Коржов Валерий

9.07.2018

За «Мир» во всем мире!

Центробанк 7 мая утвердил, а Минюст 22 июня зарегистрировал Указание №4793-У. Оно вносит целый ряд изменений в положение ЦБ №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где сформулированы требования по обеспечению защиты национальной платежной инфраструктуры. В новой версии постановления можно отметить два важных изменения: программное и аппаратное. Программные требования вполне понятны, и их вступление в силу запланировано на 1 января 2020 г. Основными требованиями являются сертификация используемого ПО по требованиям ФСТЭК на анализ уязвимостей и отсутствие НДВ по ОУД 4. Обязательным требованием становятся ежегодные тестирование на проникновения и анализ на уязвимости, которые должны проводить компании, имеющие лицензии на предоставление услуг технической защиты конфиденциальной информации. Кроме того, операторам платежной системы необходимо обеспечить разделение процесса подготовки платежа и информирования пользователя о проведенном платеже – собственно, это требование есть в других банковских и платежных стандартах. Из различных стандартов заимствованы и другие элементы лучших практик безопасности: обязательная аутентификация пользователя и устройства, проверка правильности реквизитов, возможность ограничений на сумму перевода, географическое расположение, время и другие характеристики платежа, которые позволят системам антифрода заблокировать подозрительные платежи или хотя бы запросить у пользователя дополнительное […]



21.06.2018

Эволюция кинотеатров

Современные развлечения направлены на максимальное погружение зрителей в собственный мир. Эксперты уверяют, что уровень погружения зависит даже не от подробности картинки на экране, а от угла ее обзора – чем больше угол обзора проецируемого изображения, тем больше человеческий мозг верит в реальность изображаемого. Для того чтобы максимально увеличить угол обзора, недостаточно использовать один проектор – технологиям многопроекционных кинозалов уже более десяти лет. Впервые систему проецирования изображений с помощью нескольких проекторов я увидел в действии в 2007 г. на праздновании десятилетия «Лаборатории Касперского» в одном из баров «Гостиного двора». Там проекция на все четыре стены выполнялась с помощью шести проекторов, где демонстрировался виртуальный пейзаж подводного мира. Система была разработана российскими специалистами с помощью подручных проекторов и создавала незабываемое впечатление. Тогда это технологическое направление было названо «виртуальным интерьером», и основной проблемой для специалистов оказалась синхронизация изображений от разных проекторов. Они не просто должны были быть синхронизированы по развертке, но и само изображение необходимо было наложить с высокой точностью. Следующим общедоступным кинотеатром, построенным с использованием большого количества проекторов, стал Московский планетарий, открытый летом 2011 г. В нем была установлена профессиональная система из более чем 30 проекторов, которые покрывали изображением весь купол планетария. Это система называется Global Immersion Uniview. Она позволяет демонстрировать изображения верхней […]



1.06.2018

Spectre российских процессов

В начале года в процессорах самых разных производителей – Intel, AMD, в платформах ARM и даже MIPS были обнаружены сразу две архитектурные уязвимости, связанные со спекулятивным исполнением команд. Уязвимости в принципе относятся к не очень опасному классу разглашения информации, но, к сожалению, для процессоров они оказались критическими. В частности, разработаны методы атаки, которые позволяет получить информацию для переключения между режимом пользователя и ядра, что равнозначно взлому системы разграничения доступа, причем в различных операционных системах. Спекулятивное выполнение команд было придумано для ускорения процессов, но обернулось проблемами с безопасностью. Когда производители операционных систем отчитались об исправлении ошибки, то производительность ОС пришлось ограничить: вставить лишние команды, которые конвейер не успеет пройти за время отрицательной проверки, лиmj предусмотреть очистку кэша. Не совсем понятно, что при этом сделали производители операционных систем реального времени – это тема для отдельного исследования. Я же хотел понять, насколько таким уязвимостям подвержены процессоры российского производства. Сразу можно сказать, что «Эльбрус» – вне подозрений. Он построен по архитектуре длинного командного слова (VLIW), в которой не используются конвейер и спекулятивное исполнение кода. В данной архитектуре ускорение достигается за счет нескольких потоков команд, оптимизированных компилятором. Следует отменить, что по этой же причине обнаруженным уязвимостям не подвержены процессоры Itanium, построенные на том же принципе, […]



5.04.2018

На смену PKI

Инфраструктура открытых ключей PKI – признанный инструмент создания квалифицированной электронной подписи. Для нее уже построена иерархическая система удостоверяющих центров, которые позволяют проверить легитимность электронных документов. Разработаны необходимые нормативные документы для придания юридической значимости подписанным документам. Есть производители программного обеспечения, операторы и другие компании, которые активно работают на этом рынке. Однако у PKI имеется одно слабое место – секретный ключ корневого удостоверяющего центра. Если этот ключ будет подсмотрен или украден, то вся система будет скомпрометирована, т. е. владельцы секретного ключа могут делать с нижестоящей инфраструктурой все что угодно, вплоть до подделки электронных документов. Причем не всегда подобные проблемы могут быть вовремя обнаружены, а ключи отозваны и заменены. Да и с определением точного уровня и времени компрометации тоже могут возникнуть сложности, что чревато появлением юридически слабо значимых электронных документов. Поэтому до сих пор первичными остаются бумажные документы, а электронные используются в основном для ускорения операций. Специалисты Таллиннского технологического университета и компании Guardtime AS сформулировали концепцию, которая может прийти на смену PKI, – это бесключевая инфраструктура подписи (Keyless Signatures Infrastructure – KSI). Они отмечают, что KSI не отменяет самих ключей шифрования – она обеспечивает распространение открытых ключей шифрования и их заверение, однако в ней нет такого уязвимого объекта, как секретный ключ корневого УЦ. […]



20.02.2018

Объективная значимость КИИ

Председатель Правительства РФ Дмитрий Медведев подписал 8 февраля постановление №ПП-127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» [1], в котором определены сроки и методика категорирования объектов критической информационной инфраструктуры. Это постановление является одним из ключевых в реализации Федерального закона №187 «О безопасности КИИ» [2], который вступил в силу с 1 января 2018 г. Опубликовано (т. е. введено в действие) постановление было 13 февраля, поэтому все сроки отсчитываются от этой даты. Субъекты КИИ, владеющие объектами КИИ, должны до 23 февраля сформировать их список и предоставить его во ФСТЭК как орган, ответственный за безопасность КИИ. Далее в течение года нужно будет провести категорирование объектов, и акт об этом зарегистрировать в соответствующем реестре ФСТЭК. Первый вопрос: кто подпадает под действие закона и постановления? В законе указано, что субъектами КИИ являются организации из следующих сфер действительности: «здравоохранения, науки, транспорта, связи, энергетики, банковской сферы и иных сфер финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности». Принадлежность к одной из указанных сфер определяется по классификатору видов деятельности, полученными компанией лицензиями и принятым уставом. Хотя компания сама определяет, имеются ли у нее объекты КИИ, тем не менее, если […]



22.01.2018

Год блокчейна

В 2017 г. блокчейн стал одной из ключевых технологий. Его признали на официальном уровне − он даже включен как одна из перспективных технологий в принятую летом прошлого года программу «Цифровая экономика». Появились первые пилотные проекты на блокчейне и даже целая индустрия ICO ( Initial Coin Offering, первичное размещение токенов − по аналогии с первичным размещением акций IPO). Проводится все больше конференций и мероприятий по тематике блокчейна, на которых ИТ-индустрия пытается осмыслить возможности блокчейна, а такие страны, как Гибралтар, вообще планируют адаптировать до четверти своей экономики под блокчейн, для чего приняты специальные законы, вступившие в силу с начала этого года. В течение года я неоднократно обращался к теме блокчейна и биткоина как наиболее развитого блокчейна, продвинувшегося в своем развитии особенно далеко. В частности, в декабре 2016 г. в этом же блоге была опубликована небольшая заметка о возможностях использования блокчейна в экономике под названием «Эссе об «электронной копейке» [http://www.connect-wit.ru/esse-ob-elektronnoj— kopejke.html]. Блокчейн сложно использовать для построения платежного инструмента − задержка по времени между транзакцией и ее подтверждением большинством майнеров не позволяет применять такой инструмент, например, в ритейле, где важна каждая секунда в обработке очереди. К лету прошлого года у биткоина возникли проблемы в связи с увеличением задержек при подтверждении транзакций − их я […]



18.12.2017

ИТ мешает оптимизации

Казалось бы, в эру информационной трансформации именно отделы ИТ должны быть во главе преобразований, но реальность этому сопротивляется. Дело в том, что руководители ИТ не заинтересованы в трансформации – им хорошо известны информационные технологии прошлого века, построенные на базе Windows и РСУБД, а что делать с облаками, мобильными устройствами и искусственным интеллектом они знают не всегда. Они привыкли обслуживать офисные пакеты, подключение к Интернету, ERP, CRM и другие «трехбуквенные» технологии, но не всегда понимают, насколько именно такая инфраструктура подходит для компании, а главное, подходит ли она для новых цифровых сервисов, которые и являются сутью цифровой трансформации. Кроме того, цифровая трансформация предполагает, что все сотрудники станут «цифровыми», т. е. будут разбираться в информационных технологиях не хуже айтишников, что может снизить «мистическое» значение ИТ и продемонстрировать их некомпетентность, особенно в современных условиях. В результате отделы ИТ, которые автоматизировали бизнес-процессы прошлого века, заинтересованы в сохранении статус- кво и не хотят меняться. При автоматизации хаоса, как известно, порядка получить не удается − только автоматизированный хаос, но и автоматизация порядка не создает оптимальных бизнес-процессов. Сначала нужно оптимизировать процессы, а уже потом их можно автоматизировать. Однако чаще идут другим путем − автоматизируют существующий учет и контроль в надежде посчитать расходы, проанализировать их и затем приступать у […]



23.11.2017

Ядро виртуального предприятия

Электронный способ ведения бизнеса позволяет создавать виртуальные предприятия, которые не имеют собственного офиса, четкой организационной структуры и строгого рабочего графика. Такие предприятия могут объединять людей, решающих сложную техническую задачу, например, разработка программного обеспечения, анализ информации или подготовка публикаций. Для подобных виртуальных групп важно обеспечить целостность коллектива, распределение обязанностей и контроль за выполнением поставленных задач. Можно для этого использовать полноценные системы управления бизнес-процессами с поддержкой всего разнообразия схем и диаграмм BPML, но виртуальные команды создаются на короткое время для решения конкретной задачи, поэтому в большинстве случаев для простого распределения обязанностей подойдут и более «аскетичные» инструменты. Одним из них вполне может стать электронная канбан-доска. Канбан – часть методологии «бережливых технологий», разработанной в Японии. Само слово «канбан» на японском означает «реклама», но в методологии lean это магнитная доска со стикерами разных цветов, расчерченная на вертикальные столбцы. Обычно это такой набор, как «планы», «в работе», «сделано», «принято», а прикрепленные к столбцам стикеры – отдельные задания для конкретных людей. Доска выполняет три основные задачи: визуализирует производство, разделяя задачи на отдельные элементы и назначая для каждой из них ответственного; регулирует количество одновременно выполняемых работ, поскольку сотрудник способен делать одновременно только одно задание; позволяет оценить время, затрачиваемое на каждое отдельное действие, чтобы в дальнейшем его можно было […]



30.10.2017

Цифровая химия? Нет, не слышал

Сейчас наступает эпоха цифровизации. Цифровизуется все: производство, бизнес-процессы, услуги, компании и даже двойники. Однако есть отрасль, о цифровизацию которой говорить не принято, тем не менее, она очень важна для развития российских информационных технологий. Это химия – основа всех современных промышленных технологий. Действительно, все продукты, которые имеют физический носитель, состоят из химических элементов, т. е. для их производства необходимы наличие химических материалов и, следовательно, химические технологии. Химические вещества используются в сельском хозяйстве для повышения урожайности, в пищевой промышленности – для сохранения пищевых свойств продуктов при их длительном хранении. В медицине, обрабатывающей промышленности, на транспорте и т. д. Пожалуй, только банки, торговля и телеком не зависят напрямую от химии, хотя и активно используют ее продукты – чернила, бумагу и ИТ-устройства. Современные высокотехнологичные устройства практически полностью состоят из химических материалов: пластиков, стекла, слоеных конструкций печатных плат, изготовленных не без помощи химических реактивов, да и сам процессор можно назвать результатом сложного химического процесса обработки кристалла кремния. Чтобы создать собственную элементную базу для цифровой экономики, нужно не только приобретать иностранный флюорит, но и активно развивать химические предприятия, выпускающие материалы для электроники. Если же просто вкладываться в покупку фабрик по изготовлению процессоров, но не производить чистые кристаллы кремния, материалы для его легирования и корпусирования, то зависимость […]



18.09.2017

Информационный терроризм

В сентябре на Россию обрушилась информационная атака нового типа – массовые телефонные звонки с предупреждением о заложенных бомбах. Ни одного сообщения подтверждено не было, т. е. атака рассчитана на исчерпание ресурсов оперативных служб, которые обязаны реагировать на предупреждения о готовящихся террористических актах. За несколько дней телефонными террористами были атакованы объекты в 22 населенных пунктах России, в которых было эвакуировано уже около 45 тыс. человек. По оценкам заместителя председателя Комитета Госдумы по обороне Юрия Швыткина, ущерб может приближаться к 1 млрд руб.: сюда входит реагирование специальных и оперативных служб, а также приостановка деятельности предприятий. Собственно, ранее аналогичные атаки уже были зафиксированы летом 2015 и 2016 гг. на объекты в Санкт-Петербурге. В первый раз – в июне 2016 г. – группа под названием Dillinger team обзванивала торговые центры Санкт-Петербурга, предупреждая о заложенной бомбе и требуя выкуп в 100 тыс. долл. за прекращение звонков. Тогда номера звонивших были локализованы в Харькове. В июне 2016-го тактика изменилась: сообщения электронной почты были разосланы по детским садам Санкт-Петербурга и Москвы от имени некоего Julio Popper с требованиями выкупа в 200 тыс. руб. в биткоинах. Эти сообщения были атрибутированы как поступившие из района Киева. Именно поэтому председатель Совета по общественной безопасности Общероссийской организации «Офицеры России» Антон Цветков […]


Страница 1 из 41234

 

ИД «Connect» © 2015-2018

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика