Защита персональных данных при использовании мобильного интернета

Как Роскомнадзор стал проверять мобильные приложения

И чем это может грозить агентскому рынку.

Почти год назад, 1 сентября 2015 года, вступил в силу Федеральный закон № 242-ФЗ, который в народе прозвали «Законом о локализации персональных данных».

Одним из важных нововведений закона является внесение в ст. 18 закона № 152-ФЗ «О персональных данных» пункта 5, обязывающего осуществлять обработку персональных данных граждан Российской Федерации на территории России, а именно:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Интернет и СМИ пошумели какое-то время о новых требованиях, после чего тема незаметно ушла на задний план.

Между тем Роскомнадзор, осуществляющий проверки по персональным данным, тему не забыл и взял её на контроль. За прошедшее время он определил методику проверки компаний на выполнение требований по локализации, представил свое «неофициальное» мнение на новые требования и уже начал проводить проверки компаний, у которых наверняка имеет место хранение данных за рубежом и трансграничная передача персональных данных (KupiVip.ru, Microsoft, McDonald’s, Oriflame, РОЛЬФ, Samsung и другие).

Пакет MUSTHAVE для digital-агентств/студий

Теперь самый главный, комплексный и эффективный пакет MUSTHAVE для digital-агентств и веб-студий на Руварде можно приобрести в любое время сроком на 1 или 12 месяцев!

И в этом году Роскомнадзор стал проверять мобильные приложения компаний.

Смотрите. До проведения плановой или внеплановой проверки, Роскомнадзор направляет перечень запрашиваемых сведений. Если в прошлом году направлялся список из 23 пунктов, то с этого года 7-ми страничный документ, в котором стали запрашиваться информация о мобильных приложениях:

4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.
4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.
4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.
4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения.

Также, по опыту участия в проверках Роскомнадзора этого года, известно, что представители регулятора запрашивают сведения о сервисах статистики, установленных на приложение (Flurry, Mixpanel, Google Analytics, Yandex Metrika и другие).

Представители регулятора попросят запустить приложение на устройстве и показать, как оно работает, куда и какие персональные данные вводятся. В том числе не обойдут стороной и проверку того, в каком виде отображаются персональные данные пользователей в админ-панели (если такая есть).

Проверка месторасположения баз данных с персональными данными граждан РФ осуществляется Роскомнадзором несколькими способами.

Во-первых, подтверждающие документы по месторасположению запрашиваются у проверяемого оператора. Такими документами могут быть договор с хостингом или ЦОДом с указанием адреса расположения сервера с базой данных, официальное письмо их хостинга или ЦОДа или информационное письмо от руководства, если сервера располагаются в помещениях проверяемой организации.

Во-вторых, Роскомнадзор может запросить IP-адрес сервера и проверить его местонахождение через этот сервис (применяется при проверках).

Занимаются ли представители Роскомнадзора снифингом трафика для определения IP и установления месторасположения сервера, нам пока не известно, но и это не исключено.

Также Роскомнадзор стал требовать подписывать с агентствами, разрабатывающими и поддерживающими мобильные приложения, соглашения об обеспечении безопасности персональных данных, и по опыту, многие агентства не готовы к этому, опасаясь рисков.

Что делать компаниям, у которых имеются свои мобильные приложения?

В зоне риска те компании, сервера мобильных приложений с персональными данными российских пользователей у которых расположены за пределами России.

Чтобы не попасть на штрафы, блокировку и на требование по уничтожению персональных данных со стороны Роскомнадзора, можно воспользоваться следующими способами «локализации»:

1. Отказаться от вывода на российский рынок мобильного приложения (актуально для международных брендов, имеющих россыпь мобильных предложений, и которые не понесут потерь от такого решения).
2. Локализовать сервер мобильного приложения с персональными данными на территории России.
3. Развернуть локализованный в России сервер для первичного сбора персональных данных, после чего направлять данные за рубеж.
4. Использовать юридические уловки с правильным обоснованием, чтобы не попасть под требование локализации.

Также стоит работать с теми агентствами мобильной разработки, которые готовы подписывать соглашения об обеспечении безопасности персональных данных, чтобы не навлечь на себя немилость регулятора.

Что делать разработчикам мобильных приложений и агентствам, поддерживающим их?

Чтобы не потерять хороших клиентов и привести процесс разработки и поддержки мобильных приложений в соответствие с 152-ФЗ, рекомендуется:

1. Подать уведомление об обработке персональных данных в Роскомнадзор.
2. Разработать шаблон соглашения об обеспечении безопасности персональных данных для подписания его с заказчиками и Положение об обеспечении безопасности персональных данных.
3. По возможности, рекомендовать размещение серверных мощностей мобильного приложения на территории РФ.

Если есть возможность, то и подготовить необходимый комплект документов по персональным данным.

Некоторые, понятное дело, забьют на эти требования и на закон. Но закону 10 лет, и вряд ли он куда-то уже денется.

Мнение редакции может не совпадать с мнением автора. Если у вас есть, что дополнить — будем рады вашим комментариям. Если вы хотите написать статью с вашей точкой зрения — прочитайте правила публикации на Cossa.

Защита персональных данных в интернете

Защита персональных данных
с помощью DLP-системы

С кандалы с утечкой персональных данных следуют один за другим. Сразу после появления в Сети фотографий интимного содержания американских звезд появилось сообщение об открытом доступе к паролям от электронной почты «Яндекса» и Mail.ru. В комментариях обе компании переложили ответственность на пользователей аккаунтов, посетовав на их легкомысленность.

Многие уверены, что злоумышленники в сети Интернет «охотятся» исключительно за данными богатых и знаменитых. Но это не так. Персональные данные обычных пользователей, попадая в руки мошенников, позволяют им извлекать неправомерную выгоду.

Персональная информация: что это?

ФЗ «О персональных данных» называет так сведения, позволяющие идентифицировать человека (пользователя Интернета). Это фамилия, имя, отчество, полная дата рождения, место жительства, серия и номер паспорта, место работы. А вот пароль от Интернет-аккаунта к персональным данным не относится, поскольку личность пользователя не идентифицирует.

На обнародование данных (телефона, адреса электронной почты) требуется согласие пользователя. Аналогично по запросу гражданина информация удаляется из общего доступа.

Где и как хранится информация?

Серверы большинства Интернет-компаний расположены в США. Mail.Ru Group – собственник пяти дата-центров на территории РФ и арендатор иностранных серверов. «Яндекс» организовал дата-центр в Рязани, выкупив девять цехов завода «Саста». К 2020 году компания планирует установить на территории данного центра 100 000 серверов. Также «Яндекс» арендует серверы в Америке, Финляндии и Нидерландах.

Изменения, внесенные в ФЗ «О персональных данных», обязали компании обеспечить хранение данных российских пользователей Интернета в пределах страны. Поэтому ожидается увеличение количества российских дата-центров. Остается неясным отношение иностранных Интернет-корпораций к данному требованию. В средствах массовой информации периодически появляются сведения о переговорах властей по данному вопросу с Twitter, Facebook и Google.

Пути передачи личной информации

Личными данными граждане расплачиваются за бесплатное пользование Интернетом. Корпорации «Яндекс» и «Гугл» на основе анализа данных из разных источников определяют нужды пользователей. Их заработок зависит от рекламы. Поэтому от изучения запросов пользователя Сети зависит выбор транслируемых объявлений. Facebook отображает рекламную информацию, исходя из данных профиля пользователя и страниц, отмеченных пометкой «нравится».

Использование кнопок шейринга (репост, Pluso) позволяет компаниям получать больше данных пользователей, продажа которых рекламным компаниям приносит дополнительную прибыль.

При работе с сервисом пользователь соглашается с предложенными условиями использования его персональных данных. Сервисы получают доступ к данным, когда пользователь авторизуется или демонстрирует интерес, переходя по ссылкам и отмечая понравившиеся публикации.

Защиту персональной информации пользователей в Сети каждая Интернет-компания обеспечивает по-разному. «Яндекс» шифрует содержание электронных писем, персональные данные корреспондента и используемый логин и распределяет их по трем точкам, безопасность которых обеспечивается тремя группами системных администраторов. Для получения доступа к данным требуется согласованное участие сразу трех групп, что невозможно без проведения внутренних процедур. Попытка открытия несанкционированного доступа к данным пользователя автоматически логируется и передается в службу безопасности «Яндекса».

Кому и зачем нужна личная информация?

Пользуются персональными данными не только для установления личности, но и для мошенничества. Отсутствие защиты персональных данных провоцирует утечку и попадание информации в руки мошенников. Чаще всего встречаются:

• подмена данных для выполнения определенных действий. Благодаря известным персональным данным, можно завести фейковый аккаунт в соцсети или провести мошенническую операцию;
• получение финансовых данных пользователя: номеров кредиток, электронных кошельков, аккаунтов платных онлайн-игр. Для открытия доступа к денежным средствам требуется знание личных данных;
• удаление персональных данных. Уничтожение личной информации пользователей блокирует работу сервиса, а полученная информация используется в преступных целях.

Пользуются персональными данными не только злоумышленники. Личными данными пользователей активно интересуются специалисты по таргетинговой рекламе. Главный источник получения сведений для данного вида рекламы – файлы cookie, которые передаются браузером пользователя на сервер таргетингового агентства.

Защита личной информации

Проконсультироваться относительно организации индивидуальной защиты личных данных стоит с сотрудниками компаний, специализирующихся на оказании услуг в данной отрасли. Также существует список общих рекомендаций, позволяющих защитить личные сведения самостоятельно.

Двойная аутентификация

Непонятное название, но работает этот механизм просто. Логин и пароль обеспечиваются двойной защитой:

• стандартной комбинацией букв и цифр, которая охраняется на сервере;
• специальным кодом, передаваемым на устройство, которым владеет только пользователь.

Например, после введения пароля в Интернет-банкинге на телефон приходит СМС с одноразовым кодом. Данный код вводится на сайте для входа в персональный кабинет.

Безопасная связь

Перед оплатой покупки в Интернете или выполнением других финансовых операций стоит отслеживать значок, появляющийся слева от строки адреса. Данный значок должен информировать пользователя о работе с зашифрованным соединением.

При отсутствии защиты соединения рекомендуется пользоваться дополнительными сервисами, которые перенаправят пользователя на HTTPS-версию сайта.

Генерация паролей

Создать сложный пароль – распространенный совет экспертов по безопасности персональных данных. Однако самостоятельно созданный пароль уступает сгенерированному специализированным сервисом. К тому же запомнить его непросто, а записывать в ежедневник – ненадежно.

Специализированные сервисы, называемые «менеджерами паролей», автоматически создают сложные пароли и сохраняют их на защищенных серверах. Поэтому не требуется запоминать данную комбинацию, сервис автоматически впишет ее в нужном месте. Данную услугу предоставляют приложения Enpass, 1Password, LastPass.

Контроль доступа сервисов к личной информации

Для пользователей мобильных устройств iOS и Android включена функция разрешения или запрета получения приложением персональных данных. Важно только не лениться и периодически проверять, к каким сведениям получает доступ скачанное приложение или игра. При появлении подозрительных запросов рекомендуется отказаться от установки и использования такого приложения.

Использование VPN при работе с общедоступными точками Wi-Fi

Пользуясь Интернетом в гостинице, на вокзале или в кафе через Wi-Fi соединение, рекомендуется включать VPN сервис, перенаправляющий трафик на собственный ресурс, выдавая «чистый» доступ, недоступный для незаконных манипуляций. Поскольку использование пароля не обеспечит полноценную защиту.

Установка лицензионного программного обеспечения

Защиту от вирусов и хакерских атак на домашних и рабочих ПК может обеспечить только лицензионная антивирусная программа, которую нужно своевременно обновлять. Перед установкой программ из Интернета или регистрацией на сервисах с введением персональных данных следует внимательно прочитать пользовательское соглашение, поскольку одним из его условий может быть обработка и использование личной информации.

Правильно доверять организацию защиты личной информации компаниям, предоставляющим такие услуги. Они владеют специальными методами защиты информации и помогут подобрать индивидуальную систему безопасности в зависимости от специфики работы компании-заказчика, типовых угроз. Такие компании организуют защиту сведений в облачном хранилище или на физическом сервере.

Мобильные угрозы и методы борьбы с ними

В статье приводятся описание и примеры распространенных мобильных угроз, имеющиеся на рынке средства защиты, а также эффективные личные тактики для снижения рисков компрометации мобильных устройств.

Автор: Михайлова Анна, Angara Technologies Group.

Аннотация

За последние десятилетия функциональные возможности мобильных устройств значительно выросли: в работе с корпоративными и личными документами мобильные устройства уже не отстают от возможностей персонального компьютера (ПК). Компактность и удобство гаджетов привела к тому, что современный человек, практически, не расстается со своими мобильными устройствами, которые превратились в незаменимого помощника и в источник уникальной личной информации. Эти факторы закономерно привели к росту количества мобильного вредоносного ПО (далее – «ВПО»), усложнению векторов атак и каналов утечки информации.

В статье приводятся описание и примеры распространенных мобильных угроз, имеющиеся на рынке средства защиты, а также эффективные личные тактики для снижения рисков компрометации мобильных устройств.

Обзор мобильных угроз

Рынок вирусов для мобильных устройств вырос и усложнился. Мобильным устройствам угрожают уже не только относительно безобидные трояны-кликеры, но и полноценные вирусы и шпионское ПО. Большинство вирусных исследовательских компаний выделяют следующие виды угроз:

Adware и кликеры. Иногда для данного вида угроз используется термин «Madware» (Mobile Adware). Основная цель этого класса ВПО – показ пользователю нерелевантной рекламы и генерирование искусственных переходов на сайты рекламодателей. С помощью «Madware» злоумышленники зарабатывают «клики» и демонстрируют оплачивающим их компаниям иллюзию интереса пользователей.

Spyware – ПО, осуществляющее кражу персональных данных или слежку за своим носителем. Фактически, мобильное устройство может превратиться в полноценный «жучок», передавая злоумышленникам данные о сетевой активности, геолокации, истории перемещений, а также фото и видеоинформацию, данные о покупках, кредитных картах и др.

Дроппер – ВПО, целью которого является скачивание другого вредоносного ПО.

Вирус – ПО, которое наносит явный вред, например, выводит из строя конкретное приложение или одну из функций устройства.

Бот – агент бот-сетей, ВПО, которое по команде C&C-сервера осуществляет требуемую злоумышленнику сетевую активность.

Мобильные устройства также подвержены и традиционным атакам (например, DNS Hijacking, E-mail Phishing), так как используют те же базовые пользовательские сервисы, что и персональные ПК.

Вирусные эпидемии на мобильных устройствах затрагивают от нескольких сотен до миллионов устройств. Статистика исследователей компании Positive Technologies уравнивает риски ОС Android и ОС iOS, несмотря на строгую политику Apple в части обеспечения информационной безопасности (https://www.ptsecurity.com/ww-en/analytics/mobile-application-security-threats-and-vulnerabilities-2019/).

Рассмотрим примеры наиболее известного мобильного ВПО: «Агент Смит», Culprit, SockPuppet или Unc0ver, Ztorg, Monokle.

Заподозрить заражение «Агентом Смитом» можно по заметному увеличению показа нерелевантной рекламы. Пока это единственное зафиксированное вредоносное действие этого ВПО, хотя, технически, оно имеет огромный вредоносный потенциал. Масштаб заражения Агентом Смитом – 25 млн. устройств, преимущественно, в Азии. Поведение ВПО частично напоминает работу таких вирусов, как Gooligan, Hummingbad, CopyCat. «Агент Смит» действует следующим образом:

Пользователь скачивает дроппер в составе зараженного приложения (бесплатной игры или приложения с возрастным цензом).

Дроппер проверяет наличие на мобильном устройстве популярных приложений, таких как WhatsApp, MXplayer, ShareIt.

Дроппер скачивает и распаковывает архив, который превращается в APK-файл, при необходимости, обновляет и заменяет легитимное популярное приложение на зараженный вариант.

Culprit – ВПО под ОС Android, представляющее собой встроенный в видеофайл код, эксплуатирующий уязвимость CVE-2019-2107 в ОС Android 7.0 до 9.0 (Nougat, Oreo, Pie). Достаточно открыть видеофайл, полученный в фишинговом MMS или сообщении из мессенджера, и ВПО получает полные права в системе.

SockPuppet или Unc0ver – ВПО, позволяющее получить злоумышленнику права суперпользователя для систем iOS и MacOS (Jailbreak). ВПО скачивается в составе зараженного приложения, которое определенный промежуток времени было доступно даже в официальном магазине Apple. ВПО регулярно обновляется и эксплуатирует уязвимость CVE-2019-8605, которая наследуется новыми версиями iOS. В версиях iOS 12.2 и 12.3 уязвимость была закрыта, после чего вновь появилась в версии 12.4 и была пропатчена в версии 12.4.1.

Старый троян Ztorg под ОС Android после установки собирает сведения о системе и устройстве, отправляет их на командный сервер, откуда приходят файлы, позволяющие получить на устройстве права суперпользователя (Jailbreak). ВПО распространяется через зараженные приложения и рекламные баннеры.

Monokle под ОС Android и iOS – троян, позволяющий вести полноценный шпионаж за жертвой: записывать нажатия клавиатуры, фотографии и видео, получать историю интернет-перемещений, приложений социальных сетей и мессенджеров, вплоть до записи экрана в момент ввода пароля. Троян снабжен рядом эксплойтов для реализации необходимых прав в системе, распространяется, предположительно, с помощью фишинга и зараженных приложений. Первые версии ВПО появились под ОС Android, но уже появились версии для устройств Apple.

Источники угроз

На основе анализа описанных примеров мобильного ВПО, а также каналов проникновения других образцов ВПО можно выделить следующие основные пути компрометации устройства:

Установка пакета приложений APK из неофициальных маркетов.

Установка зараженного приложения из официального магазина. В данном случае, после обнаружения зараженного приложения службой безопасности магазина, оно будет оперативно удалено, а установленное пользователями приложение будет обновлено на безопасную версию.

Фишинг и социальная инженерия – SMS, MMS с привлекательными для жертвы вредоносным контентом или ссылкой. Или звонок от ложного «оператора связи» или «служащего банка» с требованием передать учетные данные. Известны несколько нашумевших случаев добровольной установки пользователями программы удаленного управления TeamViewer, якобы, по просьбе службы безопасности банка. После установки программы пользователи передавали злоумышленникам учетные данные для удаленного управления, что равнозначно передаче разблокированного телефона в чужие руки.

Концепция Bring Your Own Device, BYOD (использование для работы с корпоративными документами личного устройства) привносит в корпоративный сегмент целый класс угроз – мобильное устройство сотрудника становится точкой входа во внутреннюю сеть предприятия и источником утечек информации.

Основные методы защиты от мобильных угроз

По версии NIST (NIST SPECIAL PUBLICATION 1800-4 Mobile Device Security, Cloud and Hybrid Builds) для снижения риска заражения мобильного устройства и утечки конфиденциальной информации необходимо реализовать следующие методы защиты:

Шифрование данных на устройстве. Шифровать можно отдельные папки (если позволяет система), данные приложений или все устройство целиком. По возможности, необходимо использовать аппаратные платы шифрования и хранения ключевой информации.

Защита сетевого трафика: шифрование канала передачи данных, использование внешних фильтрующих решений для очистки трафика. Использование корпоративного шлюза, сканирующего web и email-трафик, или использование облачных решений очистки трафика от ВПО.

Обнуление данных на скомпрометированном устройстве (wipe). Уничтожение всех данных или данных отдельного корпоративного приложения при утере или краже мобильного устройства. Обнуление может быть реализовано по удаленной команде или после нескольких неудачных попыток аутентификации.

Реализация «песочницы»: использование приложения с изолированным контейнером для хранения данных, которое, как правило, выполняет шифрование данных, контроль их целостности, изоляцию данных приложения в оперативной памяти, запрет копирования данных (вплоть до запрета на снятие скриншотов), удаленное уничтожение данных.

Контроль установленных приложений, вплоть до составления «белого» списка разрешенных приложений, контроль их целостности. Контроль целостности приложений при запуске устройства.

Использование двухфакторной аутентификации: желательно использовать дополнительные средства аутентификации, в частности, сканирование отпечатка пальца. Необходимо иметь в виду, что некоторые биометрические способы аутентификации пока не очень надежны, например, распознавание лиц. Аутентификация путем ввода кода из СМС в современных условиях многими экспертами также признается недостаточно ненадежной.

Своевременная регулярная установка обновлений ОС, приложений, драйверов. При этом важно использовать официальные источники ПО.

Антивирусная защита: регулярное сканирование системы, файлов, приложений. Сканирование приложений перед их установкой.

Классы решений для защиты мобильных устройств

На рынке представлены следующие классы решений для защиты мобильных:

Антивирусные решения. Наиболее популярные среди них: Kaspersky Internet Security, Trend Micro Mobile Security, BitDefender, ESET NOD32 Mobile Security, Avast Mobile Security & Antivirus, Dr.Web Anti-virus, AVG Antivirus, Avira Antivirus Security, Norton Security & Antivirus, McAfee Security & Antivirus.

Mobile Threat Management, MTM (источник термина – IDC) – агент, выполняющий, помимо антивирусной защиты, фильтрацию корпоративного почтового трафика и трафика мессенджеров от вредоносных URL и документов, интеграцию с корпоративным облаком для фильтрации трафика и мониторинга событий. Возможно дополнительное шифрование контейнера данных приложения. На рис. 1 представлен квадрат решений MTM от IDC за 2019 год.

Рис. 1. Квадрат решений MTM 2019, IDC

Mobile Device Management, MDM – средства управления корпоративными мобильными устройствами или пользовательскими устройствами в концепции BYOD. Включает следующие функции: управление конфигурациями прошивок и приложений, инициализация и деинициализация приложений, удаленная очистка данных, настройка проксирования трафика через корпоративный шлюз или облачное решение фильтрации трафика, удаленный мониторинг и поддержка.

Enterprise Mobility Management, EMM – новое поколение средств защиты мобильных устройств, выросшее из MDM-решений и впоследствии влившееся в концепцию Unified Endpoint Management (UEM). EMM, дополнительно к решениям MDM, включает в себя решения MAM (Mobile Application Management), Mobile Content/Email Management (MCM/MEM), Encrypting File System (EFS), централизованное управление и мониторинг, настройку отдельных приложений, в частности, контроль за установкой приложений из определенного репозитория, удаление приложений, шифрование данных, аудит, проверку на соответствие политикам.

UEM-консоли – общие консоли управления мобильными устройствами и ОС пользователей. В сущности, современные производители средств защиты мобильных устройств предлагают решения, совмещающие набор технологий: MDM, MAM, UEM, MCM/MEM, управление конфигурацией и политиками.

Квадрат Gartner по UEM-решениям за 2019 год представлен на Рис. 2.

Рис. 2. Квадрат Gartner по UEM решениям за 2019 год

Основные выводы

Вслед за развитием мобильных технологий, растет количество и разнообразие ВПО, нацеленного на мобильные устройства.

Общеприменимыми рекомендациями по безопасному использованию как личных, так и корпоративных мобильных устройств являются:

Использование только доверенных официальных прошивок и приложений.

Личная мобильная гигиена в использовании устройств: не устанавливайте неизвестные программы из недоверенных источников, не давайте приложениям избыточные разрешения (например, приложению «Фонарик» не нужен доступ к фотографиям).

Соблюдение физической и логической безопасности устройства: не давайте устройство в руки незнакомым лицам и неофициальным экспертам, не предоставляйте удаленный доступ к устройству недоверенному источнику, например, непроверенному сотруднику банка по телефону.

Периодический мониторинг системных параметров: расхода батареи, сетевой активности. Если приложение создает неадекватный расход ресурсов – это является поводом для проверки или даже удаления приложения, так как оно, возможно, создает вредоносную активность.

Отключение функции платного контента у оператора связи оградит от нелегитимных снятий средств с мобильного счета.

В случае возникновения проблем с приложением – отправка отчетов производителю средствами приложения или через официальный магазин – так вы поможете разработчикам вовремя обнаружить и нейтрализовать возможные заражения.

Для снижения риска заражения вредоносным ПО, обеспечения защиты от утечек конфиденциальных данных и минимизации ущерба в случае потери физического контроля над устройством рекомендуется также использовать специализированные средства защиты – антивирусы, решения класса MTM, а также корпоративные решения классов UEM, MDM, EMM.

Подписывайтесь на каналы “SecurityLab” в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Информационная безопасность на мобильных устройствах – взгляд потребителей

Мобильные устройства стремительно становятся основным способом нашего взаимодействия с окружающим миром – возможность постоянно оставаться на связи является неотъемлемой частью нашей сегодняшней жизни, наши телефоны и всевозможные носимые устройства расширяют наши возможности при покупке продуктов, получении банковских услуг, развлечениях, видеозаписи и фотографирования важных моментов нашей жизни и, разумеется, возможности общения.

Одновременно, благодаря мобильным устройствам и приложениям бренды получили принципиально новый способ заявить о себе, и это, в свою очередь привело к феноменальным уровням роста мобильных технологий за последнее десятилетие. К сожалению, быстрый рост проникновения мобильных технологий приводит и к расширению возможностей для киберпреступников.

Сегодня через мобильные устройства пользователям доступно все больше весьма ценных сервисов, требующих внимательного отношения к безопасности (в числе которых, например, мобильный банкинг, платежи и мобильные идентификаторы). Соответственно, хакеры прекрасно понимают, что, организовав утечку данных аутентификации через мобильное устройство, они смогут получить неавторизованный доступ к онлайн-ресурсам, представляющим собой высокую ценность. В частности, хакеры будут пытаться получить доступ к финансовой информации, учетным данным для доступа к социальным сетям, к данным контрактов в сетях мобильной связи. Так или иначе, порой, этого может оказаться достаточно для полноценного осуществления кражи личности. Эта угроза становится особенно актуальной в настоящее время, когда мы наблюдаем рост числа новых мобильных приложений – согласно исследованию Application Resource Center (Applause), 90% компаний намерено к концу этого года увеличить объем своих инвестиций в разработку мобильных приложений.

Существует неоспоримая потребность уже сейчас защищать корпоративные ресурсы, в том числе интеллектуальную собственность компаний и персональные данные пользователей, особенно с учетом столь большого числа используемых сегодня устройств, на которых может быть запущен вредоносный код. Если мы не обратим на это должного внимания, то фактически мы оставляем конечных пользователей и, в особенности, компании в центре внимания злоумышленников, в распоряжении которых сегодня скапливается все больше ресурсов и которые все активнее прибегают в своей деятельности к новейшим технологиям. Они являются экспертами по распространению вредоносного программного обеспечения, они с умыслом используют неофициальные репозитории приложений, встраивают вредоносный код в сообщения электронной почты, рассылают вредоносные SMS и заражают браузеры, и они без малейших раздумий готовы воспользоваться любой слабостью или уязвимостью. Именно поэтому поставщикам приложений следует внимательно отнестись к подобным угрозам и предпринять все необходимое, чтобы помочь потребителям почувствовать себя в безопасности, предлагая решения, которые обеспечивают надежную защиту от этих уязвимостей.

Но как же нам понять, какая именно технология безопасности необходима в том или ином случае? Как нам понять, что более всего востребовано у конечных пользователей, и что представляет для них наибольшую угрозу? Как нам узнать, какими именно решениями безопасности будут они пользоваться? Что именно будет для них удобнее всего? Все это важные вопросы, требующие ответов, и именно поэтому мы решили провести исследование, опросив более 1300 пользователей смартфонов из числа взрослого населения на шести крупнейших рынках мира: в Бразилии, Великобритании, Южной Африке, Сингапуре, Голландии и в США.

Мы попросили потребителей рассказать о том, каким образом они используют свои мобильные устройства, и поделиться своими ожиданиями в отношении безопасности. Мы хотели выяснить, каким образом потребительские впечатления повлияют на тех, кто занимается разработкой приложений и инфраструктуры для мобильных приложений и сервисов, а именно на банки, государственные органы и на любые крупные предприятия, создающие приложения для пользователей. Результаты этого исследования позволили получить более глубокое понимание того, что именно требуется пользователям, чтобы обеспечить информационную безопасность будущей мобильной революции.

После опроса мы подытожили и проанализировали полученные данные, собрав результаты в отчет. 66% опрошенных утверждают, что совершали бы больше транзакций, если бы знали наверняка, что в их мобильных устройствах уделяется должное внимание вопросам безопасности, до такой степени, что целых 70% конечных пользователей не против иметь цифровые удостоверения личности на своих смартфонах, но только при условии, что все приложения на их телефонах полностью защищены от хакерских атак и уязвимостей.

Другие интересные результаты опроса:

Как защититься от угроз?

Очевидно, что потенциал роста до сих пор не исчерпан. Вопрос заключается лишь в том, чтобы обеспечить безопасность для тех, кто готов расширить сферу применения своих смартфонов. Наше исследование с ответами на вопрос, каким образом можно достичь этого, и рекомендациями по достижению доверия потребителей доступно по ссылке (англ.)

Защита персональных данных при использовании мобильного интернета

Закон о персональных данных в текущей редакции существует уже почти десять лет, а два года назад существенно ужесточились штрафы за его нарушение. Но статистика показывает, что многие заказчики и разработчики не торопятся его соблюдать.

В этой статье разбираемся с тем, когда возникает риск нарушить закон и как этот риск минимизировать.

Ещё раз о нормах закона

Персональные данные (ПДн) — любая информация, которая позволяет идентифицировать конкретного человека. ФИО, паспортные данные, ИНН, СНИЛС, номер страхового полиса, номер мобильного, электронная почта, почтовый адрес, биометрические данные, информация о здоровье, национальная и религиозная принадлежность — всё это попадает под определение персональных данных.

Однако большинство этих данных могут указывать на конкретное лицо только в сочетании именем или фамилией человека. И если насчет e-mail мнения расходятся (ivanovvv@mail.com уже, например, содержит фамилию и инициалы), то номер мобильного телефона сам по себе не позволит определить конкретного человека.

В законе нет конкретного списка таких данных, поэтому мы исходим из соображений здравого смысла.

Тем не менее, как только организация или физлицо формирует список необходимых ей данных пользователей и утверждает перечень действий с ними, она автоматически становится оператором персональных данных. Напомним, речь идет о коммерческом использовании, а не о хранении номеров телефонов в записной книжке.

Когда мы рискуем?

Теоретически, владелец приложения или разработчик, уполномоченный обрабатывать данные, нарушает закон в следующих случаях:

Если собирает и обрабатывает персональные данные без согласия пользователя

Необоснованно запрашивает данные

Использует данные для целей, не перечисленных в соглашении (например, передает третьим лицам)

Не защищает должным образом приложение от взлома и утечек

Хранит персональные данные не на территории России

И о штрафах

За нарушение закона о персональных данных предусмотрена дисциплинарная, гражданская, административная, и уголовная ответственность.

Если Роскомнадзор в ходе проверки обнаружит несоответствие закону, дело передается в следственный комитет, затем начинается проверка прокуратуры и другие неприятности, вплоть до приостановки деятельности компании.

С 2017 года повысились штрафы за нарушение

Так, если на сайте отсутствует политика конфиденциальности, компания заплатит 30 тысяч рублей, а если данных обрабатываются без согласия клиента, штраф для юрлица составит до 18 млн рублей. Нарушений может быть несколько, за каждое — свой штраф.

В своей практике мы используем несколько подходов, которые позволяют нам делать крутые мобильные приложения, работающие с персональными данными. При соблюдении всех норм закона.

Для тех, кто собирает, хранит и обрабатывает

Если мы разрабатываем мобильное приложение, которое будет собирать персональные данные, важно не забывать получать от пользователя согласие — на обработку, хранение, использование в определенных целях конкретного перечня данных.

В согласии должны быть указаны:

Оператор персональных данных, его представитель, а также тот, кому будет поручена обработка ПДн — компания или физлицо, которые будут хранить, использовать и обрабатывать собранные данные

Цель обработки персональных данных и её правовое основание

Кто предположительно будет использовать эти данные

Права субъекта персональных данных

Источник получения персональных данных

Перечень действий с персональными данными, на которые соглашается пользователь, и совершение которых дается согласие, общее описание способов обработки ПДн

Срок действия согласия и способы его отзыва

Примеры хорошо составленных соглашений можно найти в интернете, например, у крупных компаний: банков, телеком-операторов, интернет-магазинов.

Например, Сбербанк включает согласие на обработку персональных данных в Политику конфиденциальности.

Если приложение регулярно дорабатывается и обновляется, важно контролировать, затрагивают ли нововведения состав собираемых данных и операции над ними. Например, мы добавили в приложение опрос, в котором помимо прочего узнаем, где живут наши пользователи. А ранее мы не обрабатывали данные об их адресах. Теперь у нас изменился состав данных и добавились новые действия с ними. Если мы при этом не обновили соглашение, то нарушим закон, собирая новые данные без согласия пользователя.

Что делать: обновить текст соглашения, добавив в перечень собираемых данных адрес пользователя, а в список действий — действия с ним. После установки обновлений заново запросить у пользователя согласие на обработку ПДн, предоставив ему обновленное соглашение.

Пример: мы разрабатывали приложение для страховой компании, личный кабинет владельца полиса ДМС. Мы ещё будем активно дополнять приложение новыми возможностями, а значит, вполне вероятно, что нам понадобятся новые данные или мы будем как-то иначе их использовать. В бэкенде мы оставили возможность обновлять текст соглашения автоматически. И, разумеется, если обновления коснутся состава или использования персональных данных, мы это соглашение обязательно у пользователя запросим.

Как не собирать персональные данные

В ряде случаев собирать, хранить и обрабатывать у себя персональные данные не обязательно.

Что делать: сделайте мобильное приложение без бэкенда. Все данные, введенные пользователем, будут храниться на его мобильном устройстве и на нем же обрабатываться. Ответственность за их хранение будет лежать только на пользователе. Даже если приложение будет синхронизироваться с облачным сервисом, чтобы сделать бэкап данных, этот момент уже не касается ни разработчика, ни заказчика приложения. В этот момент формально всё, что имеет отношение к обработке персональных данных, перекладывается на облачный сервис.

Пример: мы создавали приложение, в котором можно контролировать определенные параметры развития ребенка, сравнивая их с общепринятыми нормами. Большая часть используемой информации представляла собой персональные данные, в том числе данные о состоянии здоровья. Соответствие закону в данном кейсе представлялось избыточной, длинной и сложной историей. Можно было обойтись вообще без обязательств, которые диктовал Мы не стали делать бэкенд и собирать и обрабатывать эти данные на своих серверах. Приложение работает только на смартфоне пользователя, там же хранит эти данные и обрабатывает их исключительно в семейных и личных нуждах. Приложение работает, закон соблюден.

Обрабатываешь — отвечай

Многие разработчики полагают, что если они хранят собранные данные в зашифрованном виде, то не являются операторами ПДн. Мы считаем, что это грубая ошибка: любое действие с данными обязывает вас подчиняться закону. Любая операция с персональными данными, совершаемая в интересах владельца приложения, попадает под действие Даже сбор данных — это уже обработка. При этом, под действие закона не попадают случаи, когда пользователь обрабатывает собственные данные с помощью приложения (например, калькулятора веса), которое никуда их не передает. Даже если приложение шифрует данные и отправляет на хранение в облако зашифрованную последовательность символов — это обработка персональных данных. И не важно при этом, где хранится ключ шифрования. Согласно закону, обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В этом случае владелец приложения, либо тот, кому он поручает обработку данных, становится оператором ПДн, обязан получать согласие на сбор и обработку данных и обеспечивать их хранение в соответствии с законом.

Выбирайте проверенного разработчика для мобильного приложения, ведь от этого может зависеть не только конверсия приложения, но и соблюдение вами законов РФ.

Ищете исполнителя для реализации проекта?

Проведите конкурс среди участников CMS Magazine