Следует признать, что информация среди пользователей о наиболее распространенных способах проникновения вирусов давно устарела.
В первую очередь всегда и во всем принято обвинять сотрудников. И часто небезосновательно. Разработана даже методика, названная «социальная инженерия», следуя которой гораздо легче обмануть не технику, а людей. Был проведен эксперимент. В офисе одной компании были разбросаны флеш-накопители, под завязку забитые вредоносными программами. Пятнадцать (!) человек подобрали их и воткнули в рабочие компьютеры (а как же еще проверить, что там такое интересное записано). Программы сразу заработали и начали собирать пароли, персональные данные и другую полезную информацию. Это лирика, конечно. Но непрофессионализм сотрудников действительно является большой проблемой, что наглядно подтвержает, в частности, специальное исследование компании G Data Software AG, посвященное мифам об информационной безопасности.
Согласно опросу, проведенному в апреле-мае 2011 года среди 1 085 интернет-пользователей в возрасте от 18 до 65 лет, 97,88%респондентов уверены в том, что они заметят, если их компьютер будет заражен. Такое заражение, по их мнению, проявляется в виде подозрительных всплывающих окон, при ощутимом замедлении работы компьютера или в полном ее прекращении.
Однако в настоящее время это большое заблуждение, так как преступники заинтересованы в краже информации и денег, а значит, пользователь не должен знать о заражении как можно дольше. В прошлом вредоносные программы создавались разработчиками для того, чтобы доказать свои технические способности, сейчас же они предпочитают скрываться от жертв и антивирусов.
Также следует признать, что информация среди пользователей о наиболее распространенных способах проникновения вирусов давно устарела. Электронная почта в этом ряду уже не является лидером (пользовали стали более внимательны к вложениям и ссылкам в письмах). Файлообменники также могут быть опасны, но они не лидируют в списке опасных хранителей вирусов. Утверждение о USB-накопителях, хотя и показательно на предыдущем примере, в основном было актуально в 90-е годы прошлого века. Большинство вредоносных программ сейчас распространяется через вредоносные веб-сайты, хотя в обратном уверены 48,48% опрошенных россиян. А 11,89% уверены, чтобы если не открывать зараженные файлы, то нельзя заразить свой ПК - и это факт не может не вызывать беспокойство.
Чтобы не провоцировать хороших людей на плохие поступки, у разработчиков не должно быть доступа к базам с данными пользователей.
ñ Чаще всего доступ к базам данных получают через почту администратора, где хранятся все логины и пароли. Что с этим должны делать компании, которым приходится иметь дело с персональными данными пользователей? Повышать уровень знаний о безопасности у сотрудников: семинары, мастер-классы, бесконечные инструкции - все это необходимо.
ñ Во-вторых, нужно ограничить доступ к базам данных тех сотрудников, работа которых не связана напрямую с данными о соискателях.
ñ Плюс к этому, должны быть задействованы дополнительные механизмы безопасности, такие как идентификация пользователя системы по смарт-карте, мобильному телефону или токену (специальная флешка). На hh.ru сотрудникам, чтобы войти в бэк-офис с домашнего компьютера, нужно набрать логин и пароль, после чего на их личный мобильный приходит смс с одноразовым кодом доступа. При этом на сайтах Группы компании HeadHunter (куда входят также career.ru и rabota.mail.ru) никогда не бывает всплывающих окон с просьбой ввести номер телефона.
ñ Регистрация нового пользователя и авторизация уже существующего на hh.ru совершенно бесплатна. Платными являются только конкретные услуги для работодателей и соискателей. Кроме того, при работе посетителей не просят переходить на другие ресурсы. URL-адрес сайта — http://hh.ru (никаких www, никаких дефисов или подчеркиваний; региональные домены разделены точкой: http://samara.hh.ru, http://novosibirsk.hh.ru).
ñ Еще одно потенциальное слабое звено - разработчики. Они - демиурги в этой системе. По мановению их ловких пальцев создается все, что мы видим перед собой на мониторе. Но власть - это большая ответственность. И у некоторых людей под тяжестью этой ноши начинает расползаться на молекулы совесть. Чтобы не провоцировать хороших людей на плохие поступки, у разработчиков не должно быть доступа к базам с данными пользователей. То же самое относится и ко всем остальным специалистам, деятельность которых напрямую с данными пользователей не связана. Например, системный администратор. Все это моменты проверяются во время аккредитации ресурса на соответствие закону о хранении персональных данных. HeadHunter проверку прошел.
