3100
Мы собираем все самое интересное о ПД. Создано ООО «Датамания» и IDX. Написать администратору: @Elena_Rytsareva
Англичане хотят ввести запрет не только на шифрование «точка-точка», активно используемое в мессенджерах, но и на выпуск вендорами патчей к уязвимостям, так как это может помешать программам слежки 🔎
Следующим шагом будет требование внедрять закладки в свои продукты для облегчения борьбы с терроризмом, экстремизмом и защиты детей 😎 Наверное...
📱 Оформляйте документы на недвижимость через Госуслуги
На Госуслугах теперь можно зарегистрировать право собственности на недвижимость, если данные о ней уже есть в ЕГРН. Либо отправить недостающие сведения, если вы подавали заявление в МФЦ или онлайн, но допустили ошибку или предоставили не все документы.
❗️Чтобы защитить имущество от мошеннических сделок, на Госуслугах можно наложить запрет на любые действия с недвижимостью без вашего личного участия.
Как зарегистрировать собственность на новую недвижимость:
➖ в услуге «Кадастровый учёт» выберите раздел «Возникновение права на недвижимость»
➖ укажите вид собственности, которую вы хотите зарегистрировать и выберите объект недвижимости
➖ укажите сведения из ЕГРН, например, кадастровый номер или адрес и площадь. Если этих сведений нет, зарегистрировать собственность не получится
➖ подпишите заявление с помощью приложения «Госключ»
❗️ Заявление на кадастровый учёт с одновременной регистрацией прав пока можно подать только в МФЦ. Но дополнительные данные к заявлению можно также отправить с помощью услуги «Кадастровый учёт».
Когда можно подавать дополнительные документы:
➖ в одном из документов была ошибка
➖ документ не прикрепился к заявлению при первой подаче
➖ регистратор попросил прислать дополнительный документ
➖ в случае приостановления государственного кадастрового учёта или регистрации прав
➖ если есть ограничения на сделки с недвижимостью
Дополнительные документы автоматически добавятся к ранее отправленным. Подписать заявление можно с помощью мобильного приложения «Госключ».
➡️ Подать документы в Росреестр
@mintsifry #госуслуги
Сбер опубликовал подборку рекомендаций для операторов ПДн. Я давно похоронил для себя тему с ПДн ⚰️, но не их техническую защиту. Поэтому я посмотрел два документа из представленных - по защите ПДн и по уведомлению об инцидентах с ними, и могу кое-что по ним сказать. Как по мне, так в рекомендациях много теории, - на практике, половина из описанного в вводной части не реализуется, а то, что написано на оставшихся слайдах требует пояснений и комментариев, так как на практике там огромное количество нюансов. Но в любом случае, я в одном чатике по прайваси это расписал, повторю и у себя:
1⃣ Нарушена последовательность при оценке актуальных угроз. Сначала упоминается необязательная методика ФСТЭК, носящая рекомендательный характер для всех, кроме госов, а определение актуальных угроз по ПП-1119 указано только после. Хотя логика при разработке ПП-1119 была иная. Сначала вы определяете уровень защищенности, от которого будут зависеть защитные меры в базовом наборе. Если для вас актуальны какие-то особые угрозы или вы не хотите базовый уровень защиты, то тогда вам надо уже идти в сторону методики ФСТЭК и углубляться в детали. Хотя сама методика сегодня нерабочая с практической точки зрения.
2⃣ Уровень защищенности определяется не по результатам сбора и анализа исходных данных, указанных в отчете об обследовании. Это избыточно. ПП-1119 прямолинейно и требует всего 4 показателей - чьи ПДн, сколько их, какие они и какой тип угрозы. Все. Для этого нет смысла городить отдельное обследование, которое в крупных организациях к моменту завершения уже становится неактуальным (если следовать странице 8). Ну и 13-я страница это подтверждает.
3⃣ Список видов оценки соответствия неполный. Декларирование соответствия в ИБ отсутствует, добровольная оценка не работает (таких систем на практике уже не существует). Не упомянуто, что сертификация не является обязательной для защиты ПДн (даже с учетом ПП-330).
4⃣ Не упомянута такая прекрасная норма 21-го приказа, что базовый набор защитных мер - это не тоже самое, что минимальный и список защитных мер можно и нужно подстраивать под себя; и что можно даже из базового набора исключать какие-то меры.
5⃣ Не упомянуто, что именно для госов сертификация средств защиты является обязательной, но тогда и сама защиты должна быть по 17-му, а не 21-му приказу. 524-й приказ ФСБ по защите ГИС вообще не упомянут.
6⃣ Оценка соответствия для госов - это всегда аттестация; для коммерсов - в любой форме, например, аудит. Но самое главное, что не упомянуты практические мероприятия по оценке защищенности, например, тесты на проникновения. А они обязательны для тех же госов (а сейчас Минцифры и вовсе уже на BugBounty засматривается).
7⃣ Отличия в информировании ФСБ России (НКЦКИ) зависят не от того, были компании присоединены к ГосСОПКЕ до 01.03.2023 или нет, а являются они субъектами КИИ или не являются.
8⃣ Часть из требований упомянутых НПА вообще не реализуема на практике и даже их авторы не реализуют их.
9⃣ Не хватает раздела о правоприменении в области защиты информации и описании ответственности за невыполнение описанных мер, чтобы все встало на свои места. Я не призываю не выполнять требования законодательства, но это в теории нет разницы между практикой и теорией, а на практике она есть.
Роскомнадзор обнаружил 9 млн сим-карт с неактуальными персональными данными. Если их владельцы не подтвердят информацию в ближайшие дни, их должны отключить от связи. Из них по 440 тыс. операторы уже уточнили данные.
Как рассказал представитель Роскомнадзора, всего к настоящему времени операторы предоставили данные о 270 млн пользователей, что составляет около 80% от их активной абонентской базы.
«Почему Korean Air будет взвешивать некоторых пассажиров перед вылетом?»: Сбор персональных данных добрался до веса - авиакомпании на их основании решают о потребностях в топливе и распределении груза на борту.
«Korean Air — одна из многих авиакомпаний по всему миру, которую государство обязало периодически собирать данные о весе самолетов. Пассажиры и багаж будут взвешиваться анонимно, а затем данные будут переданы в Министерство земли, инфраструктуры и транспорта страны.
Если пассажир предпочитает не собирать данные о своем весе, Korean Air подтверждает, что он может отказаться, сообщив об этом сотруднику.
Ранее в этом году Air New Zealand реализовала аналогичную программу с некоторыми клиентами, летающими по ее международным маршрутам, например, сверхдальним рейсам между Оклендом и аэропортом JFK в Нью-Йорке.
«Мы знаем, что встать на весы может быть непросто. Мы хотим заверить наших клиентов, что видимых дисплеев нигде нет. Никто не может видеть ваш вес, даже мы», — заявил тогда представитель Air NZ, национального перевозчика страны»
Мошенники создали фальшивый ресурс, на котором предлагается обменять валюту и криптовалюту, пишет Касперский. После того, как пользователь решает воспользоваться услугой, его просят перейти в Telegram-бот. При покупке валюты наличными пользователю предлагается оформить заявку с менеджером, совершить оплату онлайн любым способом и забрать наличные в пункте выдачи.
Оператор уточняет удобную для клиента точку выдачи и время, желаемый номинал купюр, персональные данные: ФИО получателя денег и его номер телефона, а также банк для оплаты. Пользователя убеждают, что он получит средства через 40-60 минут после того, как переведет деньги. Но фактически пользователь просто теряет свои средства, а также подвергает риску личные данные. @banksta
Россияне с июля 2022 г. по июль 2023 г. подключили 1 млн виртуальных сим-карт (eSIM). При этом всего с момента официального запуска технологии в 2019 г. операторы набрали около 3 млн виртуальных абонентов.
Резкое оживление интереса связано с достижением компромисса между силовыми структурами, Минцифры и телекомоператорами, которым разрешили использовать удаленную регистрацию сим-карт и подтверждать личность абонента на «Госуслугах» и через «Госключ».
Китайский разведчик на протяжении пяти лет выманивал у чиновников Британии секретные и персональные данные. Для этого специалист использовал фейковые аккаунты в соцсетях. Свои и чужие тайны чиновники рассказывали в обмен на деньги или выгодные деловые сделки, сообщается в
эксклюзивном расследовании издания Times, .
Издание отмечает, что Чжан до сих пор продолжает использовать разные псевдонимы для получения секретной информации, хотя множество его профилей были удалены после начала борьбы LinkedIn с фейковыми аккаунтами.
Минюст поддержал предложение ввести оборотные штрафы за утечки данных, но законопроект требует смягчить.
Минюст считает, что в документе нужно предусмотреть возможность добровольной компенсации операторами персональных данных предполагаемого вреда и учитывать это как смягчающее обстоятельство. Также министерство предлагает авторам инициативы дополнительно обосновать предлагаемый размер штрафов и дифференцировать ответственность за утечку в зависимости от характера правонарушения и степени вреда. Кроме того, Минюст считает необходимым разграничить ответственность для юрлиц и индивидуальных предпринимателей (для соблюдения нормы КоАПа об учете имущественного положения привлекаемого к ответственности). Минюст поддержал предложение ввести оборотные штрафы за утечки данных
Александр Хинштейн заявил, что запрет iPhone для всех владельцев в РФ "нерационален. Сегодня iPhone нет полноценной альтернативы с пользовательской точки зрения"
Читать полностью…
МВД разработало два проекта документа, касающихся проверок гражданства россиян.
Первый документ – приказ об организации работы по проведению проверок наличия или отсутствия гражданства России. Их будут проводить Главное управление по вопросам миграции МВД, подразделения по вопросам миграции территориальных органов МВД, а в отношении лиц, которые находятся за границей, – консульский департамент МИД, диппредставительства и консульства.
Если обнаруживаются факты, свидетельствующие о нарушении порядка приобретения гражданства России или отсутствие таких сведений, то делается вывод, что у человека нет гражданства России. Если же выявлены факты, свидетельствующие о нарушении порядка прекращения гражданства России, то делается вывод о наличии гражданства России. Срок хранения заключений по результатам проверок составляет 85 лет.
Второй – приказ об организации ведения статистического и персонального учета лиц, в отношении которых приняты решения о приеме в гражданство России или о прекращении российского гражданства. Статистический учет будет вестись с использованием ГИС миграционного учета, а персональный -- МВД.
Переход на электронные личные медкнижки отложен до 1 сентября 2024 года. Ранее предполагалось все бумажные медкнижки дезавуировать до 1 сентября 2023 года.
Читать полностью…
Минэк в своем отзыве на законопроект об оборотных штрафах за утечки данных предложил снизить их суммы.
Читать полностью…
Минстрой и Минцифры запускают государственные соседские чаты, работающие на платформе «VK Мессенджера».
Они интегрированы в приложение «Госуслуги.Дом», которое должно стать единым окном для решения вопросов жителей. Туда может попасть только проверенный собственник квартиры. А что делать всем остальным жильцам — ответа нет.
Чиновники почему-то думают, что так легче будет решать проблемы жильцов и сохранить их ПД.
Ассоциация компаний интернет-торговли (АКИТ), членами которой являются крупнейшие отечественные маркетплейсы и интернет-магазины Ozon, WildBerries, «Яндекс.Маркет», Lamoda, «Ситилинк» и др., просит отложить вступление в силу закона об оборотных штрафах за утечки ПД. Свои предложения ассоциация направила в Минфин.
Также предложено штрафовать только за нарушение прав пользователей из-за утечек.
Результаты ДЭГ обнародуют только спустя несколько часов после окончания выборов.
Ранее сообщалось, что они будут доступны почти сразу после закрытия участков.
На следующей неделе, с 28 августа 2023 года, депутаты Госдумы рассмотрят законопроект, предложенный зампредом комитета ГД по региональной политике и местному самоуправлению от КПРФ Михаилом Матвеевым, о лишении уклонистов приобретённого гражданства.
Читать полностью…
Разработчик технологий для борьбы с киберпреступлениями F.A.C.C.T. (бывшая Group-IB в России) в 2023 году выявила около 1,9 тыс. страниц в в мессенджере Telegram, которые предназначены для краж аккаунтов.
В компании объяснили основную схему мошенников. Они рассылали сообщения с просьбой проголосовать за ребенка отправителя в конкурсе. Для этого нужно было авторизоваться с помощью учетных данных мессенджера. После злоумышленники рассылали такие же сообщения контактам жертвы.
Агентство передовых исследований в сфере разведки (Intelligence Advanced Research Projects Activity, IARPA, аналог DARPA, работающий в интересах разведывательного сообщества США) запустило программу создания одежды, способной «записывать аудио, видео и данные о местоположении».
Цель программы, получившей название Smart Electrically Powered and Networked Textile Systems (SMART ePANTS – «умные e-штаны») – разработать «умную» ткань, изделия из которой по своим потребительским свойствам не отличались бы от привычной одежды, но при этом позволяли ещё собирать данные из окружающей среды.
⚡️Суд в Москве впервые оштрафовал Telegram за нарушение оборота персональных данных
Сумма штрафа составила 50 тыс. рублей.
Претензии к сервису возникли из-за обращения в Роскомнадзор сотрудницы одной из федеральных служб в связи с размещением в одном из телеграм-каналов ее персональных данных, в частности о том, что ранее у нее было гражданство Украины.
@interfaxonline
ЭТО может случиться с каждой компанией. Речь идет об утечке персональных данных. Есть ли у вас план действий на этот случай? Как взаимодействовать с регуляторами? Есть ли шансы не допустить утечку ПДн в будущем?
Сегодня 24 августа в 11:00 компания «Ростелеком-Солар» затронет эти и другие, не менее важные вопросы в рамках онлайн-диалога с экспертами рынка. Своими знаниями и опытом поделятся практикующие эксперты из «Ростелеком-Солар» и «Безопасность 360».
На вебинаре вас ждут:
• Нюансы взаимодействия с регуляторами
• Подготовка к внеплановым проверкам Роскомнадзора
• Какие средства могут помочь с мониторингом и реагированием на утечки ПДн. Зарегистрироваться!
Реклама. Рекламодатель: ООО "РТК ИБ", ОГРН 1167746458065
Erid: Kra23nPVz
Китайские кладбища уходят в цифру. Место традиционных могил занимают особые отсеки для хранения праха, рядом с которыми расположены экраны. На них показывают фото и видео с усопшими, пишет Business Insider.
Популярность диджитал-кладбищ объясняется несколькими причинами. Главная — традиционный формат похорон очень дорогой. Согласно отчету SunLife, британской компании по страхованию жизни, в среднем китайцы тратят на похороны около 5400 долларов, то есть больше 45% своей средней годовой зарплаты.
Расценки в столице страны могут быть намного выше. Так, цифровое захоронение на кладбище Тайцзию в Пекине стоит более 7700 долларов, что составляет треть стоимости захоронения под открытым небом в том же районе.
Верховный суд РФ запретил контролерам общественного транспорта отбирать у пассажиров документы с персональными данными, говорится в изученном РАПСИ определении. Высшая инстанция отмечает, что правовые нормы позволяют проверяющим изъять лишь просроченную либо явно чужую карту, но не действующий документ.
С жалобой до ВС РФ дошел студент столичного вуза, у которого контролер отобрал социальную карту москвича. Автор отмечает, что в документе зафиксирована информация о нём как о держателе карты с визуальными признаками - фотография и персональными данными - фамилия, имя и отчество, а также номер полиса обязательного медицинского страхования. Кроме того, на карте обозначены данные о сроке ее действия и основания предоставления льгот - обучение в вузе. Тем не менее, у заявителя во время поездки не было с собой студенческого билета из-за чего контролер и изъял у него карту.
При посещении одной веб-страницы в среднем активируется 21 трекер, подсчитали в «МТС Red». При этом количество запускаемых на сайте трекеров зависит от тематики ресурса. Больше всего – в среднем около 30 трекеров – активируется на страницах новостных сайтов, за ними следуют интернет-магазины (26 трекеров), видеохостинги (22 трекера), социальные сети и IT-ресурсы (18 трекеров). Речь идет о программах, встраиваемых в код интернет-сайтов для сбора информации о действиях пользователя.
За год количество веб-трекеров, собирающих информацию о пользователях на интернет-сайтах, выросло на 17,5% – с 40 млрд в конце июня 2022 г. до 47 млрд в конце первого полугодия 2023 г. При этом в конце июня 2021 г. таких трекеров было всего 21 млрд. Эту статистику приводят эксперты по кибербезопасности компании «МТС Red»
В то же время объем собираемой трекерами информации снижается, в первую очередь, из-за VPN.
Аукционный дом случайно опубликовал адреса владельцев дорогих картин
Профессор немецкого университета при съемке своих картин для реализации через аукцион, случайно вместе с фотографиями передал геолокацию точного месторасположения ценных экспонатов. Эта информация была доступна на сайте британского аукционного дома Christie's для всех желающих, включая преступников.
Профессор сделал снимки своих картин для продажи через аукцион и отправил в Christie's. Ему пообещали, что в течение нескольких недель дадут оценку их стоимости и сообщат, будут ли реализовывать с аукциона. При фотосъемке владелец случайно сохранил свою геолокацию, которая сохранилась после размещении фотографий на сайте Christie's. Любой желающий смог увидеть точное расположение не только дома, но и места в помещении, где были сняты произведения искусств, сообщил The Washington Post.
Сотни других потенциальных клиентов аукционного дома были подвержены тому же риску, сообщили два исследователя кибербезопасности Мартин Чирсич и Андре Зилч, которые и обнаружили уязвимость на сайте.
🇬🇧 Британское Управление комиссара по информации (ICO) 18.08.2023 начало публичные консультации по проекту своего руководства по биометрическим данным и биометрическим технологиям.
🔸В руководстве подробно описывается, как применяется законодательство о защите данных при использовании биометрических данных в системах биометрического распознавания. Руководство предназначено для организаций, которые используют или рассматривают возможность использования систем биометрического распознавания. В руководстве, в частности, рассматриваются следующие вопросы:
- определение биометрических данных и биометрических данных специальной категории;
- как биометрические данные используются в системах биометрического распознавания;
- законодательные требования к защите данных при использовании биометрических данных, в том числе, когда требуется проведение оценки воздействия на защиту данных (DPIA).
🔸Кроме того, руководство содержит краткое изложение проекта оценки воздействия на защиту биометрических данных. Однако в руководстве не рассматриваются требования к защите данных для правоохранительных органов или служб безопасности.
Почта введет обязательную идентификацию при отправке посылок по России. С 1 сентября сотрудники «Почты России» должны подтвердить личность отправителя с помощью паспорта, водительского удостоверения или простой электронной подписи.
Читать полностью…
Яндекс согласился перенести сервера, обслуживающие интернет-портал yandex.kz в Казахстан, сообщает пресс-служба Министерства цифрового развития и аэрокосмической промышленности Казахстана.
Как рассказали в министерстве, на встрече с представителями компании «Яндекс» чиновники затронули проблему защиты персональных данных казахстанцев, а также размещение программно-аппаратных комплексов компании в пределах республики. В итоге стороны договорились разработать подробную так называемую дорожную карту. В ней будут расписаны важные мероприятия, касающиеся работы Яндекса в Казахстане.
Рецепция неэффективного GDPR
Очень сложно где бы то ни было прочитать критику GDPR. Тем интереснее посмотреть небольшую статью белорусской коллеги Дарьи Маркевич «Всё тайное становится явным, или стандарты защиты конфиденциальности в цифровую эпоху». Не беремся оценить эффективность GDPR и правильность оценок автора статьи, но особо обращаем внимание на механизм и выгоду распространения своих норм на чужие юрисдикции - позднее мы поговорим об этом чуть подробнее.
Интересные тезисы:
🧶В течение 5 лет после принятия GDPR тектонических сдвигов в сторону ответственности крупных технологических компаний, пересмотра их бизнес-моделей в пользу основных прав пользователей не произошло, а публикуемая статистика об утечках и нарушениях свидетельствует о том, что вместо универсальных правил конфиденциальности получился очередной бумажный тигр.
🧶Европейские правила содержательно не противодействуют коммерциализации данных и их недобросовестному использованию, а лишь сопровождают этот процесс тоннами бумажных соглашений, которые служат основанием для их легитимации.
🧶Регламент возложил ответственность за риски на субъекта персональных данных, который должен самостоятельно оценивать и исправлять условия обработки данных. Но пользователи, как правило, теряют стимулы для чтения и исправления соглашений на обработку, так как последние составлены чаще всего сложным языком с большим количеством технических деталей и юридических терминов.
🧶Многие государства за пределами ЕС были вынуждены импортировать подходы GDPR из-за экстерриториального принципа его действия. ЕС посредством GDPR значительно упрочил свою регулирующую роль в Интернете, но не за счёт технологических инноваций, как это сделали США и Китай, а посредством масштабирования регуляторных практик на другие страны.
🧶На фоне всепроникающей датафикации страны периферии мировой экономической системы вынуждены реципировать законодательство о конфиденциальности лидирующих государств для сохранения существующих торговых связей с ними.
🧶Для соблюдения и эффективного правоприменения норм Регламента стране нужны финансовые ресурсы и хорошо развитые институты, собственная технологическая инфраструктура, а также высокий уровень цифровой грамотности населения. Препятствием стала и банальная языковая проблема: термин “privacy” не имеет прямого перевода на большинство языков.
🧶Страны периферии и полупериферии продолжают оставаться реципиентами регуляторных практик, которые адаптируются исключительно для сохранения этих стран в статусе удобных площадок для тестирования технологических инноваций.
Бабушка юриста (с)
Овершеринг, то есть чрезмерное увлечение распространением через соцсети фотографий и видеозаписей своих детей, стал массовым явлением по всему миру, не исключая и Россию.
По данным опроса «Лаборатории Касперского», 43% родителей выкладывают фото и видео со своими детьми, а 35% из них указывают дополнительную информацию, например, имя ребенка, его увлечения, геолокацию.
Эксперты предупреждают: родители, выкладывая в социальные сети и публичные чаты видео, аудиозаписи и фотографии несовершеннолетних детей, непреднамеренно формируют плацдарм для фото- видеофишинга и вишинга (обмана голосом).