Закон об изменениях в КоАП об административных нарушениях в области персональных данных подписан: возможные последствия

Вчера в 17:45 на сайте Президента России появилось сообщение: «Внесены изменения в КоАП. Президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

С 1 июля этого года заработает новая редакция статьи 13.11 КоАП, вводящая семь составов административных правонарушений, о которых я уже писал в блоге. Изменилось и название статьи, теперь оно звучит так: «Нарушение законодательства Российской Федерации в области персональных данных».

Давайте проанализируем, что изменилось по сути и каковы возможные последствия этих изменений.

Первое и главное – протоколы об административных правонарушениях, квалифицируемых новой редакции статьи 13.11, будут после 1 июля составлять не прокуроры, как сейчас, а должностные лица Роскомнадзора и его территориальных управлений при сохранении нормы о наложении штрафа мировыми судьями. Срок привлечения к ответственности сохранился прежний – 3 месяца, но процедура привлечения к ответственности существенно упростилась.

Ранее территориальное управление Роскомнадзора, выявившее нарушение, направляло результаты проверки в прокуратуру по месту нахождения нарушителя, в прокуратуре возбуждалось административное производство, составлялся протокол о правонарушении и направлялся в суд. В результате нередко дела не возбуждались по формальному признаку истечения сроков привлечения к ответственности.

Теперь из этой цепочки прокуратура исключается, материалы будут двигаться быстрее, а штрафов, скорее всего, станет больше.

Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 с одним составом правонарушения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф. А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает.  

Поддерживают позицию Роскомнадзора в отношении процедуры получения согласий и суды. Так, Девятый арбитражный апелляционный суд в постановлении по делу № А40-32030/2016прямо указывает: «Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». И далее: «доводы о том, что Обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям статьи 9 Закона о персональных данных».

Написал выше «каждое из выявленных нарушений можно квалифицировать отдельно» и был не точен. У новой редакции статьи 13.11 появилась еще одна особенность: теперь по ней можно привлечь к ответственности далеко не за каждое выявленное нарушение. Так, нет ответственности за невыполнение нашумевшего закона 242-ФЗ о территориальности персональных данных россиян, которым в статью 18 закона «О персональных данных» была добавлена новая часть 5.

Не предусмотрен штраф и за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687, а оно было одним из наиболее часто выявляемых при проверках в 2016 году. Нельзя в новой редакции статьи 13.11 наказать за отсутствие в поручении обработки персональных данных существенных условий, предусмотренных частью 3 статьи 6, которое тоже выявлялось при проверках в 2016 году очень часто.

Но все это предположения. Как будут применяться новые нормы, станет известно только после реализации их Роскомнадзором на практике. 31 января на дне открытых дверей представители надзорного ведомства отказались комментировать, как будет применяться закон, сославшись на то, что он пока не принят.

Так что наберемся терпения. Но готовиться к новым правилам надо уже сегодня, чтобы завтра не столкнуться с невиданными ранее штрафами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Yandex Cloud открыл клиентам опцию веб-защиты сайтов от DDoS

В рамках проходящей в эти дни конференции Yandex Cloud компания «Яндекс» объявила об официальном запуске нового сервиса для защиты веб-приложений — Smart Web Security. В настоящее время функция Smart Web Security работает в режиме Public Preview и предоставляется ограниченному количеству пользователей бесплатно по запросу. Воспользоваться новым сервисом смогут компании, разместившие свои сайты в облаке Yandex Cloud.

Новая технология Smart Web Security позволяет блокировать наиболее сложные атаки злоумышленников, которые реализуются через ботов на прикладном уровне L7 (Application level) по классификации OSI. Считается, что такие DDoS-атаки максимально близко имитируют поведение «живых» пользователей, поэтому для защиты от реализуемых с их помощью DDoS-атак наиболее эффективным является отсечение ботов от доступа к разделам пользовательских сайтов. Технически данная функция была доступна и ранее, но на уровне корпоративных средств защиты. Это стоило достаточно высоких затрат. Теперь опция защиты от DDoS становится доступной для всех клиентов Yandex Cloud.

Особенности работы механизма Smart Web Security

Как отмечает «Яндекс», новая технология помогает выявлять угрозы с помощью поведенческого анализа пользователей, встроенных алгоритмов машинного обучения и средств интеграции с капча-механизмом Yandex SmartCaptcha. Новый сервис «Яндекса» проводит верификацию запросов и способен отличить обращения пользователей от действий роботов в автоматическом режиме.

Если механизм «Яндекса» при автоматической идентификации убеждается, что перед ним с высокой достоверностью присутствует человек, то сервис обходит вызов капча-опции «Я не робот». Если подключение опции показа капчи все-таки требуется, то пользователю достаточно просто кликнуть на чек-бокс и подтвердить, что он не является роботом. В остальных случаях, когда механизм оценки «Яндекса» показывает высокую вероятность присутствия робота, запускается обработка капчи в полном объеме: на экране появляется «изломленный» текст, а от пользователя требуется ввод показанных слов с клавиатуры.

 

Новый сервис был разработан на основе «Антиробота» – внутренней технологии «Яндекса», которая давно применяется внутри компании для отражения DDoS-атак на ее собственные сервисы, сообщает сам вендор. Интеграция тех же ML-алгоритмов в Smart Web Security позволит вести постоянное дообучение механизма на новых реальных паттернах, перехватываемых «Яндексом» в сегменте легитимного и нелегитимного трафика.

Следует также напомнить, что, по имеющимся данным, исходный код Smart Web Security ранее попал в массовую утечку, которая произошла в январе 2023 года. Тогда в сеть попали 45 Гбайт данных «Яндекса» в открытом виде, в том числе исходные коды его отдельных механизмов и готовящейся функции Smart Web Security. Многие утверждали, что из-за этого «Яндекс» получил тогда не только серьезные репутационные убытки, но и трудности в будущей реализации защиты от DDoS. Яндекс не комментировал необходимость переработки алгоритма выявления роботов, поэтому сейчас нет достоверных сведений, работает ли механизм в его нынешней реализации на «слитом» коде или код претерпел существенные изменения.

Кастомизация Smart Web Security

Можно отметить, что «Яндекс» предоставил не просто механизм Smart Web Security, но также предусмотрел возможность его кастомизации. Типовые опции управления представлены в готовых пресетах, но пользователь может выбирать, например, сложность генерируемых капчей, добиваясь эффективной защиты от интеллектуальных DDoS-атак, когда злоумышленники используют механизм для распознавания.

«Яндекс» не использует для капчей рисунки и фотоснимки, поскольку злоумышленники уже научились достаточно хорошо распознавать и обходить такую защиту. Вместо этого «Яндекс» применяет кастомную генерацию двухсловных последовательностей. Сложность их распознавания увеличивается с ростом количества изломов текста. Впрочем, известно по исследованиям самого «Яндекса», что с ростом количества и степени изломов падает распознаваемость текста не только для роботов, но и для человека. Возможно, поэтому «Яндекс» предоставил выбирать сложность капчей самим владельцам сайтов. Как минимум теперь они смогут экспериментировать с качеством своей защиты.

К сожалению, «Яндекс» не предоставляет возможности для кастомного формирования капчей и оценки результатов их выбора посетителями сайтов. Эта опция могла бы быть полезной самим компаниям – клиентам «Яндекса». Например, 20 лет назад на такой опции Google выстроил проект по оцифровке газетного фонда, благодаря чему удалось оцифровать архив всех газетных публикаций The New York Times с самого первого выпуска в 1851 году. Это было большое культурное достижение. Оно позволило практически бесплатно решить задачу, за которую не бралось ни одно профильное агентство.

С сегодняшнего дня в сервисе SmartCaptcha появятся ряд существенных улучшений. Станет доступен выбор типов проверок для основного челленджа (чек-бокс и слайдер) и для дополнительного челленджа (текст, силуэты, калейдоскоп). Появится возможность настроить уровень сложности проверок, при этом для оценки правильности выбора клиентам станет доступен встроенный мониторинг с различными метриками, например, показы капчи, успешные прохождения капчи, количество успешных validate запросов в API сервиса и т. д. По этим метрикам можно будет оценивать эффективность работы капчи.

Сколько это стоит?

В арсенале конфигуратора пользователя веб-сайта и раньше была опция защиты от DDoS-атак в рамках услуг Advanced Yandex DDoS Protection и Managed Web Application Firewall. Однако цены на эти услуги остаются достаточно высокими. Они ограничивают применение данной опции в основном только для компаний среднего и крупного бизнеса.

 

Достоинство новой функции Smart Web Security состоит в том, что она позволяет активно противодействовать DDoS также и для компаний малого бизнеса, ведущим свой интернет-бизнес через Yandex Cloud. Пока информации о тарифах на эту опцию нет, она предоставляется в режиме Public Preview ограниченному количеству пользователей бесплатно по запросу. Мы попросили ответить «Яндекс» о планах будущей тарификации этой услуги, но, к сожалению, пока не получили ответа.

«Для нас приоритетно не просто обеспечивать высокий уровень безопасности собственной инфраструктуры, а предоставлять готовые сервисы для защиты ИТ-систем клиентов, – отметил Григорий Атрепьев, директор по продуктам в Yandex Cloud. – Smart Web Security – хороший пример, в котором мы применили алгоритмы защиты, разработанные с учетом экспертизы ИБ-специалистов Яндекса».

Что ждать в будущем еще?

В будущем в сервисе для фильтрации трафика появится еще и технология WAF (Web Application Firewall, межсетевой экран для веб-приложений), обещает «Яндекс». Этот инструмент позволит осуществлять фильтрацию трафика и предоставлять сервис Yandex DDoS Protection на уровнях L3 (сетевой) и L4 (транспортный). Владельцы сайтов в Yandex Cloud смогут комплексно работать с безопасностью на уровне сети и на уровне приложений.

«Яндекс» отмечает, что новый сервис Smart Web Security уже нативно интегрирован с другими продуктами его облачной платформы. В частности, можно по кнопке развернуть его в рамках балансировщика нагрузки Yandex Application Load Balancer, использовать Certificate Manager для безопасного хранения и использования TLS-сертификатов. Средствами Cloud Logging и Audit Trails можно использовать логи сервиса Smart Web Security для анализа трафика и событий безопасности. Можно также применять накопленные данные для мониторинга в рамках Yandex Monitoring.

Насколько накладна для «Яндекс» реализация новой функции Smart Web Security?

Согласно обнародованным данным, в настоящее время облачным сервисом Yandex Cloud пользуется более 29 тыс. клиентов. Как уже было отмечено ранее, наиболее нагруженный сценарий поддержки, охватывающий загрузку капчи в виде «ломанного текста», требует передачи трафика в размере 300 Кбайт. Используемые ML-алгоритмы позволяют отсечь не менее 50% от дополнительной проверки, опираясь на поведенческий анализ активности. Благодаря этому для них не требуется загрузка графики капчей. Таким образом, благодаря ИИ и оптимизации процедуры обработки, «Яндекс» обеспечил ограничение повышенной загрузки при реализации DDoS-защиты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru