Privacy Advocates
12.9K subscribers
490 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🇱🇺 Правительство Нидерландов рассматривает возможность полного отказа от Facebook (запрещен в России; принадлежит корпорации Meta, признанной в РФ экстремистской) из-за серьезных опасений по поводу того, как платформа обеспечивает безопасность данных.
🔸Переговоры на эту тему с материнской компаний Meta не принесли желаемых результатов. Поэтому власти начали подготовку к запрету Facebook, который затронет все правительство.
🏛️ Общественная организация «Деловая Россия» направила в Госдуму предложения по смягчению ответственности операторов персональных данных за утечки, в частности по уменьшению штрафов на порядок — с 500 млн до 50 млн руб. Также речь идет о том, чтобы разделить ответственность допустившей утечку компании с поставщиком решений в области защиты данных.
🔸Участники рынка кибербезопасности предсказуемо возражают, что за использование их продуктов отвечает оператор данных. Снижение же штрафов, полагают эксперты и депутаты, снизит эффективность мер.
🏛️В 2023 году Управлением Роскомнадзора по Калининградской области проверены 157 интернет-сайтов, на 118 сайтах выявлены признаки нарушений. Операторами чаще всего допускаются следующие нарушения:
🔸неопубликование на сайте документов, определяющих политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных;
🔸документ, определяющий политику оператора в отношении обработки персональных данных не соответствует требованиям п. 2 ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», а именно в нем не определены для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
🔸сбор персональных данных на сайте посредством электронных форм и использования метрических программ (Яндекса.Метрика, Google Analytics) в отсутствии механизма получения согласия на обработку персональных данных.
😱 Телефонные мошенники использовали сгенерированный голос председателя Заксобрания Красноярского края Алексея Додатко при попытке обмана людей.
🔸"Жулики, представляясь моим именем (и моим голосом), под видом специальной операции по выявлению каналов финансирования ВСУ, предлагали взять кредит в банке и передать им денежные средства. Помимо моего сгенерированного голоса, преступники располагали персональными данными, сведениями о банковских счетах людей, которых пытались обмануть", - написал Додатко, добавив, что такая попытка была пресечена "благодаря бдительности коллег-депутатов и оперативным действиям правоохранителей".
🏛️ Банкиры отмечают задержки с получением биометрических векторов из Единой биометрической системы (ЕБС) при обслуживании клиентов. Они предлагают установить норматив длительности ответа на запрос вектора не более минуты. В Центре биометрических технологий (ЦБТ, оператор ЕБС) и Минцифры наличие проблемы отрицают. В ЦБТ считают регламентирование излишним и затратным для самих участников рынка.
🔸«Коллеги замечают, что вектора приходят с задержкой, иногда день-два»,— говорит один из собеседников “Ъ”. По оценке другого источника “Ъ”, проблема может быть связана с производительностью в части криптографической защиты данных.
🏛️ К внесению в Госдуму подготовлен правительственный законопроект, который предписывает сайтам-агрегаторам авиа- и железнодорожных билетов и компаниям, предоставляющим сервис бронирования отелей, раздельно предъявлять туристам пользовательское соглашение и соглашение об условиях конфиденциальности, то есть обработки персональных данных. Эта законодательная инициатива обеспечит прозрачность последней процедуры.
🔸Проблема сбора избыточных сведений о гражданах плодит «цифровые профили» о каждом человеке, а утечки личных данных приводят к серьезным последствиям. Чем меньше информации сообщает о себе гражданин, тем выше его безопасность в цифровом пространстве, добавил член Комитета по информационной политике, информационным технологиям и связи Антон Немкин.
😱 Telegram стал главной площадкой для интернет-мошенничества в России. К такому выводу пришли эксперты Angara Security, проанализировав киберинциденты за последний год.
🔸В 2023 году мошенники стали чаще использовать различные схемы в мессенджере. Так, на 39% выросло число запросов на покупку аккаунтов, которые использовались для атак от имени людей, имеющих авторитет для собеседника. При этом преступники могли подделывать фамилию, имя и ставить на аватар фото нужного человека.
🔸По подсчетам аналитиков, за год спрос на базы данных, содержащие персональные данные (e-mail и телефоны) пользователей банковских и медицинских услуг, паспортные данные граждан в Telegram, вырос на 19%. Ряд запросов содержал требования к более глубокой детализации, например городу проживания, информации о заболеваниях, числу проживающих в одном доме или квартире.
🔸При этом объем предложения баз данных тоже вырос — на 29%, что коррелирует с цифрами Роскомнадзора. В 2023 году ведомство зафиксировало 168 утечек персональных данных граждан РФ, которые содержат 300 млн записей. Если в 2022 году публичные утечки и похищенные базы данных распространялись на специализированных теневых форумах, то в 2023-м одной из самых востребованных площадок стал именно Telegram.
Криптобиржа Binance опровергла сообщение об утечке данных пользователей, верифицированных на платформе, и их продаже в даркнете.
🔸Ранее криптодетектив Оtteroooo разместил в своем аккаунте в социальных сетях скриншот объявления с одного из форумов в даркнете, в котором сообщается о продаже персональных данных пользователей Binance, включая их имя, страну и телефонный номер. В объявлении говорится, что достоверность данных может быть легко подтверждена попыткой войти на binance.com под номером телефона пользователя.
🔸В ответном сообщении Оtteroooo биржа Binance опровергла утечку данных пользователей и заявила, что средства пользователей находятся в безопасности.
This media is not supported in your browser
VIEW IN TELEGRAM
💡Ролик с примером избыточной обработки персональных данных:
- Вы не могли бы дать нам некоторую информацию о себе для базы данных?...
🇸🇬 Уничтожены персональные данные, собранные правительством Сингапура во время пандемии COVID-19
🔸Для отслеживания контактов людей использовалась система под названием TraceTogether. Её предписывалось установить на мобильные устройства и дать приложению разрешение на использование Bluetooth. Вместо смартфонов использовались также носимые Bluetooth-токены. Информация о том, кто находился рядом с человеком и на каком расстоянии (оно определялось силой Bluetooth-сигнала), собиралась централизованно оператором системы. Если фиксировался близкий контакт с тем, у кого обнаружили вирус, в отношении потенциально инфицированных принимались некие административные меры.
🔸Для страны, где приняты драконовские методы поддержания общественного порядка, такая история неудивительна. Но когда выяснилось, что данные TraceTogether использует полиция – с идеей облегчить раскрытие преступлений, – это оказалось перебором даже для Сингапура.
🔸Сообщается, что собранные TraceTogether данные удалены полностью, за одним исключением. Полиция благодаря доступу к базе данных TraceTogether раскрыла убийство, и всё, что к этому убийству относится, будет храниться неопределённо долго, по официальным сведениям – на случай дальнейших судебных разбирательств, а фактически на всякий случай.
Операторы данных и владельцы экосистем все чаще предлагают клиентам усилить кибербезопасность, в том числе за отдельную плату. Среди новых сервисов — дополнительная защита персональных данных и мониторинг изменений кредитной истории, которые предоставляют МТС и «Сбер». Но в основном игроки реализуют решения по определению номеров, борьбе с телефонным мошенничеством и спамом. У операторов связи они дополняют функционал госсистемы «Антифрод».
🔸Эксперты считают, что востребованность сервисов будет расти, а их включение в подписки может принести оператором миллиарды рублей дополнительных доходов в месяц.
🏛️ Сенаторы разработали законопроект о страховании утечек данных, сообщил член Комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин. По его словам, документ в ближайшее время будет направлен на отзыв в кабмин.
🔸«Оператор при обработке персональных данных обязан иметь финансовое обеспечение для возмещения морального и имущественного вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона», — говорится в тексте документа.
🏦 Банк России планирует с 01.04.2024 обязать кредитные организации предоставлять детализированную информацию о покупках населением золотых слитков, такие данные нужны для выявления подозрительных операций с драгметаллами.
🔸Согласно проекту документа ЦБ, банки в отчетности регулятору об объемах реализации физлицам золота в слитках должны указывать персональные данные клиентов, в том числе ФИО, ИНН и документы, удостоверяющие личность. Также регулятор ответил отказом на предложение банков исключить из отчётности необходимость раскрывать персональные данные клиентов, покупающих золото, чтобы защитить их конфиденциальность.
💡(Не)предсказуемые тренды информационной приватности: Дивный новый мир
🏦 Российские банки хотят обязать вносить данные о покупке бриллиантов у граждан в специальную госсистему
🔸Обязанность для российских кредитных организаций вносить данные о сделках с бриллиантами в Государственную интегрированную информационную систему драгоценных металлов, камней и изделий из них (ГИИС ДМДК) планируется ввести с 01.09.2024.
🔸В кабмине указывают на отсутствие корректных данных о «драгоценных» сделках банков с физлицами, что искажает данные оборота ювелирных изделий в стране. Еще одной проблемой отрасли, по мнению кабмина, является некорректное отражение фактов оборота, вызванное продажей ювелирных изделий ‎с головного офиса, а не из конкретного обособленного подразделения магазина розничной торговли.
🇲🇫 Хакеры похитили персональные данные 33 млн французов в результате кибератаки против компаний Viamedis и Almerys, предоставляющих населению услуги в области медицинского страхования. Об этом говорится в коммюнике Национальной комиссии Франции по информационным технологиям и гражданским свободам (CNIL).
🔸Отмечается, что реквизиты банковских счетов, медицинские данные и информация о компенсациях за медицинские услуги не были похищены.
🏦 IТ-рынок опасается роста затрат на обработку сведений с банковской тайной
🔸Обсуждаемый в Госдуме законопроект, который позволит банкам передавать на аутсорсинг разработку IT-решений и хранить данные с банковской тайной в облачных сервисах, может «существенно увеличить издержки» IТ-компаний малого и среднего звена и «подорвать конкуренцию на рынке в пользу больших игроков». Об этом говорится в письме Российской ассоциации электронных коммуникаций, АРПП «Отечественный софт» и Ассоциации предприятий компьютерных и информационных технологий (АПКИТ), направленном 2 февраля главе комитета Госдумы по финансовому рынку Анатолию Аксакову («Справедливая Россия»).
🔸Законопроект был внесен в Госдуму в июле 2023 г. группой депутатов во главе с Аксаковым и несколькими сенаторами, среди которых зампред Совета Федерации Николай Журавлев. Проект также наделяет Банк России полномочиями по установлению обязательных требований как к порядку привлечения поставщиков услуг по предоставлению IТ-сервисов в указанных формах, так и непосредственно к их информационным системам.
🇬🇧🇲🇫 Великобритания и Франция организовали международную конференцию, посвящённую «решению проблем вокруг использования инструментов и сервисов для несанкционированных проникновений в киберпространстве».
🔸На конференции принята декларация, которая запускает «процесс Пэлл-Мэлл» (Pall Mall Process). Его задача — установить основополагающие принципы и указать на варианты мер для государств, отрасли, гражданского общества в отношении разработки, содействия, покупки и использования «коммерчески доступных возможностей для кибервзлома».
🔸При этом признаётся необходимость «легитимной и ответственной разработки и применения» таких возможностей. Точные критерии ответственного использования участникам Pall Mall Process ещё предстоит выработать.
🔸Однако по итогам конференции её делегаты точно определились, в каких случаях взламывать устройства безответственно. Например, подобные инструменты и сервисы не должны разрабатываться и использоваться так, чтобы представлять угрозу стабильности киберпространства, правам человека и фундаментальным свободам. Кроме того, инструменты, по мнению участников мероприятия, не должны применяться без надлежащих защитных механизмов и надзора.
🏛️ Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов — инициативу, которая содержится в рассматриваемом Госдумой законопроекте об усилении ответственности за нарушение порядка обработки персональных данных. Соответствующее письмо Национальный совет финансового рынка (НСФР) совместно с финансовыми организациями направил в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову.
🔸Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн руб. «Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — говорится в письме НСФР. Там предлагается установить штрафы за повторные утечки на фиксированном уровне — от 15 млн до 30 млн руб. в зависимости от категории данных.
🔸Если решение об установлении оборотных штрафов все же будет принято, то НСФР в качестве альтернативы предлагает установить их в размере до 3% минимального размера уставного капитала. Банки также предлагают отменить повышение штрафов за нарушение работы с персональными данными.
🔸Участники финансового рынка также просят предусмотреть, что ответственность наступает не за любую утечку персональных данных, а за утечку, которая стала следствием неисполнения банком либо любой другой компанией, которая работает с данными, установленных требований по информационной безопасности.
🔸НСФР также считает, что нужно установить срок вступления законопроекта в силу спустя один год после его публикации вместо предложенных авторами инициативы 30 дней.
📬 Персональные данные волгоградцев массово разослали по почте
🔸Житель областного центра получил почтовое извещение, на обратной стороне которого были указаны адреса десятков людей. Он признался, что первым делом подумал о том, что такой информацией могут воспользоваться мошенники.
🔸В региональном УФПС прокомментировали инцидент.
- Это абсолютно недопустимая ситуация, мы приносим клиентам свои извинения, — сообщили в пресс-службе.
🫠 В ведомстве пообещали, что научат сотрудников работать, соблюдая закон «О персональных данных».
🏛️Минцифры России изучает возможные меры поддержки в части развития и масштабирования биометрических технологий идентификации и аутентификации личности. В министерстве запланировали совещание по этому вопросу в середине февраля.
🔸Свое участие в совещании подтвердила ТАСС компания VisionLabs, которая специализируется на создании решений в области распознавания лиц и объектов. Гендиректор VisionLabs Дмитрий Марков рассказал, что сейчас схема подключения объектов критической инфраструктуры к Единой биометрической системе - сложная, она нуждается в доработке. Эта схема требует "внушительных" вложений.
🔸"Также есть вопросы в части правового регулирования таких сценариев, как работа с черными списками, детекция мошенников и шоплифтеров, и отсутствия в НПА разграничения понятий "видеоаналитика" и "биометрия", - добавил топ-менеджер.