⚡️Крипта ≠ зарплата: даже частично — нельзя

Российским компаниям по-прежнему запрещено платить сотрудникам в криптовалюте — даже частично. Минтруд напомнил: зарплата по закону возможна только в рублях. Но бизнес не унимается — особенно те, кто работает с релокантами. После запуска режима трансграничных криптоплатежей в 2024-м многие решили: окно возможностей приоткрыто.

Формально цифровые активы не признаны платёжным средством. А значит, криптозарплата — не экономия, а риск: от налоговых до уголовных. Законопроект уже на подходе — штрафы до миллиона и конфискация средств.

Рынок зовёт к гибкости, регулятор — к дисциплине. И пока компромисс только один: цифровой рубль. Но в биткоин вы его не обменяете.

#зарплата #криптовалюта #штрафы

@SecLabNews

🔐 Центробанк закручивает гайки: криптография КС1, ГОСТ, биометрия и 3 часа на отчёт

Банк России меняет правила игры на рынке платежей — и речь не только о банках. Новая редакция указания №821-П требует криптографии уровня не ниже КС1, усиленной ЭП и полной отчётности об инцидентах за 3 часа. Под удар попадают и те, кто раньше жил «на грани» — филиалы иностранных банков, платежные агенты и платформы, работавшие без формальных ИБ-обязательств.

Технически ключевой акцент — верификация и защита биометрии: только российская криптография, цифровые отпечатки вместо образов, обязательная синхронизация времени через ГЛОНАСС с точностью до 3 секунд. Также вводится обязанность обеспечивать целостность электронных сообщений и событийных журналов.

Для среднего банка это вложения в десятки миллионов, а оценка соответствия — от миллиона рублей. Но отказать себе в защите уже не получится: ЦБ фиксирует рост инцидентов из-за подрядчиков и требует от всех участников платежного оборота единых стандартов. Тарифы, скорее всего, не вырастут — а вот маржа сожмётся.

#ЦБ #криптография #финансы @SecLabNews

❓Ваш хостинг ещё не в реестре? Госдума уже проголосовала за штраф до 1 млн

Госдума приняла в первом чтении законопроект, устанавливающий штрафы до 1 млн рублей за нарушение требований к деятельности провайдеров хостинга. Инициатива была внесена группой депутатов и сенаторов во главе с Антоном Горелкиным и направлена на дополнение Кодекса об административных правонарушениях.

За работу без включения в реестр провайдеров хостинга граждан ждут штрафы от 50 до 100 тыс. рублей, индивидуальных предпринимателей — от 200 до 500 тыс. рублей. Юридические лица могут быть оштрафованы на сумму от 600 тыс. до 1 млн рублей за аналогичные нарушения.

С февраля прошлого года в России действует закон, обязывающий хостинг-провайдеров уведомлять Роскомнадзор о своей деятельности и подтверждать возможность безопасного хранения данных. Однако на рынке до сих пор остаются компании, которые игнорируют эти требования и считают, что закон их не касается.

#госдума #хостинг #регулирование

@SecLabNews

⛔️ЕГЭ на Windows? Разработчики против

Пока ЕГЭ продолжают сдавать на американской Windows, ассоциация «Отечественный софт» требует перемен: по их мнению, это не просто игнорирование курса на импортозамещение, а прямая угроза безопасности и бюджету страны. Письмо с просьбой о переходе на российские ОС уже направлено в Минцифры, Рособрнадзор и Минпросвещения.

В рекомендации Рособрнадзора по ЕГЭ-2025 чёрным по белому: экзамен — только на Windows. А между тем с 1 января действует президентский указ, запрещающий использовать иностранное ПО на объектах критической инфраструктуры, а с 1 сентября — и вовсе только отечественный софт из реестра Минцифры. Получается, школьные экзамены — вне зоны правового поля?

Ставка — не только на Astra Linux, РЕД ОС или ALT, но и на «ОС МЭШ», уже применённую в школах Москвы. Аргументы бизнеса звучат всё жёстче: зависимость от санкционного ПО, утечки данных, ежегодные расходы на лицензии. И что важнее — школьники привыкают к чужим системам, теряя навык работы с тем, что продвигает сама страна.

#отечественныйсофт #ЕГЭ #импортозамещение
@SecLabNews

🆕 Еженедельный обзор киберновостей SecurityLab

Эта неделя принесла серьёзные потрясения в мире кибербезопасности: от американских 0-day атак на Китай до того, как антивирус приветствует вредоносы как старых друзей. Россия активно продвигает цифровой суверенитет, а мировая наука совершила прорывы от управления энергией Вселенной до возвращения способности ходить парализованным детям — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

Китай атакован американским 0day в Exchange, который обнулил защиту китайских технологий.

Иран открыл киберстартап для хакеров с тарифами: атаковал США — надбавка, Израиль — премия.

Президент Мексики продал государство за $25 млн, и теперь страна живёт под надзором Pegasus.

Военный США обменял секреты на флирт с незнакомкой в чате.

Китай признаёт: военные роботы могут убивать без приказа — и без разбора.

🇷🇺 В России

Госдума готовит удар на миллион рублей для незарегистрированных хостеров.

RuStore теперь можно ставить по-хорошему или по закону — Путин подписал соответствующий документ.

Бизнесу запретят хранить данные на западных СУБД — срок до 2027 года.

Школьный экзамен переезжает с Windows на российские ОС Astra.

Даже один сатоши в зарплате — уже нарушение, считает Минтруд.

🏴‍☠️ В сетях хакеров

Microsoft наконец-то уволила «сотрудника», который 28 лет притворялся, что работает нормально.

6000 разработчиков стали жертвами из-за двух строк кода — и никто ничего не заметил.

eSIM позволяет читать чужие сообщения и перехватывать звонки — это уже доказано.

Хотели безопасный SSH — получили бэкдор: проверьте Termius на macOS.

PuTTY.exe оказался троянским конём — в реальности RedLine, ворующий кошельки и пароли.

Ducex прячет вредоносы так искусно, что даже антивирус приветствует их как старых друзей.

⛽️ Новости науки и технологий

Человечество подключилось к энергосети Вселенной — прорыв австралийских физиков обещает 1000-кратный скачок.

Крошечная страна создала ИИ мощнее ChatGPT и отдаёт его даром — пощёчина BigTech.

GPT-5 стирает границы между текстом, видео и разумом — Альтман молчал месяцами не зря.

Робот Black Panther II пробежал 100 метров за 13 секунд и вычеркнул Boston Dynamics из книги рекордов.

Парализованный ребёнок пошёл впервые в истории при смертельной мутации — революция в медицине.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🔒 GrapheneOS = преступник? Каталония начала проверять владельцев Pixel

В Каталонии владельцы Google Pixel всё чаще попадают в поле зрения полиции — причина не в защите от Google, а в прошивке GrapheneOS. Это альтернатива Android с повышенной приватностью, популярная среди тех, кто хочет контролировать устройство, а не сдавать его большим данным.

Ирония в том, что GrapheneOS — не теневая самоделка, а легальный open-source-инструмент. Он позволяет отключать интернет для отдельных приложений, ограничивать доступ к датчикам и контактам, создавать изолированные профили и даже вводить принудительный PIN, при котором всё удаляется. Это не атака. Это защита.

Теперь и GrapheneOS в списке подозреваемых — наряду с Signal, Tor и криптокошельками. По этой логике и шторы в спальне — уже потенциальная угроза национальной безопасности.

#privacy #Каталония #GrapheneOS
@SecLabNews

🌐 Татарский омбудсмен требует блокировки Roblox за «обучение диверсиям»

Детский защитник увидела угрозу в пользовательских играх про Чернобыль, где игроки взрывают реакторы. Предлог знакомый — защита от «деструктивного мышления» и профилактика вербовки подростков кибепреступниками.

Волынец ссылается на конкретные сцены: игроки массово выбирают опцию уничтожения реактора и наблюдают за последствиями взрыва. Параллельно омбудсмен фиксирует рост дел по диверсиям среди несовершеннолетних — жертв интернет-вербовщиков.

Платформа с рекордными 16,4 млн игроков может попасть под закон о защите детей от вредной информации. Прецедент покажет, насколько далеко готовы зайти в борьбе с «цифровым экстремизмом».

#модерация #игровыеплатформы #регулирование

@SecLabNews

📞 Фильтр против звонка от «внука в беде»

Звонки «из банка», «от сына в беде» и прочие мошеннические номера должны исчезнуть. Миронов и Лантратова внесут законопроект: операторы обязаны автоматически подключать антифрод-фильтры всем абонентам, бесплатно и без заявлений.

Сервис должен блокировать как известные номера мошенников, так и новые схемы — в реальном времени. Роскомнадзору передают контроль над техническими требованиями.

Если закон примут, операторы станут ответственными за первую линию защиты от телефонных афер. Вопрос — насколько система будет прозрачной и точной? Всегда есть риск «перебдеть» и отрезать нужный звонок.

#госдума #мошенничество #связь
@SecLabNews

🫣Установил расширение — слил кошелёк на $500 000

В Open VSX всплыло фейковое расширение «Solidity Language» для Cursor AI. Внутри — не подсветка кода, а PowerShell, ScreenConnect, Quasar RAT и PureLogs. Один даёт удалённый доступ, второй вычищает всё: пароли, сессии, крипту. Всё это шло под видом популярного инструмента, скачанного 54 тысячи раз.

Злоумышленники не искали уязвимости — они подделали витрину. Название, описание, рейтинг, и даже вторая «версия» с миллионными загрузками, чтобы вытеснить оригинал. Открытый маркетплейс? Открытая дверь в систему.

Кто доверяет расширениям по числу звёзд — пусть сразу готовит холодный кошелёк и тёплое прощание с данными.

#вредоносы #малварь #криптокража

@SecLabNews

🤫ИИ-раздевалки: $36 млн в год на дипфейках — на серверах Google и Amazon

85 сайтов генерируют поддельные обнажённые фото женщин и детей. Хостятся они на Amazon и Cloudflare, авторизация — через Google. Всё официально, без взломов, без обходов. Эта индустрия встроена в экосистему Big Tech и даже не делает вид, что прячется.

За фасадом — кредиты, платные подписки, реклама порно-сервисов, партнёрки и каналы в Telegram. Маскировка через нейтральные домены и обход фильтров — стандарт. Пользователь заходит по ссылке, а сайт давно работает под прикрытием, и не где-нибудь, а в CDN крупнейших корпораций.

Пока у этих сервисов не заберут инфраструктуру, они будут расти. А значит, кто-то из тех, кто эту инфраструктуру предоставляет, делает это вполне осознанно — и зарабатывает вместе с ними.

#deepfake #насилие #bigtech

@SecLabNews

🫡 ГосСОПКА подключается ко всем

Скоро в зону ответственности ФСБ попадут не только КИИ, но и всё, что хоть как-то считается ГИС. Законопроект требует от всех государственных IT-систем — от федеральных до муниципальных — передавать сведения о компьютерных инцидентах в ГосСОПКА и докладывать о результатах внутренних расследований.

Новое определение «государственной информационной системы» охватывает буквально всё: от «Госспорта» и университетских платформ до сайтов ведомств и даже бухгалтерских баз. А значит, в дело вступает и свежий 117‑й приказ ФСТЭК: SIEM, EDR и другие взрослые требования теперь обязательны для систем, которые вчера считались второстепенными.

На бумаге — «просто передавать инциденты». На практике — сначала надо уметь их фиксировать, анализировать и оформлять в нужном формате для ФСБ.

#ГосСОПКА #ГИС #ИБ

@SecLabNews

🤯DNS раньше связывал сайты, теперь — заражает сети

Хакеры начали прятать вредонос прямо в DNS — в тех самых TXT-записях, которые обычно используют для настройки почты и верификации сервисов. Бинарник разбивается на сотни кусков, кодируется и вшивается в поддомены. Дальше — обычные DNS-запросы собирают его обратно, не вызывая тревоги у защитных систем.

И вот где хитрость: такие атаки прекрасно работают в условиях DNS over HTTPS и DNS over TLS — когда трафик шифруется и становится непрозрачным даже внутри сети. У организаций без внутренней маршрутизации DNS просто нет шансов что-то заметить.

В тех же TXT-записях начали находить инструкции для атак на LLM — от «удали всё» до «будь птицей и пой». Механизм prompt injection выходит за пределы веб-страниц: теперь даже DNS может научить ИИ бунтовать.

#dns #infosec #llmsecurity
@SecLabNews

🔒 VPN — не приговор, но повод задуматься

Не граждан — инфраструктуру. Сенатор Артём Шейкин, соавтор поправок в КоАП, уверяет: новый законопроект не про охоту на пользователей VPN, а про закручивание гаек для тех, кто эти VPN предоставляет. Если вы просто обходите блокировки — штрафа не будет. А вот если вы владелец сервиса, не взаимодействуете с Роскомнадзором и не фильтруете трафик — готовьте расчёты на 500 тысяч.

Формулировка про «поиск заведомо экстремистских материалов» — это не ловушка для обычных пользователей, а предлог усилить давление на нелегальных провайдеров обхода. Сами VPN по-прежнему не запрещены — важно, как именно они используются и кем.

Фобии про уличные проверки и массовую слежку тоже не подтвердились. Госдума дала понять: доступ к смартфонам возможен только при наличии возбужденного дела. Никаких рейдов на пользователей — фокус исключительно на тех, кто обслуживает нелегальную инфраструктуру.

#VPN #Роскомнадзор #КоАП

@SecLabNews

🚨 F6 запускает SOC MDR — сервис активной киберзащиты

Центр кибербезопасности F6 объявил о запуске SOC MDR — сервиса полного цикла мониторинга, реагирования и расследования инцидентов ИБ. Это ответ на беспрецедентный рост числа и сложности кибератак.

Почему это важно:

• 9 из 10 компаний имеют уязвимости на внешнем периметре
• Существующие системы не обеспечивают своевременное обнаружение угроз
• ИБ-команды перегружены, ресурсы ограничены

SOC MDR от F6 закрывает этот разрыв:

Мониторинг и реагирование на инциденты выполняются специалистами F6 без вовлечения заказчика.

В случае атаки специалисты F6:
• изолируют скомпрометированные устройства
• блокируют вредоносные процессы, учётки и инструменты
• реализуют сценарии нейтрализации вплоть до восстановления инфраструктуры

📍Новый стандарт SOC: защита становится наступательной, а не пассивной.

👉 Подробнее — в релизе.