Сотрудники российских компаний привыкли считать, что любые инструктажи по информационной безопасности носят исключительно развлекательный характер. Уж не знаю, откуда так повелось. Возможно, причина такого отношения кроется в том, что такой тут менталитет и сложно убедить кого-то не делать потенциально опрометчивые вещи до тех пор, пока они сами не изопьют из горькой чаши последствий. Но, как и в любой трудной задаче, нужно работать с тем, что имеем.
В этом материале я решил собрать имеющиеся на текущий момент простые правила и нюансы, которые помогут заинтересованным в безопасности своих личных данных сделать процесс их компрометации чуточку сложнее для потенциальных злоумышленников. Эти правила применимы как для личного использования, так и для рабочего, поэтому, надеюсь, кому-то эта информация окажется полезной. Итак, поехали.
Немного о паролях
Чтобы надёжнее защитить свои учетные записи и страницы в первую очередь необходимо установить уникальный сложный пароль. По длине паролю следует стартовать от 12 символов, среди которых должны встречаться как заглавные и строчные буквы, так и специальные символы с цифрами. Чем длиннее и необычнее пароль, тем он надёжнее. Лучше всего будет отказаться от простых последовательностей, таких как “password123”, “qwerty12345”, “0987654321” и т.п., либо содержащих личные данные (такие как дата рождения жены, ребёнка, название улицы, клички питомца) или очевидные наборы символов.
При желании можно воспользоваться онлайн генераторами, в которых легко получить случайно сформированный пароль, попадающий под все указываемые при генерации критерии. Главное условие при использовании таких программ в сети – наличие у сайта поддержки безопасного подключения (это можно увидеть в адресной строке в виде значка закрытого замка). Вот несколько примеров таких генераторов:
Хорошим правилом будет не использовать один пароль более одного раза (особенно для разных ресурсов) и периодически (раз в несколько месяцев) менять пароли на наиболее значимых сайтах и учётных записях. Также полезно время от времени проверять, небыли ли взломаны ваши почтовые ящики. Чаще всего (не всегда), это можно увидеть на таких ресурсах как HaveIBeenPwned или 2Ip.ru.
Используя большое количество паролей достаточно просто в них запутаться или просто забыть. Тем, кто обладает отличной памятью и не нуждается в дополнительных советах могу только позавидовать. Для всех остальных существуют специальные инструменты. С этой целью можно использовать менеджеры паролей, такие как RememBear, Roboform, либо базу паролей своего браузера (в случае с браузером лучше всего будет заранее убедиться в отсутствии облачной синхронизации).
Для тех, кто не доверяет электронным средствам можно посоветовать бумажную записную книжку, но используя этот метод главное всегда помнить, где эта книжка находится, и не записывать свои пароли в явном виде. Самым лучшим способом не указывать полную парольную последовательность будет некоторое видоизменение (например, секретная часть, которая по умолчанию добавляется к любому паролю) – здесь можно дать волю своему воображению. Главным критерием будет невозможность однозначно определить ваш секрет при таком стечении обстоятельств, когда ваши заметки попадают в чужие руки.
Немного о соцсетях
Первое, о чём хотелось бы сказать в этом блоке – по возможности необходимо использовать двухфакторную аутентификацию (2ФА) на всех учётных записях. Использование 2ФА на ваших аккаунтах добавляет ещё одну преграду на пути злоумышленников при попытке получения доступа к личной информации. Хотя подобный механизм не гарантирует 100% защиты и требует дополнительных действий со стороны пользователя, тем не менее, он заметно повышает уровень защищённости ваших данных;
При наличии такой возможности, стоит ограничить доступ к информации на личных страницах для лиц, не входящих в список ваших контактов. Все социальные сети в том или ином виде обладают набором настраиваемых параметров безопасности, изучить, попробовать и задать которые стоит каждому пользователю. Важно помнить базовое правило: всё, что попадает в интернет – там и остаётся, поэтому стоит каждый раз хорошо думать, прежде чем публиковать какую-либо информацию. На своих публичных страницах не стоит оставлять адреса электронных почт, номера телефонов или паспортных данных. Не стоит публиковать фотографии с проездными билетами, либо с паспортом, водительским удостоверением или другими документами. Любая, порой даже самая безобидная на первый взгляд информация может стать полезной для тех, кто охотится за вашими данными;
Стоит обзавестись привычкой регулярно проверять свои почтовые аккаунты на предмет электронных писем с уведомлениями от социальных платформ. Иногда там пишут полезную информацию (особенно, когда кто-то пытается авторизоваться на вашей странице без вашего ведома);
Регулярно следите за выходящими обновлениями браузеров и приложений, которые используете для входа на свои страницы. Многие обновления помимо изменений в пользовательском функционале на платформах также содержат обновления в механизмах их защиты. С выходом обновлений зачастую в сеть просачиваются слабости и недочёты, которые были в предыдущих версиях, создавая тем самым мишень на аккаунтах пользователей, не успевших обновиться и упрощая работу злоумышленникам;
Хорошей превентивной мерой также будет выходить из своих аккаунтов после завершения сессии, не давая тем самым возможности окружающим получить доступ к вашей информации, если, например, вы оставите свой компьютер включённым, а сами отлучитесь куда-то на время.
Немного об открытых Wi-Fi точках
Сегодня, когда доступные тарифы операторов связи в большинстве своём позволяют не прибегать к услугам публичных открытых wi-fi точек, тем не менее, никто не застрахован от необходимости тот или иной раз воспользоваться последними. Для того, чтобы подобный сеанс не закончился компрометацией одной или нескольких ваших учётных записей, воспользуйтесь этими правилами:
Шифруйте свой сетевой трафик используя приложения VPN. Так, даже при подключении к замаскированной под публичную сеть точке доступа злоумышленника вы не будете в явном виде передавать свои запросы и вводимую информацию, и не выдадите свои данные;
Уберите в настройках вашего устройства автоматическое подключение к открытым соединениям без паролей. Как было сказано ранее, такие сети используют злоумышленники, и после подключения они начинают синхронизировать учётные данные, перехватывая через свои приложения данные вашего трафика, в том числе пароли и логины, которые вводятся во время сессии;
Будьте внимательны при выборе сети для подключения. Очень часто злоумышленники маскируют названия своих сетей под названия точек Wi-Fi ЖД вокзалов, аэропортов, закусочных и торговых центров, получая оттуда большое количество данных пользователей, которые подключились к ним по невнимательности приняв эти сети за официальные. Лучше всего при необходимости подобного подключения будет уточнить непосредственно у владельцев или работников на этом месте какая именно сеть Wi-Fi из имеющихся в списке доступных подключений принадлежит им;
При обращении к сайтам пользуйтесь зашифрованным через SSL соединением (в адресной строке такие сайты используют для доступа протокол https вместо http в самом начале адресного запроса). Если у используемых сайтов нет поддержки подобного типа соединения, то лучше всего будет установить одно из существующих расширений для браузера, позволяющим шифровать передаваемые через запросы на нём данные. Вот пример такого расширения в google store;
И самое главное правило – без дополнительного шифрования своей сессии ни в коем случае не вводите логины и пароли в веб формы. Если ситуация всё же требует этого, то при первой же возможности стоит изменить пароли на посещённых ресурсах в момент, когда вы будете подключены к доверенному каналу связи.
Немного о электронной почте и спаме
Большую опасность могут представлять и безобидные на первый взгляд рассылки по почте. Но, порой они оказываются источником больших проблем. Чтобы не нарваться на замаскированный вирус или программу-шпиона, стоит придерживаться следующих советов:
Используйте встроенный в почтовые клиенты спам-фильтры, при необходимости добавляя в них новые типы сообщений, которые не были прописаны ранее для тех типов писем, которые лично вы получать не хотите;
Удаляйте спам сообщения, не открывая их и не запуская вложения из этих писем. Чаще всего по заголовку письма сразу становится понятно его содержимое, поэтому, если вы не ждёте подобных рассылок – смело отправляйте их в информационное забвение корзины вашего почтового клиента;
Будьте осторожнее, оставляя данные своего электронного почтового адреса на разных ресурсах. При использовании сайтов с разовым посещением, но которые тем не менее требуют регистрации, желательно пользоваться разовыми почтовыми страницами, как в Mailinator, где вы можете получить код-пароль или другую идентификационную информацию без использования адреса вашего почтового ящика. Также, для подобных целей вы можете создать дополнительный почтовый спам-ящик, на который впоследствии и будет приходить весь спам-трафик;
Не забывайте использовать антивирусное программное обеспечение. Большие антивирусы сегодня содержат значительную базу типовых спам-писем, и использование этих программ поможет избежать встречи с нежелательными рассылками или избежать их вовсе (хотя последнее маловероятно);
Отписывайтесь от рассылок, которые вам не нужны. Бесполезная информация имеет свойство быстро накапливаться и закрывать собой важные и значимые данные, поэтому очень важно время от времени проверять список активных рассылок и чистить его от хлама;
Возьмите за правило отзывать свои разрешения на обработку персональных данных. Зачастую необходимость таких разрешений требуется на достаточно короткие промежутки времени для подтверждений своих действий или каких-либо сиюминутных операций. Если вы предоставляете эту информацию не банку или своей управляющей компании (либо другим организациям, с которыми взаимодействуете на регулярной основе), а, скажем, какой-то компании при прохождении собеседования на интересную должность, то можете смело отзывать свое согласие при понимании, что не будете или не хотите там работать. Подобную практику хорошо применять также и по отношению к письменным согласиям у поставщиков разных услуг и частных медицинских центров;
Если вы сомневаетесь, что ссылка, присланная по почте безопасна – скопируйте её и откройте в режиме инкогнито браузера, который вы не используете как основной, и на котором не находятся никакие ваши учётные данные. Но безопаснее всего непонятные ссылки не открывать совсем прямиком отправляя их в корзину. Если какая-то информация должна до вас дойти, не сомневайтесь, она вас отыщет.
Немного о резервировании данных
Среди администраторов долгие годы ходит шуточное разделение на две категории: тех, кто не делает бэкапы, и тех, кто не делал, обжегся на этом, и теперь делают их. К счастью, сегодня существует множество способов делать резервные копии данных, не обладая богатыми знаниями в этой области: от сохранения на внешних жестких дисках и дополнительных flash-накопителях, до резервирования места в облачных хранилищах и других подобных сервисах. Чтобы резервные копии ваших данных не стали достоянием общественности, лучшим способом будет дополнительно задать на них пароли перед размещением. Так, используя съёмные носители данных вы можете задать пароль доступа к содержимому внешнего диска, либо добавить всю хранящуюся на нём информацию в архив, который также будет защищён некоторой парольной последовательностью.
Ещё одним надёжным методом защиты данных является их шифрование. Сегодня существует большое количество приложений, которые могут предложить функцию шифрования и расшифровки соответственно. Например, вы можете шифровать свои данные внутри операционных систем (как это делается в ОС Windows можно посмотреть здесь). Дополнительное шифрование станет ещё одним препятствием, которое отвадит большую часть охочих до чужих данных из-за банальной невозможности расшифровать эти последовательности.
Немного о смартфонах
Довольно исчерпывающую информацию об этом недавно описали в этом посте. Ценность и важность смартфона зачастую становится понятна только после его утери или выхода из строя, так что, лучше всегда иметь план действий на такой случай. Чтобы не повторяться за другими, от себя лишь добавлю, что стоит дополнительно отключить в настройках возможность просматривать уведомления от приложений на заблокированном экране, чтобы злоумышленники не смогли получить коды подтверждения, не имея доступа к устройству в режиме блокировки. Важно, чтобы даже получив в руки ваше устройство злоумышленники не могли извлечь из этого никакого профита, кроме, к сожалению, запчастей на продажу (многих такие меры отваживают от совершения подобных преступлений).
Подводя итог
На этом я бы хотел закончить. Понимаю, что описанное в этой статье далеко не всё, что можно и нужно было бы использовать чтобы обеспечить защиту своих данных, но для некоторых и эта информация может оказаться полезной. Важно помнить, что безопасность – это не состояние, а процесс, поэтому полезно учитывать как можно больше факторов и стремиться закрыть как можно больше дыр в защите своих секретов. Старая поговорка гласит, что высота забора равна высоте его самого низкого звена. Если периодически внимательно проверять безопасность своих данных и следить за последними тенденциями в области информационной безопасности, то можно сделать свой забор выше, а жизнь злоумышленников немного более хлопотной.
Всем хорошего настроения и безопасной работы в сети.