Кибериммунная разработка

❔ Раз в телеграм тормозится видео и не грузятся картинки, а умные познавательные тексты в рабочий полдень понедельника совсем не возбуждают, предлагаем принять участие в викторине. Итак, сколько верных ответов вы сможете собрать? Отвечайте на наши вопросы, считайте количество правильных ответов и пишите результат в комментариях ⬇️

👨‍🎓 Образовательный проект Kaspersky Academy обновил курс «Введение в кибербезопасность» и добавил еще один модуль — «Конструктивная информационная безопасность». «Введение в кибербезопасность» — это программа для студентов 1-2 курса колледжей и ВУЗов, из которой вы узнаете: 🟢что такое кибербезопасность, 🟢какие инструменты используют киберпреступники, 🟢на какие сферы подразделяются специалисты в информационной безопасности 🟢и какое будущее ждёт сферу и специалистов. Все темы рассказывают ведущие специалисты «Лаборатории Касперского» простым и понятным языком, с примерами, что позволит вам получить обзорное понимание сферы кибербезопасности из первых уст практикующих профессионалов. Курс доступен в видео-формате на образовательной платформе Kaspersky Academy. Он состоит из вводной части, четырех коротких лекций с примерами и заключительного теста и может быть отгружен в SCORM (стандартный формат учебного электронного контента). А еще его можно прослушать на английском языке 🎶.

🤖 Моделирование экономики автономных роботов как систем с конструктивной информационной безопасностью (часть 1) #ГОСТ72118 #СКИБ #ОтрасльКакСКИБ

Как вы правильно ответили в опросе выше — главное отличие кибериммунных систем от обычных в том, что цели безопасности закладываются в систему с самого начала. То есть систему изначально проектируют так, чтобы она с рождения умела защищаться. При этом и есть второй важный принцип кибериммунитета, который звучит парадоксально: 💡 Идеальная кибериммунная система на 100% состоит из недоверенного кода. Звучит странно, но в этом и суть. Если система спроектирована правильно, ей не обязательно доверять своим же компонентам. Она может работать на коде, которому мы не доверяем, — и при этом цели безопасности всё равно будут достигнуты. В теории решения изобретательских задач это называется идеальный конечный результат. Мы разрабатываем модель, в которой каждая система спроектирована по ГОСТ Р 72118. Это значит, что требования кибериммунности применяются не только к самому роботу, но и ко всему, что его окружает в процессе эксплуатации. В идеале мы бы добавили сюда ещё и обеспечивающие системы. Но в рамках учебного проекта мы договорились: риски разработки выносим за скобки. Те, кто в теме, улыбнутся: добрый заказчик согласовал такие предположения безопасности и взял риски на себя 🙃. Как это выглядит на практике 📖 🟢Для каждой системы формулируются цели и предположения безопасности (ЦПБ). 🟢Все ЦПБ связываются между собой — так получается целостная распределённая концепция безопасности. 🟢Каждая система проектируется под свои цели, а доверенная вычислительная база (ТСВ) определяется и оптимизируется под конкретную задачу. 📍Где мы сейчас Проект уже запущен и активно используется: — пишутся статьи; — защищаются дипломы; — а мы только в начале пути! Сейчас над проектом работают 10 команд. В ближайшие дни мы планируем провести первую интеграцию всех систем и выполнить интеграционные тесты. Где можно посмотреть 🖥 🟢Стартовая точка проекта — уже доступна в открытом репозитории. Туда постепенно будут добавляться новые модули и интеграционные тесты. 🟢Документация (уже лежит в папке docs), описание сквозных тестов (вот этот файл). Если тема интересна — следите за обновлениями. Хотите больше? Дайте ваших 🔥.

Все на SafeBoard! Весенний набор на нашу стажировку для студентов объявляется открытым! 📣 В этом наборе вас ждут 16 направлений, среди которых🔽

Разработка: 🟢C++; 🟢C#; 🟢Go; 🟢Java; 🟢JavaScript. Тестирование: 🟢ручное; 🟢автотесты на Python, C#. Информационная безопасность: 🟢Application Security; 🟢Threat Intelligence; 🟢Penetration Testing.

⚡️Чтобы попасть на борт, нужно пройти три этапа — VCV (видеозапись ответов на вопросы команды), тест и тестовое задание. Тех, кто успешно справится с отбором, ждет удобный график, который можно совмещать с учебой, возможности для карьерного роста в ИТ и ИБ, а также реальные задачи. Подробнее об условиях можно узнать на сайте. Ждем ваши заявки с 11 по 30 марта и желаем попутного ветра!❤️

💻 Кибериммунная защита программных систем Кирилл Ивашнев, победитель нашего ежегодного конкурса Cyberimmunity Awards, а также подопечный Фонда имени Геннадия Комиссарова* и стипендиат имени Е. Касперского, в рамках своего научного проекта разработал метод оценки сложности компонентов программной системы, который помогает формировать доверенную вычислительную базу и повышать безопасность многомодульных ГИС.

ГИС (географическая информационная система) – информационная система, которая работают с данными, привязанными к карте или координатам.

Подход Кирилла основан на анализе архитектуры системы: компоненты представляются в виде сетевой модели, после чего с помощью метрик центральности и кластеризации определяется их уровень сложности. 🔜 Метод был протестирован на системе мониторинга новостных материалов (OSINT), что подтвердило его эффективность на ранних этапах проектирования, когда программная реализация ещё отсутствует. 🌍 Результаты исследования были представлены на научном семинаре МГУ и международной конференции FRUCT в Хельсинки. ⚡️ Поддержка Фонда «Синтез» и «Лаборатории Касперского» позволила Кириллу сосредоточиться на научной работе, подготовить публикации и представить результаты на научных площадках. В дальнейшем планируется расширение экспериментальных исследований и разработка программных инструментов для автоматического анализа архитектуры систем. Желаем Кириллу удачи! 🤝 *Фонд «Синтез» — первый в России фонд поддержки молодых учёных, помогающий исследователям напрямую.

🤖 Будущее разработки: останется ли место человеку? Развитие ИТ-отрасли сейчас переживает радикальное ускорение. И главный драйвер этого процесса — стремительно умнеющие LLM. Многие опытные разработчики, уже успевшие поработать с передовыми моделями, всерьёз считают: эпоха ручного программирования уходит в прошлое. Возникает закономерный вопрос: что тогда будут делать разработчики? 🧐 Наш ответ звучит так: 🟢проектировать будущие системы как системы с конструктивной информационной безопасностью (СКИБ); 🟢интегрировать код LLM в недоверенных доменах; 🟢и, возможно, самостоятельно разрабатывать только критичный код. Мы убеждены: «красные кнопки» всегда должны оставаться в руках у людей, а не машин. А тем, кто считает иначе, — нейросети уже удаляют письма и уничтожают серверы (отсылка к известным инцидентам вполне конкретна 🙃). 🏗 От отдельной системы — к инфраструктуре В нашем недавнем посте про ЧВТ-2026 мы рассказывали о качественных изменениях в конкурсных заданиях. Ключевой тренд — переход от изолированной автономной робототехнической системы к комплексному обеспечению безопасности инфраструктуры. Сейчас мы работаем над новыми перспективными идеями в разных форматах, в том числе, в виде открытых образовательных проектов. 🎓 СПбГУ как тестовый полигон кибериммунной разработки На базе СПбГУ для студентов запущены курсы по проектированию систем с конструктивной информационной безопасностью и применению кибериммунного подхода к разработке. Теория сразу закрепляется практикой. В качестве учебного проекта студенты прорабатывают отраслевую технико-экономическую модель безопасной (коммерческой) эксплуатации автономных роботов. В рамках работы над «критичным кодом» предстоит применять актуальные рекомендации по разработке безопасного ПО. В порядке эксперимента к работе над проектом присоединились студенты из других учебных заведений, активно вовлечённых в развитие кибериммунной автономности, — ИТМО и ИСПО СПб Политехнического университета. Хотите следить за проектом? 🔎 Если тема вам интересна — ставьте 👍. А мы будем на регулярной основе выкладывать новости и основные артефакты.

✨ Мы уже рассказали о двух победителях конкурса Cyberimmunity Awards, а теперь награда нашла и оставшихся двух финалистов: Лапина Михаила (ИжГТУ) и Вахрушева Дмитрия (ИТМО) Несколько слов о наших призерах, получивших денежные награды от «Лаборатории Касперского». 🏆Михаил Лапин, студент 4-го курса направления «Мехатроника и робототехника» ИЖГТУ, второй год подряд попадает в финалисты нашего конкурса. А это уже тен-ден-ция! 😎 А точнее — системное развитие! А как же ему не быть в финале, если он 🟢стипендиат именной стипендии Евгения Касперского с научной работой по теме «Разработка 3д принтера» 🟢участник Архипелага-2025 🟢в составе команды МИР стал финалист ЛТЦ Фесте в 2025 году Браво, Михаил! Вы достойны своей награды! 👏 🏆Вахрушев Дмитрий, студент 1-го курса магистратуры факультета безопасности информационных технологий Университета ИТМО (это почти как Хогвардс, но еще круче!). Как и Михаил, Дмитрий является стипендиатом с темой «Разработка навигационной системы для БПЛА на основе оптического потока». Он также участник Архипелага-2025, а еще — автор научной статьи «Высокоточная локализация на основе UWB с применением метода наименьших квадратов». опубликованной в сборнике X Всероссийской научно-технической конференции (Таганрог, 14–20 апреля 2025 г.). От души поздравляем ребят с заслуженной наградой и благодарим за вклад в развитие и популяризацию кибериммунного подхода. ❤️

Кто хотел послушать, но не смог присутствовать — уже есть запись вебинара. Искренне рекомендуем к просмотру. Очень хороший материал. Возможно, один из самых понятных за долгое время по СКИБ и тому, как стандарт связан с другими стандартами.

📺 В мире животных Вот здесь мы воочию можем наблюдать уникальное явление дикой цифровой природы: "атака на цепочку поставок" в естественной среде обитания. Группа ботоводов (также известных как “лидеры мнений”) начала синхронно повторять один и тот же крик. Это характерный признак того, что в их рационе произошёл сбой: кто-то забыл зафиксировать версию библиотеки 🫢. Обратите внимание на поведение особей: — все реакции идентичны, — задержка минимальная, — достаточно одного version: latest, и вся популяция меняет поведение одновременно. И вот результат: в стаде случился внезапный "апдейт", и у всех одновременно отвалился мозг… то есть, простите, модуль поведения. Сотрудники заповедника оперативно отлавливают наиболее громких, но природа берёт своё: если не фиксировать зависимости, завтра они мигрируют снова, уже с новым внезапным контентом из репозитория. Берегите себя и используйте конструктивно безопасные архитектуры, друзья.

В Лаборатории кибериммунных систем управления ЧГУ им. И.Н. Ульянова для студентов 3 курса специальности «Обеспечение информационной безопасности телекоммуникационных систем» МЦК-ЧЭМК Минобразования Чувашии прошел нестандартный учебный штурм — игра о правилах кибериммунного подхода — «Огнеборец». Вы же помните эту игру, которую мы часто проводим в первый день мини-курса по кибериммунному подходу к разработке. Сценарий «Огнеборца» погрузил участников в критическую ситуацию: флот автономных дронов-пожарных, предназначенный для тушения лесных пожаров, стал мишенью для кибератаки. Задача студентов – не просто отразить атаку, а изучить новую архитектуру управления дронами, устойчивую к взлому. Ключевой вызов игры: «Как защитить систему, когда злоумышленник атакует “всё подряд”, от каналов связи до систем навигации и прошивок?» Участники на практике осознали, почему не существует «серебряной пули» в кибербезопасности и почему безопасность должна закладываться в основу системы, а не добавляться постфактум.

«Эта игра – концентрация реальных проблем, с которыми сталкиваются разработчики критической инфраструктуры, – поясняет заведующий кибериммунной лаборатории ЧувГУ Татьяна Копышева. – Мы не учим студентов “латать дыры”. Мы учим их проектировать системы, которые не “горят” даже в условиях целенаправленной кибератаки».

Игра «Огнеборец» стала частью практического внедрения кибериммунного подхода: методологии, разработанной «Лабораторией Касперского» и реализуемой в ЧувГУ с 2024 года. Кибериммунная лаборатория, созданная в рамках проекта «Цифровая энергетика» («Приоритет-2030»), готовит инженеров, способных создавать не просто функциональные, а изначально защищенные цифровые решения для энергетики, телекоммуникаций и других отраслей.

Вебинар «Системы с конструктивной информационной безопасностью» состоится 🗓️18.02.2026 в 16:00 по МСК Его проведут Учебный Центр «МАСКОМ» и PVS-Studio в рамках цикла вебинаров, посвящённых разбору нового ГОСТ Р 56939-2024, который описывает 25 процессов для создания безопасного программного обеспечения (РБПО).

✔️ Конструктивная информационная безопасность (КИБ) — это подход к обеспечению ИБ, при котором безопасность закладывается в систему с момента её проектирования и поддерживается на протяжении всего жизненного цикла.

В конце 2025 года вступил в силу национальный стандарт «ГОСТ Р 72118 Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки», а потому ближайший вебинар цикла будет посвящен именно этому ГОСТ. На вебинаре участники услышат: 🟢как соотносятся создание систем с КИБ и разработка безопасного ПО🟢в чем их сходство и различие 🟢чем новый стандарт полезен в работе специалистов по ИБ различного профиля. ➡️ Регистрация по ссылке (там же можно посмотреть все прошедшие вебинары цикла)

🚀 От хакатонов — к системной безопасности: наши планы на год Прошлый год пролетел в ритме соревнований — хакатоны, чемпионаты, олимпиады и инженерные соревнования. Мы их готовили, проводили и видели, как рождаются крутые решения. Это была настоящая движуха! 🤩 В 2026 — новые горизонты. В этом сезоне нас ждут не менее амбициозные проекты, и кое-что важное изменилось в карте наших компетенций. ⭐️ Что приятно: Инициативу соревнований подхватили региональные ВУЗы. В этом году уже 6 учебных заведений проведут кибериммунные соревнования в своих регионах: от школьных олимпиад до студенческих хакатонов. 🔄 Что переехало: Наша компетенция «Кибериммунная автономность» для студентов колледжей успешно дебютировала на Чемпионате Высоких Технологий (ЧВТ) и теперь продолжит путь в чемпионате «Профессионалы». 🆕 Что появилось: А в сетке ЧВТ родилась новая компетенция — «Конструктивная информационная безопасность автономного транспорта». И это не просто смена названия — запрос на создание этой компетенции поступил напрямую от Министерства транспорта. Это показывает, как выросла планка: теперь мы решаем задачи не на уровне отдельных устройств, а на системном уровне. Новая цель: научиться определять и распределять цели безопасности, выбирать технологии и механизмы защиты для всей инфраструктуры использования коммерческих автономных систем. 🔛 Что еще продолжается: Успешно прошли первые два этапа НТО, участники готовятся к практикуму, а затем — решению олимпиадных задач по разработке морского робота с кибериммунитетом, занимающегося уборкой акватории. 🆗 Основа — неизменна: В основе по-прежнему лежит методология ГОСТ Р 72118-2025 по проектированию систем с конструктивной ИБ (СКИБ). Её ключевые идеи актуальны как никогда. Участникам предстоит на практике убедиться в универсальности шаблонов СКИБ — работать предстоит не только с движущимися объектами, но и с безопасностью инфраструктуры, которая их окружает. Интересно? Тогда оставайтесь с нами — впереди много практики, экспериментов и новостей о мероприятиях в сфере кибериммунитета 👌

🏆Награждение победителей ежегодного конкурса Cyberimmunity Awards Ежегодно мы проводим конкурс среди обладателей Cyberimmunity Progress Items (CPI): те, кто по итогам года набирает максимальное количество баллов, получают денежные призы и сертификаты от «Лаборатории Касперского». В этом году финалистами стали 👏 Андреев Илья (ЧГУ) 👏Ивашнев Кирилл (ПетрГУ) 👏Лапин Михаил (ИжГТУ) 👏Вахрушев Дмитрий (ИТМО) В 2025 году мы сделали особый акцент на научно-исследовательскую работу: баллы начислялись участникам не только за решение задач, но и за научную активность в области кибериммунности — публикации, выступления на конференциях, исследовательские проекты. Именно благодаря своей научной активности двое аспирантов стали лучшими! 🏆 Андреев Илья (аспирант ЧГУ) проявил высочайшую активность в области конструктивной безопасности и кибербезопасности беспилотных систем. Его путь за год включил: • получение престижных стипендий; • участие в крупных конференциях; • публикацию научных работ; • разработку ПО и состязательную инженерную практику. Илья является сотрудником университетской лаборатории кибериммунных систем управления, созданной при поддержке «Лаборатории Касперского». 🏆 Ивашнев Кирилл (аспирант ПетрГУ) добился победы благодаря глубокой научной работе по оценке сложности программных компонентов на основе графового анализа. Под руководством своего научного руководителя, Дмитрия Жоржевича Корзуна он сформулировал научно-новый метод, который позволяет разработчикам конструктивно-безопасных систем сократить время проектирования и получить теоретически обоснованную базу для архитектурных решений. Обоим победителям торжественно вручили сертификаты и денежные призы. Их успех — отличный пример того, как фундаментальные исследования и практическая экспертиза вместе создают будущее кибериммунных технологий. Поздравляем Илью и Кирилла и ждём новых прорывов! 🥳 А также награждения двух других победителей конкурса Cyberimmunity Awards

#скиб_шаблоны А вот и ещё один хорошо знакомый многим из наших подписчиков шаблон — раздельное принятие и применение решений о безопасности. Скажите, как его зовут? 😄 Вы, конечно, подумаете, что это же про MILS и FLASK, о которых мы говорим в наших курсах. И не ошибетесь! И, хотя в стандарте эти аббревиатуры не используются, суть от этого не изменилась. Вот как в стандарте описано назначение этого шаблона: «Шаблон «Раздельное принятие и применение решений о безопасности» предназначен для реализации активного механизма контроля доступа и фильтрации потоков данных/потоков управления на основе заданных правил и политик безопасности. Шаблон предполагает разделение механизмов принятия решения о возможности доступа или разрешении потока и применении этого решения к потокам данных, потокам управления и выполняемым в системе операциям. Это в конечном счете позволяет улучшить гибкость работы механизма контроля доступа и/ или фильтрации потоков данных/потоков управления в системе и оптимизировать доказательство корректности его работы». Этот шаблон замечательно работает в комбинации с «шаблоном Монитор», при этом задача принятия решений о безопасности может быть вынесена в отдельные домены безопасности (на диаграмме архитектуры политики они выделены цветом). Таким образом достигается нужный уровень декомпозиции доверенных доменов, каждый из которых 🟢максимально прост по своей структуре 🟢содержит только необходимый минимум вычислительных ресурсов. Всё вместе это позволяет оптимизировать процесс проверки корректности их работы.

Многие существующие решения используют подобный подход. Например, архитекторы закладывают (микро)сервисы для контроля доступа других сервисов к ресурсам. Однако, без хорошо реализованного (и желательно с поддержкой на уровне ядра системы) механизма применения решения, велик риск обхода таких проверок.

Применяйте шаблоны проектирования СКИБ в комплексе и будьте в безопасности 🙌🏼

Давно мы не писали о #скиб_шаблоны... Исправляемся! Шаблон «МОНИТОР» (он же «монитор безопасности») наверняка хорошо знаком большинству наших подписчиков. Действительно, если один из ключевых принципов построения систем с конструктивной информационной безопасностью заключается в контроле взаимодействия (доменов безопасности), то как тут обойтись без монитора. ГОСТ Р 72118-2025 описывает назначение этого шаблона следующим образом: «Шаблон, предназначенный для организации мониторинга событий в системе, может быть использован самостоятельно для создания пассивного механизма отслеживания потоков данных, потоков управления и выполняемых в системе операций, или в составе активного механизма применения правил и политик безопасности к этим потокам и операциям». В большинстве наших учебных примеров монитор безопасности реализует вторую функцию — это активный механизм проверки удовлетворения коммуникаций политикам безопасности. Мы можем позволить себе такой подход, потому что системы у нас — учебные, политики безопасности — простые, а доступность не является ключевым требованием. В реальных системах, конечно, всё не так просто. Риск нарушения нормальной работы системы из-за ложной тревоги может оказаться для заказчика слишком высоким. Поэтому в таком случае задача монитора безопасности будет, главным образом, информационной — уведомить оператора о потенциально опасных событиях, предоставив ему свободу выбора, что с этим счастьем событием делать 🤪. Если вы уже используете аналог монитора в своих проектах — жмите 👍 Посмотрим, насколько он популярен 😉

🏆 Итак, мы готовы подвести итоги нашего ИИ-конкурса. Конечно, ожидали мы больше вариантов, но тем ценнее комментарии каждого из участников. Задача №1️⃣— https://t.me/learning_cyberimmunity/561 СКИБ-шаблон: монитор безопасности как шаблон проектирования систем с конструктивной информационной безопасностью. Варианты «Модульность и изоляция», конечно, тоже имеют отношение к ИБ, но от загаданного нами изначального варианта все же также далеко, как и ответ Юры Шишкина. Задача №2️⃣— https://t.me/learning_cyberimmunity/564 Однозначно, Максим с вариантом «намёк на supply chain compromise и необходимость Zero Trust» попал в точку! 🎯 Задача №3️⃣ — https://t.me/learning_cyberimmunity/566 Ближе всего к задумке — вариант Valentina Lyubimova, но только его часть про «принцип разделения привилегий» потому что именно она и была задумана. По картинке видно, что речь идет про дверь у которой два замка и два ключа, и надо открыть оба, чтобы дверь открылась. Почему так: №2 (Valentina) ✔️ «принцип разделения привилегий» — это почти ровно то, что зашифровано на картинке: критическое действие невозможно выполнить одному, нужен второй независимый «ключ/разрешение» (правило двух ключей). ❌ А вот brute force и перебор паролей тут не происходит: на картинке нет «многих попыток перебора» — здесь именно «не хватает второго ключа». №1 (Волшебная Моль) ✔️ «двухфакторная аутентификация» — понятная и близкая ассоциация, потому что тоже «нужно два средства для входа». ❌ Но 2FA — это про одного пользователя и два фактора (пароль+код/токен), а у нас на картинке — акцент на двух людях и разделении ответственности. Поэтому этот ответ — где-то рядом, но не прям в точку. №3 (Mikhail Lapin) ❌ Версия про ключевую пару/сертификаты/подписание — больше про криптографию и не очень описывает предложенное изображение. На картинке же показаны два замка/два ключа как два независимых разрешения, а не «приватный/публичный ключ» или «истёкший сертификат». Итого: если рассортировать ответы по мере их приближения к изображенному на ИИ-картинке, наиболее точный ответ по сути — №2 («разделение привилегий/полномочий»). Следующее — решение №1 (2FA) как родственная идея, но чуть другая. Ну, и вариант №3 — в целом, конечно, любопытная интерпретация, но заметно дальше от задуманного нами, чем другие два варианта. 🏆А потому в непростой борьбе с ИИ у нас получилось 2 победителя: Максим и Valentina Lyubimova. Пишем вам в личные сообщения, как получить подарочный мерч от «Лаборатории Касперского». Победителям — наше почтение, а всем участникам — благодарность за проявленную активность ❤️.