Как мы провели день защиты персональных данных 2019

Тэма, якой прысвяцілі свой выступ прадстаўнікі аб’днання Фаланстэр разам з экспертамі Школы лічбавай бяспекі DSS375, называлася “Data detox”, што азначае пазбаўленне ад таксічных дадзеных. Зараз ні для каго не сякрэт, што ўсе дадзеныя, якія мы размяшчаем у сеціве, нават пры выдаленні застаюцца там назаўсёды. Гэта датычыцца і фотачак у сацыяльных сетках, і інтэрнэт-старонак, па якіх мы сёрфім. Гэтыя дадзеныя ў будучыні могуць так ці інакш на нас паўсплываць (і вельмі часта—з негатыўнага боку). Спікеры прапанавалі перш за ўсе ставіцца да прыватнасці як да каштоўнасці, а таксама вызначылі пэўны практыкум, як сябе паводзіць.

Напрыклад, першы прынцып “Даследуй” раіць нам задацца пытаннем “Што ведае пра мяне пашукавік?” ды паспрабаваць знайсці свае імя і твар у сеціве. Таксама трэбы пачэкаць, якімі прадуктамі гугла мы карыстаемся, каб далей пастаянна утаясамліваць “Калі я ізноў карыстаўся гуглом, значыць ён ізноў сабраў пра мяне інфармацыю”. Другі прынцып “Усё ў адным месцы” кажа аб тым, што зручна трымаць ўсе дадзеныя (паролі і г.д) у адным месцы, але тут працуе абр’атная прапарцыйнасць: чым зручней, тым небяспечней. Прынцып “Будзь сацыяльным” раіць даведацца, што пра мяне думае фэйсбук, ды пачэкаць настройкі прыватнасці. Варта памятаць пра свой асабісты пошук, бо інфармацыя, якая захоўваецца у браўзеры, гэта унікальны адбітак. Яе можна паглядзець на сайце panopticclick.eff.org. Варта ўжываць рэжым “інкогніта”, але трэба разумець, што ён пазбаўляе следа толькі ў браузеры, а ніяк не для сайта, які чалавек наведвае. Карысна будзе заблакаваць браўзерныя трэкеры і дадаць пашырэнне Privacy Badge.

Частка“панопцік” у назве ссылкі, прыведзенай вышэй, магчыма, не выпадкова, таму што гугл мае меркаванне аб кожным з нас. “Гугл думае, што я дамахазяйка”і ў залежнасці ад гэтай інфармацыі да нас прыхозіць ня толькі кантэкстная рэклама, але і можа адрознівацца цана страхоўкі (пакуль што ў заходніх краінах). Нават калі перапісвацца у мэсэджэры аб сваёй мары набыць машыну, потым у кантэкстнай рэкламе яна з’явіцца. Канешне, ня трэба схіляцца да канспіралагічных думак, але паставіць Лінукс будзе добрым рашэннем.

Сфера защиты персональных данных (ПД) разрознена, но есть предпосылка регулирования отношений, связанных с персональными данными.

На данный момент НПА, сферой регулирования которых является ПД:

На данный момент регулируют некоторые НПА:

• - ЗРБ от 10.11.2008 «Об информации, информатизации и защите информации»;
• - ЗРБ от 21.07.2008 «О регистре населения»;
• - Указ Президента РБ от 16.04.2013 «О некоторых мерах по совершенствованию защиты информации»;
• - Приказ Оперативно-аналитического центра при Президенте Республике Беларусь от 30.08.2013 «О некоторых вопросах технической и криптографической защиты информации»;
• - Указ Президента РБ от 10.02.2010 «О мерах по совершенствованию использования национального сегмента сети Интернет».

Законопроект о ПД регламентирует в целом права и обязанности субъектов ПД, меры обеспечения защиты ПД. Но на данный момент существуют многие затруднения, связанные с ПД, в частности:

• - нет специальных категории ПД;
• - законодательством не установлены специальные условия для целей осуществления трансграничной передачи ПД ;
• - Беларусь не является членом Совета Европы и не присоединилась к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера;
• - Беларусь не входит в перечень государств, обеспечивающих адекватную защиту прав субъектов ПД, вследствие чего безбарьерная трансграничная передача ПД в РБ затруднена.

В законопроекте о ПД планируется:

• - выделение специальных категорий ПД;
• - введение единого термина «обработка ПД»;
• - введение термина «трансграничная передача ПД»;
• - цели сбора, обработки, распространения, предоставления ПД должны быть обоснованы и конкреты, если же не соответствует определенным целям, то должна быть запрещена
• - и многое другое

Выступление продолжил Алексей Евсей, который имеет уникальный опыт работы в правоохранительных органах (около 16 лет), где занимался борьбой с экономическими преступлениями. На реальных кейсах он продемонстрировал, что единственным способом найти нужную информацию о человеке является интернет. Иногда в этом есть и позитивная сторона — можно по осколкам информации найти человека и вернуть ему забытый паспорт (о чем он даже и не подозревал). Но анализ некоторых ситуаций показывает, что кто-то может знать о нас больше и использовать эти данные в своих целях. Например, новогоднее поздравление от банка, пришедшее на электронную почту клиента (реальный кейс), содержит «итоги года»: «мы выпустили карточки, общая длина которых больше высоты Эйфелевой башни почти в 70 раз, одна из которых даже побывала в самой высокогорной столице—г. Ла-Пас (Боливия)», «а еще наши клиенты съели 4,5 млн пицц:)». В этой ненавязчивой рекламе, которую можно неосознанно пробежать глазами или отправить в спам, есть одна важная вещь — нарушение приватности. Банк должен выпустить ту услугу, которую у него заказали — но отделу маркетинга эти данные передавать нельзя. Иначе банк не только знает, ели ли вы пиццу и где были на каникулах, но и использует эту информацию в своих целях. Важно осознанно относиться к любой информации, которая поступает к нам из любых источников. Например, в социальной сети друг ваших друзей (чему вы начинаете доверять, но на самом деле не стоит) может предложить «Найти Павла, чтобы передать ему ракушку из Иерусалима». Лучшим вариантом будет использовать словесный барьер: «Для получения информации об интересующем Вас лице идентифицируйте себя». И чаще всего запрашивающий информацию пользователь тут же уходит в небытие…

Ключевые триггеры, когда ввели общий регламент:
1. страх больших штрафов;
2. доступ к площадкам (play market, app store, booking и др.);
3. запрос от корпоративного клиента из ЕС;
4. повысить добавочную стоимость ПО Data protection by default.

GDPR становится мировым законом. Индия, Бразилия приняли свои национальные законы аналогично GDPR, другие страны вполне вероятно в течение 5-6 лет примут свои аналогичные законы.

Принципы приватности GDPR:
1. Data protection by design and by default (ст. 25)
2. Data protection impact assessment (ст. 35)

В целях показа исполнения общего регламента многие компании, в том числе транснациональные компании, показывают надзорным органам исполняемость общего регламента. Из-за этого многие компании, сотрудничающие также с клиентами из ЕС, разрывают партнерства с другими организациями, которые не соблюдают или не подходят под общий регламент.

На выступлении «Где поучиться: сертификации в области информационной безопасности» Сергей Воронкевич рассказал о том, какие есть профессии в инфоприватности, какие есть персональные сертификации, из чего состоят блоки по обучению сотрудников. General Data Protection Regulation – европейский закон, который в том числе обязывает белорусские компании ему следовать, поскольку они также работают с европейскими данными. Статьи GDPR могут быть реализованы посредством трех профессий: профессионала (изучает правила и системы защиты персональных данных), менеджера (занимается внедрением и поддержанием системы защиты персональных данных) и технолога (отвечает за спроектированную приватность, т.е. разработку систем по принципам privacy by design). Сергей Воронкевич представляет компанию Data Privacy Office, которая этому обучает. Знания, полученные на курсе, участники затем могут подтвердить в одной из международных сертификаций (CIPP, CIPT). Больше подробностей в презентации:

Пасля перапынку ды дыскусіі адбыўся выступ Франака Вячоркі “Лічбавая прыватнасць у ЗША: штармавое папярэджанне ад Крэмніевай Даліны да Капітолія”, дзе ён распавёў пра рэальныя кейсы, якія адлюстроўваюць, журналістска-палітычнага боку. што адбываецца з прыватнасцю ў Штатах. Так, амерыканская мадэль абароны асабістых дадзеных мае назву patchwork, што азначае “латка”. Калі нешта здараецца, то выкарыстоўваецца нібыта яна, і вельмі часта у Амерыцы ўзнікаюць беспрэцэндэнтныя справы. Напрыклад, уцечка з social security number, ахвярамі сталі каля 143 мільёнаў людей. Яна закранула сістэму страхавання ЗША (бо нумар сацыяльнага карткі быў зліты). Але толькі каля 53 працэнтаў выкарыстальнікаў увогуле заківавіліся гэтай справай. Калі казаць пра самыя буйныя уцечкі за апошнія 10 год у ЗША (цікава, што беларусы вядомыя там у якасці добрых хакераў і пачворкераў), то адной з самых знакамітых быў выпадак з Yahoo!, якую зрабіў украінец Аляксей Белан у 2014 годзе. З мэтай дастаць дадзеныя 11-ці расейскіх палітоўцаў яму прыйшлося выкачаць 500 мільёнаў іншых аккаўнтаў, якія былі зліты ў сеціва. Гэта справа разглядалася ў якасці гіперкейса ў ЗША, а Yahoo! неўзабаве прыйшоў у заняпад. Чаму мы пра гэта ня ведалі раней? Таму што праводзілася раследаванне. Вялікая праблема кібератак — іх атрыбуцыя, бо яны ня маюць межаў. Да таго ж вельмі цяжка даказаць прыналежнасць. Кейс Белана — адзін з нямногіх, дзе яе удалося даказаць. Але годам раней адбыўся іншы кейс з тым жа Yahoo!, дзе было зліта каля 3 мільярдаў паштовых скрынь — і нікога не змаглі абвінавачыць. Другой праблемай з’яўляецца пытанне прапарцыйнага адказу. Калі ўцечка адбываецца па шляху “бізнэс супраць бізнесу” (нехта зліў штосьці пра свайго канкурэнта), то пакаранне магчыма. Але што адбываецца у сітуацыі “дзяржава супраць бізнэсу”? Yahoo! ня можа паракаць расейскае ФСБ, з нагоды якога працаваў Белан. Але калі кранацца іншага цікавага кейса — “Guadians of Peace” пры падтрымцы Паўночнай Карэі злілі у сеціва асабістую інфармацыю пра прадстаўнікоў Sonypicturesі іх сем’і — то Барак Абама тады погнозіў ім адпаведным адказам, а значыць дяржава ў гэтым выпадку ўмяшалася ў сферу бізнеса, што адбылося ўпершыню ў гісторыі кібер-атак у ЗША і было хутчэй выключэннем. І апошняе — існаванне таго факта, што падтрыманне бязпекі ўсё ж такі з’яўляецца даражэйшым, чым наступствы за яе парушэнне. Увогуле, складанасць сітуацыі з бяспекай данных па амерыканская мадэлі трэба асэнсоўваць з пазіцый суіснавання трох секраторў: джяржавы, бізнеса і трэцяга сектару. Дзяржава па гэтай мадэлі ня умешваецца, а дадзеныя — гэта перш за ўсё тавар.

Привлечение инвестиций:
- займы;
- конвертируемые займы;
- финансирование в капитал.

Прохождение legal due diligence:
-проверка финансового состояния, долгов, займов;
-корпоративная история и право собственности на доли/акции, наличие или отсутствие залогов и обременений;
-интеллектуальная собственность и ее оформление;
-2018: персональные данные (с вступлением в силу GDPR).

ПРАКТИКА:
Заметные сделки:
Mangrove capital partners -> Flow -> HAXUS

КОНТЕКСТ:
-большие объемы ПД;
-наличие чувствительных ПД;
-информационная безопасность;
-обработка ПД несовершеннолетних;
-реализация прав субъектов ПД;
-трансграничная передача данных.

Detail if the status of the company's GDPR compliance program (or confirmation that the company is GDPR compliant).

Полное описание GDPR стратегии или реализованных мер:
-обновленные процессы и политики (включая основания обработки ПД)
-механизмы по реализации прав субъектов ПД (удаление, исправление, экспорт и т.д.);
-меры по обеспечению информационной безопасности;
-DPO, EU representative;
-DPAs, трансграничная передача ПД;
-иное.

После небольшого перерыва мы погрузились в тему образования детей вместе с Ольгой Корсун благодаря ее докладу «Дети в интернете. Как вырастить грамотного пользователя». Интернет часто несет в себе риски, которым подвергаются наши дети: интернет-зависимость, кибербуллинг, недопустимый контент, а также влияния цифровой репутации и сбора информации о пользователях (что выводит нас к проблеме персональных данных). Если раньше предписания для детей были предельно понятными (вроде «Соблюдай правила поведения на льду!»), то сейчас родителям необходимо повышать свой уровень интернет-грамотности и безопасности, чтобы понимать поведение и выбор своих детей в интернете. Многие ли знают самые популярные приложения для подростков и то, какие данные благодаря никогда не читаемому пользовательскому соглашению они собирают?. Также это важно чтобы быть в состоянии защитить их. Мы приходим к необходимости осуществления родительского контроля за поведением детей в интернете, однако он обязательно должен строиться на доверительных отношениях (не так, как во 2-й серии 4-го сезона «Черного зеркала»). Эффективно будет выработать с ребенком соглашение по использованию интернета, которое обязательно должно включать в себя пункт о том, что ребенку всегда должна быть предоставлена возможность поговорить с родителями об отрицательном опыте, полученном в интернете. Важным также является защита персональных данных ребенка в интернете. Согласно исследованиям, немногие пользователи знают правильный ответ на вопрос (да и всю его глубину) «сколько хранится информация в интернете?». 40% детей разглашают конфиденциальные данные о себе или своей семье в интернете, а ведь они могут быть использованы злоумышленниками. Даже самые простые правила, объясненные детям (всегда выходить из своих аккаунтов при использовании сторонних носителей или никогда не заполнять полностью личные профили) помогут обезопасить их. Повысить свои знания родители могут с помощьюа netka.by — сайта, посвященного интернет-безопасности Беларуси.