Цифровой щит: как защитить свои данные в интернете?

Вопросы информационной безопасности сегодня особенно актуальны — под угрозой не только личные данные, но и служебная информация. Эксперты ВШГУ Президентской академии подготовили практические рекомендации по защите данных в цифровой среде с учетом специфики работы, в том числе в государственных органах. Подробнее о них рассказал директор программы Центра «Цифровая школа госуправления» Иван Лапшин.

Пароли

• В первую очередь, создавайте сложные и уникальные пароли для каждого сервиса:
• минимум 12 символов (для госсистем часто требуется 14-16);
• заглавные и строчные буквы;
• цифры и специальные символы (! @#$%^& *).

Даты рождения, имена домашних животных и последовательности вроде «123456» — первое, что проверяют злоумышленники. 

Для хранения паролей можно использовать российские менеджеры паролей, например, Kaspersky Password Manager или встроенные в Яндекс.Браузер. Они помогут генерировать и хранить надежные пароли.

Для доступа к государственным информационным системам действуют отдельные требования безопасности — следуйте регламентам вашего ведомства.

Двухфакторная аутентификация

Включите двухфакторную аутентификацию везде, где это возможно. В этом случае для входа нужен не только пароль, но и дополнительное подтверждение:

• код из SMS;
• код из приложения (Яндекс.Ключ, Сбербанк ID, Госключ);
• биометрия (отпечаток пальца, распознавание лица);
• токены и электронные ключи (для доступа к госсистемам).

Принцип работы простой: даже если кто-то узнает ваш пароль, войти в аккаунт он не сможет, потому что у него нет доступа к вашему телефону или биометрии.

Фишинговые атаки

Научитесь распознавать фишинговые атаки. Фишинговые письма могут выдавать себя за банки, Госуслуги, внутренние порталы ведомств или даже за коллег. 

Признаки подделки:

• создают искусственную срочность («доступ к системе заблокируют через час!»);
• адрес отправителя выглядит подозрительно (не @gov.ru, а @go-v.ru);
• в тексте ошибки и странные формулировки;
• просят ввести пароль, данные токена или служебную информацию;
• ссылки ведут на сайты, похожие на настоящие, но с другим адресом.

Перед переходом по ссылке наведите на нее курсор, тогда внизу браузера увидите реальный адрес.

Обновления

Регулярно обновляйте все программы и операционные системы. Обновления критически важны, потому что они закрывают уязвимости в безопасности. При этом разработчики постоянно исправляют найденные бреши. Помните, что устаревшие программы — это легкая мишень для злоумышленников

Для личных устройств лучше включить автоматические обновления операционной системы, браузера (Яндекс.Браузер, Атом) и антивируса (Kaspersky, Dr.Web).

Для служебных компьютеров обновления часто контролируются IT-службой ведомства. Если на рабочем компьютере появляется уведомление об обновлении системы безопасности, не откладывайте его – это может быть критически важное улучшение. Большинство взломов использует уязвимости, которые давно исправлены в новых версиях программ.

Публичные сети Wi-Fi

Избегайте передачи важной информации через общедоступные сети. Бесплатный Wi-Fi в кафе, аэропорту или торговом центре удобен, но крайне небезопасен.

Что категорически нельзя делать в публичных сетях:

• заходить в банковские приложения;
• работать со служебной почтой или госсистемами;
• вводить пароли от важных сервисов и по этому же лучше не иметь один пароль на все сервисы;
• открывать документы с грифом «Для служебного пользования».

Для служебных задач используйте только защищенные каналы связи: мобильный интернет или корпоративный VPN, одобренный службой безопасности вашего ведомства.

Социальные сети

Эксперты рекомендуют регулярно проверять и обновляйть настройки конфиденциальности. Для госслужащих соцсети — зона повышенного риска.

Что нужно сделать:

• ограничить видимость постов — только для друзей;
• скрыть список друзей и подписчиков;
• отключить геолокацию во всех публикациях;
• проверить, какие приложения имеют доступ к профилю (ВКонтакте, Одноклассники, Телеграм);
• отозвать доступ у неиспользуемых сервисов.

Не указывайте в профиле точное место работы и должность. Формулировка «работаю в государственной организации» безопаснее, чем название ведомства и кабинета. Информация из соцсетей используется для целенаправленных атак на госслужащих. Зная ваше окружение, интересы и распорядок дня, злоумышленники могут подобрать пароли или организовать фишинговую атаку, от которой сложно защититься.

К тому же будьте избирательны в том, чем делитесь онлайн. Никогда не выкладывайте в открытый доступ номера документов (паспорт, СНИЛС, ИНН, служебное удостоверение), полную дату рождения, домашний адрес, адрес служебного здания, номера банковских карт, информацию о командировках и поездках в реальном времени, фото служебных пропусков, документов, билетов с QR-кодами, детали служебных совещаний и мероприятий. Особенно опасны фотографии, где случайно попали в кадр документы на столе или экран компьютера со служебной информацией.

Копии

Не забывайте регулярно создавать резервные копии важных данных. Простое правило 3-2-1: 3 копии данных, 2 разных типа носителей, 1 копию храните отдельно (не на том же устройстве).

Личные резервные копии можно хранить на внешнем жестком диске, в российском облачном сервисе, домашнем сетевом хранилище. Служебные документы копируйте только на носители и в системы, одобренные службой информационной безопасности вашего ведомства. Использование публичных облачных сервисов для служебных данных обычно запрещено. Резервные копии спасут данные при заражении программой-вымогателем, поломке диска или случайном удалении файлов.

Комплексная защита

Эксперты советуют использовать современные средства защиты на всех устройствах. Комплексная защита включает:

• российское антивирусное ПО (Kaspersky, Dr.Web, Positive Technologies);
• брандмауэр;
• защиту от вредоносных сайтов;
• автоматическое сканирование загружаемых файлов.

На служебных компьютерах используйте средства защиты, утвержденные IT-службой ведомства. Часто это сертифицированные ФСТЭК решения класса защиты, соответствующего уровню обрабатываемой информации.

Не забывайте о личных смартфонах и планшетах, особенно если с них проверяете рабочую почту. Устанавливайте приложения только из официальных магазинов (RuStore, NashStore для российских приложений, либо проверенные источники). Сторонние APK-файлы могут содержать вредоносный код.

Кроме того, разделяйте личные и служебные задачи. Не проверяйте личную почту на служебном компьютере и не работайте со служебными документами на домашнем ПК без согласования со службой безопасности.

К Международному дню безопасного интернета эксперты ВШГУ Президентской академии напоминают: для государственных служащих вопросы информационной безопасности имеют особое значение. Под угрозой не только личные данные, но и служебная информация, утечка которой может нанести ущерб государственным интересам.

Цифровая безопасность — это не набор технических решений, а культура поведения в цифровой среде. Каждое из этих правил простое, но вместе они создают надежную защиту.

При работе со служебной информацией действуют дополнительные требования безопасности, установленные вашим ведомством. Эти рекомендации дополняют, но не заменяют внутренние регламенты.

Высшая школа государственного управления Президентской академии регулярно проводит программы повышения цифровой грамотности и информационной безопасности для государственных служащих и руководителей всех уровней.