Як часто ви чуєте цю нехитру, на перший погляд, фразу від своїх знайомих, близьких та колег?
У міру того, як держава і компанії-гіганти вводять в експлуатацію все більш витончені засоби контролю інформації та стеження за користувачами, зростає і відсоток людей, які помиляються, які вважають за прописну істину досить очевидне на перший погляд твердження, що «якщо я не порушую закон, то мені нема чого боятися».
Дійсно, якщо я не зробив нічого поганого, той факт, що уряди та компанії-гіганти хочуть збирати про мене всі дані, електронні листи, телефонні дзвінки, зображення з веб-камер і пошукові запити, не має ніякого значення, адже вони все і не виявлять нічого цікавого.
Адже мені нема чого приховувати. Хіба це не так?
В чому проблема?
Я системний адміністратор. Інформаційна безпека дуже щільно інтегрована в моє життя і через специфіку моєї роботи, як правило, довжина будь-якого пароля становить не менше 48 символів.
Більшість із них я знаю напам'ять і в моменти, коли випадковій людині доводиться ненароком спостерігати за тим, як я вводжу один з них, у неї зазвичай виникає резонне питання — «а чому вона така… об'ємна?»
"Для безпеки? Але не такий же довгий! Ось я, наприклад, використовую пароль із восьми символів, адже мені нема чого приховувати».
Останнім часом мені все частіше доводиться чути цю фразу від людей, які перебувають у моєму оточенні. Що особливо пригнічує — іноді навіть від тих, хто більшою мірою пов'язаний з інформаційними технологіями.
Добре, перефразуємо.
Мені нема чого приховувати, адже…
… всі і так знають номер моєї банківської картки, її пароль та CVV/CVC-код
… всі і так знають мої пін-коди та паролі
… всі і так знають розмір моєї зарплати
… всі і так знають, де я перебуваю на даний момент
І так далі.
Звучить не дуже правдоподібно, правда? Однак коли ви в черговий раз вимовляєте фразу «нема чого приховувати», ви маєте на увазі і це. Можливо, звичайно, поки що не усвідомлюєте, але правда не залежить від вашої волі.
Важливо розуміти, що не про приховування, йдеться про захист. Захист ваших природних цінностей.
Ви можете нічого не приховувати, якщо абсолютно впевнені, що відсутня будь-яка загроза вам і вашим даним ззовні
Однак абсолютна безпека – це міф. "Не помиляється лише той, хто нічого не робить". Буде величезною помилкою не враховувати людський фактор при створенні інформаційних систем, тісно пов'язаних із забезпеченням безпеки та безпеки даних користувачів.
Будь-який замок передбачає наявність ключа до нього. Інакше який у ньому сенс? Замок спочатку був задуманий як засіб для захисту власності від взаємодії із нею сторонніх людей.
Навряд чи ви будете в захваті, якщо хтось отримає доступ до вашого облікового запису в соціальній мережі і почне від вашого імені розповсюджувати непотрібні повідомлення, віруси або спам. Ми не приховуємо факти.
Справді: у нас є рахунок у банку, електронна пошта, аккаунт у Telegram. Ми не приховуємо ці факти від загалу. Ми захищаємо перелічене вище від несанкціонованого доступу.
Та кому я здався?
Ще одна не менш поширена помилка, яку зазвичай використовують як контраргумент.
Ми говоримо: «Та навіщо компанії мої дані?» або «Для чого хакеру мене зламувати?» не зважаючи на той факт, що злом може бути не вибірковим — зламати можуть сам сервіс, і в цьому випадку постраждають усі користувачі, які були зареєстровані в системі.
Важливо не тільки дотримуватися правил інформаційної безпеки, але й правильно вибирати інструменти, які ви використовуєте.
Дозвольте мені навести кілька прикладів, щоб стало зрозумілим те, про що зараз йдеться.
Їм не було чого приховувати
- МФЦ
У листопаді 2018 року із московських багатофункціональних центрів надання державних та муніципальних послуг (МФЦ) «Мої Документи».На комп'ютерах загального доступу до МФЦ було виявлено безліч скан-копій паспортів, СНІЛС, анкет із зазначенням мобільних телефонів і навіть реквізитів рахунків у банках, до яких міг отримати доступ будь-хто.
На підставі отриманих даних можна було набрати мікропозики або навіть отримати доступ до коштів на банківських рахунках людей.
- Ощадбанк
У жовтні 2018 року . Імена та електронні адреси більш ніж 420 тисяч співробітників опинилися у відкритому доступі.Дані клієнтів у це вивантаження не потрапили, але сам факт їх появи в такому обсязі свідчить про те, що викрадач мав високі права доступу в системах банку і міг отримати доступ, у тому числі і до клієнтської інформації.
- Google
Помилка в API соціальної мережі Google+ дозволяла розробникам отримувати доступ до таких даних 500 тисяч користувачів як: логіни, адреси електронної пошти, місця роботи, дати народження, фотографії з профілю тощо.Google стверджує, що ніхто з 438 розробників, хто мав доступ до API, не знав про цю помилку і не міг їй скористатися.
- Facebook
Facebook офіційно підтвердив витік даних 50 млн. облікових записів, при цьому потенційно було порушено до 90 млн. облікових записів.Хакери змогли отримати доступ до профілів власників цих облікових записів завдяки ланцюжку з як мінімум трьох вразливостей у коді Facebook.
Крім Facebook постраждали і ті сервіси, які використовували акаунти цієї соціальної мережі для аутентифікації (Single Sign-On).
- знову Google
Ще одна вразливість у Google+, яка призвела до витоку даних 52,5 млн користувачів.
Вразливість дозволяла програмам отримувати з профілів користувачів інформацію (ім'я, адресу електронної пошти, стать, дату народження, вік тощо), навіть якщо ці дані були приватними.Крім того, через профіль одного користувача можна було отримувати дані інших користувачів.
Джерело:
Витоку даних відбуваються набагато частіше, ніж вам здається
Справедливо, що не про всі витоки даних відкрито заявляють самі зловмисники або потерпілі.
Важливо розуміти, що будь-яка система, яка може бути зламана, буде зламана. Рано чи пізно.
Ось що ви можете зробити вже зараз, щоб захистити свої дані
→ Change your mind: пам'ятайте, що ви не приховуєте свої дані, а захищаєте їх
→ Використовуйте двофакторну авторизацію
→ Не використовуйте легкі паролі: паролі, які можуть бути пов'язані з вами або знайдені у словнику
→ Не використовуйте однакові паролі для різних сервісів
→ Не зберігайте паролі у відкритому вигляді (наприклад, на папірці, приклеєному до монітора)
→ Нікому не кажіть пароль, навіть співробітникам служби підтримки
→ Уникайте користування безкоштовними Wi-Fi мережами
Що почитати: корисні статті на тему інформаційної безпеки
→
→
→
→
Бережіть себе та свої дані.
Тільки зареєстровані користувачі можуть брати участь в опитуванні. , будь ласка.
Альтернативне голосування: нам важливо знати думку тих, хто не має повноправного облікового запису на Хабрі
-
↑
-
↓
Проголосували 439 користувачів. Утрималися 137 користувачів.
Джерело: habr.com