Национальный институт стандартов и технологий (NIST) США предложил внести существенные изменения в «Руководство по цифровой идентификации», направленные на борьбу с устаревшими и неэффективными политиками паролей, которые часто ставят под угрозу безопасность. В последней версии SP 800−63−4 NIST предлагает запретить обязательный сброс пароля, ненужные ограничения на количество символов и некоторые контрольные вопросы.
www.ferra.ru
В США предложили убрать некоторые из самых «бессмысленных» правил для паролей
Национальный институт стандартов и технологий (NIST) США предложил внести существенные изменения в «Руководство по цифровой идентификации», направленные на борьбу с устаревшими и неэффективными политиками паролей, которые часто ставят под угрозу безопасность.…
👍8👎1
Все это обсуждалось на семинаре компании "Криптонит". Подробности тут
Please open Telegram to view this post
VIEW IN TELEGRAM
kryptonite.ru
(Не)доверенный ИИ: обучать нельзя запретить - "Криптонит"
🔥5🤯3👍1
Крупные российские банки, по информации из базы ЦБ о мошенниках, в среднем «охлаждают» ежедневно 20 000 переводов, рассказал директор департамента информационной безопасности ЦБ Вадим Уваров.
25 июля заработали новые правила борьбы с дропперами – людьми, через чьи банковские карты, с их согласия или без него, проходят мошеннические операции. Теперь банки обязаны приостанавливать переводы на два дня, если информация о получателе средств содержится в базе данных ЦБ о мошеннических операциях.
В первый день работы поправок в закон о национальной платежной системе банки отключили порядка 30 000 электронных средств платежа, принадлежащих мошенникам, сообщил Уваров.
25 июля заработали новые правила борьбы с дропперами – людьми, через чьи банковские карты, с их согласия или без него, проходят мошеннические операции. Теперь банки обязаны приостанавливать переводы на два дня, если информация о получателе средств содержится в базе данных ЦБ о мошеннических операциях.
В первый день работы поправок в закон о национальной платежной системе банки отключили порядка 30 000 электронных средств платежа, принадлежащих мошенникам, сообщил Уваров.
Ведомости
ЦБ раскрыл первые итоги борьбы с мошенниками по новым правилам
Ежедневно крупные банки «охлаждают» порядка 20 000 подозрительных переводов
👍9🤯3
МВД раскрыло принцип работы публичного реестра контролируемых лиц для мигрантов.
Общедоступная часть реестра контролируемых лиц, т. е. списка иностранцев и лиц без гражданства, чьи законные основания для пребывания в РФ прекращены, будет опубликована на сайте МВД. Такие данные будут предоставляться любому желающему по запросу.
Предполагается, что постановление вступит в силу с 5 февраля 2025 г. В закрытой подсистеме сайта МВД будет собрана следующая информация: наличие или отсутствие сведений об иностранце в реестре контролируемых лиц, фамилия, имя, отчество, дата рождения, пол, серия и номер документа, удостоверяющего личность, следует из текста проекта.
Общедоступная часть реестра контролируемых лиц, т. е. списка иностранцев и лиц без гражданства, чьи законные основания для пребывания в РФ прекращены, будет опубликована на сайте МВД. Такие данные будут предоставляться любому желающему по запросу.
Предполагается, что постановление вступит в силу с 5 февраля 2025 г. В закрытой подсистеме сайта МВД будет собрана следующая информация: наличие или отсутствие сведений об иностранце в реестре контролируемых лиц, фамилия, имя, отчество, дата рождения, пол, серия и номер документа, удостоверяющего личность, следует из текста проекта.
Ведомости
МВД раскрыло принцип работы публичного реестра контролируемых лиц для мигрантов
Общедоступными станут только данные о наличии иностранца в списке
👍10👎4
Forwarded from Государство в Telegram
WSJ рассказала, как Telegram стал «охотничьими угодьями» для спецслужб
Несмотря на использование Telegram преступниками разного уровня, мессенджер стал незаменимым инструментом правоохранительных ведомств для проникновения в преступные группировки даже без сотрудничества с руководством платформы, пишет Wall Street Journal со ссылкой на источники среди чиновников и бывших федеральных агентов.
В последние пять лет спецслужбы США неоднократно привлекали преступников к ответственности с помощью их собственных слов, опубликованных в полностью открытых телеграм-каналах, что сделало мессенджер «охотничьими угодьями» правоохранительных ведомств, отмечает издание.
До создания Teelgram преступники обычно полагались на сильно разрозненные форумы в даркнете, недоступные обычным пользователям, и власти могли закрыть их лишь с помощью судебных постановлений, причем легко отследить пользователей не удавалось. В случае с Telegram его пользователи зачастую используют один и тот же аккаунт на десятках форумов, за счет чего следователи получают их «дорожную карту», объяснил газете бывший федеральный прокурор, расследовавший киберпреступления и онлайн-продажу наркотиков Сет Герц.
Но все же мессенджер более удобен для преступников, чем для следователей, полагает Эван Кольманн, консультант по борьбе с терроризмом, который работал в ФБР и давал показания в десятках дел, связанных с Telegram. По его оценке, находки правоохранительных ведомств в Telegram представляют собой «каплю в море».
Несмотря на использование Telegram преступниками разного уровня, мессенджер стал незаменимым инструментом правоохранительных ведомств для проникновения в преступные группировки даже без сотрудничества с руководством платформы, пишет Wall Street Journal со ссылкой на источники среди чиновников и бывших федеральных агентов.
В последние пять лет спецслужбы США неоднократно привлекали преступников к ответственности с помощью их собственных слов, опубликованных в полностью открытых телеграм-каналах, что сделало мессенджер «охотничьими угодьями» правоохранительных ведомств, отмечает издание.
До создания Teelgram преступники обычно полагались на сильно разрозненные форумы в даркнете, недоступные обычным пользователям, и власти могли закрыть их лишь с помощью судебных постановлений, причем легко отследить пользователей не удавалось. В случае с Telegram его пользователи зачастую используют один и тот же аккаунт на десятках форумов, за счет чего следователи получают их «дорожную карту», объяснил газете бывший федеральный прокурор, расследовавший киберпреступления и онлайн-продажу наркотиков Сет Герц.
Но все же мессенджер более удобен для преступников, чем для следователей, полагает Эван Кольманн, консультант по борьбе с терроризмом, который работал в ФБР и давал показания в десятках дел, связанных с Telegram. По его оценке, находки правоохранительных ведомств в Telegram представляют собой «каплю в море».
РБК
WSJ рассказала, как Telegram стал «охотничьими угодьями» для спецслужб
Благодаря публичности каналов в Telegram и цифровому следу пользователей правоохранительные ведомства раскрыли множество дел, тогда как прежде преступники общались на отдельных форумах в даркнете
👍4❤1
Крупный бизнес переходит на российские решения по управлению персональными данными клиентов. Как заявил на CDI Conf 2024 Алексей Сокольский, начальник управления «Розничный клиент» в ВТБ, после перехода на российское решение по управлению клиентскими данными от HFLabs ручные корректировки клиентских записей в ВТБ уменьшились на треть. Экономия составила более 100 млн руб. в 2024 году. По пути замещения MDM-системы от зарубежного вендора пошел и «Ингосстрах». Сейчас компания внедряет отечественную систему по управлению данными клиентов. Первые результаты уже есть: с помощью CDI компания проанализировала контактные данные клиентов и выявила популярные и массовые телефоны и электронные адреса. Российское решение «Единый клиент» также использует букмекерская компания «Лига ставок». С его помощью компания, например, находит записи-дубли — они возникают в случае, если игрок хочет получить дополнительные бонусы и регистрируется в системе повторно.
Посмотреть записи этих и других выступлений с CDI Conf 2024 и узнать, как крупный российский бизнес работает с персональными данными клиентов, можно в YouTube или Rutube.
Посмотреть записи этих и других выступлений с CDI Conf 2024 и узнать, как крупный российский бизнес работает с персональными данными клиентов, можно в YouTube или Rutube.
YouTube
CDI Conf 2024
Share your videos with friends, family, and the world
👍15👎5❤1
На Евразийском конгрессе по защите персональных данных Региональное Сообщество Профессионалов Приватности (RPPA) анонсировало создание и начало практической деятельности собственного Аналитического Центра.
Компания IDX™ поддержала инициативу Сообщества, передав в управление свой телеграм-канал «Персональные данные» и доступ к его аудитории Аналитическому центру.
Компания IDX™ давно известна на рынке проверки данных как единственный независимый поставщик LegalTech-решений, RPPA - ключевое в ЕврАзЭС экспертное сообщество в сфере приватности. Сложившееся сотрудничество RPPA и IDX™ обеспечит Аналитическому центру Сообщества наибольший охват аудитории среди всех российских “think tank”.
IDX™ видит перспективы сотрудничества с RPPA в развитии рынка решений приватности и защиты данных пользователей Сети и призывает другие компании поддерживать инициативы RPPA.
Компания IDX™ поддержала инициативу Сообщества, передав в управление свой телеграм-канал «Персональные данные» и доступ к его аудитории Аналитическому центру.
Компания IDX™ давно известна на рынке проверки данных как единственный независимый поставщик LegalTech-решений, RPPA - ключевое в ЕврАзЭС экспертное сообщество в сфере приватности. Сложившееся сотрудничество RPPA и IDX™ обеспечит Аналитическому центру Сообщества наибольший охват аудитории среди всех российских “think tank”.
IDX™ видит перспективы сотрудничества с RPPA в развитии рынка решений приватности и защиты данных пользователей Сети и призывает другие компании поддерживать инициативы RPPA.
🔥16👍6
Подписчики! Друзья!
Здорово, что мы провели столько времени вместе и спасибо Вам всем и каждому за Ваше внимание и доверие!
Пришло время сделать вместе что-то большее, чем новостную ленту! Рады, что нашли общее с RPPA и спокойно передаем им бразды политики в этом канале!
Здорово, что мы провели столько времени вместе и спасибо Вам всем и каждому за Ваше внимание и доверие!
Пришло время сделать вместе что-то большее, чем новостную ленту! Рады, что нашли общее с RPPA и спокойно передаем им бразды политики в этом канале!
👍26👎12🤯12🤔5
💡🇧🇾 Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) и Министерство антимонопольного регулирования (МАРТ) и торговли Республики Беларусь 2025.01.08 издали первые совместные Разъяснения – о том, как обрабатывать персональные данные при направлении рассылок.
🔸Эксперты RPPA [РБ] подготовили аналитическую справку, из которой вы можете узнать:
– основные положения Разъяснений по поводу того, что относится к ПД, что может быть основанием рекламной рассылки и кто будет нести ответственность за её правомерность;
– основные риски, которые могут возникнуть в связи с зафиксированной позицией НЦЗПД и МАРТ;
– варианты интерпретации Разъяснений с учётом указанных рисков и баланса интересов всех участников правоотношений по обработке данных.
🔸Эксперты RPPA [РБ] подготовили аналитическую справку, из которой вы можете узнать:
– основные положения Разъяснений по поводу того, что относится к ПД, что может быть основанием рекламной рассылки и кто будет нести ответственность за её правомерность;
– основные риски, которые могут возникнуть в связи с зафиксированной позицией НЦЗПД и МАРТ;
– варианты интерпретации Разъяснений с учётом указанных рисков и баланса интересов всех участников правоотношений по обработке данных.
👍12❤2
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о квалификации владельца облачного хранилища, оказывающего услуги по модели IaaS, в качестве «обработчика» ПД.
🔸Владелец облачного хранилища (провайдер) может выступать в качестве «обработчика» ПД при одновременном выполнении следующих критериев:
1️⃣ долгосрочное размещение ПД (в т.ч. хранение) пользователем и/или уполномоченными им лицами на вычислительных мощностях облачного хранилища;
2️⃣ осведомленность провайдера (когда провайдер знал, мог или должен был знать) о действиях пользователя и/или уполномоченных им лиц по целенаправленному использованию облачного хранилища для размещения ПД;
3️⃣ волеизъявление провайдера и пользователя хранилища на размещение ПД в облачном хранилище путем поручения обработки ПД провайдеру от пользователя хранилища в одной из двух форм, предусмотренных ч.3 ст.6 152-ФЗ (договор или акт), при этом согласованные сторонами условия поручения обработки ПД не обязательно должны содержаться в письменном договоре, но могут указываться, например, в электронной переписке или путем акцепта пользователем своими конклюдентными действиями оферты провайдера.
🔸Владелец облачного хранилища (провайдер) может выступать в качестве «обработчика» ПД при одновременном выполнении следующих критериев:
1️⃣ долгосрочное размещение ПД (в т.ч. хранение) пользователем и/или уполномоченными им лицами на вычислительных мощностях облачного хранилища;
2️⃣ осведомленность провайдера (когда провайдер знал, мог или должен был знать) о действиях пользователя и/или уполномоченных им лиц по целенаправленному использованию облачного хранилища для размещения ПД;
3️⃣ волеизъявление провайдера и пользователя хранилища на размещение ПД в облачном хранилище путем поручения обработки ПД провайдеру от пользователя хранилища в одной из двух форм, предусмотренных ч.3 ст.6 152-ФЗ (договор или акт), при этом согласованные сторонами условия поручения обработки ПД не обязательно должны содержаться в письменном договоре, но могут указываться, например, в электронной переписке или путем акцепта пользователем своими конклюдентными действиями оферты провайдера.
❤20👍15🤔1
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал об определении личности субъекта персональных данных при обращении к оператору. Основные выводы материала:
1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности, следует учитывать контекст обработки ПД.
2️⃣ Если установленные законом требования к обращению не исполнены, ни отказ в удовлетворении, ни исполнение требования субъекта сами по себе не будут нарушением.
3️⃣ При решении задачи подтверждения тождественности нужно исходить из целесообразности принятия дополнительных мер и уровня риска для прав субъекта при удовлетворении требования отправителя.
4️⃣ При оценке указанной целесообразности и уровня риска необходимо учитывать, в частности, объем данных в обращении, возможное влияние исполнения требования на обработку и (или) права субъекта.
1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности, следует учитывать контекст обработки ПД.
2️⃣ Если установленные законом требования к обращению не исполнены, ни отказ в удовлетворении, ни исполнение требования субъекта сами по себе не будут нарушением.
3️⃣ При решении задачи подтверждения тождественности нужно исходить из целесообразности принятия дополнительных мер и уровня риска для прав субъекта при удовлетворении требования отправителя.
4️⃣ При оценке указанной целесообразности и уровня риска необходимо учитывать, в частности, объем данных в обращении, возможное влияние исполнения требования на обработку и (или) права субъекта.
👍19❤11🤔1
Аналитический центр RPPA
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал об определении личности субъекта персональных данных при обращении к оператору. Основные выводы материала: 1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности…
💡🇧🇾Эксперты RPPA [РБ] обсудили подготовленный аналитический материал об определении личности субъекта персональных данных при обращении к оператору и пришли к выводу о возможности его использования в практике белорусских privacy-специалистов с рядом уточнений и комментариев:
1. У оператора может не быть информации, необходимой для идентификации обратившегося с запросом лица, — это не является ни нарушением, ни каким-либо исключением из общего правила.
2. Осуществление прямых контактов со всеми субъектами, чьи данные в информационной системе совпадают с данными в запросе (со всеми Иванами Ивановичами Ивановыми), представляется нарушающим принципы минимизации и соразмерности обработки персональных данных.
3. Субъект персональных данных, исходя из системного толкования Закона Республики Беларусь от 07.05.2021 № 99-З "О защите персональных данных" (99-З), — идентифицированное или идентифицируемое физическое лицо, к которому относится обрабатываемая оператором информация, — именно от того, является ли обратившееся лицо субъектом в отношении обрабатываемых оператором персональных данных, зависит возможность оператора способствовать этому лицу в реализации его прав, предусмотренных 99-З.
Например, если единственный из указанных субъектом идентификаторов, входящий в состав собираемой оператором информации, пересекается у 100 других субъектов, попытка выяснить, кто из субъектов — обратившееся лицо, может привести к избыточной обработке и вмешательству в частную жизнь 99 субъектов, не направлявших запрос.
4. Идеальный случай при обработке персональных данных в онлайн-среде — реализация прав непосредственно в интерфейсе сервиса, в его авторизованной зоне, где у оператора уже отсутствует необходимость в идентификации обратившегося лица, в том числе посредством запроса дополнительной информации о нем.
5. Дополнительным основанием для запроса дополнительной информации у обратившегося может быть ссылка на ст. ст. 16-17 99-З, так как оператор обязан обеспечить безопасность обрабатываемых данных и самостоятельно определяет перечень мер защиты: уточнение информации, таким образом, будет служить снижению риска несанкционированного доступа неавторизованных лиц к данным субъекта при условии соблюдения принципов обработки персональных данных, установленных 99-З. Более того, согласно ст. 31 Закона Республики Беларусь от 10.10.2008 № 455-З "Об информации, информатизации и защите информации", обладатель информации, оператор информационной системы обязаны, в частности, обеспечить конфиденциальность информации, то есть, в том числе исключить её предоставление без согласия или иного основания, предусмотренного законом.
6. По мнению экспертов необходимо проработать возможность внесения изменений в 99-З, которые бы позволили обеспечить правовую определенность в отношении права оператора персональных данных при получении запроса субъекта персональных данных по каналу, не используемому при взаимодействии соответствующих субъекта и оператора, принимать дополнительные меры по идентификации отправителя или предлагать альтернативный, доверенный канал для реализации прав субъекта персональных данных.
Например, это может быть достигнуто через внесение изменений в п.2 ст.14 99-З в части дополнения перечня подлежащих указанию данных "идентификатором, используемым во взаимодействии между оператором и субъектом".
1. У оператора может не быть информации, необходимой для идентификации обратившегося с запросом лица, — это не является ни нарушением, ни каким-либо исключением из общего правила.
2. Осуществление прямых контактов со всеми субъектами, чьи данные в информационной системе совпадают с данными в запросе (со всеми Иванами Ивановичами Ивановыми), представляется нарушающим принципы минимизации и соразмерности обработки персональных данных.
3. Субъект персональных данных, исходя из системного толкования Закона Республики Беларусь от 07.05.2021 № 99-З "О защите персональных данных" (99-З), — идентифицированное или идентифицируемое физическое лицо, к которому относится обрабатываемая оператором информация, — именно от того, является ли обратившееся лицо субъектом в отношении обрабатываемых оператором персональных данных, зависит возможность оператора способствовать этому лицу в реализации его прав, предусмотренных 99-З.
Например, если единственный из указанных субъектом идентификаторов, входящий в состав собираемой оператором информации, пересекается у 100 других субъектов, попытка выяснить, кто из субъектов — обратившееся лицо, может привести к избыточной обработке и вмешательству в частную жизнь 99 субъектов, не направлявших запрос.
4. Идеальный случай при обработке персональных данных в онлайн-среде — реализация прав непосредственно в интерфейсе сервиса, в его авторизованной зоне, где у оператора уже отсутствует необходимость в идентификации обратившегося лица, в том числе посредством запроса дополнительной информации о нем.
5. Дополнительным основанием для запроса дополнительной информации у обратившегося может быть ссылка на ст. ст. 16-17 99-З, так как оператор обязан обеспечить безопасность обрабатываемых данных и самостоятельно определяет перечень мер защиты: уточнение информации, таким образом, будет служить снижению риска несанкционированного доступа неавторизованных лиц к данным субъекта при условии соблюдения принципов обработки персональных данных, установленных 99-З. Более того, согласно ст. 31 Закона Республики Беларусь от 10.10.2008 № 455-З "Об информации, информатизации и защите информации", обладатель информации, оператор информационной системы обязаны, в частности, обеспечить конфиденциальность информации, то есть, в том числе исключить её предоставление без согласия или иного основания, предусмотренного законом.
6. По мнению экспертов необходимо проработать возможность внесения изменений в 99-З, которые бы позволили обеспечить правовую определенность в отношении права оператора персональных данных при получении запроса субъекта персональных данных по каналу, не используемому при взаимодействии соответствующих субъекта и оператора, принимать дополнительные меры по идентификации отправителя или предлагать альтернативный, доверенный канал для реализации прав субъекта персональных данных.
Например, это может быть достигнуто через внесение изменений в п.2 ст.14 99-З в части дополнения перечня подлежащих указанию данных "идентификатором, используемым во взаимодействии между оператором и субъектом".
❤7👍3
RPPA.pro | RPPAedu.pro | CC
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
rppa_ac-ru_lia.pdf
154 KB
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о методологии оценки применимости законного интереса как основания обработки персональных данных. Основные выводы материала:
1️⃣ Использование законного интереса как правового основания предусмотрено российским законодательством (п. 7 ч. 1 ст. 6 152-ФЗ).
2️⃣ До осуществления оценки применимости законного интереса (ОПЗИ) остальные атрибуты обработки должны быть определены и уже должны соответствовать требованиям закона, включая соблюдение принципов обработки. Цель должна быть конкретной и законной. Обработка – безусловно необходимой для ее достижения. Атрибутивный состав и объем данных, срок и действия по их обработке – минимально необходимыми для достижения цели. Информация об обработке должна быть зафиксирована оператором в удобном для актуализации формате. Такая обработка уже полностью соответствует 152-ФЗ во всем, что не касается правового основания обработки ПД.
3️⃣ Среди случаев обработки ПД, предусмотренных п. 7 ч. 1 ст. 6 152-ФЗ, наибольшей правовой определенностью характеризуется обработка ПД, необходимая для осуществления права оператора. В этой связи для более последовательного и предсказуемого применения этого основания рекомендуется опираться на конкретное субъективное право оператора.
4️⃣ Оценка заключается в прохождении трех ступеней оценки. Во-первых, ЗИ безусловно не является применимым в ряде случаев, прямо указанных в законе. Во-вторых, ЗИ должен опираться на субъективное право со ссылкой на норму закона, предоставляющую такое субъективное право оператору персональных данных. В-третьих, необходимо исключить высокорисковые для субъектов сценарии обработки, список которых может отличаться в зависимости от того, является ли та или иная обработка исключительно необходимой для осуществления основной деятельности оператора ПД.
5️⃣ Бремя доказывания наличия ЗИ в качестве основания обработки ПД лежит на операторе (ч. 3 ст. 9 152-ФЗ), в связи с чем рекомендуется надлежащим образом документировать проведение ОПЗИ.
1️⃣ Использование законного интереса как правового основания предусмотрено российским законодательством (п. 7 ч. 1 ст. 6 152-ФЗ).
2️⃣ До осуществления оценки применимости законного интереса (ОПЗИ) остальные атрибуты обработки должны быть определены и уже должны соответствовать требованиям закона, включая соблюдение принципов обработки. Цель должна быть конкретной и законной. Обработка – безусловно необходимой для ее достижения. Атрибутивный состав и объем данных, срок и действия по их обработке – минимально необходимыми для достижения цели. Информация об обработке должна быть зафиксирована оператором в удобном для актуализации формате. Такая обработка уже полностью соответствует 152-ФЗ во всем, что не касается правового основания обработки ПД.
3️⃣ Среди случаев обработки ПД, предусмотренных п. 7 ч. 1 ст. 6 152-ФЗ, наибольшей правовой определенностью характеризуется обработка ПД, необходимая для осуществления права оператора. В этой связи для более последовательного и предсказуемого применения этого основания рекомендуется опираться на конкретное субъективное право оператора.
4️⃣ Оценка заключается в прохождении трех ступеней оценки. Во-первых, ЗИ безусловно не является применимым в ряде случаев, прямо указанных в законе. Во-вторых, ЗИ должен опираться на субъективное право со ссылкой на норму закона, предоставляющую такое субъективное право оператору персональных данных. В-третьих, необходимо исключить высокорисковые для субъектов сценарии обработки, список которых может отличаться в зависимости от того, является ли та или иная обработка исключительно необходимой для осуществления основной деятельности оператора ПД.
5️⃣ Бремя доказывания наличия ЗИ в качестве основания обработки ПД лежит на операторе (ч. 3 ст. 9 152-ФЗ), в связи с чем рекомендуется надлежащим образом документировать проведение ОПЗИ.
❤22👍6