1
Содержание 1. Введение в кибербезопасность 3 1.1. Основные функции кибербезопасности 3 1.2. Наиболее распространенные кибератаки 4 1.3. Вредоносные программы 8 2. Киберпреступники – кто они или от кого следует защищаться в Сети 16 2.1. Кибервзломщики и их классификация 16 2.2. Социальная инженерия 18 Контрольные вопросы: 21 3. Оценка текущего состояния вашей кибербезопасности 22 3.1. Определение способов защиты 22 3.2. Оценка текущих мер безопасности 24 4. Усиление физической безопасности электронных устройств 31 4.1.Безопасность мобильных устройств 37 4.2. Человеческий фактор 38 Контрольные вопросы: 39 5.Обеспечение безопасности аккаунтов 40 5.1. Стратегии сохранения данных у третьих лиц 42 5.2. Обеспечение безопасности платежных, банковских и торговых счетов. 44 6. Пароли 46 6.1. Как создать надежный пароль 46 6.2. Хранение паролей 50 6.3. Виды аутентификации 53 6.4. Защита от «социальной инженерии» 58 Контрольные вопросы: 60 7.Как понять, что безопасность устройства нарушена 61 7.1. Выявление нарушения кибербезопасности 61 7.2. Устранение нарушения кибербезопасности 63 8. Как восстановить устройство после взлома 67 8.1. Что делать, если компьютер подвергся взлому 67 8.2. Восстановления устройства без помощи профессионала 72 2
1. Введение в кибербезопасность 1.1. Основные функции кибербезопасности Кибербезопасность – это защита компьютеров, сетей, программных приложений, критически важных систем и данных от потенциальных цифровых угроз. Организации несут ответственность за обеспечение безопасности данных, чтобы сохранять доверие клиентов и соответствовать нормативным требованиям. Они применяют меры по кибербезопасности и используют специальные инструменты для защиты конфиденциальных данных от несанкционированного доступа и предотвращения сбоев, вызванных нежелательной сетевой активностью, при выполнении бизнес-операций. Организации обеспечивают кибербезопасность, оптимизируя методы цифровой защиты для сотрудников, процессов и технологий. По данным Национального института стандартов и технологий (NIST), кибербезопасность имеет пять основных функций. Эти функции действуют совместно для защиты бизнес-активов и включают в себя: Идентификация. Компании должны сначала определить сетевые активы и их уязвимости. Организации должны развивать внутренние навыки, необходимые для понимания киберугроз. Эта функция включает в себя процессы оценки рисков и создание стратегии управления рисками. Структуры компаний также должны измениться, чтобы отразить центральную роль кибербезопасности. Защита. Эта функция кибербезопасности занимается реализацией защитных мер. Эти меры могут включать антивирусное сканирование и сканирование на наличие вредоносных программ. Системы управления идентификацией и доступом определяют, кто может получить доступ к критически важным активам. Информация защищена средствами шифрования и защиты данных. Обучение персонала также имеет решающее значение для защиты сети. Обнаружение. Эта функция кибербезопасности включает обнаружение и идентификацию вредоносной активности. Системы должны обнаруживать кибератаки как можно быстрее. Они должны предоставлять информацию о характере и масштабах угрозы, обеспечивая средства реагирования. Постоянное обнаружение угроз и регулярные проверки безопасности в совокупности обеспечивают максимальную осведомленность. 3
Реагирование. Компании должны иметь инструменты для реагирования на кибератаки. Меры включают сдерживание вредоносных агентов и минимизацию причиняемого ими вреда. Службы безопасности должны оценить ущерб и инициировать процедуры восстановления. Все заинтересованные стороны безопасности внутри организации должны общаться во время реагирования. Также должны быть процессы, определяющие, когда угрозы перестают быть активными. Наконец, ответы используются в институциональном обучении. Постоянное обучение помогает улучшить управление угрозами в будущих инцидентах. Восстановление. Эта функция кибербезопасности восстанавливает функциональность бизнеса после кибератак. Компании должны разработать планы обеспечения устойчивости, документирующие способы восстановления основных приложений и защиты данных. Сетевые команды должны иметь ресурсы для ремонта или замены поврежденных активов. Регулярно проверяйте процессы восстановления, чтобы обеспечить бесперебойную работу. 1.2. Наиболее распространенные кибератаки Вредоносное ПО. Вредоносное ПО (программное обеспечение) – общее название программ, созданных для внедрения на устройства с целью их последующей эксплуатации злоумышленниками для извлечения выгоды и нанесения ущерба пользователям. Существуют разные виды вредоносного ПО, но в каждом случае злоумышленники используют приемы для обмана пользователей и обхода систем безопасности. Все это – с целью установить вредоносную программу на устройство или систему без ведома пользователя. Вот несколько самых распространенных видов вредоносного ПО: Программы-шифровальщики – ПО, которое блокирует компьютер, а затем требуют выкуп за восстановление доступа к нему. Троянцы – вредоносные программы, которые обычно скрываются во вложениях к электронным письмам или внутри бесплатно загружаемых файлов, чтобы затем загрузиться на устройство пользователя. Троянцы могут собирать личные данные пользователей, включая логины и пароли, платежную информацию и многое другое. Шпионское ПО – программы, которые позволяют злоумышленнику незаметно получать конфиденциальную информацию с чужого компьютера через скрытую передачу данных с его жесткого диска. 4
Шпионские программы для кражи конфиденциальной информации также могут перехватывать данные, вводимые с клавиатуры, и делать снимки экрана. Сетевые черви умеют воспроизводить себя и не заражают файлы на компьютере, на который попали. Это отдельная независимая программа, которая передаёт себя дальше, с устройства на устройство. Черви особенно заразны и умеют устраивать целые информационные эпидемии. Вирусы, напротив, внедряются в файловую систему компьютера. Они заражают устройство постепенно, внедряя свой код в программу за программой. Как и черви, вирусы могут распространяться на другие гаджеты. Если вы обменивались по сети документами Word или Excel, то могли обратить внимание, что они открываются в безопасном режиме только для чтения. Одна из причин этого — макровирусы. Они помещают вредоносный код в макросы офисных программ и умеют распространяться вместе с документами, которые в этих программах пишутся. Что будет происходить после заражения компьютера, тоже зависит от особенностей вредоносного ПО. Задача программы-шпиона — скрываться и оставаться незамеченной как можно дольше. В это время она собирает личные данные жертвы: историю действий, учётные записи, пароли, номера банковских карт, местоположение, записи с камеры. Бэкдоры (от английского back door — чёрный ход) позволяют злоумышленнику перехватить контроль над устройством и получить права администратора. В будущем заражённый компьютер могут использовать для совершения других кибератак. Программы-шантажисты шифруют данные компьютера и блокируют к нему доступ. Иногда они угрожают уничтожить всю информацию (и даже могут это сделать). Обычно цель таких программ — получить выкуп в обмен на возврат владельцу доступа к данным. Майнеры захватывают вычислительные ресурсы компьютера и используют их для добычи криптовалюты. Adware-программы запускают на компьютере рекламные баннеры и объявления. Они также могут перенаправлять запросы браузера на рекламные сайты. Если вредоносная программа скрывает следы своего присутствия не очень тщательно, то обнаружить её наличие можно по косвенным признакам: 5
пропадает часть системной или оперативной памяти, процессы выполняются медленнее обычного и зависают, периодически случаются сбои. Но лучший способ найти вредоносное ПО — это, конечно, антивирус. DoS- и DDoS-атаки. DoS-атаки (расшифровывается как denial of service, или отказ в обслуживании) перегружают информационную систему. Для этого злоумышленники отправляют сразу множество запросов, которые она не успевает обработать. Системе не хватает мощности серверов или пропускной способности сети, и она начинает сбоить. В результате время обработки всех запросов резко увеличивается. Часто информационная система вообще перестаёт отвечать, и пользователи не могут получить к ней доступ. Подобные атаки могут длиться от нескольких минут до часов и даже суток. За это время, скажем, интернет-магазин может потерять миллионы рублей. Но чаще злоумышленники используют не DoS, а DDoS-атаки. Дополнительная D означает Distributed (распределённый). Этот вид отличается тем, что запросы отправляются не с одного компьютера, а сразу со множества разных. Отбить такое нападение гораздо труднее. Если в DoS-атаках достаточно просто заблокировать IP-адрес злоумышленника, в DDoS-атаках может участвовать от пары десятков до нескольких сотен тысяч устройств. Иногда DDoS-атаки проводят как отвлекающий манёвр. Пока служба информационной безопасности разбирается с ней, злоумышленники могут незаметно проводить кибератаку другого вида. Фишинг. В рамках фишинговой атаки мошенник при общении по электронной почте или другим каналам связи притворяется доверенным лицом, например представителем банка или крупной компании, чтобы распространить вредоносные ссылки или вложения. Цель атаки – обманным путем выудить у ничего не подозревающей жертвы ценную информацию, например пароли, данные банковских карт, объекты интеллектуальной собственности и так далее. Целевой фишинг – атаки, направленные на конкретных пользователей или организации. Частный случай целевого фишинга – уэйлинг-атаки, нацеленные исключительно на высшее руководство компании. Например, преступники могут попытаться скомпрометировать корпоративную электронную почту жертвы: они атакуют конкретных сотрудников, уполномоченных одобрять финансовые транзакции, и затем обманным 6
путем вынуждают их перевести деньги компании на счет, принадлежащий злоумышленнику. По оценкам ФБР, за период с 2016 по 2021 гг. размер ущерба от атак с компрометацией корпоративной электронной почты составил 43 млрд долларов. Атаки с использованием SQL-инъекций. Большинство веб-сайтов работают с базами данных, что делает их уязвимыми для атак с использованием SQL-инъекций. SQL-запрос – обращение к базе данных для выполнения какого-либо действия. Тщательно составленный вредоносный запрос способен привести к созданию, изменению или удалению информации, хранящейся в базе данных, а также может позволить злоумышленнику считать или извлечь из базы объекты интеллектуальной собственности, личные данные клиентов, учетные данные администраторов и другие ценные данные. Межсайтовый скриптинг (XSS). Межсайтовый скриптинг (XSS) – это атака, в рамках которой недоверенный источник получает возможность внедрить свой код в веб-приложение, после чего вредоносный код вместе с динамическим содержимым попадает в браузер жертвы. Это позволяет злоумышленнику выполнять в браузере другого пользователя вредоносные скрипты, написанные на различных языках, включая JavaScript, Java, Ajax, Flash и HTML. Межсайтовый скриптинг (XSS) позволяет киберпреступнику похитить cookie-файлы другого пользователя, чтобы затем выдать себя за него, а также может использоваться для распространения вредоносного ПО, порчи контента веб-сайтов и публикации на них нежелательных материалов, атак на социальные сети, кражи учетных данных и, вкупе с приемами социальной инженерии, для осуществления еще более разрушительных кибератак. Ботнеты. Ботнет – это сеть из нескольких подключенных к интернету зараженных компьютеров и устройств, которыми удаленно управляют киберпреступники. Ботнеты часто используются для рассылки спама, накручивания кликов и создания вредоносного трафика для DDoS-атак. Цель создания ботнета – заразить как можно больше подключенных к интернету устройств, а затем использовать их вычислительные мощности и другие ресурсы для автоматизации и масштабирования вредоносной активности. Развитие интернета вещей привело к тому, что ботнеты стали одной из самых быстрорастущих категорий киберугроз. 7
Брутфорс-атаки. Брутфорс-атаки (от brute-force — грубая сила) — это попытка подобрать пароль простым перебором всех комбинаций. Иногда такой прямой путь бывает эффективен, но защититься от него нетрудно: установить ограничение на количество попыток войти в систему или использовать двухфакторную аутентификацию. MITM. При атаках типа man-in-the-middle (человек посередине) злоумышленники перехватывают трафик между двумя узлами связи, оставаясь незамеченными. Они могут как просто собирать информацию, так подменять её на другую. Смысл атаки «Человек посередине» заключается в том, что злоумышленник «пропускает» веб-трафик жертвы (возможно, путем изменения параметров DNS-сервера или файла hosts на машине жертвы) «через себя». В то время пока жертва считает, что работает напрямую, к примеру, с веб-сайтом своего банка, трафик проходит через промежуточный узел злоумышленника, который таким образом получает все отправляемые пользователем данные (логин, пароль, ПИН-код и т. п.). Чтобы не стать жертвой таких атак, нужно передавать данные по защищенным протоколам. Даже если данные перехватят, они будут у злоумышленника в зашифрованном виде. 1.3. Вредоносные программы Термин «вредоносное ПО» – это сокращение термина «вредоносное программное обеспечение», в этом обзоре также называемое вредоносной программой. Вредоносные программы – это программы, намеренно разработанные и внедряемые для нанесения ущерба компьютерам и компьютерным системам. Если работа программы повлекла непреднамеренный ущерб, это обычно называют программной ошибкой. Часто спрашивают, чем отличается вирус от вредоносной программы. Разница в том, что вредоносная программа – это общий термин для ряда сетевых угроз, включая вирусы, шпионские программы, рекламные программы, программы-вымогатели и другие типы вредоносных программ. Компьютерный вирус – это один из видов вредоносных программ. Вредоносные программы могут попасть в сеть в результате фишинга, открытия вредоносных вложений, опасных загрузок, социальной инженерии и с переносных накопителей. В этом обзоре рассматриваются распространенные типы вредоносных программ. Чтобы защититься от взлома, важно различать атаки различных 8
типов вредоносных программ. Некоторые категории вредоносных программ являются общеизвестными (по крайней мере, по названию), другие – менее известны. Рекламные программы. Рекламные программы или программы, существующие за счет демонстрации рекламы, отображают нежелательную, а иногда и вредоносную рекламу на экране устройств, перенаправляют результаты поиска на рекламные сайты и собирают данные пользователей, которые затем можно продать рекламодателям без согласия самих пользователей. Не все рекламные программы являются вредоносным, некоторые из них легальные и безопасны в использовании. В большинстве случаев пользователи могут влиять на частоту показа рекламных программ и на разрешенные виды загрузок с помощью элементов управления во всплывающих окнах, настроек браузеров, а также, используя блокировщик рекламы. Примеры рекламных программ: Fireball попал в заголовки газет в 2017 году, когда израильская компания-разработчик программного обеспечения обнаружила, что им были заражены 250 миллионов компьютеров и пятая часть корпоративных сетей во всем мире. При попадании на компьютер Fireball захватывает управление браузером: меняет домашнюю страницу на поддельную поисковую систему, Trotus, и вставляет навязчивую рекламу на все посещаемые веб-страницы, а также не позволяет изменять настройки браузера. Appearch – еще одна распространенная рекламная программа, работающая как «похититель браузера». Она обычно устанавливается в комплекте с другими бесплатными программами и добавляет в браузер настолько много рекламы, что затрудняет просмотр веб-страниц. При попытке перехода на сайт осуществляется перенаправление на Appearch.info. Если все-таки удается открыть веб-страницу, Appearch преобразует произвольные блоки текста в ссылки, поэтому при выделении текста появляется всплывающее окно, предлагающее загрузить обновления программного обеспечения. Шпионские программы. Шпионские программы – это разновидность вредоносных программ, скрывающихся на устройстве, отслеживающих активность и осуществляющих кражу конфиденциальной информации: финансовых данных, учетных записей, данных для входа и прочих данных. Шпионские программы могут распространяться через уязвимости 9
программного обеспечения, быть связны с легальными программами или являться частью троянских программ. Примеры шпионских программ: CoolWebSearch использовал уязвимости безопасности в Internet Explorer для взлома браузера, изменения его настроек и последующей отправки данных для просмотра злоумышленникам. Gator. Обычно устанавливается в комплекте с программами для обмена файлами, таким как Kazaa, отслеживает, чем пользователи интересуются в интернете, и использует полученную информацию для показа им конкретной рекламы. Программы-вымогатели и программы-шифровальщик. Программы-вымогатели – это вредоносные программы, осуществляющие блокировку или отказ доступа пользователей к системе или данным до момента выплаты выкупа. Программы-шифровальщики – это тип программ-вымогателей, выполняющих шифрование пользовательских файлов и требующих оплаты в определенный срок и часто в цифровой валюте, например, в биткойнах. Программы-вымогатели уже много лет представляют угрозу для компаний всех отраслей. По мере того как все больше компаний переходят на цифровые технологии, вероятность стать жертвой атак программ-вымогателей значительно возрастает. Примеры программ-вымогателей: CryptoLocker – это распространенная в 2013 и 2014 годах вредоносная программа, используемая злоумышленниками для доступа и шифрования файлов в системе. Для распространения программы-вымогателя использовалась тактика социальной инженерии: пользователей обманным путем вынуждали загружать ее на компьютеры, что приводило к заражению всей сети. После загрузки CryptoLocker отображает сообщение с требованием выкупа: в нем предлагается расшифровать данные, если в установленный срок будет выполнен платеж наличными или в биткойнах. Программа-вымогатель CryptoLocker больше не применяется, однако предполагается, что стоящие за ней злоумышленники получили около трех миллионов долларов у ставших жертвами компаний. Вредоносная программа Phobos – программа-вымогатель, появившаяся в 2019 году. В ее основе лежит ранее известное семейство программ-вымогателей Dharma (или CrySis). Троянские программы. Троянские программы маскируются под легальное программное обеспечение, чтобы обманом заставить 10
пользователей запустить вредоносные программы на компьютере. Поскольку они выглядят достаточно надежными, пользователи загружают их, непреднамеренно заражая свои устройства вредоносными программами. Троянские программы – это, своего рода, точки входа злоумышленников в систему. В отличие от червей, им для работы необходимо устройство. После установки троянской программы на устройство злоумышленники могут использовать ее для удаления, изменения и сбора данных с устройства в рамках ботнета, а также для слежки за устройством и получения доступа к сети. Примеры троянских программ: Вредоносная программа Qbot, также известная как Qakbot или Pinkslipbot – это банковская троянская программа, появившаяся в 2007 году и предназначенная для кражи пользовательских и банковских данных. Она развивается и включает новые механизмы входа в систему, методы управления и контроля, а также функции защиты от анализа. Вредоносная программа TrickBot, впервые обнаруженная в 2016 году, представляет собой троянскую программу, разработанную и используемую изощренными киберпреступниками. Первоначально она была разработана как банковская троянская программа для кражи финансовых данных, однако затем превратилась в комплексное вредоносное ПО, предоставляющее злоумышленникам полный набор инструментов для разнообразных незаконных кибер-действий. Черви. Черви – это один из наиболее часто встречающихся типов вредоносных программ, распространяющихся по компьютерным сетям, используя уязвимости операционной системы. Черви представляют собой отдельные программы, распространяющиеся путем самокопирования с целью заражения других компьютеров, при этом никаких действий со стороны пользователей или злоумышленников не требуется. Благодаря способности быстро распространяться, черви часто используются для выполнения фрагментов кода, созданного для повреждения системы, например, они могут удалять файлы в системе, шифровать данные для атаки программы-вымогателя, красть информацию и создавать ботнеты. Пример червя: SQL Slammer – известный компьютерный червь, который, вместо традиционных методов распространения, генерирует случайные IP-адреса и рассылает на них свой вредоносный код в поисках не защищенных антивирусными программами устройств. Вскоре после появления этого 11
червя, в 2003 году, более 75 000 зараженных компьютеров были без ведома пользователей вовлечены в DDoS-атаки на ряд крупных веб-сайтов. Несмотря на то, что уже в течение долгого времени доступен соответствующий патч безопасности, атаки червя SQL Slammer повторялись в 2016 и 2017 годах. Вирусы. Вирус – это фрагмент кода, который вставляется в приложение и запускается при его запуске. Попав в сеть, вирус может использоваться для кражи конфиденциальных данных, запуска DDoS-атак или атак программ-вымогателей. Обычно вирус распространяется через зараженные веб-сайты, при совместном доступе к файлам, при загрузке зараженных вложений электронной почты. Вирус бездействует до момента активации зараженного файла или программы. После этого вирус начинает распространяться в системе. Пример вируса: Вирус Stuxnet появился в 2010 году и, как считается, был разработан правительствами США и Израиля для срыва ядерной программы Ирана. Вирус распространялся через флэш-накопитель, подключаемый по USB. Он был нацелен на промышленные системы управления Siemens: вызывал сбои и самоуничтожение центрифуг с рекордной скоростью. Считается, что вирусом Stuxnet было заражено более 20 000 компьютеров и разрушена пятая часть центрифуг, что отбросило ядерную программу Ирана на годы назад. Клавиатурные шпионы. Клавиатурные шпионы – это разновидность шпионских программ, отслеживающих активность пользователей. Они могут использоваться в законных целях, например, родители могут с их помощью контролировать действия детей в интернете, а компании отслеживать активность сотрудников. Однако злоумышленники могут использовать клавиатурные шпионы для кражи паролей, банковских данных и прочей конфиденциальной информации. Клавиатурные шпионы могут попасть систему в результате фишинга, социальной инженерии или вредоносных загрузок. Пример клавиатурного шпиона: В 2017 году студент Университета Айовы был арестован за установку клавиатурных шпионов на компьютеры сотрудников с целью кражи учетных данных и последующего изменения оценок. Студент был признан виновным и приговорен к четырем месяцам лишения свободы. Боты и ботнеты. Бот – это компьютер, зараженный вредоносной программой, которым злоумышленники могут управлять удаленно. Боты, 12
иногда называемые зомби-компьютерами, могут использоваться для запуска атак, а также стать частью ботнета – набора ботов, объединенных в сеть. Ботнеты могут включать миллионы устройств, как правило, они распространяются незаметно. Ботнеты позволяют злоумышленникам совершать различные вредоносные действия: DDoS-атаки, рассылку спама и фишинговых сообщений, а также распространять другие типы вредоносных программ. Примеры ботнетов: Ботнет Andromeda включал 80 различных семейств вредоносных программ. Он настолько разросся, что в определенный момент заражал около миллиона новых машин в месяц, распространяясь через социальные сети, при обмене мгновенными сообщениями, через спам-сообщения, наборы эксплойтов и другими способами. В 2017 году распространение ботнета было остановлено ФБР, центром по борьбе с киберпреступностью Европола и другими организациями, но многие компьютеры по-прежнему остались инфицированными. Mirai. В 2016 году в результате масштабной DDoS-атаки большая часть Восточного побережья США осталась без доступа в интернет. Атака, которую власти изначально опасались, была вызвана ботнетом Mirai и приписывается враждебному государству. Mirai – это тип вредоносных программ, автоматически обнаруживающих устройства интернета вещей, заражающих их и включающих в ботнет. Таким образом эти устройства интернета вещей можно использовать для проведения DDoS-атак, при которых поток вредоносного трафика приводит к сбоям серверов жертвы. Ботнет Mirai продолжает атаки по сей день. Потенциально нежелательные программы. Потенциально нежелательные программы (ПНП) – это программы, которые могут включать рекламу, панели инструментов и всплывающие окна, не имеющие отношения к самой загруженной программе. Строго говоря, ПНП не всегда являются вредоносными. Разработчики ПНП отмечают, что, в отличие от вредоносных программ, ПНП загружаются пользователями добровольно. Однако известно, что пользователи, в основном, загружают ПНП неосознанно или по невнимательности. ПНП часто поставляются в комплекте с другими легальными программами. Большинство людей загружают ПНП, поскольку не прочитали мелкий шрифт при установке новой программы и не осознали, что выбирали также установку дополнительных не требуемых для их целей программ. Пример 13
потенциально нежелательной программы: Вредоносная программа Mindspark – это легко устанавливаемая ПНП, незаметно загружаемая на компьютеры пользователей. Mindspark может менять настройки и поведение устройства без ведома пользователя, а это, как известно, очень сложно устранить. Гибридные вредоносные программы. Большинство современных вредоносных программ представляет собой комбинацию различных типов, часто включая элементы троянских программ, червей, а иногда и вирусов. Часто вредоносные программы сначала выглядят как троянские, но после запуска распространяются по сети как черви. Пример гибридной вредоносной программы: В 2001 году разработчик вредоносных программ, назвавшийся Лев, выпустил гибридную вредоносную программу – комбинацию червя и руткита. Руткиты позволяют злоумышленникам манипулировать файлами операционной системы, а черви – это мощные инструменты быстрого распространения фрагментов кода. Эта вредоносная комбинация нанесла ущерб более 10 000 систем Linux. Комбинация «червь + руткит» была специально разработана для эксплуатации уязвимостей в системах Linux. Бесфайловые вредоносные программы. Бесфайловые вредоносные программы используют легальные программы для заражения компьютера. Они не используют файлы и не оставляют следов, что затрудняет их обнаружение и удаление. В основных типах атак бесфайловые вредоносные программы начали применяться в 2017 году, однако многие из них существуют уже давно. Бесфайловые программы не хранятся в файлах и не устанавливаются на устройство, они попадают непосредственно в память, а вредоносный контент никогда не затрагивает жесткий диск. Киберпреступники все чаще используют бесфайловые вредоносные программы. Они позволяют осуществлять эффективные атаки, поскольку их обнаружение традиционными антивирусами затрудняется вследствие небольшого размера и отсутствия файлов для проверки. Примеры бесфайловых вредоносных программ: Frodo, Number of the Beast и The Dark Avenger – примеры ранних вредоносных программ этого типа. Логические бомбы. Логические бомбы – это тип вредоносных программ, которые активируются только при определенном условии, например, в определенную дату и время или при 20-м входе в учетную запись. Вирусы 14
и черви часто содержат логические бомбы для исполнения вредоносного кода в заранее определенное время или при выполнении определенного условия. Ущерб, причиняемый логическими бомбами, варьируется от изменения всего нескольких байтов данных до запрета на чтение жестких дисков. Пример логической бомбы: В 2016 году один из программистов каждые несколько лет вызывал сбои в работе электронных таблиц в филиале корпорации Siemens, поэтому им приходилось вновь и вновь нанимать его для исправления проблемы. В данном случае никто ни о чем не подозревал, пока в результате стечения обстоятельств не произошло раскрытие вредоносного кода. 15
2. Киберпреступники – кто они или от кого следует защищаться в Сети 2.1. Кибервзломщики и их классификация Кибер-преступность определяется как преступление, когда компьютер является объектом преступления или используется в качестве основного инструмента для совершения преступления. Кибер-преступник может использовать устройство для доступа к личной информации пользователя, конфиденциальной деловой информации, правительственной информации или для отключения требуемого устройства. Продажа или получение вышеуказанной информации в Интернете также относятся к киберпреступлениям. Кибер-преступления можно разделить на две категории: Преступления, направленные на сети или устройства Преступления, использующие устройства для осуществления преступной деятельности Вирусы Фишинговая письма Вредоносные программы Кибер-сталкинг DoS-атаки Кража онлайн-личности Категории кибер-преступлений Существует три основные категории кибер-преступлений: индивидуальные, имущественные и государственные. Типы используемых методов и уровни сложности варьируются в зависимости от категории. ● Имущественная: Это похоже на случай из реальной жизни, когда преступник незаконно завладел банковскими данными или данными кредитной карты физического лица. Хакер крадет банковские реквизиты человека, чтобы получить доступ к средствам, совершить онлайн-покупки или провести фишинговые аферы, заставляющие людей предоставлять ему свою персональную информацию. Они также могут использовать вредоносное программное обеспечение для получения доступа к веб-странице с конфиденциальной информацией. ● Индивидуальная: Эта категория кибер-преступлений привлекает жертву (человека) для распространения вредоносной или незаконной информации в Интернете. Жертва может быть вовлечена в такие незаконные действия, как киберсталкинг, распространение порнографии и торговля людьми. 16
● Правительственная: Это наименее распространенная категория кибер-преступности, но это самое серьезное преступление. Преступление против правительственных органов также известно как кибертерроризм. Правительственная киберпреступность подразумевает взлом веб-сайтов правительственных и военных учреждений или распространение пропаганды. Такие преступники обычно являются террористами или представителями правительственных органов вражеских стран. Виды киберпреступлений DDoS-атаки используются для того, чтобы одновременно направить на требуемый сайт огромное количество запросов из различных источников, в результате чего перегрузить сайт огромным объемом трафика и вывести его строя (сделать его недоступным для реальных пользователей Интернета). Для этого создаются большие сети (известные как ботнеты) из устройств пользователей, зараженных вредоносными программами. Ботнеты – это сети, состоящие из взломанных компьютеров, которые управляются извне удаленными хакерами. Эти хакеры, используя ботнеты, рассылают спам или атакуют другие компьютеры (например, при проведении DoS-атак). Ботнеты также могут использоваться в качестве вредоносных программ и выполнять вредоносные задачи. Кража онлайн-личности возникает в тех случаях, когда преступник получает доступ к персональной информации пользователя, чтобы украсть его деньги, получить доступ к другой конфиденциальной информации или провернуть мошенническую аферу с налогами или медицинским страхованием от лица жертвы. Преступники, используя ваши персональные данные, могут зарегистрировать на ваше имя сотовый телефон или Интернет-подключение, использовать ваше имя для планирования преступной деятельности и требовать от вашего имени государственных льгот. Кражу онлайн-личности можно осуществить с помощью паролей, которые хакеры узнают в результате взлома устройства пользователя, благодаря персональной информации, полученной из социальных сетей, или путем обмана с помощью фишинговых писем. Кибер-сталкинг - вид киберпреступности включает в себя онлайн-преследование, когда на пользователя обрушивается множество онлайн-сообщений и электронных писем неприятного содержания. Как правило, кибер-сталкеры используют социальные сети, веб-сайты и поисковые системы, чтобы запугать пользователя и внушить страх. Обычно кибер-сталкер знает свою жертву и заставляет человека чувствовать страх или беспокойство за свою безопасность. 17
2.2. Социальная инженерия Социальная инженерия предполагает вступление преступника в прямой контакт с вами, как правило, по телефону или электронной почте. Они хотят завоевать ваше доверие и обычно выдают себя за сотрудника службы обслуживания клиентов (например, какой-нибудь компании или банка, с кем у вас имеются договорные отношения), чтобы вы предоставили необходимую информацию. Обычно речь идет о пароле, месте работы, банковской информации. Изначально кибер-преступники собирают о вас в Интернете (и не только) максимально доступный объем информации, а затем попытаются добавить вас в друзья в социальных сетях. Как только они получат доступ к вашей учетной записи, они смогут продавать вашу информацию или аккаунты от вашего имени. ПНП (PUP) Потенциально нежелательные программы (ПНП или PUP) менее опасны, чем другие виды киберпреступлений, но они являются разновидностью вредоносных программ. Они могут удалять необходимое программное обеспечение в вашей системе, перенаправлять вас на требуемые поисковые системы и устанавливать предварительно загруженные приложения. Они могут включать шпионское или рекламное ПО, поэтому рекомендуется установить антивирусное программное обеспечение, чтобы избежать вредоносных загрузок. Фишинг При данном виде атаки хакеры отправляют пользователям письма с вредоносными вложениями или URL-адресами поддельных сайтов, чтобы получить доступ к их учетным записям или компьютеру. Кибер-преступники становятся все более изощренными, и многие из их писем не помечаются как спам. Эти письма обманывают пользователей, утверждая, что им нужно изменить пароль или обновить платежную информацию, в результате чего преступники получают доступ к аккаунтам пользователей или их персональной и конфиденциальной информации. Запрещенный/незаконный контент В рамках этого вида кибер-преступлений злоумышленники распространяют неприемлемый контент, который может считаться крайне неприятным и оскорбительным. Оскорбительный контент может содержать, помимо прочего, видео с порнографией, насилием или любой другой преступной деятельностью. Незаконный контент включает материалы, связанные с экстремизмом, терроризмом, торговлей людьми, эксплуатацией детей и т.д. Этот тип контента существует как в обычном Интернете, так и в анонимном «теневом» Интернете. Онлайн-мошенничество Обычно онлайн-мошенничество начинается с рекламы или спама, в которых обещают вознаграждение или предлагают нереальные суммы 18
денег. Онлайн-мошенничество включает в себя заманчивые предложения, которые «слишком хороши, чтобы быть правдой», а, например, при переходе по предложенной в рекламе или письме ссылке, на компьютер пользователя (как правило, скрытно) устанавливается вредоносное ПО для взлома устройства и кражи информации. Наборы эксплойтов При наличии уязвимостей на вашем компьютере хакеры могут использовать наборы эксплойтов (ошибки в коде программного обеспечения) для получения контроля над вашим устройством. Наборы эксплойтов – это готовые инструменты, которые преступники могут купить в Интернете и использовать против любого, у кого есть компьютер. Наборы эксплойтов регулярно обновляются, как и обычное программное обеспечение, и они доступны на хакерских форумах в «темном» Интернете. История киберпреступлений Взлом с вредоносными целями был впервые задокументирован в 1970-х годах, когда мишенью стали первые компьютеризированные телефоны. Технически подкованные люди, известные как «фрикеры», нашли способ оплачивать междугородние звонки с помощью набора ряда кодов. Они были первыми хакерами, научившимися использовать систему в результате модификации аппаратного и программного обеспечения для «сброса» времени междугороднего телефонного разговора. Когда об этих преступлениях стало известно, люди осознали, что компьютерные системы уязвимы для преступников, и чем сложнее становились системы, тем более восприимчивыми они становились к киберпреступности. А в 1990 году был разоблачен крупный проект под названием операция «Сандевил». Агенты ФБР конфисковали 42 компьютера и более 20 000 дискет, которые использовались преступниками для незаконного использования кредитных карт и телефонных сервисов. В этой операции участвовало более 100 агентов ФБР, и потребовалось два года, чтобы выследить лишь нескольких подозреваемых. Тем не менее, даже поимка части подозреваемых была воспринята обществом с огромным восторгом, потому что правоохранительные органы показали хакерам, что за ними будут следить и преследовать их по закону. Позже появился фонд Electronic Frontier Foundation, который был создан в ответ на угрозы общественным свободам, которые возникают в тех ситуациях, когда правоохранительные органы совершают ошибку или осуществляют чрезмерные действия при расследовании киберпреступлений. Миссия фонда состояла в том, чтобы защитить и оградить потребителей от незаконного преследования. Преследуя полезные цели, он также открыл дверь для хакерских лазеек и возможности анонимной работы в Интернете, с помощью которых преступники осуществляют свои незаконные действия. 19
Преступность и кибер-преступность становятся все более серьезной проблемой в нашем обществе, даже при наличии системы уголовного правосудия. Как в публичном веб-пространстве, так и в «темной паутине» кибер-преступники обладают высокой квалификацией, и их нелегко найти. Ниже узнайте подробнее о том, как бороться с кибер-преступностью с помощью кибер-права. Влияние кибер-преступности на общество Киберпреступность создала серьезную угрозу для тех, кто пользуется Интернетом, поскольку за последние несколько лет украли огромный объем информации у миллионов пользователей. Она также оказала значительное влияние на экономику многих стран. Президент и генеральный директор IBM Вирджиния Рометти описала киберпреступность как «самую большую угрозу для каждой профессии, каждой отрасли, каждой компании в мире». Ниже мы предлагаем Вашему вниманию шокирующую статистику о влиянии кибер-преступности на наше общество в наши дни. ● Глобальный ущерб от киберпреступности в 2021 году достигнет 6 триллионов долларов США. ● По данным исследования ущерба от нарушения данных в 2016 году, выполненного исследовательским институтом Ponemon Institute (2016 Cost of Data Breach Study), глобальные аналитические организации, которые пострадали в 2016 году хотя бы от одного нарушения, потеряли в среднем по 4 миллиона долларов США. ● 48% нарушений безопасности данных вызваны в результате вредоносных действий со злым умыслом. ● Cybersecurity Ventures оценивает ущерб от шифровальщиков в 2019 году в размере 11,5 миллиардов долларов США. ● Киберпреступность к 2021 году более чем втрое увеличила число вакантных мест в сфере информационной безопасности. Как бороться с киберпреступностью Похоже, в современную эпоху развития технологий хакеры захватывают наши системы, и никто не может чувствовать себя в безопасности. Среднее время реакции, или время, необходимое компаниям для обнаружения кибер-нарушения, составляет более 200 дней. Большинство пользователей Интернета не задумываются о том, что их могут взломать, и многие редко меняют свои учетные данные или пароли. В результате этого многие люди становятся восприимчивыми к кибер-преступности, а потому крайне важно быть информированными. Обучите себя и других превентивным мерам, которые вы можете предпринять, чтобы защитить лично себя или свою компанию. 1. Будьте бдительны при просмотре веб-сайтов. 2. Отмечайте и сообщайте о подозрительных электронных письмах. 3. Никогда не нажимайте на незнакомые ссылки или объявления. 20
4. Используйте VPN везде, где это возможно. 5. Убедитесь в безопасности веб-сайта прежде, чем вводить на нем свои учетные данные. 6. Регулярно обновляйте ваш антивирус и другие программы на своих устройствах. 7. Используйте сложные пароли с более чем 14 символами. Контрольные вопросы: 1. Что такое кибер-преступность и как она определяется? 2. Какие основные категории кибер-преступлений существуют, и как они различаются друг от друга? 3. Каким образом кибер-преступники могут использовать компьютер в своих преступных действиях? 4. Какие виды методов и уровни сложности используются в зависимости от категории кибер-преступлений? 5. Что означает имущественная категория кибер-преступлений, и приведите примеры её проявлений? 21
3. Оценка текущего состояния вашей кибербезопасности 3.1. Определение способов защиты Доступ к закрытой информации осуществляется через определенные каналы коммуникации. Знание этих каналов и понимание методов работы злоумышленников – ключевой фактор при организации информационной защиты и выборе средств. Неправомерный доступ к данным осуществляется с помощью: 1. Прямого доступа к информации. Реализуется посредством действий инсайдера, либо при перехвате данных во время их передачи по каналам и компьютерным сетям. 2. Использования вредоносного ПО. В информационную систему внедряется ПО, которое наделено недекларированными возможностями или распространяет вредоносный код, что приводит к утечке данных. 3. Использования средств шпионского перехвата информации. Это всевозможные жучки, камеры, микрофоны, которые считывают информацию из мест ее хранения или рабочих мест сотрудников, и передают злоумышленникам. Методы защиты информации ● Создание физических препятствий на пути злоумышленников. Сюда относятся изолированные помещения, кодовые двери, пропускная система доступа. ● Управление информацией и регламентация работы с данными. Создание регламентов, правил, ограничений доступа и использования данных. ● Маскировка. Включает методы шифрования данных, что препятствует их использованию без ключа шифрования. ● Принуждение. Создание условий работы с данными, в которых исключено использование варианта, кроме единственно правильного. ● Стимулирование. Создание условий работы с данными, когда работника мотивируют соблюдать правила, условия, меры защиты при обработке сведений. 22
Виды защиты информации ● Физическая. Связана с ограничением контакта, доступа к информации с помощью СКУД и физических средств блокировки доступа. ● Криптографическая. Способы и средства защиты информации, связанные с шифрованием сведений при их хранении, передачи по сети. ● Техническая. Это оборудование, приборы, ПО вроде сканеров уязвимостей, SIEM, DLP-систем, которые обеспечивают защиту и управление информацией. Организационные способы защиты информации 1. Разработка и внедрение регламентов по обработке сведений внутри организации. 2. Проведение инструктажа персонала по основам кибербезопасности и правилам работы с информацией. 3. Установление зон ответственности. Руководитель назначает конкретных персон, ответственных за исполнение правил и норм информационной безопасности. 4. Разработка плана по восстановлению информации при чрезвычайных ситуациях. Технические способы защиты информации 1. Регулярное создание бэкапов наиболее важных и ценных информационных массивов. 2. Выполнение резервирования, дублирования вспомогательных компонентов информационной системы, которые связаны с хранением информации. 3. Проработка возможности проведения экстренного перераспределения сетевых ресурсов при возникновении проблем, потери работоспособности отдельных компонентов. 4. Планирование резервных источников питания для системы. 5. Создание защиты информационных ресурсов от ЧС. 6. Использование ПО, отвечающего за управление доступом к информации, ведение мониторинга, предотвращение утечек информации. Аутентификация и идентификация 23
Два этих подхода к обеспечению информационной безопасности построены на ограничении доступа к информационным ресурсам. Идентификация связана с получением уникального идентификатора пользователя в системе, что позволяет взаимодействовать с данными. Аутентификация связана с выполнением проверки пользователя на истинность с известным образом или идентификатором в системе. Благодаря аутентификации и идентификации гибко регулируется управление доступом к информации: запрет, разрешение. Для выполнения поверки может использоваться триада – пользователь, аппарат, ПО. Тем самым снижается риск обхода ограничений доступа. Средства для защиты информации ● Аппаратные. Представлены электронными, электрическими, лазерными приспособлениями и устройствами, большинство из которых использует в своей работе токены. Например, генераторы кодов, электронные регистры. ● Программные. ПО для ограничения доступа, проверки, блокировки трафика, управления сетью. Например, антивирусы, брандмауэры. ● Криптографические. Различные программы, службы для кодирования, шифрования информации, препятствующие ее использованию без наличия ключа шифрования. Например, электронная подпись. ● Физические. Сюда относятся преграды физического характера, препятствующие свободному доступу к данным. Например, сейф, изолированное помещение под замком. Методы и способы защиты информации должны соответствовать персональной модели угроз, включать комплекс СЗИ. Одной из типичных проблем безопасности является утечка данных. Для своевременного выявления подобных инцидентов, обнаружения внутренних нарушителей и расследования инцидентов используют DLP-системы, например, Solar Dozor. Она защитит от утечек информации, предоставит детальную статистику по рабочим процессам и действиям пользователей и их аномальному поведению. 3.2. Оценка текущих мер безопасности Информационная безопасность в современной компании — это толстые стены, сложные замки и охрана предприятий прошлого. Сохранность интеллектуальной собственности, равно как и работоспособности 24
структур, доходов и репутации компании напрямую зависит от качества выстроенной защиты, ее функциональности, ее поддержания в круглосуточном режиме. Как же именно оценить нечто столь неуловимое, как качество и «достаточность» предпринятых мер по информационной безопасности? Какую именно оценку ожидает государство во время ежегодных проверок? Какая оценка будет наиболее эффективной для дальнейшего развития ИБ компании? При оценивании уровня информационной безопасности предприятия различают три направления, или вида оценки: ● Оценка на соответствие эталону (бывает текущая и «эталонная», в идеале проводятся обе); ● Риск-менеджмент; ● Экономическая целесообразность. Разберем эти понятия подробнее. Оценка состояния информационной безопасности на соответствие эталону В качестве «эталона» обычно принимаются (в совокупности и отдельно): ● требования национальных или международных стандартов в области ИБ (ГОСТ, NIST); ● отраслевые требования по обеспечению ИБ, отдельные для разных сфер деятельности; ● а также требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ внутри компании. Эти критерии могут дополняться по предварительной договоренности, например, если глава вашего отдела по ИБ видит рентабельность такого исследования в отношении определенного проблемного участка структуры или собирается использовать результаты для дальнейших модификаций уже существующих протоколов ИБ. Как раз в зависимости от заданного «эталона» эта оценка может быть системно-ориентированной или процессно-ориентированной. Оценка текущего состояния системы ИБ сравнивает выстроенную по уже существующему эталону «идеальную» модель требований ИБ с теми, что уже были реализованы в компании в виде текущих защитных мер. Ее результаты легко понять и увидеть определенные слабые места, только вот последующие рекомендации при такой проверке обычно сводятся к самоочевидным и решают проблему на уровне «донастроить SIEM 25
систему под конкретные нужды», «настроить оповещения в консоли антивируса», «установить или обновить ПО определенного вида». Это весьма полезно, и без надежной технической базы нельзя в принципе говорить о защите компании, но такая оценка очень редко дает данные для решения проблем на фундаментальном уровне или возможности расти дальше в более системном и полном смысле, и скорее помогает в текущих, кратковременных и частных вопросах. «Эталонная» оценка ИБ сравнивает процессы управления (менеджмента) ИБ организации с теми, что были определены как эталонные. Здесь мы определяем степень соответствия таких процессов, как создание отдела и распределение обязанностей по обеспечению ИБ, создание единых протоколов о политике обеспечения ИБ в компании, о реагировании на возникающие инциденты (ссылка на статью про расследование инцидентов), об инструктаже сотрудников компании в вопросах, связанных с ИБ и прочем. Такая проверка позволяет не только спрогнозировать дальнейшее развитие таких процессов в компании, но и скорректировать направление и подходы на более эффективные. Здесь также следует напомнить о том, что слишком много компаний полагается только на антивирусы и подобные системы защиты информации, тогда как большинство инцидентов прошлых лет произошло по внутренним каналам предприятий — как по причине недостаточной осведомленности среди персонала об окружающих угрозах, так и по причине слабо выстроенных систем реагирования на, уже произошедшие инциденты (например, многие компании обращают внимание на события с опозданием и только в стандартное рабочее время — конечно, этим пользуется масса хакеров, направляя атаки ночью и в выходные). В большинстве случаев при оценке по эталону используют оба вида проверки. Это обусловлено тем, что если системы организации не настроены должным образом, то без этой базы невозможно продвигаться дальше. Это фактически отсутствие защиты на нормальном уровне и провал оценки «защиты» сразу же, к тому же нет возможности опираться и доверять системам при построении руководства по обнаружению и реагированию на события и инциденты и, следовательно, единственная возможность эффективно двигать процессы на новый уровень — это опираться на хорошо работающие системы. Необходимость системно-ориентированной проверки лежит на поверхности, однако ее «базисность» не должна вводить в заблуждение, 26
это не синоним «достаточности». Только с помощью эффективных и постоянно эволюционирующих процессов управления ИБ компании возможно придти к моменту, когда: ● Инциденты перехвачены на лету и не могут привести к серьезным последствиям (необходим серьезный опыт в отлаживании и улучшении протоколов реагирования); ● Свод правил ИБ простой и понятный, идеально выстроен под аудиторию сотрудников организации и особенности вашего бизнеса, так что любой новый персонал не приносит массу рисков на протяжении длительного периода; ● Система настолько проверена и отточена, что можно урезать стоимость — не нужны дополнительные проверки или исключительно квалифицированные специалисты, что как атланты несут все на своих плечах и используют творческие подходы в разных ситуациях — когда есть четкие протоколы как и что делать, то нет постоянных расходов на последствия инцидентов, нет постоянных расходов на то и дело слетающие программы или их настройки, система будет поддерживать себя сама, своими протоколами и организовывать процессы, обучать людей, значительно снижая ежегодную стоимость на поддержание ИБ. Оценка по эталону — это тот самый вид оценки, что проверяет эффективность вашей текущей защиты, превращает в количественную или качественную оценку процессы и систему, позволяет понять, насколько крепки ваши «стены» и что следует сделать для их укрепления. Риск-менеджмент Эта оценка рассматривает риски ИБ, возникающие в сфере конкретной организации и что было сделано для минимизации возможности возникновения, обработки/управления в целом. Для этого сначала определяют риски и их ключевые индикаторы, формируют на их основе критерии оценки, собирают свидетельства процессов по подготовке к встрече с рисками или результаты непосредственного инцидента, и, после измерения риск-факторов, формируется финальная оценка. Обычно риски измеряют по тяжести возможных последствий (ущербу) и по вероятности реализации угрозы. Соответственно, процессы контроля и реагирования заключаются в снижении либо эффекта, либо вероятности реализации риска. Большинство стен можно проломить тем или иным способом, но если затраты времени, усилий и прочих ресурсов 27
значительно превышают возможную выгоду, то вероятность что кто-то будет этим заниматься, да еще и успеет сделать до подключения команды реагирования, крайне мала. Еще меньше вероятность того, что хакер сочтет это стоящим постоянного риска разоблачения и, во многих странах, уголовной ответственности. Одна из основных проблем такой оценки — это сложность понимания какие именно вещи могут привести к тяжким и дорогостоящим последствиям, а какие нет. В документации NIST приводится возможное прогнозирование ежегодных потерь с помощью определения информационного актива, фактора подверженности воздействию и ежегодной частоте появления, но даже данные этого уравнения достаточно размыты и могут предложить скорее некие рамки, чем реальные точные цифры. Как раз потому, что собственные процессы компании могут стать разрушительными, а еще потому, что реагирование и контроль рисков можно проверить экспериментальным путем, в основном риск-ориентированная оценка направлена на анализ того, как менеджмент предприятия действует в отношении рисков — как оценивает, какими способами контролирует и реагирует, в отличие от простого перечня и классификации возможных рисков в вакууме. Такая проверка в меньшей степени тестирует «стены», это скорее прогнозирование потенциальных угроз и анализ действий защитников. Экономическая целесообразность Наверное, самая понятная для предприятия оценка — сколько стоит ваша защита, включая зарплаты специалистов, содержание оборудования, покупка программного обеспечения, а также некоторые косвенные затраты. Оценка на основе показателей совокупной стоимости владения позволяет оценить затраты на ИБ и управлять ими для достижения нужного уровня защиты — без определенных ресурсов не будет ни «стен», ни достаточной «охраны», но и излишние траты на ИБ будут тяготить другие процессы и отделы. Самостоятельное или независимое оценивание? Самооценка уровня ИБ предприятия возможна, и во многих местах даже необходима — после введения нового процесса или модификации старого, после определенной настройки систем защиты или полученных новых знаний сотрудников, все это надо постоянно и неотступно тестировать, улучшать, развиваться через итерацию и проанализировать успех того или иного действия возможно только при проведении того или иного 28
оценивания. Конечно, для подобных мелких процессов заполнять громоздкие формы стандартов NIST кажется излишним, и, хотя модель оценки процесса с десятками показателей сделает возможным более глубокий анализ, для большинства задач вполне можно сфокусировать усилия на ключевых 5-10 показателях оценки. Самое главное в такой самооценке — не потерять организованность оценивания. Здесь по-прежнему нужно еще до начала определить вид оценивания и критерии, нужно тщательно документировать собранные данные и их последующий анализ, сложные модели могут заменяться упрощенными, но все еще желательно преобразовывать процессы и системы в понятные графики и отчеты, к которым после можно получить доступ. Такие архивы могут помочь и самой компании наблюдать свое развитие или обращаться к данным в похожих ситуациях, а также могут стать отличным подспорьем для независимых экспертов в понимании подходов в вашей компании, с чем вы сталкивались ранее, и даже особенности ИБ для вашего бизнеса. Оценка от сторонних организаций или экспертов редко проводится для ежедневных нужд или мелких изменений — обычно более объективный взгляд со стороны нужен когда компания прошла длительный (месяц-два) цикл видоизменений своей ИБ и теперь нужен крупный аудит (как частный случай независимой оценки), чтобы увидеть, как именно все изменилось и правильно ли выбрано направление движения. Также помощь сторонних организаций для оценки требуется в следующих случаях: ● Поиск новых методик и знаний. У ваших специалистов может быть ограничена квалификация и они оказались в тупике. Или стоимость некоторых процессов ИБ кажется неподъемной и оптимизация продвигается очень медленно. Независимый эксперт может поделиться современными технологиями и стандартами, рассказать где не надо переплачивать за оборудование, как можно построить в целом более стабильную систему, которая станет давать гораздо меньше нагрузки и на ваш бюджет, и на ваших спецов. ● Оценка на соответствие государственным нормам и требованиям. Это как раз тот момент, когда большинство компаний заказывают комплексный аудит. Доверие выше к более объективной проверке от лицензиата со стороны, чем к самооценке предприятия. Более того, эксперты с нужной лицензией знают совершенно точно как соответствовать нормам государственной проверки и избежать штрафов, вплоть до заполнения всех необходимых форм. 29
● Значительные изменения в компании или законодательстве. Новые законы, новое руководство, произошло слияние, расширился список услуг и поддерживающих их структур — в общем, так или иначе изменилась сама система защиты или требования к ее «эталону». В таком случае самооценка не представляется в полной мере возможной — это словно настройка самых первых дней, но только с участками старой архитектуры и для скорости преодоления «опасного» периода, а также отладки новых процессов управления ИБ необходим взгляд со стороны. ● Критическая ситуация вне возможностей вашего отдела ИБ. При реагировании на инциденты всегда происходит проверка на контроль ситуации — и если вы вдруг оказались в той, что не поддается вашему контролю и реагированию, вам нужно срочно связаться со специалистами по безопасности сторонних организаций. Даже если они не успеют восстановить контроль до конца атаки, они смогут собрать информацию по преступлению для передачи ее в надлежащие органы, а также справиться с последствиями. Скорость и высокая квалификация в этом случае критичны, а потому если у вас есть подозрение на подобный инцидент, немедленно связывайтесь с экспертами по безопасности. 4. Усиление физической безопасности электронных устройств Физическая защита данных – это комплекс мер и технологий, направленных на обеспечение безопасности физического доступа к 30
информационным ресурсам и защиту данных от угроз, связанных с физическими факторами. Цель физической защиты данных заключается в предотвращении несанкционированного доступа к информации, ее копирования, изменения или уничтожения. Она направлена на обеспечение конфиденциальности, целостности и доступности данных. Физическая защита данных включает в себя различные аспекты, такие как: Защита физического доступа Это включает контроль и ограничение доступа к помещениям, где хранятся серверы, хранилища данных и другое оборудование. Для этого могут использоваться системы видеонаблюдения, электронные пропускные системы, биометрическая идентификация и другие технологии. Защита от физических угроз Это включает защиту от пожаров, наводнений, землетрясений и других стихийных бедствий, которые могут повредить оборудование и данные. Для этого используются системы пожарной сигнализации, автоматические системы пожаротушения, системы контроля температуры и влажности и другие технологии. Защита от внешних атак Это включает защиту от физических атак на серверы и сетевое оборудование, такие как взломы, кражи или повреждения оборудования. Для этого используются физические замки, решетки, антивандальные корпуса и другие технологии. Защита от внутренних угроз Это включает защиту от несанкционированного доступа и злоупотребления правами доступа со стороны сотрудников или других внутренних лиц. Для этого используются системы контроля доступа, аудита и мониторинга действий пользователей. Все эти меры и технологии в совокупности обеспечивают физическую защиту данных и помогают предотвратить утечку, потерю или повреждение информации, что является важным аспектом обеспечения безопасности информационных систем и защиты конфиденциальности данных. Физические угрозы для данных 31
Физические угрозы для данных – это различные опасности и риски, которые могут привести к потере, повреждению или утечке информации. Они могут возникнуть из-за внешних факторов, таких как природные бедствия, или из-за внутренних факторов, таких как несанкционированный доступ или неправильное обращение с оборудованием. Природные бедствия Природные бедствия, такие как пожары, наводнения, землетрясения или ураганы, могут нанести серьезный ущерб физической инфраструктуре, включая серверные помещения и хранилища данных. Они могут привести к полной потере данных, если не предусмотрены соответствующие меры защиты, такие как системы пожаротушения, резервное копирование данных и географическое разделение серверных центров. Сбои в электропитании Сбои в электропитании, такие как перебои в подаче электроэнергии или скачки напряжения, могут привести к повреждению оборудования и потере данных. Для защиты от таких угроз используются системы резервного питания, такие как ИБП (источники бесперебойного питания) и генераторы. Кража или утрата оборудования Кража или утрата компьютерного оборудования, такого как серверы, ноутбуки или внешние накопители, может привести к утрате данных и нарушению конфиденциальности. Для предотвращения таких угроз используются физические меры безопасности, такие как замки, системы видеонаблюдения и контроля доступа. Вредоносные действия Вредоносные действия, такие как физическое повреждение оборудования или внедрение вредоносного программного обеспечения, могут привести к потере данных или нарушению их целостности. Для защиты от таких угроз используются антивирусные программы, брандмауэры и системы обнаружения вторжений. Несанкционированный доступ Несанкционированный доступ к физическим средствам хранения данных, таким как серверные помещения или хранилища, может привести к краже или утечке информации. Для предотвращения таких угроз используются системы контроля доступа, видеонаблюдение и аудит действий пользователей. 32
Все эти физические угрозы могут иметь серьезные последствия для безопасности данных, поэтому важно принимать соответствующие меры для их предотвращения и защиты. Средства физической защиты данных Физический доступ Один из основных аспектов физической защиты данных – это контроль физического доступа к помещениям и устройствам, где хранятся данные. Для этого используются различные средства: ● Замки и ключи: Замки на дверях помещений и шкафов, где хранятся серверы и хранилища данных, обеспечивают физическую защиту от несанкционированного доступа. ● Ключ-карты и бейджи: Ключ-карты и бейджи с электронными метками могут использоваться для контроля доступа к определенным помещениям или устройствам. ● Биометрическая идентификация: Системы биометрической идентификации, такие как сканеры отпечатков пальцев или распознавание лица, могут быть использованы для более надежного контроля доступа. Средства физической защиты данных на уровне хранилищ Для обеспечения физической защиты данных на уровне хранилищ используются различные средства и меры: ● Физический доступ: Ограничение физического доступа к хранилищу данных является первым шагом в обеспечении безопасности. Это может быть достигнуто с помощью использования замков, электронных ключей, биометрической идентификации или карточек доступа. ● Видеонаблюдение: Установка систем видеонаблюдения позволяет контролировать доступ к хранилищу данных и записывать все происходящие события. Это помогает в идентификации потенциальных угроз и предотвращении несанкционированного доступа. ● Охранная сигнализация: Установка системы охранной сигнализации позволяет обнаруживать и реагировать на попытки несанкционированного доступа или вторжения в хранилище данных. Охранная сигнализация может быть связана с центром мониторинга или службой безопасности для оперативного реагирования на угрозы. 33
● Пожарная защита: Установка системы пожарной защиты, такой как детекторы дыма, пожарные извещатели и системы пожаротушения, помогает предотвратить повреждение данных от пожаров и связанных с ними рисков. ● Контроль окружающей среды: Обеспечение оптимальных условий окружающей среды, таких как температура, влажность и вентиляция, помогает предотвратить повреждение оборудования и данных. Все эти меры физической защиты данных на уровне хранилищ работают вместе для обеспечения безопасности и непрерывности работы хранилищ данных, а также защиты данных от несанкционированного доступа, повреждения или утраты. Физическая защита данных на уровне рабочих станций и периферийных устройств Физическая защита данных на уровне рабочих станций и периферийных устройств является важной составляющей общей стратегии защиты данных. Она направлена на предотвращение несанкционированного доступа к компьютерам, ноутбукам, планшетам, смартфонам и другим устройствам, а также на защиту данных, хранящихся на этих устройствах. Физическая защита данных на уровне рабочих станций и периферийных устройств включает в себя меры, предназначенные для защиты физической инфраструктуры, на которой работают эти устройства, а также для предотвращения физического доступа к ним. Целью физической защиты данных на этом уровне является предотвращение кражи, повреждения или утраты устройств, а также несанкционированного доступа к данным, хранящимся на них. Средства физической защиты данных Для обеспечения физической защиты данных на уровне рабочих станций и периферийных устройств используются различные средства и меры: ● Замки и кабели: Использование замков и кабелей позволяет фиксировать устройства к рабочим столам или другим неподвижным объектам, что предотвращает их кражу или несанкционированное перемещение. ● Контроль доступа: Установка систем контроля доступа, таких как электронные замки или биометрические устройства, позволяет ограничить физический доступ к рабочим станциям и периферийным устройствам только авторизованным пользователям. 34
● Видеонаблюдение: Установка систем видеонаблюдения позволяет контролировать физическую инфраструктуру и обнаруживать несанкционированный доступ или повреждение устройств. ● Физические барьеры: Использование физических барьеров, таких как ограждения или преграды, помогает предотвратить несанкционированный доступ к рабочим станциям и периферийным устройствам. ● Удаленное управление: Использование программного обеспечения для удаленного управления позволяет отслеживать и контролировать рабочие станции и периферийные устройства из удаленного места, что облегчает их защиту и обслуживание. Все эти средства физической защиты данных на уровне рабочих станций и периферийных устройств работают вместе для обеспечения безопасности устройств и защиты данных, хранящихся на них, от несанкционированного доступа, повреждения или утраты. Физическая защита данных на уровне доступа и аутентификации Физическая защита данных на уровне доступа и аутентификации является важным аспектом обеспечения безопасности информации. Она включает в себя меры, предпринимаемые для контроля доступа к системам и ресурсам, а также для проверки подлинности пользователей. Контроль доступа Контроль доступа – это процесс управления правами доступа пользователей к системам и ресурсам. Он включает в себя определение, кто имеет право получить доступ к данным, и какой уровень доступа им разрешен. Вот некоторые из основных мер контроля доступа: ● Идентификация пользователей: При входе в систему пользователи должны предоставить идентификационные данные, такие как логин и пароль, для проверки своей подлинности. ● Авторизация: После успешной идентификации пользователю присваиваются определенные права доступа в соответствии с его ролью или полномочиями. ● Многофакторная аутентификация: Для повышения безопасности может использоваться многофакторная аутентификация, которая требует предоставления нескольких форм идентификации, таких как пароль, биометрические данные или аппаратные токены. 35
● Аудит доступа: Ведение журнала доступа позволяет отслеживать и анализировать активность пользователей, чтобы обнаружить несанкционированный доступ или подозрительное поведение. Физическая защита аутентификации Физическая защита аутентификации включает в себя меры, предпринимаемые для защиты устройств и средств аутентификации от несанкционированного доступа или подмены. Вот некоторые из основных мер физической защиты аутентификации: ● Физическая защита серверов аутентификации: Серверы, отвечающие за аутентификацию пользователей, должны быть физически защищены от несанкционированного доступа. Это может включать использование защищенных помещений, контроля доступа и видеонаблюдения. ● Защита аутентификационных данных: Аутентификационные данные, такие как пароли или биометрические данные, должны быть защищены от несанкционированного доступа или копирования. Это может включать шифрование данных, использование безопасных протоколов передачи и хранение данных в защищенных хранилищах. ● Физическая защита аутентификационных устройств: Аутентификационные устройства, такие как смарт-карты или биометрические сканеры, должны быть физически защищены от кражи или повреждения. Это может включать использование защищенных контейнеров или устройств, контроля доступа и видеонаблюдения. Физическая защита данных на уровне доступа и аутентификации играет важную роль в обеспечении безопасности информации. Она помогает предотвратить несанкционированный доступ к системам и ресурсам, а также защищает аутентификационные данные от утечки или злоупотребления. 4.1.Безопасность мобильных устройств Для многих из нас смартфоны – это самые используемые в повседневной жизни устройства. Времена, когда мобильные телефоны в основном использовались для звонков и отправки текстовых сообщений, 36
давно прошли – теперь они исполняют роль портативных компьютеров с огромным набором разнообразных приложений, от социальных сетей до онлайн-банкинга. Зависимость пользователей от телефонов, а также объем хранящихся на них данных, объясняет, почему безопасности телефонов придается такое большое значение. С ростом зависимости пользователей от мобильных устройств растут и угрозы мобильной безопасности. В этой статье рассказывается о безопасности мобильных телефонов и о способах их защиты. Давайте рассмотрим основные угрозы безопасности телефонов. Вредоносные приложения и веб-сайты Мобильные вредоносные программы (вредоносные приложения) и вредоносные веб-сайты могут использоваться для кражи и шифрования данных как на мобильных телефонах, так и на компьютерах. Существуют разные виды вредоносных приложений. Наиболее распространенными являются трояны, осуществляющие переходы по вредоносным ссылкам и рекламным объявлениям. Мобильные программы-вымогатели Мобильные программы-вымогатели – это вредоносные программы, блокирующие доступ пользователей к мобильным устройствам и требующие выкуп, обычно в криптовалюте. Рост использования мобильных устройств в рабочих целях привел к распространению программ-вымогателей и повышению их опасности. Фишинг Большинство фишинговых атак на компьютеры и ноутбуки начинается с электронного письма, содержащего ссылку или вложение для загрузки вредоносных программ. Однако доля электронных писем при фишинговых атаках на мобильные устройства составляют лишь 15%. Большинство мобильных фишинговых атак осуществляется через SMS-сообщения, социальные сети и другие приложения. Атаки типа «человек посередине» (Man-in-the-Middle) В атаках типа «человек посередине» злоумышленники перехватывают сетевые сообщения с целью прослушки или изменения передаваемых данных. Этот тип атаки применим для различных систем, однако мобильные устройства наиболее уязвимы. В отличие от веб-трафика, для передачи которого обычно используется протокол HTTPS, поддерживающий шифрование, SMS-сообщения можно легко перехватить, 37
а в мобильных приложениях для передачи конфиденциальных данных может использоваться не поддерживающий шифрование протокол HTTP. Перепрошивка и получение root-прав Перепрошивка и получение root-прав – это получение доступа уровня администратора к мобильным устройствам iOS и Android. Пользователи мобильных устройств могут получить такие права, чтобы удалить установленные по умолчанию неиспользуемые приложения или установить приложения из ненадежных магазинов приложений, однако это сопряжено с риском. Расширение прав пользователя может позволить злоумышленникам получить доступ к данным и нанести ущерб. Шпионские программы Шпионские программы могут собирать и использовать личные данные без ведома и согласия пользователя. Данные, на которые обычно нацелены шпионские программы, включают историю вызовов, текстовые сообщения, местоположение пользователя, историю поисковых запросов, список контактов, электронную почту и личные фотографии. Киберпреступники могут использовать эту информацию для кражи личных данных или финансового мошенничества. 4.2. Человеческий фактор Человеческий фактор в информационной безопасности означает влияние людей на безопасность информации и систем. Хотя существуют различные технические меры безопасности, такие как шифрование и брандмауэры, человеческий фактор может стать слабым звеном в цепочке безопасности. Это связано с тем, что люди могут допускать ошибки, игнорировать безопасные практики или становиться жертвами социальной инженерии. Основные проблемы человеческого фактора в информационной безопасности 1. Недостаточная осведомленность о безопасности Одной из основных проблем является недостаточная осведомленность о безопасности у пользователей. Многие люди не знают о базовых принципах безопасности, таких как создание сложных паролей, обновление программного обеспечения и осторожность при открытии вложений в электронных письмах. Это делает их уязвимыми перед атаками хакеров и злоумышленников. 2. Неправильное использование паролей 38
Многие пользователи придерживаются плохих привычек в отношении паролей, таких как использование простых и легко угадываемых паролей, повторное использование паролей для разных сервисов и запись паролей на бумаге или в незащищенных электронных файлах. Это делает их учетные записи уязвимыми перед взломом. 3. Фишинг и социальная инженерия Фишинг и социальная инженерия - это методы атак, при которых злоумышленники пытаются обмануть пользователей и получить доступ к их конфиденциальным данным. Они могут отправлять поддельные электронные письма, имитирующие официальные запросы, или звонить по телефону, представляясь сотрудниками банка или другой организации. Человеческий фактор становится ключевым звеном в успешной реализации таких атак. Контрольные вопросы: 1. Что включает в себя защита физического доступа? 2. Опишите средства физической защиты данных. 3. Какие виды существуют основных угроз безопасности телефонов? 4. Приведите пример на популярные шпионские программы. 5. Перечислите основные проблемы человеческого фактора в информационной безопасности? 5.Обеспечение безопасности аккаунтов В современном цифровом мире, где многие аспекты нашей жизни переносятся в онлайн-пространство, обеспечение безопасности аккаунтов становится приоритетной задачей для пользователей. Аккаунты на социальных сетях, банковские учетные записи, электронная почта и другие онлайн-ресурсы содержат ценную личную информацию, требующую надежной защиты. В данном реферате рассмотрим ключевые стратегии и меры по обеспечению безопасности аккаунтов. 39
1. Уникальные Пароли: Один из фундаментальных принципов безопасности – использование уникальных, сложных паролей для каждого аккаунта. Эффективный пароль должен включать в себя комбинацию букв, цифр и специальных символов, делая его сложным для взлома. 2. Двухфакторная Аутентификация: Включение двухфакторной аутентификации – дополнительного уровня защиты, который требует предоставление не только пароля, но и дополнительного подтверждения, часто через мобильное устройство. Это повышает безопасность аккаунта даже при утечке пароля. 40
3. Регулярное Обновление Паролей: Регулярное изменение паролей является профилактикой против возможных атак. Этот шаг особенно важен в случае подозрения на возможное компрометирование учетных данных. 4. Бдительность в Отношении Фишинга: Пользователи должны быть бдительными при открытии ссылок из электронных писем или сообщений. Фишинговые атаки могут имитировать легитимные веб-сайты, чтобы выманить личные данные. 5. Обеспечение Безопасности Финансовых Аккаунтов: Уникальные Пароли и 2FA: 41
Для банковских и платежных аккаунтов особенно важно использовать уникальные пароли и включить двухфакторную аутентификацию для предотвращения несанкционированных транзакций. Регулярные Проверки Операций: Периодическая проверка выписок по банковским счетам помогает выявить подозрительную активность, своевременно предотвращая потенциальные финансовые угрозы. 5.1. Стратегии сохранения данных у третьих лиц В современном информационном обществе третьи лица часто обрабатывают и хранят наши личные данные. Это может включать в себя социальные сети, облачные сервисы, медицинские учреждения, финансовые организации и многие другие. С учетом угроз, связанных с утечкой данных и кибератаками, стратегии сохранения данных у третьих лиц становятся крайне важными. Давайте рассмотрим ключевые аспекты и стратегии обеспечения конфиденциальности и безопасности данных в отношениях с третьими лицами. Один из основных принципов сохранения данных у третьих лиц – ограничение совместного доступа к информации. Пользователи должны предоставлять доступ только тем третьим лицам, которые действительно нуждаются в этой информации. Например, настройки приватности в социальных сетях могут быть сконфигурированы так, чтобы ограничить доступ к определенным данным только для определенных кругов пользователей.При выборе третьих лиц для обработки и хранения данных важно выбирать надежные и безопасные сервисы. Это могут быть платформы, предоставляющие высокие стандарты безопасности, шифрование данных и строгие политики конфиденциальности. Перед использованием любого сервиса необходимо провести независимую оценку его безопасности.Пользователи должны регулярно мониторить свою активность на третьих платформах. Это включает в себя проверку аккаунтов на подозрительную активность, изменения в настройках конфиденциальности и несанкционированный доступ. Раннее обнаружение аномалий может помочь предотвратить утечку данных.Прежде чем передать свои данные третьим лицам, важно 42
внимательно читать и понимать соглашения о конфиденциальности. Эти документы часто содержат информацию о том, какие данные собираются, как они будут использоваться и передаваться. Непонимание этих положений может привести к нежелательным последствиям.Для повышения безопасности данных при их передаче и хранении требуется использование криптографического шифрования. Это обеспечивает дополнительный слой защиты, делая данные непригодными для несанкционированного доступа даже при возможной утечке.Сознательность пользователей играет ключевую роль в обеспечении безопасности данных. Проведение обучающих программ по основам безопасности в онлайн-пространстве помогает пользователям лучше понимать риски и принимать осознанные решения о передаче своих данных. Третьи лица, обрабатывающие личные данные, должны проводить регулярные аудиты безопасности. Это включает в себя проверку систем на наличие уязвимостей, анализ политик безопасности и обновление систем и процессов в соответствии с последними стандартами безопасности.Важно, чтобы третьи лица соблюдали законы и нормативные акты, касающиеся конфиденциальности данных. Это включает в себя соблюдение GDPR в Европе, HIPAA в медицинской сфере и других соответствующих регуляций. Стратегии сохранения данных у третьих лиц требуют комплексного подхода, включая тщательный выбор сервисов, активное управление доступом и регулярные проверки безопасности. Развитие сознательности пользователей, обучение персонала третьих лиц и соблюдение законодательных требований становятся неотъемлемой частью успешной стратегии обеспечения конфиденциальности и безопасности данных. 5.2. Обеспечение безопасности платежных, банковских и торговых счетов. Банк-эмитент проверяет информацию о клиенте, карте и наличии свободных средств на ней, а затем либо одобряет, либо отклоняет операцию. Поэтому в случае оплаты картой на сайтах банк сможет только предотвратить мошенническую операцию, но не утечку персональных данных, говорит Гольцов. 43
Мошеннические операции в таких случаях предотвращаются с помощью следующих инструментов: ОTP (one time password) – временный код, который необходимо ввести на сайте для подтверждения оплаты. Этот код высылает банк владельцу карты на телефон через SMS или PUSH-уведомление. Действие кода также может быть ограничено во времени. Преимущество одноразового пароля по сравнению со статическим в том, что злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе. Антифрод-системы. С их помощью банк отслеживает подозрительные операции, в частности проводимые из другой страны или с суммой, превышающей определенный лимит. Для выявления случаев мошенничества антифрод-система сегментирует клиента, а также получает сессионную информацию: кто, когда, какие действия, в каком регионе, в какое время выполнял, какие обороты и т. д. На основе данных о частоте (за единицу времени) и размерах алгоритм может принять решение о блокировке той или иной транзакции. Среди отечественных антифрод-решений в пример можно привести FraudWall от «Фродекс» или «FRAUD-Анализ» от Bank Software Systems (BSS). Сегодня популярны банкоматы и автоматизированные торговые POSтерминалы (Point-Of-Sale – оплата в точке продажи). При взаимодействии с POS-терминалом реквизиты пластиковой карты считываются с ее магнитной полосы встроенным считывателем POS-терминала. Клиент вводит собственный PIN-код (Personal Identification Number – персональный идентификационный номер), который знает только он. Элементы PIN-кода используются в общем алгоритме шифрования записи на магнитной полосе и являются электронной подписью владельца карты. Запросы на авторизацию или проведение транзакции от банков-эквайеров или из самих точек обслуживания поступают в процессинговый центр – специализированную сервисную организацию, которая обеспечивает их обработку. Процессинговым центром ведется база данных, в которой содержатся данные о банках и владельцах пластиковых карт. 44
Защита информации в электронных платежных системах предполагает выполнение следующих условий: • конфиденциальность — в процессе интернет-расчетов данные покупателя (номер пластиковой кредитной карты или других расчетных средств) должны оставаться известны только учреждениям и структурам, обладающим законным правом на это; ● аутентификация — чаще всего PIN-код или сообщение, благодаря которому клиент (или продавец) может удостовериться в том, что второй участник сделки именно тот, за кого себя выдает; ● авторизация — дает возможность до начала перечисления денег определить наличие у покупателя достаточной суммы для того, чтобы оплатить заказ. Все это нацелено на обеспечение безопасного платежного алгоритма, который сможет минимизировать риски электронных финансовых взаиморасчетов как для покупателя, так и для продавца. 6. Пароли 6.1. Как создать надежный пароль Надежный пароль – это главный барьер, который мешает взломать большинство ваших аккаунтов в сети. Если вы не пользуетесь современными методиками создания паролей, то вполне возможно, что мошенники смогут подобрать их буквально за несколько часов. Чтобы не подвергать себя риску кражи идентификационных данных и не стать жертвой вымогательства, вам нужно создавать пароли, которые могут противостоять усилиям хакеров, вооруженных современными средствами взлома. Слабость вашего аккаунта – это настоящая мечта для киберпреступника. Но этим мечтам лучше никогда не сбываться, и поэтому вам нужно предпринять определенные важнейшим личным данным. Так что вам нужны такие пароли, которые хакерам нелегко будет угадать или подобрать. Большинство пользователей сейчас умеют создавать пароли, которые тяжело подобрать вручную. Когда-то этого было достаточно, чтобы противостоять краже данных. Помните, что преступники будут использовать любую информацию о вас, которую смогут найти, а также 45
распространенные способы составления паролей, чтобы угадать ваш пароль. Когда-то вы могли использовать простую «хu7р0с7b» – подстановку похожих символов. Но сейчас она уже известна хакерам. Современные киберпреступники используют сложные технологии, чтобы украсть ваши пароли. Это очень важно знать, потому что многие пытаются составлять пароли, которые трудно отгадать человеку, но не принимают в расчет существование эффективных алгоритмов и специальных программ, которые учитывают пользовательские «хитрости» при разгадывании паролей. Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт: 1. Перебор по словарю: использование программы, которая автоматически комбинирует распространенные слова из словаря, используя их часто встречающиеся сочетания. Пользователи стараются придумывать пароли, которые легко запомнить, так что подобные методы взлома следуют очевидным шаблонам. 2. Данные из социальных сетей и другая раскрытая вами личная информация также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях. 3. При брутфорс-атаках используются автоматические программы, перебирающие все возможные сочетания символов до тех пор, пока не найдется ваш пароль. В отличие от перебора по словарю, брутфорс-алгоритмы с трудом справляются с длинными паролями. А вот короткие пароли в некоторых случаях удается подобрать буквально за несколько часов. 4. Фишинг – это попытка заставить вас самостоятельно отдать мошеннику деньги или важную информацию. Мошенники обычно пытаются выдать себя за представителей организаций, которым вы доверяете, или даже за ваших знакомых. Они могут позвонить вам по телефону, написать SMS, электронное письмо или сообщение в соцсетях. Кроме того, они могут пользоваться поддельными приложениями, сайтами или аккаунтами в социальных сетях. 46
5. Утечки данных – это еще одна опасность, угрожающая и паролям, и другой важной информации. Компании все чаще становятся жертвами взлома; хакеры могут продавать или публиковать украденные данные. Утечки данных представляют для вас особенно большую угрозу, если вы используете один и тот же пароль в разных местах: весьма вероятно, что ваши старые аккаунты могут быть скомпрометированы, и это открывает для злоумышленников доступ и к другим вашим данным. Чтобы защититься от новейших методов взлома, вам нужны сверхнадежные пароли. Если вы хотите узнать, насколько надежен ваш пароль, и повысить его стойкость, мы подготовили несколько вопросов и советов, которые помогут вам: 1. Ваш пароль длинный? Постарайтесь создать пароль длиной как минимум 10–12 символов, а лучше даже еще длиннее. 2. Ваш пароль трудно угадать? Избегайте простых последовательностей («12345», «qwerty») – такие пароли подбираются за считаные секунды. По той же причине избегайте распространенных слов («password1»). 3. Разнообразен ли состав символов в вашем пароле? Заглавные и строчные буквы, символы, цифры – всем им найдется достойное место в вашем пароле. Чем больше в пароле разнотипных символов, тем он менее предсказуем. 4. Есть ли в вашем пароле очевидные подстановки символов? Например, ноль вместо буквы «О». Современные хакерские программы учитывают подобные замены, так что старайтесь их избегать. 5. Есть ли в вашем пароле необычные сочетания слов? Кодовые фразы надежнее, если слова в них идут в неожиданном порядке. Даже если вы используете обычные слова, берите такие, которые не связаны друг с другом по смыслу, и расставляйте их нелогичным образом. Это поможет противостоять словарному подбору. 6. Сможете ли вы запомнить свой пароль? Составляйте пароль так, чтобы он был понятен вам, но труден для машинного подбора. Даже случайные наборы символов можно запомнить, если они хоть сколько-нибудь читаемы, а также благодаря мышечной памяти. Но 47
вот пароль, который не пустит в ваш аккаунт даже вас самих, бесполезен. 7. Пользовались ли вы этим паролем раньше? Повторное использование паролей может скомпрометировать сразу несколько аккаунтов. Каждый пароль должен быть уникальным. 8. Используете ли вы правило, которое трудно разгадать компьютеру? Например, пароль из трех 4-буквенных слов, в которых первые две буквы заменяются цифрами и символами. Выглядит это так: «?4ей#2ка?6цо» вместо «улейрукалицо» Существует два основных подхода к составлению надежных паролей. Кодовые фразы основаны на сочетании нескольких существующих слов. В прошлом довольно часто использовались редкие слова с подстановкой символов и вставкой случайных символов посередине, например «Tr1Ck» вместо «trick» или «84sk37b4LL» вместо «basketball». Сейчас алгоритмы взлома уже знакомы с этим методом, так что хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке. Или, как вариант, – предложение, которое разбивается на части, и эти части расставляются по правилам, известным только пользователю. Пример кодовой фразы – «коровА!жгИ%алыЙ?фагоТъ» (здесь использованы слова «корова», «жги», «алый» и «фагот»). Кодовые фразы работают, потому что: ● их легко запомнить; ● они устойчивы и к словарным, и к брутфорс-алгоритмам подбора. Цепочки случайных символов – это бессистемные сочетания символов всех видов. В таких паролях задействованы строчные и прописные буквы, символы и числа в случайном порядке. Поскольку расстановка символов не следует никакому определенному методу, угадать такой пароль невероятно трудно. Даже специализированным программам могут понадобиться триллионы лет, чтобы взломать такой пароль. Пример цепочки случайных символов: «f2a_+Vm3cV*j» (ее можно запомнить, например, с помощью мнемонической фразы: «фрукты два ананаса подчеркнули и добавили VISA музыка 3 цента VISA умножает джинсы»). Цепочки случайных символов работают, потому что: 48
● их практически невозможно угадать; ● их очень сложно взломать; ● их можно запомнить с помощью мышечной памяти и мнемотехники. Теперь, когда вы ознакомились с типами надежных паролей и правилами их составления, давайте закрепим эти знания. Для этого мы возьмем несколько примеров хороших паролей и попробуем сделать их еще лучше. Пример 1: dAmNmO!nAoBiZPi? Почему этот пароль считается надежным? ● Он соответствует кодовой фразе: «Дай мне мороженого! на обед из Питера?» ● В нем используется правило: берутся только две первые буквы из каждого слова, каждая вторая буква пароля – прописная. ● Пароль длинный – 16 символов. ● В нем используются специальные символы: «!» и «?». ● В нем используются прописные и строчные буквы. Как улучшить этот пароль? ● Добавьте символы, чтобы сделать его еще длиннее. ● Добавьте цифры. Пример: dAmNmO!7nAoBvPi?6 Пример 2: !HMnrsQ4VaGnJ-kK Почему этот пароль считается надежным? ● Он сгенерирован случайно с помощью генератора паролей. ● Пароль длинный – 16 символов. ● В нем используются специальные символы: «!» и «-» ● В нем используются прописные и строчные буквы. Как улучшить этот пароль? ● Придумайте мнемоническую фразу, чтобы его запомнить. Пример: «! ХЭВИ МЕТАЛ не решает слушай QUEEN 4 ВЕСЕЛЫХ ананаса ГОЛЬФЫ не ДЖИНСЫ - короче КОРОТКОГО» Пример 3: яростьуткапростолуна Почему этот пароль считается надежным? ● Он основан на кодовой фразе, использующей несколько распространенных, но не связанных между собой слов. ● Пароль длинный – 20 символов. Как улучшить этот пароль? 49
● Используйте разнообразные символы – строчные и прописные буквы, символы, числа. ● Замените некоторые символы одного типа символами другого. Пример: !Рость%Тка?Росто4Уна (использовано следующее правило: вторая буква каждого слова заменяется на строчную, первая – на символ). 6.2. Хранение паролей Пароли предоставляют вам доступ ко множеству важных сервисов, так что храните их как можно надежнее. Чтобы обеспечить безопасность: ● Не записывайте пароли на бумажках. ● Не храните пароли в приложении «Заметки» на телефоне. ● Не сохраняйте пароли в автозаполнении браузера. Вместо этого пользуйтесь следующими методами: Активируйте двухфакторную аутентификацию на всех ваших самых ценных аккаунтах. Это дополнительная проверка безопасности после успешного ввода пароля. Для двухфакторной аутентификации используются методы, доступ к которым есть только у вас: электронная почта, SMS, биометрия (например, отпечаток пальца или Face ID) или USB-ключ. Двухфакторная аутентификация не пропустит мошенников и злоумышленников в ваш аккаунт, даже если они украдут ваши пароли. Часто обновляйте самые важные пароли. И старайтесь, чтобы новый пароль был не похож на старый. Менять лишь несколько символов в прежнем пароле – вредная практика. Обновляйте пароли регулярно, например каждый месяц. Даже если вы обновляете не все пароли, регулярно меняйте их хотя бы для следующих сервисов: ● интернет-банкинг; ● оплата счетов; ● основной пароль менеджера паролей; ● социальные сети; ● электронная почта; ● личные кабинеты телефонного оператора и интернет-провайдера. Наконец, помните: если ваш пароль удобен для вас, скорее всего, он удобен и для взломщиков. Сложные пароли – лучший способ защитить себя. Используйте менеджер паролей. Главное достоинство менеджера паролей – шифрование и доступ из любого места, где есть интернет. 50