Структура рынка информационной безопасности в России в 2024 году

 

Прекрасное исследование компании Информзащита о том какой объем у каждого класса продуктов и насколько он рос с 2020 по 2024 год в среднем (CAGR).

Какой мессенджер действительно безопасен?

В эпоху цифровой слежки и утечек данных вопрос безопасности мессенджеров становится критически важным. Я часто слышу вопрос: "Какой мессенджер реально безопасен?" Ответ не так прост, как хотелось бы многим.

Реальность: абсолютной безопасности не существует

Начну с главного: не существует абсолютно "непробиваемого" мессенджера. Безопасность всегда зависит от вашей модели угроз. От кого вы защищаетесь? От случайных хакеров? От массовой корпоративной слежки? От целевых атак спецслужб? Ответ на этот вопрос определяет выбор инструмента.

Топ-5 мессенджеров с точки зрения безопасности

Взлом мессенджерв TeleMessage в мае 2025: когда корпоративная безопасность дала трещину

В мае 2025 год произошёл инцидент, который заставил многих пересмотреть отношение к корпоративным мессенджерам. Взлом израильской компании TeleMessage — которая создаёт "улучшенные" версии Signal для государственных структур — стал настоящим уроком для всей индустрии кибербезопасности.

🔍Что произошло на самом деле?

История началась довольно банально — хакеры проникли в серверную инфраструктуру TeleMessage и обнаружили нечто неожиданное. Оказалось, что архивные логи чатов хранились в незашифрованном виде. Да, вы не ослышались — компания, которая позиционировала себя как поставщик "безопасных решений", банально не шифровала данные пользователей.

Масштаб утечки: Пострадали и Погранично-таможенная служба США, и сотрудники криптобиржи Coinbase. 

TeleMessage пришлось экстренно приостановить работу "из соображений повышенной осторожности". Звучит как эвфемизм года, не правда ли? За этими обтекаемыми словами скрывается паника и осознание масштаба провала.

Руководство по цепочкам доверия SSL-сертификатов

 Когда вы видите зелёный замочек в браузере при заходе на HTTPS-сайт, за этим стоит целая система проверок. Давайте разберём подробно, как это работает, зачем нужна цепочка доверия и какие ошибки чаще всего допускаются.

---

📝 Оглавление:

1. Что такое цепочка доверия

2. Какие сертификаты отдаёт сервер клиенту

3. Почему нельзя отдавать корневой сертификат (Root CA)

4. Что происходит, если сервер не отдаёт промежуточный сертификат

5. Как браузеры «докачивают» промежуточные сертификаты (AIA fetching)

6. Типы сертификатов и градации доверия (DV, OV, EV)

7. Почему «зелёный замочек» не означает легальность сайта

8. Частые ошибки администраторов и их последствия

9. Практические советы и золотые правила

10. Современные тенденции и автоматизация сертификатов

11. Полезные инструменты и ресурсы

Экзистенциальная угроза цифровой экономике: что будет, если отключат DigiCert и GlobalSign? Реальные бизнес-риски и сценарии блокировки CA — экспертное мнение

Экспертное заключение специалиста по кибербезопасности для ИТ-директора и владельца бизнеса

1. Executive Summary

Отключение страны от западных Certificate Authorities (DigiCert, Sectigo, GlobalSign, Let's Encrypt и др.) представляет экзистенциальную угрозу для цифровой экономики поскольку разрушается созданная десятилетиями единая структура доверия. За три десятилетия работы в области информационной безопасности я наблюдал множество системных сбоев, но отключение от глобальной PKI-инфраструктуры — это беспрецедентный сценарий, который может парализовать не только веб-сервисы, но и всю экосистему мирового цифрового доверия. И это уже где-то рядом, коллеги.

Масштаб проблемы: 95%+ всех HTTPS-соединений, электронных подписей корпоративного уровня, API-интеграций и финтех-сервисов окажутся недоступными для внешних пользователей в течение первых 24-48 часов после отключения.

Причины, почему "жёсткая локализация" PKI в России недостижима (по состоянию на 2025)

1. Гетерогенность устройств и софта

• В РФ преобладают многообразные ОС и устройства (Windows, macOS, Linux, Android, iOS, "серые" прошивки на IoT и кассовом ПО).
• Нет единой централизованной ОС и "экосистемы" (как в КНР, где почти всё — форки Linux/Android и местные бренды).  КНР создала собственную цифровую экосистему: HarmonyOS, Aliyun, Baidu Browser, WeChat, и т.д.

2. Неконтролируемые браузеры и маркетплейсы

• Chrome, Firefox, Safari, Edge — контролируются западными вендорами, доверие к корневым CA задаётся через их процедуры (Inclusion Program, Root Program).
• Нельзя централизованно, на уровне регулятора, массово "навязать" доверие российским CA на сотнях миллионов устройств (без доступа к исходникам и дистрибуции ПО).

PKI-инфраструктура российских сайтов: скрытые уязвимости и риски сетевой изоляции

Анализ экспертов по информационной безопасности и PKI-технологиям

В условиях возрастающих геополитических рисков и потенциальной сегментации российского сегмента сети, вопросы устойчивости PKI-инфраструктуры приобретают критическое значение. Как эксперты по информационной безопасности и специалисты в области работы с сертификатами, мы проанализировали текущее состояние SSL/TLS-инфраструктуры российских веб-ресурсов и выявили ряд системных проблем, которые могут привести к массовым отказам в обслуживании при отключении России от глобального интернета.

Архитектурные особенности цепочек сертификатов российских сайтов

Подавляющее большинство российских веб-ресурсов, включая государственные порталы и сервисы крупнейших компаний, полагаются на сертификаты, выпущенные международными удостоверяющими центрами (CA). В хранилищах доверенных корневых сертификатов на компьютерах и смартфонах россиян присутствуют глобальные корневые центры – DigiCert, GlobalSign, Sectigo, GoDaddy, Let's Encrypt и др.

Критическая статистика централизации: Согласно недавнему исследованию "Assessing SSL/TLS Certificate Centralization: Implications for Digital Sovereignty" (arXiv:2504.16897), более 75% сертификатов для российских доменов исходят от небольшого количества международных Certificate Authorities. Это создает беспрецедентную степень зависимости от зарубежной PKI-инфраструктуры.

Геополитические риски централизации: Исследование показывает, что такой уровень концентрации создает критические уязвимости для цифрового суверенитета. В случае политических санкций или технических ограничений доступа к этим CA, вся российская интернет-инфраструктура оказывается под угрозой одновременного коллапса.

Корректная работа SSL/TLS-соединения требует построения полной цепочки доверия от конечного сертификата сайта (leaf certificate) через промежуточные удостоверяющие центры (intermediate CA) до корневого сертификата (root CA), предустановленного в доверенном хранилище клиента.

Цифровой суверенитет России под угрозой: что будет с российскими сайтами при отключении от интернета?

Резюме: Глобальный аудит SSL/TLS показал: более 77% сертификатов российских сайтов выпущены иностранными удостоверяющими центрами, а почти 60% сайтов рискуют стать недоступными в случае изоляции от интернета. Новое исследование кибербезопасности BRICS "Assessing SSL/TLS Certificate Centralization: Implications for Digital Sovereignty"(arXiv:2504.16897) раскрывает риски — и даёт четкие рекомендации, что делать прямо сейчас. Существует раздел кибербезопасности, которые исследует проблемы и решает задачи связанные с доверием между клиентами и серверами и именно он позволяет нам безопасно осуществлять операции в интернет: покупать и оплачивать товары, получать госуслуги. Это называется Public Key Infrastructure (PKI).

Почему тема PKI важна для каждого

Сертификаты и протоколы SSL/TLS — это основа цифровой безопасности: без сертификатов невозможна работа ни банков, ни порталов госуслуг, ни электронной коммерции, ни устройств передачи данных. Даже российские NGFW для своей работы используют CA иностранных вендоров. Других ведь нет. Сегодня реальность такова: судьба всей российской интернет-инфраструктуры зависит от решений 5–7 иностранных компаний. Любая санкция, сбой или атака на них — это не только политическая, но и технологическая уязвимость страны.

Ключевое понятие: цепочка доверия. Один сертификат подтверждает доверие другому сертификату. Все главные корневые сертификаты - знает весь мир и они встроены во все браузеры и устройства. А вот промежуточные сертификаты в цепочке - нужно скачивать из Интернет.

Документы из набора Vault 7: WikiLeaks раскрыл все секреты ЦРУ

Документы из набора Vault 7: WikiLeaks раскрыл все секреты ЦРУ 

Помните март 2017-го? Тогда WikiLeaks выдал такую бомбу, что разведка до сих пор не может оправиться. Больше 8700 документов из самого сердца ЦРУ — из их центра киберразведки в Лэнгли. Представьте себе: сотни миллионов строк кода, весь хакерский арсенал американских спецслужб вывалился на всеобщее обозрение.

🎯 Масштабы? Просто космические

К 2016 году у хакеров из ЦРУ было больше кода, чем нужно для работы Facebook. Серьезно! Свыше 5000 пользователей, более 1000 различных хакерских инструментов. По сути, они создали собственную NSA, но с еще меньшей подотчетностью.

Группа инженерной разработки (EDG) — так назывались ребята, которые день и ночь клепали бэкдоры, эксплойты и вирусы для операций по всему миру. Работали как часики.

📱 Ваш телевизор следит за вами

Помните программу Weeping Angel? Звучит поэтично, но на деле — жесть. Ваш Samsung Smart TV якобы выключается, а сам продолжает записывать все разговоры и сливать их на серверы ЦРУ. Режим "ложного отключения" — гениально и жутко одновременно.

А что с телефонами? Да всё схватили:

• iPhone: целое подразделение работало над "нулевыми днями" для iOS
• Android: 24 готовых эксплойта для 85% смартфонов планеты
• WhatsApp, Signal, Telegram? Забудьте про шифрование — они взламывали сами устройства

Кстати, особенно интересно про автомобили. Оказывается, можно взломать системы управления для "почти необнаружимых убийств". Звучит как сценарий фильма, но это реальность.

Популярные ИИ-ассистенты для общения: какой выбрать в 2025 году?

Мир искусственного интеллекта стремительно развивается, и сегодня у нас есть возможность общаться с десятками различных ИИ-помощников. Каждый из них обладает уникальными особенностями и возможностями. Давайте разберем самых интересных представителей этой сферы.

🇷🇺 Российские ИИ-ассистенты

GigaChat от Сбера

Сайт: giga.chat

GigaChat заслуженно считается флагманом российской ИИ-индустрии. Этот помощник умеет не только поддерживать беседу, но и генерировать изображения, работать с кодом и даже создавать презентации. Особенно впечатляет его способность понимать контекст российских реалий и культурных особенностей.

Интересный факт: GigaChat обучался на русскоязычных данных и поэтому отлично понимает тонкости русского языка, включая сленг и идиомы.

Алиса от Яндекса

Сайт: alice.yandex.ru

Алиса — это не просто чат-бот, это целая экосистема. Она живет в ваших устройствах: от смартфона до умной колонки. Алиса умеет управлять домом, планировать маршруты, рассказывать новости и даже играть в игры. Ее голосовые способности особенно развиты — она может петь, имитировать разные голоса и даже озвучивать аудиокниги.

Фишка: Алиса может вести диалог в разных стилях — от деловой беседы до дружеского общения с юмором.

Маруся от VK

Голосовой помощник, который глубоко интегрирован в экосистему VK. Маруся отлично знает молодежную культуру и может поддержать разговор о трендах, музыке и социальных сетях. Она особенно популярна среди подростков благодаря своему неформальному стилю общения.

SaluteAI (Салют)

Сайт: salute.sber.ru

Еще один продукт от Сбера, который фокусируется на семейном использовании. Салют умеет развлекать детей, помогать с домашними заданиями и даже проводить викторины для всей семьи.

Kandinsky / FusionBrain

Сайт: fusionbrain.ai

Хотя Kandinsky в первую очередь известен как генератор изображений, его текстовые способности тоже впечатляют. Это идеальный выбор для творческих людей, которым нужна помощь как с визуальным, так и с текстовым контентом.

🌍 Международные ИИ-гиганты