Персональные данные европейцев теперь могут свободно и безопасно передаваться из ЕС в США без дополнительных условий или разрешений на основе механизма, который защищает людей и обеспечивает юридическую определённость компаниям. Платформа конфиденциальности данных (DPF) была анонсирована ещё в марте 2022 года, но потребовалось больше года, чтобы доработать её. Прежний механизм экспорта данных был признан судьями ЕС недействительным ещё три года назад.

Источник изображения: Pixabay

Нынешнее решение — уже третье по счёту и пока неясно насколько прочным оно будет. Еврокомиссар Дидье Рейндерс (Didier Reynders) настроен оптимистично, утверждая, что структура — не просто копия более ранних механизмов передачи, а «совершенно другая система и очень надёжное решение». Обе предшествующие договорённости (известные как Safe Harbor и Privacy Shield) были отклонены высшим судом ЕС, когда выяснилось, что экспортируемые в США личные данные не были защищены в соответствии с требуемыми правовыми стандартами.

Участники кампании по защите конфиденциальности предупреждают, что новое соглашение также может оказаться несовершенным. Критики соглашения утверждают, что США не предприняли никаких шагов, чтобы обеспечить защиту информации иностранцев. По их мнению, DPF все ещё содержит тот же фундаментальный юридический конфликт между правами на неприкосновенность частной жизни в ЕС и полномочиями США по наблюдению, описанными в 702 статье Акта о негласном наблюдении в целях внешней разведки (FISA). Статья посвящена сбору персональной информации лиц, находящихся за пределами США.

Источник изображения: pexels.com

Рейндерс признал, что сегодняшний «зелёный свет» — это, по сути, одностороннее решение исполнительной власти ЕС, а впереди месяцы (или даже годы) обсуждения в суде ЕС и окончательный вердикт по DPF может быть вынесен лишь через несколько лет. Для справки: юридические вопросы по Privacy Shield были переданы в суд в мае 2018 года, а решение об отмене этого механизма появилось только в июле 2020 года.

«Говорят, определение безумия — это делать одно и то же снова и снова и ожидать другого результата. Как и в случае с Privacy Shield, последнее соглашение основано не на материальных изменениях, а на политических интересах, — заявил председатель группы по защите конфиденциальности Макс Шремс (Max Schrems). — FISA 702 должна быть продлена США в этом году, но, с объявлением о новом соглашении DPF, ЕС потерял всякую возможность повлиять на реформу FISA 702».

«Мы добились значительных изменений в правовой базе США, — возражает Рейндерс. — Требования необходимости и пропорциональности теперь обеспечиваются гарантиями США. При оценке возможности доступа к данным американских спецслужб будут учитываться те же факторы, что и требования прецедентного права ЕС. Они включают характер данных, серьёзность угрозы и вероятное воздействие на права человека. Каждое разведывательное агентство США пересмотрело свои внутренние правила и процедуры для реализации новых требований на оперативном уровне».

Что касается переработанного механизма возмещения ущерба, Рейндерс описал его как «независимый и беспристрастный трибунал, который уполномочен расследовать жалобы, поданные европейцами, и выносить обязательные решения по исправлению положения», также отметив, что этот орган имеет право потребовать удаления данных, собранных с нарушениями.

Он подчеркнул, что механизм «удобен для пользователя» — граждане ЕС могут подать жалобу бесплатно и на своём родном языке, через местный орган по защите данных. Заявителю не нужно будет доказывать, что к его данным обращались спецслужбы США. Интересы истца бесплатно представит специальный адвокат с допуском службы безопасности. Возмещение ущерба контролируется независимым органом — Советом по надзору за конфиденциальностью и гражданскими свободами.

Критики нового соглашения полагают, что весь этот многолетний процесс — просто способ для законодателей по обе стороны океана выиграть ещё несколько лет отсрочки. Хорошим примером может служить ситуация с компанией Meta✴, которая уже около десяти лет подвергается преследованию за передачу данных из ЕС в США. В мае от компании потребовали в течении шести месяцев приостановить передачу персональных данных. Но после принятия DPF она может просто игнорировать приказ о приостановке. Правда, $1,3 млрд ей выплатить всё же придётся.

Этот процесс, который правозащитники назвали «разочаровывающим юридическим пинг-понгом», показывает, насколько сложно гражданам ЕС осуществлять право на неприкосновенность частной жизни. Технологические гиганты могут попирать права людей, пока получают достаточно прибыли, чтобы списывать любые штрафы на расходы по ведению бизнеса.

Конечно, в соответствии с принятыми законами, компании должны будут продемонстрировать, что они полностью соблюдают GDPR (Общее положение о защите данных). И тут Meta✴ придётся нелегко, поскольку регулирующие органы ЕС поставили под сомнение правовую основу, на которую Meta✴ ссылается при обработке данных для таргетинга рекламы. Даже если гиганту рекламных технологий теперь не придётся отрезать все потоки данных между ЕС и США, некоторые жёсткие реформы в рекламном бизнесе в ЕС теперь выглядят для компании неизбежными.

Стало известно, что Роскомнадзор вынес первые запреты на передачу персональной информации россиян за рубеж. Всего было вынесено семь запретов, они коснулись компаний в сферах финансов и логистики.

Источник изображения: geralt / Pixabay

Напомним, новый порядок передачи персональных данных за рубеж начал действовать с 1 марта. При передаче такой информации компании должны уведомлять Роскомнадзор, а также убедиться в том, что зарубежный партнёр может обеспечить конфиденциальность информации и её защиту при обработке. Эти требования не касаются стран, подписавших Конвенцию Совета Европы и включённых в перечень Роскомнадзора. Если в течение десяти дней после получения уведомления регулятор не выносит запрет, то данные могут быть переданы.

Представитель Роскомнадзора сообщил, что с марта было получено 589 таких уведомлений от российских операторов персональных данных, в семи случаях ведомство запретило осуществлять передачу. Кого именно коснулись запреты, не уточняется. Известно, что решение о запрете затронули финансовые и логистические компании. Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных целям, указанным при их сборе, а также их объёму и содержанию. «В частности, компании планировали передать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платёжеспособности», — сообщил представитель Роскомнадзора.

Генеральный директор «INFO-Line-Аналитики» Михаил Бурмистров напомнил, что на территории России продолжают работать международные компании, которые используют ресурсы находящихся за рубежом центральных офисов. Однако в ближайшее время такая практика должна прекратиться. «Речь идёт о полной локализации хранения данных либо об иных способах решения проблемы, потому что трансграничная передача данных больше осуществляться не будет. Компании просто-напросто могли не успеть сформировать инфраструктуру для хранения персональных данных на территории России», — считает господин Бурмистров.

Microsoft выплатит $20 млн, чтобы урегулировать претензии американского регулятора, уличившего компанию в незаконном сборе персональных данных несовершеннолетних, которые воспользовались консолью Xbox, не получив на это разрешения родителей.

Источник изображения: Xbox

Регулятор заявил, что несмотря на то, что Microsoft требовала от всех, кто пользуется сервисом Xbox Live, регистрации с указанием имени, адреса электронной почты и возраста, до конца 2021 года дети могли начать процесс создания нового аккаунта на Xbox ещё до того, как появлялось уведомление о требовании получения разрешения от родителей. При этом, даже когда компания узнала о пользователях младше 13 лет, она продолжала собирать и хранить данные, нарушая американский закон о защите личных данных детей в интернете (Children’s Online Privacy Protection Act, COPPA).

Microsoft заявила, что это произошло из-за «сбоя в хранении данных» и пообещала улучшить свои системы. «В дополнение к существующей стратегии многофакторной безопасности мы также планируем разработать систему подтверждения личности и возраста нового поколения — удобный, безопасный, одноразовый процесс для всех игроков», — говорится в заявлении компании.

После заключения мирового соглашения Microsoft присоединилась к десяткам других компаний, включая Amazon, Google и TikTok, которые столкнулись со штрафами Федеральной торговой комиссии США за сбор данных о детях без согласия родителей.

В рамках урегулирования инцидента Microsoft удалит в течение двух недель всю информацию, собранную о детях без согласия родителей. Помимо этого, компания будет предупреждать издателей видеоигр, которые запрашивают личную информацию, если пользователи являются детьми.

Корпорации Meta✴ грозит рекордный штраф за несоблюдение Общего регламента ЕС по защите персональных данных (GDPR) и отправку пользовательских данных резидентов ЕС в США без обеспечения надлежащих гарантий их защиты от доступа со стороны местных властей.

Источник изображения: Markus Spiske/unsplash.com

Как пишет The Register, сумма штрафа, который Ирландская комиссия по защите данных (DPC) наложит на Meta✴, пока не озвучена. По данным источников Bloomberg, она может превысить штраф в размере €746 млн, который в ЕС выписали компании Amazon в 2021 году за аналогичные нарушения GDPR.

По словам источников ресурса Bloomberg, помимо рекордного штрафа ирландский регулятор может заблокировать передачу данных Facebook✴ из ЕС в США на основании новых соглашений, поставленных под сомнение высшим судом ЕС. Речь идёт о документе Data Privacy Framework (DPF), призванном гарантировать конфиденциальность данных пользователей из ЕС взамен отменённого в 2020 году соглашения Privacy Shield.

Законодатели ЕС считают, что DPF не соответствует стандартам GDPR, позволяя американским компаниям использовать данные граждан ЕС способами, несовместимыми с европейским законодательством. В частности, DPF не обеспечивает запрет на доступ к данным для служб радиотехнической разведки или других спецслужб в целях защиты национальной безопасности.

Поэтому парламентарии ЕС призвали Европейскую комиссию не принимать решение о достаточности мер DPF, что станет официальным признанием ЕС того, что страна, не входящая в блок, принимает достаточные меры по защите данных.

В 2023 году DPC уже дважды оштрафовала Meta✴: на €390 млн за использование личных данных для таргетированной рекламы в Facebook✴ и Instagram✴ и ещё на €5,5 млн за нарушения регламента GDPR в работе с личными данными мессенджера WhatsApp.

Сегодня в своём выступлении перед Конгрессом США генеральный директор TikTok Шоу Цзы Чу (Shou Zi Chew) заявил, что сервис планирует удалить все данные пользователей из США со своих серверов к концу года. Чу подробно описал инициативу компании под названием Project Texas по перемещению данных американских пользователей на серверы компании Oracle, расположенные в США, где за этими данными будет наблюдать американский персонал.

Источник изображения: Pixabay

Этот план является частью более широкой программы TikTok, направленной на предотвращение запрета приложения правительством США по соображениям национальной безопасности. Сервис, принадлежащий китайской ByteDance, также стремится убедить Конгресс в том, что в его приложение включён ряд средств защиты для обеспечения безопасности молодых пользователей, и добавлены возможности для получения дохода авторами и малыми предприятиями из США.

Конкретно с Project Texas миссия TikTok состоит в создании того, что Чу назвал «брандмауэром», изолирующим чувствительные данные пользователей США от несанкционированного доступа извне, особенно из Китая. Своим названием Project Texas обязан штату Техас, где располагается штаб-квартира Oracle. Общие планы TikTok в отношении Project Texas были описаны ещё летом 2022 года в письме сенаторам-республиканцам. Это письмо стало ответом на обращение в Конгресс, в котором утверждалось, что некоторые сотрудники в Китае имели доступ к данным пользователей TikTok из США.

Чу заверил сенаторов, что компания планирует удалить данные со своих серверов в этом году. «Сегодня данные американского TikTok по умолчанию хранятся на серверах Oracle, — сказал Чу. — Только проверенный персонал, работающий в новой компании под названием TikTok U.S. Data Security, может контролировать доступ к этим данным. Эта компания будет отчитываться перед независимым американским советом директоров. У нас есть устаревшие данные из США на серверах в Вирджинии и Сингапуре. Мы планируем удалить их в этом году. Когда это будет сделано, все данные из США будут находиться под защитой законодательства США».

Шоу Цзы Чу был допрошен и о других аспектах безопасности данных, и не на все вопросы смог дать прямой и исчерпывающий ответ. В частности, после первоначального обязательства не продавать данные брокерам, он уклонился от ответа на вопрос, продавал ли TikTok данные пользователей ранее. Также, он затруднился ответить, полностью ли отделит Project Texas американский TikTok от его китайской материнской компании из-за взаимосвязанности технологий. Кроме того, на вопрос о том, будут ли сотрудники TikTok в Китае иметь доступ к данным США, Чу ответил: «После "проекта Техас"… нет», косвенно подтвердив, что сейчас такой доступ существует.

Сенаторы также поинтересовались, подпадают ли китайские сотрудники ByteDance под действие китайского законодательства, включая Закон о национальной разведке 2017 года, требующий от любой организации или гражданина сотрудничества с государственной разведкой Китая. Шоу Цзы Чу сначала уклонился от ответа, отметив, что «как и многие компании, в том числе многие американские компании, мы полагаемся на глобальную рабочую силу, включая инженеров в Китае», а после требования дать прямой ответ ответил: «В прошлом да, но мы строим "проект Техас" и стремимся защитить все данные брандмауэром».

В открытом доступе оказались данные клиентов и сотрудников компании «СберЛогистика», сообщил ресурс VC.ru со ссылкой на Telegram-канал «Утечки информации». Как утверждают исследователи, информацию разместил тот же источник, что и публиковавший до этого конфиденциальную информацию, касающуюся клиентов «Почты России», образовательного портала GeekBrains, службы доставки Delivery Club и многих других.

Источник изображения: Kevin Ku/unsplash.com

В Сеть утекли два файла с 671 474 и 691 548 строками, содержащими сведения о пользователях и сотрудниках «СберЛогистики», включая ФИО, номера телефонов, адреса электронной почты и хешированные пароли (только для пользователей), а также данные о филиале и должности сотрудников.

Имеющаяся в файлах информация свидетельствует о том, что данные были получены не ранее 3 февраля 2023 года.

В свою очередь, аналитики ресурса Habr.com подсчитали, что в публичный доступ попали 126 715 уникальных адресов электронной почты, включая 3876 адресов на домене sberlogistica.ru и 2029 — на домене sberbank.ru, а также 736 891 номер телефона.

Позднее в ответ на запрос vc.ru в «Сбере» заявили, что информация об утечке не соответствует действительности. «На хакерских ресурсах в интернете представлены различные данные, имеющие отношение к клиентам “Сбербанка”. Это компиляции различных баз данных, полученные в результате взлома компаний-подрядчиков дочерних компаний “Сбера”. Никакой чувствительной финансовой информации в них нет. Как правило, спекуляции на тему утечек спровоцированы мошенниками, которые торгуют компиляциями данных, рекомендуем не обращать на них внимания».

Согласно исследованию «Лаборатории Касперского», в прошлом году лидерами по объёму утечек данных в России стали сервисы доставки, на которые пришлось более трети всех утечек (34 %), и ретейлеры (14 %).

Данные берутся из публикации Заметаем цифровые следы: руководство к действию

Регулирующие органы стран ЕС должны будут продемонстрировать более решительные действия при нарушениях Закона о защите персональных данных (GDPR). Еврокомиссия отныне требует, чтобы страны ЕС делились обзорами «крупномасштабных» расследований дел по GDPR каждые два месяца. Они будут включать «ключевые процедурные шаги» и предпринятые действия — национальные регулирующие органы должны будут активнее реагировать при нарушениях GDPR крупными компаниями.

Источник изображения: Pavlo Gonchar/SOPA Images/LightRocket via Getty Images

Евросоюз стремится максимально жёстко реагировать на нарушения конфиденциальности со стороны технологических гигантов, но во многих случаях расследования по подобным делам затягиваются, а наказания оказываются предельно скромными. Но вскоре действия в этом направлении станут более решительными. Более жёсткий подход появился после того, как омбудсмен ЕС потребовал пристального внимания к делам, подпадающим под действие Ирландской комиссии по защите данных, которая регулирует деятельность Meta✴ и других отраслевых гигантов. Он обвинил комиссию в том, что она слишком медлительна и снисходительна к нарушениям конфиденциальности. К примеру, несколько недель назад Европейскому совету по защите данных пришлось вынуждать комиссию увеличить штраф, наложенный на Meta✴ за обработку персональных данных с 28 до 390 миллионов евро.

Как отмечает Bloomberg, Европейская комиссия и раньше каждые два года выпускала отчёты об общем состоянии соблюдения GDPR, но тщательные и частые проверки исполнения закона в отдельных странах не проводились. Новое требование теоретически привлечёт к ответственности все государства-члены ЕС, если они задержат расследование или не применят закон, когда это необходимо. Предусмотрены юридические последствия в Европейском суде.

Новые требования критикуются активистами за недостаточную прозрачность. Поскольку страны будут делиться своим прогрессом на «строго конфиденциальной основе», общественность не сможет узнать, правильно ли регулирующий орган рассматривает дело, пока ЕС не предпримет видимых ответных действий. Тем не менее, это может побудить Meta✴, Amazon, Google и других технологических тяжеловесов серьёзней относиться к европейским законам о конфиденциальности, так как они могут столкнуться с ускоренными расследованиями и весьма ощутимыми штрафами.

В 2022 году стоимость «пробива» — незаконного получения информации о транзакциях, собственности и тайне переговоров граждан через инсайдеров в компаниях, банках и госорганах — выросла в среднем на 22 %, сообщается в исследовании российского сервиса по расследованию утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence).

Источник изображения: Pixabay

В предыдущем, 2021 году, темпы роста расценок на «пробив» в годовом исчислении были гораздо выше — почти в два раза. Больше всего выросла стоимость мобильного «пробива», примерно на 60 % до 27 тыс. рублей за месяц детализации звонков и SMS пользователя — такой же рост был отмечен и в 2021 году.

Причём нелегальное получение данных абонентов операторов «Билайн», МТС и Tele2 теперь обходится в два и более раз дороже, а расценки для «МегаФона» не изменились. Самые высокие расценки — на «пробив» данных абонентов МТС — 40 тыс. рублей. У Tele2 и «МегаФона» — 28 тыс. и 25,5 тыс. рублей соответственно, а «Билайн» по-прежнему замыкает список — 15 тыс. рублей.

Стоимость банковского «пробива» осталась на прежнем уровне, составляя 25,4 тыс. рублей за выписку о движении средств клиента за месяц, хотя в 2021 году она выросла в годовом исчислении более чем в 2,5 раза. Благодаря принятым банками мерам по борьбе с утечками, предложение такой услуги в этом сегменте уже второй год сокращается. За исключением «Сбербанка »подобные предложения для крупнейших коммерческих периодически полностью исчезают. Также сокращается число посредников, которое составляет менее 27 % от всех занятых в этом криминальном бизнесе.

Стоимость «пробива» по государственным базам данных тоже осталась на прежнем уровне, составляя 1,5–2 тыс. рублей.

По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, количество объявлений о «мобильном пробиве» в 2022 году снизилось примерно в 2–2,5 раза. В Tele2 объяснили «Коммерсанту» подорожания услуги «пробива» тем, что процессы выявления и пресечения незаконной передачи информации автоматизированы и «инциденты практически невозможны». В МТС сообщили, что принимают «строгие организационные меры и применяют современные аппаратно-программные средства, предотвращающие несанкционированный доступ к информации ограниченного доступа». В «ВымпелКоме» утверждают, что усилили контроль доступа сотрудников к клиентским данным, «в том числе используется двухфакторная аутентификация».

Основатель Telegram-бота «Глаз бога» Евгений Антипов выразил мнение, что такая услуга начала терять ценность с ростом утечек различных баз данных. DLBI ранее сообщил, что в 2022 году в Сеть утекли данные 75 % россиян. «Ожидания же злоумышленников по своим заработкам меньше не стали, и, чтобы компенсировать отток клиентов, они начали поднимать цены», — считает Антипов, добавив, что растёт число посредников, а это тоже сказывается на цене.

Неизвестные выложили в открытый доступ около 4 тыс. фотографий паспортов, принадлежащих водителям службы заказа такси «Ситимобил». В компании признали факт утечки и взяли на себя ответственность за инцидент.

Источник изображения: city-mobil.ru

Фотографии паспортов водителей «Ситимобила» размещались на сервере, путь к которому относится к домену «city-mobil.ru» — по этому адресу располагается официальный сайт сервиса. Пресс-служба компании заявила, что по факту инцидента проводится собственное расследование.

«На данный момент мы проводим внутреннее расследование, хранились ли украденные данные в нашей системе, и как могла произойти утечка данных. По результатам расследования будет применено дисциплинарное взыскание к ответственным. Мы в любом случае берём на себя ответственность за происходящее, так как мы отвечаем за безопасность данных на наших ресурсах», — приводит «Коммерсантъ» заявление компании.

Представители «Ситимобила» также сообщили, что в соответствии с требованиями закона собираются уведомить об инциденте Роскомнадзор, кроме того, «руководством компании создан штаб по детальному разбору данной ситуации».

Накануне стало известно, что служба «Яндекс.Еда» была признана потерпевшей стороной в рамках уголовного дела об утечке данных её клиентов.

По данным Роскомнадзора, с конца февраля было зафиксировано 140 утечек персональных данных, в результате которых в открытый доступ попали около 600 млн записей о россиянах. Об этом пишет информационное агентство ТАСС со ссылкой на пресс-службу ведомства.

Источник изображения: Pixabay

«С февраля резко увеличилось количество утечек персональных данных — более 140 случаев, в сеть попали около 600 млн записей граждан. Нарушена конфиденциальность медицинских персональных данных, подлежащих особой защите. Основной источник сливов — иностранные ресурсы», — сказано в сообщении Роскомнадзора.

Отмечается, что содержание скомпрометированных баз данных раскрывает личную информацию о гражданах РФ, их актуальные социальные связи. В ведомстве также сообщили, что всплеск утечек произошёл после блокировки в стране некоторых зарубежных социальных сетей, которые вели деятельность с нарушениями российского законодательства.

После обострения геополитической ситуации ранее в этом году фиксировался резкий рост количества кибератак на российскую IT-инфраструктуру. По данным «Лаборатории Касперского», суммарно в открытый доступ попали более 1,5 млрд записей. Чаще всего киберпреступники атаковали ресурсы госструктур, включая Федеральную антимонопольную службу, Роскомнадзор, Министерство культуры, правительство Москвы и др.

Разработчики и эксперты по безопасности iOS-приложений Mysk сообщили, что собираемая в App Store аналитическая информация связывается с учётной записью iCloud, а это значит, что обрабатываемые компанией данные не являются анонимными — по ним можно сопоставить настоящее имя их владельца, его адрес электронной почты и другую информацию.

Источник изображения: apple.com

Эксперты подчёркивают, что отправка данных производится даже при отключении аналитики в настройках, а идентификатор DSID (Directory Services Identifier) отправляется и в другие приложения. В документе, описывающем сбор аналитики на устройствах, Apple отмечает, что некоторые данные об использовании приложений под одной учётной записью могут сопоставляться, не позволяя при этом идентифицировать пользователя, пишет The Verge.

Однако в документах, регламентирующих сбор данных в App Store, Apple News и Stocks компания всё-таки признаёт, что отслеживает пользователей лично: собираются IP-адреса, случайные идентификаторы и Apple ID. В случае с App Store компания фиксирует открытие и закрытие магазина, историю поиска, просмотра и загрузок, push-уведомления и уведомления магазина в стороннем ПО.

Иными словами, Apple действительно может ограничить сбор данных на уровне системы, влияя тем самым на работу сторонних приложений, однако компания собирает статистику и на своих сервисах — для каждого из них действует собственное соглашение о конфиденциальности, с которым пользователь соглашается, запуская соответствующие службы. Официальных комментариев от Apple по данному вопросу пока не поступало.

Глава службы коротких видео TikTok Шоу Цзы Чу (Shou Zi Chew) рассказал, что компания работает над программой под названием Project Texas, которая предусматривает изоляцию конфиденциальных данных американских пользователей от остальной платформы — доступ к этой информации будет только у сотрудников компании в США.

Источник изображения: Mourizal Zativa / unsplash.com

По словам господина Чу, проект «чрезвычайно сложный и дорогой в реализации», однако он направлен на решение проблем, о которых говорят власти страны. «Это беспрецедентно. Такого не пыталась сделать ни одна компания. Уверен, что в ходе подробных консультаций, которые мы собираемся провести, мы достигнем решения, способного преодолеть проблемы национальной безопасности», — отметил глава TikTok в ходе своего выступления на мероприятии Bloomberg New Economy Forum в Сингапуре.

Платформа подвергается критике из-за того, что находящиеся в Китае сотрудники владеющей TikTok компании ByteDance имели доступ к персональным данным пользователей из США. На этой неделе к диалогу подключился директор ФБР Кристофер Рэй (Christopher Wray) — он выразил обеспокоенность тем, что китайские власти могут влиять на приложение с персональными данными миллионов пользователей и рекомендательными алгоритмами.

Глава TikTok отклонил идею о проверке гражданства пользователей платформы для локализации их данных — контроль будет осуществляться по местоположению. Ранее администрация платформы подтвердила, что китайские сотрудники имеют доступ к данным граждан США. Локализацией данных американских пользователей и экспертизой алгоритмов сервиса занимается американская компания Oracle. TikTok также недавно обвиняли в попытке прицельно отслеживать местоположение американских граждан.

Даже если администрация президента США заключит с TikTok новое соглашение, потребовав гарантий безопасности данных американских пользователей и избавив платформу от угрозы блокировки, эффект от инициативы может быть недостаточным. На этом настаивают эксперты по кибербезопасности, пишет Bloomberg.

Источник изображения: antonbe / pixabay.com

TikTok заинтересовал американские ведомства в 2019 году — тогда возникли опасения, что китайские владельцы платформы могут использовать персональные данные американских пользователей для шпионажа или другой деструктивной деятельности. Соглашение, которое может заключить администрация сервиса в США, подвергается сомнению опрошенными Bloomberg бывшими сотрудниками органов нацбезопасности страны, юристами, которые прежде работали над подобными сделками, а также экспертами по кибербезопасности, имеющими опыт работы с соцсетями и телекоммуникационными компаниями.

Представитель TikTok Брук Оберветтер (Brooke Oberwetter), напротив, считает сделку правильной инициативой: в компании «уверены, что мы находимся на пути к полному удовлетворению всех разумных сомнений в области национальной безопасности США». Впрочем, детали соглашения она комментировать пока отказалась. Госпожа Оберветтер признала, что китайские сотрудники платформы сохранят доступ к открытым данным американских пользователей, видео и комментариям, и смогут их использовать в ограниченном объёме под контролем наблюдательного совета, созданного правительством США. Персональная же информация американцев станет для них недоступной.

Сегодня весь пользовательский трафик из США обрабатывается облачной инфраструктурой Oracle — компания также контролирует работу рекомендательных алгоритмов приложения. Однако эксперты настаивают на необходимости введения дополнительных ограничений на хранение персональных данных американских пользователей и доступ к ним. Хотя и эти меры могут не разрешить всех сомнений в угрозе нацбезопасности США вне зависимости от того, как хорошо будет выглядеть соглашение на бумаге, уверены эксперты.

В первой половине 2022 года специалисты экспертно-аналитического центра InfoWatch зарегистрировали в мире 2101 утечку данных с ограниченным доступом, что на 93,2 % превосходит показатель за аналогичный период прошлого года. По России число инцидентов за I полугодие достигло 305 — на 45,9 % больше, чем в прошлом году.

Источник изображения: kalhh / pixabay.com

Статистика становится более показательной, если взять в расчёт не число инцидентов, а единицы похищенной информации: в «общемировом зачёте» их количество в I полугодии 2022 года снизилось на 27,8 %, зато в России увеличилось сразу в 16,75 раза, достигнув 187,6 млн записей. В InfoWatch напомнили, что за отчётный период утечки фиксировались в РЖД и авиакомпании «Победа», у операторов «Ростелеком» и «ВымпелКом», на портале Ykt.ru, на сервисах «Мир Тесен», Fotostrana.ru и Text.ru, на портале Pikabu, в сервисах доставки «Яндекс.Еда», Delivery Club и 2 Berega, в школе управления «Сколково», а также на образовательном портале GeekBrains.

Увеличилась доля инцидентов, связанных с действиями киберпреступников извне: в мире она выросла с 60 % до 90 %, а в России — с 21,5 % до 81 %. Эту динамику в InfoWatch объяснили рядом факторов: украинскими событиями, ослаблением контроля над информацией в период пандемии, а также господствующими в западных странах стереотипами — в любом инциденте проще обвинить «русских хакеров», чем добросовестно провести расследование в соответствии с требованиями закона.

Чаще прочих кражи информации производятся в США и в России — такой результат показал мониторинг закрытых форумов в дарквебе и анонимных Telegram-каналов. При этом на российские компании, принадлежащие к категории «Торговля и HoReCa» пришлось 27 %, что несколько выше, чем 22 %, которые наблюдаются по всему миру. А промышленные и транспортные компании из России, атакованные в 10 % случаев, оказались у хакеров менее «популярными», чем их коллеги из других стран, ставшие жертвами в 19 % инцидентов. Наконец, самым продаваемым на теневых ресурсах типом данных стали персональные с 81 %, коммерческие тайны компаний продаются в 13 % объявлений, платёжная информация предлагается в 3 % случаев, и ещё 2 % составляют государственную тайну.