Правительство России разработало концепцию регулирования отрасли квантовых коммуникаций на ближайшие шесть с половиной лет. Распоряжение о её утверждении подписал премьер-министр Михаил Мишустин.

Концепция предполагает стимулирование развития рынка квантовых коммуникаций, поддержку отечественных производителей, достижение высокого уровня информационной безопасности граждан и государственных организаций. В документе также подчёркивается необходимость формирования правового механизма, регулирующего использование квантовых коммуникаций в существующих сетях связи, а также создания новых сетей квантовой связи. Отдельный акцент делается на техническом регулировании соответствующей отрасли и использовании национальных стандартов.

Источник изображения: freepik.com

Напомним, технологии квантовых коммуникаций основаны на использовании фундаментальных законов квантовой физики, которые невозможно обойти. Поэтому такие системы передачи данных способны обеспечить высочайший уровень безопасности. Дело в том, что осуществить незаметное «прослушивание» канала связи попросту невозможно: любая попытка перехвата данных будет тут же обнаружена и предотвращена. Обеспечивается это за счёт того, что для обмена ключами шифрования в квантовых системах используются одиночные фотоны, состояния которых безвозвратно меняются при попытке вмешательства.

«Квантовые коммуникации — это перспективное направление, и для его дальнейшего развития необходимо создать благоприятную регуляторную среду, исключить барьеры, которые тормозят такие процессы. Рассчитываем, что реализация концепции будет этому способствовать», — отметил Михаил Мишустин.

Заинтересованные ведомства совместно с ОАО «РЖД» должны в трёхмесячный срок представить в Минцифры предложения по реализации концепции.

Компания «Открытая мобильная платформа» сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) средства доверенной загрузки «Аврора» («Аврора СДЗ»).

«Аврора СДЗ» представляет собой специализированное ПО, предназначенное для функционирования совместно с процессорами Baikal-M и обеспечивающее доверенную загрузку ОС различных вендоров с помощью создания и проверки цепочки цифровых подписей каждой стадии загрузки. Средством поддерживаются операционные системы Astra Linux Special Edition, «Аврора» и «Альт СП».

Ключевой особенностью средства доверенной загрузки «Аврора» является расположение начального корня доверия непосредственно на кристалле, что избавляет от необходимости установки дополнительных аппаратных инструментов доверенной загрузки, при этом обеспечивая наивысший из возможных уровней безопасности. Это стало возможно благодаря глубокой интеграции продукта с процессорами Baikal от российской компании «Байкал Электроникс».

Использование модуля доверенной загрузки даёт возможность применять оборудование там, где необходимо обеспечить самый высокий уровень безопасности, например, в государственных корпорациях, на объектах КИИ, АСУ ТП, в навигационном и коммуникационном оборудовании. Продукт предназначен для разработчиков, производителей программно-аппаратных комплексов и системных интеграторов.

Выданный ФСТЭК России документ подтверждает соответствие «Аврора СДЗ» требованиям профиля защиты средства доверенной загрузки уровня базовой системы ввода-вывода четвёртого класса защиты (ИТ.СДЗ.УБ4.ПЗ). Сертификат действителен до 19 июня 2028 года.

Минцифры сообщило о скором начале реализации очередного национального проекта «Экономика данных». Как сообщает пресс-служба министерства, проект подготовят до конца текущего года. При этом реализация нового проекта будет продолжаться до 2030 года. Целью проекта станет перевод всей экономики, социальной сферы и органов власти на новый уровень. Это касается решений в области логистики, телемедицины, онлайн-образования и предоставления госуслуг.

Как сообщает «Интерфакс», речь идёт не только о консолидации уже существующих инструментов, применяемых для развития систем ИИ, квантовых технологий и цифровой экономики в целом — необходимо выстроить целостный механизм создания и внедрения новых разработок. Как уточняется, фокус следует сделать на ряде направлений:

• Сбор данных с использованием высокочувствительных датчиков, включая квантовые сенсоры. Такие технологии уже применяются как в промышленности, так и, например, в медицине и системах связи;
• Передача данных и развитие систем связи. Связь должна обеспечиваться в режиме реального времени на больших скоростях — это и отсутствие задержек при передаче информации необходимо для автоматизации транспорта и городской среды вообще;
• Хранение данных в стране должно быть эффективно организовано за счёт развития облачных платформ, ЦОД и собственных вычислительных мощностей, включая квантовые компьютеры;
• Безопасность данных должна быть обеспечена благодаря квантовым технологиям передачи данных и шифрования, способным противостоять любым угрозам, в том числе атакам с использованием квантовых компьютеров;
• Стандарты и протоколы работы с данными необходимы во всех IT-сферах, как для обеспечения безопасности, так и для того, чтобы регламентировать хранение персональных данных, в том числе с использованием квантовой криптографии;
• Наконец, внимание будет уделяться обработке и анализу данных и созданию репозиториев открытого кода, причём анализ данных необходимо проводить на основе ИИ-алгоритмов, используя отечественное программное обеспечение. Для этого потребуется развитие отечественных сервисов и платформ для совместной работы программистов со всего мира, в первую очередь из России.

Источник изображения: ThisisEngineering RAEng/unsplash.com

Как сообщают в Минцифры, новый национальный проект в конечном счёте направлен на повышение качества жизни граждан за счёт роста качества работы властей, роста экономики и развития социальной сферы. Какие средства будут выделены на реализацию проекта и какие именно направления будут развиваться особенно активно, будет объявлено позже.

Компания «Ред Софт» сообщила об успешном прохождении испытаний операционной системы «Ред ОС» на соответствие требованиям Федеральной службы по техническому и экспортному контролю к средствам виртуализации и контейнеризации.

Выданный регулятором документ подтверждает соответствие программной платформы с базовыми средствами виртуализации и контейнеризации «Требованиям по безопасности информации к средствам виртуализации» (Приказ ФСТЭК России от 27 октября 2022 г. №187), а также «Требованиям по безопасности информации к средствам контейнеризации» (Приказ ФСТЭК России от 04 июля 2022 г. №118) по 4 классу защиты.

Наличие сертификата допускает применение «Ред ОС» с целью развёртывания безопасной виртуальной и микросервисной инфраструктуры в IT-системах, обрабатывающих конфиденциальную информацию — в государственных информационных системах, информационных системах для обработки персональных данных, на объектах критической информационной инфраструктуры, а также в автоматизированных системах управления техническими процессами и информационных системах общего пользования.

В соответствии с требованиями ФСТЭК России в «Ред ОС» обеспечивается постоянный поиск уязвимостей, разрабатываются обновления безопасности и компенсирующие меры для невозможности эксплуатации уязвимостей.

Во II квартале 2023 года, по оценкам компании Pinpoint Search Group, финансирование стартапов, занимающихся разработками в области кибербезопасности, рухнуло на 55 % по сравнению с аналогичным периодом прошлого года. С другой стороны, мировой рынок кибербезопасности в целом вырос на 12,5 % в I квартале, опережая рост IT-отрасли.

Аналитики Pinpoint Search Group проанализировали 115 сделок по финансированию, слияниям и поглощениям в секторе ИБ. Их общая сумма по итогам II квартала 2023-го составила $1,9 млрд. Для сравнения: годом ранее показатель равнялся $4,3 млрд.

Источник изображения: pixabay.com

Несмотря на значительное снижение суммарных финансовых показателей, общее количество раундов поддержки компаний, занимающихся кибербезопасностью, превысило показатель II квартала прошлого года и составило 97 против 92 годом ранее. Во II четверти 2023-го произошло 18 слияний и поглощений, которые, по утверждению Pinpoint, отражают «устойчивую жизнеспособность сектора кибербезопасности».

Отмечается, что во II квартале 2023 года значительная часть финансирования пришлась на начальные раунды — приблизительно 45 %. При этом средний начальный объём вложений составил около $5 млн.

Инвесторы перешли на более диверсифицированный подход — они вкладывают средства в несколько стартапов вместо того, чтобы поддерживать какого-то одного разработчика. Это даёт возможность более эффективно управлять рисками, что важно в сложившейся макроэкономической обстановке.

«Базальт СПО», разработчик линейки российских ОС «Альт» для рабочих станций, серверов и построения виртуальной инфраструктуры, сообщил о присоединении к Соглашению о формировании Консорциума участников по поддержке Технологического центра исследования безопасности ядра Linux. Этим соглашением регламентируется проведение совместных работ с участием ИСП РАН и присоединившихся организаций.

Задачей Консорциума является обеспечение эффективного взаимодействия в рамках Технологического центра исследования безопасности ядра Linux, структурного подразделения ИСП РАН, для внедрения принципов безопасной разработки программного обеспечения и исключение дублирования усилий по исследованию безопасности ядра Linux.

«Мы рассчитываем, что участие в Консорциуме даст большой синергетический эффект, — заявил генеральный директор «Базальт СПО». — Задачи Консорциума и наши задачи по улучшению ядра Linux во многом совпадают. Поэтому совместная и скоординированная работа с другими командами будет полезна всем, позволит сэкономить время и силы».

Изображение: Базальт СПО

«Проверка безопасности ядра Linux — достаточно трудоёмкий процесс, где используются специальные инструменты, где нужны определённые профили проверки, — отметил первый заместитель генерального директора «Базальт СПО». — Здесь много ручной работы. В одиночку проверить ядро сложно. Поэтому необходимо объединять усилия разработчиков, и иметь возможность использовать полученные результаты в своих сборках ядра. Важно отметить, что правила Консорциума совпадают с правилами разработки свободного ПО, которым “Базальт СПО” следует вот уже 20 лет. Обнаруженные ошибки, уязвимости, предлагаемые патчи отправляются в международную организацию The Linux Kernel Organization».

Помимо работы над уязвимостями, Технологический центр занимается развитием ядра Linux. Координатор Консорциума — Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН).

В течение I полугодия 2023 года количество стартапов в сфере кибербезопасности в России, по сообщению газеты «Коммерсантъ», выросло приблизительно в два раза по сравнению с аналогичным периодом предыдущего года.

Согласно статистике MTS StartUp Hub (структура группы МТС), в течение января–июня 2023-го кибербезопасность впервые вошла в первую тройку самых популярных отраслей на отечественном рынке стартапов. При этом конкретные цифры аналитики не раскрывают.

Говорится, что в рамках исследования была получена информация приблизительно о 7 тыс. отечественных компаний, которые начали деятельность в последние годы. В 2022-м самыми популярными направлениями были технологии в рекламе — направление AdTech с долей на уровне 10 %. Но в 2023 году этот показатель сократился до 5 %. Ещё одним востребованным сегментом является FinTech с результатом 7 % по итогам 2022-го.

Источник изображения: pixabay.com

В целом, по данным исследования, 24 % стартапов имеют готовый продукт и массовые продажи, 33 % запустили прототип, тогда как остальные находятся на стадии разработки. В общей сложности с января по июнь 2023 года на российском рынке венчурных инвестиций было заключено 35 сделок общим объемом $33,1 млн. Это на 63 % меньше по количеству, чем за аналогичный период прошлого года, но на 96 % ниже по объёму инвестиций.

Участники рынка отмечают, что интерес к сфере кибербезопасности объясняется уходом ряда зарубежных вендоров в сложившейся геополитической обстановке, развитием облачных платформ и расширением сегмента Интернета вещей.

ГК Softline приобрела российскую компанию-разработчика АКБ «Барьер», которая предоставляет решения в области внедрения, обслуживания и защиты информационных систем. Компания будет интегрирована в «Инферит» (Inferit, ранее Softline computers). Сделка закрыта 6 июля 2023 года.

Ранее учредителем АКБ «Барьер» и 100-процентным владельцем доли компании являлся Юрий Рыбьяков, который в разные годы руководил компанией. По данным бухгалтерской отчетности, по итогам 2022 года компании показала рост выручки и прибыли – до 272,95 млн руб. (рост на 143,11 млн руб.) и до 69,21 млн руб. (68,29 млн руб.).

Изображение: Softline/Inferit

АКБ «Барьер» 15 лет занимается разработкой сертифицированных защищенных средств вычислительной техники. За два года производства компания выпустила более 1 тыс. единиц продукции, сообщает Softline. Теперь в лице одного вендора совмещаются программная и аппаратная составляющие и технологии, позволяющие обрабатывать чувствительную информацию.

Как сообщал ранее Softline, с июня 2023 года бывшее подразделение Softline computers, переименованное в сентябре 2022 года в Inferit, уже расширило перечень услуг с разработки и производства компьютерной техники и серверного оборудования до системного ПО, облачных решений и сервисов.

В портфолио производителя представлены «Инферит техника», «Инферит МСВСфера», «Инферит ИТМен» и «Инферит клаудмастер». Разработкой прикладного ПО в ГК Softline занимается созданная в апреле 2023 года компания SL Soft.

Компания Cisco предупредила о наличии серьёзной уязвимости в коммутаторах серии Nexus 9000. Брешь позволяет удалённому злоумышленнику, не прошедшему проверку подлинности, перехватывать и изменять зашифрованный трафик, передающийся между узлами.

Дыра описана в бюллетене CVE-2023-20185 (CVSS 7.4): проблема связана с функцией шифрования CloudSec. Киберпреступник может перехватить пакеты данных и взломать шифрование с помощью криптоаналитических методов.

Уязвимость затрагивает серию коммутаторов Cisco Nexus 9000 (в ACI Mode) с прошивкой 14.0 и более поздними версиями с активированной функцией CloudSec. Уязвимость затрагивает Cisco Nexus 9332C, Nexus 9364C Fixed Spine и Cisco Nexus 9500 Spine, оснащённые картой Cisco Nexus N9K-X9736C-FX.

Источник изображения: pixabay.com

Ситуация ухудшается тем, что Cisco пока не выпустила обновление, устраняющее брешь, а известного пути обхода проблемы нет. Специалисты отмечают, что возможность перехватывать, расшифровывать и потенциально изменять трафик является серьёзной проблемой, особенно в дата-центрах, где хранится конфиденциальная информация. Рекомендуется отключить уязвимые коммутаторы.

Разработчик решений для обеспечения безопасности Bishop Fox LLC выпустил в минувшую в пятницу предупреждение о том, что сотни тысяч межсетевых экранов Fortinet Inc. остаются уязвимыми для атак, поскольку не получили патчи после раскрытия критической уязвимости в июне.

Уязвимость CVE-2023-27997 относится к типу багов, связанных с переполнением буфера (heap-based buffer overflow). Её обнаружили в ОС FortiOS. Уязвимость оценивается как критическая — 9,8 балла из 10 возможных по шкале CVSS. Благодаря ей злоумышленник может осуществлять удалённое выполнение кода на уязвимом устройстве с интерфейсом SSL VPN, доступном из Сети.

Fortinet выпустила обновления FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5, где уязвимость была устранена. Однако, как выяснила Bishop Fox, администраторы пренебрегли призывами установить патчи, так что более 300 тыс. брандмауэров FortiGate (69 % от 490 тыс. из обнаруженных в Сети) по-прежнему уязвимы для потенциальных эксплойтов.

Изображение: Bishop Fox

Чтобы продемонстрировать риск, связанный с уязвимостью, команда Bishop Fox разработала эксплойт, который запускает удалённое выполнение кода, компрометирующего целевую систему, позволяя ей обратно подключиться к серверу, контролируемому злоумышленником. Эксплойт предоставляет интерактивную оболочку на целевом устройстве.

Исследователи Bishop Fox настоятельно рекомендуют всем владельцам Fortinet FortiGate как можно скорее установить исправление, чтобы избежать опасности взлома системы. Им вторят эксперты из других компаний, занимающихся вопросами информационной безопасности.