Компания Canonical, разработчик дистрибутивов Ubuntu, начала тестирование подписки Ubuntu Pro осенью прошлого года. А вчера разработчики объявили о выходе программы из статуса бета-версии и о её полноценной доступности для всех пользователей. Действовать программа будет минимум до 2032 года. Оформить подписку можно на сайте Canonical.

Подписка Ubuntu Pro изначально была анонсирована для систем Ubuntu LTS, начиная с версии 16.04 LTS. Она включала в себя исправления и обновления для критических опасных уязвимостей, а даже для ряда менее опасных багов. А благодаря инструментарию Canonical Livepatch большую часть обновлений можно устанавливать без необходимости перезагрузки. Также подписка включает доступ к rt-ядрам, базе знаний, сертифицированным Windows-драйверам для KVM, расширенным политикам Active Directory для Ubuntu Desktop.

Источник изображений здесь и далее: Canonical

Ubuntu Pro соответствует стандартам HIPAA и FedRAMP, имеются сертифицированные NIST и FIPS 140-3 (Level 1) крипто-модули, опционально доступна поддержка в режиме 24×7. Поддержка LTS-версий расширилась, так как теперь под действие Ubuntu Pro подпадает версия 14.04 LTS, а максимально поддерживаемая версия — 22.04 LTS. Под действие программы Ubuntu Pro попадает свыше 2300 пакетов в главном репозитории Ubuntu и более 23 тыс. пакетов в репозитории Universe.

Нововведения в Ubuntu Pro

Базовая стоимость подписки Ubuntu Pro составляет $25/год для рабочих станций и $500/год для серверов и IoT-устройств. Также есть более доступный вариант Infra-only, который предлагает меньшей опций и возможностей. Расширенная поддержка по телефону и онлайн, а также ряд дополнительных сервисов оплачиваются дополнительно. Бесплатная версия для индивидуальных пользователей и малого бизнеса также остаётся доступной — она включает в себя обновления для пяти систем (до 50 для официальных членов сообщества Ubuntu).

Компания «Беллсофт» сообщила о включении в состав среды разработки и исполнения Java-приложений Axiom JDK Pro поддержки отечественных TLS-сертификатов безопасности. Теперь при установлении защищённых соединений с сетевыми ресурсами, использующими сертификаты Минцифры России, подключение программных решений будет происходить автоматически.

«Большинство государственных информационных систем и критических инфраструктур работают на Java и выпуск отечественных TLS-сертификатов — важное событие для рынка. Наши инженеры включили их в состав Axiom JDK Pro, чтобы обеспечить подключение «из коробки», сэкономив ресурсы разработчикам и пользователям. Теперь во всех защищённых TLS-соединениях, устанавливаемых в приложениях Java, подлинность сервера или клиента может автоматически удостоверяться российскими сертификатами», — говорится в заявлении компании «Беллсофт».

Источник изображения: Innova Labs / pixabay.com

Axiom JDK Pro создана на основе проекта с открытым исходным кодом OpenJDK, соответствует спецификациям Java SE и является полноценной заменой Oracle Java. В состав платформы включены все инструменты, исполняемые и бинарные файлы, которые необходимы для компиляции, отладки и выполнения программных продуктов. Среда совместима с различными операционными системами, поддерживается российскими разработчиками и полностью отвечает принципам импортозамещения.

Поддержка отечественных сертификатов включена в новые версии Axiom JDK Pro 19.0.2, 17.0.6, 11.0.18 и 8u382. Они реализуют квартальный цикл развития OpenJDK и доступны синхронно с Oracle Java SE. Таким образом, Java-приложениям, исполняемым на Axiom JDK Pro 8, 11, 17 и 19, не потребуется донастройки для установления безопасных соединений по протоколу TLS и проверки подлинности серверов, в отличие от продуктов, функционирующих на базе Oracle Java и других JDK.

Минцифры и ФСБ запустят в 2024 году Национальный технологический центр цифровой криптографии, для которого уже зарегистрировано юрлицо АНО «НТЦ ЦК». О планах ведомств по созданию центра стало известно в октябре прошлого года. Как сообщается на сайте Минцифры, АНО «НТЦ ЦК» создана с целью внедрить и популяризировать использование криптографических методов защиты, которые позволят государству обеспечить информационную безопасность россиян, в частности, защитить их персональные данные. Инициативу уже поддержали некоторые банки.

Специалисты АНО «НТЦ ЦК» также будут заниматься вопросами развития здоровой конкуренции у отечественных производителей средств криптозащиты, производства компонентов средств защиты персональных данных и ведением реестра производителей средств криптозащиты. Кроме того, в перечень задач центра будет входить практическое обучение ИБ-специалистов и определение стандартов в области криптографии и защиты информации.

Источник изображения: Pixabay

Сообщается, что для достижения целей центра ведомство заручилось поддержкой крупнейших отечественных компаний, специализирующихся в области разработки средств криптографической защиты информации, включая «Информационные технологии и коммуникационные системы», «КРИПТО-ПРО» и «Код Безопасности»: «Мы стремимся, чтобы производители средств защиты были мотивированы создавать более качественные продукты, а будущие ИБ-специалисты могли учиться на программах, ориентированных не только на теорию, но и на практику».

Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС Холдинг») сообщил о сертификации Федеральной службой по техническому и экспортному контролю сразу двух решений — DLP-системы для защиты и предотвращения утечек конфиденциальной информации «Гарда предприятие» и программного комплекса для защиты баз данных «Гарда БД».

Оба продукта обеспечивают защиту конфиденциальной информации и персональных данных и соответствуют требованиям безопасности информации по 4 уровню доверия.

Пользовательский интерфейс системы защиты баз данных «Гарда БД»

Выданные ФСТЭК России сертификаты допускают применение систем «Гарда предприятие» и «Гарда БД» для защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в значимых объектах критической информационной инфраструктуры, в государственных информационных системах, в автоматизированных системах управления производственными и технологическими процессами, в информационных системах персональных данных высших категорий и классов.

«Гарда предприятие» и «Гарда БД» зарегистрированы в реестре российского софта и могут представлять интерес для организаций, реализующих проекты в рамках программы импортозамещения ПО.

Федеральная служба по техническому и экспортному контролю разработала рекомендации по безопасной настройке операционных систем Linux и обеспечению их защиты от хакерских атак.

Соответствующий документ опубликован на сайте ведомства в форматах PDF и RTF. Представленные в нём инструкции подлежат исполнению в государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием несертифицированных по требованиям безопасности ОС Linux, до их замены на сертифицированные отечественные решения.

Источник изображения: MasterTux / pixabay.com

Предложенные ФСТЭК России рекомендации затрагивают аспекты, связанные с настройками авторизации пользователей, ограничением механизмов получения привилегий, конфигурированием прав доступа к объектам файловой системы и средств защиты ядра Linux. Отдельное внимание авторами документа уделено настройкам защиты пользовательского окружения программной платформы от цифровых угроз.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов КИИ государства включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

«Тинькофф» запустил публичную программу по поиску ошибок и уязвимостей в своих сервисах за вознаграждение на платформе BI.ZONE Bug Bounty. Максимальная выплата на момент запуска программы составляет 150 тыс. руб. В рамках программы «белые хакеры» будут искать пробелы в безопасности на сайтах и в мобильных приложениях «Тинькофф Банка», «Тинькофф Инвестиций», «Тинькофф Бизнеса», «Тинькофф Страхования». В области действия программы только технические уязвимости.

При этом размер вознаграждения зависит от критичности как самой уязвимости, так и системы, в которой ее обнаружили. В программе могут участвовать любые исследователи безопасности из России и стран ЕАЭС. Багхантеры при желании могут отказаться от вознаграждения в пользу благотворительности. В таком случае «Тинькофф» увеличит сумму выплаты в пять раз и отправит ее в один из благотворительных фондов. Все невостребованные в течение года награды также будут направлены в пользу проверенных фондов.

Источник: Тинькофф

Как сообщают в компании, «Тинькофф» пока первый банк на платформе BI.ZONE Bug Bounty. При этом «Тинькофф» развивает собственную программу bug bounty как в приватном, так и в публичном форматах на различных площадках. На платформе BI.ZONE Bug Bounty организации размещают для багхантеров программы по поиску уязвимостей, чем уже воспользовались VK, «Авито» и Ozon.

Лига Цифровой Экономики готова предоставить российским компаниям средства защиты информационных систем при помощи программных решений на основе постквантовой криптографии. Поставщиком платформы выступит QApp — отечественный разработчик комплексных продуктов для обеспечения кибербезопасности.

Как сообщается, Лига Цифровой Экономики поможет бизнесу и госструктурам в пилотном режиме опробовать продукты на основе постквантовой криптографии. Такие решения могут быть востребованы в различных сферах, в том числе в телекоммуникационном, финансовом, энергетическом и промышленном секторах. В рамках соглашения с QApp будет предоставляться поддержка по интеграции двух продуктов: библиотеки квантово-устойчивых алгоритмов PQLR SDK и решения для реализации квантово-устойчивых коммуникаций Qtunnel.

Источник изображения: pixabay.com

«Наше сотрудничество с крупной IT-компанией — ответ на растущие потребности рынка как в поставке готовых квантово-устойчивых решений, так и в реализации уникальных проектов. Решения QApp являются полностью программными, что обеспечивает высокую скорость пилотной интеграции и доставки обновлений», — отмечает QApp.

В 2022 году Россия заняла 4-е место в мире по количеству DDoS-атак, направленных на коммерческие структуры и государственные предприятия. По данным StormWall, атаки на нашу страну занимали 8,4 % от общего количества кибернападений на все страны. По мнению специалистов StormWall, такие высокие показатели фиксируются впервые. Традиционно самыми атакуемыми в мире странами остаются Китай и Индия.

Большинство DDoS-атак было направлено на финансовую отрасль (28 % от общего количества атак, рост количества атак в 18 раз), телекоммуникационную сферу (18 %, рост в 12 раз), госсектор (14 %, рост в 25 раз) и ритейл (12 %, рост в 8 раз). Затем идут развлекательная сфера (10 %, рост в 4 раза), страхование (7 %, рост в 12 раз), СМИ (5 %, рост в 30 раз), образование (3 %, рост в 2 раза) и логистика (2 %, рост в 4 раза). Среди экспертов ИБ топ самых атакуемых секторов экономики разнится. Так, Positive Technologies на первое место ставит госсектор.

Изображение: StormWall

Большинство атак в 2022 году осуществлялось по протоколу HTTP/HTTPS (78 %). На втором месте находятся атаки по протоколу TCP/UDP (16 %), атаки по протоколу DNS составили 2 %, остальные атаки — 4 %. Максимальная мощность достигала 2 Тбит/с или 1 млн запросов в секунду благодаря использованию ботнетов для организации атак. Основная причина огромного количества DDoS-атак на российские компании в 2022 году — активность политически мотивированных хактивистов. Кроме того, ряд инцидентов был организован злоумышленниками с целью вымогательства, а также конкурентами.

Российский провайдер IT-инфраструктуры Selectel провёл оценку эффективности принимаемых мер и соответствия системы защиты своей облачной платформы требованиям по обеспечению безопасности персональных данных согласно приказу ФСТЭК России № 21 от 18 февраля 2013 г. Оценка их эффективности была проведена в форме приёмочных испытаний платформы.

По результатам приведённой оценки была подтверждена эффективность принимаемых мер по обеспечению безопасности хранения и обработки персональных данных до первого уровня защищённости (УЗ-1) облачной платформы. Это означает, что клиенты смогут размещать на платформе Selectel персональные данные всех категорий при использовании его облачных серверов, объектного хранилища S3, кластеров Kubernetes и облачных баз данных.

Меры по обеспечению безопасности согласно требованиям УЗ-1 необходимы для обработки и хранения специальных категорий персональных данных при превышении субъектов персональных данных 100 тыс. человек. При соответствии мер провайдера требованиям УЗ-1 заказчик освобождается от необходимости оценки потенциальных угроз при использовании его сервисов, поскольку Selectel сам проводит оценку. При этом клиенту предоставляется выписка из модели угроз в соответствии с требованиями ФСТЭК.

Согласно регламенту обязанности Selectel и клиентов по обеспечению безопасности распределяются следующим образом:

• Selectel обеспечивает безопасность инфраструктуры на физическом уровне в дата-центрах за счёт реализации систем контроля и управления доступом, видеонаблюдения, резервирования инженерных систем и охранной и пожарной сигнализаций.
• Заказчик при этом берет на себя ответственность за создание, управление и построение системы защиты своего проекта, включая объекты внутри него, в том числе операционные системы и приложения, размещаемые на платформе.

Компания «Газинформсервис» сообщила о получении обновлённого сертификата соответствия Федеральной службы по техническому и экспортному контролю на систему управления базами данных Jatoba.

Платформа Jatoba разработана на базе свободной объектно-реляционной системы управления базами данных PostgreSQL и предназначена для высоконагруженных IT-инфраструктур крупных предприятий. Особенностями отечественной СУБД являются расширенные функциональные возможности, увеличенная синтаксическая совместимость с процедурным языком PL/SQL, а также встроенные средства предотвращения анализа и изменения исходных кодов процедур и функций.

СУБД Jatoba аккредитована ФСТЭК России по 4 уровню доверия. Выданный ведомством документ допускает использование продукта на значимых объектах критической информационной инфраструктуры 1 категории, а также в государственных информационных системах 1 класса защищённости, автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных (например, в медицинских информационных системах) и информационных системах общего пользования II класса.

Сертификат соответствия действителен до ноября 2025 года.