DRC LAW: IT-юристы
3.26K subscribers
1.31K photos
12 videos
14 files
2.57K links
Услуги IT-юристов с гарантией.
Решение всех вопросов правового характера для бизнесов в сферах IT и Телеком, пользователей и владельцев веб-сайтов.
Ваш компас в киберправе!

https://drc.law

Консультация: @digitalrights_bot
Download Telegram
Как известно, русские хакеры для современного западного обывателя виноваты если и не во всём, то в чуть меньшем количестве вещей, чем Путин, Шойгу, Петров и Боширов. И немудрено - ведь, как говорила героиня одного культового фильма, «наша слава бежит впереди нас».

Но кто такие русские хакеры на самом деле, и как начинался их путь? Ответ на этот вопрос попытался дать известный журналист Андрей Лошак, сняв документалку, которую мы вам сегодня предлагаем как #контент_выходного_дня

https://www.kinopoisk.ru/series/4742511/?utm_referrer=www.google.com

Смотрите, думайте и сами делайте выводы - именно к этому мы в DRC всегда призываем как наших клиентов, так и наших подписчиков во всех социальных сетях.

#хакеры #документальные_фильмы #контент_выходного_дня #андрей_лошак #рекомендовано_DRC
С небольшим опозданием (ну потому что три выходных подряд сами себя не отгуляют 😉) выкладываем наш октябрьский IT-дайджест. Не проходите мимо: там есть про систему социального рейтинга, запрет VPN, "бунт" российских банков против силовиков и другие интересные вещи.

#IT_digest #monthly_digital #новости_от_DRC
Forwarded from CyberSar
Охота за VPN началась. Смогут ли заблокировать все?

Интересно то, что VPN никогда не был под запретом по российскому закону. Однако, проблемы с их доступностью наблюдались последние лет 10.

До 2023 года большинство VPN провайдеров блокировалось по заочным решениям региональных судов и внесудебным требованиям прокуроров. Суды в своих решениях ссылались на ст.15.1 ФЗ “Об информации” и обосновывали это тем, что благодаря таким сервисам можно получить неограниченный доступ к Книге единобожия Мухаммада ибн Сулейман ат-Тамими и другим запрещенным экстремистским материалам. Тем не менее, это была весьма вегетарианская блокировка, ведь провайдеры по требованию Роскомнадзора блокировали лишь сам веб-сайт, на котором вы могли скачать приложение. Однако, если вы скачали его из AppStore и Play.Market, то могли им беспрепятственно пользоваться.

Напомню, что 01 ноября 2017 года вступил в силу Федеральный закон №276-Ф, который был также известен в СМИ как “Закон о запрете VPN”. Именно в нем был определен порядок взаимодействия и блокировки VPN-сервисов, анонимайзеров, прокси, который отказываются подключаться к единому реестру РКН и фильтровать сайты и сервисы, признанные незаконными в РФ. Таким образом, в действующее российское законодательство была введена специальная норма (ст. 15.8 №149-ФЗ) для взаимодействия с VPN-сервисами и ограничения доступа к таким сервисам, которые после получения уведомления от РКН не исполняют российский закон. Однако, норма оказалась такой неповоротливой в правоприменении (требовала взаимодействие РКН с органами ОРД, ФСБ, а также с самими платформами), что она практически не применялась.

Вместо этого власти начали пробовать другие внесудебные и более эффективные правовые нормы для блокировки VPN. Так например, во время блокировки Telegram, РКН блокировал сервис TgVPN , ссылаясь на решение Генпрокуратуры, согласно которому заместитель Генерального прокурора Гриня 16.04.2018 в своем требовании просил РКН “в случае копирования указанных экстремистских материалов на других ресурсах, либо создания “зеркал” перечисленных страниц, принимать меры по ограничению к ним”.

Необходимо отметить, что исходя из общего принципа права “Lex specialis derogat generali” в случае конкуренции норм общего (generalis) и специального (specialis) характера предпочтение при толковании и применении должно отдаваться специальным нормам, однако РКН и суды это игнорируют.

С 2023 года после внедрения ТСПУ на узлы операторов связи, система блокировок в России стала куда жестче. Теперь операторы порой даже не знают, что с помощью ТСПУ РКН вообще делает в их сетях. Помимо старой доброй блокировки по IP и доменам, теперь РКН может блокировать по разным протоколам, чем, как мы видим, он активно сейчас и и занимается. И в этом ему помогают его дочки ГРЧЦ и ЦМУ ССОП.

Мы уже наблюдали блокировку сервисов на открытом протоколе OpenVPN, фиксировали блокировку WireGuard и думаю в ближайшее время увидим активные попытки блокировки протокола Shadowsocks и других обфускационных современных протоколов.

Это будет еще долгая борьба снаряда и брони, в которой вряд ли удастся заблокировать все.
В противном случае придется лишь выключать интернет, на что, конечно, власти при всем желании пойти не готовы. Однако в ходе этого технологического противостояния полетит много щепок, будет очень много сопутствующего ущерба, за который никто не ответит.

Важный принцип “сетевой нейтральности” был отменен и заменен куда более соответствующим нынешнему курсу принципом “эффективного использования”. Эффективность тех или иных протоколов и технологических решений, которые могут быть представлены пользователям, в этой концепции, конечно же, определяет государство, управляющее суверенным сегментом интернета, в котором такие технологии применяются. Так что блокировать будут нещадно. Расстрельные списки уже готовы. Они выше.

#vpn #анонимайзеры #приватность #свобода_слова #цензура #censorship

@cybersarik

➡️ https://www.forbes.ru/tekhnologii/500334-vne-zony-dostupa-zdat-li-ot-vlastej-polnoj-blokirovki-vpn-servisov
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
И снова о биометрии: что ждет нас впереди?

Согласно нацпроекту "Экономика данных", к 2030 году ожидается более чем двукратный рост регистраций россиян — до 35 млн с нынешних 16,2 млн — в Единой биометрической системе (ЕБС). При этом российские банки уже располагают как минимум 70 млн биометрических слепков, но имеются проблемы с передачей биометрии в ЕБС.

Эксперты, в частности, указывают на проблемы с передачей биометрии в ЕБС, риски уязвимостей и централизацию данных. По их словам, жесткое регулирование биометрии и консолидация ее в руках одной организации могут помешать развитию новых сервисов.

Закон предполагает, что использовать биометрию могут только аккредитованные Минцифры организации. Сейчас таковых насчитывается всего шесть: Альфа-банк, ВТБ, Россельхозбанк, Ак Барс Банк, Сбербанк и «Почта Банк» (при этом последние два аккредитовались только на минувшей неделе).

Круг компаний, которым разрешена обработка биометрических данных, сейчас значительно сократился: теперь только те компании, которые получили аккредитацию, могут работать с биометрией, рассказала Forbes руководитель практики защиты персональных данных юридической фирмы DRC Ольга Захарова.

А мы хотим напомнить слова нашего управляющего партнёра Саркиса Дарбиняна о том, что "любая биометрическая идентификация - это безусловное зло, если она не будет прозрачна, понятна и применяться с большим количеством оговорок. <...> это кибероружие против приватности. Технология, без должного контроля, уничтожит границу между онлайном и оффлайном, и сделает жизнь любого и каждого человека совершенно неприкрытой для третьих глаз". И забывать об этом не стоит никому из нас.

#новости_от_DRC #биометрия #ЕБС #комментарии_экспертов
Обернитесь, маэстро штраф: Госдума наконец приняла резонансный закон

Депутаты Госдумы приняли в третьем чтении закон об увеличении штрафов за нарушения при обработке персональных данных. Речь идет о размещении сведений личного характера в единой биометрической системе и на других информационных ресурсах, выполненном без письменного согласия или с несоблюдением законов.

Согласно проекту, штрафы составят: от 10 тыс. до 15 тыс. рублей для физических лиц; от 100 тыс. до 300 тыс. рублей – для должностных лиц, от 300 тыс. до 700 тыс. рублей – для юридических лиц. За повторное нарушение штрафы могут доходить до полутора миллионов рублей, передает РИА Новости.

Да, все правильно: это пресловутый закон об оборотных штрафах, принятием которого бизнес пугали так долго. Теперь процесс официально запущен и на законодательном уровне, но поможет ли это в борьбе с утечками?

Спойлер: почти наверняка нет, но надо же и депутатам как-то перед Новым годом развлечься

Самое интересное будет, конечно, с началом правоприменительной практики. Как писал наш управляющий партнер Саркис Дарбинян, «готово ли будет государство выпороть само себя, и какую нам, обществу, это даст пользу если суммы взысканных штрафов будут перетекать из бюджета госкомпаний в. бюджет самого государства, которое ему эти же бюджеты и выделяет?»

#новости_от_DRC #оборотные_штрафы #утечки #законы #персональные_данные
Forwarded from DRC Qazaqstan
​​​​Положения закона о кибербезопасности цифровых продуктов (Cyber Resilience Act, CRA) были согласованы Европарламентом и Советом Евросоюза

Документ предусматривает ввод обязательных требований по кибербезопасности для всех продуктов и программного обеспечения на рынке ЕС. К продуктам с разной степенью риска в области кибербезопасности будут предъявляться различные требования (то есть, чем опаснее потенциальные риски, тем эти требования будут выше).

✓ Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
✓ Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту. 
✓ Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).

✓ Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
✓ Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.

Закон будет применяться ко всем товарам, которые прямо или косвенно подключены к какому-либо другому устройству или сети передачи данных.

На сегодня к части продуктов на рынке Европы — автомобилям, медицинскому оборудованию и продукции аэрокосмической отрасли — уже применяются подобные требования. Закон призван заполнить пробелы и сделать законы в области кибербезопасности более взаимосвязанными.

CRA вступит в силу на 20-й день после его публикации в официальном журнале ЕС. 

У организаций, на которые распространяется действие CRA, будет 36 месяцев, чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.

Также установлен и более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.

#ЕС #Евросоюз #кибербезопасность #новости_oт_DRCQ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Подходит к концу 2023 год, а это значит, что пришло время подводить итоги и ставить цели на новый 2024-й.

Минувший год оказался весьма богатым на изменения в цифровом праве. Многие вопросы были разрешены, но ещё больше их так и осталось неразрешенными - или же породило новые вопросы.

Блокировки веб-ресурсов, участившиеся в этом году, ставят бизнес на паузу, что влечёт финансовые потери для собственника. Введение административных штрафов за отсутствие или нарушение требований к маркировке интернет-рекламы - совершенно новый, неизвестный ранее риск, который осознали ещё далеко не все участники рынка. И это лишь малая часть проблем, с которыми уже сейчас сталкиваются отечественные бизнесмены.

Мы и в 2024 году будем стремиться реализовывать для наших клиентов самые лучшие юридические практики и решения в сфере IT.

Желаем вам в наступающем году покорения новых вершин в мире цифрового права, вместе с DRC Group! Помните, что оставаясь с нами, вы всегда будете под надежной защитой команды профессионалов!

С НОВЫМ ГОДОМ!


#2024_год #новый_год #поздравления #пожелания #DRC_Group
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy Day 2024 — большой разговор об ИИ и новых вызовах для нашей приватности

Вот уже шестой год подряд к отмечаемому в январе Международному дню защиты данных приурочена международная конференция Privacy Day, посвященная приватности, защите персональных данных и охране нашей с вами частной жизни.

Главная тема Privacy Day 2024 звучит как «AI и новые вызовы в приватности». Организаторами конференции выступят совместно юридическая фирма Digital Rights Center и Privacy Accelerator. Среди партнёров в этом году - Digital Rights Center Qazaqstan, Forklog, Eurasian Digital Foundation, Open Data Armenia и многие другие организации и компании, защищающие приватность и цифровые права пользователей на всём Евразийском пространстве.

Организационно Privacy Day 2024 будет поделена на три трека: «Проблемы приватности в бизнесе», «Защита частной жизни граждан и их цифровых прав», «Технологические тенденции».

Тон всей конференции задаст большая панельная дискуссия о проблемах приватности, которые стали очевидны с развитием искусственного интеллекта и нейросетей. С общей программой и списком спикеров можно ознакомиться на официальном сайте https://2024.privacyday.net/

Кроме того, состоится презентация новых проектов и бизнес-стартапов. А юристы DRC Qazaqstan с площадки в Алматы расскажут про ограничения VPN, шатдауны и нарушения прав интернет-пользователей в Казахстане и Центральной Азии. Запланирован и круглый стол с участием регуляторов из Казахстана, Кыргызстана, Армении, Грузии и других стран.

Начало Privacy Day 2024 запланировано на 10:00 по московскому времени 29 января 2024 года. Всё мероприятие пройдет в онлайн-формате и будет транслироваться на YouTube. Для слушателей участие абсолютно бесплатно и не потребует никакой дополнительной регистрации.

Присоединяйтесь к нам, будет интересно!

#privacyday2024 #анонс #приватность #конференции #ИИ #новости_от_DRC
Данные 66 тысяч пользователей Trezor оказались в открытом доступе

Компания Trezor сообщила об утечке данных, произошедшей 17 января 2024 года. Злоумышленники получили несанкционированный доступ к стороннему порталу технической поддержки, в результате чего могла оказаться раскрытой информация о 66 000 пользователей, взаимодействовавших со службой поддержки Trezor.

Атака затронула email-адреса, номера телефонов и другую личную информацию, хранившуюся в взломанной системе. Криптомошенники связывались с пользователями, чтобы обманом вынудить их выдать seed для восстановления доступа к кошельку.

При этом, хотя пока не обнаружено никаких доказательств компрометации цифровых активов пользователей, но представители компании тем не менее уведомили всех потенциально затронутых пользователей и предупреждают их о начавшихся фишинговых атаках.

В Trezor напомнили, что пользователи их аппаратных кошельков никогда и ни при каких обстоятельствах не должны раскрывать свою seed-фразу кому бы то ни было. Эта информация является конфиденциальной и предназначена только для самого пользователя кошелька.

При этом, добавим от себя, сами ключи никогда не покидают аппаратный кошелек. Если ключ может покинуть аппаратный кошелек, доверять такому кошельку нельзя, он будет ничем не лучше программного кошелька на телефоне или ноутбуке.

#взлом #утечка_данных #новости_от_DRC #Trezor #аппаратные_кошельки #криптомошенничество
Please open Telegram to view this post
VIEW IN TELEGRAM