Вопрос сохранности персональных данных в интернете всегда был важным, правда, ещё 10 лет назад об этом не говорили так громко и часто. Взломов и масштабных утечек данных становится всё больше. Из недавних примеров — взлом портала Госуслуги.
Компания хостинг-провайдера обрабатывает огромное количество данных и отвечает за их сохранность. Команда хостинга делится своим опытом и рассказывает о базовых правилах безопасности в сети: как избежать утечек данных и свести к минимуму возможность стать жертвой киберпреступников.
Важно тщательно выбирать места хранения данных
Некоторые могут подумать «Да кому я нужен со своими данными?» — и отчасти будут правы. Хакеры за обычным пользователем вряд ли будут охотиться, но можно попасть под горячую руку: в ходе массовых утечек информации они не анализируют полученные данные.
Мелкие злоумышленники взламывают соцсети и от имени жертвы просят денег в долг у родственников или публикуют сторис из серии «Помогите, я в большой беде, вот номер карты». Более хитрые и опасные обращаются в организации, которые выдают микрозаймы и на людей, чьи паспортные данные оказались в даркнете. Так что стоит внимательно относиться к тому, где хранятся личные данные и как они обрабатываются.
Что касается компаний, они могут считать, что обеспечили безопасность своих цифровых сервисов и можно не тратить ресурсы на дополнительные меры предосторожности, но стоит учесть, что даже почтовые домены ФБР . Поэтому нужны дополнительные механизмы обеспечения безопасности, особенно для хранения чужих данных.
Как защитить себя от хакеров
В 2019 году хакерские атаки совершались каждые 14 секунд. Специалисты из InfoWatch , что в том же году в сеть утекло более 14 миллиардов записей с личными данными пользователей со всего мира, в России это число составило 170 миллионов. И цифры растут: так, согласно Check Point Software Technologies, за первое полугодие 2021 года число кибератак на организации во всём мире возросло на 29%. Хакеры продолжают использовать пандемию COVID-19 и переход на удалённую работу.
Предлагаем ряд рекомендаций, которые помогут пользователям защитить свои данные.
Выкладывать как можно меньше личной информации в публичном пространстве
Не публиковать в соцсетях каждый свой шаг.
Не сообщать о поездках в другую страну: воры наверняка захотят воспользоваться этой информацией.
Не называть свой банк или своего сотового оператора.
Не публиковать информацию, с помощью которой можно стать жертвой шантажа.
Не оставлять личный номер, адрес электронной почты, адрес проживания и другие важные данные в сети. Кто-то захочет направить спам или отправить фишинговое письмо, кто-то — выйти на физический контакт.
По американской Федеральной торговой комиссии, пользователи социальных сетей чаще становятся жертвами мошенников. А одной из крупнейших утечек в 2019 году утечка данных сотен миллионов людей из профилей Facebook, Twitter, LinkedIn и Github — 4 терабайта личной информации.
Чем меньше личной информации в открытом доступе, тем меньше шансов стать жертвой хакеров или злоумышленников.
Соблюдать сетевую гигиену
Не стоит посещать подозрительные сайты и устанавливать на компьютер программы из непроверенных источников.
Например, кликнув по баннеру с текстом из серии «Чтобы быть здоровым, нужно всего лишь пить две капли…», пользователь попадает в рекламную мусорку, которая зачастую содержит не только фейковые новости и тысячи баннеров с рекламой, но и вредоносный код.
Если кто-то в сети предлагает крупный выигрыш, обещает наградить криптовалютой за небольшой вклад или предлагает заработать 100 000 рублей на опросах, предварительно требуя залог, то лучше отправить этих людей в чёрный список. Не нужно оставлять им никаких персональных данных.
Рекомендуем посещать только официальные ресурсы.
Не стоит переходить на сайты, которые находятся в конце поисковой выдачи, и на сайты, данные которых не защищены с помощью HTTPS-шифрования.

Дважды проверять информацию
Важно правильно выбирать сайты, которыми вы пользуетесь. Зайдя не на ту страницу, в лучшем случае можно прочитать фейковую новость, а в худшем — потерять деньги.
- Проверяйте адреса сайтов. Например, не стоит покупать бытовую технику со скидкой на странице nvideo.ru (а не mvideo.ru) и не стоит вводить логин с паролем на gosusligi.ru (а не gosuslugi.ru).
- Удостоверьтесь в корректности адреса электронной почты. К примеру, если пришло письмо от компании с адресом mincrosoft@mail.ru с требованием срочно назвать пароль от аккаунта live.com, нужно отправить такое письмо в спам.
- Уточняйте информацию у ответственных лиц. Когда пользователю пишут или звонят мошенники по поводу манипуляций с его банковским счётом, нужно связаться с банком для уточнения информации. Когда говорят, что родственник в реанимации, — звоним родственнику.
- Не доверяйте людям в интернете, которых не знаете лично. Если продавец на Авито присылает отдельную ссылку для оплаты товара, а не использует встроенную систему, есть вероятность, что он пытается обмануть покупателя.
Использовать сложные пароли
По сервиса разведки утечек данных DLBI, среди популярных паролей в 2020 году — 12345, 000000, asdasd и другие, легко подбираемые комбинации символов.
А вот как, по мнению того же сервиса, выглядят 25 популярных паролей за период 2017‒2020 — на базе анализа 33,3 млрд пар «логин и пароль»:


Фишинг — это набор методик, которые используют злоумышленники, чтобы завладеть личной информацией, например, данными банковской карточки
С учётом информации выше вряд ли можно удивляться, что в сеть утекает огромное количество персональных данных: злоумышленникам достаточно запустить брутфорс-скрипт, чтобы за несколько минут получить нужную информацию. А вот на подбор пароля B24q_w7GGh/2/-lkl у компьютера может уйти несколько, а то и десятков лет. А люди в принципе вряд ли попытаются угадать такой код 
Тем, кто не умеет придумывать сложные пароли или боится их забыть, можно доверить их генерацию браузерам — почти все, кроме редких инди-браузеров для Linux, предлагают сложные и безопасные последовательности знаков.
Также можно перейти на менеджер паролей — например, , если есть возможность за него платить. В команде разработчиков 1Password числится Эндрю Байер, который обеспечивал безопасность коммуникаций в Армии США на протяжении 10 лет. Услугами 1Password пользуются технологические гиганты, такие как Apple и IBM.
Брутфорс-скрипт ― программа, которая пытается подобрать пароль пользователя методом перебора
Регулярно менять пароли
Если произошёл взлом используемого сервиса или утечка данных, нужно сразу изменить пароли в связанных приложениях и веб-службах. Это поможет предотвратить дальнейшую потерю данных.
Обычно о таких утечках оповещают браузеры или менеджеры паролей, но не всегда. Можно мониторить их самостоятельно на сайте .
Даже крупные взломы для пользователя могут пройти незаметно, поэтому стоит время от времени менять пароли хотя бы в критически важных приложениях.
Использовать двухфакторную авторизацию
Доверять персональную информацию только паролям нельзя. Лучше использовать дополнительный слой защиты — двухфакторную авторизацию, которая позволяет сервисам и приложениям требовать при входе не только пароль, но и дополнительное подтверждение личности: например, код из СМС или из электронного письма, клик в официальном приложении.
Такие механизмы защиты есть во всех популярных сервисах, включая ВК, Instagram, Apple ID, Google, Microsoft.
Двухфакторная авторизация не защитит, если пользователь сам отдаст свои данные злоумышленникам, поверив в запрос в фишинговом письме. Но она защитит и от брутфорса, и от глобальных сливов данных: злоумышленник не сможет войти в сервис или соцсеть пользователя, даже зная его логин и пароль.
Не хранить все данные в одном месте
Если держать все сбережения на одном счету, вору достаточно получить доступ к одному аккаунту, чтобы заполучить всё. Поэтому лучше распределять финансы по разным счетам, инвестировать.
С персональными данными работает тот же принцип:
- для ведения рабочей переписки лучше создать отдельную учётную запись;
- чтобы купить товар в магазине и не оставлять почтовый адрес для единоразовой покупки, можно сделать временный email-адрес в сервисе ;
- если нужно зарегистрироваться в сомнительной соцсети, пригодятся сервисы из серии и , которые генерируют так называемые фальшивые email-адреса с переадресацией на основной ящик;
- если нужен номер телефона, можно заказать временную виртуальную симкарту для приёма СМС, например, в компании ;
- для покупок в интернете или оформления пробной подписки на сервис лучше завести виртуальную карту и ограничить на ней количество средств.
Чем больше будет адресов почты, логинов, паролей и банковских счетов, тем сложнее злоумышленникам будет украсть все данные разом.
Использовать VPN при выходе в сеть в публичных местах
WiFi-сети с протоколом безопасности WEP и сети без паролей — небезопасные сети. Хакеру не составит труда взломать интернет, например, в кафе и перехватить трафик его посетителей или работников из соседнего офиса, которые подключились к сети заведения.
Находясь в общественном месте, лучше использовать мобильный интернет и функцию Hotspot — режим, превращающий смартфон в модем для ноутбука или планшета. Если же такой возможности нет, лучше выходить в сеть через VPN.
- Научитесь предвосхищать кибератаки и минимизировать их последствия
- Отработаете знания на проектах, приближенных к реальным рабочим ситуациям
- Программа разработана совместно с Group‑IB — одной из ведущих международных компаний по расследованию и предотвращению киберпреступлений
Как защитить бизнес
Предприятия регулярно страдают от масштабных потерь в связи с атаками хакеров.
Например, в 2019 году компания Orvibo, создающая ПО и аппаратуру для умных домов, утечку двух миллионов записей персональных данных своих клиентов. В том же году одна из крупнейших утечек данных у Сбербанка, в 2020 году подобная акция вновь. С защитой персональных данных должным образом и государственные органы.
Вот что рекомендуем сделать компаниям для защиты персональных данных клиентов.
Выбрать безопасный хостинг
Бесплатные сервисы продают данные пользователей и зачастую сами являются злоумышленниками. Некоторые из них ссылки на свои сайты поисковым ботам, чтобы отнимать у клиентов позиции в ранжировании Google.
Не всегда можно доверять и платным хостинг-провайдерам. Так, сервис HostGator был в подозрительных схемах по продаже «защитного ПО».
Не всегда можно ориентироваться и на рейтинги: многие из них формируются за счёт пользовательских отзывов, которые можно купить.
Лучше выбрать провайдера с незапятнанной репутацией, крупными компаниями в числе клиентов и встроенными механизмами обеспечения безопасности. Например, с наличием антивируса или средств защиты от DDoS-атак.
Репутацию компании можно проверить как минимум так:
по Google-запросу из серии «[название хостинга] scam» посмотреть, что пишут о компании в новостях и на форумах.
DDoS (Distributed Denial of Service, отказ в обслуживании) ― это действия злоумыш-ленников, в результате которых нарушается работо-способность ИТ- инфраструктуры компании
Защитить VDS самостоятельно
Если компания пользуется виртуальным сервером, то ей следует своими силами шифровать данные, настраивать порты, регулярно менять пароли доступа, активировать Firewall и поддерживать программное обеспечение в актуальном состоянии.
Есть обязательный набор мер обеспечения безопасности для веб-мастеров, занимающихся администрированием VDS/VPS: обновление ПО, удаление лишних библиотек и плагинов, смена SSH-порта, настройка шифрования, регулярное создание резервных копий и другие.
Нанимать квалифицированных разработчиков
Разработчики проектов должны быть хорошо знакомы со стандартами безопасности и наиболее часто встречающимися атаками на сайт и веб-приложения.
В команде должен быть тот, кто знает — список распространённых уязвимостей, используемых для взлома сайтов и приложений, — и понимает, как избежать их появления в коде.
Безопасный код — один из важнейших этапов защиты бизнеса.
Это касается не только бэкенд-составляющей и защиты баз данных. В интерфейсе хакеры находят десятки брешей, которые позволяют перехватывать как отдельные крупицы информации, так и получать полноценный доступ к общему управлению ресурсом.
VDS ― Virtual Dedicated Server ― виртуальный выделенный сервер
Firewall ― технологический барьер, который защищает сеть от нежелательного доступа
Следить за новостями информационной безопасности
Рекомендуем читать хостинговое сообщество и , чтобы не пропускать актуальные новости об уязвимостях в WordPress и других популярных программных продуктах, использующихся в разработке и при администрировании веб-продуктов.
Обычно вместе с подобными новостями публикуются и способы защиты от обнаруженных угроз.
Резюмируем
Независимо от того, владеете ли вы цифровым бизнесом или просто выходите в интернет за новостями, важно придерживаться базовых правил безопасности.
Уделив немного времени на смену пароля и удаление персональных данных со страниц в соцсетях — личный email, скриншоты с личными данными, фото документов, можно в разы снизить риск стать жертвой злоумышленников. А это — сэкономленные деньги и нервы, а иногда и карьера с репутацией.
Читать также
Мнение автора и редакции может не совпадать. Хотите написать колонку для Нетологии? Читайте наши . Чтобы быть в курсе всех новостей и читать новые статьи, присоединяйтесь к .
The post first appeared on .
Источник: блог образовательного портала Нетология. Узнать об обучении >>
