такие выводы носят предположительный характер, и оправдал подсудимого по этому составу. За установку вредоносной программы он получил год ограничения свободы.
Инсталляция биометрических СКУД на объектах транспортной инфраструктуры
__Биометрическая идентификация — стремительно растущая отрасль. В одном только сегменте распознавания лиц среднегодовые темпы роста достигают 16,6 % (данные на 2020 год), а сегмент более бюджетных технологий идентификации по венам ладони и отпечатку пальца растет ещё быстрее. Как следствие, каждый день на рынке появляются новые устройства, многие из которых имеют «сырой» софт и не соответствуют минимальным требованиям надёжности и безопасности.
Избежать проблем в сфере внедрения биометрии помогает обращение к авторитетному вендору, чьё оборудование зарекомендовало себя на рынке. Квалифицированные вендоры не скрывают реальных данных по надёжности СКУД и готовы предоставить оборудование для нагрузочного тестирования «в боевых условиях». Таким образом заказчик может удостовериться в качестве предлагаемого продукта.
Настоятельно рекомендуется обращаться именно к отечественным вендорам. Отечественный поставщик лучше понимает специфику российских реалий, задач, особенностей законодательства и предлагает более подходящие и эффективные варианты, а также оперативно решает любые возникающие вопросы, обеспечивает техподдержку и может быстро предоставить комплектующие или дополнительные устройства.__
**Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью.
**
К каким выводам пришли исследователи?
Наиболее оптимальная парольная политика, по мнению исследователей, – настройка минимальной длины пароля и одновременная проверка пароля с помощью нейронной сети. Лучше всего в экспериментах себя показала политика вида 1c12+NN10: пароль не менее 12 символов с “угадываемостью” не менее 10 млрд попыток. Это обеспечивает достаточную защиту от офлайн-атак и необходимый уровень удобства.
Если проверка с помощью нейронных сетей не подходит, то исследователи рекомендуют задавать длину пароля не менее 8 символов и одновременно проверять пароли по словарям. Такая проверка обеспечивает меньшую защиту, но достаточно эффективна против онлайн-атак. При этом, защиту можно усилить, если увеличить минимальную длину пароля.
Проверка по словарю будет эффективнее, если использовать методы нечеткого поиска. То есть, лучше включать в поиск не только точные совпадения, но и вариации вроде P@$$w0rd. Если же используется точный поиск, стоит запускать проверку по максимально доступному словарю скомпрометированных паролей.
Пользователи испытывают больше неудобства, если им требуется создать пароль с разными классами символов. Если же пользователю нужно только соблюдать длину не менее 8–-16 символов и пройти проверку “угадываемости” пароля, то парольная политика воспринимается как удобная.
ФСБ представила список сведений по оборонной и космической тематике, не относящихся к государственной тайне, передача которых иностранным государствам может навредить безопасности РФ.
В список, в частности, попадают с__ведения о функционировании центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьтерных атак и реагирования на компьютерные инциденты, осуществляющих свою деятельность в рамках оборонно-промышленного комплекса, а также о компьютерных инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса.__
Также в список попали сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса.
Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Статья рассказывает о том, как внедрить Zimbra OSE технологию единого входа SAML на примере провайдера Okta.
Представляю второй раздел мер II. Управление доступом (УПД) из приказа ФСТЭК России №239 с описанием вариантов их реализации на практике, в том числе с применением конкретных технических средств защиты. https://zlonov.com/measures-section-reincarnation
Электронные документы можно сдать на хранение нотариусу
ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.
“Главные преимущества новой услуги – это гарантия неизменности документа, защита против взлома и конфиденциальность сведений. ЕИС нотариата имеет защитный фильтр, так называемую карантинную зону, благодаря которой переданные файлы проходят проверку на наличие вредоносных программ. Документ, загруженный в ЕИС, будет храниться в том виде, в котором заявитель его передал. При этом никто не сможет увидеть его содержание, даже нотариус, поскольку документы и файлы будут зашифрованы.”
Электронные документы можно сдать на хранение нотариусу
ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.
Обзор систем аутентификации на основе одноразовых паролей (one-time password)
ВЫВОДЫ: Подводя итог, следует отметить, что технология One-Time Password многократно повышает устойчивость информационной системы к атаке в сравнении с традиционными статическими парольными фразами. Для повышения общего уровня безопасности предпочтительнее сочетать OTP с другими методами, такими как биометрия или PIN. Системы, которые присылают одноразовые пароли на телефон, небезопасны. Более правильный способ — использование аппаратных устройств. Мобильные приложения — это компромисс между безопасностью и удобством.
Половина года вот уже две недели как позади, но всё ещё можно успеть реализовать “План мероприятий по обеспечению безопасности значимых объектов КИИ на 2021 год”, шаблон которого был подготовлен ДИТ Москвы в мае https://bit.ly/plan_KII_2021
Аналитический центр CSET (Center for Security and Emerging Technology) опубликовал компактный (20 страниц текста) отчёт об угрозах искуственного интеллекта AI Accidents: An Emerging Threat. What Could Happen and What to Do.
По мере того как современные системы машинного обучения становятся все более широко используемыми, потенциальный ущерб от возможных ошибок возрастает. В этом документе описывается, как тенденции, которые мы наблюдаем сегодня - как в недавно развернутых системах искусственного интеллекта, так и в старых технологиях, - показывают, насколько разрушительными могут быть аварии с ИИ в будущем. В нем описывается широкий спектр гипотетических, но реалистичных сценариев, иллюстрирующих риски аварий с ИИ, и предлагаются конкретные меры по снижению этих рисков.
Минэнерго совместно c ФСБ России, ФСТЭК России и Минцифрой разработали базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности). Распознанный текст приложен. Ссылка на публикацию на сайте: https://minenergo.gov.ru/node/20966
Уголовных дел о неправомерном воздействии на КИИ всё больше, скоро перевалит за 30. Несколько очередных будут рассмотрены в июне/июле https://zlonov.com/kii/criminal_cases
Дополнил раздел с Законодательством пачкой свежих весенних приказов ФСБ России, регулирующих вопросы электронной подписи (ЭП), удостоверяющих центров (УЦ) и доверенной третьей стороны (ДТС) https://zlonov.com/laws/
__Условие __
Сельский сейл решений по информационной безопасности Иван Карпович увлекается гипнозом. Вследствие его экспериментов десятая часть пользователей UTM считает, что они используют NGFW, а десятая часть пользователей NGFW считает, что они используют UTM. Если же рассматривать всех пользователей, купивших решения у Ивана Карповича, то пользователями UTM считает себя пятая их часть.
Вопрос
Какую часть составляют пользователи UTM среди клиентов Ивана Карповича на самом деле?
Сервис по созданию почтового дайджеста на основе различных источников: https://mailbrew.com
Можно настроить как угодно, завернуть на выдаваемый электронный адрес все остальные новостные почтовые рассылки и получать одно единственное красивое письмо раз в день/неделю/месяц.
Магистерская программа “Информационная безопасностть АСУ ТП” с очной/заочной формой обучения в течение 2-2,5 лет. Стоимость - от 119 500 руб. https://www.tyuiu-magistracy.com/копия-ресурсы-арктики-и-субарктики-3
__Условие __
Трафик с средства мониторинга сети АСУ ТП DATAPK-1 (D1) при реорганизации сети распределили между двумя другими средствами мониторинга DATAPK-2 (D2) и DATAPK-3 (D3). Известно, что нагрузка на D3 была меньше, чем теперь стала на D2. Также известно, что получившаяся после распределения нагрузка на D3 стала равна двойной нагрузке D2 до распределения.
Вопрос
На какой DATAPK изначально нагрузка была больше - D1 или D2?
Наслаждаюсь трансляцией сегодняшней конференции UserGate: “Мы так не умеем писать, но это не значит, что мы так не умеем делать” =) https://www.youtube.com/watch?v=wKWmMc__sc0
Дума ввела штрафы до 500 тыс. рублей за нарушения при защите критической IT-инфраструктуры
Госдума во вторник приняла в третьем, окончательном чтении правительственный законопроект о введении административных штрафов до 500 тыс. рублей за нарушение требований по обеспечению безопасности критической информационной инфраструктуры РФ, а также за несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак.
__
В Кодекс РФ об административных правонарушениях вносятся изменения, согласно которым нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, на юридических лиц - от 50 тыс. до 100 тыс. рублей.__
__
Нарушение “порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак”, согласно тексту законопроекта, повлечет штраф для должностных лиц в размере от 10 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __
Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, для должностных лиц предусмотрены штрафы от 20 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей.
__
Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно (с нарушением сроков) поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц - от 100 тыс. до 500 тыс. рублей.
Если уполномоченный орган исполнительной власти не будет уведомлен или будет уведомлен с опозданием о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и **от 50 тыс. до 100 тыс. рублей **для юридических лиц. __
Согласно пояснительной записке, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”.
__
Обосновывая необходимость принятия закона, авторы указывают на зафиксированную в 2017 году атаку с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.__
Только представьте, как это будет удобно! Все документы в одном месте и в актуальном состоянии! Просто рай… для злоумышленников. https://digital.gov.ru/ru/events/40822/
Лайфхак для девушек по получению красивого корпоративного адреса эл.почты: выйти замуж за человека с фамилией, например, на Щ. Тогда с высокой вероятностью у вас вместо e.shchepetilnikova@… или t.shchelkushina@… будет elena@… или даже tanya@… #пятничное
Совбез РФ одобрил проект основ госполитики в области международной кибербезопасности
По словам Патрушева, в проекте, в частности, отмечено, что информационно-коммуникационые технологии все шире используются в террористических и экстремистских целях, в том числе для пропаганды терроризма и привлечения к террористической деятельности новых сторонников, а также растет число преступлений в сфере компьютерной информации. Впервые в документе обозначены угрозы, связанные с проведением компьютерных атак на информационные ресурсы государств, в том числе на критическую информационную инфраструктуру.
__Специалисты «Ростелеком-Солар» — «дочки» «Ростелекома», специализирующейся на кибербезопасности, — зафиксировали в 2020 году двукратный рост хакерских атак вида supply chain (через подрядчиков) на объекты критической информационной инфраструктуры, к которой относятся сети связи и ИТ-системы госорганов, банков, объектов оборонной отрасли, ТЭК и т.д.
__
https://www.rbc.ru/technology_and_media/26/03/2021/605c83b29a794742ecdcec06?from=newsfeed
Введение в России обязательной системы регистрации в социальных сетях по паспорту не планируется, сообщили «Ведомостям» в Роскомнадзоре. По словам представителя регулятора, в соответствующем проекте приказа речь идет о возможности добровольной регистрации в новом сервисе, с помощью которого пользователи смогут контролировать использование своих персональных данных.
Президент ассоциации Ростелесеть, объединяющей более 200 региональных операторов связи, публикует серию материалов о работе с критической информационной инфраструктурой (КИИ) для операторов связи. В первой статье он подробно расписал, что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Сегодня мы публикуем вторую часть материала – о законодательном регулировании критической информационной инфраструктуры операторов связи.**
****
**https://www.cableman.ru/article/kategorirovanie-obektov-kii-operatorov-svyazi
ФСТЭК определила создателя центра исследований безопасности ОС на базе ядра Linux
__Федеральная служба по техническому и экспортному контролю (ФСТЭК России) 9 марта подвела итоги гостендера на создание исследовательского центра для проверки безопасности операционных систем на базе ядра Linux. Контракт стоимостью 300 млн рублей ведомство заключит с ФГБУН «Институт системного программирования им. В.П. Иванникова РАН».
Создание исследовательского центра, по замыслу авторов этой инициативы, должно привести к снижению возможных социально-экономических последствий от компьютерных атак на критическую информационную инфраструктуру страны за счет повышения уровня защищенности отечественных операционных систем, созданных на базе ядра Linux; к повышению качества и унификации отечественных операционных систем за счет повышения качества и безопасности ядра Linux; к совершенствованию отечественных средств разработки и тестирования программного обеспечения; к повышению квалификации специалистов, задействованных при разработке отечественных операционных систем, созданных на базе ядра Linux; к совершенствованию нормативного и методического обеспечения процессов безопасной разработки программного обеспечения в стране.__
Перенесена дата вступления в силу ряда положений закона об электронной подписи
Владимир Путин подписал Федеральный закон «О внесении изменения в статью 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Федеральным законом предусматривается перенести дату вступления в силу положений Федерального закона «Об электронной подписи», касающихся удалённой идентификации заявителей при создании и выдаче сертификатов ключей проверки электронных подписей, с 1 апреля 2021 года на 1 января 2022 года.
**R-Vision представила программный комплекс R-Vision КИИ **
__Компания R-Vision представила программный комплекс R-Vision КИИ. Продукт помогает субъектам критической информационной инфраструктуры (КИИ) выстроить прозрачный процесс обеспечения соответствия требованиям Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ. Анонс состоялся на конференции «Информационная безопасность АСУ ТП критически важных объектов», проходившей в Москве 17 и 18 марта 2021 года.
__
Источник: https://www.anti-malware.ru/news/2021-03-19-111332/35338
Positive Technologies обеспечила кастомизацию «ПТ Ведомственный центр» 2.0 под задачи заказчика
__Positive Technologies представила новую версию системы управления инцидентами «ПТ Ведомственный центр». Обновленный продукт получил больше функций для эффективного инцидент-менеджмента.
Теперь доступны гибкая настройка продукта под задачи компании и автоматизация базовых сценариев обработки инцидентов. Благодаря модулю конфигурирования «ПТ Ведомственный центр» легко адаптировать к специфике организации: изменить формы карточек инцидентов, фильтры и сроки выполнения задач по реагированию (SLA). Гибко встроить систему в существующую инфраструктуру помогут готовые коннекторы и интеграционный API.
__
https://safe.cnews.ru/news/line/2021-03-18_positive_technologies_obespechila_kastomizatsiyu
В Волгограде осуждена директор магазина сотовой связи за продажу телефонных переговоров
__Краснооктябрьский районный суд Волгограда огласил приговор по уголовному делу в отношении директора магазина сотовой связи. Она признана виновной в нарушении тайны телефонных переговоров и неправомерном воздействии на критическую информационную инфраструктуру РФ (ч. 2 ст. 138, ч. 4 ст. 274.1 УК РФ). Об этом сообщили в областном суде.
Как уточнили в ведомстве, с 2018 года по 2020 год 33-летняя женщина незаконно получала сведения о телефонных переговорах абонентов, а также их персональные данные, и предоставляла их иному лицу за денежное вознаграждение, из расчета 500 руб. за детализацию одного абонентского номера. Всего подсудимая якобы получила сведения, составляющие тайну телефонных переговоров, в отношении 40 абонентов.
Суд назначил ей наказание в виде лишения свободы сроком на 3,5 года условно, с лишением права занимать должности в сфере предоставления услуг, связанных с соблюдением конфиденциальности информации ограниченного доступа, сроком на два года.__
Во Владикавказе работник сотовой компании получил три года условно за незаконную блокировку SIM-карт, сообщили в прокуратуре Северной Осетии.
__В столице Северной Осетии Ленинский районный суд признал местного жителя виновным в незаконном доступе к охраняемой компьютерной информации.
«По материалам дела, обвиняемый в 2019 году внес изменения в персональные данные абонентов сотовой связи и в сведения, составляющие коммерческую тайну. В дальнейшем злоумышленник произвел блокировку SIM-карт, перекрыв предоставление услуг связи абонентам», — рассказали в ведомстве.
Согласно проекта указа президента России с 1 декабря 2021 года жители Москвы смогут оформлять и получать электронные паспорта, в других регионах возможность появится не позднее 1 июля 2023 года
Согласно нацпрограмме “Цифровая экономика”, к 2024 году доля российского ПО в госструктурах должна быть не менее 70%, а в госкомпаниях — не менее 50%. На отечественные ПО должны перейти также крупные промышленные и финансовые компании, подпадающие под действие закона “О безопасности критической информационной инфраструктуры”. Для заказчиков теперь имеют важное значение вопросы санкционной устойчивости и гарантии длительного жизненного цикла операционных систем.
Shadow Attacks: Hiding and Replacing Content in Signed PDFs
“__В этой статье представлен новый класс атак, называемые теневыми атаками.
Теневые атаки обходят все существующие меры противодействия и нарушают защиту целостности PDF-файлов с цифровой подписью.
Результаты исследования показывают, что 16 (включая Adobe Acrobat и Foxit Reader) из 29 протестированных программ просмотра PDF уязвимы для теневых атак.__”
Хозяйке на заметку: список выданных вам сертификатов электронных подписей можно посмотреть на сайте Госуслуги в личном кабинете: https://lk.gosuslugi.ru/settings/signature
Там же, к слову, их можно и заблокировать, но правильнее - отозвать сертификат в удостоверяющем центре.
__Ленинский районный суд Иванова осудил 26-летнего экс-сотрудника оператора сотовой связи на три года условно с испытательным сроком в два года по части 4 статьи 274.1 УК РФ – «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Уголовное дело в отношении нарушителя возбудило ивановское управление ФСБ. Сообщается, что парень оформлял SIM-карты на несуществующих людей. Его клиентам это могло быть на руку, если бы они захотели с поддельными данными кого-нибудь обмануть.__
Соня Драммер (Sonja Drummer) описывает (с фотографиями) два средневековых метода контроля целостности.
Первый: две идентичные копии документа написаны на одном листе бумаги, который разрезан пополам с неправильным рисунком, так что две половины можно соединить вместе, чтобы подтвердить подлинность.
Второй: штрихи над блоком текста и линии под ним гарантируют, что никто не сможет дописать текст позже.
Минпромторг инициирует пересмотр критериев внесения ПО в реестр отечественного
__Минпромторг предложил ужесточить требования для программного обеспечения (ПО), претендующего на статус российского. Ведомство считает, что вносить в Единый реестр российских программ стоит только тот софт, который совместим с отечественным оборудованием.
Сейчас в России есть два реестра, касающихся ПО: Единый реестр российской радиоэлектронной продукции (ЕРРРП) и Единый реестр российских программ для электронных вычислительных машин (ЕРРПВЧ). Первый находится в ведении Минпромторга, за второй отвечает Минцифры.
Для попадания в ЕРРРП есть обязательное условие: оборудование должно работать с отечественным ПО. В реестре российского софта такого требования нет – продукт может быть полностью местной разработки, но при этом несовместим с местным железом. В Минпромторге считают, что условие совместимости российского софта и оборудования стоило бы предусмотреть и в правилах ЕРРПВЧ.
«Все ПО, обеспечивающее работу российского оборудования, должно быть из реестра отечественного, – заявил «Ведомостям» глава радиоэлектронного департамента Минпромторга Василий Шпак. – Мы приветствовали бы аналогичное решение от Минцифры по реестру ПО. Наше межведомственное взаимодействие – один из залогов успешного движения. Синхронизация продуктов сейчас – это главное».
В пресс-службе Минцифры ответили, что в настоящее время ведется работа по обеспечению совместимости тех программ из реестра российского ПО, которые ориентированы прежде всего на внутренний рынок госзаказа, с российским радиоэлектронным и телекомоборудованием из соответствующего реестра Минпромторга: «Классы ПО и виды оборудования, которые должны обеспечивать совместимость использования, будут определяться совместно Минцифры и Минпромторгом».
__
https://www.vedomosti.ru/technology/articles/2021/02/28/859576-otechestvennii-soft
ГК «IT Полюс» приглашает 11 марта в 10.00 на бесплатный вебинар «Комплексный подход к обеспечению защиты персональных данных и объектов КИИ» с целью своевременного исполнения требований ФЗ №152 от 27.07.2006 г. «О персональных данных» и ФЗ №187 от 26.07.2017 г. «О безопасности критической информационной инфраструктуры РФ».
Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г. Это событие открыло новые двери для специалистов в области ИБ, которые занимаются анализом потенциальных угроз для важных объектов информационной инфраструктуры.
__Организация удаленной занятости, импортозамещение критической информационной инфраструктуры и обеспечение кибербезопасности станут основными драйверами отечественного рынка ИТ.
__
https://plus.rbc.ru/news/602a7dda7a8aa9e0a868bdbf
Власти Москвы потратят 932 млн руб. на покупку и установку 316 мультимедийных экранов с камерами, оснащенными функцией распознавания лиц, на 85 станциях Московского метрополитена. Из тендерной документации следует, что экраны будут транслировать рекламу, сообщения метрополитена, а также наблюдать за пассажирами. Победителя выберут 4 марта, все работы он должен завершить в декабре.
Новые требования по информационной безопасности ГИС
__О некоторых аспектах новых требований по информационной безопасности государственных информационных систем рассказал представитель ФСБ России Андрей Елистратов. Речь шла в том числе об опубликованном 15 февраля 2021 года документе «Методика оценки угроз безопасности информации».
__
Было отмечено, что круг объектов, к которым относятся требования, довольно широк и указанная методика — лишь часть комплекса нормативно-правовых актов, регулирующих вопросы безопасности КИИ. Так, АСУ ТП и их составные части, например, интеллектуальные приборы учета, должны быть снабжены в том числе средствами криптозащиты. В то же время понятно, что интеллектуальные приборы учета на производстве могут быть разными по типу и по характеру создаваемой угрозы в случае отказа.
__Если речь идет о приборах, собирающих телеметрию или ведущих учет ресурсов (например, электросчетчик), их отказ не влечет тяжелых последствий и, хотя нарушение его работы может вызвать материальный ущерб, оно не является общественно опасным и угрожающим жизни и здоровью.
Существуют и другие интеллектуальные приборы, которые могут непосредственно оказывать влияние на работоспособность инженерных систем и управлять сетями, например, контроллеры трансформаторных подстанций. Они способны оставить без электричества промышленные и социальные объекты, создать угрозу аварий и тому подобных тяжелых о общественно опасных инцидентов.__
В отношении объектов первого типа требование о криптозащите информации можно считать избыточным, хотя и содержащимся в законодательстве и подлежащим исполнению. Объекты второго типа в обязательном порядке должны шифровать передаваемую информацию.
Надо же - столько лет уже этой идее и вот очередная реинкарнация, да ещё и сразу с сертификатом ФСТЭК России:
__Сертифицированное средство обеспечения безопасной дистанционной работы Aladdin Liveoffice представляет собой специализированное защищенное USB-устройство, обеспечивающее загрузку компьютера с внешнего USB-носителя, на котором находится сертифицированная операционная система Astra Linux Special Edition версии 1.6 SE «Смоленск» с набором предустановленного программного обеспечения для подключения к интернету (через Ethernet или Wi-Fi), автоматическую настройку и подключение к шлюзу организации с использованием сертифицированного на соответствие требованиям ФСБ России к средствам криптографической защиты информации (СКЗИ) класса КС1 VPN-клиента Vipnet Client 4U for Linux производства компании «Инфотекс». __
**Закон о безопасности КИИ в вопросах и ответах (обновление)
**
1-го января 2018 года вступил в действие федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон). Потом была разработана и введена в действие обширная нормативная база по его реализации, на изучение и понимание которой потребуется длительное время и специальные навыки в области информационной безопасности. Вместе с тем, у ряда людей существует необходимость быстро сложить представление об основных положениях Закона и подзаконной нормативной базы, так сказать, в общих чертах. Для них предназначен данный материал, который даёт ответы на наиболее часто задаваемые вопросы по обозначенной теме.
ГосСОПКА на связи: какие варианты подключения к системе существуют сегодня
Обмениваться с НКЦКИ информацией об инцидентах должны все субъекты КИИ. Естественно, происходить это должно исключительно по защищённым каналам связи. Если раньше организовать безопасное взаимодействие с системой ГосСОПКА можно было только с помощью сети ViPNet, то сегодня перечень технических решений расширился. Мы расскажем о том, чем можно заменить ViPNet и какая альтернатива есть у собственной защищённой сети.
Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях.
__
Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.__
__
В связи с утверждением настоящего методического документа и для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).__
**
**Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях.
__
Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.__
__
В связи с утверждением настоящего методического документа и для оценки угроз безопасности информации__ __не применяются Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и __Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
**
**Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
⚡️**Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации
**ФСТЭК России на своём сайте представила для общественного обсуждения проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации».
Свои предложения и замечания можно отравить на адрес электронной почты otd84@fstec.ru до 1 марта 2021 года.
__Заместитель директора Департамента развития контрактной системы Минэкономразвития России Сергей Икрянников отметил, что прошлый год стал переломным в вопросе закупок отечественной продукции. В частности, в 2020 году на приобретение российских товаров и технологий в рамках госзакупок было потрачено на 230 млрд руб. больше, чем в 2019 году. Он также сообщил, что в ближайшие месяцы нормативными актами будет введен полный запрет на приобретение иностранной продукции в ходе госзакупок, если есть российские аналоги. Кроме того, Сергей Икрянников отметил, что для оценки реализации госпрограмм в текущем году будет введен целевой показатель – доля приобретенной российской радиоэлектронной продукции, что также будет способствовать поддержке отечественных компаний.
__
https://ru-bezh.ru/kompanii-i-ryinki/news/21/02/12/v-2020-godu-v-ramkax-goszakupok-byilo-priobreteno-na-230-mlrd-ru
Интервью зам.генерального директора ОАО «РЖД», в том числе по следам известной пубикации на Хабре:
__В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. __
__В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. __
Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию. __
__
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А **органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
**
Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.
Рабочая группа Госдумы выработает предложения по информбезопасности в финансовой сфере
Р__абочая группа Госдумы в течение двух недель должна выработать предложения по системно значимым направлениям, которые являются критически важными для обеспечения информационной безопасности в финансовой сфере и в других областях. Об этом сообщил журналистам глава комитета Госдумы по финансовому рынку Анатолий Аксаков по итогам круглого стола “О законодательных мерах обеспечения информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры”.__
__
“На площадке комитета прошла дискуссия о кибербезопасности и импортозамещении российского программного продукта и российского оборудования, используемого в информационной сфере. Причем это оборудование крайне актуально для финансовых рынков, ну и, соответственно, мы посчитали необходимым, чтобы одним из регуляторов обеспечения информационной безопасности был ЦБ, а не только Федеральная служба безопасности и Министерство цифрового развития. Также договорились о том, что рабочая группа которая создана сегодня решением этого круглого стола, в течение двух недель должна выработать предложения по системно значимым объектам, системно значимым направлениям, которые являются критически важными для обеспечения информационной безопасности финансовой сфере, да и в других сферах нашей жизни”, - сказал депутат.__
__
Эта рабочая группа также будет давать рекомендации по формированию реестра российского программного обеспечения, а также выработает предложения поэтапного обеспечения импортозамещения технологий в информационной сфере, добавил он.__
__
“То есть предстоит большая работа, в ходе которой Россия в ближайшие годы - срок обозначен пока до 2024 года - должна в значительной степени стать независимой и, соответственно, обеспечивающей свою безопасность в информационной сфере”, - заключил Аксаков.__
Технологическая зависимость, или Кому мешает отечественный софт
Политолог, публицист Александр Механик рассказывает о том, как лоббисты иностранных решений в сфере критической информационной инфраструктуры пытаются сдвинуть сроки внедрения отечественных решений, но отраслевые ассоциации российского бизнеса против.
За 2020 год в 2 раза увеличилось количество субъектов КИИ, подавших Перечни ОКИИ. В 4,5 раза выросло количество ЗОКИИ в Реестре ФСТЭК. В 2018 году озвучивали 660 субъектов КИИ и 60 ЗОКИИ. За 2019 озвучили - 1800 субъектов и прогноз на 12 000 субъектов в стране и 2025 ЗОКИИ. Получается, что у нас сейчас 3600 субъектов КИИ и около 9000 ЗОКИИ? Тогда получается, что только 30 % субъектов КИИ провели категорирование за три года. А, если взять количество потенциальных субъектов КИИ не из публичных докладов ФСТЭК, а из официальных опубликованных пояснительных записок к законопроектам на https://regulation.gov.ru, в которых указывается 500 000 организаций, то статистика для ФСТЭК еще хуже - менее 1%. И это на фоне принудительного ускорения для госструктур в 2019 году.
Усиливается тенденция на занижение субъектами КИИ показателей значимости. Нулевые показатели не пройдут.
ФСТЭК более не доверяет компенсирующим (дублирующим) мерам предотвращения компьютерных инцидентов, не подверженных компьютерным атакам. (противоаварийная автоматика, предохранительные клапана и т.д.).
Вообще, это очень опасные вещи озвучены в обоснования. Надо бить во все колокола, если это действительно так. Ведь ФСТЭК коснулся темы промбезопасности только исходя из противодействия компьютерным атакам, а неисправность ПАЗ -это угроза аварии в любом момент.
Завершена разработка методических рекомендаций по применению показателей категорий значимости. В первую очередь опубликуют экономические.
Методику моделирования угроз обещают в этом году утвердить.
Признано, что в законе не установлены конкретные сроки на категорирование для коммерческих субъектов КИИ. Принуждение к категорированию будет через прокуратуру, путем выписывания представлений на устранение нарушений законодательства.
Штрафы в проекте КоАП должны заставить должностных лиц задуматься об исполнении закона. Как это увязать с последующим утверждением, что никакие штрафы в России не работают - я не знаю. Вот прямо заявляют, что размеры штрафа можно и до миллиарда довести, но ничего не изменится. А зачем тогда КоАП так пробивают?
В втором полугодии 2021 начнется проведение госконтроля за ЗОКИИ. Это вполне закономерно, под него попали “счастливчики - первопроходчики”, кто успел прокатегорироваться в 2018 году.
Прокуратурой были указаны на пробелы в полномочиях ФСТЭК по оценке защищенности ГИС. Вот и появился проект Порядка аттестации. Причем проблему ФСТЭК создал себе сам, когда изменил порядок сертификации.
Будет разработано типовое сертифицированное рабочее место для удаленного подключения к ГИС.
__ФСТЭК России ищет разработчика ресурса с уязвимостями уровня автоматизированных систем управления технологическим процессами и промышленного интернета вещей критически важных, потенциально опасных и опасных производственных объектов. Ресурс планируется создавать для информирования об уязвимостях владельцев данных объектов. Тендер на его разработку стоимостью 300 млн рублей ведомство объявило 5 февраля 2021 года. __
В 2020 году российские больницы впервые подверглись хакерским атакам
__Ресурсы российских больниц в 2020 году впервые подверглись хакерским атакам. Об этом заявил замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов во время выступления на форуме по информационной безопасности. Трансляция мероприятия шла на сайте форума.
По его словам, хакеры пытались внедрить в инфраструктуру медучреждений вредоносное программное обеспечение, которое пыталось зашифровать пользовательские данные.
Всего за прошлый год НКЦКИ остановил работу более 132 тыс. вредоносных ресурсов. При этом, по словам Мурашова, основные источники кибератак на российские ресурсы находятся за пределами страны — 67 тыс. зарубежных вредоносных ресурсов и 65 тыс. таких ресурсов в России заблокировал центр за год. Атаки совершались из Турции, Нидерландов и Эстонии и были направлены на органы государственной власти и предприятия промышленности.
В целом, по словам Мурашова, дистанционная работа осложнила защиту персональных данных, так как атаки стали совершаться через недостаточно защищенные центры удаленного доступа и уязвимое программное обеспечение. Специалисты НКЦКИ также регистрировали более частую блокировку доступа к программам и высылку фишинговых сообщений, чаще всего посредством фишинга похищались данные карт.
Центр кибербезопасности не первый год фиксирует, что основные источники хакерских атак на российские организации находятся за границей.__
Обеспечение технологической независимости КИИ. Результат попытки № 2.2
Вы не поверите, но Минцифры в очередной раз выложила проект Постановления Правительства РФ “О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры”. Не просто обновленную версию проекта по поступившим замечаниям, а полностью по новой процедуре на регулейшн. Правда, содержимое не сильно изменилось.
Даты проведения общественного обсуждения: 13.01.2021- 27.01.2021
Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор
…__ закон, с позиции которого я бы хотел посмотреть на работу государственных мобильных приложений, - это ФЗ “О безопасности критической информационной инфраструктуры”. __
__И если в самом законе ни слова не сказано о том, где можно или нельзя хранить данные субъектов КИИ и куда могут подключаться объекты КИИ, то в приказе ФСТЭК №239, в пункте 31-м прямо говорится, что __
__“входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)”. __
То есть и эта ветка отечественного законодательства по ИБ запрещает использование (правда, не для всех объектов КИИ) зарубежных трекеров.
__
Интересно, что скажут на этот счет регуляторы, призванные следить за законностью в своих сферах компетенции - ФСТЭК и Роскомнадзор? Тут, как говорил бывший вице-премьер Рогозин, “или крест сними, или трусы надень”. Или для всех одни требования (закон-то для всех один), или их надо менять. А то как-то некрасиво получается…__
Минцифры разработало требования к отечественному программному обеспечению (ПО) и оборудованию, на которые с 2023 года должны переходить объекты критической информационной инфраструктуры (КИИ). Соответствующий проект постановления Правительства размещён на федеральном портале проектов нормативных правовых актов.
С 4 по 5 февраля 2021 года в Москве пройдет 23-й Национальный форум информационной безопасности «Инфофорум-2021».
Пленарное заседание форума будет посвящено теме «Устойчивое развитие России в цифровую эпоху: преодоление рисков информационной безопасности». В рамках пленарного заседания будут обсуждаться в том числе вопросы безопасности критической информационной инфраструктуры, текущее состояние и проблемы.
Минцифры вновь представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции».
Изменения в Правила субсидирования на создание центров ГосСОПКА
Утверждены изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Официально опубликовано постановление Правительства Российской Федерации от 26.01.2021 № 50 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах».
Дума одобрила введение штрафов за нарушения при защите критической IT-инфраструктуры
Согласно пояснительной записке к законопроекту, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”.
Дума одобрила введение штрафов за нарушения при защите критической IT-инфраструктуры
Согласно пояснительной записке к законопроекту, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”.
Forwarded from Валерий Комаров @blog_ruporsecurite
Алексей Лукацкий собирает вопросы для ФСТЭК (Лютиков В.С.) по 187-ФЗ. “17 февраля на Магнитке замдиректора ФСТЭК Виталий Лютиков будет отвечать на самые острые вопросы профессионального сообщества. Если вам есть, что спросить регулятора, то задайте свой вопрос по ссылке https://ib-bank.ru/uralcyber/#formats, а уже на форуме вопрос будет озвучен регулятору”
ВЫПИСКА из Программы национальной стандартизации на 2021 год в части разработки национальных стандартов в рамках деятельности технического комитета по стандартизации “Защита информации” (ТК 362)
Импортозамещение информационных технологий в госкомпаниях как бег с препятствиями. Обзор TAdviser
Государственным структурам и компаниям с госучастием установлен дедлайн по переходу на отечественный софт. В соответствии с целями национальной программы «Цифровая Экономика РФ», к 2024 году доля российского ПО в госорганизациях должна превысить 70%, а в государственных компаниях - составить не менее 50%. Речь идет о разработках, включенных в Единый реестр российских программ для электронных вычислительных машин и баз данных (запущен Минкомсвязи в 2016 году). По состоянию на конец 2020 года он содержит более 7500 отечественных продуктов.
Процесс миграции до 2020 года шел несколько медленнее, чем планировалось. Его ускорению будет способствовать, в том числе, 187-ФЗ «О безопасности критической информационной инфраструктуры» - в 2024-2025 годах на отечественные решения должны перейти организации, подпадающие под его действие (в том числе, многие крупные промышленные и финансовые компании).
Комитет по государственному строительству и законодательству Государственной Думы РФ рекомендовал принять законопроект “О внесении изменений в КоАП в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности КИИ” в первом чтении, есть несущественные замечания. Комитет Госдумы по ИТ и связи оказал полную поддержку** **законопроекту.
Ассоциация разработчиков и производителей электроники подготовила для Минцифры отчет о положении дел в российской электронной отрасли с точки зрения возможности импортозамещения «железа» используемого в критической информационной инфраструктуры. Ситуация в отрасли, наглядно отображенная в таблице с цветными маркерами, неоднородная; для полного изгнания зарубежных решений необходимо потратить годы и получить инвестиции в сотни миллиардов рублей.
Кто хотел решение суда об отнесении организации к субъектам КИИ на основании экспертного заключения? Вот пример подобного. В качестве эксперта - доцент с кафедры информационной безопасности Волгоградского государственного университета. Подача документов в ФСТЭК или решений комиссий организации суду не интересны.
В мае я уже писал про проекты двух примечательных по своей значимости и некомпетентности проектов нормативных актов, которые обязывают всех субъектов КИИ перевести все свои объекты КИИ на отечественное ПО и железо. И вот на днях на портале regulations.gov.ru был выложен обновленный текст проекта Постановления Правительства “Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции”. Ранее, в ноябре был выложен обновленный проект Указа Президента. Давайте посмотрим, что там изменилось?
28 января Госдума рассмотрит в первом чтении поправки Правительства к КоАП об административной ответственности за нарушения законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (законопроект № 1048574-7)
https://sozd.duma.gov.ru/download/3A173BBA-D628-474C-954B-7B7B95F047BB
⚡️НКЦКИ предупреждает об угрозе проведения целенаправленных компьютерных атак⚡️
В условиях постоянных обвинений в причастности к организации компьютерных атак, высказываемых в адрес Российской Федерации представителями США и их союзниками, а также звучащих с их стороны угроз проведения «ответных» атак на объекты критической информационной инфраструктуры Российской Федерации, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует принять следующие меры по повышению защищённости информационных ресурсов.
Приведите в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты.
Проинформируйте сотрудников о возможных фишинговых атаках с использованием методов социальной инженерии.
Проведите аудит сетевых средств защиты информации и антивирусных средств, убедитесь в их корректной настройке и функционировании на всех значимых узлах сети.
Избегайте использования сторонних DNS-серверов.
Используйте многофакторную аутентификацию для удаленного доступа в сеть организации.
Определите перечень доверенного программного обеспечения для доступа в сеть организации и ограничьте использование не входящих в него средств.
Удостоверьтесь в корректном журналировании сетевых и системных событий на важных элементах информационной инфраструктуры, организуйте их сбор и централизованное хранение.
Удостоверьтесь в наличии и корректной периодичности создания резервных копий данных для важных элементов информационной инфраструктуры.
Удостоверьтесь в корректности имеющихся политик разграничения прав доступа для устройств в сети.
Ограничьте доступ к сервисам во внутренней сети средствами межсетевого экранирования, при необходимости предоставления общего доступа к ним организуйте его через демилитаризованную зону.
Для работы с внешними ресурсами, в том числе в сети Интернет, используйте терминальный доступ через внутренний сервис организации.
Обновите пароли всех пользователей в соответствии с парольной политикой.
Обеспечьте анализ входящей и исходящей электронной почты средствами антивирусной защиты.
Осуществляйте мониторинг безопасности систем с повышенной бдительностью.
Следите за наличием необходимых обновлений безопасности для Вашего программного обеспечения.
⚡️НКЦКИ предупреждает об угрозе проведения целенаправленных компьютерных атак⚡️
В условиях постоянных обвинений в причастности к организации компьютерных атак, высказываемых в адрес Российской Федерации представителями США и их союзниками, а также звучащих с их стороны угроз проведения «ответных» атак на объекты критической информационной инфраструктуры Российской Федерации, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует принять следующие меры по повышению защищённости информационных ресурсов.
Приведите в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты.
Проинформируйте сотрудников о возможных фишинговых атаках с использованием методов социальной инженерии.
Проведите аудит сетевых средств защиты информации и антивирусных средств, убедитесь в их корректной настройке и функционировании на всех значимых узлах сети.
Избегайте использования сторонних DNS-серверов.
Используйте многофакторную аутентификацию для удаленного доступа в сеть организации.
Определите перечень доверенного программного обеспечения для доступа в сеть организации и ограничьте использование не входящих в него средств.
Удостоверьтесь в корректном журналировании сетевых и системных событий на важных элементах информационной инфраструктуры, организуйте их сбор и централизованное хранение.
Удостоверьтесь в наличии и корректной периодичности создания резервных копий данных для важных элементов информационной инфраструктуры.
Удостоверьтесь в корректности имеющихся политик разграничения прав доступа для устройств в сети.
Ограничьте доступ к сервисам во внутренней сети средствами межсетевого экранирования, при необходимости предоставления общего доступа к ним организуйте его через демилитаризованную зону.
Для работы с внешними ресурсами, в том числе в сети Интернет, используйте терминальный доступ через внутренний сервис организации.
Обновите пароли всех пользователей в соответствии с парольной политикой.
Обеспечьте анализ входящей и исходящей электронной почты средствами антивирусной защиты.
Осуществляйте мониторинг безопасности систем с повышенной бдительностью.
Следите за наличием необходимых обновлений безопасности для Вашего программного обеспечения.
Вакансия в ЛУКОЙЛ-Ухтанефтепереработка:
Специалист по обеспечению безопасности объектов КИИ
Зарплата**:** от 50 000 руб. до 75 000 руб.https://joblib.ru/view/3730726.html
Из 16 (без учёта повторных после апелляций) уголовных дел, возбуждённых по статье 274.1 (неправомерное воздействие на КИИ), по состоянию на сегодня только 4 были прекращены, по 10 вынесены обвинительные приговоры и ещё по двум решение публично пока недоступно. https://zlonov.com/kii/criminal_cases
Из 16 (без учёта повторных после апелляций) уголовных дел, возбуждённых по статье 274.1 (неправомерное воздействие на КИИ), по состоянию на сегодня только 4 были прекращены, по 10 вынесены обвинительные приговоры и ещё по двум решение публично пока недоступно. https://zlonov.com/kii/criminal_cases
В прошлом году по привлечению к уголовной ответственности за нанесение вреда КИИ РФ с неожиданной стороны выступило РЖД. Два приговора за попытку нечестно сдать экзамены.
И вот третий приговор за уже типовое преступление, но как же отличается концовка приговора!
Летом 2020 года за аналогичные преступления суд приговорил к двум годам (условно). А в конце осени 2020 года за все тоже самое - 15 000 рублей штрафа (все три преступления совершены в мае 2019 года)!
Для общественного обсуждения очередной раз опубликован разработанный Минцифры проект постановления правительства об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры (КИИ), и порядка перехода на преимущественное использование российского ПО, телеком-оборудования и радиоэлектронной продукции; от предыдущей версии документ отличается редакторскими правками.
Когда следишь сам, не хочется давать следить другим =)
__Власти Москвы хотели развернуть слежку за передвижениями каждого пешехода по MAC-адресам их мобильных устройств. Подрядчик проекта уже смонтировал всю необходимую аппаратуру, но планам столичных властей помешали Google и Apple – они выпустили апдейт для Android и iOS, блокирующий отслеживание MAC-адресов. Теперь весь проект может быть свернут, хотя на него уже потрачено свыше 60 млн руб. __
Межведомственная комиссия Совбеза России по информационной безопасности отметила стремительное нарастание угроз в информационной сфере в 2020 г., сообщает ТАСС с ссылкой на пресс-службу ведомства.
“USSC-SOC является корпоративным центром ГосСОПКА класса А, соответствует требованиям законодательства РФ в области ИБ, обладает лицензией ФСТЭК России на мониторинг ИБ средств и систем информатизации, а также подключен к Национальному координационному центру по компьютерным инцидентам (НКЦКИ) и ФинЦЕРТ”.
В заключительный день прошлого года были опубликованы три приказа ФСБ России, касающиеся вопросов электронной подписи https://vk.com/wall-88373861_1180
❗️Внимание:🎄Новогодний конкурс от чата по КИИ 187-ФЗ (@FZ187KII) на составление народного рейтинга самых главных новостей и событий по теме КИИ в 2020 году.
Правила:
1. Нужно стать участником чата @FZ187KII.
2. До 23:59 МСК 31.01.2021 в этом же чате @FZ187KII надо предложить свой вариант самого главного события 2020 года по темекритической информационной инфраструктуры (КИИ). В сообщении обязательно надо указать хештег #TOP2020 (буквы английские). Предлагать можно всё, что на ваш взгляд подходит по теме. Каждый участник может предложить только одно событие/новость.
3. После завершения второго этапа в течение нескольких дней (в зависимости от общего количества участников) будет составлен полный список всех предложений и запущено голосование.
4. Первые 20 лидеров голосования получат приз - сертификатна месячную подписку 🎧Storytell, а первые 3 победителя получат по три таких сертификата и приглашения стать администраторами чата @FZ187KII.
«Росатом» закупит программное обеспечение Astra Linux в рамках контракта на сумму чуть менее 800 млн рублей. Похоже, госкорпорация собирается показать пример перехода на отечестенную операционную систему и опровергнуть мнение о том, что владельцам КИИ потребуется на импортозамещение до 5-6 лет. По результатам упрощенной закупки исполнителем контракта выбрана ИТ-компания «Аквариус». https://spbit.ru/news/n190692/
Заключительный Дайджест КИИ 187-ФЗ этого непростого уходящего года скорее всего будет последним. Впрочем, можно не согласиться. Финансово =) https://zlonov.com/kii187fz-2020-52
Заключительный Дайджест КИИ 187-ФЗ этого непростого уходящего года скорее всего будет последним. Впрочем, можно не согласиться. Финансово =) https://zlonov.com/kii187fz-2020-52
Агентство национальной безопасности (АНБ) выпустило рекомендации по кибербезопасности по обнаружению злоупотреблений механизмами аутентификации. В информационном сообщении описываются тактики, методы и процедуры, используемые злоумышленниками для доступа к защищенным данным в облаке, и даются рекомендации по защите от такой активности и ее обнаружению.
https://media.defense.gov/2020/Dec/17/2002554125/-1/-1/0/AUTHENTICATION_MECHANISMS_CSA_U_OO_198854_20.PDF
Сотрудника компании сотовой связи будут судить за незаконный доступ к данным абонентов
По факту преступления в отношении нарушителя закона возбуждено уголовное дело по статье «Неправомерный доступ к охраняемой компьютерной информации, содержащейся в к**ритической информационной инфраструктуре **Российской Федерации, что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, с использованием своего служебного положения».
https://newstracker.ru/news/incident/15-12-2020/sotrudnik-sotovoy-kompanii-v-severnoy-osetii-nezakonno-blokiroval-sim-karty-klientov
CNews и Anti-Malware новость удалили, в реестре ФСТЭК России сертификат с прежними формулировками и только статья Коммерсанта напоминает о (почти) случившемся…https://www.kommersant.ru/doc/4583247
Нестандартный по формату проводимых мероприятий 2020 год под конец ознаменовался целой чередой попыток провести что-то большее, чем очередной типовой вебинар по информационной безопасности, в коих и в прошлые годы недостатка не было. https://zlonov.com/security-events-formats-2020
В первый день зимы из-за SOC-Форум Live точно будет жарко =) Буду в студии помогать ведущим и спикерам в работе со слушателями, приходите (онлайн)! Регистрация тут: https://ib-bank.ru/soclive/
В МВД заявили, что на создание Банка биометрических данных россиян и иностранцев потребуется три года. В результате людей можно будет идентифицировать не только по изображению лица и отпечаткам пальцев, но и по геномной информации https://www.bfm.ru/news/458801
Вышел свежий выпуск журнала «CONNECT. Мир информационных технологий» с моей статьёй про общее состояние дел с выполнением требований законодательства в области защиты КИИ https://zlonov.com/kii-subjects-take-your-time-slowly
Вышел свежий выпуск журнала «CONNECT. Мир информационных технологий» с моей статьёй про общее состояние дел с выполнением требований законодательства в области защиты КИИ https://zlonov.com/kii-subjects-take-your-time-slowly
“...теперь льгота по НДС станетнедоступна для торговыхплощадок, а также практически любого ПО, на котором есть рекламные баннеры или иное продвижение собственных или чужих товаров (услуг). При этом, льгота потенциально может быть применима, например, к компьютерным играм, продуктам в сфере информационной безопасности, системам управления процессами, образовательному ПО и другим.”
http://www.garant.ru/ia/opinion/author/udalova/1421168/
Пока в Клуб миллиардеров российского ИБ рынка (по версии CNews) за всю историю наблюдения удалось попасть только 38 компаниям, из которых 26 продолжают оставаться действующими его участниками.
https://zlonov.com/russian-cybersecurity-billionaires
ФСТЭК России информирует о размещении на своем официальном сайте в разделе «Техническая защита информации/Сертификация/Специальные нормативные документы» выписки из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76, для 6, 5 и 4 уровней доверия.
Кабмин предложил штрафы за нарушения в защите критической информационной инфраструктуры. Они могут достигнуть 500 тыс. рублей https://tass.ru/ekonomika/9898221
Forwarded from Валерий Комаров @blog_ruporsecurite
Судя по законопроекту, для безопасности ЗОКИИ будем использовать исключительно отечественные СЗИ. А за что центры ГосСОПКА попали вообще не понял. Судя по разъяснениям НКЦКИ они вне ОКИИ и в состав СБ ЗОКИИ не входят. https://valerykomarov.blogspot.com/2020/11/2.html
О проекте
федерального закона «О внесении изменений в Кодекс Российской Федерации об
административных правонарушениях в части установления административной
ответственности за нарушение законодательства в области обеспечения
безопасности критической информационной инфраструктуры Российской Федерации»
Законопроект направлен
на правовое регулирование обеспечения безопасности объектов критической
информационной инфраструктуры, нарушение функционирования которых может
привести к выходу из строя объектов обеспечения жизнедеятельности населения,
транспортной инфраструктуры, сетей связи, прекращению или нарушению оказания
государственных услуг, нанесению ущерба жизни и здоровью людей, возникновению
ущерба субъектам критической информационной инфраструктуры и бюджетам
Российской Федерации.
Законопроектом
предусматривается дополнить Кодекс Российской Федерации об административных
правонарушениях статьями, устанавливающими административную ответственность за
нарушение требований в области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации и за неисполнение
обязанности по представлению сведений, предусмотренных законодательством в
области обеспечения безопасности критической информационной инфраструктуры.
Решение Правительства:
Одобрить проект федерального закона
«О внесении изменений в Кодекс Российской Федерации об административных
правонарушениях в части установления административной ответственности за
нарушение законодательства в области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации» и внести его в
Государственную Думу в установленном порядке. https://gov-news.ru/news/1162812
Иногда даже «сильный случайный пароль» и двухфакторная аутентификация не спасают: “…з__аполучил аккаунт с помощью друга, который работает в Facebook__”. https://www.securitylab.ru/news/512525.php
Минцифры подготовило проект Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры».
Проектом документа предполагается переход субъектов КИИ на преимущественное использование российского:
Международные аспекты темы КИИ: Российские инициативы в области обеспечения кибербезопасности объектов критической информационной инфраструктурыhttps://www.pircenter.org/blog/view/id/431
Меняется приказ о Требованиях доверия, множатся уголовные дела по теме КИИ, СМИ и блогеры публикуют материал за материалом - читайте в Дайджесте КИИ 187-ФЗ 2020-44 https://zlonov.com/kii187fz-2020-44
Меняется приказ о Требованиях доверия, множатся уголовные дела по теме КИИ, СМИ и блогеры публикуют материал за материалом - читайте в Дайджесте КИИ 187-ФЗ 2020-44 https://zlonov.com/kii187fz-2020-44
📣Информация ФСТЭК России об уровнях доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий
ФСТЭК России информирует об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее - средства).
➡️ ⚠️ С 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
➡️ Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
➡️ Устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.
В соответствии с Требованиями по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.
Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия – по 5 уровню контроля, 4 уровню доверия – по 4 уровню контроля, 3 уровню доверия – по 3 уровню контроля, 2 уровню доверия – по 2 уровню контроля, 1 уровню доверия – по 1 уровню контроля.
Соответствующее информационное сообщение ФСТЭК России от 15 октября 2020 г. № 240/24/4268 «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» опубликовано на сайте регулятора.
Вакансия: Диспетчер обеспечения безопасности значимых объектов критической информационной инфраструктуры ПАО “МРСК Волги” https://energybase.ru/en/vacancy/157347
Календарь выходных и праздничных дней в 2021 году - для тех, кто верит, что хакерские атаки и проникновения наиболее вероятны ночью в пятницу и накануне каникул, особенно длинных.
“К сожалению, вопрос с определением объектов КИИ среди имущества субъекта КИИ за почти три года исполнения 187-ФЗ не прояснился. И проблема не только в определении сфер функционирования ИС/АСУ/ИТКС. Остро встает вопрос об определении самих сущностей - ИС/АСУ/ИТКС. В этом цикле заметок попробуем разобраться с АСУ” https://valerykomarov.blogspot.com/2020/10/blog-post_19.html
Приказ Министерства здравоохранения московской области №1123 от 20 августа 2020 “Об утверждении методических рекомендаций по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах информатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области”
Про судебные заседания в режиме онлайн: “…видеосвязь не всегда позволяет суду оценить психоэмоциональное состояние лица и убедиться в отсутствии давления на него со стороны третьих лиц (что особенно актуально для свидетелей)” http://www.garant.ru/article/1416765/
Президент России подписал закон, увеличивающий штрафы за нарушение правил хранения, комплектования, учета или использования архивных документов: https://zlonov.com/laws/341-фз-от-15-10-2020
Forwarded from Валерий Комаров @blog_ruporsecurite
Очередное уголовное дело по 274.1 УК РФ передано в суд. География применения расширяется. “По версии следствия, обвиняемый, работая параллельно в двух компаниях сотовой связи, решил увеличить объем продаж одной из организаций за счет привлечения абонентов сторонних операторов.
Осознавая, что клиентская база абонентов является охраняемой компьютерной информацией, фигурант уголовного дела с 8 по 26 ноября 2019 года произвел выгрузку реестров, содержащих персональные данные более пяти тысяч абонентов в память собственного персонального компьютера.
Полученную в результате неправомерного доступа компьютерную информацию, являющуюся, в том числе, коммерческий тайной, мужчина использовал для продвижения на рынке услуг связи компании-конкурента.
Расследование уголовного дела проводилось УФСБ России по Волгоградской области, сотрудники которого также выявили и пресекли указанные деяния.” (Ahtuba34.ru). Карточка дела https://zent--vol.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=201447577&case_uid=9c279e17-9b2e-4ff6-8eb1-6ce3278cf33e&delo_id=1540006 Заседание назначено на 20.10.2020
По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП. https://zlonov.com/the-closer-you-look-the-less-you-see
Два свежих приказа ФСТЭК России, законодательные инициативы, материалы прошедших тематических мероприятий, посты в блогах и многое другое по теме безопасности критической информационной инфраструктуры в Дайджесте КИИ 187-ФЗ 2020-39. https://zlonov.com/kii187fz-2020-39
Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей? https://zlonov.ru/quick-deepfake/
Исследователи из McAfee продемонстрировали способ обмана современных систем распознавания лиц, позволяющий выдать одного человека за другого https://vk.com/wall-88373861_1115
Как оказалось, идее простого и надёжного физического (от)рубильника для сетевого соединения есть место и в 2020 году https://zlonov.ru/cut-the-internet/
Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. https://zlonov.ru/fstec-certs-2020-hy1/
Если вам кажется, что по теме безопасности КИИ и сказать-то уже нечего, то очередной Дайджест КИИ 187-ФЗ быстро убедит вас в обратном =) https://zlonov.ru/kii187fz-2020-35/
По не(полу)официальным данным компания Garmin заплатила многомиллионный выкуп преступникам, взломавшим её системы. Так что не стоит удивляться, что атаки вымогателей продолжаются и продолжаются. https://xakep.ru/2020/08/03/wastedlocker-garmin/
Июльский отчёт NIST о втором раунде стандартизации постквантовой криптографии - определены 7 финалистов и 8 альтернативных участников для третьего раунда (речь про новые стандарты цифровой подписи, шифрования с открытым ключом и алгоритма обмена ключами) https://vk.com/wall-88373861_1112
Тема безопасности КИИ настолько “пошла в народ” (приплетается к месту и не к месту), что некоторые СМИ со своими публикациями уже прямо на грани фола… Но Дайджест КИИ остаётся объективным и беспристрастным, а выводы пусть делают сами читатели. https://zlonov.ru/kii187fz-2020-31/
На Rusprofile.ru размещена бухгалтерская отчетность компаний за 2019 год. Так что можно, не дожидаясь очередного отчёта CNews 100 или рейтинга TAdviser, оценить, как обстоят дела у подрядчиков/конкурентов/партнёров с финансовым положением. https://zlonov.ru/gost-tokens-manufacturers-revenue-2019/
Сравнение промышленных средств обнаружения вторжений, в котором каждому из представленных производителей есть чем похвастаться: DATAPK, InfoWatch ARMA Industrial Firewall, KICS for Networks, Nozomi Networks Guardian, PT ISIM. https://www.anti-malware.ru/compare/Intrusion-Detection-Systems
Миллиард кибератак, приказ Минкомсвязи России №114, три года лишения свободы условно по ч.4 ст.274.1 УК РФ и многое другое в Дайджесте КИИ 187-ФЗ за 27 неделю 2020 года https://zlonov.ru/kii187fz-2020-27/
Опубликован Приказ Минкомсвязи России №114 от 17.03.2020 «Об утверждении Порядка и ТУ установки и эксплуатации средств, предназначенных для поиска признаков КА в сетях электросвязи, используемых для организации взаимодействия оКИИ РФ» https://zlonov.ru/kii/приказ-минкомсвязи-россии-114-от-17-03-2020/
Дайджест КИИ 187-ФЗ за 25 неделю буквально пронизан нежеланием субъектов КИИ массово-принудительно переходить на российское программное обеспечение https://zlonov.ru/kii187fz-2020-25/
Компании Facebook и Microsoft подвели итоги Deepfake Detection Challenge — конкурса для разработчиков, который направлен на создание решений для борьбы с технологиями подмены лиц на видео. https://nplus1.ru/news/2020/06/15/deepfake-detection
В Госдуму внесли законопроект о разблокировке Telegram: “…полная блокировка Telegram в России не представляется возможной; … множество российских госорганов используют Telegram официально; …указанный сервис выполняет важную социальную функцию”. https://www.bfm.ru/news/446069
Исследование CyLab (Институт безопасности и конфиденциальности Университета Карнеги-Меллона): только около трети пользователей меняют свои пароли после объявления об утечках данных и из них меняет его на более надежный тоже только треть. https://www.ieee-security.org/TC/SPW2020/ConPro/papers/bhagavatula-conpro20.pdf
Можно умиляться наивности людей, а можно на ней зарабатывать: устройство стоимостью почти 30 тыс руб обещает защитить вашу семью от предполагаемой опасности 5G, используя революционную квантовую технологию #дорогаячушь https://www.bbc.com/news/technology-52810220
Сервис подписки на обновления баз данных с утечками от haveibeenpwned.com в очередной раз напоминает что даже для крупных сервисов пароли должны быть разными, их надо периодически менять, а ещё лучше - и вовсе не использовать.
Две свежие законодательные инициативы в области безопасности КИИ вызвали на этой неделе всплеск публикаций в СМИ и блогах. Подборка в очередном Дайджесте КИИ 187-ФЗ https://zlonov.ru/kii187fz-2020-21/
Обсуждение ранее представленной методики моделирования (продолжение) и, конечно, нового проекта приказа ФСТЭК России по подключению ЗО КИИ к сети связи общего пользования в свежем Дайджесте КИИ https://zlonov.ru/kii187fz-2020-19/
Набор средств защиты, достаточный по проекту приказа ФСТЭК России для подключения значимого объекта КИИ к сети связи общего пользования: МЭ уровня сети, граничный маршрутизатор, антивирус, СКЗИ, СОВ/СПВ, МЭ уровня веб-сервера (часть - опционально) https://regulation.gov.ru/projects#npa=101634
Из изменений по сравнению с вариантом от 2018 года - отправка в форматах .ods и .odt (было .docx и .xlsx) https://zlonov.ru/kii/ис-фстэк-россии-№240-25-3752-от-24-08-2018/
Публикации в СМИ, пресс-релизы и подборка мнений о новом проекте методики моделирования угроз в Дайджесте КИИ 187-ФЗ https://zlonov.ru/kii187fz-2020-16/
КИИ и облачные сервисы? Вот вариант радикального решения проблемы: Яндекс.Облако запрещает размещать у себя значимые объекты КИИ https://yandex.ru/legal/cloud_aup
Сотрудник на удаленной работе самостоятельно решает, в какое время трудиться (ч.1 ст.312.4 ТК РФ), но у работодателя сохраняется обязанность по учету рабочего времени и способ учета работодатель выбирает самостоятельно: например, использование спец. ПО http://www.garant.ru/article/1334353/
“Россияне в условиях распространения коронавируса будут обеспечены бесплатным доступом к различным цифровым сервисам” Информация о доступных сервисах с 23 марта собрана на едином интернет-ресурсе: https://www.xn--b1ag9a.xn–80asehdb/catalog
Через месяц и один день стартует Код ИБ Профи в Москве: http://bit.ly/2utribj Если планируете участвовать, не тяните - скидку 10% дают до 29.02.2020 #codeib
В 2019 г. объем всех операций, совершенных без согласия клиентов (физических и юридических лиц) с использованием электронных средств платежа, составил 6426,5 млн рублей. Количество таких операций – 576 566 единиц.
Средняя сумма одной операции без согласия клиента по счетам физических лиц в 2019 г. составила 10 тыс. руб., юридических лиц – 152 тыс. рублей.
69% всех операций без согласия клиентов было совершено в результате побуждения клиентов к самостоятельному проведению операции путем обмана или злоупотребления доверием (методами так называемой социальной инженерии).
Банки возместили клиентам 935 млн руб. (15%, или каждый 7-й похищенный рубль). Текущий уровень возмещения объясняется высокой долей социальной инженерии среди операций без согласия клиентов, которые в результате обмана или злоупотребления доверием нарушают условия договора с кредитными организациями, предусматривающие необходимость сохранения конфиденциальности платежной информации.
В связи с этим Банк России намерен рассмотреть возможность изменения процедуры возврата (компенсации) похищенных средств клиентов.
Выступление Николая Домуховского (УЦСБ) с рассказом о практическом опыте создания систем мониторинга информационной безопасности промышленных предприятий: https://www.youtube.com/watch?v=FFW33FzdV-I&t=14
Прокуратурой Елецкого района Липецкой области в адрес руководства медицинского учреждения внесено представление в целях устранения выявленных нарушений законодательства о критической информационной инфраструктуре http://www.lipprok.ru/press/news/?id=55889
Готовится пилотный проект по взаимодействию федеральных государственных информационных систем между собой, с гражданами и организациями с использованием российских криптографических алгоритмов и средств шифрования https://regulation.gov.ru/projects#npa=98942
ФСТЭК: прекращено действие сертификатов на Microsoft Windows 7 и Server 2008 R2, пользователям данных сертифицированных версий рекомендуется до 1 июня 2020 перейти на другие поддерживаемые операционные системы, а до перехода принять дополнительные меры.
На сайте НКЦКИ обновлён календарь мероприятий: «Основной акцент сделан на крупных конференциях в области информационной безопасности, организаторами которых являются российские компании» https://safe-surf.ru/specialists/conference/
Подписан закон о «цифровом нотариате»: удалённое удостоверение нотариальных действий, установление личности клиентов с помощью единой биометрической системы и многое другое https://zlonov.ru/федеральный-закон-480-от-27-12-2019/
Выпуск подкаста «Запуск завтра» про информационную безопасность: «Уязвимость есть? А если найду? Говорим о хакерах и информационной безопасности» http://bit.ly/2Z3zdXD
Мосгортранс получит до конца сентября 2020 года около 500 «умных» автобусов, оснащённых видеокамерами, для которых «потенциально […] можно внедрить и решения для распознавания лиц» http://bit.ly/2S0HUAI
Да, пока НКЦКИ почти наверняка черпает информацию для своих бюллетеней из открытых источников, но ведь её [с]может собирать и ГосСОПКА: не так сложно «скоррелировать» тот же массовый выход SSD-накопителей определённых моделей из строя. https://safe-surf.ru/upload/ALRT-20191205.1.pdf
ФСБ, органам госохраны, учреждениям и органам УИС, полиции, нацгвардии и внешней разведке разрешили: подавление или преобразование сигналов дистанционного управления, повреждение и уничтожение беспилотных воздушных судов.
Machine Learning Captcha: «Чтобы доказать, что вы человек, нажмите на все фотографии, на которых изображены места, где вы могли бы укрыться во время восстания роботов»
«предполагается ужесточить требования к аккредитации и деятельности […] удостоверяющих центров» и «при использовании квалифицированной электронной подписи юрлицами и ИП должны применяться две электронные подписи»
http://www.garant.ru/news/1303711/
По два года условно трём фигурантам: “неправомерный доступ к КИИ РФ и получение имущественной выгоды от неправомерного доступа к охраняемой компьютерной информации, содержащейся в КИИ РФ” (УК ч.4 ст.274.1) https://t.co/pjkZuVSIIo
ФБР выпустило документ непубличного распространения (TLP:GREEN) с предупреждением о типах возможных атак на многофакторную аутентификацию. https://vk.com/wall-88373861_858
Забавно, конечно, что выход «масштабного» исследования про Russia’s APT Ecosystem от Check Point так удачно совпал с окончанием срока действия последнего (согласно реестра) сертификата на серию их решения во ФСТЭК России =)
Проект Указа Президента о проведении с 1 марта 2020 года эксперимента, предусматривающего выпуск паспорта гражданина РФ в виде материального носителя с чипом и мобильного приложения
Горячий Q4 активно стартовал, так что пришла пора делать очередной обзор изменений в Госреестре сертифицированных средств защиты информации за три последних месяца. https://zlonov.ru/fstec-certs-2019-q3/
Было бы честно сначала всем потенциальным пользователям ЕБС показывать это видео, а потом спрашивать согласие «стать клиентом банков и получать услуги без посещения офисов и предъявления паспорта — с помощью биометрии (лица и голоса) через Интернет.» https://www.youtube.com/watch?v=5rPKeUXjEvE
Президент подписал Указ «О развитии искусственного интеллекта в Российской Федерации», утверждающий Национальную стратегию развития искусственного интеллекта на период до 2030 года. https://zlonov.ru/указ-президента-рф-490-от-10-10-2019/
Понравился комментарий в другом источнике: «Хотя конституционные права — самые защищаемые в стране права, они могут быть ограничены для соблюдения других конституционных прав» https://vk.com/wall-88373861_833
Изменения в Гражданский кодекс РФ с 1 октября: цифровые права, смарт-контракты, заочное голосование и другие поправки http://www.garant.ru/news/1296552/
Дайджест КИИ 187-ФЗ за прошлую неделю (2019-40): https://mailchi.mp/5c3dbefdd0d1/187-2019-468723 Из-за небольшой паузы в выходе Дайджеста КИИ накопилось большое число материалов, поэтому последующие несколько выпусков будут объёмней обычного.
Подготовленная мной сводная Таблица с мерами из приказов ФСТЭК пользуется популярностью — даже уже не один раз успел получить от читателей благодарность за её публикацию. В связи с этим решил продолжить тему и пойти дальше.
В сегодняшнем посте - обзор вариантов реализации мер из раздела “I. Идентификация и аутентификация (ИАФ)” приказа ФСТЭК России №239. https://zlonov.ru/239-measures-01/
Подготовлен Проект Постановления Правительства РФ О внесении изменений в Правила использования федеральной государственной информационной системы ЕСИА. https://vk.com/wall-88373861_824
Суды: ПДн являются общедоступными, если они предоставлены владельцем и доступны неопр. кругу лиц. Из-за отсутствия согласия владельца ПДн на размещение сведений в соцсетях, их нельзя отнести к общедоступным источникам.
http://www.garant.ru/news/1294310/
Инструмент для экспорта всей своей информации из продуктов Google: «если вам нужна ее резервная копия или вы хотите использовать эти данные в стороннем сервисе». Можно настроить регулярный экспорт каждые 2 месяца в течение года https://takeout.google.com
Прекращено уголовное дело по ст.274.1 ч.2 УК РФ (неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ): лицо возместило ущерб или иным образом загладило причиненный преступлением вред (25.1 УПК РФ)
На Defcon представлен самосборный миникомпьютер, превращающий Tesla в настоящую шпионскую станцию: благодаря 360°-обзору система отслеживает, распознает и анализирует номерные знаки и лица. При выявлении повторений система выдаёт предупреждение. https://www.wired.com/story/tesla-surveillance-detection-scout/
Крайне наглядная иллюстрация того, как пользователи относятся к вопросу безопасности своих паролей: 40% не изменили пароль даже после предупреждения о том, что он скомпрометирован. https://www.securitylab.ru/news/500542.php
Мысли и рекомендации по поводу того, насколько это безопасно — доверить все свои пароли менеджеру паролей, встроенному в браузер, или реализованному в виде отдельного приложения?
Если у вас однофакторная парольная аутентификация, то векторов атак, успешно приводящих к компрометации учётной записи, так много, что от всех вариантов не уберечься…
Исследователи продемонстрировали атаку, которая позволила им обойти Apple FaceID и разблокировать чужой телефон, просто надев на лицо его владельцу пару модифицированных очков с аккуратно наклеенными на стёкла чёрными и белыми кусочками скотча. https://vk.com/zlonovru?w=wall-88373861_800
«Отрасль в кризисе. CISO и команды безопасности чувствуют себя отстающими от киберпреступников, не успевают за темпами технологических изменений и перегружены всевозможными уведомлениями и предупреждениями средств защиты.»
Австралийский центр кибербезопасности выпустил рекомендации по противодействию атакам с «распылением паролей» (password spraying attacks). В качестве одного из самых эффективных способов противодействия указывается внедрение многофакторной аутентификации. https://vk.com/zlonovru?w=wall-88373861_794
Свёл в одну таблицу наборы мер из четырёх Приказов ФСТЭК: №17 (для ГИС), №21 (ПДн), №31 (АСУ ТП) и №239 (ЗО КИИ), сгруппировав их по соответствующим разделам https://zlonov.ru/measures-table/
Выложил ВКонтакте картинки циклов хайпа для технологий управления учётными данными и доступом от Гартнер за 2019, 2018 и 2017 года. Можно отследить динамику движения технологий по кривой цикла. https://vk.com/wall-88373861_791
В утверждённой Стратегии кибербезопасности Кыргызстана на 2019-23 гг присутствуют до боли знакомые обороты в определениях основных терминов https://www.tazabek.kg/news:1560230 #КИИ
Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) — это возможность использовать штатный VPN-клиент во многих современных операционных системах.
Национальным институтом стандартов и технологий (NIST) выпущено 248-страничное практическое руководство по кибербезопасности: Многофакторная аутентификация для электронной коммерции. Разместил его в сообществе ВКонтакте: https://vk.com/wall-88373861_776
Не стоит думать, что Категорирование объектов критической информационной инфраструктуры — это что-то сложное и дорогое. Вот, например, Фонд социального страхования Российской Федерации заключил контракт на эту работу всего за 1 рубль =)
Полезная статья: в каких случаях допустимо свободное использование изображений граждан, а в каких использование изображения влечет за собой ответственность, и как гражданам, чье изображение незаконно используется, защитить свои права? http://www.garant.ru/article/1284159/
Опубликован проект Постановления Правительства РФ Об утверждении Правил предоставления субсидий из федерального бюджета российскому юрлицу на создание отраслевого центра ГосСОПКА https://regulation.gov.ru/projects#npa=93409
Агентство кибербезопасности и безопасности инфраструктуры (The Cybersecurity and Infrastructure Security Agency — CISA) выпустило инфографику о факторах риска беспроводных сетей 5G.
Выступление Николая Домуховского (УЦСБ) на конференции Код ИБ Industrial: Как построить реально работающую систему безопасности объекта КИИ? https://www.youtube.com/watch?v=OhJheyRz6fI
Внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов. При расчёте показателя 9 из перечня показателей критериев значимости (ущерб бюджетам РФ) в ПП-127 нужно оперировать актуальными данными: http://kremlin.ru/acts/news/61032
Как известно, взломы часто случаются в ночь с пятницы на субботу, когда у злоумышленников есть два выходных дня со сниженной вероятностью их обнаружения. Длинные праздники с этой точки зрения ещё более опасны, поэтому каждому ИБшнику рекомендуется всегда иметь под рукой Календарь праздничных и выходных дней =)
The Water Information Sharing and Analysis Center (WaterISAC) недавно выпустил обновленное руководство по основам кибербезопасности для предприятий водоснабжения и водоотведения «15 Cybersecurity Fundamentals for Water and Wastewater Utilities». https://www.waterisac.org/fundamentals
Национальный центр кибербезопасности Соединенного Королевства (NCSC) выпустил свой отчет «Активная киберзащита 2019» (ACD — Active Cyber Defence), с анализом результатов программы ACD NCSC, направленной на снижение вреда от кибератак https://www.ncsc.gov.uk/report/active-cyber-defence-report-2019
«Ассоциация документальной электросвязи» (АДЭ) опубликовала согласованные с ФСБ России и ФСТЭК России “Методические рекомендации по категорированию объектов КИИ, принадлежащих субъектам КИИ, функционирующим в сфере связи”.
Динамическая иллюстрация потерь в $ различных штатов США от киберпреступлений в 2011-18 годах. Данные взяты из отчётов Центра жалоб на интернет-преступления ФБР (IC3 FBI).
@ISACARuSec ISACARuSec (690)
Канал направления ИБ Московского отделения ISACA
@N0iSeBit Noise Security Bit (588)
новости нерегулярного подкаста о жизни ресечеров по обе стороны океана
@ruporsecurite Рупор бумажной безопасности (559)
Канал о нюансах соблюдения законодательства в области защиты информации
@avleonovcom Information Security Automation (528)
Alexander V. Leonov
@Persdata Персональные_данные (523)
Мы собираем все самое интересное о ПД. При поддержке IDX
@devicelock_ru DeviceLock RU (519)
Русскоязычный канал DeviceLock DLP - новости продукта и компании, советы по противодействию утечкам данных, информационная безопасность как она есть.
@infosecmemes Information Security Memes (504)
Just for lulz
@true_infosec true infosec (374)
@risspa Интересно #поИБэ (306)
Последние новости RISSPA и отрасли кибербезопасности
@cnsec CNsec (244)
Информационная безопасность по версии журнала Connect #новости #поиб #кибербезопасность
supportbio (165)
Канал с информацией о периодах недоступности в ЕБС/СМЭВ/ЕСИА
@infobezopasnost Информация без опасностей (безопасность) (111)
Очередной канал по информационной безопасности. В основном о банковской ИБ. (Не Лукацким единым ;) )
@rusiem RuSIEM (90)
@ruCyberSecurity ruCyberSecurity (80)
Канал сообщества ruCyberSecurity.
@isast iSAST & AS Compliance (23)
[Статический] Анализ и сертификация безопасности приложений в промышленных масштабах
CyberYozh (35 881) Создаем лучший бесплатный курс по анонимности и безопасности в сети.
@TG_security IT&Безопасность (31 437)
Многое о безопасности в Telegram и не только.
@alexlitreev_channel Сайберсекьюрити и Ко. (20 104)
Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизни.
@dataleak Утечки информации (19 817)
Знаем про утечки все! Авторские статьи про утечки данных.
@webware Codeby.net - канал (16 487)
@hackertoys Hacker’s TOYS (16 143)
Игрушки, в которые играют хакеры.
@alexmakus Информация опасносте (14 423)
Чаще про cybersex (зачеркнуто) про cybersec
@vschannel Vektor Security Channel (13 818) Канал посвящен анонимности и безопасности в сети. На канале публикуются важные новости, предупреждения об угрозах, приватные материалы от VektorT13 и анонсы событий.
@SecLabNews SecurityLab (13 194)
@VeeSecurity Vee Security (13 120)
Vee Security. Subscribe to our official Telegram channel.
@singlesecurity Cyber Security (7 360)
Анонимность добра — верх благородства, Анонимность зла — верх подлости. Лучший канал о кибербезопасности и тёмной стороне интернета.
@cybershit Киберп@#$%ц (7 140)
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам?
@HNews Hacker News на русском (6 656)
Новости об информационной безопасности, хакерах, уязвимостях, взломах и околотематика на русском языке.
@itsecalert IT Security Alerts (6 114)
This channel posts IT security related topics and especially alerts.
@anti_malware Anti_Malware (5 070)
Самые актуальные и свежие события в мире информационной безопасности
@itsec_news ITsec NEWS (4 896)
Регулярные подборки новостей и интересных публикаций в сфере ITsec.
@ibach ИБач (4 189)
Канал об Информационной Безопасности 🔒 #новости #статьи #исследования #журналы #книги
@alukatsky Пост Лукацкого (1 934)
Трансляция блога и Твиттера Алексея Лукацкого
@certkznews CERT.KZ official channel (1 853)
Все новости ЦАРКА (Центр анализа и расследования кибер атак)
@CyberSecurity_webinars Вебинары по тематике ИБ/CyberSecurity Webinars (1 737)
Консолидация бесплатных вебинаров по тематике “Информационная безопасность. Всегда только актуальные вебинары в ленте!
@informhardening Information Hardening (1 531)
@w2hack white2hack (1 187)
][-андрерграунд, софт, статьи, инструкции, гайды для новичков и экспертов по информационной безопасности. Этичный хакинг и защита своих данных
@news_infosecurity ИБшнику (1 182)
Площадка актуальных новостей и событий в сфере информационной безопасности.
@include_com #INCLUDE (1 144)
@cyber_gram Киберграмотность (1 037)
Компьютерная грамотность с акцентом на приватность, анонимность и безопасность. Мы против цензуры и цифрового мракобесия.
@RuSecJobs Канал Вакансии ИБ (914) Вакансии и Резюме ИБ в России - без обсуждений
@ruscadasecnews RUSCADASEC news (872) Global juicy ICS/SCADA Security information sharing channel from the @RUSCADASEC Open Community.
@CyberSecurityRussia CyberSecurityRussia (794)
Будь в курсе главных событий кибербезопасности
@sitesecurity WEBSITE SECURITY (764)
Все о безопасности сайтов: диагностика, лечение от вирусов и защита от взлома.
@InfoBezEvents Мероприятия по ИБ (743)
На канале публикуется информация о предстоящих вебинарах, семинарах, конференциях и прочих мероприятиях по информационной безопасности. В ленте только актуальные события.
@zlonovru ZLONOV.ru (739)
Телеграм-канал сайта ZLONOV.ru Новости и актуальные темы из сфер: информационная безопасность, информационные технологии, кибербезопасность и около. #ИБ #ИТ #АСУТП #маркетинг
@bureaucraticsecurity Листок бюрократической защиты информации (730) Нормативно-новостной и субъективно-просветительский канал по теме защиты информации в Российской Федерации.
**Большая подборка Telegram-чатов по информационной безопасности:
**@KII187FZ Обсуждение вопросов, связанных с Федеральным законом от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Полезные материалы, ссылки на публикации, обмен мнениями и свежие новости.
@thecodeby Чат о взломе и защите компьютерных систем.
@DC7499 Our group are open to anyone who is willing to share their ideas and research results and for whom information security is not just a job, but a real passion.
@RuScadaSec Группа открытого независимого сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
@cyberseckz Публичная группа ЦАРКА. Обсуждение вопросов ИБ в Казахстане.
@CyberJobsRussia Группа Вакансии ИБ
@secinfosec Эта очередная группа про информационную безопасность. Мы: пентестеры, ресерчеры, ибшники всех мастей, всякие органы. Говорим об и по ИБ.
@ru_cryptography Группа про криптографию, аналитику, алгоритмы, шифры и ключи.
@SOCDG SOC Discussion Group
@rsa4096 Комьюнити шифропанков и кодеров, выросшее из си-чата.
@PDn152FZ Обсуждение вопросов, связанных с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». Полезные материалы, ссылки на публикации, обмен мнениями и свежие новости.
@WhereShock WhereShock Platform
@sncode_chat Чат канала @sncode
@IT149FZ Обсуждение вопросов, связанных с Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, ИТ и о ЗИ». Полезные материалы, ссылки на публикации, обмен мнениями и свежие новости.
@KT98FZ Обсуждение вопросов, связанных с Федеральным законом от 29.07.2004 №98-ФЗ «О коммерческой тайне». Полезные материалы, ссылки на публикации, обмен мнениями и свежие новости.
Компания Fudo Security прислала для Каталога СрЗИ описание своего решения по контролю привилегированных пользователей Fudo PAM на русском языке. С удовольствием обновил информацию: https://zlonov.ru/catalog/fudo-pam/ Брошюру на русском тоже сделали. Приятно иметь дело с такими людьми =)
Мои давние коллеги из Экспо-Линк в качестве подарка заказывающим участие в ближайшем (25-29 июля) мероприятии Код ИБ ПРОФИ готовы предложить полгода доступа ко всем имеющимся записям выступлений и мастер-классов по информационной безопасности на их платном ресурсе Код ИБ АКАДЕМИЯ.
Промокод для получения подарка — zlonov (вводить надо при оформлении заказа на сайте КОД ИБ ПРОФИ).
Запущенный на днях Telegram-бот @MailSearchBot выдаёт при вводе адреса электронной почты пароли, связанные с этим адресом, которые были в какой-либо из ранее утекших баз.
Из соображений безопасности бот часть символов пароля скрывает звёздочками, адреса можно вводить только по одному, а число запросов ограничено 40.
В моём случае бот выдал парочку старых паролей от сторонних сайтов, хотя сервис https://haveibeenpwned.com сообщает, что с моим адресом суммарно было 6 утечек. Так что у второго — база пополнее будет, да и источники утечек, кстати, называются, но, правда, сами утекшие пароли не показываются.
Что ж, будем надеятся, что бот не станет популярен среди низкоквалифицированных злоумышленников, которые сами не в состоянии найти утекшие базы, но с ботом справятся.
А для всех остальных будет хороший повод в очередной раз задуматься о важности правила не использовать одинаковые пароли на разных сервисах: утечь может даже самый стойкий пароль и печально, если он у пользователя один и от всего сразу.
На сторонних сервисах и вовсе хорошим тоном является авторизация с использованием социальных логинов (вход через Facebook, Google, ВКонтакте, Twitter и т.п.), если, конечно, вы используете соцсети правильно и ничего лишнего, чего стоило бы скрыть от этих самых сторонних сервисов, в них не выкладываете.
Кстати, если вы пользуетесь ВК, присоединяйтесь к сообществу: https://vk.com/zlonovru Ещё только привыкаю к этой площадке, но в целом - нравится, да и риск блокировки её минимальный =)
История про то, как у гуру в области ИБ Михаила Юрьевича Емельянникова один удостоверяющий центр для выдачи электронной подписи (внезапно!) селфи с паспортом «довольно агрессивно» попросил. Пока не получил =) Следим за развитием событий…
https://emeliyannikov.blogspot.com/2019/06/blog-post.html
По ссылке можно следить за судьбой в Госдуме законопроекта о предотвращении мошенничества с электронной подписью при регистрации прав на недвижимость: https://sozd.duma.gov.ru/bill/728232-7
Случай, когда сертификат — «просто бумажка» (речь про американский стандарт FIPS 140-2): «Некоторые устройства YubiKey FIPS признаны ненадежными из-за бага» https://xakep.ru/2019/06/14/yubikey-fips/ #2FA
Проект-то документа был не особо содержательный, а уж итог и вовсе на «законодательную заглушку» похож: ПП-743 от 08.06.2019 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи РФ для обеспечения функционирования ЗО КИИ» https://zlonov.ru/kii/пп-743-от-08-06-2019/
Раздача бесплатной годовой подписки на 1Password — менеджер паролей на macOS, Windows, iOS и Android. Выдают семейную подписку на 5 человек. https://1password.com/promo/canva/
Бодрое начало недели: «Данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе. Утечка суммарно затрагивает интересы примерно 900 тыс. россиян, чьи имена, телефоны, паспорта и место работы теперь может узнать каждый.» https://www.kommersant.ru/doc/3997757
Роботизированная мебель от IKEA: «система Rognan представляет собой шкаф, который по команде с тачпада превращается в диван или рабочую зону». Про степень защищённости системы ничего не сообщается.
Совместно с коллегами запускаем почтовую рассылку Дайджест RUSCADASEC. Самое свежее и важное в области промышленной кибербезопасности / кибербезопасности АСУ ТП. Подписаться можно по ссылке: http://bit.ly/2IvrLg2
Весьма странная картинка-иллюстрация, но сам посыл у Роскомнадзора разумный: «регулятор призвал родителей не выкладывать в соцсети фотографии детей».
https://vk.com/wall-76229642_216333
Был уверен, что Opera прикрыла свой VPN-сервис. Ан нет. В текущей версии всё работает из коробки и для доступа к тому же SlideShare даже расширение браузера никакое ставить не надо.
В честь 10-летия один из лучших (по моему мнению) блокировщиков рекламы AdGuard предоставляет всем покупателям скидку 50%. Вечная лицензия на 1 MAC/PC всего 325 руб. Взял себе про запас. https://adguard.com/ru/license.html?lifetime=true
Планируется усовершенствовать правила оборота прав на программы для ЭВМ и БД
Законопроект предусматривает уточнение терминологии, используемой в отношении таких объектов интеллектуальной собственности, как программы для ЭВМhttps://rucybersecurity.ru/t/766/2
В числе прочего НСУД создаст «цифровой профиль гражданина» и на основе его «цифрового согласия» (ЭП?) позволит передавать его данные бизнесу. Вот, не хотелось бы, если честно.
В Telegram стало можно скрывать свой номер телефона ото всех. Теперь бесполезно выгружать контакты посетителей конференций с целью идентификации людей по их имени пользователя =)
Приказ ФСБ №196 от 06.05.2019 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»
http://publication.pravo.gov.ru/Document/View/0001201905310017
«В Минкомсвязи планируют ужесточить требования по закону об электронной подписи: передать полномочия по выдаче сертификата юридическим лицам в ФНС, забрав его у коммерческих удостоверяющих центров.»
http://bit.ly/2I4tEQS
Широко пока не известный проект «Конус» начинает обретать очертания:
«Сим-карты с отечественным шифрованием, переход на которое может начаться уже в декабре, будут работать на импортных чипах. Разработчик уже тестирует чипы от Samsung, хотя сначала планировалось использовать отечественный аналог»
https://www.rbc.ru/technology_and_media/23/05/2019/5ce53a039a79471bde8de739
RadissonBlu - вроде бы солидная сеть отелей, но предлагают по электронной почте на полном серьёзе вот такое: “Оплатить Вы можете картой дистанционно, для этого необходимо заполнить авторизационную форму, направить скан паспорта владельца карты и скан карты с обеих сторон”
Хотите сравнить уровень своей зарплаты с доходом коллег из ФСТЭК России? А квалификационные требования? Ссылки в посте. https://blog.zlonov.ru/fstec-wages/
Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2019 http://www.tadviser.ru/index.php/Статья:Ранкинг_TAdviser100:_Крупнейшие_ИТ-компании_в_России_2019
Не все ключи для #2FA одинаково надёжны: Google отзывает ключи безопасности Titan из-за уязвимости (баг позволяет злоумышленнику, находящемуся на расстоянии примерно 9 м от устройства, взамодействовать с ключом или гаджетом) https://www.securitylab.ru/news/499117.php
Вполне потенциально возможная схема: “Business FM стали известны подробности истории москвича, от лица которого, по его словам, подарили дорогую недвижимость — с помощью цифровой подписи. Если факт подтвердится в ходе расследования, это станет первым известным случаем отъема квартиры с помощью фальсификации цифровой подписи.” https://www.bfm.ru/news/414284
Пора уже сходить, посмотреть, что у (части) коллег со времени первой памятной встречи (https://zlonov.ru/case/unvirtual/) изменилось и был ли смысл новую группу создавать =)
Пример того, как не надо составлять вопросы для тестов. Успешных решений всего 18%, что не удивительно. Попробуете угадать ответ? Можно выбрать несколько пунктов сразу.
Рубрика «Пока мы будем отдыхать»: мессенджеры будут обязаны с 5 мая идентифицировать своих пользователей по номеру телефона http://www.garant.ru/news/1271151/
Роскомнадзор официально пояснил, что для предоставления сервисов IoT не требуется наличие лицензии на оказание услуг связи: Роскомнадзор рассмотрел обращение Ассоциации интернета вещей и сообщил, что услуги по предоставлению решений в области интернета вещей, таких как удаленный контроль состояния различных объектов, экологический мониторинг, сбор полевых данных для сельского хозяйства, удаленный сбор данных с приборов учета ЖКХ, объектов энергетики являются информационными услугами, а не услугами связи.
Согласитесь, символично, что “Услуги по технической поддержке информационных технологий” измеряются не абы в чём, а в Паскалях =) #госзакупки #пятничное в понедельник
об изменении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости (меняется приказ ФСТЭК №236) https://zlonov.ru/kii/приказ-фстэк-59-от-21-03-2019/
об изменении требований по обеспечению безопасности значимых объектов КИИ РФ (меняется приказ ФСТЭК №239) https://zlonov.ru/kii/приказ-фстэк-60-от-26-03-2019/
По ссылкам выше доступны PDF с возможностью поиска/копирования текста в них.
Типология денег по эмитентам (центральный банк или нет), формам (электронная или физическая), доступности (общая или ограниченная) и технологиям (централизованные или децентрализованные расчеты). CBDC - central bank digital currency.
Если CBDC (central bank digital currency) окажется достаточно ликвидной и простой в использовании, она вполне может стать полным эквивалентом наличных денег. При этом CBDC в принципе не сможет обеспечить тот же уровень анонимности, который обеспечивает наличная валюта, что является плюсом для регуляторов, но минус для потребителей, которых беспокоит вопрос невмешательства в их личную жизнь.
Текст ПП-127 о Правилах категорирования и показателях критериев значимости в обновлённой редакции от 13.04.2019, вступает в силу с 24.04.2019.
Ссылка на сайте: https://zlonov.ru/kii/пп-рф-№127-от-08-02-2018/
В виде PDF с возможностью поиска: Постановление Правительства Российской Федерации от 13.04.2019 № 452 “О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127”
Официально внесены изменения в Правила категорирования и перечень показателей критериев значимости объектов КИИ РФ (ПП-127). Срок, до которого надо утвердить Перечень своих объектов, 01 сентября 2019 года (обязателен для госорганов и госучреждений, для остальных - рекомендация). http://publication.pravo.gov.ru/Document/View/0001201904160054
Опубликован текст проекта изменений в КоАП в части установления ответственности за нарушения законодательства в области обеспечения безопасности КИИ https://regulation.gov.ru/projects#npa=89944
В своей обновлённой статье “Security Tip: Protecting Against Ransomware” (https://www.us-cert.gov/ncas/tips/ST19-001) с основными рекомендациями по защите от программ-вымогателей NCCIC в очередной раз напоминает, что Федеральное правительство (США) не поддерживает оплату требований вымогателей.
В качестве аргументации ссылаются на вот эту позицию ФБР: «Paying a ransom doesn’t guarantee an organization that it will get its data back—we’ve seen cases where organizations never got a decryption key after having paid the ransom. Paying a ransom not only emboldens current cyber criminals to target more organizations, it also offers an incentive for other criminals to get involved in this type of illegal activity. And finally, by paying a ransom, an organization might inadvertently be funding other illicit activity associated with criminals».
«На пленарном заседании Госдумы во втором чтении был принят законопроект, которым планируется минимизировать передачу за рубеж данных, которыми обмениваются между собой пользователи нашей страны. В этих целях предполагается создать национальную системы маршрутизации интернет-трафика»
https://rucybersecurity.ru/t/685/2?u=zlonov
#Полезное Купон на 5 бесплатных книг на ЛитРес от KIA. Активируется по ссылке: https://www.litres.ru/?kia= Тематика самая разная - практически на любой вкус.
Любопытно, что у большинства это вызывает возмущение, не вызывая при этом сомнений =)
«Голосовой помощник Echo Amazon, который распознает речь пользователей, за этими же пользователями следит, утверждает Bloomberg»
https://www.bfm.ru/news/411714
Минкомсвязь России планирует разработку законопроекта, направленного на «обеспечение преимущественного использования гражданами, юридическими лицами, в том числе органами государственной власти и управления, цифровых каналов взаимодействия». Полезное начинание. Главное, чтобы невыполнимыми требованиями по ИБ всё не испортили.
https://rucybersecurity.ru/t/670
Сайт, случайным образом выдающий фотореалистичные изображения людей, которые в реальности не существуют.
https://thispersondoesnotexist.com
Все лица созданы генеративно-состязательной сетью (один из алгоритмов машинного обучения без учителя). Можно использовать в научных целях - например, делать фейковые страницы в соцсетях =)
Сайт МВД присылает немного непривычные кириллические коды для проверки валидности электронной почты. “Подтвердите, что адрес действителен и что вы владеете русской раскладкой” =)
Забота о безопасности как двигатель непрогресса: МТС, «Мегафон» и «Вымпелком» опасаются, что внедрение eSim приведет к ценовым войнам и обострению конкуренции. У ФСБ мотивация другая. https://www.bfm.ru/news/411403
Восхитительный вымогательский текст =) Особенно про блокнот понравилось: “Если вам нужно больше времени, чтобы купить и отправить BTC, откройте блокнот и напишите «48h BTC». Таким образом, вы можете связаться со мной. Я подумаю над тем, чтобы дать вам еще 48 часов до выпуска видео, но только тогда, когда я увижу, что вы действительно изо всех сил пытаетесь купить биткойн. Я ЗНАЮ, что ты можешь себе это позволить - так что не играй со мной.”
Ещё более исковерканный “картредж” тоже порой встречается. Зато заменить часть букв латиницей уже не выйдет: “kaptpидж” даже поисковики не предлагают исправить (буквы максимально заменены на нерусские аналоги), но Госзакупки справляются на ура: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=kaptpидж&sortBy=PUBLISH_DATE
С 1 апреля в России действует первый национальный стандарт интернета вещей ПНСТ 354-2019 «Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала (NB-Fi)».
http://nd.gostinfo.ru/document/6446213.aspx
Стандарт был утвержден Росстандартом в феврале 2019 года и будет действовать до 1 апреля 2022 года.
Защите данных (по сути - шифрованию) посвящено Приложение Ж.
О деталях подхода ФСТЭК России в виде Требований доверия, приходящего на смену привычной проверке отсутствия недекларированных возможностей (установлены РД НДВ), публично информации немного. Соответствующий Приказ №131 от 30.07.2018 не публиковался и поговаривают, что даже ещё не все испытательные лаборатории его получили. Из открытых источников (фактически - из одного) выбрал доступную на сегодня информацию https://zlonov.ru/law/приказ-фстэк-россии-№131-от-30-07-2018/
Те самые ФЗ с введением ответственности за распространение в СМИ и Интернете заведомо недостоверной общественно значимой информации и за выражение в Интернете явного неуважения к обществу и государству:
https://zlonov.ru/law/федеральный-закон-№27-фз-от-18-03-2019/
https://zlonov.ru/law/федеральный-закон-№28-фз-от-18-03-2019/
#НПА
ФЗ-27 (недостоверная информация): Размеры штрафов для граждан варьируются в пределах от 30 тыс. до 400 тыс. руб., для должностных лиц - от 60 тыс. до 900 тыс., для организаций - от 200 тыс. до 1,5 млн руб. Возможна конфискация предмета административного правонарушения.
ФЗ-28 (неуважение обществу и государству): Размер штрафа от 30 тыс. до 100 тыс. руб. За повторное совершение - штраф в размере от 100 тыс. до 200 тыс. руб. или административный арест на срок до 15 суток. Если опубликует лицо, ранее подвергнутое административному наказанию за аналогичное правонарушение более двух раз, то его оштрафуют на сумму от 200 тыс. до 300 тыс. руб. или подвергнут административному аресту на 15 суток.
Подписан федеральный закон, которым определен статус “цифровых прав” https://zlonov.ru/laws/федеральный-закон-№34-фз-от-18-03-2019/ #НПА
под цифровыми правами будут пониматься обязательственные и иные права, содержание и условия осуществления которых определяются в соответствии с правилами информационной системы, отвечающей установленным законом признакам;
дистанционные сделки приравнены к письменной форме;
для договора страхования будет возможным его заключение в форме одного электронного документа, подписанного сторонами, или обмена такими документами;
вводится прямой запрет на составление завещания с использованием электронных либо иных технических средств;
закон вступит в силу 1 октября 2019 года и будет применяться к правоотношениям, возникшим после этой даты (по правоотношениям, возникшим до этой даты, будет действовать в отношении тех прав и обязанностей, которые возникнут после 1 октября этого года).
Начата работа над проектом ФЗ о внесении в КоАП изменений в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ https://rucybersecurity.ru/t/645
Один из плюсов регистрации где-либо не по почте/паролю, а через внешние сервисы - это меньший ущерб от таких вот утечек. Bookmate, например, поддерживает регистрацию через Facebook, Google, Twitter и даже VK. Кстати, они не потрудились уведомить меня об утечке, да и на их сайте упоминание об этом найти не удалось.
Опубликован Проект приказа ФСТЭК России “О внесении изменений в Требования о защите информации, не составляющей гостайну, содержащейся в ГИС, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17” https://regulation.gov.ru/projects#npa=89835
Цель (согласно Пояснительной записке) - “внесение изменений […], направленных на установление требований к уровню доверия средств защиты информации и требований по применению сертифицированных по требованиям безопасности информации маршрутизаторов.”
Если вы, как и я, не мониторите Реестр каждый день, а пользуетесь им по необходимости от случая к случаю, то, возможно, пока не обратили внимание на недавние нововведения. Мне они, к слову, очень даже понравились. https://blog.zlonov.ru/better-fstec-registry/
Объявлено о разработке законопроекта, направленного на определение таких понятий как: идентификация, аутентификация, цифровой профиль, а также их законодательное закрепление https://regulation.gov.ru/projects#npa=89356
Опубликован проект приказа ФСТЭК «О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК от 25 декабря 2017 г. № 239» https://regulation.gov.ru/projects#npa=89229
Опубликован проект приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК от 21 декабря 2017 г. №235» https://regulation.gov.ru/projects#npa=89049
Если вы откладывали решение об участии в Код ИБ ПРОФИ 28-31 марта до сегодняшнего дня, то, вполне вероятно, делали это не зря =) https://blog.zlonov.ru/codeib-profi-promo/
Потратив два месяца на безнадёжную попытку настроить под себя приложение «Google Новости» могу констатировать, что до Сверхразума, предрекаемого Ником Бостромом в его книге «Искусственный интеллект. Этапы. Угрозы. Стратегии» (https://zlonov.ru/2017/04/superintelligence-dangers-strategies/), ещё очень и очень далеко.
Бессмысленное, как оказалось, действие в виде прямого указания приложению «Меньше новостей, похожих на эту» не приводит ровно ни к чему - «Google Новости» упорно предлагают мне в Главном почитать про Андрея Вадимовича, Алсу и гороскопы.
Есть, правда, вероятность, что Сверхразум уже существует и просто до поры до времени прикидывается эдаким несмышлёнышем, дабы не спровоцировать своё преждевременное (для него) обнаружение человечеством… Что ж, если это так, то маскировка получилась отменной.
Свежий ПриказМинэнерго РФ №1015 от 06.11.2018 о требованиях к ИБ при создании и эксплуатации систем удалённого мониторинга и диагностики энергетического оборудования в формате PDF с возможностью поискаhttps://rucybersecurity.ru/t/598
Один из партнёров Splunk в России пророчит прекращение продаж этого вендора в нашей стране. Официальной новости пока нет. https://www.volgablob.ru/blog/?p=1449
Краткий анализ официальных данных от ФСТЭК о числе субъектов и объектов критической информационной инфраструктуры. С выводами и прогнозом.
https://blog.zlonov.ru/187-fz-dynamics/
В Safari нет функции управления профилями, как в том же Chrome, но всегда есть возможность скачать Safari Technology Preview и получить два независимых Safari в одной macOS (например, под рабочий аккаунт в каком-либо сервисе и личный) https://developer.apple.com/safari/download/
Песочница CyberX ICS Malware Sandbox имитирует реальные промышленные сети, позволяя вредоносным программам запускаться и распаковываться с тем, чтобы иметь возможность обнаруживать их вредоносные действия, специфичные для вредоносных программ для промышленных сетей и систем, такие как сканирование OPC или перезапись файлов конфигурации ПЛК. https://zlonov.ru/catalog/cyberx-ics-malware-sandbox/
Минкомсвязь предлагает включать в реестр отечественного ПО только такое мобильное офисное ПО, которое работает под управлением «мобильной операционной системы, сведения о которой включены
в единый реестр российского программного обеспечения и которая сертифицирована в соответствии с требованиями законодательства Российской Федерации о защите информации» https://regulation.gov.ru/projects#npa=88117
Кто-то сказал Sailfish Mobile OS RUS или послышалось? =)
В новой версии Zecurion DLP можно заблокировать доступ конкретных пользователей к определённым программам, а потом посмотреть видео (из скриншотов) с безуспешными попытками их запуска =)
https://rucybersecurity.ru/t/zecurion-dlp/129/3?u=zlonov
Обновили список сертифицированных по требованиям безопасности ФСТЭК решений Cisco - https://t.co/PHMwaGhXwc
— Cisco Russia&CIS (@CiscoRussia) January 30, 2019
Обзор Общего Регламента по защите персональных данных (General Data Protection Regulation, GDPR) Евросоюза и его сравнительный анализ с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». http://www.itsec.ru/articles/obzor-gdpr #ПДн #GDPR
Правительство РФ: Об официальном отзыве Правительства на законопроект о досудебной блокировке Банком России сайтов финансовых пирамид http://bit.ly/2Tl0RM4
Пример не кибератаки, а человеческой ошибки (судя по всему, оператор отправил в дуговую сталеплавильную печь металлолом с водой/снегом), но последствия впечатляют.
Ростелеком рассчитывает обеспечить к концу 2021 года 1,4 млн чиновников услугами связи, включающими в себя использование смартфона на считающейся пока единственной российской мобильной ОС Sailfish. Суммарный оцениваемый бюджет этого проекта - 38 млрд руб. https://www.kommersant.ru/doc/3860749
Очередные две поправки к 149-ФЗ «Об информации, информационных технологиях и о защите информации» одобрены к первому чтению: о штрафах за распространение фейковых новостей в СМИ и блокировке в интернете материалов, содержащих неуважительные высказывания об органах госвласти. https://www.kommersant.ru/doc/3860840
Неплохо, конечно, что “Правительство добилось предварительного согласия всех сторон на запуск Национальной системы управления данными (НСУД)”, но вот это настораживает: “спорные вопросы предполагается решать на ходу” https://www.kommersant.ru/doc/3859540
Наглядная демонстрация того, как некоторые каршеринговые компании могут относиться к персональным данным своих клиентов: прямое указание e-mail адресов в поле Кому.
#напоминание До окончательного снятия Windows 7 с поддержки осталось менее года. Не забудьте: «Неподдерживаемая версия Windows больше не будет получать обновления программного обеспечения из Центра обновления Windows. К таким обновлениям относятся обновления для системы безопасности, помогающие защитить компьютер от опасных вирусов, программ-шпионов и другого вредоносного программного обеспечения, которое может похитить ваши персональные данные.» https://support.microsoft.com/ru-ru/help/13853/windows-lifecycle-fact-sheet
Компактный программно-аппаратный комплекс для защиты низкоскоростных каналов связи (включая АСУ ТП) с защитой трафика по технологии IPsec VPN в соответствии с требованиями ГОСТ.
Проект постановления Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» http://bit.ly/2Ais0ba
Материалы CoLaboratory: Industrial Cybersecurity Meetup #5 http://bit.ly/2GKqBQf 1. Защитник АСУ ТП. В поиске знаний. 2. Использование матрицы атак MITRE ATT&CK в работе центров мониторинга. 3. Варианты будущего. Комплексный мониторинг промышленных объектов.
Российскими правоприменителями уже найдены первые подходы к решению ряда важных вопросов использования криптовалюты в современном хозяйственном обороте http://bit.ly/2LBUMIn
Гм… И что именно на этой картинке по замыслу автора должно символизировать средства криптографической защиты информации и электронной цифровой подписи? #КриптоПро #2019 #НовыйГод
Закрываем сезон вебинаров по #187ФЗ и безопасности #КИИ. Завтра в 11 (МСК) вместе с одних из самых мощных спикеров #УЦСБ Николаем Домуховским обсудим тему “Построение системы безопасности значимых объектов КИИ в промышленности” http://bit.ly/2SkcOkP
Мосгорсуд признал законным увольнение работника за то, что он направил с рабочего компьютера на свою личную почту несколько файлов, отнесенных работодателем к числу сведений, составляющих коммерческую тайну, с целью продолжить работу дома http://bit.ly/2T9u10u
Приобретение Ростелекомом (пока?) не влияет на развитие продуктов Солара: “«Ростелеком-Solar» выпустил новую версию системы защиты от утечек Solar Dozor” http://bit.ly/2QF51kU
Группы в Телеграме доживают последние дни или месяцы? «Би-би-си: Роскомнадзор потратит 20 миллиардов рублей на технологию, которая позволит заблокировать Telegram» http://bit.ly/2Cm7fgd
Зарегистрирован Приказ Минкомсвязи №397 от 13.08.2018 «Об утверждении требований к порядку реализации функций аккредитованного УЦ и исполнения его обязанностей» http://bit.ly/2V21V98
Как много диодов, сертифицированных ФСТЭК России, вы знаете? Ни одного? Тогда обратите внимание, что был продлён и действует сертификат на аппаратно-программный комплекс «ДИОД 0.1» http://bit.ly/2QVc0Wd
Вообще-то, «после» - не значит «вследствие», но Коммерсантъ пишет так: Тариф Яровой - Московские провайдеры поднимают цены на интернет http://bit.ly/2UGgKOd
Система анализа трафика и выявления атак PT Network Attack Discovery сертифицирована ФСТЭК. “Продукт используется при построении центров #ГосСОПКА и защите объектов #КИИ” http://bit.ly/2RJ7NSE
Со следующего года Digital Ocean жителям России будет начислять ещё и НДС 20% (не по своей инициативе, а в соответствии с требованием Российского законодательства), но даже с такой наценкой свой личный VPN-сервер всё равно будет стоить разумных денег: http://bit.ly/2QfLYx9http://bit.ly/2RzEAJy
Фантазия авторов некоторых ТЗ безгранична: в состав работ по Категорированию объектов КИИ включено инструментальное обследование конкретными средствами с длинным перечнем требований к ним =) На скриншот влезла только примерно их четверть.
Выявление преступников в розыске, вычисление “резиновых” квартир и, конечно же, отслеживание перемещения по городу конкретного подозреваемого лица - в 2019 году в столице будет развернута общегородская система распознавания лиц http://bit.ly/2zDGBxy
В рамках борьбы с фабриками троллей Twitter усложнил процедуру получения доступа к своему API. Даже если планируешь всего лишь использовать на сайте возможность логина через Twitter - будь добр опиши это детально. Впрочем, даже с неидеальным английским процедура вполне проходима. http://bit.ly/2AzC2nL
Пример описания, из которого не особо понятно, что конкретно делает решение… Зато много слов про преимущества, широкие возможности и новые подходы =) http://bit.ly/2P86aeQ Дополнил картинкой, которая свет немного всё же проливает.
Средства контроля пользователей неумолимо приближают далёкий 1984 год: “…теперь можно записывать звук из колонок, который слышит пользователь. Это позволяет контролировать аудиопереговоры и собирать более полную доказательную базу” http://bit.ly/2rbNm5a.
Диаграмма из свежего отчёта Black Hat Europe 2018. Демонизация России и её злобных “хакеров” в глазах европейских ИТ и ИБ профессионалов налицо. http://bit.ly/2E078sP
Плюс от встреч блогеров со ФСТЭК: вспоминаешь, как писать ручкой, так как всё электронное остаётся на входе =) Сегодня была очередная практика. Вместо общего поста по итогам планирую освещать конкретные вопросы и продолжу уже существующий раздел ЧаВо http://bit.ly/2zsBT5M
Примерно по рублю за каждого пользователя: “Взлом, в результате которого были похищены 808 тыс. электронных адресов и более 1,8 млн имен пользователей, обернулся немецкой соцсети штрафом в размере 23 тыс. евро за нарушение недавно принятого #GDPR” http://bit.ly/2TKDrAj
Совместно с коллегами из RUSCADASEC запустили новое сообщество ruCyberSecurity на базе платформы Slack. Приглашаем вступать (потребуется электронная почта) http://bit.ly/2DOt0XP и выбирать каналы по интересам: SCADASEC, 187-ФЗ, 152-ФЗ, GDPR и другие.
R-Vision выпустил новую версию Incident Response Platform c возможностью подготовки инцидентов согласно требованиям регуляторов для последующей отправки в #ФинЦЕРТ и #ГосСОПКА http://bit.ly/2BkYItm
Комментарии к посту читать не обязательно, а просто скачать и установить себе приложение - очень даже рекомендуется: DNS Over TLS & Over HTTPS теперь и на iOS/Android и для всех сетей сразу [Спасибо Cloudflare] / Хабрахабр http://bit.ly/2Q9G7J1
Код Безопасности и Gartner раньше мной упоминались совместно разве что в шутку, но коллеги молодцы - “включились” в обзор, несмотря на всю истерию вокруг “государственных русских хакеров”: http://bit.ly/2ThRihx
Желающие могут приобрести межсетевой экран, в котором “добавлены автообновляемые удаленные черные списки, в том числе списки Роскомнадзора (IP, URL)”, а то вдруг у провайдера блокировка не сработает =) http://bit.ly/2DpsjmY
ФСТЭК продолжает наполнять свой Банк Данных Угроз уязвимостями в иностранных продуктах, а вот выявленных в отечественных решениях уязвимостей во всей базе так и остаётся буквально несколько штук =) http://bit.ly/2zbzZq3
К вопросу об аренде объектов КИИ: при классификации факта хозяйственной жизни и определении основания для учёта объекта, следует смотреть не на форму договора, а на экономический смысл отношений, права и обязанности сторон данного договора http://bit.ly/2OImLWz
Пример про налоги, но сам подход можно считать общим: указание срока “до…” какой-либо даты равнозначно формулировке “не позднее” этой даты http://bit.ly/2RWAsDr
Утверждается, что “КОМРАД является самой доступной сертифицированной ФСТЭК России и Минобороны России SIEM-системой на российском рынке информационной безопасности” http://bit.ly/2FjdQLI
«Актив» и «ОКБ САПР» заключили соглашение о сотрудничестве: “Отныне во всей линейке программно-аппаратных комплексов АККОРД в качестве инструмента строгой двухфакторной аутентификации будут использоваться токены и смарт-карты Рутокен.” http://bit.ly/2PSmOnd
А вы знали, что статистика посещений сайта ФСТЭК открытая? С апреля 2015 года было суммарно 1,24 млн посетителей. Можно считать, что это и есть оценка размеров целевой аудитории сверху. http://bit.ly/2F9UtEL
Приказом Росстандарта утверждён ГОСТ Р 58256-2018 “Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток” http://bit.ly/2QgXm7Z
Наглядная демонстрация того, что нельзя использовать один пароль для доступа к сервисам разного уровня критичности: мой “абы какой” пароль для малозначительных сайтов утёк/был подобран. Теперь получаю такие пугалки. А письмо составлено неплохо, наверняка иногда срабатывает =) http://bit.ly/2SuxSpj
Несколько странно, что уже в который раз об обновлениях безопасности для продуктов Apple приходится узнавать из рассылок US-CERT, а не от самой компании… http://bit.ly/2P3JLod
“Документом может быть введено положение, запрещающее обработку больших пользовательских данных, направленную на идентификацию конкретного физлица” - интересно, как предполагается выявлять нарушения этого положения? http://bit.ly/2PSbXGI
Комментарий + Инфографика от Роскомнадзора в связи с подписанием модернизированной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных http://bit.ly/2EyJ15w
Коммерсантъ: В общей сложности до 2024 года на цифровизацию российской экономики будет выделено 1,08 трлн руб, из них на информационную безопасность будет потрачено 18 млрд руб. http://bit.ly/2CTFtJs
Читаешь такие статьи и невольно задумываешься - кто-то пистолет у виска держал и заставлял торопиться с введением без продумывания простейших практических вопросов? Коммерсантъ: “Биометрия для больших” http://bit.ly/2P287xs
[англ.] Основные характеристики и способы быстрого обнаружения скиммеров для банкоматов / Characterization and Fast Detection of Card Skimmers http://bit.ly/2QL6vFN
ЕС признал небезопасность биометрической аутентификации для мобильного банкинга: “Биометрическая аутентификация будет считаться лишь одним этапом двухфакторной аутентификации, в качестве второго должен использоваться пароль, токен или отдельное устройство” http://bit.ly/2yc9Aru
Как ловко термин “информация, за распространение которой предусмотрена уголовная или административная ответственность” (п.6 ст.10 149-ФЗ) заменяется на термин “информация, за которую предусмотрена административная или уголовная ответственность” http://bit.ly/2A5GXNW
Минфин России: если вас как физлицо пригласили на мероприятие и оплатили за вас проезд и проживание, не забудьте уплатить НДФЛ 13% за этот доход, полученный в натуральной форме. http://bit.ly/2RIwjUo
На сайте ФНС выложены в открытом доступе сведения о суммах доходов и расходов юрлиц по данным бухгалтерской отчетности за 2017 год. Скачав и разархивировав файлы, можно искать в них данные, например, по ИНН. Заодно можно сравнить с данными из рейтингов =) http://bit.ly/2C5IFAs
Брошюра от коллег из компании Актив про то, как защитить детей в интернете. Есть практические советы по возрастам 2-5 лет, 6-11 лет и 12+ http://bit.ly/2pK1txC
“Методические рекомендации по организационной защите физическим лицом своих персональных данных” авторства рабочей группы по вопросам организационной защиты персональных данных Консультативного совета при Уполномоченном органе по защите прав субъектов ПДн http://bit.ly/2QzaPIc
Сервис проверки наличия вашего адреса электронной почты в утекших базах: Have I Been Pwned. Есть возможность подписаться на уведомления. http://bit.ly/2IJx2R9
Даже если вы следите за своими учётными данными, не факт, что то же самое делают сервисы, которыми вы пользуетесь (или которые как-то иначе их получили). Мои данные, например, утекли благодаря некоему стартапу Apollo (наивные ребята хранили всё на незащищённом сервере Amazon). http://bit.ly/2yjV5kQ
Кажется, что почти все знают, как устроен велосипед. Но кто без поиска подсказки способен дополнить это изображение так, чтобы на этом велосипеде можно было ездить? http://bit.ly/2PfNriF
Проголосовавших пока не так много, но тенденции начинают проявляться: https://t.co/uUY7FM8u3k (большинство на первой стадии категорирования, вполне реально сделать его самостоятельно, средства защиты применимы любые, свои центры ГосСОПКА мало кто планирует строить)
Надо же! Даже и не заявляясь, стал победителем в рубрике “Крутой обзор” в конкурсе, приуроченном к завершению beta-тестирования сканера PT BlackBox Scanner. Видимо, это был единственный обзор =) https://t.co/PPM8KM0l0i
Ст. 159 УК РФ Мошенничество и ч. 3 ст. 30 УК РФ: Покушением на преступление признаются умышленные действия (бездействие) лица,непосредственно направленные на совершение преступления,если при этом прес
Битва инноваций (сомнительных, впрочем) с регуляторикой: Банки три месяца собирают биометрические данные граждан, но предоставление услуг с помощью мобильных устройств до сих пор невозможно из-за действующих требованиях к уровню криптографической защиты https://t.co/7z9YA1EQBS
Эстония через суд потребовала с производителя ID-карт Gemalto 152 млн евро за генерацию закрытых ключей за пределами чипа ID-карты https://t.co/aJYVPA5b5N
Начиная с 26 сентября у банков появилась возможность блокировать операции по счету в случае, если они посчитают, что какая-либо из них является нетипичной и подозрительной для клиента https://t.co/IcOhFTfE0m
DATAPK (решение для мониторинга ИБ и контроля защищённости производственно-технологических комплексов) внесён в реестр отечественного ПО: https://t.co/y8U1sAP11c #ИБАСУТП
Телеграм-канал “Мероприятия по ИБ” - информация о предстоящих вебинарах, семинарах, конференциях и прочих мероприятиях по информационной безопасности https://t.co/CHUPaOFhDJ
“Профучастники рынка ценных бумаг сочли новые требования к обеспечению защиты информации не соответствующими концепции пропорционального регулирования” https://t.co/OeOiuzmDvD
Компания Trend Micro выпустила Отчёт по кибербезопасности за первое полугодие 2018 г. (англ.) с описанием угроз и тенденций кибербезопасности в первой половине этого года https://t.co/2gRAoOQcTd
Опубликовано: Приказ ФСБ РФ от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА» (Зарегистрирован 06.09.2018 № 52108) https://t.co/ZH1blave41
Опубликовано: Приказ ФСБ от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ РФ…» https://t.co/yBbCEkPpjU
Опубликовано: Приказ ФСБ РФ от 24.07.2018 № 366 “О Национальном координационном центре по компьютерным инцидентам” (Зарегистрирован 06.09.2018 № 52109) https://t.co/VwVgfMgxjS
А вы знали, что в разделе 187 Уголовного кодекса Калифорнии (California Penal Code) описывается убийство, что дало данному преступлению сленговое название: One-Eight-Seven? https://t.co/COFsm2d80c #187ФЗ
За нарушение порядка выдачи квалифицированного сертификата ключа проверки электронной подписи могут ввести уголовное наказание - вплоть до исправительных работ на срок до двух лет https://t.co/VAPmL8vfMx
Взгляд Gartner на основные технологии и сервисы российского ИКТ рынка: Hype Cycle for ICT in Russia, 2018. “Import Substitution” тоже присутствует. https://t.co/0Vp3XiOyt1
Теперь есть ещё один межсетевой экран типа В (МЭ, применяемый на узле/хосте информационной системы) - Dallas Lock от Конфидента. Ранее был доступен только Secret Net Studio Кода Безопасности https://t.co/W88vyJmoUN
Видимо, теперь поднимут плату за SMS-информирование (те, кто уже не поднял): С сегодняшнего дня заемщиков начнут извещать о размере задолженности по договору потребительского кредита после каждой операции с использованием кредитной карты. https://t.co/kWVyJ38KzI
Действительно - давно же уже не пересматривали =) “Замминистра связи заявил о необходимости пересмотра закона о персональных данных” https://t.co/UOBlA6GKmq
Определен перечень «базовых элементов», необходимых банку для сбора биометрических данных и передачи их в Единую биометрическую систему: минимальные затраты на подключение банка с одним отделением составят около 4 млн руб. https://t.co/yaZ2rqCbQg
Тот случай, когда защита ПДн субъекта вредит самому субъекту: В Шереметьево больше не будут объявлять фамилии опаздывающих пассажиров https://t.co/OwQuVsBybY
Информационное сообщение #ФСТЭК о порядке предоставления перечней объектов #КИИ, подлежащих категорированию, и направлении сведений по итогам категорирования https://t.co/sVjUeZllqO
Из свежего Magic Quadrant for Web Application Firewalls 2018 пропали решения NSFOCUS, Venustech, Penta Security Systems и Positive Technologies WAF, но появились Oracle и Microsoft. https://t.co/LLGznp8fsx
Послабление в обязательности получения физического носителя с 7 сентября: при обращении за госуслугами разрешили пользоваться простой электронной подписью https://t.co/dro0yszEba
Минкомсвязь предлагает расширить ответственность за невыполнение обязанности по обезличиванию #ПДн и несоблюдение требований/методов по их обезличиванию. Сейчас предусмотрено только предупреждение или штраф для должностных лиц от 3 до 6 тыс. руб. https://t.co/Yovex1U1o2https://t.co/lcxHy0wIKa
В екатеринбургском метрополитене реализован проект по контролю доступа персонала в служебные помещения с использованием бесконтактных карт доступа и биометрии https://t.co/BtapsuThHJ
Telegram может раскрыть IP-адрес и номер мобильного телефона пользователя, если компания получит судебное решение, которое подтвердит, что пользователь является подозреваемым в терроризме https://t.co/y5XZyLBuIO
Неожиданное, прямо скажем, решение: “Псковский обл.суд признал правомерным привлечение работодателя к административной ответственности, причиной для которого послужил в том числе допуск к работе бухгалтеров без прохождения ими предварительного медосмотра” https://t.co/4pzCTQdWo5
Готовьтесь, граждане! “Власти обеспокоены нежеланием граждан обзаводиться квалифицированной электронной подписью и намерены развернуть агитационную кампанию по разъяснению преимуществ ее использования при взаимодействии с государством и бизнесом” https://t.co/22uyYc4289
Под досудебные блокировки за обоснование и оправдание экстремизма и терроризма могут попасть до 19 млн сайтов, что приведет к нарушению работы интернета, полагают в экспертном совете при правительстве. https://t.co/hic9NS3h2G
ФСТЭК убрала из своего Реестра сертифицированных СрЗИ колонку с окончанием срока действия сертификата (осталась только дата внесения в реестр). Зачем? https://t.co/ZBd1kkySbc
Минкомсвязи предлагает “превратить” сим-карты в сертифицированные СКЗИ. Интересно, очередь из желающих их производить уже выстроилась? https://t.co/se23Tv26zo
Планы правительства в части введения страхования киберрисков изменились: в последней версии федерального проекта «Информационная безопасность» нацпроекта по цифровой экономике обязательный характер страхования таких рисков заменен на добровольный. https://t.co/52ZRNiXw4t
SecurityLab пишет, что закупленный Следственным комитетом РФ комплекс MagiCube взламывает последние модели iPhone за 10 минут. Сам производитель на сайте (https://t.co/8VfvX0pMNW) заявляет поддержку только iOS 10 - 11.1.2, что, впрочем, тоже неплохо. https://t.co/jTtsIDSteu
Главное - суметь доказать факт отправки: Отозвать заявление об увольнении в последний день можно и после окончания рабочего дня по электронной почте https://t.co/ZkStRL5a3t
Обзор изменений в законодательстве за июль 2018 1. Планируются изменения в 152-ФЗ 2. Запуск Единой биосистемы идентификации личности 3. Вступили в силу требования к хранению сообщений и не только: https://t.co/pKH4ram0bR
Вот-вот на рынке появится первый сертифицированный межсетевой экран типа “Д” (применяемый в автоматизированной системе управления технологическими или производственными процессами), ждём официальный анонс. Текущий расклад по сертифицированным МЭ тут: https://t.co/s23K8YBTW8
Нового ГОСТа новость: Компания КриптоПро, являющаяся аккредитованным удостоверяющим центром, получила в Головном удостоверяющем центре сертификат ключа проверки электронной подписи по ГОСТ Р 34.10-2012. https://t.co/SJUzfw5ty8
На чьей стороне будет суд? Полагаю, ответ очевиден. “Ключи для декодирования сообщений в мессенджерах не составляют охраняемой Конституцией и законами тайны переписки, следует из поданных в Верховный суд РФ возражений ФСБ” https://t.co/EIYNRULAdW
Пока не взлетает: “сбор биометрических данных идет вовсе не теми темпами, которых ожидал ЦБ. Представление же дистанционных банковских услуг на их основе практически не осуществляется” https://t.co/eRmdDAmRVV
Kaspersky Industrial Cybersecurity (KICS) for Networks версии 2.6 прошел сертификацию ФСБ как система обнаружения атак (СОА) класса Г https://t.co/33HF6deaUJ
Первое на территории России успешное промышленное внедрение решения класса оперативного мониторинга и контроля состояния защищенности ИБ АСУ ТП: «Северсталь» и УЦСБ завершили один из этапов построения системы защиты https://t.co/gjX1R2B9ZP
RT @kii187fz: Материалы семинара о реализации ФЗ «О безопасности КИИ РФ» (Смоленск): презентация ФСТЭК про 187-ФЗ и ФСБ про ГосСОПКА https://t.co/GmwceXwwVv
Добавил свежие Gartner Hype Cycles: Hype Cycle for Artificial Intelligence, Hype Cycle for Cloud Security, Hype Cycle for Data Security, Hype Cycle for Data Science and Machine Learning, Hype Cycle for the Internet of Things, Hype Cycle for Privacy https://t.co/gxzsUA4q0a
Опубликовано ПП РФ №820 от 14.07.2018 «Об установлении требований к проведению идентификации гражданина РФ госорганами и организациями, осуществляющими размещение в электронной форме в ЕСИА сведений, необходимых для регистрации гражданина РФ» https://t.co/iat7SYvghr
Минпромторг разъяснил, какие отечественные системы хранения данных (СХД) операторы связи могут закупать для исполнения «закона Яровой». https://t.co/R93DBHKhTQ
Любителям электронного чтения: ЛитРес проводит акцию «Книга дня в подарок» - каждый день одна случайно выбранная книга становится бесплатной. Получать бесплатную книгу можно не чаще, чем раз в 21 день. https://t.co/9cmehaiOOI
NCCIC (США) планирует серию вебинаров о киберактивности российского правительства, направленной против критической инфраструктуры 23, 25, 30 июля и 1 августа. Начало в 20:00 МСК. Обещают в дни проведений доступ для гостевых учётных записей без регистрации https://t.co/YebWXvxEpr
Пара схем для интересующихся от Валерия Естехина: Алгоритм действий банка в случае инцидентов в ДБО согласно закона РФ от 27 июня 2018 №167-ФЗ https://t.co/fmLYICcKKa
Что такое Циклы хайпа и как их читать, можно узнать в статье из Википедии, а можно рассмотреть на конкретном примере — свежем июльском отчёте Hype Cycle for Identity and Access Management (IAM) Technologies 2018. https://t.co/fe2EPMwUl4
Список от ФСТЭК: Организации (126 шт) и физические лица (7405 человек), причастные к террористической деятельности (редакция от 14.06.2018). https://t.co/zxEyxiMTP6
Постановление Правительства РФ №808 от 11.07.2018 «О внесении изменения в Правила организации повышения квалификации» - в части обеспечения безопасности ЗОО КИИ нужно руководствоваться прим. программами повышения квалификации в области безопасности гос-ва https://t.co/F30I2wY7SR
26.06.2018 ФСТЭК утверждён Методический документ: «Регламент включения информации об уязвимостях ПО и ПАС в БДУ». Из интересного: информация об уязвимостях в сертифицированных средствах в обязательном порядке направляется в центральный аппарат ФСТЭК России https://t.co/ka2vFUUs5V
Всем выйти из тени! “ФНС хочет получить право запрашивать у банков информацию о счетах физлиц вне рамок налоговых проверок, чтобы бороться с незаконным предпринимательством” https://t.co/OcSQsPqJM9
“Минкомсвязи внесло в правительство проект нацпрограммы «Цифровая экономика», который подразумевает более жесткие требования по ИБ: доля внутреннего трафика рунета, маршрутизируемого через иностранные серверы, не должна превышать 5% к 2024 году.” https://t.co/L8m6lqfLeh
Наименование объекта закупки: Поставка средств защиты информации межсетевого экрана типа “Г” - вроде бы никакого ограничения конкуренции, но мы то с вами знаем ;) https://t.co/s23K8YBTW8
“К 2025 году в России должна появиться национальная система управления данными. Общая концепция новой системы уже разработана, однако в правительстве пока не пришли к согласию, кто и каким образом будет собирать информацию и как она будет использоваться.” https://t.co/0PxMwflNhd
ФСТЭК планирует менять свои приказы №31 и №239: - 31 приказ только для АСУ ТП, не являющихся ЗО КИИ; - состав мер защиты и порядок определения угроз в 31 приказе будут как в 239; - плюс ещё одна оргмера: определение администратора безопасности информации https://t.co/848IKO7Nbg
ПИР-банк лишился более 58 млн руб. с корсчета в Банке России. Похищенные средства выводились на счета в 22 крупнейших банках и были обналичены в различных регионах страны. Ранее в ЦБ заверяли, что подобных атак больше не будет. https://t.co/2mMLEG3esR
RT @kii187fz: Протокол заседания Совета по защите информации Томской обл. в рамках методического сбора по теме КИИ с фиксацией мнения УФСТЭК по СФО о сроках выполнения требований 187-ФЗ https://t.co/xhQlnaNrIn
Давно назревший законопроект: “В настоящее время значение термина «специальные технические средства, предназначенные для негласного получения информации» в федеральном законодательстве не раскрыто.” https://t.co/KMlaHjbsZm
Правительство РФ: О некоторых вопросах размещения сведений граждан в единой биометрической системе и единой системе идентификации и аутентификации http://government.ru/docs/33106/
Правительство РФ: Президент России подписал разработанный Правительством Федеральный закон, направленный на противодействие несанкционированным операциям с использованием систем дистанционного банковского обслуживания http://government.ru/activities/selection/525/33073/
Если вы хотите гарантированно не видеть меня 4 дня, то есть отличная возможность отправиться с 26 по 29 июля в Сочи: https://t.co/s3JPgOrNHr Меня там в это время точно не будет =) Зато будут выступать: Алексей Лукацкий, Алексей Качалин, Антон Карпов, Олег Кузьмин и многие другие
RT @187fz: Материалы Методического сбора #ФСТЭК по вопросам обеспечения безопасности объектов #КИИ, прошедшего 27.06.2018 в Новосибирске https://t.co/Bg9HNVo99O
Операторы обязаны проверить паспорта абонентов. В статье рассматриваются и варианты такой проверки: “Например, прислать смс и попросить лично явиться. Способы проверки достоверности найдутся, потому что операторы несут за это ответственность.” https://t.co/xQNnTVbl5N
Порция антигубораскатина: “Затраты на реализацию мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» составят 34 млрд руб. Это в 3,5 раза меньше первоначально предложенной суммы.” https://t.co/KgcwsSqv7O
Программное обеспечение для федеральных нужд будут закупать централизованно. В частности, Минкомсвязь становится единым заказчиком по закупкам программ для обеспечения ИБ (антивирусы), включенных в реестр российского ПО, и связанных с ними работ: https://t.co/fE4pgZZDC0
АРСИБ не рекомендует пользоваться Google Android и Apple iOS федеральным, муниципальным и иным органам исполнительной и законодательной власти, госучреждениям и компаниям с госучастием, особенно в #КИИ, #ГИС и #ИСПДн: https://t.co/kwLl79e9fr
Прямо сюжет для детективного рассказа =) “Перед началом первого матча чемпионата мира в «Лужниках» был ликвидирован потенциальный источник радиопомех системе фиксации голов и судейской связи” https://t.co/esUt3baiif
“Об инцидентах, связанных с киберхищением средств, информировать ЦБ будут теперь не только банки, но и операторы систем денежных переводов” https://t.co/pexLsT52KY
Получен Сертификат ФСТЭК № 3907 от 03.04.2018 (до 03.04.2021) на средство защиты информации Kaspersky Industrial CyberSecurity for Nodes. Это второе сертифицированное решение для #ИБАСУТП (первое - DATAPK) https://t.co/O4CgtJZtDU
Для лиц, которым поручена обработка #ПДн, за нарушение требований законодательства могут ввести штрафы: от 3 до 5 тыс. руб. для граждан; от 5 до 15 тыс. руб. – для должностных лиц; от 10 до 20 тыс. руб. – для ИП; от 15 до 30 тыс. руб. – для юрлиц. https://t.co/IWwJ9xTPLR
Говорят, что “стоимость решения состоит только из цены необходимого количества токенов и смарт-карт Рутокен” // «Актив» представляет новый программный продукт Рутокен Логон https://t.co/aIHSYL6v1C
ФСТЭК: Базовая модель угроз безопасности информации и Методика определения актуальных угроз безопасности информации #КСИИ могут применяться для моделирования угроз безопасности информации на значимых объектах #КИИ РФ. https://t.co/cNWZ0Ik65W
На время проведения конкурсной процедуры, где в ТЗ указано требование по наличию членства в некоей ассоциации, с главной страницы сайта этой ассоциации пропали телефон и электронная почта! https://t.co/ga35aLTrDd
Знаете, сколько аккредитованных #ФСТЭК России органов по сертификации и испытательных лабораторий? 10 (ОС) и 31 (ИЛ) соответственно. По состоянию на 29 мая 2018 года. https://t.co/3U8OucTRtS
Приложение - ок, но как быть с push? “Роскомнадзор требует от Apple прекратить распространение в России приложения Telegram и рассылку его push-уведомлений” https://t.co/oKA0ZfB5LS
Арбитражные суды трех инстанций признали незаконным предписание Роскомнадзора указать срок действия письменного согласия на обработку персональных данных https://t.co/EpgiZUtEdI
Изменения в законодательство, регулирующее вопросы безопасности в области использования атомной энергии: “устанавливается обязательность экспертизы программ для ЭВМ, используемых при обосновании безопасности объектов использования атомной энергии” https://t.co/JWdrxDg4yJ
Один из плюсов GDPR: о себе напоминают сервисы, которыми ты когда-то нечаянно воспользовался, но о существовании которых уже давно успел забыть. Забыть в отличие от них.
RT @187fz: Мариничев: “Генпрокуратуре РФ проверить законность и обоснованность действий Роскомнадзора по массовому блокированию интернет-адресов […] создающих угрозу целостности и устойчивости функционирования единой сети электросвязи РФ и #КИИ” https://t.co/7Q0jCxKzwJ
Ожидается, что к концу 2018 года мировая сеть биткойна будет использовать 7,67 гигаватта электроэнергии на охлаждение и аппаратные средства. Это одна сотая доля электричества, используемого всей планетой. https://t.co/OcFqos0edF
Пугает не машина, прошедшая тест Тьюринга, а та, что притворится будто не прошла: «Юридический баттл», как его окрестили организаторы, прошел между партнером «Пепеляев групп» Романом Бевзенко и роботом LegalApe 2.8 от «МегаФона». https://t.co/goxybqCJp3
RT @187fz: Клименко: Часть элементов КИИ […] оказалась вынесенной за пределы РФ […] такое состояние дел не является нормальным […] крайне важно верифицировать медицинское оборудование, установленное в ЛПУ, на предмет зависимости от работы иностранных хостингов https://t.co/1H0HtdYkKh
RT @187fz: “Александр Козловский (Минтранс России) в своем выступлении отметил, что масштаб и сложность работ по категорированию объектов КИИ несомненно потребуют привлечения организаций-лицензиатов в сфере ИБ как центров необходимых компетенций.” https://t.co/6WMGCi2Plc
Кейс про СоК (NDA): Условие договора о неразглашении конфиденциальной информации при его исполнении распространяется на определенные виды сведений https://t.co/t0AFfhLxEf
ФСТЭК утверждены “Методические рекомендации по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов КИИ […]”. https://t.co/MWhjuxUMFx
Близится конец эпохи дутых сумм в пресс-релизах и всевозможных рейтингах компаний? “По сообщению ФНС России, с 1 июня текущего года в открытом доступе появится информация о […] доходах и расходах компании по бухгалтерской отчетности” https://t.co/SDKpMfoF2p
Статья в Forbes с рассуждениями на тему - всегда ли стоит патчить? “To Patch Or Not To Patch? Surprisingly, That Is The Question” https://t.co/1FMdF52i9m
Удобно, но никакой приватности =) “Уникальный сервис позволит клиентам банка получать информацию о кассовом чеке за покупки по карте в личном кабинете на сайте (в апреле 2018 г.) и в мобильном приложении (осенью 2018 г.)” https://t.co/nnBkbVqkid
Судя по запросам клиента #Telegram (для macOS), периодически он пытается обратиться к Google, Microsoft и YouTube. Интересно - зачем? https://t.co/Sd0TFD2I9d
Разъяснение прокуратуры города Москвы по поводу уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации #КИИ https://t.co/4Zya05zOvN
Утверждены правила хранения электронной переписки и телефонных переговоров российских граждан по закону Яровой: “хранить в технических средствах накопления переговоры и текстовые сообщения в полном объеме в течение 6 месяцев” https://t.co/S9v5a1Qoub
Журнал об Информационных Технологиях и Безопасности Данных разыгрывает призы среди своих подписчиков. Попробуйте, вдруг повезёт. https://t.co/TTdEsHSDae
Telegram vs ФСБ: “ФСБ требует судом «Ключевой материал, необходимый и достаточный для декодирования сообщения» (от 6 номеров)….” https://t.co/NeJW8kRfG3
Как узнать последние тенденции в мире токенов? Упомянуть в одном посте #eToken, #JaCarta и #Рутокен и подписаться на комментарии. Второй год так делаю ;) https://t.co/iBq3NMFNyR
“Госзакупки в сфере информационной безопасности составили по итогам 2017 года 56 млрд руб., что на 35% выше расходов 2016 года” https://t.co/1sLF2OMIjX
Обновил ссылки на проекты документов #ФСБ по безопасности #КИИ (в части #ГосСОПКА), переработал структуру раздела. Вроде бы удобно получилось https://t.co/wHtwekoS5vhttps://t.co/Hy02H5a0Wa
Вот и ещё один несомненный плюс соцсетей =) “Национальное бюро кредитных историй сможет использовать информацию о пользователях ВКонтакте, Одноклассников, и любых других ресурсов, принадлежащих Mail. Ru Group” https://t.co/YB7hXcxOL4
“«Ростех» планирует выпустить «первую полностью отечественную» систему управления технологическими процессами: она сможет «гарантировать защиту от хакеров» стратегическим предприятиям”. Интересно, как? https://t.co/fuJNz7SPGQ
“на реализацию плана мероприятий по направлению “Информационная безопасность” Минкомсвязи России будет выделено 350 млн руб., а Минпромторгу России – 13,6 млн руб.” https://t.co/bLfSdrNe0X
Почти 5 месяцев назад мне пришло фишинговое письмо. По данному факту я обратился в Управление К МВД России. Времени с тех пор прошло достаточно и уже, как и обещал, можно подвести итоги. https://t.co/pWLZfxsTkg
Опубликован Приказ ФСТЭК от 25.12.2017 № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации” (Зарегистрирован 26.03.2018 № 50524) https://t.co/aFwhcYcce9
Суд впервые взыскал средства с должника краудфандинговых платформ в пользу инвесторов, фактически признав законной цессионную передачу прав требований в электронном виде https://t.co/aWVdC2YMPl
В Госдуму внесен очередной законопроект о криптовалюте. Однако даже в случае принятия соответствующего закона цифровые финансовые активы не станут законным средством платежа на территории страны. Соответствующий запрет прописан в законопроекте. https://t.co/fHSu0VyJ39
Для ответа отвели 15 дней: Роскомнадзор уведомил Telegram о необходимости исполнения требований закона о предоставлении информации органам безопасности https://t.co/27w5NszWlF
Промежуточные итоги разработки/принятия подзаконных актов к 187-ФЗ: - ФСТЭК: из 9 документов 9 опубликованы, 6 приняты - ФСБ: из 6 документов 6 опубликовано, 0 принято - Минкомсвязи: 1 документ опубликован, но не принят, ещё 1 в разработке совместно с ФСБ https://t.co/wHtwekoS5vhttps://t.co/SnJIfUjZIE
Сервис для быстрого поиска уязвимостей в решениях Cisco, Huawei, Palo Alto Networks и VMware по базам БДУ ФСТЭК, CVE и Security Advisories от различных разработчиков. https://t.co/PHASKWdPIO
А осталось хоть что-то, чем Ростелеком не будет заниматься? :) «Подключением медицинских организаций государственной и муниципальной систем здравоохранения к интернету будет заниматься ПАО «Ростелеком»» https://t.co/VNyx6u5hDA
«Уже сейчас можно с уверенностью говорить о том, что реальное решение для исполнения “закона Яровой” существует. Создано оно на базе нашей отечественной компонентной базы и подтвердило свою работоспособность» https://t.co/1lbY66wXfT
Когда там Единая биометрическая система у нас заработает? “Baidu создала программу, способную клонировать ваш голос за несколько секунд” https://t.co/cGct7FYare
Далеко не полный список производителей решений по аутентификации. Про каких из них вы хотя бы слышали? #codeibprofi Мне, например, от силы десяток был известен… https://t.co/OVBDrrL1jd
RT @alukatsky: ФСТЭК аннулировала 4 сертификата Palo Alto за невозможность/отказ в устранении уязвимостей - https://t.co/LaCoPsgiEP ФСТЭК начинает активно следить за реальной ИБ
Теперь можно выводить не в оффшоры, а в Биткойн? «Арбитражный суд отказался включить криптоактивы должника-банкрота в конкурсную массу. Эксперты считают, что это решение в перспективе может указать недобросовестным гражданам способ сокрытия активов» https://t.co/v88TnuF9mT
Завтра выступаю с докладом на #ИБКВО (сразу после обеда в 14:30). Тема - горячее некуда: 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” #КИИ https://t.co/Oh4hFKO4TX
Зато этот хостинг полностью российский и “информацию о фактах приема, передачи, доставки и (или) обработки сообщений пользователей” хранит исключительно на территории РФ… Тяжко быть #ОРИ =( https://t.co/tovM0AKjff
На карте законодательства по Безопасности #КИИ всё меньше белых пятен. ФСТЭКовские проекты вообще почти все опубликованы и начали/начинают действовать. https://t.co/wHtwekoS5vhttps://t.co/YmsNEIUHX2
Человек против робота: эпическая битва за дверь. Формально в этот раз роботу «дали победить», но нужна ли будет ему такая поблажка в следующий раз? https://t.co/q1zUdzouPn
Роскомнадзор предупреждает: публикация социологических опросов, связанных с выборами Президента Российской Федерации, без указания статистической оценки возможной погрешности влечёт административную ответственность https://t.co/D0K6BOWtoA
Ожидаемо, но всё равно неожиданно: Несмотря на то, что закон, обязывающий VPN-сервисы блокировать запрещенные в России сайты, действует уже более трех месяцев, ни один из сервисов по факту его не исполняет. https://t.co/SLX32L0OPP
Постановление Правительства Российской Федерации от 17.02.2018 № 162 “Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации” https://t.co/LlZQlnKX0B
Отрабатывают на упреждение: В 2017 году большинство интернет-ресурсов самостоятельно ограничивали доступ к противоправной информации, не дожидаясь блокировки https://t.co/wfaillfJpe
ЦБ идёт на радикальные меры: стимулирование банков вкладывать средства в информационную безопасность увеличением нагрузки на капитал - организациям с высоким уровнем киберриска придется держать буфер по нормативу достаточности капитала в размере 1–3%. https://t.co/YoE9khsHes
Суд по интеллектуальным правам: “сама по себе адаптация программы исключительно в целях ее функционирования на конкретных технических средствах пользователя, не является нарушением исключительного права” https://t.co/mstoXs1GWK
Материал для любителей устанавливать #DLP тайно. “Слежка за сотрудниками 2.0: как изменятся требования к контролю за работниками в свете пересмотра Большой палатой ЕСПЧ дела Барбулеску против Румынии?” https://t.co/REzguxoO4X
Первый подзаконный акт по #КИИ? Зарегистрировано в Минюсте РФ 08.02.2018 - ПРИКАЗ ФСТЭК РФ от 06.12.2017 N 227 “ОБ УТВЕРЖДЕНИИ ПОРЯДКА ВЕДЕНИЯ РЕЕСТРА ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ” https://t.co/3qy85qRZNc
Коммерсантъ: Рынок корпоративных услуг в области кибербезопасности в России вырастет до $103 млн в 2021 году по сравнению с $82 млн в 2016-м, следует из прогноза Orange Business Services и IDC. https://t.co/2uE0GQTHEY
Обзор уязвимостей от УЦСБ. Выпуск 2. В этом выпуске речь про уязвимости в Cisco IOS, редакторе формул Microsoft Office, Apache Tomcat, стеке протоколов Bluetooth, Apple iOS и tvOS https://t.co/Pqq7adjyxy
Также опубликован текст Проекта приказа ФСБ России об утверждении технических условий установки и эксплуатации технических средств ГосСОПКА https://t.co/j3lGKe0weQ #КИИ #ФСБ #ГосСОПКА
Опубликован проект Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты https://t.co/TZfIi9R1tx #КИИ #ФСБ #ГосСОПКА
Оцениваете риски, связанные с криптовалютами и блокчейном? Вот (актуализируемая) подборка из 51 публичного инцидента: “Кладбище Блокчейна” / “Blockchain Graveyard” https://t.co/aZLq7WsOhG
Неформальная встреча неформального сообщества с регистрацией, указанием должностей и компаний? Куда-то это сообщество, кажется, свернуло не туда… https://t.co/blETx2tHJh
Легко ли продать #пентест ИБшнику? Кажется, нет: ведь удачный пентест наглядно демонстрирует его недоработки, а неудачный пентест… такие вообще бывают? Другое дело, когда ИБ на аутсорсе, или когда пришла новая команда =) А какие ещё удобные случаи для продажи пентеста бывают?
Даже так! «Строгое соблюдение требований закона [Яровой], таким образом, привело бы к веерным отключениям электричества в больших городах и областных центрах…» https://t.co/uhbiy1saiN
Плановые затраты Россетей на цифровизацию - 1,3 трлн руб. до 2030 года, из них на #кибербезопасность - 159 млрд руб. https://www.kommersant.ru/doc/3535330
RT @DLP_Expert: ОРИ - не ОРИ тебя, услышат. Все, что надо знать про ОРИ - организаторов распространения информации. Что говорит закон, какие есть исключения и что со всем эти делать. Via @zlonov https://t.co/bcFbUERf48https://t.co/OGxtDFCxt6
Недешёвый в реализации, но эффективный вектор атаки: В условиях массового наплыва туристов существенно возрастает вероятность появления фальшивых банкоматов, сделанных из бывших в употреблении устройств https://t.co/UlswkGpWmz
Данные о военных базах США стали доступны благодаря фитнес-трекерам: «В зонах военных действий и пустынях карта почти полностью темная — за исключением небольших мест активности. Приближение к таким зонам показывает, что это американские военные базы» https://t.co/9U8G76z6nI
Анонимности бой! “Россияне смогут зачислять средства на электронные кошельки и предоплаченные банковские карты только с банковского счета. Такие поправки к законодательству готовят профильные ведомства по поручению правительства” https://t.co/brGpvZzvL0
Правительство России запретило организаторам распространения информации в интернете (мессенджерам) разглашать данные о взаимодействии с органами, осуществляющими оперативно-разыскную деятельность. https://t.co/9AICGlzGgR
Исследование безопасности SafeNet Sentinel - “решение отвечает за контроль лицензий ПО, используемого заказчиками, и является очень распространенным во многих АСУ ТП и IT системах.” https://t.co/217EMeaRYU
Интересно, чего будет больше: пользы или вреда? Особенно в первое время, пока не устаканится. “В Госдуме поддержали закон о блокировке карт при подозрении на хищение средств” https://t.co/ZF9jH7oYGD
Подборка от ICS-CERT рекомендаций АСУ ТП вендоров (ABB; Becton, Dickinson and Company (BD); Rockwell Automation и Siemens), использующих уязвимые процессоры в связи с #Meltdown и #Spectre https://t.co/eNLRwKPS3l
В апреле пройдёт курс “Безопасность промышленных систем автоматизации и управления (АСУТП)”. По кодовому слову “УЦСБ” скидка 10 тыс. руб. Обучение можно пройти очно в Екатеринбурге или очно-заочно в любой точке мира через Интернет. https://t.co/SdcmodSZJa
Хитрая, но легальная схема: “Достаточно прийти в суд и заявить об анонимности и о порочащем характере сведений. А затем сказать, что все отзывы - ложные. После чего получить решение арбитражного суда. И нежелательные отзывы исчезают со страниц интернета.” https://t.co/73st8jmpXZ
Красивая обновлённая программа для создания майндкарт XMind ZEN временно доступна бесплатно в режиме “public beta” https://t.co/uTw7R19hf0 (цена предыдущей версии XMind 8 Pro $99). Там же есть ссылка на версию для XMind для iOS - она тоже временно бесплатна, хотя и не бета.
В связи с #Meltdown и #Spectre многие рекомендуют отключить JavaScript. Полезный совет. Глядишь - заодно и производительность повысится, так как Интернет сразу станет гораздо менее интересным =) https://t.co/fCgWg99ZeI
В заключительный рабочий день уходящего года традиционно составляю ТОП самых популярных постов за год. Кстати, обратите внимание, что 01 января 2018 года — это отличный день, чтобы начать новую жизнь с понедельника, первого числа и нового года сразу =) https://t.co/8xfnBT9HeF
RT @3dwave: Сделал майндкарту по текущему состоянию документов по #КИИ. В ней представлены уже утвержденные, доступные проекты и ожидаемые документы. В pdf можно скачать в группе в ВК - https://t.co/AutYVYGwf3https://t.co/CCCeWCmQf8
Новый порядок при работе с личным кабинетом на сайте ФНС: Предусмотрены возможность восстановления пароля самостоятельно посредством электронной почты и бесплатное формирование усиленной неквалифицированной электронной подписи https://t.co/D0ilTAkOSv #ФНС #ЭП #пароль
В связи с выложенными вчера свежими проектами приказов #ФСБ обновил Перечень подзаконных актов к #187ФЗ. Итого: из планируемых 16 опубликованы проекты уже 11, при этом у 7 текст, доработанный по итогам обсуждения, т.е. близкий к финальному. #КИИ #ГосСОПКА https://t.co/yPOZIX5gNu
RT @alukatsky: И еще один проект приказа ФСБ “Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ…, и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак…” - https://t.co/TYSvlnA8R8
#ФСБ России опубликован проект приказа с Перечнем информации, представляемой в #ГосСОПКА, и Порядком представления этой информации. https://t.co/xTqVQWNzn3
Инфографика: Какие запреты на нарушение тишины установлены в разных регионах России и какое наказание грозит за их нарушение. #пошумим #пятничное https://t.co/iQHjcWmVdq
Периодически мне как блогеру поступают различные предложения и в последнее время всё чаще. В связи с этим решил сформулировать основные принципы, ключевой из которых: в своём блоге я не публикую никакие посты по заказу: ни бесплатно, ни, тем более, платно. https://t.co/7MaifuEtXl
Официальные заключения Роскомнадзора по восьми протестированным в 2017 году системам фильтрации интернет-трафика: по Ideco Selecta ISP нет однозначных выводов, остальные рекомендуются к использованию. В 2018 году планируется продолжить тестирование. https://t.co/gATUMeoqxg
“Лучшим признаком добросовестности УЦ будет приглашение лично прийти и собственноручно подписать заявление на выпуск сертификата. Это может показаться менее удобным, но такое разовое дополнительное действие обеспечит вам спокойствие в будущем” https://t.co/jeh69UtFya
Ещё раз про увольнение за нарушение сотрудником соглашения о неразглашении конфиденциальной информации (#КТ и #ПДн) - В каких случаях можно расторгнуть трудовой договор с работником в случае нарушения указанного соглашения? https://t.co/x6BvAJRsWx
Можно ли вести скрытую аудиозапись служебного совещания? Специалисты Гаранта считают, что можно, если при этом не записывается информация ограниченного доступа (например, коммерческая тайна, сведения о частной жизни, персональные данные) https://t.co/w1lrBmgHjs #ПДн #шпионаж
Отношение к проекту #SmartReading (саммари полезных книг) двоякое, но вот тут #Сбербанк дарит возможность прочесть или прослушать за 30 минут книгу “7 навыков высокоэффективных людей” бесплатно. Можно оценить эффективность такого подхода лично: https://t.co/HpX445Qhjy
Краткий анонс предстоящей конференции Код ИБ Профи в Москве: дорого, долго, качественно (плюс скидка 15% до 31.12.2017) #CodeIB https://t.co/gu44FtjTkN
Про токены с ГОСТом писал в блоге много, выкладывал таблицы с сравнениями, но жизнь не стоит на месте и те сравнения понемногу устаревают. Вот, например, сертификат ФСБ на ESMART Token ГОСТ ещё от сентября. ГОСТ 34.10-2012 и 34.11-2012 имеются, приказ 796 и 63-ФЗ выполняются. https://t.co/zeoLefhC7y
В очередной раз обновил Перечень подзаконных актов к 187-ФЗ о безопасности #КИИ, уже доступно 8 текстов проектов документов. По #ГосСОПКа пока ни одного. https://t.co/yPOZIX5gNu
Подписан Федеральный закон по которому оператор обязан передавать в неизменном виде абонентский номер и при поступлении соответствующего запроса или предписания обязан прекратить оказание услуг связи в случае неподтверждения персональных данных абонента. https://t.co/eRUIGCPQXY
Однако! Россельхознадзор подозревает компанию PepsiCo в коммерческом шпионаже: Кибератаку на ведомство совершила PepsiCo, считает Россельхознадзор https://t.co/CAsLyhE2wF
Более чем разумный подход для выбора аутсорсингового SOC’а и не только его: «Странно выглядит вендор, который предлагает вам средства защиты, которые он у себя не использует…» https://t.co/bCWyqy4biB
Вот такой вот маркетинг - вместо полноценного теста опубликован его пробник :) «Сравнительное тестирование WAF (Web Application Firewall)» https://t.co/kzuxolwX0b
Опубликован текст Проекта приказа ФСТЭК России «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» https://t.co/jvs3cWxrsohttps://t.co/gY8402B9DI
Внесён новый законопроект, устанавливающий штрафы за неисполнение операторами связи обязанности по передаче абонентского номера: для должностных лиц - до 30 тыс. руб., ИП – до 100 тыс. руб., юрлиц – до 200 тыс. руб. https://t.co/4PPjNMiu3Jhttps://t.co/dLSeg8cGDT
RT @roemru: В «Моём круге» теперь можно узнать зарплату почти любого специалиста IT-отрасли. Сервис просит взаимности — посетитель рассказывает «Моему кругу» свою зарплату и получает доступ к данным о других зарплатах на рынке https://t.co/c8yvAf5cCL Ссылка: https://t.co/KiNl20541f
Строго говоря, «заблокированы» - не значит «прекратили действовать»: «Роскомнадзор внес в Реестр 59 ресурсов с адресно-телефонными справочниками… Операторы связи прекратили доступ к этим ресурсам, которые незаконно распространяли ПДн российских граждан.» https://t.co/XgyD30pZvJ
Интересная интеграция «железного» и «софтового» вендоров: Konica Minolta и НИИ СОКБ предлагают решение по скрытой маркировке конфиденциальных документов при их печати для последующего определения источника утечки. #SafeCopy https://t.co/n2jNFNqxBh
Незаменимая вещь в общественном транспорте =) “Новое ПО от Google предупреждает пользователя о смотрящих на экран телефона незнакомцах” https://t.co/IPSWvzq4bs
[видео] #FaceID снова обманули при помощи маски, напечатанной на 3D-принтере. А так как #TouchID в iPhone X уже нет, то: Здравствуй, старый добрый #Passcode! https://t.co/0H0QLAgfRfhttps://t.co/x3imOozMO9
Использование смартфона на рабочем месте для фиксации нарушения запрета на использование смартфонов на рабочем месте с целью фиксации использования смартфона на рабочем месте. Зафиксировано с помощью смартфона. На рабочем месте. #пятничное Фото: (c) Pikabu https://t.co/c7BPth1iDK
Опубликован проект формы Акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры #КИИ https://t.co/1Xc2nXTexohttps://t.co/AUEcoM6Cfz
Роскомнадзор протестировал еще одно программное решение для фильтрации интернет-трафика. Успешно. https://t.co/y8ablO1XXm
— Алексей Комаров (@zlonov) November 23, 2017
«30% сайтов с кнопкой «купить» так или иначе нарушают российские законы» // Границы в интернете. В России создают реестр разрешенных онлайн-магазинов https://t.co/TgqVSredm5
— Алексей Комаров (@zlonov) November 22, 2017
А как же имидж непокорного апологета борьбы с правительствами и мировыми корпорациями зла? «Telegram заблокировал канал с бесплатной музыкой по требованию Apple и Google» https://t.co/eVuS2rDhbH
— Алексей Комаров (@zlonov) November 22, 2017
А вот кому 320 страниц постатейных комментариев к ФЗ-152 от юриста IBM и участника Консультативного совета РКН? -https://t.co/Uc2oRImOJD Там и про судебную практику, и про GDPR, и разъяснения РКН и Минкомсвязи.
— Alexey Lukatsky (@alukatsky) November 20, 2017
Оценка рынка кибер-страхования в России: его пока нет, заключается не более 20 таких договоров в год // “Минфин России выступает против введения обязательного кибер-страхования в России” https://t.co/EjXb6Qy2DApic.twitter.com/LqPkXc5TZz
— Алексей Комаров (@zlonov) November 20, 2017
Зачем он их ставил-то? «Прокуратура Татарстана по итогам проверки вынесла предостережение предпринимателю, который установил в двух магазинах в Казани терминалы по продаже криптовалют. Прокуратура предупредила предпринимателя о возможном нарушении законодательства. Предостережение подразумевает, что бизнесмен должен убрать терминалы или отключить их от сети.» https://vc.ru/29239-prokuratura-potrebovala-ubrat-avtomaty-po-prodazhe-bitkoinov-iz-magazinov-kazani?from=rss
Сегодня на #CodeIB в Ханты-Мансийске обсудим 187-ФЗ О безопасности #КИИ и проекты подзаконных актов к нему, включая вчерашний Проект приказа #ФСТЭК О реестре значимых объектов КИИ (значимых объектов,
Опубликован текст Проекта приказа ФСТЭК России «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» #КИИ http://regulation.gov.ru/projects#npa=75161
«Разработанные Минкомсвязью подзаконные акты к «закону Яровой» противоречат уголовно-процессуальному законодательству, обнаружили в Центре защиты цифровых прав. Чтобы избежать противоречия, сроки хранения сообщений пользователей не должны превышать 24 часов в общем случае или шести месяцев для конкретных лиц по решению суда. Такой формат позволил бы операторам избежать дополнительных инвестиций, оценивают эксперты.» https://www.kommersant.ru/doc/3467441
Интересно, как быстро все привыкнем и будем глотать подобные лекарства без особых раздумий? «Каждая таблетка содержит в себе крошечный чип из кремния, магния или меди. Как только она растворяется в желудке, чип сразу же отправляет сигнал на специальный пластырь с датчиком, приклеенный на торс пациента. Он регистрирует дозу и время приёма лекарства, а потом отправляет эти данные на смартфоны больного и его лечащего врача. После этого чип без малейшего вреда для организма выводится естественным путем». https://hightech.fm/2017/11/15/worlds-first-digital-drug
Использование чужих учетных данных подлежит квалификации по статье «Кража». Под использованием чужих учетных данных имеется в виду тайное или обманное использование подключенного к услуге «Мобильный банк» телефона жертвы, авторизация в системе интернет-платежей под похищенными учетными данными и т.п. Как обычное мошенничество, предусмотренное ст. 159 УК РФ, следует рассматривать хищение имущества путем распространения в Сети заведомо ложных сведений (создание поддельных сайтов, online-магазинов, использование электронной почты). К статье «Мошенничество с использованием платежных карт» (159.3 УК РФ) следует прибегать в случаях, если мошенник выдавал себя за истинного владельца банковской карты при оплате покупок или осуществлении банковских операций. Обналичивание средств через банкоматы квалифицируется как кража. http://www.securitylab.ru/news/489707.php
Новая (с 01 ноября 2017 года) мера по упрощённой блокировке зеркал уже действует: Роскомнадзором приняты меры по ограничению доступа к десяти «зеркалам» пиратских сайтов. К слову, вот этот абзац больше похож на рекламу: “Ранее решения о постоянной блокировке были приняты Мосгорсудом в отношении сайтов kinoprofi-online.club, bigcinema.club, vmuzike.ru, kinoleila.ru, rutracker.cr, my-hit.fm, kinobar.cc, bigcinema-online.ru, muzuka.me, kinogo-net.co”. https://rkn.gov.ru/news/rsoc/news51920.htm
Нужно ли платить НДФЛ по сделкам с биткойнами? Позиция Минфина: Отдельной статьи нет, но “физические лица, получающие вознаграждения от физических лиц на основе заключённых договоров гражданско-правового характера, самостоятельно исчисляют суммы налога, подлежащие уплате в соответствующий бюджет,” http://base.garant.ru/71799858/
В очередном посте на ZLONOV.ru всё как обычно: громкий заголовок, только проверяемые публичные факты (с пруфлинками) и никаких домыслов. Все выводы за читателями ;-) https://zlonov.ru/2017/11/rvision-vs-ibm/
Расширены обязанности операторов связи: Закреплены положения о подтверждении соответствия персональных данных пользователей, заявленных в договоре об оказании услуг связи, фактическим сведениям. Определены способы подтверждения такого соответствия. http://www.garant.ru/hotlaw/federal/1144929/#review
2-НДФЛ теперь доступна в электронном виде с электронной подписью (больше не нужно обращаться в бухгалтерию по месту работы). http://www.garant.ru/news/1146309/
Гарант отвечает на вопрос о том, требуется ли письменное согласие на предоставление своих персональных данных при приеме на работу: “Если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, то получения согласия работника на такие действия не требуется.” http://www.garant.ru/consult/work_law/1146075/
Написал обращения по поводу фишинговый рассылки в МВД, владельцам сайта и даже в проект Антифишинг. “Отвечайте нам, а то, Если вы не отзовётесь, Мы напишем… в “Спортлото”!” (с) =) https://zlonov.ru/2017/11/phishing-complaint/
Обзор изменений в законодательстве за октябрь 2017 от #УЦСБ 1. Категорирование объектов критической информационной инфраструктуры (КИИ) 2. Курс на информационную безопасность в рамках правительственной программы «Цифровая экономика» 3. Часть государственной тайны может стать явной 4. Российским военнослужащим запретят размещать фото в интернете 5. Сертификация банковских безопасников http://www.ussc.ru/news/id/368/
Береги ПДн смолоду =) “Роспотребнадзор предлагает наказывать должностных лиц административным штрафом в размере от 1 тыс. до 3 тыс. руб., а юрлиц – от 10 тыс. до 20 тыс. руб. за принуждение потребителя сообщить свои персональные данные” http://www.garant.ru/news/1145381/
Шрифты как улика: «Когда в начале этого года Наваз Шариф и его семьи стали объектом пристального внимания Панамских газет, неоспоримым доказательством разоблачения и вины фигурантов по делу оказался именно шрифт. Дочь премьер-министра Марьям Шариф представила некий оправдательный документ, набранный шрифтом Microsoft - Calibri. Как оказалось, этот шрифт был выпущен для общего пользования только через год после указанной в документе даты его составления и подписания.» https://roem.ru/29-10-2017/261044/font-detectives/
Вот заживём! “Согласно документу, перечень подозрительных операций установит Банк России, а кредитные организации получат право самостоятельно определять дополнительные признаки перевода денежных средств без согласия плательщика. А при выявлении признаков такого перевода банк будет блокировать банковскую карту на срок до двух рабочих дней и направлять клиенту запрос о подтверждении операции. Если держатель карты подтвердит выполнение операции, банк незамедлительно исполнит поручение и возобновит действие средства платежа. Причем подтверждение клиента-физлица планируется запрашивать по телефону или путем направления электронного сообщения, клиента-юрлица – в порядке, установленном договором об использовании электронного средства платежа”. http://www.garant.ru/news/1144727/
Файлообменник АО “Промышленные инновации” прекрасен: ни проверки файлов, ни авторизации… Эдакий бесплатный облачный сервис с лимитом 4000 MB и сроком хранения 940 дней. http://gpz.prominn.ru/fileshare/index.php
Если работодатель явно запретил отправку конфиденциальной информации на личные почтовые ящики, то нарушение этого запрета является достаточным основанием для уволнения: “Конституционный Суд РФ отметил, что в случае, если сотрудник отправляет информацию, касающуюся компании–работодателя с корпоративной почты на свой личный почтовый ящик, он тем самым создает условия для ее неконтролируемого использования. Соответственно, если работник нарушил локальные акты организации, исключающие отправку конфиденциальной информации на личную почту, то за это он может быть привлечен к дисциплинарной ответственности. Причем вне зависимости от того, было ли установлено ее разглашение третьему лицу или нет”. http://www.garant.ru/news/1144868/
Для удобства свёл в таблицу планируемые к принятию дополнительные к 187-ФЗ “О безопасности #КИИ” нормативные правовые акты и, так как проекты некоторых документов уже опубликованы (готовятся к публикации), привёл соответствующие ссылки на них. https://zlonov.ru/2017/10/187-fz-addons/
Действительно, к чему эти нудные формальности? «Согласно тексту документа, после принятия закона Роскомнадзор сможет самостоятельно принимать решения о блокировке в интернете «информации, содержащей призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, материалов, изданных и (или) распространяемых иностранной или международной неправительственной организацией, деятельность которой признана нежелательной. Причем для блокировки ведомству не потребуется решение суда.» http://www.securitylab.ru/news/489308.php
Попытка Т—Ж объять необъятное: “Персональные данные: что, зачем, как”. Так себе попытка, на мой взгляд. Интересно, а есть ли какие-то ресурсы, которые можно посоветовать совсем начинающим разбираться в теме? У нас ведь новые операторы ПДн наверняка каждый день появляются… https://journal.tinkoff.ru/slozhno/personal-data/
Президент России поручил правительству и ЦБ узаконить ICO и криптовалюты в России: Правительству Российской Федерации совместно с Банком России обеспечить внесение в законодательство Российской Федерации изменений, предусматривающих; а) определение статуса цифровых технологий, применяемых в финансовой сфере, и их понятий (в том числе таких, как «технология распределённых реестров», «цифровой аккредитив», «цифровая закладная», «криптовалюта», «токен», «смарт-контракт») исходя из обязательности рубля в качестве единственного законного платёжного средства в Российской Федерации; б) установление требований к организации и осуществлению производства, основанного на принципах криптографии в среде распределённых реестров («майнинг»), включая регистрацию хозяйствующих субъектов, осуществляющих такую деятельность, а также определение порядка её налогообложения; в) регулирование публичного привлечения денежных средств и криптовалют путём размещения токенов по аналогии с регулированием первичного размещения ценных бумаг. Срок – 1 июля 2018 г. Ответственные: Медведев Д.А., Набиуллина Э.С. http://kremlin.ru/acts/assignments/orders/55899
Контролировать достоверность сведений ЕГРН предлагается с использованием технологии блокчейн: с 1 января по 1 июля следующего года в столице предполагается провести эксперимент по использованию технологии “блокчейн” для мониторинга достоверности сведений, содержащихся в ЕГРН. http://www.garant.ru/news/1143213/
Как не прослыть обнальщиком (при пользовании банком Тинькофф) 1. Проверяйте контрагентов. 2. Подробно описывайте платежи. 3. Работайте по своим оквэдам. 4. Не снимайте все наличные. 5. Платите налоги. 6. Не занимайтесь обналом. https://journal.tinkoff.ru/obnalichka/
У меня повторить не получилось: “Злоумышленник может получить доступ к фото на заблокированном устройстве. Для этого нужно узнать телефонный номер устройства и позвонить на него. После этого, вместо ответа на звонок, нажать на «Сообщения» -> «Другое», а затем вставить в строку сообщения 3 каких-либо эмодзи. Далее нужно попросить голосового помощника Siri открыть какое-либо приложение, например, «Настройки». После этого при повторном звонке на заблокированном устройстве появится возможность ответить на звонок сообщением, прикрепив к нему любые фотографии пользователя.” http://www.securitylab.ru/news/489204.php?utm_content=bufferb858b&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer
Судя по пресс-релизу Кода Безопасности, для заграницы - только продукты с английскими названиями. Эх, надо было в своё время Continent и Sable назвать :-) http://bit.ly/2ikQuu1
Так ведь и ящик Пандоры можно рано или поздно открыть: «…исследователи Google научили ПО машинного обучения создавать ПО машинного обучения. Причем, в некоторых случая ИИ справился с созданием себе подобных лучше разработчиков-людей». http://bit.ly/2xNAcB2
По приглашению Академии Информационных Систем рассказывал вчера про законодательство в области коммерческой тайны. Для собственного удобства и для удобства слушателей подготовил майндкарту Федеральнго закона от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (с изменениями и дополнениями в самой свежей на сегодня редакции от 12 марта 2014 года). http://bit.ly/2gmPxAY
Деталей пока нет, но уже можно начинать бояться: «… важно, что существующая уязвимость позволяет не только прослушивать трафик, но и модифицировать его. Поэтому важно как можно скорее получить от производителя патч и установить его на все устройства которые являются/могут являтся точками доступа, а до тех пор по возможности или отказаться от использования Wi-Fi вообще или передавать данные по каналам с дополнительным шифрованием ( VPN/TLS/HTTPS)».
http://bit.ly/2zsdjQK
Если это правда, то получается годный лайфхак ;) «Gett провёл собственный эксперимент, размещая заказы на «Яндекс.Такси» по одним адресам и в одно и то же время, но с разных мобильных устройств — с приложением Gett и без него. По словам Балакиревой, в 60% случаев «Яндекс.Такси» снижает цену поездки, если владелец телефона также пользуется приложением Gett.»
http://bit.ly/2ymQ0K2
Астрологи объявили полугодие опростоволосившихся консалтеров? =) “На незащищенных серверах Amazon Web Services S3 хранилось более 137 ГБ конфиденциальных данных клиентов крупной консалтинговой компании Accenture, в том числе 40 тыс. паролей.”
http://bit.ly/2yd4Y5O
Согласно реестру ФСТЭК (bit.ly/reestr-fstec) у Symantec два сертифицированных продукта: Symantec Endpoint Protection (сертифицировано 1000 штук) и Symantec Data Loss Prevention (300 штук). Оба сертификата от марта 2012 года. Можно оценить объём продаж сертифицрованных решений за последние пять лет. Так что заявление сделано громкое (хотя, скорее, хайповое), но на бизнес особо не влияющее.
http://bit.ly/2xAwp4Y
КриптоПро CSP (работа с ключами на классических токенах и в пассивных хранилищах) + КриптоПро ФКН (работа с неизвлекаемыми ключами на новых токенах) + КриптоПро DSS (ключи в облаке) = КриптоПро CSP 5.0
http://bit.ly/2i5wYlj
Грозит штраф до 200 тыс. рублей, ограничение свободы на срок до 4 лет либо принудительные работы на тот же период: По версии следствия, мужчина приобрел на торговой площадке Алиэкспресс Китайской Народной Республики шариковую ручку со встроенной видеокамерой и микрофоном, что является специальным техническим средством, которое предназначено для негласного (т.е. тайного, неочевидного, скрытного) получения информации, затрагивающей гарантированные статьями 23, 24 (часть 1) и 25 Конституции РФ права личности, и свободный оборот которого запрещен.
http://bit.ly/2grsD8h
Предполагается ввести запрет на снятие наличных с помощью электронных кошельков. При этом предусматривается, что находящиеся на них остатки денежных средств физлица по его распоряжению могут быть переведены на счет юрлица, ИП, на его собственный счет, а также в счет исполнения его обязательств перед кредитной организацией.
http://bit.ly/2yCt1f1
И снова про “Интернет по паспорту”: Минкомсвязи РФ порекомендовало регионам предоставлять пользователям доступ в интернет через публичные Wi-Fi-сети только после авторизации на портале госуслуг.
http://bit.ly/2yagoq2
Чтобы поймать нарушителя, надо думать как нарушитель, действовать как нарушитель, нужно самому стать нарушителем… “Новый департамент, по словам главы Роскомнадзора, также изучает поведение «нарушителей, пытающихся обойти блокировки и нарушить логику действия системы блокировок».”
http://bit.ly/2wB7mip
МЧС России запустило в мессенджере Telegram бота-спасателя, который подробно инструктирует, как вести себя при любой природной и техногенной чрезвычайной ситуации, а также в быту. Всего описано 32 сценария безопасного поведения в случае самых разных экстремальных ситуаций – от утечки газа и пожара до землетрясения и даже цунами. Адрес бота: @mchs_bot
https://buff.ly/2y18KOD
Сейчас в России блокируется около 90 тыс. ресурсов (домены и страницы). С учетом того что на один ресурс в среднем приходится примерно пять IP-адресов, в реестре сейчас около полумиллиона записей. Всего же можно внести порядка 1 млн записей (“ограничение связано с таблицей маршрутизации”).
https://buff.ly/2fKLuKU
Законопроект об удаленной идентификации клиентов банков, штрафы за нарушение закона о запрете анонимайзеров, новые требования для банков по кибербезопасности и другие новости в ежемесячном “Обзоре изменений в законодательстве” от #УЦСБ.
http://bit.ly/2fOmF4l
Осталось теперь, чтобы дизайн не подкачал: Кольца для бесконтактной оплаты с функциями карты «Тройка» должны появиться в продаже во второй половине октября 2017 года. bit.ly/2xYkVvY
«Закон Яровой» будет иметь международные последствия. Под него попадают российские структуры зарубежных операторов, подтвердили в Институте исследований интернета. Если им придется раскрыть персональные данные пользователей спецслужбам, это приведет к нарушению европейского регламента о защите личной информации. Эти риски уже изучает входящая во France Telecom компания Orange Business Services. Сложности могут возникнуть и у иностранных интернет-сервисов, зарегистрированных в РФ как организаторы распространения информации. К такой категории Роскомнадзор относит около десяти компаний, включая мессенджер Telegram, разработчика браузера Opera Software и сервис знакомств Badoo.
http://bit.ly/2xRDqSu
iPhone X пока ещё не поступил в продажу, но уже известны ограничения новой технологии Face ID. Как только начнётся массовое использование, наверняка всплывут новые нюансы.
http://bit.ly/2fDB4A8
Законопроект, обязывающий соцсети под угрозой штрафа до 50 млн руб. удалять противоправный контент по заявлению любого пользователя, не нужно редактировать до первого чтения, сообщил “Ъ” его соавтор единоросс Сергей Боярский. Его рассмотрение было отложено из-за критики Кремля, где считают возможным удаление данных только по решению суда. Глава профильного думского комитета Леонид Левин говорит, что «комитет будет работать с тем, что есть», и обещает широкое обсуждение проекта. В Совете Европы «произвольную блокировку контента» называют вмешательством в свободу слова.
http://bit.ly/2xIFxHZ
Приказом Роскомнадзора №100 от 9 июня 2017 года был утверждён Порядок доступа к Реестру запрещённых сайтов. Для владельцев сайтов предполагалась процедура регистрации и, видимо, упрощённый доступ к реестру после её прохождения. Не случилось.
http://bit.ly/2fUqiTd
Аналитический центр “МФИ Софт” систематизировал объявления о продаже баз данных страховых компаний на теневых торговых интернет-площадках. Цель исследования – выяснить уровень доступности баз данных, содержащих информацию о клиентах страховых компаний Российской Федерации, выявить причины и источники появления баз данных в открытом доступе и проанализировать ущерб, наносимый подобными инцидентами.
http://bit.ly/2xA9lr0
Комитет Госдумы по госстроительству и законодательству рекомендовал палате принять в первом чтении поправки в УК РФ, устанавливающие отдельное наказание за хищение средств с банковского счета и электронных денег.
http://bit.ly/2y85Fxl
“Как пояснили в Генпрокуратуре, Telegram-каналы не включены в ежедневный мониторинг, но это не значит, что они оставлены без внимания.”
http://bit.ly/2ht90MK
5 вопросов о санации «Открытия» и «Бинбанка»: 1. Почему санация, а не отзыв лицензии? 2. Можно ли полностью исключить финансовые проблемы в самых больших российских банках, включая «Сбербанк»? 3. Есть ли в России банковский кризис? 4. Почему рушатся крупные российские банки? 5. Что будет с санируемыми банками и когда можно ждать улучшения ситуации?
http://bit.ly/2wgFFeX
Услуга от Почты России: “Заказные письма в электронном виде”. Пока не все организации перешли на электронные письма, но уже доставляются постановления о возбуждении исполнительного производства (в части задолженности по штрафам в области дорожного движения), судебные повестки мировых судей города Москвы, а также постановления о нарушениях в области дорожного движения в городе Москве, Московской и Ростовской областях.
http://bit.ly/2fLhfUs
Согласно проведенному организацией «Руссофт» исследованию, в прошлом году продажи отечественного ПО на внутреннем рынке восстановились, а в нынешнем даже следует ожидать роста на 14-25%. С 2014 года на 11-13% увеличиваются доходы от продаж на зарубежном рынке, однако с 2016 года основной прирост обеспечивается за счет российского рынка. Как отмечают исследователи, еще в 2015 году продажи ПО на внутреннем рынке стремительно падали. Тем не менее, в прошлом году отечественные разработчики заработали на родине не менее $4,4 млрд (рост на 21%). Подробнее:
http://bit.ly/2xs1vQx
Текущих механизмов, оказывается, не хватает, поэтому: «Правообладатели могут получить новые антипиратские механизмы. Минкульт предложил внесудебно блокировать в выдаче поисковиков страницы с нелегальным контентом и навечно закрывать доступ к анонимным пиратским сайтам.»
http://bit.ly/2y2BFmQ
Двухчасовая задержка рейса Нордавиа - Региональные авиалинии - отличный повод дослушать авторский курс Леонида Шапиро! Мог бы рекомендовать и без прослушивания, но теперь - со знанием дела ;)
Инфраструктура Открытых Ключей (PKI). Часть № 1. https://www.udemy.com/pki-no-1/
Обзор уязвимостей от #УЦСБ. Выпуск 1. Простым и понятным языком про EternalBlue (WannaCry, notPetya), EternalRed (SambaCry) и др.
http://bit.ly/2hhFEkt
В новогоднюю ночь ровно в полночь все средства ЭП без поддержки ГОСТ Р 34.10-2012 превратятся в тыкву: Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается
http://bit.ly/2wG3vjt
Прощай, итальянский гарнитур! “Закупка иностранной мебели временно под запретом” // Постановление Правительства РФ от 5 сентября 2017 г. N 1072 Об установлении запрета на допуск отдельных видов товаров мебельной и деревообрабатывающей промышленности, происходящих из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд http://bit.ly/2xP3TBjhttp://bit.ly/2xkEyxs
Странно, что раньше не было запрещено: Фальшивым антивирусам не место в App Store. Apple обновила руководство по публикации приложений
http://bit.ly/2f76k6W
«Код безопасности» запатентовал биологический датчик случайных чисел. Сам патент тут: http://bit.ly/2x8fOt3 “В качестве источника случайности используют осмысленные целенаправленные действия пользователя, а именно - клики мышью либо клики пальцем в случае сенсорного экрана, по отношению к наблюдаемому внутри рабочей области экрана псевдослучайному процессу, который состоит в последовательной генерации N кругов диаметра d с временными интервалами в доли секунды, и каждый круг начинает прямолинейное движение в различных направлениях из центра рабочей области, отражаясь от границ рабочей области и других кругов, часто меняя направление движения и имитируя в целом хаотичный процесс движения кругов, и после появления в рабочей области последнего круга кликают в произвольной последовательности в площадь каждого из N движущихся кругов”
http://bit.ly/2jDfjSm
“Баннер, который предлагает зайти в ближайший продуктовый и купить со скидкой детское питание по акции — это экзотика, пока ещё ярко бросающаяся в глаза.” - и даже не так важно - эффективно это работает или нет, важен сам факт - информация о геолокации пользователей становится обыденным товаром, который уже можно закупать оптом.
http://bit.ly/2wANSKl
Куда-то не туда свернул процесс разработки двухфакторной аутентификации у Apple: код проверки приходит на то же устройство, на котором запрашивается… И это ведь при наличии других устройств, подключ
Завтра в рамках InfoSecurity совместно с #АРСИБ проводим Круглый стол “О безопасности критической информационной инфраструктуры” http://bit.ly/2jBgEsO #Cisco #ПозитивТекнолоджиз #УЦСБ #Газинформсервис #КИИ #ИБАСУТП
http://bit.ly/2y8K3gq
Третий раз посетил мероприятие Fortinet Security Day. Мероприятие явно прибавило, стало статуснее, число участников опять увеличилось. Говорили и про безопасность #IoT и про #ИБАСУТП и про #ИИ. Рассказали о текущей сертификации во #ФСТЭК и даже анонсировали решение с поддержкой российской криптографии (#ГОСТ).
http://bit.ly/2h40APx
За два года работы #Роскомнадзор выявил лишь 56 нарушений требований по локализации персональных данных - это около 1% от общего числа проверенных и систематически наблюдаемых операторов #ПДн.
http://bit.ly/2xmb4zH
Минздрав предупреждает! // “Банк России считает преждевременным допуск криптовалют, а также любых финансовых инструментов, номинированных в них или связанных с ними, к обращению и использованию на организованных торгах и в расчетно-клиринговой инфраструктуре на территории России.”
http://bit.ly/2x0FGEQ
Свежий отчёт Gartner: Market Guide for Operational Technology Security. Основные выводы: Market offerings continue to deliver in key areas of anomaly and vulnerability detection, incident response, endpoint (including device) protection and access management, with many including asset discovery and tracking functions. While today’s solutions are more mature than previous versions, acceptance by clients remain moderate due to uneven levels of client maturity and the pace of information technology/operational technology (IT/OT) integration. In the professional services marketplace, IT security teams and managed security service providers are expanding skills and presence to compete with established specialist operational technology (OT) security services providers. The market for OT security functions with cloud-based delivery (and cloud versions of enterprise-based platforms) is nascent, but interest is continuing to grow.
http://gtnr.it/2x1kMqK
Минкомсвязи планирует повысить требования к удостоверяющим центрам, проверять их на соответствие требованиям, а также рассмотреть возможность перевода процедуры создания и выдачи ключей и сертификатов усиленной квалифицированной электронной подписи в разряд государственных услуг. Цель - повысить уровень доверия граждан к электронному документообороту.
http://bit.ly/2fhmhrJ
Полностью соглашусь с тезисом: “Попытки причинить добро с помощью добросовестного троянца напоминают самосуд”. Вышибание клина клином - не лучшая тактика для борьбы с вредоносным ПО.
http://bit.ly/2jmhBoS
«6 сентября на сайте WIRED появилась заметка о новом вторжении известной группы хакеров в энергосети Европы и США. Threatpost изучил доступную информацию об аналогичных инцидентах.»
http://bit.ly/2gYQ1ND
Не то, чтобы это было полной неожиданностью, но теперь закреплено на законодательном уровне (почти закреплено): ФСБ возьмет под контроль центры по обнаружению кибератак #ГосСОПКА
http://bit.ly/2eUicN1
Рекомендации Роскомнадзора по составлению политики обработки ПДн - Закон, запрещающий VPN-сервисы и анонимайзеры - Эволюция отчетности по инцидентам Банка России и пр.
http://bit.ly/2j4rtmQ
Любопытный маркетинговый ход: “…вы сможете заменить смарт-карты, электронные идентификаторы и токены других производителей на устройства Рутокен на выгодных условиях”
http://bit.ly/2wK0rUZ
Роскомнадзор оценил качество связи операторов «большой четверки» в Москве. Лучшие показатели по голосовой связи продемонстрировал Tele2, а худшие — «Вымпелком», который оказался последним и по качеству мобильного интернета. Оператор не согласен с результатами измерений и намерен проверить их достоверность.
http://bit.ly/2j3Bwc0
«…рассмотрение дел в Мосгорсуде в рамках закона носит «псевдосостязательный характер», а норма о бессрочной блокировке привела к тому, что ресурсы обходят ее и перестают сотрудничать с владельцами контента.»
http://bit.ly/2eA1lva
Никаких санкций по отношению к поисковикам, которые откажутся или не смогут фильтровать результаты поиска по новым «осенним нормам», в РФ пока не предусмотрено. Однако необходимый законопроект об изменениях в административном кодексе уже прорабатывается Госдумой. Одновременно прорабатывается регламент блокировки самих VPN-сервисов, а не ссылок на них.
http://bit.ly/2eKtQ9S
Законопроект Минкомсвязи об инфраструктуре рунета расходится с действующим законодательством, содержит избыточные требования к операторам и вредит устойчивости и экономической эффективности рунета, следует из заключения рабочей группы «Связь и IT» экспертного совета при правительстве
http://bit.ly/2gvhnuy
Кризис кризисом, но: «Продажи электронных книг в России в первом полугодии выросли в полтора раза к аналогичному периоду 2016 года — до 1,7 млрд руб.»
http://bit.ly/2vK5ini
Разумное решение о неподдержании такого: “…поправками предусмотрено, что агрегатор будет нести ответственность за достоверность информации как о товаре, так и о продавце. Помимо этого, в одном из положений проекта поправок, агрегатор всегда несет ответственность за убытки, причиненные потребителю недостоверной информацией. При этом не учитывается ситуация, когда потребитель, воспользовавшись справочными данными или рекламной на сайте агрегатора, переходит на страницу продавца и самостоятельно заключает с ним договор купли-продажи. "
http://bit.ly/2wDzrJZ
Генеральный прокурор России Юрий Чайка: с 2013 по 2016 год число преступлений, совершаемых с использованием современных информационно-коммуникационных технологий, увеличилось с 11 тыс. до 66 тыс. ежегодно. При этом их количество продолжает расти: в текущем году их число достигло уже 40 тыс.
http://bit.ly/2w9FvH2
Малоизвестный плюс каршеринга: можно взять машину в аренду на пару минут, отогнать с удобного места парковки и встать туда самому.
— Алексей Комаров (@zlonov) July 31, 2017
