✅ Программы льготного кредитования ИТ-проектов стали доступнее

ИТ-компании смогут рассчитывать на получение льготных кредитов по ставке до 3% годовых для реализации проектов цифровой трансформации. Правительство смягчило условия получения кредитов Постановлением от 6 мая 2023 года №707.

В числе изменений:
🔵 на кредиты со ставкой до 3% годовых смогут претендовать аккредитованные ИТ-компании, которые не пользуются налоговыми льготами;
🔵 компании смогут возмещать расходы, понесённые ранее. Максимальный срок — 180 дней до заключения договора;
🔵 отменено обязательство по индексации заработной платы сотрудникам;
🔵 разрешена выплата премий сотрудникам за счёт средств льготного кредита;
🔵 зарегистрировать разрабатываемое ПО нужно не позднее шести месяцев после завершения проекта.

Общий кредитный портфель составляет 76,9 млрд руб. На рассмотрении банков находятся проекты на общую сумму более 20 млрд руб.

#льготы_ит

🖌 19,5 тыс. VPN-роутеров Cisco угрожает критическая уязвимость

Cisco предупредила о двух уязвимостях, комбинация которых позволяет запускать на VPN-роутерах (Cisco RV016, RV042, RV042G и RV082) произвольный код без авторизации.

1 уязвимость
Прошивки роутеров подвержены критической уязвимости CVE-2023-20025, связанной с некорректной валидацией входящих HTTP-пакетов. У злоумышленников появляется возможность, направив к веб-интерфейсу роутера специально подготовленный HTTP-запрос, обойти процедуры авторизации и получить root-доступ к операционной системе роутера.

2 уязвимость
Все те же устройства подвержены менее опасной уязвимости с индексом CVE-2023-20026. Она также связана с некорректной валидацией входящих HTTP-вызовов, но позволяет запускать произвольный код удаленно - при условии, что у потенциального злоумышленника есть административный доступ к контрольной панели.

Комбинация из двух уязвимостей позволяет запускать произвольный код без авторизации, вернее, в обход таковой.

Cisco не планирует выпускать обновления, которые бы устранили проблему. Единственное, что могут сделать системные администраторы - перекрыть возможность удаленного доступа к контрольной панели устройств и заблокировать порты 443 и 60433.

🔐 Количество утечек данных в крупных российских компаниях выросло в 1,5 раза

По данным F.A.C.C.T., за первые четыре месяца 2023 года произошло 75 утечек из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с аналогичным периодом прошлого года, когда зафиксировали 49 утечек.

В числе крупнейших похищений информации в 2023 году оказались двойная утечка данных бонусной программы «Сберспасибо» (суммарно 52,5 млн записей), сети магазинов «Спортмастер» (46 млн записей) и интернет-аптеки zdravcity.ru (8,9 млн записей).

По мнению участников рынка, в число причин входят:
❔ прекращение доступа к обновлениям для части зарубежного ПО, что провоцирует большой объём новых уязвимостей и эксплойтов;
❔ утечки, случавшиеся ранее, позволили хакерам лучше понять профиль и интересы пользователя, что повышает вероятность успеха фишинговых атак.

#утечки #персданные

⭐️ Ansible: 44 совета и Best Practices

Ansible - инструмент infrastructure as a code для автоматизации задач по подготовке и конфигурированию инфраструктуры, предоставления программного обеспечения и развертывания приложений в облачных и локальных средах.

В статье размещены practices по настройке Ansible и подходы для эффективной работы с внутренними компонентами продукта.

#полезное

💻 7 Infrastructure as Code Open-Source Tools for 2023

1️⃣ TFLint
Инструмент помогает разработчикам и командам DevOps выявлять потенциальные проблемы и ошибки в их коде Terraform, проверяя файлы конфигурации Terraform на наличие передовых методов, стандартов кодирования и соответствия политикам. 

2️⃣ Infracost
Инструмент для оценки стоимости облачной инфраструктуры с использованием шаблонов Infrastructure as Code. Он позволяет разработчикам быстро оценить стоимость изменений своей инфраструктуры перед развертыванием и принимать обоснованные решения о финансовых последствиях изменений. Относится к инструментам FinOps, о которых рассказывали здесь.

3️⃣Checkov
Инструмент статического анализа кода для таких платформ Infrastructure as Code, как Terraform, CloudFormation и Kubernetes. Использует механизм правил для сканирования инфраструктуры как файлов кода и обнаружения потенциальных проблем, таких как уязвимости в системе безопасности, нарушения соответствия и нарушения передового опыта.

4️⃣ TFSEC
Инструмент для сканирования и обнаружения потенциальных уязвимостей безопасности в коде Terraform как в HCL, так и в JSON. 

5️⃣ Regula
Инструмент сканирует файлы Infrastructure as Code на наличие потенциальных уязвимостей в системе безопасности и нарушений нормативных требований. Имеет широкие возможности настройки, позволяя пользователям определять свои политики и стандарты соответствия.

6️⃣Terraform-docs
Создает документацию для модулей Terraform в различных выходных форматах. Анализирует входные файлы Terraform, извлекает комментарии к документации, такие как описания ресурсов, переменных и выходных данных, и организует их в структурированном формате.

7️⃣Terratest
Помогает автоматизировать тестирование инфраструктуры, позволяя разработчикам выявлять ошибки на ранних этапах разработки.

Подробнее о применении инструментов здесь

#полезное #заметкитехдира

⚖️ ЦБ определил порядок предоставления информации национальному оператору страховых данных

ЦБ опубликовал перечень данных, которые должны храниться в новой автоматизированной информационной системе (АИС) «Страхование». Это единая система, в которую будет передаваться информация обо всех владельцах застрахованных автомобилей и жилья в стране.

В перечень вошли ФИО, номер, адрес регистрации, данные паспорта и водительского удостоверения страхователя, номер, марка и модель его автомобиля, а также информация о страховом случае, включая данные о размере убытков – всего порядка 100 типов данных.

В списке информации о владельце застрахованного жилья, которая будет передаваться страховщиками в АИС – кадастровый номер объекта недвижимости, его тип, площадь, фактический почтовый адрес и т. д

"Объем запрашиваемой у страховщиков информации кажется избыточным, а накопление такого объема у одного оператора – еще и опасным, особенно в свете возросших в десятки раз рисков утечки данных" – считает Александра Орехович, Директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ).

Действие нормативного акта будет распространяться на страховщиков и оператора АИС страхования. Предложения и замечания к нему ЦБ будет принимать до 25 мая.

🔍 Утечка в BI.ZONE: результаты расследования и процесс реагирования

Недавно в компании подробно разобрали инцидент утечки данных, произошедший 30 апреля.

"Настолько эталонное описание инцидента, что по нему можно учебники писать и в качестве примера студентам показывать" - эксперт рынка.

Как решали задачи:
🔊 Понять, какие данные могут быть у злоумышленников.
🔊 Выяснить, как они получили доступ.
🔊 Оценить возможность развития атаки в инфраструктуру или в инфраструктуры клиентов.
🔊 Не допустить повторения подобной утечки.

- рассказали здесь.

#утечки

🔄Пользователи иностранного ПО профинансируют льготные ИТ-кредиты

Компании смогут продолжать легально использовать иностранный софт, отчисляя средства на специальный счет, часть средств с которого будет расходоваться на финансирование льготных ИТ-кредитов для разработчиков.

Данная мера предусмотрена в обновленной версии законопроекта о принудительном лицензировании зарубежного ПО, которую разрабатывает Минцифры.

Оплата лицензий будет производиться по прежним тарифам на спецсчета типа «О» - рублевые счета в ряде банков, предусмотренные указом президента для расчета с иностранными компаниями в условиях санкционного давления.

Если оставшиеся средства на счете не будут востребованы правообладателями, то впоследствии они будут переданы в фонд поддержки ИТ-отрасли, например РФРИТ.

По оценке представителей рынка, зарубежные ИТ-компании, которые продавали лицензии на ПО российским клиентам, потеряли примерно 650–700 млрд рублей из-за ухода из России.

Источник

#импортозамещение

👩‍💻 Яндекс внедрил нейросеть YaGPT в Алису

Яндекс внедрил в виртуального помощника большую языковую модель. По словам разработчиков, Алиса умеет решать творческие задачи: составит деловое письмо, придумает идею для, например, слогана.

Как воспользоваться:
Откройте чат и скажите: «Алиса, давай придумаем». Это работает везде, где есть виртуальный помощник: в приложении Яндекса, в Браузере, на Станциях и умных телевизорах с Алисой.

В планах Яндекса - внедрять нейросеть и в другие продукты, прежде всего в поиск, а также "усиливать" Алису. Например, сейчас она отвечает на вопрос, не обращая внимания на предыдущие реплики, а в будущем научится учитывать контекст.

🔵 Индия представила свой первый Arm-процессор

Индийский Центр развития перспективных вычислений представил первый процессор для серверов и НРС‑систем на базе технологии Arm.

AUM — процессор с двумя чипами, содержащий 96 ядер ARM, 96 ГБ памяти HBM3, 128 линий PCIe Gen 5 с поддержкой CXL и расчетной мощностью 320 Вт. Индийское решение будет изготавливаться на тайваньском заводе TSMC по 5-нм технологии.

Выход процессоров на коммерческий рынок запланирован в 2023–2024 годах. В пресс‑релизе решения заявлена производительность свыше 4,6 Тфлопс в расчёте на разъём. Также реализованы средства обеспечения безопасности, включая функцию Secure Boot и криптографические алгоритмы.

⌨️ Хактивисты взломали 40 российских компаний без использования вредоносного ПО

Группа хакеров Leak Wolf похищала чувствительную информацию, маскируясь под реальных сотрудников компаний. От действий пострадали организации из сфер торговли, образования и ИТ.

Чтобы не привлекать внимания, преступники арендовали серверы на территории России, либо использовали VPN для удалённого доступа. Учитывая популярность дистанционной работы, это не вызывало подозрений у служб безопасности.

Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. Они использовали аккаунты сотрудников компаний. Так злоумышленникам удавалось долго оставаться незамеченными.

Доступ получали также с помощью анализа утечек данных физлиц. После проникновения в инфраструктуру компании, злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облако и публиковали в телеграм-канале.

#инфобез

🗣 – Шеф, у нас дыра в безопасности!
🗣 – Класс, хоть что-то у нас в безопасности.

70% утечек персональных данных происходят по вине сотрудников. Причина – не сами кибератаки, а небезопасное обращение с конфиденциальной информацией. Яркий пример – пост выше.

Ситуацию осложняет то, что теперь злоумышленники не работают руками, а используют средства автоматизации.

Раскрыли “закулисье” интернет-мошенничеств и рассказали, как избежать цифровых рисков в новом материале.

Подробнее здесь.

#полезное #инфобез #персданные

📶 Принципы определения критичности инфраструктуры: Минцифры готовит законопроект

Минцифры работает над законопроектом, в соответствии с которым правительство будет определять перечень объектов критической информационной инфраструктуры (КИИ), а также сроки их перехода на отечественные решения.

20 марта 2022 года президент Владимир Путин подписал указ, согласно которому госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах критической информационной инфраструктуры с 1 января 2025 года.

В связи с этим компании часто занижают степень значимости информационных систем. Законопроект призван "навести порядок" и "внести ясность" в идентификацию уровня критичности информационных систем.

⌨️ Мошенники начали обманывать российских пользователей при помощи чат-ботов в мессенджерах

К слову об автоматизации: на рынке обнаружили новый способ обмана россиян при помощи чат‑ботов, составляющих идеальные тексты. Это особенно актуально потому, что главным недостатком фишинговых текстов всегда был язык: не каждый мошенник пишет складно и грамотно. Качественные тексты объявлений повышают вероятность того, что пользователь поверит автору и посетит сайт.

«В последнее время злоумышленники тестируют возможности чат‑ботов с ИИ имитировать стиль общения определённых слоев населения. Так, с помощью ChatGPT мошенники создают ботов, которые „прикидываются“ девушками, а затем запускают их на сайты знакомств» — рассказали  представители "Кода безопасности".

Также преступники создают собственные чат‑боты, что придаёт фишинговому сайту большую правдоподобность, — люди доверяют чат‑ботам и не подозревают, что «сливают» им свои данные.

«В начале этого года в России разоблачили такую мошенническую схему, связанную с социальными выплатами. Мошенники оставляли в общественных местах QR‑коды с объявлением о бесплатной консультации по гарантированным выплатам, код в свою очередь вёл на чат‑бот в одном из мессенджеров. При общении с чат‑ботом людей убеждали, что они имеют право на соцвыплату, после чего жертвы вводили свои финансовые данные, которые и похищали мошенники» — рассказали эксперты.

#инфобез

❔ ИСП РАН создал консорциум для исследования безопасности ядра Linux и развития его российской ветки

Задачей консорциума станет организация сотрудничества научных институтов, вузов и ИТ-компаний в области исследования безопасности ядра Linux и развития его российской ветки. Консорциум будет работать на базе Технологического центра исследования безопасности ядра Linux, образованного в 2021 году.

Помимо работы над уязвимостями Технологический центр занимается развитием российской ветки ядра Linux и её синхронизацией с основным ядром. Среди партнёров центра такие компании, как «Базальт СПО», «Открытая мобильная платформа», «Ред Софт», «РусБИТех-Астра», «Финтех», «Яндекс.Облако» и другие.

Тем временем, в основной состав ядра принято 154 исправления, подготовленных работниками Технологического центра. Последняя партия в сто исправлений была добавлена в феврале 2023 года.

🔴 23% россиян столкнулись с утечкой персональных данных

По результатам исследования Rambler&Co:
🔵 38% респондентов отметили, что никогда не становились жертвами интернет-мошенников;
🔵 23% не уберегли свои данные;
🔵 23% признались, что были на грани, но вовремя спохватились и приняли меры;
🔵 16% отметили, что от киберпреступлений пострадали их знакомые.

Среди пострадавших:
⚫️ у 37% украли пароль от личных соцсетей и воспользовались аккаунтом;
⚫️ 25% назвали мошенникам все цифры своей платежной карты;
⚫️ 21% опрошенных открывали фишинговую ссылку;
⚫️ у 9% взламывали рабочий компьютер;
⚫️ у 8% похищали их личные данные, включая фото, видео и переписки.

Опрос проходил на ресурсах медиахолдинга Rambler&Co с 4 по 11 мая 2023 года, охват составил 173 тыс. 627 пользователей, среди которых 72% мужчин и 28% женщин.

#утечки #персданные

🔵 Что почитать на выходных?

На протяжении мая ежедневно появлялись новости в сфере информационной безопасности - новые требования регуляторов, утечки данных, кибератаки, импортозамещение...

Подготовили подборку статей по ИБ - специалистом в инфобезе вы не станете, но соберёте актуальную картинку, узнаете о тенденциях, выполнении требований регуляторов, практических инструментах и методах защиты:

🗣 Тильда и персональные данные: как узаконить?

🗣 Информационная безопасность: главное за 10 минут

🗣 От аккредитации до штрафов на директора. Всё о регулировании и возможностях для ИТ-компаний в 2023 году

🗣 Закон №152-ФЗ о персональных данных: новые требования

🗣 Аттестация информационной системы по требованиям ФСТЭК

🗣 Защита персональных данных. Как выполнить 152-ФЗ?

🗣 5 самых громких кибератак 2022 года: чему они могут научить

Enjoy!🔍

#полезное

📱 Пример худшего пользовательского интерфейса. Чтобы ввести свой номер телефона, надо скатить цифры в поле ввода.

Бесит через экран.

🔐 ФСТЭК и Минцифры педалируют развитие сегмента российских межсетевых экранов нового поколения

ФСТЭК выработали требования к межсетевым экранам нового поколения (Next-Generation Firewall, NGFW). Теперь они проходят различные юридические процедуры, уже получены замечания от юристов Минюста.

"Я считаю, что компании, которые не будут соответствовать требованиям, не смогут заявить, что разрабатывают или производят NGFW" - прокомментировал заместитель директора ФСТЭК Виталий Лютиков.

ФСТЭК выделяют 2 нюанса:
1️⃣ Такие характеристики NGFW, как пропускная способность, задержка обработки пакетов. Т.е. то, что сильно завязано на аппаратных платформах.
2️⃣ Проблема проверки. Оборудование для нагрузочного тестирования является дорогостоящим, в полном объёме оно есть у очень немногих организаций.

При этом если в других классах решений ИБ выбор российских решений уже довольно широкий, чтобы закрыть потребности разных заказчиков, то в области NGFW ситуация обстоит иначе. Это отмечают, в том числе, в Минцифры.

"К нам приходят российские вендоры, говорят «У нас NGFW уже 10 лет». Их не один и не два – больше пяти. И точно так же к нам приходят заказчики, крупные организации и говорят, что российского решения NGFW нет. Это значит, что существующие решения не удовлетворяют требования заказчиков" - отмечает Директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин.

Но учитывая сроки по импортозамещению средств защиты, установленные «сверху», заказчикам придётся пойти на некоторые уступки. Например, где-то, возможно, придётся пожертвовать временем, затрачиваемым на обслуживание – нанять больше персонала, обслуживающего средство защиты. Но если при этом в целом уровень ИБ вырастет, значит, таков путь, отметил Бенгин.

#импортозамещение #инфобез

🗂️ Стоимость использования ЕБС

Опубликован приказ Минцифры от 31.03.2023 № 334 «Об утверждении методики расчета взимания платы за использование государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", в том числе ее региональных сегментов».

В приказе предоставлена методика и формулы для определения размера взимания оператором ЕБС платы за использование ЕБС организациями.