Hur säkerhetspersonal skyddar personlig information

2024 Författare: Malcolm Clapton | [email protected]. Senast ändrad: 2023-12-17 04:11

Är det vettigt att ge upp offentliga Wi-Fi- och bankapplikationer och få ett separat kort för onlineköp - åsikten från en informationssäkerhetsspecialist.

Hälften av mina kollegor inom informationssäkerhet är professionella paranoida. Fram till 2012 var jag själv sådan - jag var helt krypterad. Då insåg jag att ett så tråkigt försvar stör jobbet och livet.

I processen att "gå ut" utvecklade jag sådana vanor som gör att du kan sova lugnt och samtidigt inte bygga en kinesisk mur runt. Jag berättar vilka säkerhetsregler jag nu behandlar utan fanatism, som jag bryter mot då och då, och som jag följer med fullt allvar.

Överdriven paranoia

Använd inte offentligt Wi-Fi

Jag använder och är inte rädd i detta avseende. Ja, det finns hot när du använder gratis offentliga nätverk. Men risken minimeras genom att följa enkla säkerhetsregler.

1. Se till att hotspoten tillhör kaféet och inte hackaren. Den juridiska punkten ber om ett telefonnummer och skickar ett SMS för att komma in.
2. Använd en VPN-anslutning för att komma åt nätverket.
3. Ange inte användarnamn/lösenord på overifierade webbplatser.

Nyligen började webbläsaren Google Chrome till och med markera sidor med osäkra anslutningar som osäkra. Tyvärr har nätfiskewebbplatser nyligen antagit praxis att skaffa ett certifikat för att efterlikna de riktiga.

Så om du vill logga in på någon tjänst med offentliga Wi-Fi, skulle jag råda dig att se till att sidan är original hundra gånger. Som regel räcker det att köra sin adress genom en whois-tjänst, till exempel Reg.ru. Det senaste domänregistreringsdatumet bör varna dig - nätfiskewebbplatser varar inte länge.

Logga inte in på dina konton från andras enheter

Jag går in, men jag ställer in tvåstegsautentisering för sociala nätverk, e-post, personliga konton, statens webbplats. Detta är också en ofullständig skyddsmetod, så Google började till exempel använda hårdvarutokens för att verifiera användarens identitet. Men för nu, för "bara dödliga" räcker det att ditt konto kommer att begära en kod från SMS eller från Google Authenticator (i den här applikationen genereras en ny kod varje minut på själva enheten).

Ändå erkänner jag ett litet inslag av paranoia: jag kontrollerar regelbundet min webbhistorik ifall någon annan skrivit in min e-post. Och naturligtvis, om jag loggar in på mina konton från andras enheter, i slutet av arbetet glömmer jag inte att klicka på "Avsluta alla sessioner".

Installera inte bankappar

Det är säkrare att använda mobilbankapplikationen än nätbank i desktopversionen. Även om det är designat idealiskt ur säkerhetssynpunkt, kvarstår frågan med sårbarheterna i själva webbläsaren (och det finns många av dem), såväl som operativsystemets sårbarheter. Skadlig programvara som stjäl data kan injiceras direkt i den. Därför, även om nätbanker annars är helt säkra, förblir dessa risker mer än verkliga.

När det gäller bankapplikationen ligger dess säkerhet helt och hållet på bankens samvete. Var och en av dem genomgår en grundlig analys av kodens säkerhet, ofta är externa framstående experter involverade. Banken kan blockera åtkomsten till applikationen om du har bytt SIM-kort eller helt enkelt flyttat det till en annan plats på din smartphone.

Vissa av de säkraste applikationerna startar inte ens förrän säkerhetskraven är uppfyllda, till exempel är telefonen inte lösenordsskyddad. Därför, om du, som jag, inte är redo att ge upp onlinebetalningar i princip, är det bättre att använda en applikation snarare än stationär nätbank.

Detta betyder naturligtvis inte att applikationer är 100% säkra. Även de bästa visar sårbarheter, så regelbundna uppdateringar är nödvändiga. Om du tror att detta inte är tillräckligt, läs specialiserade publikationer (Xaker.ru, Anti-malware.ru, Securitylab.ru): de kommer att skriva där om din bank inte är tillräckligt säker.

Använd ett separat kort för onlineköp

Jag tycker personligen att detta är onödigt besvär. Jag hade ett separat konto så att jag vid behov kan överföra pengar från det till kortet och betala för köp på Internet. Men jag vägrade också detta - det är en nackdel för trösten.

Det är snabbare och billigare att skaffa ett virtuellt bankkort. När du gör köp online med hjälp av det, tänds inte uppgifterna för huvudkortet på Internet. Om du tror att detta inte räcker för fullständigt förtroende, teckna en försäkring. Denna tjänst erbjuds av ledande banker. I genomsnitt, till en kostnad av 1 000 rubel per år, kommer kortförsäkringen att täcka skador på 100 000.

Använd inte smarta enheter

Internet of Things är enormt, och det finns ännu fler hot i det än i det traditionella. Smarta enheter är verkligen fyllda med enorma möjligheter för hackning.

I Storbritannien hackade hackare sig in i ett lokalt kasinonätverk med VIP-kunddata genom en smart termostat! Om kasinot visade sig vara så osäkert, vad ska man säga om en vanlig person. Men jag använder smarta enheter och fäster inte kameror på dem. Om TV:n och sammanfoga information om mig - åt helvete med det. Det kommer definitivt att vara något ofarligt, eftersom jag lagrar allt kritiskt på en krypterad disk och har det på hyllan - utan tillgång till Internet.

Stäng av telefonen utomlands vid telefonavlyssning

Utomlands använder vi oftast budbärare som perfekt krypterar text- och ljudmeddelanden. Om trafiken avlyssnas kommer den bara att innehålla oläsbar "röra".

Mobiloperatörer använder också kryptering, men problemet är att de kan stänga av det utan abonnentens vetskap. Till exempel på begäran av specialtjänsten: så var fallet under terrorattacken mot Dubrovka så att specialtjänsten snabbt kunde lyssna på terroristernas förhandlingar.

Dessutom avlyssnas förhandlingarna av speciella komplex. Priset för dem börjar från 10 tusen dollar. De är inte tillgängliga för försäljning, men de är tillgängliga för specialtjänsterna. Så om uppgiften är att lyssna på dig kommer de att lyssna på dig. Är du rädd? Stäng sedan av telefonen överallt, och även i Ryssland.

Det är liksom vettigt

Byt lösenord varje vecka

Faktum är att en gång i månaden räcker, förutsatt att lösenorden är långa, komplexa och separata för varje tjänst. Det är bäst att följa bankernas råd eftersom de ändrar lösenordskraven i takt med att datorkraften växer. Nu är en svag kryptoalgoritm brute-force sorterad ut på en månad, därav kravet på frekvensen av lösenordsändringar.

Jag kommer dock att göra en reservation. Paradoxalt nog innehåller kravet att byta lösenord en gång i månaden ett hot: den mänskliga hjärnan är utformad på ett sådant sätt att den, om det är nödvändigt att hela tiden ha nya koder i åtanke, börjar komma ut. Som cyberexperter har fått reda på blir varje nytt användarlösenord i denna situation svagare än det tidigare.

Lösningen är att använda komplexa lösenord, ändra dem en gång i månaden, men använda en speciell applikation för lagring. Och ingången till den måste skyddas noggrant: i mitt fall är det ett chiffer på 18 tecken. Ja, applikationer har synden att innehålla sårbarheter (se avsnittet om applikationer nedan). Du måste välja det bästa och följa nyheterna om dess tillförlitlighet. Jag ser inte ett säkrare sätt att hålla dussintals starka lösenord i mitt huvud än.

Använd inte molntjänster

Historien om indexeringen av Google Docs i Yandex-sökning visade hur mycket användarna har fel om tillförlitligheten hos denna metod för att lagra information. Jag använder personligen företagets molnservrar för att dela eftersom jag vet hur säkra de är. Detta betyder inte att gratis offentliga moln är ett absolut ont. Precis innan du laddar upp ett dokument till Google Drive, gör du dig besväret att kryptera det och ange ett lösenord för åtkomst.

Nödvändiga åtgärder

Lämna inte ditt telefonnummer till någon och var som helst

Men detta är inte alls en extra försiktighetsåtgärd. Genom att känna till telefonnummer och fullständigt namn kan en angripare göra en kopia av ett SIM-kort för cirka 10 tusen rubel. Nyligen kan en sådan tjänst erhållas inte bara på darknet. Eller ännu enklare - att omregistrera någon annans telefonnummer till dig själv med en falsk fullmakt på en teleoperatörs kontor. Sedan kan numret användas för att komma åt offrets alla tjänster där tvåfaktorsautentisering behövs.

Det är så cyberbrottslingar stjäl Instagram- och Facebook-konton (till exempel för att skicka spam från dem eller använda dem för social ingenjörskonst), får tillgång till bankapplikationer och städar konton. Nyligen berättade media hur 26 miljoner rubel på en dag stals från en affärsman i Moskva som använder detta system.

Var försiktig om ditt SIM-kort slutade fungera utan någon uppenbar anledning. Bättre att spela säkert och blockera ditt bankkort, detta kommer att vara berättigad paranoia. Kontakta därefter operatörens kontor för att ta reda på vad som hänt.

Jag har två SIM-kort. Tjänster och bankapplikationer är knutna till ett nummer, som jag inte delar med någon. Jag använder ett annat SIM-kort för kommunikation och hushållsbehov. Jag lämnar detta telefonnummer för att anmäla mig till ett webinar eller få ett rabattkort i butiken. Båda korten är skyddade av en PIN-kod - detta är en rudimentär men förbisedd säkerhetsåtgärd.

Ladda inte ner allt till din telefon

En järnregel. Det är omöjligt att säkert veta hur applikationsutvecklaren kommer att använda och skydda användardata. Men när det blir känt hur skaparna av applikationer använder dem, förvandlas det ofta till en skandal.

Nya fall inkluderar Polar Flow-berättelsen, där du kan ta reda på var underrättelseofficerare finns runt om i världen. Eller ett tidigare exempel med Unroll.me, som skulle skydda användare från spamprenumerationer, men samtidigt sålde den mottagna datan åt sidan.

Applikationer vill ofta veta för mycket. Ett läroboksexempel är applikationen Flashlight, som bara behöver en glödlampa för att fungera, men den vill veta allt om användaren, ända ner till kontaktlistan, se bildgalleriet och var användaren befinner sig.

Andra kräver ännu mer. UC Browser skickar IMEI, Android ID, MAC-adress för enheten och vissa andra användardata till servern för Umeng, som samlar in information för Alibaba-marknadsplatsen. Jag, liksom mina kollegor, skulle föredra att avslå en sådan ansökan.

Även professionella paranoida människor tar risker, men de är medvetna. För att inte vara rädd för varje skugga, bestäm vad som är offentligt och vad som är privat i ditt liv. Bygg murar runt personlig information, och fall inte i fanatism om säkerheten för offentlig information. Sedan, om du en dag hittar den här offentliga informationen i det offentliga området, kommer du inte att bli oerhört skadad.