Скандалы с утечкой персональных данных следуют один за другим. Сразу после появления в Сети фотографий интимного содержания американских звезд появилось сообщение об открытом доступе к паролям от электронной почты «Яндекса» и Mail.ru. В комментариях обе компании переложили ответственность на пользователей аккаунтов, посетовав на их легкомысленность.
Многие уверены, что злоумышленники в сети Интернет «охотятся» исключительно за данными богатых и знаменитых. Но это не так. Персональные данные обычных пользователей, попадая в руки мошенников, позволяют им извлекать неправомерную выгоду.
ФЗ «О персональных данных» называет так сведения, позволяющие идентифицировать человека (пользователя Интернета). Это фамилия, имя, отчество, полная дата рождения, место жительства, серия и номер паспорта, место работы. А вот пароль от Интернет-аккаунта к персональным данным не относится, поскольку личность пользователя не идентифицирует.
На обнародование данных (телефона, адреса электронной почты) требуется согласие пользователя. Аналогично по запросу гражданина информация удаляется из общего доступа.
Серверы большинства Интернет-компаний расположены в США. Mail.Ru Group – собственник пяти дата-центров на территории РФ и арендатор иностранных серверов. «Яндекс» организовал дата-центр в Рязани, выкупив девять цехов завода «Саста». К 2020 году компания планирует установить на территории данного центра 100 000 серверов. Также «Яндекс» арендует серверы в Америке, Финляндии и Нидерландах.
Изменения, внесенные в ФЗ «О персональных данных», обязали компании обеспечить хранение данных российских пользователей Интернета в пределах страны. Поэтому ожидается увеличение количества российских дата-центров. Остается неясным отношение иностранных Интернет-корпораций к данному требованию. В средствах массовой информации периодически появляются сведения о переговорах властей по данному вопросу с Twitter, Facebook и Google.
Личными данными граждане расплачиваются за бесплатное пользование Интернетом. Корпорации «Яндекс» и «Гугл» на основе анализа данных из разных источников определяют нужды пользователей. Их заработок зависит от рекламы. Поэтому от изучения запросов пользователя Сети зависит выбор транслируемых объявлений. Facebook отображает рекламную информацию, исходя из данных профиля пользователя и страниц, отмеченных пометкой «нравится».
Использование кнопок шейринга (репост, Pluso) позволяет компаниям получать больше данных пользователей, продажа которых рекламным компаниям приносит дополнительную прибыль.
При работе с сервисом пользователь соглашается с предложенными условиями использования его персональных данных. Сервисы получают доступ к данным, когда пользователь авторизуется или демонстрирует интерес, переходя по ссылкам и отмечая понравившиеся публикации.
Защиту персональной информации пользователей в Сети каждая Интернет-компания обеспечивает по-разному. «Яндекс» шифрует содержание электронных писем, персональные данные корреспондента и используемый логин и распределяет их по трем точкам, безопасность которых обеспечивается тремя группами системных администраторов. Для получения доступа к данным требуется согласованное участие сразу трех групп, что невозможно без проведения внутренних процедур. Попытка открытия несанкционированного доступа к данным пользователя автоматически логируется и передается в службу безопасности «Яндекса».
Пользуются персональными данными не только для установления личности, но и для мошенничества. Отсутствие защиты персональных данных провоцирует утечку и попадание информации в руки мошенников. Чаще всего встречаются:
Пользуются персональными данными не только злоумышленники. Личными данными пользователей активно интересуются специалисты по таргетинговой рекламе. Главный источник получения сведений для данного вида рекламы – файлы cookie, которые передаются браузером пользователя на сервер таргетингового агентства.
Проконсультироваться относительно организации индивидуальной защиты личных данных стоит с сотрудниками компаний, специализирующихся на оказании услуг в данной отрасли. Также существует список общих рекомендаций, позволяющих защитить личные сведения самостоятельно.
Непонятное название, но работает этот механизм просто. Логин и пароль обеспечиваются двойной защитой:
Например, после введения пароля в Интернет-банкинге на телефон приходит СМС с одноразовым кодом. Данный код вводится на сайте для входа в персональный кабинет.
Перед оплатой покупки в Интернете или выполнением других финансовых операций стоит отслеживать значок, появляющийся слева от строки адреса. Данный значок должен информировать пользователя о работе с зашифрованным соединением.
При отсутствии защиты соединения рекомендуется пользоваться дополнительными сервисами, которые перенаправят пользователя на HTTPS-версию сайта.
Создать сложный пароль – распространенный совет экспертов по безопасности персональных данных. Однако самостоятельно созданный пароль уступает сгенерированному специализированным сервисом. К тому же запомнить его непросто, а записывать в ежедневник – ненадежно.
Специализированные сервисы, называемые «менеджерами паролей», автоматически создают сложные пароли и сохраняют их на защищенных серверах. Поэтому не требуется запоминать данную комбинацию, сервис автоматически впишет ее в нужном месте. Данную услугу предоставляют приложения Enpass, 1Password, LastPass.
Для пользователей мобильных устройств iOS и Android включена функция разрешения или запрета получения приложением персональных данных. Важно только не лениться и периодически проверять, к каким сведениям получает доступ скачанное приложение или игра. При появлении подозрительных запросов рекомендуется отказаться от установки и использования такого приложения.
Пользуясь Интернетом в гостинице, на вокзале или в кафе через Wi-Fi соединение, рекомендуется включать VPN сервис, перенаправляющий трафик на собственный ресурс, выдавая «чистый» доступ, недоступный для незаконных манипуляций. Поскольку использование пароля не обеспечит полноценную защиту.
Защиту от вирусов и хакерских атак на домашних и рабочих ПК может обеспечить только лицензионная антивирусная программа, которую нужно своевременно обновлять. Перед установкой программ из Интернета или регистрацией на сервисах с введением персональных данных следует внимательно прочитать пользовательское соглашение, поскольку одним из его условий может быть обработка и использование личной информации.
Правильно доверять организацию защиты личной информации компаниям, предоставляющим такие услуги. Они владеют специальными методами защиты информации и помогут подобрать индивидуальную систему безопасности в зависимости от специфики работы компании-заказчика, типовых угроз. Такие компании организуют защиту сведений в облачном хранилище или на физическом сервере.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных