Расскажем, как не потерять себя в оцифрованном мире

Сегодня отмечается Международный день защиты персональных данных. Совет Европы утвердил этот праздник в 2007 году в память об историческом событии: 28 января 1981 года была подписана "Конвенция о защите физических лиц при автоматизированной обработке персональных данных".

За прошедшие годы проблема стала гораздо острее, а оцифровке подверглась буквально вся наша жизнь. Если информация стала "новой нефтью", то персональные данные – "новым золотом".

В конце прошлого года в столице открылся первый и единственный в России научно-технологический музей, посвящённый криптографии. Он рассказывает о технологиях секретной коммуникации, о людях и изобретениях, изменивших мир. 

Вместе с Александром Спиридоновым, руководителем лаборатории информационной и сетевой безопасности НПК "Криптонит", на базе которого открыт Музей криптографии, Metro составило список основных правил, которые помогут сохранить в безопасности вашу цифровую личность.


1. Заведите отдельный номер телефона для интернет-магазинов, сайтов объявлений и соцсетей. Они чаще всего становятся источниками утечки персональных данных.

2. Не храните сканы документов в незашифрованном виде, особенно в облачных сервисах. Как минимум помещайте их в архивы с защитой под паролем.

3. Не передавайте сканы документов в незашифрованном виде по электронной почте, через мессенджеры, публичные сервисы обмена файлами и другие незащищённые каналы связи. Используйте шифрование трафика (VPN), самих сообщений (PGP в e-mail и сквозное шифрование в секретных чатах), или отправляемых файлов (WinRAR, 7-Zip).

4. Не публикуйте в соцсетях фотографии посадочных талонов, билетов и других документов, которые могут содержать персональные данные.

5. Никогда не сообщайте персональные данные, если вам позвонили и запрашивают их по телефону. В случае необходимости продиктовать их всегда звоните сами и только по номеру, который можно проверить (например, на сайте организации).

6.  Настройте двухфакторную аутентификацию для основных учётных записей (электронная почта, госуслуги, социальные сети, банковские приложения). Как правило, первым фактором является пароль, а вторым – одноразовый код, присылаемый в SMS-сообщении на номер телефона, привязанный к учётной записи. Поэтому, даже зная пароль, злоумышленник не сможет им воспользоваться, не узнав отправленный вам проверочный код.

7. Шифруйте ваши личные файлы перед их резервным копированием или настройте защиту по паролю самих бэкапов. Первый вариант поддерживают специальные утилиты (программы) полнодискового шифрования. Например,  такая технология даже встроена в Windows. Парольная защита бэкапов поддерживается в ПО различных известных производителей. Программы резервного копирования с базовым функционалом обычно предоставляются бесплатно для личного пользования.

8. Проверяйте, какая информация автоматически сохраняется в метаданных. Это могут быть геотеги в фотографиях, ваше ФИО и должность в свойствах документа. Например, функция "поделиться" в Android 11 и выше предлагает удалять геотеги каждый раз, когда вы собираетесь отправить фотографию или видеоролик. А удалить персональные данные из офисных документов можно в MS Office через пункт меню "Файл-Сведения".

9. Используйте уникальные пароли на всех ресурсах, где вы указываете свои персональные данные. Тогда взлом одного аккаунта не приведёт к компрометации остальных.

10. Для хранения паролей используйте специализированные программы  – менеджеры паролей, а для особенно важных паролей – только собственную память. 

11. Используйте мобильный интернет вместо общественных Wi-Fi сетей. Если публичному Wi-Fi нет альтернативы, то обязательно подключайте надёжный VPN-сервис. Критерии надёжности разнятся в зависимости от задач, но выбирать нужно из популярных платных вариантов. Если VPN предлагается бесплатно и на длительный срок, значит, у этого сервиса есть какая-то неявная схема монетизации, позволяющая извлекать прибыль из анализа вашего трафика.

12. Перед вводом персональных данных на любом сайте проверяйте не только его адрес (URL) и тип подключения (HTTPS), но и сертификат. Многие фишинговые сайты используют сертификаты базового уровня, выдаваемые бесплатными сервисами. У серьёзных организаций сертификат всегда выдаётся надёжным издателем (DigiCert, Google, Yandex, Sectigo и др.)  Чтобы посмотреть сертификат, достаточно нажать на значок безопасного подключения слева в адресной строке браузера.