👮‍♀️ Минцифры рассматривает законопроект о защите госорганов в отношении доменных имен

Минцифры рассматривает законопроект, направленный на защиту интересов органов государственной власти РФ в отношении имен в национальных доменах верхнего уровня.

Андрей Воробьев, директор Координационного центра доменов .RU/.РФ отметил, что, возможно, также обязанность контроля за регистрацией и поддержкой сведений о доменах, принадлежащих органам власти различных уровней, госорганизациям и их структурным подразделениям, будет возложена на специализированного регистратора, создать который предлагает Минцифры.

"До принятия этого закона органы государственной власти находятся в равном положении с другими участниками доменного рынка и в случае незаконного использования доменного имени могут оспорить его через суд" - добавил он.

Ранее Минобрнауки сообщило, что в интернете и социальных сетях начали появляться фейковые страницы и аккаунты министерства.

🔵 Процессоры «Эльбрус» и «Байкал» подорожали вдвое

Российские процессоры от МЦСТ и «Байкал Электроникс» подорожали вдвое с начала 2023 года. Отечественные чипы BE-T1000 в ритейлере «Чип и Дип» подорожали на 55%, до 8,9 тыс. руб. за штуку. Участники рынка предполагают, что рост цен связан с повышенным спросом со стороны отечественных производителей ПК, серверов и систем хранения данных.

Повышение стоимости чипов также связывают с переносом производств на новые зарубежные фабрики. Вслед за отечественными чипмейкерами, цены на свой продукт поднимают и производители электроники, в том числе увеличивая закупки иностранных компонентов.

Рост цен на процессоры наблюдается не только в рознице. Генеральный директор «Промобит» Максим Копосов сообщил, что повышение стоимости затронуло все линейки чипов «Байкал Электроникс» и МЦСТ. «Это связано с повышением спроса и ограниченностью предложения: все больше компаний анонсируют продукцию на российских процессорах» - отметил он.

В апреле стало известно, что требования к включению программ в реестр отечественного ПО могут быть ужесточены: предлагалось обязать разработчиков прикладного ПО поддерживать минимум две отечественные ОС и две процессорные архитектуры, а разработчиков ОС – обеспечить совместимость с процессорами «Эльбрус» и «Байкал».

🔐 Push-защита от GitHub доступна всем разработчикам

Push-защита GitHub, предотвращающая утечки секретов, стала доступна всем разработчикам. Ранее функцией могли воспользоваться только клиенты с лицензией GHAS (GitHub Advanced Security).

В блоге компании рассказали, что функция push-защиты показала высокую эффективность:
🔵 помогла предотвратить более 17 тыс. потенциальных утечек секретов;
🔵 сэкономила более 95 тыс. часов на поиске секретов в коде.

Push-защита сканирует код и выявляет строки, которые могут содержать чувствительные данные. Если разработчик отправляет для фиксации код с секретом, то система предупредит об этом, предоставив информацию о типе секрета, его местоположении и даст пошаговые советы для исправления. Защиту можно обойти, указав причину, по которой чувствительные данные должны оказаться в общем доступе.

Администраторы организаций могут отслеживать все факты обхода защиты и видеть причины отказа от исправления ошибок. Это должно помочь минимизировать намеренную публикацию чувствительных данных.

📍 Включить защиту можно в настройках организации, перейдя в раздел «Безопасность и анализ кода». Оповещения системы доступны в интерфейсе IDE или в терминале.

⚖️ Каждая десятая ИТ-компания может лишиться аккредитации – Максут Шадаев

Глава Минцифры Максут Шадаев рассказал о подробностях процедуры подтверждения аккредитации для ИТ-компаний, претендующих на сохранение льгот.

«На текущий момент у нас 22 247 аккредитованных ИТ-компаний. Мы заинтересованы в том, чтобы как можно больше из этих компаний смогли пройти процедуру подтверждения аккредитации. Что нас волнует - согласие на раскрытие налоговых данных. На текущий момент около 2 тыс. компаний не подали в налоговую согласие и будут автоматически лишены аккредитации, если согласие мы не получим» – заявил Шадаев.

ИТ-компаниям, которые не соответствуют среднему уровню зарплаты, Минцифры порекомендовало выплатить премии.

«Значимое количество компаний не соответствует среднему уровню зарплаты, необходимому для аккредитации. У многих это несоответствие крайне незначительное — до 10%. Можно сделать дополнительные выплаты для сотрудников, чтобы поправить эту незначительную разницу и направить в налоговую уточнённые расчёты страховых взносов» — предложил Шадаев.

Подать заявку необходимо до конца дня 1 июня. До 1 июля будет идти проверка, до 20 июля – время для принятия финального решения. По завершению процедуры компании получат соответствующее уведомление о результате – подтверждении или прекращении аккредитации.

О том, как подать заявку, рассказывали здесь.

🖥 Цифровая маркировка электроники: производители против

Ассоциация российских разработчиков и производителей электроники попросила Правительство пересмотреть планы по вводу отраслевого сбора и распространению требований по цифровой маркировке на широкую номенклатуру радиоэлектроники.

Производители и разработчики опасаются, что:
🗣 эксперимент приведет к обязательному требованию маркировать всю радиоэлектронику;

🗣 маркировка приведет к значительным издержкам для всех компаний отрасли;

🗣 инициатива создаст риски утечек информации о поставщиках, а это повлияет на сроки поставки и приведет к срывам планов по выпуску радиоэлектронной продукции. «Данные точно утекут. Мы все и так ищем любые пути поставки электроники, часто очень хитрые. А в этом случае мы сами себе планируем выстрелить в ногу путем увеличения прослеживаемости» - уверен представитель рынка.

Представители Минцифры сообщили, что проект постановления отправлен в Правительство и пока решения властей по нему не поступало.

✅ Программы льготного кредитования ИТ-проектов стали доступнее

ИТ-компании смогут рассчитывать на получение льготных кредитов по ставке до 3% годовых для реализации проектов цифровой трансформации. Правительство смягчило условия получения кредитов Постановлением от 6 мая 2023 года №707.

В числе изменений:
🔵 на кредиты со ставкой до 3% годовых смогут претендовать аккредитованные ИТ-компании, которые не пользуются налоговыми льготами;
🔵 компании смогут возмещать расходы, понесённые ранее. Максимальный срок — 180 дней до заключения договора;
🔵 отменено обязательство по индексации заработной платы сотрудникам;
🔵 разрешена выплата премий сотрудникам за счёт средств льготного кредита;
🔵 зарегистрировать разрабатываемое ПО нужно не позднее шести месяцев после завершения проекта.

Общий кредитный портфель составляет 76,9 млрд руб. На рассмотрении банков находятся проекты на общую сумму более 20 млрд руб.

#льготы_ит

🖌 19,5 тыс. VPN-роутеров Cisco угрожает критическая уязвимость

Cisco предупредила о двух уязвимостях, комбинация которых позволяет запускать на VPN-роутерах (Cisco RV016, RV042, RV042G и RV082) произвольный код без авторизации.

1 уязвимость
Прошивки роутеров подвержены критической уязвимости CVE-2023-20025, связанной с некорректной валидацией входящих HTTP-пакетов. У злоумышленников появляется возможность, направив к веб-интерфейсу роутера специально подготовленный HTTP-запрос, обойти процедуры авторизации и получить root-доступ к операционной системе роутера.

2 уязвимость
Все те же устройства подвержены менее опасной уязвимости с индексом CVE-2023-20026. Она также связана с некорректной валидацией входящих HTTP-вызовов, но позволяет запускать произвольный код удаленно - при условии, что у потенциального злоумышленника есть административный доступ к контрольной панели.

Комбинация из двух уязвимостей позволяет запускать произвольный код без авторизации, вернее, в обход таковой.

Cisco не планирует выпускать обновления, которые бы устранили проблему. Единственное, что могут сделать системные администраторы - перекрыть возможность удаленного доступа к контрольной панели устройств и заблокировать порты 443 и 60433.

🔐 Количество утечек данных в крупных российских компаниях выросло в 1,5 раза

По данным F.A.C.C.T., за первые четыре месяца 2023 года произошло 75 утечек из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с аналогичным периодом прошлого года, когда зафиксировали 49 утечек.

В числе крупнейших похищений информации в 2023 году оказались двойная утечка данных бонусной программы «Сберспасибо» (суммарно 52,5 млн записей), сети магазинов «Спортмастер» (46 млн записей) и интернет-аптеки zdravcity.ru (8,9 млн записей).

По мнению участников рынка, в число причин входят:
❔ прекращение доступа к обновлениям для части зарубежного ПО, что провоцирует большой объём новых уязвимостей и эксплойтов;
❔ утечки, случавшиеся ранее, позволили хакерам лучше понять профиль и интересы пользователя, что повышает вероятность успеха фишинговых атак.

#утечки #персданные

⭐️ Ansible: 44 совета и Best Practices

Ansible - инструмент infrastructure as a code для автоматизации задач по подготовке и конфигурированию инфраструктуры, предоставления программного обеспечения и развертывания приложений в облачных и локальных средах.

В статье размещены practices по настройке Ansible и подходы для эффективной работы с внутренними компонентами продукта.

#полезное

💻 7 Infrastructure as Code Open-Source Tools for 2023

1️⃣ TFLint
Инструмент помогает разработчикам и командам DevOps выявлять потенциальные проблемы и ошибки в их коде Terraform, проверяя файлы конфигурации Terraform на наличие передовых методов, стандартов кодирования и соответствия политикам. 

2️⃣ Infracost
Инструмент для оценки стоимости облачной инфраструктуры с использованием шаблонов Infrastructure as Code. Он позволяет разработчикам быстро оценить стоимость изменений своей инфраструктуры перед развертыванием и принимать обоснованные решения о финансовых последствиях изменений. Относится к инструментам FinOps, о которых рассказывали здесь.

3️⃣Checkov
Инструмент статического анализа кода для таких платформ Infrastructure as Code, как Terraform, CloudFormation и Kubernetes. Использует механизм правил для сканирования инфраструктуры как файлов кода и обнаружения потенциальных проблем, таких как уязвимости в системе безопасности, нарушения соответствия и нарушения передового опыта.

4️⃣ TFSEC
Инструмент для сканирования и обнаружения потенциальных уязвимостей безопасности в коде Terraform как в HCL, так и в JSON. 

5️⃣ Regula
Инструмент сканирует файлы Infrastructure as Code на наличие потенциальных уязвимостей в системе безопасности и нарушений нормативных требований. Имеет широкие возможности настройки, позволяя пользователям определять свои политики и стандарты соответствия.

6️⃣Terraform-docs
Создает документацию для модулей Terraform в различных выходных форматах. Анализирует входные файлы Terraform, извлекает комментарии к документации, такие как описания ресурсов, переменных и выходных данных, и организует их в структурированном формате.

7️⃣Terratest
Помогает автоматизировать тестирование инфраструктуры, позволяя разработчикам выявлять ошибки на ранних этапах разработки.

Подробнее о применении инструментов здесь

#полезное #заметкитехдира

⚖️ ЦБ определил порядок предоставления информации национальному оператору страховых данных

ЦБ опубликовал перечень данных, которые должны храниться в новой автоматизированной информационной системе (АИС) «Страхование». Это единая система, в которую будет передаваться информация обо всех владельцах застрахованных автомобилей и жилья в стране.

В перечень вошли ФИО, номер, адрес регистрации, данные паспорта и водительского удостоверения страхователя, номер, марка и модель его автомобиля, а также информация о страховом случае, включая данные о размере убытков – всего порядка 100 типов данных.

В списке информации о владельце застрахованного жилья, которая будет передаваться страховщиками в АИС – кадастровый номер объекта недвижимости, его тип, площадь, фактический почтовый адрес и т. д

"Объем запрашиваемой у страховщиков информации кажется избыточным, а накопление такого объема у одного оператора – еще и опасным, особенно в свете возросших в десятки раз рисков утечки данных" – считает Александра Орехович, Директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ).

Действие нормативного акта будет распространяться на страховщиков и оператора АИС страхования. Предложения и замечания к нему ЦБ будет принимать до 25 мая.

🔍 Утечка в BI.ZONE: результаты расследования и процесс реагирования

Недавно в компании подробно разобрали инцидент утечки данных, произошедший 30 апреля.

"Настолько эталонное описание инцидента, что по нему можно учебники писать и в качестве примера студентам показывать" - эксперт рынка.

Как решали задачи:
🔊 Понять, какие данные могут быть у злоумышленников.
🔊 Выяснить, как они получили доступ.
🔊 Оценить возможность развития атаки в инфраструктуру или в инфраструктуры клиентов.
🔊 Не допустить повторения подобной утечки.

- рассказали здесь.

#утечки

🔄Пользователи иностранного ПО профинансируют льготные ИТ-кредиты

Компании смогут продолжать легально использовать иностранный софт, отчисляя средства на специальный счет, часть средств с которого будет расходоваться на финансирование льготных ИТ-кредитов для разработчиков.

Данная мера предусмотрена в обновленной версии законопроекта о принудительном лицензировании зарубежного ПО, которую разрабатывает Минцифры.

Оплата лицензий будет производиться по прежним тарифам на спецсчета типа «О» - рублевые счета в ряде банков, предусмотренные указом президента для расчета с иностранными компаниями в условиях санкционного давления.

Если оставшиеся средства на счете не будут востребованы правообладателями, то впоследствии они будут переданы в фонд поддержки ИТ-отрасли, например РФРИТ.

По оценке представителей рынка, зарубежные ИТ-компании, которые продавали лицензии на ПО российским клиентам, потеряли примерно 650–700 млрд рублей из-за ухода из России.

Источник

#импортозамещение