Первое и основное средство защиты информации — это пароль.

Около 10% пользователей Интернета используют в качестве пароля слово или словосочетание, входящее в список 25 наиболее популярных паролей — 123456, 123456789, qwerty, password, iloveyou, admin и так далее. Причём подобные пароли используются для защиты в том числе корпоративных ресурсов и аккаунтов, содержащих конфиденциальную информацию.

В рамках тренингов по информационной безопасности пользователи обучаются:

• составлять сложные пароли, которые невозможно подобрать с помощью брутфорса или словаря;
• запоминать пароли или записывать их таким образом, чтобы злоумышленник не смог воспользоваться ими, даже имея подобную запись на руках;
• использовать разные пароли для различных ресурсов, а также регулярно их менять;
• пользоваться менеджером паролей;
• распознавать вредоносные ресурсы, вводить свои пароли на которых нельзя ни при каких обстоятельствах;
• придумывать сильные кодовые слова, графические ключи, а также пользоваться аппаратными токенами

…и так далее.

Электронная почта — незаменимый инструмент для современного человека. С помощью электронной почты ведут личную и деловую переписку, пересылают файлы и документы, в том числе конфиденциального характера, регистрируются на всевозможных ресурсах.

Доступ к электронной почте открывает злоумышленнику неограниченные возможности. С её помощью он может взломать практически любой ресурс, принадлежащий пользователю, получив инструменты для ограбления, шантажа или похищения корпоративной информации.

При этом наиболее действенным и опасным методом кибератак, особенно на фоне массового перехода на удалённую работу из-за последствий пандемии COVID-19, является почтовый фишинг — совокупность методов социальной инженерии, позволяющая злоумышленнику получить персональные или рабочие данные пользователя посредством электронной переписки.

В рамках тренингов по информационной безопасности пользователи обучаются:

• грамотному отношению к электронной почте: созданию сильного пароля, проверке адреса получателя при каждом отправлении, корректной пересылке конфиденциальной информации, навыкам работы с корпоративными ящиками;
• распознаванию вредоносных писем (фишинга) по всевозможным признакам: визуальным, текстовым, смысловым;
• различным методам противостояния мошенникам;
• правильному поведению в случае взлома электронной почты

…и так далее.

Интернет — важнейший инструмент XXI века. С помощью Интернета мы получаем информацию, работаем, играем, общаемся, делаем покупки, обмениваемся данными и так далее. По сути, это цифровой аналог реального мира, его виртуальное отражение, а веб-серфинг — аналог путешествия по нему.

Как и в реальности, в Сети человека подстерегает множество опасностей — злоумышленники расставляют всевозможные ловушки, призванные собирать данные или зарабатывать деньги на неопытных и невнимательных пользователях. Речь даже не о мошеннических сайтах (хотя о них — в первую очередь): вредоносным кодом может быть заражён даже хорошо защищённый государственный портал.

В рамках тренингов по информационной безопасности пользователи обучаются:

• распознаванию вредоносных ресурсов, в том числе маскирующихся под благонадёжные;
• правилам безопасной загрузки данных, файлов и ПО из Интернета;
• правилам ввода личных данных, в том числе платёжных реквизитов;
• безопасному использованию облачных хранилищ;
• минимизации своего цифрового следа

…и так далее.

Социальные сети — это сосредоточение информации о человеке. Из аккаунта социальной сети злоумышленник может узнать полное имя жертвы, её адрес и номер телефона, сколько она зарабатывает и где хранит сбережения, когда уезжает в отпуск и с кем его проводит. Люди необдуманно выкладывают в социальные сети отсканированные паспорта и посадочные талоны на самолёт, конфиденциальные документы и информацию об успешных сделках, сведения о том, где находится их квартира и как в неё попасть.

Почти у каждого пользователя есть аккаунты в нескольких социальных сетях — Facebook и Vkontakte, Twitter и Instagram, TikTok и Youtube. И везде пользователи размещают информацию о себе, своей семье и работе.

А ещё есть мессенджеры — как встроенные в интерфейс социальных сетей, так и независимые: Telegram, WhatsApp, Viber, Skype. С их помощью злоумышленники проводят фишинговые атаки — например, в 2017 году киберпреступники похитили почти $500 000 долларов, разослав участникам блокчейн-проекта Enigma фишинговые сообщения через корпоративный мессенджер Slack.

В рамках тренингов по информационной безопасности пользователи обучаются:

• распознавать поддельные сайты социальных сетей;
• размещать в социальных сетях только безопасную информацию — не способную нанести ущерб ни им самим, ни их компании-работодателю;
• распознавать атаки мошенников и противостоять им;
• осознавать юридические последствия публикаций

…и так далее.

Если Интернет — это целый мир, то компьютер — дверь в этот мир. И не просто дверь: с помощью компьютера мы отдыхаем и работаем, создаём новое и изучаем минувшее. А ещё мы храним в памяти нашего компьютера гигабайты ценной информации — рабочие документы, архивы, фотографии, чертежи, а также пароли и другие средства доступа к сетевым ресурсам.

Пользователи нередко безответственно относятся к «здоровью» своего компьютера — отказываются от антивируса, отключают другие системы защиты и устанавливают нелицензионные программы. Это ведёт к печальным последствиям: например, исследование Kaspersky от 2017 года показало, что вредоносным ПО заражены 42% персональных компьютера в России!

В рамках тренингов по информационной безопасности пользователи изучают:

• как правильно устанавливать ПО на рабочий или домашний компьютер;
• с какой частотой нужно обновлять ПО и как это делать;
• как правильно использовать антивирус;
• что делать в случае похищения или потери устройства;
• как безопасно работать в публичных Wi-Fi-сетях

…и так далее.

Мобильный телефон — не просто средство связи, но универсальный инструмент для управления жизнью и работой. С его помощью мы разговариваем и переписываемся, ищем информацию в Интернете и оплачиваем покупки, делаем фотографии и снимаем видео. В результате именно мобильный телефон становится крупнейшим хранилищем информации о его владельце, и этим пользуются злоумышленники.

И дело даже не в воровстве телефонов: киберпреступнику достаточно установить на телефон следящую программу — например, если пользователь подключается к публичной сети Wi-Fi, — и всё оказывается в его власти. Например, мошенники считывают SMS-сообщения с банковскими кодами подтверждения, чтобы обходить двухфакторную авторизацию и похищать средства со счетов пользователей.

В рамках тренингов по информационной безопасности пользователи обучаются:

• защищать мобильные устройства от вредоносного ПО;
• безопасно устанавливать приложения;
• настраивать систему удалённого администрирования на случай кражи или утери устройства;
• избавляться от заводских бэкдоров;
• безопасно подключаться к другим устройствам

…и так далее.

Каждому человеку, независимо от возраста, социального положения и места работы, следует грамотно обращаться с конфиденциальной информацией, к которой у него есть доступ.

При этом важно понимать, что конфиденциальной по умолчанию может быть любая информация, которой он оперирует на работе, — это называется «презумпцией конфиденциальности». То, что информацию можно распространять, ещё следует доказать.

Далеко не каждая информация, не подлежащая разглашению, помечена грифом секретности или каким-либо иным образом. Чаще всего конфиденциальность определяется по косвенным признакам, которые известны не всякому. А ведь более 60% утечек в крупных технологических компаниях происходит именно по вине сотрудников, имеющих доступ к конфиденциальным данным и неверно оперирующих этим доступом!

В рамках тренингов по информационной безопасности пользователи обучаются:

• распознавать конфиденциальные данные;
• правильно хранить и передавать конфиденциальные данные;
• маркировать конфиденциальные документы при их создании;
• работать с шаблонами конфиденциальных документов

…и так далее.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту: имя, фамилия, дата рождения, номер паспорта и водительских прав, вероисповедания, размер дохода, место работы и так далее. Имея определённый объём персональных данных жертвы, злоумышленник может использовать их в своих целях — например, подделать личность, притворившись другим человеком и совершив от его имени преступление.

Но грамотное обращение с персональными данными — вопрос не только информационной безопасности, но и юридической ответственности. Практически все страны мира имеют законодательство в области защиты персональных данных, и нарушение прав гражданина с этой сфере может обойтись компании-нарушителю в огромную сумму.

Например, в 2018 году обнаружилась серьёзная утечка персональных данных клиентов из баз авиакомпании British Airways. Утечка попала под действие GDPR — действующего в Европейском союзе и Европейской экономической зоне Общего регламента по защите данных, — и компания была вынуждена выплатить штраф в размере 205 миллионов евро!

При этом GDPR и другие локальные регламенты чаще всего действуют не только на собственных территориях, но и на территориях других государств по отношению к гражданам и компаниям «своих» стран. Иначе говоря, грамотное обращение с персональными данными — требующий тщательного изучения вопрос, способный избавить компанию от значительных проблем.

В рамках тренингов по информационной безопасности пользователи обучаются:

• корректно обращаться с собственными персональными данными, грамотно хранить их и передавать;
• корректно обращаться с чужими персональными данными, соблюдая при этом требования локальных законодательств;
• распознавать ситуации нелегитимного использования собственных или чужих персональных данных злоумышленниками

…и так далее.