В прошлом номере нашего журнала была опубликована первая часть статьи, посвященной правилам поведения в интернете. Во второй части мы сфокусируемся на таких проблемах, как утечка ценной и потенциально опасной информации через социальные сети, тематические сайты и форумы, которые вы используете дома и на работе.
Риски усиливаются
Скорость появления значимых изменений в области обмена информацией постоянно нарастает. Возьмем, к примеру, камеры мобильных телефонов. Еще десять лет назад они казались излишним дополнением, нефункциональным, провальным маркетинговым экспериментом производителей. Так оно и было, пока мобильный интернет и социальные сети не получили сегодняшнего распространения. Теперь фотоаппарат в мобильном телефоне – один из важных критериев выбора. Им действительно часто пользуются, фотографируя все и вся, и публикуя в социальных сетях и специализированных сервисах (типа Instagram для iPhone), а также собственных программах и сервисах популярных социальных сетей, которые позволяют публиковать и комментировать фотографии в реальном времени с использованием практически любого мобильного телефона.
Количество фото- и видеоматериалов, отснятых на мобильные телефоны и размещенных в интернете, в 2011 году превысило триллион. Цифры такого же порядка описывают количество текстовых публикаций в социальных сетях Facebook, Twitter и отечественных «ВКонтакте» и «Одноклассники». Люди смело (порой даже безрассудно смело) делятся приватной информацией, на основании которой можно сделать выводы не только о тех или иных аспектах их собственной жизни, но и об их коллегах и организациях, с которыми они связаны. На самом деле уже сегодняшних объемов опубликованных данных достаточно для того, чтобы осуществить своеобразную разновидность всеведения. Единственной преградой остается сложность машинного анализа таких больших объемов разнородной информации.
Впрочем, исследования в этой области ведутся уже давно. В качестве примера можно вспомнить аналитические программ датамайнинга фирмы «Палантир», используемые ЦРУ, ФБР, аналитическими службами американской армии, морской пехоты и военно-воздушных сил, полицейскими департаментами Нью-Йорка и Лос-Анджелеса, а также значительным количеством частных корпораций. Эта программа существенно облегчает действительно неподъемную задачу по просеиванию огромных массивов с плохо сопоставимыми данными. Программное обеспечение «Палантира» реально способно быстро, в режиме параллельной обработки прочесывать все доступные ему базы данных и выявлять там связанные друг с другом фрагменты информации. После чего программа складывает все найденное в одно место – в виде, удобном для просмотра человеком-аналитиком.
Соответственно уже в ближайшей перспективе, когда такие и подобные программы станут доступны среднему бизнесу, любая информация, опубликованная вами и вашими сотрудниками в открытых источниках, будет положена в основу комплексного и исчерпывающего описания вашего бизнеса и/или частной жизни, формируемого в реальном времени.
Простой пример: кто-то из ваших сотрудников пишет в социальной сети: «Шеф уехал на переговоры в Питер, можно уйти домой пораньше». Вы можете не иметь доступа к этой записи, однако аналитики, заинтересованные в получении информации, такой доступ обязательно получат. Как следствие – они получат информацию о вашем местонахождении и цели поездки. Если прибавить к этому единичному прецеденту еще 1000, а к одному сотруднику еще 50, то в результате формируется значительно более полная картина.
Конечно, на сегодняшний день для того чтобы стать целью датамайнинга, нужно иметь какие-то достаточно ценные секреты и информацию. Как известно, украсть можно все что угодно, главное, чтобы риск и затраты на эту кражу оправдывали себя. Однако существуют достаточно простые правила информационной безопасности, соблюдая которые вы существенно снизите уровень личного и корпоративного риска, возникающего при публикации информации в социальных сетях в частности и в интернете – в целом.
СПРАВКА
Датамайнинг
DataMining (добыча данных, интеллектуальный анализ данных, глубинный анализ данных) – собирательное название, используемое для обозначения совокупности методов обнаружения в данных ранее неизвестных, нетривиальных, практически полезных и доступных интерпретации знаний, необходимых для принятия решений в различных сферах человеческой деятельности. Термин введен Григорием Пиатецким-Шапиро в 1989 году. Английское словосочетание «DataMining» пока не имеет устоявшегося перевода на русский язык. В русском языке используются также следующие словосочетания: просев информации, добыча данных, извлечение данных и интеллектуальный анализ данных. Более полным и точным является словосочетание «обнаружение знаний в базах данных» (knowledgediscoveringindatabases, KDD).
Правила поведения в соцсетях
В том, что касается информационной безопасности, существует одна простая закономерность, и, чтобы понять ее, совсем не обязательно обладать сколько-нибудь существенными познаниями в области ИТ. Заключается она в том, что из каждых десяти случаев намеренного хищения конфиденциальной информации в интернете девять происходят по вине потерпевшего. Так называемые хакеры крайне редко используют сложные программные или аппаратные инструменты. Это было бы просто нерентабельно. Пользователи, не следующие простым правилам, которые им неоднократно проговаривает системный администратор на работе, производитель устройств и программного обеспечения в инструкции и пр., сами предоставляют злоумышленникам доступ к своей информации.
Ниже приведен простой набор правил безопасности, которым должны следовать все пользователи социальных сетей*:
• Проявляйте осторожность при переходе по ссылкам, которые вы получаете в сообщениях от других пользователей или друзей. Не следует бездумно открывать все ссылки подряд – сначала необходимо убедиться в том, что присланная вам ссылка ведет на безопасный или знакомый вам ресурс.
• Контролируйте информацию о себе, которую вы размещаете. Обычно злоумышленники взламывают учетные записи на сайтах следующим образом: они нажимают на ссылку «Забыли пароль?» на странице входа в учетную запись. При этом для восстановления или установки нового пароля система предлагает ответить на секретный вопрос. Это может быть дата вашего рождения, родной город, девичья фамилия матери и т.п. Ответы на подобные вопросы можно легко найти в сведениях, которые вы опубликовали на своей странице в какой-либо популярной социальной сети. Поэтому при установке секретных вопросов необходимо придумывать их самостоятельно (если сайт, на котором вы регистрируетесь, это позволяет) или старайтесь не использовать личные сведения, которые легко найти в сети.
• Не думайте, что сообщение, которое вы получили, было отправлено тем, кого вы знаете, только потому, что так написано. Помните, что хакеры могут взламывать учетные записи и рассылать электронные сообщения, которые будут выглядеть так, как будто они были отправлены вашими друзьями. Если у вас возникло такое подозрение, лучше всего связаться с отправителем альтернативным способом, например, по телефону, чтобы убедиться в том, что именно этот человек отправил вам данное сообщение. Точно также необходимо относиться и к приглашениям зарегистрироваться в той или иной социальной сети.
• Чтобы не раскрывать адреса электронной почты своих друзей, не разрешайте социальным сетям сканировать адресную книгу вашего ящика электронной почты. При подключении к новой социальной сети вы можете получить предложение ввести адрес электронной почты и пароль, чтобы узнать, есть ли в этой сети пользователи, с которыми вы уже поддерживаете отношения при помощи электронной переписки. Используя эти данные, сайт может рассылать электронные сообщения (например, приглашения присоединиться к этой сети от вашего лица) всем пользователям из вашего списка контактов. Социальные сети должны указывать то, что эти адреса электронной почты будут использованы для этой цели, но зачастую не делают этого.
• Вводите адрес социальной сети непосредственно в адресной строке браузера или используйте закладки. Нажав на ссылку, которую вы получили в электронном сообщении или нашли на каком-либо сайте, вы можете попасть на поддельный сайт, где оставленные вами личные сведения будут украдены мошенниками.
• Не добавляйте в друзья в социальных сетях всех подряд. Мошенники могут создавать фальшивые профили, чтобы получить от вас информацию, которая доступна только вашим друзьям.
• Не регистрируйтесь во всех социальных сетях без разбора. Оцените сайт, который вы планируете использовать, и убедитесь, что вы правильно понимаете его политику конфиденциальности. Узнайте, существует ли на сайте контроль контента, который публикуется его пользователями. К сайтам, на которых вы оставляете свои персональные данные, необходимо относиться с той же серьезностью, которой требуют сайты, где вы совершаете какие-либо покупки при помощи кредитной карты.
• Учитывайте тот факт, что все данные, опубликованные вами в социальной сети, могут быть кем-то сохранены. На большинстве сервисов вы можете в любой момент удалить свою учетную запись, но, несмотря на это, не забывайте, что практически любой пользователь может распечатать или сохранить на своем компьютере фотографии, видео, контактные данные и другие оставленные вами сведения.
• Проявляйте осторожность при установке приложений или дополнений для социальных сетей. Многие социальные сети позволяют загружать сторонние приложения, которые расширяют возможности личной страницы. Довольно часто такие приложения используются для кражи личных данных, поэтому к их использованию необходимо относиться также серьезно, как и к установке на свой компьютер программ, которые вы можете найти в интернете.
• Старайтесь не посещать социальные сети с рабочего места. Любая социальная сеть может стать средой для распространения вирусов и других вредоносных или шпионских программ, что может привести не только к заражению вашего компьютера и всей корпоративной сети, но и к потере данных, составляющих коммерческую тайну вашей компании.
• Расскажите вашим детям об опасностях, которые могут подстерегать их в социальных сетях. Если ваши дети посещают социальные сети, расскажите им о правилах безопасного пользования этими ресурсами.
ЭТО ИНТЕРЕСНО!
Первые места, с точки зрения привлекательности для размещения вредоносных ресурсов, делят США, Франция и Пуэрто-Рико. Далее Украина, Германия и на почетном шестом месте Россия. Мировая статистика совпадает с исследованиями «Лаборатории Касперского» за февраль 2012 года – «рейтинг государств, на ресурсах которых размещены вредоносные программы». Но здесь Россия вошла уже в тройку лидеров, уступив Голландии и США. Существенным фактором при этом является законодательство в отношении интернета, которое отличается в разных странах. Если одни государства считают определенные действия нелегальными, то законодательство других вполне допускает подобное поведение в глобальной паутине
«Пример Китая показывает, что наиболее эффективные меры те, которые принимаются на уровне регуляторов, причем меры достаточно жесткие. Еще два года назад по количеству вредоносных хостингов эта страна была в лидерах с огромным отрывом от других стран. На долю этой страны приходилось более половины всех источников зловредов в интернете (52%). После ужесточения законодательства в 2010 году этот показатель сократился до 13%. А сейчас на долю Китая, по нашим данным, приходится всего 1,45%», – отмечает старший антивирусный эксперт «Лаборатории Касперского» Юрий Наместников.
Плюсы и минусы деанонимизации
Абсолютной приватности и анонимности в интернете быть не может – прежде всего потому, что пользователи (в широком смысле), как правило, не склонны думать о долгосрочных последствиях, особенно о негативных, которые могут произойти по причине публикации той или иной информации. Человеку гораздо важнее возможность общаться с друзьями, чем сохранение в тайне своих идей, впечатлений, фотографий и пр.
При этом сервисы, требующие от пользователей деанонимизации, зачастую действительно приносят пользу. Социальные сети, а также камеры видеонаблюдения или записи перемещения сотового телефона между вышками могут и часто бывают использованы во благо пользователя. Однако сегодняшние пользователи только учатся жить в обществе информационной открытости, поэтому им необходимо понимать, кто и как может использовать их деанонимизацию.
В первую очередь это, конечно, организованная преступность и прочие не имеющие легального статуса социальные сообщества, заинтересованные в доступе к личной информации. Риски здесь очевидны: например, злоумышленники могут просто обворовать вашу квартиру, зная, на основании ваших публикаций в соцсети, что вас в определенное время не будет дома.
Компании, зарабатывающие на рекламе и продаже услуг, также заинтересованы в честной информации. Это Google, Facebook, Twitter, медиакорпорации и поставщики контента, операторы связи, банки и практически все коммерческие организации. Для повышения прибыли они могут использовать информацию для искажения общей картины предлагаемых услуг (в результатах поисковой выдачи, например), что может вредить интересам отдельных людей. Также в силу специфики данные компании подвержены влиянию различных общественных и государственных организаций, которые могут требовать изъятия или искажения общедоступной информации. И, конечно, информация может использоваться для стимулирования потребительской активности пользователей.
Конечно, здесь риски не так очевидны. Нет ничего дурного, например, в том, что банк предлагает вам именно те финансовые услуги, которые вам интересны, а не наоборот. С другой стороны, сбор и анализ информации крупными ИТ-компаниями, которые также являются поставщиками общеупотребительных ИТ-услуг, может давать им весьма устрашающие инструменты для манипулирования потребительскими предпочтениями.
Поэтому каждому пользователю интернета необходимо осознать, что любой акт раскрытия информации о себе имеет как положительные, так и отрицательные стороны. С осознанием наличия отрицательных сторон у людей традиционно возникают сложности. При любом акте раскрытия информации стоит думать, информацию какого рода и в каком объеме стоит раскрывать. Очень важно контролировать этот момент и видеть допустимые пределы.
Кроме того, стоит критически относиться к информации, получаемой извне. Казалось бы, это не имеет отношения к деанонимизации – ведь информация не раскрывается, а наоборот, получается. Но стоит принять во внимание факт намеренной дезинформации. Типичный пример из жизни: ребенок на вопрос: «С кем гулял?» отвечает неправду, чтобы избежать попреков за прогулки с «неправильными» друзьями в «неправильных» местах. Более тонкий пример – поисковая выдача Googlе, а также любые иные «персонифицированные» сервисы в интернете.
Таким образом, деанонимизация сама по себе не плоха и не хороша. Эти качества она приобретает в зависимости от конкретной ситуации и ее участников. Контроль над информацией нужен, но контроль – это не тотальная закрытость. Разные виды информации требуют разных видов и способов контроля. Как и в любом другом взаимодействии с миром, важно понимать, что находится и происходит вокруг, что ты отдаешь и что получаешь взамен.
Разграничение информации
Отдельно стоит отметить простой, но не вполне очевидный факт: очень многим частным лицам и компаниям практически нечего скрывать, поэтому они могут смело публиковать информацию о себе и своих проектах в открытых источниках. В целом ряде случаев такая открытость даже служит им замечательной рекламой. Однако в России в силу целого ряда социально-политических причин даже самая простая информация о вашей компании может стать козырем в рукаве конкурентов или других структур-оппонентов. Поэтому многие специалисты по информационной безопасности рекомендуют своим корпоративным клиентам четко ранжировать всю публикуемую информацию. Например, не размещать в открытых источниках ничего о своем бизнесе без согласования с компетентными сотрудниками и/или руководством. Вполне возможно, что такое решение подойдет и вам.
Достаточно устроить небольшое собрание на тему информационной безопасности и социальных сетей и попросить всех сотрудников компании не публиковать какую бы то ни было информацию о рабочих проблемах и задачах в открытых источниках. Причем рекомендуется сформулировать это пожелание именно в формате просьбы, а не жесткого приказа или инструкции. То же самое правило в идеале должно регулировать все информационные потоки, направленные «из компании».
При этом важно понимать, что полная приватность и защита от утечек информации невозможна в информационном обществе, поэтому руководству компании рекомендуется построить определенную модель информационной структуры у себя в голове. То есть четко разграничить критически важную для бизнеса информацию и все остальное. И постараться сделать так, чтобы как можно меньше людей владели критически важной информацией, а те, кто ею владеют, отдавали себе отчет в ее важности и недопустимости ее хранения в ноутбуке, планшете, смартфоне, который они могут потерять, или в облачном аккаунте, пароль к которому могут взломать.
Единственное, что хотелось бы добавить в конце статьи, так это то, что все вышесказанное не должно напугать или отвратить от использования социальных сетей. Единственный вывод, который предлагается читателю, – использовать их с должной степенью осторожности и предусмотрительности. На вопрос: «Почему бы вовсе не отказаться от их использования?» ответить несложно: многие опасности и риски, описанные в статье, распространяются не только на социальные сети или интернет в целом. Они касаются любого обмена информацией, включая такое традиционное средство, как беседа. Отсюда легко сделать простой вывод: риски в области информационной безопасности создают не технологии, а легкомыслие и незнание, с которыми необходимо бороться в себе и своей компании.
Автор: Андрей ГЛАЗОВ
HABИГATOP ЮBEЛИPHOЙ TOPГOBЛИ 5"2012
Оставить комментарий
Для того, чтобы оставить комментарий,
зарегистрируйтесь или войдите через соц. сети