Обзор важных материалов по ИБ 06.04.2026

Государственные инициативы.

• Минцифры предложило предоставить операторам сотовой связи права регистрировать граждан в ЕСИА. Для общественного обсуждения опубликован разработанный Минцифры проект постановления правительства, позволяющего операторам сотовой связи формировать учётную запись абонента в единой системе идентификации и аутентификации (ЕСИА) и подтверждать биометрические персональные данные граждан в единой биометрической системе (ЕБС). Также операторы смогут создавать ключ простой электронной подписи в целях оказания госуслуг. Соответствующие изменения предложено внести в постановление правительства от 15 июня 2022 г. № 1066 «О размещении физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы» и в постановление правительства от 25 января 2013 г. № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг». Как говорится в пояснительной записке, эти изменения направлены на повышение доступности услуг и сервисов для физических лиц на основе биометрических ПД, развитие инфраструктуры цифровой идентификации и создание дополнительных точек обслуживания граждан в рамках биометрических сервисов. Проектируемые изменения позволят повысить уровень учётной записи в ЕБС и обеспечат возможность применения биометрических персональных данных в более широком перечне случаев. Обсуждение документа продлится до 23 апреля.

• Минцифры в рамках реформы системы управления отраслью связи обсуждает возможность снятия моратория на плановые проверки операторов. Речь идёт прежде всего о контроле за установкой систем хранения записей звонков и переписки, предусмотренных «законом Яровой». О том, что Минцифры обсуждает отмену моратория на плановые проверки операторов, сообщил РБК со ссылкой как минимум на два источника в отрасли. Мораторий на проверки, действующий до 2030 года, был введён в 2023 году. Он допускает проведение внеплановых проверок только на объектах чрезвычайно высокого и высокого риска, к которым отрасль связи не относится. Как утверждают источники РБК, действующий мораторий мешает проверять операторов на предмет установки систем оперативно-розыскных мероприятий (СОРМ). Причём такие системы обязаны устанавливать не только операторы связи, но и организаторы распространения информации, к которым относятся владельцы сервисов приёма, передачи и обработки пользовательских сообщений. Ещё одно обсуждаемое требование заключается в том, чтобы оператор связи выполнил все условия, связанные с СОРМ, ещё до начала своей деятельности. Таким образом, установка СОРМ может стать обязательным условием для выхода на рынок услуг связи. При этом внедрение такого комплекса с учётом всех необходимых согласований с регуляторами может занимать более двух лет. Представитель Минцифры в комментарии для РБК подтвердил, что инициативы по борьбе с недобросовестными операторами связи действительно обсуждаются с бизнесом и заинтересованными ведомствами. Однако, по его словам, каких-либо окончательных решений по этому вопросу пока не принято.

• IT для медиков – поручения президента. Владимир Путин утвердил перечень поручений по итогам совещания с членами правительства, посвящённого модернизации первичного звена здравоохранения. Так, правительству до 1 августа необходимо рассмотреть вопрос о системном внедрении российских решений, связанных с использованием цифровых помощников и синхронизацией информационных систем, в сферу здравоохранения. Правительство совместно с исполнительными органами субъектов РФ должно проанализировать и обобщить практики цифровизации здравоохранения в регионах (в том числе в Москве) – для распространения положительного опыта. Также следует принять меры по обучению медработников навыкам работы с цифровыми платформами и сервисами, включая применение технологий искусственного интеллекта в диагностике и интерпретации результатов исследований. Доклады по этим поручениям ожидаются до 1 декабря. При участии правительства Москвы следует обеспечить внедрение ИИ-технологий в медицинскую практику, в том числе для автоматизации процессов анализа данных и результатов лабораторных исследований. Доклад – до 1 июня, далее – один раз в полгода. К 2027 году необходимо включить в функции единого портала госуслуг (ЕПГУ) показатель, характеризующий удовлетворённость населения качеством, сроками оказания медицинской помощи и её доступностью. Правительство должно представить доклад об этом до 1 июня, далее – один раз в полгода. Также на ЕПГУ следует усовершенствовать процедуру записи на приём к врачу: обеспечить пользователям возможность «отложенной записи», если в графике нет свободных интервалов времени; автоматически направлять граждан в другие медицинские организации. Этот вопрос должно рассмотреть правительство совместно с Общероссийским общественным движением «Народный фронт «За Россию» и представить доклад до 1 сентября.

Инциденты и угрозы.

• Иранские хакеры показали изнутри израильские штабы, где планируют боевые операции. Хакеры из Handala выставили на всеобщее обозрение изнанку военных штабов. Громкий инцидент в сфере кибербезопасности вновь показал, насколько уязвимой может оказаться даже хорошо защищённая военная инфраструктура. На этот раз внимание специалистов привлёк масштабный взлом, который затронул не напрямую армию, а подрядчика, работающего с критически важными системами. Иранская хакерская группа Handala заявила о компрометации израильской компании PSK Wind Technologies — подрядчика, который разрабатывает и поставляет центры управления и координации для армии Израиля. Речь идёт о ключевых элементах инфраструктуры, где планируются и координируются военные операции. По данным отчёта International Cyber Digest, разбитого на несколько постов в X, злоумышленники получили доступ к огромному массиву информации. Объём похищенных данных указывает на длительное и глубинное присутствие внутри корпоративной сети подрядчика. Такой подход позволил обойти прямую защиту военных систем через цепочку поставок. Опубликованные материалы дают редкое представление о внутреннем устройстве военных объектов. В сеть попали фотографии действующих центров управления, где ведётся планирование операций. Раскрытие планировки и технического оснащения подобных помещений создаёт риски не только для цифровой, но и для физической безопасности.

• Письмо на миллион: группа Hive0117 взламывает компьютеры бухгалтеров и похищает деньги под видом зарплаты. Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новую тактику финансово мотивированных злоумышленников, атакующих российские компании. Киберпреступная группа Hive0117 в ходе целевых атак в феврале-марте 2026 г. заражала компьютеры бухгалтеров с использованием вредоносных писем, получала доступ к системам дистанционного банковского обслуживания и выводила деньги на счета дропов, в том числе под видом перечисления зарплаты. Об этом CNews сообщили представители F6. Вредоносные письма были отправлены в адрес более чем 3000 российских организаций. Средняя сумма ущерба компаний от успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб. «Открой меня». В феврале-марте 2026 г. система защиты корпоративной почты F6 Business Email Protection (F6 BEP) обнаружила несколько волн масштабных рассылок вредоносных писем, которые специалисты департамента киберразведки (Threat Intelligence) компании F6 связали с киберпреступной группой Hive0117. Злоумышленники проводили рассылки, ориентированные на бухгалтеров, в адрес более 3000 российских компаний из разных отраслей. В марте 2026 г. частота и масштаб рассылок группы заметно выросли. Вредоносные рассылки клиентам F6 были успешно заблокированы. Hive0117 (также известна как Watch Wolf) — финансово мотивированная группировка, которая проводит атаки с февраля 2022 г. Приоритетная цель злоумышленников – российские компании в сфере промышленности, ретейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Кроме того, атакует организации в Беларуси и Казахстане. Ранее распространяла вредоносные архивы от имени логистических операторов, государственных ведомств и других организаций. В новой волне атак вредоносные письма отправляли с предположительно скомпрометированных почтовых ящиков, один из которых принадлежит московскому разработчику сайтов и мобильных приложений. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.

• Обычный VPN и немного терпения. Пока города в Израиле горели, их секреты уже утекали на чужие серверы. Каждая цифровая брешь открывает путь вполне осязаемому огню. В марте на фоне обострения ситуации на Ближнем Востоке кибератаки вышли за рамки привычных сценариев и начали тесно переплетаться с реальными событиями. Специалисты обнаружили серию попыток взлома облачных сервисов, которые, судя по характеру целей, могли дополнять военные действия и помогать в оценке последствий ударов. Команда Check Point Research зафиксировала кампанию по подбору паролей против инфраструктуры Microsoft 365. Активность связали с группой, действующей в интересах Ирана. Атаки прошли тремя волнами — 3, 13 и 23 марта — и затронули более 300 организаций в Израиле и свыше 25 в ОАЭ. Отдельные эпизоды выявили в Европе, США, Великобритании и Саудовской Аравии. Главной целью стали муниципалитеты. Такие структуры играют ключевую роль при ликвидации последствий ракетных ударов. Аналитики заметили совпадения между атакованными городами и территориями, подвергшимися обстрелам в тот же период. Такая связь указывает на возможное использование украденных данных для оценки разрушений и планирования дальнейших действий. Злоумышленники применяли метод Password Spraying — массовую проверку распространённых паролей на большом числе учётных записей. В отличие от классического перебора, подход не атакует один аккаунт, а распределяет попытки по множеству пользователей, снижая риск блокировки. Для усложнения обнаружения использовались разные IP-адреса и узлы сети Tor.

• Китайский прогресс в стиле “ой, всё”: роботакси массово встали и заперли людей внутри посреди эстакады. Наступление темноты сделало технологический успех масштабным социальным кризисом. В китайском Ухане поездка на беспилотном такси неожиданно превратилась в затянувшееся ожидание посреди дороги. Несколько автомобилей без водителя одновременно остановились прямо в потоке, а пассажиры оказались заблокированы внутри без ясного понимания, когда ситуация разрешится. Полиция подтвердила, что вечером во вторник начала получать один за другим звонки от людей, чьи поездки прервались из-за сбоя. Речь идёт о сервисе Apollo Go, который развивает компания Baidu. По предварительным данным, причиной стал внутренний технический сбой. Точное число машин, остановившихся на дорогах, не раскрывают, но известно, что в Ухане работает более 500 таких автомобилей. Один из пассажиров описал произошедшее в китайской соцсети RedNote. По его словам, машина остановилась около девяти вечера на эстакаде и не смогла продолжить движение. Попытки связаться со службой поддержки сначала не дали результата, а позже операторы лишь сообщали о направлении специалиста. К десяти тридцати заказ отменили, но пассажир остался на дороге среди грузовиков. Помощь пришла позже, однако работа поддержки вызвала недовольство — вместо конкретных действий пассажиры получали формальные ответы. Видео с места событий быстро разошлись по соцсетям. На записях видно, как люди пытаются связаться с компанией через встроенные в машины планшеты, но не получают оперативной помощи.

• Рекордный всплеск DDoS-атак на защищаемые ресурсы зафиксирован после сообщений о блокировке Telegram. В феврале и марте зафиксировано рекордное количество кибератак на защищаемые информационные ресурсы; их интенсивность выросла в десятки раз после появления в СМИ сообщений о возможном полном ограничении работы Telegram, пишет «Интерфакс» со ссылкой на пресс-службу Роскомнадзора. Как отметили в пресс-службе, если обычно Национальная система противодействия DDoS-атакам (НСПА) фиксирует в среднем 350 атак в неделю (из которых около 23 направлены на Роскомнадзор), то в пиковый период – с 26 февраля по 4 марта – общее число атак выросло до 949. Согласно данным мониторинга ЦМУ ССОП (Центр мониторинга и управления сетью связи общего пользования) за период с 16 по 22 марта 2026 года, атаки идут главным образом из США – 37,6%, из Германии — 15,2% и из Великобритании – 11,1%. Наибольшее количество нападений пришлось на телекоммуникационные компании (51 атака за неделю) и хостинг-провайдеров (40). Государственные ресурсы находятся на третьем месте (33 атаки). Также объектами нападения оказались разработчики ПО и финансовый сектор. Самая продолжительная атака длилась непрерывно 113 часов 22 минуты (более 4,5 суток).

Исследования.

• Хакер за стенкой. Как ваш сосед по Wi-Fi стал частью глобальной кибервойны. Хакеры начали массово использовать домашний интернет и мобильные сети для маскировки атак. Сетевые экраны в компаниях привыкли опираться на репутацию IP-адресов. Новый анализ показывает, что этот подход все чаще дает сбой. Исследователи GreyNoise изучили 4 миллиарда сетевых сессий за 90 дней и пришли к выводу: почти 40% уникальных IP, которые обращаются к внешнему периметру компаний, принадлежат обычным домашним подключениям. При этом около 78% таких адресов исчезают раньше, чем попадают в какие-либо базы репутации. Проблема упирается в саму природу таких адресов. С точки зрения системы фильтрации IP из домашнего сегмента ничем не отличается от трафика легитимного пользователя. Те же интернет-провайдеры, те же диапазоны адресов. Злоумышленники используют обычный домашний интернет, мобильные сети и небольшие корпоративные подключения как промежуточные узлы. В результате вредоносный трафик выглядит так же, как запросы сотрудников, клиентов или партнеров. Статистика показывает, насколько быстро меняется картина. Доля адресов из домашнего сегмента достигает 39% среди уникальных источников, хотя по общему числу сессий их около 22%. Каждый такой IP обычно участвует менее чем в 3 сессиях и затем исчезает. Фактически речь идет о постоянно меняющемся пуле источников, которые появляются на короткое время и не успевают накопить репутацию. Основной механизм — быстрая ротация адресов. Почти 80% домашних IP встречаются всего в одной или двух сессиях и больше не наблюдаются. При такой динамике любые системы, которые обновляют списки угроз с задержкой, просто не успевают реагировать. Репутационные фиды оказываются неэффективными не из-за ошибок в данных, а из-за того, что сама модель устаревает быстрее, чем ее можно обновить.

• Рои копеечных дронов разорили морскую ПВО. Британский флот экстренно переводит эсминцы на боевые лазеры. Десять фунтов за сожженный беспилотник. Дороговато, не находите? Королевский флот Великобритании решил ускорить ввод лазерного комплекса DragonFire на боевые корабли. Систему собираются установить на эсминцы Type 45 уже к 2027 году. Для британского флота решение связано не только с внедрением новой технологии. Военные пытаются быстро закрыть брешь, которая стала особенно заметна на фоне войн с массовым применением дешевых дронов. Там, где раньше по цели приходилось запускать дорогую ракету, теперь хотят использовать луч, которому нужна только электроэнергия. Новый график означает резкое ускорение программы. В марте 2026 года британские власти подтвердили, что сроки сдвинули сразу на пять лет вперед по сравнению с прежним планом. Первым носителем станет один из эсминцев Type 45, затем комплекс начнут ставить и на другие корабли. Переход к серийному этапу опирается на производственный контракт, который MBDA получила в ноябре 2025 года. До этого DragonFire уже прошел успешные боевые испытания на полигоне на Гебридах, и теперь флот рассчитывает вооружить как минимум два эсминца. Решение хорошо показывает, как быстро меняется морская война. Системы направленной энергии еще недавно считались экспериментом, а теперь их стараются как можно быстрее встроить в боевые платформы. Для военных планировщиков главная проблема упирается во время: беспилотники меняют поле боя быстрее, чем оборонная промышленность успевает проходить обычные многолетние циклы закупок, испытаний и доводки. Ускоренный ввод DragonFire должен хотя бы частично сократить этот разрыв. Комплекс рассчитан прежде всего на ближние угрозы: дроны и минометные боеприпасы. Именно такие цели сегодня особенно неудобны для ПВО. Они часто идут не по одной, стоят дешево и способны перегрузить оборону просто количеством. В таких сценариях традиционные перехватчики становятся слишком дорогим ответом. Одна ракета может стоить сотни тысяч долларов, и при затяжной атаке подобная арифметика быстро превращается в проблему уже не только для тактики, но и для бюджета.

• В российских ИТ новый парадокс – программистов стало слишком много, а безопасников катастрофически не хватает. В России количество вакансий специалистов по ИБ растет невероятными темпами. Всего за три месяца 2026 г. их стало больше на 24%, чем годом ранее. В то же время программистов ищут все реже – работодатели охотно заменяют их вайб-кодингом, доверяя писать программы нейросетям. Все хотят безопасности. Российские работодатели стали активно искать в свой штат специалистов по информационной безопасности. Как пишут «Ведомости» со ссылкой на статистику SuperJob, по итогам первых трех месяцев 2026 г. число вакансий для безопасников в России подскочило почти на четверть – на 24% год к году. Абсолютные значения в SuperJob не раскрыли. Чаще всего безопасников ищут ИТ-компании, финансовые организации и ритейл. Одновременно с ними в ИБ-кадрах остро нуждаются и российские государственные организации.

• Белый дом представил проект рекордного оборонного бюджета на 2027 год – упор на IT вместо ИБ. Пентагону в 2027 году потребуется 1,5 триллиона долларов, это на 44% больше (+441 миллиард долларов) по сравнению с предыдущим годом, следует из опубликованного в пятницу Белым домом проекта американского бюджета. Средства предназначены в том числе на развитие системы ПВО «Золотой купол» (Golden Dome), секретные космические программы, инвестиции в цепочки поставок важнейших минералов, финансирование беспилотных аппаратов и систем противодействия БПЛА, а также технологий искусственного интеллекта. Для агентства по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) предусмотрено сокращение расходов примерно на 707 миллионов долларов. Как поясняет Nextgov/FCW, в Белом доме посчитали, что CISA было больше занято цензурой, а не защитой ключевых систем страны.

• Каждая пятая российская компания взломана и не знает об этом. Специалисты Bi.Zone Compromise Assessment установили, что злоумышленники присутствуют в инфраструктуре каждой пятой компании, которая обращается для проверки на предмет компрометации. В отличие от реагирования на инцидент такая проверка проводится в профилактических целях, без признаков нарушения процессов компании со стороны атакующих. Об этом CNews сообщили представители Bi.Zone. Владимир Гришанов, руководитель Bi.Zone Compromise Assessment: «Большинство выявленных случаев скрытого присутствия (60%) приходится на кластеры, нацеленные на кибершпионаж. Это не означает, что именно кибершпионы атакуют российские компании чаще всего: просто специфика этих группировок такова, что им для достижения своих целей необходимо долго находиться в инфраструктуре жертвы, незаметно собирая чувствительную информацию. Этим они отличаются, к примеру, от финансово мотивированных кластеров, использующих шифровальщики, — те, как правило, проводят атаку стремительно и могут находиться в инфраструктуре не больше нескольких дней». Еще 20% случаев выявленного скрытого присутствия в инфраструктуре приходится на долю хактивистских кластеров активности. На ранних этапах атаки, связанных с получением доступа и первоначальным закреплением, злоумышленники, как правило, скрываются на том хосте, на который им изначально удалось проникнуть. Чаще всего это узлы на периметре сети или в DMZ — части сети с публичной IP-адресацией, отделенной и от интернета, и от внутренней сети организации межсетевым экраном. Это почтовые серверы, серверы веб-приложений, VPN-шлюзы или системы, обслуживаемые подрядчиками. Такие хосты доступны извне, регулярно взаимодействуют с внешней средой и потому представляют собой удобную точку входа для атакующих.

Инновации.

• Атомные часы стали чувствительнее в 100 раз — и взялись за темную материю. Охота на новую физику началась. Иттербий сузили до 80 герц — теперь он ловит частицы за пределами Стандартной модели. Атомные часы давно стали не только эталоном времени, но и инструментом, с помощью которого физики проверяют устройство мира почти на пределе доступной точности. Теперь международная группа исследователей впервые использовала редкий орбитальный переход в атомах иттербия и построила на его основе новый тип часов, который сочетает высокую точность с повышенной чувствительностью к тонким физическим эффектам. Принцип работы атомных часов давно известен. Электрон в атоме переводят на более высокий энергетический уровень, а затем измеряют частоту перехода между двумя состояниями. Поскольку такие колебания почти не меняются, атомные часы остаются самыми точными приборами для измерения времени. Самые совершенные современные системы используют атомы, удерживаемые в оптической решетке, то есть в периодической структуре из светлых и темных областей, которую создают пересекающиеся лазерные лучи. Такие часы работают на оптических частотах, где счет идет на сотни триллионов колебаний в секунду. По точности они давно обошли старые схемы, работавшие в микроволновом диапазоне. Именно такая точность позволила использовать атомные часы не только для хронометрии, но и для фундаментальной физики. По ним проверяют, насколько точно работают известные законы, не меняются ли со временем фундаментальные константы и не скрываются ли в данных слабые отклонения от Стандартной модели. Еще в 2018 году теоретики предложили пойти дальше и использовать для этого необычный переход в атомах иттербия. Речь идет о переходе между конфигурациями, в которых участвует электрон внутренней оболочки, находящийся глубоко внутри атома. С одной стороны, такой переход трудно приручить экспериментально. С другой, именно он должен сильнее реагировать на эффекты, которые физики особенно хотят уловить, включая возможные следы темной материи.

• Что умнее: кремний или живой мозг? Настоящие нейроны обучили задаче ИИ. И они справились на “ура”. Биогибридные компьютеры перестали быть фантастикой? Живые нейроны впервые удалось обучить задаче, которую раньше решали только искусственные системы. Исследователи из Университета Тохоку и Университета будущего в Хакодате встроили культуру биологических нейронов в вычислительную схему машинного обучения и добились от нее генерации сложных сигналов во времени. Работа касается давнего вопроса на стыке биологии и информатики. Искусственные нейросети и импульсные нейросети давно используют для обработки данных, особенно там, где важна временная структура сигнала. В этой области хорошо известен подход резервуарных вычислений. Он опирается не столько на полную перенастройку всей сети, сколько на богатую внутреннюю динамику рекуррентной системы. Проще говоря, сеть здесь работает как сложная среда состояний, а обучение в основном сводится к тому, чтобы правильно считывать ее отклик. В искусственных системах для таких задач применяют, например, алгоритм FORCE. Он в реальном времени подстраивает выходной сигнал, ориентируясь на ошибку, и за счет этого позволяет генерировать разные временные паттерны – от простых периодических колебаний до хаотических траекторий. Но до сих пор оставалось неясно, можно ли перенести похожую схему на живую нейронную сеть, где элементы не имитируются в коде, а действительно растут, соединяются и спонтанно активируются. Чтобы это проверить, японская команда собрала биологическую нейронную сеть из культивированных кортикальных нейронов крысы. Затем ее встроили в архитектуру резервуарных вычислений. Электрическую активность живых клеток записывали как последовательности импульсов, переводили в непрерывный сигнал и подавали в считывающий слой, который формировал выход. Затем контур замыкали обратной связью: выходной сигнал использовали как новый вход для самой биологической сети. Именно эта схема и превратила культуру нейронов из объекта наблюдения в активный вычислительный элемент.

Обзор по ИБ подготовил Дмитрий Рожков.