Комментарии 35
Только что в кабинете у них посмотрел - нет никаких возможностей (ссылок, кнопок, разделов или подобного) чтоб проверить свои данные на предмет утечки.... так что к сожалению Ваша новость содержит лживую информацию...
Вот их страница с проверкой и их новость про это.
ростелеком такое себе дельце
Все понятно, что утечки плохо. Вопрос в том, когда, наконец, начнут наказывать компании "протекающих ресурсов" так, чтобы было выгоднее "не утекать".
И вторая мысль: "вы, пожалуйста, укажите свои данные, а мы проверим на утечку. А для большей надежности еще можно и пароли и указать, а вы пользуетесь двухфакторной аутентификацией.". Такое себе решение - проверять на утечки данных на ресурсах, а особенно скомпрометированных.
Вопрос риторический, т.к. ответ очевиден, но не удержусь от разворачивания - никогда. Не будут же люди, повязанные семейными и финансовыми (а может и еще какими) узами пороть сами себя. Сбылась мечта - гoсударствo научились таки прощать. Но только своих. Так что все ожидаемо снова спустят на тормозах или снова будут утверждать, что "никаких утечек не было". Это закономерное поведение системы без отрицательной обратной связи.
Согласен. По жопе таких надо, кто просить персональные данные и чем больше тем лучше а потом "ой хакеры виноваты".
когда, наконец, начнут наказывать компании "протекающих ресурсов" так, чтобы было выгоднее "не утекать".
А без внешних наказаний, значит, выгодно, чтобы данные утекали? Подобные случаи -- всегда высокие прямые и репутационные риски для компании. Компании инвестировали в безопасность и до введения подобных сомнительных регуляций.
И наказания подобного рода это примерно как наказывать потерпевшего при нападении бухгалтера за то, что он не смог защитить себя и похищенные данные его клиентов, которые он нёс в налоговую инспекцию.
Подобные случаи -- всегда высокие прямые и репутационные риски для компании.
Если об этом стало известно, и если те, кто "создают" репутацию фирме понимают последствия оной. А вот наказание в денежном эквиваленте - этот "стимул" поймут все и однозначно.
Вот например, ломанули вебера недавно. И что? Все перестали покупать антивирус? Да, вроде, нет. Получается, что с гуся вода? Причем, вебер - ладно (хотя, вышло иронично), а вот гос сектор или компании, где >51% акций у гос-ва. Там же "сладких" данных очень и очень много.
И на данный момент сама риторика того же сбера про 90% утекших данных, сказанная в обыденном тоне - это должно быть моветоном, хотя бы, для государства.
А репутация... репутацию "отмывают" пиаром и правильным "светом" на произошедшее. И делают это без стыда и совести. Да, технари понимают всю соль и наглость, но условные яндекс-новости читают чаще хабра, справедливости ради.
Если на компанию будут накладывать бешеные штрафы, то уже угроза оных даст стимул к трате некоторого кол-ва "честно заработанных" на ИБ и на обучение сотрудников. Без показухи.
Простите за тон, наболевшее.
А без внешних наказаний, значит, выгодно, чтобы данные утекали? Подобные случаи -- всегда высокие прямые и репутационные риски для компании. Компании инвестировали в безопасность и до введения подобных сомнительных регуляций.
Да всем плевать на репутационный риск. Ну вот Яндекс.Еда слила заказы и что теперь сильно меньше стали заказывать? Или ушли к Delivery Club?
А ещё знаете куда компании часто инвестируют время и усилия? На сбор необязательных персональных данных. Вот условно, можно сделать галочку "мне есть 18", но нет, заполни обязательно дату рождения, заодно пригодится в отделе маркетинга или аналитики. Или зачем вам знать мое ФИО? Телефон? А ещё давайте соберем биометрию, почему бы и нет. Для вашего удобства.
Да всем плевать на репутационный риск. Ну вот Яндекс.Еда
Был большой разбор внутри компании, который, к слову, не закончился на ревизии Еды. Были принятые конретные меры. И был опубликован отчёт по итогу. Что ещё требуется? Что изменится при наращивании регуляций и штрафов?
Виновником инцидента стал недобросовестный сотрудник, умышленно утащивший данные. И такой сотрудник, который теоретически может вынести данные есть почти всегда. А дальше уже функция от времени и числа таких сотрудников.
Можно ли полностью исключить такие риски? Очевидно, что нет. Да, риски можно снижать. И компании постоянно этим занимаются. Но прямо вот дополнительно лупить компанию за злой умысел одного из сотрудников, от которого компания уже пострадала?
Как верно заметили ниже, снижение риска даётся не бесплатно. Компания включает сопутствующие расходы в издержки. И платит эту цену в итоге конечный потребитель на рынке. Платит как непосредственно, так и опосредовано в качестве упущенной выгоды от замедлившегося прогресса, получая фичи и продукты в своё распоряжение медленнее.
Хотим ли мы как общество резко повысить бюрократию внутри коммерческих компаний подобными мерами с новыми регуляциями и закручиванием гаек? Не уверен.
На сбор необязательных персональных данных
Так и какое предложение? Покуда они часто хранятся в одном месте, то и утекают разом. Больше их или меньше, последствия сейчас будут схожими. Предлагается как-то увязать величину штрафа за каждый дополнительный бит информации?
Был большой разбор внутри компании
Речь изначально была о том, что фирмы несут прямой риск репутационного урона, а я не вижу ни репутационного, ни финансового урона в одном из громких случаев. Поэтому, удоли тот тезис.
> Хотим ли мы как общество резко повысить бюрократию внутри коммерческих компаний подобными мерами с новыми регуляциями и закручиванием гаек? Не уверен.
Хотим ли мы, чтобы персональные данные собирались кем угодно, как угодно, чтобы нам потом приходилось бы смотреть чего там нового ещё утекло про нас, а директора фирм, в заплаканном виде и в домашнем свитере, отделывались выпуском видео-извинения "we're sorry"?
Чего лично я хочу? В идеале, я хочу, чтобы фирмы бережно относились к той персональной информации, которую мы даём. Брали ровно столько, сколько нужно для работы сервиса.
Я что-то начал писать, а потом вспомнил, у нас же есть Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ, ха-ха. В целом, там как будто бы местами правильные вещи пишут.
По поводу ответственности, вроде бы сейчас, в случае нарушения законодательства Российской Федерации в области персональных данных штраф на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.
https://base.garant.ru/12125267/b369434ee740927935cc6f0a04242543/#block_4
Не очень понимаю, почему тут нет масштабирования. То есть, есть две фирмы. У одной утекло данные по 1 человеку, а у второй слились данные по всем жителям страны. И все они заплатят один штраф? Справедливо? Не знаю, мне не очень нравится.
Насколько адекватен штраф? Пока что выглядит так, что проще иногда позволить себе роскошь нарушить ФЗ о ПД, чем инвестировать деньги в безопасность системы.
> Предлагается как-то увязать величину штрафа за каждый дополнительный бит информации?
Не бит, а сущность. Вот условно, email мы почти везде используем как идентификатор. Решил сервис пособирать с людей ФИО, вот вам и мультипликатор. Ещё и адрес? Увеличиваем. Телефончик, ок, увеличиваем.
Потом прибегают люди с отдела маркетинга, нам, мол, нужны персонализированные письма, давайте собирать с людей их ФИО, чтобы было не просто "Добрый день!", а "Добрый день, Иван Васильевич Носорогов!". А им ответят, не, ребят, это увеличение штрафа на ровном месте, давайте без этих фантазий. Таким образом, такая система штрафов позволяет задумываться над каждым добавлением ПД в систему, а РЕАЛЬНО мы хотим это хранить и использовать, а не просто потому что ну че бы и нет?
Вы абсолютно не понимаете, как работает законодательство в сфере ПДн...
Наказание для компании будет, тк случай громкий, и займется этим как РКН, так и ФСТЭК.
Про штрафы - вы не не удосужились побольше погуглить, и узнать что штрафы сейчас вводятся как оборотные, так и фикса в 500 млн. р., а также уголовка (которая уже введена)
Был большой разбор внутри компании <...> Были принятые конретные меры. И был опубликован отчёт по итогу.
Простите, какие меры были приняты, я просто не в курсе ? Уволены люди? В полицию написаны заявления, чтобы с несунов, если они там были, спросили? Внешний аудитор был?
К сожалению, в текущую эпоху, компании понимают только потерю денег. По поводу наценки услуг: простите, а как можно натянуть стоимость штрафов (которые, к слову, потенциальные) на, например, подписку на облако? Ну, одни, предположим, как-то натянут, а другие, типа мыла - нет. И народ потихоньку начнёт перетекать. А натянут оба - так есть частные облака, да и ФАС на пару тройку тысяч заявлений, наверное, начнут реагировать.
Дело не в компании, а в ИТ-отрасли вцелом. Вот когда ИТ войдет в стадию как сейчас с инженерией на АЭС, то что-то начнет меняться. А так, на текущем этапе никто не застрахован, даже если очень сильно стараться. Баги и эксплоиты нулевого дня опять-таки. А теперь представьте, когда с инженеров-программистов будет такой-же спрос как проектировщика зданий, заводов, АЭС, когда за каждую ошибку в коде, повлекшее к последствиям будет проходить уголовное расследование. Думаю пока такого никто не хочет.
По поводу "стадии" - Вы предлагаете ждать пока ..? По-моему само государство должно стимулировать подобные процессы. Бизнес имеет цель развития и получения ништяков, а государство, как раз, смотрит, чтобы все было в некоторых рамках. Именно с этим, на мой взгляд, сейчас есть серьезные проблемы.
Ответственность за сохранение данных накладываться должна на фирму, в которой эти данные и крутятся, а не на условный "облачный хостинг с одинсэ". Не админ виноват в том, что ему позволили унести базу, а работодатель, который не следил. Иначе опять выйдет, что виноват не бизнес, а <нужное подставить>.
По поводу инженерии в ИТ - пока не начнут наказывать за проколы, пока будут верить что условная онлайн школа из дворника способна за полгода сделать трухацкера, все будет как есть. Если движения нет, его надо создавать. И это, на мой взгляд, прямая обязанность государства.
Правда, есть нюанс: что делать, если там нет или не хватает компетентных кадров...
Да я согласен с вами, что надо что-то менять. Но правда в том, что по миру везде так. Но я предлагаю подумать на шаг дальше. Как только наказания станут действительно действенными, то просто поменяется система, будет как в строительстве например:
-развалилось здание, проверим, расследуем и сделаем крайним главного архитектора/инженера/джамшута, который мешал бетон. Т.е. крайними будут всегда исполнители. Но в отличие от стройки или инженерии медицины/АЭС, соблазн схалтурить будет оставаться кратно выше, косяки не будут видны сразу. И любой исполнитель будет ходить под статьей до скончания своих дней.
...И гарантом отсутствия халтуры должна стать сама фирма, за счет мотивации штрафами. Оборотные штрафы, кстати, для этого и ввели. Но, судя по всему, не хватает еще и независимого органа аудита и разбора полетов.
Фирму то может и оштрафуют, да и то небось рисковые вещи станут выносить на "подрядчиков"-однодневок, а садить будут вполне конкретного исполнителя.
Возможно. а исполнители "подрядчики-однодневки" это просекут после очередной посадки и перестанут с крупняком работать. Что делать дальше? Да и расследование покажет, что произошло и кто виноват на самом деле. Ну нельзя на аутсорс отдать обслуживание серверов с облаками или почтой левым фирмам по уму. А если по совести можно, то законодательно рано или поздно закрепят некоторые нюансы такие. У нас законы, к сожалению пишут те, кто не разбираются в подобных нюансах, поэтому лбами эти нюансы обычно и озвучивают.
Да и аутсорс-разработчикам, отдают реальные данные? Ну тогда это полная вина компании, на мой взгляд. Сами решили продешевить, сами и расплачивайтесь.
Делайте то что советуют наши власти - не пользуйтесь сервисами с высоким риском утечки данных.
Только говорят они про иностранные, а текут почему-то свои, родные...
Текут все. Просто не все известно. Причем, текут иногда через кадры, а не дыры.
Совершенно неудивительная (и вполне ожидаемая) история для ИТ- команды Ростелекома.
Два примера альтернативного порядка, с которыми может столкнуться обычный пользователь:
1) Мобильное приложение (МП) не могут привести в порядок уже несколько лет (2 или 3 года): не подцепляются все договора, привязанные к абоненту, надо отдельно искать номера договоров и вводить. Естественно, на предложения по улучшению МП не реагируют
2) На сайте не отображаются все тарифы, приходится писать в поддержку и спрашивать, а потом они делают вручную заявку на подключение
Ну последнее точно "не баг, а фича".
На сайте у них наиболее выгодные тарифы для от, и менее выгодные для абонентов.
Большинство абонентов не идут ни в какую поддержку, а оформляют с сайта "что есть".
Заходя на сайт красуется вкусный тариф с кнопкой подключить сейчас, заполняешь адрес а на деле оператор говорит "нет тех возможности" )) GPON только в частный сектор... на вопрос почему оператор - "нет информации". Занавес.
мда уж
Не вижу проблемы. Есть же законы и весь траффик в куче мест пишется. Скоро всех хакеров кааак вычислят по ip и тогда им ууух что будет.
DLBI: хакеры заявили, что получили доступ к данным «Ростелекома»