Дата
Автор
Петр Мироненко, Ирина Малкова, Александр Амзин
Источник
Сохранённая копия
Original Material

Новые правила защиты от киберугроз, страх и ненависть в Credit Suisse и самый известный бизнесмен Белоруссии

Скорее всего, ваши личные данные уже украдены. Как не дать злоумышленникам их использовать?

Прошедшая неделя, вместившая сразу две предположительно многомиллионных утечки чувствительных данных, произошедших по абсолютно разным сценариям, показала, насколько устарели обычные представления об охране персональных данных. Вы не можете быть уверены, что ваши данные не утекли из госорганов, крупнейшего банка страны или мобильного приложения, которым вы пользуетесь каждый день. Хуже того: скорее всего, ваши данные уже украдены. Теперь ваша главная цель — не дать злоумышленникам их использовать.

Что случилось

  • Налоговая база. О первой утечке стало известно во вторник, но случилась она как минимум год назад. Неизвестный хозяин оставил в открытом доступе в облаке Amazon базу с данными 20 млн россиян — ФИО, ИНН и всеми налоговыми платежами. Хранившаяся информация охватывала период с 2009 по 2016 год и была доступна как минимум с мая 2018 года, когда ее впервые проиндексировали поисковики. В ФНС утечку назвали «провокацией», так как часть данных не собирается и не хранится российскими налоговиками, а их структура отличалась от принятой в службе. Данные могут быть компиляцией из украденных баз госорганов. Владелец базы явно поместил ее в открытый доступ по халатности — это частый случай с большими наборами данных, которые хранят в облаке и, например, забывают запаролить.
  • Утечка в Сбербанке. В среду «Коммерсант» обнаружил объявление о продаже данных более 60 млн владельцев кредитных карт Сбербанка. Пробный фрагмент базы на 200 человек оказался подлинным. Это дало Сбербанку основание пока официально признать утечку данных только этих 200 людей, но очевидно, что это только верхушка айсберга — корреспонденты «Коммерсанта», запросив материалы о себе (авторы объявления продают данные по 5 рублей за человека), получили достоверную информацию: совпали в том числе номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их. В Сбербанке предполагают, что источником утечки стал сотрудник с высоким уровнем администраторских прав. Похищенные данные можно использовать для фишинга или других видов мошенничества с помощью социальной инженерии.
  • Слежка приложений. Утечки данных из банков и госорганов — только один из способов их потерять. В понедельник The Bell проанализировал, как обращаются с данными пользователей топ-100 российских приложений для Android. Результаты оказались предсказуемыми. Самые популярные сервисы передают данные десяткам третьих лиц (часто — через незащищенный протокол HTTP), устанавливают десятки рекламных трекеров и пытаются получить максимум доступа к функциям устройства — например, записывать аудио без уведомления пользователя.

Что это значит?

Нарастающее число утечек из госорганов и крупнейших и самых защищенных компаний подтверждает простое соображение, о котором писали один из создателей современной криптографии Брюс Шнайер (здесь) и журналист-расследователь в области кибербезопасности Брайан Кребс (здесь). Кем бы вы ни были, скорее всего, ваши персональные данные уже украдены и находятся в руках злоумышленников. Это значит, что главной вашей целью должна стать не охрана самих данных, а предотвращение и минимизация ущерба от их использования.

Что делать?

Главное — никому не доверять. Но есть еще три важных правила, следование которым помешает злоумышленникам использовать ваши данные для кражи денег или секретов.

  • Везде, где возможно, задействовать двухэтапную аутентификацию, чтобы подтверждать потенциально опасные действия. При этом надо помнить, что аутентификация с помощью СМС ненадежна — перехватывать сотовый трафик совсем нетрудно. Вот относительно свежая инструкция о том, как настроить надежную двухэтапную аутентификацию, от The New York Times.
  • Следить за тем, чтобы ваши пароли к разным сервисам различались и были хорошо защищены. Относительно безопасный способ организовать такую систему — менеджер паролей. Недавний рейтинг лучших менеджеров для разных устройств и браузеров от Wired — здесь. Главное — придумать надежный пароль к самому менеджеру. Вот наша любимая инструкция по придумыванию паролей от Билла Бэрра, который придумал правило обязательной цифры, заглавной буквы и спецсимвола, а потом в нем разочаровался.
  • Убедиться, что каналы проверки подлинности принадлежат вам. Например, если вы купили SIM-карту с рук, ее юридический владелец может перехватить ваши SMS — в том числе проверочные.

BELL CLUB

ЭКСКЛЮЗИВ

Ключи от Дурова

Два самых долгожданных проекта из мира финтеха — от Марка Цукерберга и Павла Дурова — изначально пошли совсем разными путями.

  • Libra от Facebook — не просто криптовалюта. Это первая масштабная попытка создать мировую цифровую валюту по лекалам настоящей. Ее собираются обеспечить реальными деньгами и финансовыми инструментами, все для защиты от волатильности, что должно привлечь крупных инвесторов. На старте Libra поддерживали крупные технокомпании и главные платежные системы: eBay, Uber, Visa, MasterCard и др.
  • Принципиальная идея TON братьев Дуровых, наоборот, была в том, чтобы создать не столько криптовалюту, сколько собственный масштабируемый и защищенный интернет, который способен поглотить внешние сервисы, но самодостаточен по своей сути.
  • Подробно различия обеих моделей мы анализировали здесь.

Вряд ли Дурову с ходу удастся построить свой суверенный интернет, но его криптовалюта точно появится раньше — вероятно, потому что он ничего и ни с кем не согласовывает. На этой неделе команда TON разослала своим инвесторам письмо с инструкцией, как и когда они смогут получить криптовалюту Gram, выяснил The Bell. Ключи шифрования им предлагается получить строго до 16 октября, а сам TON, как и обещали, заработает до конца месяца — в противном случае Дурову пришлось бы вернуть привлеченные в двух раундах ICO $1,7 млрд. Новости этой недели про Libra, напротив, не радуют. После претензий со стороны регуляторов США и ЕС от проекта начали отворачиваться ключевые партнеры во главе с Visa и MasterCard.

ПАРТНЕРЫ THE BELL

Учитывайте время: как повысить эффективность сотрудников

Что мешает сотрудникам в срок выполнять поставленные задачи? Откуда берутся бесконечные авралы и нарушенные дедлайны? По статистике, 64% работающих россиян задерживаются на работе и приходят в офис в выходные дни. 57% уверены, что перерабатывают. Почему же это не сказывается на результате? На самом деле мы склонны плохо контролировать собственные перемещения и считать работой не только саму работу, но и факт пребывания в офисе или даже размышлений о работе. При этом до 25% регулярно прокрастинируют именно на рабочем месте, а еще 30% делают это время от времени. Изменить ситуацию может система контроля доступа и учета рабочего времени. Вместе с нашим партнером — компанией PERCo — мы рассказываем, как это работает на примере конкретных компаний. Текст можно прочитать здесь.

«РУССКИЕ НОРМ!»

Самый известный бизнесмен Белоруссии

Новый герой «Русских норм!» — автор белорусского технологического чуда, предприниматель и инвестор Виктор Прокопеня. Он — самый популярный бизнесмен на родине (больше 5 млн подписчиков в инстаграме) и крупнейший налогоплательщик, хотя в 2015 году провел 8 месяцев в СИЗО как раз по обвинению в неуплате налогов. Но после именно ему удалось убедить Александра Лукашенко в том, что Белоруссия должна стать IT-державой — и даже скептики признают, что во многом это удалось. Читайте, как все это было, на The Bell, а полную версию интервью смотрите на канале Елизаветы Осетинской.

КАК У НИХ

Драка, слежка, суицид

Закрытый мир швейцарских банков сотрясает беспрецедентный скандал. Подробно рассказываем о ссоре главы Credit Suisse Тиджана Тиама с начальником подразделения по управлению активами Икбалом Ханом из-за деревьев на участке Тиама, загораживавших Хану вид на Цюрихское озеро. Конфликт уже привел к двум отставкам, драке во дворе Национального банка Швейцарии и самоубийству — и может основательно подпортить репутацию традиционно безупречных швейцарских банков.