Сегодня 24 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → безопасность
Быстрый переход

DeepSeek без разрешения передавал данные пользователей и их запросы в Китай, заявили в Южной Корее

Южнокорейская Комиссия по защите данных заявила, что китайский стартап в области искусственного интеллекта DeepSeek без согласия пользователей передавал их персональные данные и запросы, когда приложение сервиса ещё было доступно в стране.

 Источник изображения: Solen Feyissa / unsplash.com

Источник изображения: Solen Feyissa / unsplash.com

Компания Hangzhou DeepSeek Artificial Intelligence Co Ltd, заявил южнокорейский регулятор, не получала согласия пользователей на передачу их личной информации нескольким организациям в Китае и США, когда вышедшее в январе приложение ещё было доступно для скачивания потребителями в стране. В феврале ведомство приостановило новые загрузки приложения DeepSeek на территории Южной Кореи, поскольку администрация сервиса, по версии органа, не соблюдала некоторые нормы по защите персональных данных.

Приложение также отправляло некой компании Beijing Volcano Engine Technology Co. Ltd. содержимое запросов пользователей к искусственному интеллекту, информацию об их устройствах, сети и приложениях, заявили в ведомстве. В DeepSeek ответили, что решение о передаче данных в Volcano Engine было принято для улучшения работы продукта, и с 10 апреля содержимое запросов к ИИ больше не передаётся.

Южнокорейский регулятор решил выписать DeepSeek корректирующее предписание о немедленном удалении содержимого переданных в Volcano Engine запросов к ИИ и о необходимости заложить правовую основу для передачи личной информации за границу. Министерство иностранных дел Китая заявило, что власти КНР не просили и никогда не будут просить компании собирать и хранить данные в незаконном порядке.

ЕС разрабатывает нормы для «законного и эффективного» взлома зашифрованных переписок

Европейские власти готовят законодательную базу, которая откроет им доступ к зашифрованным данным на потребительских устройствах и сервисах, сообщает Politico. Но чтобы реализовать эту инициативу, им придётся вступить в противостояние с многочисленными правозащитными организациями, отстаивающими право граждан на конфиденциальность.

 Источник изображений: Antoine Schibler / unsplash.com

Источник изображений: Antoine Schibler / unsplash.com

Вот уже несколько месяцев в Швеции и Дании сеют хаос молодёжные банды, на счету которых числятся тяжкие преступления. Но источниками хаоса, уверен министр юстиции Дании Петер Хуммельгаард (Peter Hummelgaard), являются не только преступные группы, но и смартфоны. Цифровые технологии с функциями шифрования «значительно упростили злоумышленникам доступ к широкой аудитории, а также координацию действий в реальном времени», говорит чиновник. Правоохранительные органы Европы всё чаще рассматривают технологию сквозного шифрования — основу конфиденциальной и безопасной связи — как врага. «Без законного доступа к зашифрованным сообщениям правоохранительные органы борются с преступностью вслепую», — посетовал представитель Европола Ян Оп Ген Оорт (Jan Op Gen Oorth).

Несколько стран уже подготовили национальные законы, направленные на борьбу с технологиями шифрования данных. Во Франции это проект закона по борьбе с незаконным оборотом наркотиков; в Северной Европе власти оказывают давление на технологические компании; власти Испании прямо говорят о намерении запретить шифрование; правительство Великобритании в суде сражается с Apple за право доступа к размещённым в облачных хранилищах пользовательским данным. В ЕС обсуждается проект регионального закона о материалах, содержащих жестокое обращение с детьми — контент устройств должен будет проверяться локально ещё до отправки в системы с шифрованием.

 Источник изображений: Antoine Schibler / unsplash.com

Но и на этом власти ЕС останавливаться не намерены. В начале месяца Еврокомиссия приняла новую стратегию внутренней безопасности, в которой изложены планы по формированию «законного и эффективного» механизма доступа к данным для правоохранительных органов, а также по поиску технологических решений для получения доступа к зашифрованной информации. Ведомство провозгласило намерение начать работу над новым законом о хранении информации — он определит виды данных, которые службы обмена сообщениями вроде WhatsApp должны хранить, и на какой срок. Предыдущий закон о хранении данных верховный суд ЕС отменил в 2014 году, когда пришёл к выводу, что документ нарушает права граждан на неприкосновенность частной жизни.

Начав проработку вопроса шифрования, европейские власти идут к масштабному противостоянию с мощной политической коалицией активистов, отстаивающих конфиденциальность, экспертов по кибербезопасности, разведывательных служб и правительств, для которых конфиденциальность граждан превыше нужд правоохранительных органов.

Администрация мессенджера Signal, который рассматривается как отраслевой стандарт службы мгновенных сообщений с шифрованием, уже выразила категорическое несогласие с инициативой европейских чиновников. Президент Signal Мередит Уиттакер (Meredith Whittaker) неоднократно предупреждала, что мессенджер скорее уйдёт из любой страны, которая потребует ослабить защиту мессенджера, чем согласится выполнить такие требования. Это «фундаментальная математическая реальность, что шифрование либо работает для всех, либо сломано для всех», пояснила свою позицию госпожа Уиттакер. Глава датского минюста допускает такой сценарий и не видит в нём проблемы. «Начинаю сомневаться, действительно ли мы не сможем жить без этих технологий и платформ», — заявил господин Хуммельгаард.

А в отсутствие стандартных правовых механизмов органы работают с теми средствами, которыми располагают. Они успешно ликвидируют создаваемые преступниками зашифрованные системы сообщений и перехватывают метаданные. Сторонники расширения полномочий правоохранительных органов указывают, что существуют способы, при помощи которых администрации мессенджеров могут открывать доступ к зашифрованным сообщениям преступников, но не ослаблять безопасности переписки законопослушных граждан. Но, указывают технические эксперты, это палка о двух концах: если существует бэкдор, то рано или поздно вместе с правоохранительными органами до него доберутся хакеры, криминальные элементы и шпионы.

Microsoft рассказала о пользе TPM, чтобы убедить пользователей перейти на Windows 11

С приближением окончания поддержки операционной системы Windows 10 компания Microsoft прилагает всё больше усилий, чтобы побудить пользователей перейти на Windows 11 — даже если для этого придётся отказаться от текущего ПК и приобрести новый, способный работать с новой ОС.

 Источник изображения: Microsoft

Источник изображения: Microsoft

В рамках последней попытки побудить пользователей перейти с устаревающей ОС на новую компания описала преимущества системы Trusted Platform Module (TPM) и того, как она делает Windows 11 лучше и безопаснее предшественника. Microsoft выделила четыре фактора, которые делают TPM такой полезной:

  • TPM защищает ваши данные. Она может шифровать информацию, затрудняя хакерам доступ к конфиденциальным данным. Это особенно важно для защиты личных сведений, финансовой информации и чувствительных файлов.
  • Она гарантирует надёжность программного обеспечения. TPM проверяет целостность программного обеспечения и прошивки системы. Эта функция, называемая безопасной загрузкой, помогает предотвратить запуск вредоносных программ при старте устройства.
  • Защита от физического вмешательства. Если кто-то попытается физически вмешаться в оборудование, TPM сможет обнаружить изменения и заблокировать загрузку системы, тем самым защитив устройство от аппаратных атак.
  • TPM поддерживает расширенные функции безопасности. Многие из наиболее эффективных средств защиты Windows 11 работают благодаря TPM. Эти инструменты помогают сохранить данные в безопасности даже в случае утери или кражи устройства.

Хотя TPM и Windows 11 действительно обеспечивают более высокий уровень безопасности, важно понимать, что Microsoft сделала поддержку TPM 2.0 обязательным системным требованием для установки Windows 11. Именно поэтому многие старые ПК с Windows 10 не подлежат обновлению.

Ранее Microsoft публиковала руководство, следуя которому можно было установить Windows 11 на компьютеры, не соответствующие минимальным системным требованиям. Для этого требовалось внести изменения в реестр, что позволяло обойти ограничения, касающиеся современных процессоров и модуля TPM 2.0. Однако компания настоятельно не рекомендовала использовать этот способ, поскольку он мог привести к «серьёзным проблемам» при ошибках со стороны пользователя. Спустя некоторое время Microsoft удалила это руководство.

Напомним, что после прекращения официальной поддержки Windows 10 в октябре этого года у пользователей некоторое время сохранится возможность получать обновления безопасности для этой ОС. Однако данная возможность будет платной.

Дуров раскрыл, что может его заставить закрыть Telegram

За всю историю существования мессенджера Telegram не было раскрыто ни одного байта личных сообщений пользователей. Об этом заявил основатель сервиса Павел Дуров.

 Источник изображения: Dima Solomin on Unsplash

Источник изображения: Dima Solomin on Unsplash

Он также добавил, что платформа исполняет действующее в Евросоюзе законодательство и при наличии действительного судебного постановления раскрывает только IP-адреса и номера телефонов подозреваемых в совершении преступлений. «Telegram скорее уйдёт с рынка, чем подорвёт шифрование бэкдорами и нарушит основные права человека», — добавил Дуров.

Напомним, Павел Дуров был задержан во французском аэропорте Ле-Бурже 24 августа 2024 года. Местные власти обвинили его в соучастии в деятельности по управлению онлайн-платформой для проведения незаконных транзакций, отказе в предоставлении по запросу уполномоченных органов информации и документов, отмывании денежных средств и др. Через несколько дней Дурова отпустили под судебный надзор и обязали внести залог в размере €5 млн.

Осенью 2024 года стало известно, что Telegram стал значительно чаще раскрывать IP-адреса и номера телефонов пользователей по запросам французских правоохранителей. В первом квартале это касалось только 17 пользователей, тогда как в третьем квартале были раскрыты данные 632 пользователей. В феврале этого года представитель французской прокуратуры сообщил, что дело Дурова дойдёт до суда не ранее чем через год.

Отчёт Google о Gemini 2.5 Pro раскритиковали за отсутствие прозрачности о безопасности ИИ

Эксперты раскритиковали Google за недостаток прозрачности и минимальное количество информации в техническом отчёте по Gemini 2.5 Pro. Они считают, что документ без полных данных не даёт адекватного представления о возможных рисках новой ИИ-модели .

 Источник изображений: Google

Источник изображений: Google

Отчёт был опубликован спустя несколько недель после запуска Gemini 2.5 Pro — самой мощной на сегодняшний день модели Google. Хотя такие документы обычно считаются важной частью обеспечения безопасности искусственного интеллекта (ИИ) и помогают независимым исследователям проводить собственные оценки рисков, в данном случае отчёт оказался «очень скудным», пишет TechCrunch.

«В документе минимум информации, и он появился уже после того, как модель была доступна широкой публике, — заявил Питер Уилдефорд (Peter Wildeford), сооснователь Института политики и стратегии в области ИИ. — Невозможно проверить, выполняет ли Google свои публичные обещания, а значит невозможно оценить безопасность и надёжность моделей компании».

Отдельную критику вызвало отсутствие упоминания о внутренней системе оценки рисков Frontier Safety Framework (FSF), которую Google представила в прошлом году для выявления потенциально опасных возможностей ИИ. В новом отчёте не содержится результатов тестов по опасным способностям модели — эти данные Google хранит отдельно и обычно не публикует вместе с основным документом.

Эксперты считают, что Google, некогда выступавшая за стандартизацию отчётности по ИИ, теперь сама отходит от своих принципов. Отдельная обеспокоенность связана с тем, что компания до сих пор не представила отчёт по недавно анонсированной модели Gemini 2.5 Flash. Однако представитель Google заявил изданию TechCrunch, что этот документ выйдет в ближайшее время.

Отмечается, что ситуация с Google, очевидно, является частью более широкой тенденции. Например, Meta недавно также подверглась критике за поверхностный анализ рисков своей новейшей ИИ-модели Llama 4, а OpenAI вовсе не представила отчёт по линейке GPT-4.1.

«Мы явно наблюдаем гонку на понижение стандартов, — заявил Кевин Бэнкстон (Kevin Bankston), старший советник по вопросам управления ИИ Центра демократии и технологий. — А на фоне сообщений о том, что другие компании, включая OpenAI, сокращают время на тестирование с месяцев до дней, такой уровень отчётности Google является тревожным сигналом».

Роскомнадзор включил в «белый список» 75 тыс. IP-адресов с иностранными протоколами шифрования

В созданный Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) «белый список» IP-адресов, использующих иностранные протоколы шифрования, внесено 75 тысяч IP-адресов. Количество записей в реестре увеличилось в шесть раз с 2023 года. Об этом пишет «Коммерсантъ» со ссылкой на представителя ведомства.

 Источник изображения: Thomas Jensen / Unsplash

Источник изображения: Thomas Jensen / Unsplash

Иностранными протоколами шифрования принято называть стандарты, которые применяются для защиты данных в виртуальных частных сетях (VPN), но которые не соответствуют действующим в России ГОСТам. Ранее в этом месяце Роскомнадзор опубликовал уведомление с рекомендациями по отказу от использования иностранных протоколов шифрования, «используемых в том числе приложениями, предоставляющими доступ к запрещённой информации».

По мнению экспертов, уведомление Роскомнадзора не связано с возможной блокировкой в ближайшем будущем иностранных сервисов VPN. При этом не исключается вариант, при котором под блокировку на территории России попадут все IP-адреса, которые не включены в «белый список» ЦМУ ССОП.

Google устранила уязвимость в Chrome, существовавшую 23 года

Google закрыла уязвимость в веб-обозревателе Chrome, которая могла раскрывать историю посещённых пользователем сайтов. Проблема существовала с начала 2000-х годов и была связана с тем, как браузеры отображают посещённые ссылки.

 Источник изображения: Solen Feyissa / Unsplash

Источник изображения: Solen Feyissa / Unsplash

Чтобы отобразить ссылки, которые пользователь посещал ранее (они помечаются фиолетовым цветом), браузер должен отслеживать эти страницы с помощью каскадных таблиц стилей через селектор :visited. Как объяснили в Google, суть ошибки заключалась в том, что информация о том, какие ссылки пользователь уже посещал, сохранялась без разделения конфиденциальности между посещаемыми сайтами. То есть, любой сайт мог определить, была ли ранее нажата определённая ссылка, даже если она отображалась на совершенно другом ресурсе.

 Источник изображения: developer.chrome.com

Источник изображения: developer.chrome.com

«Вы просматриваете сайт A и кликаете по ссылке на сайт B. Позже вы заходите на условно вредоносный сайт C, который тоже содержит ссылку на сайт B. Он может узнать, что вы уже были на сайте B, просто определив ссылку по цвету», — пояснили в Google.

 Источник изображения: developer.chrome.com

Источник изображения: developer.chrome.com



В компании назвали это фундаментальной ошибкой дизайна браузера и подчеркнули, что она могла применяться для отслеживания активности пользователей в интернете. Уязвимость затрагивала не только Chrome, но и другие браузеры — в частности, Safari, Opera, Internet Explorer и Firefox, сообщает PCMag.

Впервые на проблему обратил внимание исследователь безопасности Эндрю Кловер (Andrew Clover) ещё в 2002 году. Он визуально продемонстрировал все этапы возможной атаки, опираясь на исследовательскую статью Принстонского университета «Timing Attacks on Web Privacy».

Исправление уже включено в бета-версию обновления Chrome 136. Теперь информация о посещённых ссылках будет храниться отдельно для каждого сайта и не будет передаваться между ресурсами.

Более трети российских компаний удаляют персональные данные вручную

ГК «Гарда» провела исследование, посвящённое работе российских компаний с персональными данными. Оказалось, что ручной поиск и удаление таких данных из баз, файловых хранилищ и с отдельных рабочих мест практикуются в 39 % компаний. В 25 % компаний применяются шредеры и сжигание наряду со специализированным программным обеспечением, в 10 % — только механическое уничтожение, и ещё в 10 % — иные способы.

 Источник изображения: FlyD / Unsplash

Источник изображения: FlyD / Unsplash

Также было установлено, что только 3 % компаний используют сертифицированное программное обеспечение для удаления персональных данных, а 12 % компаний вовсе не удаляют такую информацию. Напомним, операторы персональных данных обязаны удалять сведения по запросу субъекта или по истечении срока их хранения.

Представитель Роскомнадзора сообщил, что неудаление записей персональных данных является неправомерным, и лицо, осуществляющее такую деятельность, может быть привлечено к административной ответственности. Отмечается, что неудаление персональных данных в сроки, установленные ч. 1 ст. 13.11 КоАП РФ, влечёт ответственность в виде штрафа: для физических лиц — от 2 тыс. до 6 тыс. рублей, для должностных лиц — от 10 тыс. до 20 тыс. рублей, для юридических лиц — от 60 тыс. до 100 тыс. рублей.

Руководитель продуктового направления по защите баз данных ГК «Гарда» Дмитрий Ларин считает, что высокий показатель неудаления персональных данных связан с отсутствием у компаний инструментов автоматизации. В компании «Код безопасности» такую тенденцию объясняют тем, что информация хранится в различных базах данных. Специалисты сходятся во мнении, что эти причины подчёркивают необходимость стандартизации и внедрения эффективных решений для работы с персональными данными. Кроме того, не во всех организациях налажен процесс учёта данных, из-за чего оператор может не знать, что именно необходимо удалить и откуда.

В ГК «Гарда» отметили, что для регулятора не имеет значения, каким образом удаляются персональные данные, однако из-за сжатых сроков этот процесс в компаниях либо вовсе не выполняется, либо проводится «спустя рукава». Помимо этого, отсутствие автоматизации создаёт риски утечки данных по причине человеческого фактора.

«Яндекс» привлечёт белых хакеров к проверке безопасности генеративных нейросетей

Компания «Яндекс» сообщила о расширении программы «Охоты за ошибками» и запуске нового направления, связанного с генеративными нейросетями. Теперь исследователи, которым удастся отыскать технические уязвимости в семействах моделей YandexGPT, YandexART и сопутствующей инфраструктуре, могут получить вознаграждение до миллиона рублей.

 Источник изображения: yandex.ru/bugbounty

Источник изображения: yandex.ru/bugbounty

Участникам «Охоты» предстоит искать технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моделей: например, привести модель к сбою или изменить её поведение так, чтобы она повлияла на работу других сервисов «Яндекса». В программе участвуют все сервисы и ИИ-продукты «Яндекса», использующие модели семейства YandexGPT и YandexART. В числе таковых: «Алиса», «Поиск с Нейро», «Шедеврум» и другие облачные службы, включая те, где ML-модель используется неявно для ранжирования и поиска.

Размер выплаты зависит от серьёзности ошибки и простоты её применения. К критичным относятся уязвимости, которые позволяют раскрыть сведения о внутренней конфигурации модели, её служебный промт с техническими данными или другую чувствительную информацию. Максимальное вознаграждение за такие ошибки — 1 млн рублей.

Программу поиска уязвимостей «Яндекс» запустил в 2012 году — компания была первой в России. Теперь программа «Охота за ошибками» действует в «Яндексе» постоянно, а принять в ней участие может любой желающий.

Google устранила две опасные уязвимости в Android, которые хакеры уже вовсю использовали

Google выпустила экстренный патч для Android, устраняющий две уязвимости нулевого дня, которые, по данным компании, уже могут использоваться хакерами в реальных атаках. Атаки возможны благодаря повышению привилегий в устройствах и не требуют от пользователей каких-либо действий.

 Источник изображения: Mateusz Tworuszka / Unsplash

Источник изображения: Mateusz Tworuszka / Unsplash

Одна из уязвимостей, получившая идентификатор CVE-2024-53197, была выявлена экспертами Amnesty International совместно с Бенуа Севенсом (Benoît Sevens), сотрудником группы безопасности и анализа угроз Google. Эта группа занимается отслеживанием кибератак, которые исходят от государственных структур. Например, в феврале Amnesty сообщила, что компания Cellebrite, разрабатывающая инструменты для правоохранительных органов, использовала цепочку из трёх уязвимостей нулевого дня для взлома Android-устройств.

Как пишет TechCrunch, одна из этих уязвимостей применялась против сербского студента-активиста местными властями, использовавшими технологии Cellebrite. Именно эта уязвимость была устранена в патче, выпущенном на этой неделе. Однако детали второго исправленного бага — CVE-2024-53150 — остаются неясными. Известно лишь, что его обнаружение также приписывается Бенуа Севенсу, а сама проблема затрагивает ядро операционной системы.

В своём официальном заявлении компания Google отметила, что «наиболее серьёзной проблемой является критическая уязвимость в компоненте System, которая может привести к удалённому повышению привилегий без необходимости дополнительных прав доступа». Также подчёркивается, что эксплуатация уязвимости не требует никаких действий со стороны пользователя, и он может даже не догадываться о происходящем.

В Google сообщили, что исходные коды для устранения двух уязвимостей будут опубликованы в течение 48 часов после выпуска бюллетеня безопасности, а также подчеркнули, что их партнёры — производители устройств на базе Android — традиционно получают информацию о подобных проблемах как минимум за месяц до публичного релиза обновлений.

Также отмечается, что так как операционная система Android основана на открытом исходном коде, каждому производителю смартфонов теперь придётся самостоятельно распространять обновления среди своих пользователей.

Microsoft пригрозила блокировкой пользователям Teams, которые не обновляются

Microsoft добивается, чтобы все пользователи её платформы для совместной работы Teams использовали актуальную версию приложения. Поэтому, после выхода очередного обновления у пользователей будет 90 дней на его установку, иначе использование Teams будет заблокировано. Пользователи будут получать напоминания о необходимости установки обновления через 30 дней после его выпуска.

 Источник изображения: Microsoft

Источник изображения: Microsoft

По словам Microsoft, блокировка требуется, чтобы гарантировать информационную безопасность пользователей. Компания предупреждала об изменении политики в отношении обновлений Teams ещё в ноябре 2024 года. Тогда в «Центре сообщений Microsoft 365» была размещена следующая информация:

«Поддержание Microsoft Teams в актуальном состоянии имеет решающее значение для обеспечения безопасности и соответствия ваших устройств. По умолчанию Teams обновляется автоматически.

Microsoft Teams регулируется современной политикой жизненного цикла, которая требует, чтобы клиент Teams для настольных ПК поддерживался в актуальном состоянии. […] Как указано в документации, когда клиент устаревает, пользователь увидит:

  • Повторяющиеся оповещения в приложении, если приложение устарело на 30–90 дней.
  • Страницу блокировки, если приложение устарело более чем на 90 дней. В этот момент приложение покажет варианты обновления, обращения к своему ИТ-администратору или продолжения работы с Teams в интернете.

В качестве примера, если приложение Teams гипотетически находится в версии, выпущенной 1 января, а следующее обновление будет полностью доступно 15 января, [первое] оповещение в приложении будет показано 14 февраля».

Позднее Microsoft сообщила конкретные даты начала действия новой политики. На ПК под управлением Windows — это 11 апреля 2025 года, в среде VDI — 6 мая 2025 года, на компьютерах Apple — 15 мая 2025 года.

Microsoft хочет полностью избавиться от паролей — и у неё есть план

Microsoft объявила о масштабных изменениях в системе входа в учётные записи, которые затронут более одного миллиарда пользователей по всему миру. Новый способ входа через биометрические ключи доступа (passkeys) должен снизить риск фишинга и взломов, а также сделать аутентификацию удобнее.

 Источник изображения: сгенерировано AI

Источник изображения: сгенерировано AI

Согласно заявлению Microsoft, за последние годы компания внедрила ряд улучшений, включая возможность полного удаления пароля из аккаунта и поддержку входа с помощью ключей доступа (passkeys) вместо пароля. Как отмечает Windows Central, ссылаясь на слова компании, новая система пользовательского опыта (UX) оптимизирована для работы без паролей с приоритетом на ключи доступа.

Microsoft с недавнего времени активно продвигает использование ключей доступа, так как традиционные пароли уже считаются небезопасными. Этот подход поддерживают и другие технологические гиганты, такие как Apple и Google, так как он представляет из себя современный метод аутентификации, который значительно снижает риски, связанные с кражей данных.

Однако переход на passkeys — это не только способ сделать вход в учётные записи безопаснее. Microsoft вообще задумала полностью отказаться от паролей в своей экосистеме, потому что считает, что если оставить и пароль и passkeys, аккаунт всё равно останется уязвимым для фишинга.

Новое обновление, основанное на технологии биометрической аутентификации и двухфакторной проверке, призвано помочь пользователям перейти на беспарольную систему максимально комфортно, а весь процесс будет проходить интуитивно понятно и доступно для всех категорий пользователей, уверяют в Microsoft.

В целом, внедрение новой системы UX для входа в учётные записи может стать, по мнению экспертов, переломным моментом в обеспечении цифровой безопасности. И если Microsoft удастся достичь своей цели и полностью убедить людей отказаться от системы паролей, это может стать серьёзным шагом в защите пользовательских данных на глобальном уровне.

Еврокомиссия потребует от мессенджеров и сервисов бэкдоры в сквозном шифровании

Еврокомиссия представила новую внутреннюю стратегию безопасности, которая включает в себя дорожную карту в отношении «законного и эффективного доступа правоохранительных органов к данным» и средствам шифрования. Инициатива в первую очередь затронет мессенджеры, от которых потребуют создание бэкдоров для правоохранителей, но ими дело не ограничится.

 Источник изображения: Guillaume Périgois / unsplash.com

Источник изображения: Guillaume Périgois / unsplash.com

Стратегия ProtectEU направлена на укрепление способности ЕС «гарантировать своим гражданам безопасность»; её цельсформировать «более жёсткий юридический инструментарий», регламентирующий «расширенный обмен информацией и углублённое сотрудничество». Предлагаемые в документе нормы «позволят правоохранительным органам в законном порядке получать доступ к зашифрованным данным для защиты кибербезопасности и основных прав» — вопреки тому, что платформы вроде Signal предпочитают скорее прекращать работу в отдельных регионах, чем отказываться от шифрования.

Ранее бэкдор от зашифрованных сервисов Apple потребовали британские власти — компания была вынуждена отключить шифрование для жителей страны. Европейские чиновники тоже не впервые говорят о необходимости создавать бэкдоры для обхода средств шифрования в системах мгновенных сообщений и прочих коммуникационных платформ — прежде они оправдывали это потребностью сканировать пользовательские данные на предмет материалов недопустимого характера.

Ещё одна декларируемая цель проекта — сделать Европол «по-настоящему оперативным полицейским агентством для усиления поддержки государств-членов»; ведомству отводится роль «в расследовании трансграничных, крупномасштабных и сложных дел, сопряжённых с серьёзной угрозой внутренней безопасности Союза». В ЕС входят 27 стран, и при реализации последовательных механизмов совместной безопасности возникнут сложности: у каждой страны есть собственные правоохранительные органы, свои цели и бюджеты, поэтому в стратегии говорится о содействии «изменению культуры», направленному на объединение членов ЕС.

«Безопасность является одной из ключевых предпосылок для открытых, развивающихся обществ и процветающей экономики. Поэтому сегодня мы запускаем важную инициативу по более эффективному противодействию таким угрозам безопасности как терроризм, организованная преступность, рост киберпреступности и атаки на нашу критическую инфраструктуру. Мы укрепим Европол и обеспечим правоохранительные органы современными инструментами для борьбы с преступностью. Внести свой вклад в повышенную безопасность для всех смогут также исследователи, предприятия и даже граждане», — прокомментировала проект глава Еврокомиссии Урсула фон дер Ляйен (Ursula von der Leyen).

Google сделает сквозное шифрование в Gmail доступным для всех

Google в ближайшее время планирует внедрить сквозное шифрование (E2EE) электронной почты для всех пользователей, даже тех, кто не использует Google Workspace. Протокол E2EE основан на обмене сертификатами и позиционируется как альтернатива S/MIME (Secure/Multipurpose Internet Mail Extensions), применяемому в крупных организациях. Компания заверила, что процедура шифрования не усложнит жизнь простых пользователей и не создаст чрезмерной нагрузки на IT-администраторов.

 Источник изображения: Google

Источник изображения: Google

Принцип работы E2EE заключается в том, что электронные письма, зашифрованные на стороне клиента, могут быть отправлены корпоративными пользователями Gmail кому угодно. Если адресат является пользователем Gmail, дополнительной настройки не требуется, а в интерфейсе Gmail отобразится информация о новом зашифрованном сообщении.

Если получатель не использует Gmail, он получит письмо с информацией о поступлении зашифрованного сообщения, которое будет содержать ссылку для повторной аутентификации учётной записи электронной почты. После аутентификации у адресата появится временный доступ через ограниченную учётную запись Gmail для просмотра и ответа на зашифрованное письмо.

Google отметила, что весь процесс сравним с предоставлением доступа к документу Workspace кому-то за пределами компании. IT-администраторы могут требовать от получателей использовать ограниченный Gmail для просмотра зашифрованных сообщений, что позволяет контролировать доступ с помощью политик и гарантировать, что данные не будут храниться на сторонних серверах.

Содержащее ссылку письмо с запросом может быть принято за фишинговое. Поэтому Google в предупреждении над ссылкой рекомендует переходить по ней лишь в том случае, если адресат полностью доверяет отправителю.

В случаях, когда электронные письма E2EE отправляются получателям, у которых уже настроен S/MIME, зашифрованное электронное письмо поступит получателю как обычно.

 Источник изображения: unsplash.com

Источник изображения: unsplash.com

«Эта возможность, требующая минимальных усилий как от IT-отделов, так и от конечных пользователей, абстрагируется от традиционной сложности и нестандартного пользовательского опыта существующих решений, сохраняя при этом улучшенный суверенитет данных, конфиденциальность и контроль безопасности», — говорится в блоге Google.

Внедрение сквозного шифрования будет происходить поэтапно, начиная с сегодняшнего дня.

В дополнение к электронным письмам E2EE, которые можно будет выбрать по умолчанию для всех конечных пользователей, Google запустила ряд других функций для Gmail, включая метки классификации, показывающие уровень конфиденциальности каждого письма. Эти метки также будут информировать о новых правилах предотвращения потери данных, которые IT-администраторы могут установить для автоматической обработки писем на основе назначенных ими меток.

Также Google добавила к существующим детекторам спама и фишинга Gmail инструменты на основе ИИ, которые в теории должны снизить количество вредоносных электронных писем, просачивающихся через фильтры.

Путин запретил госорганам и банкам общаться с клиентами через иностранные мессенджеры

Владимир Путин подписал закон, направленный на защиту граждан от телефонных и кибермошенников: сотрудникам ведомств, банков и операторов связи теперь запрещается общаться с клиентами через иностранные системы мгновенных сообщений. Вводятся также ограничения в отношении некредитных финансовых организаций, крупных агрегаторов и прочих сайтов с аудиторией более 500 тыс. посетителей в день.

 Источник изображения: Glenn Carstens-Peters / unsplash.com

Источник изображения: Glenn Carstens-Peters / unsplash.com

Появится обязательная маркировка звонков от организаций — название компании будет отображаться при поступающем входящем вызове на экране телефона, благодаря чему можно будет отличить официальный звонок от мошеннического. При дистанционном оформлении займов микрофинансовые организации обязываются идентифицировать клиентов через единую биометрическую систему — подчёркивается, что использование биометрии — это не обязанность, а право.

Граждане получают возможность через операторов связи устанавливать запрет на массовые обзвоны; на «Госуслугах» появится функция установки «самозапрета» на оформление SIM-карт в дистанционном режиме. Законопроект о борьбе с кибермошенничеством Госдума приняла 25 марта сразу во втором и третьем чтениях; 27 марта его одобрил Совет федерации.


window-new
Soft
Hard
Тренды 🔥
Браузер Chrome для Android наконец-то научился открывать PDF-файлы 8 мин.
Из-за обновления Windows 11 24H2 в GTA: San Andreas проявился баг, который 20 лет скрывали предыдущие версии ОС 43 мин.
9 из 10 россиян хотя бы раз в месяц посещают «ВКонтакте» — VK похвасталась популярностью сервисов и отчиталась о росте выручки 2 ч.
Adobe создала аналог robots.txt для изображений, чтобы запретить обучать ИИ на них 3 ч.
Сюжетный трейлер раскрыл дату выхода Unfinished Business — самостоятельного дополнения к RoboCop: Rogue City 3 ч.
Видеосервис для совместной работы MWS TeamStream на треть сократит время общения сотрудников 4 ч.
Meta предложила Amazon и Microsoft «скинуться» на обучение ИИ-моделей Llama 4 ч.
Следующей Frostpunk оказался ремейк первой части на Unreal Engine 5 — трейлер и подробности Frostpunk 1886 5 ч.
Минцифры пообещало не запрещать мессенджеры в России, но регулирование ужесточит 5 ч.
Intel выпустила графический драйвер с поддержкой The Elder Scrolls IV: Oblivion Remastered и Clair Obscur: Expedition 33 6 ч.
AMD всё же выпустит ещё одну модификацию Radeon RX 9070 — она будет медленнее остальных 45 мин.
Минцифры продаст «фактически последние свободные частоты» для 5G за более чем ₽40 млрд 59 мин.
Великобритания запретила поставлять в Россию геймпады 2 ч.
Volkswagen и Uber создадут конкурента сервису роботакси Tesla на базе электрических микроавтобусов ID.Buzz 4 ч.
Электромобили Stellantis получат передовые твердотельные аккумуляторы Factorial в следующем году 4 ч.
Apple iPhone 16e продаётся лучше последнего iPhone SE, а iPhone 16 Pro уступил предшественнику 5 ч.
Провалившиеся ИИ-броши Humane AI Pin вернули к жизни, но HP к этому не имеет отношения 5 ч.
Производители ПК попытаются найти спасение от американских пошлин в Саудовской Аравии 5 ч.
Беспилотные такси Tesla уже намотали 24 000 км в рамках тестов 5 ч.
Nissan завершил финансовый год с рекордными убытками, но хочет исправить положение с помощью электромобилей китайской сборки 6 ч.