Я работаю с системами, через которые проходит чужой трафик и хранятся чужие данные. Когда видишь изнутри, как устроена цифровая безопасность, отношение к собственной начинает быстро меняться. Ниже — семь правил кибербезопасности, которым я лично следую каждый день. Это не теория из учебника, а привычки цифровой гигиены, которые в 2026 году экономят нервы и деньги. Без паники и страшилок — про защиту данных в интернете спокойно и по делу.
1. Не использую один пароль везде
Самая частая привычка, на которой обжигаются массово. Один и тот же пароль на почте, в соцсети, в интернет-магазине, у мобильного оператора. Логика «он сложный, его никто не подберёт» здесь не работает. Утечки происходят не у вас — они происходят у магазина, форума или сервиса, которым вы пользовались год назад. И когда там «утекло», ваш пароль появляется в общей базе, а вместе с ним и доступ ко всему остальному, где он повторяется.
Что делаю я: использую менеджер паролей плюс собственную схему для случаев, когда менеджера нет под рукой. Принцип схемы простой: пароль складывается из общей основы плюс модификации под конкретный сайт по правилу, которое я знаю. Сама схема в голове, нигде не записана. Можете придумать свою — главное, чтобы у каждого сайта был свой пароль, и чтобы вы могли его восстановить, не лазая в облако.
И в пару к паролю — двухфакторная аутентификация. Это когда после ввода пароля сервис требует второй код: из SMS, приложения-аутентификатора или по push-уведомлению в банковском приложении. Включена у меня везде, где сервис её поддерживает: почта, банки, соцсети, госуслуги, рабочие сервисы. Даже если пароль каким-то образом утечёт в очередной общей базе — без второго фактора в аккаунт никто не зайдёт. Двадцать лишних секунд при входе — и спокойствие за всё остальное.
2. Не подключаюсь автоматически к открытому Wi-Fi
Это правило ослабло за последние годы, но не исчезло. Раньше открытая сеть в кафе была почти приговором для трафика — «слушать» его умела любая программа в один клик. Сегодня практически все сайты и приложения работают по HTTPS, и даже в открытой сети ваш банк или мессенджер останутся зашифрованными для соседа. Сама по себе «слежка через Wi-Fi» в современных условиях даёт мало.
Что осталось реальной угрозой — поддельные точки доступа. Мошенник в людном месте поднимает Wi-Fi с привычным именем вроде «MosMetro_Free» или «Airport_WiFi», и ваш телефон, на котором стоит автоподключение, цепляется сам. С такой точки уже сложнее перехватывать зашифрованный трафик, но можно подсовывать фишинговые страницы. Авторизация по номеру телефона на это не влияет — она нужна для идентификации абонента по закону о связи, не для вашей безопасности.
Что делаю я: отключил автоподключение к открытым сетям и на компьютере, и на телефоне. Если действительно нужно подключиться к публичной сети — для банка, госуслуг и серьёзной переписки лучше переключиться на мобильный интернет или включить VPN. Чек погоды и карты — можно и без этого.
3. Не нажимаю на ссылки из «срочных» SMS и писем
«Ваша карта заблокирована, перейдите по ссылке», «налоговая требует подтвердить данные», «посылка задержана, оплатите доставку». Это самый массовый вид мошенничества в России — фишинг. Письмо или SMS выглядит как настоящее: логотип банка, привычный тон, тревожная формулировка. Ссылка ведёт на сайт-копию, отличающийся одной буквой в адресе. Вы вводите данные карты — и они уходят прямо мошенникам.
Что делаю я: на любое подобное сообщение реагирую одинаково — захожу в нужный сервис сам, через мобильное приложение или вручную набирая адрес в браузере. Никаких переходов по ссылкам из SMS и писем, как бы убедительно они ни выглядели. Если беспокоит сообщение «от банка» — звоню в банк по номеру с обратной стороны карты. Не по тому номеру, что в SMS.
4. Не привязываю основную карту к подпискам
История из недавнего: повёлся на рекламу единого сервиса доступа к нейросетям — удобно, всё в одном месте. Ввёл данные карты для пробного периода. А когда захотел отключить подписку, оказалось, что отключить её через интерфейс невозможно: только через поддержку, которая не отвечает. В итоге пришлось блокировать карту в банке.
Это типичная ловушка подписочной экономики, на которой попадаются десятки тысяч людей. Что делаю я: для всех подписок и пробных периодов завожу отдельную виртуальную карту с минимальным балансом. Большинство банков (в России — Тинькофф, Сбер, Альфа) выпускают такие карты прямо в приложении за минуту, бесплатно. Если что-то пойдёт не так — снять с неё нечего, удалить можно одним кликом. Основную карту с зарплатой к подпискам не привязываю в принципе.
5. Осторожно с публичными USB-зарядками
Атака называется «juice jacking». В аэропорту, кафе, ТЦ стоит бесплатная USB-зарядка, вы подключаете телефон — и вместе с зарядом он может получить вредоносные данные, потому что USB передаёт не только питание.
Сразу честно: на современных iOS и Android угроза не такая страшная, как её рисуют на каждом углу. По умолчанию подключение идёт в режиме «только зарядка», а доступ к данным запрашивается отдельным окном «Доверять этому компьютеру?». Если ОС у вас актуальная и вы не нажимаете «Доверять» — атака просто не сработает. Поэтому первая и главная защита — это вовремя обновлять систему.
Где остаётся реальный риск:
— устройства с устаревшей операционной системой;
— случайно нажатое «Доверять» (особенно у пожилых людей и у детей);
— редкие уязвимости в самой ОС, которые периодически закрывают патчами безопасности.
Что делаю я: ношу с собой powerbank — это в любом случае удобнее, чем искать розетку. Если уж пришлось подключиться к чужой зарядке — только своим кабелем и через копеечный USB-адаптер «без данных» (продаётся за пару сотен рублей в любом магазине электроники). Он физически отключает контакты передачи данных и оставляет только питание. Дёшево и спокойно.
6. Не публикую документы и QR-коды в соцсетях
Радостный пост «лечу в отпуск!» с фотографией посадочного талона. Селфи на фоне открытого паспорта. Скриншот брони отеля. Это одна из самых опасных утечек — мошенники такие фото ищут целенаправленно: парсеры мониторят соцсети, телеграм-каналы путешественников, форумы. И вот что реально может случиться после такой публикации:
— По фото паспорта (даже с одной развёрнутой страницей) на ваше имя за пять минут оформят микрозайм в онлайн-сервисах. Серьёзной проверки там нет. Через пару месяцев приходит долг 30–50 тысяч с процентами — и оспаривать его потом долго и муторно даже при очевидной подделке. Это уже массовая проблема в России.
— QR-код посадочного талона содержит номер брони (PNR). По нему заходят на сайт авиакомпании, отменяют регистрацию, крадут мили, меняют контакты для связи или подсматривают другие данные. То же касается QR-кодов концертных билетов — их могут отсканировать раньше вас, и на входе вместо вас пройдёт другой человек.
— Фото билета с датами вылета — это открытый сигнал «меня неделю не будет дома». Квартирные воры мониторят такие публикации, это давно не теория, а реальная схема.
И ещё один незаметный канал утечки — геотеги в самих фото. Это координаты съёмки, зашитые в файл. Большинство соцсетей вырезают их при загрузке, но не все, и при пересылке файлом «как есть» — через мессенджер или почту — координаты остаются. Если речь о загородном доме, новой машине у подъезда или квартире изнутри, есть смысл проверить, не пишет ли ваша камера GPS в EXIF. На iPhone и Android это отключается в настройках камеры одной галочкой.
Что делаю я: перед любой публикацией всматриваюсь в кадр — нет ли в нём чего-то, что можно прочитать или отсканировать. Если есть — закрашиваю или просто не публикую. Документы, билеты, любые QR-коды — никогда. Школьная форма ребёнка рядом с узнаваемой табличкой школы — тоже плохая идея, по той же логике.
7. Не подключаю нейросети к своим аккаунтам и финансам.
Современные ИИ становятся всё «активнее»: уже сейчас они могут не просто советовать, но и сами заходить в почту, делать покупки, переводить деньги, бронировать билеты. Удобно — пока всё работает. Но любая ошибка ИИ или его взлом превращает удобство в катастрофу: ключи от ваших сервисов окажутся не у вас.
Своё правило формулирую жёстко: ИИ-помощникам я даю доступ только к своим локальным системам — там, где они не могут добраться до общедоступных сервисов с моими деньгами и личными данными. К банкам, основной почте, госуслугам, облачным хранилищам — никогда, какими бы соблазнительными ни были обещания «теперь оно само за вас всё сделает». Если очень хочется попробовать — выделите для эксперимента отдельный аккаунт без важных данных. Цена ошибки сейчас — слишком высокая.
Что в итоге
Эти семь правил кибербезопасности у меня на автомате — занимают ноль времени, и за полтора десятка лет ни разу серьёзно не подвели. По сути, это базовая цифровая гигиена в 2026 году: уникальные пароли и двухфакторка, осторожность с публичными сетями и USB, отдельные карты для подписок, никаких документов в соцсетях и жёсткие границы для ИИ.
Сразу честно: они не делают вас неуязвимыми. Если вами займутся лично и целенаправленно — не спасёт никакой список из интернета. Но 9 из 10 историй, на которых обжигаются обычные люди, — это не персональная атака, а массовая схема: фишинг наугад, утечка из старого магазина, случайно засвеченный паспорт в посте. Базовая гигиена закрывает именно их. И для большинства людей этого достаточно. Самый сильный из правил для меня — четвёртый, про карту. Это единственный пункт, где я уже сам обжёгся.
А кто из вас уже попадал в одну из этих ситуаций? Расскажите в комментариях — какое из правил вы бы хотели знать раньше, чтобы избежать неприятностей.