Обеспечение безопасности данных

Две серьёзные проблемы в области безопасности данных: объём информации, которую вы храните или переносите, и простота, с которой эту информацию можно у вас изъять. Многие из нас держат все данные (контакты, переписку, документы) на ноутбуках и даже мобильных телефонах, включая конфиденциальную информацию десятков, сотен и даже тысяч людей. Не так уж трудно украсть телефон (ноутбук) или быстро скопировать содержимое.

Соединённые Штаты Америки – одна из многих стран, где существует практика копирования и изъятия данных при пересечении границы. Кроме того, информацию могут украсть на улице, похитить из вашего дома, отобрать в полиции.

С помощью шифрования можно не только повысить уровень безопасности связи, но и усложнить доступ к секретной информации тому, кто физически способен добраться до неё. Компьютер или мобильный телефон нетрудно блокировать паролем, PIN-кодом или защитой с помощью жеста. Увы, эта блокировка не поможет уберечь данные при потере устройства. Подобную блокировку легко обойти, ведь данные хранятся на устройстве в читаемом виде. Всё что нужно сделать злоумышленнику – подключиться к носителю данных напрямую. Тогда он сумеет просмотреть и скопировать информацию без знания пароля.

Если вы используете шифрование, злоумышленнику недостаточно получить доступ к устройству. Для расшифровки данных ему понадобится ваш пароль. Обойти эту защиту невозможно.

Оптимальный способ – зашифровать не отдельные папки, а все данные. Большинство компьютеров и смартфонов поддерживает такое полное шифрование. В устройствах Android вы найдёте эту опцию в разделе «Security», в устройствах Apple (например, iPhone, iPad) она называется «Data Protection» и автоматически включается при активации блокировки коротким паролем. На компьютерах, работающих под управлением Windows Pro, за шифрование «отвечает» приложение «BitLocker».

Код «BitLocker» закрыта и фирменная, что означает, что трудно для внешних рецензентов, чтобы точно знать, как безопасно это. Использование «BitLocker» требуется вы доверяете Microsoft обеспечивает безопасную систему хранения без скрытых уязвимостей. С другой стороны, если вы уже используете Windows, вы уже доверяя Microsoft в той же степени. Если вы беспокоитесь о надзора от вида злоумышленников, которые, возможно, знаете или пользу от задней двери в любом Windows, или «BitLocker», вы можете рассмотреть альтернативную операционную систему с открытым исходным кодом, таких как GNU / Linux или BSD, особенно в версии, что закаленным против атак, таких хвосты или Qubes OS.

В операционную систему macOS от Apple встроен инструмент FileVault. Он поддерживает полнодисковое шифрование. В дистрибутивах Linux, как правило, включить полнодисковое шифрование можно в процессе установки операционной системы. На момент обновления этого руководства мы не можем порекомендовать инструмент полнодискового шифрования для версий Windows, в состав которых не BitLocker.

Какое бы приложение ни использовалось, шифрование надёжно настолько, насколько надёжен ваш пароль. Если устройство попадёт в руки злоумышленника, у того будет уйма времени для подбора пароля. Криминалистические программы позволяют подбирать пароли со скоростью миллионов операций в секунду. Четырёхзначный PIN-код ненадолго защитит ваши данные. Даже более длинный пароль не сможет сдерживать атаку продолжительное время. Действительно надёжный пароль должен содержать больше пятнадцати символов.

Большинству из нас не понравится идея запоминать и вводить парольные фразы на телефоне или другом мобильном устройстве. Таким образом, шифрование способно надёжно защитить данные только от случайного доступа. Для действительно конфиденциальной информации следует обеспечить её физическую сохранность и недосягаемость для злоумышленников. Можно ограничить работу с такими данными одним компьютером, более безопасным, чем все остальные.

Создание безопасного компьютера Anchor link

Обеспечение безопасности может оказаться непростой задачей. Как минимум, нужно сменить пароли, привычки и, возможно, программы на основном компьютере (ином устройстве). В сложном случае придётся постоянно оценивать вероятность утечки конфиденциальных данных и адекватность защитных мер. Даже если вы полностью осознаёте проблему, некоторые решения могут быть вне вашей власти. Например, вы объясняете коллегам потенциальные угрозы, а они по-прежнему используют небезопасные способы общения и навязывают их вам. Такой человек присылает письмо с файлом-вложением и уверен, что вы его откроете и прочтёте, как это было всегда. Отправитель не принимает во внимание риск, что злоумышленник может выдать себя за него и прислать вам вирус. А если ваш основной компьютер уже заражён?

Один из возможных подходов – ограничить работу с ценными данными и коммуникациями до одного компьютера, более безопасного, чем остальные. Используйте этот компьютер лишь изредка. Работая с ним, уделяйте особое внимание вашим действиям. Если нужно открыть вложение или запустить небезопасную программу, сделайте это на другом компьютере.

Что конкретно нужно сделать для настройки безопасного компьютера?

Очевидно, надо разместить устройство в (физически) более безопасном месте: там, где вы сможете быстро определить вероятность несанкционированного доступа, например, в закрытом кабинете.

Можно установить операционную систему, разработанную специально для обеспечения конфиденциальности и безопасности, например, Tails. Возможно, операционная система с открытым исходным кодом не устроит вас в повседневной работе. Но если вам нужен инструмент, чтобы только получать, хранить, писать и отправлять конфиденциальные сообщения, Tails отлично справится с этой задачей и обеспечит высокий уровень безопасности.

Дополнительный безопасный компьютер – не такая дорогая вещь, как может показаться. Редко используемый компьютер, на котором запущено лишь несколько программ, не обязан быть очень быстрым или новым. Вы можете купить старый ноутбук за половину стоимости современного смартфона. Кстати, одно из преимуществ такого решения: программы вроде Tails скорее совместимы с устаревшими моделями, чем с техническими новинками.

На безопасном компьютере можно хранить основную копию конфиденциальных данных. Но при всех плюсах не следует забывать о недостатках этого решения. Если вы станете записывать всю самую ценную информацию на этот компьютер, он может стать очевидной целью злоумышленников. Не афишируйте его наличие, не обсуждайте его местонахождение и обязательно зашифруйте жёсткий диск. Используйте надёжный пароль, чтобы в случае кражи данные нельзя было прочитать.

Еще один риск – опасность того, что уничтожение безопасного компьютера приведёт к потере единственной копии данных.

Если злоумышленник заинтересован в том, чтобы вы потеряли данные, не держите их в одном месте, независимо от уровня безопасности. Сделайте копию, зашифруйте и храните в другом месте.

Как добиться наилучшей защиты от интернет-атак и онлайновой слежки? Это просто: полностью отключить компьютер от интернета. Во всяком случае, убедитесь, что ваш безопасный компьютер никогда не подключается к локальной сети или Wi-Fi, а данные копируются только на физические носители вроде DVD-дисков и USB-флешек. В сетевой безопасности эта практика называется «воздушный зазор» (между компьютером и остальным миром). Мало кто заходит так далеко, однако этот вариант может оказаться подходящим, если вы хотите позаботиться о редко используемых, но важных данных. Примеры таких данных: шифровальный ключ, который нужен только для важных сообщений (скажем, «Все остальные мои ключи шифрования теперь ненадёжны»), список паролей и инструкций на случай вашей недоступности, резервная копия чужих персональных данных. В большинстве случаев достаточно носителя данных. Зашифрованный USB-диск, хранящийся в тайном месте, может оказаться не менее эффективным, чем полноценный компьютер, отключённый от интернета.

Если вы используете безопасный компьютер для подключения к интернету, стоит перестать входить в привычные аккаунты. Создайте новые учётные записи электронной почты и веб-сервисов. Используйте Tor, чтобы не раскрывать сайтам свой настоящий IP-адрес. Если кто-то захочет атаковать вас при помощи вредоносных программ или перехватывать ваши коммуникации, упомянутые меры помогут скрыть связь между вами и этим компьютером.

Вариант идеи безопасного компьютера – небезопасный компьютер. Это устройство для поездок в опасные места или рискованных заданий. Многие журналисты и активисты берут с собой в дорогу маленькие нетбуки, где нет никаких важных документов, контактов, электронных писем. Потеряли нетбук? Его украли? Конфисковали? Не такая уж проблема. Аналогичную тактику можно применить к мобильным телефонам. Оставьте свой смартфон дома, подумайте о дешёвом или даже «одноразовом» телефоне для поездок или звонков при определённых обстоятельствах.

Последнее обновление: 
2016-12-01
Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
JavaScript license information