Tekhnonacional

Утечки данных могут нанести серьезный урон не только компаниям, откуда они были похищены, но и каждому интернет-пользователю в отдельности.  Воровство таких данных чревато как краткосрочными, так и долгосрочными рисками в области репутации компании и ее финансов.  При этом, хоть за информационную безопасность компаний отдельный юзер ответственности  и не несет, однако защита  личного компьютера являются его персональной зоной ответственности.

В наше время, благодаря настоятельным требованиям госорганов, документооборот и прочие бизнес-процессы  уже не возможны без использования ЭП. Преимущества токена именно в том, что он полностью защищает ваш документооборот от атак мошенников. Несанкционированное раскрытие критически важных данных организации, её клиентов и контрагентов может считаться одним из недопустимых событий (НС) и часто приводит к возникновению других НС, таких как финансовые потери, прерывание бизнес-процессов или работы отдельных систем, а также последующие атаки на контрагентов и другие негативные последствия. Однако, что делать, когда само пользование защищенным соединением, он же VPN, таит в себе потенциальную угрозу утечки?

Не все относятся с должной серьезностью к выбору VPN-сервисов, что часто превращается в проблему. В начале 2021 года обнаружилось, что Super VPN «случайно» раскрыл более 360 млн записей.  Утечку обнаружил ИТ-специалист Джеремая Фаулер благодаря тому, что китайский разработчик оставил БД приложения незащищенной и доступной из интернета. Яркий пример простой халатности, которая по многим опросам ИБ является частой причиной утечек. База содержала информацию обо всех платных клиентах сервиса, включая email-адреса, реальные IP-адреса, информацию о геолокации и VPN-серверах, к которым подключались пользователи. Утечка насчитывала 360 308 817 записей и «весила» 133 ГБ. Помимо уже перечисленных выше данных, записи в БД содержали секретные ключи, уникальные идентификаторы пользователей и номера UUID.

Здесь имеет смысл напомнить о  преимуществах токена с ЭП по сравнению с облачной ЭП. Если вы пользуетесь токеном, его преимущество в том, что все ключи храняться имеено на нем. Получить доступ к ключаи можно только похитив у вас токен физически. Облачная ЭП может подвергнуться внешней атаке или стать жертвой халатности сотрудников.

Позднее, в том же  2021 году случилось похожее событие. Утекли данные пользователей сервисами FreeVPN.org и DashVPN.io. Оба принадлежат международной компании ActMobile Networks со штаб-квартирой в США. Личные данные пользователей были оставлены на незащищенном сервере системы управления базами данных MongoDB. Позднее на теневых форумах выставили на продажу базу данных 21 млн пользователей бесплатных VPN-сервисов для операционной системы Android. Тогда пострадали пользователи приложений GeckoVPN, SuperVPN и ChatVPN.

Пользователям необходимо выбирать качественные VPN-сервисы, с постоянными обновлениями, а также необходимо ставить уникальные пароли, чтобы в случае утечки мошенники не могли методом подбора получить доступ к другим сервисам с тем же паролем. Мы отлично знаем, как правильно пользоваться ЭП, и все преимущества токена, физического и неотчуждаемого носителя криптографии. Теперь необходимо внести в правила не использовать одинаковые простые, однотипные и предсказуемые «пароли» из имени и дат рождений, названий компаний и года основания.

В Совете Федерации прорабатывается (https://www.cnews.ru/news/top/2024-08-12_v_rossii_mogut_vves...) вопрос введения мер поддержки для сотрудников производителей радиоэлектроники и компонентов. Представители отрасли считаю, что на их сотрудников должны быть распространены льготы, предоставленные ИТ-специалистам, чтобы не было перекосов в развитии.

Напомним, что для сотрудников ИТ-компаний из реестра аккредитованных Минцифры существует ряд преференциям. В частности, их сотрудники мужского пола получают право на отсрочку от армии, а также работникам таких компаний предоставляется возможность купить квартиру или дом по льготной ипотеке, которая продлена до 2030 г. С 2025 г. до 2030 г. максимальная ставка по таким кредитам будет составлять 6%.

«Полагаем правильным и необходимым распространить действующие государственные меры поддержки российских организаций, осуществляющих деятельность в области информационных технологий для организаций, осуществляющих деятельность в сфере радиоэлектронной промышленности» - говорится в запросе Заместителя председателя комитета Совета Федерации по экономической политике Константина Долгова.

Глава Консорциума печатных плат Владимир Семенов предложил для удержания действующих кадров радиоэлектронной отрасли, средний возраст половины которых приближается к 50 годам, ввести, например, в соцпакет компенсацию расходов на обследование, лечение и реабилитацию. По мнению Семенова, необходимо также увеличить количество программ высшего и среднего профессионального образования в области радиоэлектроники. Дополнительным стимулом может стать и увеличение количества бюджетных мест за счет государственного софинансирования, прохождение производственной практики на заводах с последующим трудоустройством, считает он.

Ряд крупных российских девелоперов потеряли доступ к облачному решению американского разработчика систем автоматизированного проектирования (САПР) для строительства, проектирования и промышленного дизайна Autodesk BIM 360, а вместе с этим и доступ к своей проектной документации, которая там хранилась.

Autodesk еще в 2022 году объявила о приостановке своей деятельности в России. С 2022 года часть девелоперов покупали лицензии Autodesk через Казахстан, Киргизию, ОАЭ и другие страны. Американский вендор нашел следы использования своего продукта компаниями из России и отключил его для них.

Потеря доступа к системе BIM 360 равносильна потере всех данных, хранящихся на сервере. Об этом, в частности, сказал директор дивизиона BIM компании — разработчика инженерного программного обеспечения «Аскон-Интеграция» Дмитрий Демин. «Если исчезнут данные по текущим проектам, проектировщик или застройщик могут не успеть выполнить обязательства по контракту на проектно-изыскательские работы либо по сдаче объекта строительства».

Строительная отрасль в России, по мнению экспертов, несколько запаздывает в области импортозамещения. Однако решения, способные заменить Autodesk на рынке есть.

По оценке компании-разработчика инженерного программного обеспечения «Аскон», минимум 30% девелоперов начали использовать отечественный софт. Среди остальных 70% в основном используют Autodesk, а также софт для локальных задач, например ArchiCAD для проектирования архитектуры, Tekla для проектирования строительных конструкций. В последние месяцы строительные компании экстренно переходят на российское программное обеспечение в связи с блокировкой лицензий BIM 360.

В научном совете при Совете безопасности прошло заседание на тему влияния развития технологий искусственного интеллекта на внутренние угрозы безопасности. Особый интерес вызывают предложения экспертов. Во-первых, предлагается внедрять в российские технологии некое программное обеспечение для «противодействия деструктивной информации, экстремистской и террористической преступности». Что конкретно имеется в виду, пока не уточняется. Во-вторых, экспертов беспокоит зависимость ИИ в России от заграницы, в этой связи предлагается сокращать использование иностранных информационных технологий и оборудования в этой сфере.

Вот абзац целиком:

«Эксперты выработали ряд дополнительных мер, направленных, в частности, на внедрение в отечественные информационно-телекоммуникационные технологии программного обеспечения в целях противодействия деструктивной информации, экстремистской и террористической преступности. Предложено также сократить объемы использования иностранных информационных технологий и телекоммуникационного оборудования, посредством которых реализуются возможности искусственного интеллекта».

Судя по тому, что это уже третья встреча научного совета по искусственному интеллекту в этом году, Совбез активно занимается темой. В мае эксперты рекомендовали госорганам «проработать вопрос о создании специализированного межведомственного центра исследований» по информационной безопасности ИИ. А в январе — определили направления научных исследований по обеспечению безопасности ИИ и обсудили подготовку соответствующих кадров.

Помимо Совбеза о рисках, связанных с иностранным искусственным интеллектом, беспокоится МИД. Месяц назад официальный представитель министерства Мария Захарова заявила на презентации учебника «Международная безопасность в эпоху искусственного интеллекта», что «воспитанные на западных исходных данных модели даже без стороннего вмешательства будут действовать в чуждой нам смысловой и идеологической парадигме».