Цифрова безпека
Настанови
1. Звертайте увагу на різні типи інформації, якою ви володієте, та намагайтеся краще зрозуміти її цінність для вашої роботи та шкоду для вас та інших, яка може виникнути через доступ супротивника до такої інформації. Вживайте додаткові заходи для захисту тих активів, які представляють найбільшу цінність або потенційну шкоду.
Реальність є такою, що неможливо захистити всю вашу інформацію від будь-яких можливих способів її компрометації, тому вам потрібно визначити пріоритети. Ви повинні діяти систематично, на основі наявного ризику. Ви повинні враховувати цінність інформації для вашої роботи та потенційну шкоду для вас та інших, яка може виникнути у випадку її компрометації або втрати. Ви також можете розглянути, наскільки ймовірним буде те, що цінність буде усвідомлена або буде заподіяна певна шкода. Це забезпечує раціональну основу для визначення пріоритетів, на яких ви повинні зосередити свою увагу. Загалом, ви можете архівувати інформацію, яка є як малоцінною та може спричинити низький рівень шкоди, видаляти інформацію, яка є малоцінною, але може спричинити високий рівень шкоди, та створювати резервну копію інформації, яка має високу цінність та може спричинити низький рівень шкоди. Потім, у першу чергу, ви можете зосередитися на впровадженні заходів безпеки для інформації, яка має високу цінність та може спричинити високий рівень шкоди.
2. Якщо нею потрібно поділитися, повідомляйте конфіденційну інформацію колегам віч-на-віч або за допомогою засобів зв’язку, які забезпечують застосування наскрізного шифрування та зникаючих повідомлень.
Коли ви ділитеся інформацією з іншими, це дає вашим супротивникам більше шансів отримати до неї доступ: в момент відправлення, під час самої передачі або після її отримання. Ви можете зменшити шанси перехоплення під час передачі, передаючи конфіденційну інформацію віч-на-віч (пам'ятаючи про своє навколишнє середовище) або, якщо це неможливо, за допомогою інструментів наскрізного шифрування (E2EE), таких як Signal та ProtonMail.
Коли ви використовуєте наскрізне шифрування для надсилання повідомлення або електронної пошти, воно підписується (за допомогою вашого приватного ключа) та перетворюється у закодовану форму (за допомогою відкритого ключа одержувача) на вашому пристрої, перш ніж воно буде передане через вас та постачальників послуг одержувача, та на пристрій одержувача, де перевіряється підпис (за допомогою вашого відкритого ключа), а повідомлення або електронна пошта розшифровується у текст, який можна читати (за допомогою його приватного ключа). Ні постачальники послуг, ні будь-хто інший, хто намагається перехопити текст під час передачі, не зможе прочитати повідомлення без практично недоцільних зусиль.
Однак при використанні наскрізного шифрування все ще існують ризики. Ваша особистість та особистість одержувача, а також зв’язок між вами двома не будуть приховані, оскільки системі потрібно правильно виконати маршрутизацію повідомлення або електронної пошти між вами. Тема електронного листа також не буде зашифрована. Крім того, хоча повідомлення або електронна пошта можуть бути захищеними під час передачі, вони все ще є вразливими на вашому пристрої або пристрої одержувача, якщо вони були зламані або захоплені (використання зникаючих повідомлень може зменшити цей ризик, але копії все ще можуть існувати). Крім того, використання наскрізного шифрування само по собі може викликати підозри у влади, особливо якщо у вашій країні існує заборона на використання такої технології.
Пам’ятайте, що так само, як у спілкуванні віч-на-віч з кимось, кого ви раніше не зустрічали, дуже важливо переконатися, що співрозмовник, швидше за все, є тим, ким ви його вважаєте, а не супротивником. Різні інструменти забезпечують різні способи для цього. Наприклад, Signal дозволяє перевіряти унікальні номери безпеки один одного віч-на-віч або через інший канал зв'язку, щоб гарантувати, що не відбувається атаки «людина посередині».
3. Переконайтеся, що будь-який комп’ютер або мобільний пристрій, який ви використовуєте:
а. Захищений від фізичного доступу сторонніх осіб.
Одним із найпростіших способів, за допомогою якого супротивник може отримати доступ до вашої інформації, є отримання фізичного доступу до ваших пристроїв. Потім, наприклад, вони можуть створити точну копію вашого накопичувача, або встановити фізичний пристрій моніторингу, такий як реєстратор ключів.
Якщо це стосується запобігання такому доступу, жорстких та швидкодіючих правил не існує. Наприклад, приносити всі свої пристрої на акцію протесту може бути недоцільним, і це збільшує ризик того, що вони будуть вилучені поліцією. Але, якщо ви залишите їх вдома, супротивник може отримати доступ до них без вашого відома. Ви повинні враховувати свої обставини, ймовірні наміри та можливості ваших супротивників та приймати найкраще рішення, яке є можливим, у кожній ситуації.
b. Для розблокування потрібен пароль або код-доступу.
Важливо захистити облікові записи на ваших пристроях за допомогою паролів або кодів доступу, які є достатньо складними, щоб не дати супротивнику вгадати їх протягом відповідного часу. Ви також можете розглянути можливість впровадження функції автоматичного очищення, коли пристрій видалятиме ключі шифрування для всіх своїх даних, якщо пароль або код доступу буде введено неправильно певну кількість разів. Але пам’ятайте про ризик випадкового запуску та втрати даних.
Сучасні пристрої також зазвичай дозволяють ввести деякі біометричні дані для розблокування пристрою, такі як відбиток пальця або розпізнавання обличчя. Хоча це може бути корисно, пам’ятайте, що вас можуть легко змусити розблокувати пристрій таким чином, без необхідності вказувати ваш пароль або код доступу. Виробники пристроїв усвідомили цю проблему та впровадили кілька простих способів швидкого вимикання біометричного доступу, якщо це потрібно зробити.
Пам’ятайте, що увімкнення пароля або коду доступа може лише запобігти входу супротивника у ваш обліковий запис користувача – це може не забезпечувати захист фактичних даних. Супротивник все одно може отримати копію носія та взагалі не вводити пароль. Щоб вирішити цю проблему, ви повинні переконатися, що увімкнено повне шифрування диска. Це важливо для ноутбуків та настільних комп’ютерів, які за замовчуванням можуть не використовувати повне шифрування диска.
c. Працює з останніми доступними версіями операційної системи та всіх встановлених додатків/програм.
Майже кожна частина програмного забезпечення, яка використовується на пристрої, забезпечує потенційний шлях для атаки. Відповідно, вам потрібно обмежити програмне забезпечення, встановлене на вашому пристрої, тільки такими функціями, які вам насправді потрібні. Вам також потрібно часто та автоматично перевіряти наявність оновлень для операційної системи та будь-якого встановленого програмного забезпечення та застосовувати їх якомога швидше, оскільки вони можуть містити важливі виправлення безпеки.
Зауважте, що супротивники можуть спробувати скористатися цією порадою за допомогою фальшивих сповіщень, щоб встановити оновлення (через неофіційний канал), які замість цього встановлять шкідливе програмне забезпечення на вашому пристрої. Ви повинні розглядати будь-яке сповіщення як вказівку на те, що вам потрібно виконати оновлення звичайним для вашої операційної системи способом, та, якщо оновлення насправді недоступне, ви могли стати об’єктом спроби злому.
d. Увімкнене повне шифрування диска, якщо воно є законним у вашій країні.
Функція повного шифрування диска (FDE) забезпечує шифрування майже усього жорсткого диску пристрою (або зовнішніх носіїв даних, таких як USB-флеш-накопичувачі), включаючи операційну систему та ваші дані. Це означає, що, якщо ваш пристрій буде втрачено, викрадено або захоплено, супротивник не зможе отримати доступ до ваших даних шляхом копіюювання сховища. Важливо, щоб ви використовували надійний унікальний пароль, коли ви вмикаєте повне шифрування диска (а не той самий пароль, який ви використовуєте для входу в систему на своєму пристрої). Однак майте на увазі, ви можете втратити доступ до своїх даних, якщо забудете цей пароль. Також зауважте, що надійний пароль FDE буде підірвано слабким паролем для входу в обліковий запис користувача, якщо це також може розблокувати ключ FDE. Точне співвідношення між паролем облікового запису користувача та ключами дешифрування FDE буде залежати від вашого пристрою та операційної системи.
e. Має антивірусне програмне забезпечення та брандмауер, який правильно встановлено, оновлено та налаштовано.
Вірус – це тип шкідливого коду або програми, який змінює спосіб роботи комп’ютера. Антивірусне програмне забезпечення традиційно виконує сканування на наявність шаблонів, які вказують на наявність відомих вірусів та інших шкідливих програм. Для забезпечення ефективної роботи антивірус має бути оновлений за допомогою шаблонів, які він повинен шукати, а відповідне шкідливе програмне забезпечення має бути записано на пристрій зберігання даних. Хоча були зроблені вдосконалення, щоб доповнити цей підхід на основі сигнатур евристичною перевіркою, яка перевіряє програми на наявність підозрілої поведінки, що може вказувати на новий, невідомий вірус, це спосіб не є достатньо надійним.
Брандмауер використовується для керування з’єднаннями та потоком даних, що надходять на ваш пристрій та передаються на інші пристрої. Брандмауер може виявити зловмисну спробу вхідного підключення та заблокувати її. Однак менш бажано автоматично блокувати спроби вихідного підключення, оскільки вони зазвичай ініціюються користувачем або законними програмами. Зловмисники можуть скористатися цим, надіславши вам вірус та обманом змусивши вас його активувати. Після активації шкідливе програмне забезпечення ініціює вихідне з’єднання з сервером для отримання команд, додаткового шкідливого коду та передачі ваших даних.
Як і всі заходи безпеки, ці обмеження означають, що сучасний антивірус та правильно налаштований брандмауер є необхідними, але самі по собі не є достатніми.
f. Не має підтримки або розблокування та не має жодного піратського програмного забезпечення, встановленого на ньому.
Багато мобільних пристроїв мають обмеження безпеки; однак користувачі не завжди бажають їх використовувати або цінують їх. У вас може виникнути спокуса обійти їх шляхом отримання прав суперкористувача (Android) або розблокування (iOS), наприклад, таким чином, який підвищує привілеї користувача на пристрої до максимально доступного рівня (отримання прав суперкористувача) або знімають деякі обмеження щодо команд, які вони можуть виконувати (розблокування). Це переводить пристрій у стан, який не був врахований розробниками, що може призвести до того, що пристрій стане менш стабільним, заходи безпеки будуть порушені та він стане вразливим для шкідливого програмного забезпечення.
g. Зупиняє роботу та вимикається якомога частіше, а не просто переходить у сплячий режим або режим бездіяльності.
Існує два ключових елементи, які визначають, що може зробити зловмисник щодо вашої інформації: поверхня атаки (простір) та вікно атаки (час).
Поверхня атаки складається з усіх пристроїв, зовнішніх носіїв інформації та письмових чи друкованих матеріалів, на яких знаходиться ваша інформація. Вона також включає вас та інших людей, яким відома ця інформація. Чим більше існує копій інформації, тим більша поверхня атаки й тим більше можливостей для успішних дій зловмисника. Щоб обмежити це, ви можете обмежити місце розташування вашої інформації та форми, які вона приймає.
Вікно атаки відноситься до часу, коли кожен компонент поверхні атаки є вразливим. Інформація, що міститься в рукописних нотатках, які знищуються через день, є вразливою лише для цього дня (за умови, що ви не зберігаєте інформацію в голові). Те саме стосується ваших пристроїв; віддалений зловмисник матиме можливість атакувати пристрій лише тоді, коли він увімкнений та працює. Якщо повністю вимкнути пристрої, коли вони не використовуються, вікно атаки зменшиться.
Вимкнення ваших пристроїв забезпечує додаткову перевагу для безпеки. Вірус може виконувати дії тільки доти, поки працює програмне забезпечення, яке він використовує. Щоб обійти це, зловмисники намагатимуться отримати доступ до збереження на зламаному пристрої, щоб вірус був активним під час роботи пристрою. Вимикання ваших пристроїв означає, що тільки більш складне шкідливе програмне забезпечення, яке може отримати доступ до збереження, може бути ефективним проти вас у довгостроковій перспективі. Вам також потрібно розглянути можливість винищення даних на своїх пристроях та перевстановлення усіх програм якомога частіше, щоб видалити більшість стійкого шкідливого програмного забезпечення, але не все таке програмне забезпечення. Часте стирання даних також спонукатиме вас обмежити програмне забезпечення, встановлене на вашому пристрої, тільки тим, що вам насправді потрібно.
4. Переконайтеся, що будь-яка інтерактивна служба, яку ви використовуєте:
a. Потребує складного унікального паролю для доступу.
Інтерактивні служби, такі як хмарне сховище, можуть гарантувати, що ваші дані завжди є доступними, коли вони вам потрібні. Однак вони потенційно збільшують поверхню атаки та вікно атаки, створюючи копії ваших даних в кількох місцях та залишаючись постійно увімкненими.
Тому, як і у випадку з вашими пристроями, важливо використовувати надійний унікальний пароль для кожної інтерактивної служби. Кожен пароль має бути унікальним, інакше пароль одного зламаного облікового запису може бути використаний зловмисником для отримання доступу до всіх інших служб, для яких ви використовували той самий пароль. Навіть будь-який шаблон, який ви використовуєте для створення паролів, може бути корисним для зловмисника. (Ви можете перевірити, чи є у вас обліковий запис, який було зламано внаслідок порушення даних, на сторінці «Чи був я зламаний?».)
Створення та запам’ятовування численних надійних унікальних паролів за допомогою традиційних порад було б неможливим з огляду на кількість інтерактивних служб, які ви може використовувати. Замість цього ви можете використовувати зашифрований менеджер паролів, такий як 1Password або LastPass, як для створення відповідних паролів, так і для збереження облікових даних для входу в систему. Майте на увазі, що зловмисник, який отримує доступ до ваших даних менеджера паролів, може отримати доступ до всіх ваших облікових записів в мережі Інтернет. Тому ви повинні переконатися, що пароль, який ви використовуєте для входу до свого менеджера паролів, сам по собі є надійним, унікальним та таким, який можна запам’ятати, і що ви увімкнули двофакторну автентифікацію. Оскільки ви не можете використовувати сам менеджер паролів для збереження цього пароля, ви можете використовувати один із двох подібних методів, щоб вручну створити надійний пароль, який можна запам’ятати. Ви також можете використовувати ці методи, щоб створити паролі для облікових записів користувачів пристрою та повного шифрування диска:
Метод парольної фрази: виберіть набір із чотирьох-шести непов’язаних слів, з яких можна створити уявний образ. Потім замініть деякі літери в цих словах цифрами або символами (хоча уникайте поширених замін, відомих як «leetspeak», наприклад, 4 для A та 3 для E).
Метод речення: виберіть довге речення, з якого можна створити уявний образ. Створіть пароль з першої літери кожного слова, а потім замініть деякі з цих літер цифрами або символами, як описано вище (знову ж таки, уникаючи звичайних замін).
Пам’ятайте, що, якщо ви увімкнули біометричний доступ до свого менеджера паролів за допомогою відбитка пальця або обличчя, це також може дозволити зловмиснику отримати доступ без пароля.
b. Увімкнена двофакторна автентифікація (2FA/2SV), якщо вона доступна.
Двофакторна автентифікація (2FA) — це додатковий захід безпеки, який вимагає двох окремих відмінних форм автентифікації для отримання доступу до чогось. Для інтерактивних служб, які підтримують 2FA, першим фактором є те, що ви знаєте (ваш пароль), або щось, що у вас є (числовий код з програми автентифікації), або те, що ви є(біометрія за допомогою відбитка пальця, розпізнавання обличчя або голосового відбитка). Це додає рівень безпеки вашим обліковим записам в Інтернеті, оскільки зловмисник не може отримати доступ тільки за допомогою вашого пароля.
Суворо кажучи, коли вам надсилають цифровий код у текстовому повідомленні (а не за допомогою програми автентифікації), це двоетапна перевірка (2SV), оскільки це те, що вам надсилають, а не те, що у вас є. Вона уразлива до перехоплення, та ви завжди повинні використовувати програму для автентифікації, наприклад, Authy, а не SMS, якщо є така можливість. Але двоетапна перевірка все одно є більш безпечною, ніж захист паролем.
5. Використовуйте VPN, орієнтований на конфіденційність, якщо ви отримуєте доступ до Інтернету через загальнодоступну або ненадійну мережу.
Коли ви отримуєте доступ до Інтернету, ваш постачальник послуг Інтернету (ISP) може реєструвати вебсайти, які ви відвідуєте, та може ділитися інформацією з органами влади. Ви можете використовувати програмне забезпечення, яке називається VPN або віртуальна приватна мережа, наприклад, Mullvad, щоб надсилати свій інтернет-трафік через зашифрований тунель з вашого пристрою на один із серверів постачальника VPN, а потім на вебсайти, які ви відвідуєте. Це приховає вашу IP-адресу від цих вебсайтів, вашого постачальника послуг та деяких мережевих систем нагляду (хоча вас все одно можуть відстежувати іншими способами, наприклад, за відбитком пристрою та відстеженням вебсайтів).
VPN може бути корисним, коли ви отримуєте доступ до Інтернету через загальнодоступну або ненадійну мережу, наприклад, у кафе чи готелі. Якщо мережевий постачальник послуг є зловмисним, він може контролювати ваш онлайн-трафік та навіть отримати паролі для ваших облікових записів в мережі Інтернет. Оскільки VPN забезпечує безпечний тунель від вашого пристрою до одного із серверів постачальника VPN, мережевий постачальник послуг не повинен мати можливість відстежувати інші ваші дії в Інтернеті.
Пам’ятайте, що постачальник VPN або будь-які сторонні центри обробки даних (та їхні ISP), які вони використовують, можуть вести журнали трафіку та отримувати інші дані, які можна використовувати для вашої ідентифікації та/або відстеження. Сервер VPN також може знаходитися в юрисдикції, де діє режим масового спостереження або масового збору даних, який також може розкрити вас та вашу діяльність за допомогою аналізу даних. Ви також повинні пам’ятати, що використання VPN само по собі може викликати попередження або підозру щодо вас, а також те, що VPN є незаконними або контролюються урядом у деяких країнах.
6. Надійно видаляйте конфіденційну інформацію в усіх її формах та варіантах, як тільки вона більше не буде потрібною, та переконайтеся, що її неможливо відновити.
Коли ви видаляєте інформацію зі своїх пристроїв або зовнішніх носіїв даних, ефективність цього може відрізнятися. Жорсткий диск (HDD) здебільшого можна стерти шляхом багаторазового запису випадкових даних у всю область зберігання; однак це неможливо на сучасних твердотільних накопичувачах (SSD). На SSD значна кількість даних зберігається в порожній області, щоб обмежити зношення накопичувача. Це означає, що безпечне видалення носіїв даних, що містять незашифровані дані, може бути неможливим тільки за допомогою програмного забезпечення; належне фізичне знищення накопичувача може бути єдиним безпечним рішенням. Якщо ви використовуєте повне шифрування диска на пристрої, в тому числі на пристроях з SSD, потреба в безпечному видаленні зменшується, але вона все ще існує.
Пам’ятайте, що не вся ваша інформація буде зберігатися на електронних пристроях. Ви повинні надійно зберігати будь-які фізичні носії, що містять конфіденційну інформацію, наприклад, блокноти або роздруківки. Коли інформація більше не потрібна, або якщо її подальше існування становить занадто великий ризик, ви повинні знищити її, подрібнивши їх за допомогою поперечного подрібнювача та спаливши, хоча найбільш ефективний метод буде відрізнятися від середовища до середовища. Знищення має призвести до створення відходів, з яких вихідний матеріал практично неможливо відтворити. Ніколи не викидайте конфіденційну інформацію на смітник або у кошик, оскільки влада дуже часто обшукує сміття з будинків та офісів, щоб виявити документи та іншу компрометуючу інформацію.
Last updated