Forwarded from РСпектр: связь, ИТ, кибербезопасность
Как проходят профилактические визиты Роскомнадзора к операторам персональных данных
В 2023 году продолжает действовать мораторий на проведение плановых проверок бизнеса, в том числе и в рамках федерального государственного контроля (надзора) за обработкой персональных данных. Однако дружеские профилактические визиты остались, напомнил Роскомнадзор.
Профилактические визиты – эффективный способ повысить уровень правовой грамотности операторов в рамках соблюдения закона №152-ФЗ «О персональных данных», предотвратить возможные нарушения прав и законных интересов граждан.
Уведомления о предстоящем профилактическом визите получают те операторы, которые только в этом году приступили к обработке персданных. От проведения такого визита можно отказаться.
Во время визита сотрудники Роскомнадзора дают операторам разъяснения и рекомендации по организации обработки персданных. Предписания по итогам профилактических мероприятий не выносятся.
В 2023 году продолжает действовать мораторий на проведение плановых проверок бизнеса, в том числе и в рамках федерального государственного контроля (надзора) за обработкой персональных данных. Однако дружеские профилактические визиты остались, напомнил Роскомнадзор.
Профилактические визиты – эффективный способ повысить уровень правовой грамотности операторов в рамках соблюдения закона №152-ФЗ «О персональных данных», предотвратить возможные нарушения прав и законных интересов граждан.
Уведомления о предстоящем профилактическом визите получают те операторы, которые только в этом году приступили к обработке персданных. От проведения такого визита можно отказаться.
Во время визита сотрудники Роскомнадзора дают операторам разъяснения и рекомендации по организации обработки персданных. Предписания по итогам профилактических мероприятий не выносятся.
❤5👍2
🇪🇺🇮🇹 Штраф за неправильную анонимизацию медицинских данных
🔸Кто: Garante per la protezione dei dati personali (Италия)
🔸Кого: Thin S.r.l.
🔸Когда: 2023.07
🔸За что: нарушение ст. 5(1)(a), 9(2), 13 GDPR
🔸Как: штраф €15,000
🔸Причина: компания Thin участвовала в реализации международного проекта, направленного на улучшение качества обслуживания пациентов путем сбора и анализа данных о состоянии здоровья. Терапевты, участвующие в проекте, должны были добавить в используемую систему управления (называемую "Medico 2000" и поставляемую ИТ-компанией, работающей в партнерстве с Thin) дополнительный функционал, который автоматически анонимизировал бы данные пациентов и передавал их в базу данных, принадлежащую Thin. Взамен врачи общей практики могли получить льготы, в том числе и финансовую компенсацию.
Дополнительный функционал в системе не позволял эффективно анонимизировать медицинские данные, т.к. простая замена идентификатора, присвоенного пациентам, системой шифрования или необратимым хэш-кодом ни при каких обстоятельствах не является надлежащей мерой в отношении требования об устранении особенностей, необходимых для квалификации операции обработки как анонимизации.
Таким образом, компания Thin основывалась на ошибочном предположении, что она обрабатывает анонимизированные данные, она фактически незаконно обрабатывала псевдонимизированные персональные данные.
🔸Кто: Garante per la protezione dei dati personali (Италия)
🔸Кого: Thin S.r.l.
🔸Когда: 2023.07
🔸За что: нарушение ст. 5(1)(a), 9(2), 13 GDPR
🔸Как: штраф €15,000
🔸Причина: компания Thin участвовала в реализации международного проекта, направленного на улучшение качества обслуживания пациентов путем сбора и анализа данных о состоянии здоровья. Терапевты, участвующие в проекте, должны были добавить в используемую систему управления (называемую "Medico 2000" и поставляемую ИТ-компанией, работающей в партнерстве с Thin) дополнительный функционал, который автоматически анонимизировал бы данные пациентов и передавал их в базу данных, принадлежащую Thin. Взамен врачи общей практики могли получить льготы, в том числе и финансовую компенсацию.
Дополнительный функционал в системе не позволял эффективно анонимизировать медицинские данные, т.к. простая замена идентификатора, присвоенного пациентам, системой шифрования или необратимым хэш-кодом ни при каких обстоятельствах не является надлежащей мерой в отношении требования об устранении особенностей, необходимых для квалификации операции обработки как анонимизации.
Таким образом, компания Thin основывалась на ошибочном предположении, что она обрабатывает анонимизированные данные, она фактически незаконно обрабатывала псевдонимизированные персональные данные.
👍3❤1
Forwarded from Утечки информации
Старший персональный менеджер отдела по работе с состоятельными клиентами дополнительного офиса одного из московских банков передавал информацию об открытых счетах, вкладах и персональных данных клиентов третьим лицам за денежное вознаграждение (см. "банковский пробив").
Районный суд г. Москвы признал 23-летнего персонального менеджера виновным по четырем эпизодам ч. 3 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) и назначил ему наказание в виде лишения свободы сроком на один год шесть месяцев с испытательным сроком один год шесть месяцев.
Районный суд г. Москвы признал 23-летнего персонального менеджера виновным по четырем эпизодам ч. 3 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) и назначил ему наказание в виде лишения свободы сроком на один год шесть месяцев с испытательным сроком один год шесть месяцев.
👍1
Forwarded from Аналитический центр RPPA
Google начнёт предупреждать пользователей об утечке их личных данных в Сеть.
Нововведение будет работать в поисковой системе Google, автоматически проверяя введённые пользователем данные, такие как адрес электронной почты или пароль, на предмет их утечки.
Если система обнаружит, что они ранее утекли, система предупредит пользователя и предложит рекомендации по усилению безопасности.
Нововведение будет работать в поисковой системе Google, автоматически проверяя введённые пользователем данные, такие как адрес электронной почты или пароль, на предмет их утечки.
Если система обнаружит, что они ранее утекли, система предупредит пользователя и предложит рекомендации по усилению безопасности.
3DNews - Daily Digital Digest
Поисковик Google предупредит пользователя, если обнаружит его персональную информацию в Сети
Компания Google представила инструмент, который значительно упростит процесс поиска и удаления контактной информации пользователей из результатов поисковых запросов.
👍3🤔1
Forwarded from Утечки информации
Источник, который ранее "сливал" информацию «СберЛогистики» (сервис «Shiptor»), образовательного портала «GeekBrains», службы доставки «Delivery Club» и многих других, выложил в открытый доступ данные пользователей предположительно сервиса электронных книг «Литрес» (litres.ru). 🔥🔥
В свободный доступ попало 3,083,408 строк:
🌵 имя/фамилия (не для всех)
🌵 адрес эл. почты (590 тыс. уникальных адресов)
🌵 хешированный пароль (SHA1 без соли)
Самая "свежая" запись датируется 03.08.2023.
Мы проверили случайные адреса электронной почты из этого файла через функцию восстановления пароля на сайте litres.ru и выяснили, что они действительные. 😱
Источник утверждает, что полный дамп содержит 97 млн строк.
В свободный доступ попало 3,083,408 строк:
🌵 имя/фамилия (не для всех)
🌵 адрес эл. почты (590 тыс. уникальных адресов)
🌵 хешированный пароль (SHA1 без соли)
Самая "свежая" запись датируется 03.08.2023.
Мы проверили случайные адреса электронной почты из этого файла через функцию восстановления пароля на сайте litres.ru и выяснили, что они действительные. 😱
Источник утверждает, что полный дамп содержит 97 млн строк.
⚡В Госдуме предложили маркировать компании, допустившие утечку персональных данных
🔸Заместитель председателя Госдумы Борис Чернышов (фракция ЛДПР) направил министру цифрового развития, связи и массовых коммуникаций РФ Максуту Шадаеву письмо с предложением разработать и внедрить специальный знак "ненадежного оператора" для компаний, допустивших утечку персональных данных клиентов.
🔸По словам Чернышова, такой знак поможет россиянам при выборе той или иной компании сразу понять, стоит ли доверять ей или нет. Инициатива, продолжил он, повысит информированность особо уязвимых категорий - несовершеннолетних и пожилых людей, а также вынудит операторов персональных данных уделять больше внимания их защите.
🔸Заместитель председателя Госдумы Борис Чернышов (фракция ЛДПР) направил министру цифрового развития, связи и массовых коммуникаций РФ Максуту Шадаеву письмо с предложением разработать и внедрить специальный знак "ненадежного оператора" для компаний, допустивших утечку персональных данных клиентов.
🔸По словам Чернышова, такой знак поможет россиянам при выборе той или иной компании сразу понять, стоит ли доверять ей или нет. Инициатива, продолжил он, повысит информированность особо уязвимых категорий - несовершеннолетних и пожилых людей, а также вынудит операторов персональных данных уделять больше внимания их защите.
💩9❤4🤔2🤨1
😱 «Литрес» подтвердил утечку данных пользователей
🔸Согласно заявлению сервиса, злоумышленники получили доступ к адресам электронной почты, но не к платежным данным. Хакеры ранее заявили, что завладели базой данных, в которой содержатся также имена и фамилии и пароли в зашифрованном виде.
🔸Согласно заявлению сервиса, злоумышленники получили доступ к адресам электронной почты, но не к платежным данным. Хакеры ранее заявили, что завладели базой данных, в которой содержатся также имена и фамилии и пароли в зашифрованном виде.
💩6🥴2
🤔Клавиатура шепчет, а микрофон слушает: как алгоритмы расшифровывают ваши тайны через микрофон
🔸Команда исследователей из британских университетов обучила модель глубокого обучения, которая может воровать данные о нажатиях клавиш клавиатуры, записанных с помощью микрофона, с точностью до 95%.
🔸При использовании Zoom для обучения алгоритма классификации звука точность предсказания снижалась до 93%. Однако даже этот показатель остается на опасно высоком уровне и является рекордным для данного средства коммуникации.
🔸Такая атака представляет серьезную угрозу безопасности данных, поскольку она может привести к утечке паролей, обсуждений, сообщений или другой конфиденциальной информации злоумышленникам.
🔸Команда исследователей из британских университетов обучила модель глубокого обучения, которая может воровать данные о нажатиях клавиш клавиатуры, записанных с помощью микрофона, с точностью до 95%.
🔸При использовании Zoom для обучения алгоритма классификации звука точность предсказания снижалась до 93%. Однако даже этот показатель остается на опасно высоком уровне и является рекордным для данного средства коммуникации.
🔸Такая атака представляет серьезную угрозу безопасности данных, поскольку она может привести к утечке паролей, обсуждений, сообщений или другой конфиденциальной информации злоумышленникам.
🔥3
😀В РКН подготовили рекомендации операторам персональных данных на фоне утечек
1️⃣В службе настаивают на «дроблении» личных сведений, то есть хранении каждой конкретной информации о человеке — имя, номер телефона, покупка — в разных базах вместо одной ячейки. Это уменьшит шансы мошенников привязать данные к конкретному физическому лицу в случае утечки сведений из нескольких баз.
2️⃣В РКН также предлагают сократить перечень персональных данных, используя лишь ту информацию, которая действительно необходима для оказания услуги, продажи товаров и иной деятельности.
3️⃣Операторам также стоит отказаться от накопления сведений о своих клиентах «на всякий случай» и от формирования их профилей, «если это не жизненно нужно для организации».
4️⃣В РКН отдельно настаивают на своевременном уничтожении персональных данных после «достижения цели обработки» — к примеру, после оказания услуги. Среди других рекомендаций — использование технических и программных средств, принадлежащих самому оператору, а не третьим лицам.
1️⃣В службе настаивают на «дроблении» личных сведений, то есть хранении каждой конкретной информации о человеке — имя, номер телефона, покупка — в разных базах вместо одной ячейки. Это уменьшит шансы мошенников привязать данные к конкретному физическому лицу в случае утечки сведений из нескольких баз.
2️⃣В РКН также предлагают сократить перечень персональных данных, используя лишь ту информацию, которая действительно необходима для оказания услуги, продажи товаров и иной деятельности.
3️⃣Операторам также стоит отказаться от накопления сведений о своих клиентах «на всякий случай» и от формирования их профилей, «если это не жизненно нужно для организации».
4️⃣В РКН отдельно настаивают на своевременном уничтожении персональных данных после «достижения цели обработки» — к примеру, после оказания услуги. Среди других рекомендаций — использование технических и программных средств, принадлежащих самому оператору, а не третьим лицам.
🥴9👍6🦄1
🏛️Антон Немкин: Информация о россиянах должна храниться только в России
🔸Собранные в результате опросов и другими методами данные о финансовых возможностях, предпочтениях и даже здоровье россиян могут быть использованы против них, если исследования проводят компании из недружественных стран. Именно поэтому возможность таких исследований решили ограничить законодательно, рассказал в рамках член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. Он также анонсировал увеличение штрафов за утечки персональных данных и оценил безопасность использования электронных виз.
🔸Собранные в результате опросов и другими методами данные о финансовых возможностях, предпочтениях и даже здоровье россиян могут быть использованы против них, если исследования проводят компании из недружественных стран. Именно поэтому возможность таких исследований решили ограничить законодательно, рассказал в рамках член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. Он также анонсировал увеличение штрафов за утечки персональных данных и оценил безопасность использования электронных виз.
💩6
Forwarded from ИТ-комитет Госдумы
❗️«Серые» сим-карты могут быть заблокированы по требованию РКН
Роскомнадзор требует от операторов связи блокировать номера абонентов, чьи персональные данные стали не актуальны. Под блокировку могут попасть несколько миллионов «серых» сим-карт.
Абонент, чей номер попадает в список номеров, данные которых нужно актуализировать, должен в течение 15 дней подтвердить персданные через Госуслуги или приложение мобильного оператора либо в салоне связи.
📢Глава думского ИТ-комитета Александр Хинштейн напомнил, что регулятор получил возможность блокировки еще в конце 2020 года, когда были приняты поправки к закону «О связи». Операторы обязаны проверять в Единой системе идентификации и аутентификации (ЕСИА) портала Госуслуг информацию, внесенную юридическими лицами и ИП, являющимися корпоративными абонентами, и о физических лицах.
«Роскомнадзор дал достаточно времени для подтверждения персональных данных пользователям мобильной связи. Операторы со своей стороны также проводят большую работу, чтобы донести до абонентов способы подтверждения персданных. Проблема «серых» сим-карт до сих пор остро стоит, их зачастую используют мошенники, причем не только с приставкой «кибер» — большая часть мобильников, передаваемых злоумышленниками в колонии, тюрьмы и изоляторы, работают именно с такими симками».
Роскомнадзор требует от операторов связи блокировать номера абонентов, чьи персональные данные стали не актуальны. Под блокировку могут попасть несколько миллионов «серых» сим-карт.
Абонент, чей номер попадает в список номеров, данные которых нужно актуализировать, должен в течение 15 дней подтвердить персданные через Госуслуги или приложение мобильного оператора либо в салоне связи.
📢Глава думского ИТ-комитета Александр Хинштейн напомнил, что регулятор получил возможность блокировки еще в конце 2020 года, когда были приняты поправки к закону «О связи». Операторы обязаны проверять в Единой системе идентификации и аутентификации (ЕСИА) портала Госуслуг информацию, внесенную юридическими лицами и ИП, являющимися корпоративными абонентами, и о физических лицах.
«Роскомнадзор дал достаточно времени для подтверждения персональных данных пользователям мобильной связи. Операторы со своей стороны также проводят большую работу, чтобы донести до абонентов способы подтверждения персданных. Проблема «серых» сим-карт до сих пор остро стоит, их зачастую используют мошенники, причем не только с приставкой «кибер» — большая часть мобильников, передаваемых злоумышленниками в колонии, тюрьмы и изоляторы, работают именно с такими симками».
👍4👎3
💡Исследование ИРИ: Цифровой контроль за сотрудниками (использование технологий мониторинга на рабочем месте)
🔸Цифровизация труда, в частности популяризация гибридного или удаленного формата работы, вызвала стремительное развитие технологий мониторинга рабочего процесса сотрудников.
🔸Почти 25% руководителей применяют более агрессивные функции отслеживания, чем годом ранее. Из всех программ мониторинга наиболее популярные функции наблюдения среди работодателей включают:
· отслеживание рабочего времени (96%);
· скриншоты экрана компьютера сотрудника (78%);
· видеонаблюдение (42%);
· кейлоггинг (40%);
· отслеживание по местоположению GPS (34%);
· запись звука сотрудника через внутренний микрофон устройства (8%).
🔸При этом 38% инструментов используются в скрытом режиме без ведома работника. Кроме того, эксперты отмечают, что более 80% сотрудников находятся под наблюдением в режиме реального времени. По оценкам экспертов в 78% случаев использование инструментов отслеживания указывается в условиях трудового договора.
🔸Цифровизация труда, в частности популяризация гибридного или удаленного формата работы, вызвала стремительное развитие технологий мониторинга рабочего процесса сотрудников.
🔸Почти 25% руководителей применяют более агрессивные функции отслеживания, чем годом ранее. Из всех программ мониторинга наиболее популярные функции наблюдения среди работодателей включают:
· отслеживание рабочего времени (96%);
· скриншоты экрана компьютера сотрудника (78%);
· видеонаблюдение (42%);
· кейлоггинг (40%);
· отслеживание по местоположению GPS (34%);
· запись звука сотрудника через внутренний микрофон устройства (8%).
🔸При этом 38% инструментов используются в скрытом режиме без ведома работника. Кроме того, эксперты отмечают, что более 80% сотрудников находятся под наблюдением в режиме реального времени. По оценкам экспертов в 78% случаев использование инструментов отслеживания указывается в условиях трудового договора.
🤯3🤬1
Forwarded from Аналитический центр RPPA
67% российских компаний избегают публичных высказываний о произошедших инцидентах с утечкой данных, посчитали в "Серчинформ". Полностью избежать комментариев чаще получается у малых компаний, чье имя еще не стало брендом. Прямо подтвердить утечку в СМИ решила каждая 11 компания. Еще 7% компаний подтвердили утечку, но с оговорками о том, что утечка старая, была вызвана сторонним сервисом или содержала некритичные данные. Полностью отрицали утечку 5%, а 2% не смотря на отрицательный ответ СМИ, передали информацию об инциденте в Роскомнадзор.
IKSMEDIA.RU - деловой портал для бизнеса в телекоме, ИТ, медиа
67% компаний избегают публичных высказываний о произошедших инцидентах с утечкой данных - IKSMEDIA.RU
Эксперты «СёрчИнформ» проанализировали ситуацию с утечками информации в отечественных компаниях за первое полугодие 2023. В частности, исследовали, как компании реагируют на утечки и сколько организаций уведомляет Роскомнадзор об инциденте.
🫠 В АБД прокомментировали законопроект об утечках данных: в настоящем виде он приведет к снижению инвестиций в IT, отметили в ассоциации
🔸Ассоциация больших данных (АБД) считает, что законопроект, которым ужесточается ответственность за утечки персональных данных, в нынешнем виде приведет к снижению инвестиций в IT-отрасль и не достигнет своих целей. Об этом говорится в отзыве ассоциации за подписью ее президента Анны Серебряниковой, направленной в адрес замминистра цифрового развития РФ Александра Шойтова.
🔸Кроме этого, в АБД указывают, что законопроект не предусматривает стимулы для участников рынка повышать безопасность обработки персональных данных и принимать дополнительные меры для их защиты. Также, согласно отзыву, термины, которые используются в законопроекте рассинхронизированы с законодательством о персональных данных, что препятствует внедрению передовых методов защиты данных. "Представляется также несправедливой методика расчета оборотных штрафов, которая не учитывает объем выручки на рынке, на котором произошло нарушение, а считается от оборота компании в целом, что создает максимальную финансовую нагрузку на компании с относительно небольшой выручкой", - добавили в ассоциации.
🔸Ассоциация больших данных (АБД) считает, что законопроект, которым ужесточается ответственность за утечки персональных данных, в нынешнем виде приведет к снижению инвестиций в IT-отрасль и не достигнет своих целей. Об этом говорится в отзыве ассоциации за подписью ее президента Анны Серебряниковой, направленной в адрес замминистра цифрового развития РФ Александра Шойтова.
🔸Кроме этого, в АБД указывают, что законопроект не предусматривает стимулы для участников рынка повышать безопасность обработки персональных данных и принимать дополнительные меры для их защиты. Также, согласно отзыву, термины, которые используются в законопроекте рассинхронизированы с законодательством о персональных данных, что препятствует внедрению передовых методов защиты данных. "Представляется также несправедливой методика расчета оборотных штрафов, которая не учитывает объем выручки на рынке, на котором произошло нарушение, а считается от оборота компании в целом, что создает максимальную финансовую нагрузку на компании с относительно небольшой выручкой", - добавили в ассоциации.
❤3👍1👎1
🏛️ Комитет Совета Федерации (СФ) по экономической политике, рассмотрев обращение кубанской ассоциации транспортников, попросил Минтранс России обратить внимание на работу обеспечивающих автобусные перевозки сервисов BlaBlaCar и «Едем.рф».
🔸Сенаторы согласились с кубанскими транспортниками в том, что агрегаторы не обеспечивают контроль за выполнением требований в области транспортной безопасности, а кроме того, не защищают персональные данные пользователей от утечки за границу. Эксперты отмечают, что такая позиция на уровне органов госвласти высказана впервые, а это может означать начало изменений в подходах к работе агрегаторов автобусных перевозок.
🔸Сенаторы согласились с кубанскими транспортниками в том, что агрегаторы не обеспечивают контроль за выполнением требований в области транспортной безопасности, а кроме того, не защищают персональные данные пользователей от утечки за границу. Эксперты отмечают, что такая позиция на уровне органов госвласти высказана впервые, а это может означать начало изменений в подходах к работе агрегаторов автобусных перевозок.
🤡2
🇺🇸 Коллапс в сфере образования: вымогатели заполучили данные сотен тысяч учащихся и преподавателей в Колорадо
🥴2
🏛️ Минздрав России определил угрозы безопасности персональных данных в информационных системах, используемых в здравоохранении, соответствующий приказ министерства опубликован на интернет-портале правовой информации.
🔸Как следует из приказа, актуальными угрозами для персональных данных являются особенности функционирования технических средств, несанкционированный доступ, воздействие вредоносных программ, использование социального и психологического воздействия на тех, кто имеет доступ к данным.
🔸Кроме того, к угрозам относится создание способов, подготовка и проведение атак на персональные данные, специально разработанные аппаратные средства и программное обеспечение, уточняется в документе.
🔸Как следует из приказа, актуальными угрозами для персональных данных являются особенности функционирования технических средств, несанкционированный доступ, воздействие вредоносных программ, использование социального и психологического воздействия на тех, кто имеет доступ к данным.
🔸Кроме того, к угрозам относится создание способов, подготовка и проведение атак на персональные данные, специально разработанные аппаратные средства и программное обеспечение, уточняется в документе.
❤1😢1
🇮🇳 Индийские парламентарии одобрили законопроект о защите цифровых ПД граждан
🔸Нижняя палата индийского парламента одобрила законопроект о защите цифровых персональных данных (ПД) граждан (Digital Personal Data Protection Bill).
🔸Законопроект вводит обязательство для компаний, собирающих ПД индийцев, получать явное согласие пользователя прежде, чем обрабатывать их. Предусмотрен ряд исключений, например, платформы могут обрабатывать ПД без получения согласия, если данные передаются добровольно в ряде случаев, в частности, при предоставлении чеков или при оказании госуслуг.
🔸Digital Personal Data Protection Bill наделяет правительство полномочиями по созданию совета по защите данных и назначении его членов, включая председателя. Власти и совет получают иммунитет от судебного преследования.
🔸Нижняя палата индийского парламента одобрила законопроект о защите цифровых персональных данных (ПД) граждан (Digital Personal Data Protection Bill).
🔸Законопроект вводит обязательство для компаний, собирающих ПД индийцев, получать явное согласие пользователя прежде, чем обрабатывать их. Предусмотрен ряд исключений, например, платформы могут обрабатывать ПД без получения согласия, если данные передаются добровольно в ряде случаев, в частности, при предоставлении чеков или при оказании госуслуг.
🔸Digital Personal Data Protection Bill наделяет правительство полномочиями по созданию совета по защите данных и назначении его членов, включая председателя. Власти и совет получают иммунитет от судебного преследования.
👍3
Forwarded from РоскомнадZор
Мы проанализировали содержание скомпрометированных баз данных и рекомендуем операторам при организации и осуществлении деятельности по обработке персональных данных руководствоваться следующими подходами
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
💩7👍5🫡3