Пост Лукацкого

Помните, в детстве, бывали ситуации, когда у вас взяли поиграть вашу любимую игрушку в песочнице 🧸, а потом оказывалось, что игрушка сломана? А тот, кто ее у вас брал, не признается и валит все на кого-то другого 🫵

Вот такая же ситуация бывает с крупными, особенного государственными или прогосударственными операторами персональных данных, которые жуют сопли 🤠 и не признают утечек, за которые именно они должны нести ответственность. А они ее перекладывают на подрядчиков, пытаясь снять ее с себя. Но извините, господа и дамы, закон четко говорит, что за утечку несет ответственность 👮 оператор (не связи, а персональных данных). И именно оператор в договор/поручение с подрядчиками должен включить все необходимые требования по ИБ. И если ты, как оператор, этого не сделал, то ты виноват вдвойне. Первый раз, когда манкировал своими обязанностями установить требования по защите. А второй - когда пытаешься всю вину свалить на других 👊

Олег (тут и тут) и Ника (тут) уже поделились своими точками зрения на утечку персональных данных у Ростелекома, отметив и некомпетентность оператора (на этот раз связи), назвавшего двухфакторную аутентификацию идентификацией 🤦‍♂️, и использование непонятного термина "чувствительные персональные данные", и нестыковки по времени, и разночтения в позициях госкомпании и Минцифры 🤔, которое вступилось за своего подрядчика, который, как мы помним, отвечает за ЕСИА и портал госуслуг со всеми персональными данными россиян и утечку с которых мне показывает сервис "Защитник" от МТС (надеюсь данные Госуслуг надежно защищены, а все это происки врагов, которые все врут). Я поэтому повторять уже написанное не буду.

Я бы хотел обратить внимание на другой аспект (нет, не на наличие плейбука по работе со СМИ 📰). Почему-то все считают, что если в каком-нибудь чатике выложили некий пробник базы с персональными данными (или даже якобы всю базу), то именно в таком виде она и утекла у нерасторопной жертвы 🪣 Мол, если в утечке из медицинской организации находятся только ФИО и контактные данные, то никакой врачебной тайны и не утекло. И если в банковской утечке показаны только ФИО, то это значит, что сведения о платежных картах 💳 и состоянии счетов находятся под надежной охраной и никуда не утекали.

Нет, дорогие мои. Просто кто-то почистил утечку и выложил только то, что он захотел выложить. А все остальное он оставил для себя, для своих нужд, для продажи, для использования, для... <много разных причин> 🧲 Поэтому разговоры про "никаких чувствительных данных не утекло" - это обычно звиздёж и попытка сделать хорошую мину при плохой игре 🎭, то есть обелить себя. Правда, широкие круги общественности почти никогда не узнают, что же в действительности утекло у пострадавшей стороны; особенно если речь идет о госорганах или госкомпаниях. И поэтому все думают, что ничего страшного не произошло, так как ФИО и контактная информация и так уже давно стали общедоступными. Но, как правило, все же ситуация хуже и всеми невыплывшими наружу данными обогащаются базы данных мошенников, использующих всю это совокупность нам с вами во вред 😱

ЗЫ. Ну и чтобы от поста была польза, напоминаю про два документа - чеклист "Что делать, если вас взломали" и рабочую тетрадь "Уведомление об утечках персональных данных". Все без регистрации и СМС 🤔

#утечка #инцидент

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/ru/alukatsky.com/12121

8.0K viewsJan 23 at 04:40

Помните, в детстве, бывали ситуации, когда у вас взяли поиграть вашу любимую игрушку в песочнице 🧸, а потом оказывалось, что игрушка сломана? А тот, кто ее у вас брал, не признается и валит все на кого-то другого 🫵

Вот такая же ситуация бывает с крупными, особенного государственными или прогосударственными операторами персональных данных, которые жуют сопли 🤠 и не признают утечек, за которые именно они должны нести ответственность. А они ее перекладывают на подрядчиков, пытаясь снять ее с себя. Но извините, господа и дамы, закон четко говорит, что за утечку несет ответственность 👮 оператор (не связи, а персональных данных). И именно оператор в договор/поручение с подрядчиками должен включить все необходимые требования по ИБ. И если ты, как оператор, этого не сделал, то ты виноват вдвойне. Первый раз, когда манкировал своими обязанностями установить требования по защите. А второй - когда пытаешься всю вину свалить на других 👊

Олег (тут и тут) и Ника (тут) уже поделились своими точками зрения на утечку персональных данных у Ростелекома, отметив и некомпетентность оператора (на этот раз связи), назвавшего двухфакторную аутентификацию идентификацией 🤦‍♂️, и использование непонятного термина "чувствительные персональные данные", и нестыковки по времени, и разночтения в позициях госкомпании и Минцифры 🤔, которое вступилось за своего подрядчика, который, как мы помним, отвечает за ЕСИА и портал госуслуг со всеми персональными данными россиян и утечку с которых мне показывает сервис "Защитник" от МТС (надеюсь данные Госуслуг надежно защищены, а все это происки врагов, которые все врут). Я поэтому повторять уже написанное не буду.

Я бы хотел обратить внимание на другой аспект (нет, не на наличие плейбука по работе со СМИ 📰). Почему-то все считают, что если в каком-нибудь чатике выложили некий пробник базы с персональными данными (или даже якобы всю базу), то именно в таком виде она и утекла у нерасторопной жертвы 🪣 Мол, если в утечке из медицинской организации находятся только ФИО и контактные данные, то никакой врачебной тайны и не утекло. И если в банковской утечке показаны только ФИО, то это значит, что сведения о платежных картах 💳 и состоянии счетов находятся под надежной охраной и никуда не утекали.

Нет, дорогие мои. Просто кто-то почистил утечку и выложил только то, что он захотел выложить. А все остальное он оставил для себя, для своих нужд, для продажи, для использования, для... <много разных причин> 🧲 Поэтому разговоры про "никаких чувствительных данных не утекло" - это обычно звиздёж и попытка сделать хорошую мину при плохой игре 🎭, то есть обелить себя. Правда, широкие круги общественности почти никогда не узнают, что же в действительности утекло у пострадавшей стороны; особенно если речь идет о госорганах или госкомпаниях. И поэтому все думают, что ничего страшного не произошло, так как ФИО и контактная информация и так уже давно стали общедоступными. Но, как правило, все же ситуация хуже и всеми невыплывшими наружу данными обогащаются базы данных мошенников, использующих всю это совокупность нам с вами во вред 😱

ЗЫ. Ну и чтобы от поста была польза, напоминаю про два документа - чеклист "Что делать, если вас взломали" и рабочую тетрадь "Уведомление об утечках персональных данных". Все без регистрации и СМС 🤔

#утечка #инцидент