Вне формата

Честному человеку есть что скрывать, или правила цифровой безопасности

Опубликовано 21 февраля 2020

Советы эксперта Сергея Смирнова

Мало кто решится уйти на работу или в даже в магазин в соседнем доме и оставить дверь в собственную квартиру открытой. Не закрыть крышку ноутбука и уйти на обед или не запаролить телефон, который просто лежит на столе, — такое поведение изумления не вызывает. Вклеивать снимки в семейный альбом и показывать его гостям уже уходит в прошлое, сегодня их заменяют публичные аккаунты в Facebook и Instagram. В информационный век не нужно закрываться от всего мира и удаляться из соцсетей, но важно и не забывать, что забота о безопасности личных данных обеспечивает защиту и в физическом плане.

Попробуйте пройти наш тест на правила IT-безопасности. Если результаты вас огорчили, почитайте главные тезисы постоянного автора «Теплицы социальных технологий», эксперта по цифровой безопасности Сергея Смирнова. Даже если вы справились с тестом, уделите этой статье пару минут ― скорее всего, вы все равно узнаете что-то новое.

Все, что вы опубликуете, может быть использовано против вас

Пользоваться социальными сетями и делиться информацией о себе — сегодня явление абсолютно нормальное. А если вы работаете в некоммерческой организации, то жизнь без «Фейсбука» или «Инстаграма» представить себе и вовсе нереально: там вы ведете и деловые беседы, и находите новых партнеров или волонтеров, и работаете над созданием имиджа своей организации.

Не каждый может себе позволить безопасный информационный аскетизм. Выйти в публичное пространство всегда значило стать более уязвимым. С развитием интернета стать заметным и популярным стало проще, но и риски значительно увеличились. Это не значит, что придется отказаться от публичной деятельности и остаться на связи только по номеру стационарного телефона. Это лишь значит, что надо уметь закрывать информационную дверь на замок, чтобы в квартиру не попали непрошенные гости.

Но вы же честный человек и вам нечего скрывать. Так про себя думал и профессор калифорнийского университета Кайл Куинн, пока не обнаружил, что его причислили к ультра-правым и требовали уволить из университета. Виной тому оказалась фотография очень похожего на него человека, которую случайно — или умышленно — «раскопали» в интернете, а дальше нашли и настоящую информацию о Куинне: место работы, адрес электронной почты. На профессора устроили настоящую травлю, посыпались угрозы. Чтобы доказать, что на фотографии был не он, а какой-то не знакомый ему, но очень на него похожий человек, ушло немного времени.

Настоящая информация о вас, даже если вам самим она кажется абсолютно безобидной, тоже может навредить — если она попадет в плохие руки. Сегодня это называется «доксингом»: из соцсетей или других открытых источников собирается информация о ваших хобби, любимых кафе или мест для пробежек, именах детей. Составляется довольно полная картина вашей жизни: во сколько вы приходите на работу, куда вы ходите на обед, где проводите выходные. Невинные посты в соцсетях становятся подсказкой для не совсем невинных людей: где вас можно найти и когда скорее всего вы будете одни.

Проблема доксинга в том, что с юридической точки зрения у него нет точного определения. Четко установлено одно — угроза должна быть реальной. Насколько опасны сообщения ненависти от незнакомых людей, иногда живущих в другом городе, — вопрос с точки зрения практики нерешенный.

К сожалению, жертвами доксинга часто становятся представители социально незащищенных групп, которым помогают некоммерческие организации. Смелая Лили Ло — девочка из Набережных Челнов, которая несмотря на синдром Олбрайта — поражение костной системы, стала бьюти-блогером, подверглась настоящей травле по поводу своей внешности. Она продолжила заниматься любимым делом. Сколько таких же, как она, не выдержали бы такого давления — вопрос открытый.

Есть и информация, которую нужно скрывать любому человеку, вне зависимости от его моральных качеств. Например, у вас есть онлайн-банк и пароль от него, и в этом нет ничего криминального. А по другую сторону экрана есть хакер или фишер, который может заполучить ваш пароль. Дальше только стоит надеяться, что злоумышленник просто потратит ваши деньги на покупки в интернете. Домашний адрес тоже стоит держать в секрете.

Если вы уже «наследили» в интернете, вам поможет селф-доксинг. Это попытка поставить себя на место злоумышленника и внимательно изучить, что о вас известно любому пользователю поисковика. Если вы нашли что-то, что не хотели бы публиковать, даже безобидную фотографию из отпуска, удалите ее сами или «пожалуйтесь» на снимок или публикацию. Особенно осторожно отнеситесь к фотографиям ваших детей и родственников. Может, лучше сохранить снимки для семейного альбома, а трогательные истории о сыне или дочери — для личного дневника?

Проанализируйте, что из этой информации точно не причинит вам вред, а что может использоваться против вас, и удалите потенциально опасную информацию. То, что вы уже опубликовали в соцсетях, даже на «закрытой» странице, нужно тоже перепроверить и почистить все ненужное.

Не забудьте еще проверить настройки приватности, хотя закрыть профиль на «замок» спасет далеко не в любой ситуации. Стать жертвой доксинга можно, если аккаунт вашего друга взломают. Или вы сами можете по ошибке пустить малознакомого человека в круг «фейсбучных» друзей. Возможно, он действительно искренне заинтересован в вашей деятельности и пришел почитать новости о вашей организации. А может, он просто хочет получить доступ к вашим «подзамочным» публикациям.

Как правильно провести селф-доксинг, читайте в публикации Сергея Смирнова на «Теплице». Но помните, даже если вы ангел во плоти, готовьтесь к тому, что можете наткнуться на что-то крайне неприятное о себе, предупреждают эксперты.

Все, что вы скачиваете на телефон, тоже может быть использовано против вас

Пользователи, которые скачивают приложения из Apple Store или Google Play, в какой-то степени защищены: прежде чем пустить новое приложение в свой магазин, специалисты платформы проверяют его на вирусы, изучают правила использования данных.

Но и они допускают ошибки. Недобросовестные разработчики могут обмануть систему. В начале 2020 года компания Bitdefender обнаружила в Google Play 17 приложений, которые нарушали данные обещания: показывали пользователям рекламу, причем делали это так, что не было понятно, что именно ее запускает. Программы из списка Bitdefender скачали более полумиллиона раз.

Часто без доступа к личной информации приложение не сможет нормально функционировать. Если вы скачиваете новый мессенджер, то вполне логично, что он запросит доступ к вашей телефонной книге. Тут уже вам решать — насколько вы доверяете разработчику и действительно ли вам нужна эта функция. Программа обработки фотографий обязательно запросит доступ к вашей галерее. Насторожитесь, если приложение с простым фонариком захочет с помощью вашего устройства записывать звук. Сотрудники Google Play могут проверить новое приложение, но не смогут остановить пользователя смартфона от сомнительных действий. Например, никто не может помешать вам отключить защиту от файлов из непроверенных источников или открыть доступ к личным фотографиям.

Сергей Смирнов советует регулярно проводить ревизию в настройках смартфона. Проверять, какие приложения получили доступ к личным данным: фотографиям, аудио, видео, телефонной книге, и оценить, насколько «разумны» такие требования. Прислушайтесь к советам экспертов: лучше устанавливать только проверенные и рекомендованные приложения.

Если по работе вам приходится тестировать бета-версии приложений, обращайте особое внимание на запрет на установку приложений из неизвестных источников. Обычно это настройка по умолчанию, но ваш разработчик вполне разумно попросит вас скачать тестовый файл из облачного хранилища. Есть доверие — на время защиту отключить можно, только после теста не забудьте снова включить защиту на своем смартфон.

И все, что вы сохраняете на телефон, может быть использовано против вас

Полный порядок с информацией в интернете — это залог, но далеко не гарантия безопасности. Главное уязвимое место любого человека, вне зависимости от его работы или стиля жизни, — это мобильный телефон. Хранить заметки, фотографии, важные файлы на одной платформе — это удобно. Это же создает и новую опасность: телефон становится ключом к нашей личной жизни.

Информацию на персональном гаджете можно защитить двумя способами. Первый — это позаботиться непосредственно о самих данных: зашифровать их, ограничить доступ ко всем файлам и приложениям паролями, использовать VPN. Физическая защита телефона тоже важна: дополнительный экран и чехол должны стать неотъемлемыми атрибутами вашего устройства.

Второй способ — это максимально сократить объем важной информации, которую вы храните на телефоне. Для этого нужно постоянно чистить переписки, даже если вам кажется, что там одна пустая болтовня и нет ничего важного. Можно использовать самоуничтожающиеся сообщения. Хорошая практика: регулярно переносить информацию с телефона на другие носители: компьютер, ноутбук или карту памяти. Такой подход только кажется сложным. Как почистить зубы или вымыть руки перед едой — это дело привычки.

Но даже если следовать всем этим правилам, риск лишиться телефона в неожиданный момент остается всегда. Особенно если вы входите в «группу риска». Обычно под этой категорией подразумевают журналистов, которым нужно защищать свои источники или добывать информацию, которую от них тщательно пытаются скрыть. Но в опасности могут оказаться и представители некоммерческих организаций, особенно если они работают с социальными группами, которые сами подвержены риску, например, с ЛГБТ-сообществом.

Сергей Смирнов настаивает на том, чтобы у таких людей всегда при себе был второй телефон. Это может быть классический «кирпич» или даже простой смартфон. Главное, чтобы дополнительный гаджет был дешевым и качественным. Остальные функции нужно выбирать по обстоятельствам. Кому-то может пригодиться фонарь и GPS в случае, если придется ходить по незнакомой местности. Другим обязательно иметь при себе фотокамеру, чтобы фиксировать события. А для третьих жизненно важен разъем для карты памяти — либо для хранения больших файлов, либо чтобы уберечь важную информацию, если по какой-то причине придется расстаться с основным телефоном. В конце концов, второй телефон в кармане просто дает ощущение безопасности, что без средства связи вы не останетесь. Советы эксперта, как выбрать подходящий гаджет, который не ударит по бюджету, можно прочитать на «Теплице социальных технологий».

О втором телефоне стоит задуматься не только тем, кто входит в «категорию риска». Это помогает обезопасить себя, если, например, вам предстоит встреча с незнакомым человеком, даже если это невинное свидание. Кнопочный телефон можно использовать и для цифрового детокса — остаться на связи для решения важных вопросов и при этом перестать бесконечно листать ленту «Инстаграма» или «Фейсбука».

Все, чем вы поделились с коллегами, может быть использовано против вас и вашей организации

Честные люди ведут невинные разговоры, но даже в таких беседах кроется опасность. Например, вы придумали инновационную пиар-стратегию о том, как собрать деньги краудфандингом на новый проект, но вашу переписку прочитали «конкуренты», как бы странно это ни звучало по отношению к некоммерческим организациям. Ваша идея перестала быть новой и притягательной для других.

В крупных коммерческих корпорациях, где велика угроза промышленного шпионажа, или в политических движениях, наслышанных о Уотергейтском скандале, обучение информационной безопасности — чуть ли не первый тренинг для новых сотрудников. Но сохранять личную информацию в тайне нужно всем, какой бы «безобидной» деятельностью вы ни занимались.

Вашим коллегам нужно знать несколько простых правил: ставить разные пароли на разные аккаунты и сервисы, вовремя исключать из рабочих чатов бывших сотрудников. Руководителю организации нужно взять на себя дополнительную задачу: выбрать платформу, на которой сотрудники будут вести профессиональные разговоры.

Рынок приложений огромен: популярные мессенджеры широкого применения, такие как Facebook или Telegram, у которых есть функция самоуничтожающихся переписок, специализированные коммерческие платформы, как Slack или Mattermost, платформы для видеоконференций — Jitsi Meet для нерегулярных бесед и Zoom для более частого и систематического общения. Подробнее о плюсах и минусах этих платформ можно почитать в тексте Сергея Смирнова на «Теплице».

Оценить безопасность мессенджера лучше, чем специалист в этой сфере, не сможет никто. Но прежде чем идти за консультацией, надо ответить на несколько вопросов.

Какой функционал нужен вашей организации? Достаточно ли только текстовых сообщений или по работе необходимо обмениваться фотографиями, голосовыми или даже видео-сообщениями, организовывать конференц-связь.

Насколько технически подкованы ваши сотрудники и волонтеры, если им тоже нужно принимать участие в рабочих беседах? Чем шире желаемый функционал, тем больше трудностей с использованием приложения может возникнуть у ваших же коллег.

Если вам понравилось какое-то уже готовое решение, насколько вы доверяете его разработчику? Если у платформы открытый код, опытный программист сможет оценить информационную безопасность. В закрытости кода минус популярного «Телеграма».

Нужно ли вам сохранять анонимность участников чата? Если да, то стоит присмотреться к приложениям, не требующим привязки к телефонному номеру или электронной почте.

Для эффективной работы надо ли вам обязательно использовать чат на всех платформах? Или только, скажем, на компьютере или телефоне.

Ответив на эти вопросы, можете идти за консультацией к эксперту, который поможет вам подобрать идеальное решение для вашей организацией. За остальные аспекты вашей информационной безопасности ответственны вы сами.

Готовы снова проверить себя в нашем тесте?