Обфускация – техника, делающая исходный код программы сложным для понимания, что затрудняет его обратную разработку и анализ. Она защищает интеллектуальную собственность, усложняет злоумышленникам доступ к логике программы и снижает вероятность её модификации. Обфускация выполняется с помощью специальных инструментов — обфускаторов, которые изменяют код автоматически. 
 
Виды обфускации
1️⃣Лексическая обфускация – упрощённое изменение названий переменных и функций.
2️⃣Обфускация структур данных – усложнение логики обработки данных.
3️⃣Обфускация потока управления – изменение порядка выполнения программы.
4️⃣Превентивная обфускация – защита от автоматического восстановления кода.
 
Стоит учесть, что обфускация имеет ряд недостатков:
▫️Увеличение объема код и длительности его выполнения;
▫️Риск возникновения ошибок и усложнение отладки и тестирования.
 
Обфускация теряет популярность из-за появления более эффективных методов защиты, так как не гарантирует полной безопасности, а лишь делает анализ и взлом долгими и невыгодными.
 
В настоящий момент более эффективными методами защиты считаются:
▫️проверка целостности кода и его подпись;
▫️динамическая защита от отладки;
▫️виртуализация нативного кода (код, выполняемый непосредственно процессором)

#ИБ

Публикуем десятый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на февраль 2025 года.

Подборка мероприятий в файле под этим постом ⬇️

#Непропустимыесобытия

28 января (вторник) в московском офисе Kept пройдёт ежегодное мероприятие Kept Privacy Day.

На мероприятии эксперты Группы по оказанию услуг в области кибербезопасности Kept, а также приглашенные гости из крупнейших российских и международных компаний рассмотрят самые актуальные вопросы в сфере работы с персональными данным (ПДн).

Среди тем для обсуждения:
 
▫️как проходят будни инженера по защите ПДн;
▫️какова задача аудита по защите ПДн внутри группы компании;
▫️какие позитивные тенденции отслеживаются в 152-ФЗ.
 
Помимо выступлений, в ходе мероприятия будут проведены кофе-брейк с квизом и круглый стол по определению роли личности в построении приватности, а завершающим аккордом станет фуршет, где можно будет пообщаться со спикерами и задать интересующие вопросы.
 
Спикерами мероприятия будут:
 
▫️Роман Мартинсон, Kept
▫️Екатерина Басниева, Самокат
▫️Николай Виноградов, Русагро Тех
▫️Игорь Аладьев, Северсталь-инфоком
▫️Галина Алексеева, Северсталь-инфоком
▫️Ирина Кононенко, Альфа-Банк
▫️Ольга Мишина, ОТЭКО
▫️Сергей Тимофеев, Астразенека
 
Участие бесплатное.
 
🗓️ Регистрация доступна по ссылке и возможна до 26 января включительно.
 
Ждем встречи на мероприятии!

#Privacy

30 ноября 2024 г. были внесены изменений в УК РФ, связанные с незаконным использованием персональных данных (ПДн). Ниже мы рассмотрим основные статьи УК РФ, касающиеся ПДн и частной жизни.

Нарушение неприкосновенности частной жизни
Ст. 137 УК РФ устанавливает уголовную ответственность за незаконное собирание и распространение сведений о частной жизни лица без его согласия, либо распространение в публичном выступлении, произведении или СМИ.

Признаки нарушения:
▫️ Способ сбора сведений, не предусмотрен законом;
▫️ Отсутствие согласия субъекта на сбор или распространение сведений;
▫️ Умышленная вина и прямой умысел.

Примеры нарушений:
▫️Установка скрытой камеры в раздевалке с последующим опубликованием видео.
▫️Создание «фейковых» страниц в соцсетях с публикацией интимных фото и видео других лиц, указанием их контактных данных.

Незаконное использование и передача компьютерной информации
Новая статья 272.1 УК РФ устанавливает уголовную ответственность за незаконное использование, передачу, сбор и хранение ПДн, полученных путем неправомерного доступа или иным незаконным способом.

Условия привлечения к уголовной ответственности:
▫️Незаконный способ получения ПДн;
▫️Незаконное использование и распоряжение ПДн.

Повышенная уголовная ответственность предусмотрена в отношении особых категорий ПДн:
▫️ПДн несовершеннолетних;
▫️Специальные категории ПДн;
▫️Биометрические ПДн;
▫️ПДн, сопряжённые с трансграничной передачей.

❗Действие статьи не распространяется на обработку ПДн для личных и семейных нужд.

Важно отметить, что в УК РФ предусмотрены иные преступления против чести и достоинства или касающиеся незаконного доступа к компьютерной информации, которые тоже могут содержать ПДн.

#Privacy
#ПолезноЗнать

Для кого?
Курс «Персональные данные: интенсив» подойдет всем, кто работает с персональными данными (ПДн).

Из чего состоит?
▫️Структура курса построена на основных задачах ответственного за организацию обработки ПДн.
▫️Темы учитывают не только 152-ФЗ, но требования в области защиты ПДн (ПП РФ 1119, Приказ ФСТЭК 21, Приказы РКН и др.). Подробная программа доступна по ссылке.
▫️Практические задания курса, связанны с решением ежедневных прикладных задач в области ПДн.

Формат?
За 2 дня вы пройдете экспресс-погружение в сферу правового регулирования и обеспечения безопасности ПДн в России. Очное обучение, потому что мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников.
Мы подбираем кейсы из своей практики, связанные с компаниями или сферой деятельности участников, а также делимся инсайтами и своими подходами.

Когда?
27-28 марта в новом Московском офисе Kept.

Содержание тренинга и регистрация доступны по ссылке.

#Privacy

Вопрос:

Какие ключевые аспекты законодательства КНР в области персональных данных необходимо учитывать российскому бизнесу при выходе на рынок КНР?

Ответ:

В КНР основным законом в сфере обработки и защиты ПДн является Personal Information Protection Law (PIPL).

PIPL действует экстерриториально, то есть закон может быть применим к организациям за пределами КНР, если они обрабатывают ПДн пользователей из КНР. PIPL регулирует обработку ПДн, включая обязанности операторов и обработчиков ПДн, а также условия трансграничной передачи ПДн.

Если российских бизнес планирует предлагать услуги и/или товары пользователям из КНР, то на него распространяется действие PIPL. В этом случае, важно учитывать:

Основные принципы обработки ПДн (ст. 6-8 PIPL):
▫️ПДн должны обрабатываться для определенных целей законным и прозрачным способом;
▫️Необходимо соблюдать принципы минимизации, точности и конфиденциальности ПДн.

Права субъектов ПДн (гл. 4 PIPL):
▫️получение информации о целях, методах, объемах обработки, а также копии данных;
▫️принятие решений об обработке (включая право на отказ);
▫️исправление, удаление и переносимость ПДн;
▫️ограничение или прекращение обработки.

Основания обработки ПДн (ст. 13 PIPL):
▫️согласие субъекта;
▫️исполнение договора;
▫️требования законодательства;
▫️обработка в журналистских целях;
▫️общедоступность ПДн;
▫️обработка необходима для защиты жизни, здоровья и имущества субъекта;
▫️иные обстоятельства, предусмотренные законом.

Важно отметить, что в КНР нет перечня стран, обеспечивающих адекватную защиту прав субъектов ПДн, то есть передача в любую страну за пределы КНР будет осуществлять по единым правилам (подробнее в карточке). Также в соответствии со ст. 55-56 PIPL, компании должны проводить PIPIA при передаче ПДн (в том числе не трансграничной) третьему лицу.

Соблюдение приведенных выше норм позволит избежать значительных штрафов (до 50 млн юаней, согласно ст. 66 PIPL) и ограничений на работу в КНР (ст. 42 PIPL).

#Privacy
#KeptОтвечает