Новый tech – новая этика. Исследование отношения людей к технологиям и приватности
В этом году мы, конечно, не могли обойти стороной COVID-19 и решили посмотреть на то, как пандемия повлияла на цифровизацию. В итоге DSI 2020 вышел в двух частях: первая посвящена тому, как люди стали использовать и воспринимать технологии на фоне коронавирусных событий, вторая – как они теперь относятся к приватности и оценивают уровень своей уязвимости. Делимся результатами нашего исследования и прогнозами.
Системы противодействия банковскому мошенничеству – что необходимо знать о решениях
увеличения спектра банковских услуг, постоянно растет комфорт и расширяются возможности клиента. Но одновременно увеличиваются и риски, а соответственно и повышается уровень требований к обеспечению безопасности финансов клиента.
Ежегодный ущерб от финансового мошенничества в сфере онлайн платежей составляет ≈200 млрд. $. 38% из них — результат хищения личных данных пользователей. Как избежать подобных рисков? Помогают в этом антифрод системы.
Современная антифрод система – это механизмы, позволяющие в первую очередь понять поведение каждого клиента во всех банковских каналах и отслеживать его в режиме реального времени. Она умеет выявлять как киберугрозы, так и финансовое мошенничество.
Следует заметить, что защита зачастую отстает от нападения, поэтому цель хорошей антифрод системы — свести это отставание к нулю и обеспечить своевременное выявление и реагирование на возникающие угрозы.
На сегодняшний день банковский сектор постепенно обновляет парк устаревших антифрод систем более новыми, которые созданы с использованием новых и усовершенствованных подходов, методик и технологий, таких как:
- работа с большими массивами данных;
- машинное обучение;
- искусственный интеллект;
- продолжительная поведенческая биометрия
- и другие.
За что могут заблокировать сайт?
Ежедневно на просторах сети появляются и исчезают тысячи сайтов. Создание сайта уже давно является неотъемлемой частью успешного бизнеса. Однако содержание сайта должно соответствовать законодательству. В противном случае сайт может быть оказаться в Едином реестре запрещенных сайтов и заблокирован Роскомнадзором.
По данным Роскомсвободы, по состоянию на 30 марта 2021 года Единый реестр запрещённых сайтов содержит 442357 заблокированных доменов и указателей страниц. С каждым днем этот список становится масштабнее.
Блокировка сайтов осуществляется в порядке, предусмотренном Федеральным законом от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации", который можно представить следующим образом:
Какими нормами и законами регулируется защита персональных данных?
Категория защиты персональных данных тесно связана с таким фундаментальным правом человека, как право на защиту неприкосновенности частной жизни, что прямо указывается в ст. 2 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О защите персональных данных». Хотя не всегда право на защиту персональных данных по своему объему совпадает с правом на защиту неприкосновенности частной жизни, положения его закрепляющие, а также некоторые положения гарантирующие иные основные права и свободы в Конституции РФ по существу включают и право на защиту персональных данных. Учитывая положения международных документов в области прав человека, опыта ЕС и других государств, в качестве примера таких положений Конституции охватывающих право на приватность и защиту персональных данных можно назвать ст. 23, 24, ч. 1 ст. 26.
При анализе текста Конституции, помимо отсутствия явно выраженного права на защиту персональных данных, обнаруживается непоследовательность в соответствующих положениях. Так, в случае ч. 2 ст. 23 Конституция предоставляет широкую защиту коммуникаций человека – «право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений». А в ч. 1 ст. 24 закреплено требование получения согласия лица при обработке информации о его частной жизни (Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются), пределы которой не являются объективными: как неоднократно указывал Конституционный Суд РФ в своих решениях: «лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне». Похожая на положение ч. 1 ст. 24 Конституции РФ формулировка возведена также и в принцип регулирования отношений в сфере информации, информационных технологий и защиты информации (п. 7 ст. 3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Приключения персональных данных в России
Пришел ко мне хороший приятель с просьбой помочь разобраться с защитой персональных данных, так как недавно к нему заглянули ответственные товарищи и напугали огромной ответственностью – типа штрафы выросли за прошлый год в 6000 раз. Я в этой теме поковырялся и обнаружил, что многие валят в одну кучу и требования к защите персональных данных в соответствии со 152 ФЗ и уровнями защищенности от 1-го до 4-го, и требования по 242 ФЗ в части локализации обработки персональных данных граждан РФ. Дисклеймер:
В 90% случаев нужен 3-й уровень. Вот его повально все нарушают, даже не подозревая об этом!
Все ли остается в интернете и можно ли это почистить (в контексте права на забвение в российской практике)
Закон о праве на забвение, по которому любой гражданин имеет право требовать скрыть в поисковой выдаче ложную или устаревшую информацию о себе, действует в России с 2016 года. Но действительно ли реально почистить за собой все интернет-следы, и не пора ли поменять практику применения закона?
Каждый из нас, регистрируясь на тех или иных сайтах, социальных сетях или агрегаторах, совершая покупки в интернет-магазинах, ежедневно оставляет во всемирной сети сотни и тысячи байтов своих персональных данных - имя, телефон, фотографии, паспортные данные, номера ИНН, СНИЛС и т.п. И в итоге о человеке можно создать целое досье, причем без его желания. Налицо ситуация, об опасности которой на днях говорил президент РФ Владимир Путин, выступая с онлайн-обращением на форуме «Давосская повестка дня 2021»: «Все более значимую роль в жизни общества стали играть современные технологические и прежде всего цифровые гиганты… по отдельным направлениям они де-факто конкурируют с государствами. Их аудитория исчисляется миллиардами пользователей, которые проводят в рамках этих экосистем значительную часть своей жизни… у общества возникает вопрос: насколько такой монополизм соответствует именно общественным интересам? Где грань между успешным глобальным бизнесом, востребованными услугами и сервисами, консолидацией больших данных и попытками грубо, по своему усмотрению управлять обществом, подменять легитимные демократические институты, по сути, узурпировать или ограничивать естественное право человека самому решать, как жить, что выбирать, какую позицию свободно высказывать?»
История защиты персональных данных: как появился GDPR
С момента вступления в силу 25 мая 2018 года европейского регламента по защите персональных данных (General Data Protection Regulation – GDPR) прошло уже 6 месяцев. Этот закон распространяет свое действие в том числе и на территорию Российской Федерации, но лишь косвенно и далеко не всегда. Подробности о территориальном применении GDPR можно узнать из недавнего Гайдлайна европейского совета по защите данных (European Data Protection Board).
По этой и не только причине, защита персональных данных в нашей стране обделена серьезным вниманием как со стороны юристов, так и со стороны широкой общественности. Нередко можно столкнуться со мнением, что GDPR – просто искусственное, ни на чем не основанное нововведение европейских законодателей. На самом же деле, этот регламент является результатом длительного развития концепции фундаментальных прав и свобод человека, которая берет свое начало задолго до 25 мая 2018 года.
Как появился GDPR и откуда вообще взялась необходимость в приватности данных? Чтобы разобраться в этом вопросе, нужно обратиться к истории развития защиты персональных данных.
Использование оптического распознавания символов в DeviceLock DLP для предотвращения утечек документов
Одна из базовых для DLP-систем задач — это обнаружение в потоке передаваемых данных различных государственных документов, удостоверяющих личность (паспорта, свидетельства о рождении, водительские удостоверения и т.п.), и предотвращение их несанкционированного распространения.
Если документы представлены в виде текстовых данных в электронных таблицах, базах данных и т.п., то обычно это не вызывает никаких проблем при условии, что DLP-система поддерживает контентную фильтрацию в принципе.
Однако, что делать, если речь идет о сканах документов?
Биометрия: как дела с этим у нас, и у «них»
Источник фото: Медиа Группа «Авангард»
Не так давно мы с вами говорили о биометрических данных россиян — Биометрические персональные данные россиян, Как создать образцы для Единой биометрической системы и почему это может быть опасно.
Банки России уже стали отчитываться, что начали сбор биометрических данных (пока в тестовом режиме). И вот, на прошедшем 27-28 ноября 2018 г. SOC-форуме, ЦБ указал ФСБ на невозможность в полном объеме выполнить ее требования по защите собираемых банками биометрических персональных данных граждан.
Речь идет о криптографии конечно же. Первый замглавы Департамента информационной безопасности ЦБ Артем Сычев отметил, что отечественного криптооборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ, — нет. А ведь именно этот класс защиты (на уровне гостайны) определен в приказе ФСБ №378.
При этом замначальника 8-го центра ФСБ России Игорь Качалин выразил надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан. Здесь конечно надо отметить, что продукты класса КВ на российском рынке есть, но использовать их нельзя — все они требуют соответствующего согласования.
Самые значительные утечки данных в 2018 году. Часть первая (январь-июнь)
2018-й год подходит к концу — а значит, пришло время подвести его итоги и перечислить наиболее значимые утечки данных.
В данный обзор попали только действительно крупные случаи утечек информации по всему миру. Однако, даже несмотря на высокий порог отсечения, случаев утечек так много, что обзор пришлось разбить на две части – по полугодиям.
Давайте посмотрим, что и как утекало в этом году с января по июнь. Сразу оговорюсь, что месяц инцидента указан не по времени его происшествия, а по времени раскрытия (публичного анонса).
Итак, поехали…
Почему потребители не боятся кражи персональных данных
В 1954 году математик Леонард Сэвидж опубликовал труд о том, как люди обрабатывают информацию во время принятия решений. Основная аксиома, которой оперировал Сэвидж, — sure thing principle, «принцип неизбежности». Согласно ей, в процессе принятия решения потребители рассматривают множество различных входных данных. Они мысленно оценивают и отбрасывают те данные, которые важны, но не настолько, чтобы изменить уже принятое решение.
В качестве примера Сэвидж приводил желание купить недвижимость. Потенциальный покупатель считает, что предварительное обдумывание существенно повлияет на итоговый результат. Однако, взвесив все за и против по каждому пункту, потребитель все равно собирается покупать дом. То есть если он уже решил стать обладателем той или иной собственности, рассуждения насчет релевантных факторов хоть и имеют некоторое значение, но не играют решающей роли.
Если верить принципу неизбежности, то недавняя утечка персональных данных 500 млн гостей отелей Marriott не сильно повлияет на потребительское желание забронировать номер в одной из гостиниц компании в следующий раз.
Самые значительные утечки данных в 2018 году. Часть вторая (июль-декабрь)
В первой части обзора утечек 2018 года, я рассматривал наиболее значимые утечки данных за первое полугодие и вот пришло время второй части.
Как уже говорилось ранее — в обзор попали только крупные случаи утечек информации по всему миру и месяц инцидента указан не по времени его происшествия, а по времени раскрытия (публичного анонса).
Посмотрим как протекало второе полугодие…
[Спрашивайте — ответим] про интеллектуальную собственность и защиту данных
По каким темам имеет смысл задавать вопросы:
- Товарные знаки (они же торговые марки) в России и за рубежом — от регистрации до судов
- Патенты в россии и за рубежом — а именно, патенты в области IT (электроника и софт)
- Копирайт (авторское право) — в частности, охрана и защита программ и баз данных
- Законы о персональных и прочих данных (в том числе великий и ужасный GDPR)
- UDRP (доменные споры), DMCA (удаление контента), РКН (блокировки сайтов)
- Разработка и лицензирование программного обеспечения с точки зрения юристов
Правила игры:
Very Attacked Person: узнай, кто главная мишень киберпреступников в твоей компании
«Персональные данные есть? А если найду?» Вебинар по локализации персональных данных в России – 12 февраля 2020
Когда: 12 февраля 2020 г. с 19:00 до 20:30 по московскому времени.
Кому будет полезно: ИТ-менеджерам и юристам иностранных компаний, начинающих или планирующих работать в России.
О чем пойдет речь:
- Какие законодательные требования необходимо выполнить?
- Чем рискует бизнес в случае невыполнения?
- В любом ли дата-центре можно хранить персональные данные?
Спикеры:
- Вадим Перевалов, CIPP/E, старший юрист Baker McKenzie.
- Ольга Ермакова, старший юрисконсульт и комплаенс специалист Linxdatacenter.
- Борис Меркулов, инженер по облачным решениям и информационной безопасности Linxdatacenter.
Чем плоха СМС-аутентификация и как защититься от угона SIM-карты
Если SIM-карту угонят, а СМС перехватят, последствия будут плачевны. Многие пользователи переписываются в мессенджерах с коллегами и партнерами, поэтому под угрозой окажутся не только личные данные, но и корпоративные. Если в вашей компании не используется корпоративная инфраструктура для общения, то незащищенные аккаунты сотрудников ставят под угрозу бизнес. Так что стоит позаботиться о безопасности заранее.
В этой статье возьмем несколько популярных сервисов и заменим СМС-аутентификацию на более безопасные способы. Заодно разберемся, как дополнительно защитить аккаунты от угона и спать спокойно.
На статью нас вдохновил лонгрид MyCrypto, посвященный защите от SIM-джекинга (SimJacking). Мы изучили их рекомендации и составили актуальный список для России.
Как меняется ответственность социальных сетей за контент и перед пользователями в России и за рубежом
В 2021 году в российском законодательстве появились нормы, которые определяют ответственность социальных сетей и права ее пользователей – статья 10.6 Федерального закона "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ. До этого к социальным сетям применялось общее регулирование посредников в интернете, а именно ст.1253.1 ГК.
Согласно этой статье ГК, онлайн-посредники, которые предоставляют пользователям возможность размещения в интернете контента, не несут ответственности за контент пользователей, который нарушает интеллектуальные права, при соблюдении следующих условий:
1) они не знают и не должны знать о том, что контент нарушает чьи-либо интеллектуальные права;
2) они в случае получения в письменной форме заявления правообладателя о нарушении интеллектуальных прав с указанием страницы сайта и (или) сетевого адреса в интернете, на которых размещен такой материал, своевременно приняли необходимые и достаточные меры для прекращения нарушения интеллектуальных прав.
Эти нормы предоставляют защиту посредникам в интернете, они не должны активно мониторить контент и выявлять случаи нарушения интеллектуальных прав. Посредники ограждены от функций правоприменителей. Точнее, были ограждены – до недавнего времени.
Изменения в законе "Об информации, информационных технологиях и о защите информации" не касаются интеллектуальных прав и остаются в силе. Однако, эти изменения затрагивают намного большее количество контента и потенциальных правонарушений.
И ещё раз о безопасности сайта Умного голосования и слив персональных данных Яндексу
Уже было описание уязвимости на сайте Умного голосования. Владислав Здольников на своём канале в Телеграм рассказывает очевидные вещи про прозрачность банковских платежей. И вот вчера Дмитрий Зворыкин заспорил с Леонидом Волковым, а Волков начал хамить в ответ будто Дима троль какой-то, а не ИТ-профессионал. Диму знаю 20+ лет ещё со студенческих времён в МИЭМ, потом мы вместе работали в избирательной кампании Навального 2013 года, и мне лично очень неприятно подобное отношение политиков к гражданам. Даже если бы Дима был не прав, то Волков как публичное лицо не имеет права так неуважительно общаться и позорить в том числе и Навального. И в результате, возможно увидев, что народ лайкает Диму, а не его, Волков просто забанил Диму. Типа проблемы нет. Но она есть.
Дима прав по сути.
Этот вопрос уже был рассмотрен на хабре. Дима лишь убедился что проблема осталась на том же самом месте.
На сайте Умного голосования инициализируется Яндекс.Метрика.
Ваши персональные данные в «надежных» руках курьеров
В январе 2022 года от СМИ пришел запрос, где затрагивалась тема доступности ПДн клиентов курьерам.
В ответ, не думая, набросал первый абзац о том, что большинство крупных и средних компаний давно используют виртуальную телефонию и промежуточные АТС для сокрытия номера телефона клиента и курьера. Для подтверждения своей позиции я начал писать в службы технической поддержки сервисов доставки. Реальное положение дел меня удивило.