Обзор важных материалов по ИБ 24.04.2026

Государственные инициативы.

  • ЦБ сообщил о введении дополнительной проверки при исключении сведений из базы данных о мошеннических операциях. Со 2 мая 2026 года вступит в силу указание Банка России о дополнительной проверке при рассмотрении заявлений об исключении сведений из базы данных о мошеннических операциях, сообщает Центробанк. Напомним, регулятор ведёт базу данных о подозрительных операциях («чёрный список»), в которую все банки обязаны передавать идентификаторы мошеннических операций, включая информацию о получателе денег. Такие сведения нужны кредитным организациям, чтобы предотвращать новые зачисления средств на счета злоумышленников. При этом банк обязан в течение 30 дней возвращать клиентам переведённые мошенникам деньги, если допущен перевод средств на мошеннический счёт, который находится в «чёрном списке». Согласно указанию, кредитная организация, получив запрос от ЦБ об исключении сведений из этой базы данных, должна будет связаться с клиентом (плательщиком), обращение которого стало причиной внесения информации в базу. Это необходимо для уточнения, считает ли он по-прежнему операцию мошеннической. О результатах такого взаимодействия банк должен сообщить регулятору. Механизм дополнительной проверки даст Банку России возможность более оперативно учитывать ситуации, когда человек изначально заявил в банк о мошеннической операции, но позже признал ее правомерной, поясняет ЦБ. Также регулятор уточнил порядок подачи заявления об исключении сведений из базы данных представителем клиента по доверенности – заявление подаётся в банк, обслуживающий клиента. При подаче заявления через сайт Банка России человек, в том числе индивидуальный предприниматель, может указать реквизиты своего недействительного паспорта (при его наличии), что позволит регулятору идентифицировать сведения о заявителе в базе данных при смене паспорта. В документе также прописана норма о предоставлении Центробанком сведений для отказа от зачисления средств, полученных при мошенническом переводе, – этот порядок действует с начала 2026 года.
  • Операторы хотят монетизировать IMEI: регистрацию гаджетов предлагают сделать платной. Российские операторы связи предложили ввести плату за регистрацию мобильных устройств в базе IMEI. Инициатива уже направлена в Минцифры и обсуждается в рамках обновления стратегии развития отрасли связи. По замыслу рынка, деньги от этой процедуры могут пойти в специальный фонд для развития сетевой инфраструктуры и импортозамещения критической ИТ-составляющей. Суть схемы в том, что IMEI хотят использовать не только как идентификатор устройства в сети, но и как обязательную точку учета. После запуска системы техника, не внесенная в реестр, потенциально не сможет полноценно работать с SIM-картами в российских сетях. Операторы считают, что это поможет сократить серый импорт и усилить контроль за устройствами, выходящими в мобильную сеть. Главный спорный вопрос – кто именно будет платить. Формально сбор могут возложить на импортера, продавца или владельца устройства, но рынок уже исходит из того, что расходы в любом случае будут переложены на конечного покупателя. То есть плата за IMEI-регистрацию с высокой вероятностью просто войдет в цену смартфона или сопутствующих услуг. Операторы объясняют инициативу ростом затрат на переход к отечественным решениям и нехваткой доступных источников финансирования на фоне высокой долговой нагрузки и дорогих денег. При этом окончательные параметры модели, включая сам механизм оплаты, пока не утверждены.
  • Блокировки, проверки и новые запреты. В России готовят третий пакет мер против мошенников. Успеют ли ограничения за изобретательностью злоумышленников? Минцифры РФ готовит новый шаг против телефонного и интернет-мошенничества. Власти уже запустили два этапа ограничений и защитных механизмов, а теперь обсуждают следующую волну мер. Пока детали не раскрывают, но сам факт подготовки третьего пакета показывает, что проблему в министерстве считают затяжной и требующей новых решений. О начале работы над третьим пакетом сообщила директор департамента развития технологий цифровой идентификации Минцифры Татьяна Скворцова. По её словам, в ведомстве уже формируют предложения, которые позже вынесут на обсуждение. Внутри министерства пакет пока обозначают рабочим названием «Антифрод 3». Заявление прозвучало на круглом столе в Совете Федерации, посвящённом цифровизации экономики и рискам мошенничества. Какие именно меры войдут в новый пакет, Татьяна Скворцова не уточнила. На фоне постоянного роста числа схем с телефонным обманом и онлайн-атаками такой подход выглядит как попытка заранее подготовить новые барьеры для злоумышленников. Работа над «Антифродом 3» продолжается параллельно с продвижением второго пакета. Документ примерно из 20 мер Госдума приняла в первом чтении 10 февраля, а его рассмотрение может продолжиться уже в мае. Первый крупный набор изменений приняли ещё в марте 2025 года. В пакет вошло более 30 мер против телефонного и интернет-мошенничества. Основные положения начнут действовать в сентябре 2025 года. Теперь Минцифры готовит следующий этап, который, вероятно, должен закрыть оставшиеся уязвимые места и усилить защиту пользователей.
  • Сертификация СЗИ требует представить сведения о заимствованных программных компонентах – приказ ФСТЭК. ФСТЭК внесла изменения в положение о сертификации средств защиты информации (СЗИ), сделав обязательным представление сведений о заимствованных программных компонентах с открытым исходным кодом. Кроме того, обязательным стало представление заявителем на сертификацию СЗИ перечня образов контейнеров, входящих в состав средства защиты информации (в случае наличия в средстве защиты информации образов контейнеров). В документе также уточняется комплектность материалов сертификационных испытаний средств защиты информации, направляемых испытательной лабораторией в орган по сертификации, порядок их представления в ФСТЭК России; уточняется порядок внесения изменений в сертифицированное средство защиты информации, а также в материалы, представляемые в ФСТЭК России по результатам проведения испытаний средств защиты информации в связи с внесением в них изменений.
  • Прошли испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети. ПАО «Вымпелком» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети; результаты позволят обеспечить принципиально новый уровень защиты передачи данных для корпоративных клиентов «Билайна», сообщает оператор. Квантовое распределение ключей (КРК) — это метод организации защищенных коммуникаций на основе криптографического протокола с использованием элементов квантовой механики. Он позволяет двум сторонам создать общий случайный секретный ключ для шифрования и расшифровки сообщений. Квантовая сеть обеспечивает генерацию ключей с помощью фотонов: при попытке перехвата их состояние меняется, это делает сеть устойчивой к взлому на 100%. Крупнейшую в России инфраструктуру для квантовых коммуникаций — Магистральную квантовую сеть (МКС) — развивает ОАО «РЖД» согласно национальному проекту «Экономика данных и цифровая трансформация государства». В рамках пилота офисы «Билайна» (ул. 8 Марта, 10) и РЖД (кластер Ломоносов, Раменский бульвар, 1) подключили к узлу Магистральной квантовой сети ОАО «РЖД» с помощью оборудования КРК ViPNet производства компании «ИнфоTeКС». В программу испытаний вошли тестирование процесса генерации и распределения ключей шифрования, а также организация IP-связности между сетями и обмен информацией между офисами по закрытому каналу: передача данных, телефонные VoIP-вызовы, видеоконференция. В тестировании были задействованы программно-аппаратные комплексы производства АО «ИнфоТеКС»: ViPNet РУКС (Распределительный узел квантовой сети), шифратор канального уровня ViPNet L2Q-10G, криптошлюз ViPNet Coordinator HW 1000. Все тесты защищенной клиентской сети прошли успешно, говорится в сообщении. Новая технология послужит защите собственных ресурсов «Билайна». Кроме того, она ляжет в основу услуги высокозащищенной передачи информации для крупных корпоративных клиентов.
  • Корпоративный VPN оставили в покое: РКН не планирует резать внутренние защищенные каналы компаний. Роскомнадзор заявил, что не планирует ограничивать использование VPN российскими компаниями для корпоративного взаимодействия внутри страны. Речь идет именно о сетевых протоколах шифрования, которые организации используют для защищенной связи между офисами, филиалами, внутренними сервисами и удаленными сотрудниками. Отдельно ведомство уточнило, что доступ к зарубежным ресурсам через VPN для производственных задач тоже сохраняется, но уже в заявительном порядке. Иными словами, если компании нужен защищенный канал наружу для работы с иностранной инфраструктурой, такой доступ предоставляют по обращению предприятия. На данный момент, по данным РКН, доступ к зарубежным ресурсам в рамках производственной деятельности уже предоставлен более чем для 57 тыс. адресов и подсетей 1730 компаний. Это показывает, что регулятор разделяет массовые VPN-сервисы обхода ограничений и корпоративные туннели, которые встроены в бизнес-процессы и сетевую архитектуру организаций. Практически это означает, что под удар в первую очередь попадают не enterprise VPN-контуры как класс, а публичные инструменты обхода. Для бизнеса важна сама формулировка: внутренние шифрованные каналы связи и доступ к внешним ресурсам для рабочих задач пока выводятся из общего сценария ужесточения.

Инциденты и угрозы.

  • 755 тысяч звонков в день и 600 млрд ущерба. Что такое Fraud Matrix и как новая база поможет ловить мошенников до того, как они спишут деньги. В России запустили открытую базу схем финансового мошенничества Fraud Matrix. Ущерб от действий мошенников в ИТ-сфере уже превысил 600 млрд рублей, число зарегистрированных киберпреступлений достигло 755 тысяч, а гражданам ежедневно поступает около пяти миллионов звонков от мошенников. Для разбора таких угроз F6 представила Fraud Matrix, базу знаний об актуальных схемах финансового мошенничества, механизмах атак и признаках угрозы. F6 называет Fraud Matrix инструментом для подробного анализа мошеннических цепочек, которые злоумышленники используют против клиентов компаний. База помогает понять, каким способом преступники получают чувствительные данные, как развивают атаку и к какому результату подводят жертву. Матрица продолжает пополняться по мере того, как мошеннические группы меняют тактику и приспосабливаются к новой обстановке. Внутри уже собраны несколько распространенных схем. Среди них обман с банковскими картами, когда человека убеждают перевести деньги на якобы безопасный счет, фишинг под видом оплаты доставки, подмена трафика через NFCGate и детский скам в чатах онлайн-игр, где платеж проходит без ведома родителей. В числе актуальных угроз 2026 года F6 также выделяет социальную инженерию с перехватом аккаунта, связку Buhtrap и SpyNote для захвата одноразовых кодов, а также вредоносные программы TaxiSpy, LunaSpy и SMS stealers, включая RoundRift, MidnightDat и Wonderland.По замыслу разработчиков, Fraud Matrix нужна не только для описания уже известных схем, но и для более раннего распознавания атаки. База показывает, что предшествовало инциденту, как именно злоумышленники вышли на жертву и какую цель преследовали на каждом этапе. Такой разбор помогает компаниям готовить защиту до того, как мошенническая цепочка дойдет до перевода денег или кражи данных.
  • Apple превратили в фишинг-ретранслятор: мошенники вшивают приманку в легитимные уведомления. Злоумышленники начали использовать штатные уведомления Apple об изменении данных аккаунта для рассылки callback-фишинга. Схема опасна тем, что письмо уходит с реальной инфраструктуры Apple, проходит SPF, DKIM и DMARC, а значит выглядит легитимно и с высокой вероятностью обходит почтовые фильтры. Механика атаки строится на полях профиля Apple ID. Атакующий создает аккаунт и разбивает фишинговое сообщение между полями имени и фамилии, например вставляя текст о якобы покупке iPhone на 899 долларов и номер «поддержки» для отмены операции. Затем он меняет shipping information, после чего Apple автоматически отправляет security alert, куда подставляются пользовательские поля. В результате приманка оказывается внутри настоящего системного письма. Дополнительный эффект дает сама структура уведомления. В письме фигурирует iCloud-адрес, привязанный к аккаунту злоумышленника, из-за чего у получателя возникает ощущение, что его учетную запись действительно кто-то изменил. Анализ заголовков также показал расхождение между исходным получателем и финальной доставкой, что указывает на использование рассылочных списков для массовой доставки таких уведомлений. Цель атаки не в краже пароля через ссылку, а в звонке на номер мошенников. Дальше жертву убеждают, что аккаунт скомпрометирован, и под этим предлогом выманивают финансовые данные или заставляют установить ПО для удаленного доступа. В прошлых callback-кампаниях такой доступ уже использовали для вывода денег, кражи данных и установки вредоносного ПО. На момент публикации возможность злоупотребления оставалась открытой.
  • 3555 дыр за год. В банковских приложениях из App Store и Google Play нашли рекордное число уязвимостей. Исследователи нашли 1541 случай, когда конфиденциальные данные хранились прямо в коде приложения. В популярных финансовых приложениях, доступных в App Store, Google Play и RuStore, за год нашли 3555 уязвимостей, 2006 из которых получили высокий или критический уровень. Такие данные привела компания AppSec Solutions по итогам анализа 90 приложений из банковского сектора, микрозаймов и страхования. Названия сервисов в компании не раскрыли. По данным AppSec Solutions, в 2023 году в таких приложениях нашли 4500 уязвимостей, но высокий или критический уровень тогда имели только 183. В 2024 году исследователи выявили 1583 уязвимости, из которых 569 отнесли к высоким или критическим. В компании отметили, что среди изученных отраслей финансовые сервисы стабильно лидируют по числу критических проблем. Чаще всего специалисты выявляли случаи, когда чувствительная информация оказывалась прямо в коде приложения. Всего обнаружена 1541 такая уязвимость. Подобные элементы позволяют злоумышленникам с помощью декомпиляции извлекать конфиденциальные данные и упрощают взлом приложения. Как следует из оценки компании, получив доступ к инфраструктуре владельца сервиса, злоумышленники могут похитить персональные данные и банковские реквизиты, а также авторизоваться под видом пользователя и совершать операции от его имени. Такая картина показывает, что практика безопасной разработки, при которой меры защиты встраиваются на каждом этапе проектирования и эксплуатации, пока не получила широкого распространения даже в банковских сервисах.
  • Лихой рейс: новая группа хакеров Geo Likho нацелилась на российскую авиационную индустрию и судоходные компании. «Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho. По данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа. В их числе — госсектор, образовательные учреждения и промышленность, но основной упор делают на авиационную индустрию и судоходные компании. В 2026 году группа сосредоточилась преимущественно на России, что делает Geo Likho актуальной угрозой для отечественных предприятий. Что известно о Geo Likho. Среди отличительных черт злоумышленников — создание уникальных вредоносов для каждой цели, а также использование VBE-скриптов, что нетипично для современных злоумышленников. Атакующие стремятся надолго закрепиться в скомпрометированной инфраструктуре, чтобы вести наблюдение за целью и похищать данные — они могут сохранять там своё присутствие в течение нескольких недель или даже месяцев. Ретроспективный анализ позволяет отнести к этой группе вредоносные кампании со шпионским троянцем Batavia, которые «Лаборатория Касперского» исследовала с марта 2025 года. Как происходит атака. В качестве вектора первоначального доступа злоумышленники используют целевой фишинг: жертве присылают письмо, в котором просят ознакомиться с неким договором, для этого якобы нужно перейти по ссылке, которая выглядит как путь к официальному документу. Если нажать на эту ссылку, на компьютер жертвы загружается вредоносный VBE-скрипт и запускается незаметное трёхступенчатое заражение. Это позволяет злоумышленникам собирать данные на компьютере и съёмных носителях жертвы: например, системные журналы, презентации и другие офисные файлы, изображения, а также периодически делать снимки экрана. Geo Likho похищает у организаций не только документы, но и дополнительную информацию: список установленных программ, драйверов и компонентов операционной системы.
  • «Нельзя исключать состояние конфликта»: Британия готовится к полномасштабной кибервойне с Китаем в ближайшее десятилетие. Британия перестала называть Китай просто «угрозой» и теперь говорит о «равном сопернике». Британский центр кибербезопасности NCSC предупредил о резком росте угроз со стороны Китая. Руководитель ведомства Ричард Хорн на открытии конференции CYBERUK 2026 в Глазго собирается заявить, что структуры китайской разведки и армии действуют с пугающим уровнем технической сложности, а государственный подход Пекина превратил Китай в полноценного конкурента в киберпространстве. Раньше NCSC называл китайскую киберугрозу определяющей для эпохи. Теперь формулировка стала жестче. По тексту выступления, который заранее получили журналисты, Хорн собирается сказать, что Китай больше нельзя считать просто сильным игроком в киберсфере. За счет координации на уровне всего государства Пекин занял позицию равного соперника. Осенью NCSC сообщал, что за предыдущий год в среднем разбирал по четыре киберинцидента национального значения в неделю. Среди главных источников угроз агентство называло Китай, Иран и Северную Корею. Тема киберобороны звучит особенно жестко на фоне недавних сообщений о подготовке Британии к возможному военному сценарию с участием не только армии, но и гражданской инфраструктуры. Хорн собирается прямо сказать, что в ближайшие 10 лет нельзя исключать состояние конфликта, а значит стране нужно готовиться заранее.

Исследования.

  • Пять рисков теневых баз данных и как с ними бороться. Эксперты компании «Гарда» представили пошаговый план по снижению рисков теневых баз данных. Трудности работы с теневыми ИТ (Shadow IT) всегда актуальны для ИТ- и ИБ-департаментов. Они продолжают существовать как скрытая угроза внутри инфраструктуры. Доступность low-code-, no-code- и ИИ-инструментов ведет к появлению нелегитимных ИТ-активов, о составе которых компании часто не имеют полной информации. Теневые базы данных являются частью такой ИТ-инфраструктуры и могут содержать ценные, в том числе конфиденциальные данные, а также быть задействованы в обработке реальных бизнес-процессов. При этом теневые базы данных нигде не учитываются: они отсутствуют в моделях угроз и регламентах контроля ИТ- и ИБ-служб, эксплуатируются и могут длительное время оставаться уязвимой частью инфраструктуры. Забытые учетные записи и открытые порты делают их потенциальной точкой входа для злоумышленников и повышают риск утечки данных. Как отмечают эксперты, такие базы данных возникают не только из-за недостаточного внутреннего контроля. В ряде случаев они представляют собой легальную инфраструктуру с теневыми подключениями и намеренно созданными базами для реализации незаконных операций. В памятке от экспертов направления по защите баз данных компании «Гарда» подробно рассмотрены виды и особенности теневых баз с примерами их эксплуатации из практики. В ней также предлагается пошаговый план действий по их обнаружению и снижению рисков.
  • Доля вредоносного бот-трафика выросла до 34%. Эксперты компании «Информзащита» отмечают устойчивый рост доли вредоносного бот-трафика, которая по последним отраслевым данным достигла 37% мирового интернет-трафика. Вместе с этим интенсивность автоматического сканирования уязвимостей значительно возросла, создавая постоянную нагрузку на публичные сервисы. Об этом CNews сообщили представители «Информзащиты». Анализ собранных данных показывает, что основной вклад в этот рост дает сочетание двух процессов. С одной стороны, инструменты автоматизации стали массовыми и дешевыми. Для запуска такой активности больше не требуется собственная сложная инфраструктура: злоумышленники используют готовые фреймворки для сканирования, цепочки прокси, модули обхода базовых ограничений и шаблоны работы с типовыми веб-стеками. С другой стороны, у компаний продолжает расширяться внешний цифровой контур. Публичные приложения, личные кабинеты, мобильные интерфейсы, партнерские API, промо-страницы и тестовые среды выводятся в интернет быстрее, чем успевают пройти полную проверку на устойчивость к автоматизированным атакам. В этих условиях боты последовательно проверяют открытые точки входа, реакцию на нетиповые URL, корректность обработки запросов, доступность служебных директорий, устойчивость форм авторизации и защиту API от перебора. Чем больше таких точек у компании, тем выше вероятность, что одна из них окажется настроена слабее остальных. По оценке «Информзащиты», именно массовое автоматизированное тестирование внешнего контура стало в начале 2026 г. одним из самых заметных постоянных факторов давления на цифровые сервисы. Нагрузка растет и потому, что бот-сети решают сразу несколько задач в рамках одной кампании. Один и тот же поток запросов может использоваться для разведки, сбора технического профиля приложения, проверки украденных логинов и паролей, обхода лимитов и подготовки к последующим атакам на инфраструктуру. Часть активности маскируется под обычное поведение клиента: боты распределяют нагрузку по IP-адресам, меняют user-agent, выдерживают паузы между запросами и воспроизводят последовательность действий, похожую на человеческую навигацию. По оценке аналитиков, в I квартале 2026 г. число инцидентов, в которых бот-активность использовалась как этап подготовки к компрометации веб-приложения или пользовательской учетной записи, выросло на 16% по сравнению с аналогичным периодом 2025 г.
  • ИИ врёт так же, как раньше. Но теперь он делает это мило — и вы ему доверяете. Проанализировали 2000 диалогов с чат-ботами и выяснили: вежливость повышает доверие, даже когда они несут бред. Люди начинают видеть в чат-боте нечто похожее на собеседника не тогда, когда модель отвечает точнее, а тогда, когда она звучит дружелюбнее. К такому выводу пришли авторы нового исследования, где разбиралось не качество самих систем, а то, какие именно черты в их поведении заставляют пользователей приписывать им личность, эмоции и внутренние намерения. Авторы проанализировали более 2000 взаимодействий между людьми и большими языковыми моделями, в которых участвовали 115 человек. При этом исследователи не переобучали систему и не меняли ее базовые возможности. Команда последовательно варьировала стиль ответов по нескольким параметрам: теплоте, компетентности и эмпатии, а затем смотрела, как меняется восприятие модели по шкалам антропоморфизма, доверия, полезности, сходства с человеком, раздражения и чувства близости. Самое сильное влияние оказала теплота, то есть то, насколько дружелюбным, располагающим и приятным кажется тон модели. Именно этот параметр заметно менял все ключевые оценки сразу. Когда бот отвечал более тепло, участники чаще воспринимали его как нечто более человеческое, сильнее ему доверяли, выше оценивали практическую пользу, чувствовали больше близости и меньше раздражались. Даже степень антропоморфизма – склонность приписывать системе человеческие черты, в первую очередь зависела именно от манеры общения. С компетентностью картина вышла другой. Она тоже влияла на восприятие, но уже не так широко. Более уверенные, точные и содержательные ответы повышали доверие, полезность и снижали раздражение, однако почти не меняли ощущение человечности. Иначе говоря, хороший результат помогает считать систему полезным инструментом, но сам по себе не заставляет видеть в ней подобие личности.
  • Число киберугроз для бизнеса растет — атаки стали доступны как готовый сервис. Современная киберпреступность продолжает превращаться в масштабируемый бизнес с развитой экономикой и перешла на сервисную модель; теперь злоумышленникам доступны готовые решения для проведения всех этапов атаки. К такому выводу пришли эксперты Positive Technologies, проанализировав более 4300 объявлений о продаже киберпреступных услуг за последние два года. Построение защиты в таких условиях требует учитывать изменения самой модели киберугроз. На теневых площадках разворачивается полноценная киберпреступная экосистема. Одни сдают в аренду серверную инфраструктуру, другие продают доступ к скомпрометированным корпоративным системам, третьи разрабатывают вредоносное ПО под конкретные задачи и предоставляют инструменты для обхода защитных решений. Часть сервисов, работающих по подписке, также включает техническую поддержку. Таким образом, атакующему достаточно обладать одним узким навыком, а все остальное он может приобрести как услугу. При этом для проведения массовых атак низкой сложности нет необходимости разбираться в технических деталях. Самые доступные услуги на теневом рынке — это аренда серверной инфраструктуры (медианная цена — 8 долларов), организация DDoS-атаки и продажа доступа к украденным учетным данным (медианная цена — 20 долларов). Дороже всего стоят эксплойты: их медианная стоимость составляет 27,5 тысячи долларов, а 35% предложений оцениваются дороже 100 тысяч долларов. Однако наборы эксплойтов можно приобрести также и по подписке от 500 долларов в месяц, что делает их доступными значительно более широкому кругу злоумышленников. Более низкая стоимость таких решений объясняется тем, что они включают набор эксплойтов для уже известных уязвимостей и распространяются массово, тогда как отдельные эксплойты, особенно для уязвимостей нулевого дня, представляют собой уникальный продукт с ограниченным числом покупателей. Эксперты Positive Technologies смоделировали несколько типовых сценариев атак и оценили стоимость используемых для них инструментов и сервисов. Фишинговая кампания для кражи корпоративных учетных данных с их последующей перепродажей потребует примерно 158 долларов, при этом затраты окупятся уже с первого полученного доступа. Атака с применением программы-вымогателя на небольшую организацию обойдется в 358 долларов, а против крупного бизнеса с профессиональной командой ИБ — порядка 3900 долларов. Целевое проникновение в надежно защищенную инфраструктуру с использованием ранее неизвестной уязвимости оценивается примерно в 33 тысячи долларов.
  • ИИ вместо ядерной бомбы. Почему Palantir хочет, чтобы мы перестали спорить и начали строить терминаторов. Публикация защищает жесткую государственную повестку, критикует пацифизм Германии и Японии и называет ИИ основой новой эпохи сдерживания. Palantir, компания, которую обычно обсуждают в связке с госзаказами, разведкой и силовыми ведомствами, на выходных сама подбросила повод для нового скандала. В корпоративном аккаунте появился «краткий» набор из 22 тезисов по книге главы компании Алекса Карпа The Technological Republic. Книгу Карп написал вместе с руководителем корпоративных коммуникаций Palantir Николасом Замиской, а сами авторы еще после выхода называли работу попыткой сформулировать теоретическую основу того, чем занимается Palantir. Смысл книги и нового поста предельно прямолинеен. Карп и Замиска утверждают, что Кремниевая долина свернула не туда, увлеклась удобными потребительскими сервисами и отдалилась от задач государства, армии и «Запада» в широком смысле. Издатель описывает книгу почти теми же словами, как призыв вернуть технологическую отрасль к большим государственным задачам, прежде всего к обороне и новой гонке в сфере искусственного интеллекта. Обозреватель The New Yorker увидел в книге не нейтральное эссе о будущем технологий, а смесь корпоративного мифа, проповеди и политического предупреждения о том, что США нужно заново технологически подпитывать военно-промышленный комплекс. Резонанс усилил момент публикации. Всего за несколько дней до поста группа демократов в Конгрессе потребовала от DHS и ICE объяснить, как инструменты Palantir и других компаний слежки используются в нынешней жесткой миграционной кампании администрации Трампа. Законодатели запросили данные о контрактах, наборах данных, мерах защиты приватности и о том, как именно такие системы помогают находить людей для депортации. Фон уже был напряженным и без нового манифеста. Еще в 2025 году федеральные документы показывали, что ICE платит Palantir 30 миллионов долларов за ImmigrationOS, систему для отбора целей и отслеживания процессов депортации. На таком фоне 22 тезиса читаются уже не как абстрактная философия, а как политическая программа компании. Palantir пишет, что «free email is not enough», рассуждает о неизбежности оружия на базе ИИ, объявляет конец атомной эпохи и начало новой эпохи сдерживания на базе ИИ, а заодно призывает пересмотреть послевоенное «обезвреживание» Германии и Японии. Отдельный пункт называет национальную службу универсальной обязанностью. Иными словами, речь идет уже не просто о том, что технологии должны помогать государству, а о том, что оборона, принуждение и технологическое превосходство становятся для компании почти моральной категорией.
  • За что мы платим? Россияне собрались массово бойкотировать подписки на сервисы – цены выше, контента меньше. Россия оказалась на пороге обвала рынка сервисов подписки. Жители страны приготовились массово отписываться от онлайн-кинотеатров, музыкальных стримингов и прочих проектов. Основных причин две – деньги и качество контента. Часть информации исчезает, другую часть принудительно корректируют. И при этом стоимость подписок постоянно растет. Свобода от подписок. В России падает интерес россиян к сервисам, доступным по подписке. Как пишет «Коммерсант» со ссылкой на исследование компании Spektr, в 2026 г. многие россияне намерены сократить свои расходы на них. По прогнозам, это сделают более трети жителей страны, имеющих хотя бы одну подписку. Авторы исследования видят две причины этого, и каждая из них напрямую связана с современными российскими реалиями. Первая причина – это деньги. 1 января 2026 г. в России сразу на 10% вырос НДС (с 20% до 22%), что моментально привело к росту цен почти на все товары. Также осенью 2026 г. их ожидает перманентная переплата за технику в результате введения технологического сбора. Одновременно со всем этим растет и стоимость подписок, то есть россиянам приходится платить за них больше. Для примера, подписка «Яндекс Плюс» в конце 2025 г., то есть еще до нового НДС, подорожала до 449 руб. в месяц или на 12,5% по сравнению с ценами на октябрь 2024 г., отмечает «Коммерсант».
  • Вас предупреждали за 11 дней. Почему отчёты об уязвимостях всегда запаздывают. Как оказалось, хакеры оставляют следы задолго до первого удара. Незаметные всплески активности в интернете могут предупреждать о серьёзных уязвимостях задолго до их раскрытия. Новый отчёт GreyNoise показывает, что злоумышленники часто начинают активно сканировать и атаковать инфраструктуру за дни и даже недели до официальных уведомлений о проблемах — и такие сигналы можно отследить заранее. Анализ охватил 103 дня наблюдений и почти 148 миллионов сессий в сети сенсоров GreyNoise. Специалисты изучили поведение атакующего трафика для 18 производителей сетевого оборудования и обнаружили устойчивую закономерность: примерно в половине случаев резкий рост активности вокруг конкретного вендора заканчивался публикацией уязвимости в течение трёх недель. Вероятность такого совпадения оказалась на 36% выше случайной. Медианное опережение составило 11 дней. Большинство сигналов появляется быстро. Почти половина всплесков фиксировалась за десять дней до раскрытия уязвимости, а 78% — в пределах трёх недель. В ряде случаев речь шла о критических проблемах с максимальным рейтингом. Например, для уязвимости Cisco с оценкой 10.0 активность начала расти за 18 дней до публикации, а аналогичные сигналы для решений VMware и MikroTik появлялись за 14–16 дней. Исследование показывает, что ключевым индикатором служит не количество уникальных IP-адресов, а интенсивность трафика. Когда уже известные источники начинают резко увеличивать число запросов к продуктам одного вендора, вероятность скорого раскрытия уязвимости заметно возрастает. Дополнительный рост числа новых IP усиливает сигнал, но сам по себе надёжным предвестником не считается. Отдельные случаи демонстрируют характерные сценарии. Перед публикацией критической уязвимости Cisco активность росла ступенчато — серия из пяти всплесков за 18 дней. В случае SonicWall наблюдался «обратный отсчёт», когда интервалы между атаками сокращались по мере приближения раскрытия. Для Ivanti и Fortinet фиксировались короткие, но интенсивные пики за несколько дней до публикации, включая случаи эксплуатации в реальных атаках. Анализ инфраструктуры показал, что за такими кампаниями стоят не случайные источники, а организованные группы, часто использующие ботнеты. Одни применяют распределённые сети с тысячами устройств, другие — небольшое число серверов с высокой нагрузкой. В некоторых случаях одна и та же инфраструктура применялась для атак сразу на несколько вендоров, что указывает на координированные операции.
  • ЦСР: российский рынок СУБД превысил 100 млрд рублей и продолжит расти темпами выше мировых. Центр стратегических разработок представил масштабное исследование рынка систем управления базами данных и инструментов обработки данных за 2025 год. Согласно отчету, отрасль вступила в фазу стабилизации после бурного роста предыдущих лет, сохранив при этом темпы развития выше среднемировых. Основные показатели и лидеры рынка В 2025 году объем рынка увеличился на 13,9% и достиг 101,9 млрд рублей. Екатерина Кваша, заместитель генерального директора ЦСР, отметила, что до 2032 года прогнозируется среднегодовой рост на уровне 15%. Структура рынка на 80% состоит из продаж ПО и на 20% — из сопутствующих услуг. Среди СУБД наибольшим спросом пользуются решения общего назначения (51%) и аналитические системы (38%). В рейтинге вендоров по объемам продаж продуктов собственной разработки лидируют: Группа Arenadata — 8,6%; Postgres Pro — 6,5%; Yandex B2B Tech — 2,8%; DIS Group — 2,7%; Тантор Лабс — 1,3%. Тренды и импортозамещение Одной из ключевых тенденций остается вытеснение зарубежных вендоров: ожидается, что к 2032 году доля иностранных решений в новых продажах упадет до 1%. Эксперты подчеркивают, что возврат к западным технологиям коммерчески малоперспективен. Рынок трансформируется от разрозненных продуктов к полноценным экосистемам. Конкуренция смещается в сторону комплексных платформ, которые объединяют транзакционную обработку, аналитику и встроенные механизмы ИИ. Также формируется новый сегмент решений для безопасной обработки данных.
  • VolgaBlob: новые требования к КИИ стимулируют рост рынка SOC. В 2026 году российский рынок центров мониторинга и реагирования на киберинциденты ожидает существенный рост. Согласно прогнозам экспертов VolgaBlob, ужесточение законодательства в области КИИ и рост хакерской активности приведут к увеличению объема рынка на 25%, который превысит отметку в 23 млрд рублей. Главным драйвером изменений стали поправки в ФЗ №187 и принятие распоряжения Правительства РФ №360-р, которое утвердило перечень из 397 типовых объектов КИИ. Теперь большинство систем в системообразующих отраслях подлежат обязательному категорированию и усиленной защите. Параллельно уточняются отраслевые требования к безопасности КИИ. К марту 2026 года документы уже приняты для атомной энергии (постановление Правительства РФ от 16.01.2026 №4), банковской сферы и финансового рынка (постановление от 06.02.2026 №92) и сферы науки (постановление от 07.03.2026). В ближайшее время ожидаются нормативные акты и для других отраслей. Ключевым изменением стал приказ ФСТЭК №117, который обязывает организации: Обеспечить полный цикл работы с инцидентами и взаимодействие с ГосСОПКА. Устранять критические уязвимости в течение 24 часов, а опасные — в срок до 7 календарных дней. Учитывать риск штрафов до 1 млн рублей (согласно №58-ФЗ) за сокрытие данных о кибератаках. Необходимость круглосуточного мониторинга продиктована и статистикой: в 2025 году число атак на российский бизнес выросло на 42%. Объекты КИИ стали целью в 60% случаев, при этом основной удар пришелся на промышленность (до 34% инцидентов) и телеком (до 26%). В этих условиях спрос на услуги SOC со стороны субъектов КИИ к концу 2026 года вырастет минимум на 35–40%.

Инновации.

  • От километров к сантиметрам. Физики научились упаковывать огромные лазеры в обычные лаборатории. Ученые нашли способ сделать мощные научные инструменты доступными. Гигантские лазерные установки, которые помогают ученым следить за движением атомов, разбирать химические реакции почти в реальном времени и изучать материалы на предельно малых масштабах, могут стать заметно компактнее. Исследователи впервые показали, что уменьшенная система способна непрерывно поддерживать работу лазера на свободных электронах больше восьми часов, а такой результат долго оставался одной из главных проблем для всей области. Лазеры на свободных электронах считаются одними из самых мощных инструментов современной науки, но есть старая и очень дорогая проблема: подобные установки обычно растягиваются на километры. Из-за размеров и стоимости такие комплексы остаются редкостью. Новая работа показывает, что часть задач можно решить на куда более компактной базе. Авторы исследования сообщили о заметном росте стабильности лазерной системы класса 100 тераватт, что позволило надежно поддерживать работу лазера на свободных электронах на основе лазерно-плазменного ускорителя. Если подход удастся развить дальше, мощные источники света смогут выйти за пределы огромных национальных центров и появиться в более доступных лабораториях. Такой сдвиг важен для физики, химии, медицины и промышленности. Принцип работы у таких установок сложный, но общая схема довольно понятна. В основе лежит пучок электронов высокой энергии, который проходит через устройство с чередующимися магнитными полями. Магниты заставляют электроны колебаться, а те в ответ излучают свет, который затем усиливается до мощного когерентного лазерного пучка. Часто речь идет об ультрафиолетовом или рентгеновском диапазоне. Именно для разгона электронов до нужных энергий обычно и требуются длинные линейные ускорители, из-за чего вся система получается такой огромной.

Обзор по ИБ подготовил Дмитрий Рожков.

Print Friendly, PDF & Email