Aby zrozumieć, jak bezpieczny/a jesteś i jakich metod powinieneś/powinnaś użyć, aby się chronić, możesz na przykład stworzyć dla siebie plan bezpieczeństwa. W takim planie należy ocenić, jakiego rodzaju informacje posiadasz w formie elektronicznej i jak chcesz je chronić.
Należy zdefiniować aktywa, które chcesz chronić.
Należy ocenić ryzyko, aby zrozumieć, jaki poziom ochrony jest potrzebny (poufność, integralność, dostępność).
Warto pomyśleć o obronie w głąb i dodawać zabezpieczenia.
Ogólnie dobrym sposobem na myślenie o bezpieczeństwie jest wykorzystanie triady CIA, o której mowa była w pierwszym rozdziale kursu. Triada CIA składa się z trzech stron tego samego zagadnienia:
Poufność
Integralność
Dostępność
Aby zrozumieć, na czym polega świadome podejście do bezpieczeństwa, spójrzmy na przykład:
Tina używa poczty Google Mail jako swojej głównej usługi poczty elektronicznej. Używa swojego adresu @gmail.com do rejestracji do większości innych usług, z których korzysta.
Zastanówmy się najpierw, co właściwie jest tu aktywem.
Zawiera on wszystkie jej osobiste wiadomości e-mail.
Może być wykorzystany do kradzieży tożsamości i podszywania się pod nią w sieci.
Zawiera informacje osobiste z wszelkiego rodzaju usług, adresy, numery telefonów, być może numery ubezpieczenia społecznego, a nawet informacje o kartach kredytowych.
Może być użyty jako e-mail do odzyskiwania dla większości kont, z których korzysta.
Jak widać, adres e-mail nie jest tylko adresem e-mail, ale może być czymś znacznie więcej. Jak zdefiniowałbyś/łabyś ryzyko dla tego konta? Jaki rodzaj ochrony należy dla niego zastosować?
Zapewne stwierdziłeś/aś, że ryzyko utraty konta jest wysokie. A więc zastanówmy się teraz, co możemy zrobić, aby zabezpieczyć to konto przed nadużyciami.
Hasło, którego Tina używa, powinno charakteryzować się entropią wysokiej jakości, więc powinna ona używać długiego hasła.
Hasło nie powinno być nigdzie przechowywane w postaci zwykłego tekstu.
Konta Google pozwalają na korzystanie z uwierzytelniania wielopoziomowego, które dodaje dodatkową warstwę bezpieczeństwa dla konta.
W przypadku Tiny do kwestii bezpieczeństwa można podejść na wiele sposobów. Ale jak najlepiej pogodzić bezpieczeństwo z użytecznością? W jaki sposób uzyskuje ona dostęp do poczty elektronicznej?
Dość dobrym sposobem ochrony konta jest użycie długiego hasła, składającego się z co najmniej 15 znaków. Można je zapamiętać lub przechowywać w menedżerze haseł lub na kartce papieru w sejfie. Można włączyć uwierzytelnianie wielopoziomowe, a w przypadku usług Google można użyć ich aplikacji Google jako dodatkowego zabezpieczenia (tokena). Jest to bezpieczniejsze niż korzystanie z SMS-ów i nie wymaga niczego innego poza posiadaniem aplikacji Google do uwierzytelniania.
Jeśli jednak Tina korzysta z aplikacji e-mail w swoim telefonie komórkowym, e-mail jest tak bezpieczny jak bezpieczny jest dostęp do telefonu. W przypadku gdy jej telefon zostanie skradziony, a napastnik pozna jej kod PIN, konto może zostać nadużyte na wiele sposobów. Aby zminimalizować ryzyko nieuprawnionego użycia jej konta e-mail, mogłaby korzystać z konta tylko za pomocą przeglądarki i zawsze wylogować się po użyciu konta. Jest to ogromny minus dla użyteczności i być może lepiej będzie nie dzielić się swoim kodem PIN z nikim. Do Ciebie należy decyzja, jak podejdziesz do tej problematycznej kwestii uzyskiwania użyteczności kosztem bezpieczeństwa.
Jeśli Tina używa swojego telefonu jako wieloczynnikowego tokena, naprawdę powinna włączyć kopie zapasowe dla swojego telefonu, aby szybko odzyskać dostęp w przypadku, gdy jej telefon ulegnie uszkodzeniu lub zginie. Ważne jest, aby posiadać inne środki dostępu do konta oprócz swojego telefonu. Większość witryn, które oferują uwierzytelnianie wieloczynnikowe, zapewnia kody zapasowe w przypadku utraty tokena. Te jednorazowe tokeny mogą zostać użyte do odzyskania konta, jeśli nie możesz już uzyskać dostępu do tokena oprogramowania lub urządzenia. Kopie zapasowe chronią część triady CIA dotyczącą Dostępności. Jeśli Twój dysk twardy ulegnie awarii, a Ty nie posiadasz aktualnej kopii zapasowej, Dostępność danych będzie zerowa.
Google oferuje usługę o nazwie Google Advanced Protection, która umożliwia logowanie się do konta Google tylko za pomocą sprzętowych tokenów zabezpieczających lub aplikacji Google Smart Lock.
Jeszcze nie skończyliśmy, ponieważ musimy również pomyśleć o systemie, którego Tina używa, aby uzyskać dostęp do konta. Należy zainstalować wszystkie aktualizacje oprogramowania, aby upewnić się, że nie ma żadnych znanych luk w systemie operacyjnym lub oprogramowaniu, z którego korzysta Tina. Powinna ona również upewnić się, że korzysta ze skanera antywirusowego z aktualnymi wersjami definicji wirusów.
Tina powinna dodatkowo wyrobić sobie nawyk sprawdzania, z jakiego rodzaju sieci korzysta, aby uzyskać dostęp do swojego konta e-mail. Jeśli łączy się z publiczną siecią bezprzewodową, może zabezpieczyć ruch sieciowy za pomocą oprogramowania VPN.
Nick Rosener napisał naprawdę dobry wpis na swoim blogu na temat własnego podejścia do osobistego cyberbezpieczeństwa.
Jeśli nie korzystasz z usług Google, nie martw się. Większość innych usług oferuje podobne poziomy zabezpieczeń. Tym samym większość rozwiązań programowych wymienionych podczas tego kursu ma alternatywy, które mogą być lepsze dla Ciebie.
Ostatecznie to do Ciebie należy decyzja, jak bardzo chcesz się zabezpieczyć, ale chodzi o to, że powinna być to świadomie podjęta decyzja, a nie tylko pierwsza z brzegu.
Krótko mówiąc, konto e-mail Tiny jest bardzo ważnym aktywem, ponieważ utrata dostępu do niego lub uzyskanie dostępu do jego zawartości przez napastnika stanowi dla niej duże ryzyko. Tina powinna zastosować podejście "obrony w głąb", by nałożyć warstwy zabezpieczeń na trzy elementy triady CIA:
Poufność: Silne hasła, szyfrowanie w trakcie przesyłania danych, uwierzytelnianie wieloczynnikowe.
Integralność: Tylko Tina powinna mieć dostęp do konta i nie powinna udostępniać danych swojego konta.
Dostępność: Wykonuj kopie zapasowe danych, które umożliwiają dostęp do konta.
Po ukończeniu rozdziału 4 potrafisz już:
poznać podstawowe zasady działania sieci
zrozumieć, jak ważne jest bezpieczne połączenie i jak ważnym krokiem w tym kierunku jest szyfrowanie
zrozumieć, w jaki sposób urządzenia i sprzęt wpływają na kwestie bezpieczeństwa sieciowego
wyjaśnić podstawy zabezpieczania urządzeń i sprzętu.