CISO & DPO news #8 (22-26 января 2024 года)
1/9 Два вредоносных пакета warbeast2000 и kodiak2k для кражи SSH-ключей загрузили в реестр пакетов NPM.
2/9 Выросло число атак на пользователей смартфонов на базе Android.
3/9 Способность нового вредоносного ПО заражать компьютеры с целью кражи криптокошельков.
4/9 Широко и быстро распространяющаяся мировая угроза DDoS-атак.
5/9 Apple анонсировала новую функцию «Защита украденного устройства».
6/9 Используемые в приложениях Java и Android библиотеки были признаны уязвимыми для нового метода атаки на цепочку поставок ПО.
7/9 В России может быть введена ответственность за распространение дипфейков.
8/9 Управление Роскомнадзора подвело итоги контроля в сфере персданных за 2023 г. по Тюменской обл., а.окр. Ханты-Мансийск-Югра и Ямало-Ненецкому а.окр.
9/9 Обсуждение законопроекта об утечках персданных:
· компенсации для жертв утечек;
· учет требования спеслужб;
· комментарии бизнеса;
· критика КПРФ;
· шантаж бизнеса хакерами.
1/9 Два вредоносных пакета warbeast2000 и kodiak2k для кражи SSH-ключей загрузили в реестр пакетов NPM.
2/9 Выросло число атак на пользователей смартфонов на базе Android.
3/9 Способность нового вредоносного ПО заражать компьютеры с целью кражи криптокошельков.
4/9 Широко и быстро распространяющаяся мировая угроза DDoS-атак.
5/9 Apple анонсировала новую функцию «Защита украденного устройства».
6/9 Используемые в приложениях Java и Android библиотеки были признаны уязвимыми для нового метода атаки на цепочку поставок ПО.
7/9 В России может быть введена ответственность за распространение дипфейков.
8/9 Управление Роскомнадзора подвело итоги контроля в сфере персданных за 2023 г. по Тюменской обл., а.окр. Ханты-Мансийск-Югра и Ямало-Ненецкому а.окр.
9/9 Обсуждение законопроекта об утечках персданных:
· компенсации для жертв утечек;
· учет требования спеслужб;
· комментарии бизнеса;
· критика КПРФ;
· шантаж бизнеса хакерами.
👍8
Сегодня, 28 января, во всем мире отмечают Международный день защиты персональных данных. В этот день в 1981 году была открыта для подписания Конвенция Совета Европы о защите персональных данных, также известная как «Конвенция ETS 108». При этом отмечать праздник стали относительно недавно - с 2007 года.
Цель праздника - повышение осведомленности среди предпринимателей и пользователей о важности защиты персональных данных.
В честь этого дня мы решили подарить вам чек-лист, подготовленный нами для Kept Privacy Day 2024 (о мероприятии мы писали выше). В чек-листе вы найдёте требования к содержанию Поручения на обработку ПДн и рекомендации по составлению Политики обработки Пдн (в соответствии с принципами Legal Design)⬇️
Цель праздника - повышение осведомленности среди предпринимателей и пользователей о важности защиты персональных данных.
В честь этого дня мы решили подарить вам чек-лист, подготовленный нами для Kept Privacy Day 2024 (о мероприятии мы писали выше). В чек-листе вы найдёте требования к содержанию Поручения на обработку ПДн и рекомендации по составлению Политики обработки Пдн (в соответствии с принципами Legal Design)⬇️
👍13
Является ли размещение на двери кабинета в организации информационной таблички с Ф.И.О. и названием должности сотрудника распространением персональных данных?
Anonymous Quiz
47%
Нет, не является
6%
Да, является во всех случаях
46%
Да, является в случаях, если доступ к табличке есть у неопределенного круга лиц
❤3
Согласно п. 1.1 ст. 3 152-ФЗ, персональные данные (ПДн), разрешенные субъектом для распространения, – это данные, к которым предоставлен доступ для неограниченного круга лиц на основании согласия на обработку ПДн, разрешенных субъектом для распространения.
Также, в соответствии с п. 5 ст. 3 152-ФЗ, распространением ПДн является раскрытие ПДн неопределенному кругу лиц.
Для квалификации действий с ПДн в качестве распространения требуется наличие хотя бы одного признака:
• доступ неограниченного круга лиц к ПДн
• доступ неопределенного круга лиц к ПДн
Роскомнадзор привел пример распространения ПДн: размещение на двери кабинета таблички с Ф.И.О. и должностью сотрудника квалифицировано как предоставление ПДн, а не распространение, ввиду того что в данных обстоятельствах ПДн раскрываются определенному кругу лиц (п. 6 ст. 3 152-ФЗ).
Верные ответы:
• Нет, не является, если доступ к табличке есть у определенного круга лица
• Да, является, если доступ к табличке есть у неограниченного круга лиц
Также, в соответствии с п. 5 ст. 3 152-ФЗ, распространением ПДн является раскрытие ПДн неопределенному кругу лиц.
Для квалификации действий с ПДн в качестве распространения требуется наличие хотя бы одного признака:
• доступ неограниченного круга лиц к ПДн
• доступ неопределенного круга лиц к ПДн
Роскомнадзор привел пример распространения ПДн: размещение на двери кабинета таблички с Ф.И.О. и должностью сотрудника квалифицировано как предоставление ПДн, а не распространение, ввиду того что в данных обстоятельствах ПДн раскрываются определенному кругу лиц (п. 6 ст. 3 152-ФЗ).
Верные ответы:
• Нет, не является, если доступ к табличке есть у определенного круга лица
• Да, является, если доступ к табличке есть у неограниченного круга лиц
🔥15❤1🤔1
Лаборатория Касперского выявила новый упрощенный метод обнаружения следов присутствия на iPhone шпионского ПО, такого как Pegasus, Reign и Predator.
Метод называется iShutdown. Он заключается в анализе файла Shutdown.log на iPhone, в который записываются события, возникающие при перезагрузке устройства. Анализ может быть выполнен значительно быстрее подходов, основанных на оценке образа или полной резервной копии устройства. Признаком присутствия шпионского ПО является наличие в файле записей о задержке перезагрузки определенными процессами, а также индикаторы компрометации – пути /private/var/db/ и /private/var/tmp/. Важным условием для использования метода является необходимость перезагрузки устройства пользователем уже после возможного заражения.
Лаборатория Касперского разработала набор скриптов, позволяющий провести самостоятельный анализ iPhone по новому методу. Преимуществом метода, кроме скорости, является также отсутствие личной информации в анализируемом файле.
#Forensic
#Spyware
Метод называется iShutdown. Он заключается в анализе файла Shutdown.log на iPhone, в который записываются события, возникающие при перезагрузке устройства. Анализ может быть выполнен значительно быстрее подходов, основанных на оценке образа или полной резервной копии устройства. Признаком присутствия шпионского ПО является наличие в файле записей о задержке перезагрузки определенными процессами, а также индикаторы компрометации – пути /private/var/db/ и /private/var/tmp/. Важным условием для использования метода является необходимость перезагрузки устройства пользователем уже после возможного заражения.
Лаборатория Касперского разработала набор скриптов, позволяющий провести самостоятельный анализ iPhone по новому методу. Преимуществом метода, кроме скорости, является также отсутствие личной информации в анализируемом файле.
#Forensic
#Spyware
👍9👏3🤔2
Позиция Роскомнадзора
Заключение трудового договора является правовым основанием обработки персональных данных (ПДн) в соответствии с п.5 ч.1 ст.6 152-ФЗ, в случае если:
• объем обрабатываемых работодателем ПДн не превышает объем, установленный в ТК РФ;
• обработка ПДн работника не выходит за рамки требований норм ТК РФ. В ином случае необходимо оформление согласия на обработку ПДн (семинары Роскомнадзора от 29.09.2022 г. и от 28.01.2021 г.)
Судебная практика
Указанной позиции придерживаются и суды РФ, предусматривая возможность работодателя продолжить обработку ПДн для установленных целей обработки и после отзыва работником согласия на обработку ПДн.
GDPR
Заключение трудового договора является правовым основанием для обработки ПДн работника.
Также в рамках трудовых отношений правовыми основаниями могут также являться правовые обязательства контроллера и легитимный интерес.
При этом полученное согласие работника на обработку ПДн в рамках трудового договора будет являться незаконным.
#Privacy
#ПолезноЗнать
Заключение трудового договора является правовым основанием обработки персональных данных (ПДн) в соответствии с п.5 ч.1 ст.6 152-ФЗ, в случае если:
• объем обрабатываемых работодателем ПДн не превышает объем, установленный в ТК РФ;
• обработка ПДн работника не выходит за рамки требований норм ТК РФ. В ином случае необходимо оформление согласия на обработку ПДн (семинары Роскомнадзора от 29.09.2022 г. и от 28.01.2021 г.)
Судебная практика
Указанной позиции придерживаются и суды РФ, предусматривая возможность работодателя продолжить обработку ПДн для установленных целей обработки и после отзыва работником согласия на обработку ПДн.
GDPR
Заключение трудового договора является правовым основанием для обработки ПДн работника.
Также в рамках трудовых отношений правовыми основаниями могут также являться правовые обязательства контроллера и легитимный интерес.
При этом полученное согласие работника на обработку ПДн в рамках трудового договора будет являться незаконным.
#Privacy
#ПолезноЗнать
🔥17
Вопрос
Если на сайте в форме сбора обратной связи заполняется только номер телефона, нужно ли запрашивать для его обработки согласие на обработку персональных данных (ПДн)?
Ответ
Да, согласие нужно. Если номер телефона зарегистрирован на физическое лицо, то такая информация будет являться ПДн.
Эту позицию подтверждает Минкомсвязи РФ, что и без сбора иных идентифицирующих сведений номер телефона может быть признан ПДн, так как такая информация относится к прямо или косвенно определенному или определяемому физическому лицу.
Однако согласно позиции Роскомнадзора, номер телефона без дополнительной информации не является ПДн (семинары РКН от 21.01.2020 г. и 26.11.2020 г.). Данную позицию можно встретить и в судебных решениях.
#KeptОтвечает
#Privacy
Если на сайте в форме сбора обратной связи заполняется только номер телефона, нужно ли запрашивать для его обработки согласие на обработку персональных данных (ПДн)?
Ответ
Да, согласие нужно. Если номер телефона зарегистрирован на физическое лицо, то такая информация будет являться ПДн.
Эту позицию подтверждает Минкомсвязи РФ, что и без сбора иных идентифицирующих сведений номер телефона может быть признан ПДн, так как такая информация относится к прямо или косвенно определенному или определяемому физическому лицу.
Однако согласно позиции Роскомнадзора, номер телефона без дополнительной информации не является ПДн (семинары РКН от 21.01.2020 г. и 26.11.2020 г.). Данную позицию можно встретить и в судебных решениях.
#KeptОтвечает
#Privacy
👍8🔥4
CISO & DPO news #9 (29 января – 2 февраля 2024 года)
1/9 Минцифры ведет разбирательство по сбою, а Роскомнадзор пояснил порядок действий для провайдеров и владельцев автономных систем.
2/9 Исследователи выяснили, как уязвимость Outlook может привести к утечке паролей NTLM.
3/9 Эксперты по кибербезопасности обнаружили новую версию вредоносного ПО ZLoader, появившуюся спустя 2 года после демонтажа инфраструктуры ботнета.
4/9 В библиотеке PyPI распространяются вредоносные пакеты для кражи информации с устройств.
5/9 Правительство РФ поддержало проект по включению нового состава преступления по незаконному использованию ПДн в УК РФ.
6/9 Минцифры обновит перечень индикаторов риска нарушения обязательных требований при контроле Роскомнадзора за обработкой персональных данных.
7/9 EDPB разработал инструмент для аудита веб-сайтов.
8/9 Европейская Комиссия оставила в силе статус 11 юрисдикций как обеспечивающих адекватный уровень защиты персданных.
1/9 Минцифры ведет разбирательство по сбою, а Роскомнадзор пояснил порядок действий для провайдеров и владельцев автономных систем.
2/9 Исследователи выяснили, как уязвимость Outlook может привести к утечке паролей NTLM.
3/9 Эксперты по кибербезопасности обнаружили новую версию вредоносного ПО ZLoader, появившуюся спустя 2 года после демонтажа инфраструктуры ботнета.
4/9 В библиотеке PyPI распространяются вредоносные пакеты для кражи информации с устройств.
5/9 Правительство РФ поддержало проект по включению нового состава преступления по незаконному использованию ПДн в УК РФ.
6/9 Минцифры обновит перечень индикаторов риска нарушения обязательных требований при контроле Роскомнадзора за обработкой персональных данных.
7/9 EDPB разработал инструмент для аудита веб-сайтов.
8/9 Европейская Комиссия оставила в силе статус 11 юрисдикций как обеспечивающих адекватный уровень защиты персданных.
👍12