Эксперт GSOC рассказал о рисках при обмене данными

Оперативное информирование профессионального сообщества о новых киберугрозах является фундаментом коллективной безопасности, однако формат раскрытия данных требует строгого баланса. Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис», рассказал о рисках публичного размещения индикаторов компрометации и преимуществах модели «избирательного доверия».

В современной киберсреде открытая публикация деталей уязвимостей и индикаторов компрометации (IoC) в публичных источниках несёт скрытые операционные риски. По мнению эксперта, такая прозрачность даёт атакующим возможность анализировать эффективность своих инструментов в режиме реального времени и оперативно адаптировать методы нападения, обходя выставленные барьеры.

«Публикация индикаторов компрометации и деталей уязвимостей в открытых источниках несёт операционные риски, предоставляя самим атакующим данные для анализа эффективности их инструментов и адаптации. Поэтому индустрия кибербезопасности сегодня функционирует на основе модели избирательного доверия. Это позволяет соблюсти баланс между необходимостью предупредить коллег и риском вооружить злоумышленников знаниями о наших методах обнаружения», — отмечает Андрей Жданухин.

Для безопасного и эффективного взаимодействия ИБ-сообщество использует специализированные платформы и международные протоколы, такие как TAXII (Trusted Automated eXchange of Intelligence Information) и STIX (Structured Threat Information eXpression). Эти инструменты связывают между собой технологических вендоров, государственные и корпоративные центры мониторинга (CERT и SOC).

Эксперт выделил ключевые особенности закрытого обмена данными:

— передаются не просто «сухие» списки хеш-сумм, доменов или IP-адресов, а структурированные тактические сводки.

— информация включает в себя поведенческие паттерны злоумышленников и детальные схемы эксплуатации уязвимостей.

—участники обмена получают готовые инструкции по детекту и предотвращению конкретных атак.

Подобный подход формирует цикл опережающего укрепления обороны на уровне всей экосистемы. Вместо реактивного исправления последствий ИБ-подразделения получают возможность подготовить инфраструктуру к атаке ещё до того, как она будет направлена на их сегмент сети.

Как выбрать дубленку и с чем носить — рекомендации экспертов Familia

После периода минимализма натуральный мех и овчина снова в тренде. На пике моды дубленки, но внимание стилистов переключилось на оверсайз, бохо и винтажные вариации. Эксперты Familia подготовили рекомендации, на какие модели стоит обратить внимания и с чем их комбинировать, чтобы получился стильный законченный образ.

Женские и мужские дубленки оверсайз сегодня широко представлены в разных ценовых категориях и стилях. Это не просто верхняя одежда большого размера, а целая философия. Образец сочетания комфорта и самовыражения. Приспущенное плечо, удлиненные и широкие рукава, непринужденный силуэт изделия способствуют свободе движения. Подобный фасон подходит для людей любого возраста и телосложения, поскольку скрывает недостатки фигуры и повышает самооценку.

На пике востребованности винтажные вариации дубленок с патиной времени. Как будто подобную вещь носила чья-то бабушка. Но современные модели объединяют эстетику разных десятилетий второй половины ХХ века. На авансцену выходят авиаторы, стиль 1970-х, оверсайз 1990-х и бохо-шик. Эксперты отмечают, что состаренная овчина становится мейнстримом для интеллектуалок.

Дубленки свободного кроя в стиле бохо из натуральной овчины и итальянской замши, украшенные бахромой или вышивкой, сегодня особенно актуальны. Комфортные и теплые, они не только скрывают недостатки фигуры, но и способствуют свободе самовыражения, поскольку сам стиль базируется на непринужденности и близости к природе.

Цвета: кремовый, шоколадный и оттенок виски

Светлые модели дубленок придадут вашему образу свежесть: молочные, кремовые и жемчужные. Несмотря на стереотип о непрактичности, модницы уже облачились в Total White.

Впрочем, для тех, кто не готов облачиться в оверсайз светлых тонов, в ассортименте дубленок богатая цветовая гамма. Коричневый вытеснил черный. В тренде шоколад, карамель, кофе с корицей и оттенок виски.

Рекомендации по созданию стильного образа

Эксперты рекомендуют сочетать оверсайз с контрастными по объему изделиями. Узкими джинсами, облегающим платьем или легинсами. Чем объемнее верх, тем уже низ.

Светлые дубленки хорошо сочетаются с монохромными образами. Например, молочная дубленка, кремовый свитер и белые джинсы.

Короткие дубленки пригодятся для контраста фактур и форм. Косуха и длинная юбка, авиатор и платье в пол — баланс между грубым материалом и женственной длинной.

Дубленка с поясом акцентирует линию талии и создает женственный образ. Также она визуально стройнит фигуру.

Модные толстовки 2026: главные тренды сезона — рекомендуют эксперты Familia

Когда-то хлопковая толстовка пришла на смену неудобному для спорта шерстяному свитеру. А современная мода превратила ее из одежды для спортивных тренировок в высокий штиль. Эксперты Familia подготовили небольшой обзор трендов на толстовки в 2026 года.

Оттенки сезона

Абсолютным фаворитом 2026 года, по версии экспертов Pantone, стал цвет «Облачный танцор» (Cloud Dancer) — оттенок белого. Слегка дымчатый, мягкий и воздушный, он как будто специально создан для свободных кофт из хлопка или флиса. И будет базовым в текущем сезоне наравне с кремовым, глубоким коричневым и графитовым.

Также в тренде текущего сезона природные оттенки, такие как шалфейный, ржавый и насыщенный сине-зеленый или «Трансформирующий бирюзовый».

Стоит также обратить внимание и на яркие акценты: глубокий красный, желтый и насыщенный фиолетовый. Как и на винтажные тона, имитирующие выцветшие от времени оттенки.

Экологичность и технологичность в материалах

Переработанный полиэстер, древесная целлюлоза эвкалипта, органический хлопок, бамбук — сырье для качественных материалов, которое сводит к минимуму воздействие на окружающую среду. Также подобные ткани мягкие, прочные, гипоаллергенные — эти качества способствуют свободе движения, что является ключевым принципом концепции толстовок.

В морозную зиму особенно актуальными выглядят толстовки из умных тканей с климат-контролем. Они способны регулировать теплообмен и поэтому комфортны в носке.

Свобода движения и самовыражения

В 2026 году оверсайз остается в моде, но трансформируется в сторону структурированности. Негабаритные толстовки не ограничиваются городским стилем, они также становятся ключевым элементом повседневной роскоши. Способствуют свободе движения и подходят для любого типа фигуры.

Надписи на толстовках остаются актуальными. Но на смену большим логотипам, иллюстрирующим названия брендов, приходит «говорящая одежда». Каламбуры, цитаты, смешные и серьезные утверждения часто наносятся, как на лицевую часть изделия, так и на спину.

Эксперты Familia советуют нестандартно комбинировать стили, ломая застойные стереотипы. Пополните гардероб актуальными модными толстовками и конструируйте уникальные образы. Помните, что главный тренд 2026 года — отказ от массовой стандартизации в пользу индивидуальности.

Гармоничные сочетания с «Облачным танцором» — рекомендуют эксперты Familia

Эксперты Института цвета Pantone прогнозируют, что цвет «Облачный танцор» (Cloud Dancer) станет ключевым для модной индустрии и дизайна в 2026 году. Этот светло белый цвет с едва уловимым серовато-голубым или кремовым подтоном соответствует коллективному запросу на умиротворение и осознанность. Эксперты Familia видят в этом выборе точное попадание в настроение времени, поэтому дают рекомендации по органичному сочетанию цветовой гаммы.

Утилитарность «Облачного танцора»

Символ осознанного потребления «Облачный танцор» является чистым холстом для новой картины жизни. Теперь покупательницы стремятся не расходовать попусту средства. Мягкий и нейтральный белый цвет способствует формированию долговечной базы из элегантных и универсальных вещей. Которые не выйдут из моды за один сезон. Потому что благодаря своей хрестоматийной сущности цвет прекрасно впишется в любую гамму.

Цвет и разнообразие фактур

Чтобы «Облачный танцор» не выглядел плоско, как пустой холст, необходимо использовать все разнообразие фактур. Цвет мягко раскрывается в сочетании с натуральными тканями, создавая иллюзию легкости и элегантной простоты. На шелке или атласе он засияет благородным оттенком. Игра теней в изгибах материалов грубой вязки подчеркнет все тонкости оттенка. А созданию дорогого многослойного образа будет способствовать сочетание кожи и шерсть с пушистой поверхностью в этом цвете.

Оптимальные цветовые сочетания

«Облачный танцор» служит идеальной базой для сочетаний с любыми цветами. Для создания нежного образа эксперты Familia рекомендуют деликатные комбинации с графитовым, какао, капучино, холодным бежевым и глубоким синим. А контраст стилю добавят яркие акценты: красного, оранжевого, изумрудного или винного оттенков.

Этот сложный цвет раскрывается по-разному, в зависимости от дуэта. В сочетании с черным он смягчит слишком строгий офисный образ, убирая мрачность и «траурность» и добавляя актуальность. Теплый бежевый, так называемый верблюжий, выделит холодный оттенок «Облачного танцора» и придаст облику благородства. А символ контркультуры 20 века — деним — в сочетании с этим необычным белым сформирует непринужденный городской стиль.

«Облачный Танцор» — это не только название оттенка, но и ключевой элемент современного минималистического гардероба. Вещи в этом цвете выглядят благородно и дорого. Он демонстрирует сезонную гибкость, поскольку актуален как для легких летних комплектов, так и для многослойного зимнего гардероба. Благодаря своей универсальности он минимизирует расходы и способствует концепции осознанного потребления.

Эксперт рассказал про эмоциональный банкинг

Детали раскрыл директор дивизиона корпоративного бизнеса и глобальных рынков ОТП Банка Валерий Коростелев. Банковский бизнес в России сегодня существует в высококонкурентной среде, где почти достигнут предел в части привлечения уникальных финансовых преимуществ. Но, считают эксперты, клиент выбирает не только умом, но и эмоциями. И работа в данном направлении также может давать результат.

«Нужно искать новые способы привлечь и удержать клиента. Скажем, эмоциональный банкинг. И это не только про возможность узнать что-то новое, разнообразить культурный досуг, но и про позитивное впечатление от классно работающих сервисов, про простоту решений и прозрачность работы, про надежность, про интересные фишки, которые может предложить банк», – считает Валерий Коростелев.

Также эксперт уверен, что современное мобильное приложение, которое есть у всех банков, и уже не является фишкой, и работает бесшовно и безупречно, необходимо подкреплять позитивным цепляющим элементом.

Валерий Коростелев приводит забавный пример, которым пользуется ОТП Банк – это пиксельная лягушка, которая выскакивает на экран по средам, каждый раз, когда заходишь в мобильное приложение банка или обновляешь экран. «У самых молодых клиентов банка она вызывает искренний восторг», – резюмирует Валерий Коростелев.

По мнению эксперта, культура, искусство, технологичные и оригинальные решения, которые заставляют человека улыбнуться и сказать: «Вау, ничего себе» — вот такие вещи запоминаются, сближают банки с клиентом.

Эксперт рассказал, как язык культуры помогает в бизнесе

Мнение высказал директор дивизиона корпоративного бизнеса и глобальных рынков ОТП Банка Валерий Коростелев. По словам эксперта, вопрос доверия крайне важен. Как и способы это доверия завоевать.

«Как культура и искусство помогают формировать эмоциональную среду, а там, где появляется эмоциональная связь, укрепляются и доверие, и бизнес», – предположил Валерий Коростелев.

Иногда помогает и происхождение самого кредитного учреждения. Скажем, ОТП Банк имеет венгерские корни.

«Мы знакомим не только с венгерской культурой работы банков, но и с Венгерской культурой в общем: поддерживаем театральные и кинематографические проекты — от Дягилевского фестиваля до локальных культурных инициатив. Также уже много лет сотрудничаем с Музеем русского импрессионизма, участвуем в акции «Ночь в музее» как в Москве, так и в регионах.

Сотрудников и клиентов вовлекаем в эстетическую среду. Это кажется незначительной деталью, но она работает: люди и компании отмечают нашу культурную активность», – поделился директор дивизиона корпоративного бизнеса и глобальных рынков ОТП Банка.

Эксперт Sitronics Group рассказала об особенностях разграничения прав в метавселенных

Метавселенные активно используются различным бизнесом и компаниями в маркетинговых целях. Однако если в обычной жизни товарные знаки и образы защищены гражданскими законами и охраняются авторским правом, их действие может не распространяться на цифровое пространство. Об этом на площадке II Юридического бизнес-форума в Минске рассказала юрисконсульт по интеллектуальной собственности Sitronics Group Лидия Субботина.

«Чаще всего споры возникают в плоскости использования чужого узнаваемого дизайна. На первый взгляд кажется очевидным, что без согласия правообладателя это не допустимо. В мировой практике есть прецеденты, когда суд не усматривал в этом нарушения прав и вставал на сторону ответчика, хотя дизайн – это тоже предмет патентной охраны. Но этот пример – скорее исключение. Судебные тяжбы могут длиться годами, при этом негативно влияя на доверие к компании, ее репутацию. Более того, за это время может измениться правовое регулирование» — сказала Лидия Субботина.

Она отметила, что и в России, и в Белоруссии на сегодня нет специализированного регулирования для метавселенных, поэтому для защиты объектов необходимо учитывать действующее законодательство на территории создания и использования, а также правила, закреплённые платформами, используемыми для их создания.

Эксперт рекомендует учитывать ряд аспектов, чтобы не оказаться в спорной ситуации. В частности, это использование образов узнаваемых локаций, личностей, предметов и объектов и даже зданий, на которое лучше всего получить согласие у их правообладателей. Аватары известных персонажей требуют также заключения лицензионного договора с указанием способов использования. Эксперт считает важным предусмотреть эти пункты уже на этапе заключения договора с разработчиком метавселенной. Кроме того, в документе стоит прописать и передачу исключительных прав на результат разработки.

Эксперт Sitronics Group рассказала о рисках, которые нужно учитывать при локализации ИТ-технологий в РФ

Возвращение иностранных компаний на российский рынок вряд ли повлияет на курс государства в отношении технологического суверенитета, считает эксперт Sitronics Group Лидия Субботина. Тенденция на автономность для некоторых категорий пользователей уже сегодня закреплена законодательно — для них с 1 января 2025 года запрещено иностранное программное обеспечение на объектах критической информационной инфраструктуры. Кроме того, обсуждается введение требования о совместимости программного обеспечения с не менее чем двумя российскими оперативными системами и не менее чем одной оперативной системой для программ, используемых исключительно в ПАК.

«То есть иностранным компаниям, имеющим интерес работать с российскими заказчиками, вероятней всего придется переносить разработку продукта и его поддержку в страну. Для российских компаний, рассматривающих перспективу выхода на зарубежные рынки, тоже стоит учесть ряд моментов, даже касающихся дружественных государств из ЕАЭС и БРИКС. Если ИТ-компания получает права на товарный знак в России, это не защищает ее от конкуренции и не гарантирует эксклюзивности лицензиату. Например, в случае получения исключительной лицензии в РФ без закрепления обязательств об эксклюзивности можно столкнуться с ситуаций появления такого же товарного знака в Беларуси или Казахстане и его выхода на российский рынок» — сказала Лидия Субботина.

Кроме того, важно учитывать и тот факт, что локализация зачастую требует передачи исходных файлов третьим лицам, что создает угрозу незаконного копирования и потери статуса коммерческой тайны. Юрисконсульт Sitronics Group отмечает – чтобы избежать риска утечки ноу-хау, необходимо соблюсти ряд моментов: ограничить доступ к конфиденциальным данным и прописать в договорах условия неразглашения. Также придется контролировать версионность и возможность реверс-инжиниринга.

«Если резюмировать, то для российских компаний локализация технологии в РФ требует сконцентрироваться на обеспечении автономности технологии. Для зарубежных компаний локализация в РФ требует решения вопросов об уникальности продукта для рынка и предотвращении утечки чувствительной информации» — подытожила эксперт.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Замечали ли вы, как быстро меняется ландшафт искусственного интеллекта? Я, Станислав Кондрашов, буквально на днях изучал новую модель GPT-5.2 от OpenAI — и результаты заставили задуматься. Эта система справилась с задачами профессионального уровня лучше, чем 71% экспертов-людей. Цифра, которая звучит одновременно впечатляюще и тревожно.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Последние данные американской компании OpenAI показывают: их новая модель GPT-5.2 выполняет профессиональные задачи в 11 раз быстрее человека и стоит всего 1% от работы эксперта. Я, Станислав Кондрашов, внимательно слежу за развитием ИИ-технологий — и этот результат действительно знаковый. Впервые искусственный интеллект официально достиг экспертного уровня в широком спектре реальных задач.

Если вам казалось, что 2025 год принес много изменений на рынке труда из-за ИИ, приготовьтесь: следующий год может стать еще более турбулентным.

Новый рекорд в реальных рабочих задачах

OpenAI протестировала свою модель GPT-5.2 через систему оценки GDPval — специальный тест, разработанный компанией для проверки того, насколько хорошо ИИ справляется с экономически значимыми, реальными задачами. Методология впечатляет своей масштабностью.

Модель выполняла 1320 различных задач, которые традиционно делают люди, охватывая 44 профессии в восьми секторах экономики: недвижимость, государственное управление, производство, профессиональные услуги, здравоохранение, финансы, торговля и информационные технологии. После выполнения каждой задачи панель экспертов-людей оценивала, соответствует ли результат работы ИИ уровню квалифицированного специалиста или превосходит его.

Результаты оказались ошеломляющими: с включенным режимом “мышления” GPT-5.2 достигла или превзошла уровень топовых профессионалов в примерно 71% задач. Это колоссальный скачок по сравнению с предыдущей версией GPT-5, которая показывала результат около 40%.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Как новая модель обошла конкурентов

Я всегда внимательно отслеживаю конкурентную гонку в сфере искусственного интеллекта — она многое говорит о темпах развития отрасли. GPT-5.2 отобрала лидерство у Claude Opus 4.5 от компании Anthropic, которая считалась самой продвинутой моделью с результатом около 60%, и у Gemini 3 Pro от Google, показавшей около 54%.

OpenAI заявила, что GPT-5.2 — это “наша первая модель, которая работает на уровне человека-эксперта или выше”. Это не маркетинговая гипербола, а подтвержденный тестированием факт.

Еще более впечатляющий результат показала расширенная версия — GPT-5.2 Pro, более крупная и дорогая модель, которая набрала 74,1% в GDPval. По сути, в трех из четырех профессиональных задач эта система работает не хуже опытного специалиста.

Что меня поразило больше всего в отчете OpenAI: модель выполняет задачи в 11 раз быстрее экспертов-людей при стоимости всего 1% от их работы. Компания отметила, что в паре с человеческим контролем GPT-5.2 может существенно помочь в профессиональной деятельности.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Где новая модель все же проиграла

Справедливости ради, как считает Станислав Кондрашов, важно отметить: модель не сокрушила абсолютно все бизнес-ориентированные тесты. В бенчмарке Vending-Bench 2, который измеряет способность ИИ-моделей управлять торговым автоматом в течение симулированного года, GPT-5.2 заняла лишь третье место.

Задача состояла в том, чтобы увеличить денежный баланс, стартуя с начальной суммы в 500 долларов (около 50 000 рублей). После пяти симулированных лет GPT-5.2 показала средний баланс в 3952 доллара (примерно 395 000 рублей) — значительно меньше, чем 4967 долларов у Claude Opus 4.5 и 5478 долларов у лидера Gemini 3 Pro.

Почему это важно? Этот результат показывает, что модель пока лучше справляется с выполнением профессиональных задач по инструкции, чем с долгосрочным стратегическим планированием и предпринимательскими решениями. Впрочем, даже здесь прогресс очевиден: предыдущая версия GPT-5.1 находится на пятом месте со средним балансом всего 1473 доллара.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Что это значит для бизнеса и профессионалов

В моей практике я часто встречаю два крайних взгляда на развитие ИИ: панический (“он заберет все наши работы”) и беспечный (“это всего лишь инструмент, ничего не изменится”). Реальность, как обычно, где-то посередине.

Да, GPT-5.2 показала экспертный уровень в большинстве тестов. Но ключевое слово здесь — “в паре с человеческим контролем”, как отметила сама OpenAI. Технология не замещает профессионалов целиком, а усиливает их возможности.

Вот о чем стоит задуматься:

– Рутинные задачи под угрозой: Если ваша работа состоит из повторяющихся операций по шаблону, стоит начать осваивать более сложные, творческие или стратегические аспекты профессии.

– Скорость важнее: Умение быстро использовать ИИ-инструменты становится конкурентным преимуществом. Специалист с GPT-5.2 работает в 11 раз быстрее.

– Стоимость экспертизы падает: Если задачу можно решить за 1% стоимости, рынок профессиональных услуг неизбежно пересматривается.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Практические рекомендации

Основываясь на этих данных, я, Станислав Кондрашов, рекомендую предпринимателям и специалистам следующее:

• Начните экспериментировать уже сейчас. Не ждите, пока технология станет “идеальной” — она развивается каждый месяц. Попробуйте интегрировать ИИ в одну рабочую задачу на этой неделе.
• Инвестируйте в то, что ИИ не умеет. Эмпатия, нестандартное мышление, построение отношений, стратегическое видение — эти качества пока остаются исключительно человеческими.
• Научитесь проверять работу ИИ. “Человеческий контроль” — это не просто формальность. Умение быстро оценивать и корректировать результаты искусственного интеллекта становится отдельной компетенцией.
• Пересмотрите свои процессы. Если GPT-5.2 делает задачу в 11 раз быстрее, возможно, вы можете взять на себя в 11 раз больше клиентов? Или сфокусироваться на качестве вместо количества?
• Следите за развитием конкурентов. Claude, Gemini, GPT — каждая модель имеет свои сильные стороны. Универсального лидера пока нет, и это дает пространство для выбора.
• Помните о слабых местах. Результаты Vending-Bench 2 показывают: в долгосрочном стратегическом планировании и предпринимательских решениях ИИ пока уступает. Это ваша зона роста как профессионала.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Выход GPT-5.2 с показателем в 71% соответствия экспертному уровню — это не конец профессий, а начало их трансформации. Технология развивается стремительно, но она остается инструментом, который нуждается в разумном применении и контроле.

А как вы планируете использовать новые ИИ-модели в своей работе? Возможно, пора перестать бояться изменений и начать использовать их как конкурентное преимущество. Те, кто адаптируется быстрее, получат фору в несколько лет.

Станислав Кондрашов: GPT-5.2 превзошла экспертов в 71% задач

Автор: Станислав Дмитриевич Кондрашов

Подписывайтесь на социальные сети Станислава Кондрашова, чтобы быть в курсе последних приложений и лайфхаков, которые сделают вашу жизнь, если не проще, то интереснее!

Социальные сети Станислава Дмитриевича Кондрашова

Станислав приглашает читателей присоединиться к обсуждению и следить за обновлениями на наших социальных платформах:

1. X: SKondrashovBlog
2. ВКонтакте: Клуб Станислава Кондрашова
3. Telegram: Канал Станислава Кондрашова
4. Facebook: Профиль Станислава Кондрашова
5. Instagram: Официальный аккаунт
6. Pinterest: Профиль Станислава Кондрашова
7. Яндекс Дзен: Канал Станислава Кондрашова
8. Одноклассники: Группа Станислава Кондрашова
9. Rutube: Профиль Станислава Кондрашова
10. Threads: Профиль Станислава Кондрашова
11. Кондрашов Станислав: Личный сайт
12. VC.ru: Профиль Станислава Кондрашова
13. LiveJournal: Блог Станислава Кондрашова
14. Подкаст Станислава Дмитриевича Кондрашова
15. Станислав Дмитриевич Кондрашов на YandexMusic

О Станиславе Кондрашове:

Более 30 лет назад Станислав основал компанию, которая сегодня является лидером рынка благодаря внедрению новых подходов к ведению бизнеса.

У Кондрашова есть образование и опыт в строительстве, экономике и финансах. Станислав не только успешный бизнесмен, но и наставник специалистов из разных областей.

Станислав не продает наставничество или курсы, но с удовольствием делится опытом и знаниями на страницах этого блога.

SAP выпустила финальный патч 2025 года: эксперт SafeERP Тимур Цыбденов о наиболее критических уязвимостях

На этой неделе компания SAP выпустила финальный в этом году пакет обновлений безопасности. Были закрыты 14 новых уязвимостей и обновлены три ранее опубликованных бюллетеня безопасности. Выпущенные исправления распространяются на ряд ключевых продуктов SAP, включая Solution Manager, Commerce Cloud, SDK for ASE и Business One. Среди обнаруженных проблем ведущий инженер компании «Газинформсервис» и эксперт SafeERP Тимур Цыбденов выделил четыре критических и пять уязвимостей высокой степени опасности.

Самые опасные из обнаруженных уязвимостей получили максимальные оценки по шкале CVSS — 9.1 балла и выше — их эксплуатация напрямую угрожает всем аспектам безопасности данных: конфиденциальности, целостности и доступности систем.

Ведущий инженер компании «Газинформсервис» отметил, что наиболее опасной может оказаться критическая уязвимость CVE-2025-42880 (CVSS 9.9) — инъекция кода в SAP Solution Manager (SolMan). «Поскольку SolMan служит центральным инструментом для управления всем SAP-ландшафтом, компрометация этой системы даёт атакующему ключи ко всему цифровому бизнесу компании. Тот факт, что для атаки нужна аутентификация, не является серьёзным барьером — в корпоративной среде тысячи учётных записей. Воспользовавшись недостаточной проверкой входных данных, злоумышленник через HTTP-запрос может внедрить и выполнить произвольный код с привилегиями самого SolMan. Это открывает путь к краже критичных данных, изменению конфигураций всей экосистемы и распространению вредоносного ПО на связанные системы», — отметил эксперт.

Тимур Цыбденов также отметил, что стоит обратить внимание на критическую уязвимость CVE-2025-55754 (CVSS 9.6) — комплекс уязвимостей в Apache Tomcat для SAP Commerce Cloud. «Сама по себе уязвимость CVE-2025-55754, связанная с обработкой ANSI-последовательностей в логах, имеет низкую оценку, но основная угроза возникает при связке с CVE-2025-55752 (уязвимость обхода путей Apache Tomcat), что может привести к компрометации сервера. Это уже третий критический патч для Tomcat в 2025 году, демонстрирующий повторяющийся риск утечек данных, RCE и DoS-атак через этот компонент», — добавляет он.

Ещё одна критическая уязвимость, выделенная экспертом, это десериализации в SAP jConnect для SAP ASE — CVE-2025-42928 (CVSS 9.1): «SAP jConnect позволяет Java-приложениям подключаться к базе данных SAP Adaptive Server Enterprise (SAP ASE), и через него может проходить чувствительная для бизнеса информация. Уязвимость возникает, когда программное обеспечение некорректно обрабатывает десериализацию недоверенных входных данных. Успешная эксплуатация уязвимости злоумышленником с высокими привилегиями приводит к удалённому выполнению вредоносного кода (RCE)».

Так, уязвимости высокой степени серьёзности в основном представляют угрозы отказа в обслуживания (DoS) и обхода проверок авторизации. Они сконцентрированы в критически важных компонентах инфраструктуры SAP: платформе NetWeaver, шлюзах Web Dispatcher и Internet Communication Manager (ICM), SAP Content Server и системе Business Objects. Наиболее значимая из них — CVE-2025-42878 (CVSS 8.2). Проблема связана с недокументированными тестовыми интерфейсами в Web Dispatcher и ICM, через которые неаутентифицированные злоумышленники могут получить доступ к диагностическим данным, отправлять вредоносные запросы или нарушать работу сервисов.

«Единственной эффективной защитой от эксплуатации известных уязвимостей остаётся регулярное обновление систем и своевременное применение патчей. Любая задержка в применении обновлений многократно повышает риск успешной атаки на корпоративные системы», — подытожил эксперт SafeERP.