Близится “судный” день операторов персональных данных

Близится “судный” день операторов персональных данных

Компания Entensys, разработчик сертифицированной ФСТЭК программного продукта UserGate Proxy & Firewall 5.2.F, напоминает о необходимости всем организациям, использующим в работе персональные данные, привести свои системы в соответствие с требованиями ФЗ-152 "О персональных данных" до 1 июля 2011 года. Контроль выполнения закона осуществляется ФСТЭК и ФСБ.

Ситуация вокруг ФЗ-152 развивается по характерному для России сценарию. Срок исполнения требований закона переносился несколько раз (последний - с 1 января 2011 года на 1 июля 2011 года). Неподготовленность компаний к данной реформе зачастую объяснялась отсутствием должного объема финансовых средств, которые организации должны направить для изменения своих систем. Особенно это было характерно для государственного сектора. Так, например, к концу октября 2009 года только 5% операторов уведомили о защите персональных данных.

Подобное развитие событий дает поводы организациям весьма скептически относится к необходимости перевода своих систем исключительно на сертифицированное программное обеспечение. Тем не менее, на 2011 год запланированы проверки по спискам, опубликованным на интернет-ресурсах Роскомнадзора и ФСТЭК России. В случае обращения в контролирующие органы от физического лица (субъекта персональных данных) по поводу нарушения организацией требований закона, возможна внеочередная проверка компании.

Решительность подготовительных действий контролирующих органов позволяет говорить о том, что "судный" день операторов персональных данных придет именно 1 июля 2011 года.
В качестве сертифицированного межсетевого экрана в компании применим 5.2.F. Данный продукт является комплексным решением для организации общего доступа в Интернет из локальной сети, учета трафика и защиты корпоративной сети от внешних угроз и соответствует критериям следующих Руководящих документов:

  • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» - по ОУД2;
  • «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации» - по 4 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» - по 4-му уровню контроля.

"Несмотря на постоянные переносы сроков, указанных в ФЗ-152, компании всерьез обеспокоены вопросом перехода на сертифицированное программное обеспечение, - считает Дмитрий Курашев, директор компании Entensys. - Взлет продаж 5.2.F и проведение многочисленных семинаров, посвященных выполнению закона "О персональных данных", позволяют говорить о проявлении организациями значительного внимания к данной теме. Думаю, что после первых проверок скептически настроенных директоров не останется".

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Забытые в коде ключи доступа к OpenAI API позволяют спиратить GPT-4

Разработчики, встраивающие технологии OpenAI в свои приложения, зачастую оставляют API-ключи в коде. Злоумышленники этим пользуются: собирают такие секреты из общедоступных проектов и расшаривают их в соцсетях и чатах, провоцируя пиратство.

Оказалось, что только на GitHub можно с легкостью заполучить более 50 тыс. ключей к OpenAI API, неумышленно слитых в паблик. Украденные данные позволяют использовать ассоциированный аккаунт OpenAI для бесплатного доступа к мощным ИИ-системам вроде GPT-4.

Недавно модераторы Discord-канала r/ChatGPT забанили скрипт-кидди с ником Discodtehe, который упорно рекламировал свою коллекцию ключей OpenAI API, собранных на платформе для совместной работы Replit. Такие же объявления доброхот с марта публиковал в канале r/ChimeraGPT, суля бесплатный доступ к GPT-4 и GPT-3.5-turbo.

Как выяснилось, скрейпинг API-ключей OpenAI на Replit тоже не составляет большого труда. Нужно лишь создать аккаунт на сайте и воспользоваться функцией поиска.

В комментарии для Motherboard представитель OpenAI заявил, что они регулярно сканируют большие публичные репозитории и отзывают найденные ключи к API. Пользователям рекомендуется не раскрывать сгенерированный токен и не хранить его в клиентском коде (браузерах, других приложениях). Полезно также периодически обновлять API-ключ, а в случае компрометации его следует немедленно сменить.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru