⚡️ Новостной дайджест прошедшей недели

📖 Законопроект о защите персональных данных при трансграничной передаче приняли в I чтении
Эта инициатива направлена на противодействие мошенничеству, давлению и дискриминации.

🤖 Утверждены правила для попадания решений генеративного ИИ в реестр российского ПО
Среди требований — собственный ЦОД мощностью от 10 МВт, возможность хранения данных объемом не менее 1 эксабайта, а также решение задач машинного обучения не менее чем на 1 тыс. графических процессоров (GPU).

👮‍♀️ Банк России запустил механизм реабилитации клиентов из базы мошенников
Теперь люди, которые попали в базу, имеют право обратиться с заявлением в свой банк либо напрямую в ЦБ для проверки законности и обоснованности нахождения в базе.

🧠 В Москве разработали методологию оценки знаний и навыков ИТ-специалистов
С помощью нового сервиса соискатели могут подтвердить свою квалификацию, а компании — проверить компетенции кандидатов на вакансии.

🏭 Названы приоритетные сферы для развития искусственного интеллекта в России
По мнению экспертов, ИИ в первую очередь необходимо развивать в образовании, медицине и госуправлении, а также внедрять в управление городами и социальной инфраструктурой.

🤠 Исследование: каждый десятый россиянин сталкивался с попытками дипфейк-мошенничества
У более чем половины респондентов злоумышленники пытались обманом выманить деньги, а в 18% случаев жертвы действительно понесли финансовые потери.

☝️ ЦБ РФ обяжет банки привязывать счета россиян к ИНН
Это необходимо для работы новой платформы «Антидроп», запуск которой намечен на середину 2027 года.

⬆️ Прогноз: ожидаемый экономический эффект от ИИ к 2030 году может составить до 13 трлн рублей
По словам специалистов, ИИ позволяет сократить затраты и получить новые источники выручки за счет продуктовых инноваций и трансформации бизнес-моделей.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

Пока мы утепляем канал 🟠 к зиме, самое время утеплить и ИТ-инфраструктуру❄️

Сценарии с различными уровнями погружения при проведении пентестов. Часть 1👇

Сегодня рассмотрим, кому будут полезны работы по тестированию на проникновение в рамках предоставленных хостов. А также по каким сценариям, и с какими уровнями погружения исследователя в информационную систему и ИТ-инфраструктуру могут выполняться эти работы.

1️⃣Сканирование уязвимостей, предназначено для «экспресс-диагностики» проблем в ИТ-инфраструктуре и информационных системах, которое включает:
🟠автоматизированный поиск уязвимостей различными специализированными сканерами безопасности;
🟠категорирование обнаруженных уязвимостей по уровням риска.

📌Данное исследование будет полезно малым организациям, которые только открывают для себя мир информационной безопасности и не готовы к серьёзным затратам.

2️⃣Анализ защищённости, предназначен для детального исследования дефектов и недостатков безопасности ИТ-инфраструктур и информационных систем, который включает:
🟠автоматизированный поиск уязвимостей различными специализированными сканерами безопасности и утилитами;
🟠ручной поиск уязвимостей опытным специалистом по анализу защищённости;
🟠исследование максимально возможного охвата уязвимостей информационной системы;
🟠верификация обнаруженных уязвимостей и актуализация их перечня;
🟠категорирование обнаруженных уязвимостей по уровням риска;
🟠оценка общего уровня защищённости информационной системы;
🟠подготовка общих рекомендаций для повышения уровня ИБ в целом;
🟠подготовка детальных рекомендаций по устранению выявленных уязвимостей.

📌Данные же работы будут полезны крупному и среднему бизнесу, когда при исследовании нужно соблюдать строгие рамки, и требуется получить максимально полную картину уязвимостей информационной системы.

#Артем_Храмых #пентест #анализ_защищенности #OSINT


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

⌨️Эксперты MITRE представили обновленную версию списка наиболее опасных ошибок в программном обеспечении

За период с июня 2024 по июнь 2025 года именно они стали причиной более 39 000 уязвимостей.

Лидирующие позиции вновь занимают хорошо известные категории. Это нарушения контроля доступа, SQL инъекции, XSS, небезопасная десериализация и ошибки работы с памятью. Несмотря на зрелость инструментов и практик защиты, такие уязвимости продолжают регулярно появляться в новых продуктах.

Отдельно специалисты отмечают рост числа проблем, связанных с логикой приложений. Даже при корректно спроектированной архитектуре ошибки в проверках прав, обработке состояний и доверии к данным клиента остаются незаметными для автоматических средств анализа. При этом именно они все чаще используются в целевых атаках.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

⚙️Как довести внедрение ИБ в новых ИС до рабочего результата

Завершаем серию материалов о правильном проектировании и внедрении информационной безопасности в новых информационных системах.

Ранее мы разобрались:
1️⃣ почему ИБ нужно закладывать на этапе проектирования ИС, а не «прикручивать» в конце;
2️⃣ почему массовое ПО без проверки совместимости конфликтует со средствами защиты;
3️⃣ зачем тестировать ИС до установки СЗИ и внедрять защиту поэтапно.

На заключительном этапе важно убедиться, что система остается работоспособной после внедрения защитных механизмов.

➡️ Что включает эта проверка:
🟠функциональное тестирование механизмов защиты;
🟠нагрузочное тестирование для оценки влияния СЗИ на производительность;
🟠проведение пентеста для выявления уязвимостей;
🟠проверку журналов аудита на полноту регистрации событий безопасности.

➡️ Для успешной интеграции средств защиты информации рекомендуется:
🟠создавать тестовую среду, максимально приближенную к продуктивной;
🟠разрабатывать детальный план тестирования с четкими критериями успеха;
🟠автоматизировать процессы тестирования для повышения эффективности;
🟠привлекать специалистов по ИБ к проекту с самого начала, чтобы требования безопасности учитывались на всех этапах жизненного цикла ИС;
🟠регулярно мониторить производительность системы после внедрения СЗИ.

Эффективная безопасность в новых ИС начинается с проектирования. Учет совместимости ПО и средств защиты на раннем этапе снижает риск сбоев при внедрении СЗИ и позволяет сохранить функциональность и производительность системы.

#Сергей_Дурнев


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🎁 Новостной дайджест прошедшей недели

🧩Мин­циф­ры раз­ра­бота­ло проект пос­та­нов­ле­ния пра­витель­ства для ограничения иностранных компаний
Согласно этому документу Рос­ком­над­зо­ром сможет регулировать работу иностранных компаний и принимать меры, понуждающие их следовать требованиям закона о платформенной экономике.

🧩Средний ущерб российских промышленных компаний от корпоративного мошенничества – 5% годовой выручки
Мошенники могут быть внутренними и внешними. В список вредоносных действий входят: кибератаки, подрыв операционной деятельности, хищение активов, искажение финансовой отчетности, превышение должностных полномочий.

🧩Google планирует закрыть проект «Отчет о пользовательских данных в даркнете»
Бесплатный сервис был доступен с июля 2024 года. Он сканировал киберкриминальные сайты и форумы даркнета на предмет данных пользователей и уведомлял их об этом.

🧩Российский рынок ИБ будет расти в два раза быстрее мирового
Авторы выделяют два ключевых драйвера роста: увеличение количества кибератак и необходимость замещения зарубежных ИБ-систем отечественными решениями.

🧩58% крупных компаний ТЭК в России применяют технологии ИИ
Однако ИИ пока используется как вспомогательный инструмент, например, в каналах взаимодействия с потребителями. В ключевых технологических процессах контроль за критическими операциями и окончательные решения по-прежнему принимает человек.

🧩Госдума расширила полномочия ФСБ
Теперь закон позволяет ФСБ запрашивать копии баз данных у организаций любых форм собственности, а также получать у госорганов их информационные системы.

🧩Минцифры расширило список ресурсов, доступных во время ограничений интернета
В белый список вошли ресурсы сети быстрого питания, нескольких супермаркетов, сайты Совета Федерации, МВД и МЧС, а также ряд СМИ и порталов.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

⚡️ФСТЭК России обновила Банк данных угроз безопасности информации, добавив подраздел «Угрозы безопасности информации систем искусственного интеллекта»

Это значимое событие подчёркивает растущее внимание регуляторов к вопросам кибербезопасности в сфере ИИ.

В новом подразделе систематизированы специфические угрозы, характерные для систем искусственного интеллекта.

Угрозы, представленные в подразделе, качественно отличаются от уже известных 227 УБИ, ранее внесённых в базу данных: они отражают уникальные риски, связанные с особенностями архитектуры и функционирования систем на базе ИИ.

Подраздел позволит специалистам своевременно идентифицировать уязвимости и разрабатывать превентивные меры защиты, учитывающие специфику технологий машинного обучения и нейронных сетей. Это особенно актуально в условиях повсеместной интеграции ИИ в критически важные системы: от государственного управления до промышленных предприятий.

Инициатива создания данного раздела ФСТЭК России — яркий пример целенаправленной работы регулятора по адаптации нормативной базы к современным технологическим реалиям.

#Владислав_Крылов #ФСТЭК


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

❄️ Запускаем новогодний конкурс!

Под конец года самое время оглянуться назад и вспомнить, о чем мы говорили в подкасте «Безопасный выход» в 2025💫
Предлагаем сделать это с пользой и подарками!

Что нужно сделать:
1️⃣ выберите понравившийся выпуск подкаста из списка ниже и сделайте его репост в сторис;
2️⃣ в комментариях под этим постом напишите «Готово», чтобы мы проверили участие и присвоили номер.

▶️ Искусственный интеллект
▶️ Роль CISO в ИБ
▶️ Цифровизация и роль ИБ
▶️ Роль маркетинга в компании
▶️ Маркетинговая стратегия
▶️ Безопасность поставщиков
▶️ Когда нужен свой SOC?

25 декабря с помощью генератора случайных чисел выберем трех победителей и подарим фирменный мерч:
🥇 сумка для ноутбука,
🥈 обложка на паспорт,
🥉 колба для чая.

Выбирайте, делитесь и пусть декабрь закончится с хорошим настроением и подарками!🟠


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

📣 Банк России опубликовал концепцию регулирования криптовалют:

– Расплачиваться ей все еще будет нельзя, но в монеты разрешат инвестировать;

– Покупать крипту смогут все инвесторы. Для неквалов будет лимит — ₽300 тыс. в год и только самые ликвидные активы. А квалам запретят торговать анонимными криптовалютами;

– Торги будут доступны через существующие биржи и брокерские сервисы. Официально можно будет переводить крипту за границу, но с уведомлением налоговой;

– За «нелегальную деятельность посредников на рынке криптовалют» введут наказание. Возможно, это затронет неофициальные обменники и биржи без лицензий.

Подготовку законодательной базы должны завершить до июля 2026 года.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст