Что делать, если произошла утечка персональных данных

К сожалению, утечки персональных данных происходят довольно часто. Если компания подверглась атаке, которая привела к потере, изменению или несанкционированному раскрытию персональных данных пользователей, она обязана известить их об этом в течение 90 дней после обнаружения утечки. Однако за это время злоумышленники могут использовать личную информацию и учетные данные множества людей для хищения их личных документов и паролей, проведения незаконных финансовых операций и кражи цифровой личности целиком.

Как следствие, службы мониторинга стали неотъемлемым элементом современной кибербезопасности. Если ваша информация окажется в Сети из-за утечки данных компании или атаки лично на вас, службы мониторинга оповестят вас быстрее, чем сама компания, и позволят действовать почти сразу.

Что делать, если произошла утечка персональных данных

Допустим, вы получили уведомление об утечке информации в какой-либо компании. Если ваши данные тоже оказались скомпрометированы, они могут быть уже выставлены на продажу в теневом интернете или в коммерческой базе данных, принадлежащей киберпреступникам. В большинстве случаев решающее значение имеют первые 72 часа после такой утечки – поэтому необходимо узнать у компании, когда произошел инцидент. Ведь чем дольше ваша информация находится без защиты, тем больше возможностей у киберпреступников извлечь из нее выгоду.

Но даже если после кражи персональных данных прошло более 72 часов, крайне важно выполнить правильные действия для устранения последствий. Вот какие меры следует предпринять, если вы предполагаете утечку ваших персональных данных.

1. Определите, какие данные были украдены, и следите за новостями.
2. Измените все раскрытые учетные данные.
3. Настройте двухфакторную аутентификацию.
4. Отслеживайте все свои учетные записи.
5.Защитите финансовые данные.

1. Определите, какие данные были украдены, и следите за новостями

Иногда компании не раскрывают полностью, какие данные были украдены и у каких конкретно клиентов. И даже если есть вероятность, что именно вы не пострадали от утечки, не стоит бездействовать. Если вы получили от компании уведомление о том, что ваша личная информация могла быть раскрыта, или увидели подобное сообщение в новостях, свяжитесь с компанией и спросите, о какой информации идет речь. Наиболее часто крадут следующие персональные данные:

• Электронные адреса
• Пароли
• Имена
• Номера телефонов
• Почтовые адреса
• Данные банковских карт
• Номера социального страхования

Для изменения этих данных или подтверждения их защищенности после утечки могут потребоваться серьезные денежные и временные затраты. Рекомендуем действовать в порядке приоритетности (важности) данных и дополнительно обратиться в компанию за новостями относительно утечки – по телефону или через веб-сайт.

2. Измените все раскрытые учетные данные

Если вы считаете, что ваш адрес электронной почты и пароль могли быть скомпрометированы (по отдельности или вместе) – сразу же измените их. Если в прошлом вы использовали на нескольких сайтах один и тот же пароль, нужно изменить пароли везде и начать ответственнее относиться к учетным данным. О том, как создать надежный пароль, рассказываем ниже. Лучше всего использовать разные пароли и регулярно (раз в 3–6 месяцев) их менять.

Пытаться запомнить все пароли – довольно устаревший способ защитить свою информацию в интернете. Мы советуем использовать менеджер паролей.

3. Настройте двухфакторную аутентификацию

Усильте защиту в интернете, настроив двухфакторную аутентификацию на всех ресурсах, где она поддерживается. Этот метод, также известный как двухшаговая проверка, или 2FA, требует ввода дополнительной идентификационной информации и таким образом повышает защищенность учетной записи.

Такой информацией могут служить, например, ответ на проверочный вопрос, защищенная ссылка, отправленная на вашу электронную почту, или код аутентификации, присланный в SMS. Даже если злоумышленники получат доступ к вашему адресу электронной почты или паролю, они не смогут войти в учетную запись.

4. Отслеживайте все свои учетные записи

За последние годы киберпреступники серьезно продвинулись в своих технологиях. Они могут легко выполнить поиск одного набора скомпрометированных данных на разных веб-сайтах, в социальных сетях, сервисах по подписке и платных сообществах. Если вы используете одинаковые пароли на разных платформах, то вашу информацию профиля – адрес электронной почты, телефонные номера и даже адрес проживания – тоже легко узнать.

Постепенно раскрывая личные данные, злоумышленники смогут подобраться к наиболее важным учетным записям, например в онлайн-банке или даже на компьютере, и нанести вам серьезный ущерб. Поэтому нужно внимательно следить за учетными записями после любой утечки данных, даже если был скомпрометирован «всего» один пароль. В следующие после утечки дни и недели важно отмечать любую необычную активность в учетных записях, например новые покупки, смену пароля и вход из незнакомых мест.

5. Защитите свои финансовые данные

Если при утечке данных в руках злоумышленников оказалась ваша платежная информация, сразу же попросите ваш банк заблокировать или приостановить обслуживание карты и выпустить для вас новую. Заблокировав карту, вы не позволите злоумышленникам использовать ее номер для покупок в интернете.

Даже если ваша платежная информация в безопасности, рекомендуем настроить кредитный мониторинг. Так вы узнаете обо всех изменения в кредитной истории, например об оформлении нового займа на ваше имя. Кроме того, если вы считаете, что ваш адрес, налоговый номер или другая личная информация могли оказаться в руках злоумышленников, закажите бесплатный кредитный отчет и внимательно изучите его (в любом случае это следует делать каждые полгода-год).

Если вы уверены в том, что ваши финансовые данные подверглись утечке, и заметили изменения в кредитной истории, сообщите об этом в нужную организацию. Так вы защитите себя от новых незаконных кредитов на ваше имя.

Как предотвратить утечки данных в будущем?

По мере того как киберпреступники расширяют свои технические возможности, последствия кражи даже небольшого фрагмента личной информации становятся все серьезнее. Имея в распоряжении лишь адрес электронной почты или пароль, киберпреступники в некоторых случаях могут получить доступ к гораздо более важным личным данным. Кроме того, утечка данных у крупной компании – не единственный путь компрометации личной информации. Нарушение безопасности может произойти в общественном пространстве (обычно через незащищенную сеть Wi-Fi) или на работе (часто вследствие неосведомленности сотрудников о кибербезопасности).

В современном мире необходимо принимать проактивные меры по защите личной информации. В первую очередь следует дополнить антивирусное ПО службами мониторинга, чтобы создать дополнительный слой защиты устройств, сети и учетных записей от взлома. Перечислим, какие еще действия можно предпринять, чтобы свести к минимуму вероятность утечки персональных данных с личных и рабочих устройств:

• Используйте надежные пароли и настройте многофакторную аутентификацию
• Своевременно обновляйте программное обеспечение
• Регулярно создавайте резервные копии данных
• Обновите адресную книгу электронной почты
• Старайтесь не заходить на незащищенные веб-сайты
• Проверьте средства управления доступом
• Обучайте сотрудников

Используйте надежные пароли и настройте многофакторную аутентификацию

Как говорилось выше, кибербезопасность начинается с надежного пароля, который пользователь меняет регулярно (каждые 3–6 месяцев). Такой пароль, как правило, состоит не менее чем из 8 знаков (мы рекомендуем от 10 до 12) – букв, цифр и специальных символов (если последние допускается использовать). Никогда не создавайте пароли на основе личной информации: даты рождения, имен родителей, детей, кличек домашних животных. Киберпреступники ищут такую информацию в социальных сетях, чтобы использовать ее для атак с подбором паролей (bruteforce). У некоторых злоумышленников есть специальные приложения, которые автоматически составляют комбинации из ключевых слов и важных дат из вашей жизни, и подбирают пароли на их основе. Помните также, что не стоит использовать один и тот же пароль в нескольких учетных записях – пароль должен быть уникальным для каждого аккаунта. Стоит настроить двухфакторную аутентификацию там, где она поддерживается. А для хранения паролей мы рекомендуем использовать менеджер паролей.

Своевременно обновляйте программное обеспечение

Крупные компании выпускают обновления программного обеспечения, которые содержат важные исправления безопасности. Своевременно обновляйте рабочие и личные приложения и используйте самые свежие версии, чтобы не допустить эксплуатации уязвимостей. Рекомендуем включить автоматическое обновление всего ПО, где это возможно.

Регулярно создавайте резервные копии данных

Чтобы не допустить необратимой потери важной информации, рекомендуем создать резервную копию персональных данных и хранить ее на внешнем диске в надежном месте. Благодаря резервному копированию можно держать меньше личной информации на устройстве и быстро восстанавливать данные в случае утечки.

Обновите адресную книгу электронной почты

Как бы вы ни работали – офисе, из дома или на фрилансе, – всегда просите своих клиентов уведомлять вас о смене адреса электронной почты и другой контактной информации. Также стоит периодически спрашивать о возможных утечках их личных данных. Так вы не позволите злоумышленникам получить доступ к вашей личной информации через кражу идентификационных данных других людей или при помощи фишинга.

Старайтесь не заходить на незащищенные веб-сайты

Это важный пункт современной кибергигиены для всех пользователей. Получив ссылку от коллеги или из внешнего источника, открывайте только URL-адреса, начинающиеся с префикса HTTPS. Находясь в интернете, выбирайте только защищенные веб-сайты. На них указывает значок замка в адресной строке браузера.

Проверьте средства управления доступом

Так как работа из дома становится распространенным явлением, сотрудникам требуется доступ ко все большему числу программ и систем. Но далеко не всем нужно предоставлять полный доступ. Если вы беспокоитесь о нарушениях безопасности на своем рабочем ноутбуке, поговорите со специалистами IT-отдела об ужесточении контроля доступа.

Обучайте сотрудников

Защита данных – это обязанность не только IT-специалистов: вы и ваши коллеги тоже несете за это ответственность. Поэтому вы должны регулярно проходить тренинги по кибербезопасности, проводимые на предприятии, и знать, к кому обращаться в случае утечки. Следуйте рекомендуемым практикам при отправке персональной информации по электронной почте и правилам именования документов, позволяющим легко отследить их перемещение по цифровым каналам. Попросите IT-специалистов или руководителя предоставить вам план реагирования на утечку и немедленно сообщайте о любых подозрениях на атаку или попытку взлома.

Утечки данных, к сожалению, стали распространенным явлением в современном цифровом мире. Наша персональная информация хранится и передается по Сети компаниями, о которых мы зачастую мало знаем. Поэтому, покупая товары в интернете, оформляя подписку на очередной цифровой сервис или регистрируясь на новом веб-сайте, хорошо подумайте, прежде чем использовать старый пароль или делиться личными сведениями.

Статьи и ссылки по теме:

• Что такое нарушение безопасности и как его избежать?
• Что такое цифровой след?
• Что такое менеджеры паролей и насколько они безопасны?
• Как часто следует менять пароли в интернете?

Связанные продукты:

• Защитные решения «Лаборатории Касперского» для дома
• Kaspersky Password Manager