Защищать или не защищать? Сегодня такой вопрос не стоит, так как все процессы сбора, хранения и обработки персональных данных сотрудников строго стандартизированы Федеральным законом №152. Но даже несмотря на государственное регулирование, по данным Генпрокуратуры только за прошлый год было совершено около 470 тысяч киберпреступлений. По данным российской компании Group-IB, 74,5% преступлений приходятся на скам и фишинг. Другими словами, до сих пор самым успешным способом мошенничества является рассылка фейковых электронных писем от имени популярных брендов, различных сервисов, социальных сетей, банков и даже руководства компании, в которой вы работаете.
Наш специалист по информационной безопасности Александр Иванов поделился нюансами работы с информацией и рассказал, как не попасть в ловушку злоумышленников.
– Почему компаниям, включая Gems, важно соблюдать эти требования?
– Федеральное законодательство строго обязательно к исполнению. Защита персональных данных прежде всего позволяет избежать их утечки в руки злоумышленников и штрафов от государства.
– Какие персональные данные сотрудников мы собираем, обрабатываем и храним в Gems?
– Здесь любая информация, прямо или косвенно относящаяся к сотрудникам: Фамилия, Имя, Отчество, данные паспорта, ИНН, СНИЛС, размер заработной платы, номера телефонов, рабочая и личная почта.
– А что будет, если персональные данные сотрудников всё же утекут или будут украдены?
– В первую очередь, мы рискуем своей репутацией: страдает имидж и снижается доверие.
Для начала нам будет необходимо доложить регуляторам и управляющим органам об инциденте. На это у нас будет всего 10 дней.
На следующем этапе представители госорганов должны будут провести расследование и предотвратить последствия утечки данных. Процедура долгая и не самая приятная.
А дальше будет назначено какое-то наказание. Если утечка произошла впервые, то можно отделаться предупреждением. Если же нарушение будет повторяться, то есть риск получить многомиллионный штраф.
– Как могут быть использованы персональные данные?
– Как показывает практика, украденная информация в дальнейшем будет продаваться в даркнете или напрямую конкурентам. В любом случае в руках злоумышленника данные сотрудников становятся инструментом наживы. Вектор атаки может быть любым: от использования мошеннических схем до прямого шантажа.
– Как реализована безопасность в Gems?
– В зависимости от должности сотрудника и его доступа к чужим персональным данным в нашей компании реализовано четыре ключевых инструмента:
- Secret Net Studio (далее SNS) с дополнительными модулями.
Изначально SNS используется как средство защиты информации от несанкционированного доступа, но модули позволяют расширить функционал софта и закрыть основные вопросы безопасности. Таким образом, с его помощью мы блокируем скачивание/исполнение/модификацию вредоносного кода, локально фильтруем сетевой трафик, упреждаем вторжения встроенным IPS, затираем удаленные данные случайными числовыми последовательностями, осуществляем контроль внешних носителей. - MikroTik.
На границе сети выполняет функцию межсетевого экрана, защищая внутреннюю инфраструктуру, фильтрует проходящий трафик в соответствии с заданными правилами. - Ngate.
В нашей сети берет на себя функции TLS- и VPN-сервера, осуществляя криптографическую защиту сетевого трафика российскими алгоритмами шифрования. - Криптошлюз Инфотекс ViPNet HW Coordinator.
Обеспечивает безопасный выход за пределы нашей сетевой инфраструктуры. Это позволяет нам создавать защищенные каналы связи с сетью заказчиков и при этом, выполнять требования регуляторов о наличии сертифицированного программно-аппаратного комплекса, работающего на российских алгоритмах шифрования.
Это не единственные решения и best practices, которые мы применяем, но без них не обойдётся строительство инфраструктуры любой другой компании.
Именно эти четыре инструмента обеспечивают минимальные требования по защите персональных данных наших сотрудников и заказчиков.
– А только компании могут влиять на безопасность наших данных?
– Конечно же, нет. Каждый из нас может внести свой вклад, соблюдая следующие рекомендации:
- Социальные сети (ВКонтакте, Одноклассники и др.)
Если зайти в настройки приложения, то можно найти вкладку с настройками конфиденциальности. С её помощью можно скрыть от посторонних глаз личные данные.
Я бы рекомендовал запретить поиск вашего профиля по номеру телефона и отображение в поисковиках. - Облачные хранилища (Google Drive, DropBox и др.)
Никогда не храните тут сканы и фотографии документов — например, паспорт или ИНН. Отдельное табу — текстовые файлы, содержащие логины и пароли к любым ресурсам.
Если по какой-то причине это все же необходимо, то предварительно упакуйте файлы в зашифрованный архив — например, условно бесплатный WinRAR с этим отлично справится. - Браузеры и сайты
Вы только вышли в сеть, а ваши данные уже собираются и продаются маркетологам, а потом вы страдаете от обилия рекламы.
Помочь избежать слежки в интернете поможет Kaspersky Security Cloud.
Внимательно подойдите к выбору браузера — например, Mozilla Firefox по умолчанию блокирует известные трекеры и существенно уменьшает объем данных, которые переходят в третьи руки.
Для защиты данных в браузере рекомендую установить расширения AdBlock Plus, Disconnect, Ghostery. Они даже без специальных настроек сразу заблокируют трекеры и слежку соцсетей. - Почтовые ящики
Лучше завести два почтовых ящика. Один — для работы и важных сервисов, другой — для онлайн-магазинов и незначимых приложений. - Пароли
Обязательно нужно использовать надежные пароли. Слабые пароли ДЕЙСТВИТЕЛЬНО взламываются очень быстро.
Я рекомендую придерживаться следующих правил:
- используйте пароль длиной не менее 8 символов, а лучше еще больше;
- используйте символы разного регистра, добавляйте цифры и символы, а не только буквы;
- для всех сервисов задавайте уникальные пароли.
Если тяжело запомнить все пароли, то можно использовать специальный менеджер. Например, мы в Gems development используем Bitwarden. Это менеджер паролей с открытым кодом, доступный каждому заинтересованному пользователю. - Разрешения для мобильных приложений
Периодически нужно проверять разрешения, которые вы предоставляете мобильным приложениям. Иногда бывают довольно странные ситуации, когда, например, калькулятор запрашивает разрешение на использование камеры мобильного телефона. На Android и iOS это можно проверить в соответствующем пункте настроек. - Многофакторная аутентификация
ОБЯЗАТЕЛЬНО используйте её, если это предусмотрено сервисом. Такой простой способ позволит в разы увеличить безопасность вашего устройства или аккаунта.
Например, у нас в компании используется корпоративный VPN NGate для удаленной работы с многофакторной аутентификацией с парой сертификат безопасности/логин и пароль. - Переход по ссылкам
Никогда не переходите по ссылкам, которым не доверяете или которые получены из недостоверных источников. Злоумышленники часто используют имена знакомых многим сайтов, перенаправляя пользователей на свои ресурсы с целью получения персональных данных. Допустим, вы хотели зайти на сайт Омской филармонии, но вместо актуальной ссылки https://omfil.ru вам предлагают https://omfil1.ru.
Если вдруг сомневаетесь в подлинности сайта и на Вашем рабочем месте нет антивируса, всегда можно проверить ссылку, воспользовавшись онлайн-сервисом Dr.Web - Вложения
Никогда не скачивайте и не открывайте вложения, если они получены из недостоверных источников, имеют странные названия или текст письма носит сомнительный/угрожающий характер. Всё это может быть признаками спланированной фишинговой атаки.
Обеспечить безопасность персональных данных в этом и многих других случаях помогут антивирусные программы, которые тоже в прошедшие годы не стояли на месте.
В Gems мы используем комплексное решение для защиты конечных рабочих станций — Secret Net Studio с дополнительным модулем, сделанном на базе ядра Касперского, который работает как антивирус. Обычный же пользователь может ограничиться только Kaspersky Internet Security, который активно развивается и обеспечивает решение большинства вопросов информационной безопасности.
Хотите узнать больше о безопасности ваших персональных данных?Вот вам два лайфхака:
- Проверьте, что знают о вас сервисы Google.
Перейдите по ссылке https://myactivity.google.com/myactivity (см. картинку ниже). Здесь вы увидите все данные, которые отслеживает и хранит сервис Google. На этой же странице можно просмотреть все отслеживаемые действия и скорректировать те метрики, которые кажутся Вам излишними для хранения у третьих лиц.
Не забудьте заглянуть в центр управления рекламой (по этой ссылке https://myadcenter.google.com/?sasb=true). Здесь вы увидите все предположения, которые Google сделал о вас. Если какие-то параметры неверны, их можно отключить, чтобы вам больше не предлагали связанные товары и сервисы. Для этого просто кликните по выбранному пункту и нажмите «Отключить».
- Узнайте, скомпрометированы ли ваши данные.
В этом вам поможет фреймворк OSINT, который поможет подобрать инструменты для защиты ваших данных. Эта методология позволит отследить, угрожает ли вашим данным утечка, в каких открытых или слитых базах данных они имеются.
Способ 1. «Для чайников» (начальный уровень)
Воспользуйтесь этим сервисом https://haveibeenpwned.com/, Здесь ваша почта и телефон будут проверены по самым популярным слитым базам.
Способ 2 «Для настоящих профи» (продвинутый уровень)
Пинтестеры используют один из двух сервисов:
- theHarvester (https://github.com/laramies/theHarvester);
- recon-ng (https://github.com/lanmaster53/recon-ng).
Графический интерфейс у них отсутствует, зато функционал позволяет выполнить любую задачу по OSINT.
Например, если вы воспользуетесь theHarvester и введёте команду «-d apple -l 500 -b linkedin», то вы запустите поиск по Linkedin профилей всех сотрудников Apple и дополнительную информацию о них. Эта информация может быть на руку злоумышленнику, на её основе он сможет продумать вектор атаки на определенных людей.
Государство и компании стараются оберегать ваши персональные данные, но никто не сделает этого лучше вас, тем более, что это в ваших же интересах.
Не оставляйте правонарушителям даже малейшего шанса воспользоваться вашими данными. Помните: приватность — это ценность.