📱Cybersecurity: Большинство уязвимостей — это не “сложный хак”, а вполне банальные ошибки.

РЕГИСТРАЦИЯ

📌 По данным практики пентестов, значительная часть взломов происходит из-за:

🟡открытых портов, о которых “забыли”;
🟡слабой логики авторизации;
🟡простых инъекций, которые никто не проверил

И да — это встречается даже в крупных сервисах.

Поэтому мы сделали практикум по пентесту сайта (cyber + legal) — без воды и “страшных слов”, а с реальной практикой.

Что будет:

🍋‍🟩посмотрите, как реально сканируют инфраструктуру;
🍋‍🟩поймёте, как находят уязвимости;
🍋‍🟩сами попробуете провести базовые атаки;
🍋‍🟩увидите результат своими руками (а это всегда самый сильный инсайт)

📄Формат: оффлайн
📍Место: 2-я Брестская, 48, 13 этаж. Офис наших друзей из hh.ru
🗓Дата: 24 апреля 19:00

МК ПТ | Cyber in Privacy | МК МУ

🔡🔡 Мы рады сообщить, что являемся инфо-партнером Конференции Юридическая ночь ошибок: опыт сильных. Legal fuck up night

⚡️ Такие форматы — редкость для юридического рынка, но именно они дают практическую ценность.

🔜 Ошибки — это не слабость, а источник профессионального роста и управленческих инсайтов. Рекомендуем к посещению тем, кто хочет говорить о праве честно и без глянца.

📎 23 апреля в 15:00

📌 Бункер-42, Москва, 5-й Котельнический пер., 11

👇Legal Fuck Up Night — уникальная конференция на юридическом рынке, где представители бизнеса, консультанты и инхаусы выходят на сцену не только для того, чтобы рассказывать про успешный успех,  а чтобы откровенно поделиться  про свой не всегда простой путь, о провалах и о том, как именно они превращали их в рост.

🔥 В программе:

🔘IP Failures: уроки дорогих ошибок
🔘PR-Титаник: айсберги медийных факапов
🔘Юрист в кресле управленца: инструкция по факапам
🔘Маркетинг катастроф: истории слитых бюджетов
🔘Рекрутинг, который пошёл не по плану

💬 Спикеры:

🟡Игорь Шомас (руководитель группы социальных проектов и мероприятий VK)

🟡Борис Герасин (руководитель патентного направления Сбербанка)

🟡Алексей Шорин (руководитель юридического департамента «ТЕХНОНИКОЛЬ»)

🟡Анна Войцехович (директор департамента управления правовыми рисками МТС)

🟡Максим Извеков (глава юридической функции TMH Group)

🟡Дмитрий Перепечин (руководитель судебно-претензионной практики «Вайлдбериз», ex-директор департамента суд. практики Росбанка)

🟡Андрей Лебедев (Директор по стратегическим проектам Департамента транспорта Москвы, ex-директор по правовым вопросам и управлению интеллектуальной собственностью "Московский метрополитен")

🟡Дмитрий Утукин (CEO кадрового агентства Magic Staff)

🟡Наталья Антипова (CEO KEUNE RUSSIA, СЕО Международной академии KEUNE DESIGN, основатель сети салонов красоты «Амстердам», Президент бизнес-клуба ФАНАТЫ)

🌟 Факапы остаются в бункере. Опыт — уходит с вами на поверхность.

📌КУПИТЬ БИЛЕТ МОЖНО ТУТ

😎 📸 Новая AMA-сессия сообщества Work in IP!

📌Продолжаем говорить на актуальные темы в сфере интеллектуальной собственности с приглашенными спикерами!

💫 Наш новый гость — Илья Чамуха:

🔘 Руководитель юридической фирмы Sample Legal
🔘 Преподаватель НИУ ВШЭ, сооснователь сообщества Юристов музыкальной индустрии
🔘 Оказывает правовое сопровождение крупным артистам (Скриптонит, Сироткин, Диана Арбенина и др.), лейблам и дистрибьюторам

💬 Обсудим, как трансформировалось юридическое сопровождение музыкальной индустрии под влиянием новых ограничений, требований о русификации и появления ИИ-исполнителей

💫 Когда: 19 марта в 19.00 (МСК), 1,5 часа

💫 Где: онлайн, Zoom (ссылку направим перед началом мероприятия)

📎 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @sviatdoronin)

📌Cообщество Work in IP

RPPA.pro | RPPAedu.pro | IP and Innovations | CC

☀️🌸 Privacy.Seasons от Comply врываются в ленту RPPA!

🔥 Privacy.Seasons – это серия подкастов, где легенды премии The Department от Legal Insight в номинации «Эффективная защита ПД» делятся лучшими практиками и реальными кейсами.

🌟 Никакой теории – только рабочие инструменты, инсайты и ответы на вопросы, которые обычно остаются за кадром.

💬 Ведущие неизменны и прекрасны:

🔘Артем Дмитриев, управляющий партнер Comply

🔘Екатерина Ефимова, руководитель направления ПД ГРЧЦ Роскомнадзор

📌В третьем выпуске в гостях – Екатерина Егорова, руководитель правового управления по вопросам ПД Точка Банка.

▶️Обсудили то, что реально работает или многих волнует:

🔘обязательное корпоративное обучение,
🔘спецоператоры ПД,
🔘сервис аналитики веб-сайтов,
🔘сервис отзыва согласий,
🔘использование законного интереса,
🔘получение мультиоператорских согласий.

Обсуждать защиту данных не как
абстрактные обязанности, а как живые процессы, встроенные в продукт, – вот что действительно двигает индустрию вперед. Рада, что в этом выпуске сошлись и экспертиза, и открытость, и желание быть полезными коллегам по цеху.

🟡Екатерина Егорова, Точка Банк

Если вы еще не смотрели первые выпуски – очень рекомендуем наверстать. Там Альфа-Банк и Авито с невероятной экспертизой.

📎Смотреть и слушать третий выпуск:

⏩YouTube
⏩Rutube
⏩Mave
⏩Telegram

📌🆕 AIG.Club by RPPA.pro х ilovedocs. Экспертный обзор проекта ФЗ об ИИ в РФ «Об основах регулирования сфер применения технологий ИИ»

🔥 Разбираем проект закона об ИИ - что в нём уже заложено и как это может повлиять на практику?

💬 Спикеры:

*️⃣ Павел Мищенко - сооснователь Рунетлекс Академии
*️⃣ Анастасия Сковпень - юрист в сфере интеллектуальной собственности, член AIPPI, партнер и лектор RPPA, автор тг-канала "вычислить по IP"
*️⃣ Дмитрий Кутейников - юрист и исследователь в сфере AI Governance, к.ю.н., партнер и лектор RPPA, автор тг-канала "howtocomly_AI: право и ИИ"
*️⃣ Александр Партин - соучредитель RPPA.Офис, партнер и лектор RPPA, со-председатель Privacy & Legal Innovation кластера РАЭК, член рабочей группы РАЭК по ИИ, сертификаты IAPP: CIPP/E, CIPM

📎 Когда: 24 марта в 19:00
📱 Формат: онлайн, Zoom
🔜 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @yurovvaa)

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance

▶️В апреле выходит книга "Юристы и нейросети: руководство к действию"

📌 Первый тираж вышел в Актионе в прошлом году. Теперь к авторам присоединились Александр Партин и Екатерина Якуненко. Александр раскрыл вопросы регулирования, а Екатерина написала про вайб-кодинг. Первоначальные авторы дополнили и обновили свои главы.

Вот полный список тем в книге:

🟡Как работают нейросети
🟡Какие принципы
взаимодействия с ИИ
🟡Как делать хорошие промпты
🟡Какие сценарии применения в работе существуют
🟡Как вайбкодить
🟡Как соблюдать этику и конфиденциальность
🟡Какие вопросы регулирования вызывает ИИ
🟡Что будет с юр профессией.

Кажется, осветили все актуальные вопросы использований нейросетей на текущий момент.

⭐️Авторы: Павел Мищенко, Александр Партин, Михаил Тевс, Степан Леонтьев, Владислав Кальмуцкий, Ян Стригов, Екатерина Якуненко.

Ссылки на предзаказ:
OZON — Читай-город — Буквоед

😎📕В нашем чате недавно завершившегося продукта Level UP: IT возник практический вопрос:

«Чья политика должна быть размещена на сайте группы компаний и кого считать оператором ПДн, собираемых через такой сайт?»

На первый взгляд, задача кажется простой: сайт один, группа одна, консолидатор (компания, которая отвечает за ведение сайта для всей группы) определен внутренними документами.

Однако, при анализе быстро проявляется разрыв между юридической конструкцией и реальной технической имплементацией.

Чтобы корректно установить оператора, важно понимать как устроен современный сайт с технической стороны и какие лица фактически участвуют в обработке данных.

Как думаешь, кто в таком случае может быть оператором? Компания-владелец домена или та, что размещает контент на сайте? Или другой вариант?👇

Ответ закинем чуть позже;)

Level UP | Cyber in Privacy | RPPA.pro

Продолжаем: чья политика конфиденциальности должна быть на сайте?

Чтобы понять, кто оператор данных, нужно посмотреть на сайт с технической и юридической сторон. И здесь начинается самое интересное.

1. Технический взгляд: как устроен сайт на уровне слоев

1️⃣Frontend
Интерфейс, формы, тексты, согласия, UX. Здесь осуществляется первичный сбор данных.

2️⃣Backend
Серверная часть, логика обработки, базы данных, API. Здесь данные хранятся и используются.

3️⃣Домен
Управление адресом и DNS. Формально может принадлежать одному лицу, но не обязательно совпадает с оператором.

4️⃣Хостинг
Физическое или облачное размещение сайта. Может находиться у третьего лица или за рубежом.

5️⃣Логи и телеметрия
Фиксация действий пользователей и событий системы — отдельный источник данных.

6️⃣Куки, пиксели, аналитика
Трекинг и передача данных третьим лицам; часто формируют фактический маршрут данных.

После такого анализа становится очевидно, что технически сайт нельзя рассматривать как единый объект. Это система, состоящая из нескольких слоев, и в каждом из них могут участвовать разные субъекты.

2. Юридические критерии: кто считается оператором ПДн, собираемых на сайте?

Если смотреть на нормы закона, отправная точка такая:

1️⃣П. 2 ст. 3 152-ФЗ:

«оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»

2️⃣Ч. 2 ст. 18.1 152-ФЗ:

«оператор, осуществляющий сбор персональных данных с использованием … сетей, обязан опубликовать в соответствующей … сети, в том числе на страницах … сайта, документ, определяющий его политику в отношении обработки персональных данных»

📌Отсюда базовый вывод:

Юридически оператором считается лицо, которое (а) определяет цели сбора и состав собираемых данных и (б) организует или осуществляет их сбор через сайт.

📌А как на практике совместить эти два взгляда?
Пиши свои идеи 👇

Level UP | Cyber in Privacy | RPPA.pro

(Продолжаем разбирать, чья же политика конфиденциальности должна быть на сайте группы компаний)

Мы уже посмотрели на сайт с технической и юридической стороны. А теперь — практический алгоритм, как определить оператора по закону.

🟣Шаг 1 — смотрим на то, кто официально заявлен владельцем сайта.

П. 17 ст. 2 149-ФЗ определяет владельца сайта как лицо, которое самостоятельно и по своему усмотрению определяет порядок использования сайта.

Это понятие пересекается с понятием оператора ПД, потому что тот, кто определяет порядок использования сайта, обычно определяет цель и состав собираемых через сайт данных.

При этом важно, что владелец сайта:

🟣не обязательно правообладатель домена;
🟣не обязательно правообладатель контента;
🟣не обязательно правообладатель сайта как нематериального актива или объекта интеллектуальной собственности.

Ключевой критерий — реальный фактический контроль. Владелец сайта — это тот, кто в итоге решает как работает и используется сайт: в частности, как выглядит его интерфейс, как построен его UX, какие данные собираются, как обрабатываются, что может размещаться, а что нет, какие функции доступны, иное.

Обычно, в соответствии с ч. 2 ст. 10 149-ФЗ, владелец сайта сам обязан указать сведения о себе на сайте. Но на практике это соблюдается не всегда. В таком случае для определения владельца сайта используется другой подход.

🟣Шаг 2 — если владелец не указан на сайте, включается судебная презумпция.

Пленум ВС РФ № 10 от 23.04.2019 (п. 78) разъяснил:

«при отсутствии иных данных владельцем сайта презюмируется администратор доменного имени, адресующего на сайт»

Эта презумпция:
🟡опровержимая;
🟡заменяется иными доказательствами реального фактического контроля над сайтом (логи, договоры, показания, фактические действия, которые говорят о том, что сайт контролирует кто-то еще);
🟡формально была дана в разъяснение части 4 ГК РФ, но может применяться судами и надзорными органами по аналогии к процессам, связанным с обработкой ПД.

❗️Итого — два сценария:

1️⃣Если владелец указан на сайте — он рассматривается как контролирующее лицо и, скорее всего, будет признан оператором ПД, собирающихся через сайт.

2️⃣Если владелец не указан — по умолчанию им (и потенциальным оператором) будет считаться администратор домена. Но это опровержимая презумпция — её можно изменить договорами, логами, платежами за сайт и другими доказательствами реального контроля.

📌На практике: Проверить администратора домена часто можно через сервис WHOIS. Но если данные на сайте и в WHOIS различаются, приоритет, скорее всего, будет у сведений, размещённых на самом сайте

Level UP | Cyber in Privacy | RPPA.pro

🔥 😎 AIG.Club: Мастер-класс от Дмитрия Кутейникова «ИИ-агенты: на третьем круге регулирования?»

📌 Запись VK | YouTube

18 марта прошел мастер-класс Дмитрия Кутейникова, посвященный переходу от моделей и систем к агентному ИИ и тому, как на это будет реагировать регулирование

💬 О чём говорили:

🔘 Третий круг регулирования. Регулирование эволюционирует: системы ➡️ модели ➡️ агенты

🔘 Что такое ИИ-агент. Агент - это не просто модель, а система, которая:
*️⃣ действует автономно
*️⃣ использует инструменты
*️⃣ разбивает задачи и делегирует их

🔘 Мультиагентные системы. Современные решения - это поиск ➡️ извлечение ➡️ анализ ➡️ контроль качества

⏩Главный тезис: ценность создаётся не одной моделью, а их взаимодействием.

🔘 Почему не один агент. Разделение на микрозадачи даёт:
*️⃣ управляемость
*️⃣ предсказуемость
*️⃣ контроль качества

🔘 Риски агентного ИИ
*️⃣ автономные действия
*️⃣ доступ к внешним системам
*️⃣ сложность контроля

🔘 Комплаенс усложняется. Появляется цепочка ролей: модель ➡️ агент ➡️ интегратор ➡️ оператор

🔘 Что дальше?
*️⃣ классификация агентов
*️⃣ новые стандарты
*️⃣ развитие практики ответственности

✔️ Итог: агентный ИИ - это переход от инструмента к «исполнителю». А значит - новый уровень рисков, архитектуры и комплаенса

📎 Полные тезисы и материалы мастер-класса будут опубликованы на страничке нашего сообщества

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance

😎❤️AI: Продукт развивается, программа обновляется, и вместе с этим к команде преподавателей AI Governance присоединяются новые эксперты!

Рады представить:

🔘 Юлиана Челоненко - эксперт в сфере комплаенса и приватности. Специализируется на внедрении стандартов информационной безопасности и выстраивании процессов внутри компаний. CIPP/E, GDPR DPM, GDPR DPT, ISO 27001, ISO 42001 Lead Implementer

🔘 Артем Никифоров - магистр частного права (РШЧП), ведущий юрист управления интеллектуальной собственности Яндекса.
Работает с вопросами интеллектуальной собственности и правового регулирования цифровых технологий

При этом хотим отдельно поблагодарить Екатерину Калугину за вклад в запуск и развитие продукта, благодаря чему проект получил сильный старт и сформировался таким, каким вы его знаете сегодня❤️

А мы продолжаем двигаться дальше - вместе с сообществом, новыми преподавателями и новыми темами! Ждем вас!😍

*️⃣Старт: уже сегодня (влететь можно до начала апреля)
👇 Регистрация здесь

RPPA.pro | RPPAedu.pro | AI Governance

(Финал поста о том, чья политика конфиденциальности должна быть на сайте и кто считается оператором ПДн для такого сайта?)

Итог: если у нас есть сайт, как определить то, кого указать на нем и в политике в качестве оператора ПДн?

📌Исходя из совокупности технического и юридического подходов, о которых мы писали в постах выше, обычно оператором рекомендуется указать то лицо, которое определяет как работает Frontend сайта — его интерфейс, UX, то, какие данные собираются и впоследствии обрабатываются на Backend’е, иное.

Это имеет смысл не только с технической, но и с юридической точки зрения, потому что тот, кто контролирует Frontend сайта, обыкновенно получает итоговый контроль над:

🟡определением целей обработки и состава собираемых через сайт данных;
🟡возможностью их сбора и последующей обработки на Backend’e;
🟡иным пользовательским функционалом сайта.

А это как раз — ключевые признаки владельца сайта (п. 17 ст. 2 149-ФЗ) и оператора ПДн (п. 2 ст. 3 152-ФЗ), которые были рассмотрены выше. Остальные роли в процессе обработки данных на сайте (в частности, на Backend'е, хостинге, в подсистемах сбора логов, куки-файлов, иных) будут определяться в зависимости от этого и иных релевантных факторов.

Однако, privacy-ландшафт знаменит тем, что в нем может существовать множество других подходов. А вы как определяете оператора на сайте? Пишите в комментарии — интересно собрать разные практики. 👇

P.S.: За помощь в подготовке материала отдельно благодарим участника курса Level UP: IT — Андрея Турчина (@a_and_tea).

Level UP | Cyber in Privacy | RPPA.pro