ИСП РАН уже более пятнадцати лет проводит фундаментальные и прикладные исследования, связанные с разработкой и применением технологий анализа программ для обеспечения кибербезопасности. Результаты исследований реализованы в виде комплекса инструментов, обеспечивающих разработку безопасного ПО. Наряду с широко известными инструментами статического анализа программ, такими как Svace и Svacer, в ИСП РАН разработан ряд решений по динамическому анализу ПО.

О комплексе Sydr-Fuzz, инструментах Sydr, CASR и Natch, а также об их работе рассказал Вартан Падарян, заведующий лабораторией ИСП РАН, руководитель органа по сертификации процессов РБПО.

Британия снова потребовала от Apple создать бэкдор в iCloud — чтобы местные власти могли получить доступ к зашифрованным резервным копиям данных пользователей страны

Прошлое, февральское, требование касалось «яблоководов» по всему миру, однако, в августе директор Национальной разведки США Тулси Габбард сообщила, что после переговоров королевство отозвало свой запрос.

Apple же тогда подала апелляцию на распоряжение британского правительства в Трибунал по расследованию полномочий. Меж тем тихгигант отключил предполагающую сквозное шифрование функцию Advanced Data Protection на территории страны — она гарантирует владельцам гаджетов, что только они смогут разблокировать данные из «облака» на своих доверенных устройствах.

«Как мы уже неоднократно заявляли, мы никогда не создавали бэкдоров или мастер-ключей для каких-либо продуктов или услуг, и мы никогда этого не сделаем», — повторили в Купертино в ответ на второе требование.

Однако некоммерческая организация Privacy International констатировала, что новый указ британского правительства «может представлять такую ​​же серьёзную угрозу для мировой безопасности и конфиденциальности, как и старый», и если Apple будет вынуждена создать бэкдор для одной страны, то, по сути, он будет работать для всех регионов.

Председатель набсовета Мосбиржи Сергей Швецов заявил, что Россия сильно отстала от «сопредельных стран» в области ЦФА, хотя институционализировала этот рынок раньше их

По его словам, регуляторы «погрязли в дискуссиях о том, как сделать качественно без количества».

«Это немножко обидно. У нас было хорошее преимущество, хорошие предпосылки быть пионерами, а сегодня приезжаешь в Белоруссию, Киргизию, Узбекистан и чувствуешь, что ребята на полкорпуса впереди нас. Российские граждане больше пользуются инфраструктурой этих стран, чем России. <...> Мы сразу пытаемся без количества найти качество, потому что регулятор лучше знает, как надо, и мы не готовы дать рынку поэкспериментировать», — отметил Швецов.

Изначально платформы должны были реализовать блокчейн-технологии, а операторы обмена эти платформы объединить, но, как пояснил эксперт, операторы информсистем решили, что могут не подключать операторов обмена, если «не хочется», а эмитенты коинов построили свои блокчейны, вместо того чтобы использовать открытые решения.

6 октября UserGate открыла киберлабораторию в Национальном исследовательском ядерном университете «МИФИ»

Ежегодную профильную ИБ-подготовку там смогут проходить около сотни студентов.

«МИФИ» стал уже третьим вузом-партнёром вендора, на базе которого открылась специализированная площадка, — после Российского государственного университета нефти и газа им. И. М. Губкина и Новосибирского государственного технического университета. Все три лаборатории оснащены современными программно-аппаратными комплексами, использующими оригинальный софт компании.

«МИФИ — один из наших надёжных академических партнёров. Университет выпускает высококвалифицированных специалистов в сфере ИТ, некоторые из которых работают в том числе и в UserGate. Создание лаборатории по информационной безопасности — это наш вклад в подготовку дефицитных ИТ-кадров, помощь вузу и отрасли в целом. Ведь помимо того, чтобы сделать классное цифровое решение, важно ещё инвестировать в тех, кто эти решения изучает и работает с ними в дальнейшем», — прокомментировал событие Дмитрий Курашев, директор-сооснователь UserGate.

В церемонии открытия приняли участие замглавы Минцифры Александр Шойтов, исполнительный директор Ассоциации предприятий компьютерных и информационных технологий Николай Комлев, исполнительный директор Ассоциации российских разработчиков и производителей электроники Иван Покровский, а также председатель Федерального учебно-методического объединения ИБ Евгений Белов.

Банк России представил новый список системно значимых банков — кредитных учреждений, на чью долю приходится около 80% совокупных активов отечественного финсектора

В него вошли «Сбер», ВТБ, «Альфа-Банк», «Газпромбанк», «Т-Банк», «Россельхозбанк», «ЮниКредит Банк», «Совкомбанк», «Райффайзенбанк», МКБ, ПСБ и «Банк ДОМ.РФ». Последний появился в этом перечне впервые, а присутствовавшие в прошлогодней версии банк «Открытие» и «Росбанк» присоединились к ВТБ и «Т-Банку» соответственно.

Системно значимые банки — среди прочего — должны добавить в свои приложения функцию для жалоб на мошенников.

Ранее: Австрийская Raiffeisen Bank International вновь не смогла согласовать продажу своего российского бизнеса, потому что «смена владельца приведёт к введению санкций против банка»

Когда каждый наш шаг оставляет след в Сети, а личные данные превратились в ценный ресурс, умение защищать информацию становится не просто профессией, а настоящим искусством.

Музей криптографии — первый и единственный в России научно-технический музей, посвящённый криптографии, смежным областям и технологиям коммуникации, открытый в декабре 2021 года. Благодаря уникальной коллекции шифровальных устройств, средств передачи информации и архивных документов, музей рассказывает об истории, современности и будущем криптографии, а также о людях и изобретениях, оказавших влияние на мир.

Что можно посмотреть в Музее криптографии и почему криптография — это не только про хакеров и спецслужбы, но и про каждого из нас, рассказали Дарья Ежова и Марина Нужных, студентки факультета журналистики МосГУ.

После обнаружения трёх новых уязвимостей в Google Gemini эксперты предупредили, что сетевым защитникам следует начать рассматривать интеграцию ИИ как активную поверхность угроз

Компания Tenable назвала своё последнее открытие Gemini Trifecta, поскольку оно включает три способа, вооружившись которыми, злоумышленники могут манипулировать Google GenAI.

Первая уязвимость, связанная с непрямым внедрением подсказок, затрагивает Gemini Cloud Assist. Атака осуществляется путём вставки контролируемого хакером текста в запись журнала, которая затем суммируется Cloud Assist, а также за счёт «распыления» на все общедоступные сервисы. После чего эти инструкции непреднамеренно выполняются инструментом Google.

Второй метод атаки с использованием косвенного внедрения подсказок нацелен на модель персонализации поиска Gemini, которая контекстуализирует ответы на основе истории поиска пользователя.

Третья уязвимость заключается в том, что Gemini Browsing Tool, используя вредоносные запросы, отправляет конфиденциальные данные жертвы на серверы, контролируемые атакующими. Сервис позволяет модели получать доступ к текущему веб-контенту и генерировать сводки на его основе, открывая вектор утечки по сторонним каналам.

Авторы отчёта предупредили, что поверхность атаки может быть даже шире и включать сервисы облачной инфраструктуры, корпоративные инструменты повышения производительности и сторонние приложения.

Согласно новому отчёту PwC, искусственный интеллект является главным инвестиционным приоритетом в бюджетах на кибербезопасность в ближайшие 12 месяцев

В глобальном исследовании доверия к цифровым технологиям приняло участие 3887 топ-менеджеров компаний из 72 стран, 1740 из которых — CISO.

36% руководителей бизнес- и технологических подразделений назвало ИБ на основе нейросетей одним из трёх главных приоритетов бюджета, что опережает облачную безопасность (34%), сетевую защиту и модель нулевого доверия (28%), сохранность данных (26%) и управление угрозами (24%). 60% респондентов заявило, что увеличивают инвестиции в киберриски в ответ на текущую геополитическую ситуацию, и только 6% констатировало, что они способны противостоять атакам по всем известным уязвимостям.

Опрошенные CISO поставили на первое место возможности ИИ по поиску угроз (48%). Далее следует внедрение агентских решений на основе нейросетей в безопасность облаков (35%). Обнаружение событий и поведенческая аналитика, управление идентификацией и доступом, а также сканирование и оценка уязвимостей были отмечены примерно третью ИБ-руководителей.

Среди проблем применения ИИ для киберзащиты были выделены нехватка знаний о технологии (50%) и недостаток соответствующих навыков (41%).

В начале 2025 года во всех чипах карт Visa и Mastercard утратили силу сертификаты безопасности, сообщил гендиректор Национальной системы платёжных карт Дмитрий Дубынин

Это — помимо прочего — ведёт к ограничению обслуживания «пластика» с истёкшим сроком.

«Это именно просроченные карты. Это не про ограничение срока действия карт, а про возврат к модели, когда карты были срочными», — уточнил Дубынин.

Он добавил, что прекращение работы банковского продукта, заявленный срок которого вышел, является вопросом безопасности платёжного средства.

Сейчас НСПК опрашивает участников финрынка на предмет планов вывода из оборота банковских карт Visa и Mastercard, также рассказал эксперт. Собранные мнения будут представлены в ЦБ РФ.

Третий день форума GIS DAYS, который прошел 3 октября в Москве, собрал большое количество участников: 3000 человек офлайн и около 300 тыс. человек онлайн. В фокусе внимания экспертов, представителей власти и бизнеса, были настоящее и будущее ИБ-отрасли, роль больших языковых моделей в кибербезе, регуляторика и многое другое.

Об изменениях на рынке труда из-за распространения технологий ИИ, повышении ставки НДС и сложностях с включением в реестр российского ПО, прогнозах экспертов и событиях на форуме рассказали в статье «Форум GIS DAYS 2025: испытания нас только закаляют».

В Max добавили возможность подписывать документы через «Госключ» — на этот раз для физлиц

В VK пояснили, что опция будет полезна при подтверждении договора купли-продажи, обращения в суд и других документов.

Чтобы воспользоваться новой функцией, необходимо иметь подтверждённую учётную запись на портале госуслуг и сертификат электронной подписи, а также обновить сам мессенджер до последней версии.

Непосредственно для подписания нужно найти чат-бот «Госключ» по названию в поиске Max, подтвердить профиль для первого использования сервиса с помощью «Госуслуг», собственно загрузить документы, выбрать тип ЭП и подтвердить процедуру. Если же у пользователя нет приложения «Госключ», система перенаправит в магазин ПО для его установки.

ВТБ готовит пилот бесконтактной оплаты для пользователей iPhone с помощью своего сервиса ВТБ Pay

Об этом на полях FINOPOLIS 2025 рассказал старший вице-президент, руководитель департамента продуктов розничного бизнеса компании Алексей Охорзин.

Решение разработано совместно с Национальной системой платёжных карт на базе технологии «Волна» и будет работать во всех терминалах, поддерживающих оплату таким способом.

По данным кредитной организации, сегодня четверть её клиентов заходит в приложение «ВТБ Онлайн» с iOS-устройств и оплачивает покупки картами, стикерами или наличными. В банке считают, что запуск нового инструмента расширит возможности моментальной бесконтактной оплаты для этой категории граждан.

Для активации сервиса необходимо подключить «ВТБ Pay» в приложении «ВТБ Онлайн» и активировать Bluetooth на смартфоне. Непосредственно во время оплаты — выбрать «ВТБ Pay», поднести гаджет к терминалу и подтвердить покупку. Деньги моментально спишутся с карты.

Чтобы использовать DAST на практике, заказчик должен понимать, как работает этот класс решений, для каких целей его нужно выбирать, какие приложения и в каких сценариях необходимо анализировать и, наконец, как работают собственные сканируемые приложения.

Валерий Куваев, руководитель направления защищённой разработки ГК SolidLab, разобрал некоторые аспекты динамического анализа веб-приложений с упором на актуальный опыт применения и пилотирования решения по динамическому анализу SolidPoint DAST в статье «Проблемы динамического анализа веб-приложений и API. Как мы их решаем».

Реклама. ООО «СОЛИДСОФТ», ИНН: 7714944046, Erid: 2VfnxxZoFYt

«Вестник Киберполиции России» предупредил, что при продаже или передаче третьим лицам старого смартфона находившаяся в нём информация может попасть к злоумышленникам — даже при сбросе устройства до заводских настроек

«Распространённое заблуждение, что сброс к заводским настройкам полностью очищает память устройства (а многие не делают даже этого), создаёт значительные риски для конфиденциальности. Процедура сброса зачастую лишь разрывает логические связи с данными, в то время как сама информация остается в памяти устройства до момента её перезаписи», — пояснили эксперты МВД.

Они уточнили, что новые владельцы гаджета с помощью специализированного ПО могут восстановить:
- Фрагменты медиафайлов;
- Метаданные и следы активности;
- Историю браузера;
- Переписку в мессенджерах;
- Геоданные;
- Учётные записи и токены аутентификации.

По данным ENISA, за последний год фишинг и эксплуатация уязвимостей фигурировали в большинстве случаев первоначального доступа при кибератаках на организации ЕС

Ведомство упомянуло это в своём отчёте ENISA Threat Landscape 2025, основанном на анализе 4875 инцидентов за период с 1 июля 2024 года по 30 июня 2025-го.

За это время на фишинг пришлось 60% зарегистрированных вторжений, а эксплуатация уязвимостей заняла второе место с большим отрывом — 21%. Ботнеты (10%) и вредоносные приложения (8%) замыкают список основных виновников, причём к последующему развёртыванию вредоносов приводило 68% атак.

Отмечено также, что ИИ помогает злоумышленникам масштабировать и совершенствовать свои кампании: так, фишинг с использованием нейросетей к началу текущего года составлял более 80% от всех ИБ-инцидентов в мире, связанных с социальной инженерией.

Нередко к перебоям в работе сервисов в ЕС приводят и DDoS-атаки. В рассмотренном периоде хактивисты были основным источником угроз (79%), в то время как 13% кейсов имело финансовую подоплёку, а 7% — было сосредоточено на кибершпионаже.

Однако, по данным ENISA, становится всё сложнее отделить деятельность, спонсируемую государством, от хактивизма из-за конвергенции тактик, техник и процедур, а также эпизодов «фейкового» терроризма — когда одни выдают себя за других. Сектор госуправления (38%) стал наиболее подверженным атакам в указанный отрезок времени как раз по вине групп, представляющих два вышеназванных вида киберпреступности.

Профильные ИТ-ресурсы пишут, что «Сбер» массово замещает своих айтишников ИИ-инструментами — до 20-25% штата

Уточняется, что практика затронула не только собственно банк, но и его дочерние структуры: «ЕАптека», «Звук», Okko, «Самокат», «Домклик», «Драйв» и «2ГИС».

Источники CNews в самих компаниях утверждают: в некоторых отделах увольнения касаются всех сотрудников, кроме менеджера и нескольких ключевых специалистов, но есть и департаменты, которые сокращаются полностью. В самом же «Сбере» процесс называют оптимизацией.

«На бумаге внедрение ИИ должно помочь выполнять рутинные операции, но на деле никакого позитивного эффекта нет — только гонка с препятствиями, чтобы отчитаться о внедрении искусственного интеллекта в процессы», — отметил один из собеседников издания.

Другой же предположил, что так банк просто сокращает расходы. Уволенным в рамках этой кампании, по словам источников журналистов, предлагается от двух до четырёх окладов с учётом годовой премии.

Хакеры применяют шифрование, анонимизацию и новые технологии быстрее, чем регулирующие и правоохранительные органы успевают адаптироваться, что создаёт серьёзную проблему доступа к данным для проведения расследований

Это предупреждение прозвучало в Гааге, на четвёртой ежегодной конференции Европола по киберпреступности.

Пять сотен участников со всего мира собралось на мероприятии, чтобы обсудить злободневный вопрос: как сбалансировать законный доступ к информации с защитой конфиденциальности и цифровых прав.

«Данные являются одновременно движущей силой инноваций и источником, подпитывающим активность современной преступности», — заявила исполнительный директор силового ведомства Катрин Де Болле.

Еврокомиссар по внутренним делам и миграции Магнус Бруннер в своём выступлении подчеркнул неотложность скоординированных мер реагирования:

«Киберпреступность не знает границ. Чтобы защитить людей и бизнес в ЕС, мы должны включить вопросы безопасности во все наши стратегии, усилить полномочия Европола и обеспечить законный доступ к данным».

В ходе мероприятия обсуждались такие темы, как баланс доступа и конфиденциальности, улучшение трансграничного обмена информацией, обновление законодательства в соответствии с быстрыми технологическими изменениями, содействие диалогу между правительствами и отраслью кибербеза, а также разработка превентивных стратегий на основе новых решений.

ВТБ и Brand Analytics провели исследование «Цифровой рубль глазами россиян»

Эксперты опросили граждан на предмет отношения к новой форме национальной валюты и проанализировали обсуждения этой темы в соцсетях.

Рейтинг самых ожидаемых возможностей после массового внедрения цифрового рубля возглавляют уплата госпошлин и налогов — эти опции упомянуло 43% респондентов. На третьем месте — начисление государственных выплат (39%), а замыкают топ-5 переводы между пользователями (36%) и получение зарплаты (28%).

При этом в принципе получать зарплату новым рублём готово 68% опрошенных, 12% не дало однозначного ответа, а против высказалось 20%. 44% участников исследования, однако, согласно на это при условии наличия бонусов и дополнительных выгод, а также удобного для них графика — последних оказалось 22%.