Оборотные штрафы за утечки начнутся с 10 тысяч пострадавших

Оборотные штрафы за утечки начнутся с 10 тысяч пострадавших

Оборотные штрафы за утечки начнутся с 10 тысяч пострадавших

Компании получат оборотные штрафы, если допустят утечку информации более чем 10 тыс. субъектов персональных данных. Такой вариант обсуждается в Минцифры. Законопроект обещают показать в середине сентября.

О подвижках в работе над законопроектом о штрафах за утечки пишет сегодня РБК. Обсуждение началось еще в мае, после громких скандалов с Яндекс.Едой, Delivery Club и Гемотестом.

Обсуждалось, что штраф составит от 1% до 3% оборота. Однако крупные ИТ-компании просили смягчить формулировки документа. Как альтернативу они предлагали трехступенчатую систему наказания: предупреждение за первую утечку; крупный штраф — за вторую; при третьей утечке выплачивается оборотный штраф.

В середине июля Минцифры сообщало, что обсуждаемые предложения включают следующие:

  • штрафы будут применяться в два этапа: за первую утечку — фиксированный (размер зависит от объема данных), при повторной утечке станет применяться оборотный штраф. Будут установлены границы, “от” и “до” какого процента от выручки можно будет взыскать оборотный штраф;
  • будут учитываться смягчающие и отягчающие обстоятельства при определении размера штрафа. Вкладывалась ли компания в защиту информации или пыталась скрыть утечку;
  • будет определено, как устанавливать вину конкретной компании за утечку данных: как отличить, произошла ли новая утечка или мошенники выдают за нее данные из разных баз, слитых ранее;
  • рассматривалась возможность создания специального фонда, в который будут перечислять собранные штрафы и из которого станут выплачивать компенсации гражданам, пострадавшим от утечек.

Сейчас обсуждается, что оборотный штраф может грозить компаниям в том числе и за первую утечку, если она коснулась более 10 тыс. субъектов персональных данных.

Среди смягчающих обстоятельств, которые “позволят снизить штраф вплоть до фиксированного значения в несколько миллионов”, источник издания назвал такие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности.

Вопрос создания фонда для компенсации ущерба еще прорабатывается с отраслью. Участники обсуждения хотят создать такой механизм, чтобы этот “фонд не позволил откупиться от утечки”.

Еще один источник РБК на ИТ-рынке говорит, что обсуждение формулировок законопроекта продолжается и они еще могут поменяться. Например, ранее в ходе обсуждений звучали предложения ввести личную уголовную ответственность за утечки персональных данных, но “пока от этой идеи вроде отказались”.

Предварительные сроки предоставления документа — середина сентября.

“Ищем компромисс с бизнесом и отраслью. Минцифры выступает за ужесточение и усиление ответственности за утечки персональных данных. Но задача не в самих штрафах, дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей”, — говорят в министерстве.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru