Все новости

Как защитить личные данные в интернете

Диджитализация ускорилась и привела к увеличению объема конфиденциальной информации в сети. Как защитить личные данные, кто их ворует и какие есть способы защиты, «Снобу» рассказал серийный предприниматель, сооснователь GhostDrive и WISE, директор по продукту Player’s Health Илья Пашков
23 июля 2021 13:12

Уже давно не секрет, что интернет-ресурсы и соцсети постоянно собирают различные типы информации от пользователей, сохраняют их и потом продают другим компаниям. А иногда используют данные в целях, которые могут быть направлены даже против самого пользователя. Многие не задумываясь соглашаются указывать личные данные, не догадываясь при этом о последствиях, которые могут произойти при использовании этой информации. 

Типы персональных данных

В первую очередь сайты собирают персональные данные: ФИО, место регистрации и жительства, серию и номер паспорта, сведения об образовании, месте работы, доходах и так далее. Получить всю эту информацию сейчас очень просто. Однако зачастую это и приводит к нецелевому использованию этой информации и проблемам для самих пользователей. 

Пользуясь данными чужого паспорта, можно оформить микрозайм, зарегистрировать фирму-однодневку, оформить рассрочку на покупку онлайн-товаров. Существуют и более изощренные способы мошенничества: зная ФИО, можно подделать квитанции на оплату штрафов или зарегистрировать электронный кошелек на чужое имя и использовать его для махинаций и шантажа. Также краденые паспортные данные используют для оформления сим-карт, обманов на сайтах объявлений и изготовления поддельных паспортов.

Биометрия

Биометрические данные: отпечатки пальцев, анализ лица, голоса и сетчатки глаза, анализ ДНК, группа крови, рост, цвет глаз, вес и прочее — все это главные идентификаторы человека, они позволяют получить доступ к самой приватной информации. Случаев, когда хакеры пользовались биометрическими данными, множество.

Например, в 2016 году на Международном хакерском конгрессе в Германии Ян Крисслер, известный под никнеймом Starbug, рассказал, как подделал отпечатки пальцев министра обороны Германии Урсулы фон дер Ляйен по нескольким фотографиям. «После этого политики постараются не снимать перчатки во время публичных выступлений», — пошутил Крисслер.

Специалисты вьетнамской компании Bkav обманули защиту сканера лица Face ID на iPhone X, воспользовавшись маской-копией владельца смартфона, распечатанной на 3D-принтере.

Исполнительный директор энергетической компании, расположенной в Великобритании, думал, что говорит по телефону с коллегой из немецкого подразделения. Тот просил перевести денежные средства на банковский счет венгерского поставщика. Запрос был срочный, и перевод был выполнен в течение часа. Голос коллеги был подделан с помощью нейросети. В результате аферы на счет мошенников было переведено 234 тысячи долларов.

В сети распространили фальшивые посты, в которых звезды российского шоу-бизнеса предлагали принять участие в розыгрыше ценных призов. Публикации были смонтированы с помощью программы, которая позволяет заменять лица на видео. Например, это можно сделать с помощью программы ZAO, выпущенной китайской компанией.  

Специальные данные

Это характеристика человека, неочевидная информация о личности — политические и философские взгляды, здоровье, подробности личной жизни, судимости. Обычно, такую детальную информацию можно найти в личных делах и документах. Доступ к подобным данным есть у сотрудников страховых компаний, государственных учреждений, медицинских работников и участников общественных и религиозных организаций. 

Получить доступ к данным можно, если субъект дал письменное согласие на обработку своих персональных данных, если осуществлялась обработка персональных данных для защиты жизни, здоровья или жизненно важных интересов других лиц или, например, если осуществлялся сбор данных страховой компанией. 

Такой тип информации можно использовать для различного рода шантажа, криминальных афер и психологических атак. 

Обезличенные данные

Не менее важные данные человека, которые довольно просто украсть: электронная почта, геолокация, информация о принадлежности к определенной социальной группе, стаж работы. 

Эти данные есть в общем доступе в интернете — это статьи, страницы в соцсетях, публикации, видео и любого рода контент с информацией о человеке. Личные аккаунты в соцсетях чаще всего крадут для сведения счетов или мошенничества с целью выманивания денег у друзей-подписчиков. Данные о геолокации и перемещении используют преступники более высокой квалификации, чтобы проследить маршруты и график человека. Цели могут быть самые разные — от ограбления квартиры или дома до похищения членов семьи.

Хранение личной информации

Помните, что у хакера всегда есть возможность получить необходимую информацию. Поэтому базовое правило сегодня при взаимодействии с интернетом — шифрование данных. 

Защищать следует не только свои персональные данные. Если вы ведете бизнес, с большой вероятностью вы собираете данные своих клиентов. Сегодня задача владельца любого бизнеса — обеспечить сохранность данных компании и пользователей. Без надежной защиты информацию легко похитить, скомпрометировать или исказить реальность в интересах конкурентов.

Два основных места для хранения данных — облако и data-центры. Облако — это виртуальное хранение данных на серверах в сети. Data-центры — специальное помещение с IT-инфраструктурой, где размещено серверное оборудование. Самым популярным хранилищем на сегодняшний день является «публичное облако» — это облачная услуга, которая предоставляется нескольким клиентам одновременно. То есть, арендуя публичное облако, вы размещаете данные на сервере поставщика и делите место с другими компаниями. Примером такого вида сервиса являются: Amazon Web Services, Microsoft Azure, Google Cloud Platform.

У таких сервисов есть как плюсы, так и минусы. Например, среди преимуществ: более высокий уровень надежности хранения данных, так как инфраструктура изолирована; индивидуальное построение IT-инфраструктуры — сервис затачивается под нужды компании; гибкость в распределении вычислительных мощностей и самостоятельный выбор места для размещения оборудования в ЦОД (центр обработки данных) поставщика или серверной компании.

Из минусов: ограниченный объем мощности, защита частного облака собственными силами — все лицензии и программы защиты придется покупать самостоятельно. Масштабирование инфраструктуры медленнее, чем у публичного облака, также присутствуют дополнительные расходы на содержание такой инфраструктуры.

Есть несколько способов, как оптимизировать работу и настройки безопасности. Самое первое и основное правило — старайтесь подключаться только к проверенным сетям Wi-Fi и обязательно пользуйтесь VPN в публичных местах, кафе, отелях и так далее. Подключаться лучше по защищенному протоколу HTTPS. Регулярно меняйте пароли и следите за обновлениями своего софта и ОС (операционной системы).

Если вы получаете какие-то ссылки по СМС или почте, старайтесь их не открывать, особенно от неизвестных источников, и никогда не открывайте вложения, которых не ждете.

Как защитить финансы

Воруют не только персональные данные, связанные с информацией о человеке. С каждым годом учащаются случаи взлома банкинга, а способы становятся все изощреннее. Есть базовые правила защиты своих активов. Естественно, не надо никому сообщать полные реквизиты своей карты, и не выкладывайте ее фотографии в сеть. Вводить данные карты можно только на защищенных сайтах надежных компаний. Защищенное соединение легко узнать по значку закрытого замка и адресу, который начинается с «https://».

Проводите платежи через безопасные шлюзы платежных систем, они перекидывают вас на сайт банка, который для подтверждения операции присылает код подтверждения в СМС-сообщении. Обязательно подключите СМС-оповещения или push-уведомления об операциях. Так вы сразу же узнаете, если по карте кто-то проведет платеж без вашего согласия.

Если вам звонят или присылают сообщения от банка с тревожными или радостными новостями о балансе вашего счета, лучше не поддерживать разговор и сразу положить трубку, а на сообщения не отвечать. Наберите официальный телефон горячей линии — он указан на обратной стороне карты и на сайте банка. Объясните ситуацию специалисту, а он уже подскажет, что в действительности происходит с вашим счетом и как лучше поступить в таком случае.

Используйте только сложные пароли для своей электронной почты и личных кабинетов на сайтах. Пароли типа 12345 или Password не смогут вас защитить. В идеале все пароли должны быть разными, длинными, с прописными и строчными буквами, цифрами и специальными символами. При этом желательно, чтобы для вас пароль имел смысл и вы могли его запомнить. Как и реквизиты карты, пароли нужно хранить в тайне.

В тактике защиты банкинга можно выделить пять основных принципов:

Кибератаки

Кибератака — это сознательная попытка человека или организации проникнуть в информационную систему другого человека или организации. Чаще всего, совершая кибератаку, хакер стремится получить финансовую выгоду.

Есть три основные цели кибератак. Первая — APT (англ. advanced persistent threat) — таргетированные или целевые атаки. А этом случае, в отличие от массовых хакерских атак, злоумышленников интересует конкретная организация или компания. Обычно такие взломы хорошо спланированы и включают несколько этапов — от разведки и внедрения до уничтожения следов присутствия. 

Вторая — атаки на DNS-сервера. В результате DNS-атак пользователь рискует не попасть на нужную страницу, а при вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы. Также в результате перехода пользователя на ложный IP-адрес хакер может получить доступ к его личной информации. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Существуют DoS-атаки на сети доставки контента — CDN Content Delivery Network. Cети CDN сохраняют статический контент в кэш-памяти своих собственных серверов и размещают его «ближе» к пользователям по всему миру, что позволяет ускорить доступ. Сети CDN не оборудованы полной защитой от DoS/DDoS-атак и способны защитить только те данные, которые хранятся в пределах самих сетей — а данные клиентов в ЦОД остаются незащищенными.

Современная безопасность не имеет границ. Чем надежнее защита, тем хитрее и сложнее способы атаки. Кибератаки случаются ежедневно. Из последних крупных можно вспомнить взлом сайта Белорусской АЭС; как хакеры получили доступ к 150 тысячам камер Verkada в больницах, полиции и компаниях по всему миру; а хакеры из КНДР атаковали Pfizer.

Подробнее о том, как защитить личную информацию в интернете, какие профессии и скиллы будут востребованы в будущем, что ждет отрасль онлайн-образования и о многом другом можно будет узнать 29 и 30 июля в рамках Девятого Международного форума ReForum Winning The Hearts. Форум пройдет в онлайн-формате, участие бесплатное.

Автор: Яна Грибук