Новости кибербезопасности за неделю с 14 по 20 апреля 2025

Все самое интересное из мира кибербезопасности /** с моими комментариями

1) Центробанк прорабатывает свою платформу для контроля доступа к личной информации. Об этом на конференции ВТБ Data Fusion рассказала Эльвира Набиуллина. Она пояснила: сейчас с передачей данных творится хаос и пора навести порядок.

Через новую платформу люди смогут видеть, кому и на что они раньше дали согласие, и, при желании, отозвать его буквально одним кликом. Разработчики пилят удобные API, а сама платформа станет чем-то вроде цифрового паспорта согласий — заглянул, пролистал, всё под контролем.

Набиуллина напоминает: обмен данными — это не просто "нажал галочку и забыл". Это серьёзная штука. Если ничего не регулировать, нас с вами легко могут превратить в мишень для рекламы и навязчивых звонков.

/** Идея очень правильная и своевременная. Уверен, что интерфейс для людей будет реализован на Госуслугах. Я точно отзову очень многие согласия на обработку своих персональных данных, которые когда-то давал.

2) Опубликован проект постановления в котором прорабатываются 2 важных момента:

- Возможность для граждан установить с 1 сентября 2025 года на Госуслугах самозапрет на заключение договора с оператором связи.

Операторы должны будут проверять наличие у граждан запрета на заключение договора об оказании услуг мобильной связи и отказывать в оформлении абонентского номера, если такой запрет будет выявлен.

/** Логичное развитие сервиса проверки оформленных на себя sim-карт. Но, имхо, самое интересное дальше:

- Также в проекте постановления закреплено право гражданина отказываться от получения рекламных sms-рассылок и обзвонов.

Такие вызовы часто применяют для навязывания сомнительных услуг или с мошенническими целями.

Абонент сможет направить оператору заявление — лично, в мобильном приложении оператора или по адресу электронной почты. Датой прекращения нежелательных рассылок или массовых вызовов будет календарный день, следующий за днём подачи заявления. Исключение составят звонки от госорганов и организаций, перечень которых установит Правительство.

/** Я сразу воспользуюсь данным предложением, как только его выпустят. Мне просто интересно, сократится ли на меня тот поток спама (20-30 рекламных звонков в день), который я получаю сейчас или никакого эффекта не будет. Поставьте лайк если сделаете ровно также )

3) Ассоциация больших данных выпустила новую методику, с которой компании могут сами разобраться, насколько правильно у них всё устроено в плане защиты персональных данных.

Методика подогнана под стандарты, которые Ассоциация запустила ещё весной 2024 года на First Russian Data Forum. И вот теперь стандарт освежили, а Совет по этике его заапрувил. Методика должна стать таким себе навигатором для всех, кто не хочет отставать от хайпа в защите данных и строит безопасность не на коленке, а по умному.

/** У меня с этим только одна проблема - где найти столько времени, чтобы все эти стандарты прям подробно изучить и проверить насколько им соответствует та разработка, которой я сам руковожу. Но, видимо, этот документ, мне придётся изучить.

4) Какой-то банк впервые оштрафовали за пересылку персональных данных через WhatsApp, сообщили в Роскомнадзоре.

Суд признал кредитную организацию виновной по статье 13.11.2 КоАП РФ и оштрафовал на 200 тыс. рублей за коммуникацию с должником через WhatsApp.

«С доказательствами нарушения банком закона в Роскомнадзор обратилась жительница Москвы. В ходе разбирательства выяснилось, что сотрудник отправил с корпоративного номера сообщение должнику через WhatsApp», – говорится в сообщении РКН.

С 1 марта 2023 года действует запрет на использования иностранных мессенджеров при оказании финансовых и государственных услуг, необходимый для защиты персональных данных граждан.

/** Помните сами и предупредите близких, что если представители государственных или финансовых организаций связываются с вами в иностранных мессенджерах, то они нарушают закон - они не имею права этого делать!

5) Китайские Android-телефоны поставляются с поддельными приложениями WhatsApp и Telegram, нацеленными на майнинг криптовалют.

Были обнаружены дешевые Android-смартфоны, произведенные китайскими компаниями с предустановленными троянами, маскирующимися под WhatsApp и Telegram, которые содержат функционал клиппера криптовалют.

Большинство скомпрометированных устройств, как сообщается, являются бюджетными телефонами, которые имитируют известные премиальные модели от Samsung и Huawei с такими названиями, как S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra. Многие из затронутых моделей производятся под брендом SHOWJI .

/** Не помню точно цитату и не знаю чья она, но в данном случае, она актуальна: "когда вы не понимаете как компания зарабатывает на товаре, то настоящий товар - это вы". Покупая любой NoName, надо быть готовым к тому, что все данные с этого устройства утекают постоянно.

6) Правительство одобрило поправки в Уголовный и Уголовно-процессуальный кодексы, которые приравнивают цифровые активы, включая криптовалюту, к имуществу. Нововведения предусматривают возможность их ареста и изъятия.

Документ устраняет правовую неопределённость, которая затрудняла работу следственных и оперативных органов при расследовании преступлений. В то же время эксперты указывают, что многие сложности, в частности, связанные с установлением владельцев криптоактивов, остаются нерешёнными.

«Следственные органы получат возможность изымать криптовалюту, конфисковывать её и рассматривать как полноценный объект уголовно-правового регулирования. Сейчас аресты и изъятия уже осуществляются, но механизм обращения взыскания пока не урегулирован», — отметил старший партнёр Criminal Defense Firm.

Случаи изъятия криптовалюты уже имели место, в том числе в резонансных делах. Так, в декабре 2024 года по делу о взятках у бывшего сотрудника МВД были изъяты криптоактивы на сумму более 2 млрд рублей.

/** Всегда было понятно, что регулирование крипты - это вопрос времени. Вопрос явно не простой, но и прогресс по регулированию идёт поступательно и постоянно. Скоро тема с тем, что один из супругов все свои активы переводит в крипту, чтобы при разводе второй половине ничего не досталось, перестанет работать.

7) Apple исправила две активно эксплуатируемые уязвимости iOS, используемые в сложных целевых атаках.

В среду компания Apple выпустила обновления безопасности для iOS, iPadOS, macOS Sequoia, tvOS и visionOS, призванные устранить две уязвимости безопасности, которые, по ее словам, активно эксплуатируются злоумышленниками.

Ниже перечислены уязвимости, о которых идет речь:

/** Обратили внимание, как много 0-day уязвимостей устраняется в этом году во многих популярных продуктах? Напишите в комментах, как думаете, почему так происходит? Это плохая работа тестировщиков или наоборот - хорошая работа хакеров?

И да - обновите свои девайсы!

8) /** Закончить хочу немного оффтопной и жутковатой новостью, но так уж устроен наш мир, наверное.

South China Morning Post сообщает о серии смертей китайских учёных сделавших важные открытия в ИИ, военной и медицинской сферах.

В 2022 году умер 45-летний Сун Цзянь, эксперт по компьютерному зрению и экс-главный учёный Megvii.

В 2023 — 38-летний Фэн Янхэ, работавший над военными ИИ-проектами, погиб по пути на «важную миссию». Также в том же году скончался 55-летний Тан Сяооу, основатель компании SenseTime (распознавание лиц).

В 2024 — 40-летний Хэ Чжи, сооснователь Yidu Tech, занимавшейся ИИ-решениями в здравоохранении.

/** Это и недавняя история с Boeing, когда "неожиданно" умерли все свидетели, которые хотели дать показания о плохом качестве их самолётов лишь показывает, что мы живём в жестоком мире, где за сферы влияния и большие деньги идёт борьба на смерть. Очевидно, что Китай пока единственная страна, способная составить реальную конкуренцию США в искусственном интеллекте в мировом масштабе и кому-то это очень сильно не нравится.

Безопасной вам недели!

Подписывайтесь на мой Телеграм!

Предыдущая неделя <-- week Sec News --> Следующая неделя