В феврале 2019 года «Лаборатория Касперского» обнаружила теневой интернет-магазин Genesis, в котором продаются более 60 тыс. украденных цифровых личностей стоимостью от $5 до $200, в т. ч. логины и пароли к интернет-магазинам и платежным сервисам. Обладая этими данными, злоумышленники без труда могут обманывать средства для борьбы с онлайн-мошенничеством, без взлома проникать в аккаунты реальных пользователей и проводить транзакции, которые не вызовут подозрений у банка.
Всемирная паутина, рожденная на очередном шаге информатизации, уже давно стала большим, чем технология. Сегодня интернет – это целая среда обитания. И, как и всякая среда обитания, Интернет формирует новые правила, отношения, явления.
Среднестатистический пользователь интернета, как правило, не подозревает, что эта среда обитания гораздо более опасна, чем кажется на первый взгляд. Гуляя по просторам Сети, пользователь повсеместно оставляет следы. Интернет-сайты, браузеры, поисковики и многие другие компоненты постоянно осуществляют слежение, фиксацию и аналитику действий, предпринятых пользователем. В основном, такая возможность технически закладывается для использования в коммерческих целях.
Дело в том, что пользователь сети интернет – это лакомый кусочек для всяких разных онлайн-продавцов. Крупнейшие поисковики привязывают ваши поисковые запросы к вашей «цифровой личности» – учетной записи. Это делается для того, чтобы в дальнейшем отображать для вас целевую рекламу именно того, что вы ищете. На сегодня это самый эффективный способ продаж. Поэтому онлайн-магазины, продавцы и производители готовы платить компаниям, владеющим поисковыми системами, огромные деньги, ведь конверсия от такой рекламы очень высока!
Если вы еще не сталкивались с этим – проведите эксперимент. Введите в поиске что-то вроде «купить Toyota Camry в Волгограде». Сколько времени пройдет до момента, когда вы то тут, то там начнете встречать баннеры с предложением продажи не только Toyota, но и других марок автомобилей. Конкуренты тоже не дремлют. А подсказывает им ваш поисковик.
Покажите мне человека, который ни разу не регистрировался ни на каких интернет-площадках и я скажу, сколько ему лет. А если серьезно, мы с вами все где-то зарегистрированы. Мы оставляем свои персональные данные, логины, пароли, данные кредитных карт, сведения об автомобилях и многое другое. Мы привыкли доверять социальным сетям и выкладываем в них всю нашу жизнь. Такие площадки являются настоящими пылесосами, собирающими наши личные сведения, интересы, фотографии, предпочтения, музыкальные вкусы, места посещения, взаимоотношения.
«Что в этом плохого? Мне скрывать нечего!», – скажете вы. Это хороший подход. Честный. Открытый. И он так нравится разного рода проходимцам.
Давайте увеличим масштаб. Многие технические средства, которые, на первый взгляд, не относятся к сети Интернет, занимаются накоплением весьма чувствительных для нас сведений. Как насчет баз данных перевозчиков, формируемых при покупке билетов? А что вы скажете, если дорожные видеокамеры осуществляют фиксацию вашего перемещения, даже если вы ничего не нарушили? А базы обращений в различные органы и ведомства? Очереди в детский садик и школы?
Сегодня оцифровывается все, что только можно оцифровать! Тотальное информационное взаимодействие способно творить чудеса. Именно поэтому ваши штрафы почти мгновенно появляются на сайте госуслуг, а списание средств со счета отзывается в вашем кармане звоном пришедшей SMS-ки. Угадайте, благодаря чему существует возможность «сшивать» взаимодействие таких разных информационных систем? Естественно, благодаря всемирной паутине. Таким образом интернет, помимо среды обитания, выступает еще и в качестве транспортной среды. Интеграция и взаимодействие, в подавляющем большинстве случаев, осуществляется именно через интернет.
Ваши данные, в большинстве случаев, гуляют по этой сети в зашифрованном виде, т. е., интеграция и передача данных достаточно надежно защищается. Однако, если что-то пойдет не так, то сведения о вашей цифровой личности могут стать легкой добычей для злоумышленника! Только представьте, что может сделать злоумышленник, обладая такой информацией? Все, что угодно! При этом, не вызывая абсолютно никаких подозрений, потому что эти действия будут идентифицироваться как ваши!
О том, насколько все плохо, может проиллюстрировать следующий пример. Все банки сейчас используют методы двухфакторной аутентификации для подтверждения некоторых финансовых операций использованием сотовой сети. Говоря проще, чтобы перевести кому-то деньги, вам нужно ввести пароль, который падает вам в SMS. Но, скорее всего, вы не знали, что протоколы обмена данных, используемые сегодня в сотовых сетях, разрабатывались еще в 1970-е годы, когда ни о какой информационной безопасности не было и речи.
Они работают на основе доверия (доверия, Карл!), поэтому теоретически, при наличии достаточного количества финансов и недобросовестности сотовой компании, на вашей SIM-карте можно включить роуминг и завернуть переадресацию сигнала через сотовые вышки, находящиеся, скажем, в Зимбабве. Сразу вы этого не заметите. Т.о. можно перехватывать ваш сигнал, получать ваши SMS и, например, обходить столь любимую банками «безопасную» двухфакторную аутентификацию.
А можно и поступить проще. Например, заплатить условную 1000 рублей девушке-оператору, и убедительно попросить ее подготовить выписку по нужному вам номеру телефона. При наличии должного дара убеждения можно договориться выдать вам дубликат SIM-карты.
И так во многом. Там, где настроена серьезная защита, работают люди, которые могут ошибаться, подвержены воздействию и т. д. Все несколько хуже, чем вы думали.
Кстати, специалистов по информационной безопасности еще в университете учат тому, что, как ни странно, совершенных систем защиты информации не бывает. Считается, что хороший специалист информационной безопасности имеет некоторую степень паранойи. Думаю, вы в этом убедились, читая эту статью. Просто примите как данность, что возможно обойти любую защиту. Вопрос только в наличии необходимых ресурсов (финансов, времени, квалификации). Ведь не зря же говорят, что на всякое действие всегда найдется противодействие, на всякую силу – еще большая сила. Поэтому взлом абсолютно любой системы информационной безопасности – дело достижимое, если «сильно надо». Стоит ли поэтому говорить о безопасности персональных данных?
Необходимо помнить еще одну горькую истину. Данные, которые попали в сеть, уже никогда не будут удалены оттуда. Знали ли вы, что в интернете возможно найти даже сайты, которых больше нет. Существует множество ресурсов, занимающихся архивацией сайтов с разной периодичностью. Вы вводите адрес сайта, выбираете дату, на которую вам интересно состояние сайта и смотрите.
Зачем и кому нужно создавать эти копии – вопрос отдельной темы. Все эти ресурсы находятся в белой зоне интернета. Что же творится в Даркнете – просто ужас. Там возможно купить информацию, например, о движениях по счетам, о посещении медицинских учреждений, о перемещении конкретного человека и т. д. Это – сегодняшняя реальность. В большинстве случаев законодательство по персональных данных не соблюдается. Вообще. Добро пожаловать в сопротивление, сынок! Вот она, настоящая жизнь.
Поэтому вопрос сохранения собственной «цифровой личности» – это коллективная ответственность всех участвующих сторон, которым вы так или иначе передаете свои данные. 100% гарантию, что ваши данные не утекут, никто вам не даст.
С другой стороны, не передавать никому свои данные тоже не удастся потому, что мы живем в государстве и обществе с определенными правилами. Чтобы на 100% защитить свои данные, вы должны с самого рождения не существовать для государства. Никаких СНИЛС, записей о рождении, документов. Нужно ли говорить, что в какой изоляции будет находиться такой человек? Обучение, лечение, трудоустройство и многое-многое другое становится для него просто недоступным.
Сейчас многие возлагают большие надежды в плане обеспечения безопасности данных на «Единую биометрическую системы» (ЕБС). Это база данных, содержащая биометрическую информацию граждан. Граждане России смогут с помощью ЕБС дистанционно открывать счета в российских банках. А со временем дистанционная аутентификация по биометрии станет возможной и в других сферах: дистанционное обучение, телемедицина, услуги и т. д.
Внедрение биометрической системы существенно упростит процесс взаимодействия с банками: физическому лицу достаточно будет один раз пройти процедуру регистрации, после чего можно удаленно получать услуги в любом банке, использующем ЕБС. При регистрации создается эталонный образец биометрических данных (лицо, голос), а в процессе удаленной идентификации предоставляемые клиентом биометрические данные сравниваются именно с этим эталонным образцом. Банковские услуги станут доступнее маломобильным гражданам, а также жителям удаленных регионов, где выбор банков ограничен или вовсе отсутствует.
Такой логин и пароль потерять будет очень сложно. Конечно, это гораздо удобнее и безопаснее традиционных методов аутентификации. Однако, с точки зрения информационной безопасности данная база является такой же, как и все остальные информационные ресурсы. Несанкционированное получение данных, теоретически, возможно при наличии достаточного количества финансов, времени и компетенций (а их использование – наверное, дело техники). Если подключить к этому вопросу методы социальной инженерии, направленные на специалистов, обеспечивающих безопасность или имеющих доступ к ней, то процесс получения данных может пройти быстрее.
Поэтому использование ЕБС отнюдь не гарантирует безопасность данных. Это очередной инструмент для нас с вами, который имеет как преимущества в виде удобства и расширения возможностей, так и свои недостатки.
Что же нам со всем этим делать? Необходимо понять, что защита информации не бывает абсолютной. Поэтому, отодвинув в сторону паранойю, которой я вас, возможно, заразил, нужно трезво посмотреть на положение вещей.
В основном, для того, чтобы не стать жертвой злоумышленников среднего пошиба, (а крупных злоумышленников мы с вами вряд ли заинтересуем, по крайней мере, целенаправленно), нужно следовать простым рекомендациям.
Помните, что целенаправленным атакам среднестатистический человек вряд ли сможет противостоять. Радует, что их вероятность стремится к нулю, если вы, конечно, не входите в состав руководства предприятия, которое взяли на прицел конкуренты. А вот от случайных или «широковещательных» действий типа спам-рассылок или захвата аккаунта в соцсети и прочего подобного досадного недоразумения, вы вполне сможете защититься. Общими словами эти рекомендации называются «цифровая гигиена». Я приведу лишь несколько примеров, чтобы вы поняли направление, в котором вам необходимо бдить.
- Заведите себе электронную почту специально «для спама» и регистрируйтесь на интернет-ресурсах только с ее использованием. Никому не сообщайте ее и не используйте для частной переписки, не указывайте как запасную почту и т. д.
- Предоставляйте только те персональные данные, которые от вас требуют, внимательно читая соответствующие соглашения. Оставляйте напоминалки о том, что после завершения оказания услуг, для которых вы предоставили данные, необходимо написать заявление в адрес оператора с требованием удалить ваши персональные данные.
- По возможности, засекретьте ваши данные в соцсетях. Например, чтобы их было видно только друзьям. И не добавляйте в друзья незнакомых. Они могут оказаться ботами.
- Заведите отдельную SIM-карту, которая будет использоваться только для привязки к дебетовым и кредитным картам, осуществления финансовых операций и двухфакторной аутентификации. Крайне желательно не сообщать этот номер, даже если вам хотят перевести деньги. Сообщайте лучше 16 цифр карточки.
- Осуществляйте периодическую смену паролей на те ресурсы, доступ к которым вы не хотите потерять, или которые, попав в руки злоумышленнику, могут вас компрометировать. Везде должны быть установлены разные пароли. Если есть трудности с запоминанием – используйте менеджер паролей.
- При использовании браузера настройте его так, чтобы он передавал данные с использованием защищенных протоколов связи. Например, установите расширение https everywhere.
- Своевременно обновляйте ПО и устанавливайте обновления операционной системы.
- Пользуйтесь антивирусом и файерволом. Если не хотите тратить на это деньги (а сейчас много вариантов достаточно дешевого ПО), пользуйтесь бесплатным. В этом сегменте выбор тоже есть.
- Будьте бдительны, не открывайте спам, не переходите по указанным ссылкам и не открывайте вложения, если нет уверенности в адресате.
- Не пользуйтесь бесплатным Wi-Fi, мобильный интернет гораздо безопаснее.
- Не открывайте MMS, не устанавливайте сомнительное ПО.
В общем, этот список можно продолжать еще долго. Подобных рекомендаций достаточно много в интернете.
Подытоживая вышесказанное, хочу сказать вам только одно. Жизнь прекрасна, если соблюдать простые правила. Если это применимо для любой среды обитания человека, то для нас с вами, homo digitus, это актуально и при пользовании благами современных информационных технологий.