🧠 Цифровая трансформация: путь джедая

Выбор между «внедрить новое» и «оставить, как есть» непрост.

Как это проходит у крупных компаний и как пройти путь изменений (почти) безболезненно – в новой статье.

#бизнес_ИТ #полезное

🔐 В России появится первая мультивендорная площадка, представляющая интересы отрасли кибербезопасности

В Москве появится проект «Кибердом», цели которого:
💬 централизованная помощь российскому бизнесу в создании результативных систем безопасности;
💬 повышение уровня киберграмотности;
💬 продвижение российских технологий в области кибербезопасности за рубежом;
💬 решение общих для отрасли задач;
💬 привлечение молодых кадров в индустрию.

«Это первая «вневендорная» индустриальная площадка, которая строится на деньги частных инвесторов из разных отраслей бизнеса и один из первых примеров инвестиционной привлекательности кибербеза как отрасли в целом. В проекте нет и не планируется компаний ИБ-вендоров, чтобы сохранить представленность всей индустрии для построения кибербез-хаба федерального уровня, первый из которых откроется в Москве осенью этого года» — сказал генеральный директор проекта Сергей Калмыков.

Объем инвестиций в проект составил 1,6 млрд руб. ​​По словам представителей, компании смогут проводить пилотное тестирование своих новейших разработок, интегрировав их в инфраструктуру «Кибердома». Это позволит получить результаты тестирования новых продуктов как с точки зрения безопасности, так и пользовательского опыта в целом.

✅ «Яндекс», ГК «Ланит» и тайваньская Gigabyte запустят производство техники в Рязани

«Яндекс», ГК «Ланит» и Gigabyte завершили строительство завода по выпуску вычислительной техники на базе существующих зарубежных процессоров, а также в рамках возможностей российских разработок. 

По словам представителей, на заводе выполняются все технические операции - от поверхностного монтажа компонентов серверов и другого оборудования - до испытаний готовой продукции. Мощность завода составляет до 60 тыс. готовых серверов в год. Речь идёт, в том числе, о линейке серверов OpenYard, которую «Яндекс» представил в апреле.

В «Яндексе» уточнили, что производство на заводе ещё не запущено полностью, а компания «никогда не являлась контролирующим лицом СП OpenYard». По данным «СПАРК-Интерфакс», товарный знак OpenYard принадлежит ООО «Центр открытых разработок», которое на 50% принадлежит ООО «Яндекс» и ещё на 50% — ООО «Ланит Венчурс».

До этого момента подобное оборудование использовалось только в дата-центрах «Яндекса». Теперь в компании рассчитывают внести оборудование в реестр Минпромторга, чтобы получить доступ к госзакупкам и составить конкуренцию российским производителям серверов.

🔵 «Поваренная книга по администрированию Active Directory» (Active Directory Administration Cookbook: Proven solutions to everyday identity and authentication challenges - Sander Berkouwer).

Книга предлагает проверенные решения повседневных проблем с идентификацией и аутентификацией Active Directory как в локальной среде, так и в облаке.

Будет полезна для администраторов доменной службы Active Directory, а также для клиентов Azure AD, которые ищут рекомендации по оптимизации задач.

✅ Подборку книг, посвящённых управлению ИТ, разместили здесь.

#полезное

🌐 KubeStalk

Инструмент для обнаружения Kubernetes и связанной инфраструктуры с помощью сканирования списка IP-адресов.

#полезное

⚖️ ФГУП "Главный радиочастотный центр" оштрафован на 30 тыс рублей за утечку персданных

Московский суд назначил штраф в размере 30 тыс. рублей подведомственному Роскомнадзору ФГУП "Главному радиочастотному центру" за утечку ПДн сотрудников.

Судья счел, что ФГУП не обеспечило конфиденциальность персональных данных сотрудников и не исключило неправомерный доступ третьих лиц к базе данных, содержащих персональные данные работников организации.

Речь идёт об утечке, произошедшей в 18 ноября 2022 года. Хакеры взломали внутреннюю компьютерную сеть ГРЧЦ, получили доступ к документам, переписке и почтовым ящикам сотрудников ведомства, зашифровали и заблокировали работу части рабочих станций, а также нанесли урон серверным системам.

#утечки

🔍 Насколько вы анонимны в интернете?

С помощью функции «Проверка анонимности» сервиса Ipper можно проверить степень анонимности в сети.

Если процент будем низким, то вы скрыты хорошо, если же высоким, то сервис даст советы по повышению конфиденциальности.

#полезное

🔒 Утечка закрытых ключей Intel

В ходе кибератаки на MSI злоумышленникам удалось извлечь более 500 ГБ внутренних данных компании, содержащих среди прочего исходные тексты прошивок и инструментов для сборки.

Злоумышленники потребовали 4 млн долларов за неразглашение, но компания MSI отказалась. В итоге некоторые данные опубликовали в сеть.

В числе опубликованных данных оказались передаваемые OEM-производителям закрытые ключи компании Intel, которые применялись для заверения выпускаемых прошивок и обеспечения защищённой загрузки при помощи технологии Intel Boot Guard.

Ключи заверения прошивок затрагивают как минимум 57 продуктов MSI, а ключи Boot Guard - 166 продуктов MSI.

Предполагается, что ключи для Boot Guard могут применяться для:
🔵компрометации продуктов MSI;
🔵атак на производителей, использующих 11, 12 и 13 поколения процессоров Intel;
🔵атак на другие механизмы верификации, использующие контроллер Intel CSME, такие как OEM unlock, ISH.

#утечки

🇷🇺 Импортозамещение TCP/IP: подробности RUSTP/UDTP

Всё, что было известно о российском TCP/IP до сегодняшнего дня:

- протокол предназначен для движущихся объектов - беспилотников и спутниковой связи;
- в условиях 1% потерь TCP показал восстановление за 360 секунд, а новый протокол менее чем за 6 секунд.

Авторы технологии выпустили обзор, в котором, по словам участников рынка, присутствуют не только орфографические и терминологические ошибки, но и "мешанина с самых разных уровней — от сишных структур до реплик. Троллинг это или нет - судите сами".

🖥 Ноутбуки в России подешевеют на 15% к лету

К лету ноутбуки в РФ могут подешеветь — импортирующие в РФ структуры снизили отпускные цены на 5–30% в зависимости от модели и конфигурации.

Причина - переизбыток техники и комплектующих на рынке и снижение спроса в развитых странах. При этом продукцию необходимо сбывать — ведь уже в этом году изготовители комплектующих представят более новую и функциональную начинку, и старые гаджеты станут менее актуальными.

Даже при снижении цен, складские запасы будут повышенными до середины года или даже до III квартала, считают аналитики IDC.

⌨️ Кажется, подходящий момент купить ноутбук будет уже в июне.

🔐 Тестирование безопасности: фаззинг API

GitLab запустил серию статей "Building GitLab with GitLab". И тема первой - фаззинг API.

Будет полезно тем, кто интересуется и работает в области DevSecOps.

#полезное

🔵 Биометрические ПДн: штрафы вырастут в 3 раза

На рас­смот­ре­ние Госдумы РФ внесли за­коноп­роект об ад­ми­нис­тра­тив­ной от­ветс­твен­нос­ти за на­руше­ние тре­бова­ний к хра­нению и об­ра­бот­ке био­мет­ри­чес­ких пер­со­наль­ных дан­ных.

Проект закона предполагает внесение поправок в Гражданский кодекс РФ и устанавливает размер штрафов за нарушения, связанные с биометрическими данными. В случае принятия законопроекта штрафы составят:
🔵 от 6000 руб. до 10 тыс. рублей для граждан;
🔵 от 100 тыс. до 300 тыс. руб. для должностных лиц;
🔵 от 300 тыс. до 700 тыс. руб. для юридических лиц.

За повторное нарушение максимальный штраф:
🟢 500 тыс. рублей для должностных лиц
🟢 1 млн руб. для ИП
🟢 1,5 млн руб. для юридических лиц.

В ходе обсуждения законопроекта Вячеслав Володин отметил, что речь идет не о сборе биометрических данных, а о "запрете своевольно это делать, что повсеместно происходит - банки, коммерческие структуры, магазины - кто хочет берет и использует то, что принадлежит только человеку".

"Следующим шагом станет введение уголовной и административной ответственности за принудительный сбор и утечку биометрических данных" - отметил Володин.

"Из-за особенностей юридической техники получилось, что повышенный штраф теперь применим не только к нарушениям правил обработки биометрии, но и общим случаям обработки без письменного согласия" - отметил ответственный за организацию обработки ПДн Moscow Digital School Олег Блинов, обратив внимание, что размер штрафа увеличился примерно в три раза. Сейчас штраф за обработку ПДн без письменного согласия составляет 150 тыс. рублей.

🗣 Подробнее об ответственности в сфере защиты персональных данных тут.

🗣 О законодательных инициативах в отношении ПДн - здесь.

#полезное #персданные

👮‍♀️ Минцифры рассматривает законопроект о защите госорганов в отношении доменных имен

Минцифры рассматривает законопроект, направленный на защиту интересов органов государственной власти РФ в отношении имен в национальных доменах верхнего уровня.

Андрей Воробьев, директор Координационного центра доменов .RU/.РФ отметил, что, возможно, также обязанность контроля за регистрацией и поддержкой сведений о доменах, принадлежащих органам власти различных уровней, госорганизациям и их структурным подразделениям, будет возложена на специализированного регистратора, создать который предлагает Минцифры.

"До принятия этого закона органы государственной власти находятся в равном положении с другими участниками доменного рынка и в случае незаконного использования доменного имени могут оспорить его через суд" - добавил он.

Ранее Минобрнауки сообщило, что в интернете и социальных сетях начали появляться фейковые страницы и аккаунты министерства.

🔵 Процессоры «Эльбрус» и «Байкал» подорожали вдвое

Российские процессоры от МЦСТ и «Байкал Электроникс» подорожали вдвое с начала 2023 года. Отечественные чипы BE-T1000 в ритейлере «Чип и Дип» подорожали на 55%, до 8,9 тыс. руб. за штуку. Участники рынка предполагают, что рост цен связан с повышенным спросом со стороны отечественных производителей ПК, серверов и систем хранения данных.

Повышение стоимости чипов также связывают с переносом производств на новые зарубежные фабрики. Вслед за отечественными чипмейкерами, цены на свой продукт поднимают и производители электроники, в том числе увеличивая закупки иностранных компонентов.

Рост цен на процессоры наблюдается не только в рознице. Генеральный директор «Промобит» Максим Копосов сообщил, что повышение стоимости затронуло все линейки чипов «Байкал Электроникс» и МЦСТ. «Это связано с повышением спроса и ограниченностью предложения: все больше компаний анонсируют продукцию на российских процессорах» - отметил он.

В апреле стало известно, что требования к включению программ в реестр отечественного ПО могут быть ужесточены: предлагалось обязать разработчиков прикладного ПО поддерживать минимум две отечественные ОС и две процессорные архитектуры, а разработчиков ОС – обеспечить совместимость с процессорами «Эльбрус» и «Байкал».

🔐 Push-защита от GitHub доступна всем разработчикам

Push-защита GitHub, предотвращающая утечки секретов, стала доступна всем разработчикам. Ранее функцией могли воспользоваться только клиенты с лицензией GHAS (GitHub Advanced Security).

В блоге компании рассказали, что функция push-защиты показала высокую эффективность:
🔵 помогла предотвратить более 17 тыс. потенциальных утечек секретов;
🔵 сэкономила более 95 тыс. часов на поиске секретов в коде.

Push-защита сканирует код и выявляет строки, которые могут содержать чувствительные данные. Если разработчик отправляет для фиксации код с секретом, то система предупредит об этом, предоставив информацию о типе секрета, его местоположении и даст пошаговые советы для исправления. Защиту можно обойти, указав причину, по которой чувствительные данные должны оказаться в общем доступе.

Администраторы организаций могут отслеживать все факты обхода защиты и видеть причины отказа от исправления ошибок. Это должно помочь минимизировать намеренную публикацию чувствительных данных.

📍 Включить защиту можно в настройках организации, перейдя в раздел «Безопасность и анализ кода». Оповещения системы доступны в интерфейсе IDE или в терминале.

⚖️ Каждая десятая ИТ-компания может лишиться аккредитации – Максут Шадаев

Глава Минцифры Максут Шадаев рассказал о подробностях процедуры подтверждения аккредитации для ИТ-компаний, претендующих на сохранение льгот.

«На текущий момент у нас 22 247 аккредитованных ИТ-компаний. Мы заинтересованы в том, чтобы как можно больше из этих компаний смогли пройти процедуру подтверждения аккредитации. Что нас волнует - согласие на раскрытие налоговых данных. На текущий момент около 2 тыс. компаний не подали в налоговую согласие и будут автоматически лишены аккредитации, если согласие мы не получим» – заявил Шадаев.

ИТ-компаниям, которые не соответствуют среднему уровню зарплаты, Минцифры порекомендовало выплатить премии.

«Значимое количество компаний не соответствует среднему уровню зарплаты, необходимому для аккредитации. У многих это несоответствие крайне незначительное — до 10%. Можно сделать дополнительные выплаты для сотрудников, чтобы поправить эту незначительную разницу и направить в налоговую уточнённые расчёты страховых взносов» — предложил Шадаев.

Подать заявку необходимо до конца дня 1 июня. До 1 июля будет идти проверка, до 20 июля – время для принятия финального решения. По завершению процедуры компании получат соответствующее уведомление о результате – подтверждении или прекращении аккредитации.

О том, как подать заявку, рассказывали здесь.