Піклування про особисті електронні дані має стати звичайною звичкою для кожного, впевнений експерт з цифрової безпеки Сергій Самедов. Він пропонує кілька простих заходів, які надійно захистять вашу інформацію та дозволять жити безтурботно.
“Можна придбати найдорожчий захисний софт, найняти професійну команду, але залишити відкритими “парадні двері” — застаріле ПЗ, слабкі паролі, відсутність двофакторної автентифікації. І цього буде цілком достатньо, щоб вас зламали”, – говорить Сергій Самедов.
Одиничний пароль — це пастка
“Використання одного і того ж пароля для різних сервісів — це найбільша помилка. Як тільки один з них буде скомпрометовано — всі інші стають вразливими. І в цьому випадку не має значення, наскільки складним є цей пароль: якщо він “засвітився” у злитій базі, його просто перевірять в інших відомих сервісах. Це називається credential stuffing, і це щоденна практика кіберзлочинців”, – зазначає Сергій Самедов.
Паролі повинні бути унікальними для кожного ресурсу. Так, їх буде багато, але для цього й існують менеджери паролів — інструменти, які генерують, зберігають і автоматично підставляють паролі, шифруючи їх локально або в хмарі. Існують платні та безкоштовні варіанти — виберіть той, який вам підходить, але ніколи не зберігайте паролі у браузері чи в нотатках на пристрої.
Ідеальна частота зміни паролів залежить від чутливості сервісу:
- для банківських акаунтів, електронної пошти, роботи з конфіденційними даними — раз на 2–3 місяці;
- у разі підозри на витік чи компрометацію — змінюйте негайно;
- для менш чутливих ресурсів — раз на пів року або в разі втрати доступу до пристрою.
“Але важливо: не намагайтеся змінити пароль “на щось схоже”. Наприклад, із “Qwerty2023!” на “Qwerty2024!” — це не новий пароль, а його заміна, і досвідчені зловмисники на це зважають”, – підкреслює Сергій Самедов.
Багатоетапна автентифікація (MFA)
“Додавання другого фактора — це мінімальний стандарт сучасної безпеки. Однак він має бути надійним. SMS вже давно не вважається захищеним методом. Атаки на мобільні мережі, перехоплення повідомлень, підміна SIM-карт — все це реальні загрози”, – зазначає Сергій Самедов.
Використовуйте натомість:
- TOTP-додатки (Google Authenticator, FreeOTP, Aegis, Raivo OTP тощо);
- фізичні ключі безпеки (типу Yubikey, які можна купити в інтернеті);
- біометричні методи, де це можливе (з урахуванням ризику біометричного трекінгу).
MFA сьогодні повинна бути захищеною від фішингу, тобто такою, яку не можна просто ввести на фальшивій сторінці, підкреслив експерт.
Без оновлень — усе інше марно
Парольна гігієна важлива, проте без оновлень програмного забезпечення це рішення стає безглуздим. Вразливість у старому додатку або системній бібліотеці може дати можливість зловмиснику обійти навіть найнадійнішу автентифікацію. Оновлювати потрібно не лише Windows чи Android. Важливо:
- оновлювати всі додатки, навіть ті, якими не користуєтеся регулярно;
- системні прошивки (firmware) — для роутерів, BIOS/UEFI, IoT-пристроїв;
- безпекові оновлення (патчі) — особливо для корпоративних систем, CRM, VPN та будь-якого програмного забезпечення, що має мережевий інтерфейс.
“У багатьох системах є окреме поняття “безпековий патч”, і саме їх потрібно встановлювати в першу чергу. В ідеалі — автоматично, а якщо неможливе автоматичне оновлення — заплановане регулярне ручне оновлення. Один день затримки іноді може коштувати компанії мільйони”, – підкреслює Сергій Самедов.
Безпека — це не технологія. Це звичка
“Більшість сучасних інцидентів відбуваються не через нові технології атак, а через старі звички користувачів: ті самі паролі, вимкнені оновлення, довірливість, ігнорування базових налаштувань безпеки. Найбільш захищені системи — це не ті, де реалізували останній захисний продукт, а ті, де кожен учасник — від ІТ-відділу до бухгалтера — дотримується цифрової гігієни. Це культура і дисципліна, а також ваша особиста відповідальність. Гігієна цифрової безпеки — це не складно, не дорого і не винятково. Вона потребує лише уваги та регулярності. Чим раніше ми це усвідомимо, тим менше буде новин із заголовками “злиття даних мільйонів користувачів”, – говорить Сергій Самедов.
У рамках кампанії #ШахрайГудбай Мінсоцполітики спільно з Національним банком, Кіберполіцією та Держспецзв’язку пропонують поради, як розпізнати шахраїв і уникнути пасток. Інформатор пояснює основні правила захисту ваших банківських карток від шахрайства.
Якщо ви стали жертвою шахраїв, напишіть заяву до Кіберполіції за цим посиланням або повідомте про ваш випадок за номером телефону: 0 800 505 170.
