🔐 КЕЙС CORTEL: Защита от кибератак финансового онлайн-сервиса

2022 год поставил бизнес перед необходимостью укрепления защиты периметра.

Рост интенсивности и сложности кибератак привёл к тому, что базовые средства защиты информации перестали справляться с нагрузкой и привели к сбоям в работе бизнес-критичных сервисов многих отраслей - в том числе, финансового сектора.

С аналогичной проблемой столкнулся заказчик Cortel - финансовый онлайн-сервис, для которого непрерывность - ключевое требование.

О том, как обеспечили:
✅ 100% доступ легитимных пользователей к сайту компании
✅ 0 минут простоя бизнес-критичных сервисов от атак различного уровня за 2022 год

✅ и архитектуре решения -

- рассказали в новом материале. Ознакомиться можно здесь.

#кейсы

❗️Правительство установило приоритет радиоэлектронной продукции на российской электронной компонентной базе

Благодаря введению «двухуровневой» системы ограничений, более глубоко локализованная радиоэлектронная продукция на российской электронной компонентной базе будет иметь приоритет по отношению к прочей радиоэлектронной продукции (российской с иностранной ЭКБ или полностью иностранной технике) при госзакупках.

1️⃣ Первый сегмент – предоставление преференций более глубоко локализованной вычислительной технике, в которой применяется российский центральный процессор.

2️⃣ В иных сегментах радиоэлектронной продукции будут установлены подходы через уровень набранных баллов.

💬«Разграничение продукции на два уровня позволит создать системы дифференцированных мер поддержки радиоэлектронной продукции и содействовать углублению локализации производства на территории Российской Федерации. Цель такой градации мер поддержки – стимулирование производителей активнее задействовать освоенные в России технологические переделы» – прокомментировал замглавы Минпромторга России Василий Шпак.

К первому или второму уровню радиоэлектронной продукции относится та продукция, которая имеет соответствующие сведения в едином реестре российской радиоэлектронной продукции Минпромторга России.

🌐 «Касперский» начал строить «Amazon для ИБ-продуктов»

«Лаборатория Касперского» возобновила развитие проекта по созданию этичной экосистемы онлайн-торговли ИБ-продуктами в России.

Проект связан с французской компанией Nexway, действующей на международном рынке e-commerce.

О вхождении в капитал Nexway «Касперский» сообщил 29 декабря 2020 года. Событие было обозначено как шаг к совместному созданию на международном уровне «максимально безопасной, этичной и открытой экосистемы онлайн-торговли, особо оптимизированной для игроков рынка кибербезопасности».

По данным ЕГРЮЛ, с 17 февраля 2023 года ООО «Нексвей» стало полностью «российским». С указанной даты его единственным учредителем выступает ООО «Группа компаний Касперского», в то время как предыдущие полтора года 95% ее долей числились за «Нексвей сас» (Франция), а 5% — за «Нексвей груп АГ» (Швейцария).

«Лаборатория Касперского» отказалась давать комментарии о конкретных планах по развитию «Нексвей», что вызвало вопросы у участников рынка, так как по итогам 2022 года ООО «Нексвей» показало выручку в 1,2 млн руб. при чистом убытке в 23,8 млн руб.

💰FinOps – новая реальность в управлении затратами на облако

В 2015 году в Netflix обнаружили, что расходы на облако возросли, стали непрозрачными и неуправляемыми.

Позже другие гиганты рынка столкнулись с аналогичной проблемой:
🖥 Автоматизированная тарификация pay-as-you-go перевела финансовое планирование из зоны “таблица в Excel” в мир Big Data.
🖥 Неограниченный доступ к ресурсам и принятие решений о расходах на инфраструктуру практически полностью перешли в руки ИТ-отдела.

Это привело к предсказуемым последствиям – за неограниченные ресурсы пришлось неограниченно платить. К счастью, Netflix нашёл решение и создал новый подход к управлению облачными затратами - FinOps.

В новом материале рассказали:
▶️ Об истории развития и распространения FinOps в мире
▶️ Сценарии использования облаков и внедрение практик FinOps российскими компаниями - от локальных сетей быстрого питания до Сбербанка и «Озона»

- а также рассмотрели доступные сегодня инструменты.

Познакомиться с FinOps можно здесь

#бизнес_ИТ #заметкитехдира #полезное

​​🔴 Дополнение о прекращении применения некоторых СрЗИ
                                           
ФСТЭК России дополнительно информирует о возможности применения в составе аттестованных ОИ отдельных средств активной акустической и вибрационной защиты акустической речевой информации.

❔ Перечень средств защиты информации приводится в информационном сообщении ФСТЭК России от 24.03.2023 г. № 240/21/1313 «О применении отдельных средств активной акустической и вибрационной защиты акустической речевой информации».

⌨️ Создатели Astra Linux выпустили первую собственную СУБД

3 апреля, на основании поручения Минцифры, группа «Астра» зарегистрировала в реестре отечественного ПО собственную СУБД «Astra DB Tantor Platform». При создании нового продукта использовались наработки Tantor Labs.

«Он представляет собой СУБД из состава сертифицированной ФСТЭК по первому уровню доверия ОС Astra Linux Special Edition со встроенными средствами защиты и платформой управления мониторинга и администрирования СУБД Tantor. В следующих релизах программного комплекса запланировано обновление до последних версий ядра СУБД PostgreSQL» — отметил генеральный директор «Тантор лабс» Вадим Яценко

Напомним, на данный реестр госструктуры и отчасти компании с госучастием обязаны ориентироваться при проведении тематических закупок. Таким образом, включение любой программы в курируемый властями список существенно расширяет для нее круг потенциальных пользователей.

✏️ Владимир Путин подписал указ о порядке развития ГИС на базе «ГосТеха»

Президент РФ Владимир Путин подписал указ, определяющий порядок создания и развития государственных информационных систем с использованием платформы «ГосТех». 

Создание, развитие и эксплуатация государственных информационных систем, с учетом особенностей, прописанных в документе, будет осуществляться с помощью «ГосТеха»: 

⏺с 1 апреля 2023 для федеральных государственных систем;
⏺с 1 января 2024 года для региональных информационных систем.

👨‍💻 Подборка инструментов удаленного подключения

1️⃣ Xshell
Программное обеспечение для эмуляции защищенного терминала, которое поддерживает SSH1, SSH2 и протокол TELNET платформы Windows. Инструмент можно использовать в интерфейсе Windows для доступа к удаленным серверам.

2️⃣ SecureCRT
ПО для эмуляции защищенного терминала, которое может помочь пользователям более безопасно подключаться к удаленным серверам, осуществлять управление сервером и передавать данные. Поддерживает протоколы SSH1, SSH2, Telnet, Rlogin, Serial и SSL/TLS.

3️⃣ WinSCP
Графический клиент SFTP с открытым исходным кодом, который использует SSH в среде Windows. Поддерживает протокол SCP. Основная функция - безопасное копирование и передача файлов между локальным и удаленным компьютерами.

4️⃣ PuTTY
Легкий клиент SSH и Telnet, который может помочь пользователям подключиться к удаленным серверам, поддерживает протокол шифрования аутентификации SSH-2 и протокол SSH на Windows.

5️⃣ MobaXterm
Автоматически открывает режим sftp после входа в систему. Возможности:
🔵 удаленные сетевые инструменты - SSH, X11, RDP, VNC, FTP, MOSH и т.д.
🔵 команды Unix на рабочем столе Windows - bash, ls, cat, sed, grep, awk, rsync и т.д.

6️⃣ Tabby
Инструмент терминального подключения с открытым исходным кодом. Поддерживает Windows, MacOS и Linux.

7️⃣ ZOC Terminal
ПО для эмуляции терминала для Windows и macOS. Поддерживает SSH , Telnet , Rlogin и т.д.

#полезное

🗂 Первый стабильный выпуск FerretDB, реализации MongoDB на базе СУБД PostgreSQL

Опубликован выпуск проекта FerretDB 1.0, позволяющего заменить документо-ориентированную СУБД MongoDB на PostgreSQL без внесения изменений в код приложений.

FerretDB реализован как прокси-сервер, транслирующий обращения к MongoDB в SQL-запросы к PostgreSQL, что позволяет использовать PostgreSQL в качестве фактического хранилища. Версия 1.0 отмечена как первый стабильный выпуск, готовый для повсеместного использования. Код написан на языке Go и распространяется под лицензией Apache 2.0.

Необходимость внедрения FerretDB может возникнуть в связи с переходом MongoDB на несвободную лицензию SSPL, которая основана на лицензии AGPLv3, но не является открытой, так как содержит дискриминирующее требование поставки под лицензией SSPL не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса.

🔐 Tor и Mullvad VPN подготовили браузер, целиком построенный на VPN

Mullvad Browser призван предотвратить любое отслеживание действий в интернете и обеспечить защиту конфиденциальности пользователя. Технически Mullvad Browser включает почти все изменения из Tor Browser, отличаясь главным образом тем, что не использует сеть Tor и отправляет запросы напрямую.

Mullvad Browser не привязан к Mullvad VPN и может использоваться всеми желающими. Попробовать можно здесь.

📍Low-code платформа для создания ERP из Индии

Представители ИТ-отрасли Индии выводят на российский рынок платформу для создания ERP, которую планируется включить в реестр отечественного ПО.

По заявлениям разработчиков, платформе Axpert 15 лет, и порядка 5 тыс. разработчиков по всему миру создают на ней приложения. Axpert имеет многоуровневую микросервисную архитектуру, базируется на Rest API, поэтому может быть интегрирована с любыми системами. Поскольку используется open source, возможна компиляция решений на любых ОС.

Технический директор NanoX считает, что существующие российские low-code платформы больше подходят для сегмента СМБ, а Axpert предназначена для создания приложений для крупного корпоративного бизнеса и госсектора.

Axpert может использоваться для следующих задач:

▪️создание собственного ERP-решения или расширение ERP-системы;
▪️разработка пользовательского ПО;
▪️модернизация цепочек поставок, циклов доходов, взаимодействия между сотрудниками.
▪️ERP-системы могут применяться в различных сферах - от госуправления и обороны до сельского хозяйства

Стороны рассчитывают, что стратегического партнёрства между Россией и Индией позволит обеим странам занять место среди технологических лидеров стран БРИКС в Новом Технологическом укладе.

«Нашему ПО пока тяжело конкурировать там, где у других есть огромный рынок и возможности. Однако индийские партнёры осознают все риски, связанные с технологической зависимостью и отсутствием возможности защитить свои ИТ-системы, поэтому готовы применять российские решения, обеспечивающие безопасность и суверенитет» — отметил Валентин Макаров, президент НП «РУССОФТ».

🧭 Всё о разработке ИТ-стратегии

События последних двух лет вынудили большинство компаний скорректировать стратегию развития и уделить особое внимание ИТ.

Практика показала, насколько сложной бывает разработка и согласование плана ИТ стратегии с бизнес-целями. Порою стратегия квартал проходит все этапы согласования, а через полгода от неё отказываются.

❔ Даже определение ответственного лица может вызвать массу вопросов - к примеру, результатом ИТ-стратегии, составленной командами "снизу вверх", стал хаос – приоритетов было в пять раз больше, чем команд, а задачи были направлены в противоположные стороны.

Поэтому следующую серию материалов мы посвятим ключевым аспектам в разработке ИТ-стратегии: всё об ИТ-аудите, построении целевой архитектуры, а также конкретным примерам её реализации.

Сегодня обсуждаем:
🔵 Принципы и этапы построения ИТ-стратегии
🔵 Выбор ответственного лица
🔵 Задачи развития ИТ
🔵 Согласование целей ИТ и бизнеса

- в новом материале. Ознакомиться можно здесь.

#бизнес_ИТ #полезное

🔆 Квантовый компьютер с облачным доступом

В России впервые открыли удаленный доступ к отечественному квантовому компьютеру. Продемонстрирован облачный интерфейс для взаимодействия с созданным процессором и выполнен запуск квантовых алгоритмов, точность которых достигла 90%. Теперь команда ученых работает над тестированием вариационных алгоритмов, которые могут быть использованы для прикладных задач из области химии, оптимизации и машинного обучения.

В частности, это моделирование поведения сложных молекул для разработки новых лекарств и материалов, решение сложных логистических задач, работа с большими данными и т.д.

«Разработанный в рамках проекта ЛИЦ программно-аппаратный комплекс уникален для России — это единственный процессор с настроенным облачным интерфейсом, который способен оперировать кудитным регистром» — отметил генеральный директор фонда НТИ Вадим Медведев.

🇨🇳 В 12 раз вырос спрос на китайские ИБ-решения

В связи с уходом крупнейших зарубежных поставщиков – Cisco, Checkpoint и Fortinet – в России кратно вырос спрос на китайские решения в области информационной безопасности. В первую очередь это коснулось межсетевых экранов.

Согласно опросу «К2Тех», в марте 2023 года 60% компаний из ключевых отраслей экономики готовы внедрить китайские СЗИ по сравнению с 5% в прошлом году. Также:
🔴 70% заинтересованы в межсетевых экранах
🔴 47% – в системах предотвращения вторжений
🔴 16% – в сканерах безопасности

По мнению «К2Тех», интерес компаний к китайским ИБ-решениям обусловлен функциональностью, схожей с западными продуктами, в то время как российские производители либо только дорабатывают свои решения, либо вовсе не имеют аналогов зарубежным.

«Несмотря на рост популярности, для укрепления позиций на рынке производителям из Китая необходимо пройти сертификацию регулятора. Помимо этого, есть ряд других технических и организационных сложностей» – прокомментировал директор портфеля сетевых решений «РТК-Солар» Александр Баринов.

#инфобез #импортозамещение

🖥 Сетевая операционная система DentOS 3.0

Опубликована DentOS 3.0:
▪️Основана на ядре Linux
▪️Предназначена для оснащения коммутаторов, маршрутизаторов и специализированного сетевого оборудования
▪️Код написан на языке Си
▪️Распространяется под свободной лицензией Eclipse Public License

Проект был создан Amazon для оснащения сетевого оборудования в своей инфраструктуре, но затем перешёл под начало организации Linux Foundation. В числе ключевых участников проекта - Delta Electronics, Marvel, NVIDIA, Edgecore Networks и Wistron NeWeb.

🚀 GitHub обновила списки задач и таблицы проектов в репозиториях

Теперь пользователи могут редактировать несколько ячеек одновременно и быстрее работать с чек-листами.

Доступны горячие клавиши:
🔵скопировать значение 
🟢выбрать близлежащие ячейки
🟢выбрать несоседние ячейки 
🟢вставить значение

Задачи в списках теперь можно перетаскивать мышью, что, по словам разработчиков GitHub, ускорит редактирование в несколько раз. Кроме этого:

⚫️ добавили диалоговое окно подтверждения при выборе опции «Удалить список задач»;

⚫️ исправили ошибку с отображением длинных заголовков;

⚫️ иногда задачи после завершения возвращались в прежнее состояние, теперь эту ошибку исправили;

⚫️ данные о завершении в столбце Tracks теперь не зависают в состоянии загрузки.

⚠️👁👁👁ФЗ-152: как выполнить требования к уровню защищённости ИСПДн

К 1 июля 2023 года должен быть исполнен перечень поручений Президента РФ об установлении оборотных штрафов от 1 до 3% и введении персональной ответственности за утечки персональных данных.

Чтобы не попасть под действие санкций, российским организациям важно уделить особое внимание защите ПДн в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных».

✅ Один из обязательных пунктов - реализация комплекса организационных и технологических мер по защите ИСПДн. Для этого регуляторами определены требования к уровням защищённости.

Разбираемся, о каких уровнях идёт речь, а также как определить и осуществить требования к УЗ для конкретных категорий ПДн

- в новом материале. Ознакомиться можно здесь.

#персданные #полезное

⌨️ Фанатам механики

​🔨 ФСТЭК России: отмена административных регламентов

ФСТЭК России планирует отменить свои административные регламенты по контролю за соблюдением лицензионных требований при осуществлении деятельности:

🔵 по технической защите конфиденциальной информации;

🔵 по разработке и производству средств защиты конфиденциальной информации.

🇷🇺 Российские операционные системы 2023

Западные вендоры прекратили поддержку российских компаний. Те, в свою очередь, предприняли массовую миграцию на российские разработки.

Чтобы оценить возможности и характеристики представленных на рынке решений, CNews подготовили рейтинг российских ОС 2023:

1 место – ООО «Базальт СПО», ОС Альт
2 место – ООО «РусБИТех-Астра», ОС Astra Linux
3 место – НТЦ ИТ РОСА, ОС РОСА
4 место – АО «НППКТ», ОС ОСнова
5 место – ООО «АТЛАНТ», ОС Атлант
6 место – ООО «РЕД СОФТ», РЕД ОС

В рейтинге принята балльная система по ряду критериев:
⚫️ Наличие версий для различных типов устройств – ПК, мобильных устройств, серверов и тонких клиентов

⚫️ Наличие версий для различных типов заказчиков:
– домашняя
– корпоративная
– для государственных учреждений
– для образовательных учреждений

⚫️ Наличие версий для различных типов архитектур процессоров

⚫️ Системные требования – к процессору, оперативной памяти и дисковым накопителям

⚫️ Наличие сертификатов безопасности – вхождение в реестр отечественного ПО, сертификаты ФСТЭК, ФСБ и Минобороны

⚫️ Тестовый период и его ограничения

⚫️ Стоимость

#импортозамещение

👮‍♀️ Минцифры прописало правила хранения информации в технологических сетях

При­мене­ние пра­вил хра­нения ин­фор­ма­ции в тех­но­логи­чес­ких се­тях пов­ле­чет для круп­ных кор­по­раций до­пол­ни­тель­ные рас­хо­ды. С 1 сен­тяб­ря 2023 года вла­дель­цы тех­но­логи­чес­ких се­тей свя­зи бу­дут обя­заны хра­нить дан­ные клиен­тов в те­чение трех лет.

Минцифры разработало правила, в которых подробно указало, какую информацию должны хранить собственники или иные владельцы технологических сетей связи: 
📍 информация о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео или иных электронных сообщений пользователей; 
📍 информация о взаимодействии пользователей информационных систем, включая действия пользователей с указанием точного времени; 
📍 информация о пользователях информационной системы, включая сведения о пользователе;
📍 иная информация, необходимая уполномоченным органам для выполнения возложенных на них задач в случаях, установленных федеральными законами.

Компании должны будут подготовить системы хранения данных к 1 сентября 2023 года – с этой даты постановление вступает в силу.

"Конечно, придется вложиться финансово, даже если таковые системы уже есть. Хранить информацию придется в любом случае, даже если владельцы технологических сетей связи каким-то образом смогут отказаться от автономного номера. Иначе могут возникнуть проблемы" – прокомментировал генеральный директор ООО "ОрдерКом" Дмитрий Галушко.

"Если смотреть с точки зрения годового бюджета корпорации, то подобные расходы, там, очевидно, не предусмотрены. Следовательно, платить будут из прибыли, уменьшая дивиденды и ухудшая финансовую картину. Поэтому финансово компании вряд ли будут готовы к 1 сентября. Четыре месяца для крупной корпорации с ее неповоротливыми процессами, конечно, критически сжатый срок" – считает член комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков.