28 января — международный день защиты персональных данных. И кажется, не все понимают, как с ними обстоят дела.
▍ А что, мне кто-то угрожает?
Когда мы говорим о персональных данных, на первое место выходит конфиденциальность — это как раз и есть безопасность информации такого рода. По сути, конфиденциальность — это право человека остаться неприкосновенным, спокойным и не переживающим из-за угроз, шантажа и банальных рекламных звонков и спамерских писем. Это базис права на неприкосновенность частной жизни, гарантированного верховными законами всех цивилизованных стран мира.
Но сейчас выходит так, что кто угодно вторгается в эту приватную сферу, да и мы сами, иногда не замечая и игнорируя последствия, продаём свою самую ценную информацию за скидку или, чего доброго, сомнительный итог игрового теста в Facebook. И это ужасно, а главное, в любой ситуации работает против вас.
На диаграмме вы можете видеть самые популярные векторы утечек персональной информации по состоянию на 2019 год. Показательно, что практически каждый из нас легко попадает сразу в несколько категорий.
IBM/Ponemon
▍ Пора паниковать?
Нет, паниковать точно не нужно. В общем и целом совокупность персональных данных среднестатистического человека больше всего интересна маркетологам и рекламщикам компаний, который с помощью глубокой (а чаще не очень) аналитики предложат вам адресную рекламу. Но нужно анализировать риски: если вы работаете, ваша информация может оказаться полезной для конкурентов и мошенников, если занимаете высокую должность — тем более. Если у вас есть автомобиль, своя квартира, акции, капитал — ставки растут. Иногда риск накапливается до серьёзного уровня.
Надо понимать, что в сфере информационной безопасности и защиты персональных данных самое дорогое — реактивные мероприятия, которые проводятся уже после инцидента и редко могут вернуть ситуацию к исходной точке. А вот проактивная работа в этой области гораздо дешевле, а то и вообще бесплатная. Например, информирование: если вы сами будете что-то знать об основных векторах атаки на персональные данные и о способах защиты, расскажете об этом родным и старикам, а на работе напишете и выложите инструкцию по защите данных для коллег, это избавит вас от большинства проблем (если, конечно, следовать инструкциям).
Мы решили вам помочь и разобрались в основных угрозах безопасности персональных данных.
▍ Коммерческий сбор информации
Это способ относительно честной добычи персональных данных. Если вы покупаете что-либо онлайн, то наверняка заметили, что при регистрации почти всегда предлагается какая-то скидка — в монобрендовых магазинах она достигает 35%. Это плата за ваши персональные данные. Точно так же происходит и в оффлайне: карточка, анкета, согласие на рассылки. Причём иногда коммерция идёт на хитрость и забирает ваши данные просто в момент оформления доставки, без каких-либо бонусов. А если не поставите галку, можете не получить заказ.
Дополнительный источник опасности в этой сфере — работа с банковскими картами: мы привязываем карты в личном кабинете магазина, сохраняем в браузере и т. д. Любая компрометация данных может привести к утечке информации и ликвидации остатка на карте.
В связи с этим рекомендуем:
- иметь отдельную дебетовую карту для онлайн-покупок и переводить деньги на неё только в небольших объёмах или использовать карты маркетплейсов (например, Ozon.Card — по сути, на неё можно просто перекидывать деньги за пару минут до покупки);
- внимательно читать соглашения (не может быть, правда?);
- завести для передачи персональных данных отдельную электронную почту (заодно будет меньше спама), а в идеале — ещё и отдельный номер телефона;
- не озвучивать свои персональные данные вслух в толпе на кассе;
- по возможности выписывать карты магазинов (это касается только малоценных для вас) на придуманное имя — но помните, что в любой «разборке» с товаром или сервисом это может сыграть злую шутку.
Семьи бывают разные. Некоторым очень нужны чужие персональные данные
▍ Интернет вещей
Наши умные часы, трекеры, умные дома, колонки и прочие штуки дружат против нас :) С одной стороны, все эти гаджеты сделали нашу жизнь невероятно классной и удобной, с другой — они могут собирать данные и передавать их трансгранично, в любые компании и т. д. Куда пойдут персональные данные, какие и в каком объёме — зависит только от производителя. Успокою вас: чаще всего они нужны только ради всё той же максимально персонифицированной рекламы. Однако кто знает, что понадобится завтра хозяину сервера с данными. К тому же, интернет вещей — доступный вектор атаки, и это делает уязвимыми все передовые компании промышленности, медицины, строительства и т. д. (это мартеновскую печь нельзя было взломать, а кучу умных устройств на заводе — не вопрос).
Что делать?
- Минимизируйте количество гаджетов: откажитесь от лишних и экспериментальных устройств.
- Выключайте гаджеты, которые вы подолгу не используете активно.
- Старайтесь не интегрировать гаджеты и приложения, связанные с жизнью и здоровьем (хотя автор статьи давно всё связал и считает это удобным).
- Вовремя обновляйте операционную систему, если обновления предлагаются.
- Не теряйте гаджеты.
▍ Медицинская информация
Очень чувствительная для каждого человека информация, поскольку она касается здоровья, назначений и может ощутимо повлиять на течение жизни каждого человека. При этом ваши электронные медицинские карточки — лакомые кусочки в руках злоумышленников, маркетологов и мошенников. Причём цели могут быть разные: от банального предложения медицинских услуг до шантажа и использования в целях формирования негативного имиджа (например, у известных людей или политиков).
Защититься в этом случае сложнее всего: когда мы доверяем медицинскому центру или больнице своё здоровье в плановой или экстренной ситуации, кажется нелогичным задуматься о недоверии в сфере защиты персональных данных. Поэтому стоит следовать хотя бы одному, но очень важному совету: обязательно храните дома все подписанные договоры, протоколы лечения, выписки, чеки и т. д. Если будут неприятности, можно будет хотя бы попытать счастья (сомнительный оборот!) в суде.
Кстати, если вы прочитаете текст соглашения и договора вашей клиники или стоматологии, найдёте в них много удивительных пунктов отказа от ответственности. Будет время перед приёмом в очереди — почитайте.
▍ Онлайн и наша активность в нём
Интернет — это не просто главный источник информации, но и территория беспробудной глупости и пофигизма. За долгие годы он усыпил бдительность простых, непродвинутых (да и продвинутых, но не замороченных) пользователей: можно спокойно наблюдать, как у директора компании совпадают пароли на Wildberries и центральном сервере, а у бухгалтера один пароль на всём: от личных социальных сетей и магазина косметики до рабочих программ и почты. Истории, к слову, не выдуманные.
Между тем практически вся наша жизнь протекает в сети — и самое главное, что там вся наша работа: репозитории кода, системы управления проектами, багтрекеры, CRM/ERP, электронная почта, мессенджеры, рекламные кабинеты… Да что перечислять, вообще всё. И вот эта информация очень даже интересна огромному количеству злоумышленников, поскольку на ней можно хорошо заработать. Ну и напоследок самое важное: многие компании хранят персональные данные своих клиентов, а значит, должны ответственно относиться к их хранению, защите и передаче.
Ищем сотрудников! Резюме присылать не нужно, у нас есть вся информация о вас
Задача каждой компании — выстроить полный контур физической и информационной безопасности, а это значит использовать сертифицированное оборудование, проверять поставщиков услуг и хранилища данных, обеспечивать безотказность IT-инфраструктуры и образовывать сотрудников, чтобы они не принесли случайный или преднамеренный вред тем, кто вам доверяет.
Если кто-то забыл, коротко напомню наших основных помощников:
- Возможности аутентификации и настроек безопасности.
- Групповые политики и права доступа к разделам с персональной информацией сотрудников и клиентов.
- Механизмы шифрования и токенизация.
- Физический контроль доступа к объектам инфраструктуры, связанными с персональными данными сотрудников и клиентов.
Рисунок школьника из Барнаула
А если говорить о частных пользователях интернета в отрыве от заботы профессионального сисадмина, то главные правила до неприличия просты — и они же бесконечно нарушаются.
- Для регистрации в торговых сервисах и соцсетях имейте запасные почтовые ящики, не связанные с самой ценной приватной информацией.
- Не попадайтесь на фишинг — сейчас можно спокойно получить идеальное письмо от «маркетплейса» или зайти на сайт любимой доставки суши и потерять деньги из-за абсолютно незаметной подмены сайта в привычном интерфейсе. Перепроверьте сайт, на котором платите, не нажимайте на ссылки в письмах, которые вы не просили вам отправлять.
- В идеале — не регистрируйтесь в социальных сетях, а раз зарегистрировались, не используйте в постах и личных сообщениях геометки, не сообщайте ценную информацию: взломать могут, например, не вас, а ваших друзей. При большом желании злоумышленники могут воспользоваться моментом, пока вы постите фоточки с Кубы, и просто зайти в пустующую квартиру. А есть и более хитровыдуманные способы выманить деньги с помощью сетевых откровений.
- Не размещайте фото детей. Не буду писать пугающую простыню — вы сами понимаете, сколько здесь рисков. Да и хотели бы вы, будучи ребёнком, спустя время обнаружить в сети кучу информации о себе?
- Наклейте на камеру тёмную плёнку (пластырь или наклейку). Это позволит избежать неприятных и неожиданных сюрпризов, а заодно предохранит от внезапного появления в коллективном звонке (когда, например, думаете, что вы вышли, а на самом деле в эфире — лично у меня за время ковидной удалёнки такое произошло трижды, и один раз оказался стыдным, подвела случайно включенная камера FaceTime).
- Делайте бэкапы: храните данные на ПК, в облаке и ещё где-то, можно во втором облаке, например. Желательно, чтобы одно из облачных хранилищ было на серверах на территории той страны, где вы проживаете.
- А вот AdBlock — это уже ваше желание видеть или не видеть кучу рекламы и спама. Лично мне не мешает, даже интересно, как развивается сетевой креатив и как далеко он может зайти в изощрённой мимикрии и таргетинге.
▍ Мобильные устройства
Для большинства пользователей смартфон стал электронной копией жизни: важные файлы (что греха таить, и рабочие), фотографии, сканы документов, переписка, платёжные средства, доступы к сервисам и приложениям, биометрия, маршруты и т. д.
Потеря смартфона для такого человека — ощутимый риск потери данных и гарантированный риск доступа к персональным данным. При этом мы продолжаем использовать мобильные устройства достаточно небрежно, а они как никто ничто нуждаются в защите.
- Не устанавливайте на смартфоны простые пароли и графические ключи (среди моих знакомых, например, в топе начертание цифр, как на конвертах, причём лидирует 5). Пароли экрана блокировки в виде даты рождения — тоже намба ван.
- Обязательно используйте синхронизацию с облаком в нон-стоп режиме, а то есть любители отключать интернет из соображений экономии. Так вы сохраните свои данные и возможная утрата телефона не станет трагедией.
- Старайтесь избегать публичных сетей Wi-Fi (впрочем, это справедливо вообще для всех устройств) — это популярная среда для мошенников и просто юных кул хацкеров.
- Избегайте подозрительных приложений, приложений-следилок и шпионов.
- Не пытайтесь читать чужие списки контактов и SMS :)
- Ограничивайте приложениям доступы к камере, микрофону и местоположению, если это не критично (для прочих настраивайте режим «При использовании»).
- Выключайте сервисы карт и навигации, как только они становятся вам не нужны.
- Ну и для гиков — ставьте чистый Android, а при первом запуске сбрасывайте систему до заводских настроек. Но это уже не настолько важно, как перечень предыдущих привычных ошибок.
- В случае потери смартфона обязательно блокируйте SIM-карту в салоне оператора и используйте все возможности поиска и удалённого управления смартфоном.
▍ Физическое хранение данных
Эта часть управления персональной информацией потихоньку уходит в прошлое, но до сих пор у нас есть флешки с документами и сканами личных документов, токены электронной подписи, рабочие флешки и внешние диски. Если вы любитель такого формата хранения или вынуждены активно работать с физическими носителями, не оставляйте их в открытом доступе (даже для близких и коллег), не забывайте и не суйте в чужие ноутбуки (например, на конференциях — в этом случае лучше использовать какую-то отдельную флешку, на которой не хранится ничего ценного).
Кто просматривал мои персональные данные? Старая сказка на новый лад
▍ Пароли, пароли, пароли…
Когда я пишу о паролях, я чувствую себя ужасно глупо. Ну что о них можно сказать? Длинный, сложный, с разными символами и регистрами, с защищёнными «ключницами» и прочее. Но нет, я постоянно вижу пароли на обратной стороне клавиатур, на стикерах, в блокнотиках и ежедневниках (обожаю — ещё и расчерчено: ресурс — логин — пароль), в текстовых файлах на рабочем столе ПК. Я уже не говорю, что пароли простые и подбираемые не брутфорсом, а спокойным ручным перебором.
Не знаю, донесите, что ли, до сотрудников:
- Пароли должны быть сложные.
- Пароли должны быть разные, особенно на критичных сервисах (типа Госуслуг и рабочих машин и рабочего ПО). Один и тот же пароль можно использовать только в сервисах, которые не имеют для вас особой ценности.
- Лучше всего тренировать память и хранить пароли в голове, а если не получается, то в специальных приложениях.
- Не писать пароли никогда и нигде, для временного подключения иметь отдельный пароль.
- Пароли не нужно менять с параноидальной частотой. Но если вы узнали о компрометации сервиса или получили уведомление о взломе, меняйте мгновенно!
- Не используйте в паролях предсказуемую информацию, связанную с вашей личностью, семьёй, друзьями.
Ну, пятница же :)
▍ Отношения работника и работодателя
Очевидно, что мы передаём свои персональные данные работодателю — и чаще всего доверяем ему на 100%. Но в этой статье не об этом. Сейчас нарастает тенденция слежения за работниками — из-за удалёнки, частых передвижений и просто желания следить за рабочим местом. И здесь такая штука: если работодатель за вами следит, он уже имеет управленческие проблемы — и нет никаких гарантий, что он будет порядочным в обработке данных. Против сотрудника можно использовать любую информацию, даже личную, которая была сгенерирована или хранилась на рабочем оборудовании и в рабочих приложениях. Судебная практика пока выглядит удручающе — единственное, в чём однозначно не прав работодатель, это в незаметной слежке без уведомления и информированного согласия (должно быть подписано дополнительное соглашение или переподписан трудовой договор).
Ну и вишенка на торте: все данные собираются у вендоров bossware. Каким образом они будут использовать полученные данные, предсказать невозможно. Поэтому, если вы вдруг CIO, CEO, CTO — делайте всё, чтобы избежать использования такого программного обеспечения для офисных и хоум-офисных сотрудников. Кроме страха, ненависти и обновления резюме это редко что даёт.
▍ Мониторинг перемещения и отслеживание лиц, биометрия
Ковидная реальность придала мощный импульс развитию этих способов сбора, интерпретации и хранения совокупности информации, связанной с биометрией и распознаванием лиц. Законодательная база в этой сфере пока сырая, правоприменительная практика — тоже, а вот вмешательство в показатели человека уже довольно активное. На фоне форс-мажора сообщество относится к этой проблеме довольно спокойно, но, думается, нас ещё ждут и утечки, и закрученные гайки, и горячие дискуссии. Однозначно одно: биометрии быть, это будущее персональных данных, и с этим придётся жить.
На самом деле, в защите персональных данных нет никакой паранойи. Она должна стать такой же хорошей привычкой, как мытьё рук или чистка зубов (а вы знаете, что не все моют и не все чистят — даже из очень приличных людей?). Защита персональных данных лежит между удобством, осторожностью и перегибом, это довольно трудоёмкое занятие. Но без цифровой гигиены в бизнесе и частной жизни уже никуда. И дальше эта потребность будет только расти.
Держите ноги в тепле Храните персональные данные надёжно!
Автор:
ru_vds