Минцифры: хранить данные в ЕБС надежнее, чем в банке

Минцифры: хранить данные в ЕБС надежнее, чем в банке

Минцифры: хранить данные в ЕБС надежнее, чем в банке

В Минцифры опровергли планы собирать биометрические данные граждан без согласия. О проекте такого приказа сегодня написал “Ъ”. Ведомство уточняет: поправки касаются уже собранных данных.

“Подготовленный проект приказа не предполагает отмену получения согласия граждан на сбор их биометрических данных”, — говорится в сообщении пресс-службы Минцифры.

По версии “Ъ”, в документе речь шла о том, что согласия субъекта данных на сбор и актуализацию биометрии в ЕБС и “иных информационных системах, обеспечивающих идентификацию и/или аутентификацию с использованием биометрических персональных данных”, требоваться не будет.

Проектом приказа предполагается отрегулировать процессы импорта ранее собранных биометрических данных, хранящихся в коммерческих системах, в основном в банках, в государственную единую биометрическую систему, уточняет Минцифры.

Кроме того, документ еще будут изучать эксперты, успокаивают в ведомстве. В сообщении пресс-службы Минцифры обозначены ключевые положения проекта приказа:

1. Без согласия граждан сбор любых биометрических данных невозможен

Собирать и сдавать биометрию можно только на добровольной основе и только с согласия гражданина:

  • через банк
  • самостоятельно через мобильное приложение (с 30 сентября 2022)
  • в будущем — через МФЦ

Невозможно собирать биометрию:

  • с камер наблюдения
  • из других источников, которые не предусматривают предварительного получения согласия

2. Обязательная загрузка биометрии из коммерческих систем в ЕБС предусмотрена федеральным законом № 325-ФЗ. При этом импортироваться в ЕБС могут только те биометрические данные, которые собраны в соответствии с федеральными законами, то есть с согласия гражданина.

Госуслуги и сам банк должны уведомить гражданина о том, что его данные отправляются в ЕБС.

Экспертов “Ъ” смущала и возможная хаотичность такого сбора данных. Информация из нескольких коммерческих систем не будет “смешиваться”, обещают в Минцифры:

“Если биометрические данные гражданина содержатся в нескольких коммерческих системах, при импорте в ЕБС будут храниться только самые актуальные данные, отвечающие необходимым стандартам качества. Все остальные передаваемые данные будут удаляться”.

В ведомстве также заявили, что в ЕБС данные будут храниться надежнее, чем в самом банке:

“Хранение данных в ЕБС надежнее, чем в коммерческих системах. ЕБС соответствует всем требованиям регуляторов в сфере информационной безопасности, уровень ее безопасности и надежность хранения данных постоянно проверяется и контролируется. Хранение биометрических данных в ЕБС обеспечит их надежную защиту”.

Добавим, это уже второй случай за неделю, когда Минцифры приходится оправдываться. 4 августа “Ведомости” выпустили материал об инициативе ведомства поднять долю российских акционеров ПО до 90%. В тот же день Минцифры выступило с опровержением.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

HybridPetya: наследник Petya научился обходить защиту UEFI Secure Boot

Исследователи из ESET рассказали о новом вымогателе, получившем имя HybridPetya. Этот зловред напоминает печально известные Petya и NotPetya, но с важным отличием: он умеет обходить механизм безопасной загрузки в UEFI-системах, используя уязвимость, закрытую Microsoft в январе 2025 года.

По словам экспертов, первые образцы HybridPetya были загружены на VirusTotal в феврале.

Принцип работы знаком (встречался у Petya): программа шифрует главную таблицу файлов — ключевую структуру NTFS-разделов, где хранится информация обо всех файлах. Но теперь к этому добавился новый трюк — установка вредоносного EFI-приложения прямо в EFI System Partition.

 

У HybridPetya два основных компонента: инсталлятор и буткит. Именно буткит отвечает за шифрование и вывод «поддельного» окна CHKDSK, будто система проверяет диск на ошибки.

 

На самом деле в этот момент шифруются данные. Если диск уже зашифрован, жертве показывается записка с требованием заплатить $1000 в биткойнах. В кошельке злоумышленников на данный момент пусто, хотя с февраля по май туда пришло около $183.

 

Интересно, что в отличие от разрушительного NotPetya, новый вариант всё же предполагает расшифровку: после оплаты жертва получает ключ, и буткит запускает обратный процесс, восстанавливая оригинальные загрузчики Windows.

Некоторые версии HybridPetya используют уязвимость CVE-2024-7344 в UEFI-приложении Howyar Reloader. С её помощью можно обойти Secure Boot — защитный механизм, который должен предотвращать запуск неподписанных загрузчиков. Microsoft уже отозвала уязвимый бинарный файл в январском обновлении.

ESET подчёркивает: пока признаков активного распространения HybridPetya нет, возможно, это только семпл. Но сам факт появления таких образцов показывает, что атаки на UEFI и обход Secure Boot становятся всё более реальными и привлекательными — и для исследователей, и для киберпреступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru