Автор: Ольга Шибко

24-25 октября 2024 пройдет Евразийский конгресс по защите данных.  Это мероприятие организовано сообществами и ассоциациями по безопасности личных данных. Конгресс предлагает площадку для профессиональных знакомств, обмена опытом и знаниями на международном уровне.

В нем примут участие  эксперты, компании, государственные и общественные организации, занимающиеся вопросами защиты персональных данных и информационной безопасности.

В рамках секции ”Из Беларуси с любовью: какие уроки может извлечь DPO (и не только) из работы в Республике Беларусь?“ выступят:

• Виталий Диско, заместитель начальника управления контроля и аудита Национального центра защиты персональных данных;
• Михаил Ратушный, руководитель практики защиты персональных данных Ozon (DPO), приглашенный преподаватель НИУ ВШЭ, CIPP/E;
• Кирилл Зюбанов, руководитель команды DPO Wildberries, преподаватель на курсе RPPA DPO;
• Антон Тростянко, директор по безопастности крупнейшего хостинг-провайдера РБ и одного из лидеров услуг по кибербезопасности hoster.by;
• Сергей Пашковский, CISO ООО «Позитив Вью» Соавтор Концепции информационной безопасности Республики Беларусь;
• Владислав Жавнерчик, DPO в hoster.by;
• Кирилл Лаптев, партнер юридической фирмы Anischenko Laptev (Беларусь), член консультативного совета при Национальном центре защиты персональных данных Республики Беларусь.

Присоединиться к мероприятию можно онлайн.

29 октября на базе Гродненского научно-технологического  парка (г. Гродно, ул. Гаспадарчая, 23/4, конференц-зал, пом.101) состоится региональный бизнес-интенсив ”Защита персональных данных и информационная безопасность: реальные кейсы, эффективные стратегии“.

Организаторы мероприятия: Национальный центр защиты персональных данных, ООО ”Надежные программы“ (hoster.by),  Гродненская областная ассоциация предпринимательства, РУП ”УНПЦ ”Технолаб“.

Основная цель проекта – практическая помощь представителям бизнеса в вопросах обеспечения надежной защиты персональных данных и информационной безопасности.

Эксперты расскажут об обязательных мерах по защите персональных данных работников и клиентов, которые должны быть реализованы в каждой организации в рамках законодательства, о наиболее распространённых нарушениях, рисках и уязвимостях при обработке персональных данных, с которыми чаще всего сталкиваются компании в своей деятельности, а также о доступных решениях обеспечения информационной безопасности.

Региональный опыт в формате практического кейса по защите данных представят специалисты  ОАО ”Гродненский мясокомбинат“.

Приглашаем к участию представителей бизнеса, специалистов по информационным технологиям, информационной безопасности, защите персональных данных.

Участие в мероприятии – бесплатное, регистрация по ссылке https://hoster.by/clients/actions/biznes-intensiv-v-grodno/.

Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов, преимущественно интернет-магазинов. Проблема может коснуться всех, кто использует продукты «Аспро» для своих веб-ресурсов на основе системы 1С-Битрикс. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга.

«Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным — вплоть до логина и пароля к панели управления сайтом», — комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко. 

Поскольку разработчик проблемного ПО не реагирует на обращения, специалисты по кибербезопасности hoster.by разработали инструкцию для владельцев сайтов на CMS 1С-Битрикс. С ее помощью вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by.

Как обнаружить уязвимость

Проблема касается исключительно пользователей продуктов «Аспро», а не всех сайтов на 1С-Битрикс. Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Обнаружить их можно в директории пользователя bitrix ~/ajax/).  Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе. 

Как решить проблему

Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:

1. Остановить все вредоносные процессы. 
2. Сменить пароли всех используемых учетных записей 1C-Битрикс.
3. Обновить CMS и все ее модули до последних версий.
4. Внести дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — заменить $arParams = unserialize(urldecode($_REQUEST[«PARAMS»])); на $arParams = json_decode($_REQUEST[«PARAMS»]).

«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом, и отсутствие быстрой реакции со стороны центра кибербезопасности могло бы привести к утечкам конфиденциальной информации или персональных данных». 

Если у вас не получается самостоятельно решить проблему, пожалуйста, обращайтесь в техническую поддержку hoster.by.

Сегодня в столице на площадке ”CYBER SECURITY FORUM“ состоялся круглый стол по проблематике кадрового голода в сфере информационной безопасности, формированию профессиональных компетенций и команды.

Ирина Близнюк, начальник управления образовательных услуг и связей с общественностью Центра рассказала участникам мероприятия о ключевых факторах  назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в организации.

– Важно учитывать квалификацию и опыт таких специалистов. Это лицо должно обладать достаточными знаниями в области защиты персональных данных, а также опытом работы с нормативными правовыми актами, регулирующими эту сферу. Специалист должен иметь возможность взаимодействовать с различными структурными подразделениями организации и давать обязательные к исполнению указания. Это требует определенного уровня административных полномочий и поддержки со стороны руководства, – подчеркнула Ирина Близнюк.

Она отметила, что должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных определены в Едином квалификационном справочнике должностей служащих (ЕКСД) ”Должности служащих для всех видов деятельности“.

Обсуждали в рамках круглого стола вопросы обучения и сертификации ответственных за информационную безопасность, защиту персональных данных. Своим опытом в этом вопросе делились руководители структурных подразделений по защите информации разных компаний.

Национальный центр защиты персональных данных неоднократно обозначал, что институт ответственного за осуществление внутреннего контроля за обработкой персональных данных является одним из основных инструментов обеспечения надлежащего соблюдения обязанностей, возложенных на организации Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Варианты организации внутреннего контроля за обработкой персональных данных:

• создание отдельного структурного подразделения;
• назначение освобожденного работника (специалиста по внутреннему контролю за обработкой персональных данных);
• возложение дополнительных функций на одного из работников;
• возложение дополнительных функций на нескольких работников или на отдельное структурное подразделение.

Нецелесообразно возложение функций исключительно на специалиста по информационной безопасности. Почему важно не совмещать эту роль с ответственностью за информационную безопасность?

Во-первых, присутствует конфликт интересов. Ответственное лицо за обработку персональных данных должно сосредоточиться на защите прав субъектов данных и соблюдении нормативных, организационных  и технических требований, что в большей степени характерно для работы специалиста с юридическим образованием. В свою очередь специалист по информационной безопасности занимается защитой информационных систем от внешних и внутренних угроз.

Во-вторых, совмещение этих ролей может привести к перегрузке одного сотрудника и снижению эффективности выполнения обязанностей. Назначение отдельного лица, ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов данных.

Назначение отдельного лица (структурного подразделения), ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов персональных данных.

Сегодня в Минске проходит форум по кибербезопасности, где особое внимание уделено вопросам защиты персональных данных и регуляторике информационной безопасности в Беларуси.

Эксперты Оперативно-аналитического центра при Президенте Республики Беларусь, Национального центра защиты персональных данных, Комитета по цифровой безопасности Научно-технологической ассоциации ”Инфопарк“, Белорусского межбанковского расчетного центра и Центра кибербезопасности ООО ”Надежные программы“ обсудили текущие вызовы и перспективы в сфере информационной безопасности, а также рассмотрели инициативы, направленные на усиление защиты данных.

Ключевыми темами для обсуждения стали функционирование национальной системы обеспечения кибербезопасности, повышение безопасности и надежности информационных систем, реализация норм законодательства о персональных данных в различных сферах.

Участники пленарного заседания  ”Регуляторика в информационной безопасности и как она влияет на бизнес“ отметили важность дальнейшего совершенствования нормативной базы и внедрения передовых технологий для обеспечения безопасности информации, а также обсудили возможное увеличение санкций за несоблюдение мер по обеспечению защиты персональных данных.

Виталий Диско, заместитель начальника управления контроля и аудита Национального центра защиты персональных данных подчеркнул, что на сегодняшний день в Беларуси обеспечено стабильное правовое регулирование, тем не менее, учитывая практику применения законодательства о персональных данных, прорабатывается вопрос о плановой корректировке нормативных правовых актов.

Также на форуме обсуждаются меры по предотвращению кибератак и защите критической информационной инфраструктуры.

С начала 2024 года на базе Института информационных технологий учреждения образования ”Белорусский государственный университет информатики и радиоэлектроники“ стартовало обучение по специальности переподготовки 9-09-0611-05 ”Защита персональных данных“ с последующим присвоением квалификации – ”специалист по безопасности данных“.

Сегодня это востребованный способ подготовки квалифицированных специалистов в сфере защиты данных для различных организаций.

В рамках заочной и вечерней форм получения образования по указанному направлению уже обучаются две группы слушателей, каждый второй из них имеет юридическое образование.

Прием документов на предстоящий учебный год осуществляется до 7 октября 2024 года.

Целью переподготовки является обеспечение операторов персональных данных специалистами, владеющими современными компетенциями, необходимыми для обработки персональных данных, их защиты, в том числе способными на высоком профессиональном уровне осуществлять внутренний контроль за обработкой персональных данных у оператора (уполномоченного лица).

Реализация указанной образовательной программы осуществляется в заочной (24 месяца) и вечерней (16 месяцев) формах получения образования при непосредственном взаимодействии с Национальным центром защиты персональных данных.

Дополнительную информацию можно получить у методиста Босько Ольги Владимировны по телефонам: +375(17) 366-63-85, +375(29) 390-88-95, bosko@bsuir.by.

Сайт: iit.bsuir.by. Адрес: г. Минск, ул. Козлова, д. 28.

XII Белорусско-российский молодежный форум прошел в столице 25-26 сентября.

Участники мероприятия – представители всех регионов Беларуси и шести регионов России. Насыщенная программа форума включала в себя рассмотрение актуальной повестки государственной молодежной политики и международного сотрудничества для ее реализации.

Кроме того, на базе на базе Республиканского молодежного центра состоялась секция ”Развитие медийно-информационной грамотности: новые технологии и вызовы“, где представители молодежи обсудили вопросы защиты персональных данных и цифровой безопасности. Для участников форума представители Национального центра защиты персональных данных организовали квиз по защите личной информации и вручили памятные сувениры.

Центром уделяется пристальное внимание работе с молодежью, созданию адаптированного, доступного для понимания ею материала о персональных данных и их защите.

С одной стороны, это непосредственно способствует недопущению нарушения прав и законных интересов. С другой стороны, это инвестиция в будущее, поскольку полученные сейчас знания будут успешно применяться во взрослой жизни, на рабочих местах.

25 сентября в Могилёве состоялась  конференция ”Битрикс24“,  где обсудили, почему защита персональных данных важна для бизнеса.

Участники мероприятия: предприниматели, руководители организаций малого и среднего бизнеса узнали о базовых правилах безопасности персональных данных клиентов, обязательных мерах, которые должны быть реализованы в компаниях, обсудили кейсы белорусских операторов.

Рекомендации:

1. Ограничьте доступ к персональным данным. Предоставляйте сотрудникам доступ только к той информации, которая необходима для выполнения их должностных обязанностей.
2. Внедряйте комплексную защиту. Уделите особое внимание технической безопасности. Защищайте внешний контур информационных систем организаций.
3. Держите данные и программное обеспечение в актуальном состоянии. Регулярно проверяйте и обновляйте информацию и ПО.
4. Обучайте команду порядку работы с персональными данными – это сохранит репутацию, сэкономит нервы и деньги.
5. Берегите персональные данные клиентов, не собирайте их ”про запас“, уважайте права субъектов персональных данных.

17 сентября на базе Брестского научно-технологического парка состоялся региональный бизнес-интенсив ”Защита персональных данных: реальные кейсы, эффективные стратегии“.

Такое мероприятие проводилось впервые в Бресте, это партнёрский проект Национального центра защиты персональных данных и hoster.by.

Основная цель проекта – практическая помощь представителям малого и среднего бизнеса в вопросах обеспечения надежной защиты персональных данных и информационной безопасности их организаций.

На одной площадке собрались члены регионального бизнес-клуба, владельцы компаний малого и среднего бизнеса, юристы, специалисты по информационным технологиям, защите данных.

Эксперты в области защиты персональных данных и кибербезопасности рассказали о наиболее распространённых рисках, угрозах и уязвимостях при обработке персональных данных, с которыми сталкиваются организации в своей деятельности, а также познакомили участников мероприятия с эффективными и доступными решениями для обеспечения информационной безопасности.

Практический кейс ”Безопасность данных клиентов как фактор конкурентноспособности: повышаем ценность бренда через защищённость“ представила компания ООО ”Санта Ритейл“.

Мероприятие проходило на площадке Брестского научно- технологического парка неслучайно – формирование действенной системы защиты персональных данных в цифровой среде неразрывно связано с внедрением инновационных технологий и комплексных продуктов по реализации организационных и технических решений защиты данных.

Участникам бизнес-интенсива была предоставлена возможность получить консультации от экспертов по вопросам построения системы защиты данных.

Цикл региональных бизнес-интенсивов продолжится.

Национальный центр защиты персональных данных объявляет конкурс на лучшую работу в сфере защиты персональных данных.

К участию приглашаются:

• учащиеся средних специальных учреждений образования юридического профиля,
• студенты, магистранты, аспиранты, профессорско-преподавательский состав учреждений высшего образования,
• работники научных, научно-практических и иных организаций,
• другие лица, работающие по юридическим специальностям.

На конкурс принимаются как индивидуальные, так и коллективные работы. Итоги будут подведены к Международному дню защиты персональных данных.

Темы конкурсных работ:

• Совершенствование правового регулирования осуществления видеонаблюдения – для номинации ”Лучшая студенческая работа“.
• Пределы обработки общедоступных персональных данных: национальный и зарубежный опыт – для номинации ”Лучшая работа практикующего юриста“

Сроки проведения конкурса:

• с 16 сентября по 1 декабря 2024 г. – представление работ для участия в конкурсе;
• с 27 по 31 января 2025 г. – торжественное награждение победителей конкурса.

Работы направляются по адресу: 220004, г. Минск, ул. К.Цеткин, 24-3

Конкурсные работы авторам не возвращаются.

Критерии оценки конкурсных работ:

• соответствие содержания работы теме конкурса;
• содержание, полнота и логическая последовательность изложения материала, аргументированность выводов;
• практическая значимость полученных результатов;
• качество оформления работы.

С учетом указанных критериев члены жюри оценивают каждую работу по шкале от 1 до 20 баллов. Итоговая оценка каждой работы определяется путем суммирования оценок, выставленных каждым членом жюри.

Участники конкурса, занявшие призовые места, получают награды в виде дипломов и ценных призов.

Подробно с условиями конкурса и порядком подведения итогов можно ознакомиться в положении.