#ДайджестМісяця
🔆 ДАЙДЖЕСТ ЧЕРВНЯ
Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.
1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.
2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).
3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.
4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.
🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ
#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍 “ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ
#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ
#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА
#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?
#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ
Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛
🇺🇦 Все буде Україна!
🔆 ДАЙДЖЕСТ ЧЕРВНЯ
Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.
1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.
2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).
3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.
4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.
🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ
#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍 “ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ
#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ
#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА
#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?
#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ
Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛
🇺🇦 Все буде Україна!
#ДайджестМісяця
🔆 ДАЙДЖЕСТ ЛИПНЯ
Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.
1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.
2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.
3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.
🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ
#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ
#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!
#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?
#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]
Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!💙💛
🔆 ДАЙДЖЕСТ ЛИПНЯ
Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.
1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.
2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.
3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.
🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ
#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ
#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!
#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?
#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]
Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!💙💛
#Інформаційна_безпека
🛡ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
Пам'ятаєте, як два тижні тому ми збирали гроші на рації для нашого співзасновника? Так ось, спільними зусиллями ми змогли закрити збір, за що ми дуже дякуємо всім, хто долучився. А тепер, як і обіцяли, ми трошки розповімо вам про зв'язок в умовах бойових дій.
📍Мобільний зв'язок
Багато хто чув, що використання мобільного поруч із ворогом (1 - 10 км до фронту) це не завжди оптимальний варіант, але мало хто знає причини.
Дійсно, мобільний зв'язок дозволяє оперативно передати інформацію, але мобільній зв‘язок не є безпечним каналом комунікації. Так, використовуючи мобілки, ви можете наразити себе та своїх побратимів на небезпеку адже:
🔹ворог може збирати IMEI телефонів та відслідковувати шляхи пересування солдатів на фронті;
🔹через скупчення мобільних телефонів ворог здійснює коригування роботи артилерії.
Окрім цього, телеком оператори можуть не мати змоги підтримувати зв‘язок на територіях ведення бойових дій.
Через це військові надають перевагу радіозв'язку. Але чи є рації панацею? Якщо коротко, то ні. Як і у випадку з кібербезпекою, жоден спосіб захисту не є 100% гарантією безпеки. Але давайте поговоримо про рації!
📍Рації
Існують аналогові та цифрові радіостанції. Спершу поговоримо про аналогові. Чи краще вони, ніж мобілки? Так, але вони все одно не є безпечними, тому їх не рекомендують використовувати в безпосередній близькості до ворога. Адже, знайшовши хвилю, на якій солдати ведуть переговори, ворог отримує змогу прослуховувати все, що виходить в ефір. Для цього існують недорогі (від ~2500$) засоби радіоелектронної розвідки, які моніторять ефір на заданому спектрі частот. Зазвичай спектр роботи такого засобу покриває більшість хвиль, на яких можуть працювати рації.
Отже, аналогові рації кращі, ніж мобілки, і їх загалом можна використовувати, але робити це краще в тилу.
Оптимальним способом зв'язку є цифрові рації. І на те є кілька причин:
🔸 на відміну від аналогових рацій, цифрова рація надає змогу зашифрувати дані засобами криптографічного зв‘язку. Можливо навіть використовувати добре відомий 256-бітовий алгоритм AES-256. Таким чином, при моніторингу ефіру ворог не має змоги зрозуміти, про що йде мова.
🔸 у більшості середніх цифрових рацій встановлене 40-бітове шифрування, зламування якого на потужному комп‘ютері може займати до 15 хвилин. Втім, для того, щоб це зробити, зашифровану інформацію необхідно надіслати на «велику землю» – штаб, в якому є такі потужності. На місці зламування здійснюється у порядку живої черги з іншими підрозділами, тобто весь процес може займати 2-3 дні. За цей час актуальність інформації зводиться нанівець, а підрозділ, який прослуховують, може змінити ключі шифрування. На передовій зв‘язківці можуть встановлювати до 30 різних ключів шифрування на кожен окремий день місяця, щоб запобігти прослуховуванню рацій на вже зламаних каналах. По спливу 30 днів ключі оновлюються.
❓Що робити, коли є лише аналогова рація?
У такому разі військові створюють таблиці термінів, у яких команди всередині підрозділів замінюються цифрами або словами-шифрами. Наприклад, “дуб, дуб, я береза, як чутно?”. Певний час ворог, прослуховуючи ефір, не втямить, про який дуб та березу йде мова.
Це теж не панацея: за кілька днів прослуховування ворог зрозуміє, що дуб це пост #1, а береза – це командний пункт. Тому, що роблять військові? Правильно, регулярно змінюють таблиці термінів. Цей спосіб, до речі, застосовують навіть при використанні цифрових рацій.
🏆 ВИСНОВКИ
Ефективна та швидка комунікація є основою основ не лише у цивільному житті, але й під час війни. Особливо під час війни. Вчасно передана інформація може врятувати життя та допомогти ефективно знищити ворога. Тому важливо користуватись максимально безпечними каналами зв'язку, а за неможливості використовувати допоміжні рішення, шифри.
💙 Ще раз дякуємо вам за те, що допомогли убезпечити комунікацію Влада та його побратимів.
💛 Продовжуємо працювати на Перемогу!
🇺🇦 Все буде Україна!
🛡ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
Пам'ятаєте, як два тижні тому ми збирали гроші на рації для нашого співзасновника? Так ось, спільними зусиллями ми змогли закрити збір, за що ми дуже дякуємо всім, хто долучився. А тепер, як і обіцяли, ми трошки розповімо вам про зв'язок в умовах бойових дій.
📍Мобільний зв'язок
Багато хто чув, що використання мобільного поруч із ворогом (1 - 10 км до фронту) це не завжди оптимальний варіант, але мало хто знає причини.
Дійсно, мобільний зв'язок дозволяє оперативно передати інформацію, але мобільній зв‘язок не є безпечним каналом комунікації. Так, використовуючи мобілки, ви можете наразити себе та своїх побратимів на небезпеку адже:
🔹ворог може збирати IMEI телефонів та відслідковувати шляхи пересування солдатів на фронті;
🔹через скупчення мобільних телефонів ворог здійснює коригування роботи артилерії.
Окрім цього, телеком оператори можуть не мати змоги підтримувати зв‘язок на територіях ведення бойових дій.
Через це військові надають перевагу радіозв'язку. Але чи є рації панацею? Якщо коротко, то ні. Як і у випадку з кібербезпекою, жоден спосіб захисту не є 100% гарантією безпеки. Але давайте поговоримо про рації!
📍Рації
Існують аналогові та цифрові радіостанції. Спершу поговоримо про аналогові. Чи краще вони, ніж мобілки? Так, але вони все одно не є безпечними, тому їх не рекомендують використовувати в безпосередній близькості до ворога. Адже, знайшовши хвилю, на якій солдати ведуть переговори, ворог отримує змогу прослуховувати все, що виходить в ефір. Для цього існують недорогі (від ~2500$) засоби радіоелектронної розвідки, які моніторять ефір на заданому спектрі частот. Зазвичай спектр роботи такого засобу покриває більшість хвиль, на яких можуть працювати рації.
Отже, аналогові рації кращі, ніж мобілки, і їх загалом можна використовувати, але робити це краще в тилу.
Оптимальним способом зв'язку є цифрові рації. І на те є кілька причин:
🔸 на відміну від аналогових рацій, цифрова рація надає змогу зашифрувати дані засобами криптографічного зв‘язку. Можливо навіть використовувати добре відомий 256-бітовий алгоритм AES-256. Таким чином, при моніторингу ефіру ворог не має змоги зрозуміти, про що йде мова.
🔸 у більшості середніх цифрових рацій встановлене 40-бітове шифрування, зламування якого на потужному комп‘ютері може займати до 15 хвилин. Втім, для того, щоб це зробити, зашифровану інформацію необхідно надіслати на «велику землю» – штаб, в якому є такі потужності. На місці зламування здійснюється у порядку живої черги з іншими підрозділами, тобто весь процес може займати 2-3 дні. За цей час актуальність інформації зводиться нанівець, а підрозділ, який прослуховують, може змінити ключі шифрування. На передовій зв‘язківці можуть встановлювати до 30 різних ключів шифрування на кожен окремий день місяця, щоб запобігти прослуховуванню рацій на вже зламаних каналах. По спливу 30 днів ключі оновлюються.
❓Що робити, коли є лише аналогова рація?
У такому разі військові створюють таблиці термінів, у яких команди всередині підрозділів замінюються цифрами або словами-шифрами. Наприклад, “дуб, дуб, я береза, як чутно?”. Певний час ворог, прослуховуючи ефір, не втямить, про який дуб та березу йде мова.
Це теж не панацея: за кілька днів прослуховування ворог зрозуміє, що дуб це пост #1, а береза – це командний пункт. Тому, що роблять військові? Правильно, регулярно змінюють таблиці термінів. Цей спосіб, до речі, застосовують навіть при використанні цифрових рацій.
🏆 ВИСНОВКИ
Ефективна та швидка комунікація є основою основ не лише у цивільному житті, але й під час війни. Особливо під час війни. Вчасно передана інформація може врятувати життя та допомогти ефективно знищити ворога. Тому важливо користуватись максимально безпечними каналами зв'язку, а за неможливості використовувати допоміжні рішення, шифри.
💙 Ще раз дякуємо вам за те, що допомогли убезпечити комунікацію Влада та його побратимів.
💛 Продовжуємо працювати на Перемогу!
🇺🇦 Все буде Україна!
#Інформаційна_безпека
🛡 АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.
❓Чи з’явилися нові техніки анонімізації?
За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.
Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.
❓Чи є нові напрямки розвитку анонімізації?
Звичайно, їх безліч. З найбільш практичних проблем:
🔹Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.
🔹 Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.
🔹Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.
🔹Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.
❓Чи очікувати технологічного прориву?
You never know, але навряд.
По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.
По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.
🤔То що робити
Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи❤️🩹
Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Стаття 1: Узагальнююче дослідження технік анонімізації
🔹Стаття 2: Дослідження окремих способів анонімізації
🔹Стаття 3: Анонімізація неструктурованих даних
🔹Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm
🛡 АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.
❓Чи з’явилися нові техніки анонімізації?
За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.
Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.
❓Чи є нові напрямки розвитку анонімізації?
Звичайно, їх безліч. З найбільш практичних проблем:
🔹Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.
🔹 Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.
🔹Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.
🔹Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.
❓Чи очікувати технологічного прориву?
You never know, але навряд.
По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.
По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.
🤔То що робити
Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи❤️🩹
Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Стаття 1: Узагальнююче дослідження технік анонімізації
🔹Стаття 2: Дослідження окремих способів анонімізації
🔹Стаття 3: Анонімізація неструктурованих даних
🔹Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm
#Дайджест_місяця
🔆 ДАЙДЖЕСТ СЕРПНЯ
На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.
Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги “GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.
🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ
#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]
#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ СЕРПНЯ
На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.
Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги “GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.
🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ
#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]
#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Інформаційна_безпека
🛡ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
Сьогодні пропонуємо вам подивитися на захист даних системніше. Псевдонімізація та анонімізація – лише краплі в океані інформаційної безпеки. Тому продовжуємо досліджувати океан інфобезу разом!
📍Чому варто враховувати контекст для захисту даних
Ще на початку 21 століття, Хелен Ніссенбаум презентувала світу нову теорію, яка пояснює, що приватність не може існувати ізольовано. Приватність – це контекстуальна цілісність.
За аргументацією пані Ніссенбаум це випливає з наступних постулатів:
🔹Приватність існує в межах «відповідних інформаційних потоків».
🔹«Відповідні інформаційні потоки» – це потоки даних, що формуються в межах «рамок інформаційного контексту».
🔹«Рамки інформаційного контексту» закладаються 5 незалежними параметрами: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі.
🔹Концепція та регулювання приватності змінюється залежно від етичних міркувань суспільства.
Як бачимо, приватність існує в динамічних умовах потоків даних. Дані прив’язані не лише до суб’єкта даних, вони координуються в межах згаданих рамок інформаційного контексту. Більш того, обмін даними відбувається в реальному світі. Суспільство, розвиток технологій викликають зміни в потоках та розподілі цінностей в приватності. Відповідно, приватність не може існувати і забезпечуватися, виходячи тільки з індивідуальних інтересів суб’єкта даних.
Саме через такий відхід від індивідуальності та абстракцію інтересів, ця теорія приватності (fyi: існують й інші теорії) піддається критиці. Це суперечить улюбленому людиноцентристському підходу філософії ЄС. Тим не менш, саме розгляд приватності як контекстуальної цілісності допоможе вам розгорнути інформаційну безпеку. Цей підхід зараз активно застосовується навіть у написанні політик приватності та формуванні правил обміну даних в компаніях.
📍Який контекст варто враховувати
Від теорії до практики, нижче зупиняємося на конкретних факторах, які варто враховувати в побудові своєї стратегії захисту даних:
🔹Середовище: в більшості випадках дані не існують у вакуумі. Шлях виглядає приблизно так: дані – застосунок/ПЗ – сервери – мережа. Уявіть, що ви лише псевдонімізували дані - накрили ковдрою. Ковдру все однл може будь-хто побачити, якщо не закриєте кімнату. Отже, потрібно враховувати шари середовища, в якому існують дані.
🔹Суб’єкти доступу: Звертаємо увагу, що в обмінах даними і системі інформаційної безпеки бере участь не лише суб’єкт даних. У вас є ще менеджмент, адміністратор доступів, stakeholder процесу і володілець даних у межах системи та працівники, залучені до обробки. Всі ці люди впливають на конструкцію вашої системи захисту та можуть мати доступ до даних у різних випадках.
🔹Обставини доступу: Ось тут згадуємо 5 параметрів пані Ніссенбаум: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі. Однак, у цьому списку не вистачає певних категорій, які потрібні за GDPR. Згадайте про ROPA (реєстр обробок даних) та DPIA (оцінка ризиків обробки даних). Регулятори вимагають оцінювати більше факторів, ніж 5. Як мінімум, це ще мета, обсяги обробки, строки, підстави та країни.
🔹Ризики: Нарешті приватність не є бінарною. Так, абсолютного захисту не існує і дані все ще можуть бути вразливими, але це не означає, що не потрібно нічого роботи. Дані потрібно убезпечувати, а заходи безпеки мають бути контекстними та співмірними з реально існуючими ризиками, щоб середовище нормально функціонувало та суб’єкти системи мали доступ.
Будувати захист даних – не тільки обирати сучасні та надійні PETs. Радше, це побудова цілої архітектури з власною екосистемою. Будь-які рішення щодо захисту даних впливають на всю систему. Тому намагайтеся підходити до цього питання комплексно, як це заповідає концепція проєктованої приватності.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Стаття Ніссенбаум
🔹Огляд Мукеша Сінгха, CISSP, з інформаційної безпеки
🛡ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
Сьогодні пропонуємо вам подивитися на захист даних системніше. Псевдонімізація та анонімізація – лише краплі в океані інформаційної безпеки. Тому продовжуємо досліджувати океан інфобезу разом!
📍Чому варто враховувати контекст для захисту даних
Ще на початку 21 століття, Хелен Ніссенбаум презентувала світу нову теорію, яка пояснює, що приватність не може існувати ізольовано. Приватність – це контекстуальна цілісність.
За аргументацією пані Ніссенбаум це випливає з наступних постулатів:
🔹Приватність існує в межах «відповідних інформаційних потоків».
🔹«Відповідні інформаційні потоки» – це потоки даних, що формуються в межах «рамок інформаційного контексту».
🔹«Рамки інформаційного контексту» закладаються 5 незалежними параметрами: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі.
🔹Концепція та регулювання приватності змінюється залежно від етичних міркувань суспільства.
Як бачимо, приватність існує в динамічних умовах потоків даних. Дані прив’язані не лише до суб’єкта даних, вони координуються в межах згаданих рамок інформаційного контексту. Більш того, обмін даними відбувається в реальному світі. Суспільство, розвиток технологій викликають зміни в потоках та розподілі цінностей в приватності. Відповідно, приватність не може існувати і забезпечуватися, виходячи тільки з індивідуальних інтересів суб’єкта даних.
Саме через такий відхід від індивідуальності та абстракцію інтересів, ця теорія приватності (fyi: існують й інші теорії) піддається критиці. Це суперечить улюбленому людиноцентристському підходу філософії ЄС. Тим не менш, саме розгляд приватності як контекстуальної цілісності допоможе вам розгорнути інформаційну безпеку. Цей підхід зараз активно застосовується навіть у написанні політик приватності та формуванні правил обміну даних в компаніях.
📍Який контекст варто враховувати
Від теорії до практики, нижче зупиняємося на конкретних факторах, які варто враховувати в побудові своєї стратегії захисту даних:
🔹Середовище: в більшості випадках дані не існують у вакуумі. Шлях виглядає приблизно так: дані – застосунок/ПЗ – сервери – мережа. Уявіть, що ви лише псевдонімізували дані - накрили ковдрою. Ковдру все однл може будь-хто побачити, якщо не закриєте кімнату. Отже, потрібно враховувати шари середовища, в якому існують дані.
🔹Суб’єкти доступу: Звертаємо увагу, що в обмінах даними і системі інформаційної безпеки бере участь не лише суб’єкт даних. У вас є ще менеджмент, адміністратор доступів, stakeholder процесу і володілець даних у межах системи та працівники, залучені до обробки. Всі ці люди впливають на конструкцію вашої системи захисту та можуть мати доступ до даних у різних випадках.
🔹Обставини доступу: Ось тут згадуємо 5 параметрів пані Ніссенбаум: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі. Однак, у цьому списку не вистачає певних категорій, які потрібні за GDPR. Згадайте про ROPA (реєстр обробок даних) та DPIA (оцінка ризиків обробки даних). Регулятори вимагають оцінювати більше факторів, ніж 5. Як мінімум, це ще мета, обсяги обробки, строки, підстави та країни.
🔹Ризики: Нарешті приватність не є бінарною. Так, абсолютного захисту не існує і дані все ще можуть бути вразливими, але це не означає, що не потрібно нічого роботи. Дані потрібно убезпечувати, а заходи безпеки мають бути контекстними та співмірними з реально існуючими ризиками, щоб середовище нормально функціонувало та суб’єкти системи мали доступ.
Будувати захист даних – не тільки обирати сучасні та надійні PETs. Радше, це побудова цілої архітектури з власною екосистемою. Будь-які рішення щодо захисту даних впливають на всю систему. Тому намагайтеся підходити до цього питання комплексно, як це заповідає концепція проєктованої приватності.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Стаття Ніссенбаум
🔹Огляд Мукеша Сінгха, CISSP, з інформаційної безпеки
#Інформаційна_безпека
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Інформаційна_безпека
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!