💡Количество компаний из крупного бизнеса и госсектора, которые опасаются штрафов за утечки персональных данных и за нарушения требований к безопасности критической инфраструктуры, уменьшилось с начала 2022 года. Это следует из опроса компании "РТК-Солар", проведенного по итогам II квартала 2023 года среди 300 предприятий.
🔸Аналитики провели сравнение с I кварталом 2022 года. Результаты опроса показали, что малое количество организаций волнуется по поводу угрозы штрафов от регуляторов: фактор опасений отметили 10% респондентов из крупного бизнеса (20% в начале 2022 года) и 17% из госсектора (было 31%). Таким образом, 90% представителей бизнеса и 83% - госсектора сейчас не опасаются такого исхода.

🏛️ Управлением Роскомнадзора по Республике Башкортостан выявлены признаки нарушения требований законодательства о персональных данных.
🔸В результате проведенного мероприятия без взаимодействия с контролируемым лицом в отношении ООО УК «№ 1» установлено, что на официальном сайте ООО УК «№ 1» выявлено использование интернет-сервиса «Яндекс.Метрика», посредством которого осуществляется обработка персональных данных пользователей сайта без их согласия. Кроме того, документ, определяющий политику в отношении обработки персональных данных, на интернет-сайте не размещен.
🔸В результате проведенного мероприятия без взаимодействия с контролируемым лицом в отношении ООО УК «Столица» установлено, что на официальном сайте ООО УК «Столица» сбор персональных данных (имя, контактный телефон) физических лиц посредством формы сбора «Давайте сотрудничать!» осуществляется без согласия субъектов на обработку их персональных данных. Кроме того, документ, определяющий политику в отношении обработки персональных данных, на интернет-сайте не размещен. ООО УК «Столица» не уведомило уполномоченный орган по защите прав субъектов персональных данных об осуществлении обработки персональных данных.

🏛️ С 7 по 11 июля Управлением Роскомнадзора по Мурманской области проведено плановое мероприятие по контролю без взаимодействия с контролируемыми лицами в отношении организаций, осуществляющих деятельность в сфере жилищно-коммунального хозяйства.
🔸По результатам проведенного мероприятия выявлены факты распространения на сайтах персональных данных граждан в различном объеме при отсутствии информации о наличии согласий субъектов персональных данных, а также условий и запретов на распространение.

Хакеры из «DumpForums» и «UHG» заявили, что они взломали туроператора «Интурист» (intourist.ru).

К нам на анализ попал текстовый файл, содержащий 5,507,954 строки:

🌵 ФИО (включая имя/фамилия латиницей)
🌵 телефон (всего около 119 тыс. уникальных номеров)
🌵 адрес
🌵 дата рождения
🌵 пол
🌵 гражданство и место рождения
🌵 серия/номер паспорта (в т.ч. заграничного), дата выдачи/окончания
🌵 дата тура

Данные очень сильно "замусорены" - много тестовых и недействительных записей. 😎


До этого «UHG» взламывали медицинскую лабораторию «СИТИЛАБ» и сервис по продаже билетов kassy.ru.

🏛️ Роскомнадзор поддержал законопроект о правилах применения рекомендательных алгоритмов
🔸Как отметил замглавы ведомства Милош Вагнер, в настоящее время такие алгоритмы позволяют владельцам ресурсов персонифицировать предоставление контента пользователям.
🔸"Сегодня сложилась практика, когда владельцы ресурсов включают сбор данных в условия использования сервисов. Фактически введен принцип - "соглашайся или уходи". Причем зачастую человек не может себе позволить не использовать сервис. В этих условиях регулирование подобных технологий, позволяющих владельцам ресурсов персонифицировать предоставление контента, вплоть до манипуляций и погружения в информационный пузырь, представляется актуальным и своевременным. Полагаем, что инициатива направлена на защиту прав граждан, их законных интересов, поэтому Роскомнадзор поддерживает законопроект", - сказал он на расширенном заседании комитета Госдумы по информполитике, информационным технологиям и связи.

⚡Роскомнадзор берет на себя сертификацию операторов персональных данных
🔸Роскомнадзор предлагает ввести в готовящийся законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Лицензированием должен заняться удостоверяющий центр регулятора. Сейчас компании-операторы данных должны только уведомлять ведомство о начале такой деятельности.
🔸Предполагается, что регулятор будет проводить аудит IT-инфраструктуры компании на соответствие определенным критериям, поясняет один из собеседников. При этом источник «Коммерсанта», близкий к Минцифры, отметил, что инициативу могут распространить только на компании, которые обрабатывают большой объем данных: «Но пока показатели не детализируются». В аппарате главы комитета Госдумы по информполитике, связи и IT Александра Хинштейна подтвердили, что «такое предложение есть», и добавили, что законопроект находится «на финальной стадии». Об этом сообщает "Рамблер".

😱Nintendo Switch в роли спасателя: ФБР выследило пропавшую девочку по цифровому следу
🔸У Nintendo Switch есть функция, предупреждающая друзей об активности пользователя в сети. Эта функция, разработанная для игр в компании, возможно, и спасла жизнь подростка. Друг, который знал, что девочка исчезла, заметил ее активность и оповестил полицию. С помощью Nintendo удалось получить IP-адрес консоли, который привел к месту проживания Робертса.
🔸«Вероятно, до этого момента никто и не задумывался, что такое возможно» — подметил Фрэнк Милстид, бывший директор DPS штата Аризона. Полицейские часто отслеживают цифровые устройства для поимки подозреваемых и поиска пропавших людей. «Все подключено к Wi-Fi или LTE» — говорит Милстид. «Мобильный телефон, iPad, часы, что угодно — все эти вещи можно использовать для поиска людей»

Госдума отклонила законопроект о расширении доступа прокуратуры к персональным данным

В марте этот документ был принят в I чтении. Законопроектом предлагалось расширить перечень функций и полномочий, при осуществлении которых органы прокуратуры наделяются правом получать информацию, доступ к которой ограничен.

Согласно заключению Комитета Госдумы по безопасности и противодействию коррупции, в ходе подготовки ко второму чтению по законопроекту возникли неурегулированные разногласия между заинтересованными государственными органами, в связи с чем ими поддержано предложение об отклонении законопроекта.

Кроме того, действующее законодательство позволяет прокурорам в полном объеме осуществлять обработку персональных данных, а предусмотренные законопроектом изменения носят корреспондирующий характер и фактически являются избыточными, считает комитет.

⚡В Роскомнадзоре опровергли сообщения о лицензировании компаний для обработки персональных данных
🔸"Речь идет о повышении уровня защиты данных граждан для операторов, обрабатывающих значительные объёмы таких данных. Для таких "больших" операторов, которые обрабатывают свыше 1 млн записей, считаем необходимым установить следующие обязанности:
- оператор должен быть российским юридическим лицом;
- иметь в штате не менее 5 работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
- иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей;
- использовать для обработки персональных данных базы данных только на территории РФ;
- подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности".

🇺🇸 Администрация американского президента раскрыла детали программы, призванной квалифицировать устройства и операционные системы Интернета вещей (IoT) как адекватно защищённые – с помощью специальной маркировки (Cyber Trust Mark).
🔸Необходимость маркировки обосновывается активным развитием IoT-устройств, в большинстве случаев способных обрабатывать чувствительную информацию. Незащищённые продукты могут стать инструментом кибератак на жилища и офисы, возможно хищение конфиденциальных данных и иной ущерб, в том числе физический.

Подведомственное департаменту информационных технологий Москвы ГКУ «Инфогород» разработало новое мобильное приложение «Мой ID», в котором отображаются сведения из всех основных документов пользователя: данные российского и заграничного паспортов, СНИЛС, ИНН, полис ОМС, водительское удостоверение, информация о домашнем животном. https://www.vedomosti.ru/technology/articles/2023/07/19/985937-v-moskve-razrabotali-mobilnoe-prilozhenie-moi-id?

🌐 Обозначены новые подходы к обезличиванию больших данных

Глава Минцифры доложил Президенту России Владимиру Путину о совместной работе с комитетом Госдумы по информполитике над законопроектом о регулировании больших данных.

Подготовлены изменения в закон об обезличивании данных

➖ в приоритете — вопросы обеспечения защиты прав граждан при обработке больших данных и применении технологий ИИ

➖ согласованы процедуры обезличивания больших данных и чётко регламентирован порядок формирования необходимых датасетов для машинного обучения, а также условия доступа к ним разработчиков нейросетей

➖ предусмотрен прямой и однозначный запрет на обработку больших данных в случае, если это может привести к риску причинения вреда жизни, здоровью, безопасности и имуществу граждан

➖ возможен доступ внешних разработчиков к большим данным только в случае исключения любых сведений, которые позволят идентифицировать конкретного гражданина

➖ запрещён внешний доступ к сформированным датасетам иностранным лицам и российским юрлицам с преимущественным иностранным участием

Для организации работы с большими данными Минцифры создаёт соответствующую госинформсистему. В неё будут загружаться обезличенные датасеты как госорганами, так и бизнесом, доступ к которым будет предоставляться авторизованным разработчикам.

Такие обезличенные наборы данных нельзя будет из неё выгрузить и забрать. Можно будет на них тестировать и обучать свои нейросети.

🔥🔥🔥 Хакеры взломали крупную российскую медицинскую лабораторию «Хеликс» (helix.ru) и получили в своё распоряжение БД клиентов, а также угрожают выложить более чувствительную информацию. Вероятно, имея ввиду данные исследований анализов пациентов.
ℹ️ В файле с утечкой содержится 7.3 млн. записей:
⭕️ Ф.И.О.;
⭕️ Дата рождения;
⭕️ Телефон;
⭕️ Пол;
⭕️ СНИЛС;
⭕️ Мед. полис.

ℹ️ Из них записей с телефонами и почтами клиентов - 1 млн. А всего в утечке 774.564 уникальных телефона, 768.069 адресов электронной почты.

📅 Актуальность информации на июль 2023 года.

🛑 Вы уже сейчас можете проверить себя на наличие в этой утечке ⬇

🤖 @Data1eaks_bot - проверь, есть ли ты в утечках! 🖥💦
🌐 Агрегатор утечек @data1eaks

🇺🇸 Правозащитники бьют тревогу: американские граждане страдают от тотальной слежки с применением ИИ
🔸В марте 2022 года американец Дэвид Зайас ехал по шоссе в городе Скарсдейл, штат Нью-Йорк. Его машина, серый Chevrolet, была совершенно ничем не примечательна, как и её скорость. Но для полицейского управления округа Вестчестер автомобиль был причиной беспокойства, а Зайас — потенциальным преступником.
🔸Дело в том, что новый мощный инструмент на основе искусственного интеллекта определил поведение автомобиля как подозрительное. Просматривая базу данных из свыше полутора миллиарда записей номерных знаков, собранных за последние два года по всему штату Нью-Йорк, ИИ определил, что автомобиль Зайаса совершал поездку, типичную для наркоторговца.
🔸Согласно заявлению прокуратуры Министерства юстиции, в период с октября 2020 по август 2021 года мужчина совершил девять поездок из Массачусетса в разные части Нью-Йорка, следуя маршрутам, которые, как известно, используются наркоторговцами.
🔸10 марта прошлого года полиция Вестчестера остановила Зайаса и обыскала его машину, обнаружив внутри 112 граммов крэка, полуавтоматический пистолет и 34 тысячи долларов наличными. Год спустя Зайас признал себя виновным по обвинению в незаконном обороте наркотиков.
🔸Полиция уже давно использует систему автоматического распознавания номерных знаков (ALPR), однако ранее она применялась только для поиска конкретных автомобилей, связанных с конкретными преступлениями. В вышеописанным же случае система анализировала передвижение вообще всех автомобилей, проезжающих мимо любой из 480 камер округа, а эти данные «скармливались» искусственному интеллекту.

🏛️ Данные для ИИ отложили на потом: пока власти будут стимулировать его внедрение директивами и субсидиями
🔸Минцифры предлагает стимулировать внедрение искусственного интеллекта (ИИ) госкомпаниями за счет включения таких проектов в стратегии цифровой трансформации. Как пояснил глава ведомства Максут Шадаев, это уже отлаженный механизм — власти применяли его при переводе госкомпаний на российские IT-решения.
🔸Между тем вопрос о данных для машинного обучения — один из ключевых в области ИИ — пока остается нерешенным. Если ранее в Минцифры предполагали, что поправки к закону «О персональных данных», регулирующие необходимый для этого оборот обезличенной информации, будут рассмотрены в весеннюю сессию Госдумы, то теперь этот вопрос откладывается.

👨‍💻Ловят на сливе: россияне оказались осведомлены об утечках личных данных
🔸В России на фоне увеличения числа хищений личных данных наблюдается снижение уровня латентности таких утечек. Такие происшествия всё чаще обсуждаются в СМИ и блогах.
🔸По данным аналитического исследования InfoWatch, проведенного с помощью мониторинга даркнета, в марте текущего года случилось 47 утечек конфиденциальных данных. Лишь 19 случаев не нашли отражения в СМИ, пабликах в интернете и иных общедоступных источниках информации. Таким образом, российский показатель латентности оказался на уровне 40%, тогда как средний общемировой — 46%. То есть в других странах существенно большая часть краж данных уходит от внимания общественности.
🔸В компании также рассказали о распределении утечек по странам мира. Общее число атак по результатам мониторинга даркнета составило 829 — 35% от этого числа пришлось на США, 6% — на Россию, 5% — на Великобританию, 4% — на Индию, по 3% — на Францию, Канаду, Индонезию и Бразилию.

🤦‍♂️Мэрия Оренбурга опубликовала в газете личные данные участников слушаний генплана
🔸Мэрия Оренбурга опубликовала в газете «Вечерний Оренбург» личные данные участников публичных слушаний генплана. Номер вышел сегодня, 19 июля. В списке - все персональные данные выступавших жителей: имена и фамилии, даты рождения, адрес. В документе даже указали причину несогласия с проектом генплана. Фотографией поделился ТГ-канал Lysenok.
🔸Присутствующие на слушаниях в ДК ТРЗ поделились, что у них брали согласие на обработку персональных данных, но никто не предупреждал, их разместят в открытом доступе. Блогер Андрей Лысенко обратился в прокуратуру.

С 1 августа частные клиники смогут консультировать пациентов онлайн

Об этом сообщил глава Минэкономразвития РФ Максим Решетников в ходе совещания президента России с членами правительства 19 июля.

Правительство установило новый экспериментальный правовой режим (ЭПР) по расширению возможностей дистанционного взаимодействия врача с пациентом с использованием телемедицинских технологий. В рамках эксперимента врачи смогут предоставлять консультации пациентам из разных городов и регионов.

Участниками ЭПР станут 15 медицинских организаций, которые имеют соответствующую лицензию, а также необходимую ИТ-инфраструктуру: Сберздоровье, «РЖД-Медицина», Группа компаний «Медси», «Доктор рядом», «М-ЛАЙН», «РенКлиника», «Европейский Медицинский Центр».

🇪🇺 Штраф в €1 млн. за неправильно составленный data processing agreement
🔸Кто: Garante per la protezione dei dati personali (Италия)
🔸Кого: Autostrade per l'Italia S.p.A. (ASPI)
🔸Когда: 2023.06
🔸За что: нарушение ст. 5(1)(a), 13, 28 GDPR
🔸Как: штраф €1,000,000
🔸Причина: ассоциация потребителей Assoutenti пожала жалобу на приложение ASPI для возмещения расходов на проезд, разработанным компанией Free To X S.r.l., которое позволяет возмещать стоимость билетов на автомагистрали за задержки, вызванные дорожными работами.
В соглашении об обработке данных между ASPI и Free to X S.r.l. ASPI была неверно указана в качестве обработчика данных, а не контроллера данных. Неправильная квалификация ролей двух компаний повлияла на уведомление о конфиденциальности информации, предоставляемое пользователям, которое, таким образом, было сформулировано некорректно. Кроме того, ASPI нарушила свое обязательство назначить Free To X в качестве обработчика данных. Таким образом, ASPI незаконно обработала персональные данные примерно 100 000 субъектов данных.