info@leonfo.com
Публикации
вернуться к публикациям

Как избежать утечки важной персональной информации

28 сентября 2018

Часто ли вы задумываетесь о том, как взаимодействуете с внешним миром? Ведь одно дело поделиться чем-то в приватном разговоре, где нет посредников, и совсем другое – участвовать в электронной переписке, обмениваться сообщениями через мессенджеры и прочие программы.

По данным InfoWatch, мировой объем утечек информации в 2017 г. увеличился более чем в четыре раза. Подавляющая часть утечек, 86%, была связана с кражей персональных данных (64,8%) и финансовой информации (21,1%).

По опыту LEON Family Office, одна из основных причин подобных утечек – беспечность пользователей. Очевидно и то, что целевой аудиторией мошенников, как правило, становятся состоятельные пользователи (ведь они тоже люди, пользующиеся мобильной связью, интернетом, иногда даже социальными сетями и другими благами современного мира).

Давайте разберемся, что такое «утечка информации». Это ситуация, когда злоумышленник, получив информацию о кличке любимой собаки, годе рождения или девичьей фамилии, может использовать ее для входа в личную почту, учетную запись и аналогичные хранилища данных пользователя. Получив к ним доступ, можно добраться до более чувствительной информации – банковских карт, логинов и паролей в платежных системах (например, PayPal), корпоративных документов и проч. На практике это происходит следующим образом. Как правило, при регистрации в той или иной системе обмена данными пользователю требуется указать контактную почту, на которую автоматически высылается ссылка для активации, которая позволяет в ряде случаев заходить в личный кабинет, менять пароль и т. п. Но и без подобных ссылок личная почта может содержать переписку, где указаны логины и пароли для входа в личные кабинеты с различных ресурсов. Таким образом, получается, что система распознает пользователя, хотя под его учетными данными скрывается другой человек.

Мы часто сталкиваемся на практике с подобными случаями. Например, в ходе переговоров наш клиент предоставил контрагенту свой почтовый адрес, но ошибся в одном знаке (для примера, указал ivanivanov@gmail.com вместо ivan.ivanov@gmail.com). В результате письмо с конфиденциальной информацией было направлено его полному тезке, о котором ни клиенты, ни мы ничего не знали.

Письмо удалось успешно отозвать, но стоит ли говорить, что после этого эпизода мы провели полную диагностику использования клиентом его персональной информации. Такая диагностика основана на практических ошибках, с которыми мы наиболее часто встречались за время работы нашего семейного офиса.

∙ Бесплатные почтовые сервисы (например, gmail, yahoo и проч.). По нашим наблюдениям, большинство представителей поколения X (возраст 50+) мало пользуются своим почтовым ящиком, зато охотно раздают его адрес любому собеседнику (контрагенту). И скоро в ящике c названием, скажем, ivan.ivanov@gmail.com и паролем ivan1957 скапливается такое количество писем, что при получении доступа к нему злоумышленники получают полный набор интересующей их информации.

∙ Один и тот же пароль (например, имя и год своего рождения) для всех личных кабинетов, онлайн-банкинга, входа в смартфон и проч. Это, пожалуй, одна из самых распространенных ошибок. Пользователь единожды придумывает пароль, который пропускает система безопасности какого-нибудь онлайн-магазина, и довольный своей изобретательностью использует его для всего подряд. В результате, получив в распоряжение этот пароль, злоумышленник находит ключ от всех дверей.

∙ Хранение пин-кодов от своих карт в заметках и книге контактов смартфона. Этот риск не нуждается в дополнительных комментариях, но наиболее часто встречается на практике.

 Фишинг (fishing/phishing) в различных его проявлениях. Фишинг представляет собой отправку злоумышленниками электронных сообщений с различными предложениями, просьбами, даже требованиями. В большинстве случаев они сопровождаются ссылками, проходя по которым пользователь предоставляет злоумышленнику доступ к своему смартфону или персональному компьютеру.

Список часто встречающихся ошибок, а также вариантов мошенничества постоянно пополняется, но, руководствуясь рядом простых правил, можно снизить возможность доступа третьих лиц к персональной информации даже при потере смартфона или компьютера. К таким правилам относятся, в частности:

 Использование разных паролей – один из наиболее действенных способов защитить свои персональные данные. Крайне важно использовать для каждого личного кабинета или устройства отдельный пароль и менять его с определенной периодичностью (например, раз в шесть месяцев). Кроме того, состав символов должен быть случайным, не относящимся к личной жизни пользователя.

∙ Установка обновлений на мобильные устройства. Необходимо взять за правило устанавливать последние обновления разработчиков, так как они содержат предустановленные функции безопасности.

∙ Использование выделенных почтовых серверов, облачных сервисов и мессенджеров. Для этого, как правило, приобретаются и настраиваются отдельные выделенные почтовые серверы под конкретного пользователя (группу пользователей). На таких серверах можно размещать как почтового агента, так и собственный мессенджер (аналог WhatsApp, Viber и проч.).

 Двухфакторная аутентификация. Для получения доступа к информации пользователю необходимо предъявить более одного доказательства для идентификации. Иными словами, чтобы получить доступ к данным на одном устройстве (например, компьютере), ему нужно ввести пароль, который приходит на другое устройство (например, мобильный телефон).

∙ Сокращение присутствия в социальных сетях. Как правило, именно социальные сети дают злоумышленникам возможность получить подробную информацию, позволяющую установить персональные данные конкретного человека, определить его образ жизни, размер достатка, интересы и проч.

Клиент из нашего примера, кстати, решил пойти по наиболее рациональному пути – установил собственный выделенный сервер с ограниченным доступом для третьих лиц (оставил за собой право отключить любого пользователя в любой момент), заменил пересылку электронных сообщений с вложениями на сообщения со ссылками, защищенными паролем, а также настроил собственный мессенджер, чтобы не зависеть от внешних провайдеров.

Защита персональной информации уже давно является необходимостью. Это как раз тот случай, когда совсем простой набор действий и жизненных правил поможет не только избежать похода в банк за выдачей новой пластиковой карты, но и в ряде случаев сохранить накопленное состояние.

Роман Решетюк, 

партнер LEON Family Office