Объём утёкших персональных данных россиян составил 1,12 млрд записей в 2023 году. Это почти на 60 % больше по сравнению с аналогичным показателем 2022 года, когда было скомпрометировано 702 млн записей. Об этом пишет РБК со ссылкой на данные исследования экспертно-аналитического центра ГК InfoWatch.

Источник изображения: pixabay.com

«Если говорить о количестве инцидентов, то в 2023 году оно сократилось на 15 % и составило 656 эпизодов. Однако это незначительное снижение с лихвой компенсируется растущим ущербом, который организации получают от результативных утечек», — прокомментировал данный вопрос руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев. Он также добавил, что среднее количество слитых за один инцидент данных в прошлом году увеличилось почти вдвое, с 0,9 млн до 1,7 млн записей.

В общей сложности за год из российских компаний утекли 95 крупных баз данных, что на 28 % больше по сравнению с показателем 2022 года. Результатом кибератак стали более 80 % утечек. При этом каждая десятая утечка напрямую связана с действиями персонала, но относительно 2022 года этот показатель снизился на 45 %. Опрос InfoWatch указывает на то, что 35 % представителей компаний относят утечки, вызванные действиями персонала, к наиболее актуальным угрозам.

Масштаб ущерба от утечек персональных данных может быть недооценён, поскольку более чем в 35 % таких случаев объём украденной информации остался неизвестен. По мнению экспертов, эта тенденция связана с появлением крупных хранилищ персональных данных в рамках ускоренной цифровизации экономики страны. В настоящее время основными мишенями для кибератак становятся социальные сервисы, операторы связи, маркетплейсы и другие интернет-платформы.

По данным источника, с 2022 года российскую инфраструктуру регулярно атакуют так называемые хактивисты, которые не пытаются извлечь финансовую выгоду, а стремятся скомпрометировать как можно больше данных по политическим мотивам. В последнее время количество таких атак неуклонно растёт. Представители малого и среднего бизнеса наиболее уязвимы перед такими атаками, поскольку в их распоряжении значительно меньше ресурсов для обеспечения информационной безопасности, чем у крупных компаний.

На этом фоне аналитики зафиксировали увеличение доли ИП и компаний малого бизнеса в структуре утечек с 18,5 % до 34,1 %. При этом доли крупных и средних игроков снизились с 54,3 % до 47,3 % и с 27,2 % до 18,6 % соответственно. С точки зрения отраслевого распределения за год выросла доля банков с 7,5 % до 10 %. При этом доля компаний из IT-сферы и информационной безопасности сократилась с 27,1 % до 18,8 %. В InfoWatch также отметили увеличение доли утечек государственной тайны в 2023 году с 1,8 % до 6,6 % (из них 73,6 % информации относились к персональным данным). Общий объём утёкших из госорганов данных вырос до 19,2 % (рост на 5,3 % относительно 2022 года).

Для обеспечения более надёжной защиты данных в прошлом году 59 % организаций провели обучение сотрудников основам информационной безопасности и цифровой гигиены, 27 % — внедрили системы защиты от кибератак, 17 % — установили DLP-системы, помогающие предотвращать утечки данных.

Компания Huawei разрабатывает инновационную технологию магнитоэлектрических дисков для архивирования данных с кодовым названием OceanStor Arctic. Впервые об этой разработке производитель упомянул в ходе международной выставки электроники MWC 2024. Отмечается, что новая технология хранения данных позволит на 20 % снизить общую стоимость подключения по сравнению с магнитными лентами и на 90 % снизить энергопотребление по сравнению с жёсткими дисками.

Источник изображения: Huawei

По словам Huawei, магнитоэлектрический диск (MED) представляет собой инновационную разработку в области магнитных носителей. Первое поколение MED будет предлагаться в виде дисков большой ёмкости. Общая ёмкость серверной стойки на базе таких дисков составит более 10 Пбайт. При этом её потребляемая мощность будет ниже 2 кВт. Первое поколение дисков MED будет предназначено для архивного хранения данных. Такие диски должны появиться в продаже примерно в первой половине 2025 года.

Портал Tom’s Hardware в качестве сравнения приводит типичную серверную стойку формата 42U, которая может вмещать до 288 жёстких дисков, общим объёмом до 8,64 Пбайт, если в расчёт берутся, например, новейшие жёсткие диски Seagate с технологией магнитной записи с подогревом (HAMR) объёмом по 30 Тбайт каждый. Общее энергопотребление такой стойки составит около 2,88 кВт.

Как пишет Block and Files, MED — это совершенно новая технология. Тот факт, что Huawei использует при её упоминании термин диск, а не накопитель, может говорить о том, что носитель MED, скорее всего, содержит вращающийся внутренний элемент (или элементы), а также головку (головки) для чтения и записи. Huawei пока не вдаётся в детали своей разработки, поэтому размеры накопителя неизвестны. Совсем необязательно, что он будет выполнен в привычном формфакторе 3,5 дюйма, в котором выпускаются актуальные модели жёстких дисков от Seagate, Toshiba и Western Digital.

Также отмечается, что в основе технологии MED лежит магнитоэлектрический эффект, создающий связь между магнитными и электрическими свойствами материала. Как это будет применяться в случае с вращающимися дисками — неизвестно.

Cloudflare разрабатывает собственный межсетевой экран для генеративных ИИ-моделей с целью защитить их от потенциальных кибератак или других вредоносных угроз. Кроме поддержки современных стандартов сетевой безопасности, брандмауэр с помощью нейросети будет анализировать запросы, отправленные пользователями генеративного ИИ, чтобы попытаться заранее обнаружить потенциальные эксплойты.

Источник изображения: blog.cloudflare.com

«Некоторые уязвимости, затрагивающие традиционные веб-приложения и API-приложения, применимы и к миру LLM (больших языковых моделей), включая инъекции или кражу данных, — сообщил менеджер по продукту Cloudflare Group Даниэле Молтени (Daniele Molteni). — Однако существует новый набор угроз, которые теперь актуальны из-за того, как работают программы LLM».

Вводимые пользователем данные на сайтах и в инструментах ИИ сначала подвергнутся фильтрации через Cloudflare и лишь затем достигнут самого генеративного ИИ. Брандмауэр также сможет прерывать генеративные запросы ИИ и сканировать их на наличие потенциальных угроз. Данные, отправленные в общедоступные модели ИИ, такие как ChatGPT или Claude, могут быть доступны практически любому, поэтому брандмауэр Cloudflare будет очищать запросы пользователей от потенциально конфиденциальной информации.

Брандмауэр Cloudflare с ИИ может также подвергать цензуре вводимые пользователем данные другими способами. Брандмауэр разрабатывается для предотвращения «манипулирования» моделями ИИ с помощью входных данных, которые могут привести к галлюцинациям модели и другим ложным или опасным реакциям.

Согласно сообщению Cloudflare, клиенты также смогут «блокировать запросы, которые попадают в неуместные категории», если у них есть опасения, что такие запросы могут привести к тому, что ИИ будет использовать «токсичную, оскорбительную или проблемную лексику». Хотя компания называет такие случаи примерами «атак быстрого внедрения», неясно, в какой степени будут подвергаться цензуре подлинные запросы пользователей.

На этой неделе Cloudflare также представила сервис «Защитный искусственный интеллект» для бизнеса, который использует нейросеть для анализа веб-сайтов на предмет потенциальных угроз, основанных на искусственном интеллекте.

На этой неделе Microsoft приступила к распространению очередного функционального обновления для Windows 11 23H2 и Windows 11 22H2. После установки пакета KB5034848 становятся доступны разные нововведения, одним из которых является поддержка стандарта USB 4 2.0, обеспечивающего передачу данных на скорости до 80 Гбит/с.

Источник изображения: tomekwalecki / pixabay.com

Установка упомянутого пакета повысит версию сборки Windows 11 22H2 до 22621.3235 и Windows 11 23H2 до 22631.32.35. Отметим, что реализация поддержки стандарта USB 4 2.0 в Windows 11 на данном этапе мало что изменит, поскольку соответствующие стандарту аппаратные решения попросту отсутствуют на рынке. И хотя участникам инсайдерской программы Microsoft обновление стало доступно ещё в январе, производителям аппаратных продуктов ещё только предстоит насытить рынок устройствами с поддержкой USB 4 2.0.

Прежде всего пользователям потребуется наличие компьютера с одним из передовых процессоров, такими как Intel Core 14-поколения HX-серии, которые были официально представлены не так давно. В дополнение к этому потребуется периферийное устройство с поддержкой нового стандарта. Что касается самого стандарта USB 4 2.0 со скоростью передачи данных до 80 Гбит/с, то он является логическим продолжением стандарта USB 4, который позволяет передавать данные на скорости до 40 Гбит/с.

На конференции ISSCC 2024 среди прочих докладов прозвучало несколько интересных предложений для защиты электронных схем и компонентов от хакерских атак с физическим доступом к системе. Это наиболее уязвимая для оборудования ситуация, когда злоумышленник не ограничен временем и средствами.

Источник изображения: spectrum.ieee.org

Самый действенный метод взлома системы — это набросить контакты для считывания сигналов на сигнальные линии процессора. Команда исследователей из Колумбийского университета во главе с ведущим инженером Intel Вивеком Ди (Vivek De) предложила решение, которое автоматически противодействует этому виду атак. Они создали чип, который измеряет ёмкостное сопротивление шины передачи данных от процессора. Чип откалиброван определять изменение ёмкости от 0,5 пФ в широком диапазоне температур. Попытка набросить щуп на контролируемую чипом линию сразу обнаруживает физическое вмешательство и запускает процесс автоматического шифрования данных.

Исследователи считают, что постоянное шифрование абсолютно всех данных — это перерасход процессорной мощности. Предложенный ими метод детектирования щупа, напротив, нагружает систему шифрованием только во время начала вмешательства злоумышленника.

Также данные можно похищать из системы с помощью регистрации электромагнитного излучения или по пульсациям потребления. Для этого физический контакт с атакуемой системой не нужен. Тогда для защиты данных можно использовать другую схему, предложенную исследователями Техасского университета в Остине. Поскольку по электромагнитному излучению можно получить данные о ключе AES, исследователи предложили размыть сигнал в процессе генерации ключа. В частности, они разбили алгоритм генерации на четыре вычислительных компонента, и запустили их параллельно с небольшим сдвигом друг относительно друга. Это сделало сигнал нечитаемым.

Для ещё более сильного запутывания злоумышленников на атакуемой системе запускались сигналы-обманки, имитирующие процессы генерации ключа. Всё вместе резко повысило защиту от атаки по побочным каналам, к которым также относится вид атак с чтением электромагнитных возмущений от вычислительных платформ. Это утверждение было проверено на практике. Попытки взломать ключ с помощью высокочувствительного электромагнитного сканера закончились ничем после 40 млн подходов, тогда как обычно на взлом требовалось около 500 попыток.

Наконец, было предложено решение для физического уничтожения электронных схем при попытке считать с них информацию тем или иным способом. Этим отметилась группа Вермонтского университета с привлечением технологии Marvell. Предложение группы опирается на два момента. Во-первых, разработан механизм определения компрометации электронной схемы. Во-вторых, предложены механизмы по физическому уничтожению электронных схем. Всё вместе обещает привести к самоуничтожению чипов при обнаружении вмешательства или попытки считать критически важные данные с электронных компонентов.

Для определения вмешательства исследователи воспользовались методологией слепков PUF или физически неклонируемой функции. Это своего рода дактилоскопический отпечаток чипа, который формируется на основе крошечных отклонений в характеристиках транзисторов. Все они по определению не могут быть идентичными с вполне детектируемыми отличиями в токовых характеристиках, по коэффициенту усиления и так далее. Если чип скомпрометирован, его характеристики, выраженные в PUF, также претерпят изменения и это станет сигналом для самоуничтожения защищённого блока чипа или всего чипа целиком.

Уничтожить чип исследователи предлагают двумя способами. Например, можно подать больше тока на самые длинные проводники защищаемого узла. Тогда в наиболее узких местах нагруженного участка произойдёт электромиграция — автоматическое повышение там уровня тока приведёт к физическому переносу атомов проводника и к образованию пустот или разомкнутых участков. Другой вариант предусматривает банальное повышение напряжения транзисторов в чипе с 1 В, например, до 2,5 В. Это вызовет пробой и выход электронных приборов из строя.

Федеральная торговая комиссия (FTC) США объявила в четверг, что запретит разработчику антивирусного ПО Avast продавать рекламодателям данные о просмотре веб-страниц потребителями. При этом разработчик заявил, что его решения не позволяют отслеживать пользователей в интернете.

Источник изображения: StartupStockPhotos/Pixabay

Сообщается, что Avast урегулировала обвинения FTC на сумму $16,5 млн, что, по словам регулятора, позволит возместить ущерб пользователям Avast, чьи конфиденциальные данные о просмотре веб-страниц были незаконно проданы разработчиком рекламным компаниям и брокерам данных.

«Avast обещала пользователям, что её продукты защитят конфиденциальность их данных о просмотренных страницах, но сделала наоборот», — сообщил Сэмюэл Левин (Samuel Levine), директор Бюро по защите прав потребителей FTC, в своем заявлении в четверг, отметив, что практика Avast идёт вразрез с законом.

По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера Avast, которые, по её утверждению, «защитят вашу конфиденциальность», блокируя файлы cookie онлайн-отслеживания.

Эти данные Avast продавала через свою ныне закрытую дочернюю компанию Jumpshot более чем сотне компаний, заработав на этом десятки миллионов долларов. FTC утверждает, что данные, которые продавала Jumpshot, раскрывают религиозные убеждения пользователей, имеющиеся проблемы со здоровьем, политические взгляды, а также их местонахождение и другую конфиденциальную информацию.

Согласно совместному расследованию Vice News и PCMag, проведенному в январе 2020 года, Jumpshot продавала конфиденциальные данные о просмотре веб-страниц пользователями таким компаниям, как Google, Yelp, Microsoft, Home Depot и консалтинговому гиганту McKinsey. В частности, Jumpshot продавала данные о кликах своих пользователей, включая конкретные веб-ссылки, на которые нажимали пользователи.

На тот момент у Avast было более 430 млн активных пользователей по всему миру, а Jumpshot утверждала, что имеет доступ к данным со 100 млн устройств. Спустя несколько дней после публикации этого исследования Avast закрыла Jumpshot. В 2021 году Avast объединилась с Norton LifeLock и теперь входит в состав материнской компании Gen Digital, которая также владеет приложением CCleaner.

Комментируя сообщение регулятора, Avast заявила, что не согласна с «утверждениями и описанием фактического материала». «Когда Avast добровольно закрыла Jumpshot в 2020 году, она прекратила эту практику. Операционные положения мирового соглашения соответствуют текущим программам Avast по обеспечению конфиденциальности и безопасности», — отметила компания.

В 2024 году произошёл инцидент, в результате которого в Сеть утекли 500 млн записей о россиянах — всего с начала года зафиксирована утечка 510 млн таких записей. Об этом сообщило ТАСС со ссылкой на замглавы Роскомнадзора Милоша Вагнера.

Источник изображения: tookapic / pixabay.com

«Всего утекло 510 млн, из них 500 [млн] — это одна утечка. Мы её сейчас расследуем», — заявил господин Вагнер. Если сравнивать текущее положение вещей с ситуацией в 2022 и 2023 годах, то число инцидентов с утечками персональных данных россиян выросло, но объёмы утечек снизились. Последний случай стал исключением. «А в этом году одним этим случаем покрыли практически весь предыдущий год», — добавил замглавы Роскомнадзора.

В течение 2023 года ведомство зарегистрировало 168 утечек персональных данных россиян — в результате этих инцидентов в Сети оказались 300 млн записей. В 2022 году злоумышленники похитили 600 млн записей о российских гражданах, при этом было зафиксировано 140 утечек.

Китайские учёные обещают воплотить в жизнь то, над чем десятилетиями бились японские разработчики. Японцы перестали бороться за оптические носители после выпуска четырёхслойных дисков Blu-ray объёмом 128 Гбайт. Опытные разработки далеко преодолевали этот рубеж, но они так и не вышли из лабораторий. Перспективные китайские оптические диски тоже пока находятся на стадии экспериментов, но они уже на старте совершили невероятный прорыв.

Источник изображения: www.scmp.com

Как сообщается в свежей статье в журнале Nature, перспективный китайский оптический диск совпадает по размерам с обычными дисками DVD как по толщине (что важно!), так и по диаметру. В то же время он имеет по 100 записывающих слоёв на каждую сторону. Слои отделены друг от друга прозрачным слоем толщиной всего 1 мкм. В 100-слойном диске разработки Hitachi, например, было всего по 50 слоёв на сторону с разнесением записывающих слоёв на 60 мкм. Можно только подивиться, чего смогли добиться китайские учёные.

На одном диске, разработанном китайскими учёными, можно записать 1,6 петабит (200 Тбайт) информации. Это почти на порядок больше, чем способны вместить современные жёсткие диски. Таким образом, даже небольшая стопка таких дисков сможет вместить информацию целого центра обработки данных.

Как и Hitachi, учёные из Шанхайского университета науки и технологий, Пекинского университета, а также Шанхайского института оптики и точной механики и Ключевой лаборатории фотохимии Китайской академии наук использовали для записи фемтосекундный лазер. Однако перед ними стояла намного более трудная задача, чтобы данные записывались в намного большем объёме диска.

В аннотации к статье в Nature, в частности, сказано: «Мы разработали оптический носитель записи на основе фоторезистивной плёнки, легированной эмиссионным красителем, индуцирующим агрегацию, который можно оптически стимулировать фемтосекундными лазерными лучами. Эта плёнка обладает высокой прозрачностью и однородностью, а явление эмиссии, индуцируемой агрегацией, обеспечивает механизм хранения».

Источник изображения: Nature 2024

Проще говоря, благодаря комбинации молекул в фоторезистивной плёнке, реагирующей на свет, происходит фиксация красителя под воздействием импульсов лазера. Технология пока не готова к коммерческой эксплуатации и нуждается в доработке как с точки зрения увеличения скоростей записи/чтения, так и с позиций разработки устройств для записи и чтения. Однако китайские диски имеют большой потенциал в сфере архивирования данных: учёные заявляют, что они смогут прослужить от 50 до 100 лет, и при этом они потребляют энергию только при записи и чтении, но не в простое.

До сих пор ни один подобный проект не дошёл до стадии рыночных изделий. Однако мир нуждается в подобных сверхъёмких и экономных носителях данных. Искусственный интеллект обещает породить такой поток информации, с которым мы до сих пор не сталкивались, а потребление ЦОД уже отбирает из национальных энергосетей единицы процентов электрогенерации. Дальше жить с этим станет ещё сложнее и лучше не доводить до крайностей.

С начала 2024 года Роскомнадзор зафиксировал 19 утечек персональных данных, в результате которых были похищены 510 млн записей с информацией о россиянах. Об этом сообщило ТАСС со ссылкой на пресс-службу Роскомнадзора.

Источник изображения: Pete Linforth / pixabay.com

«С начала 2024 года Роскомнадзор выявил 19 фактов утечек персональных данных, в сеть попали более 510 млн записей», — приводит ТАСС заявление пресс-службы ведомства. Для сравнения, за весь 2023 год Роскомнадзор установил 168 утечек персональных данных, но в рамках этих инцидентов в Сеть попали лишь 300 млн записей о россиянах. В 2022 году ведомство зафиксировало более 140 утечек — это коснулось 600 млн записей о россиянах.

В декабре минувшего года в Госдуму внесли два законопроекта, предусматривающие ужесточение ответственности для компаний, допустивших утечки персональных данных. Один из них включает введение оборотных штрафов — взысканий, исчисляемых от дохода компании за определённый период. В настоящее время максимальное наказание для компании за подобный инцидент составляет 300 тыс. руб. — законопроект предлагает установить максимальное значение на отметке 500 млн руб., а также ввести штрафы до 200 тыс. руб. для физлиц и до 1 млн руб. для должностных лиц. Второй законопроект вводит за такие инциденты уголовную ответственность вплоть до четырёх лет лишения свободы.

Mozilla представила улучшенный вариант своего сервиса мониторинга конфиденциальности с платной подпиской под названием Mozilla Monitor Plus. За 8,99 долларов в месяц в рамках годовой подписки сервис будет автоматически отслеживать более чем 190 брокерских сайтов, где продаётся информация, собранная из онлайн-источников, таких как социальные сети, приложения и трекеры. Если информация будет найдена, сервис сформирует запрос на её удаление.

Источник изображения: mozilla.org

Менеджер по продукту Mozilla Monitor Тони Чинотто (Tony Cinotto) сообщил, что Mozilla сотрудничает с компанией Onerep для выполнения этих сканирований и последующих запросов на удаление. Обработка запросов обычно занимает от 7 до 14 дней, но иногда автоматическое удаление информации оказывается невозможным. Mozilla продолжит работу по совершенствованию своего сервиса, а также предоставит подписчикам Mozilla Monitor Plus инструкции по самостоятельному удалению данных.

Новая платная подписка Mozilla Monitor Plus основана на бесплатном мониторинге даркнета Mozilla Monitor (ранее Firefox Monitor) — службы, которую Mozilla впервые представила в 2018 году. По словам Mozilla, пользователи бесплатной версии Basic Monitor могут по-прежнему рассчитывать на бесплатное сканирование брокеров данных по запросу, постоянное автоматическое ежемесячное сканирование и однократное формирование запросов на удаление.

Mozilla заявляет, что при сканировании брокера данных в интернете пользователь может обнаружить огромное количество персональной информации, начиная с имени, домашнего адреса и профессиональной деятельности и заканчивая данными о криминальном прошлом, хобби или учебном заведении детей.

Сервисы по поиску и удалению персональных данных довольно распространены, но широкой известности не завоевали, поэтому их поиск с высокой вероятностью может привести на мошеннический сайт. Именно здесь может помочь репутация Mozilla как дочерней компании некоммерческой организации Mozilla Foundation с открытым исходным кодом, которая заботится о конфиденциальности.

Mozilla Monitor Plus теперь доступен за 8,99 долларов США в месяц, тогда как стандартный Mozilla Monitor остаётся бесплатным. В течение последних нескольких лет Mozilla предложила и другие сервисы, ориентированные на конфиденциальность, такие как Mozilla VPN и Firefox Relay.

Портал «Госуслуг» не занимается сбором и хранением биометрических данных пользователей платформы. Сообщение об этом появилось в Telegram-аккаунте Министерства цифрового развития России. Ранее распространялась новость о том, что «Тинькофф Банк» собирает и передаёт биометрию на «Госуслуги» без ведома клиентов.

Источник изображения: Госуслуги

В заявлении Минцифры уточняется, что по закону банки должны передавать собираемые биометрические данные граждан в единую биометрическую систему (ЕБС). «На «Госуслугах» биометрия не хранится! На портале есть лишь информация о биометрии, размещённой в ЕБС. Она отображается в личном кабинете портала. Граждане могут удалить биометрию в любой момент после передачи в ЕБС», — говорится в сообщении ведомства.

Ещё в сообщении Минцифры сказано, что банк должен уведомить владельца биометрии о передаче данных в ЕБС за 30 дней. Кроме того, после передачи данных в ЕБС банк должен их удалить. При необходимости пользователи также могут удалить свои данные из базы ЕБС. Сделать это можно из личного кабинета на портале «Госуслуг» или посредством отзыва согласия на размещение в ЕБС у оператора платформы, которым является Центр биометрических технологий.

В ведомстве напомнили, что сдача и сбор биометрии является делом исключительно добровольным. Для регистрации данных в ЕБС через отделение банка или мобильное приложение гражданин должен дать своё согласие, что закреплено на законодательном уровне.

После многомесячного расследования, проведённого итальянским органом по защите данных DPA (Data Protection Authority) в отношении ИИ-чат-бота ChatGPT, компанию OpenAI обвинили в нарушении законов о конфиденциальности ЕС. Подтверждённые нарушения в обращении с персональными данными могут повлечь за собой штрафы на сумму до €20 млн, или до 4 % годового оборота. У OpenAI есть 30 дней, чтобы ответить на обвинения.

Источник изображений: Pixabay

Итальянские власти выразили обеспокоенность по поводу соблюдения OpenAI Общего регламента защиты данных (GDPR) в прошлом году, что привело к временной приостановке работы чат-бота на европейском рынке. DPA Италии 30 марта в так называемом «реестре мер», подчеркнул отсутствие подходящей правовой основы для сбора и обработки персональных данных с целью обучения алгоритмов, лежащих в основе ChatGPT, склонность инструмента ИИ к «галлюцинациям» и потенциальные проблемы с безопасностью детей. Власти обвинили OpenAI в нарушении статей 5, 6, 8, 13 и 25 GDPR.

DPA располагают полномочиями требовать внесения изменений в способы обработки данных, чтобы прекратить нарушения конфиденциальности граждан ЕС. Таким образом, регуляторы могут заставить OpenAI изменить свой подход к обработке персональных данных или вынудить компанию прекратить предлагать свои услуги в странах Евросоюза.

Весной 2023 года OpenAI смогла относительно быстро возобновить функционирование ChatGPT в Италии после того, как устранила ряд нарушений, указанных DPA. Однако итальянские власти продолжили расследование и пришли к предварительным выводам, что инструмент ИИ от OpenAI нарушает законодательство ЕС. Итальянские власти пока не опубликовали список подтверждённых нарушений ChatGPT, но главной претензией к OpenAI, скорее всего, станет сам принцип обработки персональных данных для обучения моделей ИИ.

ChatGPT был разработан с использованием массы данных, извлечённых из общедоступного интернета — информации, которая включает личные данные отдельных лиц. А проблема, с которой OpenAI сталкивается в ЕС, заключается в том, что для обработки данных жителей ЕС требуется действительная правовая основа. GDPR перечисляет шесть возможных правовых оснований, большинство из которых просто не имеют отношения к данному контексту. В апреле прошлого года DPA Италии оставил для OpenAI только две законные возможности для обучения моделей ИИ: «подтверждённое согласие» или «законные интересы».

Учитывая, что OpenAI никогда и не пыталась получить согласие миллионов (а, возможно, миллиардов) пользователей интернета, чью информацию она собирала и обрабатывала для построения моделей ИИ, любая попытка заявить о наличии разрешения от европейцев на обработку их персональных данных обречена на провал. Поэтому у OpenAI осталась лишь возможность опираться на утверждение о «законных интересах». Однако эта основа также предусматривает право владельцев данных выдвигать возражения и требовать прекращения обработки своей персональной информации.

Источник изображения: OpenAI

Теоретически, каждый житель ЕС имеет право потребовать от OpenAI изъять и уничтожить незаконно обученные модели и переобучить новые модели без использования его данных. Но даже если предположить возможность идентификации всех незаконно обработанных данных, подобную процедуру предстоит произвести для каждого возражающего гражданина ЕС, что практически невозможно реализовать на практике.

Существует и более широкий вопрос: признает ли в конце концов DPA, что «законные интересы» вообще являются действительной правовой основой в этом контексте. Такое решение регулятора выглядит маловероятным. Ведь обработчики данных должны сбалансировать свои собственные интересы с правами и свободами людей, чьи данные обрабатываются, оценить возможность причинения им неоправданного вреда, а также учесть, ожидали ли люди такого использования их данных.

Примечательно, что в подобной ситуации Верховный суд ЕС ранее признал «законные интересы» неподходящим основанием для Meta✴ при отслеживании и профилировании пользователей в целях таргетирования рекламы в своих социальных сетях. Таким образом, существует негативный судебный прецедент для OpenAI, стремящейся оправдать обработку данных людей в огромных масштабах для создания коммерческого генеративного ИИ-бизнеса — особенно когда рассматриваемые инструменты создают всевозможные новые риски для названных лиц (дезинформация, клевета, кража личных данных и мошенничество лишь некоторые из них). OpenAI также находится под пристальным вниманием к соблюдению GDPR в Польше, где начато отдельное расследование по этому поводу.

OpenAI пытается нивелировать потенциальные регуляторные риски в ЕС, создавая отдельную организацию в Ирландии, которая в будущем должна стать поставщиком услуг ИИ для пользователей из ЕС. OpenAI надеется получить статус так называемого «основного учреждения» в Ирландии, что позволит ей использовать оценку соответствия требованиям GDPR только от Ирландской комиссии по защите данных и действовать в Евросоюзе через механизм «единого окна» регулирования, избежав надзора органов DPA каждой страны-члена ЕС.

Однако пока OpenAI ещё не получила этот статус, поэтому ChatGPT все ещё может столкнуться с расследованиями со стороны DPA в других странах ЕС. И даже получение статуса «основного учреждения» в Ирландии не прекратит уже открытое расследование и правоприменение в Италии.

DPA Италии сообщает, что органы по защите данных стремятся координировать надзор за ChatGPT, создав рабочую группу при Европейском совете по защите данных. Эти усилия могут, в конечном итоге, привести к более согласованным результатам в рамках отдельных расследований в отношении OpenAI. Тем не менее, на данный момент DPA каждого члена ЕС остаются независимыми и компетентными принимать решения на своих рынках самостоятельно.

Начавшийся в 2022 году геополитический кризис, последовавшие за ним беспрецедентные санкции в отношении Российской Федерации и массовый уход зарубежных вендоров резко повысили риски, связанные с применением иностранного софта в бизнесе и государственных организациях. Стала очевидной серьёзная зависимость отечественного IT-рынка от импортных поставок программного обеспечения, влекущих угрозу информационному и технологическому суверенитету страны.

Изображение предоставлено компанией «Пассворк»

Ситуация осложнилась с кратным ростом кибератак на органы власти и коммерческие структуры. Если раньше злоумышленниками двигала, как правило, финансовая мотивация, то в 2023 году рекордно увеличилось число политически мотивированных кибератак, направленных на хищение ценных данных либо нанесение ущерба IT-инфраструктуре предприятий, связанных с критической информационной инфраструктурой (КИИ), госсектором и оборонной промышленностью. Изменение ландшафта киберугроз, возросшая активность хактивистов и прогосударственных групп заставили российские власти заняться экстренной проработкой соответствующих мер защиты и ускорением перевода критически важных IT-систем на отечественное ПО с гарантированной поддержкой в течение всего срока его эксплуатации.

В частности, главой государства был подписан указ о мерах по обеспечению технологической независимости и безопасности национальной КИИ. Согласно документу, с 1 января 2025 года вводится полный запрет на использование зарубежного софта на значимых объектах критической инфраструктуры, к ним относятся информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Предполагается, что данная мера позволит организациям повысить общий уровень защищённости критической инфраструктуры и обезопасит предприятия от санкционных и других рисков.

Поскольку импортозамещение является одной из приоритетных национальных задач, российские разработчики активно запускают проекты миграции с зарубежного софта, чтобы гарантировать стабильную работу отечественных заказчиков в условиях санкционных ограничений и соблюдения требований законодательства. Как хороший пример в сфере информационной безопасности эту инициативу планомерно и уверенно реализует аккредитованная Минцифры IT-компания Пассворк, предлагающая рынку одноимённый продукт для безопасного управления паролями в корпоративной среде, способный заменить такие иностранные менеджеры паролей, как — 1Password, Keepass, LastPass и Bitwarden.

Корпоративный менеджер паролей Пассворк

Пассворк выступает в качестве централизованного хранилища паролей, доступ к которым предоставляется сотрудникам в зависимости от занимаемых ими должностей и выполняемых обязанностей. Программный комплекс позволяет создавать стойкие к подбору пароли, хранить их в удобном структурированном виде, легко обмениваться ими и авторизироваться на веб-сайтах в один клик с помощью соответствующего браузерного расширения. Также с помощью продукта можно проводить аудит безопасности паролей, управлять правами доступа, отслеживать все действия пользователей и вносимые ими изменения. Предусмотрена возможность быстрого поиска всех паролей, к которым имели доступ ушедшие из компании сотрудники. Все данные в программе хранятся в зашифрованном виде.

Главными преимуществами менеджера паролей Пассворк являются — открытый для аудита исходный код, который позволяет убедиться, что в продукте нет скрытых закладок и недокументированных функций, и конечно возможность установки на сервер вашей компании с единоразовой оплатой системы. Подписка на обновления и техподдержку в течение первого года предоставляется бесплатно для всех клиентов.

Пассворк включён в единый реестр российского ПО, поддерживает ГОСТ шифрование и доступен для закупок по 44 и 223 ФЗ.

Более подробно с возможностями менеджера паролей Пассворк можно ознакомиться в нашем обзоре программного решения или на их официальном сайте.

Согласно нашей оценке и прогнозам аналитиков, рынок информационной безопасности в России сохранит положительную динамику и продолжит расти как минимум до 2027 года. Его драйверами остаются растущие цифровые угрозы, усиливающиеся кибератаки на российские организации, а также потребность в импортозамещении зарубежных систем ввиду ужесточения законодательства и увеличению внимания регуляторов к использованию отечественного ПО.

Все эти тенденции будут вести к повышению уровня безопасности в российских компаниях и организациях, как в госсекторе, так и бизнесе, а значит и благоприятно влиять на развитие программных решений от отечественных разработчиков, что в свою очередь является позитивными шагами в новое цифровое будущее Российской Федерации.

Cтартапу RagaAI удалось привлечь финансирование в размере $4,7 млн на разработку программных средств, упрощающих выявление дефектов в нейросетях, пишет Bloomberg. Речь о таких проблемах современных ИИ систем, как так называемые «галлюцинации» или неспособность предоставить критически важную информацию в конкретный момент времени.

Источник изображения: RagaAI

Подобные решения, по словам источника, позволят повысить надёжность работы и безопасность систем искусственного интеллекта. У истоков стартапа стоит выходец из NVIDIA и Texas Instruments — сорокачетырёхлетний Гаурав Агарвал (Gaurav Agarwal), который о необходимости создания подобных инструментов задумался после неприятного инцидента с тестированием системы автономного вождения на дорогах Калифорнии. Автоматика не смогла своевременно распознать возникшее на пути следования препятствия, в результате чего Агарвал был вынужден применить экстренное торможение и избежал тем самым столкновения.

Как основатель RagaAI признался в интервью Bloomberg, ему доводилось сталкиваться с проблемами в работе нейросетей во время работы в NVIDIA и Ola. Устранять ошибки в работе систем искусственного интеллекта, по его словам, важно в ряде сценариев, подразумевающих высокую степень ответственности — например, при диагностике онкологических заболеваний, обслуживании авиационной техники и использовании искусственного интеллекта для подбора персонала.

Стартап RagaAI был основан в Калифорнии ещё до выхода на рынок нашумевшего чат-бота ChatGPT компании OpenAI. Разработанная им платформа позволяет корпоративным клиентам провести более 300 тестов, выявляющих узкие места в работе их систем искусственного интеллекта. Она позволяет выявлять проблемы с распознаванием объектов и появлением «мусора», а также ложных данных, выдаваемых за истину. Более того, разработка RagaAI позволяет блокировать атаки на языковые модели, призванные заставить их работать с ошибками. Основной штат специалистов стартапа разместится в индийском Бенгалуру, на его расширение как раз будут потрачены привлечённые в ходе недавнего раунда финансирования средства.

По словам главы компании, она уже сотрудничает с несколькими крупными клиентам в сфере электронной торговли, аэронавтики и обработки медицинских изображений. Платформа RagaAI уже позволила им снизить количество ошибок в работе систем искусственного интеллекта на 90 %.

В преддверии вступления в силу нового европейского «Закона о цифровых рынках» (Digital Markets Act, DMA) в марте этого года, Meta✴ объявила о решении, предоставляющем пользователям в Европейском союзе (ЕС), Европейской экономической зоне и Швейцарии больше контроля над их данными. Пользователи смогут разделить свои профили в Instagram✴, Facebook✴ и других сервисах Meta✴, прекратив тем самым обмен информацией между платформами.

Источник изображения: TheDigitalArtist / Pixabay

Это решение стало ответом компании на требования новых европейских норм, направленных на усиление защиты данных европейских пользователей и повышение конкуренции на рынке цифровых услуг. Помимо этого, пользователи смогут воспользоваться Facebook✴ Messenger как самостоятельным сервисом, не связанным с аккаунтом Facebook✴. Это касается и тех, кто ранее связал свои аккаунты в Facebook✴ и Instagram✴ — теперь они смогут их отвязать. На странице поддержки Meta✴ отмечается, что такая связь аккаунтов использовалась для таргетинга рекламы, персонализации рекомендаций контента и обмена сообщениями.

Важно отметить, что изменения затронут и такие сервисы, как Facebook✴ Marketplace и Facebook✴ Gaming. Пользователи смогут пользоваться ими без обмена информацией с основными аккаунтами Facebook✴. Однако Meta✴ предупреждает, что это может привести к уменьшению функциональности сервисов. Например, при использовании Marketplace без данных Facebook✴ придётся общаться с покупателями и продавцами по электронной почте, а не через Facebook✴ Messenger. Пользователи Facebook✴ Gaming, отвязавшие учётную запись от Facebook✴, смогут играть только в однопользовательские игры.

Это объявление Meta✴ последовало за аналогичным заявлением Google, которая в начале месяца сообщила, что позволит пользователям прекратить обмен данными между поисковым сервисом, YouTube, Google Maps и Chrome. В обоих случаях эти изменения являются результатом действия DMA, который вступает в силу 6 марта. Meta✴ и Alphabet были включены в список из шести компаний, назначенных «привратниками» или «стражниками» в контексте DMA в сентябре прошлого года.

Сегодняшнее объявление Meta✴ следует за заявлением компании в начале декабря об ограничении кроссплатформенного обмена сообщениями между пользователями Instagram✴ и Facebook✴. Это означает, что пользователи упомянутых социальных сетей больше не могут напрямую отправлять сообщения друг другу. Однако в этом случае Meta✴ не указала DMA как причину изменений. В ноябре прошлого года также была представлена платная подписка без рекламы для пользователей Facebook✴ и Instagram✴ из ЕС.

Помимо регулирования обмена данными между сервисами, DMA включает в себя широкий спектр правил, направленных на улучшение конкурентных условий для европейского бизнеса, зависимого от цифровых платформ «стражников», преимущественно американских. К другим значительным изменениям, ожидаемым в ЕС в результате скорого вступления DMA в силу, относятся требования к сервисам обмена сообщениями, таким как WhatsApp и Facebook✴ Messenger, быть совместимыми с платформами конкурентов, а также к Apple, которой предстоит открыть iOS для загрузки и установки приложений из сторонних магазинов.