Жертвой атаки на конфиденциальность личных данных может стать каждый пользователь, который подключается к сети.
Количество преступлений, связанных с несанкционированным использованием личных данных в интернете, с каждым годом увеличивается. Многие пользователи не предпринимают никаких действий по защите приватности и конфиденциальности, даже если знают о способах обеспечения безопасности. Одна из главных причин — ничем не подкреплённая уверенность в том, что негативный сценарий возможен только в отношении людей, которые посещают сайты с сомнительной репутацией и плохо разбираются в современных технологиях.
Радикальное решение проблемы — отказ от интернета — мы не рассматриваем из-за его невозможности. Но есть более разумные способы защиты от кражи приватной информации.
Установите VPN
Виртуальная часть сеть (VPN) — это не универсальный способ спасения от всех угроз, но крайне полезный инструмент защиты личных данных. При использовании VPN все запросы шифруются и добираются до места назначения через туннели. Любой, кто перехватит данные, видит только нечитаемый набор символов.
Бесплатный VPN очень редко бывает качественным. Более того, он может стать источником другой проблемы — например, продажи персональных данных рекламодателям. Специалисты компании Metric Labs изучили 20 самых популярных VPN-приложений в Google Play и AppStore и пришли к выводу, что большинству из них нельзя доверять. Многие продукты не предлагают никакой защиты конфиденциальности. Есть приложения, которые открыто пишут о том, что собирают данные и оставляют за собой право передавать их третьим лицам — но пользователи об этом не знают, потому что не читают правила.
Платные VPN-сервисы информацией о пользователях не торгуют, потому что для них важнее репутация. Но если доверия к компаниям нет даже при покупке услуг, то остаётся ещё один вариант — аренда зарубежного сервера и настройка личного защищённого канала.
Создавайте сложные логины и пароли
Учётные данные — это всё, что нужно для получения персональной информации. Поэтому они должны быть сильными, что подразумевает:
- Отсутствие привязки к личности. Использовать имя, дату рождения, возраст — неправильно.
- Использование разных раскладок, верхнего и нижнего регистра, добавление символов.
- Периодическое изменение.
Логины и пароли должны отличаться на разных сервисах — тогда при взломе одной учётной записи не будут дискредитированы другие профили. Чтобы не держать в голове кучу идентификационных данных, необходимо использовать менеджеры паролей. Это не обязательно должно быть отдельное приложение — часто для хранения достаточно тех возможностей, которые предлагает менеджер, встроенный в браузер. В Chrome, например, он умеет ещё и генерировать сложные пароли — от пользователя требуется только нажать кнопку «Сохранить».
Ещё одна полезная штука для обеспечения безопасности — двухфакторная аутентификация, когда для авторизации требуется ввод одноразового ключа, который приходит в SMS или отображается в приложении — например, в Google Authenticator.
Не доверяйте общественным сетям Wi-Fi
Общественные сети опасны. В апреле этого года стало известно, что в открытом доступе оказались личные данные пользователей московского метро. Но некоторым данным, уязвимость существовала на протяжении двух лет. По словам программиста Владимира Серова, который её обнаружил, через сеть Wi-Fi можно было узнать приблизительный возраст, пол, семейное положение, уровень дохода, часто посещаемые места и другие конфиденциальные сведения.
В конце октября Meduza рассказала о бесплатной Wi-Fi сети от провайдера «Максима Телеком», в которой намеренно используется технология сбора пользовательских данных. Полученную информацию компания продаёт рекламодателям, которые могут, например, посмотреть, мимо каких мест человек чаще всего проходит и показать ему соответствующие объявления.
Чтобы избежать слива частной информации, откажитесь от использования бесплатных сетей. Почистите список точек доступа и оставьте только проверенные варианты — например, домашнюю сеть и Wi-Fi на работе. В метро придётся ездить без интернета или успевать загрузить страницы на станциях, пока есть сигнал для работы мобильного интернета.
Проверяйте браузер
В условиях использования браузера и политике конфиденциальности написано, что он собирает данные пользователей. Полученную информацию затем передают рекламодателям, которые формируют таргетированные объявления. Для сбора данных используются cookies. Вообще это полезные штуки, которые запоминают онлайн-настройки, но у некоторых есть только одна цель — следить за активностью пользователей.
Куки рекомендуется очищать после каждого сеанса. Можно решить проблему радикально, отключив их в настройках браузера, но это негативно скажется на работе сайтов. Другое решение — использование режима инкогнито. В нём браузер не сохраняет в журнал записи о посещённых страницах, однако действия пользователя всё равно регистрируются на сайтах и отмечаются провайдером.
Наиболее безопасный способ с точки зрения защиты персональных данных — использование анонимных браузеров. Самым известным является Tor, разработанный для поддержания конфиденциальности пользователей. Он работает по «луковой» технологии, которая подразумевает оборачивание данных в несколько слоёв шифрования и направление их через разные узлы, прежде чем сигнал дойдёт до нужного сервера.
Другой пример — Epic Browser. Он автоматически удаляет всю информацию после завершения сеанса и устраняет опасности, связанные с работой cookies, автозаполнением форм и сохранением истории просмотров.
Используйте поисковые системы, которые заботятся о приватности
Персонализированный поиск — удобная вещь, но его существование ставит под удар приватность пользователей. Поисковые запросы позволяют идентифицировать личность через связь с учётной записью или как минимум IP-адресом. Кроме того, поисковики сохраняют информацию о местоположении, используя данные геолокации и выбранный регион.
Ещё одна серьёзная проблем — выдача информации третьим лицам в рекламных целях. Формально нарушений нет: для таргетинга используются данные, которые не связаны с личностями конкретных людей. Но иногда поисковые системы злоупотребляют техническими возможностями и для удовлетворения запросов рекламодателей нарушают, например, право на тайну переписки. Google только в 2017 году прекратил чтение писем, отправленных через Gmail — до этого полученная информация использовалась для подбора персонализированной рекламы.
Для снижения риска сбора личных данных и использования поисковых запросов в рекламных целях можно использовать системы, которые делают упор на приватность. Самый известный пример — DuckDuckGo, но есть и другие поисковики: Search Encrypt, Fireball.
Остерегайтесь фишинга
Никакие VPN, Tor, приватные поисковики и сложные пароли не спасут от кражи личных данных, если вы станете жертвой фишинговой атаки. Суть фишинга в том, чтобы заставить человека нажать на злонамеренную ссылку. Она может быть замаскирована под полезную кнопку на сайте или прийти в письме с поздравлением по поводу выигрыша денежного приза.
В большинстве браузеров есть антифишинговые фильтры, однако не стоит надеяться только на них. Для повышения уровня безопасности необходимо использовать антивирусы с антифишинговыми компонентами, которые могут поймать угрозу, пропущенную браузером. Проблема в том, что антифишинговые системы часто полагаются на предустановленные чёрные списки. Если в него внесён сайт, на который вы заходите, то защита обеспечена. С определением новых угроз же могут быть проблемы. Встречается и другая ситуация: иногда браузеры показывают предупреждение о возможной опасности, но пользователь его игнорирует и продолжает вводить данные банковской карты для платежа или пароль от учётной записи.
С фишингом трудно бороться, потому что он использует социальную инженерию и старается обмануть пользователя. Главное оружие против таких атак — знание об их существовании, которое удерживает от соблазна переходить по ссылкам с обещанием выигрыша и заставляет внимательно изучать сайты, прежде чем вводить на них личные данные.
Используйте мессенджеры с шифрованием сообщений
Даже спецслужбы не в состоянии прочитать переписку, если отправлять её через защищённые чаты. Периодически появляются новости о том, что в том же Telegram обнаружена уязвимость, но очень быстро становится ясно, что «эксперты» получают доступ к сообщениям через рутованный Android или компьютер пользователя.
Telegram — не единственный мессенджер, который позволяет зашифровать сообщения, звонки и видеовызовы. Сквозное шифрование поддерживает также Signal и Threema. Для обеспечения безопасности переписки через электронную почту можно использовать клиенты ProtonMail, Tutanota, Mailinator и MailFence.
Следите за личной информацией, которую вы размещаете в соцсетях
При создании профилей в соцсетях люди оставляют о себе самые разные сведения: дату рождения, место проживания, родственные связи, фотографии, номер телефона и адрес электронной почты. Все эти данные могут быть использованы злоумышленниками для атаки — например, рассылки персонализированных сообщений с фишинговыми ссылками. Мы не призываем использовать только фейковые аккаунты, но соблюдение осторожности точно не помешает — не зря ведь на тех же электронных билетах написано, что не стоит публиковать их в соцсетях. Люди порой слишком уверены в собственной безопасности.
Не игнорируйте обновления системы
Обновления системы — это не только новые функции, но ещё устранение ошибок и уязвимостей. Игнорирование апдейтов со стороны пользователя играет злоумышленникам на руку. У обновлений две проблемы: они появляются в неподходящий момент и порой приносят новые ошибки. Но совсем отказываться от них всё-таки нельзя. Ошибки обычно быстро устраняются разработчиками, а автоматическое обновление системы по таймеру поможет устранить неудобства, связанные со скачиванием и установкой апдейта.
Чек-лист
Полную безопасность персональных данных гарантировать нереально. Но можно существенно снизить риск их несанкционированного использования, если следовать нескольким правилам:
- Установить VPN.
- Создавать сложные логины и пароли, хранить их менеджере.
- Стараться не пользоваться общественными сетями Wi-Fi или заходить в них через VPN.
- Чистить браузер или использовать анонимные веб-обозреватели — например, Tor.
- Использовать поисковики, которые не собирают личные данные для персонализации поисковой выдачи и таргетирования рекламы.
- Не доверять ссылкам в письмах, не нажимать на непонятные кнопки.
- Использовать мессенджеры, поддерживающие сквозное шифрование.
- Следить за тем, какую информацию оставляете в профилях соцсетей.
- Устанавливать обновления системы.
Следить за безопасностью личных данных необходимо не только в интернете, но и в офлайне. Последний яркий пример — обнаружение сканов документов в открытом доступе на компьютерах МФЦ «Мои документы». Посетители пользовались сканером, чтобы загрузить копии для подтверждения личности на портале «Госуслуги», и оставляли файлы на жёстком диске. Их должны были ежедневно удалять сотрудники МФЦ, но часто они забывали это сделать. В то же время копии документов могли распечатать третьи лица и использовать для получения каких-либо услуг — например, для оформления микрозайма.
Развитие технологий приносит не только новые возможности, но и опасности. И нам необходимо учиться жить в мире, где даже зубные щётки подключаются к интернету и передают информацию о владельце, а рекламодатели готовы покупать любые личные данные, лишь бы получить более точный портрет аудитории.
>Выключить интернет