Вступило в силу 1 февраля 2026 г.:

▫️ Приказ Минцифры России от 05.11.2025 № 1001 «О внесении изменений в пункт 2 единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи, утвержденных приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 18 августа 2021 г. № 857»
🔸 для кого: лица, уполномоченные на создание МЧД, владельцы квалифицированной электронной подписи
🔸 что делать: при оформлении машиночитаемой доверенности отменяется обязанность указывать вид, серию, номер и дату выдачи документа, удостоверяющего личность представителя, а также наименование и код органа, выдавшего документ. Данная информация может быть отражена как дополнительная.

Вступило в силу 15 февраля 2026 г.:
▫️ Постановление Правительства РФ от 06.02.2026 № 92 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка»
🔸 для кого: субъекты критической информационной инфраструктуры в банковской сфере и финансовом рынке.
🔸 что делать: провести категорирование объектов критической информационной инфраструктуры по новым отраслевым правилам и направить сведения в надзорные органы в случае изменения категории значимости.

#Деюре

CISO & DPO news #112 (19–26 февраля 2026 года)

▫️ Эксперты спрогнозировали рост случаев шантажа с использованием персональных данных
Positive Technologies связывают этот тренд с увеличением штрафов за утечку личной информации, которые могут достигать нескольких миллионов рублей. В первую очередь под ударом окажутся малый и средний бизнес. «Недостатки в системе защиты в сочетании с высокой чувствительностью к репутационным потерям могут повышать вероятность уступок вымогателям», — отмечают эксперты.

▫️ Хакеры получают доступ к умным домам через взлом пылесосов
Злоумышленники используют уязвимости в роутерах, подбирают пароли к Wi-Fi, а затем получают доступ ко всем устройствам, находящимся в одной сети, рассказали в F6. Целью киберпреступников может быть личная информация пользователей, которую затем можно использовать для шантажа.

▫️ В Госдуме хотят упростить отзыв согласия на обработку персональных данных
Депутаты от ЛДПР хотят обязать операторов включать в согласие на обработку ПДн информацию о порядке его отзыва, причем отзыв должен быть возможен тем же способом, которым согласие было получено. Соответствующее обращение инициаторы направили главе Минцифры.

▫️ Российским промышленникам рассылают вредоносные письма под видом уведомлений о нарушениях
Письма, замаскированные под уведомления о возможных административных нарушениях, содержат вложение с бэкдором BrockenDoor. Через него злоумышленники получают контроль над зараженным компьютером и могут собирать конфиденциальную информацию. В конце прошлого года тот же бэкдор рассылали медучреждениям под видом писем от страховых, отмечают в «Лаборатории Касперского».

▫️ Правительство утвердило перечень типовых отраслевых объектов КИИ
В список, который будут использовать для категорирования объектов КИИ, вошли почти четыре сотни систем.

ALE (Annual Loss Expectancy) — это метрика, выражающая ожидаемые финансовые потери от риска за год. Она вычисляется по формуле

ALE = SLE × ARO,
где SLE (Single Loss Expectancy) представляет собой произведение стоимости актива на фактор открытости,
а ARO — это среднегодовая частота реализации угрозы.

Главная практическая ценность параметра — обоснование инвестиций в безопасность. Сравнение исходного ALE с прогнозируемым показателем после внедрения защиты позволяет достичь возможного экономического эффекта и баланса между потерями и затратами. Для расчета разницы между двумя ALE до и после внедрения защиты используется финансовый показатель ROSI (Return on Security Investment). ROSI — финансовый показатель окупаемости инвестиций, в котором подсчитывается не доход, а предотвращение убытков. И если снижение ALE происходит, то решение считается эффективным для руководителей информационной безопасности при обосновании бюджета.

Точность ALE полностью зависит от качества исходных данных. Для реалистичной оценки необходимо комбинировать два типа информации:
▫️ объективные исторические данные из базы инцидентов — они формируют фактическую основу для расчёта частоты (ARO).
▫️ квалифицированные экспертные оценки — они необходимы для определения потенциального ущерба (SLE), особенно для новых угроз, по которым нет статистики, и для оценки факторов, не отражённых в истории.

При этом проведение необходимых оценок для расчетов этих параметров – достаточно трудоемкая задача, сопряженная с трудностью оценки косвенных убытков в дополнение к прямым финансовым потерям (например, репутационный ущерб), и сильно зависящая от качества исходных данных, в том числе оценок возможного ущерба от потенциального инцидента.

Расчет и применение ALE и ROSI является хорошим аргументом в вопросах планирования деятельности и обоснования затрат на защиту, позволяющим в процессе оценки учесть масштабы и контекст бизнеса, существующий уровень зрелости процессов и мер защиты, а также стоимость реализации тех или иных мер для снижения рисков ИБ.

#Викторины

1 марта 2026 года вступил в силу приказ ФСТЭК России № 117, который заменил приказ ФСТЭК России №17. Рассказываем, что изменилось:

1️⃣ Расширилась область применения
Если приказ № 17 распространялся только на государственные (ГИС) и муниципальные информационные системы (МИС), то приказ № 117 обязателен для всех информационных систем, эксплуатируемых государственными органами, предприятиями и учреждениями.

2️⃣ Введен переходный период
Аттестаты соответствия на ГИС и иные ИС, выданные до 1 марта 2026 года, продолжат действовать.

3️⃣ Новый подход к определению класса защищенности
Если в приказе №17 критерием служило место размещения системы, теперь применяется функциональный подход. Теперь класс защищенности будет зависеть от характера и уровня решаемых системой задач.

4️⃣ Оценка угроз безопасности
Необходимость разработки моделей угроз безопасности информации для негосударственных ИС принимается оператором самостоятельно.

5️⃣ Новые требования к персоналу
Не менее 30 процентов работников отдела информационной безопасности должны иметь профессиональное образование или пройти обучение по программе профессиональной переподготовки в области информационной безопасности.

6️⃣ Обязательная отчетность во ФСТЭК
Необходимо передавать информацию о показателях защищенности каждые 6 месяцев, о результатах мониторинга текущего состояния технической защиты информации – 1 раз в год, показатель уровня зрелости – 1 раз в 2 года после проведения оценки и контроль уровня защищенности – 1 раз в 3 года (или после инцидента).

7️⃣ Новые организационные и технические требования
В соответствии с разделами II и III необходимо утвердить политику защиты информации, внутренние регламенты и стандарты, принять дополнительные технические меры.

Уважаемые коллеги!

Мы рады пригласить вас на вебинар «152-ФЗ: всё, о чём вы стеснялись спросить», который состоится 5 марта в онлайн-формате на платформе «МТС Линк».

Формат вебинара будет необычным: у вас есть возможность задать вопрос по любой теме, связанной с обработкой и обеспечением безопасности персональных данных. На ваши вопросы ответят эксперты Kept и преподаватели курсов Академии Kept: «Персональные данные: интенсив» и «Инструменты Privacy Engineering, доступные и полезные каждому DPO».

🟣 Задать интересующий вас вопрос можно в форме регистрации.

Регистрация обязательна до 4 марта включительно и действительна после подтверждения со стороны организатора.

При каких условиях допустимо применение правового основания «обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности»?

Пункт 8 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает возможность обработки ПДн без согласия субъекта, если такая обработка необходима для осуществления профессиональной деятельности журналиста, законной деятельности средства массовой информации, либо научной, литературной или иной творческой деятельности. Применение данного основания допустимо исключительно при условии, что при этом не нарушаются права и законные интересы субъекта ПДн.

На практике реализация указанной нормы требует соблюдения ряда условий, дифференцированных в зависимости от категории субъектов обработки.

1. Журналистская деятельность и деятельность средств массовой информации
Для применения рассматриваемого основания необходимо совокупное соблюдение двух критериев:
1️⃣ Наличие официального статуса. Обработка ПДн допускается в отношении:
▫ журналистов — штатных сотрудников редакций, а также внештатных авторов, выполняющих задания редакции на основании договора либо иного законного поручения (ст. 52 Закона РФ от 27.12.1991 № 2124-1 «О средствах массовой информации», (далее — Закон о СМИ));
▫ средств массовой информации, зарегистрированных в установленном порядке (ст. 8 Закона о СМИ). Исключения из требования регистрации предусмотрены ст. 12 Закона о СМИ и носят ограниченный характер.
2️⃣ Наличие общественного интереса. Конституционный Суд РФ в Постановлении от 25.05.2021 № 22-П указал, что само по себе указание на профессиональную деятельность журналиста не является безусловным основанием для обработки ПДн без согласия. Необходимо обосновать, что распространение информации осуществляется в общественных интересах, под которыми понимаются потребности неопределенного круга лиц в получении сведений о фактах, создающих угрозу безопасности, здоровью граждан, либо свидетельствующих о нарушениях законодательства.

2. Научная деятельность
Под научной деятельностью понимается деятельность, направленная на получение и применение новых знаний, осуществляемая в соответствии с Федеральным законом от 23.08.1996 № 127-ФЗ «О науке и государственной научно-технической политике».

Правомерность обработки ПДн в указанных целях обеспечивается соблюдением следующих условий:
▫️ использование ПДн исключительно для достижения конкретных научных целей (проведение социологических, медицинских, биографических исследований);
▫️ обязательное обезличивание ПДн при публикации результатов исследований в открытом доступе, за исключением случаев, когда обработка осуществляется на основе общедоступных источников, размещенных самим субъектом;
▫️ недопустимость раскрытия специальной категории ПДн без согласия субъекта.

3. Литературная и иная творческая деятельность
Указанная категория охватывает широкий круг лиц (писатели, художники, сценаристы, блогеры), однако применение п. 8 ч. 1 ст. 6 152-ФЗ в сфере творческой деятельности допустимо при одновременном соблюдении следующих условий:
▫️ обработка ПДн осуществляется исключительно в целях создания творческого произведения;
▫️ обработка не направлена на разглашение сведений о частной жизни лица без его согласия;
▫️ соблюдаются требования ст. 152.1 Гражданского кодекса РФ об охране изображения гражданина.

Особого внимания заслуживают блогеры, не имеющие статуса СМИ. Они не вправе ссылаться на п. 8 ч. 1 ст. 6 152-ФЗ при съемке граждан в публичных местах с целью последующей монетизации контента без получения согласия изображаемых лиц. Такая деятельность не подпадает под понятие «литературной или иной творческой деятельности» в контексте указанной нормы.

При работе с ПДн, исходя из п. 8 ч. 1 ст. 6 152-ФЗ, у журналистов, работников научной, литературной или иной творческой деятельности при обработке ПДн есть преференции, но с рядом ограничений, прямо предусмотренных законодателем.

#KeptОтвечает

С 8 марта!

Желаем радости, гармонии, энергии и отличного настроения! Спасибо за вклад в развитие бизнеса, экономики, науки и все те роли, которые вы успешно совмещаете каждый день. С праздником!

Команда Kept ❤️

CISO & DPO news #113 (26 февраля – 5 марта 2026 года)

▫️ Сканер уязвимостей Trivy атаковали через GitHub Actions
Для атаки использовался бот hackerbot-claw. Он сканировал на уязвимости пайплайны GitHub Actions и запускал вредоносный код, чтобы получить доступ к репозиторию. В случае с Trivy под удар попало расширение VS Code. Воспользовавшись уязвимостью, злоумышленник сделал доступ к репозиторию приватным, а затем удалил несколько релизов. C hackerbot-claw столкнулись еще несколько популярных проектов. Разработчики сканера уже устранили уязвимость.

▫️ F6: на атаки ботов приходится больше 40% трафика российских компаний
С 2023 года показатель вырос на 11 п.п. — с 30 до 41%. Эксперты отмечают, что атаки все чаще похожи на действия реальных пользователей, и это усложняет борьбу с ними. По прогнозам компании, тренд на рост сохранится и в этом году.

▫️ Эксперты Google обнаружили набор эксплойтов для взлома iPhone
Пакет Coruna состоит из 23 эксплойтов и позволяет получить доступ к устройствам под управлением iOS начиная с версии 13.0 и до 17.2.1. Команда Google Threat Intelligence впервые обратила внимание на него в начале 2025 года, когда Coruna использовал клиент одного из вендоров шпионского ПО. Затем те же инструменты обнаружили на многих китайских скам-сайтах. Coruna позволяет получить доступ к финансовой информации на устройстве жертвы.

▫️ Мессенджер Max атакован «Мамонтом»
Троян для устройств на Android распространяют, публикуя вредоносные сообщения в общих чатах со взломанных аккаунтов. Переходя по ссылке, пользователь скачивает на устройство вредоносный apk-файл. После установки программа перехватывает пуши и SMS с кодами подтверждения. Разработчики Max информацию о распространении вируса отрицают.

▫️ В Поволжье зафиксировали самую сильную DDoS-атаку на регион РФ в 2025 году
Интенсивность июньской атаки достигла рекордных 622,5 Гбит/с, рассказали в RED Security. Приволжский федеральный округ также занял второе место после Центрального федерального округа по количеству атак. Эксперты рассказали, что за прошлый год число отраженных DDoS-атак выросло почти в три раза — до 186 тыс.

▫️ StormWall рассказали об атаке на российскую компанию мощностью 3 Тбит/с
Инцидент зафиксировали 19 февраля. По словам экспертов, атака почти полностью состояла из UDP-флуда — трафика, который забивает пропускные способности канала. Атаке подверглась неназванная компания из сферы развлечений, а также инфраструктура самих StormWall.

▫️ В инфраструктуре Cisco обнаружили критическую уязвимость, которую использовали с 2023 года
10-балльная уязвимость CVE-2026-20127 позволяет удаленно обходить аутентификацию и получать права администратора в атакованной системе. В Cisco отметили, что выпустили обновления, которые устраняют уязвимость.

▫️ Эксперты сообщили о массовых DDoS-атаках после начала конфликта на Ближнем Востоке
Начиная с 28 февраля хактивисты, поддерживающие Иран, инициировали как минимум 107 DDoS-атак, нацеленных на правительственную и критическую инфраструктуру в странах Ближнего Востока, рассказали эксперты компании Radware. Атакам подверглись 110 организаций в 16 странах.

YARA (Yet Another Recursive Acronym) — это инструмент для поиска вредоносного кода по сигнатурам. Он позволяет описывать характеристики вредоносных файлов с помощью простых правил. YARA-правила используются для обнаружения совпадений по строкам, байтовым последовательностям, структуре файла и другим признакам. Это делает YARA удобным инструментом для анализа вредоносного ПО и поиска его модифицированных версий.

Чтобы создать YARA-правило, аналитик обычно исследует образец вредоносного файла и находит в нем уникальные признаки, например:
▫️ характерные строки или фрагменты кода;
▫️ уникальные последовательности байтов;
▫️ специфические названия функций;
▫️ особенности структуры файла.

После этого аналитик создаёт правило, которое будет срабатывать при обнаружении таких признаков в других файлах. YARA широко используется в различных активностях кибербезопасности:
▫️ в антивирусных и EDR-решениях;
▫️ в песочницах для анализа вредоносных файлов;
▫️ при расследовании инцидентов;
▫️ в практике Threat Hunting для поиска угроз в инфраструктуре.

Пример простого YARA-правила:

rule ExampleMalware
{
    strings:
        $a = "malware string"
        $b = { 6A 40 68 00 30 00 00 6A 14 }

    condition:
        $a or $b
}

Это правило будет искать совпадения строк или байтовых последовательностей, заданных в переменных $a и $b.

YARA помогает специалистам по безопасности быстрее обнаруживать вредоносные файлы, находить новые модификации известных зловредов и автоматизировать процесс анализа угроз.

#Викторины

Давайте знакомиться!

Чтобы наш контент был максимально полезным, нам важно понимать, кто вы. Пожалуйста, ответьте на вопрос ниже. ⬇️

Вопрос:
Как обеспечивается шифрование на смартфонах?

Ответ:
В современных мобильных устройствах защита данных обеспечивается шифрованием хранимой информации с помощью ключей шифрования. Даже при физическом захвате телефона далеко не всегда можно получить доступ к информации, так как созданные ключи хранятся в защищённых областях процессора, куда обычная операционная система доступа не имеет.

Но насколько надежна эта защита у разных производителей и можно ли извлечь эти ключи?

Несмотря на общие принципы создания и работы ключей шифрования, разные производители по-разному реализуют механизмы защиты на своих устройствах.

🍏 Apple (iPhone и iPad)
В устройствах за шифрование отвечает сопроцессор Secure Enclave. Это изолированная часть процессора, которая работает независимо от iOS. Ключи шифрования генерируются внутри Secure Enclave и не покидают его пределов. Они используются для шифрования файловой системы, данных в связке ключей (Keychain) и биометрических образцов Face ID или Touch ID. Даже если взломать саму iOS, добраться до этих ключей напрямую нельзя. Apple не предоставляет никаких интерфейсов для их извлечения, и на сегодняшний день не существует публичных методов, позволяющих прочитать ключи из Secure Enclave на заблокированном устройстве. Например, попытки спецслужб заставить Apple создать бэкдор в 2016 году не увенчались успехом: в 2016 году ФБР требовало от компании взломать iPhone террориста в Сан-Бернардино, но Apple отказалась, и её поддержали Google, Microsoft и другие IT-гиганты. В 2025 году власти Великобритании отозвали аналогичный запрос после жёсткой позиции Apple. Для разблокировки iPhone спецслужбы используют либо уязвимости в ПО, либо сложные аппаратные атаки, которые работают только на старых моделях и требуют физического доступа.

🤖 Android
В этом мире ситуация неоднозначна: Google давно требует от производителей использовать аппаратную защиту ключей, но на практике соблюдение этих требований зависит от ценового сегмента и бренда.

Samsung в своих флагманских моделях (серии Galaxy S и Note) использует отдельный чип для хранения ключей, аналогичный Apple Secure Enclave. Он называется Secure Element и либо интегрирован в процессор, либо установлен как отдельная микросхема с сертификацией CC EAL 5+, что подтверждает высокий уровень защиты. Здесь хранятся ключи шифрования данных, а также модули шифрования для Samsung Pay и защищённой папки (Secure Folder). Доступ к этим ключам возможен только через доверенную среду выполнения (TrustZone) и только после успешной аутентификации пользователя.

Смартфоны Google Pixel, особенно последних поколений, считаются образцом безопасности для Android. Они используют Titan M — выделенный сопроцессор, который выполняет те же функции, что и Secure Enclave. Единственная возможность извлечь ключи в таких устройствах – найти критическую уязвимость в самом чипе/сопроцессоре шифрования, но такие находки редки и быстро закрываются патчами.

Бюджетные и малоизвестные устройства (например, некоторые модели Tecno, Itel и др.), часто не уделяют должного внимания безопасности. Вместо выделенного защищённого сопроцессора они могут использовать программную реализацию шифрования, которая полагается на обычную память и стандартные возможности процессора. Ключи шифрования в таких телефонах иногда хранятся в незащищённой флеш-памяти и могут быть извлечены через отладочные интерфейсы (например, JTAG).

Если устройство заблокировано и зашифровано, а производитель использовал аппаратный модуль безопасности, шансы извлечь ключи без ведома владельца стремятся к нулю. Для бюджетных Android устройств существуют аппаратные методы, например снятие дампа (снимка состояния) памяти через отладочные интерфейсы с последующим анализом, но это требует наличия определённых знаний и специального оборудования.

#KeptОтвечает

CISO & DPO news #114 (5–12 марта 2026 года)

▫️ Amazon запретил рядовым сотрудникам использовать код, сгенерированный ИИ
Компания приняла решение после нескольких инцидентов, связанных с использованием ИИ-кодеров. Во время одного из них сайт и приложение Amazon были недоступны почти пять часов. Теперь сотрудники уровня junior и middle должны получать разрешение на использование сгенерированного кода от руководителей.

▫️ Минцифры объяснило, как будут выглядеть запросы на предоставление обезличенных ПДн
Министерство опубликовало методические рекомендации по оформлению и направлению запросов на получение персональных данных. Полученные данные, как объясняли в Минцифры, помогут повысить эффективность госуправления.

▫️ Российская компания научилась удалять биометрический след из систем распознавания лиц
В «Криптоните» рассказали о «методе рассеивания», который позволяет удалить информацию о лице пользователя. Метод не нарушает работу системы и не требует ее переобучения. Решение актуально, так как современные биометрические системы «запоминают» лицо навсегда после первого распознавания, объясняют разработчики.

▫️ ФСТЭК опубликовал рекомендации по защите сетевого периметра ИС
В документе прописаны мероприятия по администрированию сетевых устройств, защите от атак, резервному копированию, сегментированию сети и т. д.

▫️ Международную школу дайверов оштрафовали на 6 млн рублей за отсутствие локализации данных россиян
Таганский суд Москвы признал SSI International виновным в повторном нарушении требования о локализации данных.

▫️ В ИИ-ассистенте платформы Docker нашли критическую уязвимость
Эксплойт DockerDash позволяет использовать ассистента Ask Gordon для выполнения вредоносных инструкций, замаскированных под метаданные. ИИ не способен отличить одно от другого и потенциально может запустить опасный процесс без дополнительной проверки. Так злоумышленник получает доступ к пользовательской информации.

Безопасность ИИ-систем сегодня выходит на первый план, так как они получают все больше доступа к данным и процессам компаний. Разберем подробнее, что скрывается за вариантами ответов нашей викторины:

▫️ Инъекция промпта (Prompt Injection) — одна из самых распространенных угроз для языковых моделей. Злоумышленник манипулирует выводом ИИ путем добавления инструкций в вводимые данные, которые заставляют модель игнорировать системные фильтры, выдавать конфиденциальные данные или выполнять команды.
▫️ Отравление данных (Data Poisoning) — атака на этапе обучения или дообучения модели. Хакер подмешивает в датасет специальным образом искаженную информацию, чтобы создать в «логике» ИИ скрытую лазейку (бэкдор), которая сработает в будущем.
▫️ Адверсальные атаки (Adversarial) — метод обмана систем распознавания образов или звука. Путем внесения минимальных, незаметных для человека изменений во входные данные хакер заставляет систему принять ложное решение. Примером данной атаки является внедрение малозаметного белого шума в аудиозапись с командой для голосового помощника. Ассистент может принять такую аудиозапись за голос легитимного пользователя и выполнить команды.
▫️ Атака на цепочку поставок: использование уязвимостей в сторонних библиотеках или предобученных моделях, которые разработчики скачивают из открытых репозиториев без проверки.

Для обеспечения надежной работы интеллектуальных систем эксперты Kept рекомендуют обеспечивать и соблюдать следующие меры защиты:
▫️ Изоляция и контроль привилегий: ИИ-агенты не должны иметь избыточных прав, например, на удаление данных или отправку писем без подтверждения человеком.
▫️ Фильтрация ввода и вывода: внедрение промежуточных моделей-контролеров, которые проверяют запросы пользователей и ответы ИИ на наличие вредоносных инструкций.
▫️ Проверка целостности данных: для верификации используемых датасетов следует использовать определенные алгоритмы для выявления аномального поведения моделей.
▫️ Регулярный пентест ИИ: проведение специализированных тестов на проникновение, ориентированных на специфические уязвимости нейросетей, например, по методике OWASP Top 10 для LLM.

#Викторины

Публикуем двадцать третий выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на апрель 2026 года.

Подборка мероприятий в файле под этим постом. ⬇️

#Непропустимыесобытия