Как профессионалы в сфере безопасности защищают личные данные

Иван Бируля

Директор по безопасности «СёрчИнформ».

Половина моих коллег из сферы информационной безопасности — профессиональные параноики. Я и сам до 2012 года был таким — шифровался по полной программе. Потом понял, что такая глухая оборона мешает в работе и жизни.

В процессе «выхода в свет» выработал такие привычки, которые позволяют спокойно спать и при этом не строить вокруг китайскую стену. Рассказываю, к каким правилам безопасности сейчас отношусь без фанатизма, какие периодически нарушаю, а какие соблюдаю со всей серьёзностью.

Излишняя паранойя

Не пользоваться публичным Wi-Fi

Я пользуюсь и не испытываю опасений на этот счёт. Да, при использовании бесплатных общественных сетей возникают угрозы. Но риск сводится к минимуму, если соблюдать простые правила безопасности.

1. Убедиться, что точка доступа принадлежит кафе, а не хакеру. Легальная точка просит ввести номер телефона и высылает СМС для входа.
2. Использовать защищённое подключение для доступа в Сеть.
3. Не вводить логин/пароль на непроверенных сайтах.

Ещё подробнее про третий пункт. Раньше это бы значило, что страница, куда вы вводите конфиденциальные данные, использует защищённое соединение (об этом сигнализирует HTTPS перед названием сайта).

Недавно браузер Google Chrome даже стал помечать страницы, соединение с которыми не защищёно, как небезопасные. Но к сожалению, фишинговые сайты в последнее время тоже переняли практику получения сертификата, чтобы мимикрировать под настоящие.

Так что, если вы хотите войти в какой-то сервис, используя публичный Wi-Fi, я советовал бы сто раз убедиться в оригинальности сайта. Как правило, достаточно прогнать его адрес через whois-сервис, например Reg.ru. Свежая дата регистрации домена должна насторожить — фишинговые сайты долго не живут.

Не заходить в свои аккаунты с чужих устройств

Захожу, но настраиваю двухэтапную аутентификацию для соцсетей, почты, личных кабинетов, сайта «Госуслуги». Это тоже несовершенный метод защиты, поэтому в Google, например, начали применять аппаратные токены для подтверждения личности пользователя. Но пока для «простых смертных» достаточно того, что ваш аккаунт будет запрашивать код из СМС или из Google Authentificator (в этом приложении новый код генерируется каждую минуту на самом устройстве).

Тем не менее небольшой элемент паранойи я допускаю: регулярно проверяю историю посещений на случай, если кто-то посторонний входил в мою почту. И конечно, если захожу с чужих устройств в свои аккаунты, по окончании работы не забываю нажать «Завершить все сессии».

Не устанавливать банковские приложения

Пользоваться банковским мобильным приложением безопаснее, чем онлайн-банкингом в десктопной версии. Даже если он разработан идеально с точки зрения безопасности, остаётся вопрос с уязвимостями самого браузера (а их немало), а также уязвимостями операционной системы. Вредоносное ПО, крадущее данные, может быть внедрено сразу в неё. Поэтому, даже если в остальном онлайн-банкинг совершенно безопасен, эти риски остаются более чем реальными.

Что касается банковского приложения, его безопасность целиком и полностью на совести банка. Каждое проходит тщательный анализ безопасности кода, зачастую привлекаются внешние именитые эксперты. Банк может заблокировать доступ к приложению, если вы сменили сим-карту или даже просто переставили её в другой слот смартфона.

Некоторые, самые защищённые приложения даже не запускаются, пока не выполнены требования безопасности, например телефон не запаролен. Поэтому, если вы, как и я, не готовы отказываться от онлайн-расчётов в принципе, лучше использовать приложение, а не десктопный онлайн-банкинг.

Конечно, это не означает, что приложения защищены на 100%. Даже в лучших обнаруживаются уязвимости, поэтому необходимо регулярное обновление. Если считаете, что этого недостаточно, читайте специализированные издания (Xaker.ru, Anti-malware.ru, Securitylab.ru): там напишут, если в вашем банке хромает безопасность.

Использовать отдельную карту для онлайн-покупок

Я лично считаю, что это лишние хлопоты. У меня был отдельный счёт, чтобы в случае необходимости переводить с него деньги на карту и оплачивать покупки в интернете. Но и от этого я отказался — это ущерб комфорту.

Быстрее и дешевле завести виртуальную банковскую карту. Когда делаешь покупки онлайн с её помощью, данные основной карты в интернете не засвечиваются. Если считаете, что этого не хватает для полной уверенности, оформите страховку. Эту услугу предлагают ведущие банки. В среднем при стоимости 1 000 рублей в год страховка карты покроет ущерб в 100 тысяч.

Не использовать умные устройства

Интернет вещей громадный, и угроз в нём ещё больше, чем в традиционном. Умные устройства действительно таят огромные возможности для взлома.

В Великобритании хакеры взломали локальную сеть казино с данными о VIP-клиентах через умный термостат! Если казино оказалось таким незащищённым, что говорить об обычном человеке. Но я пользуюсь умными устройствами и камеры на них не заклеиваю. Если телевизор и сольёт информацию обо мне — чёрт с ним. Это точно будет что-то безобидное, потому что всё критически важное я храню на зашифрованном диске и держу его на полке — без доступа в интернет.

Выключать телефон за рубежом на случай прослушки

За границей мы чаще всего пользуемся мессенджерами, которые отлично шифруют текстовые и аудиосообщения. Если трафик и будет перехвачен, в нём окажется только нечитаемая «каша».

Операторы мобильной связи тоже используют шифрование, но проблема в том, что они могут отключить его без ведома абонента. Например, по требованию спецслужб: так было при теракте на Дубровке, чтобы спецслужбы могли оперативно прослушивать переговоры террористов.

Кроме того, переговоры перехватывают специальные комплексы. Цена на них начинается с 10 тысяч долларов. Их нет в свободной продаже, но они доступны спецслужбам. Так что, если задача прослушать вас стоит, вас прослушают. Боитесь? Тогда выключайте телефон везде, и в России тоже.

Отчасти имеет смысл

Менять пароль каждую неделю

На самом деле достаточно раз в месяц, при условии, что пароли длинные, сложные и отдельные для каждого сервиса. Лучше прислушиваться к советам банков, потому что они меняют требования к паролям по мере роста возможностей вычислительной техники. Сейчас слабый криптоалгоритм перебирается брутфорсом за месяц, отсюда и требование к частоте смены пароля.

Правда, оговорюсь. Парадоксально, но требование менять пароли раз в месяц содержит угрозу: человеческий мозг устроен так, что при необходимости постоянно удерживать в голове новые коды, начинает выкручиваться. Как выяснили киберэксперты, каждый новый пароль пользователя в этой ситуации становится слабее предыдущего.

Выход — использовать сложные пароли, менять их раз в месяц, но использовать для хранения специальное приложение. А вход в него тщательно защищать: в моём случае это шифр из 18 символов. Да, приложения грешат тем, что содержат уязвимости (см. пункт про приложения ниже). Приходится выбирать лучшее и следить за новостями о его надёжности. Более безопасного способа удержать в голове десятки надёжных паролей я пока не вижу.

Не пользоваться облачными сервисами

История с индексацией Google Docs в поиске «Яндекса» показала, насколько пользователи заблуждаются относительно надёжности такого способа хранения информации. Для совместного доступа я лично использую облачные серверы компании, потому что знаю, насколько они защищены. Это не значит, что бесплатные публичные облака — абсолютное зло. Просто перед тем, как выложить документ на «Google Диск», озадачьтесь тем, чтобы зашифровать его и поставить пароль на доступ.

Необходимые меры

Не оставлять номер телефона кому и где попало

А вот это совсем не лишняя мера предосторожности. Зная номер телефона и Ф. И. О., злоумышленник может сделать копию сим-карты примерно за 10 тысяч рублей. В последнее время подобную услугу можно получить не только в даркнете. Или даже проще — переоформить чужой номер телефона на себя по липовой доверенности в офисе оператора связи. Дальше номер можно использовать для доступа к любым сервисам жертвы, где нужна двухфакторная аутентификация.

Так злоумышленники уводят аккаунты в Instagram* и Facebook* (например, чтобы рассылать с них спам или использовать для социальной инженерии), получают доступ к банковским приложениям и вычищают счета. Недавно СМИ рассказывали, как в один день у московского бизнесмена по такой схеме украли 26 миллионов рублей.

Насторожитесь, если ваша сим-карта без видимых причин перестала работать. Лучше перестраховаться и заблокировать банковскую карту, это будет оправданной паранойей. После этого обращайтесь в офис оператора связи, чтобы разобраться, что произошло.

У меня две сим-карты. К одному номеру, которым я ни с кем не делюсь, привязаны сервисы и банковские приложения. Другую сим-карту использую для общения и бытовых нужд. Этот номер телефона оставляю, чтобы зарегистрироваться на вебинар или получить дисконтную карту в магазине. Обе карты защищены PIN-кодом — это элементарная, но действенная мера безопасности, о которой забывают.

Не загружать на телефон всё подряд

Железное правило. Достоверно узнать, как разработчик приложения собирается использовать и защищать данные пользователя, нельзя. Но когда становится известно, как же создатели приложений их используют, это часто оборачивается скандалом.

Из последних кейсов — история с Polar Flow, в котором можно узнавать местонахождение сотрудников разведок всего мира. Или более ранний пример с Unroll.me, которое должно было защищать пользователей от спам-подписок, но заодно продавало полученные данные на сторону.

Часто приложения хотят знать слишком много. Хрестоматийный пример — приложение «Фонарик», которому для работы нужна только лампочка, но оно хочет знать о пользователе всё, вплоть до списка контактов, видеть фотогалерею и где пользователь находится.

Другие требуют ещё больше. UC Browser отсылает IMEI, Android ID, MAC-адрес устройства и некоторые другие данные пользователя на сервер компании Umeng, занимающейся сбором информации для торговой площадки Alibaba. От такого приложения я, как и коллеги, предпочту отказаться.

Даже профессиональные параноики допускают риски, но осознанные. Чтобы не бояться каждой тени, решите, что в вашей жизни публично, а что приватно. Вокруг личной информации возводите стены, а по поводу сохранности публичной не впадайте в фанатизм. Тогда, если однажды вы обнаружите эту публичную информацию в открытом доступе, вам не будет мучительно больно.

*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.