Я еще раз хочу подчеркнуть, что реальной схемы работы механизма в открытом доступе нет.
Его и не будет. В отношении этих данных можно смело вводить режим коммерческой тайны.
Мы не можем знать кому, в каком объеме и как передждаются данные
А вот это как раз можем. Пишите письмо оператору он ОБЯЗАН в течение 30 дней вам на него ответить. Только надо юридически правильно формулировать запрос
Про закон о рекламе согласен, но оператор связи наверняка в пятом подпункте двадцать шестого параграфа сделал фразу разрешающую это делать, а вы когда покупали SIM-ку подписали весь договор.
Да по сути его никогда и не было. Закон придумали чтобы вообще беспредела не было и базами не торговали. Реально обеспечить конфиденциальность ПДн в принципе не возможно. Вернее можно, но тогда весь бизнес встанет.
ставим по договоренности с оператором базовую станцию
Это не так просто. На БС нужно получать разрешение от Роскомнадзора и там довольно сложная процедура.
А вот у самого РКН есть машинки с антенами, которые издют и слушают эфир. Если находят незарегистрированню БС автоматически печатают штраф.
получаем оповещения о появлении в ее радиусе уникальных мобильных устройств и статистику их появления.
Оператор этого делать не будет, ему смысла нет. Но даже если будет и будет выдавать вам данные вида:
«За последний час около вас было 182 уникальных абонента, причем 4 из них были рядом вчера», то это не будет нарушением закона.
У сотрудников оператора нет законных прав ковыряться в персональных данных своих абонентов.
Такие права есть у всех сотрудников, которым оператор эти права предоставил, то есть считай у любого сотрудника.
Перечень лиц, у которых есть права на обработку ПДн, должен быт опубликован в Политике обработке ПДн, которую Оператор ОБЯЗАН размещать в публичном доступе. Но для того чтобы не нарушать права этих работников ФИО там обычно не пишут, а обозначают общими мазками, типа «всем кому надо по служебной необходимости».
постоянно следить за тем, кто регистрируется на БС, кто уходит
они и так это делают и эти данные у них фиксируются в логах
Это уже работа с персонифицированными данными,
Ну и что? Это полностью укладывается в рамки тех целей, для достижение которых оператор ведет законную обработку ПДн.
Надо конечно разбираться с техникой реализации этой Гео-СМС, но у меня смутные ощущения что там все впишется в законодательство.
Криминалом будет то, если оператор или его сотрудники передают данные о вас третьим лицам, и то там, можно обложится бумажками так, что все будет законно.
Напишите в Роскомнадзор (http://pd.rkn.gov.ru) эти господа по закону ОБЯЗАНЫ заниматься подобными вопросами. Обратится можно вроде даже через Госуслуги.
Другое дело в том, что схема отправки ГЕОсмс может быт вполне законна.
Например, магазин X обращается к оператору связи — шли всем абонентам, авторизованным на БС ZZZ СМС «Привет, я магазин X» и никакого нарушения тут не будет.
На одной из конференций «некие ребята» демонстрировали сервис денационализации пользователей. Когда человек посещал страницу, магазина, а потом ему перезванивал оператор. Раскрыть секрет как работает они отказались, но небольшое исследование позволило предположить, что работает это только в отношении людей выходящих в Инет с мобильников. Примечательно, что СБ оператора, клялась божилась что никому этих данных не передает и совершит развратные действия сексуального характера со всеми кто это делает. По собственным ощущениям приторговывают данными админы этих компаний, равно как и организуют «левые» подключения к сетям SS7.
Возможен такой подход, но дьявол кроется в мелочах, подобрав которые можно разрушить эту логику,
Факт в том, что юридическая ответственность за действия искусственного интеллекта, это то, над чем придется поломать голову юристам и законодателям недалекого будущего.
Я хотел обратить ваше внимание на стиль статьи. Хабр технический ресурс, хотелось бы больше техники в описании. Если вы говорите про защищенность систем, то приведите хотя бы типовую схему организации защиты. К сожалению сертифицированные ФСТЭК СОВ (IDS) отечественного производства, это на 99% (по моему опросу производителей на выставках по ИБ) переведенный на русский язык Snort со всеми вытекающими.
Да и про вашу систему тоже хотелось бы понять больше, а не просто, то что она использует «крутые» лицензированные решения. Приведите результаты сравнения использования вашей системы по сравнению с аналогами, очень интересует вероятность идентификации и вероятность ложной идентификации.
И еще, на затравку для следующих статей. Расскажите как устроена защита эталонных образцов (то с чем сравниваются данные с сенсоров) от утечки. Сможет ли админ конторы X, у которого скажем есть данные о моей физиономии использовать их для авторизации в банке Y. (например, он может изготовит муляж или вклинится (MiTM) между биометрическим сенсором и системой анализа и т.д.)
Посмотрите про Snapdragon Flight (https://geektimes.ru/post/285140/ или https://developer.qualcomm.com/hardware/snapdragon-flight) он много что умеет. Другое дело с каким качеством он это делает.
Сейчас все производители дронов и компании которые хотят проводить доставку с помощью дронов считают что они одни в небе… И на начальном этапе пока дронов мало это действительно так. Поэтому даже представленного выше функционала может вполне хватать.
Дело в том, что самолетом, автобусом и т.д. управляет человеком. Дроны же будут иметь смысл если они полностью автопилотные.
Предположим Интернет-магазин X запустил сервис доставки с помощью автоботов дронов с автоматической системой управления. Дрон сам грузиться, сам летит до пункта назначения и сам возвращается. Все здорово, но 12007-й итерации дрон, во время полета задел и оборвал трос промышленного альпиниста, моющего окна в высотном здании… Кто будет виновным в данном случае?
Внедрение искусственного интеллекта (автоматический дрон), перевернет жизнь не только с технической точки зрения. Мы сами, наши привычки, действующие правила дорожно, авиационного, морского движения должны будут измениться.
Неплохое начало статьи, которое свелось в пустую рекламу в конце. Фразы «наша система надежно защищена» не самые удачные, для того чтобы вызвать интерес у ИТ-шников, являющихся основным контингентом Хабра…
Да и идеи по поводу примения в Банках очень далеки от реальности, хотя бы по тому, что карту могут опустошить в банкомате банка, не являющегося эмитентом карты. А видео клиентов банки между собой никогда передават не будут.
Второй существенной проблемой при использовании биометрии является закон о персональных данных. Если оператор укажет, что в его системах используется биометрия, то это «красная тряпка» для проверяющих поскольку подобные системы будет очень сложно и дорого защищать. Уровень защищенности подобной системы будет минимум УЗ2 (по ПП-1119), со всеми вытекающими (Приказы ФСТЭК 21 и ФСБ 378)
С точки зрения практической безопасности биометрия тоже имеет нюансы/проблемы Хотя бы по тому, что идентификационные признаки у человека меняются. На одной из конференций по ИБ коллеги описали ситуацию, когда внедрив систему авторизации по отпечаткам пальцев столкнулись с проблемой, что после выходных многие женщины не могли авторизоваться, поскольку их отпечатки «плыли», из-за того что они в выходные занимались влажной уборкой…
В целом конечно направление интересное, но в нем не хватает какой-то killer фичи, которая бы запустила процесс. Ведь про эти технологии известно уже очень давно, но широкого применения они так и не нашли.
Преимущество дронов по сравнению с обычными способами доставки в следующем:
1. Скорость
2. Возможность совершения операций доставки в тех случаях, когда нет подходящей транспортной инфраструктуры.
3 Резкое уменьшение участия людей в процессе.
Раньше люди пользовались стационарными телефонами и первые мобильники вызывали тот же вопрос «Зачем?» Зато сейчас стационарная телефонная связь теряет свою актуальность. Тоже самое будет и с дронами. К удобству быстро привыкаешь.
Да, это так. Но прогресс не остановить. Более того, та страна которая быстрее внедрит у себя подобный вид транспорта, с учетом интересов всех заинтересованных лиц, получит серьезный бонус к развитию экономики.
Кстати говоря использование дронов в России для доставки грузов не запрещено. Но процедура законной доставки очень замудрена, что практически полностью убивает весь смысл идеи. В США тоже можно использовать дронов для доставки, но в пределах прямой видимости оператора, управляющим полетом.
Дронов будут грабить, сбивать и т.д. это факт, но насколько часто? Ведь курьеров-людей тоже ведь грабят…
Если система доставки будет более менее точно выявлять кто именно совершил грабеж, то неотвратимость наказания будет существенным сдерживающим фактором. Например Amazon прорабатывает идею использования несольких дронов в операциях доставки. Один доставляет, другой контролирует процесс.
Но даже если ничего не делать, то с точки зрения бизнеса можно вводить лимиты ценности грузов доставляемых с помощью дронов и включать риск утери в стоимость товаров / услуг.
К информационной безопасности сейчас подходят следующим образом — берут специалиста, и говорят ему ты обеспечиваешь ИБ всей компании, вот тебе комп., а дальше крутись как можешь. А в компании сотни бизнес-приложений и точек контроля. Один человек будь он трижды «отцом в ИБ» со всем этим не управиться.
SIEM — это здорово, но нужны люди, которые будут туда смотреть. А в России один ИБист на компанию практически везде (за исключением 100 или 1000 больших компаний).
Возникает идея о внешенем SOC (Security Op. Center), но там цены мама не горюй.
Сейчас существует реальная ниша по обеспечению практической безопасности, но за разумные деньги, когда услуги аутсорса ИБ будут дешевле чем ИБ внутри компании. Но это будет не скоро, а может и никогда. Поскольку деятельность лицензируемая и емкая на инвестиции.
Практическая схема атак, связанных с поиском коллизий второго рода может быть следующей:
1. Есть легитимный электронный документ подписанный электронной подписью (например, платежное поручение).
2. Злоумышленник, вносит изменения в оригинальный документ изменения (например, подменяет реквизиты получателя).
3. Используя алгоритмы поиска коллизий, злоумышленник ищет такое дополнение в к модифицированному файлу, которое позволит сделать его хэш идентичным оригиналу.
4. Злоумышленник подменяет оригинальный документ модифицированным с таким же хэшом.
Так же следует понимать, что создание электронной подписи, в общем случае, это шифрование хэша документа на закрытом ключе подписанта, поэтому в модифицированном документе, электронная подпись будет валидной и соответствовать ЭП оригинального документа.
Стиль программирования определяется менталитетом программиста. Некоторые неплохие программеры не могут следовать стандартам, у них начинается внутренний конфликт который поглощает все их внимание, что резко сказывается на работе.
В таких случаях иногда идут дальше и в команде появляется человек ответственный за унификацию кода и документации.
А вообще без стандартизации в командной работе никуда.
Его и не будет. В отношении этих данных можно смело вводить режим коммерческой тайны.
А вот это как раз можем. Пишите письмо оператору он ОБЯЗАН в течение 30 дней вам на него ответить. Только надо юридически правильно формулировать запрос
Надо анализировать всю документальную базу.
Да по сути его никогда и не было. Закон придумали чтобы вообще беспредела не было и базами не торговали. Реально обеспечить конфиденциальность ПДн в принципе не возможно. Вернее можно, но тогда весь бизнес встанет.
Это не так просто. На БС нужно получать разрешение от Роскомнадзора и там довольно сложная процедура.
А вот у самого РКН есть машинки с антенами, которые издют и слушают эфир. Если находят незарегистрированню БС автоматически печатают штраф.
Оператор этого делать не будет, ему смысла нет. Но даже если будет и будет выдавать вам данные вида:
«За последний час около вас было 182 уникальных абонента, причем 4 из них были рядом вчера», то это не будет нарушением закона.
Такие права есть у всех сотрудников, которым оператор эти права предоставил, то есть считай у любого сотрудника.
Перечень лиц, у которых есть права на обработку ПДн, должен быт опубликован в Политике обработке ПДн, которую Оператор ОБЯЗАН размещать в публичном доступе. Но для того чтобы не нарушать права этих работников ФИО там обычно не пишут, а обозначают общими мазками, типа «всем кому надо по служебной необходимости».
они и так это делают и эти данные у них фиксируются в логах
Ну и что? Это полностью укладывается в рамки тех целей, для достижение которых оператор ведет законную обработку ПДн.
Надо конечно разбираться с техникой реализации этой Гео-СМС, но у меня смутные ощущения что там все впишется в законодательство.
Криминалом будет то, если оператор или его сотрудники передают данные о вас третьим лицам, и то там, можно обложится бумажками так, что все будет законно.
Другое дело в том, что схема отправки ГЕОсмс может быт вполне законна.
Например, магазин X обращается к оператору связи — шли всем абонентам, авторизованным на БС ZZZ СМС «Привет, я магазин X» и никакого нарушения тут не будет.
На одной из конференций «некие ребята» демонстрировали сервис денационализации пользователей. Когда человек посещал страницу, магазина, а потом ему перезванивал оператор. Раскрыть секрет как работает они отказались, но небольшое исследование позволило предположить, что работает это только в отношении людей выходящих в Инет с мобильников. Примечательно, что СБ оператора, клялась божилась что никому этих данных не передает и совершит развратные действия сексуального характера со всеми кто это делает. По собственным ощущениям приторговывают данными админы этих компаний, равно как и организуют «левые» подключения к сетям SS7.
Факт в том, что юридическая ответственность за действия искусственного интеллекта, это то, над чем придется поломать голову юристам и законодателям недалекого будущего.
Да и про вашу систему тоже хотелось бы понять больше, а не просто, то что она использует «крутые» лицензированные решения. Приведите результаты сравнения использования вашей системы по сравнению с аналогами, очень интересует вероятность идентификации и вероятность ложной идентификации.
И еще, на затравку для следующих статей. Расскажите как устроена защита эталонных образцов (то с чем сравниваются данные с сенсоров) от утечки. Сможет ли админ конторы X, у которого скажем есть данные о моей физиономии использовать их для авторизации в банке Y. (например, он может изготовит муляж или вклинится (MiTM) между биометрическим сенсором и системой анализа и т.д.)
Сейчас все производители дронов и компании которые хотят проводить доставку с помощью дронов считают что они одни в небе… И на начальном этапе пока дронов мало это действительно так. Поэтому даже представленного выше функционала может вполне хватать.
Предположим Интернет-магазин X запустил сервис доставки с помощью
автоботовдронов с автоматической системой управления. Дрон сам грузиться, сам летит до пункта назначения и сам возвращается. Все здорово, но 12007-й итерации дрон, во время полета задел и оборвал трос промышленного альпиниста, моющего окна в высотном здании… Кто будет виновным в данном случае?Внедрение искусственного интеллекта (автоматический дрон), перевернет жизнь не только с технической точки зрения. Мы сами, наши привычки, действующие правила дорожно, авиационного, морского движения должны будут измениться.
Очень интересно, как все это разрулится.
Но без людей пока нельзя. Тут даже вопрос не технического, а скорее юридического характера. Кого сажать, если дрон покалечит человека?
Да и идеи по поводу примения в Банках очень далеки от реальности, хотя бы по тому, что карту могут опустошить в банкомате банка, не являющегося эмитентом карты. А видео клиентов банки между собой никогда передават не будут.
Второй существенной проблемой при использовании биометрии является закон о персональных данных. Если оператор укажет, что в его системах используется биометрия, то это «красная тряпка» для проверяющих поскольку подобные системы будет очень сложно и дорого защищать. Уровень защищенности подобной системы будет минимум УЗ2 (по ПП-1119), со всеми вытекающими (Приказы ФСТЭК 21 и ФСБ 378)
С точки зрения практической безопасности биометрия тоже имеет нюансы/проблемы Хотя бы по тому, что идентификационные признаки у человека меняются. На одной из конференций по ИБ коллеги описали ситуацию, когда внедрив систему авторизации по отпечаткам пальцев столкнулись с проблемой, что после выходных многие женщины не могли авторизоваться, поскольку их отпечатки «плыли», из-за того что они в выходные занимались влажной уборкой…
В целом конечно направление интересное, но в нем не хватает какой-то killer фичи, которая бы запустила процесс. Ведь про эти технологии известно уже очень давно, но широкого применения они так и не нашли.
1. Скорость
2. Возможность совершения операций доставки в тех случаях, когда нет подходящей транспортной инфраструктуры.
3 Резкое уменьшение участия людей в процессе.
Раньше люди пользовались стационарными телефонами и первые мобильники вызывали тот же вопрос «Зачем?» Зато сейчас стационарная телефонная связь теряет свою актуальность. Тоже самое будет и с дронами. К удобству быстро привыкаешь.
Кстати говоря использование дронов в России для доставки грузов не запрещено. Но процедура законной доставки очень замудрена, что практически полностью убивает весь смысл идеи. В США тоже можно использовать дронов для доставки, но в пределах прямой видимости оператора, управляющим полетом.
Если система доставки будет более менее точно выявлять кто именно совершил грабеж, то неотвратимость наказания будет существенным сдерживающим фактором. Например Amazon прорабатывает идею использования несольких дронов в операциях доставки. Один доставляет, другой контролирует процесс.
Но даже если ничего не делать, то с точки зрения бизнеса можно вводить лимиты ценности грузов доставляемых с помощью дронов и включать риск утери в стоимость товаров / услуг.
SIEM — это здорово, но нужны люди, которые будут туда смотреть. А в России один ИБист на компанию практически везде (за исключением 100 или 1000 больших компаний).
Возникает идея о внешенем SOC (Security Op. Center), но там цены мама не горюй.
Сейчас существует реальная ниша по обеспечению практической безопасности, но за разумные деньги, когда услуги аутсорса ИБ будут дешевле чем ИБ внутри компании. Но это будет не скоро, а может и никогда. Поскольку деятельность лицензируемая и емкая на инвестиции.
1. Есть легитимный электронный документ подписанный электронной подписью (например, платежное поручение).
2. Злоумышленник, вносит изменения в оригинальный документ изменения (например, подменяет реквизиты получателя).
3. Используя алгоритмы поиска коллизий, злоумышленник ищет такое дополнение в к модифицированному файлу, которое позволит сделать его хэш идентичным оригиналу.
4. Злоумышленник подменяет оригинальный документ модифицированным с таким же хэшом.
Так же следует понимать, что создание электронной подписи, в общем случае, это шифрование хэша документа на закрытом ключе подписанта, поэтому в модифицированном документе, электронная подпись будет валидной и соответствовать ЭП оригинального документа.
В таких случаях иногда идут дальше и в команде появляется человек ответственный за унификацию кода и документации.
А вообще без стандартизации в командной работе никуда.