Следует развивать навыки защиты персональных данных и технологий доступа – они позволяют существенно снизить угрозу кражи данных, их мошеннического применения, сбора компрометирующей информации, а также предотвратить кражу денежных средств, шпионаж и даже нивелировать возможность вербовки в различные (в том числе и незаконные) организации. При выборе конкретных средств для формирования умений и навыков защиты персональных данных и данных доступа следует ориентироваться на методы, развивающие ответственное отношение конкретного человека к персональной информации, которую выкладывают в открытый доступ или доступ к которой самостоятельно предоставляют третьим лицами или программному обеспечению, включая мобильные приложения. Акцент нужно делать на том, что пользователи занимают, как правило, пассивную позицию, согласно которой все, кому надо, и так все про нас знают. И утверждение типа «если какая-то ИТ-корпорация хочет собрать информацию о человеке, она это сделает» практически всегда ошибочно. В последние годы законодательство, в том числе международное, в сфере защиты прав на приватность получило очень мощное развитие, особенно в плане сетевой конфиденциальности. Это привело к тому, что крупнейшие ИТ-корпорации, включая разработчиков популярных сетевых сервисов, социальных сетей и мессенджеров, вынуждены были дать пользователям возможность самим решать, какие данные они считают нужным предоставить. Новые права позволяют и не предоставлять в Сеть никакой информации в угоду анонимности и конфиденциальности.

Кроме того, важно понимать: в утечках информации о себе экономического, юридического, социального, психологического характера, которую собирают и анализируют мошенники и вербовщики с целью использования в противоправной деятельности, в том числе и набирающим сегодня популярность методом OSINT (которому посвящена одноименная глава в этой книге), виноватым может быть только сам пользователь Сети.

Про OSINT следует рассказать поподробнее. Сама расшифровка метода (open-source intelligence) уже намекает на технологию процесса – это методика сбора и классификации расположенных в открытом доступе данных об отдельном человеке или организации. Изначально применявшийся исследователями безопасности, OSINT быстро стал инструментом киберпреступников, ведь с ним можно собрать огромный массив данных о цели, нужно лишь немного поработать головой и руками. Однако не так все просто, даже этот метод имеет несколько приемов работы, которые можно разделить на две группы.

Первый – это использование краулеров (краулер – «сборщик» или «комбайн» – набор инструментов), которые делают большую часть работы в автоматическом режиме. Совместно с майнд-мапами (инструментами для визуального представления данных/идей и удобной работы с ними) это дает широкое представление о цели за очень короткое время.

Второй – это использование пассивной или активной разведки в Сети либо комбинирование этих методов. Рассмотрим оба типа подробнее.

– Использование майнд-мапов действительно упрощает работу над сокрытием информации, находящейся в свободном доступе. Как правило, майнд-мапы можно использовать либо ручным способом, когда из всех инструментов у пентестера (пентест – тестирование на проникновение, от Penetration Test; пентестер – ИБ-специалист, тестировщик приложений и систем на возможность проникновения) есть лишь поисковая строка, две руки и блокнот для пометок – раз за разом пентестер «пробивает» те или иные данные через популярные поисковые системы вручную, делая пометки для составления полного отчета по безопасности того или иного массива данных. Но ведь это утомительный и довольно нудный процесс. Для упрощения существует OSINT Framework (база для помощи в реализации), который работает в автоматическом режиме, выполняя всю нудную работу вместо пользователя. Инструмент вобрал в себя все базы данных, по которым только можно провести тестирование на выявление конфиденциальной информации в свободном доступе. Ведь мы же не хотим стать жертвой киберпреступников? Но вот что следует знать об автоматическом методе OSINT: нельзя просто так запустить процесс и оставить его на самотек. Весь процесс необходимо контролировать и время от времени направлять в нужное русло.