На рынке ИБ стартовало обучение защите персональных данных

На рынке ИБ стартовало обучение защите персональных данных

Учебный центр «Информзащита» приступил к обучению специалистов обеспечению безопасности обработки персональных данных в информационных системах.


Принятие Федерального закона «О персональных данных» стало вторым (после закона «О государственной тайне») в России прецедентом, когда государство решило жестко отрегламентировать защиту информации ограниченного доступа, и первым, когда речь идет о конфиденциальных сведениях. Закон предусматривает приведение обработки персональных данных в соответствие с положениями закона до 1 января 2010 года.

Требования, предъявляемые федеральным законом к организациям, только предстоит реализовать в полной мере. Широта охвата субъектов, на которые распространяются требования закона и подзаконных актов, значительна и включает фактически всех юридических лиц России, располагающих информационной системой, в которой обрабатываются как минимум данные кадрового органа и бухгалтерии.


Ввиду отсутствия необходимого опыта обеспечения конфиденциальности обработки персональных данных, сложности реализации в финансовом и техническом плане, дефицита квалифицированных специалистов по данному направлению перед руководством всех российских организаций и предприятий, индивидуальными предпринимателями возникли вопросы, ответы на которые невозможно найти в недолгой правоприменительной практике. Среди наиболее актуальных вопросов можно выделить следующие:


- Удовлетворяет ли сложившая практика обработки персданных в организации требованиям законодательства, если нет, то, что и как надо менять?
- Какие новые риски возникают при вступлении в силу закона и как ими управлять?
- Какие конкретно требования выдвигаются регуляторами в недавно принятых документах, как их реализовывать?
- Как защищать персданные в ходе их обработки, чтобы следовать нормам закона, какие для этого нужны средства?
- Какие санкции накладываются за нарушение или невыполнение требований закона?

На эти и многие другие вопросы были даны ответы в новом курсе «Защита персональных данных», премьера которого с большим успехом прошла в Учебном центре «Информзащита». Среди слушателей курса были не только руководители и специалисты подразделений по защите информации, кадровых служб, но и руководители предприятий - системных интеграторов, компаний-разработчиков ПО и оборудования, организаций финансового и страхового сектора, промышленных и телекоммуникационных компаний, государственных организаций.


Поток писем окончивших курсы специалистов, которые уже приступили к реализации приобретенных знаний на практике, не прекращается до сих пор, что говорит как об актуальности проблематики, так и устойчивой связи, которое создается между Учебным центром и его выпускниками. Вопросы, поступающие от выпускников в адрес преподавателей, являются, с одной стороны, подтверждением своевременности организации обучения, а с другой – гарантией того, что курс будет развиваться и дальше, вместе с развитием практики применения закона, функционирования государственной системы контроля и надзора за его выполнением.


Автором и тренером курса является М.Ю.Емельянников, известный эксперт в области информационной безопасности, имеющий многочисленные публикации по данной тематике, ведущий и спикер на крупнейших международных и российских форумах по проблемам безопасности, автор и разработчик курса «Реализация режима коммерческой тайны на предприятии».
Очередное обучение состоится 25-26 августа 2008 года.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru