Знаем, что канал читают в том числе студенты-юристы. И, если мы верно помним, сейчас вы будете сдавать экзамены. Хочется поделиться с вами методикой подготовки, которая позволяет нам сдавать все экзамены на «отлично» уже как 4 года

Важно❗️
Работает только с гуманитарными науками и вопросами по билетам

↘️ На каждый билет нужно выписать:
⚫️одно определение
⚫️пять тезисов

1️⃣ Сначала выписываем определение ключевого слова из вопроса

Пример:
У админа на последнем экзамене в аспирантуре был вопрос: «правовой режим веб-сайта». Ключевое слово – веб-сайт. Определение будем давать такое: Определение веб сайта содержится в ст. 2 ФЗ «Об информации». Согласно этой статье сайт в сети Интернет это…»

Определение – это наш якорь. Его надо заучить. Оно позволит сказать на каждый вопрос хоть что-то, как бы вы не волновались. К тому же, с определением трудно поспорить.

2️⃣ Далее, на каждый вопрос выписываем 5 тезисов. Не более 3 предложений❗️
Чтобы их выписать, лучше прочитать препод-trusted источник информации. Обычно это всего пара страниц кафедрального учебника. Пользоваться готовыми чужими билетами не зазорно, но надо факт-чекать. Важно, чтобы источник, из которого вы выписываете, был структурированным

Теперь работа мозга – пока вы будете выискивать тезисы в информации ваш мозг переключится в режим аналитики. И вы хоть что-то, но запомните. А с выписанными 5 тезисами у вас будет структура ответа. Каждый тезис должен быть самостоятельным и полностью понятным вам предложением. За пару часов перед экзаменом все тезисы надо перечитать

✏️ Основная фишка: мозг не может запомнить наструктурированную информацию, но он может ее осознать. А вот структурированную информацию (определение + тезисы) ему запомнить легко. На заученную структуру вы автоматически сможете наложить осознанную информацию и периферические знания

3️⃣ Ответ надо начинать с плана ответа: озвучить определение и кейворды тезисов. По опыту это уменьшает количество дополнительных вопросов по ходу ответа. А они сбивают. К тому же, это показывает структурированность знаний студента - однозначно + к его репутации

P.S. ни пуха! #опыт
Фотка с подготовки к канд. минимуму по философии

Сага о цифровых казахах (Цифровой кодекс Республики Казахстан) - краткое содержание

На самом деле, Кодекс не меняет игру в Сети, а закрепляет уже сложившиеся и знакомые правила. Если быть совсем кратким, то:
⚫кибербезопасность - риск владельца системы;
⚫гражданин имеет право на защиту аккаунтов от попадания не в те руки;
⚫действия в интернете должны подтверждаться разумным способом

+ знакомые нам цифровой документооборот, ц. подписи, управление и ГИС

То, что зацепило лично нас:

1️⃣ Все аккаунты, профили и идентификаторы человека формируют его цифровую идентичность. Ее одновременно защищает:
⚫и бизнес, который должен строить защищенную архитектуру сервисов и проводить надежную аутентификацию пользователей;
⚫и государство, предоставляющее правовую защиту от кражи личности (защита распространяется именно на кражу идентичности, но не на ее блокировку, например, за нарушение пользовательского соглашения)

2️⃣Гражданин может потребовать пересмотра полностью автоматизированного решения специалистом или их комиссией. Любим мы такое. Правда опять требование обходится номинальной визой живого человека на решении алгоритма

3️⃣Утвержден курс на фанатичную ИИфикацию госуправления и создание государственных суперсистем (как у нас ГосУслуги), банков данных. Указано даже на создание «смарт-городов», которые будут управляться ИИ и алгоритмами

Возвращаемся к исследованию кибератак в практике отечественных судов

На очереди - доказывание, штрафы и отвественность безопасников

↘️ В комментах к этому посту можете задать любые вопросы по этой теме - мы постараемся включить их в исследование. Стесняетесь в комментах - можете написать в директ)

↘️ Никаких высоких ставок!

«Трамп объявил о введении на год фиксированного максимума процентной ставки в 10% по кредитным картам» - РИА Новости

Действовать мера начнет в годовщину избрания Трампа - 20 января

❤️Так слоняра он или как⁉️

Все ставки по кредитам и депозитам отталкиваются от ключевой ставки или ее аналогов с другими названиями

Ключевая ставка - ставка, под которую банки могут занимать деньги у главного финансового института страны

В США это ставка ФРС, равная 3,75%
То есть максимальной ставкой по кредитной карте будет около х2,7 от ключевой ставки

Таким образом, подобная мера для России звучала бы примерно как «Не дадим обирать народ! Сделаем ставки по кредиткам не выше 42,7% годовых!»

📌📌📌
👋 Здорово конечно, но как будто не такое уж и радикальное ограничение получается…

Домен иранского СМИ "Тасним" не отвечает. Есть слухи, что его отключили США через корневой сервер DNS

Есть очень интересная аналитика МГИМО о дипломатии России в международной информационной безопасности. Подчеркнуто, что страны долго не могли договориться о двух вещах:
⚫️о запрете кибер-операций в мирное время;
⚫️о границах суверенитета в интернете, который надо уважать, но гранц которого никто не понимает

Россия определяет свой суверенитет по таким границам:
⚫️по верхнему домену .ru/.su (ред. а также .рф)
⚫️по системам, принадлежащим гос. сектору
⚫️по потребителю информации (через принцип ФЗ "О рекламе")

Аналогичного подхода придерживаются все страны. Но многих беспокоит географическая принадлежность корневых серверов (кроме США) и оптоволоконных кабелей. А с недавних пор страны озаботились также:
⚫️страной происхождения ПО (Китай, Россия и, удивительно, ЕС в отношении американского ПО);
⚫️домашним адресом крупных сервисов вроде YouTube и TikTok (Китай <-> США, Россия -> США)

Международные документы на уровне ООН конкретики не добавляют, хотя слезно просят уважать суверенитет стран

📌📌📌
А пока к девизу международной информационной безопасности

Акула, не кусай оптоволоконный кабель!

добавляется строчка

Трамп не трогай корневые сервера!

МВД отчиталось о 923 делах по статье за кражу персональных данных - 272.1 УК. Ранее мы говорили, что в сфере ИБ обсуждалась возможность «трудовых жертвоприношений» Это гипотетическая ситуация, в которой компания закрывалась бы от штрафа за утечку, привлекая сотрудников к уголовке
Оправданы ли опасения⁉️

1️⃣Мы поискали дела по 13.11 КоАП, где оператор в защите ссылался бы на факт привлечения сотрудника к ст. 272.1. Таких нет. Хотя 272 (за кибератаку) используется в защите часто

2️⃣Суды считают действия работника в рабочей инф. среде риском его работодателя + принцип «решил собирать данные - изволь защищать»

Самый яркий пример - #дело №А40-199062/2025 (сейчас в апелляции). Оператор виноват в утечке даже если ее причина - намеренные действия сотрудника. Выделили мы это дело вот почему: утечка произошла через фотографию экрана рабочего компа на личный телефон. Защитить от такой утечки могут только дорогие IRM/DLP-системы класса «полный фарш», которые есть далеко не у каждого оператора. И все равно суд посчитал, что оператор не предпринял всех необходимых мер

Аналогичные дела:
⚫А39-7047/2025 - кибератака - не оправдание
⚫А33-20866/2025 - ошибка сотрудника - не оправдание
⚫А55-36038/2025 - злонамеренные действия третьих лиц по преодолению базовых систем защиты - вы угадали, не оправдание

3️⃣Но. Мы сопоставили операторов из новостей вроде «сотрудник украл данные и получил уголовку» с известными делами по 13.11 КоАП. Совпадений нет. То есть вывод, что уголовка сотрудника не исключает админку оператора, нельзя подтвердить примером от обратного

↘️ Итог: ожидание трудовых жертвоприношений в сфере ПДн пока не оправдалось. И славно

📌📌📌
Проверяйте, кому вы скидываете файлы с персональными данными по работе. Ошибка в адресате может превратиться в утечку с последствиями и для работодателя, и для вас

Последствия кражи данных сотрудником - можно ли сделать их настолько большими, чтобы утечка стала заведомо нецелесообразной?

1️⃣Начнем с простого – штрафов для сотрудников за утечку. Они прямо запрещены ст. 192 ТК РФ. За такой движняк сам работодатель может получить штраф по ст. 5.27 КоАП.

Практика:

⚫️Апел. определение СПб городского суда от 12.09.2019 по делу №33-19819/2019 – неустойка с работника за разглашение тайны противоречит ТК

2️⃣Но остается же компенсация ущерба, причиненного сотрудником. Ст. 238 ТК РФ разрешает взыскать с него только прямой действительный ущерб (ПДУ). При этом п. 7 ст. 243 ТК РФ указывает, что за утечку такой ущерб компенсируется в полном объеме, а не ограничивается среднемесячным заработком

Практика:

⚫️Апел. определение Свердловского областного суда от 07.02.2019 по делу № 33-1884/2019 - банк взыскал с сотрудника сумму компенсации, выплаченной клиентам, пострадавшим от утечки;
⚫️Апел. определение Свердловского областного суда от 13.11.2024 года по делу №33-19600/2024 – нельзя взыскать с уволившегося сотрудника упущенную прибыль от клиентов, которых он переманил на новое место работы (прослеживается в деле, хотя прямое основание отказа – косяки в документах и процедуре)
⚫️Апел. определение Омского областного суда от 17.08.2021 по делу №33-4599/21 – продвинутая версия дела сверху. К ПДУ не относится компенсация работодателем убытков в виде упущенной выгоды от сделки, которая не состоялась (прямая цитата)

↘️ То есть взыскать что-то крупное с рядового сотрудника получится только в исключительных случаях мошенничества и ему подобного. Маловероятна и возможность перекинуть на работника неустойку работодателя за нарушение NDA с контрагентом и штрафы - есть блокирующая практика

3️⃣А вот руководитель организации несет ответственность за разглашение согласно ТК РФ (т.е. полную ответственность, в том числе косвенные убытки). Тут уже можно разгуляться

Практика:

⚫️Решение Кировского районного суда г. Уфы от 20.08.2020 по делу №2-5196/2020 – суд взыскал с уволившегося и открывшего свой бизнес директора упущенную выгоду - прибыль бывшего работодателя от клиентов, которых увёл директор

↘️ Итог: сделать утечку экономически нецелесообразной только на основании ТК РФ не особо то и получится, особенно в случае работника, который планирует увольнение. Собственно поэтому ИБ и рассматривает таких работников, как высокорисковых. Исключение – руководитель организации. Поэтому в ход идут иные инструменты, в том числе уголовная отвественность (183 и 272.1), работа с конечным бенефициаром утечки

📌📌📌
Тему поста нам подсказал канал ПДн не ПНД
#дело

У нас есть гайды, самиздат, видео и конференции. А теперь еще офлайн-лекция)

↘️ Ее идея проста:

мы разобрали всю история конфликтов человека и технологий и разложили ее на конкретные этические, экономические и социальные вопросы. И все это в формате 101

В субботу 7 февраля в Лектории Достоевского у нас будет полтора часа, чтобы не просто раскрыть ключевые концепции и принципы, но и показать, как они реализуются на практике

Да, лекция не только о том, почему комплаенс-специалисты должны читать Юнгера и Аристотеля (и кратком содержании идей примерно 15 мыслителей). Мы приведем примеры успешного использования этики, социологии и экономики в судебных спорах и GR, а еще расскажем о собственном опыте разрешения этических конфликтов в сфере технологий

Правительство Британии начинает исследование по дальнейшему ограничению Интернета для детей. Планируется изучить вопросы:
⚫️запрета телефонов и соцсетей в школах;
⚫️ограничения доступа детей к соцсетям;
⚫️контроля экранного времени.

Сейчас Британия запускает публичную консультационную программу. Это значит, что исследовательские центры и GR-службы могу предоставлять свои данные и выводы напрямую правительству через специальный комитет

В коммюнике говорится, что начало защите детей от вредного влияния Интернета уже было положено, ведь был подписан Online Safety Act❗️
Правда вот, когда его подписывали в 2023, риторика была другой. OSA позиционировали, как квинтэссенцию защиты детей, финальный рывок к безопасному Интернету. Но вдруг выясняется, что это только первый шаг в долгом пути запретов и ограничений. Никогда ведь такого не было...

✏️ Наш Законодатель внимательно следит за британским опытом, мы писали об этом тут

Дело Тимченко: Конституционный Суд "разрешил" крипту

Раньше было как:

О криптовалюте надо сообщать в ФНС. Не сообщил – лишаешься права на судебную защиту

По этой причине суды отказали в иске гр. Тимченко. Он пытался через суды вернуть крипту (1000 USDT), которую он передал в управление крипто-инвестору, который ее не вернул

Закон о ЦФА обязывал не-майнеров уведомлять ФНС, но не говорил, как это делать. Адекватный и понятный порядок уведомления существовал только для майнеров

Конституционный суд указал: да, государство может вмешиваться в регулирование чего-то в целях безопасности и налогообложения. Но оно не может ставить системообразующее право человека (на судебную защиту) в зависимость от недоработанного и неоднозначного требования

↘️ Что по итогу:
1️⃣Для майнеров ничего не изменится – они будут получать возможность защищать крипто-активы только в случае уведомления ФНС

2️⃣Для инвесторов (т.е. всех остальных, ведь платить криптой внутри РФ нельзя) – все интереснее. Все не-майнеры получают право на судебную защиту. Отказать по причине неуведомления налоговой суды больше не могут. При этом истец должен будет доказать легальность происхождения крипты. Защиты по факту существования актива все еще нет

Более того, КС указал Законодателю предусмотреть новый принцип регулирования крипты для инвесторов, а само по себе уведомление, как подтверждение легального статуса, может и сохраниться

📌📌📌
Заметки на полях:
⚫️техническая сторона и административное давление в публичных целях - не повод лишать базовых прав на обращение к государству за защитой (может понадобиться при спорах на заблокированных площадках)
⚫️зачем-то КС сослался на уголовную практику и сказал, что в целях УК крипта это почти-почти имущество - это усиливает позиции обвинения

На этой неделе мы выложим гайд/аналитику по кибератакам в практике российских судов. Там 19 страниц, схемы, статистика и разбор 30+ дел

А пока, вот что у нас уже есть по хэштегу #101guide:

⚫️Разбор публичных лицензий

⚫️Гайд по созданию и размещению согласий и политики ПДн

⚫️Гайд по комплаенсу в работе с рекомендательными технологиями

⚫️Дерево решений после утечки ПДн

⚫️Гайд по работе с Cookies

Отдельно стоит наш спецпроект: Самиздат про судебную зарисовку

Аналитика / #101guide по Кибератакам в практике российских судов

Внутри цитаты из решений и выдержки из законодательства, обзоры показательных дел, схемы и субъективные рекомендации

Что конкретно мы разобрали⁉️
⚫️исполнение обязательств, сорванных кибератакой, неустойки по ним (22 дела)
⚫️взыскание убытков, причиненных кибератакой (8 дел)
⚫️ссылки на кибератаку, как причину утечки персональных данных (11 дел)

✏️ Основные выводы:

⚫️Хотя суды и рассматривают кибератаку, как нормальный деловой риск, ее можно признать форс-мажором
⚫️В гражданских спорах суды обращают внимание на действия оператора после кибератаки и его стремление выполнить условия сделки не смотря на сбой систем. В административных спорах наоборот, акцент делается на подготовительных мерах и противодействии угрозе
⚫️По умолчанию облачные услуги предоставляются «как есть», их провайдер отвечает за кибербез только в пределах, установленных договором

project - подписаться

Вспомнилось интересное #дело о разглашении тайны сотрудником

Сотрудник слил персональные данные, работодатель уволил его по статье ТК за разглашение охраняемой законом тайны. Сотрудник пошел оспаривать увольнение в суд

И суд встал на сторону работника. Почему⁉️

↘️ Между работником и работодателем было подписано соглашение о неразглашении коммерческой тайны. При этом Положение о коммерческой тайне не включало персональные данные. Значит, формально, сотрудник не нарушил своих обязанностей по защите информации. А в трудовых спорах обязанности сотрудника не толкуют расширительно

Как решать вопрос? Через ссылку на П. 43 ПП ВС от 17.03.2004, где сказано, что дисциплинарная отвественность может применяться за разглашение персональных данных. Но для этого нужно:
⚫️чтобы данные стали известны сотруднику в связи с исполнением обязанностей (через служебный доступ или его превышение)
⚫️чтобы в соглашении с сотрудником был отдельный пункт о неразглашении персональных данных

Повод перепроверить свои ЛНА. Кстати, не думаем, что в этом вопросе стоит искушаться практикой, которую мы описывали вот тут, и пихать ПДн в общий режим КТ. Эти режимы не однородны

Апелляционное определение Новосибирского областного суда от 16 августа 2022 года по делу №33-7907/2022

↘️ Вьетнам на острие ограничения рекламы

С 15 февраля в силу вступает Декрет 342/2025
Он вводит новые правила онлайн рекламы. И они крайне приятные

1️⃣Во-первых, видео или анимированную рекламу теперь нельзя заставлять смотреть дольше 5 секунд
То есть по прошествии этого времени должна появляться кнопка пропуска/закрытия рекламы

2️⃣Статичные баннеры должно быть можно закрыть сразу
Как с видео и анимацией, только не дольше 0 секунд 😁

3️⃣Способ пропуска/закрытия рекламы должен быть «простым и прозрачным»
Иными словами, никаких кнопок, по которым невозможно попасть и элементов баннера, имитирующих кнопку его закрытия

✏️ Примечательно, что на удаление рекламы, нарушающей данный закон дается 24 часа. Но если она «представляет угрозу национальной безопасности», она должна быть удалена немедленно

Иностранные сервисы размещения рекламы также обязаны подчиниться данному закону. Отговорки не принимаются 📱

Какое #дело!
Банк компенсирует 46 миллионов рублей клиенту, пострадавшему от утечки

Бывший сотрудник слил мошенникам данные клиента. Используя их, поддельный паспорт и халатность других сотрудников, мошенники увели деньги вкладчика, просто сняв их в отделении в другом городе

Тезисы суды:
⚫️Банк не провел внутреннего расследования инцидента и спихнул все на МВД - это ИБ на заметку (а то там как раз бюджеты согласовывают, вот вам и аргумент)
⚫️Банк не наладил должной структуры проверки действий клиента и противодейсвию мошенникам

↘️ Итог такой: кибератаки и инсайдеры – не оправдание для банка. В основе его бизнеса должна быть обязанность заботиться о клиенте. То есть все, суды прямо ссылаются на фидуциарные обязанности, появление которых мы предсказывали в июне прошлого года

Любопытна структура компенсации:

27,5 мультов - украденные мошенниками деньги;
3,3 мульта - проценты по 395 ГК РФ, неплохо
15,5 мультов - штраф по ФЗ «О защите прав потребителей»
30к - моральный вред 

📌📌📌
Это что, антифрод становится новой сферой защиты прав потребителей, в которой субъекту выгодно судиться? Это что, экономические инструменты гражданского общества вместо штрафов от регулятора? 
Ссылка и номер дела в комментах

Написали для корпоративного Хабра статью о персональных данных. В первой части есть обзор практики по 13.11 КоАП, небольшие рекомендации и даже идея стратегии защиты в случае утечки в результате кибератаки/внутреннего нарушителя. Вторая часть вам знакома, ведь она собрана из #101guide. Если откроете на досуге - будем очень признательны 💪

А еще, приняли участие в подготовке отчета по штрафам за утечку ПДн в мире за 2025 для InfoWatch. Это о нем писал ТАСС, и там есть показательные цифры - смело берите их для своих исследований

✏️ В тему - есть еще старая статья об истории становления персональных данных как таковых и заложенной в законодательство философии