28 січня відзначають День захисту даних — Data Protection Day. Цей день — гарна нагода поговорити про те, чи у нинішньому світі, де нас оточують камери смартфонів та соціальні мережі, які уміють впізнавати користувачів навіть на групових фото, взагалі можна сподіватися на приватність. Наочний приклад — кейс з публікацією даних мільйонів жителів нашої країни на одному з хакерських форумів в ніч з 21 на 22 січня.
В сучасному інтернеті наші персональні дані стали платою за безкоштовні онлайн-сервіси та додатки. Інформація про нас, нашу поведінку, вподобання та вибір перетворились на своєрідну цифрову валюту. Звісно, використання таких даних часто знеособлене, проте чим більше про нас знають, тим частіше цю інформацію можуть використовувати: як мінімум — для реклами чи маніпуляцій, а як максимум — вона може потрапити у руки шахраїв.
Море витоків
За результатами дослідження Cost of Data Breach, яке проводить компанія IBM разом з Ponemon Institute, у 2021 році середні втрати компаній через витоки даних склали $4,2 млн за один інцидент, що є рекордом за останні 17 років. Інша статистика, компанії AtlasVPN, свідчить про те, що за 2021 рік понад 5,9 млрд облікових записів постраждали в результаті витоків. Найсерйозніший з них — це більш як 3,2 млрд унікальних комбінацій електронних адрес та паролів до акаунтів популярних сервісів (Netflix, LinkedIn та низки інших).
На жаль, захистити себе від подібних витоків практично неможливо. Наскільки сильно б компанії не дбали про кібербезпеку, передбачити всі випадки зливу даних не є реальним. Тому потрібно, по-перше, прийняти те, що такі втрати стають невід’ємною частиною нашого життя. А по-друге, спробувати мінімізувати їхні наслідки для себе особисто.
Наприклад, для перевірки того, чи не потрапила ваша електронна адреса в один з витоків даних, можна скористатись цим сервісом. Він уміє проводити пошук по більш як 11 млрд зламаних акаунтів. Достатньо ввести електронну пошту і сервіс покаже, чи фігурувала вона в якомусь витоку в комбінації з паролем. Якщо пошук буде успішним, варто оперативно змінити пароль на всіх сервісах, де використовувалася однакова комбінація паролю та електронної адреси.
Варто зазначити, що саме комбінація «електронна пошта + пароль» є найбільш загрозливим витоком у випадку, якщо ця інформація потрапляє у руки зловмисників. Особливо зростає ризик, якщо той самий пароль користувач використовує на декількох сервісах. Тому потрібно привчити себе не повторювати паролі, або хоча б використовувати різні паролі для різних акаунтів.
Захисти себе сам
Захистити себе від втрати даних в результаті витоків — справа практично нереальна. Як би компанії не слідкували за кібербезпекою, подібні інциденти періодично трапляються і траплятимуться далі. А ось вберегти персональні дані під час повсякденного онлайн-серфінгу та використання мобільних додатків — хоч складно, але цілком реально.
Технічні поради щодо покращення захисту даних дати важко — все залежить від операційної системи, яка встановлена на комп’ютері чи смартфоні, та встановлених програм чи додатків. Структуровану інформацію про захист даних для різних пристроїв, наприклад, можна знайти в спеціальному розділі «ЯК?» на сайті ГО «Лабораторія цифрової безпеки».
Втім, у більшості випадків чутливі дані шахраї отримують завдяки методам соціальної інженерії — простіше кажучи, введені в оману користувачі самі надають доступ до особистої інформації зловмисникам.
«Основним принципом поведінки в інтернеті (як і в цілому по життю) має стати гасло «Don't do stupid things» («Не робіть дурниць»). З мого досвіду, 99% усіх проблем з побутовою інформаційною безпекою пов’язані саме з нехтуванням елементарними правилами інформаційної гігієни», — стверджує Євген Поремчук, експерт з електронного врядування ГО «Електронна республіка».
Він рекомендує виконувати кілька універсальних порад, які значно знизять ризики потрапляння до чужих рук чутливих даних:
- Не відкривайте підозрілі вкладення в листах, особливо в тих, на отримання яких ви не чекали.
- Не клікайте на підозрілі посилання і банери. Перевіряйте написання доменного імені при переході на сайт. Наприклад, Goooogle.com це не Google.com, і може вести на фішинговий (шахрайський) сайт.
- В інтернеті немає людей, які хочуть дати вам грошей просто так. Не реагуйте на листи від «нігерійських принців», «8 тис. від президента, якщо надасте дані картки прямо тут і зараз», «виграш 300 тис., тільки оплатіть комісію у 3 тис.» і т. п.
- Не надавайте нікому свою фінансову інформацію. Навіть якщо той, хто телефонує, представився працівником банку. У банків уся ця інформація є і так.
- Не хочете залишитись без профілю в соціальних мережах, пошти і взагалі доступу до цінних ресурсів? Використовуйте двофакторну авторизацію!
- Оперативно оновлюйте програмне забезпечення.
- Зробіть резервну копію усіх своїх важливих файлів. Прямо зараз!
- Поставте собі антивірус і регулярно оновлюйте його.
- Використовуйте складні паролі і регулярно їх оновлюйте.
- Не діліться персональною інформацією в обмін на мізерні знижки чи в іграх на кшталт «Якою актрисою ви були в минулому житі». Усе це бізнес із створення баз даних для рекламних дзвінків і майбутніх махінацій.
Підсумовуючи — ми не можемо відмовитись від використання онлайн-сервісів, але можемо зрозуміти, як вони працюють і як поводитися в інтернеті, щоб мінімізувати «цифровий слід» та інформацію про себе, яку залишаємо у мережі.
Тому Роман Хіміч, дослідник з питань безпеки в цифровому середовищі, радить передусім ретельно обдумати та зважити, яку саме інформацію ми хочемо захистити. Які саме елементи її складають? Інтимні фото та відео? Комерційні таємниці? Наскільки ця інформація цінна? Що саме станеться у випадку її розголошення або потрапляння до чужих рук?
Таку перевірку інформації фахівці з кібербезпеки називають аудитом наявних персональних даних. Його результатом має стати структурований перелік джерел чутливої інформації, чи то побудова «моделі загроз». Зрозуміти, що саме вам загрожує, — це і є перший крок до захисту даних.