XXVIII Международный конкурс научно-исследовательских и творческих работ учащихся
Старт в науке
РАЗРАБОТКА АЛГОРИТМОВ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЕТИ ИНТЕРНЕТ И СОЗДАНИЕ ИНТЕРАКТИВНОГО ПОСОБИЯ ПО КИБЕРГИГИЕНЕ
Автор работы награжден дипломом победителя I степени
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Введение
Ежедневно в интернете происходит более 1,5 тыс. крупных утечек персональных данных. От этого страдают и обычные пользователи, и компании. При этом большинство людей не знают элементарных правил кибергигиены: используют одинаковые пароли, переходят по подозрительным ссылкам, не включают двухфакторную аутентификацию.
Цель проекта — разработать простые и понятные алгоритмы защиты персональных данных и на их основе создать интерактивное пособие, которое поможет пользователям защитить себя самостоятельно.
Задачи:
-
Выявить основные угрозы персональным данным.
-
Разработать алгоритмы противодействия.
-
Создать прототип интерактивного пособия.
-
Проверить его эффективность на тестовой группе.
Гипотеза: Если пользователь освоит 5 базовых алгоритмов кибергигиены, риск утечки его персональных данных снизится более чем на 60%.
Объектом исследования является процесс обеспечения информационной безопасности личности в цифровой среде и современное состояние защиты персональных данных пользователей.
Предметом исследования являются программные алгоритмы технической защиты информации и методические приемы формирования навыков кибергигиены через интерактивные формы обучения.
Глава 1. Теоретические основы защиты персональных данных
-
-
Что такое персональные данные и как происходит их утечка
-
Персональные данные (ПДн) — согласно Федеральному закону №152-ФЗ, это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). К таким данным относятся: фамилия, имя, отчество, дата и место рождения, адрес, телефон, паспортные данные, СНИЛС, ИНН, биометрические данные (фото, отпечатки пальцев), геолокация, IP-адреса, cookie-идентификаторы.
Важно понимать, что даже если пользователь соблюдает осторожность, его данные могут оказаться скомпрометированы из-за утечки на стороне компании, которой он доверил свою информацию (Приложение Рис. 1). Именно поэтому комплексный подход — защита на всех уровнях — является единственно эффективным.
-
-
Обзор угроз в сети интернет.
-
На рисунке 2 (Приложение) представлена развёрнутая характеристика основных типов угроз, с которыми сталкивается обычный пользователь.
Дополнительная статистика:
- 92% вредоносных программ распространяется через электронную почту.
- Среднее время обнаружения пользователем взлома аккаунта — 3 дня.
- 81% утечек данных, связанных с хакерскими атаками, используют украденные или слабые пароли (источник: Verizon Data Breach Report 2024).
-
-
Нормативно-правовая база
-
Российская Федерация:
Федеральный закон №152-ФЗ «О персональных данных» (2006 г., последняя редакция — 2024 г.) — основной документ, регулирующий сбор, хранение, обработку и распространение ПДн.
Статья 137 Уголовного кодекса РФ — нарушение неприкосновенности частной жизни (наказывается штрафом до 200 тыс. рублей или лишением свободы до 2 лет).
Кодекс об административных правонарушениях (КоАП), ст. 13.11 — штрафы за обработку ПДн без согласия субъекта.
Европейский союз:
GDPR (General Data Protection Regulation), регламент (ЕС) 2016/679 — действует на всей территории ЕС, распространяется на любые компании, обрабатывающие данные граждан ЕС.
Штрафы по GDPR: до €20 млн или 4% годового глобального оборота компании.
Ответственность операторов персональных данных в РФ:
Штрафы для юридических лиц: от 60 тыс. до 6 млн рублей (в зависимости от нарушения).
Оборотные штрафы (с 2024 года): до 3% годовой выручки компании при повторных утечках.
Вывод для пользователя: Закон защищает права граждан, но на практике доказать факт утечки и получить компенсацию сложно. Лучшая защита — это превентивные меры, которые пользователь может предпринять самостоятельно.
-
-
Актуальность проблемы: статистика утечек
-
По данным отчётов Positive Technologies и InfoWatch за 2024 год:
Общее количество утечек персональных данных в мире превысило 32 000 за год (рост на 18% по сравнению с 2023 годом).
Россия: зафиксировано более 2 500 утечек, скомпрометировано более 300 млн записей о гражданах РФ.
Самые уязвимые сферы: ритейл (31% утечек), госсектор (22%), образование (11%), медицина (9%).
Средняя стоимость одной утечки для компании — $4,45 млн (отчёт IBM Security).
Эти цифры показывают, что проблема носит не только индивидуальный, но и системный характер. Однако, как показывает практика, даже при утечке базы данных хакеры чаще всего получают хеши паролей, и если пользователь использовал уникальный надёжный пароль и 2FA, его аккаунт останется в безопасности.
Глава 2. Разработка алгоритмов защиты
2.1 Алгоритм 1: Управление паролями и 2FA (Приложение Рис. 3)
Почему это важно: согласно исследованию NIST (Национальный институт стандартов и технологий США), 80% взломов связаны с использованием слабых или скомпрометированных паролей.
Что делать НЕЛЬЗЯ:
- Использовать один пароль для нескольких сервисов.
- Хранить пароли в заметках телефона, в файле на рабочем столе, в браузере без мастер-пароля.
- Использовать личные данные (дата рождения, имя, кличка собаки) в качестве пароля.
2.2 Алгоритм 2: Защита в социальных сетях (Приложение Рис. 4)
Почему это важно: 79% злоумышленников начинают атаку со сбора информации из открытых профилей в соцсетях (OSINT).
Что делать НЕЛЬЗЯ:
- Публиковать фотографии документов, авиабилетов, банковских карт (даже с закрытым номером).
- Указывать точный адрес проживания или работы.
- Проходить тесты, запрашивающие личную информацию.
2.3 Алгоритм 3: Безопасный Wi-Fi и VPN (Приложение Рис. 5)
Почему это важно: Общественные Wi-Fi сети (кафе, аэропорты, торговые центры) часто не имеют шифрования или используют устаревшие протоколы. Атака «человек посередине» (MITM) позволяет злоумышленнику в той же сети перехватывать ваш трафик.
Что делать НЕЛЬЗЯ:
- Пользоваться интернет-банкингом или вводить пароли через открытый Wi-Fi (даже с VPN).
- Использовать бесплатные VPN без проверенной репутации (многие продают ваш трафик).
2.4 Алгоритм 4: Антифишинг и проверка ссылок (Приложение Рис. 6)
Почему это важно: Фишинг остаётся самым массовым видом атак. По данным «Лаборатории Касперского», в 2024 году было заблокировано более 500 млн фишинговых переходов.
Что делать НЕЛЬЗЯ:
- Переходить по ссылкам из SMS «Ваша посылка задержана» или «Ваш аккаунт заблокирован».
- Сканировать QR-коды от незнакомцев на улице или в письмах.
- Скачивать вложения от неизвестных отправителей.
2.5 Алгоритм 5: Резервное копирование и шифрование (Приложение Рис. 7)
Почему это важно: Вирусы-шифровальщики (ransomware) шифруют файлы на компьютере и требуют выкуп. Если у вас нет резервной копии, данные могут быть утеряны навсегда.
Дополнительные шаги:
Зашифровать важные файлы перед отправкой в облако (VeraCrypt — бесплатно, BitLocker — встроен в Windows Pro, Cryptomator — для облачных хранилищ).
Проверять восстановление раз в месяц — бесполезно делать бэкап, если вы не можете его восстановить.
Хранить физическую резервную копию в другом месте (у родственников, в сейфе, на работе) на случай пожара или кражи.
Что делать НЕЛЬЗЯ:
- Хранить единственную резервную копию на том же диске, что и оригинал.
- Держать резервный диск постоянно подключённым (вирус-шифровальщик зашифрует и его).
2.6 Сравнительная характеристика алгоритмов (Приложение Рис. 8)
Рекомендация: Выполняйте алгоритмы в указанном порядке. Первичная настройка всех пяти займёт около 5–6 часов, но в дальнейшем поддержание требует не более 10–15 минут в неделю.
Глава 3. Интерактивное пособие по кибергигиене
3.1 Структура и функциональность пособия (Приложение Рис. 9)
Пособие реализовано в виде одностраничного HTML-приложения с использованием CSS (адаптивный дизайн) и JavaScript (интерактивность). Оно не требует установки, работает в любом современном браузере и доступно офлайн после первого открытия.
3.2 Техническая реализация (Приложение Рис. 10)
Ключевые особенности кода:
Генератор паролей использует криптостойкий Math.random (для образовательных целей — допустимо, для промышленного использования рекомендуется crypto.getRandomValues).
Прогресс чек-листов сохраняется в localStorage — при повторном открытии страницы отметки не сбрасываются.
Тест автоматически подсчитывает результат в процентах и даёт персонализированные рекомендации.
Полный объём кода — около 150 строк (компактно, легко модифицировать).
3.3 Результаты опроса и анкетирования (Приложение Рис. 11)
Методика апробации:
Предварительное анкетирование (30 чел. возраст 17–19 лет) — оценка уровня кибергигиены до знакомства с пособием.
Самостоятельное изучение пособия — участникам была предоставлена ссылка на HTML-файл, неделя на выполнение чек-листов.
Повторное анкетирование (Приложение Рис. 12) через 2 недели — замер изменений в поведении и самооценке рисков.
Оценка снижения риска утечки:
Участников попросили оценить свой риск утечки персональных данных по шкале от 1 (минимальный) до 10 (критический).
Средняя оценка до пособия: 6.8
Средняя оценка после пособия: 2.2
Снижение риска: 68% (разница 4.6 балла из 10 возможных)
3.4 Практические рекомендации и матрица выбора мер защиты (Приложение Рис. 13)
Общие принципы выбора мер защиты
Принцип адекватности: Не нужно защищать данные, которые не представляют ценности для злоумышленника, но и не стоит пренебрегать защитой важной информации.
Принцип удобства: Слишком сложные меры защиты пользователь будет игнорировать или отключать. Ищите баланс.
Принцип регулярности: Безопасность — это процесс, а не разовое действие. Пароли нужно менять, бэкапы — проверять, расширения — обновлять.
Заключение
В ходе работы над проектом и в результате проведённого исследования были достигнуты следующие результаты:
Выявлены и систематизированы 7 основных типов угроз персональным данным с оценкой их частоты и последствий.
Проанализирована нормативно-правовая база (ФЗ-152, GDPR), определены права и обязанности субъектов персональных данных.
Представлена актуальная статистика утечек за 2024 год, демонстрирующая масштаб проблемы.
Разработаны 5 универсальных алгоритмов защиты, применимых в повседневной жизни любого пользователя.
Создано и протестировано интерактивное пособие по кибергигиене на HTML/JS, не требующее специальных знаний или установки (Приложение Рис. 14).
Проведена апробация на группе из 30 студентов, подтвердившая эффективность пособия.
Гипотеза проекта подтверждена:
После работы с пособием тестовая группа снизила субъективный риск утечки данных на 68%.
Доля пользователей, использующих уникальные пароли, выросла с 27% до 90%.
Доля пользователей, включивших 2FA, выросла с 43% до 67%.
Список использованных источников:
-
Нормативно-правовые документы
1. Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 (ред. от 21.07.2024). — URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 15.04.2026).
2. Регламент (ЕС) 2016/679 Европейского парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (GDPR) от 27.04.2016. — URL: https://eur-lex.europa.eu/legal-content/RU/TXT/?uri=CELEX:32016R0679 (дата обращения: 15.04.2026).
3. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 28.12.2024), ст. 137 «Нарушение неприкосновенности частной жизни». — URL: http://www.consultant.ru/document/cons_doc_LAW_10699/ (дата обращения: 15.04.2026).
4. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) от 30.12.2001 № 195-ФЗ (ред. от 08.01.2026), ст. 13.11 «Нарушение законодательства о персональных данных». —URL: http://www.consultant.ru/document/cons_doc_LAW_34661/ (дата обращения: 15.04.2026).
5. Указ Президента РФ № 474 «О национальных целях развития Российской Федерации на период до 2030 года» от 21.07.2020 (в части цифровой трансформации). — URL: http://www.kremlin.ru/acts/bank/45726 (дата обращения: 15.04.2026).
-
Учебники, учебные пособия и методические разработки
1. Баранова, Е. К. Информационная безопасность и защита информации : учебник / Е. К. Баранова. — Москва : РИОР : ИНФРА-М, 2024. — 275 с. — ISBN 978-5-369-01853-0.
2. Галатенко, В. А. Основы информационной безопасности : учебное пособие / В. А. Галатенко. — 5-е изд., перераб. и доп. — Москва : Интернет-Университет Информационных Технологий, 2023. — 312 с. — ISBN 978-5-9556-0214-7.
3. Еремин, А. Л. Информационная и цифровая гигиена : учебное пособие для вузов / А. Л. Еремин. — Санкт-Петербург : Лань, 2023. — 92 с. — ISBN 978-5-507-46024-3.
4. Еремин, А. Л. Информационная и цифровая гигиена : учебное пособие для вузов / А. Л. Еремин. — 2-е изд., стер. — Санкт-Петербург : Лань, 2024. — 92 с. — ISBN 978-5-507-47641-1.
5. Партыка, Т. Л. Информационная безопасность : учебное пособие / Т. Л. Партыка, И. И. Попов. — 5-е изд., перераб. и доп. — Москва : Форум, 2022. — 432 с. — ISBN 978-5-8199-0896-7.
6. Солдатова, Г. У. Кибербезопасность : тренажёр для 8 класса / Г. У. Солдатова, С. В. Чигарькова, И. Д. Пермякова. — Москва : Русское слово, 2024. — 80 с. — ISBN 978-5-533-02789-6.
7. Хайдукова, А. С. Оформление «Безопасность в интернете» : методическая разработка / А. С. Хайдукова. — Инфоурок, 2025. — 14 с. (набор гексов для интерактивного обучения). — URL: https://infourok.ru/magazin-materialov/oformlenie-bezopasnost-v-internete-680920 (дата обращения: 18.04.2026).
8. Шаньгин, В. Ф. Защита информации в компьютерных системах и сетях : учебник / В. Ф. Шаньгин. — 2-е изд., перераб. и доп. — Москва : Форум : ИНФРА-М, 2023. — 416 с. — ISBN 978-5-00091-061-4.
3. Аналитические отчёты, статистика и исследования
1. Positive Technologies. Аналитика киберинцидентов и утечек данных за 2024–2025 годы : отчёт / Positive Technologies Expert Security Center (PT ESC). — 2025. — URL: https://www.ptsecurity.com/ru-ru/research/ (дата обращения: 10.04.2026).
2. Positive Technologies. Кампании атак через заражённые Microsoft Exchange серверы (ExCobalt) : исследование / PT ESC. — 2025. — URL: https://global.ptsecurity.com/en/about/news/positive-technologies-warns-of-attacks-through-infected-microsoft-exchange-servers/ (дата обращения: 10.04.2026).
3. Лаборатория Касперского. Статистика фишинговых атак и вредоносного ПО за 2024 год : ежегодный отчёт / Kaspersky Security Network (KSN). — 2025. — URL: https://securelist.com/ru/ (дата обращения: 12.04.2026).
4. InfoWatch. Глобальные исследования утечек информации : аналитический обзор 2024 / InfoWatch. — 2025. — 48 с. — URL: https://www.infowatch.ru/resources/reports (дата обращения: 12.04.2026).
5. IBM Security. Cost of a Data Breach Report 2024 : аналитическийотчёт / IBM Security. — 2024. — 78 p. — URL: https://www.ibm.com/reports/data-breach (датаобращения: 14.04.2026).
6. Verizon. 2024 Data Breach Investigations Report (DBIR) / Verizon Business. — 2024. — 95 p. — URL: https://www.verizon.com/business/resources/reports/dbir/ (датаобращения: 14.04.2026).
7. Известия. Каждый второй хакерский атака на бизнес в России приводит к утечке данных : статья / Известия. — 2025. — URL: https://en.iz.ru/en/node/1968492 (дата обращения: 17.04.2026).
4. Стандарты и технические руководства (NIST, OWASP)
1. National Institute of Standards and Technology (NIST). Digital Identity Guidelines : Authentication and Lifecycle Management / NIST Special Publication 800-63B. — Gaithersburg, MD : NIST, 2017 (updated 2020). — 90 p. — URL: https://pages.nist.gov/800-63-3/sp800-63b.html (датаобращения: 10.04.2026).
2. OWASP Foundation. OWASP Proactive Controls : C6 Implement Digital Identity / OWASP. — 2018. — URL: https://top10proactive.owasp.org/archive/2018/c6-digital-identity/ (датаобращения: 10.04.2026).
3. ManageEngine. Complying with NIST password guidelines / ManageEngine. — 2019. — URL: https://www.manageengine.com/products/self-service-password/blog/complying-with-nist-password-guidelines.html (датаобращения: 10.04.2026).
-
Интернет-ресурсы и онлайн-публикации
1. ИСТИНА МГУ. Информационная и цифровая гигиена: запись в базе данных публикаций / Научная библиотека МГУ. — URL: https://istina.msu.ru/publications/book/716845190/ (дата обращения: 16.04.2026).
2. «Кибербезопасность просто». Образовательный портал по цифровой грамотности / Фонд Развития Интернет. — URL: https://киберпросто.рф (дата обращения: 16.04.2026).
3. Bitwarden. Open Source Password Manager: официальныйсайт / Bitwarden Inc. — URL: https://bitwarden.com/ (датаобращения: 15.04.2026).
4. GitHub — SecLists. Коллекция списков наиболее распространённых паролей для проверки / Daniel Miessler. — URL: https://github.com/danielmiessler/SecLists/tree/master/Passwords (дата обращения: 10.04.2026).
5. Habr (Хабр). Публикации по информационной безопасности и кибергигиене / Habr.com. — URL: https://habr.com/ru/hub/infosecurity/ (дата обращения: 16.04.2026).
6. Microsoft Learn. Официальная документация Microsoft Defender и Windows Security / Microsoft Corporation. — URL: https://learn.microsoft.com/ru-ru/windows/security/ (дата обращения: 15.04.2026).
7. ProtonVPN. Бесплатный VPN с политикой нулевого логирования: официальный сайт / Proton AG. — URL: https://protonvpn.com/ru/ (дата обращения: 15.04.2026).
8. VeraCrypt. Бесплатное программное обеспечение для шифрования дисков: официальный сайт / IDRIX. — URL: https://www.veracrypt.fr/ (дата обращения: 15.04.2026).
Приложение
Рис. 1 Основные каналы утечки Персональных данных
Рис. 2 Основные типы угроз, с которыми сталкивается пользователь
Рис. 3 Пошаговый алгоритм управления паролями
Рис. 4 Пошаговый алгоритм Защиты в социальных сетях
Рис. 5 Пошаговый алгоритм Безопасного Wi-Fi и VPN
Рис. 6 Пошаговый алгоритм Антифишинга и проверки ссылок
Рис. 7 Пошаговый алгоритм (правило 3-2-1) на резервное копирование и шифрование
Рис. 8 Сравнительная характеристика алгоритмов
Рис. 9 Разделы пособия
Рис. 10 Технологический стек
Рис. 11 Результаты опроса до изучения пособия
Рис. 12 Результаты после изучения пособия
Рис. 13 Матрица выбора мер защиты
Рис. 14 План внедрения пособия в образовательный процесс