Подписывайтесь на «Что к чему» —
анамнез и главные симптомы беларуского ИТ.
Цифры, графика, ничего лишнего. Выходит раз в 2 недели.
Спасибо! На указанный адрес отправлено письмо для подтверждения подписки.
Этот материал здесь благодаря Клац-Клац. Хочешь узнать больше — делай Клац

Лёгкая ли вы добыча для киберпреступников? Пройдите тест и узнайте

В ноябре 2021 года в Беларуси вступил в силу Закон «О защите персональных данных».

Пользователи получили возможность лучше контролировать, какие данные и кому они оставляют, а бизнес — обязанность обеспечивать защиту этих данных в соответствии с новыми требованиями. 

В то время, как мошенники во всем мире обманывают крупные компании, могут ли они заработать на вас или вашем бизнесе? Вместе с hoster.by сделали тест. Пройдите его и выясните, лёгкая ли вы добыча для киберпреступников. 

8 комментариев

В ноябре 2021 года в Беларуси вступил в силу Закон «О защите персональных данных».

Пользователи получили возможность лучше контролировать, какие данные и кому они оставляют, а бизнес — обязанность обеспечивать защиту этих данных в соответствии с новыми требованиями. 

В то время, как мошенники во всем мире обманывают крупные компании, могут ли они заработать на вас или вашем бизнесе? Вместе с hoster.by сделали тест. Пройдите его и выясните, лёгкая ли вы добыча для киберпреступников. 

 Советы для пользователей 
  1. Используйте многофакторную аутентификацию для социальных сетей, почтовых клиентов и других важных сервисов. Это «многослойный» способ защиты аккаунтов, он значительно усложняет взлом ваших сервисов.
  2. Заведите отдельную платежную карту для расчетов в интернете. Даже если данные карты будут скомпрометированы, ее блокировка доставит вам значительно меньше проблем, чем, например, блокировка основной зарплатной карточки.
  3. Всегда проверяйте корректность адресов электронной почты, ссылок в сообщениях, которые вы получаете. Не открывайте письма от неизвестных получателей и тем более не стоит переходить по ссылкам.
  4. Следите за актуальностью ПО и операционных систем, которыми пользуетесь, а также не забывайте про антивирус. Благодаря обновлениям производители в том числе устраняют критические уязвимости в безопасности своих продуктов.
  5. Используйте сложные и разные пароли для разных аккаунтов. В этом помогут проверенные менеджеры паролей. И никаких заметок в телефоне.
Советы для бизнеса
  1. Назначьте ответственного за безопасность персональных данных в компании. Не обязательно, чтобы это был специалист по безопасности. Как правило таким человеком становится юрист.
  2. Введите разграничение прав доступа для сотрудников и контроль за учетными записями. Логирование позволит вам контролировать, что происходит с данными внутри компании и определить, кто пытается получить доступ к информации, не предназначенной для конкретного пользователя.
  3. Отделите персональные данные от других клиентских данных. Четко определите каналы сбора, способы и продолжительность их хранения, а также необходимый минимум персональных данных, нужный вам для работы. Именно его нужно будет защищать и хранить в соответствии с Законом.
  4. Для работы с персональными данными аттестуйте свою информационную систему в соответствии с требованиями нового закона. Все технические требования по защите данных также определены в Указе ОАЦ № 66.
  5. Регулярно проводите аудит безопасности информационных систем. Важно, чтобы это была сторонняя специализированная организация, а не скрипт, написанный вашими же сотрудниками.

В hoster.by можно под ключ закрыть вопрос по подготовке и аттестации защищенной информационной системы в соответствии с Законом «О персональных данных». Процесс аттестации предполагает много шагов: от аудита и проектирования информационной системы до ее реализации и получения аттестата. Все шаги на себя берёт hoster.by

Подписывайтесь на «Что к чему» —
анамнез и главные симптомы беларуского ИТ.
Цифры, графика, ничего лишнего. Выходит раз в 2 недели.
Спасибо! На указанный адрес отправлено письмо для подтверждения подписки.
Читайте также
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Самые популярные пароли в разных странах мира: от welkom до webhompass
Самые популярные пароли в разных странах мира: от welkom до webhompass
Самые популярные пароли в разных странах мира: от welkom до webhompass
«123456» — самый часто используемый пароль в большинстве стран по всему миру. Но стоит провести разбивку по странам или языку, и результаты сильно удивят. Мы часто выбираем слабые пароли вроде «123456», просто потому что их легко запомнить и быстро вводить. Иногда все различия между такими паролями заключаются в самом языке: если у англичан в топе «password», то немцы отдают предпочтение «passwort»; французы вместо «qwerty» используют «azerty» из-за особенностей французской раскладки клавиатуры — буква a стоит у них вместо привычной нам q.
Бизнес в РФ столкнулся с ростом цен на отечественное ПО в сфере безопасности
Бизнес в РФ столкнулся с ростом цен на отечественное ПО в сфере безопасности
Бизнес в РФ столкнулся с ростом цен на отечественное ПО в сфере безопасности
2 комментария

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Anonymous
Anonymous
1

А реклама то - с юморком.
Первые два абзаца - просто шедевр ))))

4

Вопрос к людям, которые составляли тест на якобы "проверку насколько вы легкая добыча" - в тесте вопрос про то, что такое фарминг. Скажите мне, если я, допустим, не знаю что означает данный термин - я автоматически становлюсь легкой добычей? Или может быть поскольку я знаю про возможные пепренаправления на другие сайты - то какая разница какой у него термин?
Т. е. мошенники это как преподы в универе, спросили в падике за термин - не знаешь - отжали мобилу?

Александр Зорин
Александр Зорин Chief Information Security Officer в SaM Solutions
-2
1

Возьму на себя смелость развеять сомнения тредстартера. Как раз-таки "в целях компании" ваши данные и будут использованы. "Для" маркетинговых целей - данные могут собираться. "В" маркетинговых целях - использоваться. Сам закон не определяет список целей обработки. Они описываются в политике обработки перс данных каждой конкретной компании. В общем, Статья 4 вам в помощь.
И если цель компании – оказывать сервис для клиента и для этого необходимы перс данные, то без получения этого согласия она попросту не сможет этого сделать, как и пользователь получить услугу. Другое дело, что само согласие – не панацея для получения перс данных, это единственное, с чем можно согласиться

Александр Зорин
Александр Зорин Chief Information Security Officer в SaM Solutions
-1

ОК. Проведу ликбез, смотрю, что юридическая безграмотность это массовое явление.
В тесте "дано" выглядит так:
"Сервис аренды авто выпустил обновление: он сообщает, что пользоваться услугами можно, если вы соглашаетесь на обработку персональных данных и использование их в целях компании. Это вообще законно, вы как считаете?"
Читаем ст. 5 Закона:
" 5. До получения согласия субъекта персональных данных оператор в письменной
либо электронной форме, соответствующей форме выражения такого согласия, обязан
предоставить субъекту персональных данных информацию, содержащую: ... цели обработки персональных данных".
Из статьи 4 Закона, на которую вы сослались, следует, что цели должны быть сформулированы и определены. Цели не являются понятием относительным, т. е. целью обработки не может быть цель, а значит формулировка из вопроса "вы соглашаетесь на обработку персональных данных и использование их в целях компании" некорректная, она не содержит пояснения в каких целях дано согласие.

Я кобы правильный ответ: "Да, это реальность, с которой приходится мириться. Если хочешь пользоваться различными сервисами — готовься, что твои данные будут использовать в маркетинговых целях."
Это не верно, так как во-первых из вопроса нам не известно, получено ли согласие субъекта на обработку ПД в маркетинговых целях, во-вторых субъект вправе не предоставлять согласие на обработку его ПД в маркетинговых целях, а предоставить согласие только на обработку, достаточную для пользования сервисом (см. статью 4 Закона). Если же сервис ультимативно настаивает на предоставлении согласия на обработку более, чем необходимо, для его использования, субъект вправе отозвать согласие или подать жалобу о нарушении закона.

Не за что, я рад, если юридически неграмотных людей благодаря моему камменту станет меньше :-)

-1

что ж, попробую донести :) мы смотрим на один и тот же вопрос с разных сторон.
итак,
"формулировка из вопроса "вы соглашаетесь на обработку персональных данных и использование их в целях компании" некорректная, она не содержит пояснения в каких целях дано согласие." - очевидно, что "в целях компании" не противоречит ни нормам закона, ни логике. Можно бесконечно заниматься буквоедством, но это не имеет отношения к юридической грамотности.
"Это не верно, так как во-первых из вопроса нам не известно, получено ли согласие субъекта на обработку ПД в маркетинговых целях..." - продолжаем смотреть статью 4: "4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки."
Если в согласии компания/сервис указывает конкретные цели, в которых могут быть и маркетинговые, и коммуникационные цели, то она ничего не нарушает.
ну и наконец "субъект вправе не предоставлять согласие на обработку его ПД в маркетинговых целях, а предоставить согласие только на обработку, достаточную для пользования сервисом " - маркетинговые цели лишь определяют, как в дальнейшем будут использоваться собранные данные, достаточные для использования сервиса.

Александр Зорин
Александр Зорин Chief Information Security Officer в SaM Solutions
-1

Увы, у меня для вас плохие новости, вы спорите ради спора, что выглядит глупо и некомпетентно. Вы утверждаете "очевидно, что "в целях компании" не противоречит ни нормам закона, ни логике." В Законе, если читать то что написано русским языком, четко определено в ст. 5 закона:
"
5. До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:

цели обработки персональных данных; перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных; иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных." Руководствуясь ст. 4 Закона можно совершенно однозначно сказать, что формулировка "в целях компании" незаконна, так как цель обработки ПД не может являться целью компании.

Далее вы противоречите сами себе и пишете "если в согласии компания/сервис указывает конкретные цели", хотя выше утверждали, что цели могут быть неконкретные и это законно. В данном случае слово "если" лишнее, обработчик ОБЯЗАН указать цели обработки персональных данных. Тогда согласие будет получено законно, соответственно формулировка в вопросе является некорректной и противоречит Закону.

Далее поясню на всякий случай, для предложения ликбеза, вы пишете: " маркетинговые цели лишь определяют, как в дальнейшем будут использоваться собранные данные, достаточные для использования сервиса". Это не верно с точки зрения Закона. Вы пришли например в автосалон, автосалон предлагает вам стандартную форму согласия в которой в качестве целей указаны:

оказание медицинских услуг; маркетинг. Таким образом у субъекта данных появляется выбор предоставить согласие или нет, а также выбрать объем согласия, например вычеркнув цели, обработка в которых его не устраивает. Более того ст. 5 Закона определяет следующее: "Согласие субъекта персональных данных на обработку персональных данных не требуется: для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации; при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором; в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами; в случаях, когда настоящим Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных." Из указанного в ст. 6 следует, что если вы в автосалоне заключаете договор для покупки автомобиля, то вам вообще не нужно давать никакого согласия, а предложенное вам соглашение избыточно и сделано в целях получить согласие на больший объем целей, чем определен рамками оказания вам соответствующих услуг. Аналогичные ситуации случаются в медицинских центрах, чтобы получить ваше согласие более чем необходимо для оказания вам мед. услуг вам дают форму, тоже самое написал hoster.by преподнося это как законные действия с их стороны :-)

Вот и возникает мысль, то ли юристы hoster.by безграмотные, то ли это локальная глупость автора теста, то ли это попытка убедить (обмануть) аудиторию, что незаконные действия типа законны ;-)

С наилучшими пожеланиями, надеюсь мой комментарий помог вам стать еще более грамотным.

Александр Зорин
Александр Зорин Chief Information Security Officer в SaM Solutions
-1

Увы, у меня для вас плохие новости, вы спорите ради спора, что выглядит глупо и некомпетентно. Вы утверждаете "очевидно, что "в целях компании" не противоречит ни нормам закона, ни логике." В Законе, если читать то что написано русским языком, четко определено в ст. 5 закона:
"До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:
цели обработки персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
иную информацию, необходимую для обеспечения ПРОЗРАЧНОСТИ процесса обработки персональных данных."
Руководствуясь ст. 4 Закона можно совершенно однозначно сказать, что формулировка "в целях компании" незаконна, так как цель обработки ПД не может являться целью компании и не прозрачна.

Далее вы противоречите сами себе и пишете "если в согласии компания/сервис указывает конкретные цели", хотя выше утверждали, что цели могут быть неконкретные и это законно. В данном случае слово "если" лишнее, обработчик ОБЯЗАН указать цели обработки персональных данных. Тогда согласие будет получено законно, соответственно формулировка в вопросе является некорректной и противоречит Закону.

Далее поясню на всякий случай, для продолжения ликбеза, вы пишете:"маркетинговые цели лишь определяют, как в дальнейшем будут использоваться собранные данные, достаточные для использования сервиса". Это не верно с точки зрения Закона. Вы пришли например в автосалон, автосалон предлагает вам стандартную форму согласия в которой в качестве целей указаны:
оказание услуг по продаже автомобиля;
маркетинг.
Таким образом у субъекта данных появляется выбор предоставить согласие или нет, а также выбрать объем согласия, например вычеркнув цели, обработка в которых его не устраивает. Более того ст. 5 Закона определяет следующее: "Согласие субъекта персональных данных на обработку персональных данных не требуется:

для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации; при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором; в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами; в случаях, когда настоящим Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных." Из указанного в ст. 6 следует, что если вы в автосалоне заключаете договор для покупки автомобиля, то вам вообще не нужно давать никакого согласия, а предложенное вам соглашение избыточно и сделано в целях получить согласие на больший объем целей, чем определен рамками оказания вам соответствующих услуг. Аналогичные ситуации случаются в медицинских центрах, чтобы получить ваше согласие более чем необходимо для оказания вам мед. услуг вам дают форму, тоже самое написал hoster.by преподнося это как законные действия с их стороны :-)

Вот и возникает мысль, то ли юристы hoster.by безграмотные, то ли это локальная глупость автора теста, то ли это попытка убедить (обмануть) аудиторию, что незаконные действия типа законны ;-)

С наилучшими пожеланиями, надеюсь мой комментарий помог вам стать еще более грамотным.