Персональні дані постійно потрапляють у чужі руки. Як убезпечитися наперед?
За останні декілька років гучні скандали навколо витоку персональних даних не оминули й Україну
Чи дійсно ваші дані належать тільки вам? Нерідко користувачі самі діляться особистою інформацією в мережі чи на вимогу сервісів під час реєстрацій. Це номери телефонів, пошта, фото з документів, номер паспорта. Але чи достатньо є запобіжників, аби ці дані не потрапили до шахраїв?
Власники інтернет-ресурсів використовують кілька методів, щоб захистити дані користувачів:
- Шифрування даних. Багато сайтів використовують SSL-сертифікати для шифрування даних між сервером і браузером користувача. Це дозволяє захистити чутливу інформацію, як-от ім’я користувача та пароль, від прослуховування та перехоплення зловмисниками.
- Додаткова автентифікація. Інтернет-ресурси можуть вимагати від користувачів додаткової автентифікації – кодів доступу чи підтвердження за допомогою SMS – щоби перевірити їхню ідентичність.
- Захист від SQL-ін’єкцій, що дозволяють зловмисникам отримати доступ до баз даних сайту. Цього захисту можна досягти через фільтрацію та валідацію введених користувачем даних.
- Захист від відомостей про сесію. Онлайн-ресурси можуть захищати від зловмисників сесійні ключі та інші ідентифікатори сесій, що дозволяють отримати доступ до даних користувача.
- Автоматичні оновлення. Адміністратори сайтів постійно оновлюють програмне забезпечення та системи захисту, щоб забезпечити безпеку та запобігти вразливостям.
Водночас кіберзлочинці удосконалюють технології ті можуть використовувати не тільки фішингові атаки, але й соціальну інженерію, відстеження та витоки даних. За останні декілька років гучні скандали навколо витоку персональних даних не оминули й Україну.
- 2020-й рік. Через один з анонімних телеграм-ботів зловмисники продавали персональні дані 26 млн українців. У відкритий доступ потрапили не лише адреси електронних пошт і номери телефонів, але й фото, паролі, водійські посвідчення і знімки загублених документів. Експерти з цифрової безпеки дискутували, чи могли отримати ці масиви даних через несанкціонований доступ до урядового застосунку Дія.
- У 2020 році масштабний витік персональних даних майже 6,5 млн користувачів зафіксували в Ізраїлі. Ймовірне джерело – застосунок для голосування під час виборів.
- У 2018 році витік персональних даних відбувся в Бразилії. У відкритому доступі опинилася персональна інформація 243 млн громадян. При цьому тоді в країні проживало близько 210 млн громадян. Тобто понад 30 млн «злитих» записів – це дані померлих людей.
На кого скаржитися та до кого звертатись, якщо ваші персональні дані опинилися у відкритому доступі?
Нерідко причиною подібних «витоків» є банальна недбалість розробників. Наприклад, у Бразилії та Ізраїлі забули закрити АРІ – інтерфейс програмування застосунків, що дозволяє третім сторонам отримати доступ до масивів даних програми чи сайту. В Україні подібні випадки також ставали причиною витоку даних із великих ресурсів: банки, застосунки, соцмережі. У ситуації з продажем даних через Telegram експерти прийшли до висновку, що телеграм-канали створили базу на основі попередніх витоків.
Персональні дані українців захищені законодавчо та Угодою про асоціацію між Україною та ЄС. Це дозволяє будь-кому, чиї дані стали доступні третім особам, звернутися до кіберполіції з вимогою прибрати дані та отримати інформацію про те, хто та як отримав персональну інформацію.
«Превентивний удар»
Щоб убезпечити свої персональні дані від несанкціонованого доступу третіх осіб, підготуйтеся заздалегідь та виконайте кілька кроків:
- встановіть двофакторну аутентифікацію на особисті й робочі акаунти;
- застосовуйте електронний цифровий підпис;
- використовуйте складні паролі;
- не використовуйте піратський контент і оминайте маловідомі сайти;
- вмикайте VPN під час роботи з публічними WiFi-мережами;
- привʼязуйте важливі акаунти (банківські чи робочі) до номера телефону, про який знаєте тільки ви.
Нині Україна працює над удосконаленням законодавства щодо захисту персональних даних, покликане встановити досконаліші запобіжники проти зловживання даними. Водночас ми й самі можемо скаржитися на підозрілі акаунти в кіберполіцію, бути обачними та відповідальними цифровими громадянами.