Media is too big
VIEW IN TELEGRAM
В октябре мы побеседовали с Денисом Суржко, заместителем руководителя департамента анализа данных и моделирования, вице-президентом банка ВТБ.
Нам удалось поговорить о многом: о людях и технологиях, об управлении бизнесом в ИТ и об управленцах вообще, о рисках использования ИИ и о его правильном применении. Об ИИ в информационной безопасности и о том, нужна ли защита от ИИ.
Вот что получилось.
Нам удалось поговорить о многом: о людях и технологиях, об управлении бизнесом в ИТ и об управленцах вообще, о рисках использования ИИ и о его правильном применении. Об ИИ в информационной безопасности и о том, нужна ли защита от ИИ.
Вот что получилось.
👍32❤23🔥15🏆3⚡2
Несколько кадров с концерта 12 ноября. Спасибо каждому, кто был частью этого вечера!
❤103👍51🔥26🙏6
Фотографии из недавней поездки в Крым. Новый Херсонес. Речка с цветными карпами
❤78👍47🥰14🤔2🕊2
Уважаемые подписчики!
Благодарю вас за активное обсуждение моих постов. Сегодня многие каналы закрывают комментарии из‑за необходимости тратить большие силы на модерацию спама, троллинга и противодействие провокаторам.
Я же хочу, чтобы комментариев становилось больше, поскольку большинство обсуждений бывают полезными и интересными, дают мне необходимую обратную связь. Поэтому прошу вас и дальше помогать модераторам, избегая эмоциональных и необдуманных высказываний.
Напоминаю правила общения в канале:
Благодарю вас за активное обсуждение моих постов. Сегодня многие каналы закрывают комментарии из‑за необходимости тратить большие силы на модерацию спама, троллинга и противодействие провокаторам.
Я же хочу, чтобы комментариев становилось больше, поскольку большинство обсуждений бывают полезными и интересными, дают мне необходимую обратную связь. Поэтому прошу вас и дальше помогать модераторам, избегая эмоциональных и необдуманных высказываний.
Напоминаю правила общения в канале:
• Не допускать оскорблений, перехода на личности, брани и использования ненормативной лексики
• Не оскорблять представителей государства и бизнеса, силовых ведомств и структур
• Не заниматься антироссийской пропагандой (и пропагандой вообще) и дискредитацией вооруженных сил РФ
• Не допускать прямой рекламы, не заниматься спамом, не давать ссылок в комментариях
• Не продвигать агрессивно собственные идеи, программы и документы, особенно в ущерб конструктивной дискуссии
• Не устраивать холиваров
👍92🫡13❤11💯7🙏3
Меня часто спрашивают – а что изменилось в правовом поле с вступлением в силу новых требований к защите персональных данных? Что происходит, если эти требования не соблюдать?
Лучше меня на эти вопросы в подкасте «Под защитой» ответил наш юрист по информационной безопасности – Илья Башкиров.
Лучше меня на эти вопросы в подкасте «Под защитой» ответил наш юрист по информационной безопасности – Илья Башкиров.
❤29👍25🔥10🙏5
Media is too big
VIEW IN TELEGRAM
«Каждый выбирает для себя», автор слов - Юрий Левитанский, автор музыки - Сергей Никитин.
🎙Песня прозвучала на ИТ-квартирнике АРПП «Отечественный софт»
🎙Песня прозвучала на ИТ-квартирнике АРПП «Отечественный софт»
🔥65👏44❤29👍10🙏4
Media is too big
VIEW IN TELEGRAM
Хочу еще раз поблагодарить журналистов, которые приходили в октябре на пресс-конференцию ассоциаций, посвящённую внезапному повышению налогов на ИТ-отрасль, публиковали материалы на эту тему.
Благодаря вам мы сумели сохранить льготу по НДС для отечественных разработчиков ПО, отстоять ИТ-отрасль и добиться того, что Правительство нас услышало.
Спасибо и за то, что были с нами на пятничном квартирнике АРПП «Отечественный софт». Получилось и полезно, и душевно.
Благодаря вам мы сумели сохранить льготу по НДС для отечественных разработчиков ПО, отстоять ИТ-отрасль и добиться того, что Правительство нас услышало.
Спасибо и за то, что были с нами на пятничном квартирнике АРПП «Отечественный софт». Получилось и полезно, и душевно.
👍64❤25🔥16🙏7🥰4
На днях мне потребовалась свежая статистика по киберинцидентам для одной из презентаций. Взяла отчет Positive Technologies за 2024 год «Как изменились атаки на российские компании за два года (2022-2024)». Там приведено число успешных атак: 220 в 2022, 167 в 2023 и 217 в 2024.
«Что-то маловато атак», — подумала я. Полезла в статистику прошлых лет, чтобы понять, с чем в Positive Technologies сравнивают число успешных атак. Данных за 2023 год мне найти не удалось. А в отчёте за 2022 год значилось 2920 инцидентов. Но как эти почти три тысячи инцидентов соотносятся с 220 атаками? Это те же самые атаки? Или это другие? Или атаки из отчета-2024 являлись частью инцидентов отчета-2022? Но как тогда это рассчитано?
Чтобы уточнить этот вопрос, я полезла в отчеты «Ростелеком-Солар», который анализирует атаки на ИТ-инфраструктуру своих клиентов. В 2021 их было 190, и «Солар» насчитал 300 атак. Чтобы запутать читателя, они разделили атаки на атаки от профессиональных группировок и атаки «группировок среднего уровня» (не спрашивайте, что это – я не осилила принцип разделения). В отчете 2022 года «Солар» применяет *другую методику*, по которой в первом полугодии выявили 416 тысяч (!) инцидентов и 495 тысяч (!) во втором, то есть суммарно 911 тысяч. Никакого деления на «профессиональные» и «средние» группировки в отчете нет. Как и объяснения, чем инциденты отличаются от атак.
В 2023 году «Солар» посчитал по полугодиям – 614 и 869 тысяч и сравнил с предыдущим годом – 416 и 571 тыс. соответственно (стр.10 отчета). Цифра по первому полугодию 2023 года совпадает с цифрой из прошлогоднего отчета, а по второму выросла на 76 тысяч. Феномен этот в отчете не объясняется. Но в сводной статистике отчета-2023 цифра за 2022 год — 912 тыс. (цифра не совпадает ни с отчетом-2022, ни с цифрами отчета-2023), а за 2023 год цифру округлили до 1,5 миллионов (стр.12 отчета-2023).
Я взяла отчет за 2024 год, надеясь, что в этом году компания внесёт какие-то уточнения. Меня ожидал сюрприз: «Всего за 2024 год мониторинг Solar JSOC выявил более 31 тыс. атак (инцидентов, подтвержденных заказчиком). Это в целом соответствует показателям 2023 года». То есть падение в 48 раз в целом соответствует показателю 2023 года. Естественно, падение не обсуждается, а цифры 2023 года в отчете-2024 просто не приводятся.
Что касается отчетов «Лаборатории Касперского», то моего интеллектуального ресурса и математического образования не хватило, чтобы понять обобщенную статистику этого вендора. «ЛК» выпускает множество мелких отчетов, среди которых общая статистика просто тонет.
Выводы:
✅ Выглядит так, что крупнейшие вендоры российского кибербеза не очень озабочены созданием нормальной методологии анализа своих данных.
✅ Похоже, что отчёты по киберугрозам делают разные люди и по разным методикам. Поэтому цифры угроз различаются на несколько порядков. Вот, скажем, у «Солара» в 2021 году была одна методика, в 2022-2023 – другая (хоть и с косяками), а в 2024-м они решили использовать третью.
✅ Получается, любая статистика угроз, которую мы видим у наших глубокоуважаемых вендоров по кибербезопасности, нерелевантна.
Я не могу объяснить этот феномен. Возможно, проблема в том, что нет официальных источников статистики компьютерных атак, их классификации. Так что из них не получается сложить целостную картину ни по стране, ни по отраслям.
Меня это удивляет. Например, экспертно-аналитический центр (ЭАЦ) InfoWatch с 2007 года собирает и анализирует утечки, информация о которых попала в СМИ. Методика, возможно, не идеальна, но общую статистику числа утечек можно отследить за последние 17 лет, и она будет корректной, ибо подобное сравнивается с подобным.
Почему этого не могут сделать наши уважаемые акулы кибербеза?
Вроде, выработать одну методологию и придерживаться её на протяжении хотя бы нескольких лет – логичнее, чем менять её раз в год или в два.
«Что-то маловато атак», — подумала я. Полезла в статистику прошлых лет, чтобы понять, с чем в Positive Technologies сравнивают число успешных атак. Данных за 2023 год мне найти не удалось. А в отчёте за 2022 год значилось 2920 инцидентов. Но как эти почти три тысячи инцидентов соотносятся с 220 атаками? Это те же самые атаки? Или это другие? Или атаки из отчета-2024 являлись частью инцидентов отчета-2022? Но как тогда это рассчитано?
Чтобы уточнить этот вопрос, я полезла в отчеты «Ростелеком-Солар», который анализирует атаки на ИТ-инфраструктуру своих клиентов. В 2021 их было 190, и «Солар» насчитал 300 атак. Чтобы запутать читателя, они разделили атаки на атаки от профессиональных группировок и атаки «группировок среднего уровня» (не спрашивайте, что это – я не осилила принцип разделения). В отчете 2022 года «Солар» применяет *другую методику*, по которой в первом полугодии выявили 416 тысяч (!) инцидентов и 495 тысяч (!) во втором, то есть суммарно 911 тысяч. Никакого деления на «профессиональные» и «средние» группировки в отчете нет. Как и объяснения, чем инциденты отличаются от атак.
В 2023 году «Солар» посчитал по полугодиям – 614 и 869 тысяч и сравнил с предыдущим годом – 416 и 571 тыс. соответственно (стр.10 отчета). Цифра по первому полугодию 2023 года совпадает с цифрой из прошлогоднего отчета, а по второму выросла на 76 тысяч. Феномен этот в отчете не объясняется. Но в сводной статистике отчета-2023 цифра за 2022 год — 912 тыс. (цифра не совпадает ни с отчетом-2022, ни с цифрами отчета-2023), а за 2023 год цифру округлили до 1,5 миллионов (стр.12 отчета-2023).
Я взяла отчет за 2024 год, надеясь, что в этом году компания внесёт какие-то уточнения. Меня ожидал сюрприз: «Всего за 2024 год мониторинг Solar JSOC выявил более 31 тыс. атак (инцидентов, подтвержденных заказчиком). Это в целом соответствует показателям 2023 года». То есть падение в 48 раз в целом соответствует показателю 2023 года. Естественно, падение не обсуждается, а цифры 2023 года в отчете-2024 просто не приводятся.
Что касается отчетов «Лаборатории Касперского», то моего интеллектуального ресурса и математического образования не хватило, чтобы понять обобщенную статистику этого вендора. «ЛК» выпускает множество мелких отчетов, среди которых общая статистика просто тонет.
Выводы:
✅ Выглядит так, что крупнейшие вендоры российского кибербеза не очень озабочены созданием нормальной методологии анализа своих данных.
✅ Похоже, что отчёты по киберугрозам делают разные люди и по разным методикам. Поэтому цифры угроз различаются на несколько порядков. Вот, скажем, у «Солара» в 2021 году была одна методика, в 2022-2023 – другая (хоть и с косяками), а в 2024-м они решили использовать третью.
✅ Получается, любая статистика угроз, которую мы видим у наших глубокоуважаемых вендоров по кибербезопасности, нерелевантна.
Я не могу объяснить этот феномен. Возможно, проблема в том, что нет официальных источников статистики компьютерных атак, их классификации. Так что из них не получается сложить целостную картину ни по стране, ни по отраслям.
Меня это удивляет. Например, экспертно-аналитический центр (ЭАЦ) InfoWatch с 2007 года собирает и анализирует утечки, информация о которых попала в СМИ. Методика, возможно, не идеальна, но общую статистику числа утечек можно отследить за последние 17 лет, и она будет корректной, ибо подобное сравнивается с подобным.
Почему этого не могут сделать наши уважаемые акулы кибербеза?
Вроде, выработать одну методологию и придерживаться её на протяжении хотя бы нескольких лет – логичнее, чем менять её раз в год или в два.
ptsecurity.com
Аналитические статьи
👍62❤30🔥17💯10👎1
Дочь сказала мне, что с марта следующего года заболевших людей будут без их разрешения вносить в некий единый государственный регистр заболеваний. Я не поверила – разве такое возможно в правовой стране, где есть законы о врачебной тайне и защите персональных данных?
Полезла в интернет и нашла Постановление Правительства №822 от 31 мая 2025: https://www.garant.ru/products/ipo/prime/doc/412004982/ Общественное обсуждение проекта должно было быть закончено к 28 сентября. То есть, надо полагать, оно уже закончено. Однако я что-то не слышала ни об обсуждении, ни о широком общественном резонансе по этой теме.
Поиск обсуждения в интернете выдал несколько ссылок на СМИ с официальным анонсом и вялыми комментариями какого-то случайного набора экспертов - что, может быть, данное постановление слегка противоречит некоторым российским законам.
Давайте разберёмся.
Итак, медицинские и другие упомянутые в списке учреждения будут обязаны (!) предоставлять данные о заболеваниях, перечисленных в п.8:
«а) злокачественные новообразования (С00-С96), включая злокачественные новообразования лимфоидной, кроветворной и родственных им тканей;
б) новообразования in situ (D00-D09);
в) сахарный диабет (Е10-Е14);
г) психические расстройства и расстройства поведения, требующие диспансерного наблюдения (F01, F03-F99);
д) ишемические болезни сердца, в том числе с нарушениями ритма и проводимости (I20-I24), (I44-I49);
е) наличие сердечных и сосудистых имплантов и трансплантатов (Z95.0);
ж) кардиомиопатия (I42);
з) сердечная недостаточность (I50);
и) острые нарушения мозгового кровообращения (I60-I66);
к) болезни печени, включая алкогольную этиологию (К70-К76);
л) беременность, роды и послеродовый период (О00-099);
м) хронические обструктивные болезни легких (J44)».
Коды в скобках, видимо, означают какие-то коды болезней ВОЗ. Следующие два пункта Постановления достойны того, чтобы их привести целиком (выделено мной):
«9. Запись регистра формируется в случае выявления у пациента заболеваний и (или) состояний, указанных в пункте 8 настоящих Правил. Записи регистра присваиваются уникальный регистровый номер и дата его присвоения. Исключение записей из регистра не предусмотрено.
10. Состав информации о пациентах, размещаемой в регистре, приведен в приложении к настоящим Правилам. Информация вносится по каждому пациенту, у которого выявлены заболевания и (или) состояния, указанные в пункте 8 настоящих Правил».
В переводе с бюрократического на русский это означает, что любой человек, который обратился за помощью к врачу по вышеперечисленному поводу или даже подозрению на таковой – автоматически попадает в Регистр. Данные вносятся без согласия и без ведома пациента.
И убрать себя оттуда – нельзя. Исключений не предусмотрено.
При этом, если изучить «Состав информации и обобщенных сведений о пациентах, размещаемых в федеральном регистре лиц с отдельными заболеваниями», то видна удивительная вещь. Чтобы стать пациентом с психическими заболеваниями, например, достаточно установить: «Факт проведения пациенту патопсихологического исследования (с указанием даты проведения и результатов такого исследования)» или «Факт наличия у пациента суицидальных мыслей и намерений…» То есть обратились к врачу с просьбой об исследовании – всё, готово, ты – псих в Регистре. Или, не дай Бог, поделился с врачом о плохих мыслях – добро пожаловать в регистр с очень нехорошей пометкой.
Полезла в интернет и нашла Постановление Правительства №822 от 31 мая 2025: https://www.garant.ru/products/ipo/prime/doc/412004982/ Общественное обсуждение проекта должно было быть закончено к 28 сентября. То есть, надо полагать, оно уже закончено. Однако я что-то не слышала ни об обсуждении, ни о широком общественном резонансе по этой теме.
Поиск обсуждения в интернете выдал несколько ссылок на СМИ с официальным анонсом и вялыми комментариями какого-то случайного набора экспертов - что, может быть, данное постановление слегка противоречит некоторым российским законам.
Давайте разберёмся.
Итак, медицинские и другие упомянутые в списке учреждения будут обязаны (!) предоставлять данные о заболеваниях, перечисленных в п.8:
«а) злокачественные новообразования (С00-С96), включая злокачественные новообразования лимфоидной, кроветворной и родственных им тканей;
б) новообразования in situ (D00-D09);
в) сахарный диабет (Е10-Е14);
г) психические расстройства и расстройства поведения, требующие диспансерного наблюдения (F01, F03-F99);
д) ишемические болезни сердца, в том числе с нарушениями ритма и проводимости (I20-I24), (I44-I49);
е) наличие сердечных и сосудистых имплантов и трансплантатов (Z95.0);
ж) кардиомиопатия (I42);
з) сердечная недостаточность (I50);
и) острые нарушения мозгового кровообращения (I60-I66);
к) болезни печени, включая алкогольную этиологию (К70-К76);
л) беременность, роды и послеродовый период (О00-099);
м) хронические обструктивные болезни легких (J44)».
Коды в скобках, видимо, означают какие-то коды болезней ВОЗ. Следующие два пункта Постановления достойны того, чтобы их привести целиком (выделено мной):
«9. Запись регистра формируется в случае выявления у пациента заболеваний и (или) состояний, указанных в пункте 8 настоящих Правил. Записи регистра присваиваются уникальный регистровый номер и дата его присвоения. Исключение записей из регистра не предусмотрено.
10. Состав информации о пациентах, размещаемой в регистре, приведен в приложении к настоящим Правилам. Информация вносится по каждому пациенту, у которого выявлены заболевания и (или) состояния, указанные в пункте 8 настоящих Правил».
В переводе с бюрократического на русский это означает, что любой человек, который обратился за помощью к врачу по вышеперечисленному поводу или даже подозрению на таковой – автоматически попадает в Регистр. Данные вносятся без согласия и без ведома пациента.
И убрать себя оттуда – нельзя. Исключений не предусмотрено.
При этом, если изучить «Состав информации и обобщенных сведений о пациентах, размещаемых в федеральном регистре лиц с отдельными заболеваниями», то видна удивительная вещь. Чтобы стать пациентом с психическими заболеваниями, например, достаточно установить: «Факт проведения пациенту патопсихологического исследования (с указанием даты проведения и результатов такого исследования)» или «Факт наличия у пациента суицидальных мыслей и намерений…» То есть обратились к врачу с просьбой об исследовании – всё, готово, ты – псих в Регистре. Или, не дай Бог, поделился с врачом о плохих мыслях – добро пожаловать в регистр с очень нехорошей пометкой.
www.garant.ru
Постановление Правительства России от 31 мая 2025 г. №822 Об утверждении Правил ведения федерального регистра лиц с отдельными…
Документы ленты ПРАЙМ: Постановление Правительства России от 31 мая 2025 г. №822 Об утверждении Правил ведения федерального регистра лиц с отдельными заболеваниями | ГАРАНТ
😨93🤬50🤔44🔥14❤13
Что же говорят официальные источники о целях этого регистра? «Цель регистра — мониторинг заболеваемости и демографии, а также упрощение планирования бюджета и кадров в системе здравоохранения. Единая система избавит врачей от многократного ввода информации... Сегодня основную статистику Минздрав и Росстат собирают вручную через ежегодные формы. Кроме того, доступ к системе позволит своевременно сверять данные между службами. Сейчас, например, у МВД нет способа узнать, поставлен ли человек на учет в психоневрологический диспансер...»
Ну, то есть цель – это получить статистику. Не улучшение лечения, не повышение качества обслуживания. Ну, и возможность надёжно зафиксировать психов и беременных. С последующей передачей их данных силовикам. А как информация из МВД утекает, в целом, известно – на рынке множество компаний предлагают услуги по проверке физлиц за небольшие деньги.
«А не нарушает ли», – спросят скептики – «данное постановление ФЗ-152 о защите персональных данных, в котором чётко сказано, что данные могут быть переданы только с разрешения физлица?» Да, нарушает. И не только его. Но ещё и Федеральный Закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
А также очень похоже, что нарушает и конституционные права граждан на тайну личной жизни. Однако в Постановлении написано, что оно учитывает требования по защите данных – отстаньте, скептики!
Итак, с 1.03.2026 в России с целями контроля и сбора статистики создается единый Регистр по 12 болезням, среди которых беременность (которую, видимо, Минздрав считает болезнью и намерен с ней эффективно бороться). Медицинские учреждения и госорганы обязаны передавать данные о пациентах с этими 12 заболеваниями без разрешения пациентов. Регистр ведёт Минздрав, а доступ к системе получат ещё с десяток разных организаций, включая не имеющее отношение к болезням МВД.
История утечек из государственных ведомств нам всем известна. Мошенникам, вербовщикам, военным противникам будет где разгуляться.
Ну, то есть цель – это получить статистику. Не улучшение лечения, не повышение качества обслуживания. Ну, и возможность надёжно зафиксировать психов и беременных. С последующей передачей их данных силовикам. А как информация из МВД утекает, в целом, известно – на рынке множество компаний предлагают услуги по проверке физлиц за небольшие деньги.
«А не нарушает ли», – спросят скептики – «данное постановление ФЗ-152 о защите персональных данных, в котором чётко сказано, что данные могут быть переданы только с разрешения физлица?» Да, нарушает. И не только его. Но ещё и Федеральный Закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
А также очень похоже, что нарушает и конституционные права граждан на тайну личной жизни. Однако в Постановлении написано, что оно учитывает требования по защите данных – отстаньте, скептики!
Итак, с 1.03.2026 в России с целями контроля и сбора статистики создается единый Регистр по 12 болезням, среди которых беременность (которую, видимо, Минздрав считает болезнью и намерен с ней эффективно бороться). Медицинские учреждения и госорганы обязаны передавать данные о пациентах с этими 12 заболеваниями без разрешения пациентов. Регистр ведёт Минздрав, а доступ к системе получат ещё с десяток разных организаций, включая не имеющее отношение к болезням МВД.
История утечек из государственных ведомств нам всем известна. Мошенникам, вербовщикам, военным противникам будет где разгуляться.
😱164🤔40❤22👍16🔥13
Я всё продолжаю разбираться с темой Единого Регистра заболеваний и хочу поделиться с читателями своими изысканиями.
Напомню суть – 31 мая сего года Правительство выпустило Постановление №822, согласно которому данные о пациентах, страдающих одним из 12 перечисленных в постановлении заболеванием, будут автоматически передаваться во вновь созданный единый Регистр заболеваний.
Кто-то из читателей выражал мысль, что если данные, поступающие в Регистр, обезличены, то это может не нести рисков для пациентов. Однако в Постановлении хоть и сделаны реверансы в сторону Закона о защите персональных данных и Закона о врачебной тайне, но на деле, передавать планируется именно данные с ФИО. В частности, чтобы МВД могло у себя заблокировать выдачу разрешений на вождение и оружие для лиц, страдающих психическими и другими расстройствами.
Кроме того, если немного подумать, историю болезни нельзя эффективно обезличить, она слишком уникальна.
За это время я поговорила с парой руководителей ИТ из органов правопорядка, перечисленных в Постановлении. Их мнение таково: да, передаваться будут, конечно, персональные данные. И большим вопросом является способность Минздрава эти данные защитить.
Оба моих собеседника отметили соображение, которое первым приходит в голову любому специалисту по ИТ – единую базу выгоднее атаковать, так как в ней много данных, и точно будет, чем поживиться. А как мы знаем из практики, нападение всегда дешевле защиты. Ведь тому, кто защищает, надо предусмотреть все возможные вектора атаки, а нападающему достаточно проковырять маленькую дырочку. Лучше в «человеческой части» ИТ-системы. Например, дать денежку сотруднику, имеющему доступ к данным.
Оба моих собеседника (а я разговаривала с ними независимо и в разное время) совершенно уверены, что сотрудники, имеющие к базе доступ, будут приторговывать данными пациентов.
Развивая эту мысль – далее эти данные можно будет обогащать данными от других ведомств по нужному человеку. И таким образом, можно получить полный цифровой профиль человека, со всеми его связями, событиями, диагнозами, секретами.
Такие профили интересны очень многим честным и (или) криминальным игрокам. Например, страховым компаниям, которые перед заключением договора страхования с удовольствием изучат список болезней гражданина. И тогда человек с раком или заболеваниями сердечно-сосудистой системы не сможет заключить приличный страховой договор. Или, например, банкам перед выдачей человеку кредита. Зачем больному или обречённому давать кредит? Или, например, любой коммерческой компании при найме человека на работу. Больному, беременной – можно сказать – «Вы нам не подходите» без объяснения причин (а это будет, между прочим, нарушением статьи Уголовного Кодекса).
А ведь данные централизованных баз данных Правительства планируется передавать наружу, а также и продавать! В том числе коммерческим игрокам.
И ещё: единый Регистр – это огромное поле для коррупции – от «не включайте меня, заплачу» до шантажа и вымогательств любого вида. Ведь в конечном итоге доступ к данным граждан получают не собственно ведомства (здания и бумажные институции), а люди, которые в этих зданиях работают. Если бы мы были на 100% уверены, что все получившие доступ исключительно честны, бескорыстны и праведны (и подписали все обязательства о неразглашении), мы бы, может, не так переживали о некорректном использовании данных. Но кто даст гарантии праведности ИТ-клерка, его ИТ-директора, начальника ИТ-директора? Особенно это сомнительно в отношении рядовых исполнителей, ИТ-клерков, у которых маленькая зарплата, а тут – такой источник лёгких денег. Как в том анекдоте про ППС-ника – «Вы что, ещё зарплату платите?! А я думал – пистолет дали, и крутись, как хочешь!».
Вся борьба с утечками персональных данных последних лет – ужесточение штрафов и наказаний за утечки данных – пока не влияла на рост числа и объёма утекающих персональных данных. Медицина была относительным исключением, потому что данные хранились по поликлиникам и были раздроблены. Да, утечки случались, но частные и ограниченные.
Напомню суть – 31 мая сего года Правительство выпустило Постановление №822, согласно которому данные о пациентах, страдающих одним из 12 перечисленных в постановлении заболеванием, будут автоматически передаваться во вновь созданный единый Регистр заболеваний.
Кто-то из читателей выражал мысль, что если данные, поступающие в Регистр, обезличены, то это может не нести рисков для пациентов. Однако в Постановлении хоть и сделаны реверансы в сторону Закона о защите персональных данных и Закона о врачебной тайне, но на деле, передавать планируется именно данные с ФИО. В частности, чтобы МВД могло у себя заблокировать выдачу разрешений на вождение и оружие для лиц, страдающих психическими и другими расстройствами.
Кроме того, если немного подумать, историю болезни нельзя эффективно обезличить, она слишком уникальна.
За это время я поговорила с парой руководителей ИТ из органов правопорядка, перечисленных в Постановлении. Их мнение таково: да, передаваться будут, конечно, персональные данные. И большим вопросом является способность Минздрава эти данные защитить.
Оба моих собеседника отметили соображение, которое первым приходит в голову любому специалисту по ИТ – единую базу выгоднее атаковать, так как в ней много данных, и точно будет, чем поживиться. А как мы знаем из практики, нападение всегда дешевле защиты. Ведь тому, кто защищает, надо предусмотреть все возможные вектора атаки, а нападающему достаточно проковырять маленькую дырочку. Лучше в «человеческой части» ИТ-системы. Например, дать денежку сотруднику, имеющему доступ к данным.
Оба моих собеседника (а я разговаривала с ними независимо и в разное время) совершенно уверены, что сотрудники, имеющие к базе доступ, будут приторговывать данными пациентов.
Развивая эту мысль – далее эти данные можно будет обогащать данными от других ведомств по нужному человеку. И таким образом, можно получить полный цифровой профиль человека, со всеми его связями, событиями, диагнозами, секретами.
Такие профили интересны очень многим честным и (или) криминальным игрокам. Например, страховым компаниям, которые перед заключением договора страхования с удовольствием изучат список болезней гражданина. И тогда человек с раком или заболеваниями сердечно-сосудистой системы не сможет заключить приличный страховой договор. Или, например, банкам перед выдачей человеку кредита. Зачем больному или обречённому давать кредит? Или, например, любой коммерческой компании при найме человека на работу. Больному, беременной – можно сказать – «Вы нам не подходите» без объяснения причин (а это будет, между прочим, нарушением статьи Уголовного Кодекса).
А ведь данные централизованных баз данных Правительства планируется передавать наружу, а также и продавать! В том числе коммерческим игрокам.
И ещё: единый Регистр – это огромное поле для коррупции – от «не включайте меня, заплачу» до шантажа и вымогательств любого вида. Ведь в конечном итоге доступ к данным граждан получают не собственно ведомства (здания и бумажные институции), а люди, которые в этих зданиях работают. Если бы мы были на 100% уверены, что все получившие доступ исключительно честны, бескорыстны и праведны (и подписали все обязательства о неразглашении), мы бы, может, не так переживали о некорректном использовании данных. Но кто даст гарантии праведности ИТ-клерка, его ИТ-директора, начальника ИТ-директора? Особенно это сомнительно в отношении рядовых исполнителей, ИТ-клерков, у которых маленькая зарплата, а тут – такой источник лёгких денег. Как в том анекдоте про ППС-ника – «Вы что, ещё зарплату платите?! А я думал – пистолет дали, и крутись, как хочешь!».
Вся борьба с утечками персональных данных последних лет – ужесточение штрафов и наказаний за утечки данных – пока не влияла на рост числа и объёма утекающих персональных данных. Медицина была относительным исключением, потому что данные хранились по поликлиникам и были раздроблены. Да, утечки случались, но частные и ограниченные.
💯108👍29❤15🔥6🥴2
Создание единого Регистра заболеваний откроет дверь для массовых утечек чрезвычайно чувствительных данных.
Удивляет, что такое радикальное увеличение риска никем не обсуждается. Я искала отклики на Постановление в разных источниках – так, где-то есть небольшие заметки.
Только в некоторых сообщениях о Постановлении есть обсуждения. Например, на Дзене от 13 июля – 350 комментариев. И подавляющее большинство - против введения Регистра. Я нашла только 3 более-менее нейтральных высказывания и ни одного положительного.
Я также нашла несколько статей с опасениями, касающимися психических больных и предположениями о том, как можно попытаться избежать ловушки Регистра. То есть Постановление ещё не вступило в силу, а люди уже ищут способы обхода.
Удивительно, что об этом незаконном Регистре молчат Госдума, Совет по правам человека, правозащитные организации, Роскомнадзор – где они все? Неужели они допускают такое масштабное нарушение конституционных прав граждан?
Согласно ст. 13 № 323-ФЗ «Об основах охраны здоровья…» даже собственно факт обращения за помощью, диагноз и другие сведения о здоровье не могут раскрываться без согласия человека. Гражданин России должен иметь право решать, открывать сведения о себе в любой «Регистр» или нет.
Если мы не поборемся с этим сейчас, то следующий шаг – электронный ошейник и число Зверя на челе.
==================
«И он (зверь из земли, т.е. лжепророк антихриста) сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их, или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его.» (Откр. 13: 16–18).
Удивляет, что такое радикальное увеличение риска никем не обсуждается. Я искала отклики на Постановление в разных источниках – так, где-то есть небольшие заметки.
Только в некоторых сообщениях о Постановлении есть обсуждения. Например, на Дзене от 13 июля – 350 комментариев. И подавляющее большинство - против введения Регистра. Я нашла только 3 более-менее нейтральных высказывания и ни одного положительного.
Я также нашла несколько статей с опасениями, касающимися психических больных и предположениями о том, как можно попытаться избежать ловушки Регистра. То есть Постановление ещё не вступило в силу, а люди уже ищут способы обхода.
Удивительно, что об этом незаконном Регистре молчат Госдума, Совет по правам человека, правозащитные организации, Роскомнадзор – где они все? Неужели они допускают такое масштабное нарушение конституционных прав граждан?
Согласно ст. 13 № 323-ФЗ «Об основах охраны здоровья…» даже собственно факт обращения за помощью, диагноз и другие сведения о здоровье не могут раскрываться без согласия человека. Гражданин России должен иметь право решать, открывать сведения о себе в любой «Регистр» или нет.
Если мы не поборемся с этим сейчас, то следующий шаг – электронный ошейник и число Зверя на челе.
==================
«И он (зверь из земли, т.е. лжепророк антихриста) сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их, или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его.» (Откр. 13: 16–18).
💯140❤36👍26👀7🤨4