Всё вернулось на круги своя…

Случай явно вырожденный, но всё равно показательный: Суд в Ростове-на-Дону признал эмодзи эквивалентом подписи в документе.

Суть кратко:
Предприниматель из Ростова-на-Дону в марте 2022 года должен был поставить заказчику торговый киоск в виде ретрофургона Volkswagen. Согласно заключенному договору, обе стороны признавали юридическую силу документов, в том числе полученных по почте или в одном из мессенджеров.

Покупатель заплатил задаток в размере 480 тысяч рублей. Цветовое решение киоска стороны должны были утвердить допсоглашением. Однако цвет обсудили в мессенджере. На предложение заказчик ответил значком «рука с поднятым вверх большим пальцем».

Фургон не был поставлен в срок, в связи с чем заказчик потребовал возвратить задаток. Тогда поставщик напомнил заказчику о том, что цвет фургона в мессенджере они согласовали на четыре дня позже обещанной доставки, поэтому вовремя услугу предоставить было невозможно.

Суд счел смайл достаточным для закрепления договоренностей.

Обзор российского рынка инфраструктурного ПО и анализ перспектив его развития от Strategy Partners.

Некоторые выводы:

- Российский ИТ-рынок находится в стадии активного формирования и обладает значительным потенциалом для дальнейшего роста. В период до 2030 г. рост российского ИТ-рынка будет существенно опережать темпы роста ВВП; ежегодный рост составит 12%, а отношение расходов на информационные технологии к размеру ВВП достигнет 2,8% к 2030 г. Фундаментом роста российского ИТ-рынка станет продолжающаяся цифровизация экономики, активное импортозамещение продуктов западных вендоров, а также беспрецедентный уровень государственной поддержки ИТ-сектора

- Продажи российских разработчиков на рынке инфраструктурного ПО будут расти с опережающей скоростью до 2030 г.: среднегодовой темп роста, по нашим оценкам, составит 31%. Рост требований к информационной безопасности и защищенным ИТ-решениям будет способствовать росту спроса на отечественные разработки и переходу в том числе на сертифицированные ИТ-продукты.

Приостановлен, но не сломлен: Что на самом деле означает статус ‘приостановлено действие’ у сертификата ФСТЭК России?

https://zlonov.ru/suspended-but-not-broken/

Хэппи энд:

Действие сертификата соответствия № 3509 ФСТЭК России на Dr.Web Enterprise Security Suite возобновлено: https://news.drweb.ru/show/?i=14752&lng=ru

Уязвимость BDU:2014-00226 устранена: https://bdu.fstec.ru/vul/2014-00226

Шикарнейшая идея и отличная реализация! =)

Пресс-релиз: https://www.tinkoff.ru/about/news/19092023-tinkoff-launched-combat-humanoid-robots-that-distract-scammers-from-deceiving-people/

Ведомости со ссылкой на "федерального чиновника" и "топ-менеджера одной из нефтегазовых компаний" сообщают, что в правительство Минпромторгом был внесён документ о переносе срока обязательного импортозамещения для ПАКов в КИИ с 01 января 2025 года на дату "окончания срока эксплуатации уже действующих решений" (чтобы это ни значило).

https://www.vedomosti.ru/technology/articles/2023/09/22/996510-dlya-kriticheskoi-infrastrukturi-smyagchayut-trebovaniya

Обновление подборки законодательства о КИИ на сентябрь 2023

https://zlonov.ru/kii-legislation-update-2023-09/

Википедия не совсем согласна с текстом на картинке, утверждая, что на самом деле данной композицией Адриано Челентано «хотел сказать об отсутствии коммуникабельности многих людей, неспособных понять друг друга». Тем не менее - слова вымышленные, песня популярная.

А вы, как ИБшник, часто используете в общении с бизнесом вымышленные слова? Призенколиненсинайнчузол, NGФV, DLЬ, XDЯ? А, может, начать говорить на одном языке? 😉

Источник: https://pikabu.ru/story/yeksperiment_vyishel_izpod_kontrolya_10683807
Статья: https://ru.wikipedia.org/wiki/Prisencolinensinainciusol
Трек: https://music.yandex.ru/album/6082669/track/45307203

#пятничное в четверг

С 1 октября двухфакторная аутентификация на «Госуслугах» стала обязательной для новых пользователей и при запросе на восстановление учётной записи: https://t.iss.one/mintsifry/1993

"Дополнительное подтверждение для входа подключил уже каждый третий пользователь портала — всего более 35 млн человек" - не так плохо на самом деле, но 70 млн всё ещё "однофакторные"... Какой простор для мошенников!

Роскомнадзор, конечно, разъясняет, что «Федеральный закон № 406-ФЗ позволит Роскомнадзору блокировать интернет-сайты с информацией, рекламирующей сервисы и методы обхода блокировок, в том числе популяризирующей такие сервисы и методы, убеждающей в их привлекательности и описывающей возможность получения доступа к запрещенным ресурсам путем использования сервисов».

Но если открыть сам текст закона, то дословно там написано: [Основаниями для включения в реестр является наличие] «информации о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации».

Так что формально не обязательно рекламировать, убеждать и популязировать - достаточно просто описать.

Разъяснение Роскомнадзора: https://rkn.gov.ru/news/rsoc/news74756.htm
Текст Федерального закона № 406-ФЗ: https://publication.pravo.gov.ru/document/0001202307310022

Ооо! Долгожданный =)

Сертификат №4719 от 28.09.2023 на программный комплекс «CyberLympha DATAPK» (ПК CL DATAPK) подтверждает соответствие требованиям документов: Требования доверия(6), Требования к СОВ, Профили защиты СОВ (cети шестого класса защиты. ИТ.СОВ.С6.ПЗ), ЗБ.

Шёл 2023 год, Cisco продолжала использовать "захардкоженные" пароли...

2023: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cer-priv-esc-B9t3hqk9

2021: https://securityaffairs.com/124198/security/cisco-hard-coded-credentials.html

2018: https://www.bleepingcomputer.com/news/security/hardcoded-password-found-in-cisco-software/

Читаю труд коллег из ИПУ РАН, встретил вот такое сопоставление информационной и кибербезопасности: "Информационная безопасность может рассматриваться в широком контексте. Информационная безопасность, помимо технических и организационных аспектов, человеческих факторов и социальных вопросов затрагивает сферы национальной и международной безопасности. В настоящей работе основное внимание будет уделено методическим и техническим аспектам защиты информации и системы ее обработки, поэтому в большинстве случаев вместо информационной безопасности будет использоваться более подходящий термин кибербезопасность (КБ), который делает акцент на технические и методические вопросы информационной безопасности."
Ну, тоже подход =)

Участники Ассоциации больших данных (АБД) работают над внедрением добровольного отраслевого стандарта защиты данных. Согласно подготовленной концепции этого стандарта планируются ежегодные аудиты кибербезопасности. Ведомости пишут, что разработка стандарта стала реакцией на обсуждаемое введение оборотных штрафов за утечки данных.

Предполагается введение 26-ти критериев/метрик. При этом, например, при наличии в БД более 500 тыс записей нужно набрать не менее 18 баллов (по каждому критерию максимум составляет 1 балл), чтобы процессы в организации были признаны эффективными.

Статья в Ведомостях: https://www.vedomosti.ru/technology/articles/2023/11/03/1004188-audit-kiberbezopasnosti-ezhegodnim
Пресс-релиз АБД: https://rubda.ru/association_news/rossijskie-it-kompanii-razrabotali-konczepcziyu-otraslevogo-standarta-zashhity-dannyh/
Члены АБД: https://rubda.ru/chlenstvo/uchastniki/

Исследовательская компания Ipsos и страховой гигант AXA опросили почти 3,5 тыс. экспертов из 50 стран мира и по итогу опубликовали свой очередной ежегодный отчёт, посвященный глобальным рискам будущего (Future Risks Report).

Киберугрозы вернулись на второе место (правда, опрос проводился до недавнего обострения на ближнем Востоке), а в целом - киберугрозы с 2018 года ни разу ниже третьего места не опускались.

Риски, связанные с искусственным интеллектом и большими данными, попали в ТОП-10 всего в третий раз, но впервые - на четвёртое место.

Новость в Коммерсантъ: https://www.kommersant.ru/doc/6312385
Пресс-релиз [eng]: https://www.ipsos.com/en/axa-future-risks-report-2023-world-polycrisis
Сам отчёт [eng]: https://zlonov.ru/assets/reports/AXA_Future_Risks_Report_2023_English.pdf

Трагический случай... А ведь это даже ещё и не ИИ в самом потенциально опасном его проявлении...

"В Южной Корее робот насмерть прижал мужчину. Инцидент произошел на агропредприятии в провинции Кёнсан-Намдо. Как сообщает BBC (ресурс заблокирован в РФ), из-под контроля вышла промышленная рука, предназначенная для работы с коробками овощей. Во время тестирования робот перепутал человека с неодушевленным предметом и нанес ему травмы, несовместимые с жизнью."

Источник: https://www.bfm.ru/news/537614
Обзор на книгу про опасность ИИ: https://zlonov.ru/superintelligence-dangers-strategies/

Обновил подборку НПА по безопасности КИИ. Добавил:

- Методические рекомендации Банка России №14-МР от 26.10.2023 по информированию ФСБ России о компьютерных инцидентах

- Методические рекомендации Банка России №15-МР от 26.10.2023 по взаимодействию кредитных организаций с МВД России и ФСБ России

- Приказ ФСТЭК России №177 от 01.09.2023 «О внесении изменений в Порядок ведения реестра ЗО КИИ РФ, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. №227»

- Проекты предварительных национальных стандартов Российской Федерации
- «КИИ. Термины и определения»
- «КИИ. Доверенные ПАК. Общие положения»
- «КИИ. Доверенные интегральные микросхемы и электронные модули. Общие положения»

"Схватка двух йокодзун" (с)

Владелец российской мобильной ОС «Аврора» «Ростелеком» просит Минцифры проверить правомерность включения в реестр отечественного софта ОС «Ред Софта», работающей на базе открытого кода Android. Эксперты опасаются, что в коде используются «закладки» американских разработчиков, которые «могут навредить безопасному использованию устройства».

https://www.kommersant.ru/doc/6351196