Как не стать кибержертвой
Когда-то одной из первых публикаций в этом блоге стала короткая заметка о безопасности переводчика в интернете.
Сказать, что с 2012 года поменялось многое, было бы явным преуменьшением. Поэтому решила дополнить базовые рекомендации актуальными ссылками.
Все рекомендации можно разделить на три основные категории: бдите, заботьтесь о паролях и данных, не забывайте осматриваться по сторонам.
Не приглашайте проблемы сами
Не открывайте, не щелкайте, не запускайте подозрительные файлы, ссылки, программы. Что можно считать подозрительным? Все, чего вы не ждали.
1
Проверяйте неожиданные сообщения от знакомых людей по другим каналам. Внезапно получили документ? Уточните у отправителя через сообщения социальных сетей или по телефону.
Пользуйтесь для проверки сервисом VirusTotal, но учитывайте, что тем самым вы даете доступ к файлам третьей стороне.
Совет. Подозрительные электронные письма можно отправлять на [email protected] с темой «scan»: в ответ получите результаты сканирования.
2
Не открывайте подозрительные ссылки, особенно на сайты, которые обычно не посещаете. (Их тоже можно проверять через VirusTotal.) Чтобы увидеть полный адрес ссылки, щелкните по ней правой! кнопкой мыши и скопируйте в текстовый редактор.
Не переходите по сокращенным ссылкам типа tinyurl.com, bit.ly, ow.ly, если не уверены в их происхождении. Развернуть их можно, например, здесь http://checkshorturl.com.
Внимательно читайте текст на всплывающих окнах и не спешите принимать условия и соглашаться.
Совет. Тест, который учит распознавать фишинговые сообщения и ссылки: phishingquiz.withgoogle.com.
3
Осторожнее с подозрительными устройствами, которые вы нашли либо получили (в том числе и в рабочих целях). Компьютер можно взломать до того, как вы откроете файл на флешке или его просканирует антивирус. К дискам CD и DVD это тоже относится.
Осваивайте правильную работу с паролями и данными
1
Специалисты рекомендуют работать вообще не с паролями, а с «пасфразами» — их сложно подобрать, но проще запомнить.
а) Выберите и запомните мощную основу: a5zH9_u. Кроме вас ее не должен знать вообще никто.
б) Придумайте способ привязывать ключевую фразу к сервису, например, добавляя его название или последние три буквы: a5zH9_ugoogle или a5zH9_ugle.
в) Для надежности добавьте в конце еще один спецсимвол: a5zH9_ugle?
2
Для хранения пасфраз и паролей пользуйтесь не шифрованными файлами и бумажными записями, а парольными менеджерами.
- 1Pasword https://1password.com
- KeePass http://keepass.info
- Password Safe https://pwsafe.org
Мастер-пароль, которым вы защищаете парольный менеджер, должен быть сильной пасфразой.
Совет. Короткое видео на украинском о том, как работать с парольными менеджерами
3
Пользуйтесь двухфакторной аутентификацией
Не забывайте о профилактических мерах
1
Никогда не оставляйте на сайте информацию просто потому, что ее запрашивают. Имя, дата рождения, адрес, телефон — чтобы прочесть сообщение на форуме? Не балуйте, а если настаивают безосновательно, подумайте, насколько это оправдано.
2
Добавляя сведения о себе в соцсеть, не забывайте, что к ним может получить доступ кто угодно. Например, когда один из ваших контактов пройдет очередной тест «Какой ты цветочек?»
3
Регулярно проверяйте, какие сторонние приложения получили доступ к вашим профилям в соцсетях:
- Google: https://myaccount.google.com/permissions
- Facebook: https://www.facebook.com/settings?tab=applications
- Twitter: https://twitter.com/settings/applications
4
Шифруйте данные перед загрузкой в облако. «Облаков» не существует — это просто чужие компьютеры.
Boxcryptor (бесплатно для одного облачного диска) и Cryptomator (бесплатная программа с открытым кодом) позволяют шифровать данные в автономном режиме.
Совет. Повышайте сознательность и готовность противостоять кибермошенникам: https://takefive-stopfraud.org.uk/.
* * *
Практический пример. Отрывок из политики безопасности переводческой компании.
On preventing unauthorised access of confidential materials from other personnel (e.g. hackers, general public):
- Please keep your software up to date to prevent possible exploits on your computer
- Please do not install or use any P2P file-sharing software (e.g. LimeWire, Morpheus).
- Please use a firewall when connected to any network.
- Please use antivirus software to scan files (e.g. from email, internet, thumbdrive) before opening or installing them.
- Please set a strong password for accessing your computer locally or remotely. A strong password:
- Is at least eight characters long.
- Does not contain your user name, real name, or company name.
- Does not contain a complete word.
- Is significantly different from previous passwords.
- Contains characters from each of the following four categories — uppercase letters, lowercase letters, numbers, symbols
- Please lock your computer or device when not in use (e.g. lunch break).
- Please avoid letting anyone have physical access to your computer or device which stores confidential materials.
- Please turn off your internet connection during long periods of idle. (i.e.: turn it off before the end of the day, or before you go to sleep).
- Please securely erase (shift+delete) any confidential materials from the computer or device when you no longer have any use for it.
- In the event that it is necessary to keep a copy of the translation project, please try to store the confidential materials on an encrypted, offline drive.
- 0share
- FB
- Подписка
- Копировать ссылку
Автор этой политики безопасности не разбирается в ИБ. Это не политика, а сборник «полезных советов», местами устаревших, а местами и просто вредных. Наверно, кому-то из переводчиков поручили ее составить.
В целом согласна, Максим. И все же мне кажется, что странно рассчитывать на некие откровения, если речь о переводческой компании (кстати, взяла едва ли ни первую попавшуюся). Сама выше советы подбирала, исходя не из того, как нужно в идеале, а из того, что сделать реально. Но ведь есть документы, которые нам предлагают прочесть и подписать (или не подписывать). По-моему, эта политика просто ни о чем, да и все. А что в ней откровенно вредного, если не секрет?
Именно так, политика ни о чем. Зачем же ее приводить в качестве примера? 🙂
Самое вредное в ней — слово securely во фразе securely erase (shift+delete) any confidential materials. Из-за него пользователь вполне может решить, что по shift+delete данные надежно уничтожаются. На самом деле их одинаково легко восстановить после удаления как по delete, так и по shift+delete. Безопасное удаление вполне возможно и иногда (например, при продаже компьютера) необходимо, но выполняется оно не так.
Пятый пункт политики — это тоже воплощение worst practices. Этого комментария не хватит, чтобы подробно объяснить, просто оставлю вот такую ссылку:
https://xkcd.com/936/
Если компанию такой подход устраивает, задача пользователя — применять его, раз согласился с условиями. А уж если исходить из того, кто и что может подумать и недопонять, мне лучше вообще этот блог удалить и не заморачиваться больше. 🙂
Что до паролей, это вечная тема. Там указаны минимальные требования. Если основная часть пользователей будет их соблюдать, уже прекрасно. Говорю как простой смертный, который не готов тратить время и силы на освоение супер-правильных подходов к паролям. Все-таки все рекомендации я здесь пишу в первую очередь для себя.
(Если же вдруг есть реальная — и действующая — политика-образец, которую стоит добавить в качестве примера, буду весьма признательна за указание.)
Да, раз компанию устраивает имитация безопасности вместо ее реального воплощения, пользователь мало что с этим может сделать. Но вполне вероятно, что и другие процессы в этой компании сделаны для проформы.
Что до паролей, то требование букв в разном регистре и спецсимволов понижает уровень безопасности, а не повышает его. Звучит парадоксально, но подтверждено исследованиями.