Innostage PAM успешно прошёл сертификацию ФСТЭК России и получил сертификат 4 уровня доверия(№ 5025 от 30.12.2025). Это подтверждает соответствие продукта требованиям по защите самых чувствительных данных и критически важных систем, включая положения Федерального закона № 187‑ФЗ и ключевые приказы ФСТЭК. Сертификация позволяет официально применять Innostage PAM для управления привилегированным доступом в государственных информационных системах и на объектах критической информационной инфраструктуры высшего класса защищённости.

Где можно применять Innostage PAM:

— в ГИС до 1 класса защищённости (приказы ФСТЭК № 17 и № 117, вступает в силу с 01.03.2026)
— на значимых объектах КИИ до 1 категории включительно (187‑ФЗ, приказ ФСТЭК № 239)
— в АСУ ТП до 1 класса защищённости (приказ ФСТЭК № 31)
— в ИС персональных данных до 1 уровня защищенности (приказ ФСТЭК № 21)

Конец 2025 года стал для продуктового портфеля Innostage периодом активного развития по двум ключевым направлениям: глубокое обновление флагманских решений и расширение их экосистемы благодаря подтверждённой совместимости с ведущими отечественными платформами. Этот путь отражает общий тренд рынка на построение сбалансированных, безопасных и импортонезависимых ИТ-архитектур.

Эксперты компании Innostage выявили критическую уязвимость CVE-2025-47788 в ходе анализа популярного open source-продукта — веб-IDE Atheos.

Уязвимость была обнаружена в файле controller.php, который управляет маршрутизацией модулей. Причиной являлось отсутствие фильтрации значения параметра target в POST запросе при подключении файлов из каталогов components и plugins. Таким образом, с помощью Path Traversal злоумышленник мог подключить произвольный PHP-скрипт за пределами разрешённой области, что в дальнейшем привело бы к удалённому выполнению кода на сервере (RCE).

Этичный хакинг – неотъемлемая часть кибербезопасности. По оценке Innostage, 90% «белых» хакеров готовы работать открыто при условии, что закон будет их защищать и поощрять.

Российский рынок багбаунти и открытых кибериспытаний растет: так, общая сумма вознаграждений на площадке Standoff 365 Bug Bounty к маю 2025 года превысила 240 миллионов рублей.

В программах багбаунти участвуют не только ведущие ИТ-компании, но и государственные учреждения – например, свои программы есть у Минцифры России, а Московская и Ленинградская области еще в декабре 2023 года первыми запустили программы по поиску уязвимостей в своих инфраструктурах. Востребованность «белых» хакеров, в том числе пентестеров, так же растет: количество таких вакансий на рекрутинговых площадках в 2025 году выросло на 20% по сравнению с 2024 годом.

В то же время работа «белых» хакеров до сих пор сопряжена с юридическими рисками. Несмотря на то, что они действуют в рамках закона, грань между этичными специалистами и злоумышленниками остаётся тонкой. К примеру, наказание за взлом и копирование какой-то информации без соглашения с правообладателем – до двух лет лишения свободы, а если в скопированной информации содержится медицинская, банковская или коммерческая тайна, – то до семи лет. Получается, что, просто выполняя свою работу или участвуя в программе багбаунти, «белый хакер» потенциально рискует столкнуться с уголовной ответственностью.

Рост облачных сервисов и переход к гибридным ИТ-моделям делают вопросы информационной безопасности и цифровой устойчивости критически важными для бизнеса и государства. При этом на рынке ощущается нехватка отечественных решений, способных обеспечивать комплексную защиту данных, процессов и облачной инфраструктуры. Для решения этих задач Билайн и Innostage объявили о создании технологического альянса. Соответствующий меморандум подписан сегодня на Петербургском международном экономическом форуме.

Партнерство двух технологических лидеров отвечает на ключевые вызовы цифрового суверенитета: в 2024 году количество целенаправленных кибератак на российские предприятия выросло на 43%, при этом 31% всех атак пришелся на объекты критической инфраструктуры. Совокупный ущерб от киберинцидентов в России за 2024 год превысил 1 триллион рублей (1,4% ВВП страны).

22 мая на международном киберфестивале Positive Hack Days 2025 первый российский провайдер киберустойчивости Innostage объявил об увеличении с 10 до 20 млн рублей вознаграждения для «белых» хакеров за реализацию недопустимого события в своей инфраструктуре в рамках партнерства с АО «Кибериспытание». Символично, что компания вышла на открытые кибериспытания ровно год назад здесь же – на Positive Hack Days 2024 – и за это время ни один специалист не смог забрать награду.

26 мая 2024 года Innostage первой на рынке запустила программу открытых кибериспытаний. В основу обеспечения безопасности компании была положена собственная методология киберустойчивости CyberYool. Партнёром компании стала АО «Кибериспытание», специализирующееся на развитии методики кибериспытаний.

Через год количество «белых» хакеров, пытающихся взломать целевую ИТ-инфраструктуру Innostage, превысило 1200, было проведено более 900 тысяч кибератак, но ни одному исследователю так и не удалось реализовать недопустимое событие – что является главным условием выплаты вознаграждения.

«Сейчас открытые кибериспытания — это единственный независимый способ оценить свою киберустойчивость. Они позволяют перевести кибербезопасность на язык бизнеса, который понятен топ-менеджерам и собственникам бизнеса.  Innostage уже получил статус первого кибериспытанного интегратора, но мы не останавливаемся на этом. Сегодня мы объявляем о повышении вознаграждения до 20 миллионов рублей, потому что понимаем, что у защищённости нет конечной точки, и над ней необходимо постоянно работать. Кроме того, опыт, который мы получаем в рамках программы, позволяет нам внедрять новые практики и решения в наших проектах, в том числе на уровне выстраивания киберустойчивости регионов и наших клиентов,» — говорит Айдар Гузаиров, генеральный директор Innostage.

Провайдер цифровой устойчивости, ИТ-компания Innostage отразила сотни тысяч атак и стала первой компанией, прошедшей открытые кибериспытания (ОКИ) на платформе Standoff Bug Bounty.

Успешное завершение полугодовой программы подтвердил сертификат АО «Кибериспытания».

Новая форма проверки цифровой устойчивости бизнеса длится шесть месяцев. За это время неограниченное количество исследователей информационной безопасности пытается найти и использовать уязвимости в ИТ-инфраструктуре компании.

Innostage, один из ведущих интеграторов и разработчик решений в области цифровой безопасности, запустил лабораторию тестирования отечественных решений по сетевой инфраструктуре и безопасности — Innostage Network Security and Infrastructure (INSI). Лаборатория специализируется на импортозамещении всего комплекса оборудований для построения внутренней инфраструктуры: LAN, WLAN, EDGE и NGFW.

Основные задачи INSI включают комплексное тестирование отечественных вендоров, оценку их возможностей, сбор обратной связи от потенциальных пользователей и валидацию закрытия бизнес-потребностей. Эксперты лаборатории делают полный комплекс работ по замене решений по сетевой инфраструктуре и безопасности, в том числе закрывая отсутствующие функции в текущих решениях и связных элементов ИТ и ИБ инфраструктуры. По завершению миграции они могут обучить весь персонал на развёрнутом цифровом двойнике, который в точности повторяет реальную инфраструктуру.

Одно из первых тестирований, проведенное специалистами лаборатории — исследование межсетевого экрана нового поколения Positive Technologies (PT NGFW), в рамках которого была подтверждена высокая производительность продукта и корректная работа всех заявленных функций.

В результате исследования специалисты Innostage выяснили, что российские заказчики при выборе NGFW ориентируются в первую очередь на два критерия: функциональность и отказоустойчивость. Для крупных заказчиков плюсом к ним идут удобство интерфейса и широта интеграций, например с DLP, песочницей, антивирусом и т. д.

Innostage, интегратор и разработчик сервисов и решений в области цифровой безопасности, обнаружил уязвимость в веб-приложении российской платформы для автоматизации бизнеса BPMSoft. Уязвимость позволяла злоумышленникам удаленно повысить свои привилегии в системе.

Эксперты Innostage регулярно производят тестирование веб-приложений бизнеса с целью оценки их защищенности. Продукты, которые проходят через проверку — разноообразны. В их число входят как личные кабинеты пользователей, так и, например, инструменты для обработки телеметрии.

В ходе испытаний веб-приложения BPMSoft специалисты компании выявили уязвимость. Они определили, что нарушитель с минимальными привилегиями в системе мог поставить под угрозу безопасность продукта, повысив свои привилегии до уровня администратора. Это позволяло ему получить полный доступ к веб-приложению. При определенной конфигурации системы он даже мог вызвать удаленное выполнение кода.

Данные об уязвимости опубликованы в Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК). Вендор был своевременно уведомлен. Проблемы, к которым привела уязвимость, разработчиком в настоящее время устранены.

Пользователям рекомендуется обновить программное обеспечение до версии 1.2 или до 1.4, а также установить отдельный патч для версий 1.1 и ниже.

«Веб-приложения стали одной из основных целей злоумышленников. Они широко распространены и обладают обширным функционалом, что приводит к тому, что уязвимости в них встречаются очень часто. Мы наблюдаем значительный рост числа инцидентов, связанных с веб-приложениями, что подчеркивает необходимость усиленных мер безопасности. Защита веб-приложений критически важная задача для всех организаций, кто их использует» — отмечает руководитель центра компетенций тестирования на проникновение Innostage, Борисов Александр.

Компания Innostage, интегратор и разработчик сервисов и решений в области цифровой безопасности, выплатит вознаграждение в размере 100 тысяч рублей за реализацию промежуточного события в рамках программы открытых кибериспытаний. Действия исследователя безопасности привели к компрометации учетной записи сотрудника компании.  

Участник программы открытых кибериспытаний сформировал фишинговое сообщение, разослал его по сотрудникам Innostage и в результате смог завладеть учетной записью одного из них. Свои действия «этичный хакер» изложил в отчете и загрузил на багбаунти платформу Standoff365. В ходе проверки выяснилось, что компрометация учетной записи действительно состоялась, однако закрепление на корпоративной рабочей станции не произошло.

С 23 по 26 мая в олимпийском комплексе «Лужники» проходил международный киберфестиваль Positive Hack Days-2. Масштабное событие объединило экспертов, заказчиков ИБ услуг и всех, кто интересуется миром кибербезопасности. Насыщенная программа, продуктивные дискуссии, уникальные знания и новые знакомства — все это вызвало большой интерес у тысяч участников.

Привет, Хабр!

В сентябре прошлого года мы объявили о создании первого в России межвузовского центра противодействия киберугрозам (MSSP SOC). К нашему проекту присоединилось четыре вуза из Татарстана. Почти полгода мы занимались его техническим оснащением и сегодня готовы представить полностью упакованный Межвузовский SOC.