ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ

ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.14. Управление паролями

Продолжаем изучение цифровой гигиены и личной безопасности в пространстве Интернет. Ранее

мы говорили про угрозы на IT-активы: телефон, планшет, смарт ТВ – то, чем мы с вами пользуемся
в современном цифровом мире. Сервисы, с которыми мы работаем – это электронная почта,
различные сайты, программы лояльности и другие ресурсы, которые необходимы по какой-то
причине в нашей цифровой жизни. На что же надо обращать внимание, чтобы не попасться на
удочку злоумышленника?

Мы выделили основные компоненты: это логин, т. е. номер телефона, электронная почта, профиль
социальной сети и пароль, который позволяет подтвердить наше владение этим логином
(идентификатором).

Что делать с логином? Можно использовать не основной номер телефона, а вспомогательный для
того, чтобы регистрироваться в разных сервисах. С аккаунтом социальной сети что-то сделать
сложнее. Но, в крайнем случае, можно завести второй аккаунт, хотя это и тяжело с точки зрения
администрирования. Но уж точно, на что мы можем повлиять, так это на пароль, используемый для
работы с сервисами.

Во-первых, пароль обязательно должен быть, а во-вторых, он должен быть надежным!

Для того, чтобы пароли были надежными, существует специальные сервисы управления паролями
или программы управления паролями. Ниже указаны некоторых из них, которые вы можете
использовать в своей повседневной жизни. Многие из них бесплатны. Многие, более того, встроены
в стандартные инструменты операционных систем наших мобильных или стационарных устройств.
Есть внешние, не встроенные в операционную систему, бесплатные инструменты, например,
сервис Lastpass, Keypass. Некоторые являются платными сервисами.

Сервисы управления паролями (keychain):

• Lastpass
• Keepass(x)
• 1password
• Enpass
• Apple keychain
• Google Keychain

Давайте разберемся, почему вообще возникает такая задача? Ответ прост: для каждого из
сервисов, который мы используем, необходимо использовать свой собственный уникальный
пароль.

1
Следует запомнить: никогда нельзя использовать один и тот же пароль для разных сайтов, учетных
записей, электронной почты.

Если говорить про рекомендации, которыми мы должны руководствоваться при работе с ресурсами
сети Интернет, с устройствами и программами, можно выделить следующие принципы:

1. Критическое мышление и недоверие ко всему, что происходит с вами в цифровом

пространстве.

Если у вас какой-то незнакомый человек что-то просит в рамках аккаунта социальной сети, следует
критически подойти к этой информации, и как минимум задать вопрос, по какой причине он к вам
обращается? Если незнакомый человек, к примеру, предлагает встречу, это по крайней мере
странно. Или если при использовании какого-либо сервиса всплывает окошко с предложением
установить какой-нибудь модуль программы, который должен «навсегда обезопасить ваш
компьютер», то это есть первый сигнал, что не нужно мгновенно нажимать на кнопку «ДА», и, скорее
всего, вообще не следует. Просто остановитесь и подумайте. Задайте себе вопрос: «Как это они
определили? Почему требуют мгновенной реакции, быстрого эмоционального вовлечения
пользователя под страхом реализации чего-то плохого?»

У специалистов в области информационной безопасности, которые должны были доказывать IT-

сотрудникам необходимость внедрения новых систем защиты, долго использовался (да и сейчас
используется) подход на базе «FUD» (Fear, Uncertainty, Doubt – страх, неуверенность и сомнение).
В рамках этого подхода под темой страха для сотрудников IT доводилась идея внедрения сервисов
безопасности. Страх заключался в потере активов, компрометации данных или их шифровании без
возможности восстановления. С одной стороны, это вещи, которые, безусловно, имеют под собой
почву и могут быть понятными угрозами с точки зрения модели нарушителя и вообще
нежелательными событиями в соответствии с политикой информационной безопасности. Но
подводный камень тут в сильной эмоциональной вовлекающей реакции, которую используют
злоумышленники, применяя на практике механизмы манипуляции.

2. Все, что попало в интернет, там и осталось

Все, что мы делаем в интернете, идентифицирует нас как личность. Специалисты по психологии и
профайлингу личности могут легко установить, кем мы на самом деле являемся, когда ведем
определенную активность и переписку в сети Интернет. Этот цифровой след никуда не пропадает.
Даже если компания или сервис уверяет, что вы можете нажать кнопку «удалить» и, к примеру, ваш
профиль социальной сети действительно удаляется, проверить это вы не сможете, и ваши данные
с большой долей вероятности остаются в базах или, как минимум, архивах.

Сегодня компании прикладывают много усилий в этом направлении, не говоря уже о регуляторах:
есть даже специальное законодательство. У нас это Федеральный закон РФ от 27 июля 2006 года
№ 152-ФЗ «О персональных данных», а за рубежом это GDPR (General data protection regulation),
Генеральный регламент по защите персональных данных Евросоюза, которые призывают следить
за исполнением компаниями требований обработки своих данных со стороны пользователей.
Однако, к сожалению, гарантировать исполнение этого все равно нельзя.

Таким образом, личный бренд в цифровой сфере – это в том числе все, что вы пишите и публикуете
в Интернете. Считайте, что вся информация стала публичной, поэтому не стоит публиковать
конфиденциальную информацию, либо то, что может вас скомпрометировать каким-либо образом.

2
3. Защита компьютера

3.1. Персональный межсетевой экран

Безусловно, на компьютере должен быть установлен персональный межсетевой экран. Сегодня

устройства подключены к десяткам сервисов. Фоновая активность, которая происходит в
незаметном для нас режиме, колоссальна. Чтобы все это контролировать, рекомендуется
использовать персональный межсетевой экран: он может быть либо встроен в операционную
систему, либо же потребуется поставить дополнительные компоненты. В любой момент времени
вы будете знать, какой сервис работает с каким ресурсом. И если ваш компьютер неожиданно
окажется зараженным, то вы всегда сможете отследить попытку установления исходящего
соединения вашего зараженного компьютера к ресурсу злоумышленника. И более того, сможете
предотвратить это взаимодействие.

3.2. Разные учетные записи для работы и администрирования

Никогда не отключайте встроенные средства безопасности, например, для Windows это User
access control.

Учетная запись администратора должна быть учетной записью администратора. Пользователь,

который работает с обычными сервисами и прикладными программами, не должны быть
администратором своего же собственного компьютера. Вернее, вы и будете этим
администратором, но, когда вы работаете с программой, уровень вашей привилегии в контексте
этой программы должен быть минимальный. Даже если что-то происходит и, например, через
браузер к вам пытается проникнуть угроза, за счет того, что у вас минимальные полномочия в
контексте этой программы браузера (то есть вы работаете под учетной записью обычного
пользователя), эта угроза не сможет закрепиться в системе с полномочиями администратора.
Помним цепочку реализации атаки, которая называется «kill chain». В результате уже на этапе
эксплуатации уязвимости и закрепления в системе, атака будет предотвращена просто
применением простых правил соблюдения цифровой гигиены и компьютерной грамотности.

3.3. Антивирусная программа

Зачастую персональный межсетевой экран и разные учетные записи для работы программ могут
скомпенсировать отсутствие антивирусных средств. Не полностью, но частично, равно как и
специальные дополнительные компоненты, которые встроены в современные операционные
системы Windows и Mac, и которые проверяют корректность электронной подписи под
устанавливаемой программой. И в любом случае, лучше устанавливать ПО из проверенного
магазина: либо Google Play, либо Windows Store, либо AppStore, т. е. из тех магазинов, где
разработчики должны подтвердить корректность работы своей программы, пройдя сложный
процесс верификации, прежде чем эта программа будет опубликована и доступна для загрузки.

4. Настройки ограничений в мобильных телефонах

Рекомендуется в случае работы с мобильными гаджетами включить на них настройки ограничений.

Смартфон является системой, в которой есть очень мощные встроенные средства обеспечения
безопасности. Сейчас не говорим про средства идентификации и аутентификации владельца. А
вот модуль ограничений позволяет контролировать доступ программ к контактам, Интернет-
соединениям, возможность загрузки программ, например, по сотовой сети. Там же есть
возможность ограничивать установку приложений, удаление программ, выполнение встроенных
покупок – самых разных параметров, отвечающих за работу различных модулей операционной
системы (например, доступ к данным геолокации, микрофону или камере). И все это можно

3
индивидуально контролировать. Рекомендация такая: включите и никогда после этого не
отключайте. Это усложняет работу с самим устройством (то, что называется usability), потому что
вам нужно будет каждому приложению давать индивидуальный набор прав, когда вы это захотите.
Но это того стоит.

5. Настройки безопасности для соцсетей

Не нужно забывать про специальные настройки безопасности для соцсетей. Они зависят от
конкретной социальной сети. Их также легко найти поиском в Яндексе или Google: они выдадут
целый набор статей, которые расскажут детально, каким образом настроить профиль в ВКонтакте,
в Facebook, в Instagram для того, чтобы включить максимально возможный набор ограничений и
которые, по умолчанию, там не всегда активированы. Общий смысл – это прозрачность или
приватность аккаунта и публикаций, возможность просматривать контактные данные, надежность
защиты паролем, двухфакторная аутентификация.

Информация, которую мы предоставляем внешним сервисам, должна быть четко дозирована. И

мы должны отдавать себе отчет, когда делимся своими данными, публикуем пост в интернете или
выкладываем какую-то информацию о нашей личной жизни.