Гайд по информационной безопасности. Как не скачать опасное приложение, зачем разработчикам ваши персональные данные и кто взламывает умные холодильники

По данным StatCounter за ноябрь 2022, 71,91% пользователей в мире предпочитают операционную систему Android и лишь 27,49% — iOS. Широкое распространение Android и её открытый код делают эту ОС более уязвимой и подверженной киберугрозам. Отчёт ESET за 2019 год неутешителен — 99% вредоносных мобильных программ нацелены на Android-устройства, а каждая десятая атака скрытой слежки приходится на пользователей Android из России. Пользователям iOS тоже стоит быть начеку — мошеннического ПО для этой операционной системы меньше, но от утечки персональных данных всё же не застрахован никто.

Спросили нашего офицера информационной безопасности Сергея Куркина о том, как обезопасить себя от киберугроз, отличить безопасное приложение и не слить персональные данные в руки злоумышленников. Читайте советы в статье.

Как не скачать вредоносное ПО

К сожалению, даже официальные магазины приложений вроде Google Play, App Store и AppGallery могут пропустить сомнительное приложение. Площадки серьёзно подходят к безопасности и подписывают с разработчиками договоры, однако существуют схемы их обхода. Сначала разработчик выполняет все требования магазина, а затем, охватив достаточно большую аудиторию, начинает нарушать правила: собирает данные пользователей без их согласия, вводит платные функции без предупреждения или выпускает обновление с вирусом.

Вот на что стоит обратить внимание при установке приложения:

• Всё же скачивайте ПО только из официальных сторов. Так опасность наткнуться на мошенников гораздо меньше.
• Посмотрите на количество скачиваний. Приложение, которое скачали миллионы пользователей, с большей вероятностью будет безопасным, чем новая программа с небольшим количеством установок. Разработчики популярных приложений дорожат репутацией.
• Не пренебрегайте рейтингом. В оценках пользователей всегда есть доля субъективности, но у зловредного приложения рейтинг всё же вряд ли будет высоким.
• Потратьте время на изучение комментариев. Не обязательно просматривать все — обратите внимание на свежие отзывы в открытых источниках. Если в последнее время разработчик выкатил подозрительное обновление, вы точно узнаете об этом. Красный флаг — повторяющиеся комментарии о подозрительных действиях.

Зачем приложениям персональные данные

Идея о том, что безопасное приложение никогда не запрашивает доступ к персональным данным — это миф. Практически всем приложениям необходим доступ к тем или иным функциям вашего смартфона и информации о вас.

Такси и службам доставки нужна ваша геолокация, мессенджерам — список контактов, соцсетям — доступ к фото. Это логично — без таких данных приложения не смогут полноценно работать. Стоит быть внимательнее, если геолокация нужна, например, мобильной игре, а контакты — приложению, которое показывает, как вы записаны в телефонах других людей. РОЦИТ предупреждает — это небезопасно, доступ таких приложений к персональным данным стоит блокировать.

Когда пользователь устанавливает Кошелёк, он принимает условия пользовательского соглашения. В пунктах 6, 6.1, 8, 8.1, 9, 9.2 фигурирует информация о том, что приложение может делать с персональными данными. Кошельку нужны эти данные, чтобы через партнёров выпускать пользователю карты лояльности. Если пользователь не предоставляет такие данные, он не может зарегистрироваться в приложении. Например, это невозможно сделать без номера телефона.

Мы опросили пользователей Кошелька о базовой безопасности в интернете и узнали, что:

• 28,9% респондентов не используют двухфакторную аутентификацию даже в банковских приложениях. Не осуждаем, но всё же рекомендуем включить.
• 58,2% опрошенных не готовы делиться в интернете никакими персональными данными, в том числе ФИО и номером телефона.
• Наибольшее доверие среди приложений вызывают банки — своими данными с ними готовы делиться 36,8% пользователей Кошелька.

Как обезопасить смартфон от утечки персональных данных

Даже если вы следовали нашей инструкции и внимательно скачивали только известные приложения с отличными отзывами из официальных магазинов, это не гарантирует полной безопасности. Тотальной защиты от киберугроз в наше время не гарантирует даже полный отказ от телефона и компьютера — хакеры научились взламывать умные холодильники.

Однако всё же есть несколько советов о том, как обезопасить устройство:

• Регулярно обновляйте программное обеспечение. Это касается и антивирусов, установленных на смартфоне, и ПО самого устройства. У операционных систем случаются прорехи в безопасности (например, в одной из версий iOS была критическая уязвимость* — над устройством можно было получить контроль через общедоступные Wi-Fi-сети). Как только они обнаруживаются, разработчики стараются как можно скорее решить эту проблему в новой версии ОС.

*Статья специалиста по информационной безопасности и участника программы Google Project Zero Яна Бира

• Используйте сложные пароли, особенно в приложениях, которым вы доверяете свои персональные данные. Лучше всего использовать пароль из 8 и более символов: цифр, строчных и заглавных букв, специальных символов. Пароли «password» и «qwerty123456» — не лучшая идея.
• Настройте двухфакторную аутентификацию там, где это возможно. Помимо пароля, приложение будет запрашивать подтверждение входа с помощью сохранённого кода, смс или звонка. Время, затраченное на вход в приложение, увеличится, но лучше потратить пару лишних секунд на ввод кода из смс, чем за ту же пару секунд потерять все деньги с карты.

Сергей Куркин, офицер информационной безопасности приложения «Кошелёк»: «В Кошельке реализована двухфакторная аутентификация. При входе приложение запрашивает либо секретный код, либо биометрию — отпечаток пальца или Face ID».

Как настроить защиту входа в Кошельке:

1. Найдите в настройках приложения пункт «Безопасность».
2. Придумайте и введите четырёхзначный код для входа в приложение.
3. Добавьте распознавание лица или отпечатка пальца.

Какие документы защищают персональные данные россиян

Кошелёк, как и другие приложения, которые имеют доступ к персональным данным пользователей, обязан соответствовать документальным требованиям безопасности.

Прежде всего это Федеральный закон №152-ФЗ «О персональных данных». Он касается обработки, хранения и доступа к персональным данным россиян. Например, согласно этому закону, у приложения есть 30 дней, чтобы удалить аккаунт пользователя, если от него поступил такой запрос. В некоторых случаях, предусмотренных законом №266-ФЗ, этот срок сокращается до 10 дней.

Помимо Федерального закона №152-ФЗ «О персональных данных» существует более 40 нормативных актов и стандартов, затрагивающих вопросы обеспечения защиты персональных данных в информационных системах персональных данных. В том числе и нормативные акты отдельных сфер деятельности, например, банковского сектора.

Какие технические меры защиты персональных данных используют приложения

Защита данных на бумаге — это, конечно, хорошо, но должны быть и какие-то технические меры. Они есть и их много: разделение доступов, резервное копирование, мониторинг, контроль целостности, тестирование, двухфакторная аутентификация, которую мы настоятельно советовали включить парой абзацев выше, и это не всё.

Например, постоянный цикл сканирования уязвимости. Происходит сканирование — допустим, в ходе него нашли уязвимость. Дальнейшие действия зависят от критичности по эксплуатации: если уязвимость критичная, её устраняют экстренно, если минимальная — решение об устранении можно отложить. Как только опасность ликвидирована, тут же происходит повторное сканирование, чтобы убедиться в том, что всё сделано правильно.

Сергей Куркин, офицер информационной безопасности приложения «Кошелёк»: «В Кошельке реализованы разные меры технической защиты данных. Среди них есть разделение доступа, которое предполагает, что каждый пользователь заходит в Кошелёк под своей учётной записью, а каждый сотрудник нашей компании имеет доступ только к тем ресурсам, которые необходимы ему по должностным обязанностям. Если возникает малейшее подозрение на мошенничество, мы оперативно собираем рабочую группу, расследуем инцидент, выявляем уязвимость и предупреждаем её».

Безопасно ли пользоваться платёжными сервисами

Казалось бы: данные банковской карты лучше лишний раз вообще никому не сообщать, однако платёжные сервисы (Koshelek Pay, Google Pay, Mir Pay и др.) — исключение.

Дело в том, что оплата через платёжные системы работает как защитный шлюз для денег. При взаимодействии между платёжным сервисом, клиентом и магазином данные покупателя шифруются. Так происходит при оплате с помощью QR-кода СБП в Кошельке.

Сергей Куркин, офицер информационной безопасности приложения «Кошелёк»: «Даже если платёжную сессию перехватят злоумышленники, они не увидят там ничего ценного — все платёжные данные в Кошельке зашифрованы. Платежи не проходят напрямую через Кошелёк — мы только храним и обрабатываем реквизиты банковских карт».

Как Кошелёк гарантирует защиту платежей

Так как Кошелёк хранит и обрабатывает банковские карты, приложение обязано соответствовать стандартам PCI DSS и выполнять требования Центробанка по ГОСТу 57580.

Контроль по этим стандартам проходит жёстко — внешний аудитор со специальной лицензией проверяет, соответствует ли инфраструктура Кошелька всем разделам стандартов. Аудитор внимательно проводит анализ внутренней нормативной документации и всех вводных данных. Затем приступает к проведению внешних и внутренних тестирований на проникновение. В итоге получается несколько довольно толстых отчётов, которые нужно составлять ежегодно, чтобы получить свежий сертификат.

Сергей Куркин, офицер информационной безопасности приложения «Кошелёк»: «PCI DSS — это стандарт обеспечения защиты платёжных карт и операций. В этот ежегодный аудит входит разграничение доступа, защита доступа, в том числе и физическая — видеонаблюдение, срок хранения архивов, защита среды виртуализации, защита от вредоносного кода, защита мобильных девайсов. Если мы выполняем эти требования и набираем необходимую оценку, нам выдаётся сертификат о том, что мы соответствуем, обеспечиваем необходимый уровень защиты».

Подытожим

Вот что вы можете сделать, чтобы избежать утечки данных через телефон и обезопасить себя от киберпреступников:

1. Скачивайте приложения из официальных сторов. Это безопаснее, чем загрузка пиратского ПО.
2. Следите за тем, какие приложения вы устанавливаете. Обращайте внимание на количество скачиваний в магазине, рейтинг и комментарии.
3. Регулярно обновляйте ОС и приложения. Если разработчик выявит в системе ошибку, он постарается как можно быстрее исправить её в новой версии ПО.
4. Используйте сложные пароли и двухфакторную аутентификацию. Это банальные, но надёжные способы обезопасить устройство.
5. Используйте платёжные сервисы (Koshelek Pay, Google Pay и т. д.) вместо оплаты картой там, где это возможно. Данные в них шифруются и работают как защищённый шлюз для платёжной информации.
6. Обращайте внимание на то, кому и какие персональные данные вы предоставляете. Не делитесь контактами, фотографиями и геолокацией с сомнительными приложениями, которым вы не доверяете.