О чем лучше молчать в социальной сети?

     За пять лет существования социальных сетей в Рунете миллионы пользователей прониклись к ним не просто любовью, но порою настоящей зависимостью. Вот только стремление отчитываться перед миром о подробностях своей личной и профессиональной жизни отнюдь не всегда сопровождается размышлениями о том, чем подобная откровенность может обернуться. С вопросом, почему о некоторых вещах в социальной сети лучше умалчивать, мы обратились к экспертам в области информационной безопасности.

Моя сеть - моя крепость
      В основе многих бед лежит иллюзия, что жизнь в социальной сети абсолютно приватна. Это не так. "Все персональные данные, которые прошли сквозь Сеть, можно оттуда достать", - предупреждает главный аналитик компании InfoWatch Николай Федотов. Правда, успокаивает он, большая часть данных рядовых пользователей вряд ли кого-то заинтересует: "Из вашей фамилии, адреса, фотографии, истории болезни и списка сексуальных партнеров невозможно добыть деньги. Нерентабельно для злоумышленников. Поэтому большинству пользователей переживать за такие персональные данные не стоит. Исключение составляет следующая информация: номер и другие атрибуты банковской (платежной) карты; логин-пароль к интернет-банку или аккаунту иной платежной системы; доступ к учетной записи популярной онлайновой игры или интернет-казино. В общем, ресурс, который можно не просто обратить в деньги, а быстро продать на черном рынке".

     Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов считает иначе: "Фотографии, номера телефонов, ссылки о себе на сторонних ресурсах очень часто позволяют однозначно идентифицировать пользователя социальной сети и найти его в реальной жизни. Степень опасности может варьировать от получения квитанции на оплату коммунальных услуг с поддельным счетом до нанесения телесных повреждений обиженным в интернете пользователем". Известны случаи, когда, упомянув в социальной сети об отъезде в отпуск, люди затем находили свои квартиры ограбленными, а договорившись о встрече с "симпатичной девушкой", имели дело с судебным приставом,  добавляет вице-президент Ассоциации профессионалов в области информационной безопасности RISSPA Евгений Климов.

     "Не секрет, что многие банковские службы безопасности в России через сети проверяют потенциальных кандидатов на получение крупных кредитов, - предупреждает управляющий розничными продажами G Data Software в России и СНГ Роман Карась. - Имелся ряд случаев, когда кандидату на высокую должность отказывали по той причине, что он оказывался "болтлив" на страницах социальных сетей и выкладывал там данные, составляющие коммерческую тайну о предыдущем работодателе. Часто сведения, полученные при проверке кандидата в социальных сетях, не соответствовали написанному в его резюме, предоставленном работодателю, и припертые к стенке данными из Интернета кандидаты в результате проваливались на собеседовании".

     Рассказы о себе в социальной сети могут привести и к другим неприятностям. "Чаще всего исчерпывающая информация в социальных сетях используется для целенаправленной рассылки спама, - говорит заместитель директора департамента продуктов и услуг компании LETA Евгений Царев. - Нередко злоумышленники используют социальные сети для получения конфиденциальной информации, представляясь, например, близким родственником или другом. Поэтому первая распространенная ошибка пользователей социальных сетей – это предоставление исчерпывающей информации о себе, включая номера телефонов, электронной почты, Skype, места работы или жительства и т. д". По его словам, социальные сети сами часто провоцируют пользователей на разглашение различных сведений в обмен на повышение рейтинга, чтобы затем целенаправленно распространять рекламу.

     "Кстати, нужно понимать, что чем больше у вас 'друзей', тем больший интерес вы представляете для тех, кто взламывает аккаунты популярных пользователей и рассылает от их имени спам", - предупреждает Царев. Как это происходит, объясняет руководитель департамента аналитики и коммуникаций Trend Micro Рик Фергюсон: "Для взлома страниц в социальных сетях киберпреступники используют разные средства: зараженные профили, вредоносные приложения, фальшивые рекламные объявления, захват доменов, спам, фишинг, замаскированный под уведомления социальной сети, сбор информации через членство в группах, межсайтовый скриптинг (XSS-уязвимости). А новым пользователям злоумышленники могут даже отправлять прямые сообщения. Для жертвы все это может иметь самые разные последствия: кража личных данных, заражение компьютера вирусом или перспектива стать исходной точкой для атак на других пользователей".

     Наконец, отметим, что в России и за рубежом складывается судебная практика, согласно которой комментарии, оставленные на страницах в социальных сетях, считаются публичными. Так, в 2008 году французский суд подтвердил обоснованность увольнения за "призывы к бунту" сотрудников компании, которые в Facebook договорились сделать жизнь начальства "невыносимой". О заговоре стало известно, так как страницы несостоявшихся бунтовщиков были открыты для просмотра "друзьям  друзей". В России можно припомнить приговор музыканту Савве Терентьеву за возбуждение ненависти и вражды к милиции в комментарии, оставленном им в "Живом журнале".

     Кроме того, у нас ведутся споры о том, как будет работать федеральный закон "О персональных данных", в соответствии с которым для распространения персональных данных (в том числе биометрических) необходимо письменное разрешение их владельцев. Правда, этого не требуется в случае, когда осуществляется "обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных". Но вопрос о том, насколько публикация, скажем, фотографии пьяного друга относится к вашим личным нуждам и не нарушает его права, остается открытым.

Болтун - находка для шпиона
      Излишняя словоохотливость в социальных сетях может повредить не только пользователям, но и компаниям. "Трудно, конечно, представить себе, что в Facebook будут слиты закрытые финансовые отчеты корпорации. Но даже легкий намек на планируемую сделку, которая давно и с трудом готовится отделом продаж, может запросто ее сорвать, - рассказывает ИТ-директор "Смарт Лайн Инк" Сергей Вахонин. - Известен случай, когда из-за обычной фотопубликации встречи в ресторане сорвалась крупная сделка между российской и японской компаниями".

     "Иногда сотрудники по неосторожности публикуют на своих страничках в социальных сетях конфиденциальную информацию. Для компании такие "выбросы" могут привести к серьезным последствиям, например, к падению цен на акции, - отмечает Царев. - Кроме того, некоторые социальные сети создают зашифрованный канал между пользователем и самим ресурсом, что может помочь нелояльным сотрудникам вывести конфиденциальную информацию незаметно для средств защиты".

     Евгений Климов считает, что риск утечки информации через социальные сети надуман: "Реализация существующих сервисов не позволяет производить передачу данных большого объема, а современные DLP-решения умеют выделять трафик социальных сетей. Кроме того, есть и более "удобные" методы переноса информации". Опасность он видит скорее в высокой скорости распространения информации в сетях, превращающей их в мощнейший инструмент информирования или дезинформирования: "Интеграция сервисов настолько велика, что информация, опубликованная, к примеру, в Twitter, через считанные секунды окажется в Facebook, LiveJournal и подобных им сетях. Организовать последующий запрет публикации недостоверных и нежелательных сообщений  в большинстве случаев невозможно, равно как и установить автора публикаций".

     "Несмотря на активное вовлечение служб физической и информационной безопасности, разместить нежелательные для бизнеса сведения сотрудник может без особой сложности - для этого достаточно покинуть пределы офиса", - замечает ведущий технический консультант Trend Micro в России и СНГ Николай Романов.  Еще большую угрозу для активов компании представляет, по его словам, получение при помощи ее сотрудников доступа к данным, составляющим конкурентное преимущество: "Третьи лица будут целенаправленно привлекать отдельных сотрудников компании для тех или иных задач (чаще всего в цепочке участвует несколько человек из разных департаментов). И вот здесь как раз социальная сеть может стать одним из этапов вовлечения и сбора данных. Не всегда, конечно, сотрудник может стать соучастником осознанно - социальная инженерия может быть весьма действенной даже для вполне благонадежных кадров".

     Так могут ли компании предотвратить публикацию в социальных сетях нежелательной информации?  Вахонин считает, что защита должна включать в себя три обязательных элемента: четкий инструктаж сотрудников о принятых в компании правилах информационной безопасности, внедрение DLP-системы и повышение лояльности работников. Заметим, что в ходе глобального исследования, проведенного в 2010 году компанией PricewaterhouseCoopers, всего 36% респондентов сообщило, что их организация контролирует информацию, размещаемую на внешних ресурсах и в социальных сетях, и только 23% компаний приняли политики безопасности для контроля и мониторинга публикаций сотрудников в социальных сетях.

     Оганизациям стоит также иметь в виду, что злоумышленники могут взламывать корпоративные страницы в социальных сетях, подменяя на них информацию для нанесения репутационного вреда и рассылая спам от лица компании, - предупреждает глава российского представительства компании ESET Михаил Дрожжевкин. "Еще одной угрозой можно назвать вскрытие интегрированных в социальные сети интернет-магазинов, с помощью чего может производиться перехват платежных транзакций. Кроме того, одним из возможных рисков для компании может стать нахождение злоумышленниками уязвимостей в местах стыка корпоративного сайта с соцсетями для получения доступа к корпоративным ресурсам компании, - сообщает он. - Правила интернет-безопасности достаточно просты и применимы не только к домашним пользователям, но и к компаниям: необходимо посещать только проверенные ресурсы в интернете; наличие антивирусной защиты должно быть неотъемлемой частью вашего компьютера; нужно внимательно относиться к поступающим письмам и сообщениям, даже от хорошо знакомых вам людей".