Как защитить офис от прослушки: опасность, о которой не догадываются руководители
Сейчас с помощью микрофона смартфона или компьютера можно просмотреть все, о чем мы говорим или что вбиваем в поисковые системы.
Например, многие, наверное, не раз замечали рекламу продуктов в социальных сетях, о которых они недавно упоминали рядом со своим устройством.
Кроме того, наши смартфоны хранят огромное количество конфиденциальных данных, включая сообщения, фотографии и информацию от банков.
Виды прослушки
Поэтому вопрос утечки данных через прослушку стал основой этой статьи. Чтобы разобраться, давайте разделим прослушку на две части.
Первая — это когда нас слушают рекламные системы с помощью наших же устройств. Например, непонятное приложение на смартфоне, которому вы добровольно дали доступ к микрофону при установке. Сюда же голосовые помощники типа «Алисы» или «Алексы». Механика тут проста: обсудили вы за столом отели на Мальдивах и уже через пару часов вас одолевает реклама турагентства.
Такая прослушка не страшна, потому что она нигде не записывает данные и не передает их в виде записи. Она на лету распознает речь и присваивает вам рекламные теги, по которым вам выдаются предложения.
Опасен второй тип прослушки — ее результат можно расшифровать, а полученные записи часто попадают в материалы уголовных дел. Речь идет о СОРМ – системе оперативно-розыскных мероприятий.
Согласно нашему законодательству ВСЕ операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию:
- о пользователях услугами связи;
- об оказанных им услугах связи;
- иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.
Подробнее со всеми нюансами вы можете ознакомиться, взглянув на 46 статью ФЗ «О связи».
При этом СОРМ-1 — это телефонная «прослушка», а СОРМ-2 — контроль содержимого интернет-соединений сети передачи данных.
То есть те же Ростелеком, МТС и Мегафон обязаны подключать к своим серверам «проводок» из ФСБ. По которому весь трафик по пакету Яровой сливается и хранится 3 года.
Результат такой прослушки как раз можно транскрибировать. Называется флажок на прослушку. Конечно, это особая процедура, на которую может понадобиться разрешение от следственного комитета или решение суда, но…
Немного статистики
Почему мы это говорим? Периодически мы замеряем статистику использования этих систем. На конец прошлого года получились примерно такие цифры:
Из 10 флажков на прослушку по системам СОРМ, которые выдает ФСБ, 8 касаются серьезных дел, связанных с экстремизмом, терроризмом или, например, обналами в особо крупных размерах. И надеемся, что к вам это не относится.
Поэтому ваша вероятность напороться на транскрибацию очень низкая.
В общем, опасность прослушки смартфонов сильно переоценена.
То, о чем многие не догадываются
НО есть другая опасность, которую как раз недооценивают руководители среднего и малого бизнеса — это использование SIM-карт для подписания платежек в банке.
Когда в ящике стола с кучей дешевых телефонов и SIM-карт на разных людей организовывается некое централизованное казначейство — это крупный риск.
Если вы думаете, что вы самый умный и эти телефоны никто не вычислит, просим заметить, что местоположение sim-карты легко определяют методом триангуляции по трем базовым станциям. И если вы эти телефоны вместе, например, перемещаете, или они у вас просто находятся в одном месте, оператор связи их условно склеит как эксплуатируемые одним владельцем.
Эту информацию операторы связи собирают для собственных маркетинговых целей и получить доступ к ним может любой оперативник по щелчку пальцев.
Поэтому, если эта дрянь с централизованным казначейством, смсками и sim-картами до сих пор присутствует в вашей жизни — немедленно от этого избавляйтесь.
Кстати, другие риски и заблуждения о цифровой безопасности мы раскрыли в этой статье.
Какие варианты решений?
Первый — заменить sms на push-уведомления. Проблема в том, что тогда вам нужны не простые кнопочные телефоны, а полноценные смартфоны. Да и push-уведомления поддерживают не все банки. Тот же Сбер требует sim-карту.
Второй — перейти на электронные SIM-карты (eSIM), их не существует в физическом мире. Они привязываются к виртуальному компьютеру, и на рабочий стол виртуального компьютера на симку приходит код подписания платежей. Но тут опять же свои нюансы. Не все банки и не все операторы дадут вам это реализовать.
Кому интересно, как это можно осуществить и как вообще происходит взаимодействие с виртуальными компьютерами — записывайтесь на бесплатную онлайн-экскурсию, где наши коллеги вам всё подробно расскажут и покажут.
Третий — использовать для подписания платежек токены, которые подключаются по USB, и без SMS. Здесь минус в том, что эти токены нельзя перенести на виртуалки. Они должны быть физическими, а значит — их легко у вас найдут.
Лучший вариант — телефоны хранить реальным директорам, чтобы уведомления приходили на их личный телефон, а sms они просто пересылали по безопасным участкам.
Также советуем по доверенности написать у провайдера заявление по запрету действий с вашей sim-карты. Например, тот же выпуск дубликата.
Надеемся, статья была для вас полезной. Те, кого заинтересовал переход на виртуальные компьютеры, читайте наш кейс о том, как руководитель оптовой компании перестал тратить время на IT-процессы и начал контролировать сверхурочную работу сотрудников.
Подписывайтесь на наш телеграм-канал: мы помогаем руководителям малого и среднего бизнеса разобраться в технических нюансах цифровой и экономической безопасности. Делимся бесплатно и рассказываем человеческим языком.