Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) опубликовал обновленную версию руководства по управлению киберрисками, связанными с цепочками поставок.
Обновленное руководство призывает организации принимать во внимание уязвимости не только в готовых продуктах, которые они намерены использовать, но также в их компонентах, поскольку они могли быть созданы сторонними разработчиками. Кроме того, нужно учитывать весь путь, пройденный этими компонентами прежде, чем они попали в конечный продукт.
В документе также представлены основные механизмы и практики контроля, которые организации должны использовать для выявления, оценки и реагирования на риски на разных этапах цепочки поставок, включая возможность включения вредоносного функционала, уязвимости в стороннем ПО, внедрение контрафактного аппаратного обеспечения, а также некачественные производство и разработку.
Руководство следует указу президента США «Об усилении кибербезопасности нации» (14028) от мая 2021 года, требующему от правительственных агентств принятия шагов по «усилению безопасности и целостности цепочки поставок ПО с упором на критическом ПО».
Документ выпущен весьма своевременно, учитывая рост киберрисков, связанных с цепочкой поставок, за последние несколько лет. Известно немало случаев, когда хакеры взламывали широко используемое ПО с целью за один раз атаковать сразу целый ряд организаций.
По данным Европейского агентства по кибербезопасности (European Union Agency for Cybersecurity, ENISA), 62% от 24 атак, зафиксированных в период с января 2020 года до начала 2021 года, базировались на «доверии клиентов и их поставщиков».
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
