Хакери опублікували мільярд зламаних паролів. Китай вбудував мініатюрні шпигунські чіпи у сервери IT-гігантів. Вразливості в процесорах дозволяють зловмисникам отримати дані з ваших комп’ютерів. Знайдено критичну вразливість в операційній системі macOS. Wi-Fi роутери заражені. Шифрування PGP зламано. WhatsApp зламано.
Приблизно так виглядають новини про цифрову безпеку, які ми отримуємо з медіа чи соцмереж. Це лише деякі із заголовків, але і їх достатньо, аби у користувача склалося враження, що всі програми, сервіси, пристрої та протоколи зламані (більшість з них – неодноразово!). При цьому в публікаціях зазвичай не пояснюють, що ж робити читачу, або обмежуються формулюваннями на зразок «оновити прошивку на роутері», так ніби більшість людей це робить щонайменше раз на тиждень.
Користувач, який від потоку негативу не впав в остаточну зневіру, пробує самотужки шукати, як же реагувати на всі ці страшні загрози. І тут на допомогу приходять вони – поради з цифрової безпеки.
«Використовуйте TOR. Використовуйте Signal», – радить Едвард Сноуден, колишній працівник Агенції національної безпеки США, який викрив американську систему стеження за користувачами. Якщо пошукати, можна знайти доповнену версію порад: використовувати повнодискове шифрування, двофакторну аутентифікацію, парольні менеджери, розширення в браузері для блокування реклами.
Якщо для вас Сноуден недостатньо переконливий, ви можете легко знайти набір порад від іншого авторитета. Наприклад, хакер Кевін Мітник радить не використовувати публічні Wi-Fi мережі та встановити в браузері розширення HTTPS Everywhere.
Для користувача немає нічого простішого, ніж отримати черговий набір порад щодо цифрової безпеки. Є поради від Департаменту кіберполіції Національної поліції України, від вашого банку чи інтернет-провайдера. Свій набір вам залюбки запропонує консультант з цифрової безпеки, сисадмін на роботі чи просто знайомий «комп’ютерник».
Зрештою, ви й самі можете пригадати кілька. Скажімо: пароль має бути довжиною мінімум 8 символів, містити великі та малі літери, цифри та спецсимволи. Або ж: не клікайте на підозрілі лінки та не відкривайте підозрілі файли.
Найімовірніше ви їх не дотримуєтесь, бо не можете збагнути, навіщо вводити пароль Yr$6A!SNfQewJfHI89l1x!T5$* на улюбленому форумі про акваріумних рибок, і вам ніколи не присилали файлом із назвою Підозрілий_файл.exe чи посилань у вигляді підозрілий_лінк.com.
Підхід до безпеки як до набору порад доволі поширений – він зручний для медіа, для консультантів як спосіб комунікувати з аудиторією без фахових знань, та може подобатись самим користувачам, бо дає їм відчуття контролю. Основний недолік цього підходу: він не працює. Щоб зрозуміти чому так, нам варто спершу розібратися, про яку ж безпеку ми говоримо.
Є безпека, і є безпека
Проблеми кібербезпеки, або ж інформаційної безпеки, властиві не лише окремим людям. Їх доводиться також вирішувати комерційному і державному сектору. При цьому бізнес переважно концентрується на захисті даних – витік конфіденційної інформації або втрата важливих даних тягне за собою неминучі збитки. Держава також займається зокрема захистом критичної інфраструктури – якщо зламають атомну станцію, проблемою буде не втрата даних, а загроза людському життю.
На відміну від бізнесу або держави, користувачі не мають критичної інфраструктури, не оперують великими масивами даних і не мають сертифікованих фахівців із цифрової безпеки. Але вони теж хочуть захистити свою електронну скриньку від зламу, налаштувати Wi-Fi, щоб до нього не підключались сусіди або вирішити іншу проблему. А найголовніше – зрозуміти, які саме проблеми в них можуть виникнути, і чи дійсно вони повинні їх вирішувати. Чи можуть бути підходи, що застосовуються в бізнесовому чи комерційному секторі, адаптовані для цифрової безпеки користувачів?
Почнемо з оцінки ризиків
Розмову про цифрову безпеку слід починати із оцінки ризиків – ймовірності, що з нами трапиться неприємна подія (хтось зламає пошту, зникнуть цінні файли, вкрадуть телефон тощо) та її наслідків. Щоб провести оцінку ризиків, слід зробити три кроки.
Перший – визначити ваші «цифрові активи», те, що є для вас цінним. Користувачі не розпоряджаються великими масивами даних та не мають доступу до об’єктів критичної інфраструктури. Проте майже у всіх нас є електронна пошта та облікові записи в соцмережах, комп’ютери та смартфони, домашній роутер (який також є Wi-Fi точкою), доступ до банківських рахунків через інтернет-банкінг тощо. Скласти список ваших активів – перший крок, якщо ви хочете подбати про свою цифрову безпеку.
Другий крок – оцінити ймовірність того, що із вашими «цифровими активами» щось станеться. У цифровому світі ми хочемо уникнути двох речей – щоб хтось сторонній отримав доступ до ваших ресурсів (пошти, соцмереж, комп’ютера, банківського рахунку тощо) і втратити можливість користуватись цим ресурсом. Наприклад, хтось змінить ваш пароль або вірус-шифрувальник зробить недоступними всі файли на вашому жорсткому диску.
Оцінити ймовірність такої неприємної події може бути непросто. Добре, якщо ви маєте від чого відштовхнутись – приміром, вашим колегам протягом останнього року тричі ламали електронну пошту. Але загалом ймовірність вам доведеться оцінювати суб’єктивно. Її варто оцінити за трьома показниками: низька ймовірність, середня або висока.
Третій крок – оцінити негативні наслідки, якщо неприємність таки станеться, так само за трьома показниками: незначні наслідки, середньої тяжкості та важкі. Важливо утриматися від спокуси оцінити всі наслідки як «важкі».
«Важкі» наслідки завжди мають відчутний вплив на ваше життя: втрата життя, здоров’я, свободи, засобів для існування. Якщо ви втратили дорогий для вас архів сімейного фото, або ж треба вибачитись перед друзями, які переказали гроші зловмиснику, це, безумовно, неприємно, але такі наслідки не вищі за «середні». Якщо хтось похуліганив і написав від вашого імені жартівливий пост чи змінив зображення на робочому столі, наслідки цілком можна вважати «низькими».
Важливо, щоб в кінцевому результаті ви отримали не просто перелік ризиків, а саме їх градацію: червона, помаранчева, жовта та зелена зони. Ті, що потрапили в «червону зону» (висока імовірність і тяжкі наслідки), слід почати вирішувати негайно. «Помаранчева зона» – це ризики, які варто вирішити найближчим часом. За ризиками з «жовтої зони» варто спостерігати, чи не перемістяться вони вище. Ризиками із «зеленої зони» можна знехтувати.
Не з усіма ризиками треба боротися
На перший погляд, нейтралізація можливих ризиків може видаватись єдиним підходом, але це не так. По-перше, для вирішення одного із ризиків завжди потрібні ресурси: грошові, часові, докладені зусилля тощо. При цьому наші ресурси завжди обмежені, і їх не вистачить на все.
По-друге, безпека – це завжди компроміс між зручністю та захищеністю. Надійний пароль на вхід в обліковий запис захистить вас від того, що хтось зможе покопирсатись у вашому комп’ютері, поки ви відійшли попити кави. Разом із тим, вам доведеться щоразу вводити цей пароль при вході, а значить треба його пам’ятати, витрачати зайвий час. Наприклад, колеги, яким терміново знадобиться важливий робочий файл із вашого комп’ютера, будуть телефонувати і запитувати пароль, навіть якщо ви у відпустці. Зрештою, декого введення паролів просто дратує.
Крім того, звести ризик до нуля можна лише в тому випадку, якщо ви позбудетесь якогось із ресурсів. Якщо ви панічно боїтесь, що хтось отримає доступ до онлайн-банкінгу, ви можете відмовитись від його використання – ризик буде знищено, однак через це можуть з’явитись інші незручності.
Натомість можна знизити ризик до прийнятного рівня. Саме тут можуть бути корисними поради щодо налаштування пристроїв і сервісів. Скажімо, якщо ви хочете захистити від зламу електронну пошту, доцільно налаштувати двофакторну аутентифікацію. Якщо ж ви хочете убезпечитись від втрати важливих робочих файлів, вам варто налаштувати автоматичну синхронізацію із хмарним сховищем.
Важливо розуміти, що безпека – це не продукт чи стан, а процес. Не можна один раз щось увімкнути, налаштувати й забути. Не існує перемикача «безпечно-небезпечно».
У цифровій безпеці є три компоненти: технології, люди та процеси. Так технологія дозволяє встановити пароль на вхід у ваш обліковий запис. Це передбачає певний процес: придумати надійний пароль, надійно його зберігати, вводити щоразу при вході, змінити, якщо є підстави вважати, що його хтось дізнався. І є ви – як людина, яка має усвідомлювати навіщо все це робить, інакше ви просто видалите пароль на вхід і позбудетесь усіх цих клопотів.
Проте це також може бути прийнятним варіантом! Ризик можна не лише нейтралізувати чи зменшити, але й прийняти. Якщо ви визначили цей ризик для себе незначним (наприклад, таким, що має низьку чи середню ймовірність та незначні наслідки), ви цілком можете ним знехтувати, зосередившись на дійсно важливих для вас ризиках.
Цінові війни
Варто врахувати ще два моменти: ціна атаки та ціна захисту. Зловмисники також обмежені в ресурсах. Скажімо, щоб отримати інформацію з вашого запароленного комп’ютера, зловмиснику треба отримати до нього фізичний доступ та здійснити певні технічні маніпуляції (скинути пароль, дістати жорсткий диск абощо). Це вимагає часу, специфічних навичок, фізичної присутності. А отже, зловмисник повинен мати ціль завдати шкоди саме вам.
Натомість, якщо ви використовуєте один і той самий пароль на різних сервісах, зловмисник просто може знайти його у вже опублікованих базах зламаних сервісів, і спробувати зайти із ним на інші ваші сервіси. Це потребує мінімум часу та зусиль, тож хтось може легко це зробити суто з хуліганських міркувань. Відповідно, якщо ціна атаки дуже низька, її імовірність вища.
Ціна захисту від атаки стосується вже користувачів. Навіть якщо ризик малоймовірний і має легкі наслідки, але захиститись від нього доволі просто, то цілком резонно це зробити. Скажімо, багато хто остерігається стеження через веб-камеру, тому що така атака фігурувала в одному з епізодів серіалу «Чорне дзеркало». В такому разі можна просто заліпити камеру наліпкою – це не потребує коштів, часу та спеціальних знань.
Зняти шапочку з фольги
З процедурної точки зору весь цей процес може здаватися складним, але на інтуїтивному рівні ми ухвалюємо такі рішення щодня. Проблеми є переважно у коректній оцінці наслідків (наприклад, усвідомити, що вимкнення оновлень операційної системи робить вас вразливішими) та ймовірності (скажімо, люди частіше бояться літати ніж їздити машиною, хоча статистично ймовірність загинути в авіакатастрофі нижча, ніж в автомобільній аварії).
Саме тут на допомогу можуть прийти консультанти і поради з цифрової безпеки. Втім, коли ви наступного разу читатимете черговий перелік порад з цифрової безпеки для всіх і на всі випадки, можете не дорікати собі за те, що ви їх не дотримуєтесь. Цілком можливо, що ви все робите правильно.
Вперше опубліковано на Куншт