Страницы

Скажи мне, какая у тебя реклама, и я скажу кто ты...


Уже немного осталось до окситоциновых разбрызгивателей в крупных супермаркетах, однако новый этап борьбы за покупателя наступил уже сегодня - я говорю о персонализированной рекламе.

Домашний VPN


Если вы частенько пользуетесь мобильными устройствами на хакерских конференциях или любите сидеть через бесплатный Wi-Fi в Макдоналдсе, то рано или поздно вы задумаетесь о безопасности вашего соединения и придете к VPN.

0days и 0nights. День 1.


Интересность: ▃ ▄ ▅ ▆ ▇
Организация: ▃ ▄ ▅ ▆ ▇
Питание: ▃ ▄ ▅ ▆

В этот раз вторая (в 2012 году) отечественная хакерская конференция ZeroNights прошла в Москве, а не в Питере. Видимо, организаторы решили не испытывать иностранных докладчиков питерским климатом и правильно сделали! 
Обидно, конечно, что не было ни видеозаписи, ни уж тем более онлайн трансляции, но я постараюсь упомянуть все интересные моменты тут.

Заставь идиота сайты цензурить 3

IP адрес хостинга блогов Blogger от Google попал в федеральный список экстремистских материалов, а вместе с ним и этот блог (и 700 000 других).
Я написал жалобы в Роскомнадзор (через портал Госуслуг), в Генеральную Прокуратуру и приёмную Правительства РФ.
Сегодня можно подвести итог деятельности Правительства РФ по защите населения от ваххабитов и педофилов.

Безопасность объектов ТЭК 3

Так как Гугл до сих пор не знает многих документов по теме ТЭК, я решил создать пост, который когда-нибудь кому-нибудь поможет сориентироваться в нормативке по ТЭКу.

Стандартные грабли при проверке РКН по ПДн

Попалось мне на глаза одно предписание об устранении выявленного нарушения, и, т.к. нарушения в нем достаточно типовые, я решил его опубликовать.

Немного про политику. Выборы в ЗСК.

Если вы не будете заниматься политикой, то политика займется вами. 
Шарль Монталамбер.
Вчера в Краснодарском крае прошли выборы в законодательное собрание края. Судя по сообщениям в твиттере и блогам, выборы прошли по мартовскому сценарию - карусели, вбросы, удаление наблюдателей и т.д. 

История успеха от NGS Distribution


Это продолжение истории о конкурсе Кода Безопасности "История успеха", начало которой тут.

Не смотря на достаточно жесткий тон моей предыдущей публикации, "Код Безопасности" можно сказать что никак на нее не отреагировал. Мы получили очередное письмо про то, что "iPad уже практически полностью готов к тому, чтобы быть закупленным и отправленным в Краснодар", но потом наступила традиционная двухнедельная пауза, и больше запросов мы уже не отправляли.

Счастливый конец истории наступил неожиданно. Откликнулись коллеги из NGS Distribution, которые работали в своё время в SafeLine (ГК «Информзащита») и для которых моральные обязательства вендора перед партнёрами оказались выше корпоративных границ.
Всегда грустно, когда компанию покидают достойнейшие из работников, однако всегда приятно осознавать, что они никуда не пропали, а лишь только поменяли вывеску.

Так что Роман все-таки получил свой заслуженный iPad (на фото), только не от "Кода Безопасности", а от NGS Distribution, за что им большое спасибо!

И сразу небольшой [UPDATE]: В пятницу вечером мы получили письмо от КБ, которое даёт повод надеяться, что и остальные победители конкурса получать свои призы до конца октября.
Как только эта ситуация проясниться, я обязательно напишу заметку.

"История успеха" от Кода Безопасности


Компания "Код Безопасности" (ГК Информзащита) - это ведущий производитель средств защиты информации в России. Соболя, Континенты или SecretNet'ы используются, наверное, в каждой более или менее крупной организации в стране.

Как передавать ПДн по открытым каналам связи без шифрования


Одной из сложностей реализации 152-ФЗ "О персональных данных" является организация защищенного вебсайта, собирающего персональные данные, т.к. передаваемые персональные данные сайту необходимо скрывать от посторонних (т.е. шифровать).

Как я закрыл мошеннический сайт

Шатаясь по просторам Интернета, я наткнулся на сайт, продававший бесплатный браузер Google Chrome (весьма вероятно, что в дистрибутиве был так же спрятан вирус).

Как безопасно использовать один пароль на всех сайтах


Современный пользователь имеет примерно 25 различных сетевых аккаунтов, но использует всего 6 различных паролей. Т.о. на один уникальный пороль приходится, в среднем, 5 повторяющихся. Кроме того в сеть ежегодно утекает около 100 000 000 подобранных паролей.

Легализованные откаты

Будучи еще молодым айтишником меня всегда интересовал вопрос: в чём смысл акций "Купи ноутбук и получи мышку в подарок!", если проще просто сделать ноутбук дешевле на стоимость мышки?
Столкнувшись с корпоративными закупками, я понял что ноутбук то идёт компании, а вот мышку уже можно оставить и себе....

И всё сразу стало на свои места. 

Безопасность объектов ТЭК


По всей видимости, этап осмысления проблем информационной безопасности критически важных объектов подходит к концу. Stuxnet, бэкдор в ZTE, шпионские гипервизоры в BIOS, ... - всё это говорит о том, что на Востоке и на Западе разработкой киберваффе занялись плотно и на самом высоком уровне. Адекватным ответом на усилия кибершпионов и кибердиверсантов будет разработка собственной системы информационной безопасности критически важных объектов инфраструктуры РФ. 

Заставь идиота сайты цензурить 2...

Пока мои жалобы на Билаин пылятся в электронных приемных Прокуратуры, Администрации Президента, Министерства связи и Роскомнадзора, проведу ка я еще небольшое исследование интернет-маразма наших охотников на экстремистов/педофилов (кстати на днях за гомопедофилию задержали руководителя Департамента строительства Краснодара. Мож не там все-таки педофилов ищем?).

Безопасность в Windows 8


26 октября выйдет в свет новая версия операционной системы от Майкрософт - Windows 8.
Т.к. рано или поздно всем нам придется использовать эту ОС, я решил сделать это уже сейчас.
Обычно все новые продукты Майкрософт доступны до релиза по партнерским каналам. Но в этот раз MSDN молчит. К счастью 1 августа в сеть утекла финальная RTM сборка Windows 8, которая сейчас уже расползлась по всем торрент треккерам.  

Заставь идиота сайты цензурить...

Гей клуб Пчёлка заблокировал мой блог.

Безопасность и мораль

Давно подмечено, что животные, обладающие ядовитыми железами, острыми когтями или клыками, не убивают друг друга при брачных играх или при разделе территории. Это не выгодно с точки зрения эволюции и ведёт к вымиранию вида. Запрет на убийство себе подобных "прописан" у таких животных на уровне врождённых инстинктов. 

[Перевод] Киберубийство


3 августа человек по имени Mat Honan в течении часа потерял всю информацию со своего макбука, айфона и айпада. Кроме того его аккаунты gmail и twitter были удалены (и полностью очищены) и была скомпрометирована часть служебной информации (твиттер электронного издания Gizmodo, где Мэт работал).
О том как это произошло Мэт написал в статье на Wired, которую я и хотел бы тут перевести, т.к. считаю это событие знаковым.

Как нюхать сеть?

Неотъемлемым элементом защитного периметра сети сегодня стали системы обнаружения атак. 
Многие производители межсетевых экранов в погоне за модой стали встраивать в свои продукты модули СОА, но функционал и эффективность таких комбинированных систем обычно на порядок ниже, чем у отдельных девайсов.

Если вы задумались об установке выделенной системы обнаружения атак, то первый технический вопрос, с которым вы столкнетесь, будет: как отзеркалить на СОА весь входящий трафик?

И тут есть несколько типовых решений:

Сделай сам: Самооценка по СТО БР ИББС

За свою жизнь я использовал сотни пиратских программ (может, правда, уже и перевалило за 1000...).
Дабы выправить карму и набрать побольше аргументов к грядущему Судному дню, я решил поделиться с сообществом своим файлом, значительно упрощающим техническую работу по самооценке СТО БР ИББС-1.2-2010.

[UPDATE] Как защищать детей

И вот наше государство взялось за защиту детей.
Как всегда законопроект полон нужных и правильных идей. И как всегда мы боимся ставшего уже классическим "хотели как лучше, а получилось как всегда".

На сегодняшний момент окончательно состав процедур по контролю за Интернет не определен. Поэтому у нас ещё есть время сказать свое веское слово
  • Федеральный закон от 29 декабря 2010 года № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" (вступает в силу с 01.09.2012). 
  • Текст поправок можно скачать тут (линк на сам документ). 
Теперь вкратце что же предлагает нам новый закон и поправки к нему...

Не все флешки одинаково полезны или боевые HID эмуляторы

На днях наконец-таки мне дошла посылка из Штатов с Teensy!

Teensy - это готовая плата с программируемым микроконтроллером + miniUSB интерфейс для взаимодействия с компьютером.
Параллельно с тысячами всевозможных добрых способов применения teensy, существуют парочка ... альтернативных :).

При подключении к компьютеру, teensy может эмулировать нажатие клавиш клавиатуры и выполнять произвольные команды в операционной системе от имени пользователя.

Теперь чуть подробней...

Дайджест новостей ИБ за июнь 2012

Решил сделать краткую подборку новостей за прошедший месяц для тех, у кого нет времени читать новости, блоги и твиттер.

1. 30-31 мая прошла конференция по ИБ PHDays. Материалы и отчёты о конференции собраны тут (отчеты в самом низу) + там есть и мой;
2. Банк России выпустил плеяду документов по защите национальной платежной системы, которая, видимо, станет ИБ трэндом 2012 года, если в следующем месяце новые документы по защите ПДн ее не переплюнут;
3. В начале месяца были похищены хэши миллионов пользователей LinkedIn, LastFm, eHarmony и др. Как и кто украл хэши - непонятно. Спалились тоже странно: хакер выложил 6.5 млн хэшей LinkedIn на форум InsiderPro с просьбой помочь ему их сломать =) (и ему помогли!);
4. МВД поймало 22 летнего хакера, владевшего крупнейшим в рунете ботнетом - 6 млн. машин (всего в РФ 54.9 млн пользователей интернета. Т.е. каждый 10 ПК в России был в этом ботнете). Хакер успел украсть 150 млн. рублей.
5. У Stuxnet появился не менее интересный брат - троян Flame. Он умеет негласно подслушивать и подсматривать за жертвой,  следить за сотовыми телефонами в округе через Bluetooth. Внутри сети Flame распространялся через технологию Windows Update! Washington Post подтвердил, что и stuxnet и flame разрабатывались американцами и израильтянами против иранской ядерной программы.

Краснодарское
1. Роскомнадзор оштрафовал Почту России за то что последняя собирает паспортные данные получателей посылок и заказных писем в форме 22. Никто не любит Почту России...
2. Ряд местных банков "попали" под новые требования к лицензиям ФСБ. Многие не имеют требуемых 500 аудиторных часов образования в области ИБ. Дело доходит до отзыва лицензий ФСБ.

НеИБэшное
1. В Краснодарском крае осудили эколога, который написал "Саша вор!" на незаконном заборе вокруг дачи Ткачева. За условный забор дали 3 года условно. Это намного жёстче, чем 150 тысящ штрафа за укрывательство банды, устроившей резню в Кущевке.

Оценка соответствия требованиям Банка России к обеспечению защиты информации при осуществлении переводов денежных средств

Недавно вышло несколько документов, определяющих требования Банка России к участникам взаимодействия в рамках различных платежных систем.
Один из документов - Положение 382-П - содержит методику проведения оценки соответствия организации требованиям Банка России, отдалённо напоминающую методику оценки СТО БР ИББС-1.2-2010 (правда тут нет оригинальной круговой диаграммы).
Согласно указанию Банка России 2831-У, результаты оценки соответствия должны направляться всеми участниками платежных систем в Банк России по форме ОКУД 0403202 не реже одного раза в 2 года и не позднее 30 дней с момента завершения оценки соответствия. 
Если сравнивать с той же методикой СТО БР ИББС-1.2-2010, эта методика оценки значительно проще (129 вопросов против 423, 2 интегральных оценки EV против 8), однако СТО БР ИББС был расчитан на гораздо менее многочисленное сообщество кредитных организаций и носил добровольный характер. Эта же методика оценки обязательна для участников платежных систем различных уровней и заниматься оценкой нужно уже сейчас.

Теперь чуть подробней о методике оценки..

Документы по НПС

В последнее время вышло множество документов по защите национальной платёжной системы (НПС). 
В этом топике вы найдете актуальный перечень документов + ссылки на скачивание. 

Такой забавный Unicode

А знаете ли вы, что человек использует всего 5% своего мозга и своей клавиатуры?
Повсеместный переход на Юникод открыл практически безграничные возможности по расширению своего "символьного запаса", что позволяет делать очень интересные штуки ☺!
---✁----------------------------------------------------------------------------------------------

Как правильно охотиться на лис

На прошедшей конференции PHDays был конкурс, который назывался "Охота на лис". Задачей конкурса было найти переносную точку доступа wifi, которой был обычный сотовый телефон. С течением времени задача усложнялась, т.к. точка становилась мобильной и могла на некоторое  время отключаться.
В этом конкурсе активно участвовали мои коллеги, которые в итоге заняли 2, 3 и 4 место (а по сумме найденных лис оставили далеко позади всех остальных участников конкурса).
Собственно ключом к победе в этом конкурсе была правильная вайфай карточка и антенна (а так же умение быстро передвигаться по забитым коридорам с ноутбуком и умение приставать к прохожим со странными вопросами "А Вы не лиса?" :)).

Про пароли, BitLocker и криогенный криптоанализ..

Как сказал Александр Песляк на PHDays: нет смысла  устанавливать жесткую парольную политику в Windows, т.к. даже самый сложный пароль может быт подобран в этой ОС в разумные сроки.

В целом, сложность пароля напрямую влияет на время его подбора, однако как показывает ситуация с утечкой паролей LinkedIn, даже 40 символьный пароль может быть подобран в течении всего нескольких часов! 

Разлочить Winlocker

Собственно многие из нас когда-либо натыкались на подобное сообщение на экранах ноутбуков друзей и родственников:
Современные winlocker'ы эволюционируют на глазах: активно используют соц.инженерию (обвинение в нарушении УК и правил Микрософт), используют для кражи денег номера сотовых телефонов, которые периодически меняются даже если вирус не подключён к Интернету, успешно обходят антивирусный софт со свежими базами и т.д.

Как разблокировать компьютер?

Защита сведений о ЕГЭ

В соответствие с Федеральным Законом N 3266-1 "Об образовании", сведения содержащиеся в контрольных измерительных материалах ЕГЭ, относятся к информации ограниченного доступа.
Для обработки материалов экзамена и персональных данных участников ЕГЭ, ФГБУ "Федеральный центр тестирования" создало свою защищенную корпоративную сеть передачи данных - ЗКСПД ФИС.
ЗКСПД ФИС классифицирована по К1, т.к. содержит сведения 2,3 и 4 категории о более чем 3 миллионах субъектов.
Более подробно технические требования к защите ЗКСПД указаны в технических условиях подключения (документ согласован начальником управления ФСТЭК на 1 февраля 2012 года - А.В. Куцом).

Из основных положений документа:

[UPDATE] Конкурентная разведка на #phdays


30-31 мая в Москве состоялась конференция PHDays, организованная компанией Positive Technologies, которую до и после проведения стали называть крупнейшей и интереснейшей конференцией по ИБ в России.

Материалы конференции уже сегодня можно посмотреть на сайте DigitalOctober.

На конференции присутствовали такие иконы мира ИБ, как Брюс Шнайер (автор Blowfish), Дмитрий Скляров (русский хакер взломавший PDF и арестованный за это ФБР), Александр Песляк (создатель john the ripper) и многие другие.

О конференции уже написано многое, т.ч. я напишу о конкурсе "Конкурентная разведка", который проводился параллельно с конференцией, где я вместе с 4 участниками набрал максимальное количество баллов.

История одного пентеста или как не надо делать аудит

10  мая на Хабре появилась интересная статья про пентест Кубанского Универсально Банка (www.kubunibank.ru). Автор - пентестер с ником 090h. Статья быстро набрала популярность и к вечеру стала самой популярной статьей за день на Хабре.
В статье рассказывалось, как был проведен аудит Кубанского Универсального Банка и был найден ряд уязвимостей, позволяющих получить контроль над вебсервером, расположенным  внутри локальной сети, что открывало потенциальную возможность по атаке внутренних информационных систем банка.
Служба безопасности банка узнала о статье в день публикации и начала внутреннее расследование. Как оказалось, ни руководитель департамента ИТ, ни сама служба безопасности не была предупреждена о пентесте заранее, и уж тем более разрешение на публикацию статьи о проведении пентеста руководство банка не давало.
В итоге всего этого системный администратор уволился с формулировкой "я хотел как лучше, а вам ничего не надо". Да и комментарии к статье на хабре сложились не в пользу банка:



Вот я и решил разобраться в этой ситуации подробней, чтобы понять кто прав, а кто виноват.

Выборы. Итоги.

Сегодня можно подвести итог под моей работы в качестве члена комиссии с правом решающего голоса в участковой избирательной комиссии Краснодара №21-43.
"Да здравствует советский суд - самый гуманный суд в мире!"

[UPDATE] Атлас, Орбита, Гипроком, Россигнал, и многие другие

Мало кто из безопасников на Кубани не знает такую компанию, как ЗАО "Орбита". Эта компания много лет лидировала на рынке ИБ в крае и даже в ЮФО, периодически вторгаясь и на столичный рынок ИБ.
Однако далеко не все знают историю этой компании, которой я хотел бы коснуться в этом посте.

Совещание на тему безопасности и ЗИ в ГУ ЦБ по КК 11.05.2012

11 мая в краснодарском управлении Центрально Банка прошло совещание на тему обеспечения безопасности и защиты информации в банковском секторе Краснодарского края.
Интересность:       ▃ ▄ ▅ ▆ 
Организация:        ▃ ▄ ▅ ▆ ▇
Питание:               ▃ ▄ ▅ ▆ 

Кибервойна и кибервойны


Как известно, американцы создали в 2009 "Кибер командование" (USCYBERCOM) - структуру Министерства обороны США, в задачи которой входит ".. подготовка и осуществления полного спектра военных операций в киберпространстве, необходимых для обеспечения свободы действий США и союзников в киберпространстве и ограничения таких возможностей для противника".
...и вот несколько фактов об этой структуре:

Повалило или письма счастья от РКН - 2

Я раньше уже писал о такой стратегии Роскомнадзора, однако масштабы рассылки писем заставляют меня повторить эту тему снова.

Роскомандзор рассылает письма операторам с требованием представить уведомление или справку о причинах не уведомления (см. ст. 22 152-ФЗ) + документы из ч.1 ст.18.1 152-ФЗ.

Если оператор не предоставляет эти сведения в двухнедельный срок - ему выписывают протокол об административном нарушении, дают 90 дней на "устранение выявленных недостатков" и он становится кандидатом на внеплановую проверку.

За первый квартал 2012 года Краснодарский РКН уже выписал 178 (!) протоколов на общую сумму почти 200 000 рублей!

и это только начало!

Отправлены тысячи (!) писем.

Семинар Ассоциации Региональных Банков России в Краснодаре


Интересность:       ▃ ▄ 
Организация:        ▃ ▄ ▅ 
Питание:               ▃ ▄ ▅ ▆

19 апреля в Краснодаре прошел Семинар "Экономика ИБ и защита персональных данных в коммерческих банках", организованный АРБ "Россия".
Не смотря на то, что тема семинара была поставлена достаточно широко и остро, семинар был посвящен, фактически, презентации продукта Bell Integrator - автоматизированной системы разработки шаблонов документов по защите персональных данных для банков.

Врачебная тайна

Достаточно недавно вышел новый закон 323-ФЗ "Об основах охраны здоровья граждан", который интересен не только медикам, но специалистам по ИБ, потому что уделяет беспрецедентное количество внимания вопросам защиты врачебной тайны.
Начнём с того, что ...

Правильное уведомление РКН: Сведения о родственниках


Собственно первый этап любой проверки РКН - это анализ вашего уведомления. И тут есть пару интересных моментов, на которые стоит обратить внимание.
Одним из таких моментов является обработка сведений о ближайших родственниках...

Мои круги (про пароли)

В среднем, активному сетевому жителю нужно запомнить, минимум, дюжину паролей: почта, твиттер, блог, форумы, соц.сети, торрент-трекеры, онлаин банк, платёжная система и т.д. и т.п., и еще на работе: рабочая почта, рабочий сайт, 1С, CRM, ERP.... %)
Каждый из этих паролей (зачастую ограничение стоит жёстко) должен быть не менее 8ми символов, содержать цифры, буквы в разном регистре и спец.символы + периодически неузнаваемо меняться. Эти требования вполне выполнимы, если вы закончили среднюю школу и учили даты на уроках истории, но только для ограниченного количества паролей, которыми вы постоянно пользуетесь (на вскидку, кто помнит точную дату отмены крепостного права? А ведь когда то писали "летучки" по этим датам....).
Стоит только уйти в отпуск на месяц и провести его вдали от компьютера, как все ваши супер сложные пароли со спец.символами, вводимыми на цифровой клавиатуре с зажатой клавишей Alt, исчезают в темных глубинах вашей памяти (проверено лично =). 

Так что же делать? Какой есть выход из подобной ситуации?

Выборы 2. Один вечер из жизни члена избирательной комиссии..

Первая часть тут.

После разбора пачек МЧСников и многодетных семей по пачкам, мы, наконец, приступили к подсчёту бюллетеней.

Выборы 04.03.12. Как это было.

Я был очень возмущен результатами предыдущих выборов, поэтому эти выборы решил провести на избирательном участке, дабы увидеть всё своими глазами. 
Для этого я заранее написал заявление на участие в выборах в качестве члена комиссии с правом решающего голоса с помощью партии Яблоко (благодаря им процедура упростилась до тривиальных действий - заполнить бланк заявления, отдать им и ждать).

Если вы поставили ViPNet..

Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент.. 
Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?

Типовой набор средств защиты для ИСПДн

Для соответствия требованиям нормативных документов по защите перс.данных, каждая ИСПДн должна обладать следующим набором средств защиты информации - СЗИ (взят из 58 приказа ФСТЭК):
  • Средства управления доступом регистрации и учёта, обеспечения целостности;
  • Средства межсетевого экранирования;
  • Средства обнаружения вторжений;
  • Средства антивирусной защиты;
  • Средства анализа защищённости;
  • Средства защиты каналов связи - если имеется факт передачи ПДн за пределы контролируемой зоны;
  • Средства шифрования - если нет охранной сигнализации или круглосуточного дежурства, если ПДн хранятся на ноутбуке, который периодически покидает пределы контролируемой зоны и т.д.
Все указанные категории средств защиты должны иметь соответствующие сертификаты ФСТЭК и ФСБ (именно по таким категориям вас попросят предъявить заверенные копии сертификатов при проверке). 
Допускается использовать комплексные СЗИ. Например антивирус с межсетевым экраном и модулем обнаружения вторжений. Однако в таком случае продукт должен иметь соответствующие сертификаты: и по классу СВТ, и по классу МЭ, и как "средство обнаружения вторжений". 
Вот пример подбора средств защиты для многопользовательской ИСПДн К2 из 1 АРМ:

Как потерять лицензию ФСТЭК по ТЗКИ

Не секрет, что лицензия ФСТЭК на деятельность по ТЗКИ является ключевым требованием в 100% работ по защите информации. Поэтому потерять ее даже временно - большая трагедия для компании.
А как же такое может произойти?
Рассмотрим подробнее....

Сбербанк, Интернет и ПДны

Сегодня оставлял жалобу на Сбербанк через их сайт (есть там неприметный красненький конвертик). На последнем шаге с меня ультимативно потребовали следующее согласие:
Направляя данное Обращение, я даю свое согласие ОАО "Сбербанк России" на обработку, в том числе автоматизированную, своих персональных данных в соответствии с Федеральным законом от 27.07.2008 № 152-Ф3 "О персональных данных". Указанные мною персональные данные предоставляются в целях рассмотрения настоящего Обращения и исполнения договорных обязательств, а также разработки банком новых продуктов и услуг и информирования меня об этих продуктах и услугах. Банк может проверить достоверность предоставленных мною персональных данных, в том числе с использованием других услуг и заключения новых договоров. Согласие предоставляется с момента подписания настоящего Обращения и действительно в течение пяти лет. По истечении указанного срока действие согласия считается продлённым на каждые следующие пять лет при отсутствии сведений о его отзыве.
Вот ведь как получается: пришел чтобы пожаловаться, а в результате навечно отдал свои персональные данные для рассылки мне спама и предложений получить "самый выгодный кредит" (не говоря уж о загадочных "других услугах" и "новых договорах").
И ведь такое позволяет себе самый крупный банк с самой большой базой персональных данных. Что уж говорить об исполнении норм 152-ФЗ другими операторами...

Куда смотрит ФСБ?

Если вы строите "пуленепробиваемую" систему защиты персональных данных, которая выдержит любую проверку любого регулятора - то вам интересно будет взглянуть на список документов, которые требует ФСБ при контроле за обработкой ПДн.