В статье «Что такое OPSEC» я разбирал базовый принцип: операционная безопасность держится не столько на технологиях, сколько на дисциплине человека и на тех следах, которые он оставляет в цифровой среде.

Эта статья продолжает тему уже на практическом уровне. Ниже собраны 10 ошибок цифровой гигиены, которые чаще всего создают риск для предпринимателей, инвесторов, топ-менеджеров, публичных людей и их окружения.

Большинство проблем начинается не с «взлома». Обычно всё проще: повтор пароля, одна почта для всех сервисов, старый аккаунт, открытое облако, фото с геометкой, документ с метаданными или деловой фрагмент, загруженный в AI-сервис.

Что такое цифровая гигиена#

Цифровая гигиена — это базовая дисциплина работы с аккаунтами, устройствами, почтой, облаками, файлами и публичными профилями. Она снижает количество данных о человеке в открытом доступе и уменьшает риск бытовых утечек.

Она закрывает массовые риски:

  • повторное использование паролей;
  • слабую двухфакторную аутентификацию;
  • утечки баз данных;
  • фишинг и социальную инженерию;
  • открытые сессии;
  • лишние разрешения приложений;
  • случайную публикацию личных данных;
  • передачу чувствительной информации сторонним сервисам.

Цифровая гигиена остаётся первым слоем личной цифровой безопасности, но это ещё не полноценный OPSEC.

Цифровая гигиенаOPSEC
Закрывает массовые и типовые риски.Строится вокруг конкретной модели угроз.
Работает на уровне паролей, 2FA, почты, устройств и облаков.Учитывает активы, публичность, окружение, бизнес и цену ошибки.
Подходит всем как базовая дисциплина.Нужен, когда ошибка может привести к финансовым, репутационным или операционным потерям.

Гигиена отвечает на вопрос: «Насколько аккуратно устроены мои базовые цифровые привычки?»
OPSEC задаёт другой: «Как я выгляжу со стороны для человека, который целенаправленно собирает информацию?»

Почему ошибки цифровой гигиены опасны для бизнеса и публичных людей#

Цена одной и той же ошибки зависит от роли человека.

У обычного пользователя повтор пароля чаще всего заканчивается потерей аккаунта в соцсети. Для владельца бизнеса тот же повтор открывает почту с договорами, переговорами, контактами юристов и финансовыми документами.

Геометка в фото у частного пользователя выглядит как лишняя деталь. У публичного человека это уже точка, по которой восстанавливают район проживания, маршруты, окружение и распорядок.

Слабая 2FA у топ-менеджера затрагивает не только его лично: через неё открывается вход в рабочий периметр. Компрометация переписки инвестора оборачивается не просто утечкой сообщений, а потерей позиции в сделке.

Массовые советы полезны как база, но они не учитывают цену конкретной ошибки. Поэтому цифровая гигиена для предпринимателя, публичного человека или состоятельного частного клиента должна рассматриваться вместе с аудитом цифрового следа и моделью угроз.

10 ошибок цифровой гигиены#

Ниже приведены основные ошибки, которые я чаще всего вижу в цифровом следе людей с высоким уровнем риска.

  1. Повторное использование паролей.
  2. Отсутствие или слабая двухфакторная аутентификация.
  3. Одна почта для всего.
  4. Забытые старые аккаунты.
  5. Лишние сессии и доступы на устройствах.
  6. Небрежность с облачными хранилищами.
  7. Личные детали в публичных профилях.
  8. Метаданные файлов и фотографий.
  9. Невнимательность к фишингу и социальной инженерии.
  10. Передача чувствительной информации AI-сервисам и сторонним платформам.

1. Повторное использование паролей#

Один пароль или его вариация используется в личной почте, рабочем аккаунте, облаке, маркетплейсе, старом форуме, сервисе доставки или приложении для бронирований.

Это опасно не потому, что кто-то обязательно будет атаковать лично вас. Достаточно утечки старого сервиса. Если пароль совпадает с актуальным, доступ к ненужному аккаунту превращается в доступ к важному.

Типовая цепочка выглядит так:

  1. В утечке находится старый аккаунт.
  2. Пароль или его вариация подходит к актуальной почте.
  3. Через почту восстанавливается доступ к облаку, мессенджерам, рабочим сервисам или финансовым кабинетам.

Из аудита прошлого года: у владельца компании пароль 2017 года к давно забытому форуму отличался от актуального почтового только последней цифрой. Этой вариации хватило, чтобы пройти восстановление почты и через неё попасть в облако с финансовыми документами.

Что делать:

  • использовать менеджер паролей;
  • для каждого сервиса создавать отдельный длинный пароль;
  • не использовать ручные вариации вроде Password2024, Password2025, Password2026;
  • отдельно защитить корневые аккаунты: почту, основное облако, рабочие сервисы;
  • проверить старые аккаунты на повтор пароля.

Менеджер паролей нужен не столько ради удобства, сколько ради того, чтобы разорвать связь между сервисами: утечка одного пароля не должна открывать весь цифровой контур. Достойные варианты собраны в независимой подборке Privacy Guides — от Bitwarden и 1Password до Proton Pass.

2. Отсутствие или слабая двухфакторная аутентификация#

2FA часто либо не включена, либо включена через SMS. Для критичных аккаунтов этого недостаточно.

SMS-код можно перехватить, переадресовать или получить через sim-swap. Только за 2021 год ФБР зафиксировало по этой схеме $68 млн потерь у американцев. Если человек публичен, связан с активами или управляет бизнесом, его номер телефона становится отдельной целью.

Опасный сценарий простой: телефон теряет сеть, а через несколько минут на номер уже приходят коды восстановления. Пока владелец общается с оператором, часть аккаунтов могут успеть перехватить.

Что делать:

  • включить 2FA на всех критичных аккаунтах;
  • заменить SMS на TOTP-приложение там, где это возможно;
  • для почты, банков, криптосервисов и рабочих аккаунтов использовать аппаратный ключ;
  • хранить резервные коды отдельно, лучше офлайн;
  • проверить, какие аккаунты до сих пор завязаны на номер телефона.

SMS как второй фактор допустим только там, где нет альтернативы и где цена компрометации невысока. Развёрнутое сравнение методов 2FA, от SMS до аппаратных ключей, есть в руководстве EFF Surveillance Self-Defense.

3. Одна почта для всего#

Один email используется для банка, рабочей переписки, маркетплейсов, подписок, старых форумов, личных сервисов и восстановления доступа.

Такой ящик постепенно превращается в корневую точку. Он засвечен в десятках сервисов, регулярно попадает в утечки и используется для восстановления других аккаунтов.

Если этот email скомпрометирован, дальше не всегда нужен взлом. Достаточно пройти стандартные процедуры восстановления доступа: облако, мессенджер, рабочий кабинет, финансовый сервис.

Что делать:

Разделить почту минимум на три уровня:

  1. Корневой email — только для восстановления критичных доступов. Не используется для регистраций, рассылок и публичных контактов.
  2. Рабочий email — для деловой переписки, документов, контактов.
  3. Бытовой email — для маркетплейсов, подписок, разовых регистраций и сервисов с низкой ценой риска.

Корневой email должен быть самым закрытым: уникальный пароль, аппаратный ключ, минимум привязок, никаких лишних пересылок и сторонних приложений.

4. Забытые старые аккаунты#

За 10–15 лет накапливаются десятки регистраций: форумы, старые соцсети, маркетплейсы, сервисы доставки, платформы прошлых проектов, корпоративные кабинеты.

Сам факт старого аккаунта обычно безобиден. Опасно другое: в аудитах я регулярно нахожу там реальные данные — имя, телефон, адрес, старая почта, история заказов, иногда документы. Пароли там слабые, 2FA нет, активные сессии не закрывались годами.

Старый аккаунт может быть связан с текущей почтой или номером. Через него собирают контекст, подтверждают личность или строят цепочку восстановления доступа.

Что делать:

  • раз в год проводить инвентаризацию аккаунтов;
  • искать регистрации по основной почте и номеру телефона;
  • удалять ненужные профили;
  • менять пароли в нужных сервисах;
  • закрывать активные сессии;
  • включать 2FA;
  • отдельно проверять старые корпоративные кабинеты и сервисы прошлых проектов.

Старый аккаунт легко принять за цифровой мусор, но иногда за ним остаётся забытая дверь в актуальный периметр.

5. Лишние сессии и доступы на устройствах#

Один смартфон используется для всего: личных фото, банковских приложений, семейных чатов, рабочей почты, корпоративных сервисов, документов и мессенджеров.

На устройстве остаются десятки активных сессий. Приложения запрашивают доступ к контактам, геолокации, файлам, микрофону и камере. Некоторые установлены давно, их назначение уже непонятно.

В такой схеме телефон становится узлом доступа ко всей жизни. Компрометация одного устройства может затронуть личные данные, рабочую переписку, банк, облако и корпоративные сервисы. По масштабу это уже близко к корпоративной утечке, хотя точкой входа стало личное устройство.

Что делать:

  • разделить критичные и бытовые задачи по устройствам;
  • регулярно проверять разрешения приложений;
  • закрывать старые сессии;
  • не держать рабочие и личные доступы в одном бесконтрольном наборе приложений;
  • дома использовать отдельную гостевую Wi-Fi-сеть для чужих устройств;
  • раз в квартал выходить из всех сессий на критичных аккаунтах и входить заново.

Для человека с высоким уровнем риска один смартфон «для всего» становится слабой архитектурой.

6. Небрежность с облачными хранилищами#

В одном облаке часто лежит всё: личные фото, рабочие документы, сканы паспортов, договоры, финансовые таблицы, презентации, архивы и переписка.

Доступ открыт с нескольких устройств. Иногда он есть у ассистента, подрядчика, бывшего сотрудника или человека, которому когда-то дали ссылку «на время».

Облако удобно, но это чужая инфраструктура. Её безопасность зависит от пароля, 2FA, настроек доступа и дисциплины всех, кто работает с файлами. Когда личное, рабочее и чувствительное лежит вперемешку, компрометация одного аккаунта даёт слишком много сразу.

Что делать:

Разделить данные по уровням:

  • личное: фото, бытовые файлы, документы с низкой ценой риска;
  • рабочее: текущие проекты, презентации, обычная переписка;
  • чувствительное: договоры, сканы, финансовые данные, закрытые материалы.

Для каждого уровня нужны отдельные правила доступа. Чувствительные данные лучше хранить в отдельном контуре, с шифрованием на стороне клиента и регулярной проверкой всех доступов.

Особое внимание стоит уделять общим папкам. Бывший ассистент, подрядчик или юрист не должен сохранять доступ через год после завершения работы.

Типичная история из моих аудитов: клиент дал ассистенту ссылку на рабочую папку «на неделю» ещё в 2022 году. В 2025-м эта ссылка нашлась в утечке партнёрского сервиса вместе с содержимым папки, и никто за три года её не закрыл.

7. Личные детали в публичных профилях#

В соцсетях, интервью, корпоративных биографиях и публичных профилях часто остаются детали, которые человек не считает чувствительными: имена детей, школа, район проживания, любимый ресторан, марка автомобиля, имя ассистента, место отдыха, привычные маршруты.

По отдельности это мелочи. Вместе из них складывается профиль, собранный из открытых источников.

Отдельный риск создаёт окружение. Закрытый профиль владельца не спасает, если супруга отмечает геолокации, дети выкладывают фото из дома, ассистент публикует расписание, а сотрудники показывают офисные детали в сторис.

Окружение тоже часть вашего цифрового следа.

К чему это приводит:

  • к профилю привычек и маршрутов;
  • к пониманию круга общения;
  • к подготовке адресного фишинга;
  • к социальной инженерии;
  • к поиску точек давления через семью, сотрудников и подрядчиков.

Что делать:

  • регулярно проверять выдачу по своему имени;
  • отдельно смотреть публикации окружения;
  • договориться с близкими о геометках и домашних фото;
  • ввести правила публикаций для ассистентов и сотрудников;
  • публиковать чувствительные локации с задержкой;
  • не показывать документы, экраны, бейджи, номера автомобилей и интерьерные детали.

Я часто повторяю клиентам: конфиденциальность не работает, если её соблюдает только один человек.

8. Метаданные файлов и фотографий#

Фото и документы часто публикуются или пересылаются без очистки служебных данных.

Фотография со смартфона может содержать EXIF: координаты, дату, время, модель устройства, иногда направление камеры. Многие платформы удаляют эти данные при загрузке, но не все. При пересылке исходного файла через мессенджер метаданные могут сохраниться.

Документы Word и PDF тоже содержат служебную информацию: автора, организацию, историю правок, комментарии, старые версии фрагментов.

Один снимок может выдать адрес. Серия фотографий выдаёт распорядок. По документу с историей правок восстанавливаются автор, внутренние формулировки и участники подготовки.

Что делать:

  • отключить геометки в камере по умолчанию;
  • проверять метаданные перед публикацией;
  • для чувствительных фото использовать очистку EXIF (например, ExifTool) или скриншот;
  • перед отправкой документов удалять служебные данные;
  • не пересылать исходники без необходимости;
  • проверять PDF и Word-файлы перед отправкой внешним адресатам.

У любого файла, кроме видимого содержимого, есть второй слой данных, который часто упускают из виду.

9. Невнимательность к фишингу и социальной инженерии#

Целевой фишинг редко похож на грубое письмо с ошибками.

Письмо от «юриста» приходит в день, когда действительно обсуждается сделка. Звонок от «помощника партнёра» звучит убедительно, потому что имя партнёра известно. Голос в аудио похож на реального человека, потому что его публичных выступлений достаточно для имитации.

Сама технология здесь вторична, главное — контекст. Чем больше данных о человеке есть в открытых источниках, тем проще собрать запрос, который выглядит естественным.

Это может быть:

  • просьба срочно оплатить счёт;
  • новые реквизиты контрагента;
  • документ «на быструю проверку»;
  • сообщение от знакомого человека с необычной просьбой;
  • звонок голосом, который вы узнаёте.

Что делать:

Ввести протокол проверки. Любая срочная просьба, смена реквизитов, перевод денег, доступ к документам или подтверждение операции проверяются через второй независимый канал.

Не через тот же мессенджер, где пришло сообщение. Через заранее известный номер, личный контакт, видеозвонок или встречу.

Один из недавних случаев: бухгалтеру публичной компании пришло сообщение «от партнёра» с новыми реквизитами за день до плановой оплаты. Имя, контекст и стиль письма совпадали с публичной перепиской из СМИ. Платёж ушёл бы, если бы не внутреннее правило подтверждать любую смену реквизитов голосом по заранее известному номеру.

В моей практике это не вопрос паранойи, а обычная рабочая дисциплина для ситуаций, где цена ошибки измеряется деньгами, сделкой, активом или репутацией.

10. Передача чувствительной информации AI-сервисам и сторонним платформам#

Документы загружаются в публичные AI-сервисы для перевода, саммари, редактуры, анализа договора или подготовки ответа. Финансовые модели открываются в облачных таблицах. Деловая переписка пересказывается чат-боту.

С точки зрения удобства это понятно. С точки зрения конфиденциальности риск обычно недооценивают.

Данные, отправленные в сторонний сервис, выходят из прямого контроля. Они могут храниться в логах, использоваться для улучшения продукта, попадать в инфраструктуру подрядчиков, просматриваться сотрудниками или стать частью утечки самой платформы.

Отдельная зона риска — сотрудники, которые загружают корпоративные документы через личные AI-аккаунты. Формально компания может это запрещать, но на практике так делают, потому что быстрее.

Что делать:

  • не загружать в публичные AI-сервисы то, что нельзя раскрывать;
  • перед загрузкой обезличивать документы: убирать имена, суммы, реквизиты, адреса, контекст;
  • для чувствительных задач использовать локальные инструменты или корпоративные решения с прозрачной политикой обработки данных (например, ChatGPT Enterprise явно прописывает, что входные и выходные данные не используются для обучения моделей);
  • прописать для команды, какие данные можно обрабатывать через AI, а какие нельзя;
  • контролировать личные аккаунты сотрудников, если они работают с документами компании.

Как проверить себя#

Три совпадения из десяти уже трудно отнести к мелкой ошибке. Обычно это признак системы.

Проверьте ключевые точки:

  • Есть ли одинаковые или похожие пароли в разных сервисах?
  • Используется ли SMS как второй фактор на критичных аккаунтах?
  • Привязаны ли банк, облако, мессенджеры и рабочие сервисы к одной почте?
  • Можете ли вы назвать все сервисы, где регистрировались за последние 10 лет?
  • Есть ли активные сессии в приложениях, которыми вы давно не пользуетесь?
  • Хранится ли личное, рабочее и чувствительное в одном облаке?
  • Публикует ли окружение детали, которые вы сами не стали бы публиковать?
  • Удаляются ли метаданные перед отправкой фото и документов?
  • Есть ли правило проверки срочных сообщений, платежей и смены реквизитов?
  • Загружаете ли вы рабочие документы в публичные AI-сервисы?

Когда нужен аудит цифрового следа#

Цифровая гигиена закрывает базовый уровень. Но она не показывает, как человек выглядит со стороны: что о нём можно найти, какие данные связаны между собой и какие сценарии риска можно построить на этой основе.

Аудит цифрового следа — это закрытая аналитическая работа. Её задача в том, чтобы понять, какие данные о человеке, семье, команде или бизнесе доступны в открытых источниках, утечках, аккаунтах, облаках, документах и публикациях окружения.

Аудит имеет смысл, если:

  • выросла публичность;
  • готовится крупная сделка;
  • появились новые активы или партнёры;
  • сменились ассистенты, охрана, юристы, водители, подрядчики;
  • уже была утечка или подозрительная активность;
  • нужно понять, что видно о вас, семье или бизнесе из открытых источников;
  • вы хотите перейти к более закрытому формату жизни и работы.

Частые вопросы#

Чем цифровая гигиена отличается от OPSEC?#

Цифровая гигиена закрывает массовые риски: пароли, 2FA, почту, устройства, облака, метаданные, фишинг. OPSEC начинается там, где нужно учитывать конкретную модель угроз: кто может быть заинтересован в вас, какие активы защищаются, через кого можно выйти на вас и как связаны разные части цифрового следа.

Как понять, что мои данные уже утекли?#

Базовая проверка начинается с агрегаторов утечек вроде Have I Been Pwned. Сервис показывает, встречалась ли ваша почта в известных утечках. Но это только верхний слой. Полная картина включает старые аккаунты, номера телефонов, облака, документы, публичные профили, упоминания окружения и связи между ними.

Можно ли полностью удалить себя из интернета?#

Полностью этого сделать не получится. Но можно сократить цифровой след, убрать лишние публикации, закрыть старые аккаунты, ограничить видимость данных, настроить правила для окружения и снизить количество точек, через которые вас можно изучать.

Безопасно ли хранить документы в облаке?#

Зависит от документов, облака и настроек доступа. У личных фото и бытовых файлов один уровень риска. Сканы паспортов, договоры, финансовые документы и чувствительная переписка в одном аккаунте без сегментации и шифрования — совсем другой. Критичные данные лучше выносить в отдельный защищённый контур.

Действительно ли VPN защищает приватность?#

VPN решает узкую задачу: скрывает трафик от провайдера и меняет видимый IP-адрес. Он не делает человека анонимным, не защищает от трекеров, не убирает цифровой след и не маскирует поведенческие признаки. Это полезный инструмент, но не универсальная защита.

Можно ли использовать AI-сервисы для конфиденциальных документов?#

С публичными бесплатными сервисами этого делать не стоит. С корпоративными решениями, где прописана политика обработки данных и отказ от использования материалов для обучения, возможны варианты, но многое зависит от чувствительности информации. Базовое правило простое: если документ нельзя показать постороннему человеку, его нельзя загружать в случайный сервис.

Зачем нужен OPSEC-аудит и что в него входит?#

OPSEC-аудит показывает, как вы выглядите со стороны: какие данные доступны, как они связаны, через какие аккаунты, людей, публикации и документы можно построить сценарий риска. В аудит входят цифровой след, публичные источники, утечки, аккаунты, устройства, облака, окружение и приоритеты устранения уязвимостей.

Вывод#

Цифровая гигиена не сводится к десяти настройкам в телефоне. Это базовая дисциплина защиты персональных данных, от которой зависит, сколько информации о вас можно собрать без доступа к закрытым системам.

Общий пароль связывает аккаунты между собой. Одна почта на всё открывает восстановление доступа везде сразу. Смартфон без разделения задач смешивает личное, рабочее и финансовое. Фото с геометкой выдаёт локацию, а документ, загруженный в случайный сервис, может надолго остаться в чужой инфраструктуре.

По отдельности каждая такая ошибка выглядит небольшой. Вместе они складываются в цифровой след, который хорошо виден снаружи.

Цифровая гигиена закрывает массовый уровень. Дальше начинается OPSEC: работа с конкретной моделью угроз, окружением, активами и ценой ошибки.

Запрос, с которого обычно начинается такая работа, звучит просто: «хочу понять, как я выгляжу со стороны». С этой точки и удобнее всего входить.

Если в статье вы узнали свои привычки больше чем в трёх пунктах, имеет смысл увидеть всю картину целиком, пока она не понадобилась кому-то другому. Консультация проходит в закрытом формате.