В феврале 2019 года «Лаборатория Касперского» обнаружила теневой интернет-магазин Genesis, в котором продаются более 60 тысяч украденных цифровых личностей стоимостью от $5 до $200, в том числе логины и пароли к интернет-магазинам и платежным сервисам. Обладая этими данными, злоумышленники без труда могут обманывать средства для борьбы с онлайн-мошенничеством, без взлома проникать в аккаунты реальных пользователей и проводить трансакции, которые не вызовут подозрений у банка.
Редакция Executive.ru задала экспертам следующие вопросы:
- Как сохранить собственную «цифровую личность»?
- Как не попасть в ненадежные базы данных?
- Гарантирует ли Единая биометрическая система от подобных рисков?
Подумайте, прежде чем участвовать в очередном опросе
Александр Морковчин, эксперт отдела консалтинга центра информационной безопасности «Инфосистемы Джет»
Технологии Big Data и методы искусственного интеллекта позволяют из огромного количества разрозненной информации – поисковых запросов, интернет-покупок, аккаунтов в социальных сетях и пр. – с большим приближением сформировать наш поведенческий профиль или «цифровую личность». Чем чаще мы пользуемся сервисами, общаемся, путешествуем, тем богаче становится «внутренний мир» нашей цифровой личности.
Как можно сохранить в секрете или защитить то, чем вы не управляете, что сохраняется сотовыми операторами, такими гигантами, как Google и Apple, и перепродается огромному количеству сервисов? В отличие от реальной жизни, где вопрос сохранения информации определяется в том числе кругом вашего общения (и его величиной), вопрос сохранения цифровой личности становится все более риторическим, так как отследить конечного потребителя вашего профиля зачастую невозможно.
На мой взгляд, безопасность вашей личности можно рассмотреть с двух точек зрения: разборчивости в используемых сервисах и надежности метода верификации вашей цифровой личности (ваших аккаунтов в сети). Ведь, чтобы не попасть в «неблагонадежные БД», стоит несколько раз подумать, прежде чем участвовать в очередном опросе или конкурсе за репост, а для исключения риска несанкционированного доступа к вашей информации мы рекомендуем настроить двухфакторную аутентификацию, например, по SMS – этот метод поддерживает большинство сервисов.
Для запоминания основного пароля стоит придумать «фразу-пароль»
Артем Мышенков, инженер-программист по технической защите информации reg.ru
Когда мы регистрируемся в каком-либо сервисе, мы соглашаемся с условиями использования. В пользовательском соглашении обычно написано о том, что оператор может делать с нашими персональными данными и кому их передавать. Закон запрещает обработку и передачу персональных данных без согласия пользователя, однако никто не может гарантировать добросовестность владельца сервиса. Также невозможно гарантировать и безопасность сторонних продуктов, так как утечки данных или взломы могут случиться с каждым.
В данном случае остается следить только за личной безопасностью. Всегда использовать разные и сложные пароли для разных сервисов, хранить их в парольном менеджере и не забывать регулярно менять. Для запоминания основного пароля стоит придумать «фразу-пароль» – длинное предложение или набор случайных слов, которые сложно подобрать, но легко запомнить именно вам. Например, «Meets36Queens1Rodent4Woods», «Stul.shalash.28.derevo.gitara», «89VoronyMoskvichkiMenyaRazbudili!» и т.п.
Обязательно использовать двухфакторную аутентификацию, если такая возможность предоставляется сервисом, а также защищать паролями все свои устройства и сим-карты.
Единая биометрическая система, конечно, дает дополнительный фактор авторизации в тех системах, которые ее используют. Это может защитить в случае, когда злоумышленник уже получил доступ к другим данным аутентификации. Однако не стоит забывать, что гарантировать стопроцентную безопасность самой ЕБС не может никто.
Не игнорируйте даже мелкие шаги к цифровой безопасности
Роман Тарамакин, SMM-директор, Boommedia
К сожалению, не существует способа полностью обезопасить свою цифровую личность. Цифровой след, оставляемый пользователем в интернете, огромный, и учесть все факторы сложно даже профессионалу по цифровой безопасности, что уж говорить о рядовых пользователях. У среднего взрослого пользователя около 90 аккаунтов в различных сервисах – проследить за каждым сложно. Кроме того, проблема может произойти на стороне сервиса, и тогда ничего поделать вообще нельзя. Но есть способы минимизировать риски, причем, довольно простые:
- Везде, где можно, используйте двухфакторную аутентификацию. Тогда украденные данные попросту ничего не дадут сделать злоумышленникам. Конечно, можно иногда обойти и этот способ защиты, но, как правило, это делается только при целенаправленном «угоне» данных, а не при массовых сливах.
- Используйте разные пароли для разных сайтов. Это базовое правило, но оно сильно помогает, потому что часто мошенники, украв вашу цифровую личность на одном сайте, пользуются данными для доступа на другие, менее защищенные сайты. Запомнить надежные пароли для 90 сайтов сложновато (а менеджеры паролей, все-таки, можно взломать), потому есть такой лайфхак – придумайте алгоритм, по которому вы формируете пароли. Например, ваша дата рождения 22.12.1985. Если вы будете перемешивать ее с адресом сайта, то получите очень надежный, но просто вспоминаемый пароль вроде 2g2o1o2g1l9e5ru.
- Следите за тем, чем вы делитесь. Помните, что любые данные о вас в интернете появляются только с вашего разрешения. Это вы вводите лишнюю информацию, соглашаетесь на сбор данных о себе, даете разрешения сторонним приложениям. Потому старайтесь внимательнее следить за тем, что вы делаете.
- VPN, режим «инкогнито» и плагины для браузеров, отключающие трекинг и размещение cookies от третьих лиц – ваши верные друзья.
- Биометрия – это скорее хорошо, чем нет. Как показывает практика, она также взламываема, но куда сложнее. Если есть возможность ее использовать – это не будет лишним.
- Даже мелкие шаги к цифровой безопасности, вроде перечисленных выше – это уже снижение рисков потери вашей цифровой личности на несколько процентов, так что не игнорируйте их.
Аутентификация пользователя должна быть «многофакторной»
Дарья Верестникова, коммерческий директор, SafeTech
Персональные данные, такие, как паспорт, номера телефонов и прочее – уже давно утекают. Знаю историю одной девушки, на которую без ее ведома по скану паспорта, приобретенному примерно за 150 рублей на нелегальном сервисе, смогли зарегистрировать целых четыре компании. О дальнейших проблемах рассказывать не буду, но это только один случай, а подобных «сценариев» великое множество. И это всего лишь из-за утечки простой скан-копии, которую мы предоставляем во многие организации!
С одной стороны, да, цифровизация неизбежна. Но, как только мы сформируем полноценную «цифровую личность» каждого, как только заработает «цифровой профиль» и ЕБС, мы рискуем стать очень уязвимы. Если же человек находится в «цифровом» пространстве и получает услуги онлайн, то самым важным вопросом его безопасности становится подтверждение его действий или, как говорят, волеизъявление. Сейчас здесь огромный пробел.
Доступ к услугам по логину и паролю, подтверждение по SMS или с помощью Push-кодов, и, даже идентификация через ЕБС никак не гарантирует безопасность его волеизъявления. Желательно, чтобы аутентификация пользователя была «многофакторной»: кто я есть, что я знаю, чем я владею и что я хочу сделать. Чтобы эти все факторы собрать воедино, необходим приоритетный, комплексный подход к обеспечению безопасности электронных услуг. Поэтому для подтверждения волеизъявления часто используют не просто SMS или Push, а сложные решения и сервисы информационной безопасности, включая средства криптографической защиты и электронную подпись.
Корень проблемы – в шпионских программах
Владислав Шульгин, технический директор по информационной безопасности, Oberon
Корень проблемы – в шпионских программах, незаметно следящих за действиями пользователей в интернете, а также перехватывающих и отправляющих злоумышленникам конфиденциальную информацию. Например, номера кредитных карт, логины и пароли для доступа к интернет-сайтам. Из нового – только подход к реализации собранной информации.
Также возможны утечки данных из баз госучреждений, финансовых организаций, онлайн-магазинов и прочих ресурсов, где может храниться информация о пользователях, но на это пользователь повлиять, как правило, никак не может. За сохранностью данных пользователей должны следить организации, собирающие и использующие эти данные, а за соответствием применяемых организациями мер защиты следит государство. Данный вопрос регулируется законом о персональных данных.
Существуют программы и услуги по проверке наличия учетных записей или другой персональной информации в нелегальных базах данных, находящихся в так называемом «даркнете». Но подобное обычно доступно только организациям.
Стандартные методы защиты против попадания шпионского ПО на устройство: использовать антивирус, не устанавливать сомнительные приложения из неизвестных источников, не пользоваться интернетом под администраторской учетной записью…
Со стороны банковских систем усиление идентификации и аутентификации пользователя может частично решить проблему. Например, использование многофакторной аутентификации, в том числе и с использованием биометрии. Впрочем, это не всегда помогает, так как шпионская программа на смартфоне может перехватывать SMS с одноразовым паролем и отправлять его злоумышленнику. Защититься от такого поможет антивирусное ПО на телефоне, а также не следует «взламывать» устройства, чтобы загружать неавторизованный контент, приложения устанавливать стоит только из официальных магазинов.
Первое, что скажет вам о ненадежности ресурса – это пиратский незаконный контент
Дмитрий Юхневич, CEO, linkprofit
Существование теневых рынков – это огромная проблема, которая связана с тем, что пользователи не контролируют свое поведение в сети. Вероятно, это связано с тем, как развивался интернет до появления инструментов глубокого анализа поведения пользователей. Пора осознать, что время анонимности в сети уже давно прошло. Пользуясь тем или иным контентом в сети, вы платите за его использование своими данными, просмотрами рекламы, подписками на рассылки или другими способами.
Чтобы не попасть в ненадежные базы данных – не оставляйте свои данные тем, в ком вы не уверены. Даже если это означает отказ от пользования площадкой или сервисом. Первое, что очевидно скажет вам о ненадежности площадки или ресурса – это пиратский или иной незаконный для распространения контент. Однако даже у крупных и надежных белых сервисов бывают технические недостатки, которые рано или поздно вскрываются, но как правило, после утечки, и пользователи узнают об этом последними. Защититься от этого невозможно. Надо максимально быстро блокировать банковские карты, данные которых могли попасть в руки злоумышленников со взломанного ресурса.
Биометрическую защиту тоже нельзя назвать панацеей. Давайте вспомним, как вокруг одного из крупнейших производителей смартфонов разгорелись споры, вызванные успешными попытками обмануть систему распознавания отпечатков пальцев. Принцип работы ЕБС также предполагает аутентификацию пользователей по голосу и изображению лица, что несет в себе такие же риски. Наиболее оптимальным решением для пользователей на сегодняшний день можно считать привязку к номеру телефона и дополнительной почте. Также я бы рекомендовал пользователям не сохранять в кэше свои логины, пароли и данные банковских карт.
Не публикуйте фотографии своих документов и их номера
Роман Макаров, генеральный директор, МФК «Займер»
Как глава финансовой компании, которая напрямую работает с персональными данными сотен тысяч человек и активно поддерживает связь с потенциальными клиентами, дам простой, но похоже, неочевидный для многих россиян совет: не публикуйте в открытом доступе фотографии личных документов и их номера, даже если это официальное сообщество проверенного вами кредитора. К сожалению, пользователи соцсетей и различных форумов довольно часто допускают подобные действия и становятся жертвами мошенников, позволяя им таким образом воспользоваться копиями собственных документов.
Традиционные персональные данные являются только первой частью «цифровой личности». Вторая часть – учетные записи и аккаунты. В связи с этим жизненно важно обеспечить цифровую гигиену своей электронной почты: как правило, она аккумулирует большинство писем, восстанавливающих пароли от личных кабинетов, в том числе – от личных кабинетов платежных сервисов, соцсетей, интернет-банков... Пароль почты должен быть действительно сложным, поскольку это доступ ко многим используемым конкретным человеком ресурсам.
Сохранность «цифровой личности» – это прежде всего вопрос личной осторожности. Обеспечить ее в полной мере не сможет даже биометрическая идентификация. Так, например, она может защитить владельца данных лишь при обращении в финансовую организацию, но при удаленном доступе к счетам через онлайн-кабинет будет бессильна: пока что в этом случае используют идентификацию посредством номера телефона и паролей и логинов. Справедливо будет сказать, что они не обеспечивают должного уровня безопасности, а значит, нужно позаботиться и об их сохранности – запомнить, а не хранить их в виде записи на случайном листке бумаги.
Нужно закрывать дверь квартиры на замок и не оставлять ключ в двери, когда уходишь
Дмитрий Нор, директор, SkySoft
Мне кажется, большинству людей не стоит об этом вообще беспокоиться. Беспокоиться о подобных вещах нужно бизнесу и госструктурам, а также тем личностям, которые хранят на компьютере очень важные данные, от которых зависит их дальнейшая жизнь и благополучие.
Как защититься обычным людям? Здесь все на самом деле просто. «Интернет-жизнь» не сильно отличается от обычной жизни. И чтобы сохранить свою цифровую личность, просто необходимо следовать обычным правилам по аналогии с обычной жизнью и руководствоваться здравым смыслом. Приведу несколько примеров с аналогиями из обычной жизни:
- Нужно защищать данные от входа в аккаунт паролем и не хранить пароли в кэше браузера. Аналогия – нужно закрывать дверь квартиры на замок и не оставлять ключ в замке, когда уходишь. Кроме того пароли не должны быть простыми, а должны содержать буквы, цифры и символы одновременно.
- Нужно пользоваться антивирусом, если с компьютера есть что воровать. Аналогия – неплохо иметь охранную сигнализацию, если в квартире много золота или антиквариата.
- Никогда не оставлять в кэше пароли и данные кредитных карт после покупки в интернет-магазине или оплате через интернет-сервис. Это то же самое, что оставить кошелек на прилавке в магазине до завтра, чтоб он полежал, пока мы опять не придем в магазин за покупками.
- Стараться не пользоваться сайтами без зеленого замочка в браузерной строке, если нужно что-то оплатить или если сайт запрашивает личные данные. Зеленый замочек – гарантия защиты данных. Аналогия – сайты получают сертификаты, также как и товары. Несертифицированные товары, скорее всего, не качественные.
Что касается биометрии, то она серьезно повышает уровень защиты, но не гарантирует ее. Это просто еще один более совершенный метод защиты. Методы защиты развиваются, но методы взлома тоже развиваются.
Почему я написал, что беспокоиться не стоит? Потому что важные сайты уже защищены. Банки используют авторизацию через SMS, платежные сервисы – через электронную почту. Социальные сети используют подтверждение через SMS или биометрию. Юрлица пользуются электронно-цифровой подписью.
Фото в анонсе: freepik.com
ФСБ в своё время заказала несколько сотен печатных машинок фирмы Siemens и это всё что вам нужно знать о безопасности интернета.
Я думаю, что интернет здесь не при чем. Зачем компьютер обязательно подключать к интернету, можно даже чисто физически закрыть порты.
Но кроме интернета есть другие каналы съема информации, например, через электромагнитное поле, если помещение не экранировано.
Смотря что защищать и от кого
Обычному пользователю хватит обычного антивируса - в крайнем случае переустановит систему
Такое ощущение, что мы все становимся информационными параноиками. Молодцы скандинавы, даже шторы в домах не вешают. Хотите подсматривать, пожалуйста, нам не чего скрывать. А безопасность моего имени, кошелька и т.д. это проблема соответствующих структур, заинтересованных в выше перечисленной безопасности. У меня нет желания, возможностей и знаний, чтобы брать на себя ответственность за различные виртуальные ляпы государственных и коммерческих институтов.