Рекомендации пользователям по защите своих персональных данных

Большинство утечек происходят из крупных онлайн-компаний. Так, за последние 3 месяца инциденты с утечкой персональных данных произошли у 9 крупных российских компаний, а количество раскрытых учетных записей превысило 10 миллионов.

Более четверти всех инцидентов с конфиденциальными данными происходят в компаниях ритейла. Каждый 12-й инцидент приходится на финансовые и ИТ-компании. Утекает все — исходные коды проектов, техническая и административная документация, медицинские сведения, паспортные данные, адреса электронной почты и т.п. Так, в мае 2023 года на теневом форуме выставили на продажу базу данных клиентов предположительно медицинской лаборатории «Гемотест». По заявлению продавца в базе 31 млн строк, содержащих: ФИО, дату рождения, адрес, телефон, адрес эл. почты, серию/номер паспорта и т.п.

На сегодня число намеренных сливов данных сотрудниками компаний отошло на второй план. В основном хакеры проникают на серверы компаний вследствие невнимательности тех сотрудников, которые не соблюдает информационную безопасность. На достижение цели киберпреступникам нужно в среднем 7 дней.

Сомнительные письма от якобы коллег с вложениями, клоны корпоративно-административных ресурсов и прочие ухищрения открывают мошенникам даже самые надежные засовы.

По мнению 94,4% пользователей, «сливы» происходят вследствие недобросовестности персонала.

В этом году большинство взломов осуществляли хакерские группировки «со стажем». Например, к сливу данных Литреса на теневом форуме имею отношение те же личности, что сливали базы СберЛогистики, Delivery Club и многих других менее крупных компаний.

Получается, что сотрудники взломанных организаций сами узнают об утечках только через некоторое время после инцидента. А у многих компаний даже нет инструментов для проверки того, был ли осуществлен слив. Поэтому они могут несколько дней отрицать факт, пока не подтвердят слив с помощью сторонних специалистов. Бывает, что о проблеме люди узнают из новостей раньше, чем сами компании, чьи данные утекли.

Компании сами в состоянии ввести у себя правила работы с базами данных и безустанно обучать сотрудников цифровой грамотности, чтобы минимизировать риски открывания фишинговых сообщений. Тем самым сервера компании получат сильное противодействие к вирусному ПО.

В наши дни пользователям цифровых сервисов стоит осознавать потенциальные риски утечки их информации. При чем 100% гарантии защиты не даст ни одна компания, где пользователь оставляет свои данные, заполняя различные формы регистрации на сайтах и в приложениях.

Пользователь может контролировать ситуацию только на этапе передачи данных. То есть решать, кому и какие передавать данные и как это будет происходить — для этого следует ознакомиться хотя бы бегло с политикой конфиденциальности и при необходимости задать вопросы разработчикам.

Но когда данные уже переданы, то тут контролировать, к сожалению, ничего не получится. Поэтому остается только проверять, куда и кому вы направляете свои данные, и быть осведомленным о методах социальной инженерии — ведь мошенники так ловко ими пользуются.

В целях собственной информационной безопасности пользователю рекомендуется:

— Завести отдельный почтовый ящик для регистрации на разных сайтах

— Подключить виртуальный номер телефона

— Стараться не указывать свои реальные ФИО, а ограничиться псевдонимом

— Стараться не давать ссылки на свои социальные сети в личных кабинетах на сторонних сайтах

— Завести отдельную банковскую карту для онлайн-покупок и переводить туда средства только для обеспечения платежа

— Не загружать в открытый доступ фотографии документов, карт и т.п.