Comments 35
Лучше бы сделали так, чтобы ущерб от утечки ПД был минимальным для гражданина. Т.е. работать с финансовыми организациями по случаям не добровольного оформления кредита и т.п.
А утечки да, были, есть и будут. Система несовершенна, потому что её пишут несовершенные люди.
Точно так же любые преступления всё равно будут совершаться даже если за них наказывать. Теперь отменяем законы, суды и полицию?
Или всё таки просто не будем максималистами и довольствуемся просто уменьшением количества преступлений?
Думаю, как и в сфере преступлений гораздо выгоднее профилактика, чем наказание. Поэтому гораздо лучше бы зашел периодический независимый открытый аудит. Как минимум по его итогам можно избегать отношений с компаниями, где все особенно плохо.
По моим ощущениям, оборотные штрафы - очень подверженный коррупции механизм. Поэтому "кого надо" бизнес просто не будут трогать, делая вид, что все утечки старые или это компиляция открытых данных.
Поэтому гораздо лучше бы зашел периодический независимый открытый аудит.
Кому зашёл? Фирмам и компаниям? Вы серьёзно? Покажите мне фирму, которая добровольно подпишется на какие-то аудиты.
Или банально я себе практически не могу представить что международная корпорация а ля гугл согласится на такие аудиты. Со стороны каждой страны, в которой она работает.
По моим ощущениям, оборотные штрафы - очень подверженный коррупции механизм. Поэтому "кого надо" бизнес просто не будут трогать, делая вид, что все утечки старые или это компиляция открытых данных.
С такой логикой и аудиты "кому надо" будут проводить "как надо", а не по нормальному.
Кому зашёл? Фирмам и компаниям? Вы серьёзно? Покажите мне фирму, которая добровольно подпишется на какие-то аудиты.
Конечно, не фирмам. Ну так и текущие оборотные штрафы тоже не с желания этих фирм вводят. И тут, и там - регуляторика от государства.
Или банально я себе практически не могу представить что международная корпорация а ля гугл согласится на такие аудиты. Со стороны каждой страны, в которой она работает.
Со стороны прям каждой страны и не надо. Примерно те же самые механизмы работают и про большую четверку аудиторских компаний. И более менее им доверяет весь мир.
С такой логикой и аудиты "кому надо" будут проводить "как надо", а не по нормальному.
Те же аудиторы дорожат репутацией. Потеря репутации для них - это потеря заказов в будущем. Со скандалами и проблемами, но этот рынок работает. Относительно текущего варианта: когда актор один, когда он - исполнительная власть и его невозможно сменить, какая бы репутация у него ни была.
Более того, открытые отчеты аудита - это еще и какой-никакой, но общественный контроль. Что там проверяли, что намеряли и похоже ли это на правду.
Конечно, не фирмам
А кому тогда?
Со стороны прям каждой страны и не надо.
А кто и как тогда должен решать со стороны каких надо, а каких не надо? Что делать если какая-то страна не доверяет "чужим" аудитам?
Те же аудиторы дорожат репутацией.
Допустим аудит успешно провели. Всё в норме. А потом произошла утечка ПД в условной Греции. Кто и как будет за это отвечать перед пострадавшими?
Законы принимают, модернизируют, но я, как пользователь, не могу понять была ли утечка моих ПД или нет на ресурсах Роскомнадзора, которому сообщили об инциденте.
Также за последние два месяца в Роскомнадзор поступила информация об инцидентах от пяти операторов, добавили в ведомстве.
Вот недавно взломали регионального оператора Орион телеком. У них легло все... абсолютно всё (сетевое оборудование, сервера, камеры, домофоны). У некоторых пользователей доступа в интернет не было почти месяц.
Сперва они заявили, что это сбой, но когда услуги не смогли восстановить спустя какое то время, уже официально заявили, что они сразу сообщили об инциденте и их действительно взломали, но утечки ПД данных не было. А я, как пользователь только могу им поверить на слово, ведь я с ходу не могу понять, была ли какая то проверка на эту тему, и есть ли вообще какой то анализ от Роскомнадзора. Я понимаю shit happens, но сразу не смог найти даже какое то подтверждение на ресурсах Роскомнадзора и его согласие в том, что утечки нет.
P.S. Кстати, почему то такое знаковое событие, на мой взгляд, не освещалось на Хабре.
Вот, что штрафы животворящие делают!
Поскольку утечек вряд ли стало меньше, вывод один - стали скоыва утечки, либо РКН забил на это направление.
Угу, сейчас все у кого авария взлом и тд первой строкой пишут "утечек ПД небыло". Мы конечно верим, особенно с учетом что даже мелкие региональные компании при любой аварии сейчас сразу говорят "нас атакуют зарубежные злыдни".
Я один читал что гарантия соблюдения законов это неотвратимость наказания а не его строгость?)
PS никогда не пойму почему все так носятся с ПД
PSPS особенно с учетом что пока носятся и строят законы вокруг них, параллельно делают так чтобы проблем от утечек было все больше и больше
Поддерживаю. От закручивания гаек с ПД, бизнесу с каждым годом всё хуже и хуже.
Лучше бы ввели закон нулевой ответственности для граждан, чтобы банки в 100% случаев сначала возвращали деньги, а потом сами разбирались с мошенниками. Так они гораздо быстрее выработают единый и эффективный механизм работы. А то сейчас, пока счёт на который ушли деньги, заморозят, смысла в этом уже нет никакого.
А утечки. Как были, так и останутся. Да и слито уже всё.
Насколько я знаю, основной пласт мошенников - это перевод денег на "безопасный счёт". То есть человек сам (под влиянием мошенника в телефонной трубке, но своими руками) берет кредит, получает деньги на свой дебетовый счёт, а потом сам же переводит их мошеннику. И банк вполне логично недоумевает - вы сами перевели деньги со своего счета третьему лицу, на каком основании мы должны их вам "возвращать"?
Решением был бы полный запрет на дистанционные кредиты: хочешь кредит - топай ножками в отделение, подписывай бумагу.
Я один читал что гарантия соблюдения законов это неотвратимость наказания а не его строгость?
Это работает только в контексте "увеличивать наказание бесполезно, если наказывают не всех". И в любом случае издержки от наказания должны превышать выгоду от несоблюдения, то есть полной гарантии вы не получите.
Потому что половину кейсов использования ПД компании удосужились на не-ПД переделать (в анкететна сайте вместо ваш адрес стали писать "адрес доставки", напр), а вторую обернули якобы законными разрешалками (в стиле "вот завещание про паяльник в заднице")
И РКН вместо борьбы с этими вторыми кейсами делает вид, что верит в подобное объяснение.
Нуа если протечет единый реестре ПД? Удобно.
Единый реестр ПД уже есть - госуслуги. Но думаю мало кто захочет на всех сайтах регаться через госуслуги.
А кто спросит о вашем желании? Сейчас куча сервисов без каких либо вариантов запрещают не то что регистрироваться, но и продолжать использовать учётные записи без привязанных номеров телефона например. Или того хлеще. Например авито в некоторых пор запрещает авторизоваться с привязанной записи apple id / google. При этом я всё ещё могу к учётке привязать apple id. Но заходить я обязан например через VK / госуслуги. То есть привязка есть, но зайти через неё уже нельзя. Потому что гладиолус, вот почему.
В авито просто вал мошенников, не удивительно что там начали бороться за авторизацию.
Поясните пожалуйста, чего неправильного в авторизации через привязанные аккаунты google / apple и как это связано с борьбой с мошенниками? Я не понимаю.
Тем что примерно с 2022 года, они не отвечают кмк на запросы местных органов.
Т.е. установить личность возможного мошенника стало сложнее.
Как это связано с дополнительной авторизацией через привязанные аккаунты?
У меня есть учётная запись на Авито, и она с привязанным российским телефонным номером (как с них требуют по закону). Дополнительно я прикрепил Google и Apple. Теперь, авторизовавшись через Google или Apple Авито однозначно узнает, что пользователь, к которому привязан указанный аккаунт Google или Apple - это я. Потому что связь сделала сама Авито.
Есть связь. Есть привязка телефона к учётной записи. К кому и кто тут будет обращаться?
Телефон, это не гарантия. Его всё ещё можно левый оформить и привязка аккаунта к Google или Apple, никак не верифицирует владельца, как и ВК.
Вот госуслуги с подтверждением личности, сегодня достаточно надёжный вариант идентификации для Авито, что Вася это Вася, а Петя это Петя.
Хорошо. Допустим я прошёл подтверждение аккаунта госуслугами. И привязал Google. Но почему я не могу теперь входить через Google?
Потому что Авито не может знать, владеете вы ещё гугл аккаунтом или его угнали. Госуслуги угнать сложнее, восстановить проще, плюс однозначно идентифицирует пользователя.
Так погодите, Авито ничего из внешних систем по определению знать не может. Сложнее угнать или проще, но это явно вопрос не к ним. Зачем же вообще было тогда спрашивать Apple id или Google? Ну вот спросили, я привязал. Но теперь почему-то я входить стало нельзя. Вопрос, почему вдруг стало нельзя? Это какой закон нарушает? Вы говорите, что это помогает бороться с мошенниками. Это с чего вдруг гугл или эпл стал ненадёжным, а какой-то vk внезапно надёжный. Это что, получается, у человека невозможно угнать vk или госуслуги? А логин с паролем и доступ к телефону (там тоже так можно авторизоваться) с каких пор надёжнее? Мы с вами точно про одно и то же говорим?
Ну в данном случае - потому что закон приняли что надо через российский (по их мнению) сервис.
Главное в любом расследовании - не выйти на самих себя или на своих кормильцев.
Пока выглядит так, что утечки идут из головной организации РКН. И кто бы это мог быть?
Очень непонятный закон (хотя чему тут удивляться). По сути ПД считаются даже номер телефона и электронная почта, которые в свою очередь необходимы, для банальной отправки электронного чека клиенту. Получается, что даже в таком случае, ответствтенность за утечку перекладывается на продавца? Не на кассовый софт, не на ОФД, а на продавца? Это очень странно. Судя по всему, как обычно хотели подрезать крылья определенной группе, но не подумали обо всех
За полтора месяца после введения нового закона компаниям ни одного оборотного штрафа за утечки ПД в РКН не выписали