Tooprogram.ru

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Безопасность и конфиденциальность

Как сохранить безопасность в Сети и защитить личные данные

Разбираемся, отличается ли конфиденциальность данных от безопасности и что делать, чтобы сохранить и то и другое, – в проекте «Понятно о технологиях»

В начале 2018 года китайский художник Денг Юфенг создал арт-объект, который, по замыслу автора, напоминал пользователям о важности защиты личной информации в Сети. Автор приобрёл персональные данные более 300 тысяч жителей Китая, чтобы затем выставить их в музее. Потратив всего тысячу долларов, художник получил имена пользователей, телефонные номера, а также историю покупок и данные о путешествиях. Один пользователь «стоил» чуть меньше цента.

Буквально на следующий день местные власти закрыли выставку, а самого художника обвинили в нелегальном распространении частной информации. Юфенг заявил, что материал для выставки он купил у брокеров данных – специалистов, которые занимаются сбором и продажей персональной информации, так что сделать то же самое мог любой другой человек. Informburo.kz и IT-компания DAR в проекте «Понятно о технологиях» рассказывают о том, что важно знать, чтобы обезопасить личные данные и кто и как может получить к ним доступ.

Что происходит?

Большие объёмы информации позволяют интернет-магазинам, поисковым агрегаторам или кредитным организациям не только получать данные о пользователях, но и использовать их для своих бизнес-процессов. Например, кредитные организации могут оценивать платёжеспособность пользователей и выдавать займы только тем, кто способен погашать кредит в срок и с процентами. Причём данные для такого анализа могут быть собраны на дейтинг-сервисах, где пользователи добровольно отвечают на десятки разных вопросов.

Охота за информацией даже сформировала новую профессию так называемых брокеров данных – специалистов, которые занимаются сбором, анализом и продажей персональных данных. Именно у таких специалистов Юфенг приобрёл данные для своей инсталляции.

Безопасность и конфиденциальность: есть ли разница?

Понятия «безопасность» и «конфиденциальность» часто путают. Безопасность – это то, как организация (или другой пользователь) хранит вашу информацию и защищает её, а конфиденциальность – до какой степени вам комфортно делиться данными. Например, дейтинговый сервис может быть безопасным, но не конфиденциальным.

Важно понимать, что технологии постоянно меняются, а вместе с ними и определения конфиденциальности и безопасности данных. Так, ряд на первый взгляд простых действий – подключить бесплатный VPN, перейти в режим «инкогнито», согласиться на сбор cookies, раз уж «так положено» – может серьёзно угрожать сохранности ваших данных, в том числе и банковских.

Что не так с режимом «инкогнито»?

Если учесть, что все наши посты, лайки и комментарии в сети внимательно отслеживаются поисковыми сервисами и рекламными ботами, режим «инкогнито» кажется оптимальным вариантом избежать слежки и не оставить нежелательных следов. Пользователи могут просто переключиться между вкладками в браузере и рассчитывает на отсутствие ведения записей или сохранения поисковых запросов, не зная, что режим «инкогнито» защищает только небольшую часть данных (при включении пользователь даже получает соответствующее уведомление).

Режим «инкогнито» не обеспечивает никакой специальной приватности.

Однако больше половины пользователей, опрошенных исследователями университета имени Лейбница в Ганновере, уверены, что в приватном режиме не сохраняются поисковые запросы. Ещё 40,2% уверены, что сайты не могут отследить местоположение пользователя, а также историю просмотров в режиме «инкогнито». Это не так.

Режим «инкогнито» будет полезен только в том случае, если вы пользуетесь публичными устройствами, например компьютером, в холле отеля или ноутбуком во время аренды офиса в другой стране. В этом случае другой пользователь, который будет использовать этот же компьютер после вас, не сможет увидеть активность или поисковые запросы в Сети.

Читать еще:  Как отключить защитник 10

Обратная сторона «печенек»

Наверняка вы замечали, как во время входа на тот или иной сайт пользователей предупреждают, что сервис собирает файлы cookie. Вы могли согласиться или отказаться от сбора таких данных. Cookie – это небольшие текстовые файлы, хранящиеся на вашем устройстве. Это информация, связанная с вашей активностью в сети. Например, сайты могут использовать cookies, чтобы вам не приходилось каждый раз вводить логин и пароль для своей учётной записи.

С одной стороны, они помогают пользователям, но с другой, такие файлы могут способствовать отслеживанию информации третьими лицами. Представьте, вы один раз вбиваете в поиск товары из магазина для взрослых, а потом видите баннеры с тематической рекламой на других сайтах.

Таким образом и используются cookies.

Бесплатные VPN

Пользователи всё чаще пытаются защитить персональные данные и обойти блокировки некоторых сайтов, которые заблокированы на территории той или иной страны. В попытках сохранения конфиденциальности большинство обращается за помощью к VPN – виртуальной частной сети, которая шифрует исходящие данные поверх обычного соединения.

VPN бывают платные и бесплатные. Бесплатные берут на себя все расходы, связанные с оплатой услуг дата-центра и поддержкой, а взамен предлагают пользователям просматривать рекламные ролики перед каждым подключением. Платные VPN-сервисы, соответственно, обходятся без рекламы.

Вопрос в том, стоит ли доверять бесплатным VPN, которые живут за счёт показа рекламы (и для этого собирают ваши данные), или всё же обращаться к платным версиям?

Согласно материалу Роба Мартисала для The Best VPN, в котором автор сравнил более 100 наиболее популярных сервисов VPN, выяснилось, что четверть подобных сервисов ведут учёт данных пользователей, не сообщая им об этом. Если внимательно прочитать соглашение о политике конфиденциальности большинства бесплатных VPN-сервисов, выяснится, что разработчики вполне могут продавать данные пользователей третьим лицам.

Словом, прежде чем работать с VPN – при этом неважно, платным или бесплатным – обязательно внимательно прочтите пользовательское соглашение.

Сложные пароли

У большинства пользователей пароли от социальных сетей и электронной почты часто совпадают. Делается это для того, чтобы не заморачиваться с запоминанием разных комбинаций цифр и букв, а ещё лучше – сделать пароль максимально простым и понятным.Такие комбинации как 123456, qwerty (шесть первых букв в английской раскладке на клавиатуре) или название любимой футбольной команды часто становятся паролями для учётных записей большинства пользователей.

В опросе, который провел Национальный центр кибербезопасности Великобритании, сообщается, что набор цифр «123456» по-прежнему остаётся самым популярным паролем среди взломанных аккаунтов.

«Вам не следует защищать свои конфиденциальные данные с помощью чего-то, что можно угадать. Например, своего имени, местной футбольной команды или любимой группы», – говориться в исследовании. Авторы советуют придумывать длинные пароли, которые должны состоять из букв, цифр или сложных символов, тем более что пароль остаётся первой и чуть ли не основной защитой ваших данных от хакеров.

Вариантом несложного, но надёжного пароля может стать набор слов или ассоциаций, которые вам близки. Например, если вы играете на музыкальном инструменте, то словами для пароля могут быть «гитара, руки, голос, струны». Вариаций может быть множество. О таком способе защитить также говорят авторы отчёта Splash Data, которые предлагают выбрать четыре произвольных слова для пароля, соединив их вместе.

«Для взлома пароля «правильно, лошадь, батарея, скобка», злоумышленникам потребуется до 500 лет. Кроме того, такой порядок слов проще запомнить», – уверены аналитики.

Читать еще:  Самый мощный антивирус

Когда вы используете уникальные и сложные пароли для всех веб-сайтов, на которых зарегистрированы, очень сложно удерживать их все в голове. Авторы исследования о паролях предлагают пользователям использовать один, но сложный пароль, а чтобы не забыть его, обзавестись менеджером паролей. Такие программы помогут решить проблему запоминания длинных паролей и хранить их в безопасности. Пользователи могут использовать такие приложения как KeePass , Apple’s Keychain или LastPass .

Читайте Informburo.kz там, где удобно:

Если вы нашли ошибку в тексте, выделите ее мышью и нажмите Ctrl+Enter

Защита конфиденциальной информации в организации

ГК «Интегрус» предлагает услуги по защите конфиденциальных данных, коммерческой информации и ноу-хау разработок для предприятий. Для каждой компании, имеющей доступ в Интернет, использующую информационные системы для своей работы, разрабатывается пакет собственных нормативных документов, ИТ-решений, обеспечивающих безопасность на всех уровнях.

Конфиденциальная информация (данные) – это такая информация, доступ к которой ограничен согласно требованиям законодательства или нормами организации (предприятия). Требуют применения мер защиты следующие виды конфиденциальных данных:

  • личные – касающиеся частной жизни граждан, в том числе персональные данные (ПНд), за исключением сведений, подлежащих распространению в СМИ;
  • служебные – то, что можно отнести к категории служебной тайны;
  • судебные – любые сведения о судьях, должностных лицах контролирующих и правоохранительных органов, потерпевших, свидетелей, участников уголовного судопроизводства, а также любая информация из личных дел осужденных, о принудительном исполнении судебных актов;
  • коммерческие – это коммерческая тайна, плюс сведения об изобретениях, полезных моделях, промышленных образцах до официальной публикации информации по ним предприятием (ноу-хау, технологии производства, секреты разработки и т.д.);
  • профессиональные – врачебная, нотариальная, адвокатская тайна, тайна телефонных переговоров, почтовых сообщений, переписки, телеграфных и иных видов сообщений.

В своей работе мы обычно имеем дело с защитой служебной, коммерческой, профессиональной и личной конфиденциальной информации. Защита данных и сведений в организации строится на трех уровнях:

  • ограничение несанкционированного доступа (с целью модификации, изменения, уничтожения, копирования, распространения и прочих неправомерных действий):
      • замки, двери, решетки на окнах, сигнализация и т.д. – любые средства, ограничивающие физический доступ к носителям информации;
      • генераторы шума, сетевые фильтры и другие устройства, перекрывающие или обнаруживающие каналы утечки информации.
  • разграничение доступа для сотрудников (персонала) организации клиента;
  • реализация прав доступа для работников предприятия.

Защита конфиденциальных данных предполагает проработку таких решений для ИТ-инфраструктуры, чтобы иметь возможность:

  • своевременного обнаружения фактов несанкционированного доступа к информации;
  • снижения уязвимости технических средств обработки и хранения информации;
  • оперативного восстановления поврежденной, модифицированной информации;
  • предупреждения о последствиях несанкционированного доступа к конфиденциальным данным.

В отношении личной конфиденциальной информации, персональных данных, нами также осуществляется контроль размещения баз данных на территории России.

Средства защиты конфиденциальной информации

Все средства и мероприятия, нацеленные на защиту конфиденциальной информации, базируются на трех уровнях:

  1. Правовой, обеспечивающий единый госстандарт по информационной защите, но не нарушающий права пользователей. Уровень регламентируется Законом РФ «Об информации, информатизации и защите информации», подзаконными актами РФ, внутриорганизационными положениями о защите конфиденциальной информации, определяющими работу с «закрытой» документацией. На этом уровне от нас требуется так выстроить информационную систему и решения по ее защите, чтобы не нарушить права пользователей и нормы обработки данных.
  2. Организационный, упорядочивающий работу с конфиденциальной документацией, определяющий степени и уровни доступа пользователей в информационные системы, носителями информации. Этот уровень предотвращает утечку сведений по халатности или небрежности персонала, сводя его к минимуму.
    • Сюда относятся архитектурно-планировочные мероприятия и решения, структурирование систем запросов и выдача допусков на пользование Интернетом, корпоративной электронной почтой, сторонними ресурсами.
    • Права на получение и использование подписи в электронном цифровом виде, следование корпоративным и морально-этическим правилам, принятым внутри организации, также являются важными составляющими защиты конфиденциальных данных.
  1. Технический уровень защиты конфиденциальной информации включает подуровни – аппаратный, криптографический, программный, физический.
Читать еще:  Игра запускается в безопасном режиме

Организация защиты конфиденциальных данных

Организационные мероприятия по защите конфиденциальной информации начинаются с разработки регламента работы пользователей с информационной системой и информацией в ней. Правила доступа разрабатываются нашими специалистами совместно с руководством предприятия, службой безопасности.

Уровни правовой и организационной защиты данных являются неформальными средствами защиты информации. Кроме административных (организационных) регламентов и законодательных (правовых) норм сюда можно отнести и морально-этические правила. Наша задача на административном уровне – пресечь, сделать невозможными повреждения или утечки данных вследствие нерадивости, халатности или небрежности персонала.

Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

  • разграничение и реализация прав доступа к конфиденциальным сведениям;
  • защита переговорных комнат, кабинетов руководства от прослушки;
  • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
  • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

Техническая защита конфиденциальных сведений

Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

Физический способ предполагает поддержание работы механизмов, являющихся препятствием для доступа к данным вне информационных каналов: замки, видеокамеры, датчики движения/излучения и т.п. Это оборудование действует независимо от информационных систем, но ограничивает доступ к носителям информации.

Аппаратными средствами безопасности считаются все приборы, монтируемые в телекоммуникационных или информационных системах: спецкомпьютеры, серверы и сети организации, система контроля работников, шумовые генераторы, любое оборудование, перекрывающее возможные каналы утечек и обнаруживающее «дыры» и т.д.

Программные средства представляет комплексное решение, предназначенное для обеспечения безопасной работы (пример – DLP и SIEM системы, блокирующие возможную утечку данных и анализирующие реальные сигналы тревоги от устройств и приложений сетевого характера):

  • DLP (Data Leak Prevention, предотвращение утечки данных) – средства для пресечения утечки данных, модификации информации, перенаправления информационных потоков;
  • SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов. SIEM представлены приложениями, приборами, программным обеспечением.

Криптографическая (математическая) защита позволяет безопасно обмениваться данными в глобальной либо корпоративной сетях. Математические преобразованные, шифрованные каналы считаются оптимально защищенными. Но стопроцентной защиты никто гарантировать не может!

Криптография (шифрование) данных считается одним из самых надежных способов – технология сохраняет саму информацию, а не только доступ к ней. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов и каталогов (папок), целых серверов.

Средства криптографической защиты конфиденциальной информации требуют внедрения программно-аппаратного комплекса:

  • с использованием криптопровайдеров (программных компонентов шифрования);
  • организацией VPN;
  • применением средств формирования, контроля и использования ЭЦП.

При внедрении систем шифрования данных следует заранее продумать их совместимость с иными системами (включая внешние).

Техническая защита конфиденциальной информации в организации требует проведения аттестации – набора организационных и иных мероприятий, достаточных для безопасной работы с конфиденциальными данными. Аттестация базируется на требованиях и рекомендациях ФСТЭК, применяется для защищаемых помещений и автоматизированных систем.

Отсутствие или недостаточное внимание к одной из составляющих защиты конфиденциальной информации на предприятии может закончиться тем, что внутренние данные окажутся достоянием мошенников. Обеспечивая информационную безопасность, необходимо всегда использовать комплексные меры, учитывающие множественность способов защиты.

Ссылка на основную публикацию
Adblock
detector