безопасность в интернете для фрилансера

Техника веб-безопасности для фрилансеров

Как не стать кибержертвой

Когда-то одной из первых публикаций в этом блоге стала короткая заметка о безопасности переводчика в интернете.

Сказать, что с 2012 года поменялось многое, было бы явным преуменьшением. Поэтому решила дополнить базовые рекомендации актуальными ссылками.

Все рекомендации можно разделить на три основные категории: бдите, заботьтесь о паролях и данных, не забывайте осматриваться по сторонам.

Не приглашайте проблемы сами

Не открывайте, не щелкайте, не запускайте подозрительные файлы, ссылки, программы. Что можно считать подозрительным? Все, чего вы не ждали.

1

Проверяйте неожиданные сообщения от знакомых людей по другим каналам. Внезапно получили документ? Уточните у отправителя через сообщения социальных сетей или по телефону.

Пользуйтесь для проверки сервисом VirusTotal, но учитывайте, что тем самым вы даете доступ к файлам третьей стороне.

Совет. Подозрительные электронные письма можно отправлять на scan@virustotal.com с темой «scan»: в ответ получите результаты сканирования.

2

Не открывайте подозрительные ссылки, особенно на сайты, которые обычно не посещаете. (Их тоже можно проверять через VirusTotal.) Чтобы увидеть полный адрес ссылки, щелкните по ней правой! кнопкой мыши и скопируйте в текстовый редактор.

Не переходите по сокращенным ссылкам типа tinyurl.com, bit.ly, ow.ly, если не уверены в их происхождении. Развернуть их можно, например, здесь http://checkshorturl.com.

Внимательно читайте текст на всплывающих окнах и не спешите принимать условия и соглашаться.

Совет. Тест, который учит распознавать фишинговые сообщения и ссылки: phishingquiz.withgoogle.com.

3

Осторожнее с подозрительными устройствами, которые вы нашли либо получили (в том числе и в рабочих целях). Компьютер можно взломать до того, как вы откроете файл на флешке или его просканирует антивирус. К дискам CD и DVD это тоже относится.

Осваивайте правильную работу с паролями и данными

1

Специалисты рекомендуют работать вообще не с паролями, а с «пасфразами» — их сложно подобрать, но проще запомнить.

а) Выберите и запомните мощную основу:  a5zH9_u. Кроме вас ее не должен знать вообще никто.

б) Придумайте способ привязывать ключевую фразу к сервису, например, добавляя его название или последние три буквы: a5zH9_ugoogle или a5zH9_ugle.

в) Для надежности добавьте в конце еще один спецсимвол: a5zH9_ugle?

2

Для хранения пасфраз и паролей пользуйтесь не шифрованными файлами и бумажными записями, а парольными менеджерами.

Мастер-пароль, которым вы защищаете парольный менеджер, должен быть сильной пасфразой.

Совет. Короткое видео на украинском о том, как работать с парольными менеджерами

3

Пользуйтесь двухфакторной аутентификацией

Не забывайте о профилактических мерах

1

Никогда не оставляйте на сайте информацию просто потому, что ее запрашивают. Имя, дата рождения, адрес, телефон — чтобы прочесть сообщение на форуме? Не балуйте, а если настаивают безосновательно, подумайте, насколько это оправдано.

2

Добавляя сведения о себе в соцсеть, не забывайте, что к ним может получить доступ кто угодно. Например, когда один из ваших контактов пройдет очередной тест «Какой ты цветочек?»

3

Регулярно проверяйте, какие сторонние приложения получили доступ к вашим профилям в соцсетях:

4

Шифруйте данные перед загрузкой в облако. «Облаков» не существует — это просто чужие компьютеры.

Boxcryptor (бесплатно для одного облачного диска) и Cryptomator (бесплатная программа с открытым кодом) позволяют шифровать данные в автономном режиме.

Совет. Повышайте сознательность и готовность противостоять кибермошенникам: https://takefive-stopfraud.org.uk/takethetest.

* * *

Практический пример. Отрывок из политики безопасности переводческой компании.

On preventing unauthorised access of confidential materials from other personnel (e.g. hackers, general public):

  1. Please keep your software up to date to prevent possible exploits on your computer
  2. Please do not install or use any P2P file-sharing software (e.g. LimeWire, Morpheus).
  3. Please use a firewall when connected to any network.
  4. Please use antivirus software to scan files (e.g. from email, internet, thumbdrive) before opening or installing them.
  5. Please set a strong password for accessing your computer locally or remotely. A strong password:
    • Is at least eight characters long.
    • Does not contain your user name, real name, or company name.
    • Does not contain a complete word.
    • Is significantly different from previous passwords.
    • Contains characters from each of the following four categories – uppercase letters, lowercase letters, numbers, symbols
  6. Please lock your computer or device when not in use (e.g. lunch break).
  7. Please avoid letting anyone have physical access to your computer or device which stores confidential materials.
  8. Please turn off your internet connection during long periods of idle. (i.e.: turn it off before the end of the day, or before you go to sleep).
  9. Please securely erase (shift+delete) any confidential materials from the computer or device when you no longer have any use for it.
  10. In the event that it is necessary to keep a copy of the translation project, please try to store the confidential materials on an encrypted, offline drive.

Click to tweet Техника веб-безопасности: как не стать кибержертвой

5 комментариев
  • Maxim Manzhosin

    09/07/2019 at 16:18 Ответить

    Автор этой политики безопасности не разбирается в ИБ. Это не политика, а сборник «полезных советов», местами устаревших, а местами и просто вредных. Наверно, кому-то из переводчиков поручили ее составить.

    • В целом согласна, Максим. И все же мне кажется, что странно рассчитывать на некие откровения, если речь о переводческой компании (кстати, взяла едва ли ни первую попавшуюся). Сама выше советы подбирала, исходя не из того, как нужно в идеале, а из того, что сделать реально. Но ведь есть документы, которые нам предлагают прочесть и подписать (или не подписывать). По-моему, эта политика просто ни о чем, да и все. А что в ней откровенно вредного, если не секрет?

      • Maxim Manzhosin

        09/07/2019 at 16:58 Ответить

        Именно так, политика ни о чем. Зачем же ее приводить в качестве примера? 🙂

        Самое вредное в ней — слово securely во фразе securely erase (shift+delete) any confidential materials. Из-за него пользователь вполне может решить, что по shift+delete данные надежно уничтожаются. На самом деле их одинаково легко восстановить после удаления как по delete, так и по shift+delete. Безопасное удаление вполне возможно и иногда (например, при продаже компьютера) необходимо, но выполняется оно не так.

        Пятый пункт политики — это тоже воплощение worst practices. Этого комментария не хватит, чтобы подробно объяснить, просто оставлю вот такую ссылку:

        https://xkcd.com/936/

        • Если компанию такой подход устраивает, задача пользователя — применять его, раз согласился с условиями. А уж если исходить из того, кто и что может подумать и недопонять, мне лучше вообще этот блог удалить и не заморачиваться больше. 🙂

          Что до паролей, это вечная тема. Там указаны минимальные требования. Если основная часть пользователей будет их соблюдать, уже прекрасно. Говорю как простой смертный, который не готов тратить время и силы на освоение супер-правильных подходов к паролям. Все-таки все рекомендации я здесь пишу в первую очередь для себя.

          (Если же вдруг есть реальная — и действующая — политика-образец, которую стоит добавить в качестве примера, буду весьма признательна за указание.)

          • Maxim Manzhosin

            09/07/2019 at 18:51 Ответить

            Да, раз компанию устраивает имитация безопасности вместо ее реального воплощения, пользователь мало что с этим может сделать. Но вполне вероятно, что и другие процессы в этой компании сделаны для проформы.

            Что до паролей, то требование букв в разном регистре и спецсимволов понижает уровень безопасности, а не повышает его. Звучит парадоксально, но подтверждено исследованиями.

Post a Comment