ОСТАННІЙ ПОДКАСТ
Підписуйся на найнауковішу розсилку!
І отримуй щотижневі новини науки і технологій

    Ми під'їдаємо крихти cookies за вами. Навіщо це нам?

    Читати

    Пардон за відволікалочку. Допоможи Куншт бути незалежним!

    Пардон за відволікалочку. Допоможи Куншт бути незалежним!

    Повідомлення успішно надіслано

    Для пошуку
    введіть назву запису
    Промо — 09.02.22
    ТЕКСТ: Микола Сребнюк, Артем Тихонов
    Ілюстрації: Каталіна Маєвська
    Ми любимо тексти без помилок. Якщо ви все ж таки щось знайшли, виділіть фрагмент і натисніть
    Ctrl+Enter.
    Мій акаунт – моя фортеця: як захиститися від кіберзагроз

    У цифровому світі є безліч загроз, на які можна натрапити в найнесподіваніших місцях. Але й способів захиститися від них – чимало. Фахівці з інформаційної безпеки Микола Сребнюк та Артем Тихонов розповіли, як організувати безпечний кіберпростір довкола себе, який створить якомога більше перешкод для гакерів та шахраїв.

     

    Текст створений у партнерстві з компанією MacPaw.

    Які основні правила безпеки в кіберпросторі?

     

    Цифровий світ проникає у життя дедалі більшої кількості людей. Інтернет стає більш доступним, а рівень цифрової освіти та кібергігієни не зростає так швидко. Тому сьогодні дуже важливим є питання освіти, навчання базовим навичкам безпечної поведінки в кіберпросторі. 

     

    Ці навички можна порівняти з правилами дорожнього руху. Ми їх дотримуємося постійно, щоб більш безпечно дістатися з точки А в точку Б. Так само з правилами кібергігієни – варто дотримуватися їх щодня.

     

    Важливо: 

     

    Вдумливо переходити за посиланнями і не натискати на все підряд. Йдеться про посилання від друзів в месенджерах, посилання на форумах, в електронних листах тощо. Особливо якщо це неочікуване повідомлення, і воно здається підозрілим. Або адреса сайту – не така, як мала би бути. Якщо вам друг чи колега надсилає програму з текстом «Запусти її», можливо, варто перепитати в людини через якесь інше джерело комунікації, чи справді вона це надіслала.

     

    Використовувати парольні менеджери. Ми працюємо з безліччю ресурсів, які вимагають авторизації. Доводиться вигадувати паролі, і часто вони прості або повторювані – такі легко зламати або підібрати. Парольний менеджер дозволяє згенерувати надійний пароль, зберегти його і потім використовувати. У такому разі достатньо запам’ятати пароль тільки для парольного менеджера, робиш його міцним та надійним, і зберігаєш в цій програмі всі інші паролі до сотні ресурсів. 

     

    Потрібно розробити резервний план на випадок, якщо вся база парольного менеджера зникне, і ви втратите доступ до всіх ваших сервісів і додатків (наприклад, якщо ви забудете пароль). Щоб відновити доступ до ресурсів, краще пам’ятати пароль до основної електронної пошти й мати інші шляхи її відновлення.

     

    Налаштувати двофакторну автентифікацію на важливих для вас ресурсах (а краще – на всіх). Особливо якщо це соцмережі чи акаунти з фінансовими даними. Двофакторна автентифікація означає, що вам потрібно буде вводити не лише свій пароль, а й, наприклад, тимчасовий код з SMS чи спеціального телефонного застосунку. Наразі варто користуватися додатками (наприклад, Google Authenticator) або фізичними USB-токенами, тому що SMS як другий фактор вже не є таким надійним.

     

    Віддавати перевагу протоколу HTTPS. У протоколі передавання даних HTTP (HyperText Transfer Protocol) уся інформація та наші запити до ресурсу відкриті. В HTTPS вони зашифровані. «S» в абревіатурі означає «secure»(з англ. – «безпечний»). Трафік шифрований, і без відповідного ключа його неможливо розшифрувати для сторонньої особи. Тому тут можна провести паралель про публічні мережі WiFi. Якщо в такій загальнодоступній мережі WiFi ви будете користуватися ресурсами через протокол HTTP, весь ваш трафік буде доступний користувачам цієї мережі. Тобто будь-хто з певним набором технічних навичок може подивитися, що і куди ви відправляєте.

     

    Стежити за подіями у сфері кіберпростору. Наприклад, кіберполіція періодично публікує інфографіки з порадами щодо поведінки в цифровому просторі, публікує інформацію про схеми, які використовували кіберзлочинці. Інформованість про те, що може статися, дуже допомагає. 

     

    Одним із ризиків також може бути те, що ваші дані продаватимуть у даркнеті. Якщо це так, то захиститись від цього неможливо. У такому разі краще превентивно стежити за тією інформацією, яку ми про себе розповідаємо або до якої надаємо доступ додаткам, якими користуємось. 

    Чим небезпечні дані, якими ми ділимося самі?

     

    Способи використання відкритих даних обмежується хіба що фантазією. Це можуть бути:

    – Таргетована спам- або фішингова розсилка.

    – Таргетовані телефонні дзвінки: дзвінки від «служби безпеки банку», «кредитного менеджера», «поліції» з повідомленням про проблеми з близькими людьми і пропозицією «вирішити ситуацію» тощо.

    – Створення фейкових акаунтів з вашою особистістю.

     

    А, наприклад, адреса прописки разом з фото з відпустки в інстаграмі – ідеальна комбінація для грабіжників.

     

    Є такий досить популярний ресурс для відстеження своїх фізичних активностей – Strava. За відкритими даними з цього сервісу колись знайшли розташування однієї з військових баз США. Тому що військові записували свої активності й зберігали в цей додаток. У Strava є функція heat map: можна відкрити карту і подивитися, де на цій карті найбільша активність у твоєму регіоні, місті тощо. І в додатку було чітко видно, що серед ненаселеного регіону хтось постійно бігає. Це ще раз підтверджує важливість перевірити налаштування і з’ясувати, з ким ви ділитеся своєю інформацією. 

    Як захиститися за допомогою VPN?

     

    VPN створили для того, щоб розширити присутність людини за межами корпорації, коли потрібно отримати доступ до внутрішніх ресурсів компанії за межами офісу (наприклад, у відрядженні). Адже, як правило, всі внутрішні критичні ресурси доступні тільки в робочому просторі. Натомість більшість людей у відрядженні працюють у кафе чи готелях. Невідомо, що там за мережі, як їх адмініструють. Тому потрібні рішення, які гарантують безпеку трафіку та запитів до ресурсів компанії. Так придумали VPN – віртуальну приватну мережу, яка створювала надійний зашифрований тунель між лептопом і ресурсами корпорацій. Тобто VPN може допомогти захиститися від відкритих Wi Fi-мереж, створених, щоб отримати доступ до персональних даних.

     

    З часом почалася сегментація інтернету, і розвивалися сервіси з обмеженнями, зокрема на певний регіон. Тож виникла ідея використати цей підхід, щоб отримати доступ до даних сервісів чи ресурсів. Так VPN став популярним серед широкого загалу.

    VPN – це радше про приватність інформації, яку передають, а не про її захист.

    Хоча VPN-сервіси часто еволюціонують. Наприклад, ClearVPN від MacPaw пропонує блокування реклами чи шкідливих сайтів і ресурсів. Це доволі зручно для людей, які не хочуть розбиратися і замислюватися над сторонніми рішеннями. 

     

    Інформація від VPN-провайдера має надійти до кінцевого ресурсу, і людина не знає, що відбувається між VPN-провайдером і кінцевим ресурсом. Про це потрібно пам’ятати, тому що на цьому етапі також може відбутися витік. 

    Як «прокачати» кібергігієну в компанії?

     

    Це можна забезпечити за рахунок навчань, тренінгів, інформаційних розсилок, дайджестів. Кожен відповідальний в компанії за цей напрям може придумати свій спосіб. Якщо людина розуміє, з чим може зіткнутися, простіше це побачити і цьому протистояти. 

     

    У MacPaw ми зосереджуємося на навчанні фахівців інформаційній безпеці. У нас є кілька підходів. Перший – обов’язкові тренінги з інформаційної безпеки щодо загальних правил поведінки з інформацією й технікою. Щороку ми робимо тести оцінки ефективності фахівця з інформаційної безпеки й на основі його результатів ми починаємо компонувати новий курс на новий рік.

     

    Крім того, ми регулярно розсилаємо фішингові тестові листи. У виборі шаблонів листів нам допомагає штучний інтелект, який постійно адаптує ці листи для кожної людини в команді особисто. І якщо, наприклад, фахівець все-таки перейде за посиланням, то йому буде запропоновано пройти додатковий курс з розпізнавання фішингових листів і реагування на них. Ми помітили, що так рівень обізнаності людей суттєво підвищився. Вони дедалі частіше звертають увагу на дивну поведінку сервісів чи додатків і завжди намагаються повідомити про це спеціалістів з інформаційної безпеки в компанії. Тобто ми робимо це не для того, щоб покарати людину, а щоб навчити. І це приносить суттєві результати.

     

    У світі бувають випадки, коли небезпечні програми передають через флешки. Так колись зламали іранську ядерну програму – принесли флешку і заразили центрифуги. Часом люди знаходять нібито загублені флешки, вставляють їх у свої комп’ютери і відкривають небезпечний файл. Переважно такі файли називаються якось на зразок «зарплатна відомість» абощо. Це спонукає людей відкрити їх і потрапити на гачок.

    Як допомогти з кібербезпекою клієнтам?

     

    Тут є два підходи. Перший підхід – технологічний. Сам код продукту, інфраструктура, яка зберігає дані користувачів, працює з ними, має відповідати певним нормам безпеки. Щонайменше не зберігати паролі у відкритому вигляді (аби навіть якщо вашу базу з даними користувачів вкрадуть, то щоб паролів у ній не було). Другий підхід – компанія може через інтерфейс власних продуктів робити дії користувача більш безпечними. 

     

    Є навіть таке поняття – secure by design. Воно означає певний функціонал у додатках чи вебресурсах, за допомогою якого ми намагаємося зробити їх безпечними. Наприклад, якщо є можливість відправляти користувачу приватні повідомлення із вкладеннями, то не варто робити автоматичне відкриття цих вкладень. Це дуже банальний приклад, але він показує, що таке безпечний дизайн функціоналу. Тобто користувач хоча б має зрозуміти, чи хоче він завантажити цей файл та відкрити його. 

     

    Так само це може стосуватися полів з персональним даними, паролями. Можуть бути підказки, як правильно згенерувати пароль, чи він безпечний, чи відповідає певним вимогам. Є ресурси, які підказують користувачу, наскільки цей пароль якісний, і є ресурси, які показують, чи ці паролі вже були в попередніх витоках, публічно доступних, і рекомендують змінити цей пароль. 

    Як захистити державні структури від кіберзагроз?

     

    Захист сайтів – комплексне й трудомістке завдання, яке має перелік обов’язкових активностей та контролів. Необхідно розпочати з оцінки загроз та створення моделі загроз для державних сайтів та ресурсів. Такі дії нададуть інформацію щодо потенційних векторів атак та підсвітять незахищені активи. До кожної загрози необхідно підібрати певний тип контролю, який дозволить мінімізувати ризик атаки та її наслідки у випадку, якщо атака відбулася.

     

    Після того, як ми загасили пожежу і закрили найбільш критичні прогалини в інформаційній безпеці, потрібно розпочати аудит процесів доступів до державних ресурсів, адміністрування інфраструктури, розробки програмного забезпечення для сайтів, взаємодії з постачальниками та компаніями, які займаються підтримкою ресурсів тощо.

     

    Для цих активностей варто залучати сторонні організації, експертів, які можуть свіжим поглядом оцінити ситуацію і надати звіт про дійсний стан речей в інформаційній безпеці.

    Микола Сребнюк – керівник напрямку інформаційної безпеки MacPaw

    Артем Тихонов – провідний інженер напрямку інформаційної безпеки MacPaw

    ТЕКСТ: Микола Сребнюк, Артем Тихонов
    Ілюстрації: Каталіна Маєвська
    Статті
    Медицина
    Невидимий ворог на нашій землі: чому варто зробити щеплення від правця

    За останні декілька місяців українці навчились остерігатись багатьох речей: ракет, мін, російської музики та ютубу, але ми все ще забуваємо про невидимого ворога у нашій землі. Неприємно познайомитись – Clostridium tetani, збудник правця.

    Промо
    Проєкт інтелект. Воєнний сезон. Епізод 5: NFT та Україна

    Чи можна написати «Проєкт інтелект» на гривні й продати за мільйони доларів як NFT?

    Людина
    Від батька до сина: що таке генеалогія і як досліджувати свій рід

    Що таке ДНК-генеалогія і як далеко кожний з нас може просунутися у вивченні свого роду?

    Наука
    Екологічно чиста отрута: уривок з книжки «Зоологічна екскурсія супермаркетом»

    Чому краще утриматися від «дикого» промислу морепродуктів, особливо у водоймах, де цвіте вода?

    Наука
    Передумови приходу диктаторів до влади: Італія, Німеччина, РФ

    Що стало передумовами приходу диктаторів до влади на прикладі фашистської Італії, нацистської Німеччини та путінської росії? Розповідає співавтор і ведучий каналу «Історія Без Міфів» Владлен Мараєв.

    Людина
    Як кожен з нас може подякувати військовим і допомогти їм з адаптацією

    Як змінюється світосприйняття військових і що ми можемо зробити, аби висловити їм вдячність і допомогти в адаптації до мирного життя?

    Повідомити про помилку

    Текст, який буде надіслано нашим редакторам: