За пять лет существования социальных сетей в Рунете миллионы пользователей прониклись к ним не просто любовью, но порою настоящей зависимостью. Вот только стремление отчитываться перед миром о подробностях своей личной и профессиональной жизни отнюдь не всегда сопровождается размышлениями о том, чем подобная откровенность может обернуться. С вопросом, почему о некоторых вещах в социальной сети лучше умалчивать, мы обратились к экспертам в области информационной безопасности.
Моя сеть - моя крепость
В основе многих бед лежит иллюзия, что жизнь в социальной сети абсолютно приватна. Это не так. "Все персональные данные, которые прошли сквозь Сеть, можно оттуда достать", - предупреждает главный аналитик компании InfoWatch Николай Федотов. Правда, успокаивает он, большая часть данных рядовых пользователей вряд ли кого-то заинтересует: "Из вашей фамилии, адреса, фотографии, истории болезни и списка сексуальных партнеров невозможно добыть деньги. Нерентабельно для злоумышленников. Поэтому большинству пользователей переживать за такие персональные данные не стоит. Исключение составляет следующая информация: номер и другие атрибуты банковской (платежной) карты; логин-пароль к интернет-банку или аккаунту иной платежной системы; доступ к учетной записи популярной онлайновой игры или интернет-казино. В общем, ресурс, который можно не просто обратить в деньги, а быстро продать на черном рынке".
Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов считает иначе: "Фотографии, номера телефонов, ссылки о себе на сторонних ресурсах очень часто позволяют однозначно идентифицировать пользователя социальной сети и найти его в реальной жизни. Степень опасности может варьировать от получения квитанции на оплату коммунальных услуг с поддельным счетом до нанесения телесных повреждений обиженным в интернете пользователем". Известны случаи, когда, упомянув в социальной сети об отъезде в отпуск, люди затем находили свои квартиры ограбленными, а договорившись о встрече с "симпатичной девушкой", имели дело с судебным приставом, добавляет вице-президент Ассоциации профессионалов в области информационной безопасности RISSPA Евгений Климов.
"Не секрет, что многие банковские службы безопасности в России через сети проверяют потенциальных кандидатов на получение крупных кредитов, - предупреждает управляющий розничными продажами G Data Software в России и СНГ Роман Карась. - Имелся ряд случаев, когда кандидату на высокую должность отказывали по той причине, что он оказывался "болтлив" на страницах социальных сетей и выкладывал там данные, составляющие коммерческую тайну о предыдущем работодателе. Часто сведения, полученные при проверке кандидата в социальных сетях, не соответствовали написанному в его резюме, предоставленном работодателю, и припертые к стенке данными из Интернета кандидаты в результате проваливались на собеседовании".
Рассказы о себе в социальной сети могут привести и к другим неприятностям. "Чаще всего исчерпывающая информация в социальных сетях используется для целенаправленной рассылки спама, - говорит заместитель директора департамента продуктов и услуг компании LETA Евгений Царев. - Нередко злоумышленники используют социальные сети для получения конфиденциальной информации, представляясь, например, близким родственником или другом. Поэтому первая распространенная ошибка пользователей социальных сетей – это предоставление исчерпывающей информации о себе, включая номера телефонов, электронной почты, Skype, места работы или жительства и т. д". По его словам, социальные сети сами часто провоцируют пользователей на разглашение различных сведений в обмен на повышение рейтинга, чтобы затем целенаправленно распространять рекламу.
"Кстати, нужно понимать, что чем больше у вас 'друзей', тем больший интерес вы представляете для тех, кто взламывает аккаунты популярных пользователей и рассылает от их имени спам", - предупреждает Царев. Как это происходит, объясняет руководитель департамента аналитики и коммуникаций Trend Micro Рик Фергюсон: "Для взлома страниц в социальных сетях киберпреступники используют разные средства: зараженные профили, вредоносные приложения, фальшивые рекламные объявления, захват доменов, спам, фишинг, замаскированный под уведомления социальной сети, сбор информации через членство в группах, межсайтовый скриптинг (XSS-уязвимости). А новым пользователям злоумышленники могут даже отправлять прямые сообщения. Для жертвы все это может иметь самые разные последствия: кража личных данных, заражение компьютера вирусом или перспектива стать исходной точкой для атак на других пользователей".
Наконец, отметим, что в России и за рубежом складывается судебная практика, согласно которой комментарии, оставленные на страницах в социальных сетях, считаются публичными. Так, в 2008 году французский суд подтвердил обоснованность увольнения за "призывы к бунту" сотрудников компании, которые в Facebook договорились сделать жизнь начальства "невыносимой". О заговоре стало известно, так как страницы несостоявшихся бунтовщиков были открыты для просмотра "друзьям друзей". В России можно припомнить приговор музыканту Савве Терентьеву за возбуждение ненависти и вражды к милиции в комментарии, оставленном им в "Живом журнале".
Кроме того, у нас ведутся споры о том, как будет работать федеральный закон "О персональных данных", в соответствии с которым для распространения персональных данных (в том числе биометрических) необходимо письменное разрешение их владельцев. Правда, этого не требуется в случае, когда осуществляется "обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных". Но вопрос о том, насколько публикация, скажем, фотографии пьяного друга относится к вашим личным нуждам и не нарушает его права, остается открытым.
Болтун - находка для шпиона
Излишняя словоохотливость в социальных сетях может повредить не только пользователям, но и компаниям. "Трудно, конечно, представить себе, что в Facebook будут слиты закрытые финансовые отчеты корпорации. Но даже легкий намек на планируемую сделку, которая давно и с трудом готовится отделом продаж, может запросто ее сорвать, - рассказывает ИТ-директор "Смарт Лайн Инк" Сергей Вахонин. - Известен случай, когда из-за обычной фотопубликации встречи в ресторане сорвалась крупная сделка между российской и японской компаниями".
"Иногда сотрудники по неосторожности публикуют на своих страничках в социальных сетях конфиденциальную информацию. Для компании такие "выбросы" могут привести к серьезным последствиям, например, к падению цен на акции, - отмечает Царев. - Кроме того, некоторые социальные сети создают зашифрованный канал между пользователем и самим ресурсом, что может помочь нелояльным сотрудникам вывести конфиденциальную информацию незаметно для средств защиты".
Евгений Климов считает, что риск утечки информации через социальные сети надуман: "Реализация существующих сервисов не позволяет производить передачу данных большого объема, а современные DLP-решения умеют выделять трафик социальных сетей. Кроме того, есть и более "удобные" методы переноса информации". Опасность он видит скорее в высокой скорости распространения информации в сетях, превращающей их в мощнейший инструмент информирования или дезинформирования: "Интеграция сервисов настолько велика, что информация, опубликованная, к примеру, в Twitter, через считанные секунды окажется в Facebook, LiveJournal и подобных им сетях. Организовать последующий запрет публикации недостоверных и нежелательных сообщений в большинстве случаев невозможно, равно как и установить автора публикаций".
"Несмотря на активное вовлечение служб физической и информационной безопасности, разместить нежелательные для бизнеса сведения сотрудник может без особой сложности - для этого достаточно покинуть пределы офиса", - замечает ведущий технический консультант Trend Micro в России и СНГ Николай Романов. Еще большую угрозу для активов компании представляет, по его словам, получение при помощи ее сотрудников доступа к данным, составляющим конкурентное преимущество: "Третьи лица будут целенаправленно привлекать отдельных сотрудников компании для тех или иных задач (чаще всего в цепочке участвует несколько человек из разных департаментов). И вот здесь как раз социальная сеть может стать одним из этапов вовлечения и сбора данных. Не всегда, конечно, сотрудник может стать соучастником осознанно - социальная инженерия может быть весьма действенной даже для вполне благонадежных кадров".
Так могут ли компании предотвратить публикацию в социальных сетях нежелательной информации? Вахонин считает, что защита должна включать в себя три обязательных элемента: четкий инструктаж сотрудников о принятых в компании правилах информационной безопасности, внедрение DLP-системы и повышение лояльности работников. Заметим, что в ходе глобального исследования, проведенного в 2010 году компанией PricewaterhouseCoopers, всего 36% респондентов сообщило, что их организация контролирует информацию, размещаемую на внешних ресурсах и в социальных сетях, и только 23% компаний приняли политики безопасности для контроля и мониторинга публикаций сотрудников в социальных сетях.
Оганизациям стоит также иметь в виду, что злоумышленники могут взламывать корпоративные страницы в социальных сетях, подменяя на них информацию для нанесения репутационного вреда и рассылая спам от лица компании, - предупреждает глава российского представительства компании ESET Михаил Дрожжевкин. "Еще одной угрозой можно назвать вскрытие интегрированных в социальные сети интернет-магазинов, с помощью чего может производиться перехват платежных транзакций. Кроме того, одним из возможных рисков для компании может стать нахождение злоумышленниками уязвимостей в местах стыка корпоративного сайта с соцсетями для получения доступа к корпоративным ресурсам компании, - сообщает он. - Правила интернет-безопасности достаточно просты и применимы не только к домашним пользователям, но и к компаниям: необходимо посещать только проверенные ресурсы в интернете; наличие антивирусной защиты должно быть неотъемлемой частью вашего компьютера; нужно внимательно относиться к поступающим письмам и сообщениям, даже от хорошо знакомых вам людей".
Исследовательский центр рекрутингового портала Superjob.ru выяснил, что, размещая записи в соцсетях и блогах, только 37% экономически активных россиян, пользующиеся Интернетом, задумываются о том, как на это отреагирует потенциальный работодатель. По словам опрошенных, они отдают себе отчет в том, что их активность в сети может быть неправильно понята работодателем. Некоторые при этом блокируют содержимое страничек от просмотра посторонними лицами, другие размещают записи анонимно, третьи не публикуют ничего личного. Интересно, что мужчины осторожничают несколько чаще женщин: то, что с размещаемой ими в Интернете информацией могут ознакомиться представители компаний, учитывают 39% из них (против 35% среди дам).