Перевод КИИ на использование российского ПО отложен до 2024 года

Перевод КИИ на использование российского ПО отложен до 2024 года

Минцифры России пересмотрело сроки, которые предлагается установить субъектам критической информационной инфраструктуры (КИИ) для перехода на преимущественное использование отечественных продуктов. Крайний срок перевода КИИ на российское ПО сдвинут на 1 января 2024 года, на российское оборудование — на 1 января 2025 года.

Ранее эти дедлайны планировалось обозначить как 2021 и 2022 год соответственно. Новые сроки должен закрепить Указ президента России о мерах по обеспечению безопасности объектов КИИ. Обновленный проект Указа выложен для обсуждения на Федеральном портале проектов нормативных правовых актов.

Согласно этому документу, правительство РФ должно было еще 1 сентября утвердить требования к программному обеспечению и оборудованию КИИ, а также порядок перевода таких объектов на использование продуктов российского производства.

Напомним, к объектам КИИ в России относят информационные системы, автоматизированные системы управления и сети электросвязи, используемые в оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также в таких сферах, как энергетика, транспорт, связь, здравоохранение, финансы и наука.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Две уязвимости позволяют обойти защитную функцию AMD SEV

Компания AMD, один из крупнейших производителей процессоров, опубликовала информацию о двух уязвимостях, позволяющих обойти защитную функцию SEV (Secure Encrypted Virtualization, надёжная зашифрованная виртуализация). Задача SEV — изолировать виртуальные машины и гипервизор, но бреши нивелируют этот механизм.

Уязвимости получили идентификаторы CVE-2020-12967 и CVE-2021-26311. Описания дыр можно найти в исследованиях «SEVerity: Code Injection Attacks against Encrypted Virtual Machines» и «undeSErVed trust: Exploiting Permutation-Agnostic Remote Attestation».

Если киберпреступники задействуют выявленные уязвимости в кибератаках, им удастся внедрить вредоносный код на виртуальную машину даже при активированной защите. Известно, что проблема затрагивает процессоры линейки AMD EPYC: первое, второе и третье поколения.

Владельцам 3-го поколения повезло больше, поскольку риск эксплуатации уязвимостей можно минимизировать с помощью функции SEV-SNP.

Первая брешь — CVE-2020-12967 — как раз допускает выполнение произвольного кода из-за недостаточной защищённости таблицы в AMD SEV/SEV-ES. А CVE-2021-26311 позволяет модифицировать память.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru