Как защитить персональные данные в Интернете?

28 января — Международный день защиты персональных данных. Мы решили больше узнать, какие данные являются персональными и как сделать, чтобы ваши персональные данные не попали к мошенникам у основателя общественной организации «Электронная демократия» Владимира Фльонца.

Владимир Фльонц: День защиты персональных данных отмечается в день подписания европейской Конвенции о защите данных в процессе их обработки автоматизированными системами, которая была принята еще в 1981 году.

Как только вы переходите к обработке информации в компьютерных системах, у вас быстро накапливается огромная база данных. Такое большое скопление информации в одном месте тут же порождает определенные риски.

Мы видим эти риски в виде продающихся на Петровке баз данных, в которых собрано большинство нашей персональной информации.

Алена Бадюк: С чего все началось в 80-х годах? Какие существовали риски?

Владимир Фльонц: Развитого Интернета еще не было, но уже начали собираться базы данных. В больнице и в любом госоргане вас начинают записывать в компьютер — собирается база данных.

Тогда только зарождалась культура работы с компьютером, как и понятие защиты информации. Все крупные хакерские атаки были чуть позже. Они показали, что такая концентрация информации в одном месте несет огромные риски.

Позже Интернет широко распространился, появились совершенно другие уровни и риски.

Сейчас этот день больше о том, как себя вести в Интернете, как делиться собственной информацией, понимать, где ты ее оставляешь, какие риски возможны при ее распространении.

Сергей Стуканов: Что мы относим к персональным данным и что нежелательно оставлять о себе для Google?

Владимир Фльонц: Стоит разделять то, что принято считать персональными данными с точки зрения законодательства и нашего закона, где говорится, что персональными данными можно считать любые данные, по которым вас можно идентифицировать. Что касается общей культуры использования Интернета, эта информация еще более шире. Это могут быть ваши фото, посты в соцсетях и так далее.

В качестве примера я всегда говорю о том, что самыми точными персональными данными является ваш медицинский анализ. Анализ ДНК — самая точная персональная информация. Надо понимать, что персональные данные — очень широкое понятие.

В Европе с 5-6 классов средней школы есть отдельный курс о том, как безопасно вести себя в Интернете. Дети только начинают работать с этим и не понимают рисков.

Показательный пример: учительница 5 класса специально сделала фотографию с табличкой: «Это для урока по безопасности в Интернете. Пожалуйста, покажите ученикам, как далеко эта картинка способна зайти». Вечером это фото «расшерили» тысячи раз, его видели миллионы. На следующий день — сотни тысяч раз, аудитория перевалила за миллиард.

Этот пример показал: размещая что-то в Интернете, будьте внимательны. Аудитория, которая может это увидеть, гораздо больше, чем вы можете себе представить.

Понимайте классическое правило: то, что однажды попало в Интернет, останется там навсегда. Удалить вы это сможете только у себя.

Сергей Стуканов: Насколько безопасно хранить материалы на Google Диск, если они доступны только мне?

Владимир Фльонц: Во-первых, Google — коммерческая компания, которая связана с вами публичным договором предоставления услуг. И вы эти услуги получаете, в основном, бесплатно. Соответственно, уровень ответственности Google перед вами очень относительный.

Во-вторых, безопасность у Google достаточно высокая. Но не надо забывать, что обычно ломают не столько системы, а пользователей из-за того, что они ставят себе очень слабые пароли, простые вопросы на их восстановление.

Компьютерная безопасность — комплексная вещь. Она должна быть во всех направлениях. Достаточно найти одно слабое место — и ваши данные уже не ваши.

Сергей Стуканов: Часто говорят, что пароли нужно менять раз в неделю.

Владимир Фльонц: Наверно, это чересчур. Но менять нужно. И по очень простой причине. В прошлом году была серия крупных утечек баз паролей. В первую очередь, более 100 миллионов пользователей LinkedIn, 90 миллионов пользователей Вконтакте, десятки миллионов пользователей электронной почты Rambler и многие другие.

Сейчас эти базы доступны в сети и открыты. Если вы были пользователем этих сетей и не меняли пароль за последний год, скорее всего, ваш пароль давно в открытых базах в Интернете.

Если вы этим же паролем входите в Фейсбук, Gmail — эти сервисы фактически вам не принадлежат.

Хорошо, что есть открытые сайты, которые накапливают эту информацию и позволяют проверять ее время от времени. Полезно заходить, вбивать свой электронный адрес и смотреть, не засветился ли он в базах с паролями. Если засветился, нужно немедленно менять все свои пароли.

Алена Бадюк: Как злоумышленники могут воспользоваться этими базами данных?

Владимир Фльонц: Есть два направления, которыми они пользуются. Во-первых, целевое, когда пытаются взломать вас и достучаться до вашей информации.  Тут нужно, чтобы ваша информация была интересна кому-то конкретному. Это редкое явление. Но большинство людей считает: раз мой ящик и мои фотографии на Google Диск никому не интересны, я в безопасности.

Но нет. Существует второй пласт, когда взламывают сотни тысяч аккаунтов в автоматическом режиме с целью вымогательства и мошенничества. Они могут предложить вам за деньги выкупит аккаунт и вернуть свою информацию назад, могут написать от вашего имени всем, с кем вы переписывались или списку друзей.

Это элементарное сообщение, что вам не хватает 50 гривен пополнить телефон — вот только номер изменился; или срочно нужна помощь: вас задержали и нужны деньги на штраф — вот номер карточки.  Я тоже регулярно получаю такие сообщения со взломанных аккаунтов друзей.

Сергей Стуканов: Это работает?

Владимир Фльонц: К сожалению, да. Особенно, когда пишут очень близким друзьям. Кроме того, злоумышленники знают методы социальной инженерии и обычно делают это ночью, когда вы менее сосредоточены и менее бдительны.

Алена Бадюк: А это может быть расследовано и выявлено?

Владимир Фльонц: У нас для этого есть специальное отделение кибер-полиции, которое нацелено на мошенничество в Интернете и на такие случаи. Но я практически не слышал ни одного успешного дела, в котором бы таких злоумышленников находили и наказывали.

Однажды нам удалось словить взлом аккаунта с целью вымогания, мы с друзьями-инженерами подсунули злоумышленнику специальный линк, по которому вычислили его местонахождение. Оказалось, что это Луганск, и на этом все расследование закончилось. Мы смогли отследить расположение фактически до района города.

Сергей Стуканов: Ваша организация называется «Электронная демократия». Очевидно, речь идет о возможности волеизъявления через Интернет. Насколько эти технологии защищены от вмешательств?

Владимир Фльонц: В большинстве стран мира то, что называется национальный выбор еще проводится на бумаге, к сожалению. Но к радости, технологии достаточно сильно защищены от хакеров. История с возможным вмешательством в выборы США, скорее о том, как пытались достучаться до данных пользователей, а не повлиять на количество голосов.

Единственная страна, в которой это активно используется на национальном уровне, Эстония. Но там за более, чем 10 лет использования интернет-голосования в официальных государственных выборах, система ни разу не было скомпрометирована.

У нас интернет-голосование — мало распространенная практика. Тем не менее, в голосованиях за общественный совет НАБУ есть позитивный прецедент интернет-голосования, сейчас заканчивается голосование за общественный бюджет Киева, на котором распределяются сотни миллионов гривен на общественные инициативы. Система неплохо защищена, для этого используется, ваш аккаунт проверяется через банковские сервисы, поэтому возможность накрутки практически отсутствует.

Алена Бадюк: Какие данные ни в коем случае нельзя оставлять в Интернете?

Владимир Фльонц: Данные, которые вы не можете представить доступными публично.

Сергей Стуканов: Если эти данные на компьютере, который постоянно подключен к Интернету, можно влезть и забрать их?

Владимир Фльонц: Да. К сожалению, никто не застрахован от того, что вы не подхватите какой-то вирус, который не «сольет» эти данные.