Федеральная служба по техническому и экспортному контролю (ФСТЭК) России 28 января представила на национальном форуме по кибербезопасности «Инфофорум 2026» результаты проверки семисот значимых объектов критической информационной инфраструктуры (КИИ). В ходе проверки было выявлено более 1200 нарушений, а минимально необходимый уровень киберзащиты продемонстрировали лишь 36 % организаций.

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор телевизора Sber SDX-43U4169

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Источник изображения: Nvidia

По результатам проверки было направлено более 2000 требований о выполнении законодательства и составлено 603 протокола об административных правонарушениях: из них 111 — по статье о нарушении установленного порядка защиты КИИ, 492 — по статье о непредставлении или несвоевременном представлении сведений во ФСТЭК. Аналогичная проверка в 2024 году выявила более 800 нарушений, хотя тогда проверялось 800 значимых объектов КИИ.

Основные причины нарушений отразила в своём докладе начальник управления ФСТЭК России Елена Торбенко. Одна из главных проблем — системное отстранение специалистов по информационной безопасности (ИБ) от бизнес-процессов. При этом задачи по обеспечению безопасности значимых объектов КИИ возложены только на подразделения ИБ, хотя их выполнение невозможно без участия разработчиков и эксплуатантов. Ещё одним негативным фактором является отсутствие должного всестороннего учёта ИТ-активов, что не позволяет специалистам своевременно обновлять необходимые меры защиты.

ФСТЭК также отметила отсутствие централизованного управления средствами защиты и дефицит специалистов по ИБ. По словам Торбенко, практикуемый многими организациями периодический, а не постоянный мониторинг защищённости «оставляет окна для эксплуатации уязвимостей». Она также отметила недопустимость хранения резервных копий в одной среде с основными производственными системами, что ставит под угрозу возможность восстановления данных после атаки.

Источник изображения: ФСТЭК России

Специалисты компании по управлению цифровыми рисками Bi.Zone обратили внимание на так называемые «теневые активы», к которым относятся все устройства, ПО, сервисы и домены, которые не известны службе ИБ. По данным Bi.Zone, 78 % уязвимостей обнаруживаются именно на этих ресурсах. Мониторинг инфраструктуры более двухсот российских компаний показал, что лишь 2 % организаций располагают полной информацией обо всех своих IT-активах. «Чем больше у компании теневых IT-ресурсов, тем выше вероятность, что атакующие уже получили доступ в инфраструктуру и затаились внутри, выбирая момент для монетизации, например, шифрования данных ради выкупа или продажи доступа в даркнете», — уверен руководитель направления EASM Bi.Zone Павел Загуменнов.

Со следующего года Android будет блокировать установку приложений от непроверенных разработчиков. Новая политика Google затронет как Google Play, так и сторонние магазины приложений, а также независимых разработчиков, студентов и не только. Теперь Google разъяснила, как будет работать новая система.

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор телевизора Sber SDX-43U4169

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

В августе Google сделала заявление, которое шокировало энтузиастов Android и защитников конфиденциальности: со следующего года Android будет блокировать установку приложений от непроверенных разработчиков. Это касается не только приложений из собственного магазина приложений Google Play, но и приложений, распространяемых за его пределами, что вызвало опасения, что Google хочет прекратить установки из сторонних источников. После нескольких недель молчания Google успокоила общественность, дав подробные разъяснения о том, как будут обеспечиваться требования к проверке разработчиков.

В частности, Google подтвердила, что проверка разработчиков может не сработать при отсутствии сетевого подключения. Наряду с сообщением о том, что «загрузка сторонних приложений — это фундаментальная функция Android», Google опубликовала видео, объясняющее причины введения требований к проверке разработчиков и то, как она будет реализована в следующем году.

При попытке установки приложения для Android, операционная система выполняет ряд проверок, которые призваны гарантировать, что приложение с таким же идентификатором (то есть именем пакета) ещё не установлено, не разработано для устаревшей версии ОС и, что самое главное, не помечено Google Play Protect как вредоносное ПО. Теперь Google добавляет к этому процессу дополнительный этап.

Компания встроила в процесс установки механизм, требующий, чтобы любое устанавливаемое впервые приложение проходило проверку. Во время установки Android взаимодействует с «доверенным лицом» на устройстве, называемым Android Developer Verifier. Эта новая предустановленная системная служба определяет, был ли проверен разработчик приложения, были ли обнаружены какие-либо проблемы во время проверки и, наконец, какую политику установки применять.

Чтобы верифицировать разработчика, служба Android Developer Verifier должна проверить, были ли отправлены в Google пакет и ключ, используемый для его подписи. Полную базу данных таких пакетов и комбинаций ключей на устройстве поддерживать невозможно, особенно учитывая, что каждую неделю появляется множество новых приложений для Android. Именно поэтому Google заявляет, что для проверки приложений может потребоваться подключение к сети, хотя и только в «худшем случае». По замыслу компании, служба Developer Verifier будет хранить на устройстве кэш самых популярных проверенных приложений, чтобы их можно было установить без подключения к Сети.

Кроме того, Google работает над решением для магазинов приложений, которое позволит обойти дополнительные сетевые вызовы. Магазины приложений могут передавать так называемый «токен предварительной авторизации» — «криптографически проверяемый двоичный объект», связанный с пакетом, который они хотят установить. Это позволяет проверить разработчика приложения без дополнительных сетевых вызовов в бэкенд Google.

Второй квартальный релиз Android 16, то есть Android 16 QPR2, станет первой версией Android со встроенной поддержкой этих изменений. Однако политики проверки не будут применяться с выходом обновления в декабре, поскольку Google всё ещё работает над их реализацией и сбором метрик. Изменения будут перенесены на более старые версии Android через Google Play Protect, хотя Google заявляет, что могут быть некоторые незначительные различия, поскольку этот метод использует существующее приложение, а не новую, встроенную в ОС собственную службу проверки.

Когда Google впервые объявила о новых требованиях к верификации разработчиков, компания упомянула о создании «отдельного типа учётной записи в консоли разработчика Android» для разработчиков-любителей и студентов. Учётная запись будет иметь «меньшие требования к верификации» и будет освобождена от регистрационного взноса в размере $25. Но такие разработчики столкнутся с ограничением на количество устройств, на которые можно установить их приложения.

Любой пользователь, желающий установить приложения этих разработчиков, должен будет сначала получить уникальный идентификатор со своего устройства, с помощью которого разработчик авторизует установку. Такое двустороннее взаимодействие между пользователями и разработчиками было введено Google специально для ограничения распространения. Компания считает, что учётные записи студентов и любителей предназначены только для разработчиков, которые хотят поделиться своим приложением с ограниченным кругом известных им людей, а не для широкомасштабного распространения.

Разработчики, зарегистрировавшиеся как студенты или любители, но впоследствии решившие охватить более широкую аудиторию, смогут в дальнейшем конвертировать свою учётную запись, чтобы не быть навсегда ограниченными в распространении. Такие ограничения имеют смысл в контексте общих целей Google. Разрешение неограниченного распространения для учётных записей студентов/любителей создаст лазейку для злоумышленников, поэтому, ограничивая их охват, Google радикально снижает интерес криминальных элементов к использованию этого типа учётных записей.

Google также сообщила о разработке системы для выявления злоумышленников и предотвращения прохождения ими верификации. Разработчикам придётся подтвердить право на приложение — они должны будут доказать, что могут подписывать приложения тем же ключом, которым подписано приложение, на которое они претендуют. Сами закрытые ключи предоставлять Google не требует, поэтому компания не может получить никаких прав на подпись. По словам Google, её единственная цель — помешать злоумышленникам распространять вредоносные приложения. Поэтому компания не станет вводить другие запреты для разработчиков, например, ограничивать названия и значки, которые они могут использовать для своих приложений.

Учётные записи разработчиков, уличённых в распространении вредоносного ПО, будут ограничены. В течение неопределённого периода времени установка всех приложений, принадлежащих этим разработчикам, на пользовательские устройства будет заблокирована. Это относится к любому разработчику, чья учётная запись связана с распространением вредоносного ПО, даже если этот разработчик не является его автором. Авторы вредоносных программ часто пытаются выкупить существующие учётные записи разработчиков, чтобы использовать их для распространения. По мнению Google, разработчики несут ответственность за всё, что публикуется под их учётной записью, что оправдывает любые меры, принятые против них.

Ещё один метод, используемый авторами вредоносных программ для обхода проверки, — это мошенничество с использованием личных данных. У Google на этот случай предусмотрен некий «секретный ингредиент» — методы, позволяющие ей определять, когда разработчики предоставляют ложную информацию о себе. Эти инструменты позволяют выявлять ложные данные, даже созданные с помощью инструментов искусственного интеллекта. Кроме того, необходимость получения номера в DUNS (международном идентификаторе юридических лиц) удержит многих злоумышленников от подачи заявки на корпоративный аккаунт.

Чтобы предотвратить ситуацию, когда несколько разработчиков претендуют на право собственности на один и тот же пакет, Google будет отдавать предпочтение тому разработчику, чья версия имеет наибольшее количество известных установок. Претенденты с меньшим количеством установок будут вынуждены изменить название пакета, чтобы распространять приложение где-либо ещё.

Google сделает некоторые исключения для корпоративного сектора. Приложение, установленное с помощью инструментов управления предприятием на управляемом устройстве, будет доступно для установки, даже если его разработчик не зарегистрирован. Это исключение существует, поскольку на управляемых устройствах за безопасность отвечает третья сторона — ИТ-администратор. Организации, распространяющие приложения на офлайн-устройства, должны будут самостоятельно определить, как обрабатывать запросы на проверку, например, периодически подключаясь к сети.

Что касается конфиденциальности, Google признала, что существуют законные основания для анонимности разработчиков, например, при распространении приложений для диссидентов. Именно поэтому компания не будет публиковать информацию о разработчиках, хотя она не взяла на себя обязательство скрывать эту информацию от правительств. Тем не менее, Google настаивает на необходимости запланированных изменений, утверждая, что анонимность разработчиков создаёт для пользователей риски, которые компания больше не может игнорировать.

В бета-версии «Google Сообщений» стала доступна анонсированная в прошлом году функция проверки ключей шифрования по QR-коду. Она поможет убедиться, по словам компании, что «вы общаетесь с тем человеком, с которым собирались общаться». Проверка ключей сквозного шифрования гарантирует, что только вы и ваш собеседник сможете читать RCS-сообщения, которые вы отправляете друг другу.

Обзор телевизора Sber SDX-43U4169

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Итоги 2025 года: почему память стала роскошью и что будет дальше

Источник изображений: Google

Карточка сквозного шифрования существует в «Google Сообщениях» уже некоторое время, но раньше нажатие «Проверить шифрование» открывало страницу с 80-значным кодом, что отнюдь не добавляло удобства для пользователей. Теперь, если открыть страницу «Подробности», нажав на имя получателя в панели приложения, пользователь сможет открыть страницу «Безопасность и конфиденциальность» для «Проверки ключей для этого контакта».

«Как проверить ключи: отсканируйте QR-код на устройстве получателя. Затем попросите его отсканировать QR-код на вашем устройстве. Статус проверки: вы можете увидеть статус проверенных вами ключей, перейдя в раздел “Подключённые приложения” в приложении “Контакты”», — говорится в поясняющем сообщении Google.

Нажатие на «Ваш QR-код» открывает раздел «Проверка для Google Сообщений». На данный момент вышеупомянутая интеграция с приложением «Google Контакты» ещё не реализована. Однако в таблице есть отдельная опция «Сканировать QR-код контакта», которая открывает приложение «Проверка системного ключа Android», установленное на устройстве. Старый 80-значный вариант остаётся доступным, если нажать «Сравнить коды проверки» в таблице.

Пока проверка ключа шифрования по QR-коду доступна лишь в бета-версии «Google Сообщений». В дальнейшем, после выхода из стадии бета-тестирования эта единая система проверки открытого ключа также будет доступна для сторонних приложений, для всех версий ОС Android, начиная с девятой.

Термопасты серии MX от компании Arctic уже давно зарекомендовали себя и стали основным выбором многих сборщиков ПК, однако их популярность привела к появлению множества подделок на рынке. Чтобы бороться с фальсификатом, Arctic внедрила систему «Проверка подлинности MX» на упаковки термопаст MX-4 и MX-6.

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор телевизора Sber SDX-43U4169

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Итоги 2025 года: почему память стала роскошью и что будет дальше

Источник изображений: Arctic

Пользователям необходимо стереть защитный слой на упаковке термопасты и отсканировать скрытый под ним QR-код. Код приведёт на официальный сайт компании, где будет подтверждена подлинность товара и удостоверено, что покупатель приобрёл оригинальную термопасту Arctic MX.

Arctic заявляет, что проверка занимает всего несколько секунд, но обеспечивает пользователю дополнительную уверенность в подлинности продукта. В случае, если покупатель ввёл код с поддельной упаковки, сайт сообщит об этом, и у покупателя появятся основания для возврата товара.

Новая мера должна помочь сдержать поток некачественных подделок, заполнивших рынок. Тем не менее, это может быть лишь вопросом времени, прежде чем фальсификаторы попытаются воспроизвести защитные элементы. Однако такая подделка потребует дополнительных усилий и затрат, что может отпугнуть часть недобросовестных производителей.

Илон Маск (Elon Musk) не сообщает в Министерство обороны США о своих поездках и не предоставляет ведомству иных сведений, как того требуют правила для имеющегося у него уровня доступа к совершенно секретной информации, узнала New York Times.

Обзор телевизора Sber SDX-43U4169

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Источник изображения: x.com/elonmusk

Из-за того, что Маск не предоставляет отчётность в надлежащей форме, в отношении бизнесмена начали проверки сразу три ведомства в вооружённых силах США: ВВС, Управление замминистра обороны по разведке и безопасности и Управление генерального инспектора Министерства обороны. При этом ни одно из ведомств не выдвинуло против Маска обвинений в раскрытии секретных материалов.

До 2018 года у Маска был допуск к секретной информации среднего уровня, после чего SpaceX подала заявку на допуск гендиректора к совершенно секретной информации. Компания выполняет заказы для правительства США, включая гражданские и военные ведомства, в том числе запускает секретные спутники для Национального управления военно-космической разведки США, а также обеспечивает зашифрованную связь и наблюдение с помощью спутников Starshield.

При проверке кандидатов на допуск власти собирают их финансовую информацию и изучают личные отношения. На принятие решения в отношении Маска ушли два года — в два раза больше, чем средний показатель. Пока решался вопрос, Маск нарушал правила допуска к секретной информации: совершил порочащие действия при записи подкаста и расширил деловые интересы в Китае. Власти выдали бизнесмену допуск к совершенно секретной информации, но с 2021 года он перестал отчитываться о подробностях своей жизни: о поездках, встречах с людьми и употреблении запрещённых веществ. Правительство обеспокоено, почему SpaceX не обеспечила соблюдение Маском правил отчётности.

Его обращение с секретной информацией уже вызывало вопросы на дипломатических встречах США с союзниками, включая Израиль. Влияние Маска в сфере национальной безопасности выросло после того, как он оказал поддержку ныне избранному президенту Дональду Трампу (Donald Trump). После инаугурации политик получит право предоставлять допуск к секретной информации любому лицу.

Администрация платформы микроблогов Threads привлечёт сторонних специалистов к проверке фактов в отношении публикуемого в соцсети контента — они помогут в выявлении дезинформации, не соответствующих действительности теорий заговоров и ложных новостей.

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор телевизора Sber SDX-43U4169

Итоги 2025 года: почему память стала роскошью и что будет дальше

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Источник изображения: Julio Lopez / unsplash.com

«Недавно мы предоставили нашим занятым проверкой фактов сторонним партнёрам возможность просматривать и оценивать ложный контент в Threads. Ранее мы сопоставляли почти идентичный ложный контент в Threads с фактами, проверенными в Facebook✴✴ и Instagram✴✴. Теперь специалисты по проверке фактов смогут самостоятельно оценивать контент в Threads», — сообщил глава Instagram✴✴ и Threads Адам Моссери (Adam Mosseri).

Это значит, что публикации в Threads и ранее проходили проверку фактов, но такая идентификация осуществлялась, только если аналогичная дезинформация ранее обнаруживалась и получала соответствующую пометку в Instagram✴✴ или Facebook✴✴. Это было в некоторой степени полезно, но оставляло Threads беззащитной перед дезинформацией, которая впервые публиковалась здесь. Теперь решением этого вопроса займутся сторонние специалисты, привлечённые владеющей платформой компанией Meta✴✴.

Один из независимых специалистов по проверке фактов уже пожаловался на отсутствие хронологической выдачи в поиске в настольной версии Threads. Платформа была запущена в июле прошлого года, и с тех пор она прирастала функциями, постепенно превращаясь из текстового дополнения Instagram✴✴ в самостоятельную соцсеть. Meta✴✴ выпустила веб-версию Threads, добавила раздел популярных тем, опцию с ограничением цитирования публикаций другими пользователями и несколько улучшила поиск, который в целом до сих пор выглядит примитивно. А для обмена личными сообщениями пользователи платформы перенаправляются в Instagram✴✴.

Проверка фактов в соцсети не означает, что фейков больше не будет — не соответствующие действительности публикации могут не удаляться, а получать изобличающие их пометки. Материалы с такими пометками пессимизируются поисковым и рекомендательным алгоритмами.