Чек-лист: защита личных данных в Интернете

Защитить от утечек абсолютно личные данные скорее невозможно, но в последнее время эта тема стала острой. Разбираемся, какие из этих способов помогут сохранить приватность и какими правилами точно не стоит пренебрегать.

Разберитесь с аккаунтами в заблокированных соцсетях

Фейсбук* и Инстаграм*

21 марта 2022 года компанию Meta*, которая владеет Фейсбук* и Инстаграм*, признали экстремистской, а ее деятельность запретили в России. Сейчас любые финансовые операции, например продвижение аккаунтов через рекламный кабинет или покупка акций компании, могут попадать под статью 282.3 УК РФ «Финансирование экстремистской деятельности», поэтому в настройках безопасности стоит удалить средства оплаты и отключить все подписки.

При этом официально считается, что за публикации в Фейсбук* и Инстаграм* пользователей не будут привлекать к ответственности, если сами по себе посты не носят экстремистского характера. Но если вы переживаете за личную информацию или публикации, то на страницах безопасности Фейсбук* и Инстаграм* можно скрыть или удалить некоторые сведения о себе, а также удалить профиль целиком:

* деятельность компании Meta Platforms Inc., которой принадлежит Инстаграм / Фейсбук, запрещена на территории РФ в части реализации данной (-ых) социальной (-ых) сети (-ей) на основании осуществления ею экстремистской деятельности

Twitter

Twitter тоже заблокирован на территории России, но с ним ситуация гораздо проще, так как он не признан запрещенной организацией. Закон о блокировках, который приняли в 2018 году, касается только операторов, провайдеров и поисковых систем, он не предусматривает ответственности обычных пользователей за то, что они продолжают публиковать что-то в заблокированной соцсети.

Выбрать VPN

Самый важный вопрос: можно ли вообще использовать VPN и насколько это законно? Если коротко, то это не запрещено, но есть несколько оговорок. Официально VPN-сервисы на территории РФ должны ограничивать доступ к тем сайтам, которые заблокировал Роскомнадзор. Это кажется странным, потому что в России их обычно используют как раз для обхода блокировки. Но ответственность за нарушение этого закона несут только сами сервисы, а для пользователей официально не предусмотрено никакого наказания.

Зачем может быть нужен VPN, если официально его нельзя использовать для доступа к заблокированным ресурсам? Он помогает сохранить анонимность и скрыть основные данные даже от вашего провайдера:

• IP-адрес — уникальный набор чисел, по которому можно отследить компьютер или телефон;
• геолокацию, то есть автоматическое определение страны и города;
• адреса сайтов, на которые вы заходите.

Сервис создает своеобразный тоннель, по которому вы незаметно проходите из своей точки доступа (дом, кофейня или коворкинг) до новой, виртуальной точки, где получаете другую геолокацию и другой IP-адрес. Для интернет-провайдера, соцсетей и прочих сервисов, собирающих данные, вы становитесь другим человеком, которого они не могут опознать. Единственный, кто знает ваши реальные данные, — это сам VPN, поэтому выбирать его нужно с осторожностью. Ненадежные сервисы собирают и продают информацию о пользователях или сливают ее в открытый доступ.

Также у VPN-сервиса может быть недостаточно надежное шифрование — способ изменения данных, который помогает скрывать вашу информацию от посторонних. Если кто-то сможет подобрать ключ к шифру, то он как бы пробьет стену тоннеля, раскроет ваше реальное местонахождение, узнает адреса сайтов, которые вы посещали, пароли от них или даже данные банковских карт.

При выборе VPN-сервиса обратите внимание на несколько параметров:

1. Отсутствие логов (или «безлоговая политика»). Логи — это файлы, которые содержат информацию о пользователе. Если они есть, значит VPN не гарантирует анонимность.
2. Скорость подключения. Чем выше скорость, тем комфортнее ваше пребывание в интернете. У платных сервисов она, как правило, выше.
3. Наличие приложения для вашего устройства (например iPhone, Mac, телефон на Android или ПК).
4. Количество устройств, которые можно подключить.
5. Сервер в нужной стране. Если вам важно, чтобы сайт или соцсеть определяла вашу геолокацию в конкретной стране (США, Канада, Германия), нужно заранее посмотреть, где у вашего VPN расположены серверы.
6. Возможность протестировать сервис.

Список популярных VPN-сервисов мы собрали в статье «10 VPN для обхода блокировок».

Правильно подключаться к публичному WiFi

Британский интернет-провайдер Purple провел в Лондоне эксперимент с публичной сетью WiFi. Компания добавила в текст пользовательского соглашения еще один пункт — общественные работы по уборке туалетов, на участие в которых подписывался каждый, кто подключился к сети. В результате за две недели 22 000 пользователей согласились на эти условия, потому что по привычке нажали кнопку «Принять», не прочитав текст соглашения. Конечно, компания не настаивала на выполнении этих обязательств, но попросила пользователей быть более внимательными.

Правда, в пользовательском соглашении прописаны не все риски. Например, в 2018 году пользователь Хабра нашел уязвимость в бесплатной сети WiFi московского метро, с помощью которой можно было получить многие данные о пассажирах — например, модель телефона, пол и семейное положение. Уязвимость коснулась пользователей, которые подключились к сети, используя номер телефона:

Поэтому в случае с публичным WiFi, как и с социальными сетями, единственный способ на 100% защитить личные данные — это не использовать его. Но если вы решили подключиться к сети в кофейне, галерее или другом общественном пространстве, не пренебрегайте простыми правилами предосторожности, например:

1. Спросите у сотрудников точное название сети WiFi на случай, если кто-то создал клона с похожим названием и использует его для сбора данных.
2. Используйте подключение к сетям вручную или функцию «Забыть эту сеть», чтобы устройство не подключалось к этому WiFi, когда вы в следующий раз просто пройдете мимо этого заведения.
3. Обращайте внимание на протокол безопасности сайта, это могут быть значения http или https перед ссылкой в адресной строке (например https://skillfactory.ru). Безопасным является только протокол HTTPS.
4. Не используйте публичные сети для входа в личные аккаунты или ввода данных банковской карты.
5. По возможности используйте для подключения надежный VPN-сервис.
6. Во всех аккаунтах по возможности установите двухфакторную аутентификацию.

Установить двухфакторную аутентификацию

Двухфакторная аутентификация — это установка второго слоя защиты данных, когда у кого-то уже есть ваш логин и пароль, например, если вы использовали небезопасное подключение к сети или некачественный VPN-сервис. В таком случае вам придет сообщение с кодом на тот номер, который указан в профиле и к которому нет доступа ни у кого, кроме вас.

Этот способ защиты так же важен, как ремень безопасности в машине, — кажется, что он вам не очень нужен, но все же не стоит им пренебрегать. Двухфакторную аутентификацию можно подключить в настройках сервисов в разделах «Безопасность» или «Конфиденциальность». В первую очередь проверьте:

• социальные сети и мессенджеры;
• профили в экосистемах;
• маркетплейсы и онлайн-магазины;
• онлайн-площадки для покупки книг, игр и других цифровых продуктов;
• любые другие площадки, где могут быть банковские реквизиты.

Установить пароль вместо Face ID

Разблокировка телефона с помощью отпечатка пальца или сканирования лица — слабые способы защиты в случае, если другой человек поднесет ваше устройство к вашему же пальцу или лицу, а вы не сможете этому помешать. В этих ситуациях обычный шестизначный пароль оказываются гораздо надежнее. Даже если у вас будут требовать ввести его самостоятельно, можно несколько раз набрать неверный код, и это сбросит настройки телефона до заводских.

У iPhone для этого есть специальный параметр «Стирание данных»: если его включить, то после 10 неудачных попыток ввода код-пароля информация и файлы с устройства будут удалены:

На устройствах Android есть функция «Второе пространство» — дополнительная учетная запись на том же самом телефоне, в которую можно зайти, если набрать фейковый пароль. Это как второй паспорт: с настоящим паролем вы входите в настоящую учетную запись, а с фейковым паролем — в другую, которая ничего о вас не расскажет. Найти функцию всегда можно через поиск по настройкам:

В ней не будет ваших фото, мессенджеров соцсетей, и других приложений, если вы их сами не установите. В момент создания она выглядит так, как на новом телефоне, и содержит только предустановленные программы: пустая галерея, пустой календарь и заметки, проводник, калькулятор, диктофон, магазин приложений и так далее. Единственное, что будет вас выдавать, — это небольшая иконка в верхнем баре:

Сделать резервные копии данных

На iPhone есть возможность сделать бэкап, то есть резервную копию, которая выгружается в облачное хранилище iCloud. Это поможет восстановить данные и файлы в случае, если вы применили функцию «Стирание данных», потеряли телефон или купили новый.

Для создания бэкапа на iPhone нужно перейти в «Настройки» > [Имя пользователя] > iCloud и на открывшемся экране выбрать «Создать резервную копию»:

В резервной копии хранятся:

• Фото и видео.
• Информация о купленном контенте: музыка, фильмы, книги, приложения. После восстановления резервной копии все это автоматически загрузится на ваш телефон.
• Контакты, события календаря, напоминания и заметки.
• Настройки самого телефона.
• Настройки подключенных систем «умного дома».
• Данные приложений.
• Экран «Домой» и организация приложений.
• Данные медкарты.
• Пароль визуального автоответчика.
• Сообщения в iMessage, если вы используете ту же SIM-карту.

Система Android позволяет сделать резервную копию данных телефона на Google Диск. Нужно открыть приложение «Настройки» > «Мое устройство» > «Резервирование и восстановление» и следовать указаниям на экране. Так как устройства на Android-платформе разные, то названия настроек могут отличаться. Общая инструкция есть на официальном сайте Google.

В резервной копии на Android хранятся:

• Фото и видео.
• Данные приложений.
• Журнал звонков.
• Контакты.
• Настройки.
• SMS.

Для ноутбуков и ПК есть версия «Google Диск для компьютеров», которую можно скачать, нажав на иконку «Настройки» в веб-версии:

После установки клиента нужно дать Google Диску доступ к тем папкам, которые вы хотите продублировать в облаке, например «Рабочий стол», «Документы» или «Загрузки». После этого файлы из облака и жесткого диска компьютера синхронизируются и, если вы редактируете файл на диске, то же самое происходит с его копией на компьютере и наоборот. Так и десктопная, и облачная версии файлов сохраняют актуальность, а если что-то случится с ноутбуком, к ним можно будет получить доступ с любого устройства через Google-аккаунт.

Также для резервного копирования можно использовать Dropbox — сервис для работы с документами, который позволяет их безопасно хранить и передавать, чтобы организовать совместную работу команды. Скачать его можно с официального сайта.

После установки для настройки резервного копирования нужно открыть параметры Dropbox для компьютера > «Резервные копии» > «Настройка» (Setup) и отметить галочками папки, для которых вы хотите создать резервную копию:

Резервные копии защищают сквозным шифрованием, и получить доступ к этим данным непросто: нужно знать логин, пароль, цифровой защитный код и обойти двухфакторную аутентификацию. Но иногда базы данных компаний подвергаются хакерским атакам или в системе обнаруживается уязвимость. Например, в 2018 году один из специалистов по информационной безопасности нашел уязвимость в системе Apple и смог получить доступ к заметкам некоторых пользователей.

Что делать, если ваши данные слили в сеть

• Найдите подробную информацию в надежных СМИ — какие именно данные утекли в сеть.
• Если в списке есть данные банковских карт — заблокируйте карты через приложение своего банка.
• Смените данные для входа в основные аккаунты (соцсети, банки, Госуслуги, email), еще раз проверьте, везде ли стоит двухфакторная аутентификация.
• Включите антиспам в настройках вызовов или установите для этого специальное приложение, так как слитыми телефонами воспользуются спамеры.
• Можно подать жалобу на ресурс, который незаконно разместил базу личных данных, в электронной приемной Роскомнадзора.
• Также в соцсетях можно найти единомышленников и присоединиться к коллективным искам против компании, которая допустила утечку конфиденциальных данных.