Опасности цифровой эпохи

_{Наталья Касперская, руководитель группы компаний InfoWatch, сооснователь «Лаборатории Касперского»}

Сейчас все время мы находимся в состоянии, я бы сказала, истерии по поводу того, что появилась новая технология, и нужно быстрее в нее бежать. Это напоминает дурной квест. Кто-то разложил подсказки, и мы по ним бегаем.

Ущербность этого квеста в том, что подсказки раскладывает кто-то другой. На это все накладывается шум в прессе и создание общего мнения, что главное не опоздать. Но попытки следовать за модой приводят не к тому, что нам действительно нужно. Мы направляем ресурсы туда, куда необходимо «евангелистам» той или иной технологии. При этом я еще не встречала ни одной технологии, которая бы не несла с собой рисков и угроз.

Кому принадлежит информация

Я 23 года своей жизни занимаюсь информационной безопасностью. Эта сфера представляет собой антитезу новым технологиям. По роду деятельности мы должны смотреть на их недостатки и уязвимости.

Условно все проблемы новых технологий можно разделить на две группы. Это кибер-угрозы - они обращены к цифровой инфраструктуре (различные вирусы и закладки). Информационные угрозы воздействуют на наш мозг. В отличие от киберугроз, информационные атаки существуют столько же, сколько существует человечество. Но проникновение цифровых технологий сделало операции информационного влияния куда более эффективными.

На стыке кибер- и информационных угроз стоят слежка, утечки информации. Мы вошли в эпоху, когда массовая слежка стала обыденным явлением. 8-10 лет назад выяснилось, что на большом объеме данных можно сделать такие выводы, к которым нельзя прийти на основе выборки. С тех пор все программы и устройства собирают информацию о пользователях.

Когда киберугрозы — ваша проблема

Все данные, которые вы поместили в сеть, уже не ваши. Это не хорошо и не плохо, это данность. В прошлом году был известный скандал, когда фотографии фривольного содержания звезд шоу-бизнеса оказались в общем доступе. Почему это произошло? Эти люди сами разместили свои фото на внешних хостингах. А закрытых хостингов не бывает.

Но в этом примере речь идет о публичных персонах. Каждый сам строит свою оценку угроз, от которых так или иначе имеет смысл выстраивать системы защиты. Если я считаю, что скрывать мне нечего, то и действовать я могу абсолютно вольготно. Но если я рассматриваю возможность стать чиновником или войти в публичную политику, если я хочу стать крупным бизнесменом, я вынуждена буду действовать иначе и заботиться о сохранности информации, которая передается по цифровым каналам. Тому, кто считает, что его информация имеет или может иметь хоть какую-то ценность, нужно следовать некоторым базовым рекомендациям.

Можно ли защитить смартфон

Нужно понимать, что смартфон — это открытая книга. Такой пример: сейчас запрещен вход в министерство обороны со смартфонами, их нужно сдавать в специальное хранилище. Почему? Нужно исходить из того, что эти девайсы «слышат» все, что происходит вокруг, и без всякого стороннего разрешения могут делать снимки.

Из этой ситуации есть выходы. Самый доступный — вернуться к примитивным кнопочным сотовым телефонам. Либо воспользоваться чехлом, который полностью глушит сигнал. Естественно, этот способ защиты вашей информации вы сможете использовать только в определенные промежутки времени, например, во время особо важных переговоров.

Может показаться, что различные носимые устройства вроде фитнес-браслетов или смарт-часов более безопасны. Как человек, который занимается информационной безопасностью уже много лет, я их «не люблю» еще больше. Это принципиально облачные устройства. Всю информацию они направляют в облачные хранилища, расположенные за рубежом. Зачем это надо? Вы хотите, чтобы вся информация о вашем здоровье была доступна? Эти устройства точно не для людей, которые имеют более или менее серьезный вес в бизнесе или структурах власти.

Телевизор следит за вами

То же самое касается любых объектов интернета вещей. Наиболее показательный пример — смарт-телевизоры. Как могут работать технологии управления той или иной вещью которая подчиняется голосовым командам или жестам? Это значит, что телевизор на вашей стене вас слышит и видит, а также передает всю видео- и аудиоинформацию. Ведь смарт-телевизоры реализуют идею интернета вещей и не работают без подключения к открытой сети.

Самое примитивное средство защиты — заклеить камеру. Но нельзя забывать и о микрофонах. Конечно, для государственных органов создают так называемые устройства спецприменения. Из них буквально выкусывают средства сбора и передачи информации. Но чем дальше, тем все сложнее становится их находить, так как производители прячут «закладки» все глубже.

Кто читает личные сообщения

Очень удобный способ обмена информацией — мессенджеры. Можно быть уверенным, что вся информация, которая пересылается через них — открыта. Конечно, я и сама пользуюсь мессенджерами, когда нужно быстро пересылать какой-то текст. Например, согласовать с моим пиарщиком текст пресс-релиза.

Но этот текст так или иначе предназначен для публикации, поэтому я позволяю себе это делать. Так как факт утечки в данном случае не принципиален. Но я категорически запрещаю своим сотрудникам пересылать через мессенджеры какие бы то ни было важные конфиденциальные документы.

То же самое касается всех публичных почтовых сервисов. Надеюсь, вы заметили, что они направляют вам рекламные сообщения. Это означает, что вся ваша почта прочитывается. Но и это не все. Если ваша почта так или иначе связана с соцсетями, то это значит что публичные сервисы «подгружают» из них в свои базы данных и все сообщения, фото, видео- и аудиофайлы. Плюс, туда же сливается информация и из android-гаджетов.

Безграничные облака

Можно ли работать с облачными хранилищами и рассчитывать на сохранность информации? Можно. Первый вариант — использовать их для малоценной информации, но даже в этом случае я не рекомендую хранить в них файлы. Загрузили, отправили ссылку, партнер ее скачал, удалили. Только в этом случае у вас есть шанс на то, что поисковые системы его не проиндексируют, то есть фактически сделают общедоступным.

Более надежный способ сохранить в облаке конфиденциальную информацию — загружать туда только зашифрованные файлы. Понятно, что для этого нужно использовать специальные программы.

Надеюсь, что не нужно объяснять, что социальные сети — это изначально открытые системы общения. Даже если вы создали закрытую группу, все равно в нее можно зайти и прочесть вашу переписку. Для этого не обязательно быть супер-хакером. Все это делается достаточно просто.

Принцип защиты

В любом случае, основной принцип защиты информации заключается в том, чтобы система безопасности работала на уровень глубже, чем потенциальные средства стороннего доступа.

Чтобы вашу информацию не собирало приложение, защита должна работать на уровне операционной системы. Если шпионит ОС, тогда от утечек нужно защищаться уже через BIOS. Но и системы загрузки вполне могут содержать инструменты внешнего доступа. Тогда защитить конфиденциальные данные можно только через «железо».

Так что задумайтесь, может быть, вам все-таки нечего скрывать.

Наталья Касперская, предприниматель, руководитель группы компаний InfoWatch, сооснователь «Лаборатории Касперского», которой руководила около 10 лет. Специализируется на направлении защиты крупных компаний от внутренних угроз (утечек информации) и целенаправленных внешних атак.

_{*Материал подготовлен на основе публичного выступления в ВятГУ 23.04.2019 г.}