«Прослушка — $9000». Как устроен «чёрный рынок данных» и что делать, чтобы защитить свою приватность?

«Прослушка — $9000». Как устроен «чёрный рынок данных» и что делать, чтобы защитить свою приватность?

«Стыдные вопросы» про безопасность личных данных.

Сотовые операторы, банки, интернет-магазины и службы такси сегодня знают про нас больше, чем мы можем себе представить. Мы добровольно расстаёмся со своими персональными данными,  меняя их на современные блага цивилизации.

Пользуясь приложениями такси, сервисами доставки еды, интернет-банкингами и всем, без чего невозможно сегодня представить жизнь в обществе — мы делимся своими анкетными данными, информацией про связи и информацией про образ жизни, после чего перестаём контролировать дальнейшую судьбу этой информации.

Еще больше данных про нас собирает государство, обладающее, помимо прочего, возможностью ограничивать право граждан на тайну звонков и переписки.

Всю эту информацию, от выписки движений по банковскому счету до прослушки телефона,  можно свободно купить на «чёрном рынке», благодаря коррумпированным сотрудникам коммерческих сервисов и государственных органов, что открывает большое поле деятельности для журналистов, хакеров, мошенников, или представителей криминального мира. 

Редакция TK Media разбиралась, как работает «черный рынок данных» и что нужно делать, чтобы защитить право на приватность в цифровую эпоху. 

Говорят, сотрудники банков и сервисов могут продавать мои данные третьим лицам. Это правда?

О существовании подобной практики говорят данные судебного реестра и многочисленные объявления в интернете. Сотрудник Новой Почты может продать ваши анкетные данные (ваш адрес, номер телефона или данные о пользованиях сервисом) мошенникам за сумму от 100 до 500 гривен, а менеджер банка передать ваши анкетные данные, или выписку по счёту, злоумышленнику за вознаграждение от 500 гривен до 300 долларов, в зависимости от запрашиваемых данных, личности клиента и связанных с этим рисков.

Помимо точечных запросов по конкретному лицу, в сети можно приобрести базы с анкетными данными клиентов банков, интернет-магазинов, почтовых сервисов, торговых площадок и даже государственных органов.  Поэтому не удивляйтесь, что службы такси и интернет-магазины знают ваш номер телефона, засыпая рекламным sms-спамом, а Михаил Поплавский приглашает вас на свой юбилейный концерт.

Стоимость базы зависит от количества клиентов, ее актуальности, амбиций продавца и платежеспособности покупателя. В целом, приобрести одну базу в интернете можно по цене от 1000 гривен до нескольких сотен долларов. Для этого не нужно выходить в DarkNet: персональные данные продаются в многочисленных телеграм-чатах. 

Скриншот сообщения в одном из тематических телеграм-чатов
Скриншот сообщения в одном из тематических телеграм-чатов

Ваши личные данные могут продавать все, кто имеет к ним доступ, при условии, что они представляют для кого-то ценность и за них готовы платить. Любая публичная компания и организация, даже с самой светлой репутацией, успешно выстроенной маркетологами, — это бренд, виртуальный образ, за которым стоят обычные люди. 

С вашими личными данными приходится работать менеджерам низкого и среднего звена, занимающим низкооплачиваемые позиции в корпоративной иерархии, в связи с чем легко склоняемых к дополнительному заработку, не требующего значительных усилий. Всё это, наряду с наличием спроса, является благоприятной почвой для того, чтобы торговля личными данными процветала.

Я не хочу чтобы кто-то посторонний изучал мои транзакции по счетам. Как можно это предотвратить?

В  момент, когда вы делитесь своими личными данными с сервисом или пользуетесь его услугами, вы должны учитывать, что ваши данные и история пользования может быть передана третьим лицам.

В ряде случаев мошенникам действительно будет труднее заполучить ваши данные. 

Например, если вы являетесь VIP-клиентом ПриватБанка, то обычный менеджер не сможет получить доступ к вашей анкете и выписке. Только менеджер VIP-отделения, или сотрудник Службы безопасности банка смогут иметь доступ к вашим данным, что значительно усложняет работу для мошенников, если у них нет соответствующего «контакта» в организации, повышает стоимость работы для заказчика и влечёт больше рисков для сотрудника банка. 

Скриншот сообщения в одном из тематических телеграм-чатов
Скриншот сообщения в одном из тематических телеграм-чатов

Также важно отметить, что торговля данными процветает в крупных банках и торговых сетях — ПриватБанк, Ощадбанк; меньше в маленьких банках. Причины понятны — чем больше клиентов, тем больше данных, тем быстрее вокруг них формируется «рынок». 

Кто ещё может продавать мои данные и кто вообще всё это покупает?!

Все, кто имеют доступ к базам данным, содержащих информацию, представляющую ценность. Сотрудник полиции может продавать данные из баз «АРМОР» и «НАИС» — помимо анкетных данных, они могут содержать историю ваших правонарушений и привлечений к ответственности, либо информацию об автомобилях и проверки номерных знаков. Пограничник, обладающий доступом к базе «ГАРТ», может продавать историю ваших выездов за границу — когда, каким способом, с каким паспортом, с кем и в каком направлении вы покидали территорию Украины. Человек, имеющий доступ к базе данным ЗАГСа может продавать информацию о ваших родственниках и членах семьи. Сотрудник налоговой может продавать данные о ваших доходах, как впрочем и сотрудник Пенсионного фонда. Менеджер банка продавать ваши анкетные данные и выписки со всеми транзакциями по счёту. Сотрудник СБУ может продавать «трафики» соединений по номеру вашего телефона или даже прослушивать его за деньги, а силовик с доступом к базе «Умный город» может следить за вашими передвижениями на авто в режиме реального времени — через систему городских камер.

tk.media

Вариантов кого могут заинтересовать ваши личные данные много: в самом безобидном случае это могут быть журналисты-расследователи, которые хотят узнать куда вы летаете, получить сумму ваших официальных доходов через данные налоговиков, или анкетные данные ваших родственников, чтобы проверить принадлежащую им недвижимость или автомобили; заинтересоваться вашей частной жизнью может и ревнивый супруг/а, желающий проверить ваши расходы, список звонков или получить данные о ваших местоположениях, чтобы убедиться действительно ли вы ездили в командировку в Днепр, а не летали с любовницей на Бали.

В менее приятных случаях — это могут быть мошенники, собирающие ваши личные данные для аферы; коллекторы, изучающие ваше финансовое положение, намеревающиеся запугивать ваших родственников; или представители криминального мира, рассматривающие вас как потенциальную жертву. 

Всех перечисленных лиц, которых могут заинтересовать ваши данные, объединяет одно — они точно не являются вашими доброжелателями.

Вы сказали, что моими данными могут торговать даже сотрудники СБУ. Что такое «трафик сотового телефона»?

Любая организация, будь это частный банк, крупный интернет-магазин или государственная спецслужба, состоит из живых людей со своими желаниями, амбициями, пороками и недостатками. О том, что силовики могут пользоваться служебным положением, продавая информацию коммерческим структурам говорят открытые данные судебного реестра и отчеты самих правоохранителей. Например, недавно силовики отчитались о задержании группы лиц, включая действующих сотрудников СБУ, торговавших данными сотовых соединений абонентов. Согласно опубликованным данным следствия, два месяца «прослушки» одного номера стоили 9 тысяч долларов. В июле в ГБР отчитались о задержании сотрудника СБУ: по версии следствия, он продавал «трафики» сотовых соединений по цене от 2,5 до 5 тысяч гривен за выписку за один номер. Несмотря на регулярные новости о задержаниях предприимчивых силовиков, на чёрном рынке данных можно встретить объявления с предложением приобрести выписку по номеру или поставить номер телефона на «прослушку»: проблематика понятна — низкая зарплата правоохранителей, наличие возможности (доступ к информации) и наличие спроса (готовности платить) за неё на рынке.

Скриншот сообщения в одном из тематических телеграм-чатов
Скриншот сообщения в одном из тематических телеграм-чатов

«Трафик» сотового номера, или детализация по номеру телефона представляет из себя данные о списке ваших соединений (входящих/исходящих сообщений и вызовов), а также данных о вашем местоположении (подключениям к сотовым вышкам) за запрашиваемый период — обычно, это 6 месяцев, — а также IMEI телефона. Помимо этого, детализация позволяет узнать статистику наиболее набираемых контактов, позволяющих составить картину ваших связей. После «офизичевания» номеров (установки кому принадлежит тот или иной номер) обладатель этой информации получает картину ваших связей, информацию о вашем передвижении и образе жизни (например, где вы ночуете и где проводите рабочее время суток). Возможно, интересующиеся вами люди могут хотеть получить информацию за определённый период: узнать где вы находились в конкретное время или с кем общались в интересующие даты. Периодические набеги силовиков на продавцов секретов влияют на цены в краткосрочной перспективе, но стоимость быстро «откатывается» назад.

Подождите, что вы говорите. Я знаю, что тайна звонков и переписки гарантируется Конституцией, а разрешение на доступ к моим разговорам  может дать только суд. Как судья может дать разрешение, если я не совершал никакого преступления?

Человеческий фактор — главная уязвимость любой системы. Малое количество следственных судей, загруженных большим количеством работы, рассматривающих десятки ходатайств в сутки, ограниченных по времени на 24 или 72 часа (срок, в который судья обязан рассмотреть ходатайство, согласно уголовно-процессуальному законодательству) физически не имеют возможности исследовать ходатайство должным образом. В таких условиях рассмотрение и удовлетворение ходатайства следователя носит скорее формальный характер: глупо думать, что судья будет анализировать ходатайство, самостоятельно «офизичевать» номеры телефонов, устанавливать их владельцев и разбираться в их связи с конкретным уголовным производством. Вероятно, судья просто удовлетворит ходатайство, вынеся решение, скопированное помощником с принесённой флэшки прокурора. 

Сами же силовики могут «вписывать» нужные номера телефонов в чужие уголовные дела: часто речь идёт об уголовных производствах с квалификацией «терроризм», «госизмена», «финансирование терроризма» и других дел, связанных с общественной или государственной безопасностью.

Скриншот сообщения в одном из тематических телеграм-чатов
Скриншот сообщения в одном из тематических телеграм-чатов

Вписывать посторонние номера телефона или даже конкретных людей в удобное производство — распространённая практика. Например, советника министра по вопросам оккупированных территорий Юрия Грымчака задержали по подозрению в мошенничестве в рамках дела об избиении Татьяны Черновол в 2014-м году. Причина — департамент Специальных расследований Генеральной прокуратуры лишилась права следствия на новые уголовные дела после 2018 года, но не хотела передавать громкую историю ГБР. 

Кроме того, сами сотовые операторы часто передают данные о выписках правоохранителям без решения суда.

Предупреждение.

В данном материале приведены примеры объявлений о продаже личных данных в интернете. Редакция TK Media обращает внимание на то, что большинство из них дают мошенники, а продажа и покупка персональной информации является преступлением, предусмотренным Уголовным кодексом и наказывается лишением свободы на срок до 7 лет. Редакция TK Media предостерегает от попыток купить чужую личную информацию. Вы можете потерять деньги или свободу. 

Так могут и прослушивать мои разговоры? Кому и зачем нужны мои разговоры?

Ваши разговоры могут прослушивать правоохранительные органы, обладающие правом на снятие информации с транспортных телекоммуникационных сетей (до недавнего времени это право было только у СБУ и МВД, а после принятие законопроекта 1009 появилось у НАБУ и ГБР), либо другие лица, обладающие специальной аппаратурой.

Если ваш номер поставлен на «двойку», интересанты могут получать аудиозаписи ваших телефонных разговоров, читать текстовые сообщения и делать это в режиме «реального времени». 

Главную ценность иногда могут представлять не ваши разговоры по телефону, а переписки в мессенджерах или содержимое электронной почты. «Прослушка» может помочь получить доступ к вашей электронной почте или аккаунту в социальной сети Facebook, в случае если к ним привязан прослушиваемый номер телефона. В таком случае ваши недоброжелатели смогут провести «сброс пароля» через кнопку «забыл пароль» и «восстановить» доступ к аккаунту от вашего имени, «подтвердив личность», введя одноразовый код отправленный почтовым сервисом или социальной сетью на номер вашего мобильного телефона. Зачастую подобные операции происходят глубокой ночью, когда вы спите и ни о чём не догадываетесь: за это время ваши недруги смогут получить доступ к аккаунту, сделать архив переписок, возможно даже сделать публичное заявление от вашего имени.

В получении перехвата SMS-сообщений заинтересованы и интернет-мошенники, поскольку двухфакторная аутентификация в виде SMS часто установлена как способ подтверждения личности на различных биржах криптовалют. В США жертвами подобных мошенников стали многие крипто-предприниматели, а ущерб в виде похищенных денег с крипто-кошельков оценивается в десятки миллионов долларов. Впрочем, в США мошенники пользуются не услугами спецслужб, а обманом сотрудников операторов сотовой связи, восстанавливая номера телефонов своих жертв используя методы социальной инженерии. 

Другой популярный вид деятельности мошенников — порно-шантаж. Мошенники взламывают учётные записи пользователей в социальных сетях, iCloud, выбирая беспечных жертв с низким уровнем защиты аккаунтов, после чего шантажируют публикацией интимных переписок или откровенного фото-, видео-контента. Впрочем, перехват SMS не единственный и не самый простой способ взлома аккаунта.

Звучит пугающе. Как мне защитить мою электронную почту и аккаунты в социальных сетях, если получать смс на номер телефона — не надёжный способ?

Для того чтобы защитить свои данные стоит придерживаться нескольких правил.

Привяжите вашу электронную почту, аккаунты в социальных сетях Facebook, Instagram, Twitter, аккаунты в мессенджерах к новому номеру телефона. Этот номер телефона должен быть известен только вам — не сообщайте о нем знакомым, коллегам или родственникам. Вы не должны пользоваться им в повседневной жизни или оставлять, как контактный, при пользовании прочими сервисами — банками, такси или магазинами.

Не стоит вставлять сим-карту с секретным номером в ваш телефон, являющийся для вас основным устройством. По IMEI вашего телефона силовики могут узнать все номера телефона, сим-карты которых когда-либо вставлялись в устройство. Таким образом ваш номер телефона станет известным, а все проделанные телодвижения потеряют смысл.

Не стоит пополнять ваш секретный номер через онлайн-банкинг с вашего счёта. Таким образом эта операция останется в выписке ваших банковских транзакций, а проделанные телодвижения потеряют смысл. Лучше сделать это через одноразовую карту пополнения (помните, которые стираются монеткой?) или через терминал iBox. В последнем случае в терминале не стоит проходить авторизацию и подтверждать личность указывая основной номер телефона.

Приобретите простой дешевый кнопочный телефон, после чего утилизируйте его, либо приобретите телефон с нулевым IMEI для постоянного использования (такие решения можно найти в интернете либо на радиорынках). Не забывайте, что номера телефонов в мессенджерах следует обновлять минимум раз в полгода, во избежание неприятных ситуаций: операторы продают неактивные номера новым клиентам.

Установите двухэтапную аутентификацию в настройках вашей электронной почты, социальных сетей, или мессенджеров. Не используйте в качестве двухэтапной аутентификации получение смс-сообщение на номер телефона.

Установите Google Authenticatorприложение, генерирующее одноразовые кодовые пароли, которые нужно вводить в качестве двухфакторной аутентификации каждый раз при входе с нового устройства. Таким образом злоумышленник не сможет получить доступ к аккаунту, если у него нет физического доступа к вашему устройству.

Другой способ «физической» защиты — токены. Токен — криптографический ключ, используемый для аутентификации и идентификации владельца. Для подтверждения личности его необходимо вставить в устройство. Приобрести токен легко можно в многочисленных интернет-магазинах, а настроить его, как способ аутентификации, в настройках электронной почты или социальной сети.

Пример токена
Пример токена

В качестве двухэтапной аутентификации Google, Facebook и Apple также предлагают подтверждение с помощью основного устройства — это значит, что при попытке входа вам придет уведомление о попытке входа с предложением нажать «да» или «нет».

А как защитить основной номер телефона? Тот, который я указываю в банках и которым пользуюсь в личных целях.

О защите личного номера телефона, привязанного к онлайн-банкингу, стоит позаботиться, как минимум, если вам небезразлична судьба ваших банковских сбережений. 

В августе киберполиция отчиталась о задержании группы лиц, похищавших деньги с банковских счетов украинцев. По версии следствия, мошенники покупали на чёрном рынке базы телефонных номеров клиентов банков, после чего делали дубликат сим-карты через услугу «восстановления номера» в сервисных центрах операторов связи. 

После получения копии SIM-карты, мошенники проходили авторизацию в онлайн-банкинге жертвы и переводили деньги на свои счета (к слову, в интернете без труда можно приобрести карту банка, оформленную на подставное лицо — фунта; люди, нуждающиеся в деньгах продают данные своих паспортов и оформляют на себя банковские счета, после чего посредники перепродают их в интернете). Преимущественно, жертвами злоумышленников становились владельцы зарплатных — учителя, работники медучреждений, социальной сферы. Всего, по версии правоохранителей, мошенниками было похищено около 1,5 миллиона гривен.

Подобные схемы стали возможны из-за слабых протоколов безопасности сотовых операторов, позволяющих восстановить номер телефона без надлежащего подтверждения личности владельца номера. Для создания дубликата сим-карты мошенник, в зависимости от правил конкретного оператора, мошенник должен назвать три последних/наиболее частых входящих/исходящих вызовов и сумму последнего пополнения номера телефона. 

Данные о ваших входящих/исходящих вызовов сможет дать детализация по номеру телефона, которую также можно приобрести на чёрном рынке, а сумму последнего пополнения узнать, пополнив номер телефона самостоятельно через терминал.

Вы можете защитить свой номер телефона от создания дубликата третьими лицами. Для этого ваш номер телефона должен быть контрактным.

В таком случае для создания дубликата сим-карты просителю придется предъявить паспорт и пройти идентификацию личности. Конечно, есть вероятность, что злоумышленники смогут подделать ваши документы или подкупить сотрудника сервисного центра, однако, как правило, мошенники ищут более «легкую добычу» и избегают задач повышенной сложности, а «свой человек в сервисном центре» с высокой долей вероятности будет привлечён к ответственности за передачу дубликата сим-карты постороннему человеку, что потенциально может привести к раскрытию всех участников сговора. 

  1. Оформите контрактный номер в сервисном центре вашего оператора;
  2. Отключите в настройках вашего банкинга подтверждение личности через SMS.

Перехват сообщения — единственный способ взломать электронную почту?

Одним из наиболее распространенных методов взлома почты являются «фишинг». Существуют разные способы фишинга, отличающиеся методами работы, стилистикой и подходом. Задача фишингового письма состоит в том чтобы получить ваше внимание, заставить вас нажать на ссылку или прикреплённый документ, после чего ввести пароль от своего ящика, передав пароль злоумышленнику. Кроме того, скачав файл ваш компьютер можно заразить вредоносным ПО. 

Найти подрядчика для взлома почты без труда можно в интернете
Найти подрядчика для взлома почты без труда можно в интернете

Отдать свой пароль мошеннику самостоятельно? Может казаться, что это за гранью возможного, но всё зависит от качества письма. Качество фишинга зависит от уровня специалиста. Чем лучше специалист изучил объект внимания, тем больше шансов, что он найдет к нему правильный подход. Например, вы находитесь под следствием и вам приходит на почту письмо от следователя с повесткой на допрос. Либо коллега по работе присылает рабочий отчёт с названием документа, не вызывающим подозрений. Либо вы журналист и вам на почту приходит письмо с исковым заявлением от имени фигуранта ваших материалов. Часто фишеры подделывают адрес отправителя, создавая похожий электронный ящик с разницей в одну букву; но современные технологии позволяют даже полностью подменять адрес отправителя.

Я общаюсь в Telegram, это самый защищённый мессенджер, который не делится моими данными со спецслужбами любых государств. Поэтому я спокоен за конфиденциальность своей переписки.

Несмотря на очевидные конкурентные преимущества Telegram перед другими мессенджерами, у него есть свои недостатки. Например, Telegram едва ли не единственный из популярных мессенджеров, который подтягивает историю ваших чатов (кроме секретных чатов), при входе с нового устройства. То есть, если ваш недоброжелатель получит доступ к вашему аккаунту, перехватив SMS-сообщение с кодовым паролем, при входе в аккаунт он сможет получить доступ ко всей истории ваших переписок. 

В то же время, Telegram действительно является наиболее безопасным мессенджером из популярных, если соблюдать определённые правила безопасности:

  1. На деликатные темы стоит общаться в секретных чатах 1 на 1;
  2. Устанавливать таймер уничтожения переписок (1 час/1 день/1 неделя);

Установив облачный пароль, вы сможете защитить свой аккаунт от несанкционированного вами вмешательства. Таким образом, даже если кто-то перехватит SMS-сообщение с кодовым паролем и успешно пройдет первый этап аутентификации, ему будет предложено ввести дополнительный пароль, установленный вами заранее. Если собеседник не будет знать установленный вами пароль, он не сможет получить доступ к аккаунту.

Конечно, вы можете поспорить, приведя в пример Signal или Wickr, как мессенджеры с лучшей, на ваш взгляд, системой безопасности, а может быть вы и вовсе фанат общаться в приложении игр в шахматы, но правда в том, что количество людей, которые пользуются ими в украинских реалиях крайне мало, а насильно заставлять каждого собеседника устанавливать, регистрироваться и разбираться в выбранном вами мессенджере вряд ли будет удобным для вас обоих.

Если злоумышленники перехватили смс-сообщение с кодом-паролем, они могут обойти дополнительный пароль в Telegram?

Telegram позволяет сделать «сброс» облачного пароля. Такая возможность предусмотрена на случай, если вы действительно забыли пароль, но вам необходимо получить доступ к вашему аккаунту. Telegram предложит вам подтвердить личность, получив одноразовый код-доступ на указанную при подключении облачного пароля электронную почту, что в свою очередь является окном возможностей для злоумышленников.

Установить облачный пароль можно в настройках мессенджера
Установить облачный пароль можно в настройках мессенджера

Для того чтобы избежать неприятностей, стоит создать и указать при установке облачного пароля специально созданную для этой операции электронную почту. Об этом электронном ящике не должны знать другие лица: то есть, вы не должны пользоваться этой почтой в других целях, вести переписки или указывать её пользуясь другими сервисами (оставлять, как контактный адрес сотрудником банков, регистрироваться с её помощью в Glovo или Uber).

А что если мой телефон вырвут из рук?

Описанные меры предосторожности защищают вас от дистанционного проникновения в ваши аккаунты, однако информация, интересующая ваших недругов, может находиться физически на вашем устройстве. Поэтому не исключено, что ваши неприятели могут решить завладеть вашим телефоном физически. Сделать это могут как правоохранители, проведя обыск в вашем жилье, автомобиле или офисе, так и грабители, поджидающие вас в подворотне в вечернее время суток. Для того чтобы обезопасить свой телефон, стоит придерживаться следующих правил.

  1. Отключите функцию разблокировки телефона посредством Face ID или отпечатка пальца. Технический прогресс позволяет нам разблокировать телефон одним взглядом или прикосновением пальца, но не сомневайтесь, что этим легко воспользуются силовики, поднеся телефон к вашему лицу или силой приложив палец к кнопке Home. Пользуйтесь обычным кодовым паролем;
  2. Настройте автоматическое форматирование устройства после 10 неверных попыток ввода кодового пароля;
  3. Настройте дополнительные кодовые пароли на вход в каждый мессенджер. Это позволяют сделать мессенджеры Telegram, WhatsApp и Line. К несчастью, этого не позволяет сделать мессенджер Facebook и Instagram. Минимизируйте общение в незащищенных мессенджерах до обсуждения погоды за окном;
  4. Не делайте скриншоты переписок. Если есть необходимость сделать скриншот переписки, не храните их на устройстве длительное время;
  5. На деликатные темы общайтесь в секретных чатах Telegram с таймером на уничтожение сообщений. Telegram позволяет установить таймер сгорания сообщения через час, день, неделю;
  6. Возьмите за привычку очищать переписки и ненужные фотографии раз в месяц. Поставьте напоминание в календаре, чтобы не забыть;
  7. Все важные памятные фотографии, документы, интимные фото бывших партнеров, или ваши личные, как и все, что не предназначено для чужих глаз, лучше хранить в надежном облачном сервисе, аккаунт в котором не должен быть привязан к основной почте или номеру телефона. Не храните данные, которые могут вас скомпрометировать на основном устройстве длительное время;
  8. Ведите заметки и личные записи в сервисах, позволяющих установить дополнительный код-пароль на вход. Например, это может быть Evernote. Стандартные заметки на устройствах iOS также позволяют установить дополнительный кодовый пароль.

Круто, я сделал всё, что вы сказали, установил дополнительные код-пароли и отключил Face ID! Теперь если мой телефон заберут силовики, они не смогут его разблокировать?

Это зависит только от вас. Важно помнить, что силовики не будут ломать голову, перебирая в голове возможные шестизначные комбинации, они будут работать с людьми, знающих правильный ответ на интересующий вопрос. Вы проделали немало усилий, выстраивая линию оборону, расставляя ловушки и построили цифровой форпост, но главная уязвимость вашей стратегии защиты — это вы и окружающие вас люди. Вам будут рассказывать, что вы обязаны предоставить код-пароль сотруднику правоохранительного органа, давить, угрожать и даже применять физическую силу, выбивая из вас правильный ответ. Силовики будут повышать градус ситуации и усиливать давление, подбирая методы, которые могут сработать.

Блогера и экс-советника министра информационной политики Александра Барабошко задержали в ноябре 2018-ого года сотрудники военной прокуратуры в одном из ресторанов. Пока силовики везли его домой для проведения обыска, они пытались получить пароль от его iPhone, поскольку функция FaceID была отключена на устройстве. За каждый неправильный ответ ему наносили удар в голову. На следующий день Печерский районный суд отправил блогера в Лукъяновское СИЗО с альтернативой залога в 3,5 миллиона гривен. С целью получить пароль от телефона, силовики договорились с администрацией СИЗО, чтобы блогера посадили в, так называемую, «пресс-хату», где в течении нескольких дней обитатели учреждения, в обмен на блага от администрации СИЗО, выбивали из блогера пароль от телефона. Методы и настойчивость зависят от того, насколько ваших недругов будет интересовать информация на вашем устройстве.

Ещё вопрос. Если я веду деловую переписку в мессенджере, привязанному к иностранному номеру и пользуюсь псевдонимом, могут ли правоохранители доказать, что этим аккаунтом действительно пользовался я?

Да. Например, если во время санкционированного обыска, в присутствии понятых, у вас будет изъят телефон, на котором будет установлен месседжер и открыт ваш аккаунт-псевдоним. Другой вариант — если кто-то из ваших собеседников или коллег даст показания и подтвердит следствию, что этим аккаунтом пользовались действительно вы. В таком случае будет «ваше слово против слова свидетеля», а вес версии обвинения будет зависеть от количества свидетелей, давших аналогичные показания, и контекста переписок. Допустимость собранных доказательств и обоснованность подозрения будет оцениваьь уже суд. Однако часто силовиков интересует не доказать вашу вину, а получить доступ к вашим корпоративным секретам.

Во избежание неприятных инцидентов, стоит придерживаться следующих правил:

  1. Старайтесь избегать обращение по именам и не делитесь личными данными: сканами паспортов или личными документами;
  2. Ведите беседы на деликатные темы в секретных чатах с установленным таймером уничтожения переписки;
  3. Некоторые мессенджеры позволяют удалять сообщения как со своего устройства, так и устройства собеседника. Этой функцией стоит периодически пользоваться.
  4. Старайтесь вести беседы так, будто их слушает кто-то третий.

У меня много рабочих групповых чатов. Я забочусь о защите своих аккаунтов, но как мне быть уверенным, что мои коллеги делают тоже самое? Некоторые переписки — не для чужих глаз.

Соблюдение тайны личной переписки, как и безопасный секс, — ответственность всех участников процесса. Вы не можете быть уверенными на 100% в том, что ваш собеседник не передает скриншоты ваших переписок третьим лицам, или в том, что пароль от его электронного ящика не является датой рождения ребёнка, что, без тени сомнения, было бы насколько милым, настолько же и беспечным.

С юношеских лет мы знаем, что незащищенный секс несет риски, но кто сказал, что беспечное поведение в интернете или незащищенные каналы обмена информацией не чреваты последствиями? Как и в случае с угрозами венерических заболеваний в малоразвитых странах, вашу компанию могут спасти от неприятных последствий только системная образовательно-просветительская работа, то есть только вы, как руководитель компании, поскольку без понимания стратегических угроз и наличия политической воли сверху задавать курс на самообразование будет некому. 

Только введение корпоративных стандартов безопасности и системное обучение сотрудников может позволить нивелировать риски.

Проведите инвентаризацию процессов, определите как происходит обмен информацией и просчитайте риски. Пусть это будет игрой: представьте, что вы рейдер, прокурор или недобросовестный конкурент и вам нужно «хакнуть» вашу компанию. Как вы будете это делать? Какие уязвимости вы видите? На какие кнопки нужно давить? Что будет брешью в обороне вашей компании?

  1. Выделите день и проведите инвентаризацию ваших личных и рабочих аккаунтов;
  2. Определите основные каналы коммуникации;
  3. Определите зоны риска;
  4. Проведите работу над их устранением.

Выполнение этих рекомендаций могут помочь избежать неприятных проблем в будущем.

Помимо введения правил информационной безопасности для сотрудников — необходима также система контроля и проверки их соблюдения. Ваши сотрудники и коллеги могут пренебрегать введёнными правилами, в силу глупости, беспечности или думая, что их это не касается. В результате, чужая халатность и пренебрежение распоряжениями руководства может поставить под угрозу вас и ваш бизнес.

Если вы владелец бизнеса любого размера и оборота, в вашей компании должен быть технический специалист, компетенции которого должна быть чуть больше, чем способность установить Windows, обновить Office или поставить антивирус (впрочем, последнее важно). Это может быть системный администратор, или руководитель департамента сетевой безопасности — можете придумать любое красивое название, которое придется по вкусу вам и удовлетворит амбиции вашего сотрудника. В обязанности специалиста должны входить безопасность корпоративных данных, мониторинг угроз и пресечение утечек данных. Ваши данные должны храниться на собственном сервере, который не должен физически находиться в офисе. Кто-то скопировал корпоративные файлы на флешку? Заразил компьютер вирусом? Ваши безопасники должны об этом знать. Технические специалисты должны работать in-house, но не пересекаться с коллегами, во избежание развития личных отношений. 

Стоит позаботиться и о физической безопасности офиса, периодически проверяя рабочие помещения на предмет жучков и прослушки. Вы можете считать, что ваше помещение — это крепость, но если прослушку находят в кабинете руководителя антикоррупционной прокуратуры, главы Окружного административного суда или директора ГБР, чем вы лучше?

Лучше иметь хороший протокол безопасности вашей компании, чем читать протокол обыска или задержания.

Ладно, это всё очень интересно, но не думаю, что это меня касается. Я далёк от политики и больших денег, я всего лишь корпоративный юрист/менеджер/бухгалтер/пиарщик/секретарь/водитель/охранник/сисадмин.

Это распространённое заблуждение. Каждый человек когда-то оказывался в конфликтных ситуациях, также как и каждый, в процессе жизни, заработал какое-то количество недругов, неприятелей или врагов. Необязательно быть политиком, журналистом, активистом или бизнесменом чтобы иметь недоброжелателей; необязательно быть богатым человеком чтобы на вас обратили внимание мошенники; необязательно быть преступником чтобы вами заинтересовались правоохранительные органы.

Силовиков или мошенников можете интересовать не вы, но лица с которыми вы общаетесь. Например, руководство вашей компании, партнеры по бизнесу, клиенты, близкие друзья, или дальний родственник, ставший объектом внимания заинтересованных лиц. Личная переписка бухгалтера и сплетни секретаря с коллегами про начальство могут сказать больше о реальном объекте внимания, чем он сам. 

Владимир Коваль

$readalso[$i]->imageAlt
НОВОСТИ

Поджог многоэтажки в Чехии: 11 погибших, 10 пострадавших

$readalso[$i]->imageAlt
НОВОСТИ

Кличко против электросамокатов Bolt: «Не может любой прийти и просто по желанию оказывать услуги»

$readalso[$i]->imageAlt
НОВОСТИ

На протяжении 100 дней в Новой Зеландии нет заболевших COVID-19

$readalso[$i]->imageAlt
НОВОСТИ

Полиция обезвредила взрывное устройство в Печерском районе Киева

$readalso[$i]->imageAlt
НОВОСТИ

Бывший король Испании на фоне коррупционных скандалов переехал в ОАЭ

$readalso[$i]->imageAlt
НОВОСТИ

Некоторым гражданам разрешат пересечение КПВВ с Крымом

$readalso[$i]->imageAlt
НОВОСТИ

В порт «Южный» вошло греческое судно, половина экипажа которого больна коронавирусом

НОВОСТИ

Гроза мышей в здании МИД Британии уходит на пенсию

НОВОСТИ

Twitter провел предварительные переговоры о покупке TikTok — СМИ

$readalso[$i]->imageAlt
НОВОСТИ

Взрыв в Бейруте: более 700 человек пострадали на антиправительственных протестах

$readalso[$i]->imageAlt
НОВОСТИ

Журналисты сымитировали нападения в поездах на женщин. Проверяли реакцию проводников