Facebook Pixel
IT
IT

Информационная безопасность: как и зачем защищать личные данные

Правила кибербезопасности. Фото: Unsplash.

Правила кибербезопасности. Фото: Unsplash.

Хакер может поймать вас на крючок, даже если вы ни разу в жизни не генерировали пароль с даты рождения. Абсолютная безопасность в интернете — это недостижимая константа. Именно от переменных зависит, что вы получите в итоге. Соблюдение правил информационной безопасности изменит вашу диджитал-жизнь к лучшему, а хакеров, наоборот, оставит ни с чем.

The Page выяснило, почему киберпреступников кормят персональные данные, зачем нужно защищать личную информацию и как правильно это делать.

1

Схемы мошенничества: на чем зарабатывают хакеры

В июле 2020 года мир всколыхнула самая масштабная хакерская атака в истории Twitter. Преступники взломали аккаунты известных бизнесменов и политиков и опубликовали от их имени сообщения примерно такого содержания: переведите средства на криптокошелек — и мы удвоим входящие платежи. За считанные часы хакеры разбогатели примерно на $110 тыс.

В списке жертв взлома оказались Билл Гейтс, Илон Маск, Джо Байден, Барак Обама, Канье Уэст, Ким Кардашьян, компании Apple и Uber, а также крупнейшие криптовалютные биржи CoinDesk, Binance и Gemini.

Хакеры взломали Twitter. Фото: Bleeping Computer.

Хакеры взломали Twitter. Фото: Bleeping Computer.

Украинские хакеры тоже не спят. В октябре киберполиция задержала группу преступников, которые взломали более 100 млн электронных кошельков, аккаунтов в игровых серверах и банкингах с упрощенным входом. Используя сохраненные в настройках браузера логин и пароль, они выводили деньги с чужих счетов.

Украинские хакеры взломали около 100 млн аккаунтов. Фото: Укринформ.

Украинские хакеры взломали около 100 млн аккаунтов. Фото: Укринформ.

С начала 2020 года Служба безопасности Украины нейтрализовала 460 кибератак, 20 хакерских группировок и 16 ботоферм мощностью более 60 тыс. ботов.

В зоне риска прежде всего финансовая отрасль, государственные и медицинские учреждения, оборонные и промышленные предприятия, онлайн-сервисы, сфера услуг, телекоммуникации, IT-компании и блокчейн-проекты. Объектами атак становятся люди, компьютеры, серверы и сетевое оборудование, веб-ресурсы, мобильные устройства, банкоматы и POS-терминалы, а также Интернет вещей (IoT).

Методы, с помощью которых работают хакеры, практически неизменны: киберпреступники используют вредоносное программное обеспечение, подбирают учетные данные, применяют манипулятивные приемы социальной инженерии и эксплуатируют уязвимости веб-ресурсов.

Статистика киберпреступлений в 2020. Фото: СБУ.

Статистика киберпреступлений в 2020. Фото: СБУ.

«Популярным и простым является фишинг — например, вам присылают сообщение со ссылкой на что-то интересное. Будьте внимательны к мелочам. Если приходит e-mail, что кто-то пытается зайти в вашу почту и нужно немедленно сменить пароль, убедитесь, что это письмо именно от google, а не gÖogle, например», — советует Егор Аушев, соучредитель школы кибербезопасности CyberSchool и компании, разрабатывающей стратегии кибербезопасности, CyberUnit.tech.

Кроме того, злоумышленники создают клонированные сайты с привлекательными акциями или розыгрышами. Во время авторизации на подозрительных ресурсах пользователи добровольно отдают свои данные в базу преступникам. Так, в прошлом месяце мошенники «дарили» фейковые 2,5 тыс. грн от имени сети супермаркетов АТБ.

Мошенническая схема розыгрыша. Фото: Сайт города Кременчуга.

Мошенническая схема розыгрыша. Фото: Сайт города Кременчуга.

Зачем кому-то может понадобиться ваша личная информация? Основной мотив киберпреступников — финансовая выгода. Как говорится, data is the new gold (данные — новое золото): информацию можно покупать и продавать на черном рынке, а также использовать для подделки документов.

В основном это утечки из банков и государственных учреждений. «Слитая» оттуда информация помогает мошенникам завоевать доверие жертвы по телефону. Человек думает, что такие данные может знать только работник банка, рассекречивает пароль и может попрощаться с деньгами.

Впрочем, не все хакеры — преступники. Так называемым black hat (черная шляпа) противостоят white hat (белая шляпа) — специалисты по информационной безопасности, или этические хакеры. Они не нарушают закон, а пытаются выявить дыры в системах и улучшить защитные механизмы.

2

Что мне грозит в интернете

Формально персональные данные — это ваши имя и фамилия, место и дата рождения, паспортные данные, адрес проживания, семейный статус, образование, профессия, должность и доходы. Личная информация охватывает еще и аккаунты в соцсетях, онлайн-счета, бытовые и деловые переписки в интернете — так называемый цифровой профайл, который является важным активом нашей жизни.

Выложив фото с геолокацией, обозначив статус в фейсбуке, оплатив что-либо карточкой или с помощью смартфона, мы оставляем цифровой след и создаем вокруг себя киберпространство, открытое как для друзей, так и для злоумышленников.

Правила безопасности в интернете. Фото: Киберполиция Украины.

Правила безопасности в интернете. Фото: Киберполиция Украины.

В топе киберпреступлений — распространение вредоносного ПО, кража номеров кредитных карточек и банковских счетов, взлом паролей, захват аккаунтов в соцсетях и нарушение авторских прав. Вы уже стали жертвой интернет-мошенничества, если:

  • вам звонили неизвестные компании с рекламой товаров и услуг;
  • от вашего имени в интернете публиковали информацию, которую вы не распространяли;
  • ваши паспортные данные выложили в открытый доступ;
  • в настройках появлялись неизвестные устройства, с которых проверяли вашу почту, фейсбук или инстаграм;
  • без вашего ведома со счетов исчезали деньги.

«Кто-то до сих пор живет в парадигме «кому я нужен» или «меня не взломают». Таких людей злоумышленники используют как вектор атаки на основные цели: руководителей предприятий или инфраструктуры корпораций. О безопасности онлайн-ресурсов заботится очень малый процент населения. Преимущественно это известные публичные люди, которые понимают цену утечки информации», — говорит Аушев.

Как защитить личные данные. Фото: Киберполиция Украины.

Как защитить личные данные. Фото: Киберполиция Украины.

Иными словами, безответственный пользователь ставит под угрозу не только себя, но и свое окружение, чаще всего — семью и начальство. Иногда хакеры получают доступ, но не показывают себя до нужного момента. Помните: если вас до сих пор не взломали, возможно, вы просто об этом не знаете.

3

Пять заповедей личной кибергигиены

White hat сравнивают: когда проезжаешь мимо аварии, обещаешь себе ездить 60 км/ч, а уже через пять минут снова превышаешь скорость. С безопасностью в интернете то же самое: кибергигиена должна стать привычкой на подсознательном уровне.

Пароль играет роль

Никаких дат рождения и символических чисел. Генерируйте случайные последовательности цифр и букв. На каждый аккаунт ставьте другой пароль и время от времени его меняйте. «Лучше не использовать секретный вопрос для входа в аккаунт. Открою тайну: девичью фамилию вашей мамы узнать очень легко, а значит, вся киберзащита «ляжет» за секунду», — добавляет эксперт.

Информационная безопасность. Фото: Киберполиция Украины.

Информационная безопасность. Фото: Киберполиция Украины.

Специалист советует включить двухфакторную аутентификацию, но не через SMS, так как их могут перехватить. Лучше пользоваться специальными приложениями — например, Google Authenticator. Пароли можно хранить в приложениях, которые загружаются на телефон и сохраняют информацию офлайн, а не на чужих серверах неизвестного происхождения.

Семь раз прочти — один раз кликни

Мыслите критически и следуйте культуре zero trust (ноль доверия), то есть не доверяйте никому полностью. Стоит быть осторожным со ссылками, push-уведомлениями, сообщениями, особенно если это откровенный кликбейт.

Следите за разрешениями, которые предоставляете приложениям, и старайтесь просматривать пользовательское соглашение. Так вы по крайней мере будете знать, что TikTok каждые 30 секунд проверяет вашу геолокацию, список установленных приложений, контакты, сообщения, историю звонков, а затем направляет эту информацию на 70 различных серверов, 30% из которых — китайские.

Держи гаджеты в порядке

Регулярно проводите аудит своих устройств, обновляйте программное обеспечение, проверяйте работу антивируса.

Не стоит забывать о защите беспроводной сети. Обновите имя и пароль роутера, которые стоят по умолчанию от производителя, отключите удаленное управление. Убедитесь, что ваш маршрутизатор использует шифрование WPA2 или WPA3. К бесплатному вай-фаю в общественных местах подключаться рискованно.

Делай бэкап

Включите резервное копирование важных данных в автономном режиме на внешний жесткий диск или в облачное хранилище. Однако интимные фото лучше так не хранить. «Если вы сделали их на телефон, подключенный к интернету, убедитесь, что вы там хорошо получились, и будьте готовы к тому, что когда-то они могут стать публичными», — говорит Аушев.

Береги личное

Не указывайте в соцсетях номер телефона или адрес. Если это все-таки рабочая страница, сделайте контакты и список друзей частными, доступными ограниченному кругу пользователей. Геолокацией лучше не злоупотреблять.

Прежде чем что-то опубликовать, пройдите тест «билборда»: готовы ли вы увидеть на билборде то, что отсылаете или выставляете?

Как защитить себя в интернете. Фото: STEM IS FEM.

Как защитить себя в интернете. Фото: STEM IS FEM.

4

Как защитить бизнес от кибератак

«Недавно мы наблюдали за атакой на украинскую компанию-разработчика SoftServe и производителя разумных гаджетов Garmin. Причем руководство последнего приняло решение заплатить выкуп хакерам. Сегодня на рынке действуют новые правила игры: чем лучше вы заботитесь о кибербезопасности, тем более конкурентной является ваша компания в сравнении с другими игроками», — отмечает Аушев.

Чаще всего бизнес страдает от DDoS-атак, призванных вывести систему из строя огромным количеством запросов. Например, заказывая DDoS-атаку на сайт конкурента, предприниматель увеличивает продажи на собственном ресурсе. Недовольные клиенты просто оставляют недоступный сервер и ищут альтернативу. Удаленный режим во время пандемии — тоже вызов для бизнеса. Преступники атакуют активнее, а за возобновление работы требуют выкуп в криптовалюте.

Как защитить бизнес от кибератак. Фото: Unsplash.

Как защитить бизнес от кибератак. Фото: Unsplash.

Взломать можно что угодно. Хакеры считают систему защищенной, если ее взлом стоит дороже, чем информация, которую она хранит. Аушев советует украинским предпринимателям не быть самоуверенными и вести более последовательную политику кибербезопасности.

Нельзя защитить бизнес один раз и думать, что отныне все всегда будет надежно. Кибербезопасность — это постоянный процесс, за который должны отвечать отдельные люди в компании. Они проводят регулярные аудиты инфраструктуры, обучают сотрудников, следят за обновлением ПО, оценивают риски и разрабатывают стратегию по кибербезопасности, которая является неотъемлемой частью бизнес-стратегии в целом.

Егор Аушев

Егор Аушев

Соучредитель компаний по кибербезопасности CyberUnit.tech & CyberSchool

5

Меня взломали: что делать

Прежде всего предупредите свое окружение о том, что ваши аккаунты взломали. Через один несложно получить доступ к другому.

После этого надо установить, каким образом чужой человек или группа людей завладели вашим аккаунтом. Обратитесь в киберполицию или в частные компании, которые занимаются кибербезопасностью. Специалисты выяснят проблему, починят устройство, помогут восстановить доступ.

Егор Аушев

Егор Аушев — Соучредитель компаний по кибербезопасности CyberUnit.tech & CyberSchool

И все же позаботиться о защите личной информации до того, как на вас напали, в десятки раз дешевле, чем исправлять последствия. Большинства хакерских атак можно было избежать, если бы пользователи имели высокий уровень цифровой грамотности и придерживались базовых правил кибергигиены.

Бесплатно прокачать свои знания по кибербезопасности помогут образовательный сериал «Персональные данные» на государственном портале «Дія» и курс «Основы информационной безопасности» на Prometheus.