Как персональные, так и любые другие данные могут быть похищены различными способами. Чтобы говорить о том, каким образом пользователь может защититься, нужно сначала рассмотреть методы, которыми действуют злоумышленники. Вот наиболее распространенные из них:
- Фишинг: пользователь сам оставляет свои данные на подставном сайте, который маскируется под сайт известной компании, социальной сети и т.д.
- Вредоносное программное обеспечение: многие в своей жизни сталкиваются после посещения сомнительных сайтов с ворующими пароли или даже файлы «троянами»;
- Социальная инженерия: получения сведений от пользователя при помощи подставных аккаунтов якобы известных пользователю лиц;
- Физическая кража данных при реализации удаленного доступа к системе пользователя;
- Утрата данных в результате программных или аппаратных сбоев, а также действий, совершенных третьими лицами (как правило, сервисами, в которых пользователь хранит свои данные);
- Утрата данных в результате их случайного размещения на общедоступных источниках.
Пожалуй, детально разбирать каждый из этих пунктов смысла нет. Сегодня каждый школьник знает, что для того, чтобы защититься от вредоносного программного обеспечения, необходим качественный и регулярно обновляемый антивирус, а для того, чтобы защититься от непосредственного хищения данных нужен файрвол, который отобьет внешние атаки. Для того, чтобы обезопаситься от фишинга, необходимо сразу удалять все письма, которые приходят якобы от администрации ресурса, потерявшего ваш пароль, а прежде чем размещать где-либо какой-либо файл, нужно три раза взвесить все «за» и против, чтобы потом не пришлось горько пожалеть.
Но знать это и руководствоваться ежедневно этими нехитрыми на первый взгляд правило – это, что называется, «две большие разницы». Поэтому в рамках компании необходимо проводить регулярные инструктажи по информационной безопасности, во время которых сотрудникам будут напоминать о том, что прописные истины в сфере информационной безопасности – вовсе не то, что можно игнорировать, находясь на своём рабочем месте. После подобных инструктажей (можно назвать их тренингами) стоит устраивать мини-экзамены или мини-зачеты по изложенному в их ходе материалы, с применением поощрительных мер по отношению к «отличникам» и дисциплинарных взысканий по отношению к тем, кто не смог вынести из инструктажа никаких практических знаний.
Роман Идов,
ведущий аналитик компании SearchInform
