IT vs Правоохранительные органы. Превентивные меры защиты
Хочу начать свою статью с небольшой байки. Лет уже 10 назад, в свою студенческую юность, мне довелось стажироваться в одном очень крупном европейском концерне, продающим товары на территории Украины. По работе приходилось посещать и обширные, сияющие хромом и стеклом, офисы, и «лавчонки бабы Кати» в Кукуево. Более всего меня тогда поразило руководство и тех, и других — у руля большинства успешных предприятий стояли бывшие «барыги» из
Эту замечательную науку я уже как-то давно забыл, как и уроки бокса в школе, но тут нагрянули обыски IT-компаний. А вместе с ними пришли и не очень замечательные новости в виде отчетов очевидцев: те «кормчие» никуда не делись. Да, они стали старше на 10 лет, да, многие из них ушли в тень, «перекрасились» в другие партийные или корпоративные цвета, но про бокс и
Возникшая проблема крайне существенна, и надо её как-то решать. Отрасль быстро растет и развивается, а значит, для этого есть деньги, и их значительно больше, чем можно раздербанить из пенсионного фонда или зарплат бюджетникам. Это автоматически переводит IT в wish-list государственных чиновников, и если раньше органы смотрели на нас, как на ежа, и не понимали, как подступиться, то теперь они активно щупают пути экспансии (проект закона о 20% налога на ЧП, попытки некоторых политических партий заигрывать с IT-компаниями и т.п.)
Единственное наше счастье — пока они до конца не поняли, что и как работает. Потому проверяют систему на прочность старыми добрыми методами. Подходы к «проверке» IT-компаний — это методы рейдеров, а не проверяющих органов. Поищите в интернете видео рейдерских захватах и сравните с тем, что выкладывали сотрудники. Но это на досуге.
Возвращаясь к основной мысли — помните про правила бокса выше? Если проводить аналогию — сейчас они пытаются бить в челюсть, т.е. по бренду. Есть вывеска, значит есть офис и есть руководство/бухгалтер/ответственный менеджер, к которому можно приходить «в гости» и прессовать. Они не понимают, что любая IT-компания — это не классическое предприятие, где на директоре свет клином сошелся, и когда взяли его за вымя, то молоком надолго обеспечены. А когда до них дойдет, то вполне сработает сценарий № 2, т.е. по корпусу. В корпусе человеческого тела находятся органы, а в нашем случае — сотрудники компании, которые могут самостоятельно работать в случае форс-мажора, фрилансить, начинать работать на заказчика напрямую и вообще всячески зарабатывать себе на хлеб насущный. Да и зарегистрированы они как ЧП. В связи с этим, мы вполне можем получить сценарий адресной обработки объекта: «Вышел на улицу за хлебом — сняли не в нацгвардию». И будут бородатого Васю в толстовке спрашивать да выпытывать, откуда, мол, финприход, и с кем ты там работаешь. А там, глядишь — и комплексный «обыск» с отработкой по всем коллегам.
Именно об этом — превентивных методах защиты — я бы и хотел сегодня поговорить. Как минимизировать или устранить возможность получения неприятностей на свою бороду, и что делать в непонятных реалиях Украины, пока «оно все узаконивается цивилизованными методами». Немного полезных ссылок и информации к размышлению.
«Поймай меня, если сможешь»: социальные сети
Помните такой фильм? Его главный герой, Френк Абигнейл — реальное лицо. После своего ареста он стал советником в области документарной безопасности ФБР. Несколько лет назад Абигнейл дал интервью и поделился своим виденьем о доступности пользовательской информации в социальных сетях. Сегодня, при небольшом желании, любой человек, может сработать не хуже искушенного сыщика или рекрутера и получить все требуемые по вам данные из ваших аккаунтов в сетях.
Считаете это надуманной проблемой, и вас не найдут?
Давайте проведем эксперимент: возьмите ФИО любого интересующего человека и воспользуйтесь, например, ресурсами Pipl и Яндекс.Люди. Они абсолютно бесплатны и дают полную информацию по всем вашим регистрациям в сетях (даже тем аккаунтам, которые вы удалили или о которых вообще забыли), последним постам и сообщениям. Через Twitter можно найти вашу личную и рабочую почту; через Google Images или TinyEye — ваши фото, по которым можно не только на вас посмотреть со всех ракурсов, а и при небольшой усидчивости, определить адрес проживания. Еще можно немного повозиться и с помощью расширения Connectifies для браузера посмотреть вашу подноготную в Linkedin. Сопоставить, так сказать, двух разных субъектов. Попробуйте, результаты эксперимента вас удивят.
Для скептиков — я сейчас перечисляю случаи, с которыми работал сам, и привожу самые банальные инструменты. Вариантов получить информации по человеку, естественно, намного больше. То есть любая нецелевая информация про вас играет в ваши же ворота.
Отсюда выводы:
— Желательно ограничить количество графоманского потока в сетях. Только о необходимом.
— Не надо публиковать в сети всё подряд, сопровождая комментариями о марках того, что на вас надето, с кем вы со-фотографируетесь и где это было. По делу, и не более.
— Не будет лишним проверить с помощью уже названных инструментов информацию и «зачистить» все лишнее.
Что еще посмотреть по данной теме:
Проверка достоверности информации онлайн. Запись выступления
Пять программ для проверки достоверности информации в интернете
«Одиночество в сети»: каналы связи
Итак, вы решили, что надо немного подчистить хвосты в сетях, проверили и удалили все лишнее. И тут возникает второй вопрос: а что делать с телефонной связью? С клиентами отлично можно поговорить по Skype или Hangouts, однако для работы HR-ов и бухгалтерии этого мало. Есть, как минимум, один городской номер телефона, которым пользуются в офисе, и его можно проверить. На всех сайтах работ висят корпоративные и личные мобильные телефоны HR-ов, да и мобильные номера руководства компании найти не проблема. Не пользоваться ними, что ли?
В данном случае, одним из вариантов при работе в Украине может быть виртуальная телефония. Есть огромное количество европейских провайдеров виртуальных номеров, например, JustVoIP или Hottelecom, которые предоставляют виртуальные городские и мобильные номера Украины. Вообще, по этой проблематике и операторам рекомендую отличную статью.
Основные плюсы данной технологии:
1) возможность быстрого подключать/отключаться в «горячий» момент;
2) удовлетворить свой пылкий интерес украинские органы правопорядка смогут только в том случае, если было жестко нарушено законодательство страны регистрации провайдера. При этом у провайдеров в Еврозоне есть право внутреннего рассмотрения дела и выбора, открывать или не открывать информацию
Второй возможный вариант, или даже полу-вариант, — защищенные мессенджеры, да и мессенджеры вообще. Мы все привыкли к WhatsApp, Viber и другим программам, популярным на украинском рынке. Да и владельцы продуктов заявляют, что все храниться под контролем. Полезные плюшки: шифрование текстов, удаление сообщений в указанный срок и т.п.
Но тут есть два «но». Первое (и я не описался выше, упомянув «полу-вариант») — с ними много не порешаешь при работе с налоговой или рекрутингом персонала. Второе, и что более существенно, тема защищённой переписки поднималась неоднократно, но до сих пор вызывает много споров. Не смотря на громкие заявления разработчиков, постоянно всплывают новые сообщения об уязвимости, как, например, в WhatsApp, где вся переписка легко доступна. Также год назад вышла интересная статья Kaspersky Lab, анализирующая популярные «защищенные» решения и их лазейки. На этом фоне, пожалуй, самым надежным был и остается BBM.
Отсюда выводы:
— Желательно иметь несколько разных каналов связи.
— Проверить «проверенные решения».
— Проверить, насколько безопасно хранятся переписки в ваших приложениях.
— Как с паспортом — не давать в руки третьим сторонам свой смартфон.
Что еще посмотреть по данной теме:
Секреты коллтрекинга: все о виртуальных номерах и о правильном выборе провайдера
Безопасный интернет-мессенджер. Существует ли он?
Выбираем защищенный IM для Android
«Ломай меня полностью»: контакт с силовиками
Ок, мы сделали и первое, и второе, но к нам пришли. Что делать? На юридических семинарах для IT-компаний всегда говорят одну замечательную вещь, что если к вам в офис зашли неизвестные в масках и ласково орут: «Лицом к стене, руки на стол, ноги на ширину плеч, вынуть всё из карманов» — при всей сложности этой ёго-позы, последнее никогда делать не нужно. Всё, что находится при нас — наша собственность, и вытягивать ее из карманов никто не имеет права.
Но бывает, что эти ребята остановили вас не на рабочем месте, а рядом с ним, как это сделали с сотрудницей NixSolutions. Да еще ударили или накричали, вызвав стресс. Конечно, что-то где-то человек тут же забыл или из кармана выпало.
Если вы ожидаете, что к вам могут прийти, то лучше заранее выполнить несколько действий для своей безопасности:
1. Поставить пароли на всю технику, в том числе и на смартфоны, на которых тестируются сборки мобильных приложений. О последних часто вообще не переживают, и аппарат с информацией, способной нанести вред и клиенту, и вам, может спокойненько лежать на столе. Или, что хуже, быть в руках кого-то из разработчиков, когда его остановят «проверяющие». Классическая ситуация: «Это ваш? Как нет? Он же у вас в руках? Что нет? А чей? А дайте-ка посмотреть. А кто вам дал? А можете показать этого человека?» И человек отдаст и может даже показать, это же не его. Хотя, потом при необходимости прицепятся к нему. Про правила бокса в начале статьи помните?
2. Не забыть поставить пароль на ваш личный смартфон (но не разблокировку по лицу пользователя). Помимо стандартных средств защиты для iOS и Android есть CyberSafe Mobile, LUKS Manager, Sophos Secure Workspace плюс куча других решений. Да, музыку тяжелее переключать, вбивая пароль при разблокировке каждый раз, папки требуют пароль через каждые 15 секунд, но спать спокойно — себе дороже.
3. На все почты и облачные хранилища (в том числе на телефонах) поставить двухфакторную аутентификацию.
4. На рабочих станциях поставить программы шифрования для папок, разделов и дисков. Отлично подойдут решения от Cybersafe, Symantec, Jetico.
5. По возможности отправить рабочую станцию в сон, стереть историю в браузере. Как минимум, в критической ситуации это может затянуть время до приезда адвоката. Как максимум — информация, полученная в результате неправомерных действий при обыске, и информация, поданная вами по глупости на блюдечке с каёмочкой — это «две большие разницы».
Отсюда выводы:
В результате этих абсолютно нехитрых действий можно себе очень сильно сберечь нервы.
Требуют включить ПК на работе? Ответ: «Ничего не знаю, сам потух, пароль из головы вылетел от страха. А этот? Да я его и не знал никогда. И вообще — я домой хочу. У вас ориентировка на меня есть? Нет? Ну я кофе пойду попью, сейчас адвокат приедет».
Остановили на улице и спрашивают, вы ли сотрудник такой-то компании? Ответ: «Нет. Личные вещи не дам посмотреть. Да, вы можете попытаться изъять мои вещи силой, но это незаконно. Я сам ничего не отдам. Паролей не помню, как меня зовут — тоже. Нет, я не уклоняюсь от ответа, вы вгоняете меня в стресс. Никуда не пойду. Ориентировка на меня с фотороботом и мокрой печатью (то есть не левая ксерокопия) есть? Так а чего вы ко мне цепляетесь?». И т.п.
Что еще посмотреть по данной теме:
Сравнение Android-приложений для шифрования данных
Безопасность данных в iOS или почему нужно шифровать пользовательскую информацию и не хранить пароли
Технологии для жизни
Возможно, у вас есть свои размышления или советы на этот счет. Буду рад их услышать.
