Кибериммунная разработка

🛸 Представьте, что над городом летают БПЛА с автопилотом. Они привозят еду из ресторанов, лекарства из аптек, мелкие интернет-заказы. Наблюдают за дорожным движением, проверяют состояния мостов, трубопроводов, линий электропередач или ищут незаконные свалки. А, может, проводят аэросъемку для новостей. Они нужные и полезные. И крайне удобные! Но возникает вопрос безопасности 🤔. Несмотря на то, что аппараты эти сложные, — собираются БПЛА часто из того, что подешевле и легче достать. Они получают команды по радиоканалу, да еще и обновляются «по воздуху», иногда через открытые интерфейсы, обмениваясь данными с наземными серверами. А это значит: 👎 прошивку в целом или какие-то компоненты могут скомпрометировать (подменить/подправить); 👎 полётное задание исказить 👎 канал связи — перехватить или заглушить; 👎 сам БПЛА — угнать или заставить упасть на толпу. Поэтому обществу важно быть уверенными не только в надежности фирмы-производителя, но и смотреть глубже — можно ли доверять конкретной связке «прошивка + БПЛА»: не подменили ли код, не слабое ли «железо», хватит ли защиты, если что-то пойдёт не так. Но как убедиться в безопасности этой связки? Кто должен дать нам гарантию? 🤷🏻‍♂️ И вот тут в нашей картине мира появляется его величество РЕГУЛЯТОР — служба, которая по понятным правилам проверяет пакет разработчика: 🟢что внутри программы; 🟢насколько сложно убедиться в безопасности ключевой части системы; 🟢пройдены ли автоматические проверки. В основе — ГОСТ Р 72118-2025 Именно он описывает, как проектировать системы, чтобы безопасность была заложена в конструкцию изначально, а не исправляла ошибки «по факту». И тут ключевой момент — цели безопасности (ЦБ). Регулятор не просто смотрит «есть защита или нет». Он проверяет: совпадают ли заявленные цели с реализованными свойствами системы. И затем фиксирует эти ЦБ в сертификате. Зачем это нужно? Потому что ЦБ — это не строчка в отчёте. Это фундамент, который определяет: — как устроена архитектура дрона; — какой код считается критичным; — какие проверки обязательны, а какие — опциональны. Сертификат становится публичным документом: «вот дрон, вот его прошивка, вот владелец, и вот что этот дрон гарантирует с точки зрения безопасности». Если в реальности дрон ведёт себя не так, как обещано в ЦБ, — сертификат отзывается. Как бракованный товар. Стоимость сертификации напрямую зависит от сложности и размера доверенной вычислительной базы, обеспечивающей заявленные цели безопасности. При этом хороший регулятор не раздувает ни цену допуска, ни цену жизни с техникой. Он подталкивает защищать главное — людей, инфраструктуру, среду — без лишних затрат: меньше бессмысленных проверок, меньше сюрпризов в эксплуатации. #ГОСТ72118 #СКИБ #ОтрасльКакСКИБ

Итак, мы остановились на том, что безопасность дронов невозможно проверить «на глаз» — нужен регулятор и чёткие правила... И вот тут в нашей картине мира появляется его величество РЕГУЛЯТОР — служба, которая по понятным правилам проверяет пакет разработчика: 🟢что внутри программы; 🟢насколько сложно убедиться в безопасности ключевой части системы; 🟢пройдены ли автоматические проверки. В основе — ГОСТ Р 72118-2025 Именно он описывает, как проектировать системы, чтобы безопасность была заложена в конструкцию изначально, а не исправляла ошибки «по факту». И тут ключевой момент — цели безопасности (ЦБ). Регулятор не просто смотрит «есть защита или нет». Он проверяет: совпадают ли заявленные цели с реализованными свойствами системы. И затем фиксирует эти ЦБ в сертификате. Зачем это нужно? Потому что ЦБ — это не строчка в отчёте. Это фундамент, который определяет: — как устроена архитектура дрона; — какой код считается критичным; — какие проверки обязательны, а какие — опциональны. Сертификат становится публичным документом: «вот дрон, вот его прошивка, вот владелец, и вот что этот дрон гарантирует с точки зрения безопасности». Если в реальности дрон ведёт себя не так, как обещано в ЦБ, — сертификат отзывается. Как бракованный товар. Стоимость сертификации напрямую зависит от сложности и размера доверенной вычислительной базы, обеспечивающей заявленные цели безопасности. При этом хороший регулятор не раздувает ни цену допуска, ни цену жизни с техникой. Он подталкивает защищать главное — людей, инфраструктуру, среду — без лишних затрат: меньше бессмысленных проверок, меньше сюрпризов в эксплуатации. #ГОСТ72118 #СКИБ #ОтрасльКакСКИБ #AI_СКИБ

🛸 Представьте, что над городом летают БПЛА с автопилотом. Они привозят еду из ресторанов, лекарства из аптек, мелкие интернет-заказы. Наблюдают за дорожным движением, проверяют состояния мостов, трубопроводов, линий электропередач или ищут незаконные свалки. А, может, проводят аэросъемку для новостей. Они нужные и полезные. И крайне удобные! Но возникает вопрос безопасности 🤔. Несмотря на то, что аппараты эти сложные, — собираются БПЛА часто из того, что подешевле и легче достать. Они получают команды по радиоканалу, да еще и обновляются «по воздуху», иногда через открытые интерфейсы, обмениваясь данными с наземными серверами. А это значит: 👎 прошивку в целом или какие-то компоненты могут скомпрометировать (подменить/подправить); 👎 полётное задание исказить 👎 канал связи — перехватить или заглушить; 👎 сам БПЛА — угнать или заставить упасть на толпу. Поэтому обществу важно быть уверенными не только в надежности фирмы-производителя, но и смотреть глубже — можно ли доверять конкретной связке «прошивка + БПЛА»: не подменили ли код, не слабое ли «железо», хватит ли защиты, если что-то пойдёт не так. Но как убедиться в безопасности этой связки? Кто должен дать нам гарантию? 🤷🏻‍♂️

Попробуйте предположить в комментариях 👇 Есть ли у вас рабочие варианты? (Прилетят инопланетяне и всех спасут — как рабочий вариант не принимается 😁)

🔥 Победить студентов из Москвы и Екатеринбурга? Реально, если учиться правильно! 7 апреля на конференции RUSCADASEC прошла «Студенческая битва» по информационной безопасности АСУ ТП. Сражались команды из: — Губкинского университета (Москва) — МИРЭА (Москва) — УрФУ (Екатеринбург) — ЧувГУ (Чебоксары) Вопросы были сложные, оценивали эксперты конференции. И победила… команда из Чебоксар 🏆

Давайте честно: многие привыкли думать, что топовые IT-специалисты готовятся только в столицах. Но этот кейс показывает обратное 😜.

Ребята из ЧувГУ учатся на факультете информатики и вычислительной техники (09 УГСН), и при этом уже имеют реальный практический опыт в компании iGridis (технологический парк Чувашии). И вот здесь — главный вывод для всех, кто сейчас учится или только выбирает путь: мы часто говорим о кибериммунной разработке и конструктивной ИБ как о будущем. Но будущее уже наступило. Студенты, которые со скамьи: 🟢понимают цели безопасности; 🟢умеют проектировать системы с защитой в архитектуре; 🟢имеют реальную практику у работодателей, которые ценят такой подход, — становятся не просто выпускниками, а востребованными специалистами. И этот кейс — прямое подтверждение. Пока одни только сдают экзамены, другие уже выигрывают всероссийские соревнования и получают офферы. Рынок IT меняется. Обычных «кодеров» скоро заменят ИИ. А вот системных инженеров, которые умеют думать о безопасности на уровне архитектуры, будут ценить всё больше. И работодатели это уже видят. iGridis — не исключение, а тренд. Поздравляем ребят 🤝 А всем, кто хочет быть на их месте через год-два — обращайте внимание на кибериммунные компетенции. Это не просто «умные слова», а реальный билет в профессию. Ваша команда КИБ 😎

👍👍👍👍🚀 На сайте KasperskyOS открыли раздел «Исследования»

KasperskyOS — микроядерная операционная система нового поколения, созданная с нуля в «Лаборатории Касперского». Благодаря принципам, заложенным в ее архитектуру, на основе нашей ОС можно создавать решения, обладающие кибериммунитетом — встроенной защищенностью от подавляющего большинства видов кибератак. Подробнее — на сайте https://os.kaspersky.ru/

Опубликованные статьи — результат совместной работы «Лаборатории Касперского» и ИСП РАН в области конструктивной информационной безопасности (КИБ). В «Исследованиях» собраны: 🟢научные публикации — формальные модели, методы верификации, доказательная база KasperskyOS; 🟢технические статьи разработчиков — как принципы КИБ реализованы в микроядерной ОС и решениях на её основе. Проще говоря: то, о чём мы говорим в канале, теперь можно почитать в одном месте — с фундаментальной наукой и практическими примерами. И применительно к нашей KasperskyOS 😎 🔐 Кому пригодится: архитекторам, ИБ-специалистам, разработчикам, аналитикам — всем, кто проектирует защищённые системы. А также студентам и тем, кто хочет копнуть глубже.

😁😆😁 рассказать о том, что на сайте KasperskyOS появился раздел «Исследования»...

🔗 Цепочка поставок — ваше слабое звено. И с каждым годом оно становится только опаснее Мы привыкли проверять свой код. Но как часто вы проверяете код библиотек, npm-пакетов, расширений VS Code, инструментов сборки? А зря. Атаки на цепочку поставок уже давно перестали быть «теоретической угрозой» и стали повседневностью. Вот лишь несколько самых примечательных инцидентов прошлого года: 💥 Ограбление Bybit на $1,5 млрд Злоумышленники скомпрометировали ПО криптокошелька Safe{Wallet} и вместо обычной транзакции перевели активы на свои счета. 💥 Червь Shai-Hulud 2.0 Самораспространяющийся зловред, который искал в системах разработчиков секреты (токены, ключи, пароли) и публиковал их в открытых GitHub-репозиториях. Итог: 400 000 утекших секретов и кража крипты у пользователей Trust Wallet на $8,5 млн. 💥 Вредоносные npm-пакеты с 2,6 млрд загрузок в неделю Злоумышленники внедрили криптостилер в такие популярные пакеты, как chalk и debug. Увы, техническая ошибка не позволила им украсть больше $925 — но кто даст гарантию, что в следующий раз не получится? 💥 Атака на провайдера MSP через SimpleHelp Вымогатели DragonForce проникли в инфраструктуру поставщика управляемых услуг через необновлённые уязвимости и распространили шифровальщик среди клиентов. 💥 GlassWorm в экосистеме VS Code Червь заражал расширения Visual Studio Code, воровал GitHub-токены, криптокошельки и использовал Google Calendar как командный центр. И это только вершина айсберга. 🧊 👉 Самые примечательные атаки на цепочку поставок в 2025 году — читайте в блоге «Лаборатории Касперского». Рекомендуем к изучению всем, кто проектирует, разрабатывает или использует ПО с открытым кодом и сторонними компонентами. Что это значит для разработчиков и бизнеса? Классический подход «мы доверяем поставщику» или «эта библиотека популярная, значит, безопасная» — больше не работает. Вы можете написать идеальный код, но если вы подтягиваете через npm скомпрометированный пакет, ваша система становится уязвимой. 🔐 И здесь на сцену выходит конструктивная информационная безопасность (КИБ): ▪️ Цели безопасности закладываются в архитектуру с самого начала. ▪️ Система не доверяет своим подсистемам — даже «родным». ▪️ Код проверяется, компоненты верифицируются, а критичные функции изолируются. ГОСТ Р 72118-2025 (методология проектирования СКИБ) даёт конкретные шаблоны и подходы, как строить системы, устойчивые к различным кибер-атакам, включая атаки на цепочки поставок. Потому что доверять всем подряд — это не стратегия.

Мы благодарим Сергея за конструктивный — во всех смыслах — посыл 🤝 А к вам, дорогие подписчики, вопрос: ❔ Как вы думаете, Сергей сгущает краски или ИИ и правда уже наступает на пятки? Делитесь в комментариях 👇

— Сергей, расскажи коротко: кто ты? — В IT я с 1999 года. В основном занимался разработкой, потом 6 лет управлял проектами и людьми. А с 2022 года я старший архитектор по информационной безопасности в «Лаборатории Касперского». Моя задача — продвигать кибериммунную разработку везде, где можно, включая ВУЗы. — О чем мы поговорим сегодня? — Первый квартал 2026 года оказался знаковым — ИИ-агенты сделали резкий скачок. Разработчики пока до конца не понимают, как далеко это зайдёт, а бизнес уже вовсю пользуется. И главное — рынок труда меняется на глазах. Многие программисты начинают опасаться за своё будущее. — Но в IT изменения — это норма, не слишком ли много шумихи? — С одной стороны, да. С другой — сейчас изменения слишком резкие и качественные. Порог входа для создания сложных IT-сервисов резко упал. Теперь не обязательно знать, как всё работает «под капотом», — ИИ-агенты отлично понимают естественный язык. — Но разработать — это полдела. А поддержка, безопасность, отладка? ИИ с этим хорошо справляется? — Пока нет. Проектирование, поддержка, безопасность — это всё ещё остаётся за человеком. Но вопрос: много ли там останется программирования? Мне кажется, на первый план выходят системная инженерия, умение погружаться в предметную область и видеть «большую картину». — Значит, ВУЗам снова перекраивать программы? — Есть шанс, что развитие ИИ упрётся в какой-то барьер и замедлится. Но даже то, что уже есть, кардинально меняет требования к будущему разработчику. — И что именно меняется? — Сильно снижается терпимость к «особенностям» в общении с заказчиком. Раньше хорошие программисты могли себе позволить затягивать сроки, долго не давать обратную связь — потому что они конкурировали с другими программистами. Дефицит кадров, найти замену сложно, очередь желающих не стояла. А теперь программист конкурирует с ИИ-агентом. И для новичков ситуация становится всё жёстче: опыта нет, а в технологиях ИИ разбирается лучше, работает быстрее и дешевле. — Дешевле ли? За токены же тоже платить надо… — Простой пример. Два года назад мы искали студентов, чтобы делали учебные задачи для наших курсов. Одну задачу человек мог сделать за неделю (если без напряга — за месяц). Платили 100 тысяч рублей по договору ГПХ. Желающих было… мало. Сейчас такую работу с ИИ-агентом можно сделать за один день — если с ним работает опытный человек. Прямые затраты падают в 20–50 раз. А если ещё оформлять не по ГПХ, а в штат, то разница может доходить до 70 раз из-за отчислений. Какой бизнес откажется от такой экономии? — Но как тогда растить специалистов, если им не давать работать? — Возможностей станет сильно меньше, а конкуренция среди выпускников — выше. И вот на что я хочу обратить внимание: ИИ-агенты отвечают на сложные запросы за несколько минут. Не дней и не недель. Я много работаю со студентами. Некоторые могут «пропасть с радаров» надолго, не делать простые задачи, минимизировать усилия. Обычная история. Но теперь в IT такое поведение становится всё менее приемлемым — потому что есть с чем сравнивать. И возиться со стажёрами желающих и раньше было мало, а сейчас это ещё и невыгодно: проще использовать ИИ. — Что посоветуешь будущим IT-шникам? — Во-первых, честно понять: IT — это вообще ваше? Лёгких денег, скорее всего, больше не будет. Если нет настоящей тяги — лучше поискать другое. Во-вторых, если IT — ваше, то: — научитесь эффективно пользоваться ИИ-технологиями; — прокачайте коммуникативные навыки. Ключевые требования: скорость ответа, глубина проработки задачи, желание разбираться в «надсистеме» и понимать потребности заказчика. Короче — развивайтесь как системные инженеры. Отдельная тема — информационная безопасность и особенно конструктивная ИБ. ИИ-агенту нельзя доверять полностью: он ни за что не отвечает. А пускать его в продуктовую разработку без контроля — риск утечек и ущерба. Понимать, где и как использовать ИИ, чтобы не навредить, — это критически важный навык. И я считаю это направление особенно перспективным. В IT наступают трудные времена. И успешными в них станут те, кто станет сильнее.

Мы решили не писать очередную умную статью, а просто поговорить с одним из авторов канала — Сергеем Соболевым. Получилось откровенно и без прикрас. Итак, 🤖 Почему будущим IT-шникам становится страшно (и что с этим делать)

🤖 Моделирование экономики автономных роботов как систем с конструктивной информационной безопасностью (часть 2) #ГОСТ72118 #СКИБ #ОтрасльКакСКИБ #AI_СКИБ

✅ ПЕРВАЯ ПОПЫТКА ИНТЕГРАЦИИ Вот уже два месяца прошло с начала нашего проекта. Студенческие команды СПбГУ, ИТМО и Политехнического колледжа ИСПО СПбПУ вовсю создают прототипы информационных систем — ключевых игроков рынка автономных роботов будущего. Каждая команда работает над набором базовых и основных функций своих систем. И главное условие — стараться применять ГОСТ Р 72118-2025 (методологию проектирования систем с конструктивной информационной безопасностью, СКИБ). 🧩 Что уже сделано 🟢Команда ИТМО поделилась с остальными своей реализацией шаблона «монитор». 🟢Одна из команд СПбГУ разработала инструмент визуализации общего хода работ и достижений команд — можно наглядно увидеть, кто чего достиг и как движется общая работа. 🟢Самый сложный участок достался команде Политехнического колледжа: они создают прототип системы регулятора, который будет сертифицировать все остальные системы как СКИБ. Им же предстоит предложить программу и методику испытаний — пусть пока и в упрощённом виде. Самый интересный момент: команды почти не пишут код вручную. Опрос показал, что подавляющее большинство разработчиков предпочитают получать рабочие решения от 🤖 ИИ-агентов и чат-ботов. Это плохо? Скорее, это отражение того, что сейчас происходит в ИТ:

Кодирование теряет популярность. Инженеры всё больше времени тратят на то, чтобы грамотно сформулировать требования. А реализацию и даже часть интеграции отдают ИИ.

⚠️ Но есть нюанс Мы уже не раз говорили о рисках бесконтрольного применения ИИ в разработке. И именно поэтому методология СКИБ становится всё более актуальной. На недавнем занятии обсуждали SBOM (Software Bill of Materials) — список всех используемых программных компонентов. В нашем проекте для «критичного» (доверенного) кода это обязательный артефакт для внутренней сертификации СКИБ. А глубина покрытия тестами для критичного и некритичного кода определяется уже на уровне технического задания. 👏 Что в сухом остатке Студенты не просто учатся — они проживают реальный процесс разработки с учётом современных трендов: ИИ пишет код, инженеры управляют требованиями и безопасностью, а методология СКИБ помогает не потерять контроль. Пожелаем командам успеха 🚀 А мы продолжим следить за проектом и держать вас в курсе. Если интересно, как дальше будут сертифицировать системы или что придумают ребята — ставьте 🔥, будем рассказывать чаще.

Вы тоже его ждали! 🥳 ⭐️ Чемпионат высоких технологий - 2026 Уже в четвёртый раз ЧВТ становится главной площадкой для студентов техникумов и колледжей, где проверяются их знания в самых востребованных компетенциях в сфере высоких технологий. Масштаб, уровень задач и география участников с каждым годом только растут. В этом году ЧВТ посвящен развитию транспортной отрасли. Есть там и наша компетенция — «Конструктивная информационная безопасность автономных транспортных систем». 💪 Первый этап Чемпионата (региональный) пройдет в марте-апреле в следующих регионах-участниках: 🟢Кемеровская область - Кузбасс 🟢Кабардино-Балкарская Республика 🟢Новгородская область 🟢Алтайский край 🟢Москва 🟢Удмуртская Республика 🟢Московская область 🟢Санкт-Петербург 🟢Республика Татарстан Вот как прошел отборочный тур в Новгородской области. Отборочные этапы ЧВТ традиционно проходят ярко. Участники — будущие кибербез-специалисты — выкладываются по полной. И иногда предлагают настолько крутые решения, что хочется просто👏. Чемпионат высоких технологий — «опытно-конструкторское бюро» новых профессий. Протестированные на ЧВТ технологии и подходы внедряются в систему образования и бизнес-процессы реальных российских компаний. А победители Чемпионата получают заслуженные призы и подарки от организаторов и спонсоров мероприятия. 🫡Мы продолжим следить за ЧВТ-2026 и рассказывать вам о самом интересном.

Пока одни спорят о том, где взять толковых ИТ-специалистов, мы в «Лаборатории Касперского» растим их со школьной скамьи. 🎓 В Чувашии стартовал конкурс по кибериммунной разработке для учащихся 8–11 классов и студентов профильных колледжей. Это не абстрактная олимпиада, а реальная инженерная задача.

Участникам предстоит разработать кибериммунную систему балансировки микроэнергосистемы «Зелёный координатор» — пилотного проекта по управлению энергией в масштабе жилого квартала. Решение должно обеспечивать устойчивую работу инфраструктуры с использованием возобновляемых источников энергии даже в условиях кибератак. Таким образом, конкурсанты на практике применят кибериммунный подход, при котором защита закладывается на уровне архитектуры системы.

Приём работ продлится до 10 апреля 2026 года включительно. На конкурс приглашены учащиеся 20 школ республики — инженерных, ИТ- и физико-математических классов. Для участников конкурса подготовили и образовательную программу: 🟢открытая лекция «Кибериммунитет — просто о сложном» уже собрала больше 600 слушателей; 🟢доступна онлайн-игра «Огнеборец» — симулятор беспилотников для пожаротушения; 🟢есть учебный тренажёр по кибериммунной методологии на платформе «Яндекс.Контест». Всё это поможет погрузиться в тему и подготовить собственное решение. Награджение победителей состоится 16 апреля в рамках II Всероссийской научно-технической конференции «Новые технологии в релейной защите и автоматизации энергетических систем», которая также пройдет в Чебоксарах в это время.

❕Кстати, на конференции запланирована секция «Лаборатории Касперского», где наши эксперты и партнёры расскажут: — как применяются кибериммунные решения в энергетике; — про конструктивные подходы к защите электрооборудования; — и даже разберут реальный кейс — доклад «Оценка безопасности SystemeLogic X». Будем рады видеть вас на наших выступлениях ❤️

«Наращивание технологического потенциала региона невозможно без подготовки молодых специалистов. Поддержка ИТ-компаний, обладающих международной экспертизой, играет ключевую роль: она помогает студентам и школьникам ориентироваться на реальные отраслевые задачи. Совместно с партнёрами мы формируем кадры, способные создавать безопасные кибериммунные системы, в том числе для энергетики», — подчеркнул Андрей Юрьевич Александров, ректор Чувашского государственного университета им. И.Н. Ульянова. 🤝 Мы благодарим Чувашский государственный университет за возможность познакомить школьников и студентов с принципами конструктивной безопасности и дать им шанс применить эти знания на практике. Уверены, что это не последняя наша совместная инициатива.