Федеральное агентство по техническому регулированию и метрологии (Росстандарт) утвердило спецификацию протокола CRISP (Cryptographic Industrial Security Protocol), обеспечивающего защищённый обмен данными в промышленных системах. Новый национальный стандарт разработан компанией «ИнфоТеКС», внесён Техническим комитетом по стандартизации ТК 26 «Криптографическая зашита информации» и вступает в силу с 1 апреля 2024 года взамен рекомендаций по стандартизации Р 1323565.1.029–2019.

Протокол CRISP реализует защиту исходных сообщений путём их опционального шифрования, а также вычисления имитовставки, в частности, для аутентификации сообщений и для защиты от навязывания повторных сообщений с использованием криптографических методов. Разработка протокола велась специально для индустриальных систем, чтобы обеспечить передачу компактных блоков промышленных данных и отказаться от достаточно высоких требований к вычислительным мощностям и каналам связи, которые предъявляются при использовании протоколов на основе CMS-сообщений (Cryptograghic Message Syntax).

Источник изображения: senivpetro / freepik.com

Свойства протокола CRISP позволяют с его помощью защищать данные, передаваемые в TCP/IP-сетях. Также новый национальный стандарт может быть использован в качестве слоя защиты LoRaWAN RU (ГОСТ Р 71168-2023), NB-IoT, ZigBee, XNB и ряда промышленных протоколов.

Высокая энергоэффективность позволяет использовать криптографический протокол не только в автоматизированных системах управления технологическим процессом (АСУ ТП), но и в IIoT-системах, где устройства традиционно имеют питание от батарейки или получают его из среды функционирования.

Компания «Аладдин» сообщила о выпуске обновлённой версии программного комплекса Secret Disk для Linux, предназначенного для предотвращения утечек конфиденциальной информации с помощью шифрования на рабочих станциях и серверах с отечественными ОС семейства Linux.

Новая версия Secret Disk для Linux получила индекс 2.0, построена на базе клиент-серверной архитектуры и предоставляет возможность быстрого развёртывания системы защиты информации на большом количестве рабочих станций благодаря централизованному управлению. Также в состав продукта включён сертифицированный модуль средства криптографической защиты информации Secret Disk Crypto Engine.

Архитектура Secret Disk для Linux

Изменения версии 2.0 продукта также включают возможность динамической группировки пользователей, контроль их статуса и состояния, централизованного управления политиками шифрования, а также графическую консоль управления и классическую командную строку. Программный агент разворачивается на компьютерах пользователей, обеспечивает криптографическую защиту информации и двухфакторную аутентификацию.

Secret Disk для Linux позволяет построить систему защиты в Linux-инфраструктуре любой степени зрелости и совместим с классическими инструментами доставки и развёртывания ПО на Linux.

Компания Swissbit AG пополнила линейку защищённых продуктов iShield серией microSD-карт iShield Archive, специально разработанных для шифрования данных и защиты доступа к записываемым и хранящимся на них видео и изображениям. По данным Storage Newsletter, новинки предназначены для пользователей, уделяющих особое значение защите информации в соответствии обновлённым законодательством Евросоюза.

Выпускаются варианты ёмкостью 16, 32 и 64 Гбайт, а скорость доступа соответствует классам UHS-I U3 и Video Speed Class V30, обеспечивая, например, запись видео в разрешении 4К без задержек. Карты совместимы со всеми обычными типами камер. Поддерживается аппаратное шифрование AES-256. Компании и организации могут оснащать новыми картами беспилотники, нательные видеорегистраторы и многие другие типы камер. Любые записанные данные невозможно просмотреть, скопировать или удалить без соответствующих прав после того, как камера выключена и карта извлечена из устройства.

Источник изображения: Swissbit

Работа с картами памяти и их настройка осуществляются посредством ПО iShield Archive Tool (iAT) для Windows, macOS и Linux. Утилита позволяет задать параметры защиты, назначить PIN-коды и распределить роли и права доступа. Например, в WORM-режиме у выбранных пользователей есть доступ только на чтение без возможности изменения данных. Для того чтобы освободить место на карте, также необходимо использовать iAT и авторизоваться.

Накопители iShield Archive используют память 3D-pSLC NAND и способны работать при температурах от -40 до +85 °C. Заявленный ресурс составляет 4000 TBW при последовательной записи или 550 TBW при случайной записи 4K-блоками. Заявленная производительность последовательных чтения и записи составляет 39 и 37 Мбайт/с соответственно, а показатель IOPS на случайных операциях равен 740 и 1350.

Американский производитель электронных систем управления и автоматизации Honeywell интегрировал ключи шифрования, защищённые квантовыми вычислениями, в своих интеллектуальные счётчики электроэнергии, газа и воды в рамках партнёрства с Quantinuum. Это, как ожидается, обеспечит потребителям повышенную защиту от будущих киберугроз.

«Счётчики коммунальных услуг повышенной безопасности устанавливают новый стандарт защиты от утечек данных и помогают обеспечить бесперебойную работу инфраструктуры газоснабжения, водоснабжения и электроснабжения как для жилых, так и для коммерческих целей», — отмечено в пресс-релизе Honeywell. Интеллектуальные счётчики Honeywel Smart Energy and Thermal Solution с поддержкой Quantum Origin уже доступны для приобретения в Европе и Северной Америке.

Источник изображения: quantinuum.com

Для генерации ключей используется технология Quantum Origin от Quantinuum, разработанная совместно с Honeywell и запущенная ещё в 2021 году. Облачная платформа для генерации криптографических ключей от Quantinuum использует выходные данные квантового компьютера. Утверждается, что такой подход позволяет получить истинно случайные значения, что делает ключи действительно непредсказуемыми.

Компания Cisco предупредила о наличии серьёзной уязвимости в коммутаторах серии Nexus 9000. Брешь позволяет удалённому злоумышленнику, не прошедшему проверку подлинности, перехватывать и изменять зашифрованный трафик, передающийся между узлами.

Дыра описана в бюллетене CVE-2023-20185 (CVSS 7.4): проблема связана с функцией шифрования CloudSec. Киберпреступник может перехватить пакеты данных и взломать шифрование с помощью криптоаналитических методов.

Уязвимость затрагивает серию коммутаторов Cisco Nexus 9000 (в ACI Mode) с прошивкой 14.0 и более поздними версиями с активированной функцией CloudSec. Уязвимость затрагивает Cisco Nexus 9332C, Nexus 9364C Fixed Spine и Cisco Nexus 9500 Spine, оснащённые картой Cisco Nexus N9K-X9736C-FX.

Источник изображения: pixabay.com

Ситуация ухудшается тем, что Cisco пока не выпустила обновление, устраняющее брешь, а известного пути обхода проблемы нет. Специалисты отмечают, что возможность перехватывать, расшифровывать и потенциально изменять трафик является серьёзной проблемой, особенно в дата-центрах, где хранится конфиденциальная информация. Рекомендуется отключить уязвимые коммутаторы.

Компания «Информационные технологии и коммуникационные системы» («ИнфоТеКС»), занимающаяся разработкой VPN-решений и средств криптографической защиты информации, сообщила о получении положительного заключения Федеральной службы безопасности Российской Федерации на программно-аппаратный комплекс ViPNet Quantum Trusted System Lite (ViPNet QTS Lite).

ViPNet QTS Lite представляет собой квантовую криптографическую систему выработки и распределения ключей (ККС ВРК), которая обеспечивает квантовозащищёнными ключами средства криптографической защиты информации в автоматическом режиме. Особенностью продукта является полная секретность вырабатываемых ключей шифрования. Возможность их компрометации потенциальным злоумышленником исключается, так как любая попытка измерить передаваемые квантовые состояния приводит к их искажению, что не может остаться незамеченным.

Источник изображения: rawpixel.com / freepik.com

Выданные ФСБ России сертификаты подтверждают соответствие входящих в состав ViPNet QTS Lite компонентов — распределительного узла квантовой сети ViPNet РУКС «Лайт» и клиентского узла квантовой сети ViPNet КУКС «Лайт» — требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3, временным требованиям к ККС ВРК для средств криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС.

Сертифицированный программно-аппаратный комплекс ViPNet Quantum Trusted System Lite может применяться для защиты чувствительной информации в IT-инфраструктуре коммерческих и финансовых организаций или государственных систем.

В прошлом году иностранные удостоверяющие центры стали отказывать в продлении сертификатов безопасности подсанкционным российским компаниям, в связи с чем Минцифры разработало собственные TLS-сертификаты, на которые уже в прошлом году начался переход. По словам представителя Сбербанка, на данный момент российские сертификаты установлены лишь на 25–30 % устройств россиян, передают «Ведомости».

Выпуском TLS-сертификатов занимается Национальный удостоверяющий центр (НУЦ). В марте 2022 г. на «Госуслугах» был запущен сервис по их выдаче. И в этом же году на сертификаты НУЦ перешли сервисы и сайты Сбера. Для полноценной работы требуется вручную установить сертификаты, но в качестве временной меры можно воспользоваться отечественными браузерами, например, «Яндекс Браузер» и VK «Атом». По данным Минцифры, такими ежемесячно пользуются более 75 млн человек.

Источник изображения: freestocks/unsplash.com

По словам представителя Сбербанка, лишь у 25–30 % устройств, заходящих на сайт банка, установлен такой сертификат. «Это большая проблема, потому что это означает, что в 70 % случаев мы пользуемся сертификатами из неизвестного для нас источника. С этим надо бороться разными способами, прежде всего просветительским путём — просвещением и пропагандой, если хотите», — заявил он, призвав соответствующие ведомства объединить усилия, чтобы повысить процент пользователей с российскими сертификатами безопасности.

Сторонние эксперты отмечают, что на сайтах некоторых лидирующих российских банков используются иностранные сертификаты, в случае отзыва которых пользователи устройств без национальных сертификатов потеряют доступ к их услугам. Впрочем, даже достигнутый уровень проникновения российских сертификатов достаточно велик, если учитывать необходимость ручной установки. Также отмечается, что в таких сертификатах нуждаются устройства, используемые для выполнения финансовых операций на крупные суммы или юридически значимых операций. Поэтому национальные сертификаты преимущественно используются в корпоративном секторе.

IBM представила набор инструментов IBM Quantum Safe, который позволяет внедрить комплексное сквозное шифрование, способное противостоять атакам с использованием квантовых компьютеров. По словам IBM, новые технологии были разработаны для подготовки компаний к «постквантовой эре», когда традиционные алгоритмы вряд ли смогут обеспечит безопасность бизнеса.

В состав IBM Quantum Safe входят:

• IBM Quantum Safe Explorer, предназначенный для сканирования исходных кодов и объектов с целью обнаружения криптографических активов, зависимостей, уязвимостей, а также создания криптографической спецификации CBOM (Cryptography Bill of Materials). Это позволит централизованно выявлять и исследовать потенциальные риски.
• IBM Quantum Safe Advisor для изучения всего криптографического инвентаря с целью анализа, ликвидации возможных последствий и приоритизации рисков.
• IBM Quantum Safe Remediator, который позволит организациям развёртывать и тестировать по шаблонам исправления для защиты от возможных атак, чтобы оценить возможное влияние на все системы и активы при подготовке к развёртыванию квантово-безопасных решений.

Источник изображений: IBM

IBM также представила свой план IBM Quantum Safe Roadmap, чтобы помочь клиентам во время перехода к новым нормам безопасности. Это первый план IBM, где обозначены технологические вехи на пути к всё более совершенным квантово-безопасным технологиям, которые помогут компаниям соответствовать ожидаемым криптографическим стандартам и требованиям и защитить системы от уязвимостей.

План состоит из трех ключевых действий:

• Обнаружение: выявление мест использования криптографии, анализ зависимостей и создание CBOM.
• Наблюдение: анализ состояния криптографических уязвимостей и расстановка приоритетов по исправлению в зависимости от рисков.
• Преобразование: устранение уязвимостей, в том числе автоматизированное.