Крадут даже отпечатки пальцев: как защитить себя в эпоху цифровизации
Масштаб утечек персональных данных в Казахстане растёт с каждым годом. Несколько месяцев назад случился скандал, когда в сеть попали данные 16 миллионов человек — практически всего населения страны. Всё это побочные эффекты цифровизации — несмотря на ее очевидные преимущества, нельзя забывать, что с развитием онлайн-сервисов наши цифровые "следы" проступают все более отчётливо.
Как защитить себя и не стать жертвой обмана в условиях тотальной цифровизации – читайте в материале Tengrinews.kz.
О рисках, которые сопровождают процесс тотальной цифровизации, на V заседании Национального курултая говорил Президент Казахстана Касым-Жомарт Токаев.
"Цифровизация неизбежно станет повсеместной и даже тотальной, это значит, что надо уделить внимание законодательной защите персональных данных, повышению финансовой и цифровой грамотности граждан", — сказал Токаев.
О том, как защитить себя уже сегодня, рассказали сопредседатель комитета по информационной безопасности Альянса QazTech Евгений Питолин и президент Центра анализа и расследования кибератак (TSARKA) Олжас Сатиев.
Какие данные нужно защищать?
Первый вопрос, который обычно возникает: какие данные стоит защищать? Универсального списка нет, Евгений Питолин говорит, что при попытке что-то перечислить создаётся ложное ощущение безопасности.
"На самом деле защищать нужно абсолютно все персональные данные одинаково и одновременно. Речь идёт не только о банковских картах, паролях или кодах из SMS. Это и личная информация, и данные о покупках, и то, чем мы делимся в социальных сетях", – сказал он.
Но, по словам Олжаса Сатиева, из-за развития цифровых сервисов люди всё чаще стали передавать:
свои паспортные данные;
телефон;
электронную почту;
банковские реквизиты;
адрес проживания;
свои фото и видео.
"Наиболее чувствительными считаются данные, которые могут быть использованы для финансового мошенничества или подмены личности. Это паспортные и финансовые данные, информация о месте проживания, данные о здоровье и биометрическая информация", – пояснил он.
Евгений Питолин же, в свою очередь, отмечает, что даже ваш пост о покупке новой машины или выигрыше в лотерею – могут использовать против вас. Поэтому любую личную информацию стоит держать в секрете.
Да, тот же номер телефона в профиле Instagram и других соцсетях уже стал привычным делом. Но эксперт всё же не советует публиковать его без необходимости.
Он объяснил, что мошенники ничего не изобретают и используют ровно то, что человек выкладывает сам.
"Где он был в отпуске, что с ним происходит, есть ли у него сложный жизненный период – развод, потеря работы, стресс. На основе постов, комментариев, репостов формируется социальный портрет человека, после чего включается социальная инженерия – точечное психологическое воздействие", – сказал эксперт.
Про пароли, двухфакторку и настройки
Секретной таблетки или пароля, который спасет от взлома, тоже не существует. Надёжный пароль – это по-прежнему сложная комбинация из букв разного регистра, цифр и символов.
Главное здесь – не один "идеальный" пароль. Их нужно время от времени менять и постепенно усложнять – это одно из самых простых правил цифровой безопасности, подчеркнул эксперт.
"Раньше двухфакторная аутентификация была практически золотым стандартом защиты. Сегодня существуют и другие, более продвинутые способы, например аппаратные ключи или специальные носители, которые хранят ключи доступа. Тем не менее двухфакторную аутентификацию по-прежнему стоит включать, особенно для важных сервисов. Это дополнительный уровень защиты, который во многих случаях действительно спасает", – пояснил он.
Но какие настройки в смартфоне стоит проверить, чтобы хотя бы немного защитить себя? Евгений Питолин сказал, что тут есть базовый минимум:
установить код-пароль на сам телефон;
включить двухфакторную аутентификацию;
поставить отдельные коды на мессенджеры;
не разрешать приложениям отслеживать вас без необходимости;
отключать геолокацию, когда она не нужна;
ограничивать доступ приложений к фотографиям.
Биотметрия. Удобно, но небезопасно
Онлайн-идентификация сильно упрощает жизнь и получение услуг, но полностью безопасной её считать нельзя, предупреждает Олжас Сатиев.
"Основной риск связан с тем, что такие данные, в отличие от паролей, невозможно заменить в случае утечки. Поэтому использование биометрии и видеоидентификации требует повышенного доверия к сервису и понимания возможных последствий", – сказал он.
Тут дело в том, что утечка биометрических данных необратима. Если они попадут к злоумышленникам, их нельзя будет поменять или заменить.
"Во многих ситуациях передача биометрии не является строго обязательной, и пользователь вправе выбрать альтернативные способы подтверждения личности, если они предусмотрены", – рекомендует Сатиев.
Каким приложениям нужно запретить вас отслеживать
Сегодня многие приложения при установке просят разрешения на доступ к местоположению, камере, микрофону и так далее. Например, игра может попросить доступ к вашей галерее.
Всё это стоит запретить всем приложениям, где нет необходимости по логике их работы.
"Если вы скачиваете фоторедактор, то понятно, почему ему нужен доступ к фотографиям. Но если это игра, калькулятор или любое другое приложение, которое не связано с фото, видео или голосом, возникает логичный вопрос: зачем ему ваши данные? Всегда должна быть понятная причина. Если её нет, доступ лучше не давать", – рассказал эксперт.
Кстати, соцсети и приложения постоянно собирают данные о пользователях. Минимальный набор – это информация, которую человек вводит сам: имя, фамилия, дата рождения, электронная почта, номер телефона, геолокация.
Всё это уже формирует ваш базовый цифровой профиль.
Что касается банковских карт, хранить их данные в приложениях небезопасно. Более надёжно использовать виртуальную карту: переводить на неё небольшую сумму и привязывать именно её. В этом случае возможный ущерб будет минимальным, подчеркнул Питолин.
Признаки фишинговой атаки
Но если вы всё-таки попали в поле внимания мошенников, есть "примитивные" знаки, как это распознать.
Зачастую фишинговая атака – это сообщения с призывом к действию: "вы что-то выиграли", "с вашим аккаунтом проблема", "срочно пришлите код". По словам Питолина, это классические признаки фишинга. На них нельзя отвечать и переходить по ссылкам.
"Да, зона риска начинается в тот момент, когда появляется фишинговая атака: подозрительное письмо, сообщение или звонок от незнакомого человека, который что-то требует срочно, под давлением, с угрозами или обещаниями выгоды. Именно в таких ситуациях риск уже существует, но человек не всегда не осознаёт", – объяснил спикер.
Но, по словам эксперта, понять, что вы "на крючке", бывает и очень сложно. Часто осознание приходит уже постфактум.
Карту или аккаунт уже взломали. Что делать?
Если вы не смогли предотвратить атаку и попались на уловку мошенников, главное – спокойно принять это как "часть цифровой реальности", считает Олжас Сатиев.
"С подобными инцидентами сталкивается очень большое количество пользователей, и именно подготовленность играет ключевую роль", – подметил он.
Поэтому, если данные вашей банковской карты попали к мошенникам:
сразу заблокируйте её через приложение банка или по телефону;
следом поменяйте пароли от онлайн-банка, почты и других связанных сервисов;
после этого свяжитесь с банком, подробно объясните ситуацию и зафиксируйте возможное мошенничество.
"А если речь идёт о взломе аккаунта в социальной сети, почте или другом онлайн-сервисе, алгоритм действий схожий: срочная смена паролей, проверка активных сессий и обращение в службу поддержки. Чем быстрее пользователь реагирует, тем выше шанс восстановить доступ и ограничить ущерб", – сказал он.
А если персональные данные утекли из баз?
В отличие от банковских махинаций, об утечке своих данных из баз люди узнают уже после того, как она произошла. Проверить, не случилось ли это с вами, можно в приложении eGov Mobile.
Там есть сервис NomadGuard, который покажет, какие данные и откуда именно могли попасть в сеть.
В случае утечки важно прежде всего понять, какие данные попали в чужие руки: контактная информация, документы, банковские данные или логины с паролями.
"После этого необходимо принять меры по защите: сменить пароли, включить двухфакторную аутентификацию, быть особенно внимательным к подозрительным звонкам, письмам и сообщениям. Также рекомендуется уведомить банк, если утечка могла затронуть финансовую информацию, и следить за кредитной историей", – сказал Сатиев.
После вы можете обратиться к компании или сервису, где случилась утечка, чтобы узнать детали инцидента.
Как удалить "лишние" данные о себе
Если раньше вы оставляли свои данные, а теперь хотите их удалить – имеете на это право. Как объяснил Олжас Сатиев, для этого достаточно обратиться в поддержку сервиса, соцсети или компании, которая их хранит.
Но полностью удалить что-то из интернета невозможно.
"В запросе обычно указывается, какие данные необходимо удалить и по какой причине. Однако важно понимать, что полное и безвозвратное удаление данных из интернета практически невозможно. Часть информации может сохраняться в резервных копиях, логах или у партнёров сервиса. Тем не менее официальный запрос значительно снижает объём данных, которые продолжают обрабатываться и использоваться", – сказал Сатиев.
По его словам, лучше сразу быть внимательным в сети. Перед публикацией информации стоит подумать, нужна ли она и готовы ли вы, что она может остаться в интернете надолго.
"Важно помнить, что интернет практически ничего не забывает. Даже удалённые публикации могут остаться в архивах, кэше поисковых систем или на устройствах других пользователей. Поэтому, чем меньше личной информации размещается изначально, тем ниже риски в будущем. Также стоит регулярно пересматривать настройки приватности в социальных сетях и удалять устаревшие публикации", – отметил эксперт.
Три главных правила цифровой безопасности
1. Будьте готовы к разным ситуациям.
Олжас Сатиев советует регулярно обновлять свои знания о возможных угрозах. Мошенники постоянно придумывают новые схемы, поэтому важно следить за предупреждениями банков и сервисов. Если вы подготовлены – вам проще не попасться на уловки.
2. Соблюдайте базовую цифровую гигиену
Регулярно меняйте пароли, делайте их сложными и отдельными для разных сервисов, включайте двухфакторную аутентификацию. Не доверяйте незнакомцам в интернете, не передавайте свои данные и не переходите по подозрительным ссылкам, даже если они кажутся настоящими.
3. Не перекладывайте всю ответственность на других
Компании и сервисы должны защищать данные и несут ответственность. Но помните, что пользователь тоже отвечает за свои персональные данные и должен быть внимателен.
Напомним, в Казахстане планируют маскировать и хешировать данные. Вместе с тем рассматривается запрет на массовую выгрузку информации из баз, чтобы бороться с утечками.
Как защитить себя и не стать жертвой обмана в условиях тотальной цифровизации – читайте в материале Tengrinews.kz.
О рисках, которые сопровождают процесс тотальной цифровизации, на V заседании Национального курултая говорил Президент Казахстана Касым-Жомарт Токаев.
"Цифровизация неизбежно станет повсеместной и даже тотальной, это значит, что надо уделить внимание законодательной защите персональных данных, повышению финансовой и цифровой грамотности граждан", — сказал Токаев.
О том, как защитить себя уже сегодня, рассказали сопредседатель комитета по информационной безопасности Альянса QazTech Евгений Питолин и президент Центра анализа и расследования кибератак (TSARKA) Олжас Сатиев.
Какие данные нужно защищать?
Первый вопрос, который обычно возникает: какие данные стоит защищать? Универсального списка нет, Евгений Питолин говорит, что при попытке что-то перечислить создаётся ложное ощущение безопасности.
"На самом деле защищать нужно абсолютно все персональные данные одинаково и одновременно. Речь идёт не только о банковских картах, паролях или кодах из SMS. Это и личная информация, и данные о покупках, и то, чем мы делимся в социальных сетях", – сказал он.
Но, по словам Олжаса Сатиева, из-за развития цифровых сервисов люди всё чаще стали передавать:
свои паспортные данные;
телефон;
электронную почту;
банковские реквизиты;
адрес проживания;
свои фото и видео.
"Наиболее чувствительными считаются данные, которые могут быть использованы для финансового мошенничества или подмены личности. Это паспортные и финансовые данные, информация о месте проживания, данные о здоровье и биометрическая информация", – пояснил он.
Евгений Питолин же, в свою очередь, отмечает, что даже ваш пост о покупке новой машины или выигрыше в лотерею – могут использовать против вас. Поэтому любую личную информацию стоит держать в секрете.
Да, тот же номер телефона в профиле Instagram и других соцсетях уже стал привычным делом. Но эксперт всё же не советует публиковать его без необходимости.
Он объяснил, что мошенники ничего не изобретают и используют ровно то, что человек выкладывает сам.
"Где он был в отпуске, что с ним происходит, есть ли у него сложный жизненный период – развод, потеря работы, стресс. На основе постов, комментариев, репостов формируется социальный портрет человека, после чего включается социальная инженерия – точечное психологическое воздействие", – сказал эксперт.
Про пароли, двухфакторку и настройки
Секретной таблетки или пароля, который спасет от взлома, тоже не существует. Надёжный пароль – это по-прежнему сложная комбинация из букв разного регистра, цифр и символов.
Главное здесь – не один "идеальный" пароль. Их нужно время от времени менять и постепенно усложнять – это одно из самых простых правил цифровой безопасности, подчеркнул эксперт.
"Раньше двухфакторная аутентификация была практически золотым стандартом защиты. Сегодня существуют и другие, более продвинутые способы, например аппаратные ключи или специальные носители, которые хранят ключи доступа. Тем не менее двухфакторную аутентификацию по-прежнему стоит включать, особенно для важных сервисов. Это дополнительный уровень защиты, который во многих случаях действительно спасает", – пояснил он.
Но какие настройки в смартфоне стоит проверить, чтобы хотя бы немного защитить себя? Евгений Питолин сказал, что тут есть базовый минимум:
установить код-пароль на сам телефон;
включить двухфакторную аутентификацию;
поставить отдельные коды на мессенджеры;
не разрешать приложениям отслеживать вас без необходимости;
отключать геолокацию, когда она не нужна;
ограничивать доступ приложений к фотографиям.
Биотметрия. Удобно, но небезопасно
Онлайн-идентификация сильно упрощает жизнь и получение услуг, но полностью безопасной её считать нельзя, предупреждает Олжас Сатиев.
"Основной риск связан с тем, что такие данные, в отличие от паролей, невозможно заменить в случае утечки. Поэтому использование биометрии и видеоидентификации требует повышенного доверия к сервису и понимания возможных последствий", – сказал он.
Тут дело в том, что утечка биометрических данных необратима. Если они попадут к злоумышленникам, их нельзя будет поменять или заменить.
"Во многих ситуациях передача биометрии не является строго обязательной, и пользователь вправе выбрать альтернативные способы подтверждения личности, если они предусмотрены", – рекомендует Сатиев.
Каким приложениям нужно запретить вас отслеживать
Сегодня многие приложения при установке просят разрешения на доступ к местоположению, камере, микрофону и так далее. Например, игра может попросить доступ к вашей галерее.
Всё это стоит запретить всем приложениям, где нет необходимости по логике их работы.
"Если вы скачиваете фоторедактор, то понятно, почему ему нужен доступ к фотографиям. Но если это игра, калькулятор или любое другое приложение, которое не связано с фото, видео или голосом, возникает логичный вопрос: зачем ему ваши данные? Всегда должна быть понятная причина. Если её нет, доступ лучше не давать", – рассказал эксперт.
Кстати, соцсети и приложения постоянно собирают данные о пользователях. Минимальный набор – это информация, которую человек вводит сам: имя, фамилия, дата рождения, электронная почта, номер телефона, геолокация.
Всё это уже формирует ваш базовый цифровой профиль.
Что касается банковских карт, хранить их данные в приложениях небезопасно. Более надёжно использовать виртуальную карту: переводить на неё небольшую сумму и привязывать именно её. В этом случае возможный ущерб будет минимальным, подчеркнул Питолин.
Признаки фишинговой атаки
Но если вы всё-таки попали в поле внимания мошенников, есть "примитивные" знаки, как это распознать.
Зачастую фишинговая атака – это сообщения с призывом к действию: "вы что-то выиграли", "с вашим аккаунтом проблема", "срочно пришлите код". По словам Питолина, это классические признаки фишинга. На них нельзя отвечать и переходить по ссылкам.
"Да, зона риска начинается в тот момент, когда появляется фишинговая атака: подозрительное письмо, сообщение или звонок от незнакомого человека, который что-то требует срочно, под давлением, с угрозами или обещаниями выгоды. Именно в таких ситуациях риск уже существует, но человек не всегда не осознаёт", – объяснил спикер.
Но, по словам эксперта, понять, что вы "на крючке", бывает и очень сложно. Часто осознание приходит уже постфактум.
Карту или аккаунт уже взломали. Что делать?
Если вы не смогли предотвратить атаку и попались на уловку мошенников, главное – спокойно принять это как "часть цифровой реальности", считает Олжас Сатиев.
"С подобными инцидентами сталкивается очень большое количество пользователей, и именно подготовленность играет ключевую роль", – подметил он.
Поэтому, если данные вашей банковской карты попали к мошенникам:
сразу заблокируйте её через приложение банка или по телефону;
следом поменяйте пароли от онлайн-банка, почты и других связанных сервисов;
после этого свяжитесь с банком, подробно объясните ситуацию и зафиксируйте возможное мошенничество.
"А если речь идёт о взломе аккаунта в социальной сети, почте или другом онлайн-сервисе, алгоритм действий схожий: срочная смена паролей, проверка активных сессий и обращение в службу поддержки. Чем быстрее пользователь реагирует, тем выше шанс восстановить доступ и ограничить ущерб", – сказал он.
А если персональные данные утекли из баз?
В отличие от банковских махинаций, об утечке своих данных из баз люди узнают уже после того, как она произошла. Проверить, не случилось ли это с вами, можно в приложении eGov Mobile.
Там есть сервис NomadGuard, который покажет, какие данные и откуда именно могли попасть в сеть.
В случае утечки важно прежде всего понять, какие данные попали в чужие руки: контактная информация, документы, банковские данные или логины с паролями.
"После этого необходимо принять меры по защите: сменить пароли, включить двухфакторную аутентификацию, быть особенно внимательным к подозрительным звонкам, письмам и сообщениям. Также рекомендуется уведомить банк, если утечка могла затронуть финансовую информацию, и следить за кредитной историей", – сказал Сатиев.
После вы можете обратиться к компании или сервису, где случилась утечка, чтобы узнать детали инцидента.
Как удалить "лишние" данные о себе
Если раньше вы оставляли свои данные, а теперь хотите их удалить – имеете на это право. Как объяснил Олжас Сатиев, для этого достаточно обратиться в поддержку сервиса, соцсети или компании, которая их хранит.
Но полностью удалить что-то из интернета невозможно.
"В запросе обычно указывается, какие данные необходимо удалить и по какой причине. Однако важно понимать, что полное и безвозвратное удаление данных из интернета практически невозможно. Часть информации может сохраняться в резервных копиях, логах или у партнёров сервиса. Тем не менее официальный запрос значительно снижает объём данных, которые продолжают обрабатываться и использоваться", – сказал Сатиев.
По его словам, лучше сразу быть внимательным в сети. Перед публикацией информации стоит подумать, нужна ли она и готовы ли вы, что она может остаться в интернете надолго.
"Важно помнить, что интернет практически ничего не забывает. Даже удалённые публикации могут остаться в архивах, кэше поисковых систем или на устройствах других пользователей. Поэтому, чем меньше личной информации размещается изначально, тем ниже риски в будущем. Также стоит регулярно пересматривать настройки приватности в социальных сетях и удалять устаревшие публикации", – отметил эксперт.
Три главных правила цифровой безопасности
1. Будьте готовы к разным ситуациям.
Олжас Сатиев советует регулярно обновлять свои знания о возможных угрозах. Мошенники постоянно придумывают новые схемы, поэтому важно следить за предупреждениями банков и сервисов. Если вы подготовлены – вам проще не попасться на уловки.
2. Соблюдайте базовую цифровую гигиену
Регулярно меняйте пароли, делайте их сложными и отдельными для разных сервисов, включайте двухфакторную аутентификацию. Не доверяйте незнакомцам в интернете, не передавайте свои данные и не переходите по подозрительным ссылкам, даже если они кажутся настоящими.
3. Не перекладывайте всю ответственность на других
Компании и сервисы должны защищать данные и несут ответственность. Но помните, что пользователь тоже отвечает за свои персональные данные и должен быть внимателен.
Напомним, в Казахстане планируют маскировать и хешировать данные. Вместе с тем рассматривается запрет на массовую выгрузку информации из баз, чтобы бороться с утечками.