🖥 Цифровая маркировка электроники: производители против

Ассоциация российских разработчиков и производителей электроники попросила Правительство пересмотреть планы по вводу отраслевого сбора и распространению требований по цифровой маркировке на широкую номенклатуру радиоэлектроники.

Производители и разработчики опасаются, что:
🗣 эксперимент приведет к обязательному требованию маркировать всю радиоэлектронику;

🗣 маркировка приведет к значительным издержкам для всех компаний отрасли;

🗣 инициатива создаст риски утечек информации о поставщиках, а это повлияет на сроки поставки и приведет к срывам планов по выпуску радиоэлектронной продукции. «Данные точно утекут. Мы все и так ищем любые пути поставки электроники, часто очень хитрые. А в этом случае мы сами себе планируем выстрелить в ногу путем увеличения прослеживаемости» - уверен представитель рынка.

Представители Минцифры сообщили, что проект постановления отправлен в Правительство и пока решения властей по нему не поступало.

✅ Программы льготного кредитования ИТ-проектов стали доступнее

ИТ-компании смогут рассчитывать на получение льготных кредитов по ставке до 3% годовых для реализации проектов цифровой трансформации. Правительство смягчило условия получения кредитов Постановлением от 6 мая 2023 года №707.

В числе изменений:
🔵 на кредиты со ставкой до 3% годовых смогут претендовать аккредитованные ИТ-компании, которые не пользуются налоговыми льготами;
🔵 компании смогут возмещать расходы, понесённые ранее. Максимальный срок — 180 дней до заключения договора;
🔵 отменено обязательство по индексации заработной платы сотрудникам;
🔵 разрешена выплата премий сотрудникам за счёт средств льготного кредита;
🔵 зарегистрировать разрабатываемое ПО нужно не позднее шести месяцев после завершения проекта.

Общий кредитный портфель составляет 76,9 млрд руб. На рассмотрении банков находятся проекты на общую сумму более 20 млрд руб.

#льготы_ит

🖌 19,5 тыс. VPN-роутеров Cisco угрожает критическая уязвимость

Cisco предупредила о двух уязвимостях, комбинация которых позволяет запускать на VPN-роутерах (Cisco RV016, RV042, RV042G и RV082) произвольный код без авторизации.

1 уязвимость
Прошивки роутеров подвержены критической уязвимости CVE-2023-20025, связанной с некорректной валидацией входящих HTTP-пакетов. У злоумышленников появляется возможность, направив к веб-интерфейсу роутера специально подготовленный HTTP-запрос, обойти процедуры авторизации и получить root-доступ к операционной системе роутера.

2 уязвимость
Все те же устройства подвержены менее опасной уязвимости с индексом CVE-2023-20026. Она также связана с некорректной валидацией входящих HTTP-вызовов, но позволяет запускать произвольный код удаленно - при условии, что у потенциального злоумышленника есть административный доступ к контрольной панели.

Комбинация из двух уязвимостей позволяет запускать произвольный код без авторизации, вернее, в обход таковой.

Cisco не планирует выпускать обновления, которые бы устранили проблему. Единственное, что могут сделать системные администраторы - перекрыть возможность удаленного доступа к контрольной панели устройств и заблокировать порты 443 и 60433.

🔐 Количество утечек данных в крупных российских компаниях выросло в 1,5 раза

По данным F.A.C.C.T., за первые четыре месяца 2023 года произошло 75 утечек из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с аналогичным периодом прошлого года, когда зафиксировали 49 утечек.

В числе крупнейших похищений информации в 2023 году оказались двойная утечка данных бонусной программы «Сберспасибо» (суммарно 52,5 млн записей), сети магазинов «Спортмастер» (46 млн записей) и интернет-аптеки zdravcity.ru (8,9 млн записей).

По мнению участников рынка, в число причин входят:
❔ прекращение доступа к обновлениям для части зарубежного ПО, что провоцирует большой объём новых уязвимостей и эксплойтов;
❔ утечки, случавшиеся ранее, позволили хакерам лучше понять профиль и интересы пользователя, что повышает вероятность успеха фишинговых атак.

#утечки #персданные

⭐️ Ansible: 44 совета и Best Practices

Ansible - инструмент infrastructure as a code для автоматизации задач по подготовке и конфигурированию инфраструктуры, предоставления программного обеспечения и развертывания приложений в облачных и локальных средах.

В статье размещены practices по настройке Ansible и подходы для эффективной работы с внутренними компонентами продукта.

#полезное

💻 7 Infrastructure as Code Open-Source Tools for 2023

1️⃣ TFLint
Инструмент помогает разработчикам и командам DevOps выявлять потенциальные проблемы и ошибки в их коде Terraform, проверяя файлы конфигурации Terraform на наличие передовых методов, стандартов кодирования и соответствия политикам. 

2️⃣ Infracost
Инструмент для оценки стоимости облачной инфраструктуры с использованием шаблонов Infrastructure as Code. Он позволяет разработчикам быстро оценить стоимость изменений своей инфраструктуры перед развертыванием и принимать обоснованные решения о финансовых последствиях изменений. Относится к инструментам FinOps, о которых рассказывали здесь.

3️⃣Checkov
Инструмент статического анализа кода для таких платформ Infrastructure as Code, как Terraform, CloudFormation и Kubernetes. Использует механизм правил для сканирования инфраструктуры как файлов кода и обнаружения потенциальных проблем, таких как уязвимости в системе безопасности, нарушения соответствия и нарушения передового опыта.

4️⃣ TFSEC
Инструмент для сканирования и обнаружения потенциальных уязвимостей безопасности в коде Terraform как в HCL, так и в JSON. 

5️⃣ Regula
Инструмент сканирует файлы Infrastructure as Code на наличие потенциальных уязвимостей в системе безопасности и нарушений нормативных требований. Имеет широкие возможности настройки, позволяя пользователям определять свои политики и стандарты соответствия.

6️⃣Terraform-docs
Создает документацию для модулей Terraform в различных выходных форматах. Анализирует входные файлы Terraform, извлекает комментарии к документации, такие как описания ресурсов, переменных и выходных данных, и организует их в структурированном формате.

7️⃣Terratest
Помогает автоматизировать тестирование инфраструктуры, позволяя разработчикам выявлять ошибки на ранних этапах разработки.

Подробнее о применении инструментов здесь

#полезное #заметкитехдира

⚖️ ЦБ определил порядок предоставления информации национальному оператору страховых данных

ЦБ опубликовал перечень данных, которые должны храниться в новой автоматизированной информационной системе (АИС) «Страхование». Это единая система, в которую будет передаваться информация обо всех владельцах застрахованных автомобилей и жилья в стране.

В перечень вошли ФИО, номер, адрес регистрации, данные паспорта и водительского удостоверения страхователя, номер, марка и модель его автомобиля, а также информация о страховом случае, включая данные о размере убытков – всего порядка 100 типов данных.

В списке информации о владельце застрахованного жилья, которая будет передаваться страховщиками в АИС – кадастровый номер объекта недвижимости, его тип, площадь, фактический почтовый адрес и т. д

"Объем запрашиваемой у страховщиков информации кажется избыточным, а накопление такого объема у одного оператора – еще и опасным, особенно в свете возросших в десятки раз рисков утечки данных" – считает Александра Орехович, Директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ).

Действие нормативного акта будет распространяться на страховщиков и оператора АИС страхования. Предложения и замечания к нему ЦБ будет принимать до 25 мая.

🔍 Утечка в BI.ZONE: результаты расследования и процесс реагирования

Недавно в компании подробно разобрали инцидент утечки данных, произошедший 30 апреля.

"Настолько эталонное описание инцидента, что по нему можно учебники писать и в качестве примера студентам показывать" - эксперт рынка.

Как решали задачи:
🔊 Понять, какие данные могут быть у злоумышленников.
🔊 Выяснить, как они получили доступ.
🔊 Оценить возможность развития атаки в инфраструктуру или в инфраструктуры клиентов.
🔊 Не допустить повторения подобной утечки.

- рассказали здесь.

#утечки

🔄Пользователи иностранного ПО профинансируют льготные ИТ-кредиты

Компании смогут продолжать легально использовать иностранный софт, отчисляя средства на специальный счет, часть средств с которого будет расходоваться на финансирование льготных ИТ-кредитов для разработчиков.

Данная мера предусмотрена в обновленной версии законопроекта о принудительном лицензировании зарубежного ПО, которую разрабатывает Минцифры.

Оплата лицензий будет производиться по прежним тарифам на спецсчета типа «О» - рублевые счета в ряде банков, предусмотренные указом президента для расчета с иностранными компаниями в условиях санкционного давления.

Если оставшиеся средства на счете не будут востребованы правообладателями, то впоследствии они будут переданы в фонд поддержки ИТ-отрасли, например РФРИТ.

По оценке представителей рынка, зарубежные ИТ-компании, которые продавали лицензии на ПО российским клиентам, потеряли примерно 650–700 млрд рублей из-за ухода из России.

Источник

#импортозамещение

👩‍💻 Яндекс внедрил нейросеть YaGPT в Алису

Яндекс внедрил в виртуального помощника большую языковую модель. По словам разработчиков, Алиса умеет решать творческие задачи: составит деловое письмо, придумает идею для, например, слогана.

Как воспользоваться:
Откройте чат и скажите: «Алиса, давай придумаем». Это работает везде, где есть виртуальный помощник: в приложении Яндекса, в Браузере, на Станциях и умных телевизорах с Алисой.

В планах Яндекса - внедрять нейросеть и в другие продукты, прежде всего в поиск, а также "усиливать" Алису. Например, сейчас она отвечает на вопрос, не обращая внимания на предыдущие реплики, а в будущем научится учитывать контекст.

🔵 Индия представила свой первый Arm-процессор

Индийский Центр развития перспективных вычислений представил первый процессор для серверов и НРС‑систем на базе технологии Arm.

AUM — процессор с двумя чипами, содержащий 96 ядер ARM, 96 ГБ памяти HBM3, 128 линий PCIe Gen 5 с поддержкой CXL и расчетной мощностью 320 Вт. Индийское решение будет изготавливаться на тайваньском заводе TSMC по 5-нм технологии.

Выход процессоров на коммерческий рынок запланирован в 2023–2024 годах. В пресс‑релизе решения заявлена производительность свыше 4,6 Тфлопс в расчёте на разъём. Также реализованы средства обеспечения безопасности, включая функцию Secure Boot и криптографические алгоритмы.

⌨️ Хактивисты взломали 40 российских компаний без использования вредоносного ПО

Группа хакеров Leak Wolf похищала чувствительную информацию, маскируясь под реальных сотрудников компаний. От действий пострадали организации из сфер торговли, образования и ИТ.

Чтобы не привлекать внимания, преступники арендовали серверы на территории России, либо использовали VPN для удалённого доступа. Учитывая популярность дистанционной работы, это не вызывало подозрений у служб безопасности.

Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. Они использовали аккаунты сотрудников компаний. Так злоумышленникам удавалось долго оставаться незамеченными.

Доступ получали также с помощью анализа утечек данных физлиц. После проникновения в инфраструктуру компании, злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облако и публиковали в телеграм-канале.

#инфобез

🗣 – Шеф, у нас дыра в безопасности!
🗣 – Класс, хоть что-то у нас в безопасности.

70% утечек персональных данных происходят по вине сотрудников. Причина – не сами кибератаки, а небезопасное обращение с конфиденциальной информацией. Яркий пример – пост выше.

Ситуацию осложняет то, что теперь злоумышленники не работают руками, а используют средства автоматизации.

Раскрыли “закулисье” интернет-мошенничеств и рассказали, как избежать цифровых рисков в новом материале.

Подробнее здесь.

#полезное #инфобез #персданные

📶 Принципы определения критичности инфраструктуры: Минцифры готовит законопроект

Минцифры работает над законопроектом, в соответствии с которым правительство будет определять перечень объектов критической информационной инфраструктуры (КИИ), а также сроки их перехода на отечественные решения.

20 марта 2022 года президент Владимир Путин подписал указ, согласно которому госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах критической информационной инфраструктуры с 1 января 2025 года.

В связи с этим компании часто занижают степень значимости информационных систем. Законопроект призван "навести порядок" и "внести ясность" в идентификацию уровня критичности информационных систем.

⌨️ Мошенники начали обманывать российских пользователей при помощи чат-ботов в мессенджерах

К слову об автоматизации: на рынке обнаружили новый способ обмана россиян при помощи чат‑ботов, составляющих идеальные тексты. Это особенно актуально потому, что главным недостатком фишинговых текстов всегда был язык: не каждый мошенник пишет складно и грамотно. Качественные тексты объявлений повышают вероятность того, что пользователь поверит автору и посетит сайт.

«В последнее время злоумышленники тестируют возможности чат‑ботов с ИИ имитировать стиль общения определённых слоев населения. Так, с помощью ChatGPT мошенники создают ботов, которые „прикидываются“ девушками, а затем запускают их на сайты знакомств» — рассказали  представители "Кода безопасности".

Также преступники создают собственные чат‑боты, что придаёт фишинговому сайту большую правдоподобность, — люди доверяют чат‑ботам и не подозревают, что «сливают» им свои данные.

«В начале этого года в России разоблачили такую мошенническую схему, связанную с социальными выплатами. Мошенники оставляли в общественных местах QR‑коды с объявлением о бесплатной консультации по гарантированным выплатам, код в свою очередь вёл на чат‑бот в одном из мессенджеров. При общении с чат‑ботом людей убеждали, что они имеют право на соцвыплату, после чего жертвы вводили свои финансовые данные, которые и похищали мошенники» — рассказали эксперты.

#инфобез

❔ ИСП РАН создал консорциум для исследования безопасности ядра Linux и развития его российской ветки

Задачей консорциума станет организация сотрудничества научных институтов, вузов и ИТ-компаний в области исследования безопасности ядра Linux и развития его российской ветки. Консорциум будет работать на базе Технологического центра исследования безопасности ядра Linux, образованного в 2021 году.

Помимо работы над уязвимостями Технологический центр занимается развитием российской ветки ядра Linux и её синхронизацией с основным ядром. Среди партнёров центра такие компании, как «Базальт СПО», «Открытая мобильная платформа», «Ред Софт», «РусБИТех-Астра», «Финтех», «Яндекс.Облако» и другие.

Тем временем, в основной состав ядра принято 154 исправления, подготовленных работниками Технологического центра. Последняя партия в сто исправлений была добавлена в феврале 2023 года.

🔴 23% россиян столкнулись с утечкой персональных данных

По результатам исследования Rambler&Co:
🔵 38% респондентов отметили, что никогда не становились жертвами интернет-мошенников;
🔵 23% не уберегли свои данные;
🔵 23% признались, что были на грани, но вовремя спохватились и приняли меры;
🔵 16% отметили, что от киберпреступлений пострадали их знакомые.

Среди пострадавших:
⚫️ у 37% украли пароль от личных соцсетей и воспользовались аккаунтом;
⚫️ 25% назвали мошенникам все цифры своей платежной карты;
⚫️ 21% опрошенных открывали фишинговую ссылку;
⚫️ у 9% взламывали рабочий компьютер;
⚫️ у 8% похищали их личные данные, включая фото, видео и переписки.

Опрос проходил на ресурсах медиахолдинга Rambler&Co с 4 по 11 мая 2023 года, охват составил 173 тыс. 627 пользователей, среди которых 72% мужчин и 28% женщин.

#утечки #персданные

🔵 Что почитать на выходных?

На протяжении мая ежедневно появлялись новости в сфере информационной безопасности - новые требования регуляторов, утечки данных, кибератаки, импортозамещение...

Подготовили подборку статей по ИБ - специалистом в инфобезе вы не станете, но соберёте актуальную картинку, узнаете о тенденциях, выполнении требований регуляторов, практических инструментах и методах защиты:

🗣 Тильда и персональные данные: как узаконить?

🗣 Информационная безопасность: главное за 10 минут

🗣 От аккредитации до штрафов на директора. Всё о регулировании и возможностях для ИТ-компаний в 2023 году

🗣 Закон №152-ФЗ о персональных данных: новые требования

🗣 Аттестация информационной системы по требованиям ФСТЭК

🗣 Защита персональных данных. Как выполнить 152-ФЗ?

🗣 5 самых громких кибератак 2022 года: чему они могут научить

Enjoy!🔍

#полезное

📱 Пример худшего пользовательского интерфейса. Чтобы ввести свой номер телефона, надо скатить цифры в поле ввода.

Бесит через экран.