В первой половине 2022 года специалисты экспертно-аналитического центра InfoWatch зарегистрировали в мире 2101 утечку данных с ограниченным доступом, что на 93,2 % превосходит показатель за аналогичный период прошлого года. По России число инцидентов за I полугодие достигло 305 — на 45,9 % больше, чем в прошлом году.

Источник изображения: kalhh / pixabay.com

Статистика становится более показательной, если взять в расчёт не число инцидентов, а единицы похищенной информации: в «общемировом зачёте» их количество в I полугодии 2022 года снизилось на 27,8 %, зато в России увеличилось сразу в 16,75 раза, достигнув 187,6 млн записей. В InfoWatch напомнили, что за отчётный период утечки фиксировались в РЖД и авиакомпании «Победа», у операторов «Ростелеком» и «ВымпелКом», на портале Ykt.ru, на сервисах «Мир Тесен», Fotostrana.ru и Text.ru, на портале Pikabu, в сервисах доставки «Яндекс.Еда», Delivery Club и 2 Berega, в школе управления «Сколково», а также на образовательном портале GeekBrains.

Увеличилась доля инцидентов, связанных с действиями киберпреступников извне: в мире она выросла с 60 % до 90 %, а в России — с 21,5 % до 81 %. Эту динамику в InfoWatch объяснили рядом факторов: украинскими событиями, ослаблением контроля над информацией в период пандемии, а также господствующими в западных странах стереотипами — в любом инциденте проще обвинить «русских хакеров», чем добросовестно провести расследование в соответствии с требованиями закона.

Чаще прочих кражи информации производятся в США и в России — такой результат показал мониторинг закрытых форумов в дарквебе и анонимных Telegram-каналов. При этом на российские компании, принадлежащие к категории «Торговля и HoReCa» пришлось 27 %, что несколько выше, чем 22 %, которые наблюдаются по всему миру. А промышленные и транспортные компании из России, атакованные в 10 % случаев, оказались у хакеров менее «популярными», чем их коллеги из других стран, ставшие жертвами в 19 % инцидентов. Наконец, самым продаваемым на теневых ресурсах типом данных стали персональные с 81 %, коммерческие тайны компаний продаются в 13 % объявлений, платёжная информация предлагается в 3 % случаев, и ещё 2 % составляют государственную тайну.

Сегодня стало известно о появлении в интернете в открытом доступе базы данных участников программы лояльности оператора Tele2, которую выложили неизвестные лица. Об этом сообщил ресурс habr.com со ссылкой на информацию Telegram-каналов data1eaks и in4security.

Согласно сервису поиска утечек и мониторинга даркнета DLBI, «утекшая» база данных содержит 7 530 149 строк, включая ФИО, пол, номера телефонов, идентификатор BERCUT_CONTACT_ID, ссылки на страницы на домене l.tele2.ru за период с 05.09.2017 по 27.06.2022.

Источник изображений: Хабр

После проведённой выборочной проверки эксперты DLBI сообщили, что база содержит корректную информацию о пользователях, которая, по всей видимости, относится к программе лояльности оператора Tele2.

В свою очередь, в Tele2 подтвердили Хабру факт утечки, отметив, что опубликованные сведения «не несут материальных рисков для абонентов». «Большая часть этих данных не представляет угрозы пользователям, по сути, это перекомпиляция сведений, которые доступны онлайн из других источников, — сообщили в компании. — Tele2 проводит служебное расследование. Уже известно, что ответственность на стороне IT-партнера, который подвергся хакерской атаке. Наши собственные системы надёжно защищены, факт утечки на стороне Tele2 полностью исключён».

Отрицает свою причастность к утечке и поставщик IT-решений для телеком-бизнеса Bercut, предположение о связи которого с инцидентом возникло из наличия идентификатора с наименованием BERCUT_CONTACT_ID в базе данных. Директор по информационной безопасности Bercut, Алексей Кощиенко пояснил: «В продуктах компании Bercut не используется упомянутый идентификатор. Служебное расследование Tele2 также не установило, что информационные системы Bercut имеют какое-либо отношение к данному инциденту. Таким образом, факт утечек с нашей стороны исключен».

Также в Tele2 принесли извинения абонентам за случившееся и пообещали усилить контроль за данными в случае потенциального доступа менее защищённых подрядчиков.

Компания Aliexpress Russia Holding направила в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) уведомление о выполнении требований так называемого закона о «приземлении».

Источник изображения: pixabay.com

Документ, напомним, предполагает регистрацию иностранными IT-гигантами личного кабинета на сайте Роскомнадзора. Кроме того, предусмотрены обязанности по размещению на информационном ресурсе формы обратной связи, учреждению российского юрлица или открытию представительства на территории РФ.

Компания Aliexpress выполнила основные обязанности, предусмотренные Федеральным законом №236-ФЗ. «Её российское юридическое лицо отвечает требованиям законодательства, на интернет-ресурсе компании присутствует форма для обращений российских граждан и организаций, зарегистрирован личный кабинет на сайте ведомства», — говорится в сообщении Роскомнадзора.

Источник изображения: Aliexpress

Кроме того, Aliexpress выполнила требования законодательства о локализации персональных данных, обеспечив хранение и обработку сведений о российских гражданах на территории Российской Федерации.

По итогам проверки предоставленных документов Роскомнадзор включил Aliexpress в перечень иностранных лиц, осуществляющих деятельность в интернете на территории Российской Федерации.

Uber Technologies взяла на себя ответственность за сокрытие утечки данных, произошедшей в 2016 году в результате хакерской атаки, когда достоянием злоумышленников стала информация о 57 млн водителей и пассажиров. Компания признала вину в рамках сделки с обвинением, что позволило ей избежать уголовного преследования.

Источник изображения: freestocks-photos / pixabay.com

Гособвинитель Стефани Хайндс (Stephanie Hinds) заявила, что Uber сообщила об инциденте лишь год спустя, и виной тому было было вновь назначенное руководство компании, которое «задало жёсткий тон сверху» в отношении вопросов этики и соблюдения требований закона. Решение не предъявлять обвинений по уголовной статье госпожа Хайндс объяснила следующими соображениями: расследование в отношении компании удалось провести в минимальные сроки, новое руководство раскрыло необходимую информацию, а в 2018 году Uber заключило с Федеральной торговой комиссией США (FTC) соглашение о развёртывании комплексной программы обеспечения конфиденциальности сроком на 20 лет.

Компания также выступила на стороне обвинения по делу своего бывшего главы службы безопасности Джозефа Салливана (Joseph Sullivan), который предположительно сыграл свою роль в сокрытии информации о хакерской атаке. Обвинение господину Салливану было предъявлено в сентябре 2020 года. По версии обвинения, топ-менеджер согласился выплатить хакерам $100 000 в биткоинах и даже получил от них подписанное соглашение о неразглашении, в котором содержалось заведомо ложное утверждение, что они не производили кражу данных.

В сентябре 2018 года Uber за $148 млн урегулировала претензии всех 50 американских штатов и столичного округа Колумбия, недовольных запоздалым раскрытием информации о хакерской атаке и утечке.

Мировой суд Таганского района Москвы наложил штраф ещё на одну IT-компанию в связи с нежеланием локализовать данные о российских пользователях на серверах, расположенных на территории РФ.

Источник изображений: Zoom

Речь идёт об американской корпорации Zoom Video Communications. Она является разработчиком популярного сервиса видеотелефонии Zoom, который доступен на устройствах под управлением операционных систем Windows, macOS, Linux, Android, iOS и Chrome OS.

Как сообщает «Интерфакс», мировой суд рассмотрел протокол в отношении Zoom Video Communications без участия представителей компании, поскольку те не явились на заседание.

«Признать Zoom Video Communications Inc. виновной по ч.8 ст. 13.11 КоАП РФ (невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ) и назначить штраф в размере 1 млн рублей», — говорится в вынесенном постановлении.

Ранее штрафы за отказ локализовать данные россиян были наложены на другие известные компании, в частности, на Apple и Ookla. При этом отмечается, что хранение персональных данных российских пользователей локализовали около 600 представительств зарубежных компаний в РФ.

Мировой суд Москвы наложил штраф на компанию Ookla в связи с несоблюдением требований российского законодательства в части организации хранения персональных данных российских граждан на серверах, расположенных на территории РФ.

Источник изображений: pixabay.com

Напомним, Ookla является владельцем популярного сервиса Speedtest, предназначенного для оценки пропускной способности веб-соединений и определения задержки. Данная служба доступна как на персональных компьютерах, так и на мобильных устройствах с различными операционными системами.

«Суд постановил признать компанию Ookla LLC виновной по ч. 8 ст. 13.11 КоАП РФ ("Невыполнение предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ") и назначил наказание в виде штрафа на сумму 1 млн рублей», — приводит ТАСС судебное решение.

Нужно отметить, что за нарушение закона о персональных данных компании Ookla грозило взыскание до 6 млн рублей. Представители компании просили суд прекратить производство по административному делу, мотивируя это отсутствием состава правонарушения. Однако Мировой суд Москвы с доводами Ookla не согласился.

Мировой суд Таганского района Москвы признал компанию Apple виновной в нарушении федерального закона о локализации баз персональных данных российских граждан на территории России.

Источник изображения: pixabay.com

«Признать Apple, Inc. виновной по ч.8 ст. 13.11 КоАП РФ (невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ) и назначить штраф в размере 2 млн рублей», — говорится в судебном постановлении.

Это первое взыскание, наложенное на Apple по указанной статье об административном правонарушении. Ранее Роскомнадзор потребовал от ряда иностранных компаний предоставить документы, подтверждающие, что хранение и обработка персональных данных российских пользователей осуществляются на территории РФ. Выполнение этой нормы позволяет обеспечить надлежащие условия и гарантии хранения и защиты сведений о гражданах РФ.

В Apple, как сообщает «Интерфакс», заявляют, что компания не является ответственной за сбор данных в России: «К суду привлечена компания Apple Inc., а за обработку данных отвечает Apple Distribution».

Нужно также отметить, что российское представительство Apple — ООО «Эппл Рус» — ещё в 2018 году официально уведомило Роскомнадзор о локализации данных российских пользователей на территории РФ.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) разработало новую версию законопроекта, регулирующего оборот персональных данных.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсантъ», документ предполагает безвозмездную передачу государству бизнесом массивов данных, включая персональную информацию клиентов, без предварительного обезличивания. Причём согласие граждан для этого не потребуется. Обезличиванием сведений должен будет заниматься уполномоченный орган.

Исходная версия законопроекта была принята в первом чтении в марте 2021 года. Она предусматривала, что обезличивание данных могло происходить только с согласия человека. После такой процедуры бизнес мог использовать персональную информацию по своему усмотрению.

«Новая версия документа предполагает, что бизнес по запросу министерства будет передавать данные в государственную информационную систему (ГИС) уполномоченного органа, который её обезличит и сформирует дата-сеты», — говорится в публикации.

Состав данных и цели их использования, как предполагается, будет определять правительство. Бесплатный доступ к обезличенной информации Минцифры предлагает предоставить госорганам и российским разработчикам: при этом извлекать исходные данные они не смогут.

Однако участники рынка выступают против безвозмездной передачи данных клиентов властям. Кроме того, говорится о рисках безопасности. Эксперты указывают на то, что необходимо разработать режим обезличивания, позволяющий соблюсти баланс интересов разработчиков и защищённости личной информации. В текущем варианте инициатива может привести к тому, что бизнес лишится стимула развивать проекты в области аналитики данных и искусственного интеллекта: дело в том, что документ фактически нацелен на монополизацию рынка данных.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) рассматривает возможность внесения поправок в законопроект о введении оборотных штрафов за утечку персональных данных.

Источник изображения: pixabay.com / geralt

На прошлой неделе Государственная Дума приняла закон, предусматривающий дополнительные меры по защите личных данных россиян. Это касается паспортных данных, сведений о недвижимости, авиаперелётах, а также данных, позволяющих идентифицировать военнослужащих и сотрудников правоохранительных органов. Закон обязывает операторов персональных данных незамедлительно сообщать в уполномоченные органы обо всех кибератаках и утечках. В течение суток должно осуществляться описание скомпрометированных данных, а в течение трёх суток оператор обязан предоставить результаты внутренней проверки.

В мае Минцифры согласовало законопроект, предполагающий введение штрафа в размере 1 % от годовой выручки и до 3 %, если компания своевременно не сообщила об утечке Роскомнадзору.

Источник изображения: pixabay.com / Gerd Altmann

Как теперь сообщает газета «Коммерсантъ», в Минцифры прошло совещание, посвящённое разработке поправок к Кодексу об административных правонарушениях (КоАП), устанавливающих размеры штрафов за утечку персональных данных в зависимости от оборота компании, её допустившей. Ведомство, в частности, приняло решение не вводить штрафы за первый выявленный факт утечки. Министерство также согласилось уменьшить размер штрафа за утечку ниже 1 % от оборота, но этот вопрос ещё обсуждается.

Представители бизнеса на совещании предложили трёхступенчатую систему наказания за утечки. «Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение. В случае повторной компрометации — заплатить крупный штраф. Если же компания допустила утечку в третий раз — получить оборотный штраф», — говорится в публикации.

«ВымпелКом» (бренд «Билайн») начал предлагать абонентам в мобильном приложении подписать согласие на передачу их персональных данных структурам «Альфа-групп»: Альфа-банку, «АльфаСтрахованию» и некоторым участникам X5 Group (объединяет ретейлеров «Перекресток», «Пятерочка», «Карусель»), обещая взамен скидки от партнёров, сообщил «Коммерсантъ». По мнению экспертов, оператор начал подготовку к принятию Госдумой новых правил обработки персональных данных, согласно которые потребуется согласие абонента для каждого случая обработки.

Источник изображения: Pixabay

В предлагаемом соглашении указано, что абонент даёт согласие на обработку оператором и его партнёрами данных паспорта, адреса электронной почты, номера телефона, ИНН, сведений об оборудовании и его местонахождении при получении услуг связи, информации об их оплате, а также идентификаторах: IMEI, IP-адреса, MAC-адреса и cookie id. Как отмечено в документе, обработка данных производится с целью «улучшения клиентского опыта, качества обслуживания, предоставления услуг, а также персонифицированных предложений оператора и партнеров», в том числе с помощью обзвона и отправки СМС-сообщений. «Важно понимать, что клиент всегда может отказаться давать своё согласие на использование данных», — сообщили «Коммерсанту» в Альфа-банке.

Отметим, что операторы связи, как правило, или вообще не делают подобных предложений абонентам, или указывают это условие в соглашении об оказании услуг связи.

Эксперт по кибербезопасности Алексей Лукацкий предположил, что «ВымпелКом» решил заранее получить обновлённые согласия клиентов в связи с возможным принятием Госдумой поправок к закону о персональных данных. Хотя не исключено, что это было сделано в ответ на жалобы абонентов.

Как отметил преподаватель Moscow Digital School Олег Блинов, до сих пор большинство участников оборота данных включали разрешение на передачу данных третьим лицам в условия использования сервисов или политику конфиденциальности, и отказаться от такого соглашения потребителю было невозможно.

В Tele2 сообщили, что данные клиентов третьим сторонам не передаются. Вся информация о клиентах остаётся на стороне компании, а для заказчика готовятся обобщённые выводы и результаты анализа. В МТС сообщили, что оператор получает от клиента согласие на обработку персональных данных при заключении договора, причём он имеет право отозвать его в любой момент.

Администрация китайского сервиса коротких видео TikTok подтвердила, что некоторые сотрудники за пределами США действительно могут иметь доступ к персональным данным американских пользователей. Это заявление породило очередную волну недовольства со стороны Вашингтона.

Источник изображения: antonbe / pixabay.com

Компания раскрыла истинное положение вещей в ответ на запрос от девяти американских сенаторов, которых интересовали следующие аспекты в работе соцсети: доступ китайских сотрудников к данным пользователей из США, роль этих сотрудников в формировании рекомендательных алгоритмов площадки, а также доступ китайских властей к данной информации.

Генеральный директор TikTok Шоу Цзы Чу (Shou Zi Chew) в письме от 30 июня сообщил, что в настоящее время доступ к персональным данным американских пользователей действительно может предоставляться китайским сотрудникам компании, но только после того, как те проходят ряд проверок по протоколам безопасности. Данные не передаются китайскому правительству и подлежат жёсткому контролю по защите от киберугроз.

Социальная сеть напомнила, что тесно сотрудничает с правительством США на предмет усиления защиты данных, и в первую очередь тех, которые считает особо важными Комитет по иностранным инвестициям США. Не так давно стартовала инициатива под кодовым именем «Project Texas», в рамках которой данные американских пользователей были локализованы в США в облачной инфраструктуре Oracle. В ближайшее время в американский сегмент сервиса будет перенесена и техническая часть платформы: работа всех алгоритмов, касающихся американцев, будет обеспечиваться дата-центрами на территории страны.

Ответ китайского сервиса только усилил недовольство законодателей из Вашингтона. В частности, сенатор Марша Блэкбёрн (Marsha Blackburn) заявила, что объяснения администрации платформы подтвердили их опасения, а управляемая китайцами компания должна была сказать правду с самого начала, не пытаясь сохранить её в тайне.

На заседании рабочей группы в Госдуме с участием представителей бизнеса было принято решение убрать из поправок к закону «О персональных данных», обсуждаемых сейчас в Госдуме, требование о непрерывном подключении к системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) всех операторов персональных данных. Как сообщает «Коммерсантъ», также было предложено упростить бизнесу взаимодействие с Роскомнадзором по трансграничной передаче личной информации граждан.

Источник изображения: Pixabay

23 июня глава комитета по информполитике Александр Хинштейн пообещал на заседании рабочей группы в Госдуме, что поправки к законопроекту «О персональных данных» будут доработаны с учётом предложений бизнеса. По его словам, положения законопроекта, связанные с трансграничной передачей данных, вступят в силу с марта 2023 года, хотя ранее предполагалось, что документ начнет действовать через 10 дней после опубликования.

Депутат добавил, что после внесения в документ изменений бизнесу будет необходимо уведомлять Роскомнадзор о трансграничной передаче данных только при первом взаимодействии с новой для себя страной. Если эта страна обеспечивает адекватную защиту прав субъектов данных (входит в одноименный список Роскомнадзора) или поддержала конвенцию Совета Европы «О защите физлиц при обработке персональных данных», то можно будет не ждать ответа ведомства. В ином случае необходимо будет подождать рассмотрения обращения Роскомнадзором. По словам Хинштейна, сейчас обсуждается сокращение срока рассмотрения обращения с 30 до 10 дней.

Как отметил глава Института исследований интернета Карен Казарян, внесение вышеуказанных поправок в законопроект значительно упростит исполнение закона крупным бизнесом, хотя финансовая и административная нагрузка на средний и малый бизнес останется существенной.

Основатель Telegram Павел Дуров выступил с опровержением появившихся в четверг сообщений о том, что мессенджер якобы автоматически передаёт голосовые сообщения пользователей компании Google.

Источник изображения: Dima Solomin/unsplash.com

«Telegram не делится с Google личными данными пользователей вроде имён, телефонов, IP-адресов. Кроме того, Telegram никогда не отправляет какие-либо данные третьим лицам автоматически, без явного на то запроса от пользователей», — сообщил он в своем Telegram-канале.

Дуров рассказал, что пользователям Telegram Premium была предложена кнопка для отправки запроса на перевод отдельного голосового сообщения в текст. Эти запросы, как ранее разъяснили в Telegram, обрабатываются с оборудования, арендованного у Google.

Основатель Telegram отметил, что было бы дешевле для этого использовать собственное бесплатное решение на своём оборудовании, либо воспользоваться решением от более мелких или региональных игроков, но тогда бы качество распознавания голосовых сообщений на большинстве языков было бы гораздо хуже, чем при использовании платной технологии Google.

Дуров пояснил, что Google получает обезличенные данные и, по условиям соглашения с Telegram, не может с ними ничего делать (в частности, использовать для каких-либо других своих сервисов или для рекламы). Google может лишь создавать на их основе тексты и возвращать обратно мессенджеру.

Администрация сервиса коротких видео TikTok доложила, что преодолела «значительный этап» в обеспечении безопасности данных для пользователей из США — теперь связанная с ними конфиденциальная информация по умолчанию хранится на территории страны.

Источник изображения: antonbe / pixabay.com

Владеющая TikTok китайская компания ByteDance уточнила, что и до настоящего момента хранила значительную часть американских пользовательских данных в дата-центре, расположенном в штате Вирджиния. Теперь же разработчик заключил партнёрское соглашение с Oracle и перенаправил американский трафик на облачные ресурсы нового партнёра.

Данная мера — это лишь начало преобразований TikTok, поскольку сервис ещё вызывает многочисленные вопросы у американских властей. В своём стремлении ограничить мировое влияние китайских техногигантов они добиваются того, чтобы ByteDance вообще лишилась доступа к данным американских пользователей.

В подтверждение этому практически сразу за объявлением о переносе данных американских пользователей в облако Oracle последовала публикация ресурса BuzzFeed News, в которой утверждается, что китайские сотрудники компании как минимум с сентября 2021 по январь 2022 года имели доступ к данным американских пользователей.

В материале также отмечается, что на серверах Oracle будет храниться только конфиденциальная информация об американцах — их даты рождения и номера телефонов. А китайские сотрудники ByteDance всё равно сохранят доступ к наиболее ценным данным, к примеру, о том, что интересует пользователей в США: от видео с котиками до политических взглядов. И именно эта информация больше всего беспокоит американские власти — они задаются вопросом, можно ли использовать основанный на ней рекомендательный алгоритм в качестве инструмента иностранного влияния.

Мировой судья судебного участка Таганского района Москвы наложил очередной штраф на компанию Google. На этот раз причиной взыскания стал отказ интернет-гиганта от локализации персональных данных российских пользователей на территории РФ.

Источник изображения: pixabay.com / 422737

Google признана виновной в правонарушении, предусмотренном частью 9 статьи 13.11 Кодекса об административных правонарушениях (КоАП РФ). Соответствующий протокол составлен Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Как говорится в документах, Google продолжает использовать для хранения персональных данных российских интернет-пользователей базы, находящиеся на территории США и Европейского союза.

Источник изображения: pixabay.com / Inactive_account_ID_249

Указанная статья вводит наказание за невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории России. За данное правонарушение предусмотрено денежное взыскание в размере до 18 млн рублей.

Как сообщает «РИА Новости», суд наложил на Google штраф в 15 млн рублей. Представитель американского IT-гиганта на заседание не явился.