Вопрос сохранности персональных данных в интернете всегда был важным, правда, ещё 10 лет назад об этом не говорили так громко и часто. Взломов и масштабных утечек данных становится всё больше. Из недавних примеров — взлом портала Госуслуги.
Компания хостинг-провайдера Timeweb обрабатывает огромное количество данных и отвечает за их сохранность. Команда хостинга делится своим опытом и рассказывает о базовых правилах безопасности в сети: как избежать утечек данных и свести к минимуму возможность стать жертвой киберпреступников.
КОМАНДА TIMEWEB
Важно тщательно выбирать места хранения данных
Некоторые могут подумать «Да кому я нужен со своими данными?» — и отчасти будут правы. Хакеры за обычным пользователем вряд ли будут охотиться, но можно попасть под горячую руку: в ходе массовых утечек информации они не анализируют полученные данные.
Мелкие злоумышленники взламывают соцсети и от имени жертвы просят денег в долг у родственников или публикуют сторис из серии «Помогите, я в большой беде, вот номер карты». Более хитрые и опасные обращаются в организации, которые выдают микрозаймы и берут кредиты на людей, чьи паспортные данные оказались в даркнете. Так что стоит внимательно относиться к тому, где хранятся личные данные и как они обрабатываются.
Что касается компаний, они могут считать, что обеспечили безопасность своих цифровых сервисов и можно не тратить ресурсы на дополнительные меры предосторожности, но стоит учесть, что даже почтовые домены ФБР взламывают. Поэтому нужны дополнительные механизмы обеспечения безопасности, особенно для хранения чужих данных.
Как защитить себя от хакеров
В 2019 году хакерские атаки совершались каждые 14 секунд. Специалисты из InfoWatch сообщали, что в том же году в сеть утекло более 14 миллиардов записей с личными данными пользователей со всего мира, в России это число составило 170 миллионов. И цифры растут: так, согласно отчёту Check Point Software Technologies, за первое полугодие 2021 года число кибератак на организации во всём мире возросло на 29%. Хакеры продолжают использовать пандемию COVID-19 и переход на удалённую работу.
Предлагаем ряд рекомендаций, которые помогут пользователям защитить свои данные.
Выкладывать как можно меньше личной информации в публичном пространстве
Не публиковать в соцсетях каждый свой шаг.
Не сообщать о поездках в другую страну: воры наверняка захотят воспользоваться этой информацией.
Не называть свой банк или своего сотового оператора.
Не публиковать информацию, с помощью которой можно стать жертвой шантажа.
Не оставлять личный номер, адрес электронной почты, адрес проживания и другие важные данные в сети. Кто-то захочет направить спам или отправить фишинговое письмо, кто-то — выйти на физический контакт.
***
Фишинг — это набор методик, которые используют злоумышленники, чтобы завладеть личной информацией, например, данными банковской карточки
По данным американской Федеральной торговой комиссии, пользователи социальных сетей чаще становятся жертвами мошенников. А одной из крупнейших утечек в 2019 году была утечка данных сотен миллионов людей из профилей Facebook, Twitter, LinkedIn и Github — 4 терабайта личной информации.
Чем меньше личной информации в открытом доступе, тем меньше шансов стать жертвой хакеров или злоумышленников.
Соблюдать сетевую гигиену
Не стоит посещать подозрительные сайты и устанавливать на компьютер программы из непроверенных источников.
Например, кликнув по баннеру с текстом из серии «Чтобы быть здоровым, нужно всего лишь пить две капли…», пользователь попадает в рекламную мусорку, которая зачастую содержит не только фейковые новости и тысячи баннеров с рекламой, но и вредоносный код.
Если кто-то в сети предлагает крупный выигрыш, обещает наградить криптовалютой за небольшой вклад или предлагает заработать 100 000 рублей на опросах, предварительно требуя залог, то лучше отправить этих людей в чёрный список. Не нужно оставлять им никаких персональных данных.
Рекомендуем посещать только официальные ресурсы.
Не стоит переходить на сайты, которые находятся в конце поисковой выдачи, и на сайты, данные которых не защищены с помощью HTTPS-шифрования.
Дважды проверять информацию
Важно правильно выбирать сайты, которыми вы пользуетесь. Зайдя не на ту страницу, в лучшем случае можно прочитать фейковую новость, а в худшем — потерять деньги.
- Проверяйте адреса сайтов. Например, не стоит покупать бытовую технику со скидкой на странице nvideo.ru (а не mvideo.ru) и не стоит вводить логин с паролем на gosusligi.ru (а не gosuslugi.ru).
- Удостоверьтесь в корректности адреса электронной почты. К примеру, если пришло письмо от компании с адресом min[email protected] с требованием срочно назвать пароль от аккаунта live.com, нужно отправить такое письмо в спам.
- Уточняйте информацию у ответственных лиц. Когда пользователю пишут или звонят мошенники по поводу манипуляций с его банковским счётом, нужно связаться с банком для уточнения информации. Когда говорят, что родственник в реанимации, — звоним родственнику.
- Не доверяйте людям в интернете, которых не знаете лично. Если продавец на Авито присылает отдельную ссылку для оплаты товара, а не использует встроенную систему, есть вероятность, что он пытается обмануть покупателя.
Использовать сложные пароли
По данным сервиса разведки утечек данных DLBI, среди популярных паролей в 2020 году — 12345, 000000, asdasd и другие, легко подбираемые комбинации символов.
А вот как, по мнению того же сервиса, выглядят 25 популярных паролей за период 2017‒2020 — на базе анализа 33,3 млрд пар «логин и пароль»:
С учётом информации выше вряд ли можно удивляться, что в сеть утекает огромное количество персональных данных: злоумышленникам достаточно запустить брутфорс-скрипт, чтобы за несколько минут получить нужную информацию. А вот на подбор пароля B24q_w7GGh/2/-lkl у компьютера может уйти несколько, а то и десятков лет. А люди в принципе вряд ли попытаются угадать такой код ?
Брутфорс-скрипт ― программа, которая пытается подобрать пароль пользователя методом перебора
Тем, кто не умеет придумывать сложные пароли или боится их забыть, можно доверить их генерацию браузерам — почти все, кроме редких инди-браузеров для Linux, предлагают сложные и безопасные последовательности знаков.
Также можно перейти на менеджер паролей — например, 1Password, если есть возможность за него платить. В команде разработчиков 1Password числится Эндрю Байер, который обеспечивал безопасность коммуникаций в Армии США на протяжении 10 лет. Услугами 1Password пользуются технологические гиганты, такие как Apple и IBM.
Регулярно менять пароли
Если произошёл взлом используемого сервиса или утечка данных, нужно сразу изменить пароли в связанных приложениях и веб-службах. Это поможет предотвратить дальнейшую потерю данных.
Обычно о таких утечках оповещают браузеры или менеджеры паролей, но не всегда. Можно мониторить их самостоятельно на сайте haveibeenpwned.
Даже крупные взломы для пользователя могут пройти незаметно, поэтому стоит время от времени менять пароли хотя бы в критически важных приложениях.
Использовать двухфакторную авторизацию
Доверять персональную информацию только паролям нельзя. Лучше использовать дополнительный слой защиты — двухфакторную авторизацию, которая позволяет сервисам и приложениям требовать при входе не только пароль, но и дополнительное подтверждение личности: например, код из СМС или из электронного письма, клик в официальном приложении.
Такие механизмы защиты есть во всех популярных сервисах, включая ВК, Instagram, Apple ID, Google, Microsoft.
Двухфакторная авторизация не защитит, если пользователь сам отдаст свои данные злоумышленникам, поверив в запрос в фишинговом письме. Но она защитит и от брутфорса, и от глобальных сливов данных: злоумышленник не сможет войти в сервис или соцсеть пользователя, даже зная его логин и пароль.
Не хранить все данные в одном месте
Если держать все сбережения на одном счету, вору достаточно получить доступ к одному аккаунту, чтобы заполучить всё. Поэтому лучше распределять финансы по разным счетам, инвестировать.
С персональными данными работает тот же принцип:
- для ведения рабочей переписки лучше создать отдельную учётную запись;
- чтобы купить товар в магазине и не оставлять почтовый адрес для единоразовой покупки, можно сделать временный email-адрес в сервисе Temp Mail;
- если нужно зарегистрироваться в сомнительной соцсети, пригодятся сервисы из серии Hide My Mail от Apple и DuckDuckGo, которые генерируют так называемые фальшивые email-адреса с переадресацией на основной ящик;
- если нужен номер телефона, можно заказать временную виртуальную симкарту для приёма СМС, например, в компании OnlineSim;
- для покупок в интернете или оформления пробной подписки на сервис лучше завести виртуальную карту и ограничить на ней количество средств.
Чем больше будет адресов почты, логинов, паролей и банковских счетов, тем сложнее злоумышленникам будет украсть все данные разом.
Использовать специальную функцию при выходе в сеть в публичных местах
WiFi-сети с протоколом безопасности WEP и сети без паролей — небезопасные сети. Хакеру не составит труда взломать интернет, например в кафе, и перехватить трафик его посетителей или работников из соседнего офиса, которые подключились к сети заведения.
Находясь в общественном месте, лучше использовать мобильный интернет и функцию Hotspot — режим, превращающий смартфон в модем для ноутбука или планшета.
Профессия- Научитесь предвосхищать кибератаки и минимизировать их последствия
- Отработаете знания на проектах, приближенных к реальным рабочим ситуациям
- Программа разработана совместно с Group‑IB — одной из ведущих международных компаний по расследованию и предотвращению киберпреступлений
Как защитить бизнес
Предприятия регулярно страдают от масштабных потерь в связи с атаками хакеров.
Например, в 2019 году компания Orvibo, создающая ПО и аппаратуру для умных домов, допустила утечку двух миллионов записей персональных данных своих клиентов. В том же году случилась одна из крупнейших утечек данных у Сбербанка, в 2020 году подобная акция повторилась вновь. С защитой персональных данных не всегда справляются должным образом и государственные органы.
Вот что рекомендуем сделать компаниям для защиты персональных данных клиентов.
Выбрать безопасный хостинг
Бесплатные сервисы продают данные пользователей и зачастую сами являются злоумышленниками. Некоторые из них подставляют ссылки на свои сайты поисковым ботам, чтобы отнимать у клиентов позиции в ранжировании Google.
Не всегда можно доверять и платным хостинг-провайдерам. Так, сервис HostGator был замечен в подозрительных схемах по продаже «защитного ПО».
Не всегда можно ориентироваться и на рейтинги: многие из них формируются за счёт пользовательских отзывов, которые можно купить.
Лучше выбрать провайдера с незапятнанной репутацией, крупными компаниями в числе клиентов и встроенными механизмами обеспечения безопасности. Например, с наличием антивируса или средств защиты от DDoS-атак.
Репутацию компании можно проверить как минимум так:
по Google-запросу из серии «[название хостинга] scam» посмотреть, что пишут о компании в новостях и на форумах.
DDoS (Distributed Denial of Service, отказ в обслуживании) ― это действия злоумыш-ленников, в результате которых нарушается работо-способность ИТ- инфраструктуры компании
Защитить VDS самостоятельно
Если компания пользуется виртуальным сервером, то ей следует своими силами шифровать данные, настраивать порты, регулярно менять пароли доступа, активировать Firewall и поддерживать программное обеспечение в актуальном состоянии.
Есть обязательный набор мер обеспечения безопасности для веб-мастеров, занимающихся администрированием VDS/VPS: обновление ПО, удаление лишних библиотек и плагинов, смена SSH-порта, настройка шифрования, регулярное создание резервных копий и другие.
Нанимать квалифицированных разработчиков
Разработчики проектов должны быть хорошо знакомы со стандартами безопасности и наиболее часто встречающимися атаками на сайт и веб-приложения.
В команде должен быть тот, кто знает OWASP Top Ten — список распространённых уязвимостей, используемых для взлома сайтов и приложений, — и понимает, как избежать их появления в коде.
Безопасный код — один из важнейших этапов защиты бизнеса.
Это касается не только бэкенд-составляющей и защиты баз данных. В интерфейсе хакеры находят десятки брешей, которые позволяют перехватывать как отдельные крупицы информации, так и получать полноценный доступ к общему управлению ресурсом.
VDS ― Virtual Dedicated Server ― виртуальный выделенный сервер
Firewall ― технологический барьер, который защищает сеть от нежелательного доступа
Следить за новостями информационной безопасности
Рекомендуем читать хостинговое сообщество Timeweb Community и Хабр, чтобы не пропускать актуальные новости об уязвимостях в WordPress и других популярных программных продуктах, использующихся в разработке и при администрировании веб-продуктов.
Обычно вместе с подобными новостями публикуются и способы защиты от обнаруженных угроз.
Резюмируем
Независимо от того, владеете ли вы цифровым бизнесом или просто выходите в интернет за новостями, важно придерживаться базовых правил безопасности.
Уделив немного времени на смену пароля и удаление персональных данных со страниц в соцсетях — личный email, скриншоты с личными данными, фото документов, можно в разы снизить риск стать жертвой злоумышленников. А это — сэкономленные деньги и нервы, а иногда и карьера с репутацией.
Мнение автора и редакции может не совпадать. Хотите написать колонку для Нетологии? Читайте наши условия публикации. Чтобы быть в курсе всех новостей и читать новые статьи, присоединяйтесь к Телеграм-каналу Нетологии.
КОМАНДА TIMEWEB