Кибербезопасность. Как защитить себя в Интернете?

«Мне нечего скрывать» — так думают многие интернет-пользователи, когда с лёгкостью делятся личными данными по запросу приложений или мессенджеров. Любой сайт или платформа собирает о нас определённые наборы данных, которые впоследствии могут быть проданы третьим лицам или использованы для создания таргетированной рекламы.

Согласно исследованию, проведённому Identity Theft Resource Center (Ресурсным центром по краже личных данных), 2023 год стал худшим годом за всю историю для американских цифровых граждан по части онлайн-конфиденциальности. Только за первые шесть месяцев года произошла утечка личных медицинских данных более чем 156 миллионов граждан США. За пределами США большинство интернет-пользователей также рискуют столкнуться с подобными проблемами, если не будут принимать необходимые защитные меры. Но как это сделать? Меня зовут Ана Сырбу и в этом выпуске нашего подкаста эту тему мы обсудим вместе с директором Европейского института политических исследований в Молдове Натальей Спыну.

Анна Сырбу: Достаточно ли осторожны наши граждане в онлайн-среде? Что на этот счёт говорят исследования?

Наталья Спыну: Я внимательно слушала то, о чём вы рассказывали в начале подкаста об исследовании, проведенном в США. Думаю, после пандемии эти цифры стали ещё больше из-за того, что мы вынуждены были использовать все эти приложения, делать онлайн-покупки, да и общаться в цифровом пространстве приходилось больше. Киберпространство – это параллельный мир, где мы делаем фактически всё – от онлайн-покупок до общения и социализации. Мы радуемся этим возможностям, но вместе с этим растёт и наша уязвимость. И когда вы упомянули об этом, я подумала о подобном исследовании для Республики Молдова, но у нас на национальном уровне такого исследования не проводилось.

Из некоторых старых отчётов я знаю, что Республика Молдова входит в число первых стран Европы по уровню заражения вредоносным ПО. Примерно 30% компьютеров в Республике Молдова заражены вирусами или вредоносным ПО. Это старая статистика, но компании по кибербезопасности, проводившие эти исследования, показывают, что мы находимся в топе – не положительном, а отрицательном. Если говорить точнее, то речь идёт о фишинге – виртуальных мошенниках. Они распространены не только в Молдове, но и по всему миру. Если вы посмотрите на те отчёты по безопасности, то увидите, что эти методы доминируют в рейтингах, потому что это старые методы с новыми инструментами. Они существуют с незапамятных времён. Наша, простых пользователей, наивность позволяет этим киберзлоумышленникам пользоваться этим. Если в тех же отчётах посмотреть на суммы, которые зарабатывают эти мошенники, то мы увидим, что речь идёт просто об огромнейших цифрах.

Пользователи недостаточно осторожны со своими паролями. Многие используют слабые, легко угадываемые пароли для нескольких учётных записей. И здесь я хотела бы обратить внимание на отсутствие цифрового образования. Именно из-за отсутствия достаточных знаний в этой сфере пользователи не задумываясь переходят по небезопасным ссылкам и открывают вложенные файлы, устанавливают программы, скачанные из неизвестных источников. 

Несмотря на все кампании по повышению осведомлённости об онлайн-рисках, которые уже десять лет проводит ENISA (Агентство Европейского Союза по кибербезопасности), мы всё ещё остаёмся уязвимыми. Мы продолжаем говорить о базовых вещах, которые мы называем кибергигиеной. Это как учи . Мы, простые пользователи, должны осознавать, что нас могут использовать в качестве прокси (посредников) для проведения атак. Кто-то может получить доступ к вашей учётной записи или профилю и предпринять определённые действия от вашего имени. И попробуй потом доказать, что это не ты писал какие-то сообщения или, того хуже, оформлял кредит. Существует множество вариантов оказаться в самых неприятных ситуациях.

Что такое культура кибербезопасности? Почему наши граждане  не уделяют этому должного внимания?

Когда речь идёт о культуре кибербезопасности, мы говорим о поведении и определённых практиках в онлайн-среде, которые следует внедрять, идёт ли речь об организации или простых пользователях. Я ранее уже говорила, что многие все ещё рассуждают в духе «мне нечего скрывать» и «у меня нет конфиденциальных данных». Но нужно признать – безопасность это сложно. Нам, вероятно, нужен кто-то вроде Стива Джобса, чтобы сделать безопасность простой и доступной для обычных пользователей. Безопасность — это сложно и дорого, но  Из-за слабой безопасности многие лишаются своих денег на банковских счетах и такие истории могут случиться как с пенсионерами, так и с высокопоставленными чиновниками.

Вот несколько ключевых моментов, которые мы должны внедрять и соблюдать, когда речь идёт о культуре кибербезопасности. Одним из аспектов является осознание риска. Не будьте теми, кто считает, что им нечего скрывать. Нам нужно понимать риски безопасности, с которыми сталкивается организация, в которой мы работаем, а также как обычные граждане – мы должны взять на себя ответственность за защиту информации, потому что никто другой не будет отвечать за нашу безопасность. Обычно в учреждениях есть IT-отдел или ответственный за IT специалист, но фактически он отвечает за все, от установки ОС до обеспечения безопасности. Поэтому нужно проводить чёткое разграничение и иметь конкретных людей, которые отвечают непосредственно за безопасность.

Вторым аспектом является разработка чётких политик и процедур для сотрудников IT-отдела. Необходимо понимать роль и обязанности каждого, кто и что должен делать, особенно в части вопросов безопасности.

Также важно понимать, насколько важно сообщать о случаях нарушения безопасности, включая обычных потребителей – то есть нас. Существует миф, что если я не сообщу, то общественность не узнает и моя репутация не пострадает. Поверьте мне, подобные вещи невозможно скрыть.

Ещё один важный момент заключается в том, что не следует ожидать, что обычные интернет-пользователи будут в курсе этих правил безопасности. Особенно учитывая, что этот сектор развивается стремительными темпами. Если посмотреть на отчёты по безопасности, ежедневно появляется до 200.000 вредоносных программ. Ни одна антивирусная компания не сможет справиться с таким количеством. Поэтому очень важно проводить обучение и инструктаж, и это не должно происходить всего раз в году. Всякий раз, когда появляются новые вредоносные программы, должны создаваться и распространяться руководства для цифровых граждан. Здесь действует принцип как во время пандемии: проще заняться профилактикой. Профилактические меры обычно обходятся дешевле, . Были ситуации, когда некоторые компании даже теряли свой бизнес из-за плохой безопасности. Их данные были украдены и обнародованы и понятно, что вряд ли кто то будет доверять компании, которая не в состоянии обеспечить безопасность данных?

Мы все уязвимы, просто у нас разные роли и обязанности. К безопасности должны относиться серьёзно все – от руководителей до рядовых сотрудников. Мы должны понимать,  

Что должен сделать пользователь, чтобы обеспечить свою безопасность, когда он находится в сети? Давайте дадим нашим слушателям несколько полезных советов.

Из тренингов, которые мы проводим для граждан и преподавателей, мы поняли, что очень важен пароль. Вроде бы простая и элементарная вещь, но этого недостаточно. Существует несколько правил и мер, которые следует соблюдать. Недостаточно просто установить пароль. Если речь идёт об электронной почте, важно понимать, что не следует нажимать на любые ссылки в получаемых письмах. Любопытство всегда велико, да и  злоумышленники очень изобретательны, поэтому, как правило, устоять перед соблазном кликнуть по ссылке бывает очень трудно.

Сегодня искусственный интеллект создаёт сообщения, которые трудно идентифицировать; настолько, что сложно даже понять, не является ли это сообщение от тебя, Ана. Какие ещё методы используют злоумышленники? Им нужен доступ к нашей почте, чтобы рассылать сообщения коллегам, родным. Когда вы получаете сообщение от человека с подозрительным именем, то маловероятно, что вы его откроете. Но если приходит письмо от знакомого – например, от коллеги или члена семьи – то шансы, что вы кликните по этому сообщению уже намного выше. Когда кто-то в университете получит электронное письмо от Аны, они откроют его. Потому что доверяют вам. Именно поэтому важно быть осторожными, проявлять максимальное внимание к сообщениям, которые вы получаете. Всегда проверяйте источник. Иногда это может быть дополнительная точка или буква в адресе, но эта мелочь всё меняет.

Как ещё мы можем определить, что это сомнительное письмо или что оно содержит какой-то фейк?

Прежде всего, проверьте правильность написания адреса электронной почты отправителя. Как я уже говорила, обратите внимание, нет ли в адресе лишней точки или лишнего символа. Ещё есть внутреннее ощущение, когда, например, мы читаем сообщение и нам кажется, что что-то здесь не так, будто этот текст писал не другой человек, а искусственный интеллект. Если у вас возникло подобное ощущение, лучше проигнорируйте это сообщение.

Понятно, что мы получаем огромное количество писем. Часто мы проверяем почту прямо в телефоне, в спешке на улице, и тогда шансы перейти по сомнительной ссылке, вложенной в письмо, высоки. Но есть решения, которые нам помогают и в таких ситуациях. Я имею в виду установку антивируса на телефон. Он поможет автоматически перемещать подозрительные сообщения в спам, и тогда вероятность того, что мы кликнем по подозрительному электронному письму, снижается.

Другая рекомендация — использовать надёжные пароли, причём, они должны быть разные для каждой учётной записи. Если вы загуглите, то узнаете, что в числе самых популярных паролей в 2023 году всё ещё были “1234” и “I love you“.

Кто-то мне рассказывал, что один человек со своей личной почты, сам того не зная, рассылал вирус своим коллегам, поскольку он был прикреплён непосредственно к электронным письмам, которые он отправлял по работе. Я спросила его, что сделал этот человек первым делом, когда узнал об этом, и оказалось, что он сменил пароль. Да, это правильное решение. Но этого недостаточно. Поскольку ваш компьютер, а, скорее всего, и телефон заражены вирусом, то просто поменять пароль недостаточно, да и поздно уже. Необходимо просканировать компьютер и телефон, очистить их от вредоносных программ. Точно так же, как вы бы обратились к врачу, если заразились вирусом. Иногда необходимо переустановить операционную систему. Так что всё гораздо сложнее. Сегодня уже требуется двухфакторная аутентификация. Мы видим, что даже банки заставляют нас использовать эту опцию. Не просто аутентифицироваться паролем, но иметь двухэтапную аутентификацию. Даже эксперты по безопасности рекомендуют использовать аутентификацию с токеном.

Ещё одной рекомендацией является регулярное создание бэкапов, то есть, резервных копий наших важных данных. Так, в случае потери телефона или ноутбука, или если кто-то получит доступ к вашим гаджетам и удалит с них данные, то вся информация останется в другом месте.

В каком именно месте? Если мы спросим слушателей, наверняка многие скажут «в облаке». Однако эксперты рекомендуют хранить данные не только в облаке, но и на диске – внешнем устройстве памяти. И не забывайте, что у них тоже есть срок годности. Это не означает, что вы сохранили свои данные на внешнем устройстве и храните их в сейфе. Может случиться и так, что через три года вы обнаружите, что ваши данные утеряны.

Мы также должны быть осторожны с тем, какую личную информацию мы раскрываем в сети. Нам нравится выкладывать свою жизнь в Интернет, но меня не перестают удивлять подростки, которые ведут всевозможные блоги и видеоблоги, публикуют видео о том, что они делают, и отмечают своё точное местоположение. Они настолько детально всё раскрывают, что преступнику не составляет труда их выследить, поскольку он знает, где они находятся и что делают. Важно осознавать эти риски. Даже как родители мы должны беспокоиться об этих молодых людях и объяснять им эти опасности, потому что они, судя по всему, не вполне их осознают.

И ещё одна рекомендация: надо учитывать, что необходимо обновлять программное обеспечение и приложения, поскольку в последних версиях есть и самые последние изменения, связанные с безопасностью. В этих обновлениях устраняются уязвимые места, так что не стоит их игнорировать. Эксперты по безопасности, идёт ли речь об Android или Apple, выявляют уязвимости и включают их в обновления. Например, пароль меняется каждые два месяца. Мы, цифровые граждане, должны вести себя так, чтобы это не влияло на нашу безопасность. Мы должны быть такими же ответственными, как и в офлайн-жизни.

А как нам обеспечивать безопасность, когда мы имеем дело с социальными сетями?

Если говорить о соцсетях, первой рекомендацией будет проверка настроек конфиденциальности и безопасности. Настройте, кто будет видеть информацию, которой вы делитесь. Не стоит выставлять свою жизнь напоказ, чтобы все видели, где мы живём, что у нас есть. Защищайте и предоставляйте ограниченный доступ к информации, которой делитесь. Чтобы это было не для всех.

Ещё один важный момент: не открывайте ссылки, размещённые друзьями, не проверив предварительно их источник. Злоумышленники перенесли свою активность в социальные сети, поэтому нужно быть начеку. Когда мы получаем всевозможные предложения от каких-то компаний или «выигрываем» призы, мы должны понимать, что невозможно стать богатым в один момент. Те, кто хотят использовать нас, проявляют творческий подход и стараются выглядеть максимально аутентично. Как я уже говорила, иногда отличить фейк от правды бывает крайне сложно. Очень важно, даже когда мы получаем сообщения от знакомых, быть бдительными и не открывать «на автомате» все ссылки. Сначала надо проверить информацию и источник.

Хуже всего то, что мы передаём и личные данные. Когда мы переходим по опасной ссылке, наши персональные данные мгновенно считываются. А если вы поделитесь этой ссылкой в социальных сетях, то злоумышленники могут получить личные данные ваших друзей, которые также по ней кликнут. Поэтому мы должны быть осторожными и не попадаться в ловушку этих искушений. Мы должны исходить из того, что не бывает ничего бесплатного. Зачем кому-то давать нам бесплатные билеты или раздаать другие заманчивые предложения? Если от имени какой-то компании проводится розыгрыш, проверьте это по другим источникам. Обычно такая информация доступна на официальном сайте. Всегда, когда вы получаете сообщение, будь то по почте, SMS или в социальных сетях, если вы чувствуете что-то подозрительное, вам лучше достать телефон и проверить это.

Мы также должны понимать, что наличие надёжного пароля на вашем телефоне недостаточно. Само по себе это не решает проблему безопасности. Также нужно избегать подключения к непроверенной бесплатной сети Wi-Fi. Обычно нам нравится подключаться к бесплатному Wi-Fi в аэропорту или в ресторанах. Но мы не знаем, какой риск мы принимаем в тот момент. Благодаря этому Wi-Fi преступники могут получить доступ к данным нашего телефона или ноутбука в любой момент. По этой причине вам нужен VPN. Это чрезвычайно важно, поскольку в тот момент, когда вы подключаетесь к бесплатной сети, VPN зашифрует ваши данные, и мошенники не смогут получить доступ к вашей информации или отправляемым вами сообщениям.

Ещё одной рекомендацией является отключение в настройках Wi-Fi и Bluetooth, если вы их не используете. Дело в том, что с помощью устройства, которое на Amazon стоит около 40 евро, я могу считать информацию с вашего телефона, а при желании и скопировать или даже удалить её.

После пандемии в ресторанах появилась тенденция использовать QR-коды вместо привычного меню. Если вы оказались в таком ресторане, хорошо бы попросить гаджет, на котором можно будет просмотреть меню по QR-коду. Ни при каких обстоятельствах нельзя использовать для подобных целей свой личный телефон. QR-код — хороший способ для преступников получить доступ к данным вашего устройства. А если на вашем телефоне нет приложения безопасности, вы рискуете потерять важные данные. Один мой коллега столкнулся с такой ситуацией. Его конкуренты знали, в каком ресторане он каждый день обедает и за каким столом сидит. Злоумышленники приклеили на том столе этот QR-код с вредоносным ПО, и мой коллега воспользовался им. Вскоре вся информация на его телефоне была удалена. И опять же, важно иметь резервные копии. Поэтому мы отключаем и Bluetooth, потому что он так же уязвим, как и Wi-Fi. Если они вам не нужны – лучше отключите их.

Когда речь идёт о телефоне, важно учитывать, где мы его заряжаем, какие розетки мы используем. Знаете, на заправках и в аэропортах есть специальные места, где можно зарядить мобильный телефон? Так вот, эти зоны тоже могут быть опасными, потому что злоумышленники могут устанавливать станции с различными вредоносными программами в розетки и не только. Я бы рекомендовала избегать этих зон, использовать их только в случае крайней необходимости или иметь специальное устройство, которое позволяет, чтобы по кабелю зарядки к этим станциям, которые устанавливают злоумышленники, проходил только ток, но не ваша информация.

Когда мы говорим о кибербезопасности, то дети, безусловно, представляют особую группу. С одной стороны, они имеют дело со всем, что связано с Интернетом и технологиями, но с другой стороны, они неопытны и крайне уязвимы. Как их защитить?

Прежде всего, мы, взрослые, должны осознавать, что, когда мы публикуем информацию в Интернете, мы оставляем цифровой след. Даже если удалить сообщение, из онлайн-среды ничего не исчезает. Как бы сильно вы этого не хотели, даже если у вас есть все деньги мира, это никогда не исчезнет. Вопрос в том, у кого остаются эти данные и где они хранятся?

Например, если мы говорим об онлайн среде, то подростки часто даже не знают о цифровом следе и могут заниматься сексуальными домогательствами, секстингом или кибербуллингом. Поэтому важно тщательно выбирать, какое приложение мы загружаем или какую информацию копируем из Интернета. Знаете, я поняла, что родители и учителя также не готовы в этом плане. Хотя им и следует объяснять эти риски своим детям, они сами их не понимают. Детям, прежде всего, необходимо понять, как защитить себя, чтобы не стать жертвами в интернет-среде.

Дети уязвимы. Поэтому очень важно, чтобы образование начиналось ещё с детского сада. Например, в Финляндии и Эстонии детей с садика учат пользоваться телефонами, гаджетами, показывают, как решить проблему безопасности, устанавливают родительский контроль. Кроме того, мы должны объяснять детям, что не следует разглашать личные данные. Меня шокирует, когда я вижу малыша в коляске, которому от силы год-два и который держит в ручках телефон. Ему не нужен телефон или эта музыка.

Так что же делать родителям, когда дело касается подростков и гаджетов? Как быть тогда с кибербезопасностью?

Те же самые вещи, о которых я упоминала, когда говорила о преподавателях. Важно проводить национальные информационные кампании по повышению осведомлённости о рисках, с которыми сталкивается ребёнок в Интернете. Если раньше мы волновались, когда ребёнок выходил поиграть во двор, то мы проверяли его. Мы объясняли, что не следует общаться с незнакомцами, нельзя рассказывать чужим личные данные и, тем более, давать другим людям ключи от дома. Так вот, те же правила должны действовать и в онлайн-пространстве. Эти правила следует распространять и на киберпространство. За фотографией или аватаркой может скрываться преступник с фальшивой личностью, который с помощью манипулятивных сценариев и историй завлекает в свои сети детей и подростков. Известны случаи, когда дети совершали суицид из-за того, что ими манипулировали и шантажировали через социальные сети. В сфере безопасности мы должны больше заниматься превентивными мерами, а не реагировать, когда что-то уже произошло. Иногда бывает уже слишком поздно.

Родителям следует установить приложения по родительскому контролю, которые позволяют контролировать телефоны детей. Так, эти приложения позволяют отслеживать, какие страницы просматривают их дети, с кем они общаются. Жалко потерять деньги или важную информацию, но это несравнимо со случаями, когда речь идёт о человеческих жизнях. У нас был случай с «Синим китом», когда дело дошло до вмешательства властей. Администратор группы «Синий кит» использовал сложные пароли, и из-за множества  установленных мер безопасности, правоохранительным органам было очень сложно войти в эти группы. Администратор, вероятно, понимал, что некоторые родители попытаются присоединиться к группе. Если не все, то хотя бы 10% наверняка хотели посмотреть, во что играют и что там делают их дети. Чтобы избежать повторения подобных ситуаций, мы должны отслеживать, устанавливать VPN, откровенно общаться с детьми, строить с ними доверительные отношения. Доверие – это то, что труднее всего построить, но это самый важный аспект.

Насколько государство должно вмешиваться в процесс обучения цифровых граждан  за пределами школы?

Помимо информационных кампаний, необходима также правовая база. Потому что, когда отсутствует законодательная база, труднее требовать или просить у учреждений внедрения политики безопасности и реализации соответствующих мер. Безопасность требует ресурсов – не только финансовых, но и человеческих. Когда происходит инцидент, мы часто выясняем, что вещи, связанные с безопасностью, были проигнорированы, как на уровне политики, так и на техническом уровне, например, из-за приобретения более дешёвого оборудования, потому что в учреждении такая политика закупок.

Но вернёмся к образованию граждан, потому что мы должны понимать, что все мы несём ответственность. И я не думаю, что только государство, только один институт сможет справиться с этой проблемой. Не бывает стопроцентной безопасности, да? Представьте, что злоумышленникам достаточно найти какую-то брешь, какую-то дыру в безопасности. Кстати, согласно данным, 80% киберинцидентов происходят из-за человеческого фактора. Слабым звеном остаётся человеческий фактор. Будь то простой пользователь, IT-администратор, тот, кто поддерживает эти технологии, или даже разрабатывает их. Это означает, что образование остаётся приоритетом номер один и должно начинаться в школе, в детских садах. Нам нужно понимать, что цифровизация идёт огромными шагами, и мы не можем остановиться, не можем отказаться от всех этих технологий только потому, что они предполагают риски.

Нам нужны национальные информационные кампании по повышению осведомлённости о таких цифровых рисках как интернет-мошенничество, кража личности, кибершантаж. И, конечно же, должно быть место, куда мы будем иметь возможность обратиться с жалобой. В случае, если мы стали жертвами, должно быть место, куда мы можем сообщить об этом инциденте, чтобы знать, кто нас защищает. Потому что государство должно заботиться о своих гражданах. Независимо от того, находишься ли ты в Кишиневе, Единцах или в отдалённом селе, государство должно заботиться о всех своих гражданах.

Можно ли считать в этом смысле решением новый закон о кибербезопасности? Приведёт ли он к каким-либо изменениям в культуре безопасности страны?

Этот закон был крайне необходим. Уже несколько лет мы говорим о необходимости законодательной базы. Без этого сложно что-то реализовать. Этот закон устанавливает правовую и институциональную основу в области кибербезопасности и назначает ответственные органы, регулирует полномочия и обязанности различных субъектов. До сих пор мы постоянно взваливали вину то на одного, то на другого. Теперь роль и ответственность каждого учреждения стали ясны.

И этот национальный орган по кибербезопасности  будет заниматься именно тем, о чем мы говорили ранее: информационными кампаниями, обучением, распространением рекомендаций и передового опыта. Когда мы говорим о безопасности, то будто это касается не тебя, будто это что-то неважное. Нам нужно бороться с этими стереотипами и мифами. Лучше иметь план «Б», план «В». Таким образом, создание национальной группы реагирования на киберинциденты будет играть активную роль в предотвращении и управлении кибератаками. Раньше, даже если некоторые учреждения или простые граждане становились жертвами кибератак, им некуда было звонить, не к кому обратиться.

Новый закон предусматривает положения, посвящённые этому вопросу, а также повышению уровня образования и осведомлённости общественности относительно этих рисков, национальные информационные кампании. С помощью этих мер предотвращения и осведомлённости мы повысим уровень культуры безопасности, потому что очень важно осознавать эти риски, ведь в интернете много информации, вы можете найти различные руководства, обучающие программы. Безопасность имеет много уровней, и человеческий фактор  

***

Итак, этот разговор ещё раз убеждает нас, что обеспечение безопасности личной информации является важной частью нашей общей безопасности. И хотя сохранять «частную жизнь», будучи активным интернет-пользователем, становится всё труднее, это всё ещё возможно. Прислушайтесь к советам моего гостя и не переставайте учиться, узнавать больше, тренироваться. А если у вас есть вопросы или идеи, обсуждение которых вы хотели бы услышать в подкасте cuMINTE, отправьте их на адрес электронной почты redactia@ijc.md. Фильтруйте с умом любую информацию! Слушайте наши выпуски на сайте Mediacritica.md, в Google Podcasts, Soundcloud и Youtube.

—————————————————–

Подкаст cuMINTE выпускается Центром независимой журналистики при поддержке Института по освещению войны и мира (IWPR). Мнения, изложенные в этом материале, не обязательно совпадают с мнением IWPR или его партнёров.