теми

Міцна основа: захист облікових записів і пристроїв

Захищені пристрої

Останнє оновлення: липень 2022 року

Окрім облікових записів, важливо надійно захищати всі пристрої – комп’ютери, телефони, USB, зовнішні жорсткі диски тощо. Такий захист починається з уважності до того, які типи пристроїв купує та використовує ваша організація та персонал. Постачальники або виробники, яких ви виберете, повинні мати докази дотримання світових стандартів щодо безпечного розроблення апаратних пристроїв (наприклад, телефонів і комп’ютерів). Пристрої, які ви купуєте, мають бути виготовлені надійними компаніями, які не мають стимулів передавати дані та інформацію потенційному супротивнику. Важливо зазначити, що уряд Китаю вимагає від китайських компаній надавати дані центральному уряду. Тому, незважаючи на всюдисущі та недорогі смартфони, такі як Huawei або ZTE, їх слід уникати. Незважаючи на те, що вартість дешевого апаратного забезпечення може бути дуже привабливою для організації, потенційні ризики для безпеки організацій, які виступають за демократію, права людини та підзвітність уряду, свідчать про необхідність вибору інших варіантів пристроїв, оскільки такий доступ до даних допомагає уряду Китаю та іншим урядам цілеспрямовано впливати на певних осіб і спільноти.

Ваші супротивники можуть поставити під загрозу безпеку ваших пристроїв — і все, що ви робите на цих пристроях — шляхом отримання фізичного або «віддаленого» доступу до пристроїв.

Безпека пристроїв і громадянське суспільство

cyber Photo

Деякі з найдосконаліших шкідливих програм були розроблені та розгорнуті по всьому світу для цільового впливу на громадські організації та правозахисників. В Індії, наприклад, Amnesty International повідомила, що у 2020 році принаймні дев’ять правозахисників стали мішенню шпигунських програм (типу шкідливого програмного забезпечення) на їхніх мобільних пристроях і комп’ютерах. Шпигунські програми були доставлені через серію фішингових електронних листів із посиланнями на заражені файли, надісланих через Firefox Send (програма для обміну файлами, яка більше не діє). Пристрої людей, які відкривали файли, заражалися програмним забезпеченням, що записувало аудіо, перехоплювало натискання клавіш і повідомлення, фактично поставивши їх під повний нагляд зловмисників. Такі атаки, що часто спрямовані на групи громадянського суспільства та їх окремих співробітників, на жаль, є поширеним способом для зловмисників отримати «віддалений» доступ до пристрою.

Фізичний доступ до пристрою через втрату або крадіжку

Щоб запобігти фізичному доступу, важливо забезпечити фізичну безпеку своїх пристроїв. Коротше кажучи, не дозволяйте супротивникам вкрасти чи навіть тимчасово відібрати у вас ваш пристрій. Тримайте пристрої під замком, якщо залишаєте їх удома чи в офісі. Або, якщо ви вважаєте, що це безпечніше, тримайте їх при собі. Звісно, це означає, що частиною безпеки пристрою є фізична безпека ваших робочих місць (в офісі чи вдома). Вам потрібно буде встановити надійні замки, камери безпеки або інші системи моніторингу, особливо якщо ваша організація належить до групи високого ризику. Нагадайте персоналу поводитися з пристроями так само, як вони поводилися б із великою пачкою готівки – не залишайте їх лежати без нагляду чи без захисту.

Що робити, якщо пристрій вкрадуть?

Щоб обмежити шкоду, якщо комусь таки вдасться вкрасти пристрій, – або навіть якщо зловмисник отримає до нього доступ на короткий проміжок часу, – зобов’яжіть співробітників використовувати надійні паролі або коди доступу на всіх комп’ютерах і телефонах. Поради щодо паролів із розділу «Паролі» цього Довідника стосуються надійних паролів для комп’ютера чи ноутбука. Коли справа доходить до блокування телефону, використовуйте коди, що містять принаймні шість-вісім цифр. Уникайте використання «шаблонів», щоб розблокувати екран. Додаткові поради щодо блокування екрана містяться у Data Detox Kit від Tactical Tech Використання надійних паролів на пристрої значно ускладнює супротивникам швидкий доступ до інформації на ньому в разі крадіжки чи конфіскації. За наявності надійного паролю можна активувати Face ID або розблокування відбитком пальця, але обов’язково вимкніть ці функції (залишивши надійний пароль на місці) перед будь-якими діями високого ризику, такими як протести чи перетин кордону, якщо ви та ваш персонал стурбований конфіскацією пристрою владою.

Якщо пристрої, видані організацією, мають функцію «Знайти мій пристрій» на iPhone або на Android, зобов’яжіть співробітників активувати її. Заохочуйте персонал використовувати ці функції також на персональних пристроях. Якщо ці функції ввімкнено, власник пристрою (або довірена особа) може знайти пристрій або дистанційно стерти його вміст у разі викрадення, втрати чи конфіскації. На iPhone ви також можете налаштувати пристрій на автоматичне стирання після кількох невдалих спроб входу. Такі функції керування пристроєм стають критично важливими для організації, коли пристрій із конфіденційною інформацією втрачається або потрапляє в чужі руки.

Як щодо шифрування пристрою?

Важливо використовувати шифрування або засекречування даних, щоб вони були нечитабельними та непридатними для використання на всіх пристроях, особливо на комп’ютерах і смартфонах. Вам слід налаштувати на всіх пристроях організації функцію під назвою «повнодискове шифрування» за можливості. Повнодискове шифрування означає, що весь пристрій буде зашифровано таким чином, що зловмисник, якщо він його фізично вкраде, не зможе отримати вміст пристрою, не знаючи пароля чи ключа, який ви використали для шифрування.

Багато сучасних смартфонів і комп’ютерів пропонують функцію повнодискового шифрування. На пристроях Apple, як-от iPhone та iPad, досить зручно вмикати повнодискове шифрування, коли ви встановлюєте звичайний пароль пристрою. Комп’ютери Apple із macOS мають функцію FileVault, яку можна ввімкнути для повнодискового шифрування.

На комп’ютерах із ОС Windows із ліцензіями Pro, Enterprise або Education пропонується функція BitLocker, яку можна ввімкнути для повнодискового шифрування. Ви можете ввімкнути BitLocker, виконавши ці інструкції від корпорації Microsoft, дозвіл на що, можливо, має спочатку надати адміністратор вашої організації. Якщо персонал має лише домашню ліцензію для своїх комп’ютерів на Windows, BitLocker буде недоступний. Однак співробітники все одно можуть увімкнути повнодискове шифрування, перейшовши на вкладку «Оновлення та безпека > Шифрування пристрою» в налаштуваннях ОС Windows.

Пристрої Android, починаючи з версії 9.0, постачаються з шифруванням на основі файлів, увімкненим за замовчуванням. Шифрування Android на основі файлів працює інакше, ніж повнодискове шифрування, але все одно забезпечує надійний захист. Якщо ви користуєтеся відносно новим телефоном Android і встановили пароль, слід увімкнути шифрування на основі файлів. Однак радимо перевірити налаштування, особливо якщо вашому телефону вже кілька років. Щоб перевірити, перейдіть до вкладки Налаштування > Безпека на вашому пристрої Android. У налаштуваннях безпеки ви повинні побачити підрозділ «шифрування» або «шифрування та облікові дані», у якому вказується, чи зашифровано ваш телефон, і, якщо ні, ви зможете ввімкнути шифрування.

Для комп’ютерів (на Windows або Mac) особливо важливо зберігати будь-які ключі шифрування (так звані ключі відновлення) у безпечному місці. Ці «ключі відновлення» в більшості випадків являють собою довгі паролі або парольні фрази. Якщо ви забудете звичайний пароль пристрою або трапиться щось несподіване (наприклад, збій пристрою), ключі відновлення є єдиним способом відновити зашифровані дані та, якщо необхідно, перемістити їх на новий пристрій. Тому, вмикаючи повнодискове шифрування, обов’язково збережіть ці ключі або паролі в безпечному місці, наприклад у захищеному хмарному обліковому записі або в менеджері паролів вашої організації.

Віддалений доступ до пристрою – також відомий як злом

Окрім фізичної безпеки пристроїв, важливо захистити їх від шкідливих програм. У довіднику Security-in-a-Box від Tactical Tech наведено корисний опис того, що таке шкідливі програми та чому важливо їх уникати. Цей опис наведено в адаптованій формі далі в цьому розділі.

Розуміння та уникнення шкідливих програм 

Існує багато способів класифікації шкідливих програм (цей термін означає «шкідливе програмне забезпечення»). Віруси, шпигунські програми, хробаки, трояни, руткіти, програми-вимагачі та криптоджекери — це все типи шкідливих програм. Деякі види шкідливих програм поширюються в інтернеті через електронну пошту, текстові повідомлення, шкідливі веб-сторінки та іншими способами. Деякі поширюються через такі пристрої, як USB-накопичувачі, що використовуються для обміну даними та крадіжки даних. Тоді як для деяких шкідливих програм треба, щоб людина, яка не підозрює нічого поганого, зробила помилку, інші можуть мовчки заражати вразливі системи без відома жертви. 

Окрім загальних шкідливих програм, які широко розповсюджуються та націлене на широку громадськість, цільові шкідливі програми зазвичай використовується для втручання у справи або шпигування за певною особою, організацією чи мережею. Ці методи використовують як звичайні злочинці, так і військові та розвідувальні служби, терористи, онлайн-переслідувачі, жорстокі партнери та тіньові політичні діячі.

Як би вони не називалися та як би вони не поширювалися, шкідливі програми можуть зіпсувати комп’ютери, викрадати та знищувати дані, довести до банкрутства організації, порушувати конфіденційність і наражати користувачів на небезпеку. Коротше кажучи, шкідливі програми дійсно небезпечні. Однак є кілька простих кроків, які ваша організація може зробити, щоб захиститися від цієї поширеної загрози.

Чи захистить нас інструмент захисту від шкідливих програм?

Інструменти захисту від шкідливих програм, на жаль, не є комплексним рішенням. Однак дуже доброю ідеєю буде використовувати деякі базові безкоштовні інструменти як основу. Шкідливі програми змінюються настільки швидко, а нові ризики в реальному світі виникають так часто, що покладатися на будь-який такий інструмент не має бути єдиним захистом.

Якщо ви використовуєте Windows, розгляньте можливість використання вбудованої програми Windows Defender. Комп’ютери Mac і Linux не мають вбудованого програмного забезпечення для захисту від шкідливих програм, як і пристрої на Android і iOS. Ви можете встановити надійний безкоштовний інструмент, наприклад Bitdefender або Malwarebytes для цих пристроїв (а також для комп’ютерів на Windows).  Але не покладайтеся на цей інструмент як на єдину лінію захисту, оскільки він точно пропустить деякі з найбільш цілеспрямованих, небезпечних нових атак.

Крім того, будьте дуже обережні, завантажуйте лише надійні засоби захисту від шкідливих програм та антивірусні засоби із законних джерел (наприклад, веб-сайтів, наведених вище). На жаль, існує багато підроблених або дефектних версій інструментів захисту від шкідливих програм, що приносять набагато більше шкоди, ніж користі.

Якщо ви використовуєте Bitdefender або інший інструмент захисту від шкідливих програм у вашій організації, переконайтеся, що не запускаєте два інструменти одночасно. Багато з них визнають поведінку іншого підозрілою та зупинять його роботу, через що обидва працюють неправильно. Bitdefender або інші визнані засоби захисту від шкідливих програм можна оновлювати безкоштовно, а вбудований Windows Defender оновлюється разом із вашим комп’ютером. Переконайтеся, що ваше програмне забезпечення для захисту від шкідливих програм регулярно оновлюється (деякі пробні версії комерційного програмного забезпечення, що постачається з комп’ютером, буде вимкнено після закінчення пробного періоду, що робить їх швидше небезпечними, ніж корисними). Нові шкідливі програми створюється та розповсюджується щодня, і ваш комп’ютер швидко стане ще вразливішим, якщо ви не будете встигати за новими визначеннями шкідливих програм та методами захисту від шкідливих програм. За можливості налаштуйте програмне забезпечення на автоматичне встановлення оновлень. Якщо ваш інструмент захисту від шкідливих програм має додаткову функцію «завжди ввімкнено», увімкніть її та час від часу скануйте всі файли на вашому комп’ютері. 

Тримайте пристрої в актуальному стані

Оновлення вкрай необхідні. Використовуйте останню версію будь-якої операційної системи, що працює на пристрої (Windows, Mac, Android, iOS тощо), й оновлюйте цю операційну систему регулярно. Також оновлюйте інше програмне забезпечення, вебоглядач і його плагіни. Встановлюйте оновлення, як тільки вони стануть доступними, в ідеалі шляхом увімкнення автоматичного оновлення. Чим новіша операційна система пристрою, тим менше у вас уразливостей. Уявіть собі, що оновлення — це накладення пластиру на відкритий поріз: він закриває вразливість і значно зменшує ймовірність того, що ви заразитеся. Також видаліть програмне забезпечення, яким ви більше не користуєтеся. Застаріле програмне забезпечення часто має проблеми з безпекою, і, можливо, ви встановили інструмент, який більше не оновлюється розробником, що робить його вразливим для хакерів.

Шкідливі програми в реальному світі: Оновлення вкрай необхідні

Malware photo

У 2017 році атаки програми-вимагача WannaCry заразили мільйони пристроїв по всьому світу, що призвело до закриття лікарень, державних установ, великих і малих організацій і підприємств в десятках країн. Чому атаки була настільки ефективними? Через застарілі, «непропатчені» операційні системи Windows, багато з яких були піратськими. Значної частини шкоди – для людей і фінансів – можна було б уникнути за допомогою кращих методів автоматизованого оновлення та використання законних операційних систем.

Будьте обережні з USB-накопичувачами

Будьте обережні, відкриваючи файли, надіслані вам як вкладення, через посилання для завантаження чи будь-яким іншим способом. Також подумайте двічі, перш ніж вставляти знімні носії, наприклад USB-накопичувачі, карти флеш-пам’яті, DVD-диски та компакт-диски у комп’ютер, оскільки вони можуть бути переносниками шкідливих програм. Дуже ймовірно, що на USB-накопичувачах, які використовувалися протягом деякого часу, є віруси. Щоб дізнатися про альтернативні варіанти безпечного обміну файлами у вашій організації, ознайомтеся з розділом «Обмін файлами» Довідника.

Також будьте обережні щодо інших пристроїв, до яких ви підключаєтеся через Bluetooth. Можна синхронізувати телефон або комп’ютер із відомим і надійним динаміком Bluetooth, щоб відтворювати улюблену музику, але будьте обережні, якщо підключаєтесь до будь-яких пристроїв, яких ви не впізнаєте, або приймайте запити від них. Дозволяйте підключення лише до надійних пристроїв і не забудьте вимкнути Bluetooth, коли він не використовується.

Будьте обережні під час перегляду сторінок в інтернеті

Ніколи не приймайте та не запускайте програми, що надходять із веб-сайтів, яких ви не знаєте та яким не довіряєте. Замість того, щоб приймати «оновлення», яке пропонується, наприклад, у спливаючому вікні вебоглядача, перевірте наявність оновлень на офіційному вебсайті відповідної програми. Як обговорювалося в розділі «Фішинг» Довідника, важливо бути уважним під час перегляду вебсайтів. Перевірте, куди веде посилання (навівши на нього курсор), перш ніж клацнути, подивіться на адресу вебсайту після переходу за посиланням і переконайтеся, що він виглядає належним чином, перш ніж вводити конфіденційну інформацію, як-от свій пароль. Не клацайте повідомлення про помилки чи попередження, стежте за вікнами вебоглядача, що з’являються автоматично, й уважно їх читайте, а не просто клацайте «Так» або «ОК». 

А як щодо смартфонів?

Як і у випадку з комп’ютерами, оновлюйте операційну систему й додатки телефону та ввімкніть автоматичне оновлення. Встановлюйте додатки лише з офіційних чи надійних джерел, як-от Google Play Store і Apple App Store (або F-droid, безкоштовний магазин додатків із відкритим кодом для Android). Додатки можуть мати вбудовані шкідливі програми і разом із тим працювати на вигляд нормально, тому ви не завжди дізнаєтеся, чи є додаток шкідливим. Також переконайтеся, що ви завантажуєте законну версію додатку. Особливо на Android існують «фальшиві» версії популярних додатків. Тому переконайтеся, що програма створена відповідною компанією чи розробником, має хороші відгуки й очікувану кількість завантажень (наприклад, підроблена версія WhatsApp може мати лише кілька тисяч завантажень, але справжня версія має понад п’ять мільярдів). Зверніть увагу на дозволи, які запитують додатки. Якщо вони здаються надмірними (наприклад, калькулятору потрібен доступ до вашої камери або Angry Birds запитує доступ до вашого місцезнаходження), відхиліть запит або видаліть додаток. Видалення додатків, якими ви більше не користуєтеся, також може допомогти захистити ваш смартфон або планшет. Розробники іноді продають право власності на свої додатки іншим людям. Ці нові власники можуть спробувати заробити гроші, додавши шкідливий код.

Шкідливі програми в реальному світі: Шкідливі мобільні додатки

iphone Screen

Хакери в багатьох країнах роками використовують підроблені додатки в магазині Google Play для розповсюдження шкідливих програм. Про один конкретний випадок, націлений на користувачів у В’єтнамі, стало відомо у квітні 2020 року. У цій шпигунській кампанії використовувалися підроблені додатки, які нібито допомагали користувачам знаходити сусідні паби або шукати інформацію про місцеві церкви. Після встановлення користувачами Android, які нічого про це не підозрювали, шкідливі програми збирали журнали викликів, дані про місцезнаходження й інформацію про контакти та текстові повідомлення. Це лише одна з багатьох причин бути обережними щодо додатків, які ви завантажуєте на свої пристрої.

Заощаджуйте гроші та підвищуйте безпеку пристроїв за допомогою Tails у вашій організації

Дуже безпечним варіантом, для налаштування якого потрібні певні технічні навички, є операційна система Tails. Цією портативною операційною системою можна користуватися безкоштовно, і ви можете завантажити її прямо з USB, без використання ліцензованих операційних систем Windows або Mac. Tails також є хорошим вибором для тих, хто входить у групу надзвичайно високого ризику, оскільки ця система містить широкий спектр функцій для підвищення конфіденційності. Ці функції включають інтеграцію Tor (про яку йдеться нижче) для захисту вашого вебтрафіку та повне стирання пам’яті кожного разу, коли ви вимикаєте операційну систему. Ці функції, по суті, дозволяють починати з чистого аркуша кожного разу, коли ви перезавантажуєте комп’ютер. Tails також має режим збереження, який дозволяє зберігати важливі файли та налаштування протягом кількох сеансів, за необхідності.

Ще одним варіантом безкоштовної безпечної операційної системи є Qubes OS. Незважаючи на те, що Qubes не є найпростішим варіантом для технічно непідкованих користувачів, ця система розроблена для обмеження загрози шкідливих програм та є ще одним варіантом, який слід розглянути для досвідчених користувачів у вашій організації, особливо якщо витрати на ліцензування є проблемою.

Що робити, якщо ми не можемо дозволити собі легальне програмне забезпечення?

Придбання ліцензійних версій популярного програмного забезпечення, як-от Microsoft Office (Word, Powerpoint, Excel), для всієї вашої організації може бути дорогим, але обмежений бюджет не є виправданням завантажувати піратські версії програмного забезпечення або не оновлювати їх. Це не питання моралі – це питання безпеки. Піратське програмне забезпечення часто наповнене шкідливими програмами, і його часто неможливо виправити для усунення прогалин у безпеці.

Якщо ви не можете дозволити собі програмне забезпечення, яке потрібне вашій організації, існує широкий вибір чудового безкоштовного програмного забезпечення з відкритим кодом LibreOffice (заміна стандартних програм Microsoft Office) або GIMP (заміна Photoshop), що може задовольнити ваші потреби. Також розгляньте можливість реєстрації через Tech Soup, організацію, що пропонує великі знижки на популярне програмне забезпечення для неприбуткових організацій.

Навіть якщо ви можете дозволити собі законне програмне забезпечення та додатки, ваш пристрій все одно під загрозою, якщо основна операційна система нелегальна. Отже, якщо ваша організація не може дозволити собі ліцензії Windows, розгляньте дешевші альтернативи, як-от Chromebook, які є чудовим і простим у захисті варіантом, якщо ваша організація працює переважно в хмарному середовищі. Якщо ви використовуєте Google Docs або Microsoft 365, вам зовсім не потрібно багато програм для комп’ютера – безкоштовних редакторів документів і електронних таблиць у вебоглядачі більш ніж достатньо для майже всіх цілей.

Іншим варіантом, якщо у вас є персонал із технічними навичками, є встановлення безкоштовної операційної системи на базі Linux (альтернатива операційним системам Windows і Mac з відкритим кодом) на кожному комп’ютері. Одним із популярних і досить зручних варіантів Linux є Ubuntu. Незалежно від того, яку операційну систему ви виберете, переконайтеся, що хтось в організації відповідає за регулярну перевірку співробітників, щоб переконатися, що вони встановили останні оновлення.

Коли ви приймаєте рішення про новий інструмент або систему, подумайте, як ваша організація може підтримувати їх технічно та фінансово протягом тривалого часу. Поставте собі такі запитання: Чи можете ви дозволити собі й утримувати персонал, необхідний для безпечного обслуговування цього програмного забезпечення? Чи можете ви платити за подовження підписки? Чи маєте ви доступ до знижок від таких груп, як вищезгадана Tech Soup? Відповіді на ці запитання допоможуть переконатися, що ваші програмні та технологічні стратегії з часом будуть все більш успішними.

Захист пристроїв

  • Навчіть персонал ризикам, пов’язаним із шкідливими програмами, та найкращим методам їх уникнення.
    • Запровадьте політику щодо підключення зовнішніх пристроїв, натискання посилань, завантаження файлів і додатків, а також перевірки програмного забезпечення та дозволів для додатків.
  • Зобов’язжіть співробітників регулярно оновлювати пристрої, програмне забезпечення та програми.
    • Увімкніть автоматичне оновлення, за можливості.
  • Переконайтеся, що всі пристрої використовують ліцензійне програмне забезпечення.
    • Якщо вартість непомірно висока, перейдіть на безкоштовну альтернативу.
  • Вимагайте захисту паролем усіх організаційних пристроїв, у тому числі персональних мобільних пристроїв, які використовуються для комунікації, пов’язаної з роботою.
  • Увімкніть шифрування всього диску на пристроях.
  • Часто нагадуйте співробітникам, щоб їхні пристрої були фізично захищені, – і забезпечте захист офісу за допомогою відповідних замків і способів захисту комп’ютерів.
  • Не передавайте файли за допомогою USB-накопичувачів і не підключайте USB-накопичувачі до своїх комп’ютерів.
    • Натомість використовуйте альтернативні безпечні варіанти обміну файлами.