😱 GlobalSign отзывает SSL-сертификаты у российских компанийЯпонская GlobalSign, один из крупнейших центров сертификации в мире, начала процедуру принудительного отзыва SSL-сертификатов у компаний из России. Об этом РБК со ссылкой на письмо гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова рассказал источник, знакомый с содержанием письма. Причина — обновлённые требования CA/Browser Forum (глобального консорциума, объединяющего крупнейшие центры сертификации и разработчиков браузеров — Google, Apple, Microsoft, Mozilla). Документ, вступивший в силу 4 мая, сделал проверку по санкционным спискам (OFAC SDN List, BIS Denied Persons List и их европейским аналогам) обязательной для всех удостоверяющих центров.🗣 Ставим себе корневые сертификаты Минцифры или отечественные браузеры — и не боимся. А вот тем, у кого сайт работал «на заграницу», придётся очень несладко.
ИТ. Право. Безопасность.
@it_law_security
Полезный канал про информационную безопасность и право.Экспертный контент и срочные новости из мира ИБ с экспертными комментариями. По вопросам сотрудничества, спонсорства и рекламы, писать на почту:integration@rtmtech.ru
Похожие каналы
Все →Последние посты
😍 На связи еженедельный дайджест! Новые штрафы за нарушения в сфере связи и информацииГосдума приняла закон, вводящий новые административные штрафы в сфере связи и информационных технологий. Так, за неисполнение оператором связи обязанностей по взаимодействию с государственными органами при внедрении технических средств для оперативно-разыскной деятельности и обеспечения безопасности РФ юридическим лицам грозит штраф от 3 до 5 млн рублей. Также установлена ответственность за несоблюдение требований к применению рекомендательных технологий.Госдума отклонила законопроект о маркировке ИИ-контентаЗаконопроект об обязательной маркировке контента, созданного с помощью искусственного интеллекта, не получил поддержки Госдумы. Предполагалось, что материалы, сгенерированные нейросетями, будут сопровождаться отметкой «Сделано ИИ». По мнению депутатов, механизм маркировки пока сложно реализовать на практике: в проекте не были чётко определены порядок её применения и ответственность за ошибки.Путин подписал закон о платформе «ГосТех»Президент подписал закон о создании единой цифровой платформы «ГосТех». Она станет базой для создания информационных систем органов власти и подведомственных им организаций. Платформа объединит программное обеспечение, базы данных, техническую инфраструктуру и другие цифровые решения. Помимо государственных структур, участвовать в её развитии смогут коммерческие и некоммерческие организации по решению правительственной комиссии. Закон вступит в силу 1 сентября 2027 года.ФНПР предлагает закрепить права платформенных работников в ТК РФФедерация независимых профсоюзов России готовит законопроект о регулировании платформенной занятости. Предлагается включить в Трудовой кодекс отдельную главу, посвящённую работе через цифровые платформы. Речь идёт о курьерах, водителях и других исполнителях, которые получают заказы через онлайн-сервисы. По данным ФНПР, доход через цифровые платформы получают более 16 млн россиян, а для многих этот формат становится основ

🔒 Утечки без последствий: почему российский бизнес не боится штрафовВ 2025 году российские компании платили за утечки персональных данных в среднем по 95 тысяч рублей — меньше стоимости одной рекламной интеграции у среднего блогера.Пока в России штрафы выглядели символическими, TikTok отдал европейскому регулятору 620 млн долларов за передачу данных пользователей в Китай. Capita в Великобритании — 18,8 млн фунтов. SK Telecom в Южной Корее — 97 млн долларов. Разница в подходах колоссальная.Однако снисхождение регуляторов закончилось. В России вступили в силу поправки с оборотными штрафами за повторные утечки. То, что раньше стоило 100 тысяч рублей, теперь может обойтись в миллионы.В новом ролике Евгений Царёв разбирает мировую и российскую практику штрафов за утечки ПДН: кого наказывают чаще всего, почему треть утечек происходит без взлома и что ждёт российский бизнес в 2026 году.Смотрите ролик⬇️🟥 YouTube 🟦 VK ⬛️ Rutube 🟨 Дзен
🎩 Белых хакеров наконец отделят от киберпреступниковРоссийские власти вплотную приблизились к закреплению правового статуса белых хакеров. Доработанный пакет документов уже находится в правительстве и должен определить понятные правила взаимодействия специалистов по поиску уязвимостей с бизнесом и государством.Методы работы пентестеров внешне почти не отличаются от инструментов реальных злоумышленников, а отсутствие чёткой правовой базы бьёт по всем: исследователи работают в правовой серой зоне, заказчики не понимают, где заканчивается легальный аудит и начинается нарушение закона. Бизнес готов платить за проверки, но опасается последствий.Власти рассчитывают на модель, которая поддержит развитие направления и одновременно снизит риски злоупотреблений.🗣Хотелось бы, чтобы узаконили не только деятельность одиночек, но и работу лицензиатов, поскольку сейчас при проведении пентеста используются вредоносы, а это чистая статья 273 УК РФ
🔨 Кнут для КИИ: Минцифры готовит оборотные штрафы для критической инфраструктуры Минцифры готовит механизм оборотных штрафов для компаний, затягивающих перевод значимых объектов КИИ на российское ПО, заявил министр цифрового развития Максут Шадаев на ПМЭФ.Нормативную базу ведомство уже разработает. Штрафы станут вторым контуром давления — в дополнение к уже действующим льготам для тех, кто активно движется в сторону импортозамещения.Оборотными штрафами нас пугают с конца 2024 года. Пока никого не оштрафовали — вывод: все просто забьют на эти штрафы. Но как только условный банк из топ-5 или маркетплейс получит такой штраф — сразу же отношение изменится. А пока на фоне всего происходящего не напугали.
🥷 Белые хакеры проверят государственный ИИ на прочностьС 1 июня Минцифры расширило эксперимент по проверке устойчивости ИИ в государственных информационных системах. Под испытания попали нейросетевые модели, обучающие выборки и интерфейсы взаимодействия.Что будут проверять:☑️ состязательные атаки, когда злоумышленник специально подбирает входные данные и заставляет алгоритм выдавать неверный результат;☑️ утечки информации через запросы пользователей и API;☑️ data poisoning — подмена или загрязнение обучающих данных до начала эксплуатации модели;☑️ риски в цепочках поставок предобученных нейросетей, поступающих в госконтур извне;☑️ проверка механизмов контроля корректности результатов работы ИИ. 🗣А у нас в госсистемах много ИИ? Смахивает на регулирование движения зелёных автомобилей при развороте на скорости свыше 200 км/ч. Но если посмотреть не так пристально, можно увидеть прообразы требований, которые будут применяться к нейросетям в широком смысле. Разумеется, это притормозит развитие ИИ. Однако в этой ситуации позиция регуляторов неожиданно совпадает с позицией Anthropic.
📁 ФСТЭК России утвердила новую методику выявления уязвимостей в ПОФСТЭК России утвердила новую методику выявления уязвимостей и недекларированных возможностей в ПО. Документ заменяет закрытую методику 2020 года, которая была доступна только ограниченному кругу аккредитованных лабораторий. Актуальный документ, помимо обновления устаревших технических подходов, предоставляет правила оценки уязвимостей на обозрение заинтересованных лиц, делая их публичными и детализированными.Ключевые изменения:🔵 Методика полностью синхронизирована с ГОСТ Р 56939-2024 и Приказом ФСТЭК № 76. Все виды исследований — от анализа архитектуры до статического и динамического анализа — теперь напрямую привязаны к 6-ти уровням доверия.🔵 В документ официально введены требования к проверке сред контейнеризации и виртуализации, анализу сборочных сред, а также к использованию специализированных фаззеров для динамического анализа.🔵 Для сертификации потребуется предоставлять перечни программных компонентов и образов контейнеров в машиночитаемом формате CycloneDX. Это позволит лучше контролировать состав ПО, используемые зависимости и потенциальные риски в цепочке поставок.🔵 Появился механизм повторного использования результатов анализа, выполненного самим разработчиком по ГОСТ Р 56939-2024. Если качество таких исследований соответствует установленным критериям, испытательная лаборатория сможет учитывать их результаты при проведении оценки.Новая методика отражает переход от формальных проверок к более глубокой и стандартизированной оценке безопасности ПО на всех этапах его жизненного цикла. Для компаний, использующих практики DevSecOps и требования ГОСТ Р 56939-2024, это может ускорить и упростить процесс сертификации. В то же время повышенное внимание к анализу компонентов, цепочек поставок и современным методам тестирования должно способствовать повышению уровня защищенности информационных систем.
😍 На связи еженедельный дайджест!Биометрия на колёсах: каршеринг выходит на новый уровеньДо 2027 года в России внедрят систему биометрической верификации пользователей каршеринга. Она позволит подтверждать личность водителей и проверять водительские права. За реализацию проекта отвечают Минцифры, Минпромторг, Минэкономразвития, Минтранс и МВД. Кроме того, биометрию планируют использовать для подтверждения возраста пользователей сервисов проката средств индивидуальной мобильности.Poizon оштрафовали за нелокализацию данных российских пользователейКомпания Pro New World (Hong Kong) Limited, оператор русскоязычных сервисов китайского маркетплейса Poizon, получила штраф в размере 1 млн рублей за нарушение требований о локализации персональных данных российских пользователей. Компания управляет сайтом thepoizon.ru, приложением «ДЭВУ (Poizon)» и официальным магазином на Ozon. WhatsApp под запретом: банки платят штрафы за переписку с клиентамиС марта 2025 года российские суды зарегистрировали как минимум 21 дело против банков и микрофинансовых организаций за использование WhatsApp при обработке персональных данных. Это нарушает требования ст. 13.11.2 КоАП РФ. Через мессенджер клиентам направлялись сведения о задолженности, ФИО и другие персональные данные. Размер штрафов составил от 100 до 200 тысяч рублей, хотя максимальная санкция по статье достигает 700 тысяч рублей.ИТ-льготы стали доступнее: расширен перечень аккредитуемых компанийПравительство РФ упростило получение ИТ-аккредитации и связанных с ней налоговых льгот для компаний с государственным участием. Теперь на аккредитацию могут претендовать разработчики программного обеспечения и программно-аппаратных комплексов для государственных информационных систем и объектов КИИ, участники значимых проектов цифровизации, а также правообладатели российских программ из перечня для предустановки. Срок подачи заявлений на подтверждение аккредитации продлён до 1 июля 2026 года. На сегодняшний день подано уже более 16 тысяч заяв
👥 Бывших не бывает: половина утечек в России связана с увольнением сотрудниковЭксперты экспертно-аналитического центра InfoWatch проанализировали утечки данных, связанные с увольнением сотрудников, за 2023–2025 годы. Выяснилась следующая картина:🔵 45 % инцидентов — по вине действующих сотрудников🔵 36% — по вине уже уволившихся🔵 18% — по вине руководителей разных уровнейДоля инцидентов по вине бывших сотрудников в России вдвое выше, чем в мире. При этом они вдвое чаще не только похищают данные, но и намеренно провоцируют сбои и блокировки информационных систем. В каждом четвёртом случае мотив — желание отомстить работодателю.🗣 Вообще сотрудники — один из основных источников утечек. Поэтому вспомните, когда вы последний раз проводили обучение коллег хотя бы основам ИБ? К сожалению, большая часть обучения направлена на то, чтобы пользователь «не открыл» письмо. Знания же о том, какая информация является защищаемой и чего делать нельзя просто потому, что нельзя, — игнорируются за массовостью. А было бы неплохо их освежить.

🐾 Расширение интеграции MEDOED с контроллерами домена для модуля «Управление активами»В платформе MEDOED уже была реализована интеграция с контроллерами домена для получения данных о пользователях. Теперь этот функционал расширен и адаптирован для удобной работы с модулем «Управление активами».Обновлённая интеграция позволяет подключать несколько контроллеров домена и настраивать получение данных сразу в несколько справочников платформы: ◽️️️️️Контроллеры домена ◽️️️️️Группы пользователей ИС ◽️️️️️Пользователи систем ◽️️️️️ХостыЭто даёт возможность быстрее наполнять справочники актуальными данными, сокращать объём ручного ввода и выстраивать связи между информационными системами, пользователями, группами и хостами.❗️Новый функционал будет особенно полезен при инвентаризации активов, сопровождении информационных систем и работе с данными в модуле «Управление активами».

📰📰📰📰📰📰 Точка невозврата в кибербезе: ИИ впервые создал zero-day, рекордные взломы и массовые увольнения в ITВ мае ИИ впервые в истории создал реальный инструмент для взлома. Следом — хакеры взломали 275 млн студентов в разгар сессии, наследник McAfee и FireEye лишился исходного кода, а данные трети населения Франции выставили на продажу.Параллельно крупнейшие IT-компании объявили о рекордных сокращениях, Google и SpaceX обсуждают дата-центры на орбите, а российский бизнес подсчитывает убытки от VPN-блокировок.В новом выпуске дайджеста «Сигнал» Евгений Царёв обозревает главные события мая из мира ИБ, IT и права.Смотрите ролик⬇️🟥 YouTube 🟦 VK ⬛️ Rutube 🟨 Дзен

📱 84% отечественных Android-приложений с критическими уязвимостямиЗа 2025 год специалисты AppSec Solutions проверили более 1,2 тыс. популярных Android-приложений от российских разработчиков и нашли 48,8 тыс. уязвимостей — на 63% больше, чем годом ранее. Доля приложений с критическими и высокими рисками достигла 84%, а самых опасных находок свыше 19 тыс.Проверка шла методом чёрного ящика без доступа к исходному коду — то есть именно так, как действует реальный атакующий.Антирейтинг по числу уязвимостей выглядит так:1️⃣ игры и развлекательные сервисы2️⃣ стриминговые платформы3️⃣ финансовые приложения и банкинг4️⃣ бизнес-инструменты и корпоративные клиенты5️⃣ СМИ и новостные агрегаторы 🗣 Прежде чем пинать бедных наших разработчиков, стоит отметить, что рост числа уязвимостей характерен не только для нашего рынка мобильных приложений. Несмотря на отсутствие официальной статистики, можно говорить о росте числа найденных уязвимостей вообще. В этом «вина» конвейера разработки и ИИ, который научился искать уязвимости, но пока не может корректно их устранять.
🔋 Внесены изменения в перечень типовых объектов КИИ в сфере энергетики29 мая опубликованы изменения в Распоряжении Правительства №360-р, касающиеся типовых объектов критической информационной инфраструктуры (КИИ), функционирующих в сфере энергетики.Изменения предусматривают:🟦 уточнение формулировок типового объекта №98 — АС, АСУ и ИТКС тепловых электростанций;🟦 исключение типового объекта №99 — ИС, АСУ и ИТКС котельных.Изменения вступили в силу с момента публикации документа.
🔞 Совершеннолетний баг: в Linux нашли 19-летнюю уязвимость до rootВ Linux обнаружена уязвимость повышения привилегий CIFSwitch. Обычный локальный пользователь может обмануть механизм CIFS-аутентификации, подсовывать ядру фальшивые запросы и в итоге получить root. Проблема затрагивает системы с уязвимыми связками kernel CIFS и cifs-utils, а в первую очередь версии 6.14 и выше.CIFS отвечает за работу с сетевыми шарами: монтирование удалённых папок, чтение и запись файлов по сети. При использовании Kerberos-аутентификации ядро Linux обращается к пользовательскому приложению через cifs-utils — именно здесь и находится уязвимое место.🗣 Иронично нахождение Kali в перечне уязвимых систем, хотя она и не претендует на защищённую. А вот есть ли подверженные уязвимости механизмы в отечественных операционных системах — вопрос гораздо более важный. Будем надеяться, что нет, а если и да — ФСТЭК быстренько отзовёт у них сертификаты и лицензии у тех, кто их сертифицировал)
😉 На связи еженедельный дайджест!Уголовная ответственность за незаконный майнингГосдума одобрила в первом чтении законопроект о введении уголовной ответственности за незаконный майнинг цифровой валюты и незаконную деятельность операторов майнинговой инфраструктуры (ст. 171.6 УК РФ). За нарушения предусмотрены штрафы до 2,5 млн рублей, принудительные работы или лишение свободы до 5 лет — в зависимости от тяжести преступления и наличия отягчающих обстоятельств. При первом нарушении уголовной ответственности можно избежать, если возместить ущерб и выплатить в бюджет сумму в двукратном размере.Верховный Суд обобщит практику по делам с использованием ИИПо поручению председателя Игоря Краснова Верховный Суд впервые проведёт масштабное обобщение судебной практики по делам, связанным с использованием ИИ. Планируется проанализировать частоту споров вокруг ИИ, вопросы возмещения вреда, причинённого его решениями, защиту чести, достоинства и интеллектуальной собственности, включая споры о дипфейках и обучении языковых моделей. Отдельное внимание уделят уголовным и административным делам — например, преступлениям с использованием чат-ботов и фиксации правонарушений системами распознавания лиц.Спор операторовT2 подала иск к Билайну из-за использования названия «Микс» для мультиподписки, поскольку оно схоже с товарным знаком Mixx компании T2. По мнению истца, в марте 2026 года Билайн переименовал приложение «Попкорн» в «Микс» и фактически скопировал концепцию агрегированного доступа к онлайн-кинотеатрам и другим цифровым сервисам. T2 считает, что это может привести к смешению брендов и оттоку абонентов. В случае победы в суде Билайну грозит выплата компенсации в двукратном размере выручки от мультиподписки.ЦОДы на автономном питанииМинцифры РФ совместно с Минэнерго прорабатывает возможность строительства ЦОДов с автономной генерацией электроэнергии. Это позволит снять ограничения на подключение к электросетям и возобновить строительство объектов в Москве и других регионах в бли