Интернет оказал на мир неоднозначное влияние. Повсеместная цифровизация привела к неконтролируемому распространению информации, которая раньше оставалась бы конфиденциальной. Речь идет не только о публикациях, связанных с разоблачениями и расследованиями, которые с переменным успехом используются для привлечения недобросовестных граждан к ответственности. Главная проблема заключается в том, что большинство людей утратили управление своими персональными данными. Naked Science анализирует, возможно ли вернуть утраченный контроль, избежать мошеннических звонков от имени банков и почему утверждение «мне нечего скрывать, и я не представляю интереса для кого-либо» в современных реалиях оказывается ошибочным.
В интернете о каждом пользователе известно огромное количество информации, часть которой хранится в базах данных с ограниченным доступом, а другая – находится в открытом доступе. Различные сервисы, приложения и отдельные лица постоянно используют эти данные. Однако далеко не все из них действуют честно и безопасно. Существующая проблема заключается в том, что эти процессы часто остаются незаметными. До последнего момента жертва злоумышленников, скорее всего, не заподозрит, что в отношении неё проводилось детальное расследование. Это обеспечивает мошенникам глубокое понимание различных аспектов жизни человека, что приводит к финансовым потерям – иногда значительным, а иногда и несущественным. Кроме того, многие виды онлайн-активности стали не только нежелательными, но и осуждаемыми на государственном уровне, поэтому даже законопослушным гражданам стоит удалять следы своей деятельности в сети.
Не будем заострять внимание на преувеличениях. Давайте подойдем к вопросу всесторонне, простым и понятным языком. Начнем с определения терминов, чтобы в дальнейшем мы использовали одни и те же понятия. Часто в контексте кибербезопасности путают или неверно трактуют следующие ключевые термины:
- личные данные (private data) — это сведения, которые создатель или описываемое лицо могут желать сохранить в тайне, ограничив доступ к ним);
- персональные данные (personal data) — к персональным данным относится любая информация, которая может быть использована для идентификации конкретного лица или связана с личностью, которую можно однозначно опознать.
В соответствии с представленным описанием, оба понятия образуют пересекающиеся множества. Тем не менее, между ними существует, как минимум, законодательное различие. Защита личных данных частично обеспечивается правом на тайну переписки. Персональные данные стали «новой нефтью», поэтому, несмотря на усилия политиков, стремящихся их защитить под давлением общественности, этому препятствуют интересы современной экономики.
Сонм цифровых двойников
Практически каждый веб-сайт информирует пользователей о применении файлов cookie» ( cokie, «это — неспешная реакция на давление общественности, оказанное на политиков. Сайты, соответствующие западным стандартам, предлагают пользователям возможность отказаться от определенных «куки» и предоставляют исчерпывающую информацию о том, какие данные о посетителе собирает веб-ресурс. Онлайн-платформы, действующие в юрисдикциях стран с менее жестким законодательством о персональных данных, как правило, лишь придерживаются тренда на прозрачность».
Простыми словами, файлы «куки» — это уникальные документы, предоставляемые клиенту сервером. В них фиксируется идентификатор пользователя, а также ряд параметров, относящихся к нему. Эти параметры могут быть самыми разнообразными и определяются требованиями конкретного сервиса. Один веб-сайт может использовать не только собственные файлы cookie, но и ресурсы сторонних партнеров, такие как рекламные сети, сервисы статистики и поисковые системы. При посещении одного сайта пользователь автоматически «отмечается» еще в нескольких. И это лишь малая часть общей картины. Каждый сервис формирует на пользователя собственный профиль, который не ограничивается только файлами cookie».
Эти профайлы также включают в себя, казалось бы, невинные сведения, такие как разрешение экрана, языковые настройки, регион, версии браузера и операционной системы, а также используемые шрифты. В отдельных ситуациях в них может быть указана даже модель устройства, с которого пользователь зашел на сайт. Обилие обезличенных данных делает возможной практически безошибочную идентификацию конкретного человека. Тысячи пользователей могут посещать сайт, используя один и тот же браузер или с одного и того же смартфона. У некоторой части из них параметры будут совпадать. Однако это касается не всех. У еще меньшей группы окажутся идентичными регион и версия операционной системы. Добавление нескольких (или даже десятка) атрибутов сделает совпадение маловероятным – то есть каждый отдельный набор данных фактически станет «персональным».
Подобные наборы информации называются цифровыми отпечатками, они функционируют даже при отключенных или заблокированных файлах cookie на устройстве пользователя. Юридически это позволяет идентифицировать не самого человека, а используемое устройство. Тем не менее, установить соответствие между определенным набором цифровых отпечатков и конкретными учетными данными не составляет труда. А эти учетные данные гораздо точнее связаны с конкретным человеком, что позволяет сформировать цифровую личность.
В настоящее время не существует общепринятого определения этого термина, поскольку в различных областях его трактовка может отличаться. В рамках данной статьи под цифровой личностью понимается совокупность личных и персональных данных, дополненная цифровым следом. Следует учитывать, что у одного человека в реальной жизни может существовать несколько цифровых личностей, созданных различными сервисами на основе схожих или различных наборов данных о нем. Также ее не следует путать с онлайн-идентичностью — то представление о себе, которое человек сознательно или бессознательно создает в онлайн-пространстве.
Персональные данные — «новая нефть»
Необходимо понимать, кто является противником, поэтому кратко объясним, для чего цифровые личности могут быть нужны. Сравнение таких данных с нефтью стало одним из первых публикация в онлайн-журнале The Wired в 2014 году на тему будущего цифровой экономики. Этот краткий материал содержит довольно простую мысль: если мы что-то способны измерить, это можно улучшить, а для измерения чего-либо необходимы данные. Следовательно, те компании, которые смогут выстроить максимально полную и эффективную систему сбора и анализа информации обо всех сферах своей деятельности, получат колоссальное конкурентное преимущество.
Данное положение справедливо не только в отношении анализа данных о внутренних процессах компании — KPI, ROI и прочие аббревиатуры, понимаемые каждым менеджером по-своему. Куда как полезнее «обмерять» пользователей. Чем лучше компания понимает изменения поведения клиента во время и после оказания услуг, тем совершеннее можно сделать продукт.
Сложно объяснить важность аналитики больших данных просто словами. Ее преимущества становятся очевидными, когда вы сами начинаете ее использовать. Например, ни один курс писательского мастерства не заменит автору нескольких часов глубокого анализа поведенческих факторов в Google Analytics или «Яндекс Метрике». Могут быть два вроде бы похожих текста, но имеющих совершенно разные показатели дочитываемости, отказов и удержания на странице. Глядя на их незначительные структурные и языковые отличия, проще всего осознать, как писать для конкретной аудитории. А чтобы исключить фактор случайности, необходимы сотни текстов и тысячи читателей.
Вытекает из этого следующее: большой объем данных представляет собой ценность, а информация об одном человеке – незначительна (если, конечно, она не содержит существенных отклонений). Поэтому сервисы мотивации не испытывают беспокойства относительно безопасности персональных данных отдельных пользователей. Главная цель любой компании, работающей с информацией – это сбор максимально возможного объема данных, чтобы, благодаря их анализу и при минимальных затратах, можно было улучшить свой продукт и стать незаменимым для клиентов в своей нише. В таком случае, даже если станет известно о регулярных утечках информации из компании, отказаться от ее услуг уже никто не сможет.
Существует принципиальное различие между традиционной нефтью и цифровой. В отличие от физической нефти, добываемой в недрах, мы не сможем извлечь прибыль из своих персональных данных. Однако вполне возможно частично вернуть контроль над ними и затруднить деятельность тех, кто извлекает выгоду из наших цифровых личностей.
Кибербезопасность — ПДД третьего тысячелетия
С самого детства мы учимся безопасно переходить дорогу и понимать сигналы светофора, и было бы неплохо прививать основы безопасного поведения в интернете с юных лет. Однако, часто приходится осваивать азы кибербезопасности уже во взрослом возрасте, что представляет собой сложную задачу. При этом, осознание необходимости таких знаний нередко приходит слишком поздно. Масштабы последствий, вызванных массовым игнорированием кибербезопасности и низким уровнем компьютерной грамотности, вызывают серьезную обеспокоенность. Среди них:
- эпидемия телефонного мошенничества, жертвой которого стал каждый шестой россиянин;
- повальные утечки личных данных из самых разных источников (жертва — каждый второй наш соотечественник);
- непрерывный рост в стране рынка «пробивов» (получения данных о конкретном человеке) и доступность этой «услуги»;
- нормализация киберсталкинга (преследования с помощью интернета и гаджетов), которая на законодательном уровне даже не считают преступлением или проблемой.
Существующая ситуация не воспринимается многими как серьезная проблема, и эксперты не определяют ее как конкретную область для исследований. В результате отсутствуют доступные и проверяемые источники информации по данной теме, а также четкая правовая основа и общественное давление, которое могло бы побудить органы исполнительной власти к ее решению и защите. Для того чтобы хотя бы в общих чертах представить всю полноту картины, потребуется не статья, а полноценное издание. Поэтому, без углубления в излишние подробности, определим ключевые направления возможных мер по защите цифровой идентичности.
С чего начать
Сперва рекомендуется оценить степень своей склонности к паранойе и имеющиеся возможности. Если ваша цель – полное сокрытие от всех, включая государственные структуры, потребуется значительное время, усилия и готовность осваивать информационные технологии. Специализированные и авторитетные источники, поиск которых можно рассматривать как первый этап на пути к этой цели, могут оказать существенную поддержку. Отказ от действий и сохранение текущего положения вещей – тоже допустимый выбор, и нет оснований его критиковать. Адаптивность всегда являлась ключевым эволюционным преимуществом человека. В данном случае речь идет о балансе между безопасностью и удобством, то есть сохранением привычного образа жизни. Ведь ни один защитный механизм не будет эффективен, если для его применения необходимо кардинально менять себя или тратить излишние ресурсы.
Даже при таком взвешенном подходе сначала потребуется определенная работа – необходимо составить перечень своих цифровых следов. Для этого можно использовать привычный табличный редактор и создать собственный профиль. В него следует внести известные аккаунты в социальных сетях, учетные записи на форумах, сайтах и различных сервисах. Потребуются усилия для вспоминания, но это оправдано – даже не самый активный пользователь интернета обнаружит, насколько хорошо знакомы сайтам его предпочтения и поведение. Всегда стоит внести в Google или «Яндекс» свое имя с фамилией, ники (в разных формах), номера телефонов и электронную почту, чтобы посмотреть, где они «светятся».
Особое внимание следует уделить информации, наиболее непосредственно связанной с конкретным человеком: номерам телефонов и адресам электронной почты. Обычно они служат основным идентификатором при регистрации на различных платформах. В списке цифровых следов, характеризующих личность, их удобно расположить в верхней части иерархии. Естественно, полученный документ необходимо защитить паролем и хранить исключительно локально, исключая использование облачных сервисов?
Необходимо привести в порядок все имеющиеся активы после проведения инвентаризации. Этот процесс потребует времени и усилий, однако он является обязательным. Некоторые аккаунты придется исключить, другие следует заполнить фиктивными данными, а часть информации необходимо удалить безвозвратно. Важно создать локальную копию контента и проверить ее работоспособность (некоторые сервисы предоставляют возможность скачивания архива данных, однако для извлечения информации потребуется повторная загрузка). План действий будет различаться в зависимости от конкретной ситуации, но в качестве примера можно привести следующий вариант:
- удалить все социальные сети, кроме тех, что активно используются;
- в них — оставить минимальный набор данных и контента (имя, ник, аватар);
- повторить для мессенджеров;
- провести ревизию всего, что связано с деньгами, вроде интернет-магазинов, площадок цифрового контента ( Steam, iTunes) и платежных сервисов;
- форумы, блоги, сайты знакомств и агрегаторы отзывов — аналогично соцсетям;
- все, что удалось найти от своей цифровой идентичности через интернет-поисковики, — смело под нож;
- сформировать новую структуру аккаунтов, подконтрольную и более безопасную (об этом ниже).
Определить, какую информацию следует удалить, а какую оставить, является индивидуальным решением каждого пользователя. Необходимо учитывать, что даже по одной фотографии можно установить место жительства человека (тем, кто сомневается, предлагаем попробовать поиграть в Geoguessr). И не забывать про «эффект Стрейзанд» — попытки ограничить доступ к информации способны лишь привлечь к ней интерес. Поэтому зачастую более эффективным решением будет изменить свою анкету на малоизвестном сайте, указав в ней нейтральные данные (например, имя и отчество «Иван Сергеевич Петров»), чем обращаться к администратору с запросом на удаление аккаунта.
Предупреждение: всякая деятельность выполняется на личную ответственность. Перед тем, как что-либо удалить, необходимо проанализировать, как это отразится на дальнейшей работе не только конкретного сервиса, но и других, с ним связанных.
Создание «себя» с чистого листа
Если предыдущий этап завершен или хотя бы начат, то сформировалась цифровая личность (в сочетании с интернет-идентичностью), а точнее – ее приблизительный профиль. Какие действия с ней возможны? Прежде всего, обладая данными для анализа, можно что-то совершенствовать. Таким образом, работа с информацией становится более продуктивной и позволяет осуществлять контроль. Например, это поможет защититься от нежелательного внимания, будь то преследование или вопросы со стороны сотрудников отдела кадров относительно ошибок в прошлом. Кроме того, на основе существующей цифровой личности можно генерировать новые, или даже несколько.
Необходимо структурировать эти данные, классифицируя их в зависимости от уровня конфиденциальности. Отдельный набор предназначен для банков и финансовых учреждений. Для него потребуется новый номер телефона (и адрес электронной почты), который не должен использоваться больше нигде. Чтобы избежать звонков от предыдущего владельца SIM-карты, рекомендуется обратиться в салон сотовой связи с небольшим потоком посетителей и запросить у сотрудника информацию о том, кому принадлежал номер в течение последних пяти лет. Такая проверка доступна даже сотрудникам первой линии обслуживания, и договориться об этом несложно, поскольку данная процедура не противоречит установленным протоколам безопасности, хотя и не является стандартной.
Вторая цифровая личность предназначена для онлайн-коммуникаций от имени пользователя и имеет собственный телефон и электронную почту. Она включает в себя социальные сети и мессенджеры. В идеале, для каждого сервиса лучше использовать отдельные номера и адреса, однако это не всегда удобно. Третья, обязательная в современном мире, — «мусорная» (желательно с вымышленными именем и ником). На нее регистрируются наименее важные ресурсы, такие как форумы и сайты, которыми пользуются эпизодически. Наконец, для непосредственного использования сотовой связи необходим четвертый телефон, контактный. И его ни в коем случае нельзя добавлять в предыдущие личности.
Несмотря на кажущуюся сложность, данная схема на практике оказывается более простой, чем может показаться. Она значительно улучшает защиту персональных данных. При ее использовании, даже располагая контактным номером телефона, невозможно определить социальные сети, мессенджеры и банковские аккаунты. Если же какой-либо сайт или служба доставки допустит утечку информации, в нее попадут фиктивные данные, не имеющие отношения к важным аккаунтам. Поддержание активности четырех сим-карт также не должно представлять значительной трудности, поскольку практически в каждом доме можно найти старый смартфон или телефон для звонков. Соблюдение нескольких несложных правил сделает управление несколькими цифровыми личностями зачастую даже удобнее, чем использование одной.
Азы кибербезопасности
Не стоит повторять очевидные вещи, например, говорить [наставническим тоном] о необходимости создавать сложные и уникальные пароли для каждого онлайн-сервиса. К сожалению, эти элементарные правила регулярно игнорируются большинством пользователей. Это объясняется тем, что люди склонны к лени, обладают ограниченной памятью и, в целом, ведут себя предсказуемо. Выходом из ситуации является использование менеджера паролей. На рынке представлено множество таких программ, и каждый пользователь может подобрать оптимальный вариант. Конкретные рекомендации мы давать не будем. Важно, чтобы приложение было кросс-платформенным (доступным как для компьютера, так и для мобильного телефона), поддерживало современные протоколы шифрования и прошло независимую проверку безопасности. Использование встроенных в браузер сервисов нежелательно.
Двухфакторная аутентификация является обязательной мерой безопасности в настоящее время. Она значительно повышает защиту аккаунтов в социальных сетях, мессенджерах и онлайн-сервисах. Даже если используются простые методы, такие как проверочные коды, отправляемые на электронную почту. А более надежные решения вроде Google Authenticator не только просты в использовании, но и поддерживаются огромным числом ресурсов.
Выбор браузера представляется наиболее сложной задачей. Независимо от того, какие действия мы предпринимаем с цифровой личностью, изменить один ее аспект пока не удается – это «куки» и цифровые отпечатки. В этой ситуации на помощь приходят сессионные контейнеры, которые являются расширениями для известных браузеров ( есть для Firefox, аналог для Chrome менее функционален и платный), которые изолируют открытые пользователем сайты друг от друга (не позволяют использовать одни и те же «куки», а также прочие идентификаторы). Можно просто использовать разные браузеры для разных целей и не забывать изучить их настройки приватности. Хорошей идеей будет установить блокировщики рекламы и нежелательных скриптов.
Без упоминания VPN и прокси материал был бы неполным. Правда, рекомендовать конкретные сервисы нынче опасно, могут взять на карандаш и включить в следующий раунд блокировок. Равно как и обсуждать необходимость их использования — у ответственных служб могут появиться вопросы уже к самому Naked Science. Напомним только главное правило: бесплатные сервисы — практически бессмысленны. Они лишь перепродают ваши личные данные. Исключением могут быть VPN от некоторых гражданских организаций, ставящих своей целью защиту свободы слова и других гражданских свобод, но они обеспечивают довольно низкую скорость и не везде доступны.
Цифровая гигиена
Повседневное изобилие разнообразной информации и ее легкая доступность формируют ощущение информационного шума. Создается впечатление, что вне зависимости от количества добавляемых фотографий, текстов, фраз, видео и прочих данных, они неизбежно потеряются в этом хаосе. Безусловно, значительная часть информации практически безвозвратно «теряется», однако современные технологии хранения и обмена данными предполагают их систематизацию. При наличии необходимых навыков найти можно практически все, хотя сложность этого процесса и увеличивается, но не становится невозможной. Сложности добавляет и эффект растормаживания в Сети — людям легче поддерживать связь на расстоянии, и они более склонны делиться информацией, которую не стали бы раскрывать при личном общении.
Новая реальность однозначно сформировала те условия, в которых мы пребываем. Можно и бороться с ними, а можно адаптироваться и извлекать выгоду. Главное – не пренебрегать мерами безопасности, а именно цифровой гигиеной. Со временем она станет общепринятой и войдет в привычный распорядок дня. Некоторое время назад люди сомневались в важности мытья рук, тела и влажной уборки жилища. Однако индустриализация привела к усилению взаимосвязей в обществе, что способствовало более быстрому распространению заболеваний. К счастью, наука объяснила причины их возникновения и способы простой профилактики. Необходимо было лишь внести небольшие коррективы в повседневные привычки.
С интернетом ситуация аналогичная. Изначально им оперировали лишь специалисты, обладающие необходимой квалификацией. Затем к нему присоединились широкие слои населения. Сегодня в сети можно найти практически любую информацию. Однако вместе с этим появилось огромное количество злоумышленников. Естественный отбор, можно сказать, подтолкнет людей к принятию мер безопасности.
Вместо заключения
Разбирающиеся в IT и кибербезопасности читатели, бесспорно, могут сказать, что материал получился неполным. И ряд нюансов в нем пришлось обойти стороной. Но это лишь очень краткий обзор невероятно важной в современном мире темы. Возможно, нам удастся пробудить интерес к ней среди тех, кто прежде об этом не задумывался. А углубленное изучение вопросов защиты личных данных — процесс долгий, интересный и полезный.
Полная анонимность в цифровую эпоху невозможна, а отказ от современных технологий сделает жизнь в XXI веке неудобной. Однако, используя достижения цивилизации, можно осознанно подходить к вопросам кибербезопасности и защите личных данных. По мере формирования полезной привычки можно углубиться в эту тему. И тогда несложно будет достичь всеобщей компьютерной грамотности.