Read the book: «Цифровой иммунитет: защита от киберугроз. Практическое руководство по кибергигиене и устойчивости систем для специалистов по ИБ», page 4

Применение психологического аспекта в кибергигиене в корпоративной среде

В корпоративной же среде информационная гигиена и кибергигиена требуют участия всех сотрудников, но для служб информационной безопасности важна особая роль психологической устойчивости и обучения. Следуя рекомендациям по разработке программ для повышения осведомленности и навыков безопасности, компании могут минимизировать риски, связанные с человеческим фактором. Примеры таких компаний, как Microsoft и Cisco, показывают, как можно успешно интегрировать принципы информационной и кибергигиены, чтобы укрепить общую безопасность.

Сегодня, когда цифровые угрозы эволюционируют с беспрецедентной скоростью, а то и вовсе находятся в состоянии цифровой сингулярности, информационная и кибергигиена становятся неотъемлемой частью корпоративной культуры. Важно понимать, что эти термины слишком близки и явного водораздела тут нет: информационная гигиена включает практики, связанные с безопасным управлением данными и профилактикой утечек или минимизацией потерь, в то время как кибергигиена акцентируется на мерах защиты ИТ-инфраструктуры. Психология индивида тут играет ключевую роль, помогая понять и снизить влияние человеческих факторов на безопасность. Это имеет особую значимость для служб информационной безопасности, которые стремятся защитить компанию от внешних и внутренних угроз, работая с поведенческими и психологическими аспектами сотрудников.

Примеры компаний и подходы в информационной и кибергигиене

Microsoft активно продвигает практики кибергигиены, проводя регулярные тренинги для сотрудников всех уровней. И не только для своих сотрудников, но и для пользователей или сторонних специалистов. Например, тренинги по предотвращению фишинговых атак и управлению паролями помогают укрепить навыки безопасности, предотвращая риски, связанные с человеческим фактором. Подобные тренинги создают осведомленность среди сотрудников и делают их более устойчивыми к психологическим методам манипуляции, таким как социальная инженерия, или формируют необходимую модель действий в какой-то ситуации.

Cisco же делает акцент на эмоциональной подготовке специалистов по информационной безопасности к стрессовым ситуациям. Периодические тренировки, симулирующие реальные инциденты, помогают специалистам быстрее реагировать и принимать наиболее оптимальные решения в условиях угроз. Программы направлены на повышение стрессоустойчивости, что приводит к снижению вероятности ошибочных действий в и без того критических ситуациях.

Рекомендации для служб информационной безопасности

Для служб информационной безопасности компаний разработка… выражусь в духе времени – проработка информационной гигиены становится основой для создания устойчивой системы защиты. Вот несколько примеров, как именно это может выглядеть.

Менеджмент доступов, ресурсов и паролей. Регулярные смены доступов или паролей – часто обязательное требование для всех сотрудников. Так, политика смены паролей направлена на снижение риска их компрометации при каких-то старых утечках, особенно при использовании двухфакторной аутентификации. Вместе с тем представляет препятствия при «горизонтальном» перемещении злоумышленников в Сети. И к сожалению, не редкость игнорирование этого персоналом. Однако если сотрудник понимает важность на примерах и на автомате делает это раз в какой-то период времени, это существенно повышает общую защищенность.

Обучение распознаванию атак. Частые имитации фишинговых писем помогают сотрудникам лучше и глубже прочувствовать угрозы и избегать ошибок, вызванных доверчивостью и невнимательностью, а вместе с тем и сформировать подозрительность по отношению ко всем входящим письмам.

Мониторинг цифрового следа сотрудников. Разработка программ и стратегий, которые помогают сотрудникам осознавать свой цифровой след, – важный психологический аспект, позволяющий осознать объемы сгенерированных данных и повышающий у работника чувство ответственности за собственные действия в Сети.

Создание среды безопасного обсуждения инцидентов. Доступность специалистов по информационной безопасности для обсуждения вопросов или инцидентов помогает предотвратить возникновение серьезных проблем. Замалчивание проблем или нежелание лишний раз проверять или трогать чувствительные точки в компании приводят к сложностям (ниже мы разберем проблему с резервными каналами). Такой подход снижает психологическое давление на сотрудников, делает их более открытыми к критике принимаемых решений, обеспечивает скорейшее осознание и информирование начальства в случае, если сотрудник «накосячил». Такая ускоренная реакция повышает и общую защищенность организации, снижая наносимые убытки компании.

Основные постулаты цифровой и кибергигиены в интернет-пространстве

Сетевые просторы уже никогда не будут абсолютно безопасными для пользователей. Так или иначе, находящиеся в интернете зловредные сайты и отдельные злонамеренные личности уже никогда не дадут покоя простым обывателям. Нет, я не хочу сказать, что в Сети за каждым углом вас поджидает хакер, который прямо мечтает завладеть вашими деньгами, личной информацией или содержимым вашего компьютера, но и отрицать существование этой проблемы, как и ее опасность, не стану. Для того чтобы осознать существование сетевых угроз для каждого индивидуума, необходимо установить несколько фактов.

1. Есть ли на вашем компьютере информация, которую вам не хотелось бы разглашать? Вопрос не только в семейных фотографиях или каких-то личных данных.

2. Сохранены ли на вашем компьютере логины и пароли от учетных записей сетевых ресурсов?

3. Сохранена ли на вашем компьютере какая-либо финансовая информация о вас?

4. Имеется ли у вашего компьютера удаленный доступ к ресурсам неких компаний?

Если хотя бы на один из этих вопросов вы можете дать положительный ответ, можете записывать себя в потенциальную жертву цифровых преступников. Но не все так мрачно – люди, профессионально занимающиеся кибербезопасностью, разработали несколько простых правил, следуя которым вы можете обезопасить свои визиты во Всемирную сеть.

Правило № 1 – используйте сложные пароли и регулярно их меняйте.

Действительно, чем длиннее и бессвязнее пароль, тем сложнее его взломать и получить доступ к вашим данным. Это касается не только социальных сетей, но и любых учетных записей – пароли не должны быть простыми, примите это как догму. Лучшим паролем будет тот, в котором нет ни одного слова, лишь произвольный набор символов в разном регистре и цифр. К примеру, хороший пароль выглядит так:

kldsfjA; aosasj@jahax260pdsjfsd

Да, запомнить сложно. Но еще сложнее такой пароль взломать – а это уже принцип защиты личных данных. Согласитесь, лучше поставить пароль, который нельзя логически додумать, зная что-нибудь о вас, чем «подарить» злоумышленникам конфиденциальную информацию. Тем более что в наши дни есть куча различных менеджеров паролей, оснащенных криптографией, а следовательно, надежно сохраняющих ваши авторизационные данные. Причем они доступны либо бесплатно, либо за смешную сумму в год. Но к ним мы вернемся позже. А сейчас я подкину вам горькую пилюлю – нет абсолютно защищенных учетных записей, каким бы ни был сложным пароль. Поэтому необходимо комбинировать различные методы защиты учетных записей: сложный пароль, двухфакторную авторизацию и биометрическое подтверждение.

Помимо того что пароли подбирают, или брутфорсят (от brute-force – прямой перебор; правда, в наши дни он встречается все реже), злоумышленники нередко пользуются хеш-данными или данными браузеров, которые и сохраняют ваши логины и пароли или возможность входа, например, куки-файлами. Владельцам сайтов крайне не рекомендуется использовать устаревшие режимы, методы и алгоритмы шифрования данных, что автоматически повышает безопасность пользовательских данных.

Правило № 2 – резервное хранилище данных.

Для безопасности данных не советую пользоваться никакими онлайн-хранилищами, а также встроенными в компьютер накопителями. Объясню почему: подключенный накопитель при атаке на компьютер является первоочередной целью. Это справедливо и при вирусных атаках, когда злоумышленники планируют постепенно выкачивать нужную информацию, и при прямых атаках, цель которых – похитить сразу крупный массив данных.

Поэтому важным шагом к безопасности данных является отключаемое хранилище. В его роли может выступать флеш-карта, внешний жесткий диск или даже автономная система хранения данных с внешними дисками. Все ограничивается лишь финансовыми возможностями конкретного пользователя. Такое хранилище в большую часть времени отключено от компьютера, соответственно, не может быть использовано злоумышленниками в своих целях, а подключается оно, как правило, лишь в моменты необходимости. При соблюдении некоторых правил, о которых я расскажу чуть позже, это едва ли не лучший вариант хранения конфиденциальных данных – фотографий, документов и т. д.

Неплохо бы использовать резервное копирование данных – некоторые вирусные программы распространяются с ужасающей скоростью, заражая все на своем пути. В таком случае резервное хранилище позволит не только откатить компьютер к исходно рабочему состоянию, но и сохранить всю информацию. К примеру, программа Acronis Disk Director позволяет в любой момент времени сделать «слепок» системы – и при ее крахе компьютер можно вернуть к жизни за 10–15 минут без лишних хлопот.

Правило № 3 – не публикуйте личную информацию в Сети.

Настоятельно рекомендую обратить внимание на то, что вы публикуете, – распространение большого массива информации может принести большой вред. При помощи знания психологии и умелого применения социальной инженерии, используя одни только паспортные данные, можно добыть еще больше информации, да и в целом наворотить дел. Одна только подмена личности в Сети уже должна наводить пользователей на серьезные размышления. Поэтому фильтровать исходящую информацию – паспортные данные, фотографии, мысли, события из жизни – перед публикацией просто необходимо. И немалое значение во время публикации следует уделить преданализу последствий, которые могут наступить, выставь вы ту или иную фотографию, статус в интернет.

К примеру, выставленное фото некоей девушки в купальнике (как пример) может привлечь внимание некоторых мужчин, каждый из которых имеет определенный умысел. Такое внимание невольно поднимает некий «социальный рейтинг» пользователя соцсетей, что приводит к большей рекламе профиля в разделе «возможно, вы знакомы» или же страницы сообщества. Как следствие, ваш профиль увидит больше людей, что рай для блогеров. Для обычных же пользователей, особенно в контексте, рассматриваемом в книге, – зло есть великое. Ибо придут на профиль посмотреть массы людей, которые могут собирать информацию о вас, следовательно, с этой информацией при желании можно сделать многое. И хорошего в этих делах мало.

Правило № 4 – сделайте ваши личные финансы снова личными.

Очень часто преступники используют ваши устройства, чтобы получить доступ к вашим финансам. Как показывает статистика наших дней, очень многие злоумышленники используют скам-схемы, когда юзеру предлагают забрать полученный приз или вернуть денежный перевод, который якобы произведен с вашей пластиковой карты; существуют и много других способов похитить ваши деньги. При этом преступники не гнушаются ничем, а в разговорах столь убедительны, что в некоторых случаях люди сами бегут к ним, неся в вспотевшей ладошке накопленное на черный день. Скажите, отказались бы вы получить сверхприбыль, которую некогда гарантировал небезызвестный в Российской Федерации человек из известной российской же конторы, занимающейся инвестициями в крупные проекты энергетики? Конечно нет, ведь зарабатывать, лежа на диване, – ну не сказка ли? Именно под этим соусом мошенники сумели выманить, по скромным подсчетам, около 1 трлн долларов по всему миру, где использовали эту схему.

Чтобы не попасть на такие схемы, запомните одно правило: простых денег не бывает, и никогда 1000 рублей не превратятся в миллион просто так. Поэтому все схемы заработка, которые вам предлагают в интернете, суть мошенничество и обман. Забудьте о том, чтобы передавать номер карты людям, которые вам незнакомы, тем более если спрашивают CVV, какие-то СМС или срок действия карты. Также забудьте об интернет-покупках, особенно у мелких или неизвестных продавцов – таких полно, скажем, на «Авито», именно там под личиной добропорядочных продавцов прячется куча мошенников. Именно они причина того, что нигде нельзя оставлять свои финансовые данные в свободном доступе или свободно их использовать.

Приведу один простой пример: одна моя знакомая, устав от приставаний неких мужчин в Сети, разместила пост, в котором предложила комплименты из личных сообщений переводить в деньги и отправлять на ее карту, номер которой давала в личке. Ровно через два дня она создала пост, что ее карту обчистили. И да, этой картой пользоваться уже нельзя – по статистике, 90 % уже использованных мошенниками карт будут использованы повторно, и вполне возможно – неоднократно. То есть существует высокая вероятность того, что деньги, поступившие на карту (заработная плата и т. д.), вновь будут сняты мошенниками.

Правило № 5 – очищайте свой информационный след.

Время от времени просто необходимо подчищать за собой информацию в Сети – учетные записи, «подтирание» своих постов в различных социальных сетях… Конечно, идеально будет, если вас вообще не будет ни в каких социальных сетях – но без социума, в том числе и сетевого, человеку сложно. Регулярно следует менять электронную почту, номера сим-карт. Разделять аккаунты и учетные данные по типу рабочий, личный, для всех и конфиденциальный. Все это – мощные практики цифрового детокса части своего внутреннего мира, ставшей достоянием внешнего.

Также рекомендую обратить внимание на то, что различным службам доставки нет никакой разницы, как вас зовут в реальной жизни, какие у вас предпочтения и пожелания. Конечно, за редкими исключениями, и, как я говорил выше, тут стоит различать ситуации. Одни просто выполняют ваш заказ на доставку борща к вам домой – а посему, ради очищения цифрового фона и профилактики последствий, можно и «левую» личность создать. Той же «Яндекс. Еде» абсолютно неважно, Олег вы или Кристина, какой у вас номер телефона и какая в целом модель аппарата. Соответственно, и вам не следует лишний раз светить свои реальные данные. Из реальных примеров: моим знакомым поступали звонки с угрозами расправы на их телефон, и они на 99 % уверены, что причина тому – раскрытие персональных данных как раз в службе доставки.

Правило № 6 – не «следите» в Сети!

Браузеры, поисковые системы, смартфоны, даже смарт-часы – все это можно использовать для сбора информации о каждом из нас. Браузеры хранят историю посещений, поисковые системы собирают данные для анализа запросов пользователей, Google и Apple вовсе предлагают заключать соглашение об обработке персональных данных пользователей – с которым пользователи и соглашаются, причем весьма охотно. Обработка информации происходит на вполне себе законных основаниях – без согласия потребителя, выраженного в проставлении галочки в пункте «Я согласен на обработку персональной информации», использовать то или иное приложение либо устройство невозможно.

Полностью исчезнуть из Сети, будучи ее пользователем, нельзя. Но можно существенно снизить количество цифровых следов – об этом подробно я расскажу чуть позже. Вкратце это значит отключить геолокацию смартфона, отказаться от персонализации рекламы на устройствах и так далее.

Правило № 7: в новом устройстве – свежее программное обеспечение!

Это очень важный пункт в сфере цифровой безопасности – рано или поздно злоумышленники находят лазейки в программном коде, которые могут использовать для проникновения на устройство и, например, хищения личной информации. С целью воспрепятствования данному процессу производители программного обеспечения выпускают пакеты обновлений, которые «закрывают» те или иные уязвимости, осложняя тем самым злоумышленникам доступ к вашему устройству.

Причем обновление касается не только программ на компьютере или смартфоне – необходимо обновлять и прошивку самих устройств и даже сами устройства. Все это так или иначе влияет на безопасность конкретного устройства и, как следствие – на безопасность самого пользователя.

Из моих рекомендаций – получать и применять обновления в тот же день, когда они появились в уведомлениях. Иначе есть риск попасть под атаку, называемую One day exploit – так называют тип атак, направленных на известные уязвимости, «взломщик» к которой еще не опубликован, но есть пакет обновления, из которого злоумышленникам достаточно просто понять, в каком месте проблема, и сделать «отмычку». В некоторых случаях так называют еще и атаки на уязвимости, проходящие в короткий промежуток времени прямо перед выходом нового патча программы, в коде которой была выявлена уязвимость.

Правило № 8 – не держите все яйца в одной корзине!

Уже выше об этом упомянуто: возьмите себе за правило держать отдельные аккаунты для работы, развлечений и прочих интернет-сервисов. В качестве объяснений здесь будет как никогда уместна фраза «интернет никогда ничего не забывает» – рано или поздно каждый пользователь Сети попадает в поле зрения специалистов по социальной инженерии, или инфосталкеров. А следовательно, используя один аккаунт для всего, вы выдаете злоумышленникам целый ворох информации, которую лучше бы скрыть – и для вас будет настоящим благом, если вы не используете этот аккаунт по работе или при проведении каких-то финансовых операций. В противном случае вы еще и свои финансы ставите под удар. Поэтому лучшим решением для обеспечения безопасности в Сети будет разделение аккаунтов для различных сфер вашей жизни, а также их периодическая смена на новые (с обязательным удалением старых, ставших ненужными учетных записей) – таким образом мы помогаем себе удалить или хотя бы «стерилизовать» и контролировать свой цифровой след.

Сходства и различия между кибербезопасностью и цифровой гигиеной

Сходства между двумя дисциплинами заключаются в их предназначении – оба понятия используются как полноценный рабочий инструмент для защиты информации. Но в обеих дисциплинах применяются разные принципы.

– Цифровая гигиена отсекает от пользователя лишний информационный шум, не позволяя принимать необдуманные решения, способные нанести репутационный, финансовый или материальный ущерб. Соблюдая принципы этой дисциплины, можно ограничить объем исходящей и входящей информации, создавая тем самым некий барьер безопасности вокруг себя.

– Кибербезопасность включает в себя комплекс стратегических, тактических, программных и программно-аппаратных средств, препятствующих нанесению репутационного, финансового или материального ущерба.

Они завязаны на использовании приемов и поиске уязвимостей – как человеческих, так и программно-аппаратных. На этом их сходства заканчиваются, и мы переходим к различиям, коих несколько больше – обусловлены они именно разницей в принципах работы и субъективным подходом.

1. Главным направлением кибербезопасности является физическое пресечение доступа к данным конфиденциального характера – персональной информации, финансовым и/или материальным активам, фотографиям и видеозаписям. Осуществляется это при помощи парольного доступа, шифрования или физического отключения носителя данных из Сети.

2. Кибербезопасники постоянно анализируют проблемы, чтобы успешно противостоять различным угрозам – исследуют и устраняют новые уязвимости как в программной, так и аппаратной среде, работают с событиями, вызываемыми различным странным поведением программ и устройств, даже антивирусных сканеров или других комплексных продуктов безопасности.

3. Кибербезопасность отвечает за снижение рисков, которые возникают при нарушении тех или иных принципов безопасности или при упущениях в работе, и в целом работает по принципу «защити это», «не дай этому попасть в Сеть», «проверь, безопасно ли это».

Выше я указал основные теоретические различия между кибербезопасностью и цифровой гигиеной. На практике кибербезопасность и цифровая гигиена обычно рассматриваются как синонимы, что связано с их частично совпадающим характером с точки зрения процесса, направленности и целей. Единственный способ защитить себя от злоумышленников, которые пытаются использовать атаки для разрушения, – это опередить игру и предвидеть их следующий ход (пресловутый преданализ). Именно это является целью передовых исследований кибербезопасности и информационной безопасности. Поскольку частота, интенсивность и масштабы различного рода кибератак постоянно растут, это сейчас является более важным, чем когда-либо прежде. Таким образом, можно сказать, что кибербезопасность охватывает все аспекты безопасности, относящиеся к киберсфере, а информационная безопасность – это безопасность информации независимо от области применения. Можно сделать вывод, что цифровая безопасность есть некий симбионт кибербезопасности, поэтому рассуждать о кибербезопасности и информационной безопасности раздельно считается неправильным подходом к двум дисциплинам, взаимодополняющим друг друга. Обе дисциплины предназначены защищать данные от кражи, стороннего доступа, изменения или удаления. Основное отличие, на мой взгляд, – плоскость их применения.