⭐️ Ansible: 44 совета и Best Practices

Ansible - инструмент infrastructure as a code для автоматизации задач по подготовке и конфигурированию инфраструктуры, предоставления программного обеспечения и развертывания приложений в облачных и локальных средах.

В статье размещены practices по настройке Ansible и подходы для эффективной работы с внутренними компонентами продукта.

#полезное

💻 7 Infrastructure as Code Open-Source Tools for 2023

1️⃣ TFLint
Инструмент помогает разработчикам и командам DevOps выявлять потенциальные проблемы и ошибки в их коде Terraform, проверяя файлы конфигурации Terraform на наличие передовых методов, стандартов кодирования и соответствия политикам. 

2️⃣ Infracost
Инструмент для оценки стоимости облачной инфраструктуры с использованием шаблонов Infrastructure as Code. Он позволяет разработчикам быстро оценить стоимость изменений своей инфраструктуры перед развертыванием и принимать обоснованные решения о финансовых последствиях изменений. Относится к инструментам FinOps, о которых рассказывали здесь.

3️⃣Checkov
Инструмент статического анализа кода для таких платформ Infrastructure as Code, как Terraform, CloudFormation и Kubernetes. Использует механизм правил для сканирования инфраструктуры как файлов кода и обнаружения потенциальных проблем, таких как уязвимости в системе безопасности, нарушения соответствия и нарушения передового опыта.

4️⃣ TFSEC
Инструмент для сканирования и обнаружения потенциальных уязвимостей безопасности в коде Terraform как в HCL, так и в JSON. 

5️⃣ Regula
Инструмент сканирует файлы Infrastructure as Code на наличие потенциальных уязвимостей в системе безопасности и нарушений нормативных требований. Имеет широкие возможности настройки, позволяя пользователям определять свои политики и стандарты соответствия.

6️⃣Terraform-docs
Создает документацию для модулей Terraform в различных выходных форматах. Анализирует входные файлы Terraform, извлекает комментарии к документации, такие как описания ресурсов, переменных и выходных данных, и организует их в структурированном формате.

7️⃣Terratest
Помогает автоматизировать тестирование инфраструктуры, позволяя разработчикам выявлять ошибки на ранних этапах разработки.

Подробнее о применении инструментов здесь

#полезное #заметкитехдира

⚖️ ЦБ определил порядок предоставления информации национальному оператору страховых данных

ЦБ опубликовал перечень данных, которые должны храниться в новой автоматизированной информационной системе (АИС) «Страхование». Это единая система, в которую будет передаваться информация обо всех владельцах застрахованных автомобилей и жилья в стране.

В перечень вошли ФИО, номер, адрес регистрации, данные паспорта и водительского удостоверения страхователя, номер, марка и модель его автомобиля, а также информация о страховом случае, включая данные о размере убытков – всего порядка 100 типов данных.

В списке информации о владельце застрахованного жилья, которая будет передаваться страховщиками в АИС – кадастровый номер объекта недвижимости, его тип, площадь, фактический почтовый адрес и т. д

"Объем запрашиваемой у страховщиков информации кажется избыточным, а накопление такого объема у одного оператора – еще и опасным, особенно в свете возросших в десятки раз рисков утечки данных" – считает Александра Орехович, Директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ).

Действие нормативного акта будет распространяться на страховщиков и оператора АИС страхования. Предложения и замечания к нему ЦБ будет принимать до 25 мая.

🔍 Утечка в BI.ZONE: результаты расследования и процесс реагирования

Недавно в компании подробно разобрали инцидент утечки данных, произошедший 30 апреля.

"Настолько эталонное описание инцидента, что по нему можно учебники писать и в качестве примера студентам показывать" - эксперт рынка.

Как решали задачи:
🔊 Понять, какие данные могут быть у злоумышленников.
🔊 Выяснить, как они получили доступ.
🔊 Оценить возможность развития атаки в инфраструктуру или в инфраструктуры клиентов.
🔊 Не допустить повторения подобной утечки.

- рассказали здесь.

#утечки

🔄Пользователи иностранного ПО профинансируют льготные ИТ-кредиты

Компании смогут продолжать легально использовать иностранный софт, отчисляя средства на специальный счет, часть средств с которого будет расходоваться на финансирование льготных ИТ-кредитов для разработчиков.

Данная мера предусмотрена в обновленной версии законопроекта о принудительном лицензировании зарубежного ПО, которую разрабатывает Минцифры.

Оплата лицензий будет производиться по прежним тарифам на спецсчета типа «О» - рублевые счета в ряде банков, предусмотренные указом президента для расчета с иностранными компаниями в условиях санкционного давления.

Если оставшиеся средства на счете не будут востребованы правообладателями, то впоследствии они будут переданы в фонд поддержки ИТ-отрасли, например РФРИТ.

По оценке представителей рынка, зарубежные ИТ-компании, которые продавали лицензии на ПО российским клиентам, потеряли примерно 650–700 млрд рублей из-за ухода из России.

Источник

#импортозамещение

👩‍💻 Яндекс внедрил нейросеть YaGPT в Алису

Яндекс внедрил в виртуального помощника большую языковую модель. По словам разработчиков, Алиса умеет решать творческие задачи: составит деловое письмо, придумает идею для, например, слогана.

Как воспользоваться:
Откройте чат и скажите: «Алиса, давай придумаем». Это работает везде, где есть виртуальный помощник: в приложении Яндекса, в Браузере, на Станциях и умных телевизорах с Алисой.

В планах Яндекса - внедрять нейросеть и в другие продукты, прежде всего в поиск, а также "усиливать" Алису. Например, сейчас она отвечает на вопрос, не обращая внимания на предыдущие реплики, а в будущем научится учитывать контекст.

🔵 Индия представила свой первый Arm-процессор

Индийский Центр развития перспективных вычислений представил первый процессор для серверов и НРС‑систем на базе технологии Arm.

AUM — процессор с двумя чипами, содержащий 96 ядер ARM, 96 ГБ памяти HBM3, 128 линий PCIe Gen 5 с поддержкой CXL и расчетной мощностью 320 Вт. Индийское решение будет изготавливаться на тайваньском заводе TSMC по 5-нм технологии.

Выход процессоров на коммерческий рынок запланирован в 2023–2024 годах. В пресс‑релизе решения заявлена производительность свыше 4,6 Тфлопс в расчёте на разъём. Также реализованы средства обеспечения безопасности, включая функцию Secure Boot и криптографические алгоритмы.

⌨️ Хактивисты взломали 40 российских компаний без использования вредоносного ПО

Группа хакеров Leak Wolf похищала чувствительную информацию, маскируясь под реальных сотрудников компаний. От действий пострадали организации из сфер торговли, образования и ИТ.

Чтобы не привлекать внимания, преступники арендовали серверы на территории России, либо использовали VPN для удалённого доступа. Учитывая популярность дистанционной работы, это не вызывало подозрений у служб безопасности.

Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. Они использовали аккаунты сотрудников компаний. Так злоумышленникам удавалось долго оставаться незамеченными.

Доступ получали также с помощью анализа утечек данных физлиц. После проникновения в инфраструктуру компании, злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облако и публиковали в телеграм-канале.

#инфобез

🗣 – Шеф, у нас дыра в безопасности!
🗣 – Класс, хоть что-то у нас в безопасности.

70% утечек персональных данных происходят по вине сотрудников. Причина – не сами кибератаки, а небезопасное обращение с конфиденциальной информацией. Яркий пример – пост выше.

Ситуацию осложняет то, что теперь злоумышленники не работают руками, а используют средства автоматизации.

Раскрыли “закулисье” интернет-мошенничеств и рассказали, как избежать цифровых рисков в новом материале.

Подробнее здесь.

#полезное #инфобез #персданные

📶 Принципы определения критичности инфраструктуры: Минцифры готовит законопроект

Минцифры работает над законопроектом, в соответствии с которым правительство будет определять перечень объектов критической информационной инфраструктуры (КИИ), а также сроки их перехода на отечественные решения.

20 марта 2022 года президент Владимир Путин подписал указ, согласно которому госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах критической информационной инфраструктуры с 1 января 2025 года.

В связи с этим компании часто занижают степень значимости информационных систем. Законопроект призван "навести порядок" и "внести ясность" в идентификацию уровня критичности информационных систем.

⌨️ Мошенники начали обманывать российских пользователей при помощи чат-ботов в мессенджерах

К слову об автоматизации: на рынке обнаружили новый способ обмана россиян при помощи чат‑ботов, составляющих идеальные тексты. Это особенно актуально потому, что главным недостатком фишинговых текстов всегда был язык: не каждый мошенник пишет складно и грамотно. Качественные тексты объявлений повышают вероятность того, что пользователь поверит автору и посетит сайт.

«В последнее время злоумышленники тестируют возможности чат‑ботов с ИИ имитировать стиль общения определённых слоев населения. Так, с помощью ChatGPT мошенники создают ботов, которые „прикидываются“ девушками, а затем запускают их на сайты знакомств» — рассказали  представители "Кода безопасности".

Также преступники создают собственные чат‑боты, что придаёт фишинговому сайту большую правдоподобность, — люди доверяют чат‑ботам и не подозревают, что «сливают» им свои данные.

«В начале этого года в России разоблачили такую мошенническую схему, связанную с социальными выплатами. Мошенники оставляли в общественных местах QR‑коды с объявлением о бесплатной консультации по гарантированным выплатам, код в свою очередь вёл на чат‑бот в одном из мессенджеров. При общении с чат‑ботом людей убеждали, что они имеют право на соцвыплату, после чего жертвы вводили свои финансовые данные, которые и похищали мошенники» — рассказали эксперты.

#инфобез

❔ ИСП РАН создал консорциум для исследования безопасности ядра Linux и развития его российской ветки

Задачей консорциума станет организация сотрудничества научных институтов, вузов и ИТ-компаний в области исследования безопасности ядра Linux и развития его российской ветки. Консорциум будет работать на базе Технологического центра исследования безопасности ядра Linux, образованного в 2021 году.

Помимо работы над уязвимостями Технологический центр занимается развитием российской ветки ядра Linux и её синхронизацией с основным ядром. Среди партнёров центра такие компании, как «Базальт СПО», «Открытая мобильная платформа», «Ред Софт», «РусБИТех-Астра», «Финтех», «Яндекс.Облако» и другие.

Тем временем, в основной состав ядра принято 154 исправления, подготовленных работниками Технологического центра. Последняя партия в сто исправлений была добавлена в феврале 2023 года.

🔴 23% россиян столкнулись с утечкой персональных данных

По результатам исследования Rambler&Co:
🔵 38% респондентов отметили, что никогда не становились жертвами интернет-мошенников;
🔵 23% не уберегли свои данные;
🔵 23% признались, что были на грани, но вовремя спохватились и приняли меры;
🔵 16% отметили, что от киберпреступлений пострадали их знакомые.

Среди пострадавших:
⚫️ у 37% украли пароль от личных соцсетей и воспользовались аккаунтом;
⚫️ 25% назвали мошенникам все цифры своей платежной карты;
⚫️ 21% опрошенных открывали фишинговую ссылку;
⚫️ у 9% взламывали рабочий компьютер;
⚫️ у 8% похищали их личные данные, включая фото, видео и переписки.

Опрос проходил на ресурсах медиахолдинга Rambler&Co с 4 по 11 мая 2023 года, охват составил 173 тыс. 627 пользователей, среди которых 72% мужчин и 28% женщин.

#утечки #персданные

🔵 Что почитать на выходных?

На протяжении мая ежедневно появлялись новости в сфере информационной безопасности - новые требования регуляторов, утечки данных, кибератаки, импортозамещение...

Подготовили подборку статей по ИБ - специалистом в инфобезе вы не станете, но соберёте актуальную картинку, узнаете о тенденциях, выполнении требований регуляторов, практических инструментах и методах защиты:

🗣 Тильда и персональные данные: как узаконить?

🗣 Информационная безопасность: главное за 10 минут

🗣 От аккредитации до штрафов на директора. Всё о регулировании и возможностях для ИТ-компаний в 2023 году

🗣 Закон №152-ФЗ о персональных данных: новые требования

🗣 Аттестация информационной системы по требованиям ФСТЭК

🗣 Защита персональных данных. Как выполнить 152-ФЗ?

🗣 5 самых громких кибератак 2022 года: чему они могут научить

Enjoy!🔍

#полезное

📱 Пример худшего пользовательского интерфейса. Чтобы ввести свой номер телефона, надо скатить цифры в поле ввода.

Бесит через экран.

🔐 ФСТЭК и Минцифры педалируют развитие сегмента российских межсетевых экранов нового поколения

ФСТЭК выработали требования к межсетевым экранам нового поколения (Next-Generation Firewall, NGFW). Теперь они проходят различные юридические процедуры, уже получены замечания от юристов Минюста.

"Я считаю, что компании, которые не будут соответствовать требованиям, не смогут заявить, что разрабатывают или производят NGFW" - прокомментировал заместитель директора ФСТЭК Виталий Лютиков.

ФСТЭК выделяют 2 нюанса:
1️⃣ Такие характеристики NGFW, как пропускная способность, задержка обработки пакетов. Т.е. то, что сильно завязано на аппаратных платформах.
2️⃣ Проблема проверки. Оборудование для нагрузочного тестирования является дорогостоящим, в полном объёме оно есть у очень немногих организаций.

При этом если в других классах решений ИБ выбор российских решений уже довольно широкий, чтобы закрыть потребности разных заказчиков, то в области NGFW ситуация обстоит иначе. Это отмечают, в том числе, в Минцифры.

"К нам приходят российские вендоры, говорят «У нас NGFW уже 10 лет». Их не один и не два – больше пяти. И точно так же к нам приходят заказчики, крупные организации и говорят, что российского решения NGFW нет. Это значит, что существующие решения не удовлетворяют требования заказчиков" - отмечает Директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин.

Но учитывая сроки по импортозамещению средств защиты, установленные «сверху», заказчикам придётся пойти на некоторые уступки. Например, где-то, возможно, придётся пожертвовать временем, затрачиваемым на обслуживание – нанять больше персонала, обслуживающего средство защиты. Но если при этом в целом уровень ИБ вырастет, значит, таков путь, отметил Бенгин.

#импортозамещение #инфобез

🗂️ Стоимость использования ЕБС

Опубликован приказ Минцифры от 31.03.2023 № 334 «Об утверждении методики расчета взимания платы за использование государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", в том числе ее региональных сегментов».

В приказе предоставлена методика и формулы для определения размера взимания оператором ЕБС платы за использование ЕБС организациями.

👨‍💻 Не ChatGPT единым: ТОП ИИ-помощников в написании кода в одной картинке

#полезное

👤 Персональные данные: новости к 22.05.2023

1️⃣ Примерно 340 млн учетных записей было размещено в открытом доступе в январе-апреле 2023 года, показали аналитические данные сервиса мониторинга внешних цифровых угроз компании "РТК-Солар".

На 26% выросло количество фишинговых атак и кибермошенничеств. Фишинг стал более массовым и изощренным, его отличают высокий уровень автоматизации, защита от обнаружения, нацеленность на различные отрасли.

2️⃣ Размер оборотных штрафов для компаний, допустивших утечку персональных данных, может быть снижен, если они пытались обеспечить безопасность своей инфраструктуры.

"С одной стороны, мы рассчитываем на повышение уровня самосознания руководителей на выстраивание института внутри "кибербеза", с другой стороны, все равно будем наказывать больно, если компания не двигается в сторону повышения безопасности. Большой экономический штраф - единственный способ, который может стимулировать компанию инвестировать в новую безопасность" - сообщил глава Минцифры Максут Шадаев.

3️⃣ Российские компании должны минимизировать объемы персональных данных, которыми они оперируют

Также директор департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин предложил использовать только так называемые витрины данных, саму же информацию хранить только там, откуда она поступает.

4️⃣ СПЧ: уголовная ответственность за утечки данных

Оборотные штрафы за утечки персональных данных уже никого не пугают, нужно вводить уголовную ответственность. При этом необходимо определить термин «незаконный оборот персональных данных».

«Оборотные штрафы уже никого не пугают, эта схема уже не работает – при подобных инцидентах, вспомните утечку «Яндекса», компании говорят, что провели проверку и настаивают, что утечка произошла из-за внешнего вмешательства» – заявил член Совета при президенте РФ по развитию гражданского общества и правам человека Кирилл Кабанов.

#персданные #инфобез

🔍 Владимир Путин согласовал сделку по продаже контрольного пакета в «Яндексе»

Источники СМИ сообщили, что президент РФ Владимир Путин согласовал сделку по продаже контрольного пакета в «Яндексе»
🗣 Владимиру Потанину - владельцу холдинга «Интеррос»;
🗣 Алексею Мордашову - основному акционеру «Северстали»;
🗣 Вагиту Алекперову - основателю «Лукойла»;
🗣 банку ВТБ.

Это потенциальные участники консорциума инвесторов, которому предстоит выкупить контрольный пакет акций компании после реструктуризации и раздела активов с основателем Аркадием Воложем.

Какая доля в компании достанется каждому из инвесторов, пока неизвестно. Но, скорее всего, контрольный пакет в новом «Яндексе» будет примерно поровну поделён между всеми участниками консорциума, утверждают двое собеседников. Также обсуждалась конструкция, при которой один из участников списка получит большую долю, чем другие.

Напомним, 19 мая СМИ сообщили, что Yandex N.V. получила заявки на покупку за $7,5 млрд (600 млрд рублей) контрольного пакета (51% акций) в «Яндексе» от основателя «Интерроса» Владимира Потанина и совладельца «Лукойла» Вагита Алекперова.

🌐 Производители электроники переносят производство за границу

Количество российских компаний, производящих телеком-оборудование и электронику, сокращается: за последний год примерно 10% вендоров перенесли сборку в Китай, Вьетнам и Турцию, а многие небольшие производители объединились с крупными.

Основными причинами, говорят участники рынка, стали санкционное давление, дополнительные проверки поставляемых в РФ компонентов и рост стоимости зарубежных комплектующих.

«Разрешение на ввоз микросхем, содержащих криптографию, требует длительной проверки в центре по лицензированию ФСБ, а разрешение на ввоз готовой продукции под своей маркой легко получить через регистрацию нотификаций» - напоминает исполнительный директор АРПЭ Иван Покровский

Будет ли продукция, произведенная на зарубежных площадках по контрактам с российскими компаниями, попадать в реестр отечественного оборудования Минпромторга, пока непонятно. «На примере радиоэлектроники мы видим, что компании с продукцией из иностранных комплектующих легко проходят в реестр Минпромторга, тогда как российские компании сталкиваются с бюрократическими трудностями» — говорит директор «Промобита» Максим Копосов.