Рособрнадзор заверил, что утечка контрольных материалов ЕГЭ и ОГЭ до начала экзамена невозможна благодаря многоступенчатой защите.
«Утечка КИМ до начала экзаменов невозможна. Это связано с использованием сложной технологии с многоступенчатой защитой, от процедуры разработки КИМ до направления в пункт проведения экзамена и момента получения ключа расшифровки заданий перед началом экзамена», — сообщили ТАСС в ведомстве.
Привет, Хабр!
ФСТЭК России и ИСП РАН разработали новый стандарт, регулирующий внедрение и использование статического анализа — ГОСТ Р 71207—2024. В нём собрали все требования к инструментам статического анализа и другим смежным аспектам, которые касаются безопасной разработки ПО. С 1 апреля 2024 года стандарт введён в действие.
ГОСТ — технический документ, который сложно изучать неподготовленному читателю. Вместо чтения обобщённых описаний хочется узнать, как это может выглядеть и работать на практике. Для помощи с пониманием стандарта Андрей Карпов подготовил эту мини-книгу, которая описывает ГОСТ глазами разработчика. Повествование сопровождается примерами кода с ошибками.
Что вы узнаете:
Доля мирового трафика, которая приходится на ботов, впервые превысила трафик, создаваемый живыми людьми, выяснили аналитики компании Imperva. По их словам, это связано с использованием ИИ и нововведениям в криминальной сфере.
«Инфосистемы Джет» представила результаты исследования, посвященного вызовам, которые стоят перед руководителями информационной безопасности (CISO). Эксперты выяснили, что CISO активно переосмысливают подходы к ИБ и смещают фокус на практики киберустойчивости, которые помогают не только реагировать и предотвращать атаки, но и оперативно адаптироваться и восстанавливаться.
Опрос CISO более чем 70 компаний показал, что долгосрочное ИБ-планирование заменяют более гибкими и адаптивными подходами. Если в 2023 году 32% компаний использовали пятилетнее планирование, то в 2024-м такой подход выбирали всего 15%. В основном компании делают ставку на краткосрочные стратегии до трех (57%) или до двух лет (25%) — они позволяют быстрее реагировать на новые вызовы. Появляются в том числе единичные игроки, которые предпочитают планирование до года — их доля составила 4%.
Руководители сконцентрировались на обеспечении непрерывности, проактивном обнаружении атак и эффективном управлении ресурсами. Это привело к «пересборке» архитектуры ИБ с применением современных практик киберустойчивости. Спрос на услуги тестирования Disaster recovery и Business continuity планов для проверки киберустойчивости увеличился более чем на 30%, а самым частым тестируемым сценарием был выбран сценарий успешной атаки вируса-шифровальщика.
Смотрите на ТВ-канале «Большой эфир», в социальных сетях и на YouTube-канале компании «Газинформсервис» новый выпуск шоу об информационной безопасности и кулинарии — «Инфобез со вкусом». Гостем проекта стал Сергей Никитин, руководитель группы управления продуктами компании «Газинформсервис».
Nintendo попросила суд в Калифорнии принудить сервис Discord раскрыть личность пользователя GameFreakOUT, стоящего за прошлогодней масштабной утечкой данных игровой студии Game Freak.
23 апреля 2025 года глава Минцифры РФ Максут Шадаев на конференции «Телеком будущего — 2025» заявил, что запрещать работу мессенджеров в России не планируется. По его словам, комплексное регулирование позволяет обеспечивать безопасное использование приложений без полного запрета.
К2Тех и К2 Кибербезопасность запустили комплексную услугу по защите от вирусов-шифровальщиков, которые стали одной из главных угроз потери данных и остановки критичных процессов в организациях любых размеров и отраслей. Для борьбы с ними компании объединили свой опыт и выделили команду из 80+ специалистов с сертификатами ведущих производителей ПО и средств защиты информации. Главная цель — помочь бизнесу не только снизить риски проникновения вируса-шифровальщика в ИТ-инфраструктуру, но и минимизировать последствия уже произошедшего инцидента.
Для организаций, которые стремятся максимально снизить бизнес-риски, в том числе финансовые потери, предусмотрен комплексный подход — от аудита текущего уровня кибербезопасности и готовности организации к противостоянию атакам шифровальщиков (в т.ч. с использованием пентестов) до формирования дорожной карты по совершенствованию ИТ-инфраструктуры и внедрения передовых средств защиты информации с прогнозируемым бюджетом. А также круглосуточный мониторинг и реагирование на инциденты — подключение к Центру мониторинга кибербезопасности (SOC) в защищенном облаке, соответствующем требованиям ИБ-регуляторов. Комплекс работ разрабатывается индивидуально под каждого клиента.
Те компании, где инцидент уже произошел, могут обратиться за экстренной помощью — первичная оценка последствий атаки и консультация по плану их устранения проводятся в кратчайшие сроки и на бесплатной основе. После этого команда экспертов поможет заказчику восстановить ИТ-инфраструктуру, минимизировать ущерб и проведет расследование инцидента для снижения риска повторного заражения шифровальщиком.
Крупнейший оператор мобильной связи Южной Кореи SK Telecom предупреждает, что заражение вредоносным ПО позволило злоумышленникам получить доступ к конфиденциальной информации клиентов, связанной с USIM.
Google отменяет запланированные изменения по поддержке сторонних файлов cookie в Chrome. Вице-президент Google Privacy Sandbox Энтони Чавес заявил, что компания решила «сохранить текущий подход к предоставлению пользователям выбора сторонних файлов cookie в Chrome».
Microsoft сообщила о выплате более $1,6 млн белым хакерам в рамках своего первого масштабного мероприятия по информационной безопасности под названием Zero Day Quest.
«Ростех» внедряет собственную защищённую беспроводную связь на промышленных предприятиях. Новая система заменит зарубежные аналоги Private LTE и устаревший промышленный Wi‑Fi. Проект реализуется совместным предприятием «РТ‑УльтимаТек», созданным компаниями «РТ‑Проектные технологии» и «УльтимаТек». Система обеспечивает высокоскоростную защищенную радиосеть малого радиуса действия для заводов.
Банк России опубликовал первый ренкинг кредитных организаций РФ по числу жалоб клиентов на услуги кредитования за январь — декабрь 2024 года, говорится в сообщении регулятора.
Компания F6 обнаружила новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков. Главное отличие: вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты. Когда в результате атаки мошенников жертва через банкомат попытается зачислить деньги на свой счёт, вся сумма отправится на карту дропа. Общий ущерб клиентов российских банков от использования всех вредоносных версий NFCGate за первый квартал 2025 года составил 432 млн рублей.
«Лаборатория Касперского» сообщила о новой фишинговой схеме. Злоумышленники рассылают письма с вложениями в формате SVG. Цель — украсть логины и пароли от аккаунтов Google и Microsoft. По данным компании, в марте 2025 года число таких атак выросло почти в шесть раз по сравнению с февралем. С начала 2025 года обнаружено 4 тысяч подобных писем.
В системе проверки владения доменом удостоверяющего центра SSL.com обнаружена уязвимость, позволявшая получить TLS-сертификат для любого домена, предоставившего электронную почту атакующему.
В 2024 году образовательные приложения, представленные в российских магазинах, вышли на первое место по количеству найденных критических уязвимостей. Эксперты AppSec Solutions подсчитали, что в таких приложениях было обнаружено 683 критических уязвимости, которые открывали доступ к личным данным и давали простор для фишинга.
22 апреля 2025 года состоялся релиз стабильной версии браузера Mullvad Browser 14.5, ориентированного на конфиденциальность. Проект основан на движке Firefox, но не использует сеть Tor и отправляет запросы напрямую. Браузер доступен всем желающим. Его код распространяется под лицензией MPL 2.0. Версия Mullvad Browser 14.0 вышла в ноябре 2024 года.
Главный онлайн-кэмп по практической кибербезопасности CyberCamp 2025 объявил Call for Papers — прием заявок на доклады от действующих ИБ-специалистов официально открыт. В этом году мероприятие впервые продлится целую неделю — с 20 по 25 октября, доклады запланированы на 21, 22 и 23 октября.
Организаторы приглашают экспертов по информационной безопасности поделиться опытом и знаниями, представив доклады по темам, интересующим Red Team (атакующие), Blue Team (защитники) и Yellow Team (архитекторы систем ИБ). Заявки принимаются до 15 июня.
Разработчик Джонатан Проценко из Microsoft Research сообщил об успешном завершении инициативы по замене в Python реализаций криптографических алгоритмов, предлагаемых в модулях hashlib и hmac, на варианты с математическим (формальным) доказательством надёжности, подготовленные проектом HACL*. Работа по переходу на функции с математическим доказательством надёжности велась с 2022 года и была инициирована после выявления переполнения буфера в реализации алгоритма SHA3, используемой в Python‑модуле hashlib.
