28 января отмечают День защиты данных — Data Protection Day. Этот день — хорошая возможность поговорить о том, или в нынешнем мире, где нас окружают камеры смартфонов и социальные сети, которые умеют распознавать пользователей даже на групповых фото, вообще можно надеяться на конфиденциальность. Наглядный пример — кейс с публикацией данных миллионов жителей нашей страны на одном из хакерских форумов в ночь с 21 на 22 января.
В современном интернете наши персональные данные стали платой за бесплатные онлайн-сервисы и приложения. Информация о нас, нашем поведении, предпочтении и выборе превратилась в своеобразную цифровую валюту. Конечно, использование таких данных часто обезличено, однако, чем больше о нас знают, тем чаще эту информацию могут использовать: как минимум — для рекламы или манипуляций, а как максимум — она может попасть в руки мошенников.
Море утечек
По результатам исследования Cost of Data Breach, которое проводит компания IBM вместе с Ponemon Institute, в 2021 году средние потери компаний из-за утечек данных составили $4,2 млн за один инцидент, что является рекордом за последние 17 лет. Другая статистика, компании AtlasVPN, свидетельствует о том, что за 2021 год более 5,9 млрд аккаунтов пострадали в результате утечек. Самый серьезный из них — более 3,2 млрд уникальных комбинаций электронных адресов и паролей к аккаунтам популярных сервисов (Netflix, LinkedIn и ряду других).
К сожалению, защитить себя от подобных утечек практически невозможно. Насколько сильно бы компании не заботились о кибербезопасности, предусмотреть все случаи слива данных нереально. Поэтому нужно, во-первых, принять, что такие потери становятся неотъемлемой частью нашей жизни. А во-вторых, попытаться минимизировать их последствия для себя лично.
Например, для проверки того, не попал ли ваш электронный адрес в одну из утечек данных, можно воспользоваться этим сервисом. Он умеет производить поиск по более чем 11 млрд сломанных аккаунтов. Достаточно ввести электронную почту и сервис покажет, фигурировала ли она в какой-либо утечке в комбинации с паролем. Если поиск будет успешным, следует оперативно сменить пароль на всех сервисах, где использовалась одинаковая комбинация пароля и электронного адреса.
Стоит отметить, что именно комбинация «электронная почта + пароль» является наиболее угрожающей утечкой в случае, если эта информация попадает в руки злоумышленников. Особенно возрастает риск, если тот же пароль пользователь использует на нескольких сервисах. Поэтому нужно приучить себя не повторять пароли, или хотя бы использовать разные пароли для разных аккаунтов.
Защити себя сам
Защитить себя от потери данных в результате утечек — дело практически нереальное. Как бы компании ни следили за кибербезопасностью, подобные инциденты периодически случаются и будут случаться дальше. А вот уберечь персональные данные во время повседневного онлайн-серфинга и использования мобильных приложений — хоть сложно, но вполне реально.
Технические советы по улучшению защиты данных дать трудно — все зависит от операционной системы, которая установлена на компьютере или смартфоне, и установленных программ или приложений. Структурированную информацию о защите данных для различных устройств, например, можно найти в специальном разделе «Как?» на сайте ОО «Лаборатория цифровой безопасности».
Впрочем, в большинстве случаев чувствительные данные мошенники получают благодаря методам социальной инженерии — проще говоря, введенные в заблуждение пользователи сами предоставляют доступ к личной информации злоумышленникам.
«Основным принципом поведения в интернете (как и в целом по жизни) должен стать лозунг «Don't do stupid things» («Не совершайте глупостей»). По моему опыту, 99% всех проблем с бытовой информационной безопасностью связано именно с пренебрежением элементарными правилами информационной гигиены», — утверждает Евгений Поремчук, эксперт по электронному управлению ОО «Электронная республика».
Он рекомендует выполнять несколько универсальных советов, которые значительно снизят риски попадания в чужие руки чувствительных данных:
- Не открывайте подозрительные вложения в письмах, особенно в тех, которых вы не ожидали.
- Не кликайте на подозрительные ссылки и баннеры. Проверяйте написание доменного имени при переходе на сайт. К примеру, Goooogle.com это не Google.com, и может вести на фишинговый (мошеннический) сайт.
- В интернете нет людей, желающих дать вам денег просто так. Не реагируйте на письма от «нигерийских принцев», «8 тыс. от президента, если предоставите данные карты прямо здесь и сейчас», «выигрыш 300 тыс., только оплатите комиссию в 3 тыс.» и т.п.
- Не предоставляйте никому свою финансовую информацию. Даже если звонящий представился работником банка. У банков вся эта информация есть и так.
- Не хотите остаться без профиля в социальных сетях, почты и вообще доступа к ценным ресурсам? Используйте двухфакторную авторизацию!
- Оперативно обновляйте программное обеспечение.
- Сделайте резервную копию всех важных файлов. Прямо сейчас!
- Поставьте антивирус и регулярно обновляйте его.
- Используйте сложные пароли и регулярно обновляйте их.
- Не делитесь персональной информацией в обмен на мизерные скидки или в играх типа «Какой актрисой вы были в прошлом». Все это бизнес по созданию баз данных для рекламных звонков и будущих махинаций.
Подводя итог — мы не можем отказаться от использования онлайн-сервисов, но можем понять, как они работают и как вести себя в интернете, чтобы минимизировать «цифровой след» и информацию о себе, которую оставляем в сети.
Поэтому Роман Химич, исследователь по вопросам безопасности в цифровой среде, советует прежде всего тщательно обдумать и учесть, какую именно информацию мы хотим защитить. Какие элементы ее составляют? Интимные фото и видео? Коммерческие тайны? Насколько эта информация ценна? Что произойдет в случае ее разглашения или попадания в чужие руки?
Такую проверку информации специалисты по кибербезопасности называют аудитом имеющихся персональных данных. Его результатом должен стать структурированный список источников чувствительной информации, будь то построение «модели угроз». Понять, что именно вам угрожает, это и есть первый шаг к защите данных.