Лаборатория Касперского прошла сертификацию процессов безопасной разработки

Яков Шпунт 22 Октября 2024 - 21:58

Корпорации

Лаборатория Касперского

Средства защиты веб-сайтов (приложений)

Безопасная разработка приложений (DevSecOps)

Соответствие требованиям регуляторов

Соответствие законодательству РФ

Сертификаты ФСТЭК

...

Лаборатория Касперского прошла сертификацию процессов безопасной разработки

«Лаборатория Касперского» стала первой компанией в России, которая получила сертификат ФСТЭК России о соответствии процессов безопасной разработки программного обеспечения требованиям ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

При этом сертификация проведена как по действующей редакции ГОСТ Р 56939-2016, так и по новой ГОСТ Р 56939-2024. Требование соответствию ГОСТ Р 56939 уже включается во все проводимые коммерческие конкурсы и прописано в документах всех значимых отраслей, включая медицину, транспорт, финансовую сферу и объекты критической информационной инфраструктуры.

Сертификация, когда регулятор проверяет соответствие ГОСТ не на уровне отдельного программного обеспечения, а на уровне компании, начала проводиться с 1 июня 2024 года. Тогда же получил аккредитацию первый и пока единственный орган по сертификации в данной области — Институт системного программирования Российской академии наук им. В. П. Иванникова (ИСП РАН).

«„Лаборатория Касперского” начала внедрять практики безопасной разработки задолго до того, как стали предъявлять те или иные требования по этой части регуляторы и заказчики. Мы первыми поддержали ФСТЭК России, когда требования ГОСТ 2016 года стали обязательными к выполнению при сертификации продуктов. Мы вошли в рабочую группу с ИСП РАН и испытательной лабораторией НТЦ „Фобос-НТ”, апробировали новые инструменты и подходы, на практике показали, что документ выполним. Но жизнь менялась, с каждым годом запрос на безопасность растёт, и пришла пора актуализировать ГОСТ, что мы и сделали в инициативном порядке. Поэтому мы особенно гордимся тем, что первыми в отрасли получили сертификат соответствия, — комментирует Карина Нападовская, руководитель центра сертификации и соответствия стандартам в „Лаборатории Касперского”. — Этот процесс требовал больших ресурсов и серьёзной подготовки. Во многих тендерах уже присутствуют требования к безопасной разработке, и сертификат даёт нам значительные конкурентные преимущества. Мы предлагаем заказчикам первоклассные и соответствующие всем требованиям регуляторов решения по защите информации».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Июня 2025 - 09:10

Мошенничество Дипфейк (Deepfake) Общее

Голосовой дипфейк включили через колонку — ИИ-детекторы не сработали

Чем лучше звучит синтетическая речь, тем сложнее отличить её от настоящей. Но теперь выяснилось, что даже хорошо обученные антифейковые модели можно легко обмануть с помощью обычного воспроизведения и повторной записи звука.

В начале июня вышло исследование от команды учёных из Германии, Польши, Румынии и компании Resemble AI, которая, кстати, сама делает голосовой ИИ и детекторы дипфейков. Они показали, как так называемые «replay attacks» (атаки повторным воспроизведением) обманывают системы защиты.

Суть простая: берётся синтетический голос, включается через колонку и записывается заново — уже с искажениями, эхом, шумом комнаты. Для человеческого уха разница минимальна, но для модели это уже почти «настоящий» голос. Вуаля — фейк проходит проверку.

А как это связано с безопасностью?

Сегодня вишинг (это когда звонят и притворяются, скажем, ИТ-специалистом компании) — одна из популярных схем атак. А если ИИ может подделать голос босса или техподдержки, параллельно обойдя защиту, становится страшновато.

Даже если в компании стоит антифрод-система, которая слушает звонки и проверяет голос, — достаточно включить фейковый голос через колонку и перезаписать, чтобы обмануть систему.

Что показали эксперименты?

Исследователи протестировали:

6 разных моделей для распознавания дипфейков (включая W2V2-AASIST и Whisper),
4 синтетических движка,
109 разных связок «колонка + микрофон»,
на 6 языках.

И собрали датасет ReplayDF — 132,5 часа переозвученного аудио. Условия — максимально приближены к реальности: шум, искажения, акустика комнаты. И результат:

У топовой модели ошибка выросла с 4,7% до 18,2%.
Даже если обучать модель заново с учётом акустики — ошибка всё равно 11%.

Почему так? Потому что переозвучка убирает ключевые артефакты, по которым дипфейк можно распознать.

А можно ли защититься?

Учёные попробовали добавить «акустический отпечаток комнаты» (RIR — Room Impulse Response) в обучение моделей. Для этого, например, записывают, как в помещении звучит хлопок или короткий щелчок — это даёт информацию об эхо и реверберации.

С этим подходом точность улучшилась на 10-15%, но полностью проблему он не решает. Replay-атаки всё ещё проходят.

Что в итоге?

ИИ-голоса стали настолько реалистичны, что простые методы защиты больше не спасают. Атака «включил-фейк-записал-заново» уже вполне рабочая. Исследователи выложили свой датасет ReplayDF в открытый доступ — некоммерческое использование разрешено.

Так что теперь у разработчиков защиты от дипфейков есть новая головная боль. А у хакеров — ещё один способ обойти системы безопасности.