Вы находитесь на странице: 1из 2

ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ


ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.13. IT-активы

Мы все так или иначе являемся пользователями сети Интернет. Соответственно, возникает
потребность в безопасности наших личных ресурсов, смартфонов, планшетов, домашнего ноутбука
или рабочего компьютера при использовании различных сервисов, в том числе облачных.

Как только мы берем в руки свой смартфон, мы сразу получаем доступ к огромному количеству
ресурсов и оказываемся связанными с целым набором сервисов, которые встроены в наше
устройство, и с которыми наше устройство предлагает нам задействовать. В случае с Apple, это как
минимум Apple ID и iCloud Drive, iTunes, Apple Music, Books, Podcast, а также не стоит забывать про
электронную почту и другие приложения. Все они требуют от нас авторизоваться с использованием
своей учетной записи или, как минимум, той же электронной почты.

Отсюда возникает целый набор, сложный микс из различных IT-активов, которыми мы пользуемся
в повседневной жизни. И важно разобраться во всем этом, понять, как именно подходить к своей
личной цифровой безопасности, соблюдать свою личную цифровую гигиену, навести порядок в
своих паролях, в своих учетных записях, в своих устройствах, которые подключены к электронным
сервисам.

Можно перечислить IT-активы или сервисы, а также пароли и учетные записи, с которыми мы
сталкиваемся в повседневной жизни. Это полезно хотя бы для того, чтобы перечислить просто для
себя и, может даже, ужаснуться, как на самом деле выглядит ваша личная картина передачи
информации. Необходимо отдавать себе отчет, что же мы на самом деле делаем в цифровом
пространстве, понимать, насколько наши ресурсы, компьютеры, смартфоны, планшеты и мы сами
защищены от воздействия злоумышленников.

Для такой матрицы IT-активов нужно обозначить все свои устройства, которыми располагаются в
своей домашней инфраструктуре, перечислить сервисы, с которыми мы работаем в повседневной
жизни. Потом соединить их между собой стрелками, указав направление взаимодействия каждого
из компонентов инфраструктуры с соответствующим сервисом, выделить наиболее важные
компоненты, с которыми приходится иметь дело и которые считаются самыми ценными

Какие же типовые угрозы можно выделить в отношении этих активов и что с ними делать? Одной
из первых угроз можно выделить подбор или кражу пароля. Почему это становится возможным?
Пароль зачастую очень простой, поэтому злоумышленники его или быстро подбирают, или,
используя различные элементы социальной инженерии, выпытывают, или же просто крадут пароль
путем интеграции своей вредоносной программы на мобильное или стационарное устройство.
Заполучив пароль, они могут использовать нашу учетную запись для того, чтобы получить доступ
к конфиденциальной информации: переписке с интернет-банком, данных о счетах, о PIN-кодах
карт, если они хранятся у нас по какой-то причине в электронной почте или другом хранилище, к
которому есть доступ с устройства.

Также следует отметить, что элементы социальной инженерии для злоумышленника очень важны,
а для нас опасны тем, что человек, представляясь нашим другом или доверенным лицом, может

1
выпытать у нас какую-то конфиденциальную информацию, которая может использоваться для
восстановления пароля в других сервисах. Например, даты рождения или девичья фамилия
матери зачастую используются как контрольные вопросы восстановления пароля. Это немногие
знают, но злоумышленник об этом может узнать.

Еще одна популярная угроза – внедрение различных вирусов, троянских программ, червей-
шифровальщиков, когда данные зашифровываются и доступ к ним можно восстановить, только
заплатив за это выкуп. Причем такой инцидент может произойти и на стационарном компьютере, и
на мобильном устройстве. Типичный сценарий установки вируса на мобильное устройство – это
когда мы случайно кликаем по ссылке и потом, не глядя, нажимаем на кнопку «ДА, установить
программное обеспечение», и таким образом даем ему полные права на устройстве. В результате
вредоносная программа, которая никоим образом не прошла подтверждение на уровень доверия
ни в магазине Google Play, ни в AppStore, получает доступ к сообщениям в электронной почте, к
данным мессенджеров, ко всем файлам, которые хранятся в мобильном устройстве.

Если задуматься, то, по сути, мобильный телефон – это кладезь конфиденциальной информации,
и она становится доступна злоумышленнику в результате успешного «взлома». Без мобильного
телефона человек точно не выйдет из дома, и точно вернется за ним, если забыл. И что в
результате? Самый ценный наш гаджет, кладезь информации, с которой, с одной стороны,
беспечно обращаются пользователи, с другой – трепетно следят злоумышленники, оказывается
под наибольшим прессингом угроз. Основная цель – это, конечно же, персональные данные о
нашей личности с целью получения доступа к нашему банковскому счету или другим финансовым
сервисам, контроль использования одноразовых паролей и подтверждений. Также интерес для
злоумышленников могут представлять данные для использования механизмов социальной
инженерии, когда, втираясь в доверие, хакер через просьбу в социальных сетях просит деньги и
обогащается за счет жертвы.

Сегодня мы очень много пользуемся и персональными гаджетами, и стационарными


компьютерами, работаем с большим количеством сервисов. Но все равно можно выделить
несколько ключевых элементов. Это как минимум номер телефона, профиль социальной сети и
пароли от важных данных, с которыми мы работаем, либо которые нужны для доступа к сервисам.
Проще говоря – это аутентификаты и идентификаторы, без знания которых злоумышленник не
может получить несанкционированный доступ. Поэтому важно понимать, каким образом
используются эти ключевые элементы.