🤥 Арестованный представитель компании Аэрофлот Дмитрий Федоткин не признает вину в госизмене и работе на британские спецслужбы в 2018-2019 гг.
Федоткин имел доступ к персональным данным всех пассажиров авиакомпании и маршрутам их передвижения по России и зарубежом, и мог передавать их британской разведке.

Любопытное интервью эксперта по ИТ-безопасности. Откровений немного, но целостная картина складывается.

Что может сделать условный грабитель, имея Ф. И. О., номера банковской карты клиента и телефон? Массовый способ мошенничества за последний год — звонки от мнимого кол-центра. Вам сообщают, что ваши деньги куда-то только что пытались перевести, и предлагают помощь. При этом мошенники оперируют данными, которые должны быть известны только банку. Это пример фишинга в реальной жизни: клиента банка подводят к тому, чтобы он вошел в систему и перевел деньги на какой-то, условно, «резервный» счет.

Вторая часть вопроса — можно ли перевести деньги, не имея доступа к телефону клиента. На самом деле получить к нему доступ проще, чем думают многие. Например, если телефон заражен RAT (инструмент удаленного управления), то есть в нем установлена программа удаленного доступа к телефону, она может перехватывать СМС и другие сообщения, показывать, на какие сайты вы заходите, и т. д. Попадает на телефон такая программа так же, как и любая другая: переходите по присланной кем-то ссылке, она вас куда-то перенаправляет, а в это время на телефон устанавливается программа. Кстати, в последнее время мнимые «кол-центры» предлагают клиентам банков поставить на телефон вполне легальную программу удаленного управления, например TeamViewer. Под предлогом того, что «не волнуйтесь, мы сейчас за вас все сделаем». Ну а дальше проводят за клиента определенные операции в его «Клиент — банке».

Еще один способ получить доступ к вашему телефону — перевыпустить вашу сим-карту под предлогом ее утери. Делается это по подложной копии паспорта, где на ваше фото наклеивается фото злоумышленника, и с привлечением менеджеров телефонной компании или сотового ритейла. Это редкие случаи, но они имеют место.

— Но ведь если сим-карту перевыпускают, то оригинал блокируют. Абонент же это заметит.

— Но у злоумышленников будет время, чтобы успеть списать деньги со счета. На это нужно 3—4 минуты.
https://www.banki.ru/news/daytheme/?id=10936689

ЕГИСЗ будет собирать обезличенные данные из электронных медицинских карт. Правительство подготовило соответствующий проект постановления. Будет создана Федеральная интегрированная электронная медицинская карта. Права, речь об этом уже идет как минимум десяток лет...

​​Смартфоны Android тайно связываются с Google через сотовые данные 16 раз в час👀

В четверг Google был привлечен к суду за кражу данных пользователей Android. В жалобе утверждается, что Google без разрешения использует сотовую передачу данных Android для передачи информации о пользователях.🤔

«Незаконное присвоение Google разрешений на передачу данных по сотовой связи Истцов посредством пассивной передачи происходит в фоновом режиме, не является результатом прямого взаимодействия Истцов с приложениями и ресурсами Google на их устройствах и происходит без согласия Истцов»

Android устройство со всеми закрытыми приложениями передавало данные в Google примерно 16 раз в час или примерно 389 раз за 24 часа.😳

Утверждается, что большая часть передаваемых данных — это файлы журналов, в которых записывается доступность сети, открытые приложения и показатели операционной системы

Google отказался от комментариев.🤷🏼‍♀️

МВД строит планы (как всегда многомиллиардные) по поимке преступников при помощи ИИ. В их «дорожной карте», в частности, указано, что в 2023 году МВД приступит к опытно-конструкторским работам по созданию конкретного софта — для поиска серийных преступников и для «определения индивидуальных анатомических признаков человека, полученных из биологического материала с мест совершения преступлений».
Впрочем предыдущий большой ИТ-проект — единую интеллектуальную систему обеспечения деятельности (ИСОД) — МВД так и не доделало, а против его исполнителей завели уголовные дела. Которые, впрочем, были прекращены

1. ДИТ хочет защитить данные биометрии от утечек - https://t.co/jGrkeHHRvZ Но к этой прекрасной инициативе у меня есть вопрос. Если они борятся с утечками от полицейских, то как шифрование в канале поможет с этим бороться?
— Alexey Lukatsky (@alukatsky) November 15, 2020

​​Минцифры обяжет операторов блокировать телефонных мошенников?

Министерства цифрового развития, связи и массовых коммуникаций России подготовили законопроект, который обяжет операторов связи блокировать подобные звонки на уровне сетей. Чтобы реализовать задуманное, операторам придётся установить системы противодействия фроду. При этом организовать надо всё таким образом, чтобы абоненты смогли жаловаться на спам и мошенничество.

​​😕 Изменения в 152-ФЗ об общедоступных ПДн

В Государственную Думу внесён сумбурный (трудно читаемый и также сложно воспринимаемый) законопроект «О внесении изменений в Федеральный закон «О персональных данных» в части установления особенностей обработки общедоступных персональных данных».

❗️Проектом предполагается:

➡️ Установить, что ПДн могут быть сделаны общедоступными на основании отдельного согласия.
—————————————————————
И это несмотря на то, что не так давно в ГД уже вносился законопроект о внесении изменений в Федеральный закон «О персональных данных», которым предполагалось установить, что оператор ПДн должен получать одно согласие на несколько целей обработки ПДн.
————————————————————
⚠️ При этом отсутствуют указания на то, что это должно быть письменное согласие.

➡️ Что согласие на обработку общедоступных ПДн может быть подано через некую информационную систему РКН.

➡️ Что в согласии субъект ПДн может установить запрет на передачу общедоступных ПДн и их обработку неограниченному кругу лиц, кроме предоставления к ним доступа.

Правительство выпустит мобильное приложение «Стопкоронавирус. Мои контакты». Оно будет отслеживать контакты россиян с заболевшими COVID-19. Приложение будет отслеживать мобильные устройства поблизости и предупреждать пользователя, если у кого-то из тех, кто был в радиусе десяти метров от него, обнаружат коронавирус. При этом информацию о самих пользователях власти обещают не собирать . https://meduza.io/feature/2020/11/17/pravitelstvo-vypustit-mobilnoe-prilozhenie-stopkoronavirus-moi-kontakty-ono-budet-otslezhivat-kontakty-rossiyan-s-zabolevshimi?fbclid=IwAR1kJxqKkhA7g88AqyBqLTkkW5ptuJ_Y1_XmxOoCkMbAhaXBTughYAixsX4

Введённый президентским указом в состав Совета по правам человека IT-предприниматель Игорь Ашманов займется в первую очередь защитой прав граждан в «цифровой среде»: правом на тайну частной жизни, защитой персональных данных и защитой от цифровой дискриминации, запретом на принятие решений о людях автоматическими системами.
cообщают «Открытые медиа»

Мягко говоря странный законопроект депутата Горелкина, предписывающий бизнесу спрашивать разрешение у граждан на использование общедоступных персональных данных, получил поддержку Роскомнадзора.

Управляющий директор группы компаний "Яндекс" Тигран Худавердян в интервью РБК о ПД:
Данные — кому они принадлежат, как их сохранять, как их оберегать — это одна из проблематик в мире. И мы для себя сформулировали принципы отношения к этому — зачем мы собираем данные и что мы с ними имеем право делать, а что нет. Смысл этих принципов заключается в следующем: данные мы собираем только для того, чтобы сделать для пользователей сервис лучше. И это такое общее описание, в некотором смысле конституционное для компании.

— Но в ваших же принципах есть лукавство: сейчас данные никто не продает, но компании — их обладатели — делятся же между собой ими. В обезличенной форме, конечно, но есть data-брокеры, которые собирают эти ID, потом за счет этого создается таргетированная реклама и т.д.

— Вот именно этим мы не занимаемся. Например, вы заходите через «Яндекс.Навигатор», чтобы посмотреть пробки. По сути, пробки рисуются благодаря тому, что висит ваш телефон в машине, передаются данные о том, как быстро вы едете или как долго стоите на месте. Дальше к этим данным получают доступ радиостанции, телеканалы, какие-то компании и т.д. Является ли это продажей персональных данных? Нет. Это совершенно агрегированное число, которое мы построили на том, что пользователь присылает нам свои обезличенные треки. Но никаким образом эти данные не привязаны ни к конкретному человеку, ни к группе людей. Но, если речь идет о том, чтобы продать какие-то данные, чтобы вам потом в соседнем банке выдали бы кредит или сделали хорошее предложение в телеком-операторе, — эти данные мы не продаем.

Из-за этого отказались от проекта по анализу платежеспособности россиян на основе своих данных?

— Именно поэтому. Это был эксперимент внутри компании. Мы обсуждали: попробовать или нет. И приняли решение, которое потом признали ошибочным. Если абстрагироваться от проблемы данных, цель в целом хорошая — человек может получить лучшую ставку по кредиту, потому что банк узнает больше информации. Все очень просто. Если о вас ничего не известно, то вы получаете максимальную ставку, которая возможна. Дальше каждый новый бит информации улучшает ваши позиции относительно этого значения.
Но потом возник вопрос: можно ли переступать эту черту — делиться такими данными? Ведь мы окажемся в состоянии, когда в некотором смысле уже будет сложно себя дальше остановить. Это будет означать, что будут возникать другие сервисы, в которых мы будем делиться пользовательскими данными. Нам сложно было принять решение о закрытии проекта, потому что это все-таки бизнес-возможность потенциальная, с выручками банковского сектора. Банки были готовы платить большие деньги за возможность проводить скоринг пользователей. На самом деле благодаря, в частности, этому инциденту, у нас сформулировался принцип — что мы делаем с данными и что мы не делаем. Если взамен этих данных мы улучшаем свои сервисы — мы данные собираем. Если результат этого действия связан с их передачей — мы этого не делаем. Этот бассейн [«Яндекса»] эти данные не должны покинуть.

Организации ЖКХ смогут подавать в суд на должников даже без их персональных данных

Хакеры решили "кинуть" мошенников. На хакерских форумах активизировались продажи крупных российских баз данных, скомпилированных из открытых источников: за последние три дня выставлены база данных ГУ МВД за $790, база российских паспортов за $500 и базы паспортов жителей российских регионов. Продавцы собирают данные из разных источников на основе старых баз данных или генерируя их с помощью алгоритмов.

Глава ФНС в огромном интервью Ъ рассказывает, как его ведомство превращается в поставщика данных. https://www.kommersant.ru/doc/4576968?from=main_2

Россияне смогут оформлять покупку sim-карты дистанционно, без посещения салона оператора связи; соответствующие поправки в закон "О связи" внесены на рассмотрение Госдумы. Для идентификации будут использоваться ЕСИА и ЕБС.
Роскомнадзор планирует получить полномочия по мониторингу деятельности оператора связи по проверке достоверности внесенных при покупке sim-карт сведений об абонентах. Если обнаружится, что сведения об абоненте не соответствуют действительности, sim-карта будет подлежать отключению.
Законопроектом также вводится понятие идентификатора мобильного устройства (IMEI). Абонент получит право внести его в учетную запись в ЕСИА. При потере или краже телефон может быть отключен по заявлению владельца.

В продолжение темы удаленной идентификации. Говорят, что зампред ЦБ Дмитрий Скобелкин написал письмо в ответ на соответствующее обращение ОПОРЫ РОССИИ. В нем черным по белому сказано, что банковский счет без личного присутствия ИП или юрлица можно было открывать только в рамках получения финансовой помощи по правительственному постановлению 422, во всех других случаях — нецелесообразно. @banksta

По списку самых популярных паролей у меня 3 вопроса:
1. Где qwerty?
2. Почему не используется обратный порядок, например, 654321?
3. Почему разработчики не включают запрет на использование 123456 в свои продукты? pic.twitter.com/XI1RoRCC3C— Alexey Lukatsky (@alukatsky) November 22, 2020

В Узбекистане хотят запустить онлайн-систему мониторинга за избыточным весом чиновников https://www.currenttime.tv/a/uzbekistan-ves-kontrol/30960411.html

Банк России инициировал законопроект о создании автоматизированной информационной системы (АИС) страхования, в которую будет стекаться вся информация по заключенным в стране договорам и их участникам. Оператором страховой АИС станет 100-процентная «дочка» ЦБ, ее полномочия будут достаточно обширны — от предоставления данных по аналогии с БКИ на банковском рынке до присвоения уникальных номеров полисов ОСАГО. Законопроект уже внесен в Госдуму. Страховщики крайне негативно отреагировали на инициативу регулятора, они называют ее ручным тормозом цифровизации отрасли и сожалеют о двух миллиардах рублей, потраченных на недавнее обновление базы ОСАГО.