fbpx

Цифровая личность в новой среде обитания

Цифровая личность – как сохранить “лицо” и не попасть в ненадежные БД? Гарантирует ли биометрия в РФ (ЕБС) от подобных рисков?

 

В феврале 2019 года «Лаборатория Касперского» обнаружила теневой интернет-магазин Genesis, в котором продаются более 60 тысяч украденных цифровых личностей стоимостью от 5 до 200 долларов США, в т.ч. логины и пароли к интернет-магазинам и платежным сервисам. Обладая этими данными, злоумышленники без труда могут обманывать средства для борьбы с онлайн-мошенничеством, без взлома проникать в аккаунты реальных пользователей и проводить транзакции, которые не вызовут подозрений у банка.

 

Цифровая личность и ее среда обитания

Всемирная паутина, рожденная на очередном шаге информатизации, уже давно стала большим, чем технология. Сегодня Интернет – это целая среда обитания пользователей и у каждого есть своя цифровая личность. И, как и всякая среда обитания, Интернет формирует новые правила, отношения, явления.

 

Среднестатистическая цифровая личность (житель?) сети Интернет, как правило, не подозревает, что эта среда обитания гораздо более опасна, чем кажется на первый взгляд. Гуляя по просторам Сети, пользователь повсеместно оставляет следы. Интернет-сайты, браузеры, поисковики и многие другие компоненты постоянно осуществляют слежение, фиксацию и аналитику действий, предпринятых пользователем. В основном, такая возможность технически закладывается для использования в коммерческих целях.

 

Дело в том, что пользователь сети Интернет – это лакомый кусочек для всяких разных онлайн-продавцов. Крупнейшие поисковики привязывают ваши поисковые запросы к вашей «цифровой личности» – учетной записи. Это делается для того, чтобы в дальнейшем отображать для вас целевую рекламу именно того, что вы ищете или того что вас заинтересует, с учетом анализа ваших поведенческих факторов и информации которая была собрана ранее. Это называется таргетинг. На сегодня это самый эффективный способ продаж. Поэтому онлайн-магазины, продавцы и производители готовы платить компаниям, владеющим поисковыми системами, огромные деньги, ведь конверсия от такой рекламы очень высока, т.к. она таргетирована на целевую аудиторию, на вас! Если вы еще не сталкивались с этим – проведите эксперимент. Введите в поиске что-то вроде «купить Toyota Camry в Волгограде». Сколько времени пройдет до момента, когда вы то тут, то там начнете встречать баннеры с предложением продажи не только Toyota, но и других марок автомобилей. Конкуренты тоже не дремлют. А подсказывает им ваш поисковик.

 

Покажите мне человека, который ни разу не регистрировался ни на каких интернет-площадках и я скажу, сколько ему лет. А если серьезно, то каждый из нас где-то зарегистрирован. Мы оставляем свои персональные данные, логины, пароли, данные банковских карт, сведения об автомобилях и многое другое. Мы привыкли доверять социальным сетям и выкладываем в них всю нашу жизнь. Такие площадки являются настоящими пылесосами, собирающими наши личные сведения, интересы, фотографии, предпочтения, музыкальные вкусы, места посещения, взаимоотношения.

 

«Что в этом плохого? Мне скрывать нечего!», – скажете вы. Это хороший подход. Честный. Открытый. И он так нравится разного рода проходимцам.

 

Давайте увеличим масштаб. Многие технические средства, которые, на первый взгляд, не относятся к сети Интернет, занимаются накоплением весьма чувствительных для нас сведений. Как насчет баз данных перевозчиков, формируемых при покупке билетов? А что вы скажете, если дорожные видеокамеры осуществляют фиксацию вашего перемещения, даже если вы ничего не нарушили? А базы обращений в различные органы и ведомства? Очереди в детский садик и школы? Запись к врачу так же перешла в цифровую плоскость. Сегодня оцифровывается всё, что только можно оцифровать! Тотальное информационное взаимодействие способно творить чудеса. Именно поэтому ваши штрафы почти мгновенно появляются на Госуслугах, а списание средств со счета отзывается в вашем кармане звоном пришедшей СМС-ки. Угадайте, благодаря чему существует возможность «сшивать» взаимодействие таких разных информационных систем? Естественно, благодаря всемирной паутине. Интернет, помимо среды обитания, выступает еще и в качестве транспортной среды. Интеграция и взаимодействие, в подавляющем большинстве случаев, осуществляется именно через Интернет.

 

Данные цифровой личности, в большинстве случаев, гуляют по этой сети в зашифрованном виде, т.е., интеграция и передача данных достаточно надежно защищается. Однако, если что-то пойдёт не так, то сведения о вашей цифровой личности могут стать легкой добычей для злоумышленника! Только представьте, что может сделать злоумышленник, обладая такой информацией? Всё, что угодно! При этом, не вызывая абсолютно никаких подозрений, потому что эти действия будут идентифицироваться как ваши!

 

О том, насколько всё плохо, может проиллюстрировать следующий пример. Все банки сейчас используют методы двухфакторной аутентификации для подтверждения некоторых финансовых операций с использованием сотовой сети. Говоря проще, чтобы перевести кому-то деньги, вам нужно ввести пароль, который приходит вам в СМС. Но, скорее всего, вы не знали, что протоколы обмена данных, используемые сегодня в сотовых сетях, разрабатывались еще в 70-е годы, когда ни о какой ИБ не было и речи. Они работают на основе доверия (доверия, Карл!!!) поэтому, теоретически, при наличии достаточного количества финансов и недобросовестности сотовой компании, на вашей сим-карте можно включить “роуминг” и завернуть переадресацию сигнала через сотовые вышки, находящиеся, скажем, в Зимбабве. Сразу вы этого не заметите. Т.о. можно перехватывать Ваш сигнал, получать Ваши СМС и, например, обходить столь любимую банками «безопасную» двухфакторную аутентификацию. А можно и поступить проще. Например, заплатить условную 1000 рублей девушке-оператору, и убедительно попросить ее подготовить выписку по нужному вам номеру телефона. При наличии должного дара убеждения можно договориться выдать вам дубликат сим-карты.

 

И так во многом. Там, где настроена серьезная защита, работают люди, которые могут ошибаться, подвержены воздействию и т.д. Всё несколько хуже, чем вы думали.

 

Кстати, специалистов по информационной безопасности еще в университете учат тому, что совершенных систем защиты информации не бывает. Считается, что хороший специалист ИБ имеет некоторую степень паранойи. Думаю, вы в этом убедились, читая эту статью. Просто примите как данность, что возможно обойти любую защиту. Вопрос только в наличии необходимых ресурсов (финансов, времени, квалификации). Ведь не зря же говорят, что на всякое действие всегда найдётся противодействие, на всякую силу – еще большая сила. Поэтому взлом абсолютно любой системы ИБ – дело достижимое, если «сильно надо». Стоит ли поэтому говорить о безопасности персональных данных?

 

Необходимо помнить еще одну горькую истину. Данные, которые попали в Сеть, уже никогда не будут удалены оттуда. Знали ли вы, что в Интернете возможно найти даже сайты, которых больше нет. Существует множество ресурсов, занимающихся архивацией сайтов с разной периодичностью. Вы вводите адрес сайта, выбираете дату, на которую вам интересно состояние сайта и смотрите. Зачем и кому нужно создавать эти копии – вопрос отдельной темы. Все эти ресурсы находятся в белой зоне интернета. Что же творится в Даркнете – просто ужас. Вспомните о находке специалистов “Лаборатории Касперского” с которой начиналась эта статья. Цифровая личность там товар! В Даркнете возможно купить информацию, например, о движениях по счетам, о посещении медицинских учреждений, о перемещении конкретного человека и т.д.

 

Это – сегодняшняя реальность. В большинстве случаев законодательство по ПДн не соблюдается. Вообще. Добро пожаловать в сопротивление, сынок! Вот она, настоящая жизнь.

 

Поэтому вопрос сохранения собственной «цифровой личности» – это коллективная ответственность всех участвующих сторон, которым вы так или иначе передаете свои данные. 100% гарантию, что ваши данные не утекут, никто не даст. С другой стороны, не передавать никому свои данные тоже не удастся потому, что мы живем в государстве и обществе с определенными правилами. Чтобы на 100% защитить свои данные, вы должны с самого рождения не существовать для государства. Никаких СНИЛС, записей о рождении, документов. Нужно ли говорить, в какой изоляции будет находиться такой человек? Обучение, лечение, трудоустройство и многое-многое другое становится для него просто недоступным.

 

Волшебная таблетка “ЕБС”

Сейчас многие возлагают большие надежды в плане обеспечения безопасности данных на «Единую биометрическую систему» (ЕБС). Это база данных, содержащая биометрическую информацию граждан. Регистрация возможна с 01.07.2019 г, но некоторые организации уже начали такую работу. Граждане России смогут дистанционно открывать счета в российских банках. А со временем дистанционная аутентификация по биометрии станет возможной и в других сферах: дистанционное обучение, телемедицина, услуги и т.д.

 

Внедрение биометрической системы существенно упростит процесс взаимодействия с банками: физическому лицу достаточно будет один раз пройти процедуру регистрации, после чего можно удаленно получать услуги в любом банке, использующем ЕБС. При регистрации создается эталонный образец биометрических данных (лицо, голос) – цифровая личность во плоти. В процессе удаленной идентификации предоставляемые клиентом биометрические данные сравниваются именно с этим эталонным образцом. Банковские услуги станут доступнее маломобильным гражданам, а также жителям удаленных регионов, где выбор банков ограничен или вовсе отсутствует.

 

Такой логин и пароль потерять будет очень сложно. Конечно, это гораздо удобнее и безопаснее традиционных методов аутентификации. Однако, с точки зрения ИБ данная база является такой же, как и все остальные информационные ресурсы. Несанкционированное получение данных, теоретически, возможно при наличии достаточного количества финансов, времени и компетенций (а их использование – дело техники). Если подключить к этому вопросу методы социальной инженерии, направленные на специалистов, обеспечивающих ИБ и/или имеющих доступ к ней, то процесс получения данных может пройти быстрее.

 

Поэтому использование ЕБС отнюдь не гарантирует безопасность данных цифровой личности. Это очередной инструмент для нас с вами, который имеет как преимущества в виде удобства и расширения возможностей, так и свои недостатки.

 

Что же со всем этим делать?

Необходимо понять, что защита информации не бывает абсолютной. Поэтому, отодвинув в сторону паранойю, которой я вас, возможно, заразил, нужно трезво посмотреть на положение вещей.

 

В основном, для того, чтобы не стать жертвой злоумышленников среднего пошиба (а крупных злоумышленников ваша цифровая личность вряд ли заинтересуем, по крайней мере, целенаправленно) нужно следовать простым рекомендациям.

 

Помните, что целенаправленным атакам среднестатистический человек вряд ли сможет противостоять. Радует, что их вероятность стремится к нулю, если вы, конечно, не входите в состав руководства предприятия, которое взяли на прицел конкуренты. А вот от случайных или «широковещательных» действий типа спам-рассылок или захвата аккаунта в соцсети и прочего подобного досадного недоразумения, вы вполне сможете защититься. Общими словами эти рекомендации называются «цифровая гигиена». Ниже я приведу лишь несколько примеров, чтобы вы поняли направление, в котором вам необходимо бдить.

 

Заведите себе электронную почту специально «для спама» и регистрируйтесь на интернет-ресурсах только с ее использованием. Некоторые почтовые сервисы предоставляют такую услугу. Никому не сообщайте ее и не используйте для частной переписки, не указывайте как запасную почту и т.д.

 

Предоставляйте только те ПДн, которые от Вас требуют, внимательно читая соответствующие соглашения. Оставляйте напоминалки о том, что после завершения оказания услуг, для которых вы предоставили ПДн, необходимо написать заявление в адрес Оператора с требованием удалить ваши ПДн. Маловероятно что кто-то будет писать, но от этого рекомендация не становиться менее важной.

 

По возможности, засекретьте ваши данные в соцсетях. Например, чтобы их было видно только друзьям. Да и в принципе не выкладывайте в сеть личные данные, тем более данные паспортов и других документов. (Привет Инстаграм!) И не добавляйте в друзья незнакомых. Они могут оказаться ботами.

 

Заведите отдельную сим-карту, которая будет использоваться только для привязки к банковским картам, осуществления финансовых операций и двухфакторной аутентификации. Крайне желательно не сообщать этот номер, даже если вам хотят перевести деньги. Сообщайте лучше 16 цифр карточки.

 

Осуществляйте периодическую смену паролей на те ресурсы, доступ к которым вы не хотите потерять, и/или которые, попав в руки злоумышленнику, могут вас компрометировать. Везде должны быть установлены разные пароли. Если есть трудности с запоминанием – используйте менеджер паролей.

 

При использовании браузера настройте его так, чтобы он передавал данные с использованием защищенных протоколов связи. Например, установите расширение https everywhere.

 

Своевременно обновляйте ПО и устанавливайте обновления ОС.

 

Пользуйтесь антивирусом и файерволом. Если не хотите тратить на это деньги (а сейчас много вариантов достаточно дешевого ПО), пользуйтесь бесплатным. В этом сегменте выбор тоже есть.

 

Будьте бдительны, не открывайте спам, не переходите по указанным ссылкам и не открывайте вложения, если нет уверенности в адресате.

 

Не пользуйтесь бесплатным Wi-Fi, мобильный интернет гораздо безопаснее.

 

Не открывайте MMS, не устанавливайте сомнительное ПО.

 

В общем, этот список можно продолжать ещё долго. Подобных рекомендаций достаточно много в сети Интернет.

 

Подытоживая вышесказанное, хочу сказать вам только одно. Жизнь прекрасна, если соблюдать простые правила. Если это применимо для любой среды обитания человека, то для нас с вами, homo digitus, это актуально и при пользовании благами современных информационных технологий. Цифровая личность это вы в нашей действительности.

 

Руденко Дмитрий
Руководитель отдела комплексных систем защиты информации.

Назад

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *