⌨️“Минцифры предложит механизм использования зарубежного ПО до конца марта” – Шадаев

Минцифры РФ до конца марта планирует представить предложения по легализации использования ПО из недружественных стран, правообладатели которого ушли из РФ, сообщил глава министерства Максут Шадаев.

"До конца марта Минцифры даст предложения по вариантам использования такого ПО. Мы говорим про случаи вынужденного использования ПО до перехода на российские аналоги. То есть мы должны отрегулировать эти условия" - сказал министр.

Он подчеркнул, что речь идет об определении правил на "переходный период" – время разработки конкурентных российских аналогов и перехода на отечественный софт.

По словам министра, основная сложность в согласовании проекта заключается в том, как в УК РФ прописать исключения для случаев вынужденного временного использования западного ПО.

Анализ Минцифры показал, что лишь 20% категорий софта, используемого компаниями и промпредприятиями, имеют "адекватные зрелые российские аналоги", необходимо 2-3 года на его доработку и внедрение.

👤Gmail запустил опцию шифрования на стороне клиента

Google объявил, что в Gmail теперь доступен режим шифрования на стороне клиента для корпоративных пользователей.

По словам представителей, даже Google не может видеть содержимое электронных писем, а данные «зашифровываются до того, как попадают на серверы Google».

В компании отметили, что шифрование на стороне клиента даёт организациям «единоличный контроль над своими ключами шифрования — и, таким образом, полный контроль над всем доступом к данным». Это может быть полезно для тех, кто обязан соблюдать строгие стандарты конфиденциальности.

Пользователи могут шифровать электронные письма, которые они отправляют внутри своей организации и другим сторонам, даже если получатель не использует Gmail.

Чтобы воспользоваться функцией, необходимо кликнуть на значок замка, после чего написать письмо и добавить вложения, как показано на скриншоте.

🔨Госстандарты для искусственного интеллекта

Росстандарт заказал разработку и подготовку к утверждению стандартов в области искусственного интеллекта для применения в сферах медицины, образования и транспорта. На это выделено 130,4 млн руб.

Согласно техническому заданию, исполнитель должен разработать окончательную редакцию национальных стандартов ИИ, а также обоснование принципов закрепления в нормативно-технических документах требований к созданию и эксплуатации систем ИИ.

Цели работ:
– Сокращение возможного ущерба безопасности России от применения искусственного интеллекта.
– Гармонизация национальных стандартов с международными и актуализация фонда стандартов в области искусственного интеллекта.

Согласно плану, работы должны быть выполнены до 29 ноября 2024 года. Те же сроки установлены для реализации федерального проекта "Искусственный интеллект". В рамках проекта должны быть разработаны стандарты, которые будут регламентировать безопасность систем ИИ не только для людей, но и для окружающей среды в различных областях: строительство, медицина и т.д. Всего программа включает 217 документов.

⌨️Выпуск Wine 8.3

Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 8.3. С момента выпуска версии 8.2 было закрыто 29 отчётов об ошибках и внесено 230 изменений.

Наиболее важные изменения:
➖Добавлена поддержка смарткарт, реализованная при помощи прослойки PCSC-Lite.
➖При выделении памяти добавлена поддержка кучи с низкой фрагментацией.
➖В состав включена библиотека Zydis для более корректного дизассемблирования.
➖Закрыты отчёты об ошибках, связанные с работой игр: Escape from Tarkov, Hardwar UIM6.0, 3D Sexvilla 2, Saints Row: The Third, Heavy Rain.
➖Закрыты отчёты об ошибках, связанные с работой приложений: Office 2007 Installer, Untis 2015, AusweisApp2 1.x, Seneka EBDYS client, Aruba Key, Wavelab, KeePassXC, SpeedCommander 20, Rich Edit.

🔑Функция обнаружения утечек секретов GitHub теперь открыта для общедоступных репозиториев

GitHub объявил, что функция оповещений о сканировании секретов «Secret Scanning» теперь открыта для всех общедоступных репозиториев и может быть включена для обнаружения утечек секретов во всей истории публикаций.

Секреты — это конфиденциальные данные, случайно добавленные в репозитории GitHub, включая API-ключи, пароли учетных записей и др.

⌨️Пять самых громких кибератак 2022 года: чему они могут научить

2022 год запомнился рекордным количеством кибератак, направленных на российские организации.

В новом материале рассматриваем самые крупные кибер-инциденты 2022 года, а заодно изучаем успешный (и не очень) опыт их отражения.

Подробнее об:

🔵Атаках на ИТ-инфраструктуру ВТБ

🔵Попытках обрушить “Госуслуги”

🔵Потерях бизнеса в цифрах

🔵Тенденциях в кибербезопасности в 2023 году

- можно прочитать здесь

#инфобез #утечки #полезное

🇷🇺«Атомэнергопром» начал проект по созданию импортонезависимой информационно-аналитической системы «Корпоративное хранилище данных» (ИАС КХД 2.0). Бюджет – 1,11 млрд руб. – выставлен в тендере в формате открытого конкурса.

Действующее хранилище данных реализовано на базе программного продукта немецкой компании SAP — NetWeaver Business Warehouse (SAP BW/4HANA).

Подрядчику предстоит до мая 2024 года решить ряд задач, среди которых:
– проектирование и развертывание технической целевой архитектуры ИАС КХД 2.0;
– проектирование и реализация форм отчетности;
– автоматизация формирования аналитической отчетности по данным единой отраслевой системы электронного документооборота (ЕОСДО);
– миграция исторических данных;
– выполнение требований по информбезопасности в части подключения к корпоративному центру ГосСОПКА и проведения аттестации.

Серверная часть системы ориентировочно задействует ОС Astra Linux Special Edition группы «Астра» и «Альт 8 СП» компании «Базальт СПО», а также СУБД Postgres Pro.

Для рабочих станций планируется использовать ОС Astra Linux Common Edition, пакет офисных приложений «Мой офис» либо Libre Office 6.4.5.2.

Лицензии на некоторые продукты подрядчик должен получить самостоятельно, например, на прикладное ПО «Форсайт. Аналитическая платформа», «Форсайт. Бюджетирование» и т.д.

Ранее, в мае 2022 года стало известно о планах «Росатома» перевести 130 тыс. рабочих мест на отечественную ОС Astra Linux до конца 2024 года.

Помимо ОС, стали замещать и СУБД. Так, в мае 2021 года корпорация начала переносить финансовую систему с Oracle на Postgres Pro.

✅Напомним, что всё о миграции баз данных рассказывали здесь.

❗️O’Reilly: Инфраструктура как код
📚 Infrastructure as Code: Dynamic Systems for the Cloud Age

📕Описание
IaC (Infrastructure as Code) — это способ предоставления облачных ресурсов и управления ими как кодом. Использование шаблонов IaC позволяет получить определенные преимущества — повышение согласованности, возможность контроля версий и сокращение времени развертывания.

Еще десять лет назад концепцию IaC можно было назвать «инопланетной». Сегодня её применяют банки, телекомы и правительственные организации.

O’Reilly рассказывает о построении динамических облачных сред. Автор утверждает, что книга пригодится тимлидам и архитекторам инфраструктуры.

Структурно материал разбит на четыре части:

✅ в первой автор закладывает основы — как IaC помогает оптимизировать рабочие процессы в облаке;

✅ во второй — говорит о подходах к настройке, тестированию и мониторингу инфраструктурного стека;

✅ третий блок посвящен работе с кластерами и развертке приложений;

✅ четвертый — рассказ о построении бизнес-процессов в условиях, когда за инфраструктуру отвечает сразу несколько специалистов.

Читатели отмечают, что в целом книга стоит потраченного на неё времени. Однако в ней нет практики, только теория. Автор не приводит развернутые примеры конкретных реализаций облачной инфраструктуры и старается не упоминать реальные продукты cloud-провайдеров. Автор подразумевает, что читатель знаком с принципами Infrastructure as Code, поэтому не «закапывается» в базу.

В целом этот материал — must read для инженеров компаний, намеревающихся трансформировать корпоративную облачную инфраструктуру.

#полезное

​​❌ Новости инфобеза

Отмена административных регламентов ФСБ России

⛔️ ФСБ России признала утратившим силу Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны.

​​⛔️ Информация о прекращении применения некоторых СрЗИ

ФСТЭК России информирует о прекращении применения с 01.05.2023 отдельных средств активной акустической и вибрационной защиты акустической речевой информации в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки.

📝Перечень таких средств защиты информации приводится в информационном сообщении ФСТЭК России от 22.02.2023 «О прекращении применения отдельных средетв активной акустической и вибрационной защиты акустической речевой информации».

#инфобез

🔑 Как влезают в линуксовые бинарники?
Ниже серия постов с описанием и примерами методик вторжения и способами защиты.

Помимо описательной части, все сопровождается примерами на С/С++ и массой ссылок на первоисточники. Любителям основательного подхода рекомендуем!

Раз
Два
Три
Четыре
Пять

#полезное #заметкитехдира

👤75% компаний не выполняют требования закона о персональных данных

#нечаянный_инфобез

Компания «К2 Интеграция» провела опрос среди компаний и выяснила, что только 3% готовы к выполнению требований закона № 152-ФЗ "О персональных данных", вступивших в силу 1 марта 2023 года.

75% компаний до сих пор не выполнили требования первых поправок, действующих с 1 сентября 2022 года.

Также по результатам исследования:
– 66% компаний не начинали подготовку;
– 56% компаний сталкиваются с проблемами уведомления об инцидентах;
– 53% не разобрались с нюансами оценки вреда субъектам.

Напомним, что подготовили ряд материалов по выполнению требований № 152-ФЗ:

🛡Перечень НПА по ПДн с 01.03.2023 года

🛡Все цели обработки ПДн одним файлом

🛡Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных

🛡Чек-лист по выполнению новых требований закона №152-ФЗ

#персданные

💬Эволюция полос прокрутки с 1981 по 2015 год

Можно зайти на сайт и воспользоваться каждой

🔔Linux: выпуск пакетного менеджера APT 2.6 и дистрибутива Armbian 23.02

- Инструментарий и файлы конфигурации адаптированы для поддержки нового репозитория non-free-firmware, в который из репозитория non-free перенесены пакеты с прошивками, что позволяет обеспечить доступ к прошивкам без включения общего репозитория non-free.

- Оформление файла со списком авторских прав и текстами используемых лицензий (COPYING) переделано для упрощения автоматизированного разбора.

- Документирован параметр "--allow-insecure-repositories", отключающий ограничения по работе с незащищёнными репозиториями.

- В поисковых шаблонах реализована поддержка группировки с использованием круглых скобок и операции "|" (логическое ИЛИ).

- Добавлена поддержка поэтапных обновлений (phased update), позволяющих перед доставкой всем пользователям, вначале протестировать обновления на небольшой тестовой группе пользователей.

🔵Linux-дистрибутив Armbian 23.02 предоставляет компактное системное окружение для различных одноплатных компьютеров на базе процессоров ARM.

Для формирования сборок используются пакетные базы Debian и Ubuntu, но окружение полностью пересобирается при помощи собственной сборочной системы с включением оптимизаций для уменьшения размера, увеличения производительности и применения дополнительных механизмов защиты. Например, раздел /var/log монтируется с использованием zram и хранится в ОЗУ в сжатом виде со сбросом данных на накопитель раз в день или при завершении работы. Раздел /tmp монтируется при помощи tmpfs.

Проектом поддерживается более 30 вариантов сборок ядра Linux для разных платформ ARM и ARM64. Для упрощения создания своих системных образов, пакетов и редакций дистрибутива предоставляется SDK. Для подкачки используется ZSWAP. При входе по SSH предоставляется опция для использования двухфакторной аутентификации.

👮‍♂️В сервере автоматизации Jenkins с открытым исходным кодом была обнаружена пара серьезных уязвимостей.

Уязвимости, отслеживаемые как CVE-2023-27898 и CVE-2023-27905 и влияющие на сервер Jenkins и Центр обновлений, получили общее название CorePlague. Все версии версий Jenkins до 2.319.2 уязвимы. Пользователям рекомендуется обновить свой сервер Jenkins до последней доступной версии, чтобы снизить потенциальные риски.