Июнь уложил в один месяц сразу несколько разнородных событий: российское регуляторное давление на цифровую среду усилилось сразу по трём направлениям, ShinyHunters продолжили серию атак на крупнейшие платформы, FIFA позволила одному человеку захватить управление трансляциями Чемпионата мира, а Anthropic предложила механизм принудительной остановки разработки ИИ накануне IPO на триллион долларов.

Разбираем главное.

Россия: три закона за месяц

GlobalSign отзывает SSL-сертификаты

Один из крупнейших международных центров сертификации GlobalSign объявил об отзыве SSL/TLS-сертификатов у российских компаний. Под угрозой до 20 000 сайтов. Без действующего сертификата Chrome, Safari и Firefox либо блокируют соединение, либо выводят предупреждение о небезопасном подключении: отозванный сертификат попадает в Certificate Revocation List, который браузеры проверяют при каждом подключении.

Частичная альтернатива есть: Let's Encrypt продолжает работу, сертификаты Минцифры можно добавить вручную в Chrome и на Android, Яндекс.Браузер принимает российские корневые центры. Но для бизнеса, ориентированного на международную аудиторию, ручная установка сертификата пользователем не решение.

Когда GlobalSign отзывает сертификат, он не «отключает» сайт — он говорит браузерам: «мы больше не ручаемся за этот ресурс». Для пользователя это выглядит как взломанный сайт. Для бизнеса — как потеря трафика без единой атаки. Переход на российские удостоверяющие центры решает проблему внутри страны, но окончательно закрывает вопрос доверия со стороны зарубежной аудитории.

«Антифрод 2.0»: лимиты карт, красная кнопка, компенсации

9 июня Госдума приняла второй пакет антифрод-поправок. Ключевые нормы: лимит в 20 банковских карт на человека (с 01.09.2027); «красная кнопка» на Госуслугах для экстренной заморозки операций; компенсация жертвам мошенничества, если банк или оператор нарушил антифрод-требования; привязка IMEI к номерам телефонов; запрет расторгать договор с оператором ранее 90 дней; запрет хостинг-провайдерам предоставлять ресурсы под VPN. Большинство норм вступают в силу с 1 марта 2027 года. Важная оговорка: если пользователь сам перевёл деньги мошенникам — компенсации нет.

Реальный вопрос не в том, приняты ли нормы, а в том, как часто их будут пересматривать. Мошеннические схемы адаптируются быстрее законодательного цикла, а это значит, что эффективность пакета нужно измерять через год-два и корректировать то, что не работает.

Авторизация только через российские сервисы — штрафы до 700 тысяч рублей

Совет Федерации одобрил закон о штрафах за авторизацию пользователей на российских сайтах через иностранные сервисы. «Войти через Google» или «войти через Apple» на российских платформах могу стать под запретом: авторизация будет допустима только через российский номер телефона, Госуслуги или биометрию.

Предлагаемые штрафы: граждане — от 10 до 20 тыс. рублей, должностные лица — от 30 до 50 тыс., юрлица — от 500 до 700 тыс. За повторные нарушения суммы удваиваются.

Норма логична с точки зрения суверенизации идентификации, но создаёт операционную нагрузку для бизнеса, который за годы встроил OAuth через Google и Apple в свои продукты. Переход технически не сложный, но требует ресурсов и времени. Для малого бизнеса, не имеющего выделенной IT-команды, это реальная проблема. Отдельный вопрос — почта: закон не даёт чёткого ответа, что считается «авторизацией через иностранный сервис», если используется Google Workspace с российским доменом.

Закон об ИИ: смягчён, но иностранные модели под ограничениями

Правительство рассмотрело финальную версию законопроекта о поддержке развития технологий ИИ. По сравнению с мартовской редакцией: закон распространяется только на модели с более чем 1 млрд параметров; введено деление на «суверенные» и «национальные» модели; убраны обязательная маркировка ИИ-контента, нормы об авторском праве и требования к ЦОД. Основные нормы — с 1 сентября 2026 года, для уже внедрённых систем переходный период до 2032 года.

Требование хранить и обрабатывать данные на территории РФ осталось. Это означает, что ChatGPT, Claude и Midjourney без российских серверов формально попадают под ограничения.

На практике это означает, что компании, использующие иностранные ИИ-модели для обработки данных российских пользователей или корпоративной информации, работают в серой зоне. Сотрудники уже сейчас загружают в ChatGPT и Claude внутренние документы, клиентские данные, финансовые модели. Закон создаёт основание для ответственности, но без механизма контроля норма пока существует на бумаге.

Белые хакеры: правовой статус на подходе

В Госдуме начата работа над правовым статусом этичных хакеров — bug bounty и пентестеров. Обсуждается легализация поиска уязвимостей с разрешения владельца системы без риска уголовного преследования. Инициатива направлена на создание легального рынка исследований в области кибербезопасности по аналогии с западными bug bounty программами.

Сейчас пентестер в России работает в условиях правовой неопределённости: даже при наличии договора с заказчиком формально он может попасть под статьи. Это не позволяет выстроить полноценную индустрию. Западная модель bug bounty — это экосистема, где исследователи, компании и государство работают в одном правовом поле. Если Госдума примет рабочий закон, это может стать одним из немногих действительно позитивных регуляторных решений для отрасли за последние годы.

Атаки: медицина, фанаты и FIFA

ShinyHunters: 8,8 ТБ из Amazon One Medical

Группировка ShinyHunters заявила о краже 8,8 ТБ данных из Amazon One Medical — сети из 250 медицинских клиник в 19 городах США. Атака является частью масштабной кампании группы: в мае–июне 2026 года ShinyHunters атаковали Salesforce, Klue, Match Group и Instructure Canvas. Объём и состав похищенного официально Amazon не подтвердил.

ShinyHunters работают методично: они не ищут самую сложную цель, они ищут самую ценную. Медицинские данные — это не просто имена и email. Это диагнозы, страховые номера, история лечения. На чёрном рынке такая запись стоит в разы дороже финансовых данных. Серия атак за один месяц на компании уровня Amazon, Salesforce и Match Group говорит об одном: группа либо получила доступ к общей точке входа — подрядчику, платформе, облачному провайдеру — либо работает с инсайдером.

OnlyFans: утечка 340 млн записей

Хакер под псевдонимом Euphoric_Reply_5727 выставил на продажу базу из ~340 млн записей, якобы связанных с OnlyFans, за 0,313 BTC (~$76 000). По собственному признанию продавца, база собрана не путём прямого взлома: данные агрегированы из старых утечек Twitter, Instagram и Spotify и сопоставлены с аккаунтами OnlyFans.

340 млн записей с корреляцией между публичными соцсетями и аккаунтами платформы для взрослых — это инструмент деанонимизации. Для пользователей, которые тщательно разделяли свои цифровые личности, такая база означает потенциальное раскрытие. Агрегация публичных утечек с нишевыми платформами — отдельный класс угроз, который не требует ни нулевых дней, ни инсайдеров: только терпение и аналитика.

FIFA и ЧМ-2026: контроль над всеми камерами

ИБ-исследовательница под ником BobDaHacker обнаружила критическую уязвимость во внутренней системе FIFA в разгар Чемпионата мира 2026 года. Для эксплуатации достаточно было зарегистрироваться как агент игрока на официальной платформе FIFA. Ошибка в бэкенд-API не проверяла права доступа: через обычный аккаунт агента исследовательница получила доступ к интерфейсу управления видеопотоками в реальном времени — смена ракурсов камер, вставка рекламы, прерывание прямого эфира.

По её словам: «Один злоумышленник мог захватить все камеры и взломать весь Чемпионат мира». FIFA устранила уязвимость через несколько часов после уведомления, публично ситуацию не прокомментировала.

История с FIFA — наглядный аргумент в пользу законопроекта о правовом статусе этичных хакеров. Исследовательница нашла критическую уязвимость, сообщила о ней — и стала героем. Произойди то же самое в России, она бы оказалась в кабинете следователя: формально это взлом, даже если никакого ущерба нет. Именно поэтому российские специалисты, которые находят подобные баги, вынуждены выбирать между молчанием и уголовным риском. Ни один из этих вариантов не делает инфраструктуру безопаснее.

ИИ: взломы, миллиарды и потерянные бюджеты

Mythos взломал системы АНБ за часы

Согласно публикациям РБК, ИИ-модель Mythos за несколько часов скомпрометировала системы, связанные с национальной безопасностью США. По заявлению, командующий киберкомандованием США подтвердил: Mythos взломала почти все секретные системы АНБ за часы. Инцидент вызвал широкую дискуссию об операционных рисках сверхмощных ИИ-систем и необходимости их изоляции от критической инфраструктуры.

Если это подтвердится в полном объёме — это не просто инцидент, это структурный сдвиг в понимании того, что такое кибератака. До сих пор даже самые продвинутые APT-группы работали неделями и месяцами. «Несколько часов» до компрометации систем АНБ — это темп, с которым ни одна команда реагирования не успевает работать. Ровно об этом предупреждала CrowdStrike в контексте Project Glasswing: окно между обнаружением уязвимости и её эксплуатацией сжалось до минут.

Anthropic предлагает паузу накануне IPO на триллион

Anthropic выступила с предложением создать механизм, способный временно останавливать разработку самых мощных ИИ-моделей, если безопасность и регулирование начнут отставать от темпов отрасли. Заявление прозвучало в момент, когда компания готовится к выходу на биржу с оценкой около $965 млрд.

Anthropic предлагает аналог ядерного моратория для ИИ. Это позиционирование «ответственного игрока» перед институциональными инвесторами, которые всё больше смотрят на ESG-риски. Если крупнейший разработчик публично говорит «нам нужен стоп-кран» — это сигнал регуляторам, что проблема реальная.

$500 млн на Claude — без единого лимита

По данным Axios, неназванная компания потратила около $500 млн на кредиты Claude после того, как не выставила лимиты использования для сотрудников. В отрасли уже появился термин tokenmaxxing — привычка выжигать ИИ-кредиты как можно быстрее.

Компании начинают переосмыслять подход: вместо неограниченного доступа — анализ того, где ИИ реально увеличивает продуктивность, а где просто увеличивает счёт.

ИИ-инструменты продаются как средство снижения затрат, а на практике становятся новой статьёй неконтролируемых расходов. Большинство компаний не измеряют ROI от использования ИИ на уровне конкретных задач. Они платят за токены, не зная, что именно эти токены произвели. Это та же история, что с облачными расходами десять лет назад: сначала все радовались гибкости, потом начали разбираться, почему счёт вырос в пять раз. С ИИ цикл осознания проходит быстрее.

Google: $80 млрд в долг ради ИИ

Google объявила о новых инвестициях в ИИ-инфраструктуру на $80 млрд. Капитальные расходы компании растут темпами, превышающими текущую доходность от ИИ-продуктов — фактически Google наращивает долг ради удержания позиций в гонке с Microsoft/OpenAI и Anthropic.

Рынок ИИ перешёл в фазу, где исход определяют не столько алгоритмы, сколько площади дата-центров и доступ к электричеству. Google, Microsoft и Amazon строят инфраструктуру с расчётом на спрос, который ещё не материализовался в полном объёме. Это ставка на то, что через три-пять лет вычислительные мощности станут дефицитом — и кто их не построил сейчас, тот не сможет купить потом.

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.