Як захистити себе від втрати даних: інтерв’ю з Team lead DevOps про основи безпеки

У сучасному світі, де майже всі аспекти життя пов’язані з інтернетом, кібербезпека стала важливою частиною нашої реальності. Заволодівши особистими даними необережних користувачів, зловмисники спустошують банківські рахунки, оформлюють на ім’я жертв кредити або виманюють гроші у контактів у месенджерах чи соцмережах. 

Як захистити свої дані та акаунти від кібератак? Про це ми запитали в Івана Сухоряби, DevOps Team Lead Portmone. З інтерв’ю ви також дізнаєтеся про генерування надійних паролів, алгоритм дій у разі злому облікового запису та інші способи, що допоможуть убезпечити себе від шахрайства.

Основи інтернет-безпеки

Які першочергові кроки з захисту акаунтів і пристроїв ви порадите здійснити всім користувачам?

Рекомендую всюди увімкнути двофакторну аутентифікацію (2ФА). Не має значення, буде це SMS, дзвінок чи застосунок на кшталт Google Authenticator. Додатковий захист крім пароля — важливий крок у підвищенні безпеки в інтернеті.

Чому двофакторна аутентифікація вважається одним з найефективніших заходів безпеки?

2ФА занадто ускладнює сторонній доступ. Для злому акаунту зловмисникові необхідно здійснити чимало додаткових дій, навіть якщо він точно знає пароль. Його використання не приносить бажаного результату або витрати часу стають не співмірні з можливою вигодою від злому.

Іван Сухоряба, DevOps

Захист даних та акаунтів

Як користувачі можуть перевірити, чи не потрапили їхні паролі в мережу?

Чудовим інструментом для моніторингу паролів і своєчасної їхньої заміни є менеджер паролів Google. У разі зберігання паролів у системі Android або в браузері Chrome ви можете зайти в менеджер, де система одразу повідомить про потрапляння конфіденційної інформації у відкриті бази даних. Такі сервіси як Google часто «купують» подібні бази на чорних ринках і додають у свої мережі для автоматичного визначення та повідомлення користувачів про можливий витік їхніх паролів. 

Іван Сухоряба, DevOps

Як часто потрібно перевіряти список авторизованих пристроїв і застосунків? Чому це важливо?

Якогось чіткого рецепта я не маю, втім, раджу проводити таку перевірку не рідше ніж раз на 3 місяці. Що треба робити? Основні системи, якими ви користуєтесь, слід моніторити на предмет появи сторонніх невідомих вам пристроїв.  Уявімо, що ви працюєте в Києві, а живете в Броварах. На компʼютері з ОС Windows серед під’єднаних пристроїв виявляєте невідомий на ОС Android з Хмельницького. У такому разі пристрій треба видалити якомога швидше та змінити пароль.  Рекомендую зв’язатися з підтримкою сервісу і попросити надати логи або список дій, зроблених не з вашого пристрою. Це дасть можливість зрозуміти, що саме намагався зробити зловмисник. Небезпека авторизації через соцмережі або сторонні акаунти

Іван Сухоряба, DevOps

Як працює «нульова довіра» (Zero Trust) і чому вона є важливою для безпеки користувача?

На відміну від традиційних підходів, де доступ до ресурсів надається на основі довіри до внутрішньої мережі, Zero Trust передбачає, що жоден користувач або пристрій не має бути автоматично визнаним надійним, навіть коли він знаходиться всередині корпоративної мережі. Особисте знайомство з користувачем ще не означає, що саме він звернувся до вас зараз.  Це актуально для поштових ресурсів та месенджерів. Часто саме через месенджери розсилаються повідомлення на кшталт «Скинь 500 гривень, дуже треба». Багато хто скидає гроші зловмисникові, а користувач, від імені якого надсилається повідомлення, навіть не знає про це. Тож не довіряйте, зателефонуйте людині особисто. На які ризики наражаються користувачі, коли авторизуються через сторонні сервіси, наприклад, через Telegram або соцмережі? Зараз є багато сервісів, в яких можна авторизуватися за допомогою Google чи Telegram. Це дуже зручно і безпечно. Водночас є і шахрайські майданчики, що авторизуються в системі, через яку користувач намагається увійти. 

Іван Сухоряба, DevOps

Як це виглядає на практиці? Якщо вам надають посилання, за яким вам необхідно перейти та ввести дані від свого акаунту Google чи Telegram, а після ще і запитують код з SMS, вас точно намагаються зламати. 

Поведінка в разі злому акаунту

Користувач підозрює, що його акаунт зламано. Якими мають бути його подальші дії?

1. У будь-якій незрозумілій ситуації змінюємо пароль.
2. У налаштуваннях перевіряємо, які ще пристрої підключенні до акаунту. 
3. Видаляємо всі пристрої, крім поточного, з якого проводимо вищевказані дії.
4. Встановлюємо 2ФА для входу в акаунт.

Які кроки можуть допомогти відновити контроль над акаунтом і зменшити ризик для інших підключених сервісів?

Вказані вище дії допоможуть відновити доступ. Якщо він втрачений зовсім, слід зв’язатися з техпідтримкою та розповісти, що трапилось. Для повернення контролю доведеться пройти перевірку та підтвердити, що це саме ваш акаунт. Якщо перевірка займає багато часу, на період її проведення попросіть заблокувати дії в обліковому записі. 

Іван Сухоряба, DevOps

Поради щодо створення надійних паролів

Як правильно генерувати та зберігати паролі для різних сервісів?

Популярні браузери пропонують використовувати автоматично згенеровані паролі, які відповідають вимогам щодо надійності. Класична рекомендація — не менше 12 знаків у різному регістрі (великі та малі букви), цифри та спеціальні символи. Раджу зберігати паролі не в електронному вигляді та записувати їх на аркуші.  Для створення паролів, які ви захочете вводити вручну, я рекомендую придумати фразу, наповнити її цифрами та спецсимволами й використовувати цю комбінацію лише на одному сервісі.

Іван Сухоряба, DevOps

Наприклад:

Слава Україні!
1Ck@d@#91Erhf]ys!

Фраза українською написана в англійській розкладці. У першому слові всі букви «а» замінені на @, на початку додано цифру 1, а замість пробілу використано комбінацію #91. На перший погляд, усе це складно, але головне — запам’ятати алгоритм, який ви вклали у створення пароля.

Практичні поради з інтернет-гігієни

Які ще кроки допоможуть користувачам убезпечити себе від шахрайства?

Регулярно чистьте і видаляйте всі пристрої, крім того, через який здійснюється перевірка. Звертайте увагу на авторизовані боти чи застосунки, як, наприклад, це є у Google. Не соромтеся відкликати дозволи, що особливо актуально для мобільних телефонів. Якщо ви видалите якийсь потрібний дозвіл чи доступ на якомусь з ресурсів, сервіси попросять його знову. Так у вас буде чітке розуміння, для чого вам ті боти, застосунки чи розширення.

Іван Сухоряба, DevOps

Як ставитися до потенційно шкідливих застосунків і як визначити, чи додаток має доступ до критичної інформації?

Не використовуйте такі сервіси😉 Регулярно перевіряйте дозволи. Дуже дивно, коли застосунок з рецептами просить дозвіл на SMS-розсилку. Звертайте на це увагу.

Щодо доступу до критичної інформації відзначу кілька важливих тригерів. Це доступ до:

• банківської інформації;
• геолокації;
• персональних даних. 

Завжди використовуйте підхід нульової довіри. Якщо застосунок просить щось із зазначеного вище, будьте особливо пильними.

Сподіваємося, що практичні заходи інтернет-безпеки, якими поділився наш експерт Іван Сухоряба, стануть вам у пригоді та допоможуть надійно захистити акаунти та особисті дані. Нагадаємо, що у 2024 році з метою протидії шахрайству у віртуальному просторі в Україні стартувала організована НБУ і Держспецзв’язку кампанія з платіжної безпеки #КібербезпекаФінансів, інформаційним партнером якої стала Portmone. 

Щоб отримувати більше корисної інформації про безпеку в мережі, а також одними з перших дізнаватися про новини у світі фінансів, стежте за матеріалами нашого блогу і підписуйтеся на розсилку Portmone.