Наказана компания, которая под угрозой штрафов от Роскомнадзора выманивала деньги у бизнеса

Полтора года назад я публиковал статью о мошенниках некоего "Росконтроля", которые рассылылали письма предпринимателям с предложением закрыть проблемы с персональными данными.

Недавно Управление Федеральной антимонопольной службы (ФАС) по Москве наказало организацию, именующую себя «Федеральным центром защиты персональных данных» (ООО «Единый центр сертификации») за нарушение законодательства о рекламе (статья 14.3 КоАП РФ). Надзорный орган посчитал, что компания неправомерно продвигала (а по сути навязывала) свои юридические услуги, создавая на рынке впечатление, что она является госструктурой и связана с Роскомнадзором. 

Комиссия УФАС пришла к выводу, что использование в наименовании отправителя обозначения «Федеральный центр защиты персональных данных», «а также использование в доменном имени обозначения rkn, сходное с латинское аббревиатурой Роскомнадзора, вводит потребителя рекламы в заблуждение путем создания представления (ассоциации) о принадлежности (причастности) адресата спорной рекламы к органам государственной власти либо об одобрении рекламируемых услуг органами государственной власти».

Советы по безопасности мобильных устройств в путешествии

 Советы по безопасности мобильных устройств в путешествии

Использование ноутбуков, планшетов и других мобильных устройств в последнее время становится всё более распространённым. Удаленная работа в период пандемии новой коронавирусной инфекции и дистанционная работа в разы увеличили количество людей, работающих с использованием мобильных устройств. Однако это же способствует тому, что мобильные устройства всё чаще становятся целью для злоумышленников.

Если мобильное устройство украли, то вполне возможно, что личная или конфиденциальная информация  может стать общедоступной или устройство будет использовано для нанесения ущерба вам и вашей организации.

Вот несколько советов, которые помогут обеспечить безопасность вашего мобильного устройства в путешествии или командировке..

Совет 1: Не используйте для перевозки специализированные компьютерные сумки

Использование специализированных сумок для перевозки ноутбуков, особенно фирменных – с логотипом фирмы производителя, привлекает внимание злоумышленников. Такая сумка является для них сигналом – несут дорогой фирменный гаджет. По возможности старайтесь перевозить мобильные устройства в неброском портфеле или сумке.

Совет 2: Не оставляйте пароли, пинкоды и токены вместе с ноутбуком

Все понимают, что хранить пинкод от банковской карты вместе с самой картой – не самое лучшее решение по безопасности ваших сбережений. Большинство людей не хранят ключи от квартиры под ковриком или ключи от автомобиля в замке зажигания. Но пароли, пинкоды для входа в мобильное устройство и токены двухфакторной авторизации – такие же ключи для доступа к информации, которая находится в мобильном устройстве. Не имея этих данных и факторов, мошенникам будет сложнее нанести вам ущерб даже при краже мобильного устройства.

Совет 3: Носите мобильные устройства с собой

Если вы летите самолётом, старайтесь ноутбук и другие мобильные устройства брать с собой. Багаж часто теряется. Только в США в аэропортах ежегодно теряется 600 тысяч ноутбуков. Если вы путешествуете на автомобиле – старайтесь убрать мобильные устройства подальше от чужих глаз. Даже если машина останется без присмотра на короткое время.

Совет 4: Зашифруйте свои данные

Одним из самых надежных способов дополнительной защиты информации на мобильных устройствах, переносных дисках и флеш-накопителях является шифрование информации на них. Даже при потере или краже мобильного устройства никто не сможет воспользоваться вашей информацией. Конечно, при этом важно выполнять Совет номер 2 – не хранить пароли для расшифровки информации вместе с мобильным устройством.

Для шифрования информации можно применять как распространенные и простые средства, например, архивирование информации архиватором с установкой пароля, так и более сложные системы для шифрования всей информации на носителе. Например, для операционной системы Windows можно использовать встроенную функцию шифрования BitLocker, которая позволяет шифровать не только жесткий диск, но и флеш-накопители.

Совет 5: Следите за своими вещами

Проходя зону безопасности и досмотра внимательно следите за сумками с мобильными устройствами и документами. Даже если их не украдут, вы можете просто перепутать сумки. Вспомните известный советский фильм «Приключения желтого чемоданчика». Там именно так и произошло.

Старайтесь не ставить сумку с ноутбуком на пол. Чаще всего именно так теряют или забывают свои вещи.

Совет 6: Старайтесь не оставлять мобильные устройства в гостинице

Наверное, это самый сложно выполнимый совет, особенно на отдыхе. Но в гостиницах случаются кражи ценных вещей. По возможности храните мобильные устройства и другие ценные вещи в сейфе.

Совет 7: Учитывайте законы другой страны

Есть неочевидные риски, которые могут возникать в связи с особенностями законодательства некоторых стран. В ряде стран при прохождении контроля вас могут попросить включить мобильное устройство. При этом пограничная служба или служба безопасности может вас попросить сообщить пароль для входа в устройство. При отказе от предоставления пароля есть вероятность в отказе вам на въезд в страну, задержки вас для дополнительной проверки, потери времени, опоздания на стыковочный рейс или на трансфер, конфискации устройства.

После досмотра постарайтесь сменить все пароли, которые вы давали при проверке.

Старайтесь хранить на мобильном устройстве минимум конфиденциальной информации в открытом виде. Лучше перед поездкой удалить все данные, которые вам не нужны в путешествии или которые могут вызвать вопросы.

Помните также, что в некоторых странах могут провести проверку лицензионности программного обеспечения, установленного на вашем устройстве. Постарайтесь удалить всё нелицензионной программное обеспечение перед поездкой.

В некоторых странах вас могут также попросить показать хранящиеся на устройстве фотографии, документы или переписку в мессенджерах. Содержимое мобильных устройств чаще всего проверяют при въезде в Китай, США, Канаду, Израиль, Украину и некоторые другие страны.

Берегите себя и свою информацию!

Личная безопасность в социальных сетях

 Личная безопасность в социальных сетях

Социальные сети – мощный инструмент распространения и получения информации, общения с людьми, поиска помощи. Там находят единомышленников, публикуют статьи, читают новости, делятся планами, обсуждают совместные проекты и анонсируют мероприятия.

С точки зрения специалиста по безопасности соцсеть – дыра. Возможно, лучший совет, который может дать специалист – вообще не использовать соцсети. То, что попало в Интернет, практически нельзя удалить, изъять и уничтожить.

Вот несколько практических советов, которые помогут сделать соцсети для вас немного безопаснее. Вы сами можете принять решение, следовать этим советам или нет. Ведь речь идёт о вашей личной безопасности в информационном пространстве.

Совет 1: Не публикуйте лишнюю информацию

Для общения в социальной сети совсем необязательно заполнять все те поля анкеты, которые предлагает вам владелец социальной сети. Где вы родились, учились, когда поженились и т.п. – это ваша персональная информация. Вы никогда не знаете наверняка кто и в каких целях воспользуется этой информацией.

Публикуя избыточные данные, вы помогаете составлять досье рекламным и маркетинговым службам, социологам, политологам, криминальным структурам.

Совсем необязательно публиковать и личные фотографии. Известна история, когда служба судебных приставов использовала фотографию местной красавицы для объявления на сайте знакомств, чтобы отлавливать злостных алиментщиков. Фотографию приставы взяли из сетевого аккаунта ни в чем не замешанной девушки.

Возможно, лучше предоставлять минимум данных. Только то, что необходимо для регистрации? Адрес e-mail – да. Адрес проживания – нет. Местонахождение – нет. Меньше личного. Ничего интимного.

Совет 2: Разделяйте рабочее и личное

Если вы не являетесь официальным представителем вашей организации и не уполномочены распространять информацию от лица работодателя, то совсем необязательно при регистрации в соцсети указывать место работы. Иногда ваши личные высказывания и мнения по тому или иному вопросу, опубликованные в вашем личном аккаунте могут расцениваться собеседниками как официальное мнение организации. Постарайтесь не совмещать рабочую и личную жизнь. Некоторые пользователи заводят в социальных сетях два аккаунта, для личной жизни и для профессиональных сообществ. Это помогает разделить информационные потоки в соцсети и избежать конфликтов с работодателем.

Совет 3: Используйте псевдоним

При регистрации в социальных сетях совсем не обязательно указывать настоящие и реальные персональные данные. В ходе обсуждения различных тем в соцсетях иногда страсти разгораются не на шутку. Дело доходит до прямых угроз жизни и здоровью. Псевдоним позволит вам избежать многих рисков, связанных с жизнью в социальных сетях.

Совет 4: Не делайте то о чём можете пожалеть завтра

Люди очень эмоциональны. Некоторые слова они произносят в сердцах, исходя из сиюминутной ситуации. Говорят – «слово не воробей». Но слово, высказанное в Интернете может моментально распространиться через репосты и ретвиты. При этом смысл ваших слов может быть значительно искажен. В судебной практике уже сейчас можно найти множество примеров судебных дел по факту публикации различных материалов в социальных сетях.

Иногда человек забывает о том, что он когда-то написал в соцсети. Но соцсети помнят всё. «Почему меня не приняли на работу? Я же идеальный кандидат на место!» думает пользователь соцсети. Потенциальные работодатели отслеживают сетевые аккаунты кандидатов.

Меняется законодательство. Подрастают дети. То, что сегодня выглядело безобидным, веселым и ничего не значащим, завтра может доставить неприятности. Смотрите на шаг вперед.

Совет 5: Не отвечайте всем взаимностью

Большинство социальных сетей позволяют ограничить круг читателей вашего аккаунта. Если это возможно, сделайте закрытый аккаунт и пускайте в круг подписчиков только тех, кого знаете и кому доверяете. В Фейсбуке можно выбрать уровень конфиденциальности для каждой публикации «Доступно всем», «Друзьям», «Определенные друзья» и т.п. Не отвечайте согласием на все запросы «в друзья», которые к вам поступают. Постарайтесь сначала узнать информацию про нового «друга». Посмотрите круг его подписчиков, тематику публикаций.

«Дружба» в соцсетях – набор определенных прав доступа и привилегий. Например, «друг» может читать «подзамочные» публикации, предназначенные ограниченного круга лиц. Легко одобряя запросы на «дружбу», вы рискуете заполучить в «друзья» неадекватного человека.

Совет 6: Берегите чужую приватность

Прежде чем публиковать в социальной сети фотографию с другими людьми, тем более отмечать в публикации кто и где изображен на фотографии, подумайте – может эти люди вовсе не хотят, чтобы все знали о том, где и когда они были. Берегите чужую приватность. Предварительно спросите согласие человека на упоминание его в вашей записи.

Совет 7: Не попадайтесь мошенникам

Очень часто соцсети используют для фишинга. В сообщении может быть привлекательная ссылка, которая ведёт на фейковый сайт, очень похожий на настоящий. Там вы увидите знакомую вам форму ввода логина и пароля от известного сервиса и таким образом отдадите свои данные злоумышленникам. Уже есть факты имитации сайта Госуслуг и других нужных всем нам сервисов. Вряд ли следует автоматически щелкать по всем предложенным ссылкам, участвовать в сомнительных, открывать «прикольные картинки», вводить логин и пароль на каких-то чужих сайтах.

Относитесь скептически ко всякого рода заманиваниям на получение бесплатных «подарков». Помните, «если товар бесплатный, то товар – это вы». Кому-то очень нужны ваши данные и информация о вас.

Прежде чем публиковать в социальной сети фотографию с другими людьми, тем более отмечать в публикации кто и где изображен на фотографии, подумайте – может эти люди вовсе не хотят, чтобы все знали о том, где и когда они были. Берегите чужую приватность. Предварительно спросите согласие человека на упоминание его в вашей записи.

Совет 8: Защищайте себя и устройства

И последний совет. Безопасность в Интернете во многом зависит от безопасности компьютера или смартфона, с которого вы выходите в соцсети.

Своевременно обновляйте операционную систему, установите антивирусное программное обеспечения, используйте двухфакторную авторизацию для входа в социальные сети и платежные сервисы.

Берегите себя и свою информацию!

Как проверить не оформлена ли на ваше имя электронная подпись на Госуслугах

 В соцсетях часто появляются сообщения, что на то или иное лицо мошенники оформили электронную подпись и используя её зарегистрировали подставную фирму и совершали различного рода мошеннические действия.

Не все пользователи портала Госуслуг и ЕСИА регулярно ходят на эти сайты и знаю как проверить наличие/отсутствие оформленной на своё имя электронной подписи.

Сделать это не очень сложно:

Проверить, не выпущен ли на ваше имя сертификат электронной подписи, можно в личном кабинете на Едином портале государственных и муниципальных услуг

 https://lk.gosuslugi.ru/settings/signature

Необходимо будет ввести свой пароль на сайте и проверить не оформлены ли на вас электронные подписи.

Если в разделе окажется подпись, которую вы не регистрировали, то портал «Госуслуги» рекомендует незамедлительно обратиться в службу поддержки.

Информационные материалы ФНС про электронную подпись ("Электронная подпись. Просто о сложном")

 Федеральная налоговая служба (ФНС) разработала и опубликовала информационные материалы по применению электронной подписи. Полезно как для понимания того, что такое электронная подпись. Пригодится при обучении персонала и повышении осведомлённости по вопросам информационной безопасности.

Вот буклет "Электронная подпись. Просто о сложном".

Ссылка на буклет в формате PDF - https://disk.yandex.ru/i/-XEcBFka-61KYg

Безопасен ли безопасный мессенджер Signal

 На волне изменения политики конфиденциальности вновь на арене появился мессенджер Signal.

Первая волна популярности Signal появилась в 2015 году, когда его в своём твиттер-аккаунте прорекламировал Эдвард Сноуден (https://www.iphones.ru/iNotes/497049). 

В 2021 году Илон Маск написал в своём твиттер-аккаунте "Use Signal" (https://www.iphones.ru/iNotes/ilon-mask-rekomenduet-messendzher-signal-chto-v-nyom-takogo-01-08-2021) и многочисленные поклонники Илона ринулись устанавливать этот мессенджер.

Что на сегодня известно про Signal.

Разработчик	Некоммерческая организация Open Whisper Systems (OWS) , США Существует на пожертвования и гранты
Владелец	Мокси Марлинспайк (настоящее имя — Мэтью Розенфельд), предприниматель из США
Год создания	2010
Лицензия	AGPLv3, Имеется открытый код
Исходный код	https://github.com/signalapp/Signal-Server

Информация по местоположению серверов

На официальном сайте отсутствует. «Signal Messenger установил десятки серверов для обработки зашифрованных вызовов в более чем 10 странах по всему миру, чтобы минимизировать задержку» Википедия  https://wikichi.ru/wiki/Signal_Messenger

Политика конфиденциальности

Третьи Лица. Мы работаем с третьими лицами, чтобы предоставить некоторые из наших услуг. Например, наши сторонние поставщики отправляют проверочный код на ваш номер телефона, когда вы регистрируетесь на наши услуги. Эти поставщики обязаны соблюдать свои Политики конфиденциальности для защиты этой информации. Если вы используете другие сторонние сервисы, такие как YouTube, Spotify, Giphy и т. д. В связи с нашими сервисами, их условия и Политика конфиденциальности регулируют ваше использование этих сервисов.   Другие случаи, когда сигналу может потребоваться поделиться вашими данными   Для удовлетворения любого применимого закона, постановления, судебного процесса или принудительного правительственного запроса. Обеспечение соблюдения применимых условий, включая расследование потенциальных нарушений. Для обнаружения, предотвращения или иного решения проблем мошенничества, безопасности или технических проблем. Для защиты от ущерба правам, собственности или безопасности Signal, наших пользователей или общественности в соответствии с требованиями или разрешениями закона. https://signal.org/legal/

Будущее за беспарольной защитой или во что обходится парольная защита бизнесу

Обычно считается, что парольная защита является самым простым и дешевым способом защиты информации. Внедрить в любой сайт или приложение формочку с двумя полями для логина и пароля достаточно просто. Дальше вся ответственность за пароль лежит на пользователе. В крайнем случае - можно добавить функцию проверки рекомендованной длины, сложности пароля и потребовать его смены через год.

На самом деле всё не совсем так просто. Парольная защита оказывается достаточно затратным и не очень эффективным механизмом защиты.

Ещё год назад в докладе, опубликованном Всемирным экономическим форумом (https://www.weforum.org/press/2020/01/forgotten-your-password-not-having-one-will-make-you-safer-says-world-economic-forum), было показано, что освобождение от паролей на самом деле сделает нас более безопасными, а бизнес-более эффективным. По прогнозам, сделанном в докладе, киберпреступность должна была стоить мировой экономике 2,9 миллиона долларов каждую минуту в 2020 году, и прогнозировалось, что около 80% этих атак будут связаны с паролями. 

Аутентификация на основе знаний-будь то ПИН – коды, пароли, парольные фразы или что – то еще, что требует запоминания от пользователя, - это не только серьезная головная боль для пользователей, но и дорогостоящее обслуживание со стороны службы поддержки. Для крупных компаний, по оценкам специалистов, почти 50% расходов на ИТ-службу поддержки приходится на сброс паролей, при этом среднегодовые расходы компаний в настоящее время составляют более 1 миллиона долларов ТОЛЬКО на персонал.

Как защитить «умные» камеры видеонаблюдения и радионяни от кибератак

Советы NCSC "Как защитить «умные» камеры видеонаблюдения и радионяни от кибератак"

В этом руководстве объясняется, как настроить интеллектуальную камеру для защиты от распространенных кибератак.

https://www.ncsc.gov.uk/guidance/smart-security-cameras-using-them-safely-in-your-home

Сравнение стойкости "сложного" пароля и пароля из 4 несложных слов в одной картинке

Источник: https://xkcd.com/936/?s=09

 

Международные стандарты по управлению рисками и непрерывности бизнеса

Международная организация по стандартизации (ISO) в ответ на COVID-19 предоставила бесплатный доступ к стандартам по управлению рисками и непрерывности бизнеса: 

(машинный русский перевод в формате Word)

ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements Система управления непрерывностью бизнеса	English	Русский перевод
ISO 22395:2018 Security and resilience – Community resilience – Guidelines for supporting vulnerable persons in an emergency Рекомендации по поддержке уязвимых лиц при ЧС	English	Русский перевод
ISO 22320:2018 Security and resilience – Emergency management – Guidelines for incident management - Рекомендации по управлению инцидентами	English	Русский перевод
ISO 22316:2017 Security and resilience – Organizational resilience – Principles and attributes Организационная устойчивость - Принципы и аттрибуты	English	Русский перевод
ISO 31000:2018 Risk management – Guidelines Управление рисками	English	Русский перевод