Da biste razumjeli koliko ste sigurni i koje biste vrste metoda trebali koristiti da se zaštitite, možete, na primjer, izraditi plan sigurnosne zaštite za sebe. U takvom planu trebate procijeniti koju vrstu informacija imate u elektroničkom obliku i kako ih želite zaštititi.
Definirajte resurs koji želite zaštititi.
Procijenite rizik da biste razumjeli potrebnu razinu zaštite (povjerljivost, integritet, dostupnost).
Razmislite o uporabi dubinske obrane i dodajte zaštitu.
Uglavnom je dobro razmišljati o sigurnosti s pomoću CIA trijade o kojoj smo učili u prvom poglavlju tečaja. CIA trijada sastoji se od tri strane istog pitanja:
povjerljivost,
integritet,
dostupnost.
Da biste dobili osjećaj kako izgleda način razmišljanja koji brine o sigurnosti, pogledajmo jedan primjer:
Tina koristi Google Mail kao glavnu uslugu za e-poštu. Koristi svoju adresu @gmail.com za registraciju na većinu drugih usluga koje koristi.
Razmislimo najprije o tome što je zapravo resurs.
On sadrži svu njezinu osobnu poštu.
Može se koristiti za krađu identiteta i lažno predstavljanje kao ona na mreži.
Sadrži osobne informacije sa svih vrsta usluga, adrese, telefonske brojeve, moguće i brojeve socijalnog osiguranja, čak i informacije o kreditnim karticama.
Može se koristiti kao e-pošta za oporavak za većinu računa koje koristi.
Kao što možete vidjeti, adresa e-pošte nije samo adresa e-pošte, već može biti mnogo više. Kako biste definirali rizik za ovaj račun? Kakvu vrstu zaštite bi Tina trebala koristiti?
Vjerojatno ste procijenili da je rizik od gubitka računa velik. Dobro, razmislimo sada o tome što možemo učiniti da zaštitimo račun od zlouporabe.
Lozinka koju koristi trebala bi imati veliku vrijednost entropije pa mora koristiti dugačku lozinku.
Lozinka se nigdje ne bi smjela pohranjivati u nešifriranom obliku.
Google računi omogućuju uporabu višestruke provjere autentičnosti, što dodaje još jedan sloj sigurnosti računa.
Više je načina kojima možemo pristupiti sigurnosti u Tininom slučaju. Ali kako možemo najbolje postići ravnoteži između sigurnosti i uporabljivosti? Kako ona pristupa e-pošti?
Razumno dobar način da se zaštiti račun je uporaba dugačke lozinke od najmanje 15 znakova. Ona se može zapamtiti ili pohraniti u upravitelju lozinki ili na komadu papira u sefu. Može se omogućiti i višestruka provjera autentičnosti, a uz Googleove usluge možete koristiti njihovu Google aplikaciju za dodatnu sigurnost. To je sigurnije od korištenja SMS-a, a ne zahtijeva ništa drugo osim Googleove aplikacije za provjeru autentičnosti.
Međutim, ako Tina koristi aplikaciju za e-poštu na svojem mobilnom telefonu, e-pošta je sigurna u onoj mjeri u kojoj je siguran pristup njezinom telefonu. Dakle, ako joj telefon bude ukraden, a napadač zna njezin PIN broj, račun se može zlorabiti na više načina. Da bi se smanjila zlouporaba njezinog računa e-pošte, mogla bi koristiti račun samo putem preglednika i uvijek se odjaviti nakon korištenja računa. To uvelike smanjuje uporabljivost i bolje joj je da ni s kime ne dijeli svoj PIN broj. Na vama je da odlučite kako ćete pristupiti ovom pitanju uspostavljanja ravnoteže između uporabljivosti i sigurnosti.
Ako Tina koristi svoj telefon kao višestruki token, zaista bi trebala omogućiti sigurnosno kopiranje za svoj telefon kako bi brzo mogla dobiti natrag pristup u slučaju da se telefon pokvari ili izgubi. Važno je da imate druge načine pristupa računu osim telefona. Većina mjesta koja nude višestruku provjeru autentičnosti pružaju šifre za sigurnosno kopiranje u slučaju gubitka tokena. Takvi jednokratni tokeni mogu se koristiti za oporavak vašeg računa ako više ne možete pristupiti svojem tokenu u obliku softvera ili uređaju. Sigurnosne kopije štite dostupnost u sklopu CIA trijade. Ako dođe do kvara tvrdog diska, a nemate ažuriranu sigurnosnu kopiju, podaci nisu dostupi.
Google pruža uslugu koja se naziva Google Advanced Protection. Ona omogućuje prijavu na vaš Google račun s pomoću hardverskih sigurnosnih tokena ili Googleove aplikacije Smart Lock.
Ipak, nismo još gotovi jer moramo još razmisliti i o sustavu koji Tina koristi za pristup računu. Sva ažuriranja softvera trebala bi biti instalirana da biste bili sigurni da ne postoje nikakve ranjivosti u operativnom sustavu ili softveru koji Tina koristi. Isto tako, trebala bi obavezno koristiti pretražnike virusa s ažuriranim definicijama virusa.
Osim toga, Tina bi trebala steći naviku da provjerava koju vrstu mreže koristi za pristup svojem računu e-pošte. Ako se povezuje na javnu bežičnu mrežu, može zaštititi promet na mreži s pomoću VPN softvera, o kojemu ćemo više naučiti u sljedećem poglavlju.
Nick Rosener napisao je odličan blog o svojem pristupu osobnoj kibernetičkoj sigurnosti.
Ako ne koristite Googleove usluge, ne brinite. Većina drugih usluga nudi vam slične razine sigurnosnih opcija. Isto tako, većina softverskih rješenja koje smo spomenuli tijekom ovoga tečaja ima alternative koje bi možda bile bolje za vas.
U konačnici, na vama je da odlučite koju razinu sigurnosti želite, ali bit je u tome da ta odluka mora biti informirana, a ne ono što vam prvo padne na pamet.
Da ponovimo, Tinin račun e-pošte vrlo je važan resurs jer bi za nju bilo vrlo rizično da izgubi pristup ili da napadač dobije pristup njegovu sadržaju. Trebala bi koristiti pristup dubinske obrane kako bi imala slojevite sigurnosne mjere koristeći tri stavke u okviru CIA trijade:
Povjerljivost: Snažne lozinke, šifriranje pri prijenosu podataka, višestruka provjera autentičnosti.
Integritet: Samo bi Tina smjela imati pristup računu i ne bi smjela dijeliti pojedinosti o svojem računu.
Dostupnost: Izrada sigurnosne kopije podataka koja omogućuje pristup računu.
Nakon završenog četvrtog poglavlja, trebali biste znati:
Razumjeti osnove funkcioniranja mreža.
Razumjeti važnost sigurne veze i kako je šifriranje važan korak u tome.
Razumjeti kako uređaji i hardver rješavaju mrežna sigurnosna pitanja.
Objasniti osnove zaštite svojih uređaja i hardvera.
