реклама
Теги → информационная безопасность
Быстрый переход

Экосистема «Базиса» стала основой первого в России облака КИИ

Решения виртуализации «Базис» стали основой «Облака КИИ» — первого на российском рынке защищённого облака, построенного на отечественных решениях и способным размещать объекты критической информационной инфраструктуры (КИИ).

Решения были успешно проверены на совместимость с другими компонентами импортозамещённого облака: сетевым оборудованием, серверами и СХД, а также системным ПО, таким как российские ОС. Кроме того, клиентам «Облака КИИ» в ближайшее время станут доступны для использования и другие решения, входящие в экосистему «Базис»: платформа виртуализации рабочих мест Basis Workplace, DevOps-конвейер для организации полного цикла разработки и тестирования Basis Digital Energy, средство резервного копирования кластеров Kubernetes и виртуальных машин Basis Virtual Protect.

«Облако КИИ» — первое в России мультитенантное защищённое облако, построенное на отечественных программных и аппаратных решениях, было запущено провайдером РТК-ЦОД в октябре текущего года. На данный момент это единственный такой продукт на рынке. Клиенты уже могут заказать IaaS-сервисы, т.е. разместить в облаке, например, системы геолокации и мониторинга, управления складом и логистики, аналитики производства, а также медицинские, банковские и другие ИС. На следующий год запланировано появление PaaS- и SaaS-сервисов.

 Источник изображения: «РТК-ЦОД»

Источник изображения: «РТК-ЦОД»

Безопасность «Облака КИИ» подтверждена аттестатом соответствия требованиям Приказа ФСТЭК №239, что позволяет размещать в нем объекты КИИ до 2 категории значимости включительно и обеспечивать защищённое подключение к нему пользователей. Вместе с тем данное облако аттестовано в соответствии с требованиями по обработке персональных данных 1 уровня защищённости, а также требованиями по защите информации государственных информационных систем 1 класса. Пользователями сервисов «Облака КИИ» в первую очередь могут быть организации-субъекты КИИ, но продукт также подойдёт крупным коммерческим компаниям, которые уделяют особое внимание защите своих информационных систем.

«За последние два года количество атак на средний и крупный бизнес, даже не относящийся к КИИ, увеличивается на десятки процентов ежегодно. Причём растёт количество не только случаев кражи чувствительных сведений или кибервымогательства, но и диверсий, когда целью злоумышленников является уничтожение данных или нанесение максимального ущерба инфраструктуре компании-цели. Виртуализация является одним из ключевых слоёв современной инфраструктуры, поэтому мы уделяем максимум внимания безопасности экосистемы «Базиса» — внедряем лучшие практики безопасной разработки, тестируем продукты на уязвимости, сертифицируем их и регулярно проходим инспекционный контроль ФСТЭК. Уверен, именно эти усилия привели к тому, что экосистема «Базис» был выбрана для первого в России отечественного облака КИИ», — отметил Давид Мартиросов, генеральный директор «Базис».

«Мы в РТК-ЦОД накопили огромный опыт в части хранения и обработки информации, а также обеспечения безопасности данных крупнейших государственных организаций и бизнеса. Объединив свой опыт с экспертизой наших партнёров, таких как «Базис», мы создали уникальный для российского рынка продукт. Альтернативой ему для бизнеса может быть самостоятельное создание защищённого частного облака, что потребует привлечения дорогостоящих специалистов, значительных вложений времени и ресурсов при отсутствии гарантии результата. Бизнес это понимает, и мы видим значительный интерес со стороны рынка, который уже превратился в первые успешные сделки», — прокомментировал Александр Обухов, директор по продуктам РТК-ЦОД.

Продукт РТК-ЦОД «Облако КИИ» в 2024 году получил награду CNews Awards в номинации «Проект года», REFORUM AWARDS в номинации «Компания, которая поменяла рынок», а также премию «Приоритет 2024» за развитие технологического суверенитета России.

Новая статья: Упакован по максимуму: обзор защитного решения Kaspersky Premium для домашних пользователей

Данные берутся из публикации Упакован по максимуму: обзор защитного решения Kaspersky Premium для домашних пользователей

Basis Virtual Security получил более ста новых функций и улучшений и подтвердил соответствие требованиям ФСТЭК по 4-му уровню доверия

Компания «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, представила обновленную версию своего продукта Basis Virtual Security, предназначенного для защиты данных в средах виртуализации. Релиз 3.2 получил 118 новых функций, различных улучшений и исправлений. Практически одновременно с этим Basis Virtual Security успешно прошел испытания на соответствие требованиям ФСТЭК к безопасности информации по четвертому уровню доверия (УД4).

В новом релизе Basis Virtual Security 3.2 появилась возможность резервного копирования виртуальных машин (ВМ), в том числе инкрементального. Создание резервных копий возможно как для работающих, так и для остановленных виртуальных машин, а для их хранения можно использовать NFS-хранилище. Графический интерфейс Basis Virtual Security также был существенно доработан, чтобы сделать процесс резервного копирования и восстановления ВМ комфортным для администратора.

 Источник изображений: «Базис»

Источник изображений: «Базис»

Значительные изменения в свежем релизе коснулись также контроля целостности виртуальных машин и работы с контрольными суммами — обновленные инструменты помогают администратору своевременно замечать несанкционированные изменения в подконтрольных виртуальных средах и принимать меры. В частности, были обновлены политики целостности: реализованы уровни их применимости отдельно для вычислительных узлов и виртуальных машин на Linux и Windows, добавлены действия над запущенными ВМ при нарушении целостности, появилась возможность запрета запуска виртуальных машин при нарушении эталона контрольных сумм вычислительных узлов. Кроме того, появилось журналирование задачи подсчета контрольных сумм, а для их вычисления можно использовать отечественные алгоритмы национального стандарта ГОСТ Р 34.11–2012.

Basis Virtual Security версии 3.2 успешно и, самое главное, быстро прошел испытания ФСТЭК, которые после каждого обновления обязаны проходить все решения, сертифицированные как средство защиты информации. Вместе с платформой виртуализации Basis Dynamix новый релиз подтвердил сертификацию по 4 уровню доверия на соответствие требованиям ФСТЭК к средствам виртуализации. Ранее «Базис» в два раза уменьшил — с 6 до 3 месяцев — срок прохождения испытаний ФСТЭК благодаря внедрению в компании современных инструментов безопасной разработки и активной работе специалистов вендора в Центре исследований безопасности системного ПО, созданного на базе ИСП РАН.

«Новый релиз Basis Virtual Security важен для нас не только как возможность продемонстрировать функциональность продукта, которую от нас ждали партнеры, но и как еще одно подтверждение правильности выстроенного нами процесса безопасной разработки и проектирования ПО. Мы уже добились значительного сокращение сроков прохождения испытаний на соответствие стандартам ФСТЭК и продолжаем дальше оптимизировать этот процесс. Результаты этой работы позволяют заказчикам сертифицированных решений «Базиса» оперативно получать обновления, а вместе с ними не только новые возможности продукта, но и большое количество различных улучшений и исправлений», — отметил Дмитрий Сорокин, технический директор компании «Базис».

В качестве средства защиты Basis Virtual Security позволяет управлять доступом к информационным системам (ИС), реализует технологию единого входа (single sign-on, SSO) в ИС, контролирует целостность средств виртуализации, обеспечивает многофакторную аутентификацию, регистрирует события безопасности и т.д. В целом, предлагаемые Basis Virtual Security инструменты реализуют подавляющее большинство технических мер защиты виртуальной среды. Предлагаемые возможности были по достоинству оценены рынком, и в сентябре 2024 года продукт занял первое место в рейтинге CNews «Средства облачной защиты-2024».

«Сбер»: в открытом доступе оказались данные 90 % россиян, а ущерб экономике от кибератак приближается к 1 трлн рублей за два года

Из-за действий киберпреступников в открытом доступе оказались персональные данные 90 % россиян, а суммарный ущерб для экономики страны от кибератак в 2023 и 2024 годах может составить 1 трлн руб., пишет «Коммерсантъ» со ссылкой на заявление зампреда правления «Сбербанка» Станислава Кузнецова.

 Источник изображения: Franz Bachinger / pixabay.com

Источник изображения: Franz Bachinger / pixabay.com

Ситуацию с утечками персональных данных жителей России господин Кузнецов назвал плачевной — их пик пришёлся на прошлый год, а в этом количество утечек стало немного сокращаться. По итогам 2024 года сумма похищенных у россиян средств достигнет 250 млрд руб., и если ситуация не изменится, общий объём ущерба от кибератак в 2023–2024 годах может подойти к отметке в 1 трлн руб. Утечки и кражи средств, по словам господина Кузнецова, имеют «тренд на увеличение».

Пик мошеннических звонков пришёлся на февраль и март этого года, когда их было до 20 млн в сутки; к настоящему моменту их стало 6–6,5 млн, но качество мошеннических схем повысилось. Число обнаруженных и заблокированных фишинговых ресурсов за первые девять месяцев 2024 года выросло на 116 % — хакеры стали размещать их на доменах третьего и более глубоких уровней, что усложняет их выявление.

За первую половину 2024 года на российские организации были совершены 355 тыс. DDoS-атак, и это на 16 % больше, чем за весь 2023 год. Для борьбы с этим явлением российские власти намерены увеличивать объём трафика, который проходит через технические средства противодействия угрозам — в 2030 году он должен достичь 725,6 Тбит/с.

В Windows обнаружена опасная уязвимость нулевого дня, которую закрыл сторонний разработчик

Разработчики платформы 0patch (принадлежит словенской Acros Security) выпустили бесплатный микропатч, который устраняет проблему с утечкой учётных данных NTLM в Windows. Microsoft обещала подключиться к решению проблемы позже.

 Источник изображения: Windows / unsplash.com

Источник изображения: Windows / unsplash.com

Проблема связана с утечкой учётных данных New Technology LAN Manager (NTLM) — набора разработанных Microsoft протоколов безопасности, которые используются для аутентификации пользователей и компьютеров в сети. Ещё в январе Microsoft исправила связанную с NTLM уязвимость CVE-2024-21320, но затем эксперт по кибербезопасности Akamai Томер Пелед (Tomer Peled) обнаружил, что злоумышленники могут обойти патч, отправив потенциальной жертве файл темы Windows и заставив её провести с ним некоторые манипуляции — открывать файл даже не требуется. После этих манипуляций Windows отправляет на удалённые хосты аутентифицированные сетевые запросы с учётными данными NTLN, принадлежащими пользователю.

В результате была зарегистрирована уязвимость CVE-2024-38030, связанная с подменой тем Windows — она была исправлена в июле. Специалисты Acros Security проанализировали проблему и выявили дополнительный экземпляр уязвимости, которая присутствует во всех полностью обновлённых версиях Windows вплоть до Windows 11 24H2. Компания сообщила о своей находке в Microsoft и отказалась публиковать подробности, пока софтверный гигант не исправит новую уязвимость, но выпустила собственный микропатч, который её закрывает. «Мы знаем об этом отчёте и примем необходимые меры, чтобы помочь защитить клиентов», — пообещали в Microsoft.

Чтобы эксплуатировать уязвимость, «пользователь должен либо скопировать файл темы, например, из электронного письма или чата в папку или на рабочий стол, либо посетить вредоносный сайт, с которого файл автоматически скачивается в папку „Загрузки“», — пояснили в Acros Security. То есть некоторые действия со стороны потенциальной жертвы всё-таки необходимы.

Троян FakeCall для перехвата звонков на Android получил ворох новых функций для кражи данных пользователей

Новая версия трояна FakeCall для мобильной ОС Android самыми изощрёнными способами перехватывает входящие и исходящие голосовые вызовы, транслирует злоумышленникам изображение экрана на телефоне, присылает им скриншоты, может разблокировать устройство и совершать многое другое. Об этом рассказали в компании Zimperium, которая специализируется на мобильной кибербезопасности.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Троян FakeCall впервые был обнаружен «Лабораторией Касперского» ещё в 2022 году — уже тогда он осуществлял атаки типа Overlaying, показывая собственное окно поверх легитимных приложений, и прибегал к другим уловкам, чтобы убедить жертв, что они разговаривают по телефону с работниками своего банка. В конце прошлого года эксперты CheckPoint опубликовали доклад об обновлённой версии вредоноса, который к тому времени маскировался под приложения двадцати финансовых организаций. Сейчас возможности трояна расширились — он может перехватывать входящие и исходящие звонки.

FakeCall распространяется через вредоносные приложения, которые пользователь сам загружает на свой телефон. Его прежние версии заставляли жертв звонить хакерам, а окно поверх телефонного приложения показывало номер банка, в котором обслуживается клиент. Новая версия трояна, используя службы специальных возможностей, сама становится обработчиком телефонных вызовов по умолчанию, получая разрешение пользователя, и уже не прибегает к Overlaying. Контролирующие вредоносную кампанию хакеры могут перехватывать входящие и исходящие вызовы. В одних случаях окно FakeCall показывает интерфейс стандартного телефонного приложения для Android и выводит на экран имена наиболее частых контактов жертвы; но если жертва пытается позвонить в банк или другое финансовое учреждение, троян направляет её на контролируемый злоумышленником номер телефона. Жертва думает, что разговаривает с сотрудником банка, и может сообщить ему конфиденциальную информацию, которая впоследствии может использоваться в мошеннических схемах.

 Источник изображения: Pexels / pixabay.com

Источник изображения: Pexels / pixabay.com

Последняя версия FakeCall обзавелась и другими новыми функциями: прямая трансляция происходящего на экране, отправка скриншотов злоумышленникам, разблокировка телефона и временное отключение автоблокировки — это неполный список возможностей трояна. Предполагается, что вредонос до сих пор активно разрабатывается и обрастает новыми возможностями.

Чтобы защититься от FakeCall, рекомендуется соблюдать стандартные меры цифровой безопасности: избегать установки приложений из файлов APK из непроверенных источников; чаще пользоваться крупными магазинами приложений и искать новые наименования прямо через них, а не переходить по ссылкам из внешних источников. Эксперты советуют включать на телефоне Google Play Protect — средство проверки загружаемых приложений — и параллельно пользоваться проверенными антивирусами. Не рекомендуется предоставлять приложениям доступ к ресурсам, которые не нужны для их непосредственной работы. Наконец, следует периодически перезагружать устройство, что поможет защититься от некоторых атак с использованием уязвимостей нулевого дня, которые осуществляются без участия пользователя.

Шифрование файлов cookie в Chrome оказалось легко взломать, но в Google заявили, что так и задумано

В одном из обновлений браузера Google Chrome минувшим летом появилась система шифрования файлов cookie, призванная защитить данные пользователей. Но всего за несколько месяцев её удалось обойти и экспертам по кибербезопасности, и злоумышленникам. Но в Google считают свою задачу выполненной.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Функция шифрования данных ABE (App-Bound Encryption) дебютировала в июле 2024 года с выходом Chrome 127. Шифрование осуществляется при помощи службы Windows с системными привилегиями. Инструмент призван предотвращать кражу вирусами информации, которая хранится в браузере: учётных данных для входа на сайты, файлов сеансов cookie и многого другого. «Поскольку служба App-Bound работает с системными привилегиями, злоумышленникам потребуется сделать больше, чем просто уговорить пользователя запустить вредоносное приложение. Теперь вредоносное приложение должно получить системные привилегии или внедрить код в Chrome, чего легитимное ПО делать не должно», — пояснили тогда в Google.

В конце сентября, однако, стало известно, что предназначенные для кражи данных вредоносы Lumma Stealer, StealC и многие другие смогли обойти эту функцию. В Google ответили, что это было ожидаемо, и хорошо, что изменения в браузере заставили злоумышленников изменить поведение. «Это отвечает наблюдаемой нами новой манере действий. Мы продолжаем сотрудничать с разработчиками ОС и антивирусов, чтобы пытаться надёжнее обнаруживать эти новые типы атак, а также продолжаем попытки усилить защиту от кражи информации у наших пользователей», — сообщили в Google.

Теперь эксперт по вопросам кибербезопасности Александр Хагена (Alexander Hagenah) разработал и опубликовал на GitHub инструмент Chrome-App-Bound-Encryption-Decryption, предназначенный для обхода механизмов шифрования Chrome — в описании автор отметил, что разработанная Google функция пока защищает только файлы cookie, но в перспективе, возможно, будет использоваться для защиты паролей и платёжной информации. В Google на появление проекта тоже отреагировали спокойно. «Этот код требует прав администратора, указывая, что мы успешно повысили привилегии доступа, необходимые для успешного осуществления атак этого типа», — заявили в компании.

Apple заплатит хакерам до $1 млн за взлом своей ИИ-инфраструктуры

Apple предложила всем желающим изучить надёжность своей системы Private Cloud Compute (PCC), которая предназначена для ресурсоёмких задач, связанных с запросами Apple Intelligence. За обнаруженные в ней уязвимости компания готова выплачивать до $1 млн.

 Источник изображений: apple.com

Источник изображений: apple.com

Apple неоднократно подчёркивала, что многие функции искусственного интеллекта в пакете Apple Intelligence работают локально, не покидая компьютера, iPhone или любого другого устройства. Но более сложные запросы всё-таки направляются на серверы PCC, построенные на чипах Apple Silicon и работающие под управлением новой ОС. Многие разработчики приложений с ИИ предлагают обработку запросов в облачной инфраструктуре, но не предоставляют пользователям возможности оценить, насколько безопасны эти облачные операции. Apple, которая традиционно провозглашает конфиденциальность пользователей приоритетной задачей, призвала независимых экспертов самостоятельно проверить защищенность её систем.

Для этого компания предложила:

  • руководство по безопасности с техническими подробностями работы PCC;
  • «виртуальную исследовательскую среду» (Virtual Research Environment), позволяющую провести анализ PCC на ПК — потребуется Mac на чипе Apple Silicon с 16 Гбайт памяти и последняя macOS Sequoia 15.1 Developer Preview;
  • опубликованный на GitHub исходный код «определённых ключевых компонентов PCC, которые помогают реализовывать требования безопасности и конфиденциальности».

В рамках программы поиска уязвимостей (bug bounty) Apple предлагает премии от $50 тыс. до $1 млн за обнаруженные в её продуктах ошибки. На следующей неделе ожидается выход iOS 18.1, с которой дебютируют первые функции Apple Intelligence. Накануне вышла бета-версия iOS 18.2 для разработчиков — в ней появились Genmoji и интеграция с ChatGPT.

Минцифры заблокировало более 500 тыс. мошеннических ресурсов за два года

Государственная информационная система «Антифишинг» прекратила или ограничила доступ к более чем к 500 тыс. мошеннических веб-ресурсов за два года. Об этом в ходе выступления на форуме «Спектр-2024» в Сочи рассказал замглавы Минцифры Дмитрий Угнивенко.

 Источник изображения: Copilot

Источник изображения: Copilot

«За время функционирования информационной системы «Антифишинг» был прекращён или ограничен доступ более чем к 500 тыс. ресурсов. Более 100 тыс. инцидентов относилось к фишингу, что составляет 20 % от общего количества», — заявил господин Угнивенко.

Он также рассказал, что с 2022 года за публикацию информации об изготовлении и обороте поддельных документов и сбыте наркотических веществ были заблокированы 244 415 ресурсов. Только в 2024 году были заблокированы 159 805 сетевых площадок. За распространение недостоверной общественно значимой информации с 2022 года заблокированы 133 197 ресурсов. За аналогичный период был ограничен доступ к 113 970 фишинговым сайтам: 59 876 блокировок в 2024 году, 39 918 блокировок в 2023 году, 14 176 блокировок в 2022 году. За продажу персональных или конфиденциальных данных заблокированы 31 786 ресурсов за два года.

Заместитель директора центра компетенций Национальной технологической инициативы «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков отметил, что фишинг в основном существует за счёт клонов банковских сайтов, фальшивых страниц авторизации в популярных сервисах и соцсетях, поддельных интернет-магазинов, сайтов техподдержки, страниц для участия в розыгрышах и акциях. Старший контент-аналитик «Лаборатории Касперского» Татьяна Куликова сообщила об интересе злоумышленников к схемам таргетированного фишинга на компании, например, с целью получения доступа к конфиденциальным корпоративным данным.

«500 тыс. — это капля в море. Например, только в российском реестре на сегодняшний день находятся 624 511 заблокированных доменов. Каждый день этот показатель увеличивается в среднем на 100-200 сайтов. Однако, если учесть, что эти 500 тыс. — запрещённые сайты, это указывает на масштабную проблему распространения нелегитимного контента, фишинга и других киберугроз», — считает директор компании Ideco Дмитрий Хомутов.

В России учетверилось число DDoS-атак в 2024 году, но они стали менее мощными

В России количество DDoS-атак в III квартале 2024 года увеличилось на беспрецедентные 319 % по сравнению с аналогичным периодом прошлого года, однако их пиковая интенсивность снизилась с 675 Гбит/с до 446 Гбит/с. К 2030 году правительство планирует увеличить пропускную способность технических средств противодействия угрозам (ТСПУ) до 725,6 Тбит/с. Эксперты предупреждают, что требуются более комплексные решения. Простое расширение каналов передачи данных может быть недостаточным для эффективной защиты от кибератак.

 Источник изображения: cliff1126 / Pixabay

Источник изображения: cliff1126 / Pixabay

Согласно исследованию Qrator Labs, которое охватило более 1000 компаний из разных секторов экономики, прирост DDoS-атак был отмечен на всех уровнях: на сетевом и транспортном уровнях увеличение составило 80 %, а на уровне приложений (веб-серверов) — 70 %.

DDoS-атаки представляют собой одну из наиболее серьёзных угроз стабильности ИТ-инфраструктуры. 14 октября 2024 года Роскомнадзор сообщил о мощной зарубежной кибератаке, направленной на системы отечественных операторов связи. Её пиковая интенсивность достигала 1,73 Тбит/с. В ответ на подобные инциденты правительство намерено к 2030 году увеличить пропускную способность ТСПУ до 725,6 Тбит/с. В настоящее время этот показатель составляет 329 Тбит/с, а к 2025 году должен достигнуть 378,4 Тбит/с. Важно отметить, что Роскомнадзор уже несколько лет занимается подключением компаний к системе для защиты от подобных угроз, продолжая развивать российскую инфраструктуру кибербезопасности.

Несмотря на значительное увеличение пропускной способности ТСПУ, эксперты предупреждают, что пропускная способность может оказаться недостаточной для эффективной фильтрации трафика при высоких нагрузках, характерных для сетевых атак. В случае превышения допустимой нагрузки оборудование может работать некорректно и даже привести к отказу в работе каналов передачи данных. Для операторов связи и интернет-провайдеров, активно внедряющих такие системы, это представляет серьёзную угрозу для стабильности их сетей.

Евгений Фёдоров, руководитель продуктового направления компании Innostage, подчеркнул, что для эффективной борьбы с DDoS-атаками требуется комплексный подход: от фильтрации трафика на уровне провайдеров до внедрения решений на уровне инфраструктуры. ТСПУ способны фильтровать аномальный трафик, однако злоумышленники быстро адаптируются к новым методам защиты. «Это можно сравнить с расширением автодорог: чем больше полоса пропускной способности, тем больше машин — пакетов данных, которые смогут пройти», — отметил эксперт. Без интеллектуальной маршрутизации и фильтрации трафика безопасность сети останется под угрозой.

Сервисы ВГТРК подверглись «беспрецедентной хакерской атаке»

В ночь на 7 октября онлайн-сервисы ВГТРК подверглись «беспрецедентной хакерской атаке», которая, тем не менее, не нанесла существенного ущерба работе медиахолдинга. Сообщение об этом появилось в официальном Telegram-канале компании.

 Источник изображения: Cliff Hang / pixabay.com

Источник изображения: Cliff Hang / pixabay.com

«Несмотря на попытки прервать вещание федеральных телеканалов, радиостанций холдинга, всё работает в штатном режиме, существенной угрозы нет. Специалисты холдинга ведут работу над устранением последствий этого вредоносного вмешательства», — говорится в сообщении ВГТРК.

По данным источника, фиксировались нарушения в работе онлайн-вещания и внутренних сервисов ВГТРК, прерывался доступ к интернету и не работала телефония. В компании об этом инциденте знали как минимум с 06:00 мск, и в настоящее время специалисты работают над устранением проблемы. В сообщении сказано, что злоумышленники «стёрли всё с серверов, включая резервные копии», из-за чего «восстановление займёт много времени».

В настоящее время сайт ВГТРК открывается, но полностью не загружается. При попытке просмотра онлайн-эфира какого-либо канала появляется сообщение об ошибке. При этом эфир через платформу «Смотрим», откуда происходит переадресация на сайт «Витрины ТВ», идёт в штатном режиме. Напомним, в состав медиахолдинга ВГТРК входят каналы «Россия-1», «Россия К», «Россия 24», «Россия РТР», «Карусель», радио «Маяк», «Вести FM», «Радио России», «Радио Культура», а также портал «Вести.ru» и платформа «Смотрим».

Google тестирует в поисковой выдаче синие галочки, которые означают, что «этот сайт — это именно тот сайт»

Компания Google экспериментирует с новой функцией проверки в поиске, которая должна помочь пользователям избежать перехода по поддельным или мошенническим веб-ссылкам. Как пишет The Verge, некоторые пользователи видят в результатах поиска рядом с ссылками на сайты синие галочки верификации, которые указывают на то, что компания, например, Meta или Apple, является подлинной, а не каким-то подражателем, пытающийся извлечь выгоду из узнаваемого бренда.

 Источник изображений: The Verge

Источник изображений: The Verge

«Мы регулярно экспериментируем с функциями, которые помогают потребителям определять надёжные компании в интернете. В настоящее время мы проводим небольшой эксперимент, показывающий галочки рядом с определёнными организациями в поиске Google», — сказала The Verge представитель Google по связям с общественностью Молли Шахин (Molly Shaheen).

Как пишет издание, синие галочки верификации можно обнаружить у Microsoft, Meta, Epic Games, Apple, Amazon и HP, однако отображаться они могут не для всех пользователей. Это говорит о том, что эксперимент не имеет широкого развёртывания.

При наведении курсора на галочку верификации отображается сообщение, в котором объясняется, что это действительно ссылка на ресурс того или иного бренда, а не на сайт мошенника, выдающего себя за кого-то другого. Для верификации ссылок используются автоматическая и ручная проверки, а также данные платформы Merchant Center, пояснила в разговоре с The Verge представитель Google.

Судя по всему, новый эксперимент с поиском Google является расширением функции Brand Indicators for Message Identification (BIMI), ранее появившейся в почте Gmail. Последняя позволяет почтовому сервису от Google отображать синюю галочку верификации рядом с именем отправителя письма, подтвердившего личность. Google пока официально не анонсировала планы по интеграции галочек верификации для поиска и не сообщила, когда больше пользователей смогут увидеть эту функцию.

Meta✴ хранила пароли европейцев в открытом виде — её оштрафовали на €91 млн

Отраслевой регулятор Евросоюза оштрафовал гиганта социальных сетей Meta Platforms на €91 млн за непреднамеренное хранение паролей пользователей в открытом виде. Расследование инцидента началось около пяти лет назад, когда Meta уведомила Ирландскую комиссию по защите данных (DPC) о том, что хранила пароли некоторых пользователей в незашифрованном виде. В ходе расследования было установлено, что третьи лица не имели доступа к пользовательским данным.

 Источник изображения: GregMontani / Pixabay

Источник изображения: GregMontani / Pixabay

«Широко распространено мнение, что пароли пользователей не должны храниться в открытом виде, учитывая риски злоупотреблений, возникающие при доступе к таким данным третьих лиц», — сказано в официальном заявлении заместителя главы DPC Грэма Дойла (Graham Doyle).

Представитель Meta рассказал, что компания немедленно приняла необходимые меры для исправления ситуации, как только инцидент был выявлен в процессе проверки безопасности в 2019 году. Он также добавил, что нет никаких доказательств того, что пароли использовались не по назначению и у кого-либо к ним был несанкционированный доступ. В Meta отметили, что компания конструктивно взаимодействовала с DPC на протяжении всего расследования.

Напомним, DPC является одним из основных отраслевых регуляторов Евросоюза. К настоящему моменту ведомство оштрафовало Meta на общую сумму в €2,5 млрд за нарушение требований Общего регламента по защите данных (GDPR), вступившего в силу в 2018 году. В 2023 году Meta была оштрафована на рекордные €1,2 млрд, но компания всё ещё пытается оспорить это наказание.

Решение «Базис» для облачной защиты виртуальных сред названо лучшим по версии рейтинга CNews

Продукт российского вендора «Базис» — комплексная система защиты виртуальной инфраструктуры Basis Virtual Security — занял первое место в рейтинге CNews «Средства облачной защиты-2024». Это первая сводная оценка данного класса решений в России.

Эксперты сопоставили продукты пяти российских разработчиков по восьми критериям, принципиальным для безопасной работы виртуальных сред. Basis Virtual Security набрал наибольшее количество баллов (378), опередив ближайшего конкурента на 54 пункта.

При составлении рейтинга аналитики учитывали следующие характеристики: кодовую базу для разработки решения, совместимость с российскими операционными системами, поддержку платформ виртуализации, функциональные возможности, вопросы безопасности, поддержку протоколов при аутентификации пользователей, поддержку протоколов для консолидированного сбора и индексации логов, длительность бесплатного тестового периода и розничную стоимость одной лицензии.

 Источник изображения: «Базис» / CNews

Источник изображения: «Базис» / CNews

Basis Virtual Security — программное средство защиты конфиденциальной информации, в 2020 году получившее сертификат соответствия ФСТЭК. Решение соответствует 4 уровню доверия и может применяться в значимых объектах КИИ первой категории, первых классах ГИС и АСУТП и первом уровне защиты ИСПДН.

В продукте реализованы технологии единого входа (Single Sign-On), управление доступом к информационным системам, многофакторная аутентификация и регистрация событий безопасности, а также контроль целостности и доверенная загрузка виртуальных машин и гипервизоров. Горизонтальная масштабируемость системы обеспечивается за счет кластеризации.

В сентябре 2024 года была выпущена обновленная версия системы Basis Virtual Security 3.2. Техническая команда вендора добавила в продукт политики реагирования на события нарушения целостности виртуальных машин и возможность выполнения периодических операций контроля целостности. Наряду с этим, удалось повысить производительность подсчёта контрольных сумм файлов виртуальных машин и вычислительных узлов, улучшить пользовательский опыт и обеспечить совместимость с ALD Pro в режиме LDAP-федерации.

Россиян обучат кибербезопасности за 820 миллионов рублей

Министерство цифрового развития анонсировало программу кибергигиены и информационной безопасности для граждан РФ стоимостью 820 миллионов рублей. В рамках национальной программы «Цифровая экономика» запланировано обучение основам кибербезопасности 10,9 миллионов человек. На курсах, вебинарах и в обучающих материалах в медиа и социальных сетях особое внимание будет уделяться повышению осведомлённости о методах защиты личной информации в интернете.

 Источник изображения: Минцифры РФ

Источник изображения: Минцифры РФ

287 миллионов рублей будет потрачено на создание специализированных обучающих порталов для госслужащих. 285 миллионов рублей выделено на научные гранты в сфере информационной безопасности для аспирантов и молодых учёных. На повышение квалификации преподавательского состава будет направлено 199 миллионов рублей. Предусмотрен анализ и оценка актуальности образовательных программ в области кибербезопасности.

«Повышение уровня информационной безопасности населения — это важная задача в современном, цифровизированном обществе. Наша компания 4 года назад взяла курс на просвещение в сфере ИБ и за это время успела провести ряд активностей, которые помогали и помогают разобраться широкой аудитории в сложных вопросах инфобеза. Уверен, что дополнительное финансирование, направленное на усиление кибергигиены, в рамках данной национальной программы — это про эффективность, ведь сегодня основы кибербезопасности важно донести до каждого», — говорит эксперт компании «Газинформсервис» Григорий Ковшов.

3-4 октября «Газинформсервис» проводит форум Global Information Security Days 2024, онлайн-трансляция которого доступна после регистрации на официальном сайте.

 Источник изображения: «Газинформсервис»

Источник изображения: «Газинформсервис»

«Газинформсервис» — один из крупнейших в России системных интеграторов в области безопасности и разработчиков средств защиты информации. Компания работает с 2004 года, реализует весь комплекс услуг, необходимых для создания систем информационной безопасности и комплексов инженерно-технических средств охраны любого масштаба.

window-new
Soft
Hard
Тренды 🔥
Commandos: Origins не выйдет в 2024 году из-за отзывов игроков — что улучшат к релизу 59 мин.
Intel представила технологию XeSS2 с генерацией кадров — FPS вырастет до четырёх раз 2 ч.
Глава FromSoftware подтвердил, что студия делает не Elden Ring 2, а «несколько проектов широкого круга жанров» 2 ч.
К Microsoft подали иск на £1 млрд за то, что Windows Server в облаках конкурентов стоит дороже 4 ч.
Владелец «Спаса» обвинил Google в сокрытии от акционеров штрафа в 8 ундециллионов рублей 5 ч.
«Добро пожаловать»: постоянную цену «Смуты» в VK Play снизили, «не мелочась, на тысячу рублей» 5 ч.
Apple грозит групповой иск на $1 млрд из-за 30-процентной комиссии в приложениях 6 ч.
Глава разработки новой Mass Effect назвал дополнение к Mass Effect 2, в которое «обязательно стоит сыграть» перед следующей частью 6 ч.
Интерпол арестовал более 5500 подозреваемых в киберпреступлениях и онлайн-мошенничестве 7 ч.
Blizzard скоро снимет Warcraft и Warcraft 2 с продажи в GOG, но магазин CD Projekt их не бросит 8 ч.