Сегодня хотелось бы поговорить о безопасности. Какие опасности подстерегают сегодня пользователя в сети? Что из новенького опасного происходит?
Андрей: Думаю, к сожалению, ничего. Не знаю, как на это лучше смотреть. Новенького ничего нет. Всё то же самое, старенькое. Из того, что я бы выделил в первую очередь - это социальная инженерия, которая начиналась много-много лет назад с писем от нигерийских принцев, а сейчас приобретает чуть более изощренные формы.
Владимир: Это типа «я нашёл 10 миллионов долларов, хочу вам отправить часть, дайте, пожалуйста, свой банковский счёт», да?
Андрей: Да. Надеюсь, большинство из наших слушателей на такие вещи уже не ведется, но могут, к сожалению, повестись на некоторые, более изощренные ухищрения, если можно так выразиться. Например, когда вместо странички вашего банка в интернете вам подсовывают чужую страничку. Когда вас приглашают «кликнуть» на какую-то ссылку - в электронном письме или на сайте, - которая должна вас привести на заполнение формы или на то, чтобы подтвердить ваш пароль, или что-то такое, что выглядит как легитимная просьба от вашего доверенного лица.
Владимир: И причём зачастую они приходят именно с e-mail адреса вашего банка, да?
Андрей: Это выглядит как e-mail адрес вашего банка, на самом деле им не является. Мы, наверное, сейчас не будем всех пугать и устраивать полный ликбез по технике безопасности, но остановимся на паре вещей, которые помогут избежать каких-то базовых ошибок при появлении таких угроз.
Владимир: Ну а что ещё, кроме таких вот «выуживаний» информации как банковской, так и личного характера, что ещё бывает опасного в сетях? Каким образом нечестные люди могут навредить пользователям?
Андрей: То, что меня в первую очередь всегда волнует, когда вам пытаются на ваше устройство - будь то мобильное устройство или десктопное устройство - подгрузить без вашего ведома какую-то программу, которую вы сами там бы не хотели видеть. Это может быть вирус всем знакомый - в принципе, с этим все сталкивались. Это может быть такая на первый взгляд безобидная программка, которая даже ничего не делает и незаметна для вас, но на самом деле она отслеживает, например, клики по клавиатуре, отслеживает, кому и что вы посылаете, подменяет рекламу на интернет-страницах, которые вы посещаете. И вот за этим я бы очень аккуратно следил и в первую очередь обращал внимание на предупреждения в браузерах, которыми вы пользуетесь, потому что обычно они неплохо защищают пользователя от этого.
Владимир: Какие основы безопасности существуют в сети сейчас? Что каждый пользователь должен помнить, посещая любые интернет-страницы?
Андрей: Мы с вами ещё вернемся к тематике паролей более глубоко, сейчас коротко упомяну, что нужно обязательно обращать внимание, какие пароли вы используете. Пару советов об этом мы дадим вам попозже. Кроме этого есть ещё пара-тройка вещей, на которые не так часто обращают внимание. В первую очередь я вам посоветую, когда вы заходите на страничку в интернете, обращать внимание на адресную строку браузера, куда вы обычно не так часто смотрите. В хороших браузерах безопасные страницы, использующие безопасный протокол соединения, - это значит, что при вашем подключении к этой страничке, ваши данные никто не может не перехватить, не использовать - такие странички обычно обозначены каким-то особым способом. В Chrome, например, они обозначены зелёным замочком. Если вы его видите, значит всё в порядке, этот сайт безопасный. Если его нет, то подумайте два раза, прежде чем оставить на таком сайте свои личные данные.
Владимир: Например, e-mail или данные банковской карточки?
Андрей: Да, любые вещи, касающиеся вашей личности.
Владимир: Что ещё важно знать пользователю о безопасности в сети?
Андрей: Я думаю, две вещи мы подчеркнём с вами в первую очередь. Это избегайте нажимать на ссылки как в электронных письмах, так и на сайтах, которые кажутся вам подозрительными - это очевидно! Но самое главное - избегать нажимать на ссылки, которые вам подозрительными НЕ кажутся. Это чуть сложнее. Просто когда вам предлагают нажать на какую-то ссылку, чтобы что-то сделать, посмотрите два раза, проверьте ещё раз, на каком сайте вы находитесь, от кого пришёл этот e-mail, в котором содержится ссылка. Перепроверьте это всё ещё раз, а потом уже делайте.
Владимир: Недавно, кстати говоря, мне позвонила мама – она живет в Германии – говорит, что ей предложили интересный способ по сохранению денег, она заполняет форму и спрашивает, что делать дальше. Наверное, на людей в возрасте, на тех, кто не так давно стал пользоваться интернетом, мошенники влияют больше?
Андрей: Вот вы сами подсказали ещё один способ защиты. Позвоните другу, который что-то знает. Позвоните другу, ребёнку, родителю, кому-нибудь! Просто посоветуйтесь. Даже если он ничего не знает, иногда - знаете, я с этим сталкивался не раз, - в ситуации, когда у вас, может быть, не так много опыта, вы обращаетесь к кому-то, у кого этого опыта еще меньше, но все равно - две головы лучше, чем ни одной.
Владимир: Согласен. Как отец полуторагодовалого сына хотел у тебя еще спросить насчет детской безопасности в сети, какие есть решения? Дети сегодня начинают пользоваться гаджетами довольно рано. Понятное дело, что родители часто бывают против – я, например, за бумажные, такие олдскульные книжки с картинками, которые можно рвать, - но по любому от гаджетов мы никуда не убежим. Так что тут делать, что предпринимать?
Андрей: По поводу книжек, я тоже большой их любитель и считаю, что обязательно детей нужно знакомить и с этой формой информации. Но и быть ретроградом, и отказывать своему подрастающему поколению в преимуществах новых технологий не стоит. Вы даёте ребенку абсолютно гигантские возможности для роста, познакомив его в безопасной среде с преимуществами доступа к информации, которые даёт интернет. Главное - делать это правильно.
Все наши старые принципы никуда не уходят. Вот я перед передачей с вами думал, какой бы пример привести. У нас есть старая, любимая сказочка про Иванушку, который хотел пить «из лужи». Алёнушка ему говорила: «Не пей, козлёночком станешь». Все точно также применимо и сейчас. Учить детей, объяснять им, учиться вместе с ними тому, что в интернете может быть безопасно, что небезопасно, чего делать не стоит, показывать, что может произойти, если сделать то-то – это очень важно. Точно так же в интернете у тебя могут украсть деньги, у меня могут украсть деньги, у нас могут украсть деньги. Нехороший человек может сделать что-то с моей информацией, с твоей информацией. Я считаю, всё это можно объяснять ребенку с любого возраста, я считаю.
Владимир: С технической точки зрения какие-то есть решения?
Андрей: В принципе их много, есть разные способы. Например, ваш ребёнок, как и многие дети, интересуется видеоконтентом, мультиками, играми. Google работает над тем, чтобы создать определённую среду, в которой дети могли бы, с одной стороны, учиться интернету, активно им пользоваться, с другой стороны, оставаться в безопасности. Другие компании также делают похожие вещи. В частности, на YouTube Google создал специальное приложение - YouTube для детей, оно буквально с сентября этого года стало доступна и в России тоже.
Владимир: Как оно называется, YouTube Kids?
Андрей: Да, YouTube Kids или YouTube для детей. Находясь в котором, ребёнок может находить всё, что ему нравится, все свои любимые программы, мультики и так далее, но при этом вы как родитель остаетесь уверены в том, что он не получит доступа к нехорошему контенту. В том числе у вас есть режим родительского контроля. И вот этот принцип - открытия контента, но сохранения определённой доли контроля, - он позволяет вам давать ребенку возможность расти, сохраняя при этом его безопасность.
Владимир: Андрей, у всех нас сейчас большая куча аккаунтов, паролей в разных сервисах: в электронной почте, в социальных сетях, в мессенджерах и т.д. И зачастую, как я знаю, используется один и тот же пароль для всех сервисов, хотя это и небезопасно. Как сделать безопасный пароль и как его правильно хранить?
Андрей: Как вы думаете, какой самый наиболее популярный пароль в сети?
Владимир: 12345? Ну, и 6.
Андрей: 123456 - потому что сайт требует, чтобы было шесть знаков. Если это шесть последних цифр, это никому не поможет. К сожалению, большинство пользователей не обращает на это достаточно внимания, хотя обезопасить себя не так уж сложно. У Google есть, и у меня в том числе, такая небольшая мечта - дожить до мира без паролей, где мы наконец дадим пользователям возможность каким-то образом идентифицировать себя в сети, не запоминая и не создавая этих личных вещей. Но пока они есть. Какие есть базовые советы по поводу создания безопасных паролей: во-первых, старайтесь не использовать очевидные вещи. Не используете дни рождения своих детей, близких и так далее.
Владимир: Своё имя.
Андрей: Своё имя и какие-то такие совершенно очевидные вещи, которые не то что проще взломать, чем любую другую комбинацию знаков, но злоумышленнику, пытающемуся нацелиться именно на вас, понять гораздо проще. Вместо этого используйте такие вещи, как так называемые «парольные фразы». Придумайте что-то значимое для себя. Я не буду ничего подсказывать, чтобы сейчас это не вылилось в что-то худшее. Придумайте что-то значимое для себя. Выберите из этой фразы какие-то цифры, какие-то буквы.
Владимир: Например, что? Место первого поцелуя или...
Андрей: Что-то в этом духе. Место первого поцелуя, я не знаю…
Владимир: Первая собачка?
Андрей: Первая собачка, имя первой учительницы. Только не используйте именно его, а используйте какие-то элементы его. Что-то такое не очевидное, что не будет известно никому и что гораздо сложнее просто подобрать. При этом, если вы используете парольный доступ или создаете в сетях на каких-то сайтах пароли, если это возможно, - в частности, Google предлагает такую возможность - подключите так называемую двухшаговую идентификацию. Это значит, что ваш доступ к какому-то ресурсу защищён не только паролем, но ещё и кодом, который присылается вам либо на мобильное устройство, либо на специально предназначенное для этого устройство, и позволяет вам, например, если вы перешли со своего обычного компьютера на какой-то новый компьютер, подтвердить, что это именно вы.
Владимир: Я знаю, у Google есть даже специальная программа, которая генерирует эти единоразовые ключи. Можно через приложение получать ключ, да?
Андрей: Можно получать через приложение на телефоне. Есть также отдельные устройства - так называемые OTP-устройства, позволяющие генерировать эти ключи.
Владимир: Это такие маленькие штучки, на которых генерируются рандомно всё время разные цифры?
Андрей: Да, причём они генерируются даже не в этой штучке. Вы вставляете её в компьютер, она генерируется уже непосредственно на том сайте, где вы это делаете. В общем, есть способ двухфакторной идентификации - обратите на это внимание. Если для вас это слишком сложно, Chrome предлагает (да и не только Chrome, но я про Chrome точно знаю) возможность автоматической генерации пароля. То есть когда вы заходите на какой-то новый сайт, Chrome может предложить вам автоматически сгенерировать рандомный случайный набор букв и цифр, который будет вашим паролем для этого ресурса. Chrome запомнит его, а вам не нужно его запоминать. И если вы залогинены, если вошли в свой аккаунт Google, на каком бы устройстве не находились: в телефоне, в компьютере, на чужом компьютере, - вы можете, если находитесь в своём аккаунте, снова зайти на этот сайт и ничего не запоминать, ничего не вводить.
Владимир: Вот как вы относитесь к тому, что некоторые люди постоянно сбрасывают пароли, заходя в любые сервисы? Не запоминают, а нажимают “напомнить пароль”, вводят там информацию и получают новый пароль. Это безопасно или нет?
Андрей: Я не думаю, что это более или менее безопасно, чем любой другой способ.
Но опять же, просто постарайтесь сделать так, чтобы сократить количество векторов атаки на ваш пароль. Не оставляйте на виду с компьютером, не записывайте в блокнотик.
Владимир: Как на кредитных карточках некоторые записывают свой пин-код, чтобы просто знать.
Андрей: Ну вот если вы так делаете, не делайте больше.
Владимир: Есть некоторые приложения, которые позволяют запоминать пароли. Насколько эта история безопасна? Есть ли у Google подобное решение или вы не очень хорошо относитесь к такого рода вещам?
Андрей: У Google есть. В принципе, это хорошая, история, поскольку она сокращает для пользователя количество возможностей каким-то образом офлайн раскрыть свой пароль. Другое дело, прежде, чем использовать тот или иной сервис по хранению паролей, постарайтесь хотя бы минимально узнать что-то о нём, почитать какие-то отзывы, убедиться, что это серьёзная история. Как я уже говорил, Google в Chrome представляет возможность как генерировать пароль, так и запоминать ваши пароли, чтобы вы больше не заботились об этом.
Владимир: Андрей, вопрос об облачном хранении данных. Все мы слышали истории о том, что у кого-то взломали телефон, выложили красивые фотографии и пр. Может быть, конечно, это такой «вирусный» маркетинг селебрити.
Андрей: Не без этого.
Владимир: Насколько это безопасная история - хранить свои фотографии, свой контент?
Андрей: Я думаю, если вопрос ставить так ребром, скорее безопасная, чем небезопасная. Большинство сервисов, с которыми я знаком, доверенных, крупных компаний хранят вашу информацию более безопасно, чем вы могли бы это сделать сами. Если вы уверены в том провайдере, в той компании, которая хранит ваши данные, уверены, что этой компании можно доверять, не стоит этого бояться. Единственное, здесь нужно смотреть на то, насколько это проверенное решение, насколько вы уверены в том, что, доверяя свои данные именно этому провайдеру, вы можете, во-первых, не просто не потерять их (что они не утекут куда-то в сеть), а в том, что он не закроется - и ваши данные не исчезнут.
Владимир: Например, Google photo тот же самый. Вы сами пользуетесь им? Храните там свои фотографии?
Андрей: Да, я храню все свои фотографии на Google Photo. Более того, скажу, что я подключил на телефоне возможность автоматической подгрузки своих фотографий с телефона.
Владимир: Сделали фотографию - и она сразу улетает?
Андрей: Да. Здесь можно настраивать, улетает она сразу, если вы на Wi-Fi, не на Wi-Fi. В общем, это можете настраивать сами. Мне эта возможность нравится. Мне кажется, это очень удобно, и я доверяю этому сервису.
Владимир: Мне особенно нравится в Google Photo, что можно написать “покажи фотографии с прошлого лета из такой-то страны”, - и он уже всё автоматически по контексту подтянет.
Андрей: Да, я считаю, что коллеги проделали очень интересную работу в плане автоматизации.
Владимир: Ну, хорошо, будем верить большим надежным компаниям. Про цены. С каждым годом стоимость памяти всё снижается и снижается. Это касается как флешек, так и хранения данных в облаке. История эта так и будет развиваться? Я смотрел презентацию Google Pixel, где было упомянуто, что хранение фотографий в облаке для владельцев устройств Google Pixel - безгранично.
Андрей: В принципе, безграничное хранение фотографий в облаке для пользователей Google уже существует. Если вы выгружаете их в предлагаемом нами размере, который обеспечивает полное качество, вы можете хранить сколь угодно фотографий. Ограничение наступает только, если вы их выкладываете в очень большом размере. И в определённых пределах стоимость хранения для обычного пользователя уже бесплатна.
Владимир: Хорошо. Поговорим тогда немного о бесконтактных платежах. Есть разные провайдеры бесконтактных платежей, карточки уже давно можно прислонять к терминалам оплаты. И есть такая история, как Google Pay. Во-первых, безопасно ли это? Не может ли кто-то отсканировать с вашего телефона или с вашей карточки (если это не контактная история) данные, а потом воспользоваться вашими денежными средствами? Это вопрос номер один. И вопрос номер два: знаете ли вы, как скоро придёт Google Pay в Россию?
Андрей: Если мы коснемся первого вопроса, то любое устройство безопасно в той мере, в которой вы обеспечили его безопасность. Если это физическое устройство, можно его банально украсть. И там дальше всё зависит уже от того, насколько вы обезопасили вход в это самое устройство на тот момент. Мы не будем в это углубляться. Просто будьте с этим аккуратны так же, как вы аккуратны со своим бумажником: ваши деньги в бумажнике безопасны до той поры, пока этот бумажник у вас.
Владимир: Согласен.
Андрей: В том, что касается самой технологии бесконтактных платежей, это супер интересно и открывает возможности как для пользователей, так и для коммерческих структур, которые предлагают свой контент в интернете. И сейчас эта тема действительно очень быстро развивается, позволяет сильно упростить процесс покупки. Я очень надеюсь, что она будет продолжать развиваться. К сожалению, не могу назвать конкретных дат того, когда это будет или не будет запущено в России, потому что всё время много что меняется и невозможно что-то предполагать сейчас. Но в то же время я уверен, что те, кто интересуется работой компании Google, знают, где мы оповещаем о своих новинках, и вовремя всё прочитают и услышат.
Владимир: Что же, с нетерпением ждём новинок от Google.
Андрей, блок острых вопросов, так сказать. Грань безопасности и защиты личных данных – это довольно тонкая грань. Когда раскрывать сервисам данные пользователя? Понятно, что в случае совершения каких-то преступлений, есть запросы от органов, которые расследуют эти преступления. Ваше мнение (личное или мнение компании, как удобнее) - где проходит эта грань? Когда сервис должен сотрудничать с органами, которые расследуют преступления, и когда сервис должен до конца охранять пользователя от того, что его личные данные могут куда-то утечь?
Андрей: Это тот радостный случай, когда моё личное мнение совпадает с мнением компании, поэтому я могу совершенно искренне об этом говорить. Начну с маленькой преамбулы, которая связана с тем, что мне нравится работать в этой компании в том числе потому, что Google делает очень много, чтобы развивать безопасность пользователей в сети. Google является одним из основных пропонентов внедрения технологии безопасного подключения TLS - то, о чём мы недавно говорили, когда у вас зелёный замочек в Chrome. Google пытается сделать так, чтобы это было на как можно большем количеством сайтов, и не только Google, естественно. Много компаний старается сделать так, чтобы интернет был для вас безопасным. Есть такое понятие как «безопасный просмотр». В Google есть целая большая команда, которая занимается тем, чтобы находить небезопасные сайты, и мы открыто и бесплатно делимся информацией об опасных сайтах со всем миром. Любой провайдер, любая компания может прийти, взять эту информацию и также обезопасить своих пользователей. Это хорошая сторона вопроса.
Теперь, когда встаёт вопрос о том, как пользователи могут быть уверены в том, что их данные хранятся компанией и не будут переданы какой-то третьей стороне, - здесь, мне кажется, важно просто иметь определённые принципы. И Google во главу угла ставит безопасность своих пользователей и их доверие к тем услугам, которые Google предоставляет. Поэтому в рамках закона Google сотрудничает с юридическими структурами, которые могут направлять какие-то требования, рассматривает каждое требование по отдельности, выявляет, соответствует ли оно критериям, установленным в компании, или нет, отклоняет такие запросы, если не соответствуют, принимает их, если они обоснованы. Поступают запросы, например, на продлённое хранение тех или иных данных в рамках какого-то расследования. Все такие запросы тоже не рассматриваются скопом - они все рассматривается по отдельности.
Владимир: Это отдельные службы этим занимаются?
Андрей: Есть целый ряд отделов в зависимости от того, по каким каналам и как приходят такие запросы, от кого. Это рассматривают специализированные отделы, специализированные люди. И мне кажется очень важным, что в частности Google публично делится информацией о поступающих запросах такого типа. Поэтому вы и кто угодно, любой из наших слушателей может зайти в отчёт о доступности сервисов и данных, который публикуется ежегодно, и посмотреть, сколько запросов, какого типа, из какой страны поступало, это количество запросов росло, падало и так далее, и так далее. Вы можете посмотреть, какое правительство, какие службы как себя ведут, чего они хотят и как себя в ответ ведёт наша компания. Я знаю, что, следуя примеру Google, другие компании стали также публиковать подобные отчёты. Вы как пользователь можете просто следить за этим и принимать взвешенное решение.
Владимир: И заранее знать, как Google будет себя вести в случае, если что-то будет спорным. Безусловно, пользователям не стоит нарушать закон.
Андрей: Вы не можете заранее знать, как та или иная ситуация разрешится. Но вы можете быть уверены в том, что для Google во главе угла стоит именно ваша безопасность и ваши интересы как пользователя.
Владимир: Вот такая история про безопасность от Андрея Липатцева, менеджера по развитию отношений с партнёрами Google. Большое спасибо, Андрей, за интервью!