Pirmiausia – nesipanikauti, bet ir nedelsti
Kažkas paskambina, parašo žinutę arba tiesiog internete pamatai žinią: tavo duomenys nutekėjo. Arba dar blogiau – sužinai apie tai iš antros rankos, kai kažkas jau bando prisijungti prie tavo paskyrų. Šioje situacijoje pirmasis instinktas dažnai būna arba visiškas panikavimas, arba, priešingai, nekreipimas dėmesio – „ech, nutekėjo tai nutekėjo, ką aš čia padarysiu”. Abu kraštutinumai yra blogi.
Duomenų nutekėjimai šiandien yra tokia dažna realybė, kad statistiškai kalbant – jei esi aktyvus interneto naudotojas, tavo el. paštas ar slaptažodis jau kažkada buvo kažkokioje nutekėjusių duomenų bazėje. Tai ne katastrofa, bet tai ir ne smulkmena, kurią galima ignoruoti. Svarbiausia – žinoti, ką daryti ir kokia tvarka.
Šiame straipsnyje einame per viską žingsnis po žingsnio: kaip patikrinti, ar tavo duomenys tikrai nutekėjo, ką daryti iš karto, kaip apsisaugoti ilgalaikėje perspektyvoje ir kodėl šis klausimas apskritai yra svarbesnis nei daugelis galvoja.
Kaip sužinoti, ar tavo duomenys tikrai nutekėjo
Prieš imantis bet kokių veiksmų, verta patikrinti faktus. Kartais žmonės gauna sukčių laiškus, kuriuose teigiama, kad jų duomenys nutekėjo – ir tai pats sukčiavimas. Taigi pirmiausia reikia atskirti tikrą situaciją nuo fiktyvios.
Geriausia vieta pradėti – Have I Been Pwned (haveibeenpwned.com). Tai nemokamas įrankis, kurį sukūrė saugumo tyrėjas Troy Hunt, ir jis agreguoja informaciją apie žinomus duomenų nutekėjimus. Tiesiog įvedi savo el. pašto adresą ir sistema pasako, ar jis buvo rastas kokioje nors nutekėjusių duomenų bazėje, ir jei taip – kurioje konkrečiai.
Keli praktiniai patarimai čia:
- Patikrink visus el. pašto adresus, kuriuos naudoji – ne tik pagrindinį
- Jei naudoji „Google” ar „Apple” paskyrą, jos pačios kartais praneša apie slaptažodžių nutekėjimus – tikrink šiuos įspėjimus
- „Firefox Monitor” ir „Google Password Checkup” taip pat yra patikimi įrankiai, integruoti tiesiai į naršyklę
- Jei gavai el. laišką apie nutekėjimą iš kokios nors paslaugos – patikrink, ar ta paslauga tikrai egzistuoja ir ar laiškas atsiųstas iš oficialaus domeno
Svarbu suprasti, kad nutekėjimas ne visada reiškia, kad kažkas jau pasinaudojo tavo duomenimis. Dažnai tai yra duomenų bazės, kurios parduodamos tamsiajame internete, ir praeina laiko, kol kažkas jas faktiškai panaudoja. Todėl greiti veiksmai gali iš tikrųjų apsaugoti tave net ir po nutekėjimo fakto.
Pirmieji veiksmai – ką daryti per pirmąsias 24 valandas
Sužinojai, kad nutekėjo. Laikrodis tiksi. Štai ką reikia daryti ir kokia tvarka:
1. Pakeisk slaptažodį nutekėjusioje paslaugoje. Tai akivaizdu, bet daug žmonių to neskuba daryti. Jei negali prisijungti, nes kažkas jau pakeitė slaptažodį – naudok „pamiršau slaptažodį” funkciją ir iš karto tikrink, ar el. paštas, į kurį siunčiamas atkūrimo laiškas, vis dar yra tavo kontrolėje.
2. Pakeisk tą patį slaptažodį visur kitur. Ir čia yra didžiausia problema – dauguma žmonių naudoja tą patį arba labai panašų slaptažodį keliose vietose. Jei nutekėjo tavo slaptažodis iš, tarkime, kokio nors forumo, o tą patį slaptažodį naudoji el. paštui ar banko paskyrai – tai yra tikroji katastrofa. Sukčiai tai žino ir pirmiausia bando nutekėjusius slaptažodžius būtent el. paštuose ir finansinėse paslaugose.
3. Įjunk dviejų faktorių autentifikaciją (2FA). Jei dar nenaudoji – dabar pats laikas. Net jei kažkas turi tavo slaptažodį, su 2FA jie negalės prisijungti be papildomo kodo, kurį gauni telefonu ar autentifikatoriaus programėle.
4. Patikrink aktyvias sesijas. Daugelis paslaugų leidžia pamatyti, iš kur ir kada buvo prisijungta prie tavo paskyros. Jei matai nepažįstamą įrenginį ar vietą – atsijunk iš visų sesijų ir keisk slaptažodį.
5. Pranešk artimiesiems. Jei nutekėjo tavo kontaktų sąrašas arba socialinių tinklų paskyra buvo kompromituota, tavo vardu gali būti siunčiamos žinutės draugams ir šeimos nariams. Įspėk juos, kad nepasitikėtų jokiomis keistomis žinutėmis iš tavo pusės.
Slaptažodžių problema – kodėl visi žino, bet niekas nedaro
Kalbant apie duomenų saugumą, slaptažodžiai yra ta tema, apie kurią visi yra girdėję, bet mažai kas iš tikrųjų tvarkingai išsprendęs. Ir tai nėra žmonių kaltė – sistema yra sukurta taip, kad saugus elgesys yra nepatogus, o nepatogus elgesys ilgainiui tampa nesaugiu.
Realybė tokia: vidutinis interneto naudotojas turi dešimtis, o kartais ir šimtus skirtingų paskyrų. Prisiminti unikalų, sudėtingą slaptažodį kiekvienai iš jų yra tiesiog neįmanoma. Todėl žmonės naudoja tą patį slaptažodį arba jo variaciją – ir tai yra tiksliai tai, ko tikisi sukčiai.
Sprendimas yra slaptažodžių tvarkyklė. Tai programa, kuri saugo visus tavo slaptažodžius užšifruotame seife, o tu turi atsiminti tik vieną pagrindinį slaptažodį. Populiariausi ir patikimiausi variantai:
- Bitwarden – nemokamas, atvirojo kodo, veikia visose platformose. Geriausias pasirinkimas daugumai žmonių
- 1Password – mokamas, bet labai patogus, ypač šeimoms
- Dashlane – taip pat mokamas, turi papildomų funkcijų kaip tamsiojo interneto stebėjimas
- Apple Keychain / Google Password Manager – integruoti sprendimai, patogūs, bet pririša prie vienos ekosistemos
Slaptažodžių tvarkyklė ne tik saugo slaptažodžius – ji taip pat gali generuoti stiprius, atsitiktinius slaptažodžius kiekvienai paskyrai. Tai reiškia, kad net jei viena paslauga nutekės, kitos liks saugios.
Kai nutekėja daugiau nei slaptažodis – finansiniai duomenys ir asmens kodas
Vienas dalykas yra nutekėjęs el. paštas ar slaptažodis. Visai kita situacija – kai nutekėja banko kortelės duomenys, asmens kodas ar kita jautri asmeninė informacija. Čia veiksmai turi būti greitesni ir ryžtingesni.
Jei nutekėjo banko kortelės duomenys:
- Iš karto susisiek su banku ir užblokuok kortelę – tai galima padaryti per programėlę arba paskambinus
- Patikrink paskutines transakcijas – ar nėra neautorizuotų mokėjimų
- Jei yra neautorizuotų mokėjimų – pateik pretenziją bankui, dauguma jų turi procedūras tokiems atvejams
- Paprašyk naujos kortelės su naujais duomenimis
Jei nutekėjo asmens kodas ar kiti tapatybės duomenys – situacija sudėtingesnė. Lietuva turi Valstybinę duomenų apsaugos inspekciją (VDAI), kuriai galima pranešti apie duomenų nutekėjimą. Taip pat verta:
- Kreiptis į Lietuvos banką ar atitinkamas institucijas, jei manai, kad tavo vardu gali būti imamos paskolos
- Stebėti savo kredito istoriją – Lietuvoje tai galima daryti per „Creditinfo” ar kitas kredito biurų paslaugas
- Pranešti policijai, jei turi konkrečių įrodymų, kad tavo tapatybė buvo panaudota sukčiavimui
Tapatybės vagystė yra rimtas dalykas, kurio pasekmės gali jaustis metų metus – nuo atsisakytų paskolų iki problemų su darbdaviais. Todėl čia tikrai neverta laukti ir tikėtis, kad „praeis savaime”.
Socialiniai tinklai – specifinis galvos skausmas
Socialinių tinklų paskyrų nutekėjimas arba įsilaužimas yra atskira kategorija, nes čia žala gali būti ne tik asmeninė, bet ir socialinė. Tavo vardu gali būti platinamas dezinformacinis turinys, siunčiamos sukčiavimo žinutės draugams, o atgauti paskyrą kartais būna tikras nuotykis.
Jei įsilaužė į tavo „Instagram” ar „Facebook” paskyrą:
- Pirmiausia pabandyk pasinaudoti „Secure your account” arba „Hacked account” funkcija – abi platformos turi specialias procedūras tokiems atvejams
- Jei dar turi prieigą – iš karto keisk slaptažodį ir el. paštą, susietą su paskyra
- Jei nebeturi prieigos – naudok tapatybės patvirtinimo procesą, kurį siūlo platforma (dažnai reikia nufotografuoti save su asmens dokumentu)
- Pranešk draugams, kad paskyra buvo kompromituota, per kitus kanalus
Vienas dalykas, kurį daugelis pamiršta – socialiniai tinklai yra susieti su daugybe kitų paslaugų per „Prisijungti su Facebook/Google” funkciją. Jei kompromituota pagrindinė paskyra, gali būti kompromituotos ir visos susietos paslaugos. Todėl po tokio incidento verta peržiūrėti, prie kokių paslaugų esi prisijungęs per socialinį tinklą, ir atsijungti nuo tų, kurių nebereikia.
Ilgalaikė apsauga – kaip gyventi taip, kad nutekėjimai nebeturėtų tiek įtakos
Duomenų nutekėjimai neišnyks. Tai yra faktas, su kuriuo reikia susitaikyti. Bet galima gyventi taip, kad net nutekėjus duomenims žala būtų minimali. Tai vadinama „žalos minimizavimu” arba, saugumo žargonu, „rizikos valdymu”.
Keletas principų, kurie tikrai veikia:
Naudok skirtingus el. pašto adresus skirtingiems tikslams. Vienas el. paštas – tik finansinėms paslaugoms ir svarbioms paskyroms. Kitas – registracijoms internete, pirkiniams, forumuose. Jei nutekėja antrasis – pirmasis lieka saugus. Kai kurie žmonės eina dar toliau ir naudoja laikinus el. pašto adresus (pvz., per „SimpleLogin” ar „AnonAddy”) kiekvienai registracijai.
Dviejų faktorių autentifikacija – visur, kur galima. Ir čia svarbu hierarchija: SMS žinutės yra geriau nei nieko, bet autentifikatoriaus programėlė (Google Authenticator, Authy, arba Bitwarden Authenticator) yra geriau nei SMS. Fizinis saugumo raktas (YubiKey) yra geriausias variantas ypač svarbioms paskyroms.
Reguliariai tikrink, ar tavo duomenys nėra nutekėję. Galima užsiprenumeruoti „Have I Been Pwned” įspėjimus – jei tavo el. paštas atsiras naujame nutekėjime, gausite pranešimą.
Būk atsargus, ką dalijies internete. Kuo mažiau asmeninės informacijos yra internete, tuo mažiau žalos gali padaryti nutekėjimas. Tai nereiškia, kad reikia visiškai išnykti iš interneto – bet verta pagalvoti, ar tikrai reikia nurodyti tikrąją gimimo datą kiekvienoje registracijoje.
Atnaujink programinę įrangą. Daugelis duomenų nutekėjimų įvyksta dėl senų, nepataisytų saugumo spragų. Reguliarūs atnaujinimai – ir telefone, ir kompiuteryje – uždaro šias spragas.
Kai viskas jau padaryta – kaip gyventi toliau
Duomenų nutekėjimas yra nemalonus, bet tai nėra gyvenimo pabaiga. Svarbiausia yra reaguoti greitai, imtis konkrečių veiksmų ir po to – nesigraužti. Daugelis žmonių, sužinoję apie nutekėjimą, pakeičia slaptažodžius, įjungia 2FA ir… iš esmės tiek. Ir tai yra gerai. Tobulas saugumas neegzistuoja, bet protingas saugumas yra pasiekiamas.
Verta priimti ir tam tikrą mentalinę nuostatą: tu nesi bejėgis. Duomenų nutekėjimai dažnai vaizduojami kaip kažkas, kas nutinka tau, ir tu nieko negali padaryti. Bet tai nėra tiesa. Kiekvienas žingsnis – slaptažodžių tvarkyklė, 2FA, atskiri el. pašto adresai – sumažina riziką ir sumažina galimą žalą. Tai kaip saugos diržas automobilyje: jis neapsaugo nuo avarijos, bet labai sumažina pasekmes.
Ir galiausiai – jei manai, kad tavo duomenų nutekėjimas sukėlė realią žalą (finansinę, reputacinę ar kitokią), nesibijok kreiptis pagalbos. Lietuvoje veikia Valstybinė duomenų apsaugos inspekcija, yra kibernetinio saugumo specialistai, yra teisininkų, kurie specializuojasi šioje srityje. Kartais situacija atrodo beviltiškai, bet dažniausiai yra sprendimų – tiesiog reikia žinoti, kur jų ieškoti.
