28 січня 2022 р.
Як захистити персональні та корпоративні дані
4 хв читання
День захисту даних – чудова нагода згадати коректні практики роботи з персональними даними.
Захист персональних даних починається з наших звичок. Про них і поговоримо детально.
Ми ділимося тим, чим не варто ділитися
(Шкідлива звичка № 1)
Ми багато про що розповідаємо в соцмережах. Поїздка на курорт на південний берег Франції, покупка нового телефону в інтернет-магазині, похід у ресторан та інші події з життя описуються у персональних стрічках із яскравими фотографіями. Ще ми любимо скаржитися на наші банки, телефонних операторів та інші організації.
Будь-яка інформація, якою ми ділимося, робить нас уразливішими для зловмисників. Шахрай може зв'язатися з нами та повідомити, що транзакція з оплати недавньої покупки (якою ми поділилися в Instagram) через наш банк (про який ми нещодавно писали у Facebook) пройшла з помилкою, і для завершення угоди необхідно повторно ввести банківські дані на сторінці, адреса якої зараз прийде через СМС.
Що можна зробити
Насамперед слід виважено підходити до використання соціальних мереж. Пам'ятати, що якщо інформація потрапила в інтернет, вона там назавжди і потенційно може бути доступною будь-кому.
До будь-яких спроб спрямувати до дії або поділитися інформацією потрібно ставитися розважливо. Приймаючи дзвінок від банку, поштової служби, державної установи, не варто поспішати що-небудь робити, навіть якщо той, хто дзвонить, називає вас на ім'я і ділиться іншою інформацією. Якщо дзвонять із банку – уточніть ім'я людини та в якому відділенні та відділі він чи вона працює. Запропонуйте зв'язатись з ними самостійно через номер телефону, доступний на сайті банку або відділення.
Так само варто ставитися до повідомлень, нібито відправлених банками, відомими компаніями та державними структурами.
Ми використовуємо слабкі або однакові паролі
(Шкідлива звичка № 2)
Коли мі обираємо паролі, часто припускаємо хоча б одну, а нерідко і всі помилки з цього списку:
- використовуємо одні й ті самі паролі для багатьох акаунтів;
- наші паролі дуже легко вгадати;
- ми зберігаємо паролі в незахищеному середовищі;
- ми покладаємося на пароль настільки, що нехтуємо двофакторною автентифікацією (коли для входу в обліковий запис потрібно не лише ввести пароль, а й пройти додаткову перевірку, наприклад, за допомогою CMC-коду).
Сценаріїв того, як нехтування правилами використання паролів може призвести до відчутних негативних наслідків, дуже багато.
Обираючи пароль для роботи з онлайн-сервісом, ми не тільки визначаємо ступінь захисту облікового запису, а й довіряємо збереження цього пароля. Якщо зловмисникам вдасться отримати доступ до бази даних паролів користувачів цього сервісу – наш пароль разом із нашою поштою опиняться в одній із сотень баз даних, якими торгують на спеціалізованих форумах. Комбінація з нашого логіну та паролю потім може використовуватись для спроби входу в наші соцмережі та інші сервіси.
Що можна зробити
Дисципліна роботи з паролями настає лише тоді, коли вдається виробити правильні звички. Насамперед варто користуватися двофакторною автентифікацією при роботі з електронною поштою, банківськими та фінансовими сервісами, а також із соцмережами.
Є інструменти для роботи з паролями, за допомогою яких можна збалансувати потреби безпеки з комфортом. Ці послуги зберігають дані у зашифрованому вигляді, генерують комбінації символів для сильних паролів, можуть навіть нагадувати про необхідність час від часу оновлювати паролі.
При виборі інструменту для керування паролями варто поцікавитись відгуками експертів та діючих користувачів. Власники бізнесів та компанії при виборі менеджера паролів звертаються безпосередньо до експертів інформаційної безпеки для консультації.
Ми не закриваємо доступ до пристроїв, коли відходимо від них
(Шкідлива звичка № 3)
Ця проблема часто спостерігається в офісах, коли фахівець відходить від робочого місця, залишаючи важливий документ на екрані незамкненого (не запароленого) пристрою. Буває, що поруч із комп'ютером залишається ще й телефон людини із відкритим месенджером.
Що можна зробити
У налаштуваннях пристрою можна зробити так, щоб він автоматично блокувався, якщо ним не користуються кілька хвилин.
Є комбінації клавіш, якими можна легко заблокувати доступ до комп'ютера. Їх можна використовувати, відходячи від пристрою:
- Mac – Control-Command-Q;
- Windows – Windows-L.
Ми користуємося публічними точками доступу
(Шкідлива звичка № 4)
Користуючись публічними точками доступу до Wi-Fi, ми надаємо зловмисникам можливість перехоплювати наші дані. Протоколи шифрування, якими користуються більшість онлайн-служб, забезпечують значний рівень захисту, але їх надійність не є абсолютною.
Рішення
Користуємося лише довіреними точками доступу та мобільним зв'язком.
Безпека даних у корпоративному середовищі
- Для передачі важливої інформації всередині компанії рекомендується використовувати електронну пошту, налаштовану внутрішньою командою IT-спеціалістів.
- Робоче листування має залишатися на пошті або месенджерах, схвалених внутрішньою командою IT.
- Має бути затверджений порядок зберігання та використання фізичних накопичувачів даних.
- У вашій компанії, певно, є порадник, брошура, хендбук або інший документ, що описує правила роботи з даними. Запросити такий документ можна у департаментів HR та IT. Якщо у вас є конкретне питання щодо політики безпеки даних у компанії, з ним можна звертатися до відділу Compliance, юристів та системних адміністраторів.
- Заведіть телефон та адресу електронної пошти та підключіть до них важливі облікові записи. Не використовуйте ці облікові записи для чогось іншого, зберігайте їх, і переконайтеся, що вони знаходяться в робочому стані. Це може стати єдиним способом відновити втрачені дані.