Минцифры обсуждает фонд выплат пострадавшим от утечек

Олеся Афанасьева 19 Августа 2022 - 14:23

Домашние пользователи

Корпорации

Утечки информации

Умышленные утечки информации

Кража данных

...

Минцифры обсуждает фонд выплат пострадавшим от утечек

В России может появиться фонд материальной компенсации гражданам, пострадавшим от утечек персональных данных. Наполнять его планируют штрафами провинившихся компаний.

Первый раз о планах создать такой фонд заговорили в середине июля. Сами оборотные штрафы Минцифры обсуждает до сих пор.

Идею фонда выплат пострадавшим подтвердили “Ъ” три источника: два собеседника, близких к диалогу, и один — в крупной российской ИТ-компании.

Средства, по их словам, могут быть выделены из оборотных штрафов, которые компании обяжут выплачивать за утечки данных.

В Минцифры уточнили, что сейчас прорабатывается механизм компенсаций: “Нужно определить, как будет высчитываться объем, при каких условиях можно будет претендовать на выплаты, другие детали”.

Экспертам идея фонда нравится, смущает только возможная реализация.

Текущая версия законопроекта, вводящего оборотные штрафы за утечки, не учитывает интересы жертв утечек: штрафы пойдут в федеральный бюджет, отмечает директор НКО “Информационная культура” Иван Бегтин.

Однако эксперт опасается, что разработка и утверждение механизма могут занять длительное время, вплоть до года, поскольку потребует согласования с правительством, депутатами и участниками рынка.

“Создание фонда в любом случае шаг вперед, при этом компенсация должна зависеть от реального или потенциального ущерба пользователя, но определить его бывает сложно, и практики для ориентира сейчас нет”, — говорит GR-директор “СерчИнформ” Ольга Минаева.

Создание фонда для выплаты компенсаций потребует существенных административных издержек, содержания бюрократического аппарата, системы учета и распределения компенсаций, поясняет зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин.

До сих пор неясно также, придется ли гражданам, пострадавшим от утечки, обосновывать ущерб и доказывать его, “в этом случае компенсацию смогут получить единицы”, добавляет директор центра разработки Artezio Дмитрий Паршин. Если же компенсация будет разделена между всеми жертвами утечек, то сумма на каждого может оказаться незначительной.

Вопрос повышения штрафов за утечки стал актуальным после 24 февраля. Многие компании, допустившие потерю данных клиентов, отделались выплатами в 60 тысяч рублей. Среди них Яндекс.Еда и Гемотест. Самый большой штраф “грозит” только Ростелекому — 100 тыс. рублей.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:13

Уязвимости программ Ошибки конфигурации программ Домашние пользователи Корпорации

Исследователь нашёл опасную дыру в автообновлении драйверов AMD

На дворе 2026 год: человечество обсуждает будущее с ИИ, роботы становятся всё более человекоподобными а функция автообновления драйверов AMD для Windows по-прежнему скачивает апдейты по небезопасному соединению. На это обратил внимание начинающий ИБ-специалист из Новой Зеландии, опубликовавший свой разбор в блоге.

Правда, вскоре пост был «временно удалён по запросу», что только подогрело интерес к истории.

По словам Пола, когда AMD Auto-Updater находит подходящее обновление, он загружает его по обычному HTTP. А значит, любой злоумышленник, находящийся в той же сети (или где-то по пути трафика), может подменить сайт AMD или изменить файл «на лету», встроив в драйвер шпионский софт или шифровальщик, который будет работать с правами администратора.

Исследователь утверждает, что сразу сообщил о проблеме AMD, но получил довольно формальный ответ: атаки типа «Человек посередине» якобы находятся «вне области ответственности». Судя по формулировкам, уязвимость, скорее всего, была отправлена через программу баг-баунти компании, соответственно, ни патча, ни награды Пол, вероятно, не увидит.

Формально представитель AMD может быть прав, но на практике планка для атаки выглядит пугающе низкой. Достаточно, например, подменить домен ati.com или перехватить трафик в публичной сети Wi-Fi (функция автообновления доверяет источнику безо всяких проверок и валидации). А учитывая, сколько устройств по всему миру используют видеокарты AMD, поверхность атаки измеряется миллионами компьютеров.

Ситуацию усугубляет и то, что непонятно, как давно обновления доставляются таким образом.

Обнаружил всё это Пол случайно — его насторожило внезапное появление консольного окна на новом игровом компьютере. Дальше, по его словам, он решил декомпилировал софт. В процессе выяснилось, что список обновлений действительно загружается по HTTPS, но сами драйверы скачиваются по HTTP, через странно названный URL с опечаткой — Devlpment.

Если описанное подтвердится, остаётся надеяться, что AMD всё-таки признает проблему, срочно переведёт загрузку драйверов на HTTPS и выплатит Полу заслуженное вознаграждение. Потому что в 2026 году такие ошибки выглядят уже не просто неловко, а откровенно опасно.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »