В Государственную думу, по сообщению газеты «Коммерсантъ», внесены два законопроекта, которые предусматривают серьёзное ужесточение наказаний за утечки персональных данных. В частности, вводятся оборотные штрафы — крупные денежные взыскания, исчисляемые определённой долей от оборота компании за тот или иной период. Один из законопроектов предполагает внесение изменений в Кодекс об административных правонарушениях (КоАП).

В настоящее время компании, допустившие утечку персональных данных, в соответствии с ч. 1 ст. 13.11 КоАП штрафуются на 100–300 тыс. руб. Однако, как утверждается, эти взыскания несоразмерны с возможными последствиями от происшедших утечек. Поэтому для юрлиц предлагается установить значительно более крупные штрафы:

• от 3 млн до 5 млн руб. при утечке данных от 1 тыс. до 10 тыс. субъектов;
• от 5 млн до 10 млн руб. при утечке информации о 10–100 тыс. субъектов;
• от 10 млн до 15 млн руб. при утечке сведений о более чем 100 тыс. субъектов.

При этом максимальный штраф для юридических лиц составит от 0,1 % до 3 % выручки за календарный год, но не более 500 млн руб. Кроме того, определены взыскания для должностных лиц и просто граждан, допустивших утечку: 100–200 тыс. руб. для физлиц (максимум 300–400 тыс. руб.) и 0,8–1 млн руб. для должностных лиц (максимум 1,5–2 млн руб.).

Источник изображения: pixabay.com

Второй законопроект предусматривает введение дополнений в Уголовный кодекс. Необходимость принятия поправок авторы объясняют «ростом противоправных действий в отношении персональных данных, а также их незаконного использования при совершении преступлений». За сбор, использование и передачу персональных данных граждан предлагается наказывать штрафом в размере до 300 тыс. руб. либо принудительными работами на срок до четырёх лет, либо лишением свободы до четырёх лет.

Предлагается также наказание за незаконное использование данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, биометрических персональных данных. За такие нарушения будет грозить штраф до 700 тыс. руб. или тюремное заключение на срок до пяти лет.

В правительстве России обсудили возможное изменение порядка сбора статистики о бизнесе. Как сообщают «Ведомости», корпоративные IT-системы компаний намерены открыть для сбора данных Росстатом в режиме онлайн.

Планируется группировать бизнес-структуры в три группы. В первую войдут крупные и средние «флагманские» компании, данные о которых будут поступать непосредственно из ФНС, во второй группе окажутся т.н. «мультитерриториальные» компании с региональными подразделениями, а в третьей — малый бизнес. Сведения о последнем намереваются переводить в электронный формат на «Госуслугах» и МСП.РФ — в некоторых случаях до сих пор взаимодействие с властью осуществляется по телефону и электронной почте.

Источник изображения: Ruthson Zimmerman/unsplash.com

Предполагается и создание модуля для сбора показателей в ГИС «Гостех», куда сведут все данные, доступные органам власти. Для малых и средних предприятий система должна заработать уже в 2025 году, а для прочих компаний — с 2026 года. Прямая синхронизация данных будет проведена приблизительно для 350 крупнейших компаний. Эксперимент уже проводится Росстатом с РЖД, X5 Group и «Норникелем», тестирование по отдельным показателям с автоматическим формированием отчёта начнётся в 2024 году.

Похожая схема, отмечают «Ведомости», уже применяется ФНС с крупнейшими бизнесами в обмен на отказ от проверок и штрафов при доначислении налогов. Как заявляют в самом Росстате, речь не идёт о неограниченном онлайн-доступе ко всем данным компаний, информация будет предоставляться к ограниченному объёму данных для повышения оперативности сбора статистики, упрощения отчётности и улучшения скорости реагирования ведомств. Впрочем, бизнес обеспокоен как вопросами безопасности, так и затратами на новое ПО и персонал.

Допускается, что внедрение новой системы позволит предлагать компаниям на выбор как подачу традиционных отчётов, так и сбор данных Росстатом напрямую. Для таких отчётов существуют тысячи установленных форм, при этом информация в них часто дублируется. Переход на отчётность по показателям, а не по формам, согласно расчётам экспертов, поможет бизнесу сэкономить до 50 млрд/год. При жтом в Росстате информация и так обезличена, а ведомство уже несёт обязанность по сохранению тайны статистической информации.

Минцифры РФ и российские поставщики ПО, как сообщает газета «Коммерсантъ», прорабатывают новую схему включения продуктов в реестр российского софта. Речь идёт об изменении правил, по которым отечественные разработчики смогут получать преференции при госзакупках.

В августе нынешнего года стало известно, что Минцифры готовит поправки в постановления правительства №1236 и №325, регулирующие процедуру включения продуктов в реестр российского ПО. Тогда говорилось об ужесточении требований в плане совместимости с отечественными решениями. Теперь стало известно, что в рамках данной инициативы реестр будет разделён на две части.

В первую попадут продукты, удовлетворяющие новым дополнительным требованиям. В частности, правообладателю придётся доказать, что его софт совместим как минимум с одним из российских процессоров и корректно работает с отечественными браузерами, а сам разработчик способен «оказывать полную техподдержку пользователей». Кроме того, поставщику необходимо иметь собственную или арендованную инфраструктуру для обучения пользователей работе со своим продуктом. Для каждой категории ПО (СУБД, ОС, офисные пакеты и пр.) будут предусмотрены дополнительные требования.

Источник изображения: pixabay.com

Такой софт «первой категории» получит преференции на рынке госзаказа, а его правообладатель — налоговые и неналоговые льготы. Продукты из второй группы будут подпадать только под льготы: это, например, нулевая ставка по НДС. Специалисты говорят, что отрасль находится в зрелом состоянии, а «вендоры, претендующие на госзаказ, должны доказать свою способность разрабатывать и поддерживать продукты».

Новые правила предполагают, что софт на базе open source, претендующий на попадание в реестр, будет анализироваться на глубину переработки. «Те, кто разрабатывает софт на основе open source, должны будут использовать для обновлений или свой репозиторий кода, или репозиторий, принадлежащий другим российским компаниям или объединениям», — отмечает глава ЦКИКТ Илья Массух.

Центр Big Data МТС объявил о разработке первой в России библиотеки, позволяющей создавать графовые нейросети. Пакет получил название CoolGraph, а его исходники доступны всем желающим на площадке GitHub по лицензии MIT, которая в числе прочего позволяет использовать код в закрытом софте.

Отмечается, что в CoolGraph специалисты Big Data МТС собрали свои лучшие наработки в области построения кастомных моделей. Библиотека даёт возможность легко задать архитектуру сети и автоматически подобрать гипер-параметры.

Источник изображения: pixabay.com

Среди ключевых преимуществ CoolGraph названы: быстрый запуск с помощью двух строк кода, хорошее качество базовых моделей, поддержка гетерогенных графов и автоматизированный поиск оптимальных параметров через фреймворк Optuna. Отслеживать результаты экспериментов можно в MLFlow. Параметры для обучения собраны в конфигурационных файлах, но разработчики смогут менять их по своему усмотрению.

Говорится, что библиотека CoolGraph предназначена как для экспертов, так и для начинающих специалистов в области глубокого обучения нейросетей, имеющих доступ к данным графов. На их основе разработчики смогут строить различные модели. В дальнейшем центр Big Data МТС намерен пополнять библиотеку. Кроме того, будет открыт доступ к другим компонентам.

«Для достижения прорывов в области машинного обучения необходимо большое количество талантливых людей, экспериментирующих с технологиями. Наша библиотека решает эту задачу за счёт снижения порога входа в графовые нейросети», — говорит директор центра Big Data МТС.

Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС Холдинг») сообщил о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса «Гарда маскирование» по четвёртому уровню доверия.

Платформа «Гарда маскирование» предназначена для создания маскированных копий баз данных без изменения целостности базы. Система сканирует и классифицирует данные в защищаемой СУБД для обезличивания персональных данных и удаления конфиденциальной информации с полным сохранением структуры исходного массива данных. Решение защищает информацию при её передаче разработчикам, тестировщикам, аналитикам и другим лицам, для которых доступ к содержимому базы данных необязателен.

«Гарда маскирование» позволяет выявлять и маскировать такие чувствительные данные, как ФИО, номера банковских карт, паспортные данные, даты рождения, ИНН, ОГРН, СНИЛС, номера телефонов, e-mail, логины учётных записей. При этом в качестве методов и алгоритмов маскирования данных могут использоваться генератор ФИО и номеров карт, перемешивание и вставка случайных строк. Продукт поддерживает работу с СУБД MySQL, Microsoft SQL Server, Oracle Database и PostgreSQL.

Сертифицированная версия платформы «Гарда маскирование» может использоваться для защиты информационных ресурсов предприятий, не работающих с государственной тайной.

Недавно представленный Amazon чат-бот Amazon Q страдает характерными для этого типа решений «галлюцинациями» и допускает утечки конфиденциальных данных, сообщает Platformer. Пользователям превью-версии стали доступны данные о местоположении ЦОД компании, непубличных дисконтных программах и ещё не представленных функциях.

Инцидент получил статус утечки уровня 2. Это означает, что он оказался достаточно серьёзен, чтобы привлечь специалистов к его устранению ночью и работе в течение выходных. Проблемы Q весьма некстати проявились тогда, когда Amazon пытается отвоевать себе место на рынке ИИ-ассистентов. Пионерами здесь стали Microsoft, Google и некоторые стартапы. В сентябре компания объявила о намерении инвестировать $4 млрд в стартап Anthropic, а на этой неделе, наконец, представила собственный чат-бот Q.

В ответ на сообщения о проблемах Q в компании заявили, что некоторые сотрудники действительно обмениваются отзывами по внутренним каналам, но нет свидетельств того, что в материалах обратной связи упоминаются случаи явной утечки данных. Позже компания ещё раз подчеркнула, что Amazon Q не допускал утечек конфиденциальной информации. При этом в компании уточняют, что обратная связь только приветствуется, поскольку поможет лучше настроить поведение ИИ-ассистента. Однако внутренние документы компании, утекшие в Сеть, свидетельствуют об обратном — Q выдавал вводящие в заблуждение или же потенциально опасные ответы, например, касающиеся вопросов безопасности.

Источник изображения: John Schnobrich/unsplash.com

До сих пор Amazon тщательно скрывает местоположение ЦОД из своего огромного парка, включающего как собственные объекты, так и арендованные мощности. В 2018 году WikiLeaks обнародовала внутреннюю документацию IT-гиганта, включающую сведения о координатах дата-центров компании по состоянию на 2015 год. С тех пор расположение ЦОД раскрывалось только в документах о планируемом строительстве, но точных сведений о местонахождении всех площадок компании данных нет до сих пор. В последнем отчёте K-10, AWS уведомила, что на конец 2022 года компания владела по всему миру ЦОД общей площадью более 1,4 млн м² и арендует ещё более 1,6 млн м².

Компания Google, по сообщению агентства Reuters, направила в антимонопольный орган Великобритании жалобу против Microsoft: редмондский гигант обвиняется в неконкурентном поведении на облачном рынке. По заявлениям Google, политика Microsoft ставит в невыгодное положение других провайдеров облачных услуг.

Amazon Web Services (AWS) и Microsoft Azure столкнулись с растущим вниманием во всем мире по поводу их доминирования на рынке облачных вычислений, в том числе европейском. По оценкам Canalys, в III квартале 2023 года доля AWS в мировом масштабе составляла 31 %, Microsoft Azure — 25 %. Для сравнения: Google Cloud контролирует около 10 %.

Источник изображения: Google

Проверкой деятельности Amazon и Microsoft занялись регулирующие органы Великобритании, Европейского Союза и США. В частности, минувшим летом Google направила жалобу на Microsoft в Федеральную торговую комиссию США (FTC), обвинив этого облачного провайдера в антиконкурентной практике. Кроме того, сообщалось, что антимонопольное расследование деятельности Amazon и Microsoft на облачном рынке начнёт британский регулятор Office of Communications (Ofcom).

Сообщается, что в октябре нынешнего года Управление по защите конкуренции и рынкам Великобритании (CMA) с подачи Ofcom инициировало оценку бизнес-практики Amazon и Microsoft в облачном сегменте. По данным Ofcom, в 2022 году AWS и Microsoft Azure совместно контролировали 70–80 % британского рынка публичных облачных услуг, тогда как доля Google варьировалась в диапазоне 5–10 %.

В своей жалобе в CMA компания Google заявляет, что политика лицензирования Microsoft ухудшает конкурентную обстановку на облачном рынке. По утверждениям Google, из-за лицензионных ограничений Microsoft у британских клиентов «не остаётся экономически разумной альтернативы, кроме как использовать Azure в качестве поставщика облачных услуг, даже если у конкурентов более привлекательные цены, качество, безопасность и функциональные возможности». В ЕС Microsoft пошла на некоторые уступки в прошлом году, однако Amazon и Google они не коснулись.

Российский разработчик «РуПост» (входит в группу компаний «Астра») представил новый релиз почтового сервера RuPost 2.5.

RuPost представляет собой коммуникационное решение корпоративного класса, отвечающее всем требованиям современной организации любого масштаба. Продукт поддерживает кластеризацию, миграцию данных и одновременную работу с Microsoft Exchange, взаимодействие со службами каталогов ALD Pro, Active Directory, FreeIPA, а также оснащён средствами балансировки нагрузки, самодиагностики и мониторинга целостности конфигураций почтовых компонентов. Платформа RuPost подходит для решения задач импортозамещения. Программный комплекс включён в реестр Минцифры России и входит в дорожную карту «Цифровое рабочее место сотрудника».

В RuPost версии 2.5 разработчики усовершенствовали модель администрирования почтового сервера: теперь уровень полномочий, который получают администраторы, зависит от присвоенных им ролей. Каждая из них подразумевает свой набор разрешённых действий — от минимально необходимого до полного. Таким образом снижается доля ошибок или вероятность злонамеренных действий привилегированных пользователей. Для этой же цели были усовершенствованы механизмы сбора и экспорта логов во всех компонентах системы. Также RuPost 2.5 получил поддержку протокола POP3S, обновлённый механизм установки и инструменты, с помощью которых можно задавать правила обработки писем.

Разработчики позиционируют RuPost в качестве полноценной замены Microsoft Exchange и других зарубежных продуктов. В его составе имеется специальный инструмент для автоматизированной миграции с MS Exchange, который в релизе 2.5 снабдили веб-интерфейсом, позволяющим визуально конфигурировать, запускать и контролировать процесс переноса почтовых ящиков, календарей и адресных книг. Утверждается, что он способен существенно ускорить и облегчить импортозамещение корпоративных почтовых систем — эту задачу сегодня приходится решать многим отечественным организациям.

Компания «НТЦ ИТ РОСА» сообщила об успешном прохождении комплекса испытаний в системе сертификации ФСТЭК России и обновлении выданного ранее сертификата на платформу виртуализации ROSA Virtualization версии 2.1.

Согласно новым «Требованиям по безопасности информации к средствам виртуализации», утверждённым приказом ФСТЭК России № 187 и вступившим в силу 27 октября 2022 года, все программные продукты, реализующие функции средств виртуализации, должны быть сертифицированы по одному из шести классов защиты.

ROSA Virtualization 2.1 соответствует требованиям регулятора и является сертифицированным средством виртуализации четвёртого класса защиты. Платформа может быть использована в государственных организациях и на объектах критической информационной инфраструктуры для построения виртуальной инфраструктуры, обрабатывающей информацию ограниченного доступа, включая персональные данные.

По заверениям разработчика, ROSA Virtualization является первой в России системой управления виртуализацией, которая использует интегрированные средства защиты информации. Встроенные системы защиты закрывают семь из девяти обязательных требований, кроме межсетевого экранирования и антивирусной защиты. Задача межсетевого экранирования решена путём установки в систему продукта Netfilter c инструментом управления iptables, антивирусная защита реализована с помощью таких продуктов, как антивирус «Лаборатории Касперского» и Dr.Web Enterprise Security Suite.

«Лаборатория Касперского» объявила о выпуске защитных решений Kaspersky Smart I и Kaspersky Smart II для корпоративного сегмента.

Представленные продукты предназначены для компаний среднего бизнеса, в IT-инфраструктуре которых насчитывается от 250 до 1000 рабочих мест и серверов. Линейка Kaspersky Smart может быть развёрнута как локально, так и в виртуальной среде, включает в себя возможности не только для мониторинга и обнаружения цифровых угроз, но и для реагирования на инциденты, а также помогает соответствовать требованиям регуляторов.

Возможности Kaspersky Smart

Оба уровня линейки — Smart I и Smart II — включают в себя SIEM-систему Kaspersky Unified Monitoring and Analysis Platform, которая позволяет осуществлять комплексный мониторинг и потоковую корреляцию событий ИБ из различных источников данных в режиме реального времени в рамках всей инфраструктуры, а также благодаря централизованному хранению данных предоставлять информацию об инцидентах регулирующим органам. Во второй уровень, помимо SIEM, входит решение Kaspersky EDR Expert, позволяющее выстроить дополнительный эшелон защиты конечных устройств от сложных угроз.

«Организации среднего размера по большей части уже обладают фундаментальной защитой на уровне конечных устройств и задумываются о защите от сложных атак. Востребованность систем анализа и управления ИБ-событиями, а также EDR-решений растёт, поскольку с усложнением ландшафта киберугроз возникает необходимость реагировать на инциденты быстрее, качественнее, с меньшими усилиями. Средний бизнес остро нуждается в комплексных и эффективных решениях для защиты своих бизнес-активов, и мы делаем доступным ему свой комплексный продукт уровня Enterprise. Наша новая линейка предоставляет не только наиболее актуальную киберзащиту, но и помогает соответствовать требованиям законодательства», — отмечает «Лаборатория Касперского».