♾ В современном мире, где ландшафт киберугроз находится в постоянном развитии, становится более комплексным, многосоставным и вариативным, безопасность не должна быть просто технической характеристикой или бонусом к разрабатываемым технологиям.
Исторически сложилось так, что производители программных продуктов рассчитывали на устранение уязвимостей, обнаруженных уже после того, как клиенты внедрили и используют технологии на местах. А как же «жизненный цикл»?

В 2002 году компания Microsoft сделала первую попытку реализации схемы жизненного цикла создания безопасных программ и обеспечения их надежности через внедрение ряда простых принципов, начиная с самых ранних этапов. Это так называемая схема SD3C: «Secure in Design», «Secure by Default», «Secure in Deployment» и «Communication».
Шли годы и вот уже уполномоченные органы основных развитых стран призывают производителей сделать приоритетной интеграцию безопасности продукции в качестве критической предпосылки для обеспечения функциональности и скорости выхода на рынок.

В апреле 2023 года группа представителей регулирующих органов под руководством Агентства по кибербезопасности и безопасности инфраструктуры CISA (США) разработала дорожную карту для производителей ПО согласно принципам Secure-by-Default и Secure-by-Design. Делимся с вами зарубежным опытом. Предлагаем ознакомиться с нашим полным переводом рекомендаций.

💠 Ежедневно десятки тысяч разработчиков трудятся над совершенствованием программных продуктов с открытым исходным кодом, дополняя и улучшая друг друга. Гигантское множество актуального софта, к которому мы уже успели привыкнуть и которым пользуемся каждый день дома, в офисе или в производстве, вызрело на философии Open Source.

Однако открытый не всегда означает свободный, во всех смыслах. Это как у Франца Кафки: «Свобода — возвышенное чувство, поэтому и ложь о свободе считается возвышенной». В общем, «партнеры» тоже «оказались» ненадежные.

Поэтому с октября 2022 года в РФ стартовал эксперимент по созданию национального репозитория для отечественных открытых программных решений. Планируется, что российская экосистема послужит совместной разработке и хостингу проектов, а также будет способствовать более тесной кооперации российских программистов.

А пока мы ожидаем её появления, предлагаем вам ознакомиться с нашей статьей о зарубежном опыте поиска направлений минимизации рисков использования OSS и возможностей регулирования соответствующего программного контента.

➡️ Дайджест новостей 10-14 июля

Госдума приняла закон о внедрении в России с 1 августа цифрового рубля
Государственная Дума приняла во вторник базовый закон, закрепляющий правовые нормы введения в России цифрового рубля — третьей формы национальной валюты.

Microsoft обвинила Китай в кибератаках через ее облачную платформу
Как сообщила в среду газета The Washington Post, хакеры получили доступ к учетным записям электронной почты.

Доходы от вымогательских атак в этом году резко возросли
Согласно отчёту аналитической компании Chainalysis, программы-вымогатели — единственная категория преступлений в криптовалюте, в которой в этом году наблюдается рост.

Два подростка обвиняются в организации взломов Grand Theft Auto и Uber
Два подростка из Великобритании обвиняются в причастности к деятельности известной хакерской группы Lapsus$.

Эксперт по искусственному интеллекту Google предупредил о возможности «отравления» данных
Исследователь компании Google предупредил, что злоумышленники могут вывести из строя системы искусственного интеллекта, «отравив» наборы данных, и отметил, что китайские исследователи уже работают над созданием контрмер для защиты от этой новой угрозы.

К мошенническим сайтам для «быстрого заработка» добавились боты WhatsApp
По данным BI.ZONE, в последние 2 месяца резко выросло количество доменов, ориентированных на кражу персональных данных через WhatsApp.

Правительство расширило список сведений, собираемых онлайн-сервисами в эксперименте по авторизации пользователей через ЕСИА
Эксперимент по авторизации на сторонних сайтах через ЕСИА начался 1 апреля 2021 года, а позднее был продлён до 31 декабря 2023 года.

Госдума обязала банки возвращать деньги клиентам, если те перевели их мошенникам
Банки должны будут проверять и приостанавливать транзакции, а если деньги переведут даже несмотря на сведения о мошенническом счёте — их придётся вернуть.

👀 Предлагаем вашему вниманию расширенную версию дайджеста в нашем еженедельном мониторинге по теме информационной безопасности.

➡️ Дайджест новостей 15-16 июля

Китайский регулятор принял меры к ограничению использования генеративного ИИ
Администрация киберпространства Китая (CAC) совместно с рядом ведомств выпустили временное обязательное постановление по управлению сервисами генеративного искусственного интеллекта.

Британская компания Pulsar Fusion готовит революцию в космосе
Британская компания Pulsar Fusion начала строительство, по ее словам, самого большого в мире практического ракетного двигателя на ядерном синтезе и планирует запустить его в 2027 году.

Израиль внедряет системы искусственного интеллекта в военные операции
Армия обороны Израиля начала использовать искусственный интеллект для выбора целей для авиаударов и организации логистики в условиях эскалации напряженности на оккупированных территориях и в отношениях с Ираном.

Злоумышленники обновили популярную схему кражи аккаунтов в Telegram
Во втором квартале в России количество фишинговых атак на мессенджер выросло почти на 39%.

Хакеры Gamaredon начинают красть данные уже через 30 минут после начала взлома
Украинская государственная команда реагирования на чрезвычайные ситуации в области компьютеров (CERT-UA) предупреждает, что хакерская группировка Gamaredon осуществляет быстрые атаки, похищая данные из взломанных систем менее чем за час.