Рекомендации пользователям по защите своих персональных данных
Более четверти всех инцидентов с конфиденциальными данными происходят в компаниях ритейла. Каждый 12-й инцидент приходится на финансовые и ИТ-компании. Утекает все — исходные коды проектов, техническая и административная документация, медицинские сведения, паспортные данные, адреса электронной почты и т.п. Так, в мае 2023 года на теневом форуме выставили на продажу базу данных клиентов предположительно медицинской лаборатории «Гемотест». По заявлению продавца в базе 31 млн строк, содержащих: ФИО, дату рождения, адрес, телефон, адрес эл. почты, серию/номер паспорта и т.п.
На сегодня число намеренных сливов данных сотрудниками компаний отошло на второй план. В основном хакеры проникают на серверы компаний вследствие невнимательности тех сотрудников, которые не соблюдает информационную безопасность. На достижение цели киберпреступникам нужно в среднем 7 дней.
Сомнительные письма от якобы коллег с вложениями, клоны корпоративно-административных ресурсов и прочие ухищрения открывают мошенникам даже самые надежные засовы.
По мнению 94,4% пользователей, «сливы» происходят вследствие недобросовестности персонала.
В этом году большинство взломов осуществляли хакерские группировки «со стажем». Например, к сливу данных Литреса на теневом форуме имею отношение те же личности, что сливали базы СберЛогистики, Delivery Club и многих других менее крупных компаний.
Получается, что сотрудники взломанных организаций сами узнают об утечках только через некоторое время после инцидента. А у многих компаний даже нет инструментов для проверки того, был ли осуществлен слив. Поэтому они могут несколько дней отрицать факт, пока не подтвердят слив с помощью сторонних специалистов. Бывает, что о проблеме люди узнают из новостей раньше, чем сами компании, чьи данные утекли.
Компании сами в состоянии ввести у себя правила работы с базами данных и безустанно обучать сотрудников цифровой грамотности, чтобы минимизировать риски открывания фишинговых сообщений. Тем самым сервера компании получат сильное противодействие к вирусному ПО.
В наши дни пользователям цифровых сервисов стоит осознавать потенциальные риски утечки их информации. При чем 100% гарантии защиты не даст ни одна компания, где пользователь оставляет свои данные, заполняя различные формы регистрации на сайтах и в приложениях.
Пользователь может контролировать ситуацию только на этапе передачи данных. То есть решать, кому и какие передавать данные и как это будет происходить — для этого следует ознакомиться хотя бы бегло с политикой конфиденциальности и при необходимости задать вопросы разработчикам.
Но когда данные уже переданы, то тут контролировать, к сожалению, ничего не получится. Поэтому остается только проверять, куда и кому вы направляете свои данные, и быть осведомленным о методах социальной инженерии — ведь мошенники так ловко ими пользуются.
В целях собственной информационной безопасности пользователю рекомендуется:
— Завести отдельный почтовый ящик для регистрации на разных сайтах
— Подключить виртуальный номер телефона
— Стараться не указывать свои реальные ФИО, а ограничиться псевдонимом
— Стараться не давать ссылки на свои социальные сети в личных кабинетах на сторонних сайтах
— Завести отдельную банковскую карту для онлайн-покупок и переводить туда средства только для обеспечения платежа
— Не загружать в открытый доступ фотографии документов, карт и т.п.