Выбор средств цифровой защиты

Сейчас существует множество компаний и сайтов, предлагающих инструменты для повышения уровня цифровой безопасности. Но как выбрать подходящие именно вам?

У нас нет универсального списка инструментов, которые могли бы вас защитить (хотя вы можете ознакомиться с наиболее популярными вариантами в наших руководствах по инструментам). Однако если у вас есть четкое представление о том, что вы хотите защитить и от кого, это руководство ознакомит вас с основными принципами и поможет выбрать подходящие именно вам инструменты.

Помните, что обеспечить безопасность невозможно простым использованием каких-либо инструментов или программного обеспечения. Для начала необходимо осознать уникальные угрозы, с которыми вы можете столкнуться, и понять, как именно вы можете им противостоять. Для получения дополнительной информации ознакомьтесь с нашим руководством по оценке рисков.

Безопасность – процесс, ее нельзя просто купить anchor link

Прежде чем менять привычные программы или приобретать новые инструменты, следует осознать, что ни один инструмент или программа не дадут вам абсолютной и универсальной защиты от слежки. Поэтому важно подходить к своей цифровой безопасности комплексно. Например, если вы используете инструменты для цифровой безопасности на телефоне, но ваш компьютер даже не защищен паролем, то инструменты на телефоне могут оказаться бесполезными. Если кто-то захочет заполучить вашу информацию, он пойдет по пути наименьшего сопротивления.

Также помните, что практически невозможно защититься от всех видов атак и злоумышленников. Поэтому следует определить тех, кто, вероятно, захочет получить доступ к вашим данным, и понять, что может им понадобиться и как они могут заполучить желаемое. Нет необходимости в приобретении дорогостоящей системы шифрования связи в качестве защиты от перехвата данных спецслужбами, если фактически наибольшую угрозу для вас представляет наблюдение частного детектива, не имеющего доступа к инструментам слежки в интернете. Но если вы имеете дело с правительством, преследующим диссидентов за использование шифрующего ПО, есть смысл прибегнуть к более простым методам. Например, можно использовать заранее согласованные и не вызывающие подозрения кодовые слова, а не рисковать свободой из-за наличия следов использования шифрующих программ на ноутбуке. Составление списка возможных атак, от которых вы планируете защититься, называется оценкой рисков.

Учитывая это, ниже мы приводим несколько вопросов, которые следует задать перед скачиванием, покупкой или использованием инструментов цифровой защиты.

Насколько прозрачен данный инструмент? anchor link

Исследователи в области безопасности твердо убеждены в том, что открытость и прозрачность ведут к созданию более безопасных инструментов.

Чаще всего программное обеспечение, используемое и рекомендуемое специалистами по цифровой безопасности, имеет открытый исходный код. Иными словами, код программы (а значит и все ее функции) является общедоступным, и другие пользователи могут изучать, изменять и делиться им. Обеспечивая прозрачность в работе программы, создатели инструментов позволяют другим пользователям искать недостатки в системе безопасности и помогать улучшать программу.

Открытый исходный код помогает повысить уровень безопасности, но не гарантирует его. Преимущество программ с открытым исходным кодом достигается благодаря сообществу технических специалистов, проверяющих на код. Но малым проектам (а иногда и весьма крупным) этого трудно достичь.

Если вы задумались об использовании той или иной программы, выясните, доступен ли ее исходный код, проводился ли независимый аудит и подтвердил ли он высокий уровень безопасности. Программные и аппаратные средства должны иметь как минимум подробное техническое описание для независимой экспертной проверки.

Насколько подробно разработчики изложили преимущества и недостатки своего продукта? anchor link

Не бывает программных или аппаратных решений, способных обеспечить стопроцентную безопасность. Старайтесь найти инструмент, создатель или продавец которого честно говорит об ограничениях и недостатках продукта.

Не верьте смелым заявлениям о том, что код соответствует «военным (или банковским) стандартам» или «неуязвим для спецслужб». Такие утверждения демонстрируют, что разработчики, скорее всего, переоценивают себя или игнорируют возможные сбои в работе продукта.

Поскольку злоумышленники постоянно находятся в поисках новых способов обхода средств защиты, программное и аппаратное обеспечение нуждается в регулярных обновлениях для устранения уязвимостей. Если создатели не желают заниматься этим из-за боязни негативной огласки или из-за отсутствия необходимой для этого инфраструктуры, это является серьезной проблемой. Ищите создателей, регулярно выпускающих обновления и честно и доступно объясняющих, зачем они это делают.

Хорошим показателем того, как создатели ПО будут вести себя в будущем, является их прошлая активность. Если на сайте инструмента есть список предыдущих проблем, ссылки на предыдущие версии и, например, информация о дате последнего обновления программы, вы можете быть более уверены, что разработчики продолжат предоставлять эту информацию в дальнейшем. Часто вы можете ознакомиться с историей обновлений на официальной странице приложения в Apple App Store или Google Play, на GitHub или на сайте разработчика. Одно это может свидетельствовать о том, что разработчик регулярно занимается улучшением программного обеспечения. Однако еще лучше, если создатели предлагают подробное описание каждого обновления.

Что, если создатель сам окажется скомпрометирован? anchor link

Когда разработчик создает продукт, то он, как и вы, должен проводить оценку рисков. Лучшие создатели инструментов подробно описывают в документации, от каких угроз они способны вас защитить.

Но есть один потенциальный злоумышленник , о котором многие производители не хотят думать. Это - они сами. Что, если они будут скомпрометированы или решат атаковать своих собственных пользователей? Например, суд или правительство могут обязать компанию передать персональные данные или создать «лазейку», позволяющую обойти все заявленные в инструменте средства защиты. В чьей юрисдикции находится разработчик? Например, если источник угрозы – правительство Ирана, компания из США может не принимать во внимание решения иранского суда, однако ей придется подчиниться решению суда США.

Даже если разработчик сумеет противостоять давлению со стороны правительства, злоумышленник может попробовать взломать информационные системы разработчика для атаки на его пользователей.

Наиболее устойчивые инструменты учитывают возможность подобной атаки и разрабатываются с ее учетом. Постарайтесь найти инструмент, о котором известно, что его создатели действительно не могут получить доступ к данным пользователей (а не просто обещают, что не станут этого делать). Аналогичным образом, найдите на сайте инструмента или в политике конфиденциальности информацию о шифровании и политике хранения данных, передаче информации третьим лицам и подробностях о том, как компания обрабатывает запросы от правоохранительных органов. Руководство от The Washington Post содержит советы по чтению политик конфиденциальности компаний и поможет получить представление о том, какую информацию о вас компания может хранить или передавать другим.

Был ли данный продукт отозван разработчиком, подвергался ли он критике онлайн? anchor link

Продающие продукты компании и продвигающие свое новейшее программное обеспечение энтузиасты могут быть введены в заблуждение, вводить в заблуждение сами или даже откровенно лгать. В продукте, который изначально был безупречен с точки зрения безопасности, со временем могут обнаружиться критические уязвимости. Старайтесь быть в курсе последних новостей об используемых вами инструментах.

Чрезвычайно сложно в одиночку быть в курсе последних новостей об инструменте. Если у вас есть коллеги, которые пользуются определенным продуктом или услугой, скооперируйтесь с ними, чтобы оставаться в курсе событий.

Телефон какой марки мне стоит купить? Какой компьютер? anchor link

Специалисты по безопасности нередко слышат вопросы вроде «Что выбрать – телефон на Android или iPhone? Какой компьютер купить – PC или Mac? Какая операционная система лучше?». Простых ответов нет. Исследователи постоянно обнаруживают новые уязвимости и старые ошибки, поэтому безопасность программ и устройств относительна и непостоянна. Компании могут как конкурировать за звание лучшего в области безопасности, так и находиться под давлением властей, стремящихся ослабить безопасность.

Однако некоторые общие рекомендации верны почти всегда. В частности, после покупки устройства или операционной системы необходимо следить за установкой последних обновлений. Зачастую обновления устраняют уязвимости в старом коде, которые могут быть использованы для атак. Обратите внимание на то, что обновления (даже связанные с безопасностью) для некоторых устаревших моделей телефонов или операционных систем могут уже не выпускаться производителем.

Между двумя операционными системами для мобильных телефонов есть несколько ключевых различий. Android имеет открытый исходный код и несколько различных версий системы с фокусом на конфиденциальность и безопасность, например CalyxOS и GrapheneOS. Использующаяся в iPhone операционная система iOS не имеет открытого исходного кода, но доказала свою устойчивость к средствам цифровой криминалистики. Как и любой другой инструмент цифровой безопасности, ни одна из операционных систем не может удовлетворить потребности каждого пользователя или превосходить другие по всем направлениям.

Теперь, когда вы приняли во внимание возможные угрозы и решили, чего именно вы ожидаете от инструмента для защиты цифровой безопасности, вы можете более уверенно выбирать инструменты, которые подойдут вам в вашей конкретной ситуации.

Инструменты, упомянутые в этом руководстве anchor link

Мы стараемся, чтобы программные и аппаратные решения, о которых мы говорим в настоящем руководстве, соответствовали обозначенным выше критериям. Мы с чистой совестью перечислили только те инструменты, которые:

• соответствуют стандартам качества согласно нашим представлениям о цифровой безопасности на сегодняшний день,
• как правило, сообщают о тонкостях своей работы (и о своих недостатках),
• имеют защиту на случай, если сами разработчики будут скомпрометированы,
• регулярно обновляются, имеют большую базу технически грамотных пользователей, тестирующих их на наличие уязвимостей.

Однако, примите во внимание, что у нас нет ресурсов для организации независимых проверок безопасности упомянутых инструментов. Мы не гарантируем качество и абсолютную безопасность этих продуктов.