Как часто вы слышите эту незамысловатую, на первый взгляд, фразу от своих знакомых, близких и коллег?
По мере того, как государство и компании-гиганты вводят в эксплуатацию всё более изощрённые средства контроля информации и слежки за пользователями, растёт и процент заблуждающихся людей, которые принимают за прописную истину довольно очевидное на первый взгляд утверждение, что «если я не нарушаю закон, то мне нечего бояться».
Действительно, если я не сделал ничего плохого, тот факт, что правительства и компании-гиганты хотят собирать о мне все данные, электронные письма, телефонные звонки, изображения с веб-камер и поисковые запросы, не имеет ровным счётом никакого значения, ведь они всё равно не обнаружат ничего интересного.
Ведь мне нечего скрывать. Разве же это не так?
В чём проблема?
Я — системный администратор. Информационная безопасность очень плотно интегрирована в мою жизнь и ввиду специфики моей работы, как правило, длина любого моего пароля составляет не менее 48 символов.
Большинство из них я знаю наизусть и в моменты, когда случайному человеку доводится невзначай наблюдать за тем, как я ввожу один из них, у него обычно возникает резонный вопрос — «а почему он такой… объёмный?»
«Для безопасности? Но не такой же длинный! Вот я, например, использую пароль из восьми символов, ведь мне нечего скрывать».
Последнее время мне всё чаще доводится слышать эту фразу от людей, находящихся в моём окружении. Что особенно удручает — иной раз даже от тех, кто в большей степени связан c информационными технологиями.
Хорошо, давайте перефразируем.
Мне нечего скрывать, ведь…
… все и так знают номер моей банковской карты, её пароль и CVV/CVC-код
… все и так знают мои пин-коды и пароли
… все и так знают размер моей зарплаты
… все и так знают, где я нахожусь на данный момент
И так далее.
Звучит не очень правдоподобно, правда? Однако когда вы в очередной раз произносите фразу «мне нечего скрывать», вы имеете в виду и это. Возможно, конечно, пока не осознаёте, но правда не зависит от вашей воли.
Важно понимать, что речь идет не о сокрытии, а о защите. Защите ваших естественных ценностей.
Вы можете ничего не скрывать, если совершенно уверены, что отсутствует какая-либо угроза вам и вашим данным извне
Однако абсолютная безопасность — это миф. «Не ошибается лишь тот, кто ничего не делает». Будет огромной ошибкой не учитывать человеческий фактор при создании информационных систем, тесно связанных с обеспечением сохранности и безопасности данных пользователей.
Любой замок предполагает и наличие ключа к нему. Иначе какой в нём смысл? Замок изначально был задуман как средство для защиты собственности от взаимодействия с ней посторонних людей.
Едва ли вы будете в восторге, если кто-то получит доступ к вашему аккаунту в социальной сети и начнет от вашего имени распространять непотребные сообщения, вирусы или спам. Важно понимать то, что мы не скрываем факты.
Действительно: у нас есть счёт в банке, электронная почта, аккаунт в Telegram. Мы не скрываем эти факты от общественности. Мы защищаем вышеперечисленное от несанкционированного доступа.
Да кому я сдался?
Ещё одно не менее распространённое заблуждение, которое обычно используют в качестве контраргумента.
Мы говорим: «Да зачем компании мои данные?» или «Для чего хакеру меня взламывать?» не принимая во внимание тот факт, что взлом может быть не выборочным — взломать могут сам сервис, и в этом случае пострадают все пользователи, которые были зарегистрированы в системе.
Важно не только самому соблюдать правила информационной безопасности, но и правильно выбирать инструменты, которые вы используете.
Позвольте мне привести несколько примеров, чтобы стало понятным то, о чём сейчас идёт речь.
Им было нечего скрывать
МФЦ
В ноябре 2018 года произошла утечка персональных данных из московских многофункциональных центров предоставления государственных и муниципальных услуг (МФЦ) «Мои Документы».
На компьютерах общего доступа в МФЦ было обнаружено множество скан-копий паспортов, СНИЛС, анкет с указанием мобильных телефонов и даже реквизитов счетов в банках, к которым мог получить доступ любой желающий.
На основании полученных данных можно было набрать микрозаймов или даже получить доступ к средствам на банковских счетах людей.
Сбербанк
В октябре 2018 года произошла утечка данных. Имена и электронные адреса более чем 420 тысяч сотрудников оказались в открытом доступе.
Данные клиентов в эту выгрузку не попали, но сам факт их появления в таком объеме говорит о том, что похититель имел высокие права доступа в системах банка и мог получить доступ, в том числе, и к клиентской информации.
Google
Ошибка в API социальной сети Google+ позволяла разработчикам получать доступ к таким данным 500 тыс. пользователей как: логины, адреса электронной почты, места работы, даты рождения, фотографии из профиля и т. п.
Google утверждает, что никто из тех 438 разработчиков, кто имел доступ к API, не знал об этой ошибке и не мог ей воспользоваться.
Facebook
Facebook официально подтвердил утечку данных 50 млн. аккаунтов, при этом потенциально было затронуто до 90 млн. аккаунтов.
Хакеры смогли получить доступ к профилям владельцев этих аккаунтов благодаря цепочке из как минимум трех уязвимостей в коде Facebook.
Помимо самого Facebook пострадали и те сервисы, которые использовали аккаунты этой социальной сети для аутентификации (Single Sign-On).
Снова Google
Еще одна уязвимость в Google+, которая привела к утечке данных 52,5 млн. пользователей.
Уязвимость позволяла приложениям получать из профилей пользователей информацию (имя, адрес электронной почты, пол, дату рождения, возраст и т. п.), даже если эти данные были приватными.
Кроме того, через профиль одного пользователя можно было получать данные других пользователей.
Утечки данных происходят гораздо чаще, чем вам кажется
Справедливо, что не обо всех утечках данных в открытую заявляют сами злоумышленники или потерпевшие.
Важно понимать, что любая система, которая может быть взломана, — будет взломана. Рано или поздно.
Вот, что вы можете сделать уже сейчас, чтобы защитить свои данные
→ Change your mind: помните, что вы не скрываете свои данные, а защищаете их
→ Используйте двухфакторную авторизацию
→ Не используйте легкие пароли: пароли, которые могут быть связаны с вами или найдены в словаре
→ Не используйте одинаковые пароли для различных сервисов
→ Не храните пароли в открытом виде (например, на бумажке, приклеенной к монитору)
→ Никому не говорите пароль, даже сотрудникам службы поддержки
→ Избегайте пользования бесплатными Wi-Fi сетями
Что почитать: полезные статьи на тему информационной безопасности