Як часта вы чуеце гэтую немудрагелістую, на першы погляд, фразу ад сваіх знаёмых, блізкіх і калегаў?
Па меры таго, як дзяржава і кампаніі-гіганты ўводзяць у эксплуатацыю ўсё больш выдасканаленыя сродкі кантролю інфармацыі і сачэння за карыстальнікамі, расце і працэнт памылковых людзей, якія прымаюць за вялікую ісціну даволі відавочнае на першы погляд сцвярджэнне, што «калі я не парушаю закон, то мне няма чаго баяцца».
Сапраўды, калі я не зрабіў нічога дрэннага, той факт, што ўрады і кампаніі-гіганты хочуць збіраць пра мяне ўсе дадзеныя, электронныя лісты, тэлефонныя званкі, выявы з вэб-камер і пошукавыя запыты, не мае роўным лікам ніякага значэння, бо яны ўсё роўна не знойдуць нічога цікавага.
Бо мне няма чаго хаваць. Няўжо ж гэта не так?
У чым праблема?
Я - сістэмны адміністратар. Інфармацыйная бяспека вельмі шчыльна інтэграваная ў маё жыццё і з прычыны спецыфікі маёй працы, як правіла, даўжыня любога майго пароля складае не менш за 48 сімвалаў.
Большасць з іх я ведаю на памяць і ў моманты, калі выпадковаму чалавеку даводзіцца няўзнак назіраць за тым, як я ўводжу адзін з іх, у яго звычайна ўзнікае слушнае пытанне — «а чаму ён такі… аб'ёмны?»
«Для бяспекі? Але не такі ж доўгі! Вось я, напрыклад, выкарыстоўваю пароль з васьмі сімвалаў, бо мне няма чаго хаваць.
Апошнім часам мне ўсё часцей даводзіцца чуць гэтую фразу ад людзей, якія знаходзяцца ў маім асяроддзі. Што асабліва засмучае - іншы раз нават ад тых, хто ў большай ступені звязаны з інфармацыйнымі тэхналогіямі.
Добра, давайце перафразуем.
Мне няма чаго хаваць, бо...
… усё і так ведаюць нумар маёй банкаўскай карты, яе пароль і CVV/CVC-код
… усё і так ведаюць мае пін-коды і паролі
… усе і так ведаюць памер майго заробку
… усё і так ведаюць, дзе я знаходжуся на дадзены момант
І гэтак далей.
Гучыць не вельмі праўдападобна, праўда? Аднак калі вы ў чарговы раз прамаўляеце фразу "мне няма чаго хаваць", вы маеце на ўвазе і гэта. Магчыма, вядома, пакуль не ўсведамляеце, але праўда не залежыць ад вашай волі.
Важна разумець, што гаворка ідзе не пра ўтойванне, а пра абарону. Абараніце вашых натуральных каштоўнасцяў.
Вы можаце нічога не хаваць, калі цалкам упэўненыя, што адсутнічае якая-небудзь пагроза вам і вашым дадзеным звонку
Аднак абсалютная бяспека - гэта міф. "Не памыляецца толькі той, хто нічога не робіць". Будзе вялікай памылкай не ўлічваць чалавечы фактар пры стварэнні інфармацыйных сістэм, цесна звязаных з забеспячэннем захаванасці і бяспекі дадзеных карыстальнікаў.
Любы замак мяркуе і наяўнасць ключа да яго. Інакш які ў ім сэнс? Замак першапачаткова быў задуманы як сродак для абароны ўласнасці ад узаемадзеяння з ёй старонніх людзей.
Ці ледзь вы будзеце ў захапленні, калі хтосьці атрымае доступ да вашага акаўнта ў сацыяльнай сетцы і пачне ад вашага імя распаўсюджваць непатрэбныя паведамленні, вірусы ці спам. Важна разумець тое, што мы не хаваем факты.
Сапраўды: у нас ёсць рахунак у банку, электронная пошта, акаўнт у Telegram. Мы не хаваем гэтыя факты ад грамадскасці. Мы абараняем вышэйпералічанае ад несанкцыянаванага доступу.
Ды каму я здаўся?
Яшчэ адна не менш распаўсюджаная памылка, якую звычайна выкарыстоўваюць у якасці контраргумента.
Мы кажам: "Ды навошта кампаніі мае дадзеныя?" або «Для чаго хакеру мяне ўзломваць?» не прымаючы да ўвагі той факт, што ўзлом можа быць не выбарачным - узламаць могуць сам сэрвіс, і ў гэтым выпадку пацерпяць усе карыстачы, якія былі зарэгістраваныя ў сістэме.
Важна не толькі самому выконваць правілы інфармацыйнай бяспекі, але і правільна выбіраць інструменты, якія вы карыстаецеся.
Дазвольце мне прывесці некалькі прыкладаў, каб стала зразумелым тое, пра што зараз ідзе гаворка.
Ім не было чаго хаваць
- МФЦ
У лістападзе 2018 года з маскоўскіх шматфункцыянальных цэнтраў прадастаўлення дзяржаўных і муніцыпальных паслуг (МФЦ) "Мае Дакументы".На кампутарах агульнага доступу ў МФЦ было выяўлена мноства скан-копій пашпартоў, СНІЛС, анкет з указаннем мабільных тэлефонаў і нават рэквізітаў рахункаў у банках, да якіх мог атрымаць доступ любы ахвочы.
На падставе атрыманых звестак можна было набраць мікрапазык ці нават атрымаць доступ да сродкаў на банкаўскіх рахунках людзей.
- Ашчадбанк
У кастрычніку 2018 года . Імёны і электронныя адрасы больш чым 420 тысяч супрацоўнікаў аказаліся ў адкрытым доступе.Дадзеныя кліентаў у гэтую выгрузку не патрапілі, але сам факт іх з'яўлення ў такім аб'ёме сведчыць аб тым, што выкрадальнік меў высокія правы доступу ў сістэмах банка і мог атрымаць доступ, у тым ліку, і да кліенцкай інфармацыі.
- Google
Памылка ў API сацыяльнай сеткі Google+ дазваляла распрацоўнікам атрымліваць доступ да такіх дадзеных 500 тыс. карыстачоў як: лагіны, адрасы электроннай пошты, месцы працы, даты нараджэння, фатаграфіі з профіля і т. п.Google сцвярджае, што ніхто з тых 438 распрацоўшчыкаў, хто меў доступ да API, не ведаў аб гэтай памылцы і не мог ёй скарыстацца.
- Facebook
Facebook афіцыйна пацвердзіў уцечку дадзеных 50 млн. акаўнтаў, пры гэтым патэнцыйна было закранута да 90 млн. акаўнтаў.Хакеры змаглі атрымаць доступ да профіляў уладальнікаў гэтых акаўнтаў дзякуючы ланцужку з як мінімум трох уразлівасцяў у кодзе Facebook.
Апроч самога Facebook пацярпелі і тыя сэрвісы, якія выкарыстоўвалі акаўнты гэтай сацыяльнай сеткі для аўтэнтыфікацыі (Single Sign-On).
- зноў Google
Яшчэ адна ўразлівасць у Google+, якая прывяла да ўцечкі дадзеных 52,5 млн. карыстачоў.
Уразлівасць дазваляла дадаткам атрымліваць з профіляў карыстальнікаў інфармацыю (імя, адрас электроннай пошты, пол, дату нараджэння, узрост і г.д.), нават калі гэтыя дадзеныя былі прыватнымі.Акрамя таго, праз профіль аднаго карыстальніка можна было атрымліваць дадзеныя іншых карыстальнікаў.
Крыніца:
Уцечкі дадзеных адбываюцца значна часцей, чым вам здаецца
Справядліва, што не пра ўсе ўцечкі дадзеных адкрыта заяўляюць самі зламыснікі або пацярпелыя.
Важна разумець, што любая сістэма, якая можа быць узламаная, - будзе ўзламаная. Рана ці позна.
Вось, што вы можаце зрабіць ужо зараз, каб абараніць свае дадзеныя
→ Change your mind: памятаеце, што вы не хаваеце свае дадзеныя, а абараняеце іх
→ Выкарыстоўвайце двухфактарную аўтарызацыю
→ Не выкарыстоўвайце лёгкія паролі: паролі, якія могуць быць звязаны з вамі ці знойдзены ў слоўніку
→ Не выкарыстоўвайце аднолькавыя паролі для розных сэрвісаў
→ Не захоўвайце паролі ў адкрытым выглядзе (напрыклад, на паперцы, прыклеенай да манітора)
→ Нікому не кажыце пароль, нават супрацоўнікам службы падтрымкі
→ Пазбягайце карыстання бясплатнымі Wi-Fi сеткамі
Што пачытаць: карысныя артыкулы на тэму інфармацыйнай бяспекі
→
→
→
→
Беражыце сябе і свае дадзеныя.
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
Альтэрнатыўнае галасаванне: нам важна ведаць меркаванне тых, хто не мае паўнапраўнага акаўнта на Хабры
-
↑
-
↓
Прагаласавалі 439 карыстальнікаў. Устрымаліся 137 карыстальнікаў.
Крыніца: habr.com