Персональные данные

Вопрос о необходимости использования сертифицированных средств защиты информации, включая и криптографические, не теряет своей актуальности для коммерческих организаций уже очень долгое время. Он неустанно обсуждается в рамках выполнения требований по обеспечению безопасности персональных данных, критической информационной инфраструктуры, информационной инфраструктуры финансовых организаций и даже государственных информационных систем.

Сейчас же на авансцену выходит ГОСТ Р 57580.1-2017, соответствовать которому уже с начала следующего года должны информационные системы многих компаний финансового сектора. Документ дает весомый повод в очередной раз погрузиться в чтение многостраничного текста, чтобы понять, а требуются ли сертифицированные СЗИ и СКЗИ?

Получая большое количество аналогичных вопросов, мы решили рассмотреть эту тему комплексно, как в рамках ГОСТа, так и иных применимых правовых документов. И, конечно же, поделиться полученным результатом с вами.

Несмотря на то, что выводы, представленные в данной статье, подаются как применимые для финансовых организаций, они абсолютно свободно могут быть распространены и на любые иные компании. В конце концов, кто из нас не оператор персональных данных?

Несколько слов о сертификации СЗИ

По своей сути сертификация это одна из возможных форм подтверждения соответствия технического средства защиты определенным требованиям по безопасности. Такие требования определятся в специальных документах, разрабатываемых ФСТЭК, ФСБ России, а также в технических условиях и технических заданиях по безопасности. Таким образом, антивирус, имеющий сертификат соответствия по какому-либо документу, гарантированно соответствует всем требованиям, описанным в нем.

Для владельцев систем использование сертифицированных СЗИ, как правило, позволяет упростить процессы выполнения и требований регулятора в части построения систем защиты и проведения ее испытаний, в том числе и аттестационных. Обратной стороной является ограниченный (не в плане количества наименований, но в плане возможности их применения) рынок готовых сертифицированных решений, их стоимость, а иногда и просто желание владельца системы редко кому захочется переделывать эффективно функционирующую систему защиты только по причине отсутствия в ней сертифицированных СЗИ.

Все это приводит к необходимости понимая владельцем системы, в каких случаях регулятор требует использования сертифицированных СЗИ, когда настоятельно рекомендует это делать, а когда делегирует решение этого вопроса непосредственно на самого владельца информационной системы.

Типовые организации и применимые к ним НПА

Далее мы предлагаем рассмотреть на примере типовой организаций перечень применимых НПА и проанализировать имеющиеся в них требования о необходимости использования сертифицированных средств защиты информации.

В качестве наиболее показательного примера нами была выбрана организация финансового сектора небольшой региональный банк, являющийся участником платежной системы Банка России, предлагающий своим клиентам возможность идентификации посредством использования биометрической информации. Также предположим, что Банк не осуществляет обработку сведений, составляющих государственную тайну при наличии такого рода информации вопрос о необходимости использования сертифицированных СЗИ, как мы понимаем, не стоит. Далее по тексту будут раскрыты еще несколько особенностей выбранной нами организации, обосновывающие применение тех или иных НПА. Для простоты далее будем именовать наш пример как просто Банк.

Для того, чтобы ответить на поставленные нами в самом начале вопросы, специалисту по информационной безопасности необходимо изучить довольно объемный список нормативных актов, а именно:

1. ГОСТ Р 57580, который приобретает статус обязательного документа для организаций, на которые распространяются требования Положений БР 672-П, 683-П.

2. Ряд положений Банка России: Положения 382-П, 672-П, 683-П, устанавливающих обязательные для финансовых организаций требования к обеспечению защиты информации, выполнять которые в той или иной степени необходимо каждому банку.

3. Приказ Минкомсвязи 321 и методический документ БР 4-МР, регламентирующие порядок защиты биометрических персональных данных, так как выбранный нами Банк взаимодействует с Единой биометрической системой.

4. ФЗ О персональных данных и подзаконные акты, определяющие требования к обеспечению защиты персональных данных, так как Банк является оператором персональных данных, осуществляя обработку информации о своих работниках, клиентах и иных лицах.

5. ФЗ О безопасности критической информационной инфраструктуры и подзаконные акты, так как нашему Банку принадлежат информационные системы, функционирующие в банковской сфере, в соответствии с чем он является субъектом КИИ

6. И, возможно, даже СТО БР ИББС, если Банк продолжает использовать комплекс в качестве вектора ИБ-развития.

Как можно заметить, для выбранного нами примера список применимых документов выглядит вполне внушительным.

Но не стоит думать, что для иных организаций он будет значительно меньше. Так, например, для страховой организации в общем случае этот перечень уменьшится лишь на несколько положений БР, СТО БР, БР 4-МР, а для субъекта КИИ, не являющегося финансовой организацией, применимы останутся как минимум пункты 4 и 5 представленного выше списка.

Какие НПА требуют использования сертифицированных решений в составе системы защиты?

Определившись со списком применимых к выбранной нами типовой организации документов, переходим к следующему шагу, непосредственно к поиску в этих самых НПА заветного требования.

Начнем с наиболее востребованного в последнее время документа ГОСТ Р 57580.1. Как вы наверняка знаете, сами по себе ГОСТ являются рекомендательными документами, которые могут переходить в разряд обязательных, если это предусмотрено каким-либо НПА. Положения 672-П, 683-П, Приказ Минкомсвязи 321, применимые к нашему Банку, устанавливают необходимость выполнять требования ГОСТ Р 57580.1. Итак, подробно изучив документ, можно сделать следующие выводы:

1. Требования документа распространяются на все информационные системы, используемые для предоставления финансовых услуг.

2. Данный документ содержит требование об использовании сертифицированных СЗИ, но только в том случае, если они необходимы для закрытия актуальных угроз информационной безопасности.

3. Что касается использования СКЗИ, для организаций реализующих 1-ый уровень защиты, необходимо использовать сертифицированные ФСБ России СКЗИ. Для остальных организаций действует правило, согласно которому все используемые СКЗИ российского производства также должны быть сертифицированными.

Итак, с СКЗИ все достаточно просто, в то время как момент использования (или неиспользования) сертифицированных СЗИ оставляет некую недосказанность как организации понять, что для закрытия актуальных угроз ей необходимо использовать именно сертифицированные решения?

По логике документа ответ на этот вопрос организация должна получить при разработке модели угроз и нарушителя безопасности информации. Если организация по итогам рассмотрения результатов моделирования угроз пришла к выводу, что гарантированно защититься от них возможно только с использованием сертифицированных решений, то обойтись СЗИ без сертификата не получится. Так, например, если принято решение о необходимости защиты от угрозы, связанной с наличием недекларированных возможностей в используемом на объектах инфраструктуры системном программном обеспечении, то правильным выбором будет использование сертифицированных по требованиям безопасности операционных систем. Как правило, для большинства организаций этот вопрос будет решаться однотипно все актуальные угрозы без особых проблем будут закрываться без использования сертифицированных решений.

Исключение, пожалуй, составят организации, которым использование сертифицированных решений необходимо в соответствии с какими-либо иными НПА или организации, которые рассматривают в качестве источников угроз нарушителей с высоким потенциалом: администраторы ИБ, разведывательные службы государств.

Примерно такого же подхода придерживается и ДИБ ЦБ РФ ниже представлена выдержка из ответов на вопросы о выполнении ГОСТ, которые мы направляли ранее.

Таким образом, можно сделать вывод, что рассматриваемый ГОСТ не требует обязательного использования сертифицированных СЗИ. Этот вывод будет распространяться и на выбранную нами в качестве примера типовую организацию.

Дальше по списку идет несколько Положений ЦБ РФ, давайте рассмотрим и их. Начнем с Положения ЦБ РФ 672-П. Требования документа распространяются на все кредитные организации, являющиеся участниками платежной системы Банка России, имеющими доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде. Предполагаем, что наш Банк относится к данному типу организаций. Поэтому приступаем к изучению документа:

1. Положение распространяется на все информационные системы кредитных организаций, задействованные в осуществлении переводов денежных средств с использованием распоряжений в электронном виде.

2. Документ требует использования СКЗИ и СЗИ, прошедших процедуру оценки соответствия требованиям.

Здесь стоит отметить отдельно сказать о том, что процедура оценки соответствия не равна понятию сертифицированный. 184-ФЗ О техническом регулировании устанавливает несколько разных способов оценки соответствия, среди которых есть как сертификационные испытания, так и, например, приемочные.

Далее рассмотрим основные аспекты Положения ЦБ РФ 683-П, требования которого распространяются на все кредитные организации, в том числе и на наш Банк. Итак:

1. Распространяется на все информационные системы кредитных организаций, задействованные в процессе перевода денежных средств.

2. Требует использования сертифицированной криптографии, если применяются СКЗИ российского производства.

3. Для перевода денежных средств должно использоваться сертифицированное программное обеспечение или программное обеспечение, в отношении которого проведен анализ уязвимостей по оценочному уровню доверия не ниже 4 (ОУД.4).

Здесь же заострим внимание на последнем пункте в списке. Он касается непосредственно сертификации используемого программного обеспечения или же проведения анализа уязвимостей такого программного обеспечения. И если тему с сертификацией СЗИ мы затронули в данной статье, то процесс анализа уязвимостей по ОУД самостоятельная, требующая отдельного освещения тема. И, конечно же, мы планируем рассмотреть ее будущем, если вам эта тема кажется интересной.

Наконец, Положение ЦБ РФ 382-П. Его выполнение обязательно для ряда кредитных организаций, в том числе и для Банка, так как он является оператором по переводу денежных средств. Данный документ:

1. Распространяется на все информационные системы Банка, обрабатывающие защищаемую (в терминах Положения) информацию.

2. Не содержит требования об обязательном использовании сертифицированных СЗИ.

3. Требует использования сертифицированной криптографии, если применяются СКЗИ российского производства.

4. Необходимо использовать СКЗИ в соответствии с эксплуатационной документацией.

5. Для перевода денежных средств должно использоваться сертифицированное программное обеспечение или программное обеспечение, в отношении которого проведен анализ уязвимостей по требованиям к оценочному уровню не ниже ОУД.4.

Здесь также хотелось бы обратить внимание на последний, четвертый, пункт списка. Эксплуатационная документация порой таит в себе собственные, ничуть не менее строгие к обеспечению защиты информации. Так, например, незаменимая СКАД Сигнатура, при определенной схеме ее использования, требует применения сертифицированного по требованиям безопасности межсетевого экрана.

Подводя промежуточный итог, можно сделать вывод, что для рассматриваемого нами примера использование сертифицированных СЗИ и СКЗИ не требуется рассмотренными положениями ЦБ РФ. Исключения составляют только СКЗИ российского производства.

Перейдем к НПА, регламентирующим вопросы защиты биометрических ПДн. Данные требования применимы к нашему примеру, поскольку он подключен к Единой биометрической системе и использует биометрические персональные данные для идентификации клиентов. Итак:

1. Требования распространяются на технологические участки сбора, передачи и обработки биометрических ПДн

2. Использование информационных технологий и технических средств, соответствующих 2-му уровню защиты информации по ГОСТ Р 57580.

3. Рекомендуется использовать сертифицированные СЗИ и СКЗИ.

4. В отношении распространяемого банками своим клиентам программного обеспечения действует рекомендация по наличию сертификата или же проведенного анализа уязвимостей по ОУД.4.

Таким образом, ни Приказ Минкомсвязи 321, ни методический документ ЦБ РФ 4-МР не устанавливают требования об обязательном использовании сертифицированных СЗИ и СКЗИ для нашего Банка.

Далее разберем требования законодательства в области защиты персональных данных. Документы данной области применимы к нашему примеру по причине обработки им персональных данных различных категорий субъектов: собственных работников, соискателей, клиентов и так далее. Основные аспекты этих документов заключаются в следующем:

1. В область защиты попадают все информационные системы, обрабатывающие какие-либо персональные данные.

2. Все НПА требуют использования СЗИ, прошедших оценку соответствия.

3. В случае, когда принято решение об использовании именно сертифицированных решений, они должны соответствовать определенному набору требований. Например, для информационных систем персональных данных второго уровня защищенности допускается использование СЗИ не ниже 5 класса и для которых подтверждено отсутствие НДВ не ниже, чем по четвертому уровню.

4. Обязательное использование СКЗИ для защиты персональных данных не предусмотрено. Если же принято решение об использовании СКЗИ, то они должны иметь сертификаты ФСБ России и соответствовать требованиям к классу СКЗИ.

Обязательное для нашего Банка требование по использованию сертифицированных СЗИ отсутствует, сертифицированных СКЗИ только в случае принятия соответствующего решения, то есть при наличии актуальных угроз безопасности, которые могут быть закрыты только с использованием криптографии.

Теперь проанализируем требования, касающиеся защиты критической информационной инфраструктуры. С учетом того, что Банку принадлежат информационные системы, функционирующие в банковской сфере, в частности АБС, он является субъектом КИИ. Предположим, что категорирование объектов КИИ еще не проведено, в связи с чем требования по обеспечению безопасности значимых объектов КИИ потенциально могут быть применимы к Банку. Вопрос использования сертифицированных СЗИ регламентирован Приказом ФСТЭК 239, а именно:

1. Требования распространяются на значимые объекты критической информационной инфраструктуры и их систему защиты.

2. Приказ не требует обязательного использования сертифицированных СЗИ. Применять их необходимо только в случае, когда это требуется иными применимыми к организации НПА.

3. Также решение о применение сертифицированных СЗИ для защиты критической информационной инфраструктуры может быть принято организацией самостоятельно. В случае принятия такого решения, используемые СЗИ, аналогично ситуации с защитой персональных данных, должны отвечать определенным требованиям.

Таким образом, законодательство в области обеспечения безопасности критической информационной инфраструктуры не содержит требования об обязательном использовании сертифицированных СЗИ, в том числе и в отношении нашего Банка.

Говоря о КИИ трудно не упомянуть и Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак. В соответствии с НПА, регулирующими ее функционирование, если организация использует средства ГосСОПКА (которые по своей сути являются СЗИ), то они должны иметь гарантийную и техническую поддержку российских организаций, а также возможность модернизации российскими организациями. Помимо этого, применяемые организацией СКЗИ должны иметь сертификаты ФСБ России. То есть если организация, например, решила стать корпоративным центром ГосСОПКА, то сертифицированные СКЗИ то, без чего ей не обойтись.

Так как ранее мы упоминали СТО БР ИББС, предлагаем рассмотреть и его требования на предмет наличия использования сертифицированных СЗИ. Тем более, что наш Банк продолжает усердно следовать определенному в данном документе подходу, что находит подтверждение в его [Банка] внутренней документации. Общие положения гласят:

1. Если для защиты АБС от несанкционированного доступа и нерегламентированных действий используется не встроенные средства, а внешние СЗИ, они должны быть сертифицированы.

2. Использование СЗИ для обеспечения безопасности персональных данных регламентируется соответствующими НПА в области защиты персональных данных, то есть использование сертифицированных СЗИ не является обязательной мерой.

3. Используемые СКЗИ должны иметь сертификаты или разрешение ФСБ России.

Таким образом, СТО БР ИББС устанавливает требования об использовании сертифицированных СКЗИ, а также в ряде случаев сертифицированных СЗИ для защиты банковской информационной инфраструктуры.

Заключение

Рассмотрев довольно обширный набор требований по обеспечению защиты информации, применимых к выбранному нами типовому примеру, можно сделать вывод, что использование сертифицированных СЗИ фактически не является обязательной мерой где-то вопрос решения отдается на волю самой организации, где-то такое требование отсутствует вовсе. С другой стороны вопрос использования сертифицированных СКЗИ урегулирован чуть более жестко фактически, если финансовая организация использует СКЗИ российского производителя, то оно должно иметь сертификат ФСБ России.

Полученные нами выводы по большей части актуальны и для большинства иных коммерческих организаций, а не только в отношении выбранного нами примера. Но вместе с тем нередки и случаи, когда применение сертифицированных решений необходимо по тем или иным причинам. Будь то желание обеспечить защиту от специфических угроз, наличие требования в эксплуатационной документации или внутренних документов организации или необходимость выполнения правил взаимодействия с определенной информационной системой.

Таким образом, к решению вопроса о необходимости применения сертифицированных решений стоит подходить как минимум с двух разных сторон: как со стороны требований НПА, так и со стороны специфики конкретной организации, ее систем и процессов.

И если вторая сторона требует детального анализа каждого конкретного случая, то для первой, как мы только что убедились, можно определить общий подход. На основе изложенной выше информации нами была сформирована сводная таблица, содержащая короткий ответ на вопрос о необходимости использования сертифицированных СЗИ и СКЗИ в соответствии с основными НПА, применимыми к различным организациям. Ознакомиться с данной таблицей вы можете здесь.

При необходимости памятка может быть доработана с точки зрения охвата объема изученных документов, а состав информации расширен для более удобного применения к конкретным типам информационных систем.

Надеемся, что данная информация будет вам полезна и поможет сэкономить время в будущем, когда появится необходимость решения изученного нами вопроса.

Спасибо за внимание!

Владислав Павлов

Специалист отдела аудита и консалтинга,Акрибия

Помните, мы как-то рассказывали о треках Radiohead, Muse, Аквариума и ГО, а потом еще о китайском бойбенде и другой музыке большого брата? Эти материалы мы перенесли в свой Мир Hi-Fi, а сегодня решили обсудить отношение рэп-исполнителей к слежке и теориям заговора.

Рэп-игра под колпаком

Не многие знают, но спецслужбы и органы правопорядка США контролируют деятельность рэперов практически с момента появления минимального общественного интереса к этому жанру. Если не закапываться в историю, в середине 2000-х такое положение дел подтвердили авторы документального фильма Black and Blue: Legends of the Hip-Hop Cop. Они выяснили, что под колпаком оказались даже те исполнители, которые не находились в разработке, а наоборот были на пике популярности и становились лауреатами многочисленных музыкальных премий.

Персональные данные, информация о сделках и налоговых отчислениях, круге общения и жизненных обстоятельствах таких звезд как Jay-Z, 50 Cent и их коллег по рэп-игре стала предметом интереса Департамента полиции Нью-Йорка (NYPD) и ряда спецслужб. Подозрениями в столь внимательном отношении со стороны правоорханительных структур поделились и сами музыканты, а новый импульс скандалу придала еще одна документалка Rap Sheet: Hip-Hop and the Cops, практически сразу последовавшая за первой. Свою картину Дон Сикорски (Don Sikorski) построил на 500-страничном документе, который ему удалось получить у NYPD по запросу, основанном на законе о свободе информации, плюс очередной серии интервью с непосредственными участниками событий.

Случаи с ненавязчивым наблюдением и нарушением прав на неприкосновенность частной жизни были известны и до этих фильмов. Они нашли отражение в многочисленных треках из 80-х, начиная с классического Somebody's Watching Me Рокуэлла и до более радикального Louder Than a Bomb от Public Enemy. Кстати, в честь последней композиции назвали крупнейший в мире поэтри-слэм, который ежегодно проводят в Чикаго.

Лирика наиболее ярких представителей жанра из 90-х была пропитана атмосферой недоверия и жестокости, в которой они выросли и жили. Уличные банды не были тогда чем-то необычным, а массовые беспорядки 1992 года в Лос-Анджелесе, которые многим напомнят недавние события, спровоцированные гибелью Джорджа Флойда, привели к волне еще более агрессивного творчества.

После Ghetto Bird Айс Кьюба и Temperatures Rising от Mobb Deep рэп-исполнители вновь вернулись к теме контроля. Так, клип на Phone Tap легендарной хип-хоп супергруппы The Firm был и вовсе снят в духе боевика с многочисленными сценами внешнего наблюдения и прослушки.

Нормально делай, нормально будет

Многие скажут, что внимание к тому, как ведут дела и чем занимаются рэперы, вполне обосновано содержанием их куплетов. Другие заметят, что не только у музыкантов, но и всех граждан должно быть право на свободу слова и творчества. Третьи подчеркнут, что именно хип-хип исполнители были первыми, кто публично заявил о бесконтрольной работе surveillance-программ и ведомств в США, ставших темой глобального скандала через десятилетия после выхода их треков.

Сегодня почувствовать себя популярным рэп-музыкантом может практически каждый. Деятельность Агентства национальной безопасности США, ход развития регулирования интернет-отрасли и локальные требования отдельных стран в отношении мониторинга и хранения веб-трафика задают атмосферу настоящего шпионского триллера, способствуя появлению все большего числа теорий заговора и новой музыки по теме.

Но на этот раз лирика становится мягче, а рэперы говорят о слежке в более развлекательном ключе. Так, в треке 2 Chainz и Pharrell, выпущенном в год Сноуден-гейта, припев состоит всего лишь из одной повторяющейся строчки: I'ma be fresh as hell if the Feds watching.

Другие исполнители уже не считают нужным дразнить систему резкими обвинениями. Подобный подход для себя выбрал Meek Mill, который в 2014-м потерял возможность отбытия условного срока из-за агрессивного поведения, был переведен на домашний арест и заявил, что его микстейп DС4 уже не будет содержать провокационной лексики. В похожей ситуации ранее оказался T.I., прибегнувший к самоцензуре на альбоме No Mercy, а Lil Wayne и вовсе счел необходимым выпустить рок-альбом, чтобы продемонстрировать общественности свои вегетарианскиенамерения.

Будущее под присмотром

Развитие surveillance-рэпа последних лет еще предстоит изучить в деталях, но одно известно точно музыкальное противодействие меняющейся реальности с одной стороны деградировало, а с другой сменилось на борьбу с атмосферой беспомощности, замкнутости и цифрового одиночества.

Здесь представители хип-хоп индустрии и поп-культуры объединили усилия, а что из этого получилось, мы постараемся рассказать в одном из следующих материалов в нашем блоге на Хабре.

Дополнительное чтение в нашем Мире Hi-Fi:

• Все, что вы прочитаете, будет использовано против вас: рэп-игра в зале суда

• Читай, если любишь слушать: книги для аудиоманов от классики до хип-хопа

• Блеск и нищета: как цифровая революция сделала музыкантов беднее

Безопасность персональных данных граждан в разных странах жёстко регулируется законом. В России, например, для этого нужно создать или воспользоваться защищённой инфраструктурой, соответствующей требованиям ФЗ-152 и иных нормативных актов. В США работают Privacy Act of 1974 и Privacy Protection Act of 198, а также ряд других документов. Однако, несмотря на жёсткость требований, данные по-прежнему утекают. И в России, и в Европе, и в США. Cloud4Y рассказывает о свежем инциденте из мира ИТ-безопасности.

Иммиграционная юридическая компания Fragomen, Del Rey, Bernsen & Loewy подтвердила утечку данных, касающихся личных данных нынешних, бывших и потенциальных сотрудников Google. Украдены оказались данные, в обязательном порядке собираемые всеми американскими компаниями по форме I-9.

Любая фирма, работающая в США, обязана создать и заполнить документ по форме I-9 на каждого сотрудника, чтобы подтвердить, что он имеет законное право работать в Соединённых Штатах, является гражданином этой страны или не подпадает под строгие иммиграционные правила. В этих файлах содержится следующая информация:

• полное имя сотрудника компании;

• дата рождения;

• email;

• телефон

• номер социального страхования;

• паспортные данные

• почтовый адрес и иные иммиграционные идентификаторы

Такое обилие информации делает документы формы I-9 лакомым кусочком для злоумышленников. И, по всей видимости, в юридической компании Fragomen не смогли уберечь свою базу данных от посягательства со стороны третьих лиц.

Fragomen одна из крупнейших юридических фирм США, занимающихся иммиграционным правом. В её штате числится 582 адвоката, работающих в 47 регионах по всеми миру. И недавно эта фирма разослала Уведомлении о взломе данных, в котором озвучила ответственность за предоставление Google услуг по проверке сотрудников и признала, что неавторизованная третья сторона получила доступ к файлу, содержащему личную информацию об ограниченном количестве нынешних и бывших сотрудников Google.

Несколько дней назад наши специалисты по информационной безопасности обнаружили подозрительную активность в корпоративной сети. На данный момент проводится многостороннее расследование. По предварительным результатам было выяснено, что киберпреступникам удалось получить доступ к файлам, содержащим конфиденциальные данные в рамках формы I-9, относящиеся к сотрудникам корпорации Google. Хотя на данный момент у нас нет доказательств того, что ваша информация была просмотрена, мы хотели сообщить вам об этом инциденте и уверяем вас, что мы относимся к этому очень серьёзно. Мы предприняли шаги в ответ на этот инцидент, в том числе усовершенствовали нашу инфраструктуру ИТ-безопасности и возможности обнаружения несанкционированных проникновений заявили в компании.

Какие именно данные были скомпрометированы или сколько сотрудников Google пострадали, Fragomen не сообщает.

Утечка получила огласку по той причине, что личные данные такого типа считаются в США строго конфиденциальными, потому что их могут использовать мошенники и киберпреступники. Так что теперь эксперты по кибербезопасности рекомендуют бывшим и действующим сотрудникам Google внимательнее относиться к любым операциям со своим банковским счётом и отслеживать все попытки фишинга в их отношении.

Экспертов также не удивляет тот факт, что хакеры атаковали юридическую фирму, которая хранит большой объем данных, связанных с нынешними и бывшими сотрудниками Google. Эти фирмы обладают огромным количеством конфиденциальных и чувствительных данных своих богатых или политически значимых клиентов, но при этом обычно не могут позволить себе такой же современный уровень кибербезопасности, как первоначальные владельцы данных. И экономия на безопасности обернулась серьёзными проблемами.

Напомним, что в мае этого года хакеры использовали программу-вымогатель REvil, чтобы проникнуть в сеть юридической фирмы Grubman Shire Meiselas & Sacks и украсть 756 ГБ данных, включая контракты, соглашения о неразглашении, номера телефонов, адреса электронной почты, права на музыку и т. д. Также была скомпрометирована и личная переписка большого количества американских знаменитостей.

В качестве компенсации юридическая фирма Fragomen, Del Rey, Bernsen & Loewy, LLP предложила всем пострадавшим сотрудникам Google один год бесплатного кредитного мониторинга. Откровенно слабое утешение, на наш взгляд.

Что ещё интересного есть в блогеCloud4Y

Найдено давно утерянное руководство к самому старому компьютеру в мире

Пограничный патруль США планирует 75 лет хранить данные из гаджетов путешественников

Определённо не Windows 95: какие операционные системы поддерживают работу в космосе?

Рассказываем про государственные защищенные сервисы и сети

Внутри центра обработки данных Bell Labs, 1960-е

Подписывайтесь на нашTelegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу

Тема удаленки в этом году уже успела всем надоесть, но мир вынужден погружаться в нее с каждой новой эпидемиологической волной и в массовом порядке мигрировать из офиса. Этот процесс связан со множеством сложностей, в том числе с точки зрения адаптации технологий и поддержания должного уровня информационной безопасности. Именно они все чаще ассоциируются с этим форматом работы, а разговоры о ванильных метриках вроде сокращения временных затрат на дорогу до рабочего места и обратно отходят на второй план.

Горечь притягательного образа

В какой-то момент казалось, что дистанционная работа может стать одним из основных драйверов для модернизации экономики. Возможность ее развития за счет выноса филиалов организаций поближе к домам сотрудников описали еще в 1976 году, а последние лет десять, кажется, только и обсуждали экономию времени на перемещениях в офис и обратно. Но большую часть ванильных метрик для удаленки все-таки пришлось пересмотреть в худшую сторону.

Свежее исследование специалистов Гарварда и Нью-Йоркского университета показало, что кажущееся удобство ведения дел в халате и домашних тапочках выливается в существенное увеличение рабочего дня. По их оценкам, речь идет о дополнительных 48 минутах, которые приходится тратить на подготовку к звонкам и вынужденным переговорам с коллегами.

В свою очередь, масштабная эвакуация из офисного центра ради сокращения корпоративных расходов на аренду тоже не всегда идет на пользу. Как минимум, рядовым сотрудникам, оказавшимся в непривычной ситуации. Далеко не каждая компания согласится компенсировать им затраты на оборудование, организацию рабочего места дома и другие косвенные траты, которые до этого входили в ее каждодневные обязательства перед персоналом, а некоторые фирмы и вовсе собираются снижать заработную плату надомникам.

Но даже если не пытаться спорить на эти темы, игнорировать организационные сложности действительно проблематично. Одна только весенняя волна ограничений вынесла на берег множество проблем, связанных с документооборотом: задержками с отправкой бумаг и информационной безопасностью ведения дел со штатом дистанционных сотрудников. Менеджеры зачастую не могли даже освоить простейшие инструменты вродеудаленных рабочих мест в облаке, хотя последние поспособствовали бы снятию большей части рисков и неудобств.

Что уж говорить об адаптации решений на программном уровне, об этом многие не задумывались до осени. Когда она наступила, в повседневную жизнь огромного числа компаний вернулась неразбериха им вновь пришлось выводить из офиса существенное количество персонала, а самим надомникам пользоваться решениями, которые были собраны на скорую руку из старых компонентов и не были подготовлены к изменившимся условиям.

Старые уловки для новых проблем

Тем, кого все-таки оставили в офисе, и специалистам, чья деятельность не очень хорошо сочетается с домашней обстановкой, пришлось столкнуться с более существенными неудобствами. Помимо повышенной эпидемиологической угрозы, а во многом и благодаря ей, мониторить их активность стали внимательнее и начали использоваться для этого новые программные и железные средства. Но их практическая реализация вызвала много вопросов.

Как заметили эксперты EFF (Electronic Frontier Foundation), системы видеофиксации и GPS-датчиков, брошенные на передовую для мониторинга подвергшихся потенциальному воздействию вируса, действительно могут собирать излишний объем данных. Согласно EFF, этот факт часто подтверждают и сами вендоры таких комплексов, а вот уточнений о том, как данные хранят и используют давать не торопятся.

Приложения для регулярного сбора отчетности по самочувствию и состоянию здоровья персонала отдельная история, но для них эти вопросы заострены в еще большей степени.

В ряде стран хранение данных мед.карт и информации о здоровье граждан требует отдельных соглашений с работодателем, не говоря об уровне защиты полученных сведений. Но пока организации не торопятся менять привычные порядки и в некоторых случаях подают такие приложения сотрудникам в качестве помощников, позволяющих оценить факторы, которые влияют на продуктивность. Какую ответственность понесут такие компании в случае утечек так называемых GTD-данных и признают ли их мед. информацией, пока не совсем понятно.

В сфере мониторинга образовательного процесса складывается похожая ситуация. К осеннему карантину были готовы единицы учреждений, а существенная их часть решила использовать на дистанционке уже имеющиеся программы для контроля за экзаменационным процессом.

Поэтому теперь даже в процессе выполнения домашнего задания ученики вынуждены правильно моргать, чтобы алгоритм не посчитал их подменными, не отводить взгляд от монитора на длительные промежутки времени и не отклоняться в сторону за подсказками. Обработка данных мониторинга несовершеннолетних, логов об используемых ими устройствах, их местоположении и другой информации отдельный момент, но, кажется, многим не до него.

Нужна адаптация

В корпоративной IT-среде, где все уже привыкли к удаленке и не воспринимают происходящее как что-то неожиданное, обстановка чуть лучше, чем в других областях. Но вне технологического сектора иногда доходят до крайних мер просто проверяют с помощью веб-камер, сидят ли сотрудники за домашним рабочим местом или нет. Даже в тех случаях, когда компании все-таки решают задействовать более продвинутые средства например, для мониторинга и защиты инфраструктуры и контроля доступа к документам есть вопросы к тому, как активность таких систем воспринимают сами работники. Так называемый bossware-софт не может не раздражать.

По данным свежего исследования, проведенного в Великобритании, 44% респондентов выразили крайнюю озабоченность возможностью дистанционного контроля, 80% признались, что не готовы трудится под камерой, а 74% высказались против носимых датчиков для мониторинга.

По итогам рассмотрения общего положения дел в этой области возникает вопрос: сможем ли мы увидеть действительно эффективные и элегантные решения, которые не вызовут волну недоверия? Или все проблемы удаленщиков скинут на директоров по персоналу, задобрив последних всего лишь новым названием должности вроде head of remote? Как будет развиваться ситуация, всем нам предстоит выяснить в ближайшие несколько месяцев.

Дополнительное чтение:

• Работа на дистанционке хорошо забытое старое

• Почему мониторинг для дистанционки требует адаптации

• TL;DR: непривычная дистанционка, досмотр гаджетов и личная ИБ

На Хабре:

• Если уже слили: как сделать документооборот чуточку безопаснее

• Занимательные RFC, YT-каналы на выходные, живойкомп из 50-х и история Fidonet'a

Как показывает практика, декларируемый образ и реальный характер взаимодействия владельцев VPN-сервисов со спецслужбами различных стран могут иметь существенные различия. Обсудим, как развиваются события в этой нише и чего ждать в ближайшее время.

Что происходит

С каждым годом VPN-сервисы все чаще втягивают в разбирательства, связанные с незаконным распространением контента и различными правонарушениями. Обычно компании-владельцы участвуют в этих делах в качестве третьей стороны получают запросы о раскрытии данных пользователей, которых в чем-то подозревают истцы, органы правопорядка или спецслужбы.

Нередко подобные требования успешно игнорируютв силу технических особенностей работы сервисов или так называемой no logs policy, исключающей хранение и передачу пользовательских данных каким-либо организациям и структурам. Другое дело, что иногда такая политика действует по большей части на словах, а на практике не позволяет VPN-сервисам выполнить заявленные обещания по причине их неполной, либо избирательной реализации.

Маркетинг vs реальность

Известны ситуации, когда компании, оперирующие инфраструктурой VPN-сервисов, достаточно быстро сдавали логи, сдобренные существенным объемом других данных, которые изначально и не планировали собирать, либо и вовсе могли не передавать в силу принадлежности к другой юрисдикции. В последнем случае можно было бы обойтись и без слива со стороны VPN-сервиса: подозреваемый осуществлял свои темные дела как с личного, так и с рабочего компьютера, который просто забыл вовремя защититьи должным образом замести за собой следы.

Похожий кейс произошел с британским сервисом, на который правоохранители вышли из-за того, что злоумышленники всего лишь упомянули его наименование в чате. Пригодились ли их логи и данные в расследовании, сказать при этом сложно.

Аналогичное дело о распространении цифровой версии картины Падение Ангела сейчас рассматривает Федеральный окружной суд Колорадо. Суть разбирательства сводится к тому, что правообладатели не смогли получить что-либо от VPN-сервиса, которым предположительно пользовались пираты. Компания-владелец за несколько лет до этого внедрила политику, исключающую сбор логов, и доказала ее работоспособность в суде по другому иску.

Другое дело, что торрент-трекер, использованный злоумышленникам для раздачи фильма, достаточно быстро предоставил имеющиеся логи и сведения, в том числе электронную почту, IP-адреса и информацию о загрузках в учетных записях десятка с лишним пользователей. Теперь правообладатели ждут ответа на свой запрос уже к почтовым сервисам и считают, что сам факт работы с VPN говорит о том, что пользователям таких сервисов есть, что скрывать.

К чему может подтолкнуть подобная риторика различные судебные инстанции, регуляторов, законодателей и общественное мнение, пока остается только предполагать и догадываться.

Конечно, бывает, что компания действительно делает все возможное, чтобы реализовать заявленную no logs policy, но по той или иной причине упускает из виду уязвимости на стороне используемого дата-центра. Получается, что в этой ситуации VPN-сервис можно косвенным образом обвинить в том, что он в итоге не сдерживает свои обещания.

Жива ли канарейка

В большинстве случаев запросы приходят вместе с требованием о неразглашении самого факта обращения и последующего обмена данными. Но несколько лет назад IT-компании предприняли элегантную попытку уведомления аудитории начали делать это с помощью ордерной канарейки (warrant canary). Это мог быть бэйдж или отдельная страница, где организация отмечала, что к ней пока не обращались с просьбой о раскрытии персональных данных. Как только бэйдж снимали, обновляли (или намеренно не обновляли), клиенты компании и пользователи площадки получали однозначный сигнал о том, что что-то происходит. Кто-то даже вводил график обновления канарейки и подписывал каждое с помощью PGP-ключа.

Эта практика была популярна в середине 2010-х, но продержалась не так и долго. Многие, включая основателя Signal Мэтью Розенфельда, говорили, что их юристы не видят смысла в подобных активностях. Аналогичного мнения стали придерживаться и крупные компании вроде Apple, а в некоторых странах вопрос с канарейками решили на уровне законодательства.

Не стали исключением и VPN-сервисы: какие-то начали вести себя странно, другие все-таки продолжили регулярно обновлять статус и отчитываться о канарейке.

Что дальше

Даже если вы используете сервисы, находящиеся под влиянием стран-участниц стремительно расширяющегося альянса Пяти глаз, это не означает, что они в обязательном порядке хранят логи и пользовательские данные. Прямых требований на этот счет к владельцам VPN'ов нет.

Но в этих юрисдикциях с каждым днем крепнет запрос властей и спецслужб на потенциальный ввод существенных ограничений на end-to-end шифрование. Достигнет ли он своих целей, либо мы все-таки увидим еще больше кейсов с получением данных через различные лазейки на стороне хостеров и дата-центров, покажет дальнейшее развитие событий. Умеренное сопротивление со стороны VPN-сервисов может сыграть не последнюю роль в этом процессе.

Что еще почитать у нас по теме:

• Работа интернет-провайдеров и систем связи

• Материалы о сетевых технологиях и миграции на IPv6

• Избранные заметки о протоколах и IT-инфраструктуре

• Доступный интернет: промежуточные итоги и мнения

• Как запустить бесплатный Wi-Fi согласно законодательству

• Интернет в деревню как построить радиорелейную Wi-Fi-сеть

• Экономия на спичках: обсуждаем ошибки в строительстве сетей связи

Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС Росконтроль. Там все по классике пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.

2018 год. Россертификация

В 2018 году в нашу организацию, которая тоже занимается, в том числе, защитой персональных данных, начали поступать многочисленные запросы от юридических лиц о том, что им пришло электронное письмо от какой-то Россертификации и как им на него реагировать.

У нас сохранился образец DOCX-файла , который был прикреплен к тем письмам. Потратив некоторое время и проведя небольшое расследование, мы пришли к выводу, что это мошенники. Извиняюсь, что так вот сходу отменил интригу заголовка, но, поверьте, дальше в статье будет много интересного.

Сразу же с ходу в теме письма начинаются психологические манипуляции, давящие на страх и беспокойство, которые кроются в словах Предписание Рос чего-то там. Среднестатистический работник бухгалтерии, знающий, что госорганы готовы выписывать предписания и штрафы за каждый чих, конечно, в первую очередь почувствует запах неприятностей, а потом уже начнет думать и осознавать происходящее.

В самом вложении также в шапке красуется Россертификация. Пока не понятно, это действительно госконтора или ООО, или еще что-то другое. А вот ниже уже интереснее указаны реквизиты ИНН, КПП, ОГРН и ОКПО. Быстрый поиск в ЕГРЮЛ дает нам результат это данные некоего ООО Единый центр сертификации. Запомним это и едем дальше, осознавая, что подобные предписания без каких-либо договоров, например на аттестационные испытания, не имеет права выдавать ни одно ООО.

Далее нам вешают лапшу о начале внеплановых проверок с 1 апреля 2018 года, как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона 152-ФЗ О персональных данных приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление.

По штрафным санкциям опять недостоверная на тот момент информация. Нижняя граница штрафа для юридических лиц 15 тысяч рублей, а не 45.

И под конец моё любимое страшилка про закрытие предприятия на 90 суток за невыполнение закона О персональных данных. Я думал, что недобросовестные коллеги оставили эту байку в 2010 году как максимум. И, конечно же, такой нормы нет в упомянутой статье 13.11 КоАП РФ здесь просто прямое вранье (с этого момента можно начинать считать сколько раз в этой статье будет употреблено слово вранье)! А тем, кто не знает/не помнит откуда пошла эта страшилка, добро пожаловать под спойлер.

Смотрим дальше текст вложения.

И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало.

Кстати, в этом месте документа по идее должна быть гиперссылка на сайт, но ее нет. Но тогда, в 2018 году, он нашелся методом беглого гугления, сайт находился по адресу 152-фз.россерт.рф. Находился, т. к. сайт больше недоступен, Wayback Machine выдает что-то внятное только за 2019 год. А мы их анализировали и успели наделать скриншотов в 2018-м (судя по архивному отпечатку, в 2019 году текст сильно поменялся, но не суть), и там тоже много чего важного, что поможет нам в будущем сделать кое-какие выводы, давайте посмотрим.

Читатель, ты, возможно, не понимаешь, зачем я тебе показываю скриншоты уже неработающего сайта, но поверь, это важно для понимания полной картины в наши дни.

Итак, снова у нас тут Федеральная программа, которой не существует, главный орган по сертификации Россерт (а это тоже самое, что и Россертификация или другое? пока не понятно) и прочие громкие фразы типа Федеральная программа развития бизнеса в России. При аккредитации Росстандарта. Но самое главное номер телефона в правом верхнем углу совпадает с номером в приложении к письму, а значит, мы точно попали через поиск куда надо.

Дальше нас учат, как же соответствовать закону о персональных данных. Якобы нужно разработать пакет документов и получить на них сертификат соответствия ГОСТ. Стоп, чего? Про пакет документов, в общем-то, правда, да только вот кроме документов, чтобы соответствовать 152-ФЗ нужно еще и выполнить технические мероприятия, поэтому будем считать, что тут не вранье, а недоговорка. А вот про необходимость соответствия комплекта документов по защите персональных данных какому-либо ГОСТ это чистой воды вранье.

Далее нас ожидаемо пугают штрафами. То, что эти цифры не соответствуют действительности сейчас и не соответствовали тогда, мы уже разобрали, но обратите внимание что нижние и верхние границы штрафов не соответствуют таковым в спам-письме. Снова бородатая страшилка про закрытие организации на 90 суток. И лютейший бред про возможное лишение свободы руководителя на срок до 4 лет по 137 УК РФ за нарушение закона О персональных данных (эта статья о злонамеренном сборе и распространении данных о частной жизни физического лица с использованием служебного положения за уши конечно можно притянуть, но все же надо понимать, что такое деяние и отсутствие в организации необходимых документов по 152-ФЗ это совсем разные вещи).

Дальше нам предлагают скачать даже на тот момент сильно устаревшую версию 152-ФЗ. И, конечно же, классика мошенники предупреждают о мошенниках.

Но самое интересное ждало нас в конце сайта.

В разделе Лицензия и аккредитация собственно нет никакой лицензии (да неужели? нас опять обманывают?), зато есть свидетельство о регистрации системы добровольной сертификации Россертификация. Помните, в самом начале я говорил, что мы не понимаем что такое Россертификация и Россерт - теперь понятно, это СДС (система добровольной сертификации).

Что такое СДС? В соответствии с 21 статьей ФЗ О техническом регулировании любое юрлицо или ИП могут учредить такую систему сертификации, например орехов. Вы определяете параметры (вкус, форма, цвет) орехов, на которые вы будете выдавать сертификат и те, кто хотят сертифицировать свои орехи в вашей СДС (которую вы конечно же зарегистрировали в Федеральном агентстве по техническому регулированию и метрологии) заключают с вами договор, проводят необходимые испытания и получают или не получают сертификат.

Нужно еще отметить, что зарегистрировать ООО с приставкой Рос- ой как не просто. Есть целый список требований, чтобы это было возможно. Видимо, у СДС с этим все гораздо проще. Отмечаем так же, что свидетельство о регистрации СДС выдано ООО Единый центр сертификации. Реквизиты (ИНН, ОГРН) ООО с таким же названием фигурировали и в шапке спам-письма.

2020 год. Росконтроль

В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона О персональных данных. Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС Росконтроль.

К счастью, мы с вами уже знаем, что такое СДС и префиксом Федеральный центр нам мозги не запудрить. Но вам ничего не напоминает? Опять СДС, опять в названии Рос-, опять попытка мимикрии под госорганизацию? У меня подозрение, что на манеже все те же закрались сразу. Но мы же не будем делать бездоказательных выводов, правда?

Давайте посмотрим, чем это письмо отличается от образца 2018 года.

Во-первых, теперь это не предписание, а отчет по результатам проверки. Теперь не Россертификация, а Росконтроль и явно указано, что это СДС. Ссылка на другой сайт -rkn.expert (он по сравнению с предыдущим ну совсем маленький и не интересный, поэтому даже подробно анализировать там нечего). Другой телефон. Другой адрес (хотя тоже Питер). Также обращаем внимание на URL сайта, попахивает мимикрией под официальный сайт РКН (rkn.gov.ru).

Установить связь СДС Россертификация и СДС Росконтроль не составляет особого труда. Просто лезем на сайт Росстандарта и ищем Росконтроль, находим одну запись и выясняем, что свидетельство, номер которого совпадает с номером в "отчете" выдано ООО Единый центр сертификации, ОГРН которого совпадает с ОГРН, фигурирующем в спам-письме от 2018 года. На этом, думаю, связь старого спама и нового можно считать установленной. Давайте же дальше смотреть новое письмо.

Кстати, обратите внимание, что свидетельство выдано на СДС Росконтроль и никакого префикса Федеральный центр чего-то там в реестре нет, поэтому Федеральный центр это чистая отсебятина, призванная запутать доверчивых граждан.

Давайте закончим с шапкой письма, ведь здесь самое важное отличие от спама 2018 года теперь здесь фигурирует персоналия, некий Келлерманн А. М. Вот это уже интересно!

Давайте проверим по реестру, не связан ли этот Келлерманн А. М. с нашими старыми знакомыми ООО Единый центр сертификации? Идем в любой каталог организаций и ищем по ИНН. Вот черт! Генеральный директор этой организации некий Катричко Александр Максимович, мимо!

Ладно, не унываем, смотрим дальше "отчет". Смысл там, в общем, такой: этот Росконтроль типа проверил организацию и выяснил, что ее нет в реестре операторов персональных данных. Из чего сделаны выводы:

• уровень нарушений высокий (они не имеют права делать такой вывод, так как, возможно, организация попадает под исключения, когда оператор может не подавать уведомление);

• вероятность проверки высокая (с чего это они взяли тоже абсолютно не понятно, но мы с вами уже предполагаем, что это манипуляция запугивания).

Дальше у меня глаз зацепился за этот блок:

А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях.

Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь.

В четвертом разделе нас пугают уже многомилионными штрафами. Вот как Гермиона штрафы измениласьись за лето два года!

Как вы догадались, тут тоже вранье. Такими штрафами наказывают за отказ хранить данные граждан РФ на территории РФ, так называемая статья против фейсбука и им подобных. Обычное ООО, которое хранит базы 1С у себя на локальном сервере таким санкциям уж точно не подвержено, но звучит-то страшно, правда? 6 миллионов! А чего тогда господин Келлерманн не ссылается на п. 9 статьи 13.11 КоАП РФ, там за повторное нарушение по п.8 штраф аж до 18 миллионов. Еще страшнее!

Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут.

Еще в этом же четвертом пункте "отчета" приводится список документов. В целом, список как список. Почему нет единого стандарта по составу комплекта документов можно узнать из нашей статьи, но меня смутил вот этот пункт:

Дело в том, что разработка документа Модель угроз безопасности являются частью лицензируемого ФСТЭК России вида работ проектирование систем в защищенном исполнении. Сами для себя вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО Единый центр сертификации такой лицензии не имеет, это легко проверить по реестру.

Ладно, долистываем это письмо до конца. Помните, я говорил про персоналию в этом письме? Ниже он подписывается уже более подробно, теперь мы знаем его имя и у нас есть его фото.

Обратите внимание на эволюцию спама - возможно с Россертификацией что-то пошло не так и в дело включился Росконтроль, а для повышения доверия это уже не обезличенное предписание, а отчет, подписанный конкретным лицом. Ну что ж, раз этот персонаж решил все же засветиться, считаю незазорным прогуглить его и покопаться в открытых данных с целью установить реальное ли это лицо вообще и может быть найдем еще какую интересную информацию.

Сначала из найденного я зашел на fl.ru. Фото другое, но rossertrf кричит нам, что это он. Там 6 фрилансеров ставят этому заказчику +, мол, молодец, платит вовремя и все такое. Видимо, там он заказывает сайты типа старого уже закрытого и rkn.expert . Ну, что ж, я надеюсь, что фрилансеры искренне не понимали, что помогают дурить людей.

А потом я зашел в его Instagram (профиль открыт) и тут началось. То, что это именно он, сомнений нет, там есть та же фотка, что и в "отчете" и фото с fl.ru тоже имеется. Бегло пролистав фотки с тачкой и котиком (котик классный, да), взгляд, конечно, же остановился на этой фотке и на посте под ней:

Ну, во-первых - Росконтроль. Обратите внимание на сайт на табличке (rkn.moscow) опять мимикрия под официальный сайт РКН (он просто редиректит на rkn.expert). Во-вторых, сам пост в стиле Вы все дураки и не лечитесь. Тут я не удержался и написал комментарий. Я, честно говоря, ни на что не надеялся, был уверен, что комментарий проигнорируют или удалят, но нет.

На что было получено 2 ответа и второй говорит сам за себя.

Кстати, да, Роскомнадзор действительно в курсе.

А еще в курсе другой Росконтроль, который СМИ.

Вместо заключения

Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?

Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?. И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами предписание и штраф до 6 млн. рублей, вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.

Кто-то может сказать, что г-н Келлерманн правильно написал в комментарии, что у него все зарегистрировано и так далее, и называть его мошенником не правильно, но у нас регистрировать ООО и ИП могут и экстрасенсы с гадалками, а гомеопаты совершенно официально продают в аптеках сахар по цене золота.

В конце концов, мы установили, что Россертификация и Росконтроль это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:

• регистрация и использование СДС с приставкой Рос-, что вводит незадачливых пользователей в заблуждение, причем в случае с Россертификацией спамеры даже не добавляли СДС в начале, видимо потом им дали понять, что так делать нехорошо;

• грубая эксплуатация страха адресата манипулятивными методами: "вам выдано предписание", "вас оштрафуют", "к вам придет проверка". Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;

• попытка замещения функций государственных органов с помощью несуществующих "Федеральных программ" и "Федеральных центров";

• притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;

• фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn."че-то там". Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;

• использование безаппеляционного "все организации должны подать уведомление об обработке персональных данных", хотя закон предполагает ряд исключений;

• безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;

• оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;

• заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);

• ну и вишенка на торте - пост и комментарий в Инстаграме причастного лица (я уж не знаю, один ли он работает или в составе группы). Пост о том, что люди не умеют читать документы, сайты, договора говорит о вполне сознательных и намеренных описанных выше манипуляциях.

Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.

Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.

Достаточно большое количество B2C-компаний сталкиваются с необходимостью обработки персональных данных и, следовательно, соответствия требованиям регуляторов. Вариантов много: можно найти подходящий ЦОД и разместиться в колокейшн или выбрать провайдера с необходимым облачным сервисом. Первый вариант дорог и долог, поэтому компании все чаще смотрят в сторону облачных сервисов для работы с ПДн.

Провайдеры же в качестве подтверждения соответствия требованиям регуляции демонстрируют на своих ресурсах два вида документов: аттестат или оценку эффективности. Сегодня вместе с Алексеем Афанасьевым ( #CloudMTS, ИТ-ГРАД), Дмитрием Пойгиным и Игорем Яковлевым (ООО НАЦ) разберемся, в чем отличия и какой вариант предпочтительнее и беспроблемнее.

Большинству коммерческих клиентов эти процедуры могут показаться близкими по своей сути и результату. Выбирая облачный IaaS-сервис, можно ли рассчитывать, что подтверждающие документы аттестат и оценка эффективности так же близки?

На наш экспертный взгляд, однозначный ответ: нет. Большинство клиентов, работая над приведением к соответствию своей информационной системы, подчас не видят большой разницы ни между этими документами, ни между процедурами, которые за ними стоят. Почему так происходит? Чтобы это понять, разберем особенности работы с ПДн и типы демонстрируемых провайдерами бумаг.

Важно: Выбор сервиса для размещения своей ИСПДн и отслеживание валидности предоставленных бумаг зона ответственности клиента, поскольку, где бы он ни размещал информационные системы, он остается оператором ПДн и несет ответственность за их защиту.

Специфика работы с ПДн в облаке

Когда компания строит собственную ИС для работы с персональными данными в облачных сервисах провайдера, она как оператор ПДн должна учитывать возможность сослаться на некий документ, подтверждающий корректность использования сервиса согласно требованиям регулятора. Как правило, такой документ может быть представлен в виде непосредственно оценки эффективности или аттестата.

Эти два типа документов можно рассмотреть на примере требований к изоляции ИСПДн от публичных сред, других ИС в облаке и интернета.

У регулятора существует конкретный перечень требований к изоляции ИСПДн. При этом достаточно большой набор сервисов со стороны провайдера не всегда имеет однозначное подтверждение такой изолированности.

В своих технических требованиях регулятор оперирует набором ОС, железа, подключением к интернету (сетям общего пользования) и другими. В свою очередь, провайдер может оперировать уровнями платформы, контейнерами или отдельными сервисами (базы данных, бэкапы и пр). Поскольку выбор сервиса для ИСПДн зона ответственности клиента, он должен убедиться, что решение соответствует требованиям регулятора. В том числе в части изоляции. Подтвердить это может как аттестат, так и оценка эффективности (ОЭ). Но есть нюанс.

• В аттестате фиксируется точное соответствие тому или иному уровню защищенности (УЗ) и классу защиты (К) с учетом всех требований ГОСТ, а ОЭ может лишь обозначать данное соответствие.

• Если сервисы провайдера аттестованы, разграничение зон ответственности можно, как правило, провести более четко.

• Аттестат соответствует определениям и категориям, которые использует регулятор. В отличие от оценки эффективности, где определения могут быть даны в более расплывчатых формулировках и не всегда полностью отражать требования регуляции.

Когда без аттестата не обойтись

Когда клиенту принципиально необходимо выбирать именно аттестованное решение?

• Если клиент планирует размещать в облаке ГИС. Оценка эффективности здесь не подойдет при прохождении процедуры аттестации самой информационной системы сослаться на ОЭ будет проблематично.

• Возможно, ИС клиента будет подключаться к ГИС. В этом случае при выборе сервиса стоит внимательно изучить требования владельца системы, к которой планируется подключение. Как правило, в них указывается обязательное наличие аттестации подключаемой ИС. А значит, при выборе облачных сервисов стоит обратить внимание именно на аттестованное решение.

Для обычного коммерческого клиента, не планирующего обмениваться информацией с ГИС и, соответственно, имеющего возможность не выполнять аттестацию своей ИС, ассортимент подходящих защищенных облаков значительно шире. В таком случае можно рассмотреть сервисы тех провайдеров, которые предоставляют оценку эффективности.

Оценка эффективности vs. аттестат

Итак, вы законопослушная компания, планирующая обрабатывать ПДн в облаке, и уже составили список кандидатов в провайдеры. Кто-то из них гордо продемонстрировал оценку эффективности, другие показали аттестованное решение.

Очевидно, что подтверждающая документация не единственный критерий выбора, ведь важно также сравнить цены, функционал, технические возможности. Однако документы стоит изучать далеко не в последнюю очередь, ведь даже самые полезные фичи сервиса могут быть перечеркнуты тем, что он банально не подойдет вам из-за несоответствия требованиям регулятора.

Как выбрать между аттестованным решением и сервисом с оценкой эффективности и не пожалеть о своем решении в будущем? Сравним оба документа.

Оценка эффективности

В первую очередь, необходимо понимать, что оценка эффективности не является документом по ГОСТу. Это документ, предполагающий оценку мер, которые были произведены для защиты ПДн, размещаемых в этой ИС.

Такую оценку владелец ИС вправе выполнить самостоятельно, не привлекая никого со стороны. Только от него зависит объем требований и набор проверяемых подсистем, а также сценарий проверки. В этом случае всю ответственность за процедуру несет сама компания. При необходимости оценки со стороны для проведения этой процедуры можно пригласить консалтера или же компанию-лицензиата ФСТЭК с лицензией, дающей право на проведение аттестационных испытаний выбор велик.

Говоря грубо любая компания может выбрать набор критериев безопасности и провести внутреннюю оценку своих систем на предмет соответствия этим критериям. Будет ли ее результат иметь юридическую силу в глазах регулятора? Едва ли. Важно ли для конечного заказчика наличие у провайдера проведенных оценок эффективности? Давайте разберемся.

Есть компании, которые принципиально не проводят строгую аттестацию. Для работы с ПДн они самостоятельно осуществляют некую оценку эффективности и говорят: Господа, мы решили не использовать сертифицированные средства для защиты гипервизора, потому что в нашей модели нарушителя нет реальных угроз на этом уровне. Сертифицированные средства стоят дорого, и, на наш взгляд, польза от них неочевидна.

Иными словами, провайдер может где-то использовать сертифицированные средства защиты, где-то обойтись творческим подходом и ссылкой на организационные меры защиты, а где-то признать невозможность использования сертифицированных средств защиты в связи с экономической неэффективностью.

Ситуация чем-то похожа на старую-добрую сказку.

Владелец ИС спрашивает:

Свет мой, зеркальце, скажи: я ль на свете самый облачный и защищенный?

Его собственное отражение отвечает:

Ты, конечно, спору нет. Вот тебе оценка эффективности. Твои клиенты будут рады;)) Аттестатом здесь и не пахнет, но в целом все надежно и утечь ничего не должно. Ну, по идее...

Соответственно, куда больше доверия вызывают оценки эффективности, произведенные сторонней компанией, а не самим провайдером. А еще лучше, если такая консалтинговая компания специализированная организация, имеющая право (на основании лицензии ФСТЭК) на проведение аттестационных испытаний. Очевидно, что такая лаборатория не захочет рисковать своей репутацией в глазах регулятора выдавая сомнительные ОЭ.

Важно понимать, что методика контроля в рамках оценки эффективности не регламентируется регулятором. Так как документ, по сути, составляется в свободной форме и его содержание не определяется ГОСТом, он может не включать рассмотрение каких-то требований безопасности, уровней угроз и других тонких моментов. Так что сослаться на эту бумагу так же уверенно, как на аттестат, будет невозможно.

К тому же, де-факто сервисы с оценкой эффективности это не тиражируемый продукт. Изначальная идея ОЭ упростить работу с ИСПДн коммерческим компаниям и дать им возможность проверить собственные системы на предмет соответствия требованиям регулятора, а не перепродать облачные сервисы как инфраструктурные решения для размещения сторонних ИС.

Еще одна потенциальная головная боль клиентов в связи с ОЭ на всем сроке сотрудничества с провайдером быть уверенными, что текущая реальная ситуация соответствует указанной в оценке. В отличие от аттестата, в ОЭ может быть не указан срок, в течение которого документ легитимен. Скорее, это подтверждение того, что на момент проведения все могло соответствовать описанным возможностям. Информационные решения с оценкой эффективности подвижны обновляются программно-аппаратные решения, средства защиты, сам сервис растет и развивается. Поэтому нужно быть готовым к тому, что провайдер мог что-то поменять в своей ИС и это привело к расхождению реальной ситуации с ОЭ. И не факт, что в лучшую сторону с позиции комплаенса.

Да, возможно, мы сгустили краски. Практика показывает, что далеко не все оценки эффективности это сомнительная филькина грамота. Помимо уже упомянутых выше ситуаций, когда подходящих процедур просто нет в природе, оценка эффективности может осуществляться в дополнение к требуемым регуляторами нормам.

Простой пример работа с собственными персональными данными, ИС с ПДн сотрудников компании. Далеко не все компании готовы тратить ресурсы на аттестацию таких систем и ограничиваются оценкой эффективности. Если по какой-то причине придет проверка от регулятора, а в ИС обнаружатся нарушения, будет время, порядка квартала, чтобы всё устранить согласно предписанию.

Однако подобную ИС, предназначенную для собственных нужд компании, не предоставляют как сервис и не перепродают третьим лицам.

Аттестат

Чем же отличается аттестат?

Аттестат это документ, который выполнен по ГОСТ и признается регуляторами. Аттестация решений не может быть проведена провайдером лично, только если он не аттестующая лаборатория, имеющая соответствующую лицензию ФСТЭК. Этим должна заниматься уполномоченная компания-лицензиат, имеющая право на проведение аттестационных испытаний.

При аттестации проверяется не только техническая часть аттестуемого решения, но и организационная. Оценивается весь объем работ по защите информации в данной организации относительно рассматриваемой информационной системы. Фиксируется состав технических средств, ПО и возможных изменений в них.

Наличие у провайдера аттестата гарантирует некую неизменность условий функционирования системы, оказывающих влияние на информационную безопасность, в течение всего периода его действия. Иными словами, для конечного клиента не имеет значения, когда именно был аттестован облачный сервис, вчера или полгода назад. Если аттестат действителен, значит, требования регуляторов выполняются и решение соответствует требованиям безопасности. Так, например, облачные сервисы, имеющие аттестаты УЗ-1 и К1, проходят контрольные мероприятия ежегодно согласно требованиям регулятора.

Если так случится, что в аттестованном сервисе провайдера обнаружится уязвимость и регулятор обратит на нее внимание, то претензий к клиенту не возникнет. Ответственность несут, как мы уже писали выше, лаборатория, выдавшая аттестат, и сам провайдер.

С точки зрения законодательства, аттестация может быть добровольной и обязательной в случаях, определенных законодательством РФ. К примеру, в обязательном порядке нужно аттестовать любые информационные системы, являющиеся государственными. Добровольная аттестация проводится во всех остальных случаях, если компания хочет подтвердить соответствие своего решения существующим требованиям. Если вы планируете когда-либо аттестовать свою ИСПДн, стоит смотреть именно на аттестованные решения. В будущем вы сможете сослаться на подтверждающий документ, что в значительной мере упростит проведение аттестационных работ.

Подведем итоги:

Итак, что дает наличие аттестата клиенту:

• возможность сослаться на него при аттестации собственной ИСПДн и при подключении к ГИС;

• гарантию неизменности системы на период действия аттестата;

• отсутствие вопросов при проверке со стороны регулятора.

Изучаем аттестат

Предположим, вы сделали выбор в пользу аттестованного решения. Разобраться в аттестате, понять описанные в нем детали и применить его это уже зона ответственности клиента.

Соответственно, возникает вопрос: на что стоит обращать внимание конечным клиентам? Самый простой и резонный ответ позволяет ли имеющийся у провайдера аттестат обеспечить требуемый уровень защищенности и/или класс защиты.

Помимо этого, в аттестате содержится информация о фактических адресах размещения технических средств. Есть смысл сверить адреса лицензий и убедиться, что аттестат действителен для этой локации.

Важен и срок действия аттестата. Он может быть и ограниченным (обычно 3 года), и бессрочным. К примеру, при аттестации в рамках 17-го приказа ФСТЭК РФ (от 11.02.2013) аттестат действует в течение всего периода эксплуатации системы.

Облачный провайдер, как правило, является лицензиатом ФСТЭК и ФСБ. Соответственно, предлагая рынку аттестованные сервисные решения, провайдер не захочет рисковать ни своей репутацией, ни доверием со стороны регуляторов.

Если сервисное решение все еще вызывает сомнения, имеет смысл через официальные ресурсы регулятора убедиться в подлинности аттестата. Требовать у провайдера внутренние документы (такие как регламенты, протоколы испытаний) вряд ли стоит. Многие из них, например, методики аттестационных испытаний, являются конфиденциальными и не могут быть предоставлены вам как клиенту.

Однако для ряда сервисов часто бывает важно получить дополнительные сведения из модели угроз и модели нарушителя, разграничения зон ответственности. Для этого можно обратиться к провайдеру и при необходимости получить типовые выписки из нужных документов.

О дивный новый мир! Как ты прекрасен. Как же ошибался Джордж Оруэлл и как был прав Олдос Хаксли. Никто никого не принуждает ни к чему. Народ сам ломится табунами для того, чтобы получить новую пилюлю и слить всю информацию о себе кому попало. И конечно, тебя-то, хабрачеловек, это не будет касаться. Мы то не то, что остальное человьё. Мы умные. Сидим за фаерволлами, торами и всем остальным. Но вот, зачастую упускаем такие моменты, как бабушки, дедушки, мамы, папы и остальные обыкновенные люди, нас окружающие.

Говорить мы будем про Brave и фильм под названием The Social Dilemma.

На Хабре этот фильм как то не упоминался вообще. Разве что, я пропустил где-то переведённую на русский версию. Ну а зря.

The Social Dillema

Я бы не подпустил ни одного из своих родственников к компьютеру, без обязательного просмотра этого фильма. Это документальный фильм, но снят он в очень интересной манере, где документалистика сопровождается игрой актёров.

Тристан Харрис (автор проекта, защитник данных и большой любитель потроллить большие корпорации) рассказывает и показывает что да как сейчас происходит в индустрии обработки данных, социальных сетей, бесконечного скроллинга и тому подобных вещей. Если вы посмотрите на список участников фильма, то вы найдёте бывших сотрудников:

• Google

• Facebook

• Firefox & Mozilla Labs

• Instagram

• Uber

• NVIDIA

• Youtube

Все эти ребята собрались вместе и как полагается рассказали обо всём, что происходит в индустрии.

Помимо многочисленных комментариев бывших создателей всех этих систем и рассказа о том, к чему это может привести, мы можем наблюдать события, разворачивающиеся в жизни одной нормальной американской семьи. (Как обычно, в погоне за равноправием, впихнули чёрного папу, белую маму и рыжих, откуда не возьмись, детей, ну да и ладно.)

Фильм очень хорошо рассказывает о проблемах современного программного обеспечения, которое уж слишком сильно косплеит Большого Брата. В том числе понятно и ясно рассказываются что и почему. Как так выходит, что некоторые люди готовы платить за твоё внимание.

Отдельно и очень основательно в фильме рассказывается о том, как все эти большие данные и искусственные интеллекты начали, в виде побочного эффекта, разжигать межрасовую вражду и очень сильно поспособствовали распространению теорий заговора (таких, как Антимасочники, Плоскоземельники, и те, кто свято считает что вышки 5G надо жечь с удвоенной силой, поскольку именно эти вещи и распространяют ковид).

Фильм заслуживает премии за свою вменяемость. Несмотря на то, что один из участников проекта, Джарон Ланье (http://personeltest.ru/aways/en.wikipedia.org/wiki/Jaron_Lanier) выглядит как упоротый хиппи, его советы не такие уж и упоротые. На самом деле, этот человек работал в Atari в 1985 году, после чего покинул компанию, и работал над множеством проектов, такие как первые VR гарнитуры, Internet2 и так далее. Сейчас он работает в Microsoft Research, и в 2018 году он написал книгу под названием 10 причин почему вам надо удалить свои аккаунты в социальных сетях прямо сейчас. Советы же в фильме не настолько бесполезные.

Вместо того чтобы предлагать нам стать в кружок и побросать все наши телефоны в адский пламень, нам предлагают сбавить обороты и перестать пользоваться бесконечной прокруткой, отключить уведомления из соцсетей (и сосредоточится на работе), перестать смотреть следующе видео на ютубах, пользоваться безопасным поисковиком, а так же ходить в интернет, когда нам надо, а не когда вам подначивает одна из ваших новостных читалок.

Кстати, фильм имеет приличный рейтинг на этих ваших гнилых помидорах. А на гугл так вообще оценил его в 95%, что весело, ввиду того, что гугл прилично огрёб от этого кина.

(Отступление, и ложка дёгтя в бочке мёда. Фильм на английском. Он был выпущен в сентябре 2020 и я не видел его русских переводов. Так вышло, что большинство моих родственников по той или иной причине понимают язык в той степени, чтобы посмотреть фильм. Но не у всех всё так же радужно. Для решения этой проблемы, я хотел бы посмотреть, если у нас получится захаброэффектить всё это дело. На сайте фильма можно послать отзыв. https://www.thesocialdilemma.com/contact/. Если вы не англоговорящий, спросите, есть ли планы. А если вы себя чувствуете достаточно сильным почему бы не предложить ребятам свою помощь в переводе. Хотя бы субтитры. Поправьте меня, если я не прав и вы знаете о русской версии.

Ну а на пока что придётся обойтись всё той же книгой 10 причин почему вам надо удалить свои аккаунты в социальных сетях прямо сейчас, благо её найти можно.)

На самом деле, мы то с вам уже об этом давно знаем. Нам, хабрачеловекам, не надо рассказывать о том, почему Фейсбук сделал бесконечный скроллинг. Мы с вами безостановочно выпиливаем скрипты телеметрии из всего что только можно. Наши браузеры обвешаны блокировщиками по самое не хочу до того состояния, что только половина сайтов работает более-менее нормально (и мы этому рады). Есть часть таких как мы, которые вообще не водятся вконтактиках и фейсбуках, а если и водятся, то только для того, чтобы использовать мессенджеры для общения с бабушками и дедушками.

Но мы не легион. Мы редкие люди, и нас рать (максимум). Борцы с зависимостью вынуждены существовать в зависимом мире. Мы можем сколько угодно соревноваться в количестве установленных фаерволлов, до тех пор, пока мы не посетим нашу дорогую маму (ну надо же иногда себя показать, хоть по видеоконференции) чтобы после узнать что она рассорилась с папой, потому что папа поддерживает [того самого о котором мы в этой статье говорить не буем], а вот она сама этого самого не поддерживает.

Или, приятно иногда узнать, что дедушка уже прикупил себе 10 электрических пылесосов фирмы Бабазуууу, потому что это новая крипта и она сейчас вот уже через минуту подскочит стоимости в 50000 раз.

Тяжёлый фейспалм сопровождается ещё более тяжким вздохом. Если дома вайфай ещё можно посадить на прокси и обезопасить, то за пределами родной крепости наши дети, жены, родственники и друзья подвергаются постоянным бомбардировкам.

Ну хорошо, мы можем попробовать просветить неведущих, показывая им фильмы и давая им книги. Но что делать со всей этой рекламой, которая льётся со всех сторон? Просто ставить адблок на Microsoft Edge и Яндекс Браузер? Ага. Эти с удовольствием сливают идентификатор машины, и независимо от того, сколько раз ты их переустановишь, продолжают следить за твоим компьютером.

Ладно, зачем эти спиноффы? Мы то знаем, что есть Хром и Огнелис! (Которые льют идентификатор инсталяции, и их можно немного урезонить, путём полной переустановки. Хотя, гуглу и на это полный пофиг, потому что всё подключено к вашим этим аккаунтам).

The Brave - защитник наших данных

Ну и тут на сцену выходит Король Brave. О! Посмотрите только на отзывы в Google Play для мобильной версии этого браузера. Таких рейтингов просто так не наберёшь. Все отзывы исключительно положительные. (Может быть процентов пять жалобы на то, что у кого-то поломался бинарник после апгрейда).

Да что там, весь интернет только и говорит о том, какой замечательно безопасный это браузер, который не льёт эти ваши данные направо и налево! Да ещё и позволяет вам зарабатывать бабло на просмотре рекламы! (Хаха, вот это интересная идея, почему бы не развернуть этот движок рубли бабла в обмен на моё внимание другой стороной. Пусть мне будут платить за внимание). Ну так, а как вам поддержка IPFS и Tor? Да просто замечательно! Беру! Пачку! Весь прайд. Устанавливаю на все устройства.

Но только и Лев сам себе иногда попукивает и неприлично пахнет, особенно, когда он зело обожрался зеброй (тобишь, маркетинговых кампаний). Почему бы не вкрутить автоподставку своих реферальных кодов без разрешения? Ну так вкрутим! http://personeltest.ru/aways/habr.com/ru/company/itsumma/news/t/505782/. А, может быть, вам всё-таки показать кое-какую рекламу, которую Король Brave счёл нужной? Покажем!

Ох, ну что же всё так плохо? Почему же так сложно сделать всё по-человечески?

Потому что сложное это дело, пилить браузеры. На данный момент у нас остался только один браузер, и это Chromium. К сожалению, война проиграна. Огнелис ещё крутится, но из последних сил.

А вот собирать свой собственный Хром это дело непростое. Не раз на Хабре светились статьи о том, насколько сложен код этого браузера. И пилить его самостоятельно, дело неперспективное. Так что нужны деньги, поскольку программистам надо платить, да и сервера с неба не валятся, твою жеж мать!

И что наш Brave пытается сделать? Они пытаются встать на эту ужасно острую грань разделительную полосу между безбожными прибылями и этичным отношениям к нашим данным. У них просто нет никаких других возможностей этого сделать. Им, к сожалению, приходится терпеть и вертеться.

И поэтому мы, хабрачеловеки, с осторожностью поглядываем на этого льва. С одной стороны, спасибо, но с другой стороны, чей это там обглоданный скелет валяется? А, ты зебру заточил. Ну это мы понимаем, львы они такие, им зебру надо.

И что же? А вот что:

Я знаю, что на хабре есть люди причастные к проекту и они следят за тем, что здесь происходит.

Я хотел бы предложить (и надеюсь, вы меня можете поддержать) сделать следующую функцию в Brave режим суперпаранойи. Режим этот может вызываться очень странными способами. Пусть даже если мне придётся вбивать код Конами десять раз подряд в главном системном меню браузера, чтобы это всё активировать.

В режиме суперпаранойи должно быть сделано следующее:

• Никакой синхронизации закладок.

• Никаких профилей.

• Никаких менеджеров паролей и кредитных карточек. Мне это не нужно. У меня всё в офлайне.

• Разрешить очищать историю при выходе из браузера.

• Никаких разрешённых реклам. Просто всё нафиг закрыть.

• Убрать-таки все эти разрешённые фейсбучные сайты из списков разрешённых. Мне пофигу что половина сайтов в интернете будет нерабочей. Если сайт не работает в таком состоянии, я скорее всего не захочу им пользоваться.

Что, выглядит так, что мы в таком случае посадим льва на голодную диету. Ништ зибра, майн либе хер. Даже самый упитанный лев скопытиться в таком состоянии за месяц.

Но, господа из Brave, подумайте вот об чём: таких, как мы рать. Нас тысячи, но не миллионы. Но у нас есть друзья, подруги, семьи и всё такое. Мы могли бы ставить нормальный, обыкновенный Brave на компьютеры наших знакомых.

Единственное что вам нужно будет сделать это закопать разодранную зебру подальше и перестать заниматься неприличествами. Дайте мне, в конце концов, браузер который 100% ничего никуда не льёт, и я в обмен, найду вам аудиторию, которой вы можете показывать рекламу, кормить свои BAT или вставлять реферальные коды. (С условием, конечно, что вы будете держаться честно и не будете лить персональные данные, за чем вас ещё не уличили, насколько я могу видеть).

Ну что, господа программисты, на дворе 2021. Не стоит просто называть пользователей баранами, потому что они тупые. Мы с вами ответственные люди. Давайте мы их лучше немного поучим правильным вещам и всем будет проще. Давайте ещё проследим за тем, что кто-то у кого мозги в нужном месте, будет пилить нам браузер, который не будет эти данные спускать в мировой окиян без спросу.

С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц общедоступных персональных данных.

Поправки введенызаконом N 519-ФЗ от 30.12.2020и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет. В большей части поправки важны для сайтов по типу агрегаторов и социальных сетей. Однако и корпоративным сайтам с отзывами и контактными данными сотрудников тоже досталось.

Как всегда, смотрите подробности под катом. </cut>

Из закона исключается понятие персональные данные, сделанные общедоступными субъектом персональных данных, используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие персональные данные, разрешенные субъектом персональных данных для распространения.

Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам.Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).

Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством парсинга), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения общедоступны перестает работать.

Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных

Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.

Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152). В таком случае достаточно сформулировать условия договора с пользователем в общем виде вПользовательском соглашении, а порядок обработки ПДн включить вПолитику конфиденциальности.

Если сайт позволяет публиковать персональные данные в общем доступе, то важно обозначить, что пользователь раскрывает такие данные неопределенному кругу лиц по собственной инициативе (п.2 ст.10.1 ФЗ 152 в новой редакции). Для предоставления доступа к таким сведениям третьим лицам администрации не требуется отдельное согласие субъекта, поскольку у нее есть действующий договор. Однако третьим лицам потребуется подтвердить наличие законных оснований для копирования материалов с сайта и их последующего использования, поскольку прямого договора с субъектом у них нет.

Поэтому примем за общее правило, что согласие на обработку ПДн требуется при отсутствии между сторонами сделки. В законе есть и другие основания для обработки ПДн без согласия субъекта (например, такое право дано журналистами в целях их профессиональной деятельности или гос. органам - для осуществления возложенных на них функций и т.д.). Однако это частные случаи, которые не касаются оборота данных в гражданских отношениях.

Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом. Поэтому требуется получить отдельное согласие на предоставление доступа и распространение ПДн сотрудника на сайте компании.

Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.

Ограничения и условия использования персональных данных

Наибольшие затруднения с правовой и технической стороны вызывают изменения 152-ФЗ в части возможности установления субъектом персональных данных в согласии ограничений и условий их использования.

Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).

Если в согласии прямо не указано, что субъект не установил запретов и условия их использовании или не определил категории и перечень ПДн, к которым такие запреты и условия относятся, оператор ПДн вправе осуществлять их обработку без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5 ст.10.1 ФЗ 152).

На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

При этом оператор обязан обеспечить субъекту возможность установления запретов и условий использования персональных данных. Отказ оператора в установлении субъектом персональных данных предусмотренных выше запретов и условий, не допускается.

Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).

Иными словами, для обеспечения возможности использования третьими лицами опубликованных в общем доступе персональных данных, помимо ознакомления с ними (получения доступа), владелец сайта (оператор ИСПДн) обязан получить согласие субъекта на их распространение. Одновременно оператор должен обеспечить возможность установления запретов и условий использования отдельных категорий и перечня ПДн и опубликовать данную информацию.

Представьте себе сайт для поиска работы, на котором публикуются резюме соискателей, или доску объявлений, где есть контактные данные пользователей. Как обеспечить с 1 марта возможность копирования с них персональной информации пользователей, размещенной в общем доступе?

Выше мы рассмотрели 2 варианта правовых оснований для обработки ПДн: по договору и на основании согласия. Что необходимо сделать в каждом из указанных случаев?

При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).

Если владелец сайта по каким-то причинам намерен распространять ПДн пользователей заранее неопределенному кругу лиц (например, любым интернет-пользователям), потребуется выполнить план мероприятий по ограничению копирования третьими лицами персональных данных пользователей до получения тельных согласий, обеспечению возможности установления различных запретов и условий использования таких данных и публикации таких сведений совместно с такими данными.

Полагаем, что операторов, желающих делиться данными со всеми, найдется не много. Поэтому поправки в ФЗ 152 в целом можно воспринимать в положительном ключе для большинства агрегаторов, поскольку они явным образом запрещают парсинг. Для корпоративных сайтов новшества не несут ничего хорошего, т.к. потребуется получать отдельные согласия со всех субъектов, персональные данные которых у них публикуются

В День защиты персональных данных 28 января РосКомСвобода совместно с Digital Rights Center и Privacy Accelerator провела ежегодную международную конференцию Privacy Day 2021. На ней подвели итоги 2020 года и очертили тренды 2021-го. Обсуждённые экспертами темы, такие как слежка на фоне пандемии COVID-19, непонимание государством, как правильно защищать персональные данные граждан и утечки информации из компаний, всё ещё остаются актуальными. Ниже мы осветим важные моменты из этих обсуждений, но начнём с представления проектов Privacy Accelerator, который был запущен при участии РосКомСвободы.

Проекты Privacy Accelerator

Privacy Accelerator онлайн-программаинтенсивного развития коммерческих и некоммерческих проектов в области приватности, анонимности, доступа к информации и свободы слова и цифровых прав.

В 2020 году для контроля за распространением коронавируса были введены новые инструменты отслеживания через мобильные приложения. Также власти продолжают внедрять системы распознавания лиц, процесс непрозрачен и не подконтролен обществу, происходят утечки данных и их неправомерное использование. Угроза для свободы слова и самовыражения возрастает. В сентябре 2020 был выпущен первый поток Privacy Acceleratorи отобрала для участия четыре проекта в области цифровой грамотности и защиты коммуникаций в Сети.

Мы хотим увеличить число качественных проектов, обеспечивающих цифровые права граждан и их личную безопасность, благодаря менторским консультациям ведущих экспертов по направлениям и поддержке наставников, рассказала координатор Privacy AcceleratorДарья Горбачёва.

Программу поддержали Хабр, ProtonMail, Qrator Labs и ряд экспертов. Мы помогли участникам реализовать продукты от идеи до запуска. Рассказываем о некоторых из них ниже. В скором времени планируем запуск нового потока с хакатоном на старте. В планах проведение минимум двух таких программ в год.

Тех технологий, что есть, либо недостаточно, либо о них плохо знают. Мы хотим, чтобы тема приватности вышла на более широкую аудиторию, заключила Горбачёва.

Personalka

Проект-победительPandemic Hackathon, который прошёл в мае 2020 года.

Представляет собой сервис анализа и хранения соглашений об обработке персональных данных. Как говорят авторы проекта, он призван повысить осознанность людей при подписании согласия на обработку их личной информации и привлечь внимание общества к проблеме нецелевого использования персональных данных. Рассчитан на два сценария онлайн и офлайн.

Онлайн-сценарий учитывает сайты и интернет-сервисы, на которых согласие прячется за мелким шрифтом. Офлайн бумажные соглашения, которые дают на подпись в магазинах, гостиницах. Проект предлагает сопровождение и помощь на всех этапах взаимодействия с компанией и её политикой.

Сначала авторы хотели сервис по отзыву соглашений. Но оказалось, что это всего лишь часть процесса. Поэтому в итоге сервис из трёх компонентов.

1. Сайт, на который можно загрузить текст соглашения. Сервис проводит анализ соглашения по двум критериям: кто операторы данных и какие есть риски (реклама, передача данных третьим лицам). Также он предлагает шаблон отзыва согласия.

2. Плагин в браузере, который находит все точки, требующие передачи данных (кнопочки, галочки).

3. Бот для бумажных документов, который умеет обрабатывать фото и скриншоты в процессе анализа соглашений.

SelfPrivacy

Open-source сервер-платформа на хостинге пользователя для развертывания персональных приватных сервисов, управляемых с помощью мобильного приложения через API провайдеров (Hetzner, AWS, Cloudflare). Все сервисы, такие как почта, VPN, мессенджер, менеджер паролей, файловое хранилище, будут собраны в одном месте.

Лицензионное соглашение не требуется. Приложение предполагает открытый код, отсутствие регистрации, телеметрии, трекинга и, по словам авторов, полную независимость даже от разработчиков. Скачали, установили и всё, говорят они.

В планах у команды тестирование, развитие платформы и релиз на площадках (F-droid, Play Market, App Store).

Amnezia

Проект-победительхакатона DemHack, который состоялся осенью 2020 года.

Сервис на основе полностью открытого исходного кода (серверной и клиентской части) для самостоятельного развертывания VPN-сервера, максимально безопасного и конфиденциального.

Рынок коммерческих VPN растёт каждый год, поскольку VPN решает две важные проблемы обхода блокировки сайтов и сохранения приватности пользователей. Авторы хотят положить начало новой тенденции развитию простых и понятных интерфейсов с дешёвыми тарифами и установкой в один клик.

Мы планируем убедить провайдеров сделать удобный интерфейс, чтобы купить VPS сервер было не сложнее, чем оплатить любой известный коммерческий VPN сервис, говорят разработчики. Настроить собственный VPN сервер в 2021-м так же полезно, как купить биткоины в 2011-м.

Алексей Сидоренко: Четыре всадника апокалипсиса приватности: кто они и как их победить

Руководитель Теплицы социальных технологий Алексей Сидоренко в личном выступлении иронично представил проблемы с приватностью в виде четырёх всадников апокалипсиса, которые являются результатом асимметрии власти, когда у граждан и пользователей есть значительно меньше возможностей управлять своими персональными данными, чем у разработчиков и чиновников.

Четыре всадника дата-апокалипсиса выглядят следующим образом.

Избыточная коммерциализация. Она, что интересно, подразумевает не столько чрезмерный сбор данных Facebook (хотя и это тоже), сколько нелегальность сбора, например, на рынке пробивки данных.

Махровая безалаберность. Появляется в силу человеческого фактора и отношения к человеку не как к человеку, а как строчке в базе данных.

Тоталитарный оппортунизм. Работает по принципу а давайте соберём как можно больше, а что с ними делать, разберёмся потом.

Адская игрофикация. Максимальный сбор данных и сегментация. Уже находит своё воплощение в виде Социального мониторинга в Китае.

Для борьбы со всадниками необходимы законодательные меры, как в Европе, где система построена вокруг людей и их интересов, а вокруг не строчек в базе данных. Сидоренко призвал изменить мышление в сторону гуманизма не только законодателей, но и разработчиков.

Давайте подойдём к приватности как к задаче для разработчиков, головоломке, заявил он.

Дискуссия Большой Брат знает всё: зачем госорганам всё больше информации о нас?

Интернет-омбудсмен Дмитрий Мариничев на конференции был настроен серьёзно и при том пессимистично. По его мнению, через 10-20 лет с приватностью в России будет только хуже. При авторитарной модели управления нет граждан, а есть поданные, которые представляют для государства просто ресурс, по которому есть определённые данные и метаданные. Наша страна пойдёт по пути Китая, когда государство стремится к содержанию всей информации в реестрах.

В горизонте пяти лет мы увидим обработку всех собранных нейросетями массивов, на основе которых будут делаться выводы о людях и прогнозирование их поведения.

По словам Мариничева, система наблюдения станет внушать человеку паттерны поведения, но он будет думать, что принимает решение сам. Сложится цифровая диктатура, однако в ней, как ни странно, людям будет комфортно, потому что жить они станут не задумываясь над тем, как они принимают решения. Сознательных же людей, которые видят, что что-то не так, довольно мало.

В этих условиях может появиться тренд тотальной открытости данных, когда всё будет открыто, но действия с данными только с разрешения их владельцев. Грубо говоря, шифровать ничего не будем, но для действий с данными понадобится разрешение, пояснил Мариничев.

Директор Общества защиты интернетаМихаил Климарёврассказал, как в рамках составления (совместно с РосКомСвободой)Рейтинга соблюдения цифровых прав 2020он оценил приложениеГосуслугипо степени защиты данных пользователей.

Исследование проводилось по методикеRanking Digital Rights, которая при изучении публичной позиции и политик компаний по соблюдению прав человека использует официальные веб-ресурсы компаний (технические домены третьего и более высокого уровня), веб-ресурсы материнских компаний/группы компаний, в которые входят сервисы (например, Mail.ru Group), официальные блоги компаний, а также открытые источники информации, в т.ч. СМИ и медиа-ресурсы.

В рамках этой методики рассматриваемые вопросы группировались по четырём темам:

транспарентность;
права потребителя;
приватность;
свобода информации.

Климарёв проанализировал Госуслуги по этим четырём пунктам (в каждом есть ещё множество подпунктов) и представил итоги в сжатом виде. Так, принципа свободы информации приложение не придерживается, transparency report не публикует, приватность защищает только на 30%, права потребителей на 20%.

В итоге приложение Госуслуги занимает почётное последнее место в списке приложений. На первых трёх, к слову, расположились Хабр, ВКонтакте и Яндекс. Более детально ознакомиться с Рейтингом соблюдения цифровых прав 2020 можноздесь. Подробная методология исследования представлена поэтой ссылке. Ждите наш Рейтинг соблюдения цифровых прав 2021 он выйдет уже скоро!

Директор АНО Информационная культура Иван Бегтин представил исследование Государственные мобильные приложения. Куда передаются данные из приложений, созданных органами власти.

В рамках него специалисты разобрали, какие данные собирают 44 государственных приложения (Мои Документы Онлайн, Добродел, Госуслуги, Активный гражданин, Парковки Москвы и др.) из разных регионов и что могут с ними делать. Оказалось, что 39 приложения включают код сторонних трекеров, 38 при этом код трекеров в зарубежных юрисдикциях.

Данные передаются компаниям в США и Японии. Всего 5 сервисов не содержат сторонних трекеров. Это ЕГР ЗАГС, Госуслуги.Дороги, Липецкая область, HISTARS, Работа в России. В одном приложении может быть до 10 трекеров (Moscow transport).

Вопрос не в том, можно или нельзя так делать, а в двуличности власти, которая говорит об импортозамещении и одновременно сама поставляет данные за рубеж, сделал важное замечание Бегтин.

Как и Сидоренко, Бегтин полагает, что разработчикам следует быть более ответственными. Так, им стоит подумать о саморегулировании и внимательнее относиться к юридическим вопросам передачи данных сторонним сервисам.

В одних случаях использование сторонних сервисах, впрочем, может быть оправдано (Google Crashlytics, Google Firebase), отметил Бегтин. В других это совсем необъяснимо и сделано исключительно для удобства разработчиков: Flurry, HockeyApp, Estimote, Amplitud, Mapbox. Следствием этого удобства и является передача данных компаниям, которые торгуют данными на рынке.

Чем больше разрешений, тем больше шансов, что данные о вас передадутся в любой момент, заключил спикер. Пока регуляторы бездействуют, а разработчики не думают о приватности, Бегтин советует пользователям

тщательно взвешивать, стоит ли устанавливать на смартфон то или иное приложение;

проверять приложения на безопасность через такие сервисы, как Expodus Privacy.

Директор Центра ИТ-исследований РАНХиГС Михаил Брауде-Золотарёв не согласился с Иваном Бегтиным, что риски по утечке данных за рубеж выше, чем в России, особенно если это данные про данные, а не сами пользовательские данные. Он считает, что это не так. Помимо этого спикер указал, что для эффективной работы законов надо отделить плохое от хорошего. В России для этого механизма нет.

Не согласен Золотарёв с Бегтиным и в том, что регулирования в России нет. По его словам, оно есть формальное. Но нет инструментов его реализации, соответствующей культуры в обществе и надзора над его исполнением.

По мнению спикера, с инструментальной точки зрения, следует выделять не чёрные зоны законодательства, что тоже важно, а белые и работать с ними.

Механизм защиты данных понятен. При наличии политической воли и осознании потребности проблему можно решить за год-полтора и покрыть 80% законов о данных.

Журналист-расследовательАндрей Каганскихрассказал о том, как целый год вместе с РосКомСвободой он указывал Департаменту информационных технологий Москвы на отдельно взятую уязвимость в системе распознавания лиц. Никакой реакции на это не последовало (чиновники так и не остановили утечки данных с московских камер), а ответ для СМИбылвсегда один никаких утечек нет.

Это попытка моделирования реальности, когда говорят, что ничего не утекает, отметил Каганских.

Напомним, РосКомСвободамониториласитуацию всю весну, а летом провела эксперимент: волонтёр Аннакупилаполное досье на себя за 15 тыс. руб. Кроме того, выяснилось, что барыги на чёрном рынке на просьбу показать, как работает слив данных, предоставили данные шести человек просто в качестве примера.

ДИТ отвечает, что система анонимна, но на делевозможнытак называемые корреляционные атаки, когда фотографии сопоставляются с данными из других систем, в результате чего личность человека раскрывается, напомнил Каганских. К примеру, в МВД есть система, которая сверяет изображения с данными из системы Российский паспорт. Получается, что анонимность системы по факту формальна. Можно использовать две системы и фото человека и на выходе получить досье на него.

Юрист РосКомСвободы Екатерина Абашина рассказала, как должно реагировать общество на вызовы приватности. Она дала слушателям несколько конкретных советов.

Знать свои права как субъектов персональных данных.

Быть проактивными.

Понимать границы допустимого для государства.

Я призываю граждан внимательнее относиться к тому, какую информацию они передают госорганам и коммерческим организациям, разобраться, где требования законны, а где нет, и стараться отстаивать свои права, в том числе через суд, потому что другого порядка, к сожалению, во многих случаях нет. РосКомСвобода готова в этом помогать, заявила Абашина.

Юрист напомнила, что РосКомСвобода проводит кампанию за введение моратория на использование системы распознавания лиц Bancam и собирает случаи нарушения цифровых прав в в пандемию на карте Pandemic Big Brother. В первом случае вы можете помочь нам, присоединившись к кампании и подписав петицию на сайте, во втором сообщив о соответствующих нарушениях.

Помимо этого юристы РосКомСвободы оказывают юридическую помощь как отдельным лицам, например, Сергею Межуеву, так и в целом обжалуют постановления госорганов, как в случае с указом мэра Москвы Собянина о сборе персональных данных ушедших на удалённую работу сотрудников столичных организаций.

По юридическим вопросам к нам можно обращаться на legal@roskomsvoboda.org.

Подробнее о дискуссии читайте здесь.

На чьей стороне приватность? Мировые практики и болевые точки

Эксперты из Беларуси, Казахстана, Кыргызстана, Германии, а также из РосКомСвободы и Access Now рассказали о цифровых практиках государств в борьбе с коронавирусом, подвели итоги за год и сделали прогноз на будущее.

Интересно отметить, что, как и на первой панели, в выступлениях спикеров звучали тезисы об ответственности разработчиков за производимые технологии, которые используются правительствами для слежки за гражданами. И грустно осознавать, что российская модель обращения с персональными данными на сравнительной шкале адекватной защиты всё чаще оказывается рядом с репрессивным Китаем. Самое печальное предпосылок к позитивным изменениям в нашей стране нет.

2020 год оказался годом пандемии, а вместе с ней ещё и тотальной слежки за гражданами, рассказала координатор проекта Pandemic Big Brother Алёна Рыжикова. В апреле РосКомСвобода и Human Constanta запустили карту Pandemic Big Brother, на которой собирают случаи нарушения цифровых прав.

Почти вся карта окрашена в красный цвет, что означает, что введённые ограничения продолжают там действовать.

Самым популярными средством слежки стали государственные мобильные приложения. Так, 116 стран запустили собственные коронавирусные приложения

для отслеживания контактов с заражёнными;

для выдачи цифровых пропусков;

для самодиагностики;

для отслеживания соблюдения обязательного карантина больными.

Только в России в прошлом году было запущено четыре приложения:

Госуслуги СТОП Коронавирус (выдача цифровых пропусков);

Социальный мониторинг (контроль за соблюдением карантина);

Карантин (проверка цифровых пропусков у водителей);

Госуслуги. COVID-трекер (отслеживание контактов с больными коронавирусом).

Запуск таких приложения в ускоренном режиме приводит к тому, что приложения оказываются недоработанными, а собираемые данные лишены надёжной защиты, что приводит к утечкам , заявила Рыжикова и напомнила, как сервис Социальный мониторинг автоматически выписывал штрафы за нарушение карантина даже тем людям, которые этот карантин вовсе не нарушали.

Во время пандемии усилилась интернет-цензура и охота на фейки , отдельно отметила спикер. В России весной был принят соответствующий закон, по которому на журналистов и СМИ посыпались штрафы. Подобные законы были приняты в более чем десяти странах мира. В Арабских Эмиратах могут оштрафовать на сумму до 5,5 тыс. долл., а в Марокко посадить на срок до трёх лет.

Это грубо нарушает право на свободу слова граждан. Наказание за такие преступления избыточны, резюмировала Рыжикова.

Эксперт правозащитной организации Human Constanta Алексей Казлюк отметил, что в Беларуси повестку коронавируса перебивает повестка протестов, которые начались после выборов президента в августе 2020 года. В стране имеет место слежка за протестующими.

Власть внедряет технологии слежения это плохо. Но все инструменты слежки хорошо работают и им можно противостоять это хорошо. Более того, государство не успевает внедрять всё то, что хочет. Государства, которым не хватит денег на слежку, не успеют в полной внедрить соответствующие технологии. Это, собственно, Беларусь. А вот Казахстан и Россия вызывают более тревожные ощущения, отметил правозащитник.

2021 год возможно, последний год, когда можно протестовать безнаказанно. Потому что потом все инструменты для борьбы с коронавирусом получат новое применение.

Между тем, как считает Казлюк, безответственность производителя технологий уходит в прошлое. Так, компания по распознаванию лиц Synesis попала в санкционный список Евросоюза. Международное адвокатирование один из инструментов борьбы со слежкой. Правозащитники добивались подобного давно, но только сейчас тенденция наконец-то проявилась.

Мы должны просвещать и учить людей защищать свои данные, уверен правозащитник. По его словам, это повестка на ближайший год.

Заместитель председателя немецкой Pirate Parties International Грегори Энгельс рассказал об опыте Германии, представив два примера использования технологий в стране, один положительный, другой негативный.

Положительный пример приложение Corona Warn-app, которое спроектировано так, что исключает слежку за гражданами благодаря протоколу DP-3T Decentralised (данные сохраняются исключительно на телефоне). Близлежащие устройства обмениваются загружаемыми результатами тестов своих владельцев, но только таким образом, что понять, был ли человек в зоне риска, можно, а узнать, кто именно из контактов болен, нельзя. Результаты сразу тестов идут со специальным QR-кодом, которые сохраняет в безопасности персональные данные владельца.

Использование приложения анонимно и добровольно. Сервис не собирает данные, которые не нужны для отслеживания контактов, например, геолокацию, хотя и в Германии есть политики, которые, не понимая, как работают технологии, говорят, что надо собирать о людях больше данных.

Хорошо, что приложения спроектированы так, что данные, которые требуют политики, не только не существуют, но их и невозможно собрать, отметил Энгельс.

Негативный пример рестораны оказались вынуждены вести списки посетителей и время посещения. Позже полиция стала забирать эти списки для своих нужд по причинам, не связанных с коронавирусом. Для конфискации этих данных нужно решение суда, его, разумеется, не было. К сожалению, рестораны, чтобы не связываться с полицией, отдавали эту информацию и даже сливали её в централизованное приложение, которое довольно быстро вскрыли хакеры.

Основатель Eurasian Digital Foundation Руслан Дайырбеков заявил, что пандемия потребовала от государств принятия срочных цифровых решений. В том числе Казахстан внедрил разного рода технологии слежения, силу которых граждане ощутили в полной мере. За нарушителями режима самоизоляции следили при помощи мобильного приложения Smart Astana, систем городских камер видеонаблюдения Сергек, Карты мобильных абонентов, дронов и прочих цифровых инструментов.

Дайырбеков отметил недостаточность механизмов обеспечения приватности и оценки влияния технологий. Кроме того, многие проекты свернули, но уничтожат ли собранные данные, непонятно.

К сожалению, нет правовых механизмов оценки влияния технологий на права человека.

Спикер рассказал и о позитивном развитии законодательства в сфере персональных данных: прошедший год ознаменовался большим шагом в развитии этой области.

Так, был принят закон о регулировании цифровых технологий, представляющий собой пакет поправок в существующие законы. Речь идёт о действительно позитивных изменениях, поскольку государство имплементировало международный стандарт минимизации данных, а также установило правила дактилоскопической, геномной и биометрической регистрации.

Помимо этого появился уполномоченный орган по защите персональных данных, который, правда, пока сложно назвать независимым, поскольку представляет министерство цифрового развития.

Юрист Гражданской инициативы интернет-политики в Кыргызстане Ирина Байкулова подтвердила, что в её стране было много вещей, которые отразились на карте Pandemic Big Brother. В Кыргызстане происходили следующие вещи.

Ограничение свободы слова онлайн, преследование за посты в социальных сетях в рамках борьбы с коронафейками. Врачей и активистов и заставляли отречься от слов и приносить извинения всему кыргызскому народу.

Ужесточение санкций за нарушение санитарно-эпидемиологических норм, условий карантина и самоизоляции, распространение в Сети ложной информации. Были внесены изменения в кодексы об ответственности (приняты по ускоренной процедуре, без общественного обсуждения), введены штрафы за распространение недостоверной информации, если она нарушает общественный порядок и спокойствие граждан на территории, где объявлен режим ЧП.

Ограничение доступа к официальной информации. Журналистов не аккредитовывали на брифинги госорганов.

Несоблюдение конфиденциальности пациентов. В парламенте обсуждалась необходимость опубликования списков лиц, заразившихся коронавирусом. Подразумевалось, что люди, которые контактировали с заболевшими, сами пойдут сдавать анализы. Имели место утечки данных о больных (факты распространения в мессенджерах данных о пациентах), что к стигматизации, особенно в первые месяцы распространения инфекции.

Слежка через государственные цифровые сервисы, использование технологий для отслеживания, нарушающих право на частную жизнь, в частности, мобильное приложение Stop COVID-19 KG.

Максимальный сбор данных трекерами на приложениями, вплоть до местоположения, при отсутствии положений конфиденциальности о том, кто собирает данные, как хранит, куда передаёт.

Утечки данных. В социальных сетях и мессенджерах было распространено видео с описанием работы приложения, фактические разгласившее особо чувствительные персональные (медицинские) данных. Информация оказалась общедоступна.

Электронные пропуска на разрешённые виды деятельности, такие как логистика, доставка продуктов в маркеты, оказание медицинской помощи, волонтёрство.

Электронный маршрутный лист (обязательный документ онлайн или офлайн формы для возможности передвижения по городу в период ЧП/ЧС).

Как хранятся собранные данные, сейчас неизвестно. Неясно, какое количество ПД было собрано, как они использовались, где и в каком виде они хранятся, кто имел к этим данным доступ, защищены ли эти данные от утечек.

Несмотря на многочисленные нарушения, были и положительные моменты. Это оказание услуг связи и интернета абонентам, у которых сформировалась задолженность в оплате, и разработка большого числа бесплатных приложений по предоставлению информации об инфекции и консультаций врачей. Кроме того, невозможность получить многие государственные и банковские услуги позволила переоценить важность цифровизации, безналичных расчетов. Это ускорило цифровую трансформацию и государства, и бизнеса, считает Байкулова. Но вместе с тем, к сожалению, усилило и слежку.

Мы видим, что госорганы всё больше присматриваются к опыту других стран по использованию технологических механизмов контроля, и к сожалению всё больше обращаются не к европейскому опыту (защите privacy), а к китайскому и российскому. Причём скорее вне зависимости от пандемии COVID-19, этот тренд достаточно устойчивый, заключила эксперт.

Эксперт по защите цифровых прав из международной некоммерческой организации Access Now Наталья Крапива сделала прогноз о том, развитие каких трендов стоит ожидать в 2021 году. В их числе распознавание лиц, наблюдение за коммуникациями, применение искусственного интеллекта.

Спикер также выделила следующие тенденции в проводимых политиках разных государств.

1. Правительства станут требовать от людей паспорта вакцинации, что грозит раскрытием и утечкой персональных данных людей и дискриминацией. При этом не существует доказательств, что такие паспорта могут защитить от инфекции.

2. Страны будут продвигать идею суверенитета данных. Отсюда вытекает положительный момент независимость от технологических компаний. Однако Китай, Россия, Чили и даже страны Евросоюза понимают суверенитет как возможность тотальной слежки за гражданами.

3. Регуляторы продолжат рассматривать защиту данных и конкуренцию совместно для контроля над BigTech. Политика защиты данных и антимонопольное законодательство будут совпадать, что проиллюстрировало антимонопольное заседание Конгресса США. Это хорошо, потому что не позволяет компаниям упрочить свою власть.

4. Произойдёт реформа законодательства, связанного со слежкой, для обеспечения передачи данных с Евросоюзом. США уже потеряли возможность переносить данные из Европы к себе.

5. Многие страны, где нет строгих законов о защите данных, начнут двигаться в этом направлении. Это США, Тунис, Эквадор, Индия, Австралия, Боливия. В России, к сожалению, предпосылок к этому нет.

Будем оптимистами и станем надеяться, что как можно больше стран подпишут, ратифицируют и полностью имплементируют Конвенцию о защите физических лиц при автоматизированной обработке персональных данных и её протокол. Эти документы способствуют продвижению концепции прав человека и защите данных во всём мире.

Подробнее о дискуссии читайте здесь.

Соглашайся или уходи: почему интернет-платформы собирают наши данные и куда они утекают?

Представители компаний и сами пользователи представили совершенно разные точки зрения на то, что компании имеют право делать с пользовательскими данными. Так, разработчик решений для финансовых организаций Double Data считает, что может анализировать данные из соцсетей, потому что они общедоступны по своей форме. Фармацевтическая компания Novartis, напротив, уверена, что данные не должны продаваться, если в их суть не заложена коммерциализация, поскольку пользователи соцсетей по умолчанию не предполагают, что их данные будут использоваться в подобных целях. Управляющий партнёр LT Consulting рассказал о своём иске к Apple, а представитель РосКомСвободы о том, как можно влиять на отношение компаний к приватности клиентов.

Заместитель генерального директора по правовым вопросам Double Data Екатерина Калугина представила доклад на тему Пользовательские данные как инструмент конкурентной борьбы.

Юрист рассказала, что данные пользователей нужны компаниям в областях применения искусственного интеллекта, больших данных, анализа данных словом, везде, где необходимо обучать нейронные сети.

Пользовательские данные огромный ресурс, который может использоваться в том числе для устранения потенциальных конкурентов не только с рынка социальных сетей, но и со смежных рынков. Компания с доступом к данных пользователей получает преимущество. Ограничивая доступ к данным своим конкурентам, платформы пользуются двумя инструментами:

законодательством о персональных данных (кейс Facebook);

иммунитетом интеллектуальной собственности (Double Data против ВКонтакте).

Российский опыт в области иммунитетов интеллектуальной собственности представлен, хотя и не исчерпывается, спором Double Data и ВКонтакте. Напомним, социальная сеть в 2017 году подала в суд на компанию ООО Дабл, которая собирала общедоступные персональные данные пользователей. Поначалу соцсети было отказано в иске, затем апелляционная инстанция отменила это решение, дело дошло до кассационного суда, который отправил его на новое рассмотрение в первую инстанцию Арбитражный суд Москвы. Дабл утверждает, что их программа работает как поисковик и клиентам даёт только ссылки на профили пользователей. ВКонтакте же полагает, что Дабл именно извлекает данные пользователей из открытых профилей и использует в своих интересах, в то время как база данных собственность соцсети.

Развитие технологий возможно только в случае, если компании имеют равноправный доступ к открытым данным, уверена спикер. Претензии ВКонтакте способ конкурентной борьбы, считает и гендиректор Double Data Максим Гинжук.

Впрочем, в аналогичном споре Национального бюро кредитных историй, к которому у ВКонтакте тоже есть иск, и Роскомнадзора, проверившего НБКИ, Арбитражный суд Москвы признал, что социальные сети не являются источником общедоступных персональных данных применительно к положению ст. 8 закона Об информации.

Руководитель направления по защите персональных данных Novartis Россия/СНГ Илья Пикулин дополнил фразу Сергея Сидоренко: Я не строчка в базе данных, а личность. Спикер рассказал о компании, которая является примером ответственного подхода к пользовательским данным.

Транснациональная фармацевтическая компания Novartis заинтересована в данных и является потребителем сервисов, которые предоставляют данные. Но она старается трезво смотреть на то, что предлагают ей поставщики данных, например, рекламирующие программу поддержки клиентов. Как правило, они собирают о людях очень много данных и либо легко отдают их все, вплоть до скана паспорта, результатов медицинского тестирования или сведений о редких заболеваниях, либо просто убирают имена владельцев этих данных, не понимаю, что и без имени вычислить человека легко. А значит, настоящую деперсонализацию они не провели.

Процесс, которым мы можем управлять, попытка снизить аппетиты поставщиков, убеждая, что людям некомфортно делиться данными и лучше их минимизировать. Ведь чем больше данных, чем выше шанс, что они утекут и попадут в руки к мошенникам. Это нарушает права пользователей, а нам такие данные не нужны, сказал Пикулин.

При этом Novartis не отказывается от продукции сразу, но проверяет, насколько использовании данных законно. Конечно, иногда это приводит к потере коммерческой выгоды, однако компания нацелена на privacy by design.

Важно понимать, что чем больше данных задействовано, тем выше риск нарушений.

Как потребители мы должны менять культуру в отношении поставщиков услуг, чтобы соблюдался баланс между коммерческими интересами и правами субъектов. Когда они делятся в открытом доступе, не думают, что данные будут продаваться.

Данные не должны продаваться, если в их суть не заложена общедоступность, заключил эксперт.

Управляющий партнёр LT Consulting Тигран Оганян рассказал о своём иске к Apple. Модератор Алексей Мунтян заметил, что благодаря таким кейсам репутация компаний становится всё более важной в аспекте приватности.

В Нью-Йорке в своё время он приобрёл iPhone 6s и сим-карту T-Mobile, привязал телефон к своему Apple ID и использовал полученный телефонный номер около года. После этого, как потом выяснилось, гражданин США Реджи Лопес в Нью-Йорке купил iPhone 6 plus, а также новую сим-карту T-Mobile. Как только Лопес активировал сим-карту на новом iPhone, все сервисы Apple сразу привязались к его номеру телефона, в то время как старый телефонный номер Оганяна (он же новый номер Лопеса) оставался привязанным к Apple ID Оганяна.

Лопесу было неизвестно, что ранее этот номер принадлежал Оганяну. И хотя Оганян деактивировал и даже не вставлял сим-карту в свой телефон, он стал получать сообщения и звонки по iMessage и FaceTime, адресованные новому владельцу телефонного номера Лопесу. При этом Apple никогда не предупреждала своих клиентов о необходимости вручную отвязать старые номера, используемые на iPhone, от аккаунтов Apple.

Оганян получил более 100 сообщений и звонков, среди которых были личные фотографии и сообщения, явно адресованные Реджи Лопесу. Многочисленные попытки урегулировать данную проблему, включая обращение лично к Тиму Куку с просьбой провести внутреннее расследование, не увенчались успехом.

В Apple только посоветовали удалить телефонный номер и сим-карту, которая и так давно не использовалась и была заблокирована.

Сейчас Оганян судится с Apple с целью возмещения ущерба от обманных действий корпорации, умолчание которой о такой бреши в защите конфиденциальности нарушило права потребителей.

Это исключительно привилегия устройств Apple, отметил Оганян особенность смартфонов корпорации.

Юристы Оганяна доказали, что Apple в ходе маркетинговых кампаний предоставляла пользователям ложную информацию о защите их данных. Она позиционировала свои устройства как обладающие специальной защитой конфиденциальности. По этой причине компания назначала и премиальные цены. Оператор ItMobile также обманывал пользователей насчёт защищённости переписки и не требовал от прежних владельцев отвязывать номера от устройств, считает спикер.

Неразглашение Apple и ItMobile привело к тому, что пользователи стали ничего не подозревающими жертвами утечки их корреспонденции, заявил Оганян.

Примечательно, что iOS12 предположительно решала такие проблемы, но Apple так и не проинформировала потребителей о факте обнаружения бреши, которая существовала на протяжении семи лет. И важно, что даже сегодня далеко не все обновили ПО, поэтому указанные нарушения всё ещё могут иметь место.

Пока борьба не обретёт бизнес-очертания, выйдя за рамки правозащиты, она будет не результативна, убеждён Оганян. На такие корпорации суммы возмещения ущерба серьёзно не влияют. Более того, юристы компаний затягивают судебные разбирательства, что позволяет организации и дальше зарабатывать деньги.

Люди должны объединяться для решения таких задачи и привлекать инвестиции в свои кейсы, поскольку путь разбирательств очень длинный, уверен Оганян.

Все усилия правозащитного же сообщества должны быть направлены на создание условий быстрого развития кейсов. Тем быстрее будут результаты, заключил он.

Юрист РосКомсвободы Анна Карнауховарассказала про то, как составлялсяРейтинг соблюдения цифровых прав 2020. Об этом можно почитать выше в рамках выступления Михаила Климарёва.

Рейтинг написан простым языком, чтобы любой желающий мог понять, о чём речь, и, не теряясь в юридических терминах, мог оценить соблюдение компаниями своих прав перед началом использования сервисов, рассказала Карнаухова. Также есть случаи, когда компании обратились за рекомендациями, по которым можно проверить соответствие требованиям.

У нас есть основания полагать, что мы положительно влияем на компании, поскольку в новом отчёте лидеры поменялись. Считаем, реакция есть и изменения в лучшую сторону тоже, заявила Карнаухова.

К слову, октябре 2020 году Яндекс впервыепредставилотчёт о прозрачности, что, безусловно, повлияет на место компании в рейтинге 2021 года.

Мы верим, что Яндекс в том числе прислушался к ним, и рады, что нам удается положительно влиять на отрасль, заявила тогда юрист.

Подробнее о дискуссии читайте здесь.

Ждём вас на нашей конференции в следующем году! А пока смотрите Privacy Day 2021 на нашем канале на YouTube (а тут - подборка по отдельным видео в плейлисте):

Технологические компании ожидают развития ситуации вокруг очередных мер западных регуляторов и лоббистов спецслужб. На этот раз обсуждается законопроект, который может поспособствовать массовым утечкам персональных данных пользователей ИТ-сервисов.

Сдача от иммунитета

Проект, получивший название See Something, Say Something Online Act, предлагают распространить на провайдеров интерактивных сервисов. Под это определение попадают соцсети, медиа с читательскими профилями и комментариями, магазины приложений, витрины подкастов, финтех площадки, рассылки и практически любые ИТ-продукты, которые только можно найти. Компании, оперирующие такими сервисами, могут обязать докладывать о подозрительной активности аудитории и зарегистрированных пользователей.

В случае если руководство бизнеса не обеспечит такую возможность, ему грозит потеря иммунитета от преследования за действия третьих лиц. Его предоставляет Секция 230 закона О соблюдении приличий в коммуникациях. Она снимает с топ-менеджмента провайдеров интерактивных сервисов ответственность за контент, генерируемый пользователями. Именно поэтому директора условной соцсети не подтягивают за публикации и комментарии, которым обмениваются ее участники, даже если суд США признает их преступными или нарушающими какие-либо требования закона.

Тишина под колпаком

Под подозрение предположительно попадут личные сообщения, посты, теги, транзакции, комментарии и другой UGC-контент, либо информация, которую госслужбы и суд могут связать с наступлением особо тяжких последствий, либо посчитают подстрекательством к насилию, запрещенной деятельности или преступлениям в сфере оборота наркотических средств.

Эти нормы будут учитывать потенциальные нарушения как на территории США, так и за пределами страны. Компаниям предлагают выделить до тридцати дней на анализ возможных рисков, подготовку и передачу отчета о подпадающих под сомнения действиях клиентов и пользователей. В чрезвычайных ситуациях, особо экстренных случаях или угрозе их возникновения сроки передачи Suspicious Transmission Activity Reports потребуется минимизировать и немедленно делиться всей имеющейся у компании информацией.

Что интересно, с момента подачи того или иного отчета, бизнес не сможет оповещать аудиторию о том, когда это произошло, как и распространяться о самом факте информирования государственных органов. Поэтому компании с высокой вероятностью прекратят публиковать так называемые transparency reports и вывешивать ордерных канареек. Помимо этого гражданские лица и организации не смогут заполучить такие отчеты по закону О свободе информации даже если подготовят специальный запрос, соотвествующий его нормам.

Спрос на безопасников

Можно только предполагать, какой нагрузке подобное перераспределение обязанностей может подвергнуть ИТ-бизнес, и какими методами технологические компании разного масштаба и уровня заработка будут с ней справиться. Высока вероятность того, что департаменты собственной безопасности крупнейших корпораций с легкостью превзойдут по своим возможностям спецслужбы ряда небольших стран и станут влиятельными игроками в области национальной безопасности. А с учетом того, что интенсивность обмена информацией и количество вербальных конфликтов в онлайне только увеличивается, такие отделы и их коллеги на стороне государства будут обеспечены работой на долгие годы вперед.

Механизм взаимодействия вероятно заимствуют у агентства по борьбе с финансовыми преступлениями [FinCEN], а обрабатывать поток отчетов будут с помощью централизованного ресурса. Помимо потенциальных рисков такого подхода эксперты указывают на направленность этого закона против новых ИТ-платформ и конкурентной среды в данной нише. Если требования примут и они вступят в силу, число стартапов может существенным образом сократиться далеко не все из них будут готовы тянуть дополнительную бюрократическую нагрузку.

Что еще у нас есть на Хабре и в блоге на сайте:

• ЖКХ и телеком зачем и почему им работать вместе

• Работа телеком-операторов, DDoS-атаки, сетевые технологии и инфраструктура

• Исследование низкокачественная интернет-связь оказалась наименее доступной

Здравствуй, уважаемый читатель!

Многие из нас слышали о слежке за пользователями в интернете и о сборе персональных данных, некоторые сталкивались с этим не понаслышке.

Неважно, являетесь вы домашним или корпоративным пользователем, все мы посещаем различные сайты, которые в той или иной мере вытягивают с наших устройств информацию о нас. Еще больше данных о себе и своем устройстве вы отдаёте, посещая вредоносные сайты.

Собирая эти данные и обрабатывая их, тот, кто ими завладел, может составить ваш цифровой портрет, состоящий из цифровых отпечатков или следов, оставленных в сети и этим уже занимаются злоумышленники, взломавшие 120 рекламных серверов.

Согласно результатам исследованияEFF (Electronic Frontier Foundation), уникальность отпечатка браузера очень высока, и он содержит в себе нижеописанные данные:

• user-agent (включая не только браузер, но и версию ОС, тип устройства, языковые настройки, панели инструментов и т.п.);

• часовой пояс;

• разрешение экрана и глубину цвета;

• supercookies;

• настройки cookie;

• системные шрифты;

• плагины к браузеру и их версии;

• журнал посещений;

• другие данные.

  Если говорить о статистике, то только раз на 286 777 случаев случается полное совпадение отпечатков браузеров двух разных пользователей.

Согласно ещеодному исследованию, точность идентификации пользователя при помощи отпечатка браузера составляет 99,24%.

Рассмотрим вершину айсберга и приведём простые примеры, что может случиться с собираемыми о вас данными:

сбор данных для ведения статистики;

сбор данных для показа рекламы;

сбор данных для продажи организациям;

сбор данных для осуществления незаконных действий;

сбор данных для проведения целенаправленных атак;

сбор данных для кражи и мошенничества;

многое другое.

А контролируете ли вы передачу этих данных, если да, то как? Какими средствами защиты информации и плагинами вы пользуетесь? На этот вопрос каждый из вас может ответить в комментариях.

Если еще сильнее углубиться в данную проблему, то какие данные могут утекать не только у обычных домашних пользователей, но и у сотрудников компаний? И к чему это может привести? Чтобы ответить на этот вопрос, предлагаю ознакомиться с рисунком 1.

Многие из нас сталкивались с различными проблемами и неприятностями в офисе, и для наилучшего решения этих проблем некоторые прибегают к поиску решения в сети.

Ряд сотрудников IT, юридического, финансового и других отделов уже понимают, о чём речь. И эту информацию мы тоже отдаем неизвестным нам ресурсам, трекерам и маячкам, не говоря уже о злоумышленниках.

А теперь, зная ваш цифровой портрет и владея информацией о проблемах в организации и ее уязвимых точках, что с ней может сделать злоумышленник? Вопрос риторический.

Под прицелом остаются организации, ведущие разработки для оборонно-промышленного комплекса, космонавтики, медицины, научной деятельности и т.д.

Многие компании и их сотрудники становятся уязвимыми для целенаправленных ATP-атак, а это уже влечет за собой более крупные риски и ущерб. Готовы ли мы принимать эти риски?

Согласно проведённому мной опросу, многие руководители, специалисты и рядовые граждане не готовы к этим рискам, так как при их возникновении они сталкиваются или могут столкнуться с рядом проблем:

понижение заработной платы;

лишение премии;

увольнение с работы;

финансовые и репутационные риски организации.

На рисунке ниже вы можете ознакомиться с данными компании PositiveTechnologies за 2019 год и сделать выводы о типах украденных данных. Для статистики были взяты данные за 2019 год, так как отчет за весь 2020 год от PositiveTechnologies еще не сформирован.

Этот вопрос мы прояснили, но давайте постараемся ответить на вопрос А как эти данные крадутся ещё?. Для ответа на этот вопрос мы обратимся к статистике от той же организации и рассмотрим ее на рисунке 3.

Помимо сбора информации о нас для формирования цифрового портрета, данные о нас собирают вредоносные сайты, которые не всегда блокируются средствами защиты информации, некоторые даже не оповещают об этом и для закрытия этого вектора угроз нужна эшелонированная защита. На рисунке 3 мы видим, что первые два места по распространению вредоносного ПО занимают веб-сайты и электронная почта.

Для решения этих проблем была начата разработка двух версий продукта Nemezida DNT:

Nemezida DNT Enterprise Edition версия продукта, созданная для более глубокой защиты компаний и корпоративного пользователя.

Nemezida DNT Home Edition бесплатная версия для домашнего пользователя с функцией режима защиты Перископная. Начиная с режима защиты Рабочая, продукт будет монетизироваться.

На рисунке 4 вы можете ознакомиться c функциями продукта, которые планируются к реализации, часть из них уже реализованы.

На текущий момент у нас реализован следующий функционал:

подмена Fingerprint;

подмена cookie;

подмена user agent;

VirusTotal;

Cisco Talos.

Последние два модуля будут доработаны, в частности, будет больше информативности о посещенном сайте, также посещение вредоносного сайта будет блокироваться.

Особенность нашей разработки заключается в мультифункциональности, она показана на рисунке 5.

Нашими дизайнерами было создано несколько тем для нашего плагина, Home Edition и Enterprise Edition. На рисунке 7 Вы можете ознакомиться с Home Edition темой нашего плагина, она будет доступна по умолчанию для всех режимов защиты, но сменить ее можно будет на другую, только имея лицензию с уровня защиты Рабочая.

Для версии Nemezida DNT Enterprise Edition была разработана тема в трех тонах: Белый, Черный, Синий, с которыми вы можете ознакомиться на рисунках 8, 9 и 10.

Перед каждым релизом мы будем тщательно проверять наш продукт на наличие уязвимостей и устранять их в случае, если такие будут найдены. Помимо прочего мы начали писать серверную часть, которая будет заниматься сверкой лицензионных ключей. Важно понимать, что ни наш продукт, ни мы не будем заниматься сбором и накоплением данных, в этом вы и сами сможете убедиться при проверке работы продукта в Wireshark, когда продукт выйдет в релиз.

Многие интересовались, на каком стеке мы ведем разработку нашего продукта, ответ на этот вопрос находится на рисунке 11.

Ниже вы можете ознакомиться с членами нашей команды, которые участвуют в разработке решения.

Выйти в релиз мы планируем через 3-4 месяца благодаря вашей обратной связи о нашем проекте, прохождению опроса и поддержке разработки на платформе Boomstarter.

В комментариях к этой статье вы можете оставить обратную связь, поделиться информацией, как вы решаете описанную в статье проблему, является ли это для вас реальной проблемой, какие средства защиты используете и какие у них есть плюсы и минусы для вас как для пользователя.

Спасибо за внимание!

В какой-то момент начались непонятные звонки на сотовый номер, с "привлекательными" предложениями разбогатеть или взять взаймы без процентов ). Один раз даже убеждали что я должен немедленно расплатиться по долгу (которого нет). Заинтересовавшись своей кредитной историей (с чего вдруг такая активность), решил узнать, какая она.

Чтобы узнать в каких кредитных бюро есть записи относящиеся к Вашей персоне, необходимо заполнить заявку на сайте госуслуг (скорей всего это не единственный способ). Получив через некоторое время .PDF файлы из 3-х контор (столько организаций выдал госпортал). Выяснил что, по скану моего паспорта запрашивалась кредитная история от "микрофинансовых" организаций и не один раз. Всё без моего ведома, ибо не пользуюсь подобными услугами.

Финансовых рисков по объективным причинам я не усмотрел, но решил обезопасить себя от аналогичных ситуациях в будущем. Или хотя бы знать канал утечки (что маловероятно в силу способа защиты и уверенности что злодеи не дураки, и не будут использовать такой скан).

Паспорт у меня был ветхий (любил водные процедуры)) и был поменян на новый, на тех же госуслугах по электронному заявлению. Обошлось мне это примерно в 1000+ р. и часть моего времени для похода в МФЦ. Получив новый паспорт, отсканировал все его страницы. Теперь при запросе какой-либо организации скана, отправляю скан с уникальным (название организации) водяным знаком.

Крайне не рекомендую пользоваться онлайн-сервисами по нанесению водяных знаков на графический файл, по понятным причинам!!!

Вы можете сами поискать подходящий вариант. Первый раз вообще рисовал в Paint, кистью, не задевая информационную часть. Потом нашёл программу VisualWatermark. Бесплатная версия добавляет своё в нижней кромке рисунка, но если рисунок сделать чуть больше, то потом рекламную часть можно обрезать.

В конце статьи скан паспорта для Налоговой обработанный с помощью Paint. И для РосРеестра обработанный с помощью вышеназванной программы с обязательной для демо-версии надписью внизу. Не сочтите за рекламу, просто стараюсь быть максимально объективным.

Буду рад если это будет в помощь и поможет избежать проблем! Спасибо за внимание!

p.s. Программе делающей знаки лучше запретить доступ в сеть.

Пару лет назад мы делали обзор премиальных банковских карт и обзор как экономить на страховках, если нет премиалки. А сейчас мы проанализировали порядка сотни приложений банков на права доступа, которые они требуют при установке их мобильного приложения на андроид. Результаты свели в таблицу.

Банковские приложения и сами банки ведут себя очень наглым образом. Уже при установке они запрашивают права доступа, которые им необязательны или совсем не нужны для работы. Например, приложение Сбербанка сразу требует доступ к звонкам и фоткам. Я категорически против. Отказываю. А приложение не хочет работать при таком раскладе.

Банки, конечно, говорят, что всё во благо народа.

Нам же и пенсионный возраст, и НДС повышают по просьбам трудящихся, и даже старого деда до 2036 года продлили. Мы не хотим. А они делают всё, чтобы нам было им проще дать, чем объяснить почему не хочется.

Ответ Сбера просто поражает.

Сбер не одинок. Такая же ситуация и с ВТБ, с которым мы год судимся за закрытие счёта.

Ответ ВТБ

Кто-то даёт добро банкам к с своим личным данным не глядя, а потом банки используют эти данные.

Когда сталкиваешься со СПАМом целенаправленным и понимаешь, что кое-кто слил персональные данные, то уже начинаешь относиться к ним куда бережнее.

Ещё у нас тут Ситибанк и Совкомбанк отличились, если вы клиент этих банков и живёте за границей, то банк считает, что приложение вам не должно быть доступно.

Анализ приложений известных банков

Мы решили сделать анализ приложений основных банков. Проанализировать три типа мобильных приложений банка:

1. для физических лиц;

2. для юридических лиц;

3. и брокерские приложения для инвестиций в ценные бумаги.

Все сведения мы свели в таблицу. Теперь вы можете заранее выбирать нормальный банк, которые не лезет вам нагло в штаны ваш смартфон за вашими данными.

Скрины тестов.

Ситуация не такая уж и угрожающая. Но пока неизвестно куда тренд идёт. Важно, чтобы все клетки в таблице стали зелёными, а не количество красных увеличилось.

Права доступа запрашивают почти все. И в идеале надо зелёными отмечать только тех, кто не запрашивает никаких прав доступа, а жёлтым цветом отмечать тех, кто запрашивает, но работает, если в правах доступа отказано. Если представители банков всё же отреагируют на наши недовольства, то через годик будет уместно повторить тестирование.

Проблема копий паспорта

И чтобы два раза не вставать поговорим про копии паспортов ещё. Нигде никаким законом не предписано коллекционировать копии паспортов. Смысла в их коллекционировании нет. Например, у нас в ITSOFT были перегибы на местах, когда сотрудники брали копии паспортов, но я это запретил делать категорически.

Рынку вообще нужна система идентификации по одному ИНН+TOTP вместо кучи реквизитов и персональных данных.

Никогда никому старайтесь не давать копии паспортов. Всегда требуйте законное обосновании, чтобы потом кредит на вас не повесили или ещё что, а вам не пришлось доказывать, что подпись не ваша. Если же там упираются, то когда снимаете копию с паспорта нужно приложить 2-3 листочка на пустое место в паспорте с указанием куда предоставляется копия паспорта. Потом такой копией невозможно воспользоваться, если она уйдёт на чёрный рынок. А у вас будет хотя бы теоретическая возможность привлечь виновника к ответственности в суде.

Банки пока в массе не применяют ЕБС (единую биометрическую систему).

63-ФЗ об электронной подписи принят уже лет 10 как. Но банки его игнорируют и упорно не хотят работать с документами подписанными УКЭП, хотя согласно п. 1 ст. 6 63-ФЗ они обязаны. По сути мы уже год с ВТБ за это и судимся.

Возможные решения проблемы

Пинать и стыдить постоянно банки и всех, кто пытается без нужды получить доступ к нашим данным. Проверьте какие права имеют все ваши мобильные приложения и запретить всё лишнее. Это можно сделать в Настройки Приложения Менеджер настроек. Не бойтесь запретить нужные права, если потребуются, потом можно всегда разрешить.

Если вы не пишите видео со звуком из Facebook и Instagram, то этим приложениям не нужен доступ к микрофону.

Если вы используете приложения соцсетей только для чтения и не постите фотки, то и доступ к камере им ни к чему.

Зачем доступ к камере смартфона имеют некоторые банковские приложения вообще непонятно. Ещё они доступ к диску имеют. Они вполне могут работать и без него.

Тем банковским приложениям, которые отказываются работать без прав ставим единицу в рейтингах Google Play, пишем отзывы на банкиру.

С этим нужно что-то делать на законодательном уровне. Отчасти даже сделано ст. 5 152-ФЗ. Там сказано, что собирать персональные данные можно только те, которые реально нужны. Есть ст. 15 152-ФЗ, где запрещено без нашего согласия использовать наши данные для того, чтобы нам что-то впарить. Но банки в своих кабальных договорах уже получают от нас согласие и большинство это подписывает не глядя. Хотя согласно закону мы можем отказать банку в части его хотелок. Тут нужно внимательно читать договор и приложения к нему.

Совсем отвратительно то, что согласно ст. 14 152-ФЗ мы не можем получить информацию об обработке наших данных указанную в п. 7., так как согласно подпункту 3) п. 8 наше право может быть ограничено. Банк же всегда может сослаться, что он залезает к нам в трусы смартфон не чтобы лучше нам рекламу показывать и продвигать свои услуги, а чтобы с терроризмом бороться. Мало ли кто чего не то думает про власть.

Банки ловили уже за руку на утечке персональных данных, но им ничего не было по сути, а пострадавшие клиенты существенных компенсаций не получали.

Сейчас пора предвыборных кампаний начинается. Можно обратиться к депутатам и к кандидатам в депутаты, что есть конкретная проблема. Отличный повод с ними познакомиться. Со своими я знакомился в битве за поправками против судебных приказов. В очередной раз напишу письма со ссылкой на данную статью. Тема очень больная. Статей и откликов много. Давно пора навести порядок в том, какие данные банки могут получать, а какие не могут. Ст. 5 152-ФЗ должна работать, а те, кто без необходимости собирает данные должны за это дело отвечать очень серьёзно и не перед государством, а перед физическими лицами. А то права нарушаются наши, а штрафы собирает государство обычно. В результат я, конечно, не верю, но времени это тоже много не занимает.

В ЦБ РФ жалобы писать бесполезно, они там одни отписки дают, что не вправе вмешиваться в деятельность банков.

Если у вас есть возможность совсем не пользоваться телефонной связью, то лучше не пользуйтесь. Банки почему-то не внедряют общение через Telegram. Мы давно внедрили и всем рекомендуем телебота. Телефонная связь пишется в нескольких местах. Все данные озвученные по телефонной связи почти в открытом доступе. Прослушки сливают регулярно в сеть и к вашим телефонным переговорам имеет доступ большой круг лиц.

Не светите личную мобилу для банков.

В идеале СМС принимать на одном телефоне, а приложение банка на другом.

Совсем в идеале банкам уйти от СМС и сим-карт. Сим-карты бывает и подделывают в смысле перевыпускают незаконно. И СМС-ки дорого стоят. Ведь TOTP куда безопаснее и дешевле. Но банкам, за редким исключением, почему-то проще за смски платить, чем перейти на аппаратные токены. Сейчас начали внедрять некоторые банки программные генераторы кодов, но они инициализируются через смс, т.е. деньги они экономят, а безопасности не дают.

Дата-центр ITSOFT размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.

Приглашаем авторов к сотрудничеству.

Конечно, нельзя называть Apple Pay анонимным в принципе, хотя бы потому что к ней привязана наша банковская карта. Однако, в момент оплаты что о нас узнаёт продавец? Какие наши персональные данные получает продавец от Apple Pay? Можно ли избежать передачи данных и, тем самым, сделать оплату анонимной в глазах продавца?

Когда мы полагаем, что оплачиваем через Apple Pay, то можем заблуждаться. В зависимости от того что мы приобретаем, используется один из двух механизмов Apple. При покупке любой материальной услуги действительно применяется Apple Pay. Однако, когда мы приобретаем цифровой контент в экосистеме Apple, применяется In-App Purchase. Заказываете Uber через Apple Pay? Верно, это Apple Pay. Оформляете подписку в Apple Music? Это уже In-App Purchase.

Ниже мы рассказываем, какие данные утекают продавцу при оплате внутри приложений. Мы не стали разбирать ситуацию, когда товар оплачивается через POS-терминал, так как она требует отдельного внимания.

In-App Purchase

Как уже было сказано выше, данный механизм оплаты используется только для цифрового контента. Электронные книги в Amazon Kindle, дополнительное пространство в Dropbox, скины в PUBG - это всё примеры цифрового контента.

При анализе In-App Purchase выяснилось, что мы анонимны перед продавцом. Некоторая информация о нас все же передается продавцу, но в обезличенном виде. Если мы купим неприличную книгу в LitRes, то разработчики приложения не узнают, что именно мы её приобрели. При условии, что мы не поделились с приложением личной информацией иным путем.

Какие данные передаются продавцу

Ниже представлена таблица, где мы видим какие данные In-App Purchase передает продавцу.

Дата первой установки приложения

Можно определить, когда мы первый раз скачали приложение, даже если удалим сейчас, но скачаем заново через пол года.

Список всех сделанных покупок

По сути, только дата покупки и что за продукт был приобретен.

Биллинговая ошибка на стороне клиента

Если мы оформим автовозобновляемую подписку, а потом на карте закончатся деньги или карта будет неактивной, то разработчик узнает об этом.

Технические подробности

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

{    "receipt": {        "receipt_type": "ProductionSandbox",        "adam_id": 0,        "app_item_id": 0,        "bundle_id": "com.belive.app.ios",        "application_version": "3",        "download_id": 0,        "version_external_identifier": 0,        "receipt_creation_date": "2018-11-13 16:46:31 Etc/GMT",        "receipt_creation_date_ms": "1542127591000",        "receipt_creation_date_pst": "2018-11-13 08:46:31 America/Los_Angeles",        "request_date": "2018-11-13 17:10:31 Etc/GMT",        "request_date_ms": "1542129031280",        "request_date_pst": "2018-11-13 09:10:31 America/Los_Angeles",        "original_purchase_date": "2013-08-01 07:00:00 Etc/GMT",        "original_purchase_date_ms": "1375340400000",        "original_purchase_date_pst": "2013-08-01 00:00:00 America/Los_Angeles",        "original_application_version": "1.0",        "in_app": [{            "quantity": "1",            "product_id": "test2",            "transaction_id": "1000000472106082",            "original_transaction_id": "1000000472106082",            "purchase_date": "2018-11-13 16:46:31 Etc/GMT",            "purchase_date_ms": "1542127591000",            "purchase_date_pst": "2018-11-13 08:46:31 America/Los_Angeles",            "original_purchase_date": "2018-11-13 16:46:31 Etc/GMT",            "original_purchase_date_ms": "1542127591000",            "original_purchase_date_pst": "2018-11-13 08:46:31 America/Los_Angeles",            "is_trial_period": "false"        }]    },    "status": 0,    "environment": "Sandbox"}

Apple Pay

Просто напомню, что Apple Pay предназначен для материальных товаров и услуг. Примерами могут быть: доставка еды в UberEATS, аренда дома в Airbnb, авиабилеты в Skyscanner.

Исследование Apple Pay показало нам, что продавец однозначно понимает, кто у него покупает товар/услугу. Мы полностью открыты в глазах продавца. Можно ограничить доступ к некоторой информации о себе, но кардинально ситуацию не изменить.

Какие данные передаются продавцу

Ниже представлена таблица, где мы видим какие данные Apple Pay передает продавцу.

До подтверждения оплаты

В момент, когда у нас выскакивает шторка с просьбой подтвердить оплату, продавец уже получает о нас информацию.

После подтверждения оплаты

Как только мы подтверждаем оплату с помощью Face ID, Touch ID или пароля, продавец получает новую порцию данных.

От банка-эквайера

После успешной оплаты продавец может запросить дополнительную информацию о нас. Информация запрашивается у того, кто непосредственно обрабатывает нашу оплату (эквайер).

Как выглядит подтверждение оплаты

Шторка с подтверждением оплаты может выглядеть по-разному. Все зависит от того, какую информацию о нас запрашивает продавец. Любая запрошенная информация обязательна к заполнению.

Технические подробности

func paymentAuthorizationController(_ controller: PKPaymentAuthorizationController, didSelectPaymentMethod paymentMethod: PKPaymentMethod, handler completion: @escaping (PKPaymentRequestPaymentMethodUpdate) -> Void)

func paymentAuthorizationController(_ controller: PKPaymentAuthorizationController, didSelectShippingContact contact: PKContact, handler completion: @escaping (PKPaymentRequestShippingContactUpdate) -> Void)

let paymentRequest = PKPaymentRequest()paymentRequest.requiredShippingContactFields = [  .postalAddress,   .name,  .phoneNumber,  .emailAddress]paymentRequest.requiredBillingContactFields = [  .postalAddress,  .name,  .phoneNumber,  .emailAddress]

func paymentAuthorizationController(_ controller: PKPaymentAuthorizationController, didSelectPaymentMethod paymentMethod: PKPaymentMethod, handler completion: @escaping (PKPaymentRequestPaymentMethodUpdate) -> Void)

payment.token.paymentMethod.billingAddress givenName nilpayment.token.paymentMethod.billingAddress middleName nilpayment.token.paymentMethod.billingAddress familyName nilpayment.token.paymentMethod.billingAddress                              street=,                             subLocality=,                             city=Москва,                             subAdministrativeArea=,                             state=Москва,                             postalCode=125009,                             country=Россия,                             countryCode=RUpayment.token.paymentMethod.type 2

payment.shippingContact email nilpayment.shippingContact name                          namePrefix:                          givenName:                          middleName:                          familyName:                          nameSuffix:                          nickname:                          phoneticRepresentation:                         givenName:                          middleName:                          familyName:   payment.shippingContact postalAddress                         street=,                         subLocality=,                         city=Москва,                         subAdministrativeArea=,                         state=Москва,                         postalCode=125009,                         country=Россия,                         countryCode=RUpayment.shippingContact phoneNumber nil

payment.billingContact          street=Тверская улица 1 123,         subLocality=,         city=Москва,         subAdministrativeArea=,         state=Москва,         postalCode=125009,         country=Россия,         countryCode=RU

payment.shippingContact email ivan@ivanov.rupayment.shippingContact name                         namePrefix:                          givenName: Иван                         middleName:                          familyName: Иванов                         nameSuffix:                          nickname:                          phoneticRepresentation:                           givenName: Ivan                           middleName:                            familyName: Ivanovpayment.shippingContact phoneNumber stringValue=+77990001122

payment.billingContact email nilpayment.billingContact name                        namePrefix:                         givenName: Иван                        middleName:                         familyName: Иванов                        nameSuffix:                         nickname:                         phoneticRepresentation:                           givenName: Ivan                           middleName:                            familyName: Ivanov  payment.billingContact phoneNumber nil

paymentMethod.displayName Discover 2780payment.token.paymentMethod.network PKPaymentNetwork(_rawValue: Discover)

Примечания

1. Если адрес не выбран явно, то будет подтягиваться тот, что указан в адресе доставки.

2. В этих настройках данные могут быть заданы напрямую, либо подтягиваться из карточки контакта из телефонной книги. Если данные были заданы здесь, то в телефонной книге их нельзя будет найти. Если же данные были введены в телефонной книге, то здесь они будут видны, но удалить их можно только через телефонную книгу. Это будет заметно по подписи под email или телефоном (домашний, рабочий и тд) и по тому, что не будет возможности удалить его.

28 января 2021 года, в международный день защиты данных, пройдет тематическая конференция Privacy Day 2021. Российская конференция состоится уже в третий раз. Рассказываем, какие проблемы нашей приватности спикеры обсудят на Privacy Day уже в этот четверг.

В Европе и США День защиты данных отмечают с 2007 года. Под датой 28 января он закреплен в национальных календарях, регулярно проводятся многотысячные тематические мероприятия, в том числе международные. Московская конференция призвана поддержать общемировое движение и дать российским специалистам площадку для дискуссий и нетворкинга.

Главные темы Privacy Day 2021 - нарастающие объемы сбора данных о пользователях со стороны госструктур и медиакорпораций, а также проблемы приватности в пандемическом мире.

Темы, которые спикеры обсудят на конференции:

• тенденции регулирования персональных данных в России и в мире;

• новые угрозы приватности со стороны технологий, государства и корпораций;

• успешные бизнес-кейсы в области защиты, хранения и оборота персональных данных;

• выдающиеся случаи ответственного и добропорядочного обращения с данными пользователей;

• новые проекты в сфере приватности;

• экспертные оценки, жаркие баталии и неожиданные выводы.

В 2021 году конференция проходит онлайн, доступна и бесплатна для всех пользователей в прямой трансляции на YouTube.

Аудитория мероприятия: эксперты в области приватности и защиты информации, DPO, специалисты по безопасности, сотрудники и владельцы крупных IT-компаний, юристы, экономисты, социологи, общественные деятели, журналисты и пользователи Сети. Privacy Day 2021 интересна тем, кто работает с персональными данными, а также пользователям, которые их и производят.

ОРГАНИЗАТОР

Privacy Day 2021 проводится РосКомСвободой совместно с Digital Rights Center и Privacy Accelerator.

ГДЕ И КОГДА

Конференция в формате онлайн

28 января 2020 года

Начало в 11.00 (Мск GMT+3)

ПРОГРАММА

На сайте: http://privacyday.ru

Всем привет,

Я последние несколько лет очень часто сталкиваюсь с проектами по адаптации под 152-ФЗ и он мне, честно, порядком надоел. Поэтому, прочитав опять весь закон, все комментарии различных ведомств и трактовки уважаемых людей, а также проанализировав ряд решений, которые прошли успешно аудит. Я, кажется, нашел простой технический вариант как сделать ваш web-site, API или приложение, соответствующее закону о персональных данных 152-ФЗ в разрезе требования о сборе пнд на территории России.

Я даже автоматизировал развертывание этой штуки и это занимает не больше 10-ти минут. Давайте обсудим применимость данного подхода!?

Чуть-чуть про сам закон, 152-ФЗ

Я уже и не помню зачем он на самом деле создавался, толи для того, что бы фейсбук и твиттер хранили данные о Российских граждан в РФ и таким образом к ним был бы более простой способ доступа у правоохранительных органов. Возможно, для того, чтобы они были в безопасности. Назначение самого закона оставим за скобками, а углубимся сразу в его требования. Сам закон обширный, но самый большой камень преткновения описан в статье 18, п.5:

"При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных впунктах 2,3,4,8 части 1 статьи 6настоящего Федерального закона."

Хочу обратить внимание именно на слова "при сборе персональных данных". Если попробовать перевести в простой язык, то его можно трактовать так, что собирать данные нужно используя базу данных в РФ и еще держать ее актуальной. Никаких ограничений для других операций в законе нет и ограничений, что можно делать дальше с этими данными так же нет. Это самый тонкий момент тут, так как пояснений, что такое база-данных или другие понятия закон не описывает, то это все трактуют очень по разному. Вот самые распространенные трактовки, которые я слышу:

• Собирать персональные данные нужно в РФ, дальше можно их отправлять куда захочется.

• Вообще нельзя отправлять персональные данные за пределы РФ.

• Вообще ничего нельзя никуда отправлять и нельзя нигде ничего размещать за пределами РФ.

Но на основе того как уже реализуются системы и как проходят проверки, можно смело заявить, что первый вариант точно рабочий и валидный. Теперь разобравшись чуть-чуть с требованиями перейдем к тому как это можно реализовать и уже выдохнуть.

Варианты реализации

Ниже список вариантов как компании этот закон исполняют с технической стороны и что я встречал:

1. Вообще его игнорируют. Привет Facebook и Twitter.

2. Доказывают себе и другим, что у них нет персональных данных. Закон, кстати, так себе описывает, что такое персональные данные.

3. Арендуют сервер или виртуальную машину в РФ, кладут на него excel фаил - "персональные данные.xls" и отчитываются документально перед проверяющими органами.

4. Вносят руками данные локально в excel или в локальную систему перед тем как внести их в систему размещенную за пределами РФ.

5. Просто разворачивают копию системы в РФ и пользователей маршрутизируют на уровне DNS между площадками.

6. Выносят из приложения часть логики и размещают ее в РФ, где происходит сбор и хранение персональных данных. (Самый крутой вариант с моей точки зрения).

Вариантов я видел уже больше нескольких десятков, не буду браться за их оценку с точки зрения закона, а лучше сразу перейду, с моей точки зрения самому простому варианту, который кстати совсем не новый.

Описание реализации - Reverse Proxy

Концептуально выглядит он примерно как на архитектуре ниже.

Ничего сложного и логика работы следующая:

1. DNS на основе гео принадлежности пользователя маршрутизирует запросы. Если пользователь из РФ, то он идет по правой части картинки на прокси сервер. В данном случае на картинке Route53, но может быть и другой DNS сервис.

2. Reverse proxy, в данном случае это nginx принимает HTTP/HTTPS запрос и если он (POST, PUT, DELETE и тд), то кладет его локально в лог и в базу данных (PostgreSQL) с помощью плагина - rsyslog-pgsql в json формате.

3. Дальше запрос отсылается в первичную систему, получает ответ и отдает его пользователю.

4. Для пользователя процесс выглядит совершенно прозрачным и не нужно менять никакой логики у него, он как-будто взаимодействует с оригинальной системой.

"Постойте, так ведь это просто сбор логов HTTP/S запросов, разве это считается?" - спросите вы. С точки зрения закона он никак не регламентирует формат и структуру сбора и хранения данных и только говорит про использование базы-данных. Поэтому с логической точки зрения тут все по букве закона. Похоже, примерно так же SAP доработал свою систему, вот тут можно почитать более подробно в их блоге. Там очень часто упоминается, что пишется лог изменений в РФ.

В базе данных будут храниться HTTP/S логи запросов на создание и изменения, что-то вроде changefeed. Но это легко можно расширить если известна модель пересылаемых данных и встроить эту логику в виде python скрипта или просто сделать trigger в базе данных, которая будет схлопывать changefeed в нужную структуру, где запись об одном человеке будет одна.

Как развернуть это себе?

Я автоматизировал развертывания и настройки этого модуля и опубликовал его тут на Github как open source проект. Если кто-то хочет дополнить или расширить этот проект то смело пишите мне или создавайте pull request.

Краткое пояснения как развернуть:

1. Пропишите в вашей DNS записи A-record с айпи адресом на ваш сервер, который будет выступать reverse-proxy.

2. Зайдите на вашу виртуальную машину или свой сервер и сделайте: git clone https://github.com/Gaploid/FZ-152-Reverse-Proxy

3. Сделайте файл executable: chmod +x install.sh

4. Запустите скрипт: sudo ./install.sh <incoming_domain> <url_to_forward_traffic> Пример: sudo ./install.sh example.com http://example.com где <incoming_domain>это домен на который пользователь будет заходить, он может быть существующим. <url_to_forward_traffic> это адрес первоначальной системы.

5. Все, после этого если вы зайдете на <incoming_domain> все запросы POST, DELETE, PUT буду складываться локально в лог фаил - /var/log/nginx/reverse-access.log и в базу: proxy_logs в таблицу: accesslog.

Если вы хотите добавить HTTPS, то это можно сделать несколькими способами:

• Добавить свой существующий сертификат в nginx. Вот пример инструкции.

• Добавить новый сертификат от let's encrypt. Я для этого сделал скрипт ./add_ssl.sh вам нужно просто его будет запустить на этом же сервере. Сертификат получается с помощью бота от let's encrypt автоматически, но валидацию, что это действительно ваш домен он проводит путем проверки доступности по указанному домену <incoming_domain> вашего сервера, который вы указали на первом шаге.

Все на этом ваше мобильное приложение или даже веб-сайт если он работает через ваше API будет работать так как и работал и ничего в них не нужно менять.

Как еще это можно улучшить?

1. На nginx можно дополнительно выставить фильтр какие запросы перехватывать и вы можете указать, например, что нужно перехватывать если URL - myapp.com/profile/ в таком случае только запросы связанные с профилем будут сохраняться, что сильно уменьшит объем хранимых данных.

2. Как я писал выше можно добавить триггер в базу данных, которые будет парсить JSON запроса и класть уже в другую таблицу в структуру, когда на одного человека будет приходиться только одна запись.

3. Можно еще добавить веб интерфейс с поиском, который будет показывать все записи по поисковой строке, например по ФИО или айди человека.

Послесловие

Я ни в коем случае не претендую, что это решение является серебряной пулей для всех сценариев, а так же не берусь его оценивать с юридической стороны. Поэтому перед тем как использовать проконсультируйтесь с юристами в вашей компании или во внешних агентствах.

Причина по которой я написал эту статью - желание обсудить валидность и применимость данного варианта с комьюнити, поэтому смело пишите ваши мысли в комментариях.

Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) вступил в силу почти три года назад, но за столь незначительный период по меркам развития законодательных инициатив он стал настоящим флагманом, примером и во многом поводом для пересмотра локальных актов по работе с персональными данными в целом ряде государств.

Обсуждаем, как развивается ситуация в Канаде: что предлагают регуляторы и какие риски видят в потенциальных изменениях нормативной базы технологические специалисты и компании.

Что случилось

Степень влияния GDPR сложно преувеличить. Он потянул за собой цепочку похожих мер в США, Бразилии и даже Кении. На третий год победоносного шествия закона по планете к делу подключились и канадские регуляторы. Они решили обзавестись своей локализацией закона пересмотреть двадцатилетний PIPEDA (Personal Information Protection and Electronic Documents Act) и разработать новый документ под названием Consumer Privacy Protection Act (CPPA).

Согласно официальным заявлениям, CPPA призван привести условия сбора, обработки, хранения и использования персональных данных в соответствие общему уровню технологического развития и контексту взаимодействия граждан с местными организациями. В частности, правительство Канады делает акцент на том, как последним следует разъяснять причины сбора данных и степень их мобильности например, предупреждать о трансграничной передаче и предоставлять возможность безопасного трансфера из одной организации в другую по запросу.

Главное, что выделяет GDPR по-канадски, это новые санкции для нарушителей регламента. Им придется выложить 3% годового дохода компании (с учетом заработка филиалов по всему миру) или 10 миллионов, по всей видимости, канадских долларов.

Но в случае крупной утечки, умышленного слива или нарушения правил деиндентификации данных, предусмотрен штраф до 5% / 25 миллионов соответственно.

Примечательные нюансы

Верхняя планка в пять процентов выбрана отнюдь не случайно так канадские власти демонстрируют решительные намерения превзойти GDPR по всем параметрам. Размером санкций они не ограничиваются. Руководствуясь CPPA, организации будут обязаны по запросу предоставлять разъяснения относительно того, как работает их алгоритм или рекомендательная система, принимающая решения на основе персональных данных гражданина страны. Эксперты считают, что в этом плане (как и по штрафам) Канада может обойти европейских регуляторов.

Что касается деиндентификации подразумевается ее полный запрет. За установление личности по предоставленным персональным данным предусмотрены санкции. Единственное исключение тестирование в целях поддержания должного уровня безопасности (вероятно, некой системы, предупреждающей подобные попытки). Однако пока сложно сказать, как будут выполнять это требование условные соцсети, если человек решит указать действительные ФИО и возраст. Скорее всего, требование применят против злостных нарушителей например, организаций, занимающихся восстановлением данных из множества серых баз для последующего спама аудитории с предложениями воспользоваться какой-либо услугой.

Что интересно, в CPPA учли и ситуации, когда не нужно получать согласие для сбора персональных данных. Допустим, сюда относят поддержание сетевой безопасности, плюс все, что не подпадает под коммерческую деятельность и другие попытки оказать какое-либо влияние на принятие человеком тех или иных решений (например, о покупке).

Еще новый регламент разрешает организациям вводить собственные меры защиты персональных данных, которые могут превосходить по уровню требований то, что прописано в самом CPPA.

Чего стоит ожидать

Канадский вариант GDPR будут применять ко всем структурам, которые хоть как-то соприкасаются с данными граждан. Если крупные компании могут выделить двух-трех штатных специалистов на подготовку, поддержание в актуальном состоянии и проверку корпоративных политик по работе и обеспечению безопасности ПД, то для малого бизнеса этот процесс, по всей видимости, окажется затруднительным, учитывая, что CPPA требует еще и обучения сотрудников.

С другой стороны, регламент имеет вид рамочного документа. Большая часть формулировок слишком общие, поэтому стоит ждать уточнений в формате дополнительных актов, поясняющих и регулирующих отдельные моменты из CPPA. Как показывает практика, в Канаде этот процесс может занять несколько лет, поэтому пока предприниматели могут выдохнуть, а правительство подумать, как защитить интересы граждан без ущерба для бюджета небольших компаний.

Вообще говоря, локальные варианты GDPR были только началом. Сейчас многие страны начинают кампании с предложениями точечного регулирования сферы больших данных.

Так, в Великобритании набирает обороты так называемая National Data Strategy стратегия, целью которой является развертывание экономики данных. Правительство хочет понимать, где и как используют те или иные данные граждан, и пытается предложить универсальный механизм или даже стандарт для их анонимного учета, классификации и обработки на стороне компаний.

Скорее всего, разработка документа затянется на долгие годы, поэтому у других стран еще будет много возможностей, чтобы запустить собственные аналоги и такой инициативы (помимо GDPR).

Что еще почитать у нас в блоге:

• В Китае ввели блокировку ESNI-соединений

• Проект Доступный интернет: промежуточные итоги

• Как SD-WAN и VNF помогут снизить расходы на корпоративную сеть

• Одной канарейки мало: у VPN-сервисов все чаще запрашивают данные

• Как развивается ситуация с возможным ограничением на end-to-end шифрование