Да кому я нужен! Ещё раз доходчиво про защиту персональных данных

в 9:00, , рубрики: Без рубрики
Обожаю свою френдленту в Facebook. Каждый квартал непременно появляются пафосные посты о запрете несчастному Марку забирать персональную информацию в свою метавселенную. Они непременно перемежаются фотографиями и многочисленными результатами тестов и микроиграми. Это же никак не затрагивает персональные данные, правда? Своих друзей-айтишников я тоже обожаю: VPN, почта на протон мейле, везде разные пароли, каждый из которых не короче 12 символов, данные шифруются, поиск по возможности в DuckDuckGo, если нужда прижмёт, то в режиме инкогнито, разговоры — по кнопочному телефону. При этом самое ценное в их браузере: часть рабочего кода, сериалы, Хабр, Пикабу и иногда пикантный контент (по слухам, по слухам). Это две крайности, которые вроде вызывают улыбку, но в то же время обнажают важнейшую социокультурную составляющую нового мира — уважение к персональным данным и стремление их защитить.

28 января — международный день защиты персональных данных. И кажется, не все понимают, как с ними обстоят дела.

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 1


▍ А что, мне кто-то угрожает?

Когда мы говорим о персональных данных, на первое место выходит конфиденциальность — это как раз и есть безопасность информации такого рода. По сути, конфиденциальность — это право человека остаться неприкосновенным, спокойным и не переживающим из-за угроз, шантажа и банальных рекламных звонков и спамерских писем. Это базис права на неприкосновенность частной жизни, гарантированного верховными законами всех цивилизованных стран мира. 

Но сейчас выходит так, что кто угодно вторгается в эту приватную сферу, да и мы сами, иногда не замечая и игнорируя последствия, продаём свою самую ценную информацию за скидку или, чего доброго, сомнительный итог игрового теста в Facebook. И это ужасно, а главное, в любой ситуации работает против вас.

На диаграмме вы можете видеть самые популярные векторы утечек персональной информации по состоянию на 2019 год. Показательно, что практически каждый из нас легко попадает сразу в несколько категорий.

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 2

IBM/Ponemon

▍ Пора паниковать?

Нет, паниковать точно не нужно. В общем и целом совокупность персональных данных среднестатистического человека больше всего интересна маркетологам и рекламщикам компаний, который с помощью глубокой (а чаще не очень) аналитики предложат вам адресную рекламу. Но нужно анализировать риски: если вы работаете, ваша информация может оказаться полезной для конкурентов и мошенников, если занимаете высокую должность — тем более. Если у вас есть автомобиль, своя квартира, акции, капитал — ставки растут. Иногда риск накапливается до серьёзного уровня. 

Надо понимать, что в сфере информационной безопасности и защиты персональных данных самое дорогое — реактивные мероприятия, которые проводятся уже после инцидента и редко могут вернуть ситуацию к исходной точке. А вот проактивная работа в этой области гораздо дешевле, а то и вообще бесплатная. Например, информирование: если вы сами будете что-то знать об основных векторах атаки на персональные данные и о способах защиты, расскажете об этом родным и старикам, а на работе напишете и выложите инструкцию по защите данных для коллег, это избавит вас от большинства проблем (если, конечно, следовать инструкциям).

Мы решили вам помочь и разобрались в основных угрозах безопасности персональных данных.

▍ Коммерческий сбор информации 

Это способ относительно честной добычи персональных данных. Если вы покупаете что-либо онлайн, то наверняка заметили, что при регистрации почти всегда предлагается какая-то скидка — в монобрендовых магазинах она достигает 35%. Это плата за ваши персональные данные. Точно так же происходит и в оффлайне: карточка, анкета, согласие на рассылки. Причём иногда коммерция идёт на хитрость и забирает ваши данные просто в момент оформления доставки, без каких-либо бонусов. А если не поставите галку, можете не получить заказ. 

Дополнительный источник опасности в этой сфере — работа с банковскими картами: мы привязываем карты в личном кабинете магазина, сохраняем в браузере и т. д. Любая компрометация данных может привести к утечке информации и ликвидации остатка на карте.

В связи с этим рекомендуем:

  • иметь отдельную дебетовую карту для онлайн-покупок и переводить деньги на неё только в небольших объёмах или использовать карты маркетплейсов (например, Ozon.Card — по сути, на неё можно просто перекидывать деньги за пару минут до покупки);
  • внимательно читать соглашения (не может быть, правда?);
  • завести для передачи персональных данных отдельную электронную почту (заодно будет меньше спама), а в идеале — ещё и отдельный номер телефона;
  • не озвучивать свои персональные данные вслух в толпе на кассе;
  • по возможности выписывать карты магазинов (это касается только малоценных для вас) на придуманное имя — но помните, что в любой «разборке» с товаром или сервисом это может сыграть злую шутку. 

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 3

Семьи бывают разные. Некоторым очень нужны чужие персональные данные

▍ Интернет вещей

Наши умные часы, трекеры, умные дома, колонки и прочие штуки дружат против нас :) С одной стороны, все эти гаджеты сделали нашу жизнь невероятно классной и удобной, с другой — они могут собирать данные и передавать их трансгранично, в любые компании и т. д. Куда пойдут персональные данные, какие и в каком объёме — зависит только от производителя. Успокою вас: чаще всего они нужны только ради всё той же максимально персонифицированной рекламы. Однако кто знает, что понадобится завтра хозяину сервера с данными. К тому же, интернет вещей — доступный вектор атаки, и это делает уязвимыми все передовые компании промышленности, медицины, строительства и т. д. (это мартеновскую печь нельзя было взломать, а кучу умных устройств на заводе — не вопрос).

Что делать?

  • Минимизируйте количество гаджетов: откажитесь от лишних и экспериментальных устройств.
  • Выключайте гаджеты, которые вы подолгу не используете активно.
  • Старайтесь не интегрировать гаджеты и приложения, связанные с жизнью и здоровьем (хотя автор статьи давно всё связал и считает это удобным).
  • Вовремя обновляйте операционную систему, если обновления предлагаются.
  • Не теряйте гаджеты.

▍ Медицинская информация

Очень чувствительная для каждого человека информация, поскольку она касается здоровья, назначений и может ощутимо повлиять на течение жизни каждого человека. При этом ваши электронные медицинские карточки — лакомые кусочки в руках злоумышленников, маркетологов и мошенников. Причём цели могут быть разные: от банального предложения медицинских услуг до шантажа и использования в целях формирования негативного имиджа (например, у известных людей или политиков). 

Защититься в этом случае сложнее всего: когда мы доверяем медицинскому центру или больнице своё здоровье в плановой или экстренной ситуации, кажется нелогичным задуматься о недоверии в сфере защиты персональных данных. Поэтому стоит следовать хотя бы одному, но очень важному совету: обязательно храните дома все подписанные договоры, протоколы лечения, выписки, чеки и т. д. Если будут неприятности, можно будет хотя бы попытать счастья (сомнительный оборот!) в суде.

Кстати, если вы прочитаете текст соглашения и договора вашей клиники или стоматологии, найдёте в них много удивительных пунктов отказа от ответственности. Будет время перед приёмом в очереди — почитайте.

▍ Онлайн и наша активность в нём

Интернет — это не просто главный источник информации, но и территория беспробудной глупости и пофигизма. За долгие годы он усыпил бдительность простых, непродвинутых (да и продвинутых, но не замороченных) пользователей: можно спокойно наблюдать, как у директора компании совпадают пароли на Wildberries и центральном сервере, а у бухгалтера один пароль на всём: от личных социальных сетей и магазина косметики до рабочих программ и почты. Истории, к слову, не выдуманные.

Между тем практически вся наша жизнь протекает в сети — и самое главное, что там вся наша работа: репозитории кода, системы управления проектами, багтрекеры, CRM/ERP, электронная почта, мессенджеры, рекламные кабинеты… Да что перечислять, вообще всё. И вот эта информация очень даже интересна огромному количеству злоумышленников, поскольку на ней можно хорошо заработать. Ну и напоследок самое важное: многие компании хранят персональные данные своих клиентов, а значит, должны ответственно относиться к их хранению, защите и передаче. 

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 4

Ищем сотрудников! Резюме присылать не нужно, у нас есть вся информация о вас

Задача каждой компании — выстроить полный контур физической и информационной безопасности, а это значит использовать сертифицированное оборудование, проверять поставщиков услуг и хранилища данных, обеспечивать безотказность IT-инфраструктуры и образовывать сотрудников, чтобы они не принесли случайный или преднамеренный вред тем, кто вам доверяет.

Если кто-то забыл, коротко напомню наших основных помощников:

  • Возможности аутентификации и настроек безопасности.
  • Групповые политики и права доступа к разделам с персональной информацией сотрудников и клиентов.
  • Механизмы шифрования и токенизация.
  • Физический контроль доступа к объектам инфраструктуры, связанными с персональными данными сотрудников и клиентов.

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 5

Рисунок школьника из Барнаула

А если говорить о частных пользователях интернета в отрыве от заботы профессионального сисадмина, то главные правила до неприличия просты — и они же бесконечно нарушаются.

  • Для регистрации в торговых сервисах и соцсетях имейте запасные почтовые ящики, не связанные с самой ценной приватной информацией.
  • Не попадайтесь на фишинг — сейчас можно спокойно получить идеальное письмо от «маркетплейса» или зайти на сайт любимой доставки суши и потерять деньги из-за абсолютно незаметной подмены сайта в привычном интерфейсе. Перепроверьте сайт, на котором платите, не нажимайте на ссылки в письмах, которые вы не просили вам отправлять.
  • В идеале — не регистрируйтесь в социальных сетях, а раз зарегистрировались, не используйте в постах и личных сообщениях геометки, не сообщайте ценную информацию: взломать могут, например, не вас, а ваших друзей. При большом желании злоумышленники могут воспользоваться моментом, пока вы постите фоточки с Кубы, и просто зайти в пустующую квартиру. А есть и более хитровыдуманные способы выманить деньги с помощью сетевых откровений.
  • Не размещайте фото детей. Не буду писать пугающую простыню — вы сами понимаете, сколько здесь рисков. Да и хотели бы вы, будучи ребёнком, спустя время обнаружить в сети кучу информации о себе?
  • Наклейте на камеру тёмную плёнку (пластырь или наклейку). Это позволит избежать неприятных и неожиданных сюрпризов, а заодно предохранит от внезапного появления в коллективном звонке (когда, например, думаете, что вы вышли, а на самом деле в эфире — лично у меня за время ковидной удалёнки такое произошло трижды, и один раз оказался стыдным, подвела случайно включенная камера FaceTime).
  • Делайте бэкапы: храните данные на ПК, в облаке и ещё где-то, можно во втором облаке, например. Желательно, чтобы одно из облачных хранилищ было на серверах на территории той страны, где вы проживаете.
  • А вот AdBlock — это уже ваше желание видеть или не видеть кучу рекламы и спама. Лично мне не мешает, даже интересно, как развивается сетевой креатив и как далеко он может зайти в изощрённой мимикрии и таргетинге.

▍ Мобильные устройства

Для большинства пользователей смартфон стал электронной копией жизни: важные файлы (что греха таить, и рабочие), фотографии, сканы документов, переписка, платёжные средства, доступы к сервисам и приложениям, биометрия, маршруты и т. д. 

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 6

Потеря смартфона для такого человека — ощутимый риск потери данных и гарантированный риск доступа к персональным данным. При этом мы продолжаем использовать мобильные устройства достаточно небрежно, а они как никто ничто нуждаются в защите.

  • Не устанавливайте на смартфоны простые пароли и графические ключи (среди моих знакомых, например, в топе начертание цифр, как на конвертах, причём лидирует 5). Пароли экрана блокировки в виде даты рождения — тоже намба ван.
  • Обязательно используйте синхронизацию с облаком в нон-стоп режиме, а то есть любители отключать интернет из соображений экономии. Так вы сохраните свои данные и возможная утрата телефона не станет трагедией.
  • Старайтесь избегать публичных сетей Wi-Fi (впрочем, это справедливо вообще для всех устройств) — это популярная среда для мошенников и просто юных кул хацкеров.
  • Избегайте подозрительных приложений, приложений-следилок и шпионов.
  • Не пытайтесь читать чужие списки контактов и SMS :)
  • Ограничивайте приложениям доступы к камере, микрофону и местоположению, если это не критично (для прочих настраивайте режим «При использовании»).
  • Выключайте сервисы карт и навигации, как только они становятся вам не нужны.
  • Ну и для гиков — ставьте чистый Android, а при первом запуске сбрасывайте систему до заводских настроек. Но это уже не настолько важно, как перечень предыдущих привычных ошибок. 
  • В случае потери смартфона обязательно блокируйте SIM-карту в салоне оператора и используйте все возможности поиска и удалённого управления смартфоном.

▍ Физическое хранение данных

Эта часть управления персональной информацией потихоньку уходит в прошлое, но до сих пор у нас есть флешки с документами и сканами личных документов, токены электронной подписи, рабочие флешки и внешние диски. Если вы любитель такого формата хранения или вынуждены активно работать с физическими носителями, не оставляйте их в открытом доступе (даже для близких и коллег), не забывайте и не суйте в чужие ноутбуки (например, на конференциях — в этом случае лучше использовать какую-то отдельную флешку, на которой не хранится ничего ценного).

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 7

Кто просматривал мои персональные данные? Старая сказка на новый лад

▍ Пароли, пароли, пароли…

Когда я пишу о паролях, я чувствую себя ужасно глупо. Ну что о них можно сказать? Длинный, сложный, с разными символами и регистрами, с защищёнными «ключницами» и прочее. Но нет, я постоянно вижу пароли на обратной стороне клавиатур, на стикерах, в блокнотиках и ежедневниках (обожаю — ещё и расчерчено: ресурс — логин — пароль), в текстовых файлах на рабочем столе ПК. Я уже не говорю, что пароли простые и подбираемые не брутфорсом, а спокойным ручным перебором.

Не знаю, донесите, что ли, до сотрудников:

  • Пароли должны быть сложные.
  • Пароли должны быть разные, особенно на критичных сервисах (типа Госуслуг и рабочих машин и рабочего ПО). Один и тот же пароль можно использовать только в сервисах, которые не имеют для вас особой ценности.
  • Лучше всего тренировать память и хранить пароли в голове, а если не получается, то  в специальных приложениях.
  • Не писать пароли никогда и нигде, для временного подключения иметь отдельный пароль.
  • Пароли не нужно менять с параноидальной частотой. Но если вы узнали о компрометации сервиса или получили уведомление о взломе, меняйте мгновенно!
  • Не используйте в паролях предсказуемую информацию, связанную с вашей личностью, семьёй, друзьями.

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных - 8

Ну, пятница же :)

▍ Отношения работника и работодателя

Очевидно, что мы передаём свои персональные данные работодателю — и чаще всего доверяем ему на 100%. Но в этой статье не об этом. Сейчас нарастает тенденция слежения за работниками — из-за удалёнки, частых передвижений и просто желания следить за рабочим местом. И здесь такая штука: если работодатель за вами следит, он уже имеет управленческие проблемы — и нет никаких гарантий, что он будет порядочным в обработке данных. Против сотрудника можно использовать любую информацию, даже личную, которая была сгенерирована или хранилась на рабочем оборудовании и в рабочих приложениях. Судебная практика пока выглядит удручающе — единственное, в чём однозначно не прав работодатель, это в незаметной слежке без уведомления и информированного согласия (должно быть подписано дополнительное соглашение или переподписан трудовой договор). 

Ну и вишенка на торте: все данные собираются у вендоров bossware. Каким образом они будут использовать полученные данные, предсказать невозможно. Поэтому, если вы вдруг CIO, CEO, CTO — делайте всё, чтобы избежать использования такого программного обеспечения для офисных и хоум-офисных сотрудников. Кроме страха, ненависти и обновления резюме это редко что даёт.

▍ Мониторинг перемещения и отслеживание лиц, биометрия

Ковидная реальность придала мощный импульс развитию этих способов сбора, интерпретации и хранения совокупности информации, связанной с биометрией и распознаванием лиц. Законодательная база в этой сфере пока сырая, правоприменительная практика — тоже, а вот вмешательство в показатели человека уже довольно активное. На фоне форс-мажора сообщество относится к этой проблеме довольно спокойно, но, думается, нас ещё ждут и утечки, и закрученные гайки, и горячие дискуссии. Однозначно одно: биометрии быть, это будущее персональных данных, и с этим придётся жить. 


На самом деле, в защите персональных данных нет никакой паранойи. Она должна стать такой же хорошей привычкой, как мытьё рук или чистка зубов (а вы знаете, что не все моют и не все чистят — даже из очень приличных людей?). Защита персональных данных лежит между удобством, осторожностью и перегибом, это довольно трудоёмкое занятие. Но без цифровой гигиены в бизнесе и частной жизни уже никуда. И дальше эта потребность будет только расти.

Держите ноги в тепле Храните персональные данные надёжно!

Автор:
ru_vds

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js