Хабрахабр

Мне нечего скрывать

Как часто вы слышите эту незамысловатую, на первый взгляд, фразу от своих знакомых, близких и коллег?

По мере того, как государство и компании-гиганты вводят в эксплуатацию всё более изощрённые средства контроля информации и слежки за пользователями, растёт и процент заблуждающихся людей, которые принимают за прописную истину довольно очевидное на первый взгляд утверждение, что «если я не нарушаю закон, то мне нечего бояться».

Действительно, если я не сделал ничего плохого, тот факт, что правительства и компании-гиганты хотят собирать о мне все данные, электронные письма, телефонные звонки, изображения с веб-камер и поисковые запросы, не имеет ровным счётом никакого значения, ведь они всё равно не обнаружат ничего интересного.

Разве же это не так? Ведь мне нечего скрывать.

В чём проблема?

Я — системный администратор. Информационная безопасность очень плотно интегрирована в мою жизнь и ввиду специфики моей работы, как правило, длина любого моего пароля составляет не менее 48 символов.

Большинство из них я знаю наизусть и в моменты, когда случайному человеку доводится невзначай наблюдать за тем, как я ввожу один из них, у него обычно возникает резонный вопрос — «а почему он такой… объёмный?»

Но не такой же длинный! «Для безопасности? Вот я, например, использую пароль из восьми символов, ведь мне нечего скрывать».

Что особенно удручает — иной раз даже от тех, кто в большей степени связан c информационными технологиями. Последнее время мне всё чаще доводится слышать эту фразу от людей, находящихся в моём окружении.

Хорошо, давайте перефразируем.

Мне нечего скрывать, ведь...

… все и так знают номер моей банковской карты, её пароль и CVV/CVC-код
… все и так знают мои пин-коды и пароли
… все и так знают размер моей зарплаты
… все и так знают, где я нахожусь на данный момент

И так далее.

Однако когда вы в очередной раз произносите фразу «мне нечего скрывать», вы имеете в виду и это. Звучит не очень правдоподобно, правда? Возможно, конечно, пока не осознаёте, но правда не зависит от вашей воли.

Защите ваших естественных ценностей. Важно понимать, что речь идет не о сокрытии, а о защите.

Вы можете ничего не скрывать, если совершенно уверены, что отсутствует какая-либо угроза вам и вашим данным извне

Однако абсолютная безопасность — это миф. «Не ошибается лишь тот, кто ничего не делает». Будет огромной ошибкой не учитывать человеческий фактор при создании информационных систем, тесно связанных с обеспечением сохранности и безопасности данных пользователей.

Иначе какой в нём смысл? Любой замок предполагает и наличие ключа к нему. Замок изначально был задуман как средство для защиты собственности от взаимодействия с ней посторонних людей.

Важно понимать то, что мы не скрываем факты. Едва ли вы будете в восторге, если кто-то получит доступ к вашему аккаунту в социальной сети и начнет от вашего имени распространять непотребные сообщения, вирусы или спам.

Мы не скрываем эти факты от общественности. Действительно: у нас есть счёт в банке, электронная почта, аккаунт в Telegram. Мы защищаем вышеперечисленное от несанкционированного доступа.

Да кому я сдался?

Ещё одно не менее распространённое заблуждение, которое обычно используют в качестве контраргумента.

Мы говорим: «Да зачем компании мои данные?» или «Для чего хакеру меня взламывать?» не принимая во внимание тот факт, что взлом может быть не выборочным — взломать могут сам сервис, и в этом случае пострадают все пользователи, которые были зарегистрированы в системе.

Важно не только самому соблюдать правила информационной безопасности, но и правильно выбирать инструменты, которые вы используете.

Позвольте мне привести несколько примеров, чтобы стало понятным то, о чём сейчас идёт речь.

Им было нечего скрывать

  • МФЦ
    В ноябре 2018 года произошла утечка персональных данных из московских многофункциональных центров предоставления государственных и муниципальных услуг (МФЦ) «Мои Документы».

    На компьютерах общего доступа в МФЦ было обнаружено множество скан-копий паспортов, СНИЛС, анкет с указанием мобильных телефонов и даже реквизитов счетов в банках, к которым мог получить доступ любой желающий.

    На основании полученных данных можно было набрать микрозаймов или даже получить доступ к средствам на банковских счетах людей.

  • Сбербанк
    В октябре 2018 года произошла утечка данных. Имена и электронные адреса более чем 420 тысяч сотрудников оказались в открытом доступе.

    Данные клиентов в эту выгрузку не попали, но сам факт их появления в таком объеме говорит о том, что похититель имел высокие права доступа в системах банка и мог получить доступ, в том числе, и к клиентской информации.

  • Google
    Ошибка в API социальной сети Google+ позволяла разработчикам получать доступ к таким данным 500 тыс. пользователей как: логины, адреса электронной почты, места работы, даты рождения, фотографии из профиля и т.п.

    Google утверждает, что никто из тех 438 разработчиков, кто имел доступ к API, не знал об этой ошибке и не мог ей воспользоваться.

  • Facebook
    Facebook официально подтвердил утечку данных 50 млн. аккаунтов, при этом потенциально было затронуто до 90 млн. аккаунтов.

    Хакеры смогли получить доступ к профилям владельцев этих аккаунтов благодаря цепочке из как минимум трех уязвимостей в коде Фейсбука.

    Помимо самого Фейсбука пострадали и те сервисы, которые использовали аккаунты этой социальной сети для аутентификации (Single Sign-On).

  • Снова Google
    Еще одна уязвимость в Google+, которая привела к утечке данных 52,5 млн. пользователей.
    Уязвимость позволяла приложениям получать из профилей пользователей информацию (имя, адрес электронной почты, пол, дату рождения, возраст и т.п.), даже если эти данные были приватными.

    Кроме того, через профиль одного пользователя можно было получать данные других пользователей.

Источник: «Самые значительные утечки данных в 2018 году»

Утечки данных происходят гораздо чаще, чем вам кажется

Справедливо, что не обо всех утечках данных в открытую заявляют сами злоумышленники или потерпевшие.

Рано или поздно. Важно понимать, что любая система, которая может быть взломана, — будет взломана.

Вот, что вы можете сделать уже сейчас, чтобы защитить свои данные

    → Change your mind: помните, что вы не скрываете свои данные, а защищаете их
    → Используйте двухфакторную авторизацию
    → Не используйте легкие пароли: пароли, которые могут быть связаны с вами или найдены в словаре
    → Не используйте одинаковые пароли для различных сервисов
    → Не храните пароли в открытом виде (например, на бумажке, приклеенной к монитору)
    → Никому не говорите пароль, даже сотрудникам службы поддержки
    → Избегайте пользования бесплатными Wi-Fi сетями

Что почитать: полезные статьи на тему информационной безопасности

    → Информационная безопасность? Нет, не слышали
    → Ликбез по информационной безопасности сегодня
    → Основы информационной безопасности. Цена ошибки
    → Пятничное: Безопасность и парадокс выжившего
Берегите себя и свои данные.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть