Разработчики НСУДа выложили сразу множество документов по НСУДу непосредственно [1], документов много и мы только приступили к их прочтению. Что видно сразу - писались они не для людей, а для сдачи по госконтракту(-ам) сроки завершения которых у разработчиков как раз в декабре.

Хочется надеяться что про открытые данные они не забыли. Хочется надеяться что результат этой работы будет не бессмысленным. Впрочем - почитаем, посмотрим.

Ссылки:
[1] https://digital.ac.gov.ru/materials/?id=48

#data

Карикатура The Economist о новом российском законе, требующем предустановку на гаджеты отечественное ПО

ЦБ сообщил об отказах банков собирать биометрию. Речь идет об отказе обслуживать граждан, которые не являются клиентами банков. Однако «отсутствие предшествующих договорных отношений с банком, в том числе отсутствие заключенного договора банковского счета, не может являться основанием для отказа в размещении и обновлении в электронной форме в Единой системе идентификации и аутентификации и Единой биометрической системе сведений о клиенте — физическом лице», говорится в письме первого зампреда ЦБ Сергея Швецова
В статье на РБК есть оригинал письма
https://www.rbc.ru/finances/23/12/2019/5e00a8989a79475dad497a62

Китайское правительство поместило Xiaomi и Tencent в список крупнейших компаний в стране, незаконно собирающих личные данные пользователей. Министерство промышленности, информации и технологий (МИИТ) составило список из 41 приложения, которые нарушают национальные законы, касающиеся сбора и перепродажи персональных данных. Эти приложения запрашивают слишком много разрешений, а в некоторых случаях делают процесс отписки довольно проблематичным. https://www.ixbt.com/news/2019/12/23/xiaomi-obvinili-v-shpionazhe.html?utm_source=yxnews&utm_medium=desktop&utm_referrer=https%3A%2F%2Fyandex.ru%2Fnews

По итогам 2019-го года первые три места самых популярных паролей в мире занимают... 12345, 123456 и 123456789. И так из года в год pic.twitter.com/QM89C1H7g3
— Alexey Lukatsky (@alukatsky) December 22, 2019

Вчера в России прошли первые учения по «суверенному рунету». Вернее, шли они несколько дней, а вчера вечером подводились итоги. Вроде как рунет в безопасности (про найденные «дыры» СМИ молчат). Первый из проигранных сценариев был по обеспечению безопасности абонентов сотовой связи, включая защиту персональных данных и возможность перехвата их трафика и SMS, раскрытия сведений об их месте нахождения.
Четыре федеральных оператора связи отрабатывали 18 сценариев атак: 12  — через сигнальные сети протокола SS7 и шесть — через сигнальные сети протокола Diameter,

https://www.rbc.ru/technology_and_media/23/12/2019/5e00beb39a79476b254af87c

«Яндекс» и два крупнейших российских кредитных бюро запустили новый проект по оценке заемщиков — физических лиц: их скоринговый балл может оцениваться в том числе с помощью данных, которые собирает «Яндекс».
Обезличенные данные обрабатываются алгоритмами автоматически и находятся исключительно в закрытом контуре «Яндекса». В аналитических моделях используется более 1 тыс. разноплановых факторов. По итогам анализа партнер получает только одно число — результат оценки», — отметил представитель «Яндекса». Он подчеркнул, что результат не является руководством к действию и не влияет на скоринговый балл, присвоенный БКИ. «Он носит только рекомендательный характер и передается для использования только в маркетинговых целях», — заявили в «Яндексе».

Источник, близкий к одному из участников проекта, пояснил, что кредитное бюро передает «Яндексу» в хэшированном (зашифрованном) виде два идентификатора клиента: адрес электронной почты и мобильный телефон. На основе этих данных система строит модель и выдает цифру — некий процент. Собеседник РБК подчеркивает, что «Яндекс» не может понять, по какому человеку получил запрос, и не передает данные клиентов кому-либо."
А вот с этим мы можем поспорить...))
https://www.rbc.ru/finances/24/12/2019/5e00e2409a79478017f453e6?from=from_main

Во Владимирской области ФСБ задержала сотрудника ПАО «Вымпелком-Коммуникации» (торговая марка «Билайн»), занимавшегося “мобильным пробивом” (подробнее про это явление тут) - копировавшего и продававшего данные абонентов связи. 👍

Сотрудник офиса продаж владимирского отделения компании копировал файлы на свой мобильный телефон и отправлял их знакомому. 🤦‍♂️🙈

Всего он продал конфиденциальные данные из базы три раза: в марте, мае и сентябре.

Обвиняемому предъявлены несколько эпизодов противоправной деятельности по ч.3 ст.272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч.2 ст.138 УК РФ (нарушение тайны телефонных переговоров и переписки с использованием служебного положения).

В декабре уголовное дело направлено в прокуратуру Владимирской области для утверждения обвинительного заключения и направления в суд.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Четкое понимание формулировки «персональные данные» есть у 83% учащихся школ. При этом в прошлом году результат тестирования Роскомнадзора показал всего 43%.
50% школьников устанавливают настройки приватности для своих страниц.
https://iz.ru/958155/2019-12-25/v-roskomnadzore-uznali-otnoshenie-shkolnikov-k-poniatiiu-lichnye-dannye

Статья с Хабра про уязвимости в мобильном приложении «IngoMobile» страховой компании Ингосстрах, которые приводят к утечкам персональных данных (сканы паспортов, ПТС, водительские удостоверения, договора купли продажи и т.д.). 🔥

https://www.pvsm.ru/informatsionnaya-bezopasnost/341168

Накопилось много вопросов к новому закону об электронной подписи.
Сейчас квалифицированная электронная подпись должна использоваться в соответствии с ограничениями, указанными в сертификате ключа подписи, что не позволяет полностью запретить выпуск и использование электронной подписи. В результате сертификаты выпускаются на ничего не подозревающих об этом граждан.
Каким образом усиление требований к аккредитации удостоверяющих центров решит эти проблемы? Означает ли наличие у центра капитала в 100 млн рублей его нежелание увеличивать обороты, а обязанность хранить ключ электронной подписи — отсутствие возможностей использовать эти ключи сотрудниками центров, имеющими к ним доступ, в корыстных целях? Почему нельзя решить вопрос несанкционированного выпуска электронной подписи с самим лицом, уведомляя его о выпуске сертификата на его имя? Почему нельзя стандартизировать технологию выпуска сертификата и ключа к нему, предусматривающую множество качественных степеней защиты, включая каналы передачи данных? Что означает определение достоверности идентификации лица с использованием электронного сервиса, обеспечивающего электронное взаимодействие, кому будет принадлежать этот дополнительный цифровой слой?
https://regnum.ru/news/polit/2817987.html

Переход крупнейших банков в режим экосистем увеличивает нефинансовые риски, в том числе утечки данных, считает глава ЦБ. И думает, как это подрегулировать https://www.interfax.ru/business/689367

Самые крупные утечки данных за последние 10 лет http://win10pro.rbc.ru/article/11-utechek-2010-x

Представлен новый способ обхода двухфакторной аутентификации https://t.co/EIEqnkrz0j
— TAdviser (@TAdviser) December 26, 2019

Рынок данных раздирают противоречия. С одной стороны, государство, обладая данными, не дает бизнесу их использовать. С другой стороны, растет озабоченность граждан по поводу сохранности и легального использования информации о них. Бизнес, торгуя обезличенными данными, находится в серой зоне. Как их разрешить? https://iidx.ru/o-kompanii/novosti/idx-predstavila-pravitelstvu-moskvy-resheniya-po-legalizatsii-rynka-personalnykh-dannykh/

ФАС признала Headhunter (HH) нарушителем закона о защите конкуренции. Нарушение проявилось в блокировании сторонних сервисов подбора персонала, которые пользовались базой HH. «Хедхантер», ссылаясь на свои условия использования сервиса, начал блокировать работодателей, использующих сторонние сервисы по автоматизированному подбору персонала при работе с сервисом по поиску работы, и предлагать взамен собственный сервис со схожим функционалом, - говорится в решении ФАС. https://www.cnews.ru/news/top/2019-12-27_vlasti_zapretili_headhunter_narushat

Кардиолог из Университета Нью-Йорка 27 декабря подал иск в федеральный суд в Бруклине против корпорации Apple за нарушение авторских прав. По его мнению, в часах Apple Watch используется его запатентованный метод отслеживания сердцебиения

https://www.rbc.ru/rbcfreenews/5e0712e59a79474e211c499e

Cтранная история с утечкой данных с портала госуслуг. Вчера «Коммерсант» со со ссылкой на основателя компании DeviceLock Ашота Оганесяна соотющил, что в открытом доступе оказались персональные данные более 28 тысяч пользователей госуслуг в Ханты-Мансийском автономном округе, Можно было узнать их фамилии, СНИЛС, ИНН, номера телефонов и адреса электронной почты. https://www.kommersant.ru/doc/4213775?query=%D1%85%D0%B0%D0%BD%D1%82%D1%8B
«Коммерсант» писал, что данные пользователей могли находиться в открытом доступе более 20 дней, а закрыть утечку стали пытаться лишь 28 декабря.
Между тем, «Ростелеком» (оператор портала госуслуг и ЕСИА) не подтвердил информацию СМИ об утечке персональных данных пользователей единого портала госуслуг. В пресс-службе компании РБК сообщили, что инцидентов, связанных с единой системой идентификации и аутентификации, не выявлено.
https://www.rbc.ru/technology_and_media/29/12/2019/5e08c9979a79473f493668bc

Amazon подала заявку на регистрацию системы определения личности человека по его ладоням.
Сейчас сеть магазинов Amazon Go состоит из 24 пунктов продаж. Первый открылся в начале 2018 года в Сиэтле. Перед входом в магазин покупатель идентифицирует себя на турникете через сканер специального приложения. Дальше датчики и камеры следят, какие товары клиент снял с полок, и включают их в счет. На выходе из магазина платить не надо. Все товары записаны в учетной записи.

В заявке на патент сказано, что сканер будет определять личность покупателя как по внешним деталям на ладонях, так и по тканям под кожей: костям, венам, мышцам. Устройства разместят на входе или выходе из магазина.
https://ko.ru/news/amazon-reshil-zapatentovat-tekhnologiyu-identifikatsii-pokupateley-po-rukam/

⚔Рыцарь утечек

Вчера федеральные СМИ наперебой перепечатывали новость про утечку в Ростелекоме, которую впоследствии опровергли. За валом недовольных комментариев и хором экспертных мнений легко не заметить уши, которые торчат буквально из всех статей про утечки данных за последний год. И уши эти принадлежат основателю и техническому директору компании DeviceLock Ашоту Оганесяну, который чуть ли не каждую неделю оказывается первым, кто сообщает о найденных в сети данных пользователей.

DeviceLock — компания-лидер своего сегмента, она разрабатывает софт для предотвращения утечек с корпоративных компьютеров. По крайней мере, так написано на их сайте. Еще там написано, что в числе клиентов у него Сбербанк, METRO, ЮниКредит и даже Американский Минюст. Однако о такой солидной на первый взгляд компании нет никакой информации, только страница в русской «Википедии», да и она написана самим Оганесяном, что следует из истории правок, рассказал «Нецифровой экономике» партнер slovo.media Тимофей Ватолин. По его словам, статья была создана и редактировалась только людьми из компании, в том числе самим основателем. Исключение — украинский раздел, где её перевели в рамках конкурса.

Как говорит Ватолин, немецкая и французская статья удалены, так как не соответствовали правилам, а в английской версии Оганесян попался на массовой расстановке ссылок на сайт DeviceLock под видом источников, за что попал в черный список «Википедии» (то есть теперь нельзя ставить ссылки на сайт DeviceLock). В русской статье ситуация аналогичная — все источники формальные, а информации взята из головы сотрудников. Странно, что русскоязычная вики-статья не была удалена, но если она попадется кому-то из редакторов на глаза, то непременно исчезнет, подытоживает Ватолин.

В сети также нет никаких отзывов бывших сотрудников, зато практически во всех корпоративных аккаунтах в соц сетях стоит ссылка на Ашота Оганесяна. Он же выступает единственным экспертом от DeviceLock, который дает интервью и рассказывает об утечках. Как рассказывают наши прихожане, Оганесяном движет не альтруизм, а жажда контрактов. Перед заходом в СМИ, как рассказывают жертвы, после нахождения утечки Оганесян обычно приходит к компании, у которой данные утекли, и вымогает контракты на поставку своего софта, угрожая публикациями в СМИ. Так было, например, со Сбербанком в октябре, говорят прихожане. Тогда же «Известия» писали про возможный коммерческий интерес Оганесяна, по данным их источников в Альфа-банке, «Открытии» и Тинькофф-банке, сообщения об утечках появились в СМИ после того, как они отклонили предложение компании DeviceLock.

Ашот Оганесян заявил «Нецифровой экономике», что подобные заявления — «тупая ложь, не имеющая под собой никакого основания». По его словам, он всегда сообщает компаниям об утечках, а потом и иногда про них узнает пресса. При этом предложение заключить с ним договор он отрицает:

«Есть продукт, который свободно продается на рынке. И этот продукт реламируется и может так быть, что в какой-то банк приходило предложение рассмотреть продукт. И потом этот же банк допускал утечку, про которую я писал. Но между этими событиями нет и не может быть связи и более того, реальные такие случаи разнесены во времени более чем на год.»

Он также добавил, что информация подобного рода проплачена «обиженками», которые пытаются «нагадить» компании.