ИБ-эксперты обнаружили в приложении TikTok для iOS и Android скрытые инструменты слежки за пользователями. Оно получает прямой доступ к их персональным данным, скрывает исходный код от аудита Google и Apple и передает своим рекламным партнерам уникальные идентификаторы устройств пользователей.

🌧 Над американскими облачными сервисами сгущаются тучи в ЕС🥁. В рамках GDPR Европейский совет по защите данных (EDPB) начал проверку более 80 гос органов в различных отраслях — от здравоохранения до финансов — на предмет незаконной передачи данных европейских граждан на территорию Штатов. Ведомства по всему союзу столкнулись с проверками, которые включают как простое анкетирование с опросом, так и самые настоящие расследования.

Контракты с американскими компаниями особенно тщательно изучаются в ЕС после решения высшего суда от июля 2020 года, который признал недействительным основное соглашение о передаче данных между ЕС и США, что усилило правовую неопределенность вокруг потоков персональных данных.

Главная проблема заключается не только в том, что в США нет эквивалентного GDPR правового стандарта, защищающего данные граждан, но и в том, что там действуют обширные законы о слежке. Это означает, что информация о людях может в массовом порядке быть получена путем целенаправленного поиска правительственными агентствами, использующими широкие полномочия для прослушивания коммерческих платформ и инфраструктуры интернета в рамках программ перехвата, направленных на обеспечение национальной безопасности по принципу "собери все". (Это слог TechCrunch).

В этом году ряд органов выявили нарушения Общего регламента ЕС по защите данных (GDPR), связанные с использованием инструментов вроде Google Analytics, в связи с экспортом персональных данных в США. (Многочисленные решения EDPS, надзорного органа по защите данных, а также регуляторов Австрии и Франции установили, что данные пользователей из ЕС не были защищены должным образом).

Доклад об итогах расследования будет представлен в 2022 году. Но в ЕС подчеркивают, что EDPB не будет ждать завершения всех проверок, а может заморозить контракты или отменить их. Расследования проходят в рамках принятия закона о хранении и обработке данных на территории ЕС, которому активно сопротивляются американские компании. Но как мы видим на примере Meta — безуспешно.

Элла Памфилова сообщила, что в конце февраля - начале марта в ЦИК России состоится круглый стол для обсуждения дистанционного электронного голосования. «Мы пригласим всех заинтересованных экспертов, и в первую очередь тех, кто настроен скептически, чтобы предметно и глубоко обсудить перспективы развития ДЭГ»

Приглашаем на День открытых данных 2022 — онлайн

4-5 марта 2022 года Инфокультура проведет ежегодную конференцию, приуроченную к международному Дню открытых данных.

Присоединяйтесь ко Дню открытых данных, чтобы узнать:
— Как открывать код, данные, знания, созданные за счет госбюджета.
— Как в 2022 году в России регулируется оборот персональных данных.
— Эволюция открытости: от открытых данных по умолчанию к Data4Good.
— Что известно о доступности медицинских данных в эпоху пандемии.
— Где взять данные о жизни в стране: официальные и альтернативные источники.
— Какие проблемы доступности государственных данных сейчас наиболее актуальны.
— Как решить проблему совместимости открытых лицензий в разных юрисдикциях.

Подробности и регистрация: opendataday.ru/msk. Трансляция будет доступна и бесплатна для всех желающих.

Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые:
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.

Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.

Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞

В России создадут рекомендации по обработке биометрических персональных данных для операторов, этим займется рабочая группа в рамках консультативного совета при Роскомнадзоре.

Во Владимире родители школьников жалуются на внедрение электронных карт. Они являются пропуском в учебное заведение и средством оплаты питания в столовой, а также используются при проезде в общественном транспорте.
Новые карты персонализированы - на них нанесены ФИО и фото владельца, а также личный код и номер. Владимирцы боятся, что личные данные их детей могут утечь в «сеть».

Компания Clearview AI сообщила о поиске инвесторов для реализации проекта по созданию крупнейшей базы данных, в которой будут храниться 100 млрд фотографий людей. Этого достаточно, чтобы идентифицировать лицо почти любого человека на Земле.
Как сообщает издание The Washington Post со ссылкой на презентацию компании перед инвесторами, все фотографии планируют собрать в течение года из открытых источников.
омпания заявила, что уже собрала около 10 млрд изображений и добавляет по 1,5 млрд ежемесячно.
Нарушаются ли права граждан при этом — вопрос открытый. В США уже подано несколько исков.

Минцифры запустило отраслевой центр кибербезопасности, в задачи которого входит защита государственных информационных систем от хакерских атак. Его отличительной особенностью стал широкий функционал — помимо собственно защиты, центр займется и атрибуцией — поиском инициаторов атак и установлением их причастности к тем или иным хакерским группировкам.

За 2021 год системы видеоаналитики зарегистрировали 263 тыс. краж в магазинах, что на 90 тыс. случаев больше, чем годом ранее. Разработчики системы связывают рост числа инцидентов с ростом точек, в которых она внедрялась, и с совершенствованием алгоритмов наблюдения.
От простого наблюдения и распознания лиц технологии переходят к контролю поведения. Система искусственного интеллекта анализирует картинку с камер и, если видит подозрительное поведение, характерное для магазинных воров, информирует персонал для профилактики кражи, — считает председатель Ассоциации экспертов безопасности ритейла Константин Сергеев.

Минспорта подготовило проект постановления, которое предполагает оснащение стадионов системой видеонаблюдения для биометрической идентификации болельщиков.
Зрителей же хотят обязать проходить идентификацию и аутентификацию по FanID и не только.
Между тем, президент РПЛ Ашот Хачатурянц сегодня сообщил, что ни один из стадионов клубов РПЛ не готов к введению Fan ID.

Компания VisionLabs разработала технологию, которая ускоряет процесс распознавания на больших базах данных с сохранением точности поиска. Особенно рост эффективности системы заметен на базах от 10 млн человек
В большинстве случаев процесс идентификации происходит следующим образом: система получает фотографию, преобразовывает её в биометрический шаблон и сравнивает с каждым элементом в базе данных, чтобы найти совпадение: 10 млн лиц в базе — 10 млн сравнений для одного запроса.
Таким образом, абсолютное большинство алгоритмов других вендоров имеют линейную зависимость длительности поиска от размера базы — например, при увеличении размера базы в 4 раза они ищут в 4 раза дольше. При использовании технологий VisionLabs эта зависимость логарифмическая. Согласно тестированию NIST, поиск по базе в 3 млн человек занимает 36 мс, а по базе с 12 млн — 43 мс.
Это стало возможным за счет нового программного обеспечения Index. Оно строит дополнительную структуру с информацией о расположении дескрипторов в базе, позволяющую исключать из рассмотрения в процессе поиска слишком непохожие лица на пришедший запрос. Это уменьшает количество сравнений в несколько десятков раз, значительно сокращая время распознавания.

Норма о подорожании ОСАГО для злостных нарушителей правил дорожного движения, вступившая в силу в августе 2020 года, так и не заработала, признали в Российском союзе автостраховщиков (РСА). За полтора года не удалось наладить передачу данных из ГИБДД в РСА о 100 тыс. водителях, полис для которых мог стать втрое дороже. Как выяснил “Ъ”, информационное взаимодействие застопорилось из-за опасений, что пострадать могут законопослушные автомобилисты, например полные тезки нарушителей. Страховщики, по данным “Ъ”, в связи с этим обращались с предложением в Банк России включить в полис дополнительные графы, в частности паспортные данные граждан, но регулятор эту идею отверг.

Однако давно я не читал таких забористых страшилок про биометрию. Местами читать забавно, местами смешно, но как футуристический прогноз - увлекательно ;-)

DPO: на страже персональных данных

Согласно отчету центра по краже личных данных (ITRC), в 2021 году на 17% увеличилось количество зарегистрированных утечек данных по сравнению с прошлым годом. По данным IBM, средняя стоимость утечки данных превышает 4 миллиона долларов. Эксперты считают, что проблема утечек данных сохранится и в течение последующих лет.

Для качественной защиты своих данных, компании нанимают на работу специалистов, отвечающих за соблюдение организацией закона о защите персональных данных - Data Protection Officer.

Moscow Digital School запускает курс повышения квалификации «Data Protection Officer», где вы разберете российское и международное законодательство в сфере персональных данных и получите знания и навыки, необходимые квалифицированному DPO.

Старт потока: 22 февраля.
Успейте записаться на курс со скидкой 10% по промокоду: «PERSDATA».

Ассоциация ФинТех по поручению Банка России проводит опрос участников финансового рынка на тему целесообразности создания платформы коммерческих согласий на обработку ПД.
Платформа должна обеспечить возможность учета согласий на передачу, хранение и обработку данных пользователей, предоставляемых финансовым организациям, а также механизм просмотра, отзыва и изменения условий согласий в режиме одного окна, говорят в ЦБ.
На главный вопрос —почему речь идет только о финансовых организациях — ответа нет.

В ближайшее время ГИБДД не планирует штрафовать автомобилистов за езду без ОСАГО с помощью автоматических камер фотовидеофиксации. Об этом сообщил начальник профильного отдела ГУОБДД МВД России Андрей Клименко. По словам Клименко, информационные системы баз данных со страховыми компаниями еще не состыкованы друг с другом.
Напомним, что проект начал разрабатывается еще в 2015 году, а воз и ныне там. Основная причина — неактуальная и недостоверная база РСА.

Сможет ли Москва размежеваться с Западом технологически? Этим вопросом задается автор The Economist. Журналист ведущего британского экономического СМИ многое хвалит: госуслуги, СБП. Правда, относительно ЕБС и НСУД испытывает скептизим. Как и многие из наших читателей)

Звонят из компаний, которым вы не давали свои контакты. Что делать?

Минцифры поддержало идею оборотных штрафов за утечку персональных данных. Соответствующие изменения хотят внести в КоАП.

Ритейлеры ежемесячно теряют до 3 млн руб. из-за мошенничеств с программами лояльности, число которых за 2021 год увеличилось на 89%, подсчитали в «Информзащите». Это может быть связано с ростом количества подобных программ и относительно невысокими требованиями к безопасности данных в них, полагают эксперты. В большинстве случаев мошенники пытаются получить доступ к аккаунту клиентов, используя информацию из утекших в сеть баз данных, но в инцидентах могут быть замешаны также сами покупатели и сотрудники сетей.