Исследование личности пользователя как нового периметра кибербезопасности
Введение
По данным экспертов, вопросы кибербезопасности занимают третье место по значимости для человечества, уступая только климатическим угрозам. Нарушения персонального делового пространства и кража персональных данных являются одним из наиболее частых примеров массовых кибератак. Кража цифровых данных личности — новый вызов и источник стресса, связанный, прежде всего, с ощущением отсутствия контроля перед лицом неопределенности. С 2020 года, с началом Covid и по сегодняшний день, люди попали в новую реальность. Присутствие каждого человека в сети Интернет неуклонно растет. Мы начали делать покупки товаров первой и ежедневной необходимости в сети, многие люди перешли на удаленный формат работы, государственные учреждения работают по записи через сайты и приложения. Мы начали расплачиваться виртуальными картами. Число пользователей, владеющих биткоинами достигло рекордных значений за 7 лет. Актуальность кибербезопасности личности обусловлена присутствием больших пользовательских данных в сети, которые собираются пользовательскими приложениями в разных целях. С одной стороны, это позволяет обезопасить пользователей, его аккаунты и действия, с другой – дает огромное поле для кибератак.
Пандемия так же породила необходимость перестроить внутренние и внешние алгоритмы работы, в следствие перехода большой части сотрудников на удаленную работу. Это в свою очередь повергло негативно сказывается на предприятия всех форм собственности. Злоумышленники не упускают возможности пользоваться этим. Ведь кризис для одних – окно возможностей для других.
Оглавление:
Введение 2
Глава 1. Сбор персональных данных 4
1.1 Файлы Cookies 6
1.1.1 Способы защиты от файлов-cookies 9
1.2 Контактные данные 10
Глава 2. Аутентификация 11
2.1 Пароли 13
2.2 Многофакторная аутентификация 14
Глава 3. Биометрия 19
3.1 Статическая биометрия 19
3.2 Поведенческая биометрия 21
3.3 Защита персональных биометрических данных 24
Глава 4. Искусственный интеллект в сфере кибербезопасности 27
Глава 5. Безопасность персональных данных для компаний 30
Глава 6. VPN-решения 32
Заключение 36
Список литературы: 37
Список литературы:
1. А.А. Гладких, В.Е. Дементьев. Базовые принципы информационной безопасности вычислительных сетей.. — Ульяновск: УлГТУ, 2009. — С. 156.
2. А.А. Шелупанова, С.Л. Груздева, Ю.С. Нахаева. Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. = Authentication. Theory and practice of ensuring access to information resources.. — М.: Горячая линия – Телеком, 2009. — С. 552. — ISBN 978-5-9912-0110-0.
3. Абаев Ф.А. Историко-правовые предпосылки формирования и современные тенденции развития института персональных данных в трудовом праве // Пробелы в российском законодательстве. 2013. № 5. С. 136-139.
4. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. - Москва: Мир, 2012. - 552 c.
5. Барышников А. Безопасность корпоративных центров обработки персональных данных // Защита информации. Инсайд. 2013. № 6 (54). С. 40-41.
6. Виртуальные частные сети VPN Александр Росляков Издательство: LAP LAMBERT Academic Publishing Год издания: 2011, 328 стр.
7. Маркевич А.С. Персональные данные работника как объект правоотношения: категориально-правовая характеристика // Вестник Санкт-Петербургской юридической академии. 2015. Т. 27. № 2. С. 40-45.
8. О персональных данных: федеральный закон от 27 июля 2006 г. N 152-ФЗ // Собрание законодательства Российской Федерации. — 2006. — № 31 (часть I). — Ст. 3451.
9. Плохинский, Н. А. Биометрия / Н.А. Плохинский. - М.: Издательство МГУ, 1977. - 368 c.
10. Ричард Э. Смит. Аутентификация: от паролей до открытых ключей = Authentication: From Passwords to Public Keys First Edition. — М.: Вильямс, 2002. — С. 432. — ISBN 0-201-61599-1.
11. Терещенко, Л.К. Правовой режим персональных данных и безопасность личности /Л. К. Терещенко //Закон. -2018.- №6.- С. 37 -43.
12. Технология построения VPN ViPNet Анна Олеговна Чефранова
13. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4
14. Шугай А.А. Некоторые вопросы международно-правового регулирования защиты персональных данных // Научные стремления. 2012. № 4 (4). С. 48-51
15. Яковец, Е.Н. Своеобразие состава защищаемой конфиденциальной информации / Е.Н. Якрвец // Право и кибербезопасность. — 2014. — № 2. — С. 51 — 58.
Список возможностей ИИ, которые могут укрепить кибербезопасность, длинный. ИИ может анализировать поведение пользователей, выводить закономерности и выявлять различные отклонения от нормы, что позволяет быстро выявлять уязвимые области в сети. ИИ также может позволить компаниям автоматизировать рутинные обязанности по обеспечению безопасности с высоким качеством результатов и сосредоточиться на делах с более высоким уровнем вовлеченности, требующих человеческого суждения. Компании также могут использовать его для быстрого поиска признаков вредоносного ПО. При этом ИИ все чаще применяется не только в сфере ИБ, но и в других отраслях. Техники ИИ, в частности машинного обучения, требуют большого количества данных. Кто-то собирает данные, чтобы улучшать свои продукты, а кто-то — чтобы анализировать пользователей и продавать результаты анализа. Учитывая нехватку экспертов по безопасности и специалистов по анализу данных и машинному обучению, людей, которые являются экспертами в обеих областях, еще меньше. Заниматься вопросами безопасности становится все труднее только потому, что разработчики либо не знают о возможных рисках, либо стараются прежде всего сначала выпустить продукт, а потом разбираться с проблемами. Такая ситуация приводит к серьезным последствиям. Только в первом квартале 2020 года количество крупномасштабных утечек данных увеличилось на 273% . При этом не стоит забывать, что ИИ является программным продуктом, который сам по себе может быть уязвим и несет определенного рода риски. В связи с этим осенью 2020 года MITRE совместно с Microsoft выпустили матрицу атак на системы, использующие машинное обучение. В проекте участвовали не только Microsoft, но и еще 16 исследовательских групп. Причем речь идет не просто о потенциальных рисках, а именно о тех, которые были проверены на эффективность. В результате было сформирована таблица в стиле матрицы ATT&CK, которая уже знакома исследователям. В таблице выделены риски, характерные только для сервисов, использующих техники машинного обучения, и общие риски, которые могут напрямую не относиться к машинному обучению, но косвенно влиять на него, так как машинное обучение часто является частью программного продукта.