Всё для ИИ: бизнес могут обязать передавать данные без обезличивания

Олеся Афанасьева 12 Июля 2022 - 09:46

...

Всё для ИИ: бизнес могут обязать передавать данные без обезличивания

Минцифры дорабатывает закон, регулирующий оборот обезличенных данных. Бизнес будет обязан бесплатно передавать государству массив данных, включая персональную информацию клиентов. Их хотят использовать для развития ИИ.

О планах Минцифры сегодня пишет “Ъ”.

В первой версии обезличивание данных могло происходить только с согласия клиента, а бизнес мог затем их свободно использовать. После этого Минцифры трижды вносило законопроект в правительство. Третья редакция была одобрена: она включала требование для бизнеса передавать уже обезличенные данные государству.

Очередная версия документа предполагает, что бизнес по запросу министерства будет передавать данные в государственную информационную систему (ГИС) уполномоченного органа, который ее обезличит и сформирует дата-сеты.

Согласие субъекта персональных данных для этого будет не нужно. Состав данных и цели их использования определит правительство. Бесплатный доступ к обезличенной информации Минцифры хочет передавать госорганам и российским разработчикам. Предполагается, что извлекать исходные данные они не смогут.

Эксперты считают, что защищенность исходных ПДн в этой схеме не гарантирована. Необходимо разработать режим обезличивания, позволяющий соблюсти баланс интересов разработчиков и защищенности личной информации, подчеркивает глава Института исследований интернета Карен Казарян.

По его словам, без полноценного обезличивания данных до того, как их отдадут третьей стороне, в этом никто не может быть уверен. Даже обезличивание не гарантирует анонимизации. Есть риск, что, дополнив полученные данные другими, можно будет определить принадлежность ПДн конкретному человеку.

“Поэтому при каждом объединении различных баз данных необходимо заново проводить оценку рисков возможного деобезличивания”, — говорит Казарян.

По проекту, отдавать государству массив данных, включая ПДн, бизнес будет бесплатно. Новый вариант законопроекта просто обязывает бизнес передавать персональную информацию клиентов государству, а не регулирует рынок обезличенных данных, полагает собеседник “Ъ” на рынке данных.

Сами компании без энтузиазма оценивают такую перспективу.

“Обязанность передавать результаты интеллектуальной деятельности в адрес ГИС негативно скажется на развитии направления больших данных и не будет стимулировать компании к внедрению передовых инновационных решений в этой области”, — сказали “Ъ” в “Вымпелкоме”.

Новая версия законопроекта еще не согласована правительством и Госдумой. В Минцифры комментариев не дали.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Сентября 2025 - 09:14

Android Уязвимости программ Домашние пользователи Корпорации Средства поиска уязвимостей Bug Bounty

Учёные создали ИИ-агента для поиска уязвимостей в Android

Учёные из Китая и Австралии представили систему A2 — ИИ-агента, который умеет находить уязвимости в Android-приложениях и даже создавать PoC-эксплойты на лету. По сути, это продолжение их предыдущей разработки A1, ориентированной на смарт-контракты, только теперь фокус на мобильных приложениях.

Авторы исследования — Цзыюэ Ван из Нанкинского университета и Лийи Чжоу из Университета Сиднея — утверждают, что A2 показывает впечатляющие результаты: 78,3% покрытия на тестовом наборе Ghera против 30% у статического анализатора APKHunt.

Более того, при проверке 169 реальных APK-файлов агент нашёл 104 уязвимостей нулевого дня, из которых 57 подтвердил автоматически с помощью PoC-эксплойтов.

Один из примеров — баг в приложении более чем с 10 миллионами установок. Речь идёт об уязвимости типа intent redirect: если приложение не проверяет, куда именно отправляется «интент» (сообщение с запросом действия), злоумышленник может подменить получателя и перехватить управление.

Главное отличие A2 от предыдущих решений в том, что система не просто ищет подозрительные места в коде, а сама же проверяет их на практике. Как поясняет Чжоу, A2 разбивает задачу на этапы — найти ключ, сгенерировать токен, обойти аутентификацию — и на каждом шаге подтверждает результат. Это сильно снижает количество ложных срабатываний, от которых страдают традиционные сканеры.

Любопытно и то, что A2 построен на коммерческих ИИ-моделях вроде OpenAI o3 и Gemini 2.5. Они распределены по ролям: планировщик, исполнитель и валидатор. Такой «оркестр» ИИ позволяет подойти к поиску уязвимостей так, как это сделал бы живой эксперт.

Разработчики уверены: будущее за подобными агентами. Стоимость проверки уязвимости колеблется от менее доллара до нескольких долларов, а потенциальные вознаграждения в программах баг-баунти могут достигать тысяч. Правда, остаётся вопрос: баг-баунти покрывают далеко не все приложения, и часть найденных уязвимостей может оказаться на вооружении злоумышленников.

По словам Чжоу, мы стоим на пороге «взрыва» в этой области: одни будут использовать A2-подобные системы для защиты, другие — для атак. Адам Бойнтон из Jamf добавляет, что ценность A2 именно в том, что он переводит процесс из бесконечного потока «шумных» алертов в доказательную практику, где командам безопасности остаётся разбираться только с реальными рисками.

Код A2 и артефакты пока доступны только исследователям с институциональной аффиляцией — баланс между открытой наукой и ответственным раскрытием.