Год назад содержащее ошибку обновление программного обеспечения, продаваемого специалистом по кибербезопасности — компанией CrowdStrike, вывело из строя миллионы компьютеров по всему миру и отправило их в цикл постоянных перезагрузок. По эффекту сбой был сравним с одной из самых масштабных кибератак в истории, ущерб от которого исчисляется миллиардами долларов. Среди пострадавших оказались сотни больниц и их пациенты, сообщает Wired.

В июле 2024 года глобальный сбой из-за обновления CrowdStrike затронул 8,5 млн ПК на Windows. В сбое Microsoft косвенно обвинила регулятора ЕС — компанию вынудили открыть ядро ОС 15 лет назад, в том числе для сторонних разработчиков. В итоге компания переработала механизм доступа к ядру. Сама CrowdStrike назвала виновником сбоя баг в ПО для тестирования апдейтов, а позже объявила, что позволит более гибко управлять обновлениями Falcon Sensor, которые стали причиной сбоя.

Группа специалистов по кибербезопасности в сфере медицины провела исследование, оценив ущерб от сбоя не в долларах, а в уроне, нанесённом больницам и пациентам на территории США. Исследователи из Калифорнийского университета в Сан-Диего опубликовали статью в издании журнала Американской медицинской ассоциации (JAMA Network Open), в которой впервые предпринята попытка оценить количество пострадавших медицинских учреждений, а также выяснить, какие именно службы пострадали в больницах.

Источник изображения: Vitaly Gariev/unspalsh.com

CrowdStrike резко раскритиковала исследование, назвав данные «лженаукой». Подчёркивается, что исследователи не проверяли, действовало ли в пострадавших сетях было затронутое ПО Windows или CrowdStrike. Например, в тот же день произошёл масштабный сбой Microsoft Azure, отчего тоже могли пострадать многие больницы. Впрочем, в CrowdStrike не отрицают тяжёлых последствий сбоя и приносят извинения всем затронутым. В ответ в Калифорнийском университете в Сан-Диего (UCSD) заявили, что остаются при своих выводах — сбой Azure затронул в основном центральную часть США, а нарушения работы иного характера коснулись всей страны и начались именно тогда, когда некорректное обновление вызвало коллапс.

Исследователи уверены, что дела обстоят ещё хуже, поскольку изучили лишь около трети из более 6 тыс. больниц США, а истинное число пострадавших учреждений может быть намного больше. Работа исследователей является частью более масштабного проекта по сканированию интернета под названием Ransomwhere?, который выявляет сбои в работе медучреждений, связанные с вирусами-вымогателями. В рамках проекта американские больницы уже проверялись с помощью инструментов ZMap и Censys на момент сбоя.

Выяснилось, что не менее 759 из 2242 исследовавшихся больниц в США столкнулись с теми или иными проблемами из-за перебоев работы в больничных сетях в роковой день. Так, в 202 больницах нарушилась работа служб, напрямую связанных с пациентами — порталов для персонала (в т.ч. для просмотра медкарт), систем мониторинга плода, инструментов для удалённого ухода за пациентами, сервисов безопасной передачи документов и др. Например, в случае инсульта передача данных от КТ-сканера врачу значительно затруднялась.

Источник изображения: Accuray/unspalsh.com

Также выяснилось, что в 212 больницах были сбои в работе значимых систем, от платформ планирования работы персонала до систем оплаты счетов и инструментов управления временем ожидания пациентов. Что касается «релевантных для исследования» услуг, сбои наблюдались в 62 больницах. Больше всего сбоев (в 287 больницах) пришлось на категорию «прочие», включающую офлайн-сервисы. При этом отмечается, что отсутствует статистика того, как кому-либо могли быть поставлены неверные диагнозы или не вовремя назначены жизненно необходимые антибиотики.

В прошлом году уже появлялась информация, что обновление ПО CrowdStrike негативно сказалось на деятельности медицинских учреждений, но теперь речь идёт о более масштабном исследовании. В нём учёные также попытались приблизительно измерить продолжительность простоя больничных служб. Около 58 % служб вновь заработали в течение шести часов, и 8 % — не менее чем через 48 часов. Это намного меньше, чем простои от реальных кибератак, однако задержка в несколько часов или даже минут может увеличить уровень смертности пациентов, считают специалисты.

Команда Калифорнийского университета в Сан-Диего подчёркивает, что основная цель их исследования — показать, что с помощью правильных инструментов можно отслеживать массовые сбои в работе медицинских сетей и извлекать из них уроки. Результатом может стать более глубокое понимание того, как предотвратить или защитить больницы от подобных ситуаций в будущем.

Министерство обороны США годами допускало Пекин к своим важнейшим системам. При этом речь идёт не о взломе — часть важных задач просто была передана Microsoft на аутсорс китайским коллегам, сообщает Reuters. При этом власти неоднократно жаловались, что Китай регулярно использует уязвимости в IT-системах для разведки и подрыва национальной безопасности США. Пока Пентагон предъявляет всё более строгие требования к гражданству и месту жительства лиц, работающих с его данными, Microsoft оптимизирует расходы, взаимодействуя с экспертами из самых разных стран.

По имеющимся данным, программа Министерства обороны предусматривала некоторый надзор за деятельностью китайских специалистов из Microsoft. При этом они обслуживали облачные системы и имели к ним доступ, но под присмотром «цифрового эскорта». Проблема в том, что наблюдателями были чиновники, не имевшие достаточной квалификации для контроля действий специалистов. Китайские специалисты могли получать доступ к важным данным, в том числе о военных операциях. Не исключается, что китайцы могли внедрять уязвимости в IT-системы американского Министерства обороны.

Существование подобных возможностей поднимает более широкие вопросы обеспечения безопасности, связанные с использованием стороннего ПО в правительственных учреждениях США. КНР уже подозревали во взломе BeyondTrust, который позволил им получить доступ к системам Министерства финансов, включая отдел контроля за иностранными активами и аппарат министра. Кроме того, Китай обвинялся во взломе почтовых систем Microsoft для кражи государственных данных, включая переписку Министерства торговли.

Источник изображения: Shuvro Mojumder / Unsplash

В марте 2025 года Министерство юстиции обвинила группу хакеров, предположительно связанных со спецслужбами КНР, в краже данных у оборонных подрядчиков из США и дочерних образовательных проектов. Также Китай обвиняют в хищении чертежей американского истребителя F-35, что, как предполагается, помогло ускорить создание китайского истребителя J-31.

Также известно о серии кампаний по подготовке кибератак. Так, программа Salt Typhoon была нацелена на американскую телеком-систему, Volt Typhoon — на системы водоснабжения, электросети и железнодорожную инфраструктуру, а Flax Typhoon на коммуникации между США и Тайванем. Цель всех операций — внедрение уязвимостей, которые Пекин мог бы использовать в любой момент.

Уязвимости в системе закупок IT-решений для федеральных ведомств США делают критически важные системы подверженными вмешательству со стороны недружественных государств. Чтобы снизить эти риски, предлагается усилить инвестиции в «национальные» квалифицированные кадры в сфере кибербезопасности, способные выявлять и предотвращать угрозы. Также подчёркивается необходимость большей прозрачности и подотчётности в госзакупках, включая проверку не только основных подрядчиков, но и их субподрядчиков, особенно если среди них есть иностранные граждане.

Кроме того, Конгресс призывают устранить лазейки, позволяющие косвенно взаимодействовать с важными данными. В частности, предлагается запретить доступ сотрудникам из недружественных стран к важной информации без соблюдения ряда строгих требований. Утверждается, что Китай не пренебрегает и прямыми действиями. Так, недавно Тайвань отправил в тюрьму капитана китайского судна, обвинив его в умышленном повреждении подводного кабеля.

UPD 19.07.2025: как передаёт TechCrunch, представитель Microsoft заявил о смене политики компании в отношении госзаказчиков из Минобороны США — теперь ни одна инженерная команда из Китая не будет оказывать техподдержку облаку Пентагона и связанным сервисам.

Организация информационных технологий Ирана (ITOI), правительственный орган, ответственный за разработку и внедрение ИТ-сервисов, запустила официальный процесс оценки для отбора как минимум трёх поставщиков облачных услуг, способных обеспечить функционирование государственных сервисов по всей стране, передаёт The Register.

По результатам оценки провайдерам будет выдан «сертификат рейтинга облачных услуг», что позволит их включить в список авторизованных поставщиков, которые могут претендовать на крупные государственные контракты Ирана. Интерес представляют провайдеры, способные предоставлять услуги IaaS, PaaS и SaaS, поддерживающие модели частного, публичного, гибридного или коллективного облака, а также специализирующиеся на безопасности, мониторинге, поддержке и миграции в облако.

При оценке претендентов ITOI будет исходить из их соответствия международным стандартам ISO 27017 и ISO 27018, которые определяют механизмы контроля безопасности облачных вычислений и защиты персональной информации, а также стандартам облачных вычислений NIST SP 800-145, разработанным Национальным институтом стандартов и технологий США (NIST). Примечательно, что официальные учреждения Ирана, несмотря на вражду страны с США, придерживаются американских стандартов, отметил The Register.

Источник изображения: Elham Abdi/unsplash.com

Ресурс считает, что подыскать подходящих кандидатов для укрепления ИТ-инфраструктуры страны будет непросто, поскольку многие страны из-за санкций США объявили запрет на ведение бизнеса с Ираном или ввели серьёзные ограничения. Иран уже ограничивает доступ в интернет, иногда целиком, а сейчас, по-видимому, решил ускорить реализацию своих проектов по цифровизации страны и развитию IT-инфраструктуры.

Индонезия сделала важный шаг к созданию суверенного ИИ, объявив о создании «Центра передового опыта в сфере ИИ» (AI Center of Excellence, CoE). Проект реализуется под руководством Министерства цифровых коммуникаций и информации (Komdigi) и при поддержке NVIDIA, Cisco и телеком-оператора Indosat Ooredoo Hutchison (IOH). Центр станет частью национальной инициативы «Золотое видение 2045» (Golden 2045 Vision), направленной на цифровую трансформацию экономики и развитие инноваций.

В задачи CoE входят развитие локальной ИИ-инфраструктуры, подготовка кадров и поддержка стартапов. Частью CoE станет NVIDIA AI Technology Center, который обеспечит поддержку исследований в области ИИ, предоставит доступ к программе NVIDIA Inception для стартапов и предложит обучение в экосистеме NVIDIA Deep Learning Institute. Также CoE получит типовую суверенную ИИ-фабрику с новейшими ускорителями Blackwell. Дополнительно курируемый государством форум разработает надёжные ИИ-фреймворки для создания решений, соответствующих местным ценностям.

Важное внимание уделяется вопросам кибербезопасности. На базе центра заработает система Sovereign Security Operations Center Cloud Platform, разработанная Cisco, сочетающая ИИ-распознавание угроз, локальное управление данными и управляемые сервисы обеспечения безопасности.

Проект строится на четырёх стратегических столпах:

• Суверенная инфраструктура — масштабируемая и защищённая ИИ-инфраструктура, отвечающая национальным задачам;
• Безопасные ИИ-нагрузки — ожидается надёжная защита цифровых ресурсов с помощью решений Cisco.
• ИИ для всех — предусмотрено обеспечение доступа к ИИ для миллионов индонезийцев к 2027 году;
• Подготовка кадров — планируется обучение 1 млн человек цифровым навыкам, включая ИИ и кибербезопасность.

Источник изображения: Jeremy Bishop/unspalsh.com

Уже сейчас около 30 независимых разработчиков и стартапов используют ИИ-инфраструктуру IOH на базе NVIDIA. С учётом того, что Indosat покрывает связью весь индонезийский архипелаг, компания может обслуживать сотни миллионов носителей индонезийского языка (Bahasa Indonesia) с помощью приложений на основе специальных LLM, таких как Indosat Sahabat-AI. В будущем Indosat и NVIDIA намерены внедрять технологии AI-RAN, позволяющие охватывать ещё более широкий круг людей, которые смогут пользоваться ИИ с помощью беспроводных сетей.

Индонезия давно стала весьма привлекательным рынком для инвесторов. Так, Microsoft намерена в течение четырёх лет инвестировать в облачную инфраструктуру и ИИ-проекты Индонезии $1,7 млрд. А NVIDIA и Indosat Ooredoo Hutchison планируют построить ИИ-центр стоимостью $200 млн в Центральной Яве, $500 млн намерена инвестировать Tencent. Даже «Яндекс» имеет там собственные интересы.

Компания Curator (ранее Qrator Labs) опубликовала отчёт, посвящённый статистике DDoS-атак, BGP-инцидентов и бот-активности во II квартале 2025 года, согласно которому общее число атак увеличилось на 43 % год к году. При это рост количество атак на уровне приложений (L7) был ещё больше — на 74 %.

Чаще всего во II квартале DDoS-атакам на сетевом и транспортном уровне (L3–L4) подвергались сегменты «Финтех» (22,6 %), «Электронная коммерция» (20,6 %) и «ИТ и Телеком» (16,1 %), на которые пришлось 59,3 % от всех L3-L4 атак за этот период.

Самая продолжительная атака в отчётном квартале была зафиксирована в микросегменте «Онлайн-букмекеры». Её продолжительность составила чуть более 4 суток — 96,5 часа.

Источник изображений: Curator

16 мая исследователи зафиксировали новую атаку огромного ботнета, обнаруженного 26 марта 2025, которая в этот раз была направлена на организацию из сегмента «Государственные ресурсы» и продолжалась чуть больше часа. Если в марте ботнет состоял из 1,33 млн устройств, то в этот раз он включал в 3,5 раза больше устройств — порядка 4,6 млн IP-адресов.

Чаще всего источниками DDoS-атак на уровне приложений в отчётном квартале были Россия (17 %) и США (16,6 %), третье место у Бразилии (13,2 %), значительно увеличившей долю за последний год.

В исследовании также отмечен резкий рост трафика «плохих» ботов (+31 %), который значительно превысил прирост количества защищаемых ресурсов. Пик роста пришёлся на апрель-май, после чего в июне наступил некоторый спад. Главной целью «плохих» ботов во II квартале был сегмент «Электронная коммерция», доля которого выросла до 59,6 %. Далее по числу атак следуют сегменты «Онлайн-ставки» (16,5 %) и «Медиа» (9,6 %). На эти три сегмента пришлось более 85 % всего трафика «плохих» ботов.

Компания Team Group выпустила SSD серии P250Q, о подготовке которых сообщалось в марте нынешнего года. Особенностью новинок является аппаратная система самоуничтожения One-Click Data Destruction, которая гарантирует полное удаление хранящейся информации без возможности восстановления.

В устройствах реализована запатентованная технология, основанная на использовании независимой электрической цепи для стирания данных на аппаратном уровне: осуществляется это путём непосредственного воздействия на чипы флеш-памяти. Для активации функции может использоваться специальная физическая кнопка: в зависимости от продолжительности нажатия на неё запускаются различные режимы уничтожения информации, а о ходе процесса информируют светодиодные индикаторы.

Кроме того, предусмотрена интеллектуальная программная система автоматического возобновления процесса самоуничтожения на случай внезапного отключения питания. Таким образом, даже если выключить компьютер или извлечь накопитель после активации функции удаления, стирание данных будет завершено после восстановления подачи питания.

Источник изображения: Team Group

SSD семейства P250Q выполнены в формате М.2 2280 с интерфейсом PCIe 4.0 x4 (NVMe 1.4). Применены чипы флеш-памяти 3D TLC NAND. В семейство входят модели вместимостью 256 и 512 Гбайт, а также 1 и 2 Тбайт. Заявленная скорость последовательного чтения информации достигает 7000 Мбайт/с, скорость последовательной записи — 5500 Мбайт/с. Величина MTBF (средняя наработка на отказ) превышает 3 млн часов. Диапазон рабочих температур — от 0 до +70 °C. Производитель предоставляет на накопители трёхлетнюю гарантию. Новинки ориентированы на использование в оборонном секторе, индустриальной сфере и в других областях, где требуется повышенный уровень конфиденциальности и защиты данных.

Согласно исследованию ГК «Гарда», проведенном в апреле 2025 года, среди российских компаний большей популярностью из числа решений для защиты данных пользуются системы классов DLP (Data Leak Prevention, защита от утечки данных) и DAG/DCAP (Data Access Governance и Data-Centric Audit and Protection, контроль доступа и аудит с фокусом на данных), в то время как технологии защиты баз данных (DBF, Data Base Firewall) применяются реже. Виной этому является низкая осведомленность о таких решениях, несмотря на их высокую эффективность, отметили исследователи.

В опросе приняли участие представители более 100 компаний из финансовой и промышленной отраслей, здравоохранения, ретейла и e-commerce, ИТ, а также транспортно-логистических и государственных организаций, большей частью со штатом более 1000 сотрудников (64 %).

Две трети (67 %) участников опроса отдают предпочтение комплексным платформам, которые объединяют инструменты защиты (например, DBF и DAM, Database Activity Monitoring) с системами хранения, обработки и анализа данных. Такой подход характерен для финансового сектора, ИТ, промышленности, госсектора, а также сферы ретейла и e-commerce.

Источник изображения: Arif Riyanto/unsplash.com

Системы автоматизация поиска и классификации данных пока внедрили лишь 11 % компаний. Хотя более 85 % респондентов знакомы с каталогами данных, лишь треть использует их в своей деятельности. В свою очередь, маскирование данных применяют ⅔ компаний. Половина из них использует только динамическое маскирование, менее четверти — сочетают динамическое маскирование со статическим. Такие технологии больше всего получили распространение в ИТ, промышленном и финансовом секторах, меньше всего — в ретейле и e-commerce.

Опрос показал, что взаимодействие между бизнесом и ИБ-подразделениями по-прежнему является «узким» местом. Чаще всего респонденты отмечали замедление процессов, а также проблемы с выдачей прав доступа и синхронизацией критичных активов. Лишь у 23 % компаний нет проблемам во взаимодействии с ИБ-командами.

Как отметили в ГК «Гарда», реагирование на инциденты в сфере информационной безопасности в большинстве организаций уже либо автоматизировано полностью (23 %), либо реализовано в полуавтоматическом режиме с ручным подтверждением (39 %). По словам Ильи Лушина, директора по продуктам защиты данных группы компаний «Гарда», это говорит о постепенном росте зрелости ИБ-процессов, снижении ложноположительных срабатываний и стремлении перейти от мониторинга событий к реальной защите данных.

Российская компания «Криптонит» (входит в «ИКС Холдинг») представила модель sigmaAuth (σAuth), предназначенную для анализа безопасности протоколов анонимной аутентификации, применяемых в 5G-сетях. Новая разработка позволит повысить устойчивость мобильных сетей к кибератакам наряду с обеспечением защиты цифровой идентичности пользователей. Сообщается, что σAuth уже можно применять для анализа отечественных решений 5G-AKA-GOST и S3G-5G, которые сейчас проходят этап стандартизации в техническом комитете ТК26.

В частности, с помощью σAuth можно выявлять уязвимости в протоколах связи и подтверждать их стойкость с помощью строгих математических доказательств. Модель опирается на парадигму «доказуемой стойкости», использующую математические методы для подтверждения безопасности протоколов, что делает её универсальным и перспективным решением для создания новых стандартов киберзащиты, а также проектирования и анализа протоколов безопасности в других цифровых инфраструктурах.

Источник изображения: Dena Skulskaya/unsplash.com

Как отметили в «Криптоните», σAuth формализует понятие анонимности и учитывает сценарии, при которых нарушитель, например, может получить доступ к IoT-оборудованию. Это особенно важно в настоящее время, когда защита постоянных идентификаторов, таких как IMSI и SUPI, играет ключевую роль в обеспечении безопасности.

Согласно данным GSMA Intelligence, в 2024 году число подключений в 5G-сетях по всему миру достигло 2 млрд. 5G-стандарт помимо смартфонов обеспечивает подключение промышленных систем, транспорта, датчиков, что создаёт широкую поверхность атаки. И одним из уязвимых элементов 5G-сетей является процесс аутентификации: злоумышленники могут перехватывать сообщения, отслеживать пользователей или подделывать цифровые идентификаторы, отметила «Криптонит».

Как указано в пресс-релизе, разработанная специалистами «Криптонита» новая и более безопасная версия протокола аутентификации ECIES+5G-AKA была одобрена рабочей группой SA3 международной стандартизирующей организации 3GPP. Также компания представила исследования по разработке протокола аутентифицированной выработке ключей 5G-AKA-GOST, который позволит повысить защищённость российского 5G-сегмента.

Комиссия по ценным бумагам и биржам США (SEC) достигла принципиального соглашения о досудебном урегулировании с SolarWinds по иску против компании и её директора по информационной безопасности Тима Брауна (Tim Brown) в связи со взломом её платформы Orion хакерской группой APT29. Этой группировке, также известной как Cozy Bear, на Западе приписывают связь с ФСБ. Об этом сообщил ресурс Computer Weekly.

Из-за взлома систем компании, который оставался незамеченным около года, пострадало множество её клиентов, включая Министерство обороны, Государственный департамент, Казначейство, Министерство внутренней безопасности и Министерство торговли США. SEC обвинила SolarWinds и Тима Брауна в том, что они, зная об имеющихся проблемах с безопасностью систем, не приняли действенных мер по устранению уязвимостей.

Источник изображения: Oğuzhan Akdoğan/unsplash.com

В письме, направленному председательствующему на процессе судье Окружного суда США по Южному округу Нью-Йорка, представители SEC и SolarWinds сообщили о достижении принципиального соглашения, «которое полностью положит конец этому судебному разбирательству», при условии одобрения членами комиссии. Стороны обратились к судье с просьбой отложить все слушания по делу до запланированной даты подачи в суд окончательного соглашения, назначенной на 12 сентября.

Судья поздравил стороны с «продуктивным развитием событий» и отложил слушания по делу, назначенные на конец этого месяца. В прошлом году он отклонил большинство претензий SEC к SolarWinds и Брауну, утверждавшей, что они сознательно обманывали инвесторов, и завышая уровень безопасности компании, и занижая и замалчивая имеющиеся риски, о которых были хорошо осведомлены.

Ранее в этом году SolarWinds перешла в собственность Turn/River Capital, в связи с чем она больше не котируется на Нью-Йоркской фондовой бирже. О самой атаке Sunburst теперь уже практически не вспоминают.

Российский разработчик инфраструктурного программного обеспечения «Флант» сообщил о выпуске Deckhouse Stronghold Community Edition — бесплатной версии решения для безопасного управления корпоративными секретами. Продукт зарегистрирован в реестре отечественного ПО и является полноценной альтернативой HashiCorp Vault Community Edition.

Deckhouse Stronghold защищает пароли, ключи API, сертификаты, SSH-ключи, токены и другие конфиденциальные данные от утечек, а также обеспечивает безопасную доставку секретов в программные продукты. Решение обеспечивает защиту чувствительных данных при взаимодействии пользователей и приложений, что, в свою очередь, позволяет повысить уровень безопасности существующих бизнес-процессов организации, а также выполнить требования законодательства и различных стандартов по защите конфиденциальной информации в корпоративной среде.

Инфраструктурные секреты — ключевые компоненты безопасности информационных бизнес-систем и приложений (здесь и далее источник изображений: deckhouse.ru)

Бесплатный вариант Deckhouse Stronghold предоставляет базовый набор функций для безопасного управления жизненным циклом секретов и решения задач, связанных с созданием, доставкой, хранением, отзывом и ротацией чувствительных данных. Поддерживаются популярные методы аутентификации (JWT, OIDC, Kubernetes, LDAP, Token) и Secret Engines (KV, Kubernetes, Database, SSH, PKI и др.). Решение работает с российскими операционными системами («Ред ОС», «РОСА Сервер», ALT Linux, Astra Linux Special Edition), может разворачиваться в закрытых контурах и интегрироваться с инструментами Infrastructure as Code, такими как Ansible и Terraform, что позволяет внедрять его в существующие DevOps-процессы. Также доступен веб-интерфейс.

Принцип работы Deckhouse Stronghold

Функциональные возможности уровня Enterprise, такие как управление ролями (AppRole, OIDC/JWT Role) через веб-интерфейс, поддержка пространств имён, репликация данных, автоматическое создание резервных копий через API и аудит-логирование, доступны только в коммерческих редакциях продукта. Такой подход позволяет организациям начать работу с базовой функциональностью и масштабировать решение по мере роста потребностей.

Deckhouse Stronghold Community Edition доступен исключительно в составе Deckhouse Kubernetes Platform как в бесплатной, так и в коммерческих редакциях. В дальнейшем разработчик планирует развивать функциональные возможности Deckhouse Stronghold Community Edition, а также открыть исходный код продукта.