Category: россия

Category was added automatically. Read all entries about "россия".

white

ПД против конкуренции

Новосибирский ФАС заявляет, что
«МТТ незаконно использовал персональные данные физических лиц и направлял в адрес ОАО "Ростелеком" заявления абонентов, содержащие недостоверные сведения о предварительном выборе МТТ в качестве оператора междугородной и международной связи.»
Интимных подробностей нарушения не сообщается, однако нетрудно догадаться. Дефолтный "межгород" идёт через Ростелеком, а чтобы выбрать более дешёвого оператора, абоненту следует проделать некие невырожденные манипуляции. Закон "О персональных данных" лишь затрудняет это оформление и делает смену оператора более геморройной.

Нетрудно понять, что чем труднее абоненту осуществить смену, тем выше цена у дефолтного оператора. Альтернативному же приходится идти на всяческие ухищрения, чтоб заполучить себе абонентов. Иногда – и на нарушения.

Когда вашему покорному слуге звонят из России, я предпочитаю не брать трубку, а перезванивать. Потому что от нас в Россию самый дешёвый оператор берёт 4 руб/мин. А оттуда сюда дефолтные тарифы колеблются в районе 10-50 руб/мин. При этом вам для использования альтернативных каналов надо подавать какие-то заявления или покупать какие-то карточки с пин-кодами и гейтами. А нам – всего лишь набрать двузначный код оператора вместо дефолтного "+". Деньги для альтернативщика при этом списываются с основного баланса. Надо ли упоминать, что у всех трёх мобильных операторов все альтернативные коды одинаковы?

Грустно видеть, как Антимонопольная служба России укрепляет монополизм и препятствует конкуренции.

white

Астральная сертификация

Было дело, ваш покорный слуга дружелюбно покритиковал юридическую наивность аутсорсинговой бухгалтерии "Моё дело". Дескать, сервер у них в Германии, следовательно, данные никто не достанет.

ЗАО "Калуга Астрал" лиц.0442 от 09.02.2006 КИ-0027-001328. В реестре лицензиатов на сайте ФСТЭК действительно значится лицензия на ТЗКИ под № 442, выданная этому ЗАО.

Ныне показали мне ещё один прикол с их сайта. Это так называемый "аттестат соответствия". Официально подтверждает, что чего-то там в натуре соответствует чему надо, зуб даю. Чему же?
«...соответствует требованиям нормативной и методической документации по безопасности информации.»
Соответствие чему подтверждает этот документ? Какой именно документации? Как можно с ней ознакомиться?

Нетрудно догадаться, что под этой "документацией" подразумеваются не ГОСТы, не ФЗ-152, не ПП-330 и не многообразные ведомственные «положения о». Удовлетворить им при хранении бухгалтерии за границей с моделью угроз «маски-шоу в офисе» просто невозможно. Скорее всего, это некая внутренняя бумага за подписью гендиректора, озаглавленная "Документация".

Мне интересно другое. Знатоки тонкостей лицензирования, просветите пожалуйста. Имеет ли право лицензиат ФСТЭК (по ТЗКИ) удостоверять соответствие левым требованиям? И ссылаться при этом на полномочия от ФСТЭКа.

white

Алё, ты где?

Журналисты тут все в мыле ищут какую-нибудь очередную утечку. Очень уж тема популярная. Вот, вчера пришли за комментариями к этому:
«В сети появился сервис, который определяет по номеру мобильного телефона страну, в которой сейчас находится абонент, если телефон включен. Пользователи утверждают, что сервис действительно работает.»
Ну, что сказать? Принципиальной сложности тут нету. Телефон регистрируется в местной сети. Сеть всегда "знает", где телефон зарегистрирован, чтоб работала маршрутизация. Эту информацию нетрудно снять для любого оператора мобильной связи, коих в мире тысячи.

Вспомнился презабавный случай начала 2000-х. Знакомый адвокат, послушав рассказы вашего покорного слуги, собрался съездить на Кубу, отдохнуть с местными любвеобильными мучачами. Жене сказал, что у него сложное дело в Новосибирске. У адвоката действительно было сложное дело в Новосибирске, но он убедил тамошнего подзащитного, что нужна психиатрическая экспертиза, положил его в больницу, а сам – на самолёт и в тропический рай.
Румба
Но настоящие пляски с бубном будут у операторов связи.

Супруга время от времени звонит на сотовый, а наш герой жалуется ей на холодную сибирскую погоду и суровых прокуроров, рассекая при этом в белом кабриолете вдоль синего моря с коричневыми мулатками. Но покрытие сетью связи на Кубе не сплошное. Как-то наш путешественник выехал за его пределы, и телефон потерял сеть. Но регистрация-то в сети осталась. И тут в очередной раз звонит супруга. А ей электрическая женщина на чистом испанском отвечает, дескать, абоненто но посибле. Тут-то всё и раскрылось.

Вашему покорному слуге представляется, что описанное выше – это самая страшная утечка, которая может случиться из-за помянутого сервиса.

Но западная общественность и незападные регуляторы вряд ли с этим согласятся. Есть мнение, что сервис будут запрещать, информацию о текущей регистрации мобильных телефонов – засекречивать, а оператора, который ею торгует – наказывать. Придумают в очередной раз каких-нибудь мифических киллеров, которые гоняются за абонентами по всему миру. Или слепых воров, которым не видно, дома ли хозяин. Или даже не станут утруждаться придумыванием угрозы, а просто так: «в связи с терроризмом, педофилией и нарушением авторских прав, запретить...» И роуминг обратно подорожает.

white

Рейд по верхушкам

В "Правде" пишут правду, в "Известиях" – известия. А чтобы получить то и другое одновременно, надо читать наш уйутненький бложик.
«ФСБ и МВД проводят в Москве спецоперацию по борьбе с торговцами базами данных... Спецоперация против "пиратов" в Москве стартовала в минувшую субботу одновременно на Савеловском, Митинском и Царицынском радиорынках, которые уже давно имеют славу главных центров по торговле секретными данными.»
А теперь послушаем мнение специалистов по утечкам.


— А базы у вас свежие?
— Обижаешь, дорогой! Только что бегали.
Привлечь к ответственности торговцев дисками весьма проблематично, если подходить по закону. Даже административную ответственность по ст.13.11 КоАП (нарушение порядка обработки ПД) должно нести лицо, которое допустило утечку. А гостайны в базах персональных данных не найти. Даже если б она нашлась, не найти умысла на её распространение. Поэтому торговца дисками с БД можно... много чего с ним можно сделать, но это будет не по закону.

При том, торговля дисками с БД обычно совмещается с торговлей фильмами и музыкой. Пиратскими, разумеется. Вот здесь уже стопроцентная статья 7.12 КоАП и пятидесятипроцентная 146 УК. Только продавцы дисков ответственности за нарушение авторских прав не очень-то боятся. Догадываетесь, почему?

Теперь – о сути операции. В цитируемой статье об этом молчат.

Торговля с лотков дисками с БД – это видимые всем проявления утечек. Свершившаяся утечка выходит на этих дисках спустя полтора-два года. А до той поры она продаётся по иным каналам, за другие деньги. Однако, что не видно глазу, не огорчает желудка. А лотки с базами – видимая всем верхушка, которой журналисты очень любят тыкать в нос операторам ПД и властям. Вот, дескать, ваша защита; вот он, ваш закон о ПД; вот ваш надзор, проверки, регистрации, уведомления; вот оно всё; как утекало, так и утекает, как продавалось, так и продаётся.

Надоело это бревно в глазу соответствующим товарищам. И решили его торчащую часть отпилить.

white

Подло, из-за угла

Мало того, что на каждом шагу требуют предъявить паспорт. Его на каждый чих ещё и копируют.

Наш хороший знакомый А. из Чехии рассказал, что у них в европах тоже так принято, но несколько более цивилизованно. Для ксерокопирования паспорта положено спрашивать разрешения "субъекта персональных данных". Если оно не получено, клерк со вздохом берёт ручку и переписывает нужные сведения. А если "субъект" согласен, на паспорт перед копированием обязательно накладывается трафарет, закрывающий фотографию.

Копии с фотографией, очевидно, служат для каких-то особых целей, например, для подтверждения личности в Ebay. А ксерокопии без фотографий – для всякой ерунды, например, чтоб клерк не наврал боссу, что действительно видел предъявленный паспорт.

В противоположность этому, ваш покорный слуга вспомнил эпизод при посещении одного бизнес-центра в Москве. ФЗ "О персональных данных" на тот момент уже действовал.

При входе посетители предъявляют охраннику паспорт, тот кладёт его на конторку перед собой, смотрит и выдаёт гостевую прокси-карточку. Фамилию в журнал почему-то не записывает. И читает паспорт, непременно положив его на поверхность стойки. На весу держать не хочет. Заглянув сбоку, я увидел под верхней полочкой конторки объектив фотосканера. Паспорта, на пару секунд оказавшиеся на конторке, автоматически фотографируются и сохраняются в компьютере. Посетители об этом даже не догадываются.



ДОБ.1. Да, это законно.

white

Налетай, подешевело

Некоторые полагают, что сведения о мерах защиты конфиденциальной информации должны тоже быть конфиденциальными. К принципу "security through obscurity" ваш покорный слуга относится прохладно. То есть, не ждёт от него существенной прибавки к защищённости.

Прибавки – нет, а вот ущерб таки может случиться. Полюбуйтесь на вакансию:
«Администратор защиты информации
Компания "Сухой", Москва
от 24 000 до 28 000 руб.»
Ну, мужики, ну, на что вы надеетесь с такими ценами? На какую такую защиту информации? На каких таких защитников? Это же просто приглашение для гражданина Гадюкина: присылай своих агентов к нам внедряться; приходи и подкупай наших админов.

Вот такую информацию о защите информации я бы действительно постарался скрыть от потенциального противника.

white

Российские утечки за первое полугодие 2010

Представляем почтеннейшей публике российские утечки за первое полугодие 2010, упомянутые в СМИ.

Всего утечек за этот период зафиксировано 356, из них к России относятся 16 (4.5%); это чуть меньше, чем было (22) в первом полугодии 2009.

25.01.10 ПД граждан использованы для подложной жалобы
27.01.10 Умышленная Московские власти пытаются пресечь утечку информации о смерти граждан. Этими данными злоупотребляют похоронные агенты
16.02.10 Умышленная Злоупотребления персональными данные на выборах в Тамбовской области. Двое отстранены от участия в выборах
27.02.10 Нарушения в сфере обработки ПД в Центре занятости Кирова
01.03.10 Умышленная Нарушение правил обработки ПД в Ульяновской области. Установлен факт разглашения конфиденциальных сведений о состоянии здоровья Министерством здравоохранения области
05.03.10 Умышленная Неправомерная передача ПД должников в Казани
01.04.10 Случайная На сайте Росрыболовства в открытом доступе находятся ПД граждан
02.04.10 Умышленная В Якутии предотвращена утечка более 37 тыс ПД абонентов из ОАО "Сахателеком". Злоумышленный инсайдер пытался похитить данные
12.04.10 Умышленная Незаконная публикация ПД в Татарстане - правовой курьёз
28.04.10 Утечка базы миноритарных акционеров Сбербанка
12.05.10 Умышленная Махинации с ПД в Сургутнефтегазбанке
24.05.10 Случайная Разглашение ПД должников в г.Камышин Волгоградской области
31.05.10 Умышленная Нарушения при создании межведомственной базы ПД в Пензе. Выявлено в результате внеплановой проверки РКН
08.06.10 Умышленная Использование утечки базы медицинских ПД для обмана пенсионеров
30.06.10 Умышленная На рынке появилась база ПД из 847 000 резюме

Кто сможет дополнить перечень, буду признателен.

Следует заметить, что некоторую долю инцидентов составляли нарушения, выявленные в ходе проверок Роскомнадзора. Незначительные нарушения мы в базу не вносили, но только такие, которые можно приравнять к утечкам по своим последствиям.

white

Доступность vs. целостности

Помню, как-то на одном комитете, рабочей группе или комиссии разрабатывали мы очередные "Правила оказания услуг такой-то разэдакой связи" по заказу Минсвязи.


Кто может противостоять инопланетянам? Чудовища! Отечественные.
И тут выступает один из членов. «В проекте документа, – говорит, – по странному недоразумению отсутствует совершенно необходимый пункт. О том, что центр управления сетью оператора обязан располагаться на территории РФ.» Все члены рабочей группы возрастом 45 и выше согласно закивали, всем своим видом показывая, что упустить такой естественный пункт можно было лишь по чистому недоразумению, а обсуждать тут нечего. Более молодая фракция коллектива состроила удивлённые физиономии и попросила обоснований. Поставленный ими вопрос "Зачем нужен этот пункт?" был сочтён старшими товарищами неуместным и даже где-то кощунственным. «Вы что, не понимаете?!» – таков был их аргумент. И он, как ни странно, подействовал.

Правда после этого спохватился один из членов и сообщил, что их предприятие использует спутники зарубежных партнёров. А управлять ими иностранцы предпочитают сами, со своей территории и ни за что не согласятся перенести свой ЦУ или даже построить дублирующий на территории РФ. Но и он в конце концов покорился вышеприведённому железному доводу большинства. А ему пообещали "решить вопрос в рабочем порядке".

Вскоре после официального принятия данных "Правил" руководство нашего провайдера заказало проект резервного центра управления сетью. Рассматривались варианты "Лондон" и "Стокгольм"; вариант "Новосибирск" вычеркнули, не глядя.

white

Российские утечки за второе полугодие 2009

Представляем вам краткий перечень (со ссылками на новости) инцидентов за июль-декабрь. Такие же данные за первое полугодие собраны у нас здесь.

Всего за 2009 год в России 30 инцидентов (22 за первое полугодие + 8 за второе), а за весь 2008-й было всего 6. По динамике видно, что тема явно "остыла". Скорее всего, в 2010-м будет 20-25 сообщений.
07.07.09 Умышленная Инсайдеры пытались продать базу абонентов питерского провайдера "Вэлл-ком"
14.07.09 Случайная Раскрытие персональной информации на сайте Ассоциации профессионалов в области ИБ (RISSPA)
07.07.09 Умышленная В Калининграде об уволенных за нарушения водителей и кондукторов теперь можно узнать на специальном сайте
21.07.09 Случайная Департамент образования Самары вывесил на своем сайте ПД 28676 несовершеннолетних
28.07.09 Случайная На официальном сайте камчатского правительства размещены списки ок.8000 граждан, в т.ч. с медицинскими ПД
30.07.09 Умышленная В Интернете появились учетные записи более 130 тысяч пользователей "Вконтакте"
02.09.09 ? В Лесосибирске осужден студент, разместивший на сайте адреса и телефоны 50 000 жителей города
24.12.09 Случайная Прокуратура потребовала наказать педагога, выдавшего третьему лицу персональные данные ученицы

Будем признательны за дополнения.


white

Сайт с подписью и печатью

Из Новосибирска пишут, что
«новосибирские нотариальные конторы стали предоставлять новую услугу "по осмотру сайта" для подтверждения факта размещения компромата в Интернете... Нотариус своими глазами видит выложенный на сайте материал и выдает клиенту соответствующую бумагу с печатями. Такое доказательство... в суде будут приниматься без проволочек.»

Журналисты, как всегда, кое-что напутали. Подобная услуга существовала всегда. Но не у всех нотариусов. Многие отказывались заверять содержимое веб-сайтов из-за некоторой правовой неопределённости. Например, в Москве известны лишь три нотариуса, согласные выполнять подобное нотариальное действие. Хотите, ищите их сами, не хотите, уплатите посреднику.

Несмотря на очевидную (для нашего брата информзащитника) возможность ввести нотариуса в заблуждение и подменить ему веб-страницу, пока никто этого не проделал. А суды принимают нотариально заверенные веб-страницы "на ура". Судьи вообще очень любят бумаги с печатью нотариусов, ставя этот вид доказательств очень высоко.

Несмотря на то, что закон требует присутствия ответчика при проведении нотариального осмотра, ответчиков-то (сайтовладельцев) ни разу не приглашали. По понятной причине.

Ваш покорный слуга давно ждёт первого прецедента (или заказа на его организацию), когда подобное нотариальное удостоверение веб-страницы будет впервые оспорено и опровергнуто путём заверения у нотариуса заведомо несуществующей или заведомо невозможной веб-страницы. Даже приготовлен ответный ход – протокол нотариального осмотра с участием специалиста. До сих пор специалисты не приглашались, нотариус самостоятельно разбирался со всеми браузерами, прокси, DNS-ами и настройками.

Будем надеяться, что инициатива новосибирских нотариусов подвигнет их московских коллег более широко внедрить эту востребованную услугу.