Общая грамотность населения в вопросах ИБ оставляет, как всегда, желать лучшего. Из-за собственной безграмотности пользователи зачастую создают определенный геморрой как себе, так и владельцам ресурсов, на которые они выкладывают информацию. Топ 5 встретившихся мне ситуаций в рунете (почта, соцсети и т.д.)
1. Банковские реквизиты.
Да-да, причем не просто номер лицевого счета в банке, а данные банковских карточек - номер, срок действия, имя владельца... Встречались мне даже фото карточек!
Чем чревато: Даже банки не имеют права хранить полные номера пластиковых карт. Есть регуляторы, которые обязывают проверять выполнение данного требования раз в год. Помимо подставы хостинга пользователи подставляют сами себя, выкладывая реквизиты, достаточные для мошеннических покупок в онлайн-магазинах. Мое мнение - лучше выкладывать 20-значный номер расчетного счета, банк и имя получателя. Все интернет-банки имеют функцию перевода третьим лицам по платежному поручению. К почте это тоже относится, так как вся переписка, в том числе реквизиты, могут храниться в кэше.
2. Сведения о состоянии здоровья
Благотворительные группы, больные детки, студенты, сканы выписок из больниц и ЛПУ.
Чем чревато: Тут уже палка о двух концах - и необходимо документальное подтверждение, что сбор средств не лохотрон, и при этом хостингу на горло наступает статья 10 закона 152-ФЗ "о персональных данных", запрещающая обработку данных о состоянии здоровья, расовой, религиозной принадлежности без согласия субъекта, то есть человека, чьи данные обрабатываются. Кстати о последнем пункте - во "вконтакте" есть графа "религиозные взгляды" в профиле участника.
Отдельная история - хранение МРТ, КТ и т.д. в облаках DropBox, Google Drive. Их сервера находятся не на территории России. И по нашим законам они не имеют права обрабатывать такие данные.
Мое мнение - такие сведения лучше стараться не публиковать совсем. Настройки приватности в группах не гарантируют, что картинка не будет индексироваться при поисковом запросе.
3. Сведения о детях, в отношении которых совершены противоправные действия
Цель - поднять общественный резонанс.
Чем чревато: гуглить "закон Кабаевой". За последствия отвечает хостинг, но также лично я считаю, что мало кто хотел бы афишировать такие вещи. Мало того, что сделали ребенку плохо, так теперь и посторонние люди об этом узнают. А там уже - подтрунивания в школе, повышенное внимание и т.д.
4. Ведение деловой переписки через бесплатные почтовые сервисы
От простых назначений встреч до передачи документов.
Чем чревато: Что происходит по ту сторону почтовика - для нас "черный ящик". Неизвестно даже, как удаляются письма, они вполне могут помещаться в какой-то кэш. Далеко не надо ходить - топ американских компаний признались в участии в программе PRISM. Наверняка у вас есть почта на Gmail?))
5. Пересылка файлов и паролей через мессенджеры
Быстро - не значит надежно. Мессенджеры изначально создавались для простой болтовни.
Чем чревато: Опубликована уязвимость протокола ICQ, позволяющая восстановить все когда-либо передаваемые по протоколу файлы, которые оседают на серверах. Не говорю о том, что в большинстве мессенджеров используются открытые небезопасные протоколы.
Пароли можно и вслух сказать, а для документов есть корпоративная почта (неспроста).
Рекомендую пересмотреть свое поведение в рунете, подобные ошибки могут в самый неподходящий момент всплыть.
Хостинги тоже не святые, должны принимать меры на их усмотрение.
1. Банковские реквизиты.
Да-да, причем не просто номер лицевого счета в банке, а данные банковских карточек - номер, срок действия, имя владельца... Встречались мне даже фото карточек!
Чем чревато: Даже банки не имеют права хранить полные номера пластиковых карт. Есть регуляторы, которые обязывают проверять выполнение данного требования раз в год. Помимо подставы хостинга пользователи подставляют сами себя, выкладывая реквизиты, достаточные для мошеннических покупок в онлайн-магазинах. Мое мнение - лучше выкладывать 20-значный номер расчетного счета, банк и имя получателя. Все интернет-банки имеют функцию перевода третьим лицам по платежному поручению. К почте это тоже относится, так как вся переписка, в том числе реквизиты, могут храниться в кэше.
2. Сведения о состоянии здоровья
Благотворительные группы, больные детки, студенты, сканы выписок из больниц и ЛПУ.
Чем чревато: Тут уже палка о двух концах - и необходимо документальное подтверждение, что сбор средств не лохотрон, и при этом хостингу на горло наступает статья 10 закона 152-ФЗ "о персональных данных", запрещающая обработку данных о состоянии здоровья, расовой, религиозной принадлежности без согласия субъекта, то есть человека, чьи данные обрабатываются. Кстати о последнем пункте - во "вконтакте" есть графа "религиозные взгляды" в профиле участника.
Отдельная история - хранение МРТ, КТ и т.д. в облаках DropBox, Google Drive. Их сервера находятся не на территории России. И по нашим законам они не имеют права обрабатывать такие данные.
Мое мнение - такие сведения лучше стараться не публиковать совсем. Настройки приватности в группах не гарантируют, что картинка не будет индексироваться при поисковом запросе.
3. Сведения о детях, в отношении которых совершены противоправные действия
Цель - поднять общественный резонанс.
Чем чревато: гуглить "закон Кабаевой". За последствия отвечает хостинг, но также лично я считаю, что мало кто хотел бы афишировать такие вещи. Мало того, что сделали ребенку плохо, так теперь и посторонние люди об этом узнают. А там уже - подтрунивания в школе, повышенное внимание и т.д.
4. Ведение деловой переписки через бесплатные почтовые сервисы
От простых назначений встреч до передачи документов.
Чем чревато: Что происходит по ту сторону почтовика - для нас "черный ящик". Неизвестно даже, как удаляются письма, они вполне могут помещаться в какой-то кэш. Далеко не надо ходить - топ американских компаний признались в участии в программе PRISM. Наверняка у вас есть почта на Gmail?))
5. Пересылка файлов и паролей через мессенджеры
Быстро - не значит надежно. Мессенджеры изначально создавались для простой болтовни.
Чем чревато: Опубликована уязвимость протокола ICQ, позволяющая восстановить все когда-либо передаваемые по протоколу файлы, которые оседают на серверах. Не говорю о том, что в большинстве мессенджеров используются открытые небезопасные протоколы.
Пароли можно и вслух сказать, а для документов есть корпоративная почта (неспроста).
Рекомендую пересмотреть свое поведение в рунете, подобные ошибки могут в самый неподходящий момент всплыть.
Хостинги тоже не святые, должны принимать меры на их усмотрение.
Комментариев нет:
Отправить комментарий