Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита от сбора данных

Безопасный веб-серфинг: как защитить свои личные данные

Рассказываем о последнем обновлении «Защиты от сбора данных» и объясняем, как пользоваться этим инструментом.

Каждый раз, когда вы ищете что-то в Интернете, покупаете товары онлайн или посещаете любимые блоги и новостные сайты, за вами остается цифровой след. По отдельности все эти сведения кажутся неважными, но стоит собрать побольше таких данных — и из них сложится подробное досье, описывающее ваши привычки и предпочтения.

Кому нужна эта информация и зачем им собирать мои данные?

Чаще всего сбором данных занимаются для продвижения товаров — данные о людях нужны, чтобы создавать точные и более эффективные рекламные кампании. Поисковые данные собирают, чтобы потом продать их организациям, специализирующимся на рекламе. Ну а в некоторых случаях вообще неясно, зачем тот или иной веб-ресурс собирает данные, где хранит и кому продает.

В конфиденциальность уже не верят: люди уверены, что «маркетологи так или иначе доберутся до приватных данных» — http://t.co/dyc9L8ieca

— Kaspersky Lab (@Kaspersky_ru) June 11, 2015

Если вспомнить о популярной сейчас модели BYOD (Bring Your Own Device — «принеси свое устройство»), которая подразумевает, что сотрудники могут работать над задачами компании с личных устройств, эта проблема становится еще сложнее. Ведь в этом случае открывается большой простор для слежки за конкурентами. Сотрудник приходит в офис с личным незащищенным ноутбуком и оставляет различимый цифровой след, который легко может вывести шпиона-конкурента к важным корпоративным данным.

Но так быть не должно. В конце концов, именно пользователи, а не интернет-корпорация или владельцы сайта должны решать, делиться им своими данными или нет.

Защита от сбора данных: новая функция в продуктах Лаборатории Касперского 2016 года — https://t.co/hOHPS8eM3T pic.twitter.com/gJmNtfNb3S

— Kaspersky Lab (@Kaspersky_ru) December 8, 2015

Проблема в том, что сделать это не так легко. Да, вы можете включить функцию Do Not Track («Не отслеживайте меня») в своем браузере, но веб-ресурсы в основном ее игнорируют. Эта функция работает скорее как просьба о сохранении конфиденциальности, а не как инструмент по защите личных данных. Во многом она напоминает крик одинокого прохожего в темном переулке: «Пожалуйста, не забирайте мои деньги!»

Это грустно, как же я могу защитить себя от интернет-слежки?

Наши эксперты создали специальный инструмент, защищающий вас от шпионажа в Сети. Если вы используете Kaspersky Internet Security 2016 или Kaspersky Total Security 2016, просто следуйте этим инструкциям.

1. В левом нижнем углу выберите «Настройки» (традиционная иконка в виде шестеренки).

2. Откройте вкладку «Защита», затем — «Защита от сбора данных».

3. Выберите «Блокировать обнаруженные запросы».

Вот, собственно, и все: вы только что включили мощный защитный инструмент, который не позволит веб-сайтам шпионить за вами.

Нет предела совершенству

Напоследок хорошие новости: несколько дней назад аналитики «Лаборатории Касперского» усовершенствовали технологию антислежки. С этим обновлением они решили следующую проблему.

В некоторых случаях, когда пользователь кликает по особо хитрой ссылке, сайт передает собранные о нем данные на целевой сервер. Конечно же, это происходит без какого-либо вопроса «А можно ли?» или предупреждения. Но теперь пользователи наших продуктов защищены от этого хитрого трюка: компонент «Защита от сбора данных» анализирует все ссылки, по которым кликает пользователь, и удаляет из них всю лишнюю информацию.

Давайте подробнее разберемся, как это работает.

Например, вы находитесь на веб-сайте example.com и кликаете по гиперссылке, которая должна привести вас на другой сайт — helloworld.com. Казалось бы, все должно быть просто. Но на самом деле во многих случаях такая ссылка будет выглядеть примерно вот так:

http://example.com/track?utm_source=mycampaign&uid=abc12345x&cs=http://helloworld.com/&city=London

Ссылка состоит из адреса той страницы, где вы находитесь; после него следует набор данных, который программисты называют «строкой запроса». Именно она передается на целевой сервер для последующего анализа. В этих строках может прятаться масса информации, которая интересует маркетологов. К примеру, данные о вас могут быть закодированы одним-двумя символами — и они расскажут, по какой ссылке вы перешли на сайт, в какой стране и городе вы находитесь и так далее и тому подобное.

Если по ссылке видно, что веб-ресурс хочет передать личные данные на целевой сервер (в примере выше он выглядит как http://helloworld.com/), наш защитный компонент принимает меры и удаляет из нее все лишние данные.

Причем все это происходит незаметно для пользователя и не замедляет скорость загрузки страницы. С этим обновлением «Защита от сбора данных» становится наиболее эффективным инструментом против интернет-слежки во всем мире.

Последние 10 советов от нас в этом году: как защитить личные данные в Интернете — https://t.co/sbBokmYSs7 pic.twitter.com/qlc82WzkQF

— Kaspersky Lab (@Kaspersky_ru) December 30, 2015

10 советов по защите личных данных в Интернете

Десять советов, как не сделать свою личную жизнь в Сети достоянием общественности.

Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.

1. Проверьте настройки конфиденциальности в социальных сетях

Все мы волей-неволей храним в соцсетях немало личной информации — и если вы используете настройки по умолчанию, то значительную часть этих данных может видеть буквально кто угодно. Поэтому обязательно проверьте настройки конфиденциальности во всех соцсетях, которыми пользуетесь. Что стоит показывать всем подряд, а что могут видеть только ваши друзья (или вообще никто, кроме вас) — должны решать вы, а не Марк Цукерберг.

  • Измените настройки конфиденциальности в соцсетях. Вот как сделать это в Facebook, ВКонтакте, Одноклассниках, Twitter, LinkedIn и Instagram.
  • Время от времени соцсети изменяют настройки, так что иногда проверяйте, не появилось ли что-то новое. Например, недавно во ВКонтакте добавили запрет поиска вашего профиля по номеру телефона — полезная настройка, рекомендуем.

2. Не используйте общедоступные хранилища для личных данных

Случайно выдать лишнюю информацию можно не только через социальные сети. Например, не стоит хранить конфиденциальные данные в онлайн-службах, предназначенных для обмена информацией. Например, Google Документы — не лучшее место для файла с паролями, а сканы паспорта не надо выкладывать на Dropbox (разве что предварительно упаковав их в зашифрованный архив).

  • Не используйте для хранения личных данных файлообменники и сервисы для совместной работы.

3. Защитите себя от веб-слежки

Когда вы заходите на сайт, ваш браузер сообщает ему много всего интересного о вас и о том, какие сайты вы посещаете. С помощью этой информации специалисты по маркетингу составляют ваш профиль и показывают вам адресную рекламу. Режим инкогнито от такого отслеживания на самом деле не защищает — для этого надо использовать специализированные инструменты.

  • Чтобы избежать слежки в Интернете, используйте Защиту от сбора данных в Kaspersky Internet Security.

4. Не сообщайте свою основную электронную почту и номер телефона всем подряд

Что будет, если всегда и везде указывать свой электронный адрес и номер телефона? Тонны спама в почтовом ящике и сотни автоматических звонков во входящих вызовах, вот что. Даже если приходится оставлять контактные данные интернет-сервисам и онлайн-магазинам, уж по крайней мере не стоит давать их случайным людям в социальных сетях. Еще лучше создать отдельный «мусорный» почтовый ящик, который не жалко будет удалить. В идеале хорошо бы иметь и отдельный номер телефона для таких случаев.

  • Зарегистрируйте дополнительный адрес электронной почты и купите лишнюю SIM-карту для регистрации в онлайн-магазинах. Используйте их и в других ситуациях, где от вас требуется оставлять свои данные незнакомцам.

5. Используйте мессенджеры со сквозным шифрованием

Большинство современных мессенджеров использует шифрование. Но во многих из них сообщения шифруются только во время передачи на сервер — а там уже хранятся незашифрованными. Что будет, если кто-нибудь взломает такой сервер? Пусть даже этот риск не слишком велик, лучше его полностью избежать. Для этого надо пользоваться мессенджерами со сквозным (end-to-end) шифрованием. В таких приложениях даже их создатели не смогут прочитать ваши разговоры, ведь ключи от шифра есть только у вас и вашего собеседника.

  • Используйте мессенджеры со сквозным (end-to-end) шифрованием, например WhatsApp.
  • Обратите внимание, что Telegram, Facebook Messenger и Google Allo не используют сквозное шифрование по умолчанию. Чтобы включить его, необходимо вручную начать секретный чат.

6. Используйте надежные пароли

Информацию, которая защищена слабым паролем, можно с тем же успехом прокричать в мегафон у метро. Конечно, запомнить длинные уникальные пароли для всех многочисленных сервисов и приложений, которыми вы пользуетесь, практически невозможно. Тут на помощь приходит менеджер паролей — достаточно запомнить только одну комбинацию для доступа к нему, все остальные он сохранит за вас.

  • Используйте длинные пароли — хотя бы 12 символов, а лучше еще больше.
  • Для каждого сервиса создавайте новый, уникальный пароль.
  • Чтобы не повторяться и ничего не забывать, лучше всего завести менеджер паролей.
Читать еще:  Средства регистрации сбора и подготовки данных

7. Просматривайте разрешения мобильных приложений и расширений браузеров

Мобильные приложения часто просят дать доступ к контактам или файлам на вашем устройстве, разрешить им использовать камеру, микрофон, геолокацию и так далее. Некоторым приложениям это действительно нужно для того, чтобы нормально работать. Но далеко не всем: многие используют полученную информацию для маркетинговой слежки (или даже для чего похуже). К счастью, права приложений довольно легко контролировать. То же относится и к расширениям для браузеров, которые, к сожалению, также известны шпионскими наклонностями.

  • Проверяйте разрешения, которые вы даете мобильным приложениям. Вот как это сделать в Android, а вот как в iOS.
  • Не устанавливайте браузерные расширения без крайней необходимости и тщательно следите за тем, что вы им разрешаете.

8. Защитите ваш телефон и компьютер паролями или кодами доступа

Пароль для разблокировки компьютера не обязательно должен быть ужасно сложным: вы защищаетесь не столько от взлома, сколько от праздного любопытства. Смартфоны часто теряются, иногда их воруют — поэтому лучше дополнительно подстраховаться и использовать ПИН-код из шести цифр (или даже длиннее), а не из четырех, как это предлагает операционная система по умолчанию. Сканер отпечатка пальца и распознавание лица — это тоже неплохо. Но помните, что и у биометрических технологий есть свои ограничения.

  • Используйте для входа на телефоны, планшеты и компьютеры пароли или биометрическую аутентификацию.

9. Отключите уведомления на экране блокировки

Допустим, вы защитили телефон длинным надежным ПИН-кодом, но оставили всплывающие уведомления на экране блокировки. В этом случае любой сможет подсмотреть, о чем вы переписываетесь. Чтобы личная информация не появлялась на экране блокировки, необходимо правильно настроить уведомления.

  • Отключите уведомления на экране блокировки или скройте их содержимое. Вот как это сделать в Android и в iOS.

10. Соблюдайте осторожность в общедоступных сетях Wi-Fi

Публичные сети Wi-Fi обычно не шифруют трафик. А это значит, что кто угодно может подсмотреть, что вы отправляете и получаете, подключившись к той же точке доступа. Старайтесь не передавать через общественные сети конфиденциальные сведения: логины, пароли, данные кредитных карт и тому подобное. Лучше всего использовать VPN, чтобы зашифровать передачу данных и защитить их от посторонних глаз.

  • По возможности не используйте общедоступные сети Wi-Fi; подробнее о связанных с ними рисках читайте по ссылке.
  • Если без публичного Wi-Fi никак не обойтись, используйте безопасное подключение — VPN.

Источник: Лаборатория Касперского

12 простых способов, которые помогут защитить себя в интернете

Как защитить себя в интернете

Всемирная сеть развлекает нас, учит, знакомит и помогает зарабатывать. Однако без знания правил цифровой-гигиены легко стать жертвой мошенников или простых вредителей. Рассказываем, как защитить себя в интернете и не упустить личные данные.

В чём опасность?

• Фрод (мошенничество). Когда юзер оплачивает покупки или услуги банковской картой на вредоносном сайте, создатели ресурса могут получить доступ к реквизитам пользователя.

• Взлом аккаунтов. Тот случай, когда злоумышленники получают логины и пароли от почты, онлайн-банкинга или социальной сети.

• Утечка данных. Сбор личной информации человека для передачи третьим лицам. В такой скандал попадал Facebook. Социальная сеть допустила массовую передачу данных 50 миллионов пользователей, которым потом показывалась политическая таргетированная реклама.

• Проникновение. Обеспечение удалённого доступа для мошенников на персональный компьютер через вредоносное ПО.

• Фишинг. Сайты-подделки под популярные сервисы: социальные сети, платёжные ресурсы, онлайн-банки. Рассылки, которые маскируются под рассылку от авторитетных сайтов (Google, Mail.ru, Facebook, VK). Они рассчитаны на невнимательность человека и пытаются заполучить доступ к конфиденциальным данным — логинам и паролям.

• Обман. Предложение в соцсетях, интернет-магазинах, досках объявлений, где продавец готов отдать товар за низкую цену. Оплата принимается онлайн или переводом на карту. После злоумышленник пропадает и не выходит на связь.

Что помогает защитить себя в интернете?

Чтобы защитить себя в интернете не нужно выстраивать оборону против каждого вида проникновения – достаточно соблюдать комплексные меры безопасности и использовать здравый смысл. Это сократит вероятность утечки персональной информации и не даст вредоносному программному обеспечению начать работу.

1. Антивирус

Это базовый софт, обеспечивающий безопасность. В задачи антивирусного ПО входит обнаружение шпионских программ, вирусов, фишинговых ресурсов, опасных серверов и подозрительного трафика. Популярные антивирусы справляются с большинством угроз, которые поступают на компьютер из сети или съёмных носителей. Правда, они не защищают от действий пользователя на сайтах. То есть, если ресурс не вызвал у программы подозрений и открылся, нажатия на ссылки или действия с элементами уже не будут защищены.

2. VPN

VPN — это защищённая сеть, которая скрывает IP адрес и месторасположение. Она надёжно зашифрует весь трафик и данные, передаваемые с устройства. Если вам необходимо обойти блокировку сайта, получить анонимность в сети или подключиться к Wi-Fi в публичном месте, используйте VPN.

Сама технология работает так:

1. Информация шифруется на устройстве.
2. Передаётся на сервер VPN-провайдера.
3. Дешифруется на сервере.
4. Передаётся по назначению (на сервер сайта).

Таким образом, личная информация защищена от перехвата, она полностью зашифрована, персональные данные скрыты. Блокировки сайтов, например, от Роскомнадзора перестают работать. Присутствие в сети выглядит так, словно вы вышли в интернет не из России, а из другой страны (где размещён VPN сервер).

Бесплатный VPN предлагают Windscribe и Privatix .

3. Временная анонимная почта

Временная почта – это ящик со случайным адресом и ограниченным сроком жизни. Он удобен, когда нужен доступ к сервису с регистрацией, а вы не планируете им долго пользоваться. Кроме того, сами «времянки» обычно не просят логиниться или указывать личную информацию. Просто заходишь на сайт и применяешь.

Сервисов временной почты много и найти удобный вариант не трудно. Обратить внимание стоит на эти:

Такая почта не защищает от последствий после перехода по подозрительным ссылкам и не предотвращает «слив» данных на фишинговом ресурсе. Но она помогает снизить до минимума поступающий спам, в котором часто скрываются подобные опасности.

4. Постоянное шифрование

Чтобы результатом действий на сайте не стала утечка личных данных или спам-атака на почту, пользуйтесь ресурсами, сетевой адрес которых начинается с HTTPS. Это значит, что соединение между вами и сервером шифруется – информацию не получится перехватить.

Современные браузеры напоминают о риске нешифрованного соединения. Если при проверке сертификата данные не совпадают, на экране появляется предупреждение. Правда, его можно проигнорировать, нажав «Я принимаю риск, всё равно перейти».

Чтобы повысить уровень защиты, зашифруйте столько интернет-трафика, сколько сможете, с помощью расширения HTTPS Everywhere. Оно автоматически заставляет сайты использовать HTTPS протокол вместо HTTP. Его можно бесплатно установить в браузеры Google Chrome, Mozilla Firefox и Opera, в том числе и на мобильных устройствах.

Информации в облачных хранилищах тоже не мешает добавить защиты. Установите программу для шифрования данных в облаке, например, Boxcryptor или nCrypted Cloud .

5. Сложные пароли

Сложность паролей напрямую определяет их надёжность, поэтому рекомендуется использовать длинные случайные комбинации символов. Во-первых, их почти невозможно взломать перебором. Во-вторых, они не имеют привязки к личности пользователя.

Пароль в виде имени супруга или ребёнка, даты рождения, клички собаки, названия любимой команды непосредственно связаны с вами. Это та информация, которую злоумышленники смогут подобрать, если получат доступ к социальной сети, почте или компьютеру.

Поэтому 17041991 – это плохой пароль. Masha17041991 или 1704masha1991 — тоже. А Vy0@$e6#Omx6 – сильный пароль. Его невозможно собрать исходя из данных о человеке, а найти перебором сложно технически.

Не используйте одинаковые пароли. В идеале для каждого случая должна быть своя комбинация. Применять для всех почтовых аккаунтов, соцсетей и банковских сервисов один и тот же код — опасно.

Всё запомнить будет трудно. Поэтому установите для хранения менеджер паролей:

6. Двухфакторная авторизация (аутентификация)

Чтобы защитить себя в интернете используйте двухфакторную аутентификацию. Это означает, что при попытке авторизоваться на сервисе будет необходимо указать два секретных параметра-доказательства. При стандартном входе такой параметр только один – пароль. В случае с двухфакторной авторизацией нужно будет ввести ещё один. Чаще всего это случайный сгенерированный код, который отправляется в SMS на телефон. Если злоумышленник завладел паролем, то он не сможет войти в аккаунт.

Сейчас двухфакторная аутентификация используется большинством крупных сервисов: Microsoft, Google, Facebook, Yandex, Dropbox, ВКонтакте, Instagram. Для подтверждения они применяют SMS, мобильные приложения, токены (редко), резервные ключи.

7. Осторожность с почтой

Будьте аккуратны с файлами, приложенными к письмам в электронной почте. Никогда не открывайте и не запускайте их, если источник неизвестен. В противном случае убедитесь, что он действительно прислал вам важный документ. Не забудьте также проверить файл антивирусом – вдруг отправитель распространяет угрозы, но не подозревает об этом сам.

8. Своевременное обновление ПО

Преступники совершенствуют свои инструменты, а разработчики со «светлой» стороны – укрепляют оборону. Оба соперника изучают методы друг друга и стараются своевременно реагировать на изменения. Новые варианты взлома и слежки попадают в сеть ежедневно, поэтому для снижения рисков до минимума надо регулярно обновлять программное обеспечение. К нему относится и антивирус, и операционная система, и браузер.

Читать еще:  Сборы новое поколение

9. Безопасность среды

Угроза может проникнуть на компьютер не только напрямую из сети или файла, полученного на почту. Источником способна послужить локальная сеть на работе, заражённое устройство одного из членов семьи, уязвимая точка Wi-Fi в общественном месте.

Старайтесь проверять степень защищённости всех устройств и сетей, к которым подключаетесь. А в общественных местах лучшее вообще не использовать открытые сети для онлайн-оплаты или авторизации в веб-сервисах (если нет VPN).

10. Секретная поисковая система

Используйте DuckDuckGo . Это система, которая не собирает данные о своих посетителях, не хранит IP-адреса и cookies. Здесь нет рекламы, а поисковая выдача объективна (Google и Yandex создают персонализированную ленту результатов, в которую могут не попасть некоторые полезные ссылки). DuckDuckGo — поможет защитить себя в интернете и обеспечит приватность во время поиска информации в сети.

11. Секретный браузер

Tor – нашумевший браузер, который, вопреки обывательскому мнению, популярен не только у наркодилеров и террористов. Tor пропускает соединение с конечным сервером через нескольких посредников и, таким образом, прячет данные о пользователе и его устройстве. Никто не узнает, какой у вас IP адрес, какие сайты вы посещаете, и какие файлы передаёте. Программа препятствует работе всех элементов, которые потенциально могут применяться для получения информации о юзерах.

12. Телефон и планшет

Любое устройство, которое легко теряется, необходимо дополнительно защитить, то есть установить графический или цифровой код для разблокировки. Этого достаточно, чтобы предотвратить большинство опасностей. Только не выбирайте для блокировки даты или простейшие комбинации.

Для полного шифрования устройств воспользуйтесь встроенным функционалом системы. На Android загляните в «Настройки -> Безопасность», на iOS в «Настройки -> Пароль».

Сбор данных со счетчиков и защита от протечек от компании Saures (опыт эксплуатации) и использование этих данных в Node Red и HomeKit

В качестве предисловия напишу, зачем мне такое устройство понадобилось. Так как мой образ жизни связан с постоянными командировками в различные уголки нашей планеты, возникла необходимость получать дистанционно показания со счетчиков воды (банально передавать показания в офис ЖКХ и Водоканал), а также иметь возможность перекрывать подачу воды в случае протечки и дистанционно, либо по определённой автоматизации. Конечно, в данный момент появились альтернативы, но два года назад их не было, либо я плохо искал.

Примерно два года назад мой выбор упал на контролер сбора показаний с различного вида счетчиков и возможность защиты от протечек от компании Saures. Меня заинтересовал контроллер, который питался от батареек и в комплект к нему я выбрал дополнительно шаровые краны Gidrolok Winer, которые питаются тоже от батареек. Средний срок службы от батареек обеих устройств не менее 4-х лет (при соблюдении определенных условий эксплуатации), причем краны Gidrolok еще и сами проворачиваются раз в 2 недели‘ для исключения возможности закисания. Купив всё необходимое в компании Saures, я не пожалел, так как спустя некоторое время они выпустили обновление прошивки своего контроллера и сделали маленькую плату для модернизации кранов Gidrolok, которая позволяет получить обратную связь (Статус) от самого крана. На конец июня сам производитель данных кранов так и не удосужился интегрировать в эти краны данную опцию. Так что сейчас у меня работают краны Gidrolok Winer со статусом его состояния.

Выглядит установка вот так. Ремонт в планах, так что получилось, как получилось.

Немного о возможностях и опыте использования

Контроллер передает данные через заданный вами промежуток времени (по умолчанию это 24 часа), с помощью подключения к вашей WiFi сети. Хотите чаще — срок службы батареек изменится не в лучшую сторону. В случае Аварийной ситуации: протечка, утечка, активация входа, изменения статуса шарового крана, падение температуры ниже заданного значения — контроллер выходит на связь немедленно и вы получаете PUSH уведомление в программу и email при настройке таковых опций. Немного об утечке — это постоянная работа счетчика воды, сверх заданного промежутка времени (для примера, заела арматура унитаза). Также можно настроить уведомление о потреблении ресурсов в заданное время, методом PUSh уведомлений или на указанный адрес электронной почты. Данное устройство имеет приложение для мобильного телефона и, соответственно, web кабинет, где можно посмотреть статистику. Я использую iPhone и поэтому выложу экраны с моего телефона.

Более детальное описание работы данного контроллера можно найти на сайте производителя Saures, так как данная статья не реклама, а мой опыт общения с данным устройством. Ссылка на инструкции по версиям контроллера и подключениям.

Так выглядит основной экран приложения для iOs.

Экран статистики потребления воды в личном кабинете.

Экран статистики протечки и температуры горячей воды.

Касательно работы системы защиты от протечки — нареканий у меня нет. Один раз реально спасло от хорошего затопления. Квартира далеко не новая и в один прекрасный день, при попытке набрать ванну, произошло отключение воды с PUSH уведомлением о протечке. Вода хорошо подкапывала из слива с ванны и при попытке её опустошения вообще полилась. Пришлось снова перекрыть сброс воды и отчерпывать ванну ведрами. Могу представить себе более 100 литров воды на полу в ванной. Это реальный случай, который мог бы быть не со счастливым концом.

Данные контроллера Saures в Node Red и Homekit

Увлечение Умным домом привело меня к выбору среды программирования. Попробовав некоторые решения, я остановился на Node Red, как относительно простой и оптимальной для моего профессионального опыта. Интегрировать автономную систему защиты от протечки давно хотелось, но не хватало определенных возможностей. Краны Gidrolok Winer не отдавали статус своего состояния (открыт/закрыт) и поэтому интерес был не высокий. Но вот я узнаю, что компания Saures разработала маленькую, легко устанавливаемую плату в краны Gidrolok и кран в состоянии показывать свой статус в контроллере, а также появилось облачное API от производителя. Находясь в процессе изучения Node Red, я решил попробовать интегрировать данный контролер через облачное API в Node Red, а оттуда — в HomeKit. Конечно, если кто-то скажет, что облако — это не мой путь, то я его не буду переубеждать и агитировать, так как сам думаю также, но если железка выполняет все функции автономно, то почему бы и не получить от неё некоторые данные через облако. Повторюсь еще раз, основной моей задачей было научится работать с API в среде Node Red. Получилось примерно так:

Данные debug ноды flat_id c демонстрационного кабинета компании Saures. Здесь мы видим массив из 4 квартир и они отличаются номером объекта 0, 1, 2, 3. У меня один контроллер и все сделано для массива 0.

А вот так выглядят данные в debug ноде Saures после нашего запроса с идентификатором сессии и квартиры. Если контроллера 2, то надо добавить вторую ноду «get data» для второй квартиры с соответствующим идентификатором.

Как видно из картинки debug справа, данные находятся в массиве meters co значениями 0..7 по числу входов в контроллере. Соответственно, дальше в функциях надо использовать правильные номера измерений, согласно подключенных входов в самом контроллере. Но здесь сложно ошибиться, так как в данных присутствует и номер входа контроллера и имя, которое присвоено при его запуске.

Нода timestamp настроена на интервал 20 минут, чаще чем раз в 15 минут производитель не рекомендует, но наверняка это возможно.

Необходимо также настроить ноды Homekit, но если Вы уже добрались до Node Red, то наверняка это не составит труда. Экран в приложении Дом выглядит как на картинке слева. Конечно, всё не так красиво — вместо кубических метров люксы, но, к сожалению, HomeKit не позволяет пока делать собственные плитки со своими данными.

Надеюсь мы когда-нибудь увидим в HomeKit правильные единицы измерения.

Безопасная работа с ЕБС: рекомендации ЦБ для банков

По требованиям регулятора, банки должны защищать ИТ-инфраструктуру и каналы связи при сборе биометрических данных (БДн) населения и удаленной идентификации клиентов в мобильном и онлайн-банкинге. Опубликованные в феврале 2018 года методические рекомендации для банков по обеспечению информационной безопасности при работе с Единой биометрической системой не накладывают принципиально новых требований на банки. Каковы все-таки ключевые рекомендации регулятора и как их реализовать на практике?

Введение

14 февраля Банк России выпустил методические рекомендации 4-МР для кредитных организаций по обеспечению информационной безопасности при работе с Единой биометрической системой (ЕБС), получившие на прошедшем Уральском банковском форуме прозвище «валентинка» из-за даты выхода. Документ разъясняет, как банки должны защищать ИТ-инфраструктуру и каналы связи при сборе биометрических данных (БДн) населения и удаленной идентификации клиентов в системах дистанционного обслуживания — мобильном и онлайн-банкинге. Оба эти процесса разделены на технологические участки, для каждого из которых определены меры защиты от киберугроз. В этой статье мы разберем ключевые рекомендации регулятора и поделимся видением их практической реализации.

Читать еще:  Система сборки c

Первичный сбор биометрических данных

Процесс первичного сбора биометрических данных включает четыре технологических участка: сбор изображений лиц и записей голосов граждан в филиальной сети банка, передача цифровых образов в главный офис кредитной организации, их обработка в банковском ЦОДе и последующая передача в ЕБС через Систему межведомственного электронного взаимодействия (СМЭВ).

Рисунок 1. Технологические участки первичного сбора биометрических персональных данных

Прежде всего, банки должны уделить внимание технологическим участкам сбора и обработки биометрических данных — этих этапов касается основная часть методических рекомендаций регулятора. Так, технологический участок обработки, на котором происходит удостоверение, контроль целостности и подтверждение подлинности биометрических данных, необходимо защищать с помощью криптографических средств класса КВ. Такой класс решений, к примеру, используется для защиты гостайны. Банки могут самостоятельно встроить специальный HSM-модуль в криптографическое ядро ИТ-инфраструктуры, а также воспользоваться «типовым» коробочным или облачным решением. В первом случае кредитным организациям придется подтвердить корректность интеграции сертификацией в спецлаборатории, а на само решение получить положительное заключение ФСБ. Поскольку это достаточно сложный процесс, мы ожидаем, что большинство кредитных организаций будут пользоваться «типовыми» решениями.

На момент написания статьи собственное решение разрабатывает «Тинькофф Банк», Ростелеком защитил проект типового решения в ФСБ (ряд компаний пытается сделать то же). Облачные решения появятся, видимо, чуть позже. Над ними трудятся, например, ЦФТ и тот же Ростелеком.

Конкретная реализация требований к ИБ при первичном сборе БДн во многом будет зависеть от пути распространения данных по инфраструктуре банка: именно он определяет, какие элементы ИТ-ландшафта нужно защищать. Рассмотрим выполнение рекомендаций регулятора на примере. В качестве средства защиты технологического участка обработки будем использовать «типовое решение» как наиболее простое. На рисунке 2видно, что данные с автоматизированного рабочего места (АРМ) операциониста передаются в подписанном виде по защищенному каналу связи на участок обработки, откуда впоследствии поступают по VPN-туннелям через СМЭВ в ЕБС.

Рисунок 2. Защита технологических участков первичного сбора БДн

Важный нюанс: сами по себе цифровые образы не хранятся в инфраструктуре банка. Однако вся прочая технологическая информация может передаваться и храниться в банковских системах: логи, сведения о результатах аутентификации и т. д.

Удаленная идентификация с помощью биометрических данных

Процесс удаленной идентификации содержит три технологических участка (см. рисунок 3).

Рисунок 3. Технологические участки удаленной идентификации

Эти технологические участки отвечают соответственно за:

  • взаимодействие клиента кредитной организации с банковским мобильным приложением или другим средством ДБО;
  • взаимодействие средства ДБО с ЕСИА (Единой системой идентификации и аутентификации на базе системы Госуслуги) и опосредованно с ЕБС для проверки результатов идентификации;
  • взаимодействие банка с ЕБС и ЕСИА через СМЭВ для получения результатов удаленной идентификации.

При удаленной идентификации биометрические данные граждан не передаются через инфраструктуру банка. Это значительно упрощает задачу кредитной организации по обеспечению ИБ за счет сокращения объема защищаемой инфраструктуры. На рисунке 4 представлена схема удаленной идентификации клиентов банка.

Рисунок 4. Удаленная идентификация клиентов банков с помощью БДн

Отдельный блок рекомендаций регулятора касается защиты мобильного приложения, с помощью которого клиенты банка будут проходить удаленную идентификацию. Для этих целей кредитная организация может разработать собственное приложение или использовать готовое решение, например, «Ключ» от Ростелекома. При самостоятельной реализации банк должен в соответствии с требованиями Методических рекомендаций ЦБ РФ, помимо прочего, провести анализ приложения на наличие уязвимостей и недекларированных возможностей (НДВ) либо проанализировать разработку в соответствии с ОУД4 — оценочным уровнем доверия 4 (ГОСТ Р 15408-3-2013).

Общие требования по ИБ

Основные рекомендации к защите инфраструктуры банка при работе с ЕБС — это соблюдение ГОСТ Р 57580.1-2017, содержащего более 300 различных требований к ИБ финансовых операций, размещение АРМ сбора БДн и центрального компонента технологического участка обработки в выделенных сетевых сегментах вычислительных сетей, а также использование сертифицированных СЗИ.

На рисунке 5 общие требования по ИБ для технологических участков сбора и обработки собраны в одну таблицу.

Рисунок 5. Общие требования по ИБ

Рекомендации по обеспечению ИБ технологических участков передачи заключаются в использовании криптографических средств защиты каналов связи и подписании передаваемых данных, а также в использовании сертифицированных межсетевых экранов и средств обнаружения вторжений.

Для защиты АРМ сбора возможно использовать программные клиенты со встроенным межсетевым экраном или же выделять сетевой сегмент на уровень филиала кредитной организации.

Защита конечных станций и прикладного программного обеспечения

В документе также оговариваются требования к защите конечных станций — точек сбора и серверов, используемых на технологическом участке обработки. Так, регулятор рекомендует (напрямую в МР-4 и ссылаясь на ГОСТ) использовать сертифицированный антивирус, второй фактор аутентификации, средства защиты от НСД и в ряде случаев аппаратный модуль доверенной загрузки (АМДЗ), а также систему защиты от утечек данных (DLP) и сканер уязвимостей. У большинства российских банков такие решения уже есть, и здесь вопрос стоит, скорее, в их масштабировании на новые участки.

Рисунок 6. Защита конечных станций и прикладного программного обеспечения

Криптографическая защита

Средства криптографической защиты рекомендуется использовать как для обеспечения информационной безопасности каналов связи, так и для средств электронной подписи, поскольку каждый образец биометрических данных и дополнительные данные, например, сведения об операторе, осуществлявшем сбор БДн, должны быть подписаны.

Согласно документу, требования криптографической защиты распространяются и на устройства клиентов банков. Мобильные телефоны и компьютеры пользователей рекомендуется защищать с помощью СКЗИ класса КС1. В то же время важно учитывать, что п. 21. ст. 14.1 149-ФЗ «Об информации, информационных технологиях и о защите информации» разрешает отказаться от использования СКЗИ на персональных компьютерах при согласии пользователей принять возможные риски. Это значительно упрощает банкам внедрение средств защиты при работе с ЕБС.

Еще один момент, на который хотелось бы обратить внимание, — защита канала передачи данных до филиалов банка. На первый взгляд, в реализации этой задачи нет ничего сложного, ведь в большинстве банков СКЗИ уже установлены. Тем не менее в отдельных случаях может потребоваться повышение класса СКЗИ. Даже если для этого будет достаточно перепрошить существующие СКЗИ, это означает необходимость доставки ПАК к производителю. Таким образом, если банк располагает крупной филиальной сетью, этот процесс может оказаться небыстрым.

Рисунок 7. Криптографическая защита

Логирование и мониторинг ИБ

Мониторинг ИБ составляет значительную часть методических рекомендаций Центробанка, что, по нашему мнению, очень важно. В частности, потому, что большинство утечек и нарушений ИБ связано с человеческим фактором. Согласно документу, рекомендуется осуществлять логирование не только технических данных от прикладного программного обеспечения и средств защиты, событий взаимодействия с ЕСИА и ЕБС и событий проверки результатов идентификации, но и каждого действия сотрудников банка.

Выполнить эти требования организационными мерами и расширенным логированием вряд ли получится — документ ссылается на банковский ГОСТ, который, хоть и не предписывает напрямую использовать SIEM-систему, но предъявляет требования, которые без нее закрыть достаточно непросто. Кроме того, в методических рекомендациях сказано, что кредитные организации должны сообщать об инцидентах ИБ в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT ЦБ РФ) в течение 1 рабочего дня.

Рисунок 8. Логирование и мониторинг ИБ при работе с ЕБС

Выводы

В целом, методические рекомендации Центробанка по обеспечению информационной безопасности при работе с ЕБС не накладывают принципиально новых требований на банки. Мы условно разбили документ на 66 блоков требований. Большая часть из них встречалась ранее в других нормативно-правовых актах. Так, 22 блока требований можно найти в ГОСТ Р 57580.1-2017, еще 20 — в Стандарте Банка России по обеспечению информационной безопасности организаций банковской системы РФ (СТО БР ИББС). Помимо этого, 19 блоков требований встречаются в Положении Банка России от 9 июня 2012 г. № 382-П, 8 блоков приходятся на ФЗ-152 «О персональных данных» и его подзаконные акты.

Уникальные требования в основном сконцентрированы в части самостоятельной реализации технологического участка обработки. Однако если банки будут использовать «типовое» коробочное или облачное решение, то эти новшества их не коснутся.

На практике внедрение подсистем ИБ для условного банка с филиальной сетью, насчитывающей около 200 отделений, может занять, по нашему опыту, от трех месяцев до полугода. В эти сроки входит обследование инфраструктуры кредитной организации, проектирование и внедрение решения, подготовка организационно-распорядительной документации (ОРД) и построение процессов. В приведенных оценках учтена возможность задержки поставок того или иного оборудования и другие накладки в ходе проекта.

В дальнейшем банкам предстоит два вида регулярных работ: ежегодный внешний аудит (требование приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 25.06.2018 г. № 321, должен выполняться лицензиатом ФСТЭК России) и ежегодное тестирование на проникновение (требование ГОСТ Р 57580.1-2017, также выполняет лицензиат ФСТЭК России).

Ссылка на основную публикацию
Adblock
detector