Заложники сети

В недалеком будущем почти все преступления будут совершаться в киберпространстве, и заниматься этим будет специальная киберполиция. Но пока нашу личную информацию охраняет только механизм закона о персональных данных и, надо признаться, механизм этот пока работает со скрипом.

Прекрасное было время, когда самым известным сетевым преступлением было удержание пауком в своей паутине Мухи-Цокотухи. Правда, оценить тотальную безопасность было некому - население Интернета по количеству было недалеко от нуля. Сейчас же многие с трудом могут представить жизнь без Интернета, и число зависимых от всемирной Сети все растет.

В глобальной Сети мы отправляем и получаем письма, ищем информацию и читаем книги, покупаем и продаем, ищем любовь и работу. Но чем больше в Сети появляется информации, которую можно использовать в корыстных целях (а в наш век информация - это все), тем больше становится нехороших людей, которые пытаются до нее добраться. Пускай наш персональный электронный адрес и мобильный телефон не являются тайной государственной важности, но труженики директ-мэйла (они же спамеры), которые доберутся до них, могут попортить много крови. Особенно туго приходится тем, кто размещает резюме в Интернете - ведь контакты даны деловые, рабочие. Личный номер можно просто поменять, сообщив об этом родным и друзьям, создать новый почтовый ящик тоже не составит труда. Ну а если это рабочий телефон или ящик, по которому с вами связываются клиенты?

Специалисты по компьютерной защите считают, что в недалеком будущем почти все преступления будут совершаться в киберпространстве, и заниматься этим будет специальная киберполиция. Но пока до этого далеко, охраняет нашу личную информацию только механизм закона о персональных данных и, надо признаться, механизм этот пока работает со скрипом. Так что же делать? Обрезать сетевой кабель, выкинуть компьютер (мало ли что!) и искать работу только в печатных СМИ? Лучше просто смотреть, кому доверяете. У современных интернет-сервисов, которые работают с личными данными, должна быть эффективная защита баз от посягательств.

Человеческий фактор

Следует признать, что информация среди пользователей о наиболее распространенных способах проникновения вирусов давно устарела.

В первую очередь всегда и во всем принято обвинять сотрудников. И часто небезосновательно. Разработана даже методика, названная «социальная инженерия», следуя которой гораздо легче обмануть не технику, а людей. Был проведен эксперимент. В офисе одной компании были разбросаны флеш-накопители, под завязку забитые вредоносными программами. Пятнадцать (!) человек подобрали их и воткнули в рабочие компьютеры (а как же еще проверить, что там такое интересное записано). Программы сразу заработали и начали собирать пароли, персональные данные и другую полезную информацию. Это лирика, конечно. Но непрофессионализм сотрудников действительно является большой проблемой, что наглядно подтвержает, в частности, специальное исследование компании G Data Software AG, посвященное мифам об информационной безопасности.

Согласно опросу, проведенному в апреле-мае 2011 года среди 1 085 интернет-пользователей в возрасте от 18 до 65 лет, 97,88% респондентов уверены в том, что они заметят, если их компьютер будет заражен. Такое заражение, по их мнению, проявляется в виде подозрительных всплывающих окон, при ощутимом замедлении работы компьютера или в полном ее прекращении.

Однако в настоящее время это большое заблуждение, так как преступники заинтересованы в краже информации и денег, а значит, пользователь не должен знать о заражении как можно дольше. В прошлом вредоносные программы создавались разработчиками для того, чтобы доказать свои технические способности, сейчас же они предпочитают скрываться от жертв и антивирусов.

Также следует признать, что информация среди пользователей о наиболее распространенных способах проникновения вирусов давно устарела. Электронная почта в этом ряду уже не является лидером (пользовали стали более внимательны к вложениям и ссылкам в письмах). Файлообменники также могут быть опасны, но они не лидируют в списке опасных хранителей вирусов. Утверждение о USB-накопителях, хотя и показательно на предыдущем примере, в основном было актуально в 90-е годы прошлого века. Большинство вредоносных программ сейчас распространяется через вредоносные веб-сайты, хотя в обратном уверены 48,48% опрошенных россиян. А 11,89% уверены, чтобы если не открывать зараженные файлы, то нельзя заразить свой ПК - и это факт не может не вызывать беспокойство. 

Чтобы не провоцировать хороших людей на плохие поступки, у разработчиков не должно быть доступа к базам с данными пользователей.

• Чаще всего доступ к базам данных получают через почту администратора, где хранятся все логины и пароли. Что с этим должны делать компании, которым приходится иметь дело с персональными данными пользователей? Повышать уровень знаний о безопасности у сотрудников: семинары, мастер-классы, бесконечные инструкции - все это необходимо.

• Во-вторых, нужно ограничить доступ к базам данных тех сотрудников, работа которых не связана напрямую с данными о соискателях.

• Плюс к этому, должны быть задействованы дополнительные механизмы безопасности, такие как идентификация пользователя системы по смарт-карте, мобильному телефону или токену (специальная флешка). На hh.ru сотрудникам, чтобы войти в бэк-офис с домашнего компьютера, нужно набрать логин и пароль, после чего на их личный мобильный приходит смс с одноразовым кодом доступа. При этом на сайтах Группы компании HeadHunter (куда входят также career.ru и rabota.mail.ru) никогда не бывает всплывающих окон с просьбой ввести номер телефона.

• Регистрация нового пользователя и авторизация уже существующего на hh.ru совершенно бесплатна. Платными являются только конкретные услуги для работодателей и соискателей. Кроме того, при работе посетителей не просят переходить на другие ресурсы. URL-адрес сайта — http://hh.ru (никаких www, никаких дефисов или подчеркиваний; региональные домены разделены точкой: http://samara.hh.ru, http://novosibirsk.hh.ru).

• Еще одно потенциальное слабое звено - разработчики. Они - демиурги в этой системе. По мановению их ловких пальцев создается все, что мы видим перед собой на мониторе. Но власть - это большая ответственность. И у некоторых людей под тяжестью этой ноши начинает расползаться на молекулы совесть. Чтобы не провоцировать хороших людей на плохие поступки, у разработчиков не должно быть доступа к базам с данными пользователей. То же самое относится и ко всем остальным специалистам, деятельность которых напрямую с данными пользователей не связана. Например, системный администратор. Все это моменты проверяются во время аккредитации ресурса на соответствие закону о хранении персональных данных. HeadHunter проверку прошел.

Жесткий софт

Большая разница между платным и бесплатным ПО определяется тем, какие технологии безопасности оно в себя включает. Платное, помимо антивируса, содержит http-фильтр, брандмауэр, антиспамовый модуль и функцию поведенческого распознавания вредоносных кодов.

• Дыра, в которую проникает рука злоумышленника, бывает не только в сумке. В программном обеспечении тоже бывают дыры, и нечистых рук, которые норовят залезть в них, хоть отбавляй. Одной из самых распространенных проблем является SQL injection - способ взлома сайтов и программ, работающих с базами данных. Эффективным методом борьбы с ней является постоянный надзор со стороны компетентных лиц, обнаружение тех самых дыр и своевременное их «латание». При разработке программного обеспечения должна использоваться программа, проверяющая код на наличие опасных моментов. Специальный сотрудник должен следить денно и нощно за обновлениями, а консультанты по безопасности должны  денно и нощно вести просветительскую работу в сфере мошеннических новинок. Вообще постоянные мастер-классы, семинары и прочие мероприятия, обогащающие знаниями мозг разработчиков, весьма полезны.

• Обогащенные чужим опытом сотрудники еще при создании системы могут избежать многих потенциальных проблем. Например, перебор номеров. Если вы зарегистрированы на hh.ru, в зависимости от ваших пожеланий, резюме может быть в открытом доступе для зарегистрированных пользователей ресурса или спрятанным ото всех пользователей, кроме избранных вами. Для остальных вы должны остаться невидимкой. Во многих социальных сетях эти настройки можно обойти, просто вбив в адресной строке номер (произвольный или конкретный) страницы, после чего она открывается. Но на hh.ru и ресурсам с подобной защитой это не пройдет! Номера должны быть зашифрованы. Резюме не видит никто, кроме зарегистрированных работодателей, даже поисковые системы.

• В Интернете постоянно получается так, что удобство оборачивается проблемами. Когда браузеры научились сохранять логины и пароли, чтобы не вводить их каждый раз на своем компьютере, тут же нашлись те, кто решил этим воспользоваться. Специальные программы воруют из браузеров пароли. Наверное, каждый сталкивался с такой ситуацией (или видел, как это происходит у знакомых), когда крали пароли от Скайпа или ICQ, где были контакты всех клиентов. Или святая святых - ваш блог, созданный для того, чтобы найти работу своей мечты, над которым вы работали на протяжении долгих недель или даже месяцев. Поможет ли корвалол, когда в один прекрасный день вы обнаружите, что не можете залогиниться, а в вашем блоге нет ни одного сообщения, потому что кто-то забавы ради все их стер. hh.ru считает, что сохранять пароли - плохо, по понятным причинам. Но для удобства пользователя, сохраняются данные сессии. То есть если вы случайно закрыли страничку или перезагружали компьютер, логиниться заново не придется. Разумный компромисс. Та же проблема опасного удобства возникает, когда в рассылке с нужного сайта вам предлагают залогиниться, просто перейдя по ссылке. Конечно, лишних телодвижений меньше, но вот если почту сломали... «Правильные» системы считают такую опцию лишним риском, тем более не так уж и сложно лишний раз набрать логин и пароль, если это делается ради безопасности данных. 
  
• В целом миф о том, что бесплатное и платное ПО одинаково защищают компьютер от вирусов, поддерживают 83,78% россиян, выяснили эксперты G Data Software AG. Хотя 56% на вопрос о разнице между бесплатным и платным защитном ПО выразили сомнение относительно того, что качество обоих видов защитного ПО сравнимо. 15% не имели никакого понятия, насколько бесплатные продукты безопасности проигрывают платным в отношении эффективности

Не стоит сохранять пароли в браузере, подсоединять к компьютеру носители информации неясного происхождения, переходить по непонятным ссылкам, ставить непонятные программы и сообщать неизвестным людям свои данные.

Большая разница между платным и бесплатным ПО определяется тем, какие технологии безопасности оно в себя включает. Платное, помимо антивируса, содержит http-фильтр, брандмауэр, антиспамовый модуль и функцию поведенческого распознавания вредоносных кодов. Это было известно только 17% участников опроса.

Большой брат смотрит

• Если взять любой сайт, посвященный работе, можно увидеть длинный список потенциальных зарегистрированных работодателей. И сразу приходит в голову мысль, что стоит только зарегистрировать какую-нибудь контору «Рога & копыта», сохранять резюме пачками и продавать спамерам. Действительно, если руководство не контролирует ситуацию - так все и будет. Но такой сервис нас не устраивает. Контроль за работодателями должен быть жесткий, как на hh.ru! Только реальные компании и никак иначе. Конечно, придется проверять каждую фирму, все данные, указанные в регистрационной форме, чтобы знать наверняка, но такова цена безопасности. В договоре, заключаемом при регистрации, должен быть четко прописан пункт, следуя которому запрещено передавать свой аккаунт в пользование другому человеку (у каждого сотрудника компании должна быть своя учетная запись) или другой компании. И за соблюдением этого условия тоже нужно следить.

• Экономия ресурсов - постоянная проблема в Сети. Это из-за нее часто отказываются от эффективных мер по безопасности. Но hh.ru считает, что компромиссы здесь не уместны. На сайте HeadHunter каждому работодателю выделен определенный лимит просмотров резюме: 8 тысяч на одну компанию и 500 на отдельного пользователя. Плюс ко всему - сохраняется история просмотра каждого резюме, несмотря на то, что эта процедура поглощает большое количество ресурсов. Экономить на безопасности пользователей себе дороже.

Конечно, абсолютной безопасности не существует. Все развивается, технологии совершенствуются, к сожалению, в том числе и преступные. В конце концов, кто не рискует, тот не пользуется Интернетом. Но, прежде всего, стоит помнить, что спасение утопающих дело рук сами знаете кого, поэтому стоит самому обратить внимание на безопасность и не ждать, что киберполиция будет вас беречь.

Нужно пользоваться сервисами, которые заслуживают доверия и заботятся о безопасности данных своих пользователей.

«Большинство интернет-пользователей в России, независимо от возраста и пола, знают о существенной опасности при серфинге в сети Интернет. Но, к сожалению, этих знаний явно недостаточно или они уже устарели, - с сожалением подытоживает Роман Карась, управляющий продажами в ретейле G Data Software в России и СНГ. - Лишь немногие могут правильно указать опасности, которые существуют в Интернете, лишь подтверждая расхожие мифы. Именно поэтому Россия занимает последнюю, 11-ю, строчку в составленном нами рейтинге самых просвещенных и грамотных стран в области ИТ-безопасности».

На компьютере должен стоять антивирус, который отловит хотя бы часть вредоносных программ. Не стоит сохранять пароли в браузере, подсоединять к компьютеру носители информации неясного происхождения, а также доверять непонятным сообщениям (даже если они обещают суперхаляву), переходить по непонятным ссылкам, ставить непонятные программы (даже за компанию с известным софтом) и сообщать неизвестным людям свои данные. И, конечно, нужно пользоваться сервисами, которые заслуживают доверия и заботятся о безопасности данных своих пользователей. И, скорее всего, мошенники отправятся искать более легкую, чем вы, добычу.