Kuinka tietoturva-ammattilaiset suojaavat henkilötietoja

2024 Kirjoittaja: Malcolm Clapton | [email protected]. Viimeksi muokattu: 2023-12-17 03:55

Onko järkevää luopua julkisista Wi-Fi- ja pankkisovelluksista ja hankkia erillinen kortti verkko-ostoksia varten - tietoturva-asiantuntijan mielipide.

Puolet tietoturvakollegoistani on ammatillisesti vainoharhaisia. Vuoteen 2012 asti itse olin sellainen - olin täysin salattu. Sitten tajusin, että niin tylsä puolustus häiritsee työtä ja elämää.

"Ulostessani" kehitin sellaisia tapoja, joiden avulla voit nukkua rauhallisesti ja samalla olla rakentamatta kiinalaista muuria ympärille. Kerron teille, mitä turvallisuussääntöjä nyt suhtaudun ilman fanaattisuutta, joita rikon silloin tällöin ja joita noudatan kaikella vakavuudella.

Liiallinen vainoharhaisuus

Älä käytä julkista Wi-Fi-yhteyttä

Käytän, eikä minulla ole mitään pelkoa tässä suhteessa. Kyllä, ilmaisia julkisia verkkoja käytettäessä on uhkia. Mutta riski minimoidaan noudattamalla yksinkertaisia turvallisuussääntöjä.

1. Varmista, että hotspot kuuluu kahvilalle eikä hakkereille. Lakitoimisto pyytää puhelinnumeroa ja lähettää tekstiviestin.
2. Käytä VPN-yhteyttä päästäksesi verkkoon.
3. Älä kirjoita käyttäjätunnusta / salasanaa vahvistamattomille sivustoille.

Äskettäin Google Chrome -selain alkoi jopa merkitä suojaamattomia yhteyksiä sisältäviä sivuja vaarallisiksi. Valitettavasti tietojenkalastelusivustot ovat äskettäin omaksuneet käytännön hankkia varmenteen todellisten varmenteiden jäljittelemiseksi.

Joten jos haluat kirjautua johonkin palveluun julkisella Wi-Fi:llä, suosittelen varmistamaan, että sivusto on alkuperäinen sata kertaa. Yleensä riittää, että hänen osoitteensa ohjataan whois-palvelun kautta, esimerkiksi Reg.ru. Viimeisimmän verkkotunnuksen rekisteröintipäivän pitäisi varoittaa sinua - tietojenkalastelusivustot eivät kestä kauan.

Älä kirjaudu tilillesi muiden ihmisten laitteilta

Menen sisään, mutta asetan kaksivaiheisen todennuksen sosiaalisiin verkostoihin, sähköpostiin, henkilökohtaisiin tileihin ja valtion palvelun verkkosivustolle. Tämä on myös epätäydellinen suojausmenetelmä, joten esimerkiksi Google alkoi käyttää laitteistotunnuksia käyttäjän henkilöllisyyden tarkistamiseen. Mutta toistaiseksi "pelkille kuolevaisille" riittää, että tilisi pyytää koodia tekstiviestistä tai Google Authentificatorista (tässä sovelluksessa uusi koodi luodaan joka minuutti itse laitteessa).

Myönnän kuitenkin pienen vainoharhaisuuden: tarkistan säännöllisesti selaushistoriani siltä varalta, että joku muu tulee sähköpostiini. Ja tietysti, jos kirjaudun tileilleni muiden ihmisten laitteilta, en unohda työn lopussa napsauttaa "Lopeta kaikki istunnot".

Älä asenna pankkisovelluksia

Mobiilipankkisovellusta on turvallisempaa käyttää kuin verkkopankkia työpöytäversiossa. Vaikka se on suunniteltu ihanteellisesti turvallisuusnäkökulmasta, kysymys jää itse selaimen haavoittuvuuksista (ja niitä on monia), samoin kuin käyttöjärjestelmän haavoittuvuuksista. Haittaohjelmat, jotka varastavat tietoja, voidaan pistää suoraan siihen. Siksi, vaikka verkkopankkitoiminta muuten olisi täysin turvallista, nämä riskit ovat enemmän kuin todellisia.

Mitä tulee pankkisovellukseen, sen turvallisuus on täysin pankin omallatunnolla. Jokainen niistä käy läpi perusteellisen koodin turvallisuuden analyysin, ja usein mukana on ulkopuolisia arvostettuja asiantuntijoita. Pankki voi estää pääsyn sovellukseen, jos olet vaihtanut SIM-kortin tai jopa siirtänyt sen älypuhelimesi toiseen paikkaan.

Jotkut turvallisimmista sovelluksista eivät edes käynnisty ennen kuin tietoturvavaatimukset täyttyvät, esimerkiksi puhelin ei ole salasanasuojattu. Siksi, jos sinä, kuten minä, et ole periaatteessa valmis luopumaan verkkomaksuista, on parempi käyttää sovellusta pöytäverkkopankkien sijaan.

Tämä ei tietenkään tarkoita, että sovellukset olisivat 100 % turvallisia. Parhaissakin on haavoittuvuuksia, joten säännölliset päivitykset ovat tarpeen. Jos uskot, että tämä ei riitä, lue erikoisjulkaisuja (Xaker.ru, Anti-malware.ru, Securitylab.ru): he kirjoittavat sinne, jos pankkisi ei ole tarpeeksi turvallinen.

Käytä erillistä korttia verkko-ostoksille

Itse olen sitä mieltä, että tämä on tarpeetonta vaivaa. Minulla oli erillinen tili, jotta tarvittaessa siirrän siitä rahaa kortille ja maksan ostoksia Internetissä. Mutta kieltäydyin myös tästä - se on haittaa mukavuudelle.

Virtuaalipankkikortin hankkiminen on nopeampaa ja halvempaa. Kun teet ostoksia verkossa sen avulla, pääkortin tiedot Internetissä eivät syty. Jos uskot, että tämä ei riitä täydelliseen varmuuteen, ota vakuutus. Tätä palvelua tarjoavat johtavat pankit. Keskimäärin 100 000 ruplaa vuodessa maksava korttivakuutus kattaa 100 000 vahingot.

Älä käytä älylaitteita

Esineiden internet on valtava, ja siinä on jopa enemmän uhkia kuin perinteisessä. Älylaitteet ovat todella täynnä valtavia mahdollisuuksia hakkerointiin.

Isossa-Britanniassa hakkerit murtautuivat paikalliseen kasinoverkkoon VIP-asiakasdatan avulla älykkään termostaatin kautta! Jos kasino osoittautui niin epävarmaksi, mitä sanoa tavallisesta ihmisestä. Mutta käytän älylaitteita, enkä kiinnitä niihin kameroita. Jos TV ja yhdistää tiedot minusta - helvettiin. Se on varmasti jotain vaaratonta, koska tallennan kaiken kriittisen salatulle levylle ja pidän sen hyllyssä - ilman Internetiä.

Sammuta puhelimesi ulkomailla salakuuntelun varalta

Ulkomailla käytämme useimmiten lähettiläitä, jotka salaavat teksti- ja ääniviestit täydellisesti. Jos liikenne kaapataan, se sisältää vain lukukelvotonta "sotkua".

Matkapuhelinoperaattorit käyttävät myös salausta, mutta ongelmana on, että he voivat kytkeä sen pois päältä tilaajan tietämättä. Esimerkiksi erikoispalveluiden pyynnöstä: näin tapahtui Dubrovkan terrori-iskun aikana, jotta erikoispalvelut voisivat nopeasti kuunnella terroristien neuvotteluja.

Lisäksi neuvotteluja sieppaavat erityiset kompleksit. Niiden hinta alkaa 10 tuhannesta dollarista. Niitä ei ole myynnissä, mutta ne ovat erikoispalvelujen saatavilla. Joten jos tehtävänä on kuunnella sinua, he kuuntelevat sinua. Pelkäätkö sinä? Sammuta sitten puhelimesi kaikkialla, myös Venäjällä.

Siinä on tavallaan järkeä

Vaihda salasana joka viikko

Itse asiassa kerran kuukaudessa riittää, jos salasanat ovat pitkiä, monimutkaisia ja kullekin palvelulle erilliset. On parasta kuunnella pankkien neuvoja, koska ne muuttavat salasanavaatimuksia laskentatehon kasvaessa. Nyt heikko kryptoalgoritmi selvitetään raa'alla voimalla kuukaudessa, joten salasanan vaihtotiheysvaatimus.

Teen kuitenkin varauksen. Paradoksaalista kyllä, vaatimus vaihtaa salasanat kerran kuukaudessa sisältää uhan: ihmisen aivot on suunniteltu niin, että jos uusia koodeja on jatkuvasti pidettävä mielessä, ne alkavat irrota. Kuten kyberasiantuntijat ovat havainneet, jokainen uusi käyttäjän salasana tulee tässä tilanteessa heikommaksi kuin edellinen.

Ratkaisu on käyttää monimutkaisia salasanoja, vaihtaa ne kerran kuukaudessa, mutta käyttää erityistä tallennussovellusta. Ja sen sisäänkäynti on suojattava huolellisesti: minun tapauksessani se on 18 merkin salaus. Kyllä, sovellusten synti sisältää haavoittuvuuksia (katso sovelluksia koskeva kappale alla). Sinun täytyy valita paras ja seurata uutisia sen luotettavuudesta. En näe vielä turvallisempaa tapaa pitää päässäni kymmeniä vahvoja salasanoja.

Älä käytä pilvipalveluita

Tarina Google-dokumenttien indeksoinnista Yandex-haussa osoitti, kuinka paljon käyttäjät ovat erehtyneet tämän tietojen tallennusmenetelmän luotettavuudesta. Käytän henkilökohtaisesti yrityksen pilvipalvelimia jakamiseen, koska tiedän kuinka turvallisia ne ovat. Tämä ei tarkoita, että ilmaiset julkiset pilvet olisivat ehdoton paha. Juuri ennen kuin lataat asiakirjan Google Driveen, salaa se ja aseta salasana.

Tarvittavat toimenpiteet

Älä jätä puhelinnumeroasi kenellekään ja minnekään

Mutta tämä ei ole ylimääräinen varotoimenpide. Tunteessaan puhelinnumeron ja koko nimen, hyökkääjä voi tehdä kopion SIM-kortista noin 10 tuhannella ruplalla. Viime aikoina tällainen palvelu voidaan saada paitsi pimeässä verkossa. Tai vielä helpompaa - rekisteröidä jonkun toisen puhelinnumero itsellesi väärennetyllä valtakirjalla teleoperaattorin toimistossa. Sitten numerolla voidaan käyttää kaikkia uhrin palveluita, joissa tarvitaan kaksivaiheista todennusta.

Näin kyberrikolliset varastavat Instagram- ja Facebook-tilejä (esimerkiksi lähettääkseen niiltä roskapostia tai käyttääkseen niitä sosiaaliseen manipulointiin), pääsevät käsiksi pankkisovelluksiin ja siivoavat tilejä. Äskettäin tiedotusvälineet kertoivat, kuinka yhdessä päivässä varastettiin 26 miljoonaa ruplaa Moskovan liikemieheltä tätä järjestelmää käyttäen.

Ole varovainen, jos SIM-korttisi lakkasi toimimasta ilman näkyvää syytä. Parempi pelata varman päälle ja estää pankkikorttisi, tämä on oikeutettua vainoharhaisuutta. Ota sen jälkeen yhteyttä operaattorin toimistoon selvittääksesi mitä tapahtui.

Minulla on kaksi SIM-korttia. Palvelut ja pankkisovellukset on sidottu yhteen numeroon, jota en jaa kenenkään kanssa. Käytän toista SIM-korttia viestintään ja kotitaloustarpeisiin. Jätän tämän puhelinnumeron rekisteröityäkseni webinaariin tai saadakseni alennuskortin myymälästä. Molemmat kortit on suojattu PIN-koodilla - tämä on alkeellinen, mutta huomiotta jätetty turvatoimenpide.

Älä lataa kaikkea puhelimeesi

Rautainen sääntö. On mahdotonta tietää varmasti, kuinka sovelluskehittäjä aikoo käyttää ja suojata käyttäjätietoja. Mutta kun käy ilmi, kuinka sovellusten tekijät käyttävät niitä, siitä tulee usein skandaaliksi.

Viimeaikaisia tapauksia ovat muun muassa Polar Flow -tarina, josta saat selville tiedusteluvirkailijoiden olinpaikan ympäri maailmaa. Tai aikaisempi esimerkki Unroll.me:stä, jonka piti suojella käyttäjiä roskapostitilauksilta, mutta samalla myi vastaanotetut tiedot sivuun.

Sovellukset haluavat usein tietää liikaa. Oppikirjaesimerkkinä on Flashlight-sovellus, joka tarvitsee toimiakseen vain hehkulampun, mutta se haluaa tietää käyttäjästä kaiken, aina yhteystietoluetteloon asti, nähdä kuvagallerian ja missä käyttäjä on.

Toiset vaativat vielä enemmän. UC-selain lähettää IMEI:n, Android ID:n, laitteen MAC-osoitteen ja joitain muita käyttäjätietoja Umengin palvelimelle, joka kerää tietoja Alibaba-markkinapaikkaa varten. Minä, kuten kollegani, haluaisin mieluummin hylätä tällaisen hakemuksen.

Jopa ammatilliset vainoharhaiset ihmiset ottavat riskejä, mutta he ovat tietoisia. Jotta et pelkää jokaista varjoa, päätä, mikä elämässäsi on julkista ja mikä yksityistä. Rakenna muurit henkilötietojen ympärille, äläkä lankea fanaattisuuteen julkisen tiedon turvallisuudesta. Sitten, jos jonain päivänä löydät tämän julkisen tiedon julkisesti, et loukkaa sinua tuskallisesti.