ЗАГАЛЬНІ РЕКОМЕНДАЦІЇ ЩОДО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПРИ РОБОТІ В МЕРЕЖІ ІНТЕРНЕТ
ЗАГАЛЬНІ РЕКОМЕНДАЦІЇ ЩОДО ЗАБЕЗПЕЧЕННЯ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПРИ РОБОТІ В МЕРЕЖІ ІНТЕРНЕТ
1. Зберігання та передача даних
Недотримання окремих правил безпеки під час здійснення службових обов'язків працівниками органів виконавчої влади та місцевого самоврядування, посадовими особами державних підприємств, установ, організацій може призвести до втрати чи крадіжки мобільних телефонів, персональних ноутбуків, магнітних носіїв інформації тощо. Вказане ставить під загрозу збереження персональних даних та може призвести до розголошення інформації з обмеженим доступом.
Сприятливі умови для реалізації кіберзагроз виникають через порушення базових вимог законодавства про захист інформації в інформаційно-телекомунікаційних системах (далі – ІТС), а також внаслідок
таких чинників:
• здійснення несанкціонованого доступу до баз даних;
• копіювання та передача через незахищений канал мережі Інтернет документальних матеріалів, що містять службову інформацію;
• використання особистих технічних засобів у складі виробничих автоматизованих систем (USB-флеш накопичувачі);
• підключення до комп'ютерних систем технічних засобів із модулями передачі даних (Bluetooth, GSM тощо), призначених для створення каналів зв'язку з мережами загального користування та іншими електронними пристроями;
•незахищеність ІТС за допомогою актуальних версій антивірусного програмного забезпечення.
З метою уникнення негативних наслідків у випадку втрати або викрадення носіїв інформації необхідно:
• встановити паролі на усі пристрої, що перебувають у користуванні, а також паролі/коди на доступ до всіх облікових записів;
• систематично здійснювати резервне копіювання важливих файлів;
• блокувати пристрої щоразу після закінчення роботи з ними.
2. Соціальні мережі
З метою уникнення несанкціонованого доступу до персональних акаунтів, зареєстрованих у соціально-орієнтованих ресурсах мережі Інтернет, необхідно:
• встановити надійний пароль для входу в обліковий запис. При цьому рівень захищеності акаунта та інформації, яка в ньому міститься, залежить від складності встановленого паролю;
• використовувати функцію подвійної авторизації. Щоб увійти до профілю з незнайомого пристрою, сервіс вимагатиме пройти додаткову ідентифікацію як власника акаунта. При цьому на вказаний номер телефону чи на поштову скриньку буде надіслано повідомлення з кодом підтвердження або необхідно буде ввести один із паролів, які попередньо були збережені через інший обраний спосіб підтвердження;
• здійснити додаткові налаштування профілю в соціальних мережах з метою отримання інформації щодо несанкціонованого доступу до ресурсів з невідомого пристрою або Інтернет-браузера;
• при створенні акаунтів у соціальних мережах використовувати у якості логіна поштову адресу надійного сервісу (наприклад «Google», «Yahoo»), або українських поштових сервісів. Не рекомендується користуватися російськими сервісами;
•не здійснювати авторизацію особистих чи робочих, корпоративних профілів з незнайомих чи незахищених пристроїв. Існує ймовірність, що після завершення роботи не буде здійснено вихід із облікового запису або пристрій запам'ятає вказаний при вході логін та пароль. Крім того, існує ймовірність ураження такого пристрою шкідливим програмним забезпеченням, що може здійснювати збір та передачу відомостей щодо паролів та логінів зацікавленим особам;
відкривати вкладень у підозрілих повідомленнях від адресатів щодо яких виникають сумніви;
• пам'ятайте, що саме фішинг (довідково: фішинг – вид шахрайства,
метою якогоє виманювання у довірливих або неуважних користувачів мережі Інтернет персональних даних клієнтів, сервісів із переказу або обміну валюти, Інтернет-магазинів) є найпоширенішим способом отримання зловмисниками паролів до поштових скриньок та сторінок у соціальних мережах.
Також слід враховувати, що у ході гібридної агресії з боку РФ соціальні мережі активно використовуються для збору додаткових відомостей щодо місць регулярного перебування особи, її родичів, колег, особистих уподобань та іншої приватної інформації.
З метою недопущення отримання зацікавленими особами додаткової (приватної) інформації стосовно особи, членів її сім'ї, колег рекомендується:
•не публікувати у соціальних мережах інформацію, що може поставити під загрозу особисте життя особи, життя членів її сім'ї та інших осіб;
• членам сімей військовослужбовців не публікувати фото- та відеоматеріали, за допомогою яких можна визначити їх місцезнаходження, отримати дані про озброєння та діяльність військової частини, окремих збройних військових формувань, що беруть участь у проведенні операції об'єднаних сил на сході України. Вказані дії можуть загрожувати життю та здоров'ю людей, а також створює передумови до вербувальної
діяльності спеціальних служб іноземних держав, насамперед Російської Федерації;
• обмежити доступ до приватної інформації в налаштуваннях конфіденційності соціальної мережі. Вибрати налаштування, які найбільше захищають додаткові відомості про власника акаунта. Зокрема, не зазначати геолокацію (місце розташування);
• періодично переглядати список «друзів» у соціальній мережі. Якщо серед них є незнайомі або підозрілі акаунти, необхідно їх видалити, оскільки статус «друга» відкриває доступ до більшого обсягу приватної інформації про особу. У подальшому необхідно бути уважними під час додавання до списку «друзів» нових користувачів;
•не використовувати російські соціальні мережі «ВКонтакте» та «Одноклассники», а також російські пошукові системи «Mail.ru» та «Yandex» (у т.ч. із застосуванням сервісів VPN), доступ до яких обмежено відповідно до Указу Президента України No 184/2020, оскільки відповідно до федеральних законів РФ власники вказаних ресурсів можуть передавати російським спецслужбам відомості щодо персональних даних користувачів акаунтів (e-mail, номер мобільного телефону, дата та IP-адреса реєстрації, дата та IP-адреса останнього відвідування тощо).
Слід зазначити, що за розповсюдження через соцмережі матеріалів із закликами до насильницької зміни чи повалення конституційного ладу або до захоплення державної влади, а також зміни меж території або державного кордону України на порушення порядку, встановленого Конституцією України, передбачена кримінальна відповідальність.
Також слід звернути увагу на те, що окремі публікації, розміщені посадовими особами органів виконавчої влади на їх персональних сторінках у соціальних мережах, можуть слугувати інформаційним приводом, який у подальшому буде використаний для підриву авторитету державної влади в цілому, штучного загострення суспільно-політичної ситуації в державі та здійснення інших деструктивних дій на шкоду державним інтересам України.
3. Використання додатків до смартфонів
Під час встановлення тих чи інших додатків на власний телефон ці програмні продукти можуть вимагати доступу до певної інформації на використовуваному пристрої, насамперед геолокації, списку контактів, акаунтів у соціальних мережах та поштових скриньок.
За наявними даними, більшість шпигунських програм «вшиваються» саме в мобільні додатки, які цікавлять конкретну аудиторію. Тому необхідно бути уважним під час встановлення додатків, особливо якщо робити це з невідомих та неперевірених сервісів.
з метою унеможливлення завантаження на особистий пристрій програм-Шпигунів необхідно дотримуватись таких правил:
• встановлювати додатки лише з офіційних та перевірених сервісів (Chrome Store, Google Play Store dra Android, App Store dna iOS);
• заборонити операційній системі смартфона (планшета, ПЕОМ) автоматично встановлювати додатки з невідомих джерел, шляхом здійснення відповідних налаштувань пристрою;
• періодично здійснювати видалення усіх особистих пристроїв від додатків, які не використовуються.
4. Електронне листування
Щоб уникнути зламу електронної поштової скриньки, необхідно:
• увімкнути
двофакторну автентифікацію за допомогою мобільного пристрою. В такому випадку під час спроби отримання паролю до поштової скриньки сторонніми особами буде надходити попередження на мобільний
телефон у вигляді SMS-повідомлення про спробу злому;
• встановити надійний пароль;
• не використовувати для відновлення паролю російські сервіси («Yandex.ru», «Mail.ru» тощо);
•не запускати на пристроях вкладення підозрілих листів, що містять виконуваний файл з такими розширеннями як «.exe», «.bat», «.cmd», «.vbs», «.docт», «.xlsт» тощо;
• державні службовці повинні пам'ятати, що службові електронні скриньки не слід використовувати для приватного листування.
5. Доступ до мережі Інтернет
Одним із найпоширеніших способів доступу до мережі Інтернет у публічних місцях є підключення до відкритих точок Wi-Fi. Зазвичай вони є безплатними та доступ до них здійснюється без введення паролів. Саме відсутність паролю робить їх вразливішими для злому з боку зацікавлених осіб, які мають на меті отримати персональні дані та відомості, що зберігаються на телефоні, планшеті, ПЕОМ тощо.
Щоб уникнути перехоплення даних сторонніми особами, необхідно:
•під час здійснення доступу до мережі використовувати лише ті точки Wi-Fi, які мають протоколи безпеки для захисту безпровідного з'єднання WPA чи WPA-2;
•у публічних місцях найкраще користуватись особистим Wi-Fi модемом або здійснювати доступ до мережі Інтернет з мобільного пристрою за передплаченим пакетом послуг мобільного оператора;
•на ПЕОМ, мобільних пристроях та планшетах необхідно вимкнути функцію «Автоматичне підключення до Wi-Fi».
6. Рекомендації посадовій особі органу виконавчої влади:
•прес-службам державних органів під час суспільно-політичних подій в країні необхідно надавати коментарі та роз'яснення рішень на випередження, щоб уникнути інтерпретацій та викривлень у ході обговорення тієї чи іншої ситуації в загальнодоступних та соціально орієнтованих ресурсах мережі Інтернет;
• державним органам, установам необхідно розробити та затвердити чіткий план дій для оприлюднення представниками їхніх прес-служб інформації у випадку виникнення резонансних інцидентів;
• офіційні представники органів державної влади повинні оприлюднювати суспільно значущу інформацію, якщо вона не належить до тієї категорії, що не підлягає оприлюдненню. Не варто забувати, що приховування такої інформації від суспільства може знизити довіру до них;
•представникам органів державної влади під час надання коментарів, інтерв'ю, брифінгів не рекомендується використовувати оціночні судження, що можуть призвести до неоднозначного тлумачення наданої інформації її споживачами;
• органам державної влади необхідно розробити правила використання офіційних сторінок та акаунтів у соціальних мережах для уникнення непорозумінь з користувачами та окреслення формату комунікації через соціальні мережі. Крім того, вважається за доцільне здійснити верифікацію офіційних представництв органів державної влади та установ, які у своїй діяльності використовують акаунти у соціальних мережах, насамперед «Facebook», «Twitter» та канали у відеохостингу «Youtube»;
• держслужбовцям, а також іншим особам, які відпові функціональних обов'язків працюють з інформацією з обмеженим доступом, необхідно пам'ятати, що під час оформлення допуску до державної таємниці при заповненні відповідних анкет вони повинні вносити достовірні дані про свої контакти з іноземними громадянами, наявність власних електронних скриньок, сайтів, профілів у соціальних мережах та тематичних форумах.