BinkosNews
13 subscribers
66 links
ЗАО БИНКОС. - https://binkos.ru
Тел. +7(495)241-0704.
Услуги по обслуживанию ИТ инфраструктуры и Информационной безопасности. Аудит и защита ИТ. Разработка РЭА, ПО. Испытания РЭА.
Download Telegram
#информационныетехнологии #ИТ #IT #разработкапо

Российские компании не могут отказаться от зарубежного софта и продолжают его закупать.

Российские компании самых разных сфер деятельности продолжают закупки иностранного программного обеспечения в условиях введенных против страны санкций. Причиной тому — полное отсутствие аналогов на российском рынке.
Около 70% трат по данным одного из сервисов по закупке ПО, приходится на продукты ThinkCell, Amazon Web Services, Dropbox, GSuite, Clickmeeting и Jira. Еще 25% компании тратят на лицензии Zoom, Figma, Slack и прочие подобные им.

Как видно по спискам выше, на отечественном рынке отсутствуют глобальные облачные сервисы, а для Jira в принципе нет достойных альтернатив — к переходу на платформы от 1C, которые условно позволяют вести учет задач и времени, готовы далеко не все.

Также российские производители программного обеспечения не могут закрыть потребность в коммуникативных облачных сервисов, в которых средний и крупный бизнес мог бы вести работу внутри команды. Slack и Zoom стали новыми стандартами индустрии, причем не только в сфере IT. Удобство этих сервисов оценили во многих других сферах.

Если внимательно посмотреть на списки закупаемого ПО, можно заметить, что проблема носит системный характер: все закупаемые лицензии относятся к сервисам, имеющим облачную природу. И если за последние двадцать лет на российском рынке научились решать проблемы хостинга, то облачные технологии находятся в зачаточном состоянии. Любые компании, которые развивали данное направление на территории РФ, предлагали выбор между решениями Azure и AWS, по сути являясь операторами, которые налаживали и оптимизировали работу клиентских систем в рамках этих облаков.
Важно отметить, что эта проблема характерна не только для бизнеса, но и для государственных компаний. Тот же Аэрофлот выносил свою IT-инфраструктуру в облака Azure при поддержке одного из партнеров Microsoft, а американская компания активно развивала это направление, интегрируя государственные корпорации в облачную инфраструктуру своего сервиса, помогая с настройкой и переходом, а так же предлагая выгодные условия работы и обслуживания.

Ситуацию на рынке ПО пока сложно назвать критической, но все может измениться, если пользователям с российскими IP начнут массово запрещать доступ к облачным сервисам как на уровне юридических, так и на уровне физических лиц. Потеря такого доступа грозит серьезным обвалом десятков тысяч IT-инфраструктур, которые были выстроены внутри компаний за последние 5-7 лет.

Источник:
https://habr.com/ru/company/itsumma/news/t/691808/
#информационныетехнологии #ИТ #информационнаябезопасность #IT #разработкапо

Рекомендации решено оставить без послаблений

Государство рассмотрит самое широкое регулирование алгоритмов.
До конца года в Госдуму может быть внесен законопроект о рекомендательных алгоритмах в интернете, дающий возможность их отключать. Несмотря на многочисленную критику со стороны отрасли, авторы планируют оставить самое широкое толкование: под требования в текущей версии могут попасть соцсети, видеохостинги, онлайн-кинотеатры, поисковики и маркетплейсы. Последние оценивают потери от нового регулирования в 100 млрд руб. в год. Полное отключение рекомендательных алгоритмов потребует от сервисов поддержания двух версий платформы, объясняют эксперты.
“Ъ” ознакомился с одной из последних версий законопроекта о регулировании рекомендательных сервисов онлайн-платформ, который разрабатывает зампред комитета Госдумы по информполитике Антон Горелкин. Версия документа, которая есть в распоряжении “Ъ”, предполагает максимально широкое регулирование. Из нее следует, что обеспечивать возможность «полного или частичного» отказа пользователей от применения рекомендательных технологий должны все владельцы сайтов или информационных систем, которые используют такие технологии.
Таким образом, под действие проекта могут попасть соцсети, видеохостинги, онлайн-кинотеатры, поисковые системы, маркетплейсы и другие сервисы.
По словам двух собеседников, проект предварительно направлен в аппарат Госдумы, а внести его планируется до конца года. Источники “Ъ” говорят, что в процессе обсуждения документ претерпевал ряд изменений, но в итоге авторы решили оставить максимально широкое толкование, а поправки вносить ко второму чтению. Законопроект действительно находится в высокой стадии готовности и его концепция предполагает ответственный подход к использованию рекомендательных алгоритмов от всех участников рынка в целях защиты прав пользователей и недопущения манипуляций со стороны цифровых платформ, подтвердил “Ъ” Антон Горелкин. «Рассматривать его влияние на отдельные сервисы или направления, на мой взгляд, было бы неправильно»,— сказал он.
Также из проекта следует, что Роскомнадзор сможет запрашивать у владельцев информационных ресурсов данные, связанные «с предоставлением или распространением информации с применением рекомендательных технологий».
Их необходимо предоставлять в течение десяти дней после получения запроса.

Регулирование рекомендательных сервисов обсуждается с 2021 года (см. “Ъ” от 15 октября). Исходно депутаты обосновывали его необходимость тем, что контент, подобранный на основе рекомендательных алгоритмов в Facebook, Instagram (площадки заблокированы в России, принадлежат Meta, которая признана в стране экстремистской и запрещена), YouTube и других ресурсах, повышает риски социальных конфликтов. Против инициативы в разное время выступали владельцы соцсетей и поисковых систем, включая VK и «Яндекс» (см. “Ъ” от 27 мая), онлайн-кинотеатры, а также технологические стартапы, разрабатывающие рекомендательные алгоритмы (см. “Ъ” от 18 июля).

Принятие законопроекта в части интернет-торговли «отбросит рынок в прошлое», считает президент Ассоциации компаний интернет-торговли Артем Соколов. «Без рекомендательных алгоритмов интернет-магазины превратятся в каталоги, которые использовались 20 лет назад»,— сказал он. Потери отрасли от введения регулирования он оценил в более чем 100 млрд руб. ежегодно. В Минцифры не ответили “Ъ”. «Яндекс», VK, МТС, Ozon и «Авито» отказались от комментариев.
До сих пор речь шла, скорее, о рамочном регулировании, в части требований о прозрачности, возможности отключения рекомендации, отметил директор по аналитике АНО «Цифровая экономика» Карен Казарян.
По его словам, распространение регулирования на все интернет-сервисы, включая коммерцию, приведет к необходимости пересмотра ими бизнес-модели.
«Наличие или отсутствие тонкой алгоритмической настройки как раз и составляет разницу между доходностью или убыточностью сервиса, часто бесплатного для пользователей, а также негативно скажется на развитии технологий»,— говорит он. По словам Карена Казаряна, АНО готовит консолидированную позицию бизнес-сообщества для дальнейшего обсуждения.
Собеседник “Ъ” в IT-отрасли говорит, что частично отключать рекомендательные технологии технически невозможно, а полное их отключение потребует затрат — «это повлечет необходимость поддержки не менее двух версий платформы». Директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович добавляет, что в части маркетплейсов «путь какого-либо товара до пользователя станет дольше: помимо того что пострадает экономика процессов, могут возрасти затраты на технологические решения».

Предлагаемое регулирование актуально независимо от от наличия или отсутствия зарубежных игроков на российском рынке, потому что рекомендательными сервисами пользуются все компании действующие на рынке информационных технологий, отметил зампред Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Борис Едидин. «Оно направлено на защиту прежде всего пользователей от злоупотреблений и будет распространяться не только на зарубежные сервисы, но и российские, в том числе и государственные системы рекомендаций»,— заявил он.

https://www.kommersant.ru/doc/5679541?from=top_main_1
#информационныетехнологии #ИТ #IT #космос #space

Мишустин: подготовлено соглашение с КНР о создании Международной научной лунной станции.

Россия и Китай подготовили межправительственное соглашение по созданию Международной научной лунной станции. Об этом сообщил премьер-министр РФ Михаил Мишустин, выступая в понедельник на 27-й регулярной встрече глав правительств двух стран.

"Большой потенциал видим в высокотехнологичных отраслях, включая цифровизацию и космические исследования. Подготовлено к подписанию межправительственное соглашение о создании Международной научной лунной станции. Это значительный шаг для наших стран", - подчеркнул он.

По словам Мишустина, укреплению научно-технического и инновационного сотрудничества уделяется приоритетное внимание. Он напомнил, что Россия и Китай успешно провели соответствующие тематические национальные годы, в рамках которых состоялось около тысячи мероприятий.

"Наши специалисты вносят существенный вклад в области фундаментальных научных исследований, в том числе в проекте NICA на базе Объединенного института ядерных исследований в Дубне. Готовы совместно воплощать новые инициативы", - добавил глава российского правительства.

Источник:
https://tass.ru/kosmos/16501379
#информационныетехнологии #ИТ #IT #информационнаябезопасность #InfoSec #разработкапо

ФСТЭК ужесточает требования к разработчикам защиты данных...

Федеральная служба технического экспортного контроля (ФСТЭК) предложила распространить требования к информбезопасности для госсектора на коммерческие компании, организующие защиту государственных данных. Для этого регулятор подготовил проект указа президента. Большинство участников рынка кибербезопасности так или иначе работает на госсектор, говорят эксперты, и в случае принятия проекта на его основе могут появиться дополнительные требования к этим компаниям, которые увеличат нагрузку на бизнес.
“Ъ” ознакомился с проектом указа президента, разработанным ФСТЭК и размещенным на портале правовых актов 23 января. Он устанавливает правила защиты информации в российских организациях, а также закрепляет создание государственной организационной системы защиты информации.

Система, по замыслу ФСТЭК, будет состоять из «органов и организаций, выполняющих функции по защите информации, и используемых ими средств защиты».

Приказ также закрепляет шесть категорий участников системы, в том числе органы безопасности — ФСТЭК и ФСБ, организации, имеющие полномочия на сертификацию средств защиты, и компании, оказывающие услуги в области защиты государственной информации.

Речь идет не обо всех участниках рынка, а о тех, кто работает с государственной информацией, что в документе называется «информацией, обладателями которой являются РФ и ее субъекты», объясняет глава аналитического центра Zecurion Владимир Ульянов: «То есть требования будут распространяться на подрядчиков по обеспечению безопасности государственных информсистем». Во ФСТЭК не ответили “Ъ”.

Проект серьезно расширяет круг компаний, на которых распространяются требования ФСТЭК, уточняет собеседник “Ъ” на рынке:

«В России почти все организации в области информбезопасности работают либо напрямую с госсектором, либо с организациями, которые имеют дело с информацией, конечным обладателем которой является государство».

Также, по его словам, раньше требования по сертификации средств защиты информации и аттестации защищенности распространялись только на системы, имеющие статус государственных. Указ расширяет перечень объектов, для которых сертификация и аттестация становятся обязательными. Кроме того, добавляет источник “Ъ”, расширяется перечень систем, в отношении которых необходимо проводить анализ защищенности.

После начала военных действий на Украине в 2022 году российская IT-инфраструктура, в том числе госсектор, подверглись масштабным кибератакам. Еще весной президент подписал указ №250 «О дополнительных мерах по обеспечению ИБ РФ», который распространяется на предприятия с госучастием (от ведомств до госфондов), стратегические предприятия, системообразующие организации и субъекты критической инфраструктуры (см. “Ъ” от 1 мая 2022 года).

Проект ФСТЭК «упорядочил существующее положение дел и зафиксировал то, что стало объективно необходимым, например, определение недопустимых событий для каждой российской компании и ответственность заместителей руководителей организаций», говорит один из собеседников “Ъ” на рынке кибербезопасности.
Не менее важным, по его мнению, выглядит обязательная ежегодная оценка защищенности. В случае принятия приказа, отмечает Владимир Ульянов, на его основе появятся дополнительные документы, которые конкретизируют требования. Преподаватель Moscow Digital School Алексей Мунтян считает, что приказ позволит обеспечить равномерный уровень защиты информации, являющейся государственной, но при этом «повысит нагрузку на ответственных заместителей руководителей компаний, так как повлечет за собой больше отчетности и согласований с регулятором». Более того, полагает господин Ульянов, в будущем для организаций, упомянутых в документе, могут появиться и другие обязательства.

Источник:
https://www.kommersant.ru/doc/5783923
#информационныетехнологии #ИТ #IT #разработкапо

В Совфеде предложили создать аналог программы "Земский учитель" для инженеров.

Глава профильного комитета Совета Федерации Андрей Кутепов отметил, что Минпромторг и Минобороны поддержали концепцию этой идеи.

Глава профильного комитета Совета Федерации Андрей Кутепов предложил создать для инженеров аналог программ "Земский учитель" и "Земский доктор" для привлечения кадров на российские предприятия. Копия письма, направленного помощнику президента РФ Максиму Орешкину и вице-премьеру Дмитрию Григоренко, есть в распоряжении ТАСС.

"В настоящий момент предприятия обозначают разницу между требованиями производства и уровнем образования и отмечают дефицит инженерных кадров. Комитет обратился к Министерству промышленности и торговли РФ с предложением относительно запуска программы, аналогичной программам "Земский учитель" и "Земский доктор", с той разницей, что критерии реализации программы и получения выплат не должны быть привязаны к численности населения и к работе в государственных и муниципальных предприятиях", - говорится в документе.

По словам сенатора, таким критерием может быть работа на предприятиях в моногородах, в закрытых административно-территориальных образованиях и пристанционных городах, а также обеспечение кадрового потенциала на градообразующих предприятиях. "Так, например, 63% потребности госкорпорации "Росатом" в наборе выпускников вузов на период 2023-2030 годов (общая потребность 11 776 человек) приходятся на предприятия, расположенные в ЗАТО, моногородах и пристанционных городах. Принятие программы, схожей по типологии с программами "Земский доктор" и "Земский учитель", может стать значимой поддержкой в привлечении туда молодых специалистов", - отметил Кутепов.

Как заявил сенатор, Минпромторг и Минобороны РФ поддержали концепцию этой идеи. В феврале 2019 года в послании Федеральному собранию президент РФ Владимир Путин предложил запустить программу "Земский учитель" для педагогов, переезжающих на работу в села и малые города. Речь идет о сельских населенных пунктах, рабочих поселках, поселках городского типа или городах с населением до 50 тыс. человек. Проект начал действовать в 2020 году. Программа "Земский доктор" действует в России с 2012 года. Проект предусматривает выделение денежных средств врачам, уезжающим в сельскую местность, где они обязаны отработать пять лет.

ИСТОЧНИК: https://tass.ru/ekonomika/17279713
#ИТ #информационныетехнологии #IT #информационнаябезопасность #InfoSec #CyberSecurity #КиберБезопасность

Законопроект Минцифры о легализации работы белых хакеров отложен из-за позиции ФСБ и ФСТЭК по нежеланию менять УК

Законопроект Минцифры о легализации работы белых хакеров отложен на неопределённое время из-за позиции ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Ведомства не собираются менять УК, смягчать или отменять наказание для злоумышленников за взлом информационных систем.

В июле прошлого года Минцифры сообщило, что ведомство собирается ввести в законодательство понятие bug bounty и легализовать работу белых хакеров. Минцифры разрабатывает законопроект, по которому компьютерные эксперты могут получать вознаграждение за обнаруженные уязвимости, а не попадать под штрафы и ограничение свободы по статье 272 УК РФ («неправомерный доступ к компьютерной информации»).

Эксперты отрасли пояснили СМИ, что юридическое определение в правовом поле действий пентестов, которые проводят анализ систем на наличие уязвимостей, а также программ выплат вознаграждения хакерам за обнаружение уязвимостей по аналогии с зарубежными bug bounty позволит легализовать действия белых хакеров и даст возможность им использовать и дорабатывать специальные программные инструменты в рамках усиления механизмов кибербезопасности. Представители рынка считают, что сейчас многим компаниям проще обратиться в полицию и завести на хакера уголовное дело, а не платить ему за обнаруженные проблемы.

Законопроект от Минцифры не прошёл проверку в ФСБ и ФСТЭК. Ведомства считают, что принятие законопроекта в существующем виде приведёт к либерализации положений УК, что противоречит позиции госструктур по этой ситуации.

«Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая. А менять УК никто не будет», – пояснили СМИ профильные эксперты.

Представители ИБ-отрасли подтвердили, что сейчас действия пентестеров уязвимы с точки зрения уголовной ответственности, так как их могут квалифицировать как неправомерный доступ к информации (до семи лет колонии) или как создание, использование и распространение вредоносных компьютерных программ (также до семи лет тюремного заключения).

По мнению профильных юристов, сейчас в УК РФ есть целый ряд статей, под которые может подпадать деятельность белых хакеров. В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации». По из словам, чтобы легализовать белых хакеров, Минцифры придётся вносить изменения в несколько статей УК и прописывать там, что действия хакеров не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции. «Но формально это всё равно будет преступное деяние, и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет», — считает вице-президент Гильдии российских адвокатов Евгений Корчаго.

Юристы уточнили СМИ, что законопроект Минцифры может внести дестабилизацию в правоприменительную практику в отношении киберпреступлений. «Преступники начнут оправдывать свои действия предлагаемыми нормами, а общество получит ситуацию неконтролируемого развития несанкционированного доступа к информации и её оборота. А самим белым хакерам придётся работать в условии высочайших рисков привлечения к уголовной ответственности, например в случае получения доступа к информации», – рассказал СМИ профильный юрист.


В конце марта 2022 года Минцифры в рамках оперативного штаба по обеспечению информационной безопасности предложило крупным российским компаниям начать поддержку белых хакеров.
В августе 2021 года ФСБ возбудила уголовное дело о попытке взлома сетевым инженером структуры «Ростеха». Бывший сотрудник техподдержки интернет-провайдера «Макснет Системы» подозревался спецслужбами во взломе компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Сетевой специалист рассказал, что он не занимался взломом, а наоборот пытался пресечь атаку извне на ресурсы клиентов, проверяя их роутеры на наличие уязвимостей. За то, что он не получил разрешения у клиента провайдера на сканирование его сетевого оборудования, инженеру грозит лишение свободы на срок от двух до пяти лет со штрафом в размере до 1 млн рублей.

ИСТОЧНИК: https://habr.com/ru/news/t/724922/
#информационнаябезопасность #InfoSec #CyberSecurity #информационныетехнологии #ИТ #IT #риски #КиберБезопасность

В РФ запущен аналог сервиса Downdetector.

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), созданный в рамках реализации закона о суверенном Рунете, запустил публичный портал пользователя с сервисом "Мониторинг сбоев", являющимся отечественным аналогом сервиса Downdetector.

"Сервис "Мониторинг сбоев" создан как альтернатива зарубежному ресурсу downdetector.com, который перестал анализировать российские интернет-ресурсы и телеком-услуги после начала специальной военной операции", - сообщили "Интерфаксу" в пресс-службе "Главного радиочастотного центра" (ГРЧЦ, подведомственный Роскомнадзору), на базе которого работает ЦМУ ССОП.

Сервис дает возможность пользователям оставлять сообщения о неработоспособности интернет-сервисов, банковских приложений и операторов связи, отслеживать стабильность их функционирования и изучать географию зафиксированных проблем.

На основе сообщений пользователей о проблемах в работе услуг связи и интернет-сервисов на портале формируется тепловая карта сбоев, с помощью которой можно следить за работоспособностью сервисов в разных регионах России. "Таким образом, с помощью сервиса пользователи могут узнать, произошел массовый сбой или единичная ошибка", - сообщили в ГРЧЦ.

Специалисты Центра мониторинга будут проверять проблему и выяснять, с чем она связана, в том числе с помощью информационных систем Центра. При получении большого числа сообщений о сбоях специалисты Центра будут подключаться к решению проблемы совместно с операторами связи и владельцами сервисов, заявили в ГРЧЦ.

На портале также запущен специальный сервис для профильных специалистов - Looking Glass, который даёт возможность получить информацию об IP-адресах, автономных системах и оптимальных маршрутах трафика.

"Ключевая особенность сервиса - использование маршрутной информации непосредственно от всех российских операторов связи посредством информационной системы мониторинга Центра. Это позволяет получать достоверные данные о маршруте на интересующую сеть с точки зрения любого российского оператора", - рассказали в ГРЧЦ, отметив, что данные предоставляются в режиме реального времени.

Через специальный раздел можно перейти в Реестр адресно-номерных ресурсов (РАНР) для поиска информации о сетевых адресах, автономных системах, их взаимосвязях и владельцах. Реестр обеспечивает устойчивость функционирования Рунета. Он содержит информацию об объектах маршрутизации (IP-адреса, автономные системы) и позволяет воспользоваться ей при недоступности зарубежных интернет-регистратур, отметили в пресс-службе ГРЧЦ.

Портал находится по адресу https://portal.noc.gov.ru/

ИСТОЧНИК:

https://www.interfax.ru/digital/895653
#информационныетехнологии #ИТ #IT #разработкапо #ПО

Пользователи иностранного ПО профинансируют льготные IT-кредиты.

Средства от оплаты иностранных лицензий Минцифры хочет направить на поддержку отечественных разработчиков.

Российские компании смогут продолжать легально использовать иностранный софт, отчисляя средства на специальный счет, часть средств с которого будет расходоваться на финансирование льготных IT-кредитов для разработчиков. Такая мера предусмотрена в обновленной версии законопроекта о принудительном лицензировании зарубежного ПО, которую разрабатывает Минцифры. Об этом рассказал «Ведомостям» источник в правительстве и подтвердил собеседник в IT-компании, знакомый с ходом обсуждения законопроекта.

Оплата лицензий будет производиться по прежним тарифам (сколько платили до ухода компании из России) на спецсчета типа «О» (рублевые счета в ряде банков, предусмотренные указом президента для расчета с иностранными компаниями в условиях санкционного давления. – «Ведомости»). Если оставшиеся средства на счете не будут востребованы правообладателями, то впоследствии они будут переданы в фонд поддержки IT-отрасли, например РФРИТ, уточняет источник в правительстве.

ИСТОЧНИК: https://www.vedomosti.ru/
#информационнаябезопасность #InfoSec #информационныетехнологии #CyberSecurity

Национальные сертификаты безопасности сайтов используют только 30% россиян.

Российские TLS-сертификаты, использующиеся для создания зашифрованного соединения между сайтом и его пользователями, сейчас установлены на 25–30% устройств. Об этом 16 июня на сессии ПМЭФ-2023 «Развитие критической информационной инфраструктуры: угрозы и перспективы» рассказал руководитель блока «Технологии» Сбербанка Андрей Белевцев.

После начала СВО иностранные удостоверяющие центры, например, южноафриканский Thawte Consulting, американский Digicert и др., начали отказывать в продлении сертификатов безопасности подсанкционным российским компаниям. Из-за этого пользователи из России при посещении сайтов начали сталкиваться либо с их блокировкой браузером, либо с предупреждением о небезопасности ресурса.
Минцифры решило разработать собственные TLS-сертификаты, их выпуском занимается Национальный удостоверяющий центр (НУЦ). В марте 2022 г. на «Госуслугах» заработал сервис выдачи сертификатов, после этого российские компании начали переводить на них свои сайты и советовать клиентам их установить. Так, Сбербанк перевел свои сайты и сервисы на сертификаты НУЦ осенью прошлого года.

Обычные пользователи могут установить сертификаты вручную или скачать браузер, куда они встроены по умолчанию, например, «Яндекс Браузер» и «Атом» от VK. Для корректной работы сертификат должен быть и у сайта, и установлен на пользовательском устройстве.

Представитель Минцифры уточнил, что браузерами, которые поддерживают работу национальных сертификатов без дополнительных действий пользователя, ежемесячно пользуются более 75 млн человек. Он также напомнил, что сейчас в Госдуме рассматривается законопроект, который сделает обязательной поддержку таких сертификатов разработчиками ПО.

Статистика «Сбера» свидетельствует, что российские сертификаты в данный момент установлены только на 25–30% устройств, заходящих на сайт банка, следует из слов Белевцева. «Это большая проблема, потому что это означает, что в 70% случаев мы пользуемся сертификатами из неизвестного для нас источника, – сказал он. – C этим надо бороться разными способами, прежде всего просветительским путем – просвещением и пропагандой, если хотите». Он также выразил надежду, что присутствующие на сессии, среди которых были замминистра цифрового развития Александр Шойтов, зампред правления Газпромбанка Дмитрий Зауэрс и другие, объединят усилия, чтобы повысить процент пользователей с российскими сертификатами безопасности.
Представитель «Сбера» уточнил, что для увеличения этого показателя важно ускорить перевод на национальные сертификаты государственных сервисов, включая сайт «Госуслуги», а также повышать уровень информированности граждан по этому направлению.

Сертификаты Минцифры нужны прежде всего для того, чтобы работоспособность крупного портала или сайта не была внезапно нарушена путем отзыва сертификата западной компанией, которая подчиняется санкционной политике, сказал гендиректор Safetech Lab Кирилл Мещеряков. Если сертификат будет отозван, то пользователи, на компьютеры или смартфоны которых не установлены сертификаты Минцифры, не смогут зайти на портал и получить услугу, объяснил он. По его словам, некоторые банки из топ-10 до сих пор пользуются иностранными сертификатами для своих сайтов.
Кроме того, цифровые сертификаты позволяют пользователю убедиться, что канал связи с сервером зашифрован и это именно тот веб-сайт, который ему нужен, а не созданный хакерами «двойник», сказал замдиректора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслан Пермяков. Такие «двойники» часто используются для мошеннических действий: клиент уверен, что подтверждает нужную ему финансовую операцию, а в действительности он передает код подтверждения мошенникам, которые от его имени выводят средства с его банковского счета, объяснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Количество устройств с российскими сертификатами необходимо наращивать, согласился с Белевцевым директор РИЦ «Сэйфнэт» Вадим Куракин. Сейчас 70% устройств используют ненадежные сертификаты, часть которых – самоподписанные (бесплатные и не подписанные центром сертификации. – «Ведомости»), а остальные – зарубежные, которые в любой момент могут отозвать, добавил он. Кроме того, они «не несут суверенной защиты», поскольку ключи шифрования известны зарубежным партнерам, которые выпускают эти сертификаты, отметил Куракин.

Руководитель направления «Расследование инцидентов информационной безопасности» FBK Cybersecurity Игорь Собецкий, напротив, считает, что доля в 25–30% устройств кажется внушительной. Процесс замены сертификатов не самый удобный для пользователя, поскольку требует некоторых дополнительных действий со смартфонами или компьютерами, объясняет он. Поскольку Минцифры выпустило сертификаты только в прошлом году, показатель в 25–30% — это уже неплохо, согласен с ним эксперт по информационной безопасности компании Axenix Евгений Качуров. Видимо, некоторые россияне просто не почувствовали необходимости в сертификатах, предположил он.
В реальности устройств, на которые действительно необходимо устанавливать сертификаты безопасности Минцифры, не так много, пояснил Кузнецов. По его словам, в основном это пользовательские устройства, с которых выполняются финансовые операции на крупные суммы или юридически значимые операции. «Доля таких устройств в рунете сравнительно невелика – нет таких угроз, ради устранения которых действительно требовалось бы устанавливать сертификаты на домашний игровой компьютер, умный телевизор или на планшет, который используется для развлечений», – объяснил эксперт. Российские сертификаты ставятся вместе с некоторым ПО, поэтому 30% установивших приходятся преимущественно на корпоративный сектор, например, на бухгалтерию и тендерных специалистов, добавил Мещеряков.

ИСТОЧНИК: https://www.vedomosti.ru/technology/articles/2023/06/16/980929-sertifikati-ispolzuyut-30
#информационныетехнологии #ИТ #IT #информационнаябезопасность #InfoSec #КиберБезопасность

Роскомнадзор расширил перечень иностранных компаний, подлежащих «приземлению»

Роскомнадзор включил 12 иностранных провайдеров хостинга в перечень компаний, подлежащих «приземлению»:

1) Hetzner Online GmbH (hetzner.com);

2) Network Solutions, LLC (networksolutions.com).

3) WPEngine, Inc. (wpengine.com);

4) HostGator.com, LLC (hostgator.com);

5) Ionos Inc. (ionos.com);

6) DreamHost, LLC (dreamhost.com);

7) FastComet, Inc. (fastcomet.com);

8) Amazon Web Services, Inc. (aws.amazon.com);

9) GoDaddy.com LLC (godaddy.com);

10) Bluehost Inc. (bluehost.com);

11) Kamatera Inc. (kamatera.com);

12) DigitalOcean, LLC (digitalocean.com).

Согласно законодательству, иностранные провайдеры хостинга, пользователи которых находятся в том числе на территории Российской Федерации, подпадают под действие Федерального закона № 236-ФЗ «О деятельности иностранных лиц в сети «Интернет» на территории РФ».

Включение в перечень лиц, подлежащих «приземлению», накладывает на иностранных провайдеров хостинга обязательства по открытию на территории России филиала/представительства/российского юридического лица, размещению на своем сайте электронной формы обратной связи с российскими пользователями, регистрации личного кабинета на сайте Роскомнадзора для оперативного взаимодействия с органами власти.

ИСТОЧНИК: https://rkn.gov.ru/news/rsoc/news74723.htm
#информационныетехнологии #ИТ #IT #informationtechnologies

Путин подписал закон о внедрении цифрового рубля.

Совершать операции с цифровым рублем можно будет при помощи специальной системы, оператором которой станет ЦБ. Храниться крипторубли будут в цифровых кошельках.
Президент Владимир Путин подписал закон о внедрении цифрового рубля.

Документ утвердил поправки в Гражданский кодекс, которые относят цифровые рубли к безналичным денежным средствам и закрепляют возможность расчетов ими в России. Оператором платформы цифрового рубля будет Центробанк.

ЦБ определит тарифы на операции с цифровым рублем и сроки, в которые банки обеспечат клиентам возможность проведения таких операций. Предполагается, что для граждан переводы и платежи в цифровых рублях будут бесплатными, а для бизнеса — 0,3% от платежа.
Цифровые рубли можно будет завещать, а наследникам — получать их для расходов на похороны наследодателя. Основные положения закона вступят в силу 1 августа.
Цифровой рубль становится третьей формой национальной валюты в дополнение к наличной и безналичной. Храниться она будет в цифровых кошельках, доступ к ним возможен через мобильные приложения банков и интернет-банки. В отличие от криптовалюты его эмитирует исключительно Банк России.

Многие другие банковские операции и услуги при работе с цифровым рублем будут недоступны. По нему не начисляются проценты на остаток, кешбэк, также нельзя будет оформить кредиты или вклады в цифровых рублях.
ЦБ начал разрабатывать цифровой рубль осенью 2020 года. Законопроект, который вносит изменения в отдельные законодательные акты в связи с его внедрением, был внесен в Госдуму в конце 2022 года, 11 июля нижняя палата приняла его в окончательном чтении.

Председатель ЦБ Эльвира Набиуллина обещала, что никого не будут «насильно загонять» в цифровой рубль, это добровольная, дополнительная возможность для людей. Она допустила, что массовое внедрение третьей формы национальной валюты начнется в 2025 году.

ИСТОЧНИК: https://www.rbc.ru/finances/24/07/2023/64be54ae9a7947c4e5a77651?from=from_main_1
#информационныетехнологии #ИТ #IT #informationtechnologies #космос #space #Наука

РКЦ "Прогресс" представил линейку малых спутников для съемки Земли.

Согласно соответствующим материалам, в нее входят пять перспективных аппаратов.

Ракетно-космический центр "Прогресс" (входит в Роскосмос) представил на саммите Россия - Африка линейку малых космических аппаратов (МКА), предназначенных для дистанционного зондирования Земли, передает корреспондент ТАСС.

Согласно материалам, имеющимся в распоряжении ТАСС, в линейку входят пять перспективных аппаратов - "Аист-2М", "Аист-О", "Аист-ВД", МКА оперативного высокодетального наблюдения и "Аист-РХ". Для всех выполнена проработка на уровне технического предложения.

"Аист-2М" будет предназначен для обзорного наблюдения. Предполагается, что аппарат сможет работать на орбите высотой 400-600 км, будет иметь разрешение в панхроматическом диапазоне 1,2 м, в мультиспектральном - 3,6 м. Одновременно на орбиту может выводиться до четырех таких спутников. "Большинство аппаратуры имеет летную квалификацию, минимальный объем доработок платформы МКС "Аист-2Т", - говорится в материалах.

Разрешение еще одного аппарата для обзорного наблюдения - "Аист-О" - совпадает с "Аистом-2М", однако из-за установки двух комплектов оптико-электронной аппаратуры "Аврора" полоса захвата и производительность будут увеличены в два раза. Согласно материалам, он сможет также оперативно следить за пожарами и осуществлять мониторинг парниковых газов с орбиты. Разрешение спутников "Аист-ВД" в панхроматическом диапазоне составит 0,5 м, в мультиспектральном - 2 м. Их также можно будет выводить по четыре аппарата за один раз.

Бортовая аппаратура МКА оперативного высокодетального наблюдения будет базироваться на технических решениях, принятых в опытно-конструкторской работе по созданию спутников "Ресурс-ПМ" и других изделий предприятия. Разрешение составит 0,4 м в панхроматическом и 1 м в мультиспектральном диапазонах. "Выполнена проработка на уровне аванпроекта по формированию облика перспективной космической системы на базе данного МКА", - говорится в материалах.

Радиолокация



Аппарат "Аист-РХ" для радиолокационного наблюдения будет обладать разрешением 1 м в режиме детальной съемки, 2,9 м - маршрутной съемки и 16 м - обзорной. За один запуск на орбиту смогут отправить до трех таких спутников.

ИСТОЧНИК: https://tass.ru/kosmos/18396849
#информационныетехнологии #ИТ #IT #информационнаябезопасность #разработкапо #ПО #InfoSec #CyberSecurity

Для хранения доверенного софта создадут специальные хранилища

Эксперты оценивают затраты на реализацию проекта в 1–3 млрд рублей.

Для хранения отечественного софта к 2027 г. может быть создана система защищенных репозиториев. Первоначально в нее будет включено около 30% доверенных отечественных решений, а к 2030 г. этот показатель достигнет 80%. Об этом говорится в рабочем документе АНО «Цифровая экономика», составленном по итогам конференции «Э+Данные», которая прошла 11 сентября.
Доверенное программное обеспечение (ДПО) — это ПО, которое разрабатывается в соответствии с концепцией жизненного цикла безопасной разработки, пояснил СМИ директор по стратегии и развитию технологий Axiom JDK Роман Карпов.

Критерии «доверенности» ПО и программно-аппаратных комплексов (ПАК) определяют ФСТЭК и ФСБ. «В широком смысле доверенным можно назвать ПО, которое прошло проверки по безопасности и иной технический аудит в аккредитованных для этих целей организациях, не содержит "закладки", то есть его работе заказчик может доверять», — уточнил СМИ директор департамента разработки ПО компании «Рексофт» Николай Сокорнов.

Согласно презентации АНО «Цифровая экономика», с предложением о создании сети репозиториев выступила подгруппа, возглавляемая вице-президентом «Ростелекома» Борисом Глазковым. Проект предполагает создание «типовых решений распределённой системы защищённых репозиториев ДПО, предназначенных для разработки, тестирования, хранения, распространения, развития и технической поддержки отечественного ПО». Кроме того, инициатива АНО «Цифровая экономика» предусматривает создание системы испытательных полигонов для проверок различных решений на базе ПАК, в том числе доверенных.

Проектом предполагается, что защищённые репозитории обеспечат совместимость отечественного ПО, позволят продлить его жизненный цикл и сократить трудозатраты на создание и доработку ПО. Согласно документам из презентации, ответственным за реализацию проекта будет Минцифры, а сам проект будет осуществляться, в частности, за счёт бюджетного финансирования и грантовой поддержки.
Профильные эксперты оценили, что на создание необходимой IT-инфраструктуры для защищённого репозитория понадобится около 1 млрд рублей инвестиций. А стоимость всей системы с учётом затрат на разработчиков, тестирование, серверы и СХД, ПО для обеспечения безопасности, эксплуатацию и сопровождение до 2027 года может составить около 3 млрд рублей.

По мнению представителей отрасли, репозитории ДПО позволят компаниям и организациям иметь доступ к верифицированному и безопасному ПО, минимизируя риски, связанные с угрозами информационной безопасности. По их мнению, чтобы репозиторий действительно выполнял свои функции, потребуется разработать не только систему хранения исходного кода и дистрибутивов по аналогии с GitHub, но и порядок его сертификации, то есть определить требования, регламентирующие, какое ПО является доверенным, а какое нет. Также система может включать в себя защищённые репозитории, доступные только авторизованным пользователям, механизмы контроля доступа и проверки целостности, отсутствия повреждений или изменений исходного кода, систему автоматические обновления.

ИСТОЧНИК: https://www.vedomosti.ru/technology/articles/2023/10/04/998637-dlya-hraneniya-doverennogo-softa-sozdadut-spetsialnie-hranilischa
#информационныетехнологии #ИТ #IT #информационнаябезопасность #InfoSec #КиберБезопасность #informationtechnologies

Роскомнадзор научился блокировать протокол Shadowsocks, который используется для VPN-сервисов.

Сообщается, что Минтранс направил 381 транспортной компании письмо, в котором говорится, что что Роскомнадзор может блокировать VPN-сервисы через централизованное управление сетью общего пользования. В письме упоминаются 49 протоколов и сервисов, среди которых упоминается и Shadowsocks. Его создали в Китае для обхода блокировок местных операторов. Протокол предлагают блокировать на трансграничных узлах связи. В августе Роскомнадзор уже блокировал VPN-сервисы, которые работают по протоколам OpenVPN и WireGuard.

Также в перечень тех, кого заблокируют, попал и российский сервис ItHelper, который используется для ускорения работы устройств со встроенным VPN. Подписка на ItHelper официально продаётся в сети «М.Видео–Эльдорадо».

Минтранс попросил транспортные организации направить перечень используемых сервисов и протоколов до 15 ноября, чтобы сформировать из них «белый список».

Раньше Роскомнадзор блокировал VPN-сервисы по IP-адресам. Но они могут постоянно меняться, поэтому сервисы могли обходить блокировку. А теперь он будет блокировать сами протоколы, по которым работают VPN-сервисы.

Однако работа Shadowsocks отличается от OpenVPN и WireGuard. Он использует механизм обфускации, с помощью которого имитирует обычное подключение по HTTPS к удаленному серверу. Из-за этого процесс блокировки будет гораздо сложнее и может затронуть другие, вполне легальные сервисы. Подобная история наблюдалась в 2018 году, когда Роскомнадзор безуспешно пытался заблокировать Telegram, но от этого пострадали сервисы российских банков и ритейлеров.

ИСТОЧНИК:
https://kod.ru/vpn-ban-in-russia
#информационныетехнологии #ИТ #IT #informationtechnologies #разработкаПО

Статья найдется: российский аналог «Википедии» заработает в полной версии 15 января.

Завершилось бета-тестирование российского аналога «Википедии» — энциклопедии «Рувики», 15 января ее сайт запустят в полномасштабной версии. Об этом «Известиям» сообщили в компании. Самыми читаемыми статьями во время тестирования стали список умерших в 2023 году, эскалация арабо-израильского конфликта, военные действия на Украине, а также международная выставка-форум «Россия». Ранее депутаты заявляли о необходимости создания отечественного аналога «Википедии», поскольку в ней зачастую публикуется некорректный и ошибочный контент, и только потом этот сайт можно будет заблокировать на территории России.

ИСТОЧНИК: https://iz.ru/1631834/elizaveta-krylova/statia-naidetsia-rossiiskii-analog-vikipedii-zarabotaet-v-polnoi-versii-15-ianvaria
#разработкаПО #informationtechnologies #IT #ИТ #информационныетехнологии

Первый спутник для интернета вещей «Марафон» будет запущен 26 декабря.

Запуск спутника «Марафон» запланирован на 26 декабря 2023 года. Об этом 4 октября сообщила госкорпорация «Роскосмос».

«Новый спутник будет запущен с космодрома Восточный 26 декабря, и его задачи не ограничиваются техническим аспектом. У «Марафона» есть благотворительная миссия — поднять к звездам мечты детей с онкологическими заболеваниями», — говорится в сообщении «Роскосмоса» в Telegram-канале.

Рисунки и детские желания выгравируют на поверхности спутника. Работы детей собирали в больницах Нижнего Новгорода, Тулы, Нижневартовска, Чехова, Санкт-Петербурга, Сыктывкара, Казани, Ярославля, Воронежа, Липецка, Красноярска. Спутник доставит их на высоту 750 км.
Ранее, 7 сентября, «Роскосмос» сообщил, что заключил контракт на изготовление более 130 космических аппаратов для глобальной низкоорбитальной многоспутниковой системы передачи данных «Марафон IoT». Она будет состоять из 264 космических аппаратов, что позволит предоставлять услуги передачи данных на всей территории Земли.

До этого, 23 октября 2022 год, три спутника «Гонец-М» и первый аппарат по программе «Сфера» были выведены на орбиту. За день до этого, 22 октября, состоялся пуск ракеты-носителя «Союз-2.1б» с первым аппаратом группировки «Сфера» и спутниками связи «Гонец-М».

ИСТОЧНИК: https://iz.ru/1583982/2023-10-04/pervyi-sputnik-dlia-interneta-veshchei-marafon-budet-zapushchen-26-dekabria
#ИТ #IT #информационныетехнологии #informationtechnologies #infosec #иб #информационнаябезопасность #кии #по

Российский софт может стать обязательным для объектов критической инфраструктуры

В Государственную Думу РФ 21 марта 2024 года был внесен законопроект, предлагающий поправки к Федеральному закону №187 «О безопасности критической информационной инфраструктуры Российской Федерации». Цель законопроекта - дополнить действующие меры по импортозамещению зарубежного софта, телекоммуникационного оборудования и программно-аппаратных комплексов. Его действие распространяется на все компании, деятельность которых связана с критической информационной инфраструктурой (КИИ). При принятии закон вступит в силу 1 марта 2025 года.

Согласно проекту , правительство сможет определять требования к используемым на объектах КИИ технологиям, в том числе случаи использования программного обеспечения и радиоэлектронной продукции из иностранных государств, сроки перехода субъектов КИИ на российские решения и порядок мониторинга процесса. Государственные органы, включая ФСТЭК и ЦБ для финансовой отрасли, должны сформировать перечни типовых отраслевых объектов КИИ, включая наименования типов информационных систем, используемых компаниями. Данные об IT-системах, задействованных на объектах КИИ, должны предоставлять ФСТЭК сами компании.

За предоставление недостоверной информации субъектами критической инфраструктуры ФСТЭК получит право требовать исправления нарушений в течение 30 дней. В то же время, законопроект не предусматривает дополнительных мер строгости.

Документ разрабатывался Минцифры с 2022 года. В ноябре 2022 года министр Максут Шадаев объяснил необходимость проекта тем, что компании пренебрегают правом самостоятельного категорирования и обходят существующие требования закона об импортозамещении. Проект должен наделить правительство полномочиями определять для каждой отрасли и госкомпаний типовые решения, которые будут отнесены к объектам КИИ, а также устанавливать для них сроки перехода на российский софт.

Сейчас импортозамещение в КИИ регламентируется указом президента от марта 2022 года: госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах КИИ с 1 января 2025 года. В новом документе этот срок смещен на три месяца вперед. В Минцифры уточнили, что для госорганов срок перехода установлен на 1 января 2025 года, а другие категории объектов получат свои сроки импортозамещения.

ИСТОЧНИК: https://www.securitylab.ru/news/546958.php