Разрешённые методы обезличивания:
1. Псевдонимизация (ID вместо ФИО)
2. Усреднение (год вместо даты, диапазон дохода)
3. Разделение данных (хранятся отдельно)
4. Перемешивание записей
Запрещено:
- Хранить обезличенные и исходные данные вместе
- Раскрывать методы или «ключи»
- Считать шифрование обезличиванием
- Включать гос. и медицинскую тайну
Обезличивать обязательно, если:
а) Данные больше не нужны в оригинале
б) Передаёте третьим лицам без согласия
в) Публикуете открытые данные
г) Получили запрос от госоргана
д)Используете данные для новых целей (например, ИИ)
е) Работаете с видео/аудио (камеры, голос)
Что делать уже сейчас:
Утвердить политику обезличивания -> Выбрать и документально закрепить методы -> Разделить хранение ПД и обезличенных данных -> Назначить ответственного за взаимодействие с госсистемой -> Обучить персонал и следить за приказом Роскомнадзора (ожидается осенью)

⚖️ За нарушения — штрафы по ст. 13.11 КоАП.

Итог:
Обезличивание больше не опция.
Это — новая норма для бизнеса и госсектора.

Такие данные показал опрос, проведённый одним из ведущих российских вендоров В исследовании участвовали организации разного масштаба — от небольших фирм до крупных коммерческих и государственных структур. По оценке аналитиков компании, основной этап импортозамещения в этом сегменте можно считать закрытым. На горизонте ближайших лет миграцию планируют 28% организаций, и только 12% вообще не собираются переходить на отечественные продукты или намерены сохранить у себя в инфраструктуре большую часть зарубежных решений. Интересно, что компании, которые ещё не сделали выбор, всё чаще смотрят не на «базовые галочки», а на то, как решения ведут себя в реальных условиях эксплуатации. В приоритете — интеграция с другими ИТ-системами, поведенческий анализ и работа с Threat Intelligence, то есть индикаторами угроз и вредоносных активностей. Так же, отдельный фокус — это VPN. Растёт спрос на поддержку ГОСТ-криптографии для Site-to-Site VPN, а для удалённого доступа ключевой фактор — комплаенс-контроль. По данным опроса, такую функцию ожидают 89% организаций.
Что касается способов аутентификации, чаще всего используются логин и пароль (86%), сертификаты на ПК (50%) или USB-токене (43%). Многофакторка пока реже: одноразовые пароли применяют 36% компаний, пуш-уведомления в мобильных приложениях — всего 18%.
Второй важный критерий при выборе решений — надёжность самого вендора. Заказчики всё чаще обращают внимание не только на набор функций, но и на зрелость продукта: качество техподдержки, наличие подробной документации и гибкую систему лицензирования. Именно эти факторы будут определять выбор заказчиков в ближайшие годы. Обращайтесь, подберём отечественное решение под вашу инфраструктуру.

Проблема затрагивает несколько популярных реализаций протокола, включая Apache Tomcat, F5 BIG-IP и Netty, и уже получила общий идентификатор — CVE-2025-8671. Главная опасность в том, что MadeYouReset позволяет обойти стандартное ограничение в 100 одновременных запросов на одно TCP-соединение, которое обычно защищает сервер от перегрузки. С помощью специальным образом сформированных кадров злоумышленник может инициировать тысячи запросов и в некоторых случаях вызвать падение сервера из-за переполнения памяти. Техника основывается на предыдущей атаке Rapid Reset, но при этом полностью обходит защиту от неё. Вместо того чтобы отправлять RST_STREAM кадры от клиента, злоумышленник провоцирует сам сервер отправить их, используя шесть разных способов нарушения работы протокола — например, передачу кадров PRIORITY с неправильной длиной или отправку данных после закрытия потока. Это создаёт ситуацию, когда сервер сбрасывает поток, но продолжает обрабатывать запрос в бэкенде, что приводит к истощению ресурсов. CERT/CC предупреждает: уязвимость вызвана несоответствием между спецификацией HTTP/2 и реальной архитектурой веб-серверов. Эксперты Imperva отмечают, что это ещё одно напоминание о необходимости защищать инфраструктуру от тонких, формально корректных атак. Интересно, что на фоне этой новости компания PortSwigger рассказала о новой волне атак на HTTP/1.1 — так называемых HTTP request smuggling, где за счёт неоднозначности в обработке запросов можно обходить фильтры и захватывать сайты. Эксперты напоминают: HTTP/2 в этом плане куда безопаснее, но он должен использоваться не только на «входе» в инфраструктуру, но и во внутренних соединениях между прокси и серверами.

Причиной стало массовое использование этих каналов кибермошенниками и террористическими структурами — а также отказ компаний-владельцев выполнять требования российского законодательства.
Ведомствоуточняет, что речь идёт только о звонках — текстовая переписка, пересылка файлов и другие функции остаются доступными. Однако ограничения не временные: они будут сняты лишь после того, как зарубежные сервисы начнут сотрудничать с российскими правоохранителями, передавая информацию по подозрительным активностям. На запросы иностранных спецслужб они отвечают, а на запросы из РФ — нет, подчёркивают в Минцифры.
Тем временем система «Антифрод», запущенная в 2024 году, уже успешно блокирует до 90% мошеннических звонков в обычных телефонных сетях. В ответ злоумышленники массово перешли на голосовые вызовы в мессенджерах — именно это и стало поводом для новых мер.