Ищем границы использования VPN, взвешиваем «за» и «против», учимся правилам цифровой гигиены. Своим мнением делится руководитель отдела развития бизнеса решений ИБ компании Axoft Александр Мормуш.
Согласно данным Gallup 2022, в период пандемии более 80% организаций отправили своих сотрудников на работу из дома, что стало сильнейшим катализатором использования технологии VPN при доступе к корпоративным системам вне зависимости от нахождения сотрудника.
Казалось бы, куда больше? Но из-за блокировки доступа ко многим зарубежным интернет-ресурсам число пользователей VPN-сервисов приобрело впечатляющие масштабы. По итогам 2022 года (по информации сервиса Statista) количество скачиваний приложений по организации VPN увеличилось на 150% процентов и достигло 30 млн. А это значит, что практически 20% населения России пользуется VPN. Насколько верно представление, что использование VPN в Интернете – это безопасно? Давайте разбираться вместе.
«Смешались в кучу кони, люди» …
У Михаила Лермонтова в стихотворении «Бородино» есть строки, очень близко описывающие текущее состояние рынка услуг VPN:
«Смешались в кучу кони, люди,
И залпы тысячи орудий
Слились в протяжный вой...».
С одной стороны, корпоративный VPN:
· позволяет компании организовать защищенную сеть доступа к ресурсам, вне зависимости от территориального нахождения сотрудника;
· предоставляет возможность настраивать ограниченный доступ к данным с использованием надежных протоколов шифрования;
· упрощает работу;
· экономит денежные средства, помогает избежать репутационных (имиджевых) рисков, так как подключение сотрудников к корпоративной сети без VPN – это всегда небезопасно, а решение последствий утечки конфиденциальной информации потребует солидных финансовых затрат.
Кроме того, прозрачная система лицензирования и легкость развертывания корпоративного VPN между филиалами компании, как правило, помогает сэкономить на отсутствии необходимости в выделенных линиях между зданиями.
С другой стороны – VPN для личных нужд. С момента введения в отношении РФ санкций, российские пользователи проявили высокую заинтересованность в скачивания VPN-приложений на свои телефоны, в большинстве своем не осознавая, что это может быть опасно. Некорпоративные VPN-сервисы, как правило, предоставляют меньшее количество функций и обладают более низким уровнем безопасности. Подключаясь к VPN-сети, пользователь добровольно предоставляет свои данные разработчикам сервиса, и только от них зависит, в каких целях эти данные будут использованы. Безусловно, платные VPN-сервисы порождают некое чувство надежности, поскольку берут на себя ответственность за организацию анонимности и безопасности, не требуют просматривать рекламу перед подключением. Однако, где пролегает тонкая грань, что это действительно так, и ваши данные не будут использованы владельцем сервиса в корыстных целях?
Чем опасно использование сервисов VPN в личных целях или условная «бесплатность»
Как выглядит процесс использования сервисов VPN для обычного пользователя сети Интернет? Пара нажатий – и вот на вашем телефоне установлено приложение, используя которое вы отдаете весь трафик устройства владельцу сервиса.
Но что вы знаете о владельце сервиса и его желании использовать ваши данные? Если сервис платный, безусловно, владелец в меньшей степени заинтересован в предоставлении данных о вас. Что касается бесплатных сервисов, здесь важно понять: их «бесплатность» условна, и они должны откуда-то получать прибыль. Самый простой и безобидный вариант – когда пользователь в обмен на доступ к сети VPN получает контекстную рекламу, исходя из его данных посещения сайтов и поисковых запросов. Владельцы таких бесплатных VPN-сервисов собирают всю информацию о поведении пользователя, включая электронную почту и IP-адреса, что позволяет идентифицировать пользователя и точечно использовать его данные при таргетировании рекламы.
Итак, владельцы VPN-сервисов видят весь трафик пользователя, собственно, как и провайдер Интернета, а именно:
· Сайты, которые посещал пользователь, их IP-адреса и время визита.
· Фактический IP-адрес пользователя, по которому его можно идентифицировать (включая местоположение – город, улица, квартира).
· Устройство, с которого в сеть входил пользователь, с указанием модели, операционной системы и языка.
Однако важно отметить, что владельцы VPN видят не всё. Это можно сравнить с курьером, который знает, кому и откуда он осуществляет доставку, видит ФИО и адрес получателя, но не знает, что именно лежит в коробке.
Какие данные владелец VPN-сервиса не видит:
· Пароли от клиентских разделов на сайтах, например, доступ к почтовым ящикам, или онлайн-магазинам, поскольку эти сервисы, как правило, хэшируют пароли в браузере и для передачи данной информации используется шифрование по SSL/HTTPS.
· Данные банковских карт. При онлайн-оплате в большинстве случаев устанавливается защищенное соединение HTTPS, и весь трафик между пользователем и онлайн-площадкой передается в зашифрованном виде. Поэтому номер карты, срок её действия и CVC-код недоступны для просмотра.
· Сообщения в защищенном мессенджере, так как они «на лету» шифруются перед отправкой и расшифровываются при получении.
Какие данные могут украсть:
· У владельцев VPN-сервисов есть возможность получить доступ к документам и фотографиям пользователей, если они имеют свой URL-адрес.
· В случае наличия на рабочей станции cookie-файлов не исключена возможность получения к ним доступа, что может быть использовано злоумышленниками на подготовительном этапе сбора информации перед атакой.
Также немаловажно знать, что устройство с установленным VPN-приложением может быть использовано как средство майнинга криптовалюты. В последние годы мир столкнулся с целой эпидемией вирусов для скрытого майнинга. И случаи, когда вычислительные мощности мобильного устройства используются для майнинга, уже известны рынку ИБ. Поэтому, если вдруг после установки VPN-приложения вы заметили, что ваше устройство начало сильно нагреваться, у него ухудшилась производительность, резко увеличился объём передаваемого траффика, долго переключаются окна между приложениями и стал быстро садиться аккумулятор, – проверьте его на наличие вредоносного кода.
Пять главных правил VPN-гигиены
Что важно знать и как защититься при использовании VPN? Самое главное, с чего нужно начать использование того или иного сервиса VPN – это доверие. Безусловно, такие сервисы позволяют заходить на определенные сайты, в обход установленных ограничений и границ со стороны операторов связи. Но при этом очень важно доверять сервису по организации VPN-соединения и отдавать себе отчет о рисках его использования.
Цифровая гигиена так же важна, как мытье рук перед едой. В контексте профилактики ковида были выработаны понятные привычки и правила. И аналогичные, не менее важные правила и привычки, должны быть сформированы и в сфере потребления информации. При использовании VPN каждый пользователь должен взвесить все «за» и «против», и, как минимум, обратить внимание: предоставляет ли сервис мощное шифрование (256 бит и выше) и ведет ли сбор логов?
Существует ряд простых и понятных правил VPN-гигиены, которые необходимо запомнить при использовании VPN, а именно:
· Не заходите на сервисы банковского обслуживания.
· Не заходите на сервисы электронной почты или критичных для вас аккаунтов.
· При необходимости используйте только платный качественный VPN-сервис, со строгой политикой не хранить журналы действия пользователей, обладающий надежным шифрованием, с функцией «Kill Switch», которая экстренно разрывает интернет-соединение в случае сбоя с доступом по зашифрованному каналу.
· Если приложение по организации VPN запрашивает доступ к вашему местоположению, камере и сообщениям – это может быть использовано как слежка за пользователем. Для вас это должно стать красным сигналом – приложением пользоваться небезопасно.
· Если возникла необходимость, скачивайте приложение только через официальные площадки. Там они, прежде чем стать доступными пользователю, проходят проверку на наличие вредоносного кода, включая скрытые функции перехвата СМС или возможность делать снимки экрана.
VPN – во благо или во вред? «Следи за собой, будет осторожен»
Я думаю, ни для кого не секрет, что в последнее время многие устанавливают VPN для доступа к зарубежным сервисам и сайтам, не особо вникая в уровень безопасности приложения и ответственности, которую несут владельцы перед пользователями. Все это порождает необходимость быть осторожным – как в песне Виктора Цоя «Следи за собой». Поскольку, открывая доступ к вашему устройству, вы рискуете скомпрометировать личные данные.
VPN не является панацеей. Однако этот инструмент может быть как во благо, так и во вред. И тут нужно искать разумный компромисс. Предоставить доступ сотрудникам организации к корпоративной сети по защищённым каналам связи при удаленной работе – правильно и необходимо. Другое дело – применение VPN-соединения при доступе к сервисам и сайтам по личной инициативе, где сложно отследить мотивы создателя сервиса и уровень его безопасности.