Πώς οι επαγγελματίες ασφαλείας προστατεύουν τις προσωπικές πληροφορίες

2024 Συγγραφέας: Malcolm Clapton | [email protected]. Τελευταία τροποποίηση: 2023-12-17 03:52

Έχει νόημα να εγκαταλείψετε τις δημόσιες εφαρμογές Wi-Fi και τραπεζικές εφαρμογές και να αποκτήσετε ξεχωριστή κάρτα για online αγορές - τη γνώμη ενός ειδικού ασφάλειας πληροφοριών.

Οι μισοί από τους συναδέλφους μου στην ασφάλεια πληροφοριών είναι επαγγελματίες παρανοϊκοί. Μέχρι το 2012 εγώ ο ίδιος ήμουν έτσι - ήμουν πλήρως κρυπτογραφημένος. Τότε συνειδητοποίησα ότι μια τόσο βαρετή άμυνα παρεμβαίνει στη δουλειά και τη ζωή.

Στη διαδικασία του «βγαίνω», ανέπτυξα τέτοιες συνήθειες που σου επιτρέπουν να κοιμάσαι ήσυχος και ταυτόχρονα να μην χτίζεις κινέζικο τείχος τριγύρω. Σας λέω ποιους κανόνες ασφαλείας αντιμετωπίζω πλέον χωρίς φανατισμό, τους οποίους κατά καιρούς παραβιάζω και τους ακολουθώ με κάθε σοβαρότητα.

Υπερβολική παράνοια

Μην χρησιμοποιείτε δημόσιο Wi-Fi

Χρησιμοποιώ και δεν φοβάμαι από αυτή την άποψη. Ναι, υπάρχουν απειλές κατά τη χρήση δωρεάν δημόσιων δικτύων. Όμως ο κίνδυνος ελαχιστοποιείται ακολουθώντας απλούς κανόνες ασφαλείας.

1. Βεβαιωθείτε ότι το hotspot ανήκει στην καφετέρια και όχι στον χάκερ. Το νομικό σημείο ζητά έναν αριθμό τηλεφώνου και στέλνει ένα SMS για να εισέλθει.
2. Χρησιμοποιήστε μια σύνδεση VPN για πρόσβαση στο Δίκτυο.
3. Μην εισάγετε όνομα χρήστη / κωδικό πρόσβασης σε μη επαληθευμένους ιστότοπους.

Πρόσφατα, το πρόγραμμα περιήγησης Google Chrome άρχισε να επισημαίνει σελίδες με μη ασφαλείς συνδέσεις ως μη ασφαλείς. Δυστυχώς, οι ιστότοποι phishing υιοθέτησαν πρόσφατα την πρακτική απόκτησης πιστοποιητικού προκειμένου να μιμηθούν τα πραγματικά.

Επομένως, εάν θέλετε να συνδεθείτε σε κάποια υπηρεσία χρησιμοποιώντας δημόσιο Wi-Fi, θα σας συμβούλευα να βεβαιωθείτε ότι ο ιστότοπος είναι πρωτότυπος εκατό φορές. Κατά κανόνα, αρκεί να εκτελέσετε τη διεύθυνσή του μέσω μιας υπηρεσίας whois, για παράδειγμα Reg.ru. Η πιο πρόσφατη ημερομηνία εγγραφής τομέα θα πρέπει να σας προειδοποιεί - οι ιστότοποι ηλεκτρονικού ψαρέματος δεν διαρκούν πολύ.

Μην συνδέεστε στους λογαριασμούς σας από συσκευές άλλων ατόμων

Μπαίνω, αλλά ρυθμίζω τον έλεγχο ταυτότητας σε δύο βήματα για τα κοινωνικά δίκτυα, την αλληλογραφία, τους προσωπικούς λογαριασμούς, τον ιστότοπο της κρατικής υπηρεσίας. Αυτή είναι επίσης μια ατελής μέθοδος προστασίας, οπότε η Google, για παράδειγμα, άρχισε να χρησιμοποιεί διακριτικά υλικού για να επαληθεύσει την ταυτότητα του χρήστη. Προς το παρόν, όμως, για τους «απλούς θνητούς» αρκεί ο λογαριασμός σας να ζητά έναν κωδικό από SMS ή από το Google Authentificator (σε αυτήν την εφαρμογή, ένας νέος κωδικός δημιουργείται κάθε λεπτό στην ίδια τη συσκευή).

Παρόλα αυτά, παραδέχομαι ένα μικρό στοιχείο παράνοιας: Ελέγχω τακτικά το ιστορικό περιήγησής μου σε περίπτωση που κάποιος άλλος εισήγαγε την αλληλογραφία μου. Και φυσικά, αν συνδεθώ στους λογαριασμούς μου από συσκευές άλλων, στο τέλος της εργασίας δεν ξεχνάω να κάνω κλικ στο «Τερματισμός όλων των συνεδριών».

Μην εγκαθιστάτε τραπεζικές εφαρμογές

Είναι πιο ασφαλές να χρησιμοποιείτε την εφαρμογή mobile banking από την ηλεκτρονική τραπεζική στην έκδοση για υπολογιστές. Ακόμα κι αν είναι ιδανικά σχεδιασμένο από άποψη ασφαλείας, το ερώτημα παραμένει με τα τρωτά σημεία του ίδιου του προγράμματος περιήγησης (και είναι πολλά από αυτά), καθώς και τα τρωτά σημεία του λειτουργικού συστήματος. Κακόβουλο λογισμικό που κλέβει δεδομένα μπορεί να εγχυθεί απευθείας σε αυτό. Επομένως, ακόμα κι αν κατά τα άλλα η ηλεκτρονική τραπεζική είναι απολύτως ασφαλής, αυτοί οι κίνδυνοι παραμένουν κάτι παραπάνω από πραγματικοί.

Όσον αφορά την τραπεζική εφαρμογή, η ασφάλειά της είναι αποκλειστικά στη συνείδηση της τράπεζας. Κάθε ένα από αυτά υποβάλλεται σε ενδελεχή ανάλυση της ασφάλειας του κώδικα, συχνά εμπλέκονται εξωτερικοί επιφανείς ειδικοί. Η τράπεζα μπορεί να αποκλείσει την πρόσβαση στην εφαρμογή εάν αλλάξετε την κάρτα SIM ή ακόμα και απλώς τη μετακινήσατε σε άλλη υποδοχή του smartphone σας.

Ορισμένες από τις πιο ασφαλείς εφαρμογές δεν ξεκινούν καν μέχρι να ικανοποιηθούν οι απαιτήσεις ασφαλείας, για παράδειγμα, το τηλέφωνο δεν προστατεύεται με κωδικό πρόσβασης. Επομένως, εάν εσείς, όπως εγώ, δεν είστε έτοιμοι να εγκαταλείψετε καταρχήν τις ηλεκτρονικές πληρωμές, είναι προτιμότερο να χρησιμοποιήσετε μια εφαρμογή αντί για επιτραπέζια ηλεκτρονική τραπεζική.

Φυσικά, αυτό δεν σημαίνει ότι οι εφαρμογές είναι 100% ασφαλείς. Ακόμη και τα καλύτερα παρουσιάζουν ευπάθειες, επομένως είναι απαραίτητες οι τακτικές ενημερώσεις. Εάν πιστεύετε ότι αυτό δεν είναι αρκετό, διαβάστε εξειδικευμένες δημοσιεύσεις (Xaker.ru, Anti-malware.ru, Securitylab.ru): θα γράψουν εκεί εάν η τράπεζά σας δεν είναι αρκετά ασφαλής.

Χρησιμοποιήστε ξεχωριστή κάρτα για online αγορές

Προσωπικά πιστεύω ότι αυτό είναι περιττό πρόβλημα. Είχα ξεχωριστό λογαριασμό, ώστε, αν χρειαστεί, να μεταφέρω χρήματα από αυτόν στην κάρτα και να πληρώσω για αγορές μέσω Διαδικτύου. Αλλά το αρνήθηκα και αυτό - είναι κακό στην άνεση.

Είναι γρηγορότερο και φθηνότερο να αποκτήσετε μια εικονική τραπεζική κάρτα. Όταν κάνετε αγορές μέσω Διαδικτύου χρησιμοποιώντας το, τα δεδομένα της κύριας κάρτας στο Διαδίκτυο δεν ανάβουν. Εάν πιστεύετε ότι αυτό δεν αρκεί για πλήρη εμπιστοσύνη, κάντε ασφάλιση. Αυτή η υπηρεσία προσφέρεται από κορυφαίες τράπεζες. Κατά μέσο όρο, με κόστος 1.000 ρούβλια ετησίως, η ασφάλιση κάρτας θα καλύψει ζημιές 100.000.

Μην χρησιμοποιείτε έξυπνες συσκευές

Το Διαδίκτυο των Πραγμάτων είναι τεράστιο και υπάρχουν ακόμη περισσότερες απειλές σε αυτό από ό,τι στο παραδοσιακό. Οι έξυπνες συσκευές είναι πραγματικά γεμάτες με τεράστιες ευκαιρίες για hacking.

Στο Ηνωμένο Βασίλειο, χάκερ εισέβαλαν σε ένα τοπικό δίκτυο καζίνο με δεδομένα VIP πελατών μέσω ενός έξυπνου θερμοστάτη! Αν το καζίνο αποδείχτηκε τόσο ανασφαλές, τι να πει κανείς για έναν απλό άνθρωπο. Αλλά χρησιμοποιώ έξυπνες συσκευές και δεν κολλάω κάμερες πάνω τους. Εάν η τηλεόραση και συγχωνεύσουν πληροφορίες για μένα - στο διάολο. Σίγουρα θα είναι κάτι ακίνδυνο, γιατί αποθηκεύω οτιδήποτε κρίσιμο σε έναν κρυπτογραφημένο δίσκο και το κρατάω στο ράφι - χωρίς πρόσβαση στο Διαδίκτυο.

Κλείστε το τηλέφωνό σας στο εξωτερικό σε περίπτωση υποκλοπής

Στο εξωτερικό, χρησιμοποιούμε συχνότερα αγγελιοφόρους που κρυπτογραφούν τέλεια τα μηνύματα κειμένου και ήχου. Εάν η κίνηση αναχαιτιστεί, θα περιέχει μόνο δυσανάγνωστο «χαζό».

Οι εταιρείες κινητής τηλεφωνίας χρησιμοποιούν επίσης κρυπτογράφηση, αλλά το πρόβλημα είναι ότι μπορούν να την απενεργοποιήσουν χωρίς να το γνωρίζει ο συνδρομητής. Για παράδειγμα, κατόπιν αιτήματος των ειδικών υπηρεσιών: αυτό συνέβη κατά την τρομοκρατική επίθεση στη Ντουμπρόβκα, έτσι ώστε οι ειδικές υπηρεσίες να μπορούν να ακούσουν γρήγορα τις διαπραγματεύσεις των τρομοκρατών.

Επιπλέον, οι διαπραγματεύσεις αναχαιτίζονται από ειδικά συγκροτήματα. Η τιμή τους ξεκινά από 10 χιλιάδες δολάρια. Δεν είναι διαθέσιμα προς πώληση, αλλά είναι διαθέσιμα στις ειδικές υπηρεσίες. Έτσι, αν το καθήκον είναι να σας ακούσουν, θα σας ακούσουν. Φοβάστε? Στη συνέχεια, απενεργοποιήστε το τηλέφωνό σας παντού, και στη Ρωσία επίσης.

Είναι κάπως λογικό

Αλλάξτε τον κωδικό πρόσβασης κάθε εβδομάδα

Μάλιστα, μια φορά το μήνα αρκεί, με την προϋπόθεση ότι οι κωδικοί πρόσβασης είναι μεγάλοι, σύνθετοι και ξεχωριστοί για κάθε υπηρεσία. Είναι καλύτερο να λάβετε υπόψη τις συμβουλές των τραπεζών επειδή αλλάζουν τις απαιτήσεις κωδικών πρόσβασης καθώς αυξάνεται η υπολογιστική ισχύς. Τώρα, ένας αδύναμος κρυπτοαλγόριθμος λύνεται με ωμή βία σε ένα μήνα, εξ ου και η απαίτηση για συχνότητα αλλαγών κωδικού πρόσβασης.

Ωστόσο, θα κάνω κράτηση. Παραδόξως, η απαίτηση αλλαγής κωδικών πρόσβασης μία φορά το μήνα εμπεριέχει μια απειλή: ο ανθρώπινος εγκέφαλος είναι σχεδιασμένος με τέτοιο τρόπο ώστε, εάν είναι απαραίτητο να έχετε συνεχώς στο μυαλό σας νέους κωδικούς, αρχίζει να βγαίνει έξω. Όπως ανακάλυψαν ειδικοί στον κυβερνοχώρο, κάθε νέος κωδικός πρόσβασης χρήστη σε αυτήν την κατάσταση γίνεται πιο αδύναμος από τον προηγούμενο.

Η λύση είναι να χρησιμοποιείτε σύνθετους κωδικούς πρόσβασης, να τους αλλάζετε μία φορά το μήνα, αλλά να χρησιμοποιείτε ειδική εφαρμογή για αποθήκευση. Και η είσοδος σε αυτό πρέπει να προστατεύεται προσεκτικά: στην περίπτωσή μου, είναι ένας κρυπτογράφηση 18 χαρακτήρων. Ναι, οι εφαρμογές έχουν το αμάρτημα να περιέχουν ευπάθειες (δείτε την παράγραφο σχετικά με τις εφαρμογές παρακάτω). Πρέπει να επιλέξετε το καλύτερο και να παρακολουθήσετε τα νέα σχετικά με την αξιοπιστία του. Δεν βλέπω ακόμη ασφαλέστερο τρόπο να κρατήσω δεκάδες ισχυρούς κωδικούς πρόσβασης στο μυαλό μου.

Μην χρησιμοποιείτε υπηρεσίες cloud

Η ιστορία της ευρετηρίασης των Εγγράφων Google στην αναζήτηση Yandex έδειξε πόσο λάθος κάνουν οι χρήστες σχετικά με την αξιοπιστία αυτής της μεθόδου αποθήκευσης πληροφοριών. Προσωπικά χρησιμοποιώ τους διακομιστές cloud της εταιρείας για κοινή χρήση γιατί ξέρω πόσο ασφαλείς είναι. Αυτό δεν σημαίνει ότι τα δωρεάν δημόσια σύννεφα είναι απόλυτο κακό. Λίγο πριν ανεβάσετε ένα έγγραφο στο Google Drive, κάντε τον κόπο να το κρυπτογραφήσετε και να βάλετε έναν κωδικό πρόσβασης.

Απαραίτητα μέτρα

Μην αφήνετε τον αριθμό τηλεφώνου σας σε κανέναν και οπουδήποτε

Αλλά αυτό δεν είναι καθόλου πρόσθετη προφύλαξη. Γνωρίζοντας τον αριθμό τηλεφώνου και το πλήρες όνομα, ένας εισβολέας μπορεί να δημιουργήσει ένα αντίγραφο μιας κάρτας SIM για περίπου 10 χιλιάδες ρούβλια. Πρόσφατα, μια τέτοια υπηρεσία μπορεί να ληφθεί όχι μόνο στο darknet. Ή ακόμα πιο εύκολο - να καταχωρήσετε ξανά τον αριθμό τηλεφώνου κάποιου άλλου στον εαυτό σας χρησιμοποιώντας ένα ψεύτικο πληρεξούσιο στο γραφείο ενός τηλεπικοινωνιακού φορέα. Στη συνέχεια, ο αριθμός μπορεί να χρησιμοποιηθεί για πρόσβαση σε οποιεσδήποτε υπηρεσίες του θύματος όπου απαιτείται έλεγχος ταυτότητας δύο παραγόντων.

Αυτός είναι ο τρόπος με τον οποίο οι εγκληματίες του κυβερνοχώρου κλέβουν λογαριασμούς Instagram και Facebook (για παράδειγμα, για να στείλουν spam από αυτούς ή να τους χρησιμοποιήσουν για κοινωνική μηχανική), αποκτούν πρόσβαση σε τραπεζικές εφαρμογές και καθαρίζουν λογαριασμούς. Πρόσφατα, τα μέσα ενημέρωσης είπαν πώς σε μια μέρα κλάπηκαν 26 εκατομμύρια ρούβλια από έναν επιχειρηματία της Μόσχας που χρησιμοποιεί αυτό το σχέδιο.

Να είστε προσεκτικοί εάν η κάρτα SIM σταμάτησε να λειτουργεί χωρίς προφανή λόγο. Καλύτερα να το παίξετε ασφαλές και να μπλοκάρετε την τραπεζική σας κάρτα, αυτό θα είναι δικαιολογημένη παράνοια. Μετά από αυτό, επικοινωνήστε με το γραφείο του χειριστή για να μάθετε τι συνέβη.

Έχω δύο κάρτες SIM. Οι υπηρεσίες και οι τραπεζικές εφαρμογές συνδέονται με έναν αριθμό, τον οποίο δεν μοιράζομαι με κανέναν. Χρησιμοποιώ άλλη κάρτα SIM για επικοινωνία και οικιακές ανάγκες. Αφήνω αυτόν τον αριθμό τηλεφώνου για να εγγραφώ σε ένα διαδικτυακό σεμινάριο ή να πάρω μια εκπτωτική κάρτα στο κατάστημα. Και οι δύο κάρτες προστατεύονται από ένα PIN - αυτό είναι ένα στοιχειώδες αλλά παραμελημένο μέτρο ασφαλείας.

Μην κατεβάζετε τα πάντα στο τηλέφωνό σας

Σιδερένιος κανόνας. Είναι αδύνατο να γνωρίζουμε με βεβαιότητα πώς ο προγραμματιστής της εφαρμογής πρόκειται να χρησιμοποιήσει και να προστατεύσει τα δεδομένα χρήστη. Όταν όμως γίνεται γνωστό πώς τις χρησιμοποιούν οι δημιουργοί των εφαρμογών, συχνά μετατρέπεται σε σκάνδαλο.

Πρόσφατες περιπτώσεις περιλαμβάνουν την ιστορία του Polar Flow, όπου μπορείτε να μάθετε πού βρίσκονται αξιωματικοί πληροφοριών σε όλο τον κόσμο. Ή ένα παλαιότερο παράδειγμα με το Unroll.me, το οποίο υποτίθεται ότι προστατεύει τους χρήστες από τις συνδρομές ανεπιθύμητων μηνυμάτων, αλλά ταυτόχρονα πουλούσε τα ληφθέντα δεδομένα στο πλάι.

Οι εφαρμογές συχνά θέλουν να γνωρίζουν πάρα πολλά. Ένα παράδειγμα σχολικού βιβλίου είναι η εφαρμογή Flashlight, η οποία χρειάζεται μόνο μια λάμπα για να λειτουργήσει, αλλά θέλει να μάθει τα πάντα για τον χρήστη, μέχρι τη λίστα επαφών, δείτε τη συλλογή φωτογραφιών και πού βρίσκεται ο χρήστης.

Άλλοι απαιτούν ακόμη περισσότερα. Το UC Browser στέλνει IMEI, Android ID, διεύθυνση MAC της συσκευής και ορισμένα άλλα δεδομένα χρήστη στον διακομιστή της Umeng, ο οποίος συλλέγει πληροφορίες για την αγορά της Alibaba. Εγώ, όπως και οι συνάδελφοί μου, θα προτιμούσα να αρνηθώ μια τέτοια αίτηση.

Ακόμη και οι επαγγελματίες παρανοϊκοί παίρνουν ρίσκα, αλλά είναι συνειδητοί. Για να μην φοβάστε κάθε σκιά, αποφασίστε τι είναι δημόσιο και τι ιδιωτικό στη ζωή σας. Χτίστε τείχη γύρω από τις προσωπικές πληροφορίες και μην πέφτετε σε φανατισμό σχετικά με την ασφάλεια των δημόσιων πληροφοριών. Στη συνέχεια, αν μια μέρα βρείτε αυτές τις δημόσιες πληροφορίες στο δημόσιο τομέα, δεν θα πληγωθείτε βασανιστικά.