Как защититься от утечки данных?

Это рубрика, в которой эксперты отвечают на актуальные и волнующие вопросы об IT-профессиях, будущем сферы и ее перспективах.

20 мая Delivery Club подтвердил утечку данных о заказах некоторых клиентов компании. Это уже не первая похожая ситуация. В начале марта в сети появился сайт с утекшей информацией о клиентах «Яндекс.Еды», в том числе их адреса, телефоны, имена и данные о заказах. Эксперты рассказывают, как происходят утечки данных, где используется информация и как защититься от этого.

На черном рынке персональные данные сливают с различной периодичностью в зависимости от утечек. Применение данных будет зависеть от того, что именно утекло в сеть. Если утекли критичные данные, которые можно использовать здесь и сейчас, например банковских карт, то, естественно, будут попытки совершить транзакции. Если же утекли другие персональные данные, с их помощью можно осуществить множество мошеннических действий, начиная от входа на портал Госуслуг и заканчивая входом в приложение банка и совершения операций по тем же картам. Данные документов можно использовать для оформления кредитов, микрозаймов, кредитных карт.

И, конечно, социальная инженерия — самая популярная сфера для использования персональных данных. Чем больше информации у злоумышленника о человеке, тем большее доверие он может вызвать. Оперируя персональными данными, мошенник может правдоподобно выдать себя за сотрудника полиции, банка или другое лицо, которым он не является. Информация о номере автомобиля, номере СНИЛС или последних платежах за ЖКХ будут вызывать больше доверия у жертвы.

Информация, которая утекла в сеть, привлекает злоумышленников по разным причинам. Во-первых, данные пользователей можно продать. Во-вторых, информацию можно использовать для фишинговых рассылок. На основе полученных данных о человеке мошенникам будет легче составить грамотное письмо, которое увеличит вероятность того, что пользователь предоставит конфиденциальные данные, скачает вредоносный файл и т.п. Информация также поможет злоумышленникам выманить деньги при взломе аккаунтов жертвы в социальных сетях.

Утечка бывает двух видов: умышленная и неумышленная. Первая происходит намеренно, вторая — по неосторожности. Ключевыми причинами случайных утечек являются невнимательность во время фишинговых рассылок, раскрытие конфиденциальных данных компании друзьям и родственникам по неосторожности, даже забытые документы на офисном принтере. Организации, заботящиеся о безопасности бизнеса, постоянно проводят беседы и тренинги для обеспечения должного уровня ИБ.

Умышленный слив данных в СМИ, клиентам или спецслужбам происходит в основном из-за обиды на руководство, мести или сотрудничества с конкурентами в своих целях. Часто раскрывает персональную информацию и бухгалтерия — чужие зарплаты, расходы компании, нарушения организации и др. Не со злости, а с целью посплетничать и пожаловаться.

Информационная безопасность — неотъемлемая часть бизнеса, которая должна быть направлена на опережение и проработку угроз.

1. Руководителям необходимо проводить регулярные тренинги и беседы с сотрудниками для ознакомления с базовыми правилами распознавания и реагирования на спам и хакерские угрозы.
2. Персонал должен сохранять коммерческую тайну, не обсуждать конфиденциальные темы с родственниками или друзьями.
3. Будет правильно разработать систему защиты от утечек и предоставлять доступ к данным только ограниченному набору сотрудников строго в соответствии с необходимым для выполнения задач уровнем прав.

Обычному пользователю можно посоветовать не освещать публично свою жизнь в социальных сетях, так как любое действие в интернете оставляет свой информационный след.

1. Стоит внимательнее относиться к получаемым письмам, не переходить по непроверенным ссылкам и не предоставлять личные данные (реквизиты банковских карт, номер паспорта и т.д.) сомнительным сайтам и сервисам.
2. Важно устанавливать разные пароли для каждого сервиса и проверять, к чему запрашивает доступ то или иное приложение. Например, калькулятору вряд ли потребуется отслеживать вашу геопозицию.
3. Лучше завести отдельную банковскую карту для онлайн-покупок и пополнять ее ровно на ту сумму, которая требуется в данный момент для оплаты, а на остальных картах поставить запрет на операции в интернете.

Если ваши данные были слиты в сеть, оперативно поменяйте пароль в приложении. По желанию каждый человек может потребовать от виновных компенсацию в досудебном или судебном порядке, но стоит понимать, что перспективы у такого разбирательства достаточно туманные, поэтому лучше заранее принять меры для предотвращения утечек.

К сожалению, часто команды разработки ИТ-инфраструктуры для больших проектов e-commerce, ритейлеров и сервисов доставки используют концепцию security by obscurity (безопасность через неясность), которую уже перестали использовать и телеком-компании, и многие другие лидеры по числу утечек прошлых десятилетий.

Чтобы защитить данные, следуйте таким советам:

1. Заведите виртуальный номер телефона у оператора или маркетплейса для публичных сервисов (служб доставки еды, сервисов вроде Авито).

2. Используйте псевдонимы в заведенных заново профилях.

3. Используйте виртуальную карту банка или электронные кошельки вроде Qiwi или ЮMoney. Их можно легко пополнять с банковских карт с небольшой комиссией.

4. Старайтесь по возможности пользоваться доставкой до пунктов выдачи.

Если вы хотите задать вопрос эксперту о том, как изменилась сфера IT, напишите их в комментариях под этим постом, в нашей группе во ВКонтакте или в Telegram-канале.