Теми

Градење култура
на безбедност
Силна основа:
Обезбедување на сметките
и на уредите
Безбедно комуницирање
и складирање податоци
Безбедност на интернет
 
Заштита на
физичката безбедност
Што да направите кога
работите ќе тргнат наопаку

Силна основа: Обезбедување на сметките и на уредите

Безбедни сметки: Лозинки и автентикација со два фактора

Во денешно време, најверојатно, вашиот парламент и неговите вработени имаат десетици, ако не и стотици, сметки кои, доколку се пробијат, би можеле да разоткријат чувствителни информации или дури и да повредат лица кои се изложени на ризик. Размислете за различните сметки што може да ги има поединечен вработен и парламентот како целина: е-пошта, апликации за разговори, социјални медиуми, електронско банкарство, складирање податоци во облак, како и продавници за облека, локални ресторани, весници и многу други веб-страници или апликации на кои се најавувате. Добрата безбедност во денешно време бара темелен пристап за заштита од напади на сите овие сметки. Тоа почнува со добра грижа за лозинките и со употреба на автентикација со два фактора од сите.

Безбедни сметки и парламенти

Secure Accounts and Political Parties

Хакерскиот напад Соларвиндс (SolarWinds) со широк публицитет, кој беше откриен кон крајот на 2020 година и кој компромитираше над 250 организации, вклучувајќи ги и повеќето владини сектори на Соединетите Американски Држави, продавачи на технологија, како „Мајкрософт“ и „Циско“ (Cisco), и невладини организации, делумно беше резултат на тоа што хакерите погодија слаби лозинки што се користеле на важни администраторски сметки. Севкупно, околу 80 проценти од сите нарушувања на безбедноста поврзани со хакирање се случуваат поради слаби или повторно употребени лозинки.


Со зголемената распространетост на ваквите пробивања на лозинките и полесниот пристап за сите видови противници до софистицираните алатки за хакирање лозинки, најдобрите практики за лозинки и автентикацијата со два фактора се безбедносни елементи кои мора да ги имаат сите организации, вклучително и парламентите. Ниту еден инцидент не го илустрира појасно ова од нападот во 2017 година врз системот за е-пошта на британскиот парламент. Во овој инцидент, практиките на употреба на слаби лозинки од мал, но значаен број пратеници доведоа до незаштитени сметки за е-пошта и разговори, илјадници неовластено откриени кориснички имиња и лозинки и огромно нарушување на парламентарното работење. Според прес-службата на британскиот парламент, пробиените сметки биле „компромитирани како резултат на слаби лозинки кои не биле во согласност со упатствата издадени од Парламентарната дигитална служба“.

Што е она што ја прави лозинката добра?

Има три клучни работи за добра и силна лозинка: должина, случајност и уникатност.

Должина:Колку е подолга лозинката, толку е потешко противникот да ја погоди. Во последно време, повеќето хакирања на лозинките се вршат од компјутерски програми и на тие злобни програми не им треба долго време за да пробијат една кратка лозинка. Како резултат на тоа, од суштинска важност е вашите лозинки да имаат најмалку 16 карактери, или најмалку пет збора, а по можност да бидат и подолги.
Случајност: Дури и ако лозинката е долга, таа не е многу добра ако е поврзана со нешто во врска со вас што противникот лесно може да го погоди. Избегнувајте да внесувате информации како што се вашиот роденден, родниот град, омилените активности или други факти што некој би можел да ги дознае за вас од едно кратко пребарување на интернет.
Уникатност:

Можеби најчестата најлоша практика со лозинките е користењето иста лозинка за повеќе интернет-страници. Повторувањето на лозинките е голем проблем затоа што кога само една од тие сметки е компромитирана, сите други сметки што ја користат истата лозинка се исто така ранливи. Ако ја користите истата лозинка на повеќе интернет-страници, тоа значително може да го зголеми влијанието на една грешка или на нарушувањето на безбедноста на податоците. Иако можеби не се грижите за вашата лозинка за локалната библиотека, доколку таа е хакирана, а вие ја користите истата лозинка на почувствителна сметка, би можеле да бидат украдени важни информации.

Еден лесен начин да се постигнат целите за должина, случајност и за уникатност е да се изберат три или четири вообичаени, но случајни зборови. На пример, вашата лозинка може да биде „цветна ламба зелена мечка“ што е лесно да се запомни, но тешко да се погоди. Можете да ја погледнете оваа веб-страница на „Бетр бајс“ (Better Buys) за тоа колку брзо може да се пробијат лошите лозинки.

 

Користете апликација за управување со лозинки за помош

Значи, знаете дека е важно секој во парламентот да користи долга, случајна и различна лозинка за секоја своја лична и парламентарна сметка, но како, всушност, да го направите тоа? Запомнувањето добра лозинка за десетици (ако не и стотици) сметки е невозможно, така што секој мора да мами. Погрешен начин да се прави тоа е повторно да се употребат истите лозинки. За среќа, наместо тоа, можеме да се обратиме до дигиталните менаџери на лозинки за да ни го направат животот многу полесен (и нашите практики на користење лозинки многу побезбедни). Овие апликации, до кои може да се пристапи преку компјутер или мобилен уред, може да креираат, складираат и да управуваат со лозинки за вас и за целата ваша организација. Користењето безбедна апликација за управување со лозинки значи дека ќе треба да запомните само една многу силна, долга лозинка наречена примарна лозинка (историски наречена главна лозинка), при што ќе добиете безбедносни придобивки од користењето добри, уникатни лозинки на сите ваши сметки. Ќе ја користите оваа примарна лозинка (и во најдобар случај, втор фактор на автентикација (2FA), за кој ќе се дискутира во следниот дел) за да ја отворите вашата апликација за управување со лозинки и да го отклучите пристапот до сите ваши други лозинки. Апликациите за управување со лозинки, исто така, може да се користат на повеќе сметки за да се олесни безбедното споделување лозинки низ парламентот.

Зошто треба да користиме нешто ново? Не можеме ли само да ги запишеме на хартија или во табела на компјутерот? 

За жал, постојат многу вообичаени пристапи за управување со лозинки кои не се безбедни. Чувањето лозинки на листови хартија (освен ако не ги чувате заклучени во сеф) може да ги изложи на физичка кражба, љубопитни очи и лесно губење и оштетување. Зачувувањето на лозинките на документ на вашиот компјутер многу му го олеснува пристапот на хакерот – или на некој што ќе го украде вашиот компјутер, кој не само што ќе го има вашиот уред туку и ќе има пристап до сите ваши сметки. Користењето добра апликација за управување со лозинки е исто толку лесно како и користењето на тој документ, но многу побезбедно.

Зошто треба да веруваме на апликации за управување со лозинки?

Квалитетните апликации за управување со лозинки прават извонредни напори (и вработуваат одлични безбедносни тимови) за да ја одржуваат безбедноста на нивните системи. Исто така, добрите апликации за управување со лозинки (некои се препорачани подолу) се креирани на тој начин што не можат да ги „отклучат“ вашите сметки. Тоа значи дека во повеќето случаи, дури и ако биле хакирани или законски принудени да ги предадат информациите, нема да можат да ги изгубат или да ги откријат вашите лозинки. Исто така, важно е да се запомни дека е бескрајно поголема веројатноста противникот да погоди една од вашите слаби или повторени лозинки, или да најде некоја лозинка на нарушување на безбедноста на јавни податоци, отколку да ѝ се пробијат безбедносните системи на добра апликација за управување со лозинки. Важно е да се биде скептичен и дефинитивно не треба слепо да им се верува на сите софтвери и апликации, но реномираните апликации за управување со лозинки ги имаат сите вистински мотивации да ја направат вистинската работа.

Што е со складирањето лозинки во веб-пребарувачот?

Зачувувањето на лозинките во вашиот веб-пребарувач не е исто како и користењето безбедна апликација за управување со лозинки. Накратко, не треба да користите Хром, Фајрфокс, Сафари или кој било друг веб-пребарувач како менаџер на вашите лозинки. Иако тоа, дефинитивно, е подобро во однос на нивното пишување на хартија или зачувување во табела, основните функции за зачувување лозинка на вашиот веб-пребарувач не се многу добри од безбедносен аспект. Овие недостатоци, исто така, ви одземаат голем дел од погодноста што ја носи една добра апликација за управување со лозинки. Губењето на оваа погодност ја зголемува веројатноста дека луѓето во парламентот ќе продолжат со лошите практики на креирање и споделување лозинки.

На пример, за разлика од специјализираните апликации за управување со лозинки, вградените функции на веб-пребарувачите „зачувај ја оваа лозинка“ или „запомни ја оваа лозинка“ не обезбедуваат едноставна мобилна компатибилност, функционалност меѓу веб-пребарувачите и силни алатки за креирање и ревидирање на лозинките. Овие функции се голем дел од она што ја прави специјализираната апликација за управување со лозинки толку корисна и поволна за безбедноста на вашиот парламент. Апликациите за управување со лозинки, исто така, вклучуваат специфични функции за организацијата (како што е споделување лозинки) кои обезбедуваат не само вредност за поединци, туку и вредност за вашиот парламент како целина кога се работи за безбедноста.

Ако сте ги зачувувале лозинките во вашиот веб-пребарувач (намерно или ненамерно), одвојте малку време за да ги отстраните.

Save Password boxbitwarden

Наместо да го користите вашиот веб-пребарувач (како Хром, прикажан лево) за зачувување на вашите лозинки, користете специјализирана апликација за управување со лозинки (како Битворден (Bitwarden), прикажан десно). Апликациите за управување со лозинки имаат функции што го прават работењето на вашиот парламент побезбедно и полесно.

Кои апликации за управување со лозинки треба да ги користиме?

Постојат многу добри алатки за управување со лозинки кои може да се постават за помалку од 30 минути. Ако барате доверлива опција на интернет за вашиот парламент до која луѓето ќе можат да пристапат од повеќе уреди во секое време, добро поддржани и препорачани се 1Password (со почетна цена од 2,99 долари по корисник месечно) или бесплатниот Bitwarden со отворен код.

Интернет-опциите како Bitwarden се одлични и во однос на безбедноста и во однос на погодноста. Bitwarden, на пример, ќе ви помогне да креирате силни уникатни лозинки и да пристапите до лозинките од повеќе уреди преку наставки на веб-пребарувачот и преку мобилна апликација. Платената верзија (10 долари за цела година) Bitwarden обезбедува и извештаи за повторно употребени, слаби и евентуално пробиени лозинки за да ви помогне да имате контрола врз работите. Откако ќе ја креирате вашата примарна лозинка (наречена главна лозинка), треба да вклучите и автентикација со два фактора за трезорот на вашата апликација за управување со лозинки да биде што е можно побезбеден. 


Од суштинско значење е да практикувате добра безбедност и кога ја користите вашата апликација за управување со лозинки. На пример, ако користите наставка на веб-пребарувач на вашата апликација за управување со лозинки или се најавите на Bitwarden (или на која било друга апликација за управување со лозинки) на еден уред, не заборавајте да се одјавите откако ќе завршите со користењето на тој уред ако го делите уредот со некој друг или ако сметате дека, можеби, сте изложени на зголемен ризик од физичка кражба на уредот. Тоа вклучува одјавување од вашата апликација за управување со лозинки ако го оставите компјутерот или мобилниот уред без надзор. Ако споделувате лозинки меѓу тимовите или во рамките на парламентот како целина, не заборавајте да го поништите пристапот до лозинките (и да ги промените самите лозинки) кога ќе си заминат луѓето. Не сакате поранешен вработен да има пристап до лозинката на вашиот парламент на Фејсбук, на пример.

Што ако некој ја заборави својата примарна лозинка?

Од суштинска важност е да ја запомните вашата примарна лозинка. Добрите системи за управување со лозинки, како оние што се препорачани погоре, нема да ја запомнат вашата примарна лозинка или да ви овозможат да ја ресетирате директно преку е-пошта на начин кој е можен кај веб-страниците. Ова е добра безбедносна функција, но, исто така, го прави неопходно запомнувањето на вашата примарна лозинка кога првпат ќе ја поставите вашата апликација за управување со лозинки. За да си помогнете со ова, размислете да поставите дневен потсетник за да се потсетите на вашата примарна лозинка кога првпат ќе креирате сметка на апликацијата за управување со лозинки.

Напредно ниво: Користење апликација за управување со лозинки за вашиот парламент

Можете да ги зајакнете практиките за употреба на лозинки на вашиот парламент и да се осигурите дека секој вработен има пристап до (и користи) апликација за управување со лозинки со тоа што ќе поставите една таква апликација во рамките на целата организација. Наместо секој вработен да поставува своја апликација, размислете за инвестирање во план за „тим“ или за „бизнис“. На пример, планот „teams organization” (организација на тимови) на Bitwarden чини 3 долари по корисник месечно. Со него (или со други планови за тимови од апликации за управување со лозинки како 1Password) имате можност да управувате со сите споделени лозинки во рамките на „организацијата“. Функциите на апликацијата за управување со лозинки на ниво на парламент или на ниво на тим не само што обезбедуваат поголема безбедност туку и погодност за вработените. Можете безбедно да ги споделувате корисничкото име и лозинката во самата апликација за управување со лозинки со различни кориснички сметки. И Bitwarden, на пример, исто така, обезбедува погодна функција за целосно, од крај до крај, шифриран текст и споделување датотеки наречена „Bitwarden Send“ во рамките на својот план за тимови. Двете функции му даваат на вашиот парламент поголема контрола врз тоа кој кои лозинки може да ги види и сподели, и обезбедуваат побезбедна опција за споделување кориснички имиња и лозинки за сметките на ниво на тим или група. Ако поставите апликација за управување со лозинки на ниво на парламент, погрижете се некој да биде конкретно задолжен за отстранување на сметките на вработените и менување на сите споделени лозинки кога некој ќе го напушти тимот.

Two Factor Authentication

Што е автентикација со два фактора?

Колку и да е добра вашата грижа за лозинките, премногу често хакерите можат да ги заобиколат лозинките. За одржувањето на безбедноста на вашите сметки од некои актери што претставуваат вообичаена закана во денешно време, потребен е уште еден слој на заштита. Тука стапува на сцена автентикацијата со повеќе фактори или со два фактора – наречена MFA или 2FA.

Има многу одлични водичи и ресурси што ја објаснуваат автентикацијата со два фактора, вклучително и статијата Автентикација со два фактора за почетници на Мартин Шелтон и Кибернетска безбедност на избори 101 Практичен водич на Центарот за демократија и технологија. Овој дел содржи многу позајмени делови од двата ресурси за подобро да се објасни зошто е толку важно 2FA да се спроведе во рамките на парламентот.

Накратко, 2FA ја зајакнува безбедноста на сметките со тоа што бара втора информација - нешто повеќе од само лозинка – за да се добие пристап. Втората информација обично е нешто што го имате, како код од апликација на вашиот телефон, физички токен или клуч. Оваа втора информација функционира како втор слој на одбрана. Ако некој хакер ја украде вашата лозинка или добие пристап до неа преку складиште на лозинки од големо нарушување на безбедноста на податоците, ефективната 2FA може да го спречи да пристапи до вашата сметка (а со тоа да го држи подалеку од приватните и од чувствителните информации). Од клучно значење е да се погрижите сите во парламентот да постават 2FA на нивните сметки.

Како можеме да поставиме автентикација со два фактора?

Постојат три вообичаени методи за 2FA: безбедносни клучеви, апликации за автентикација и еднократни СМС-кодови.

безбедносни клучеви

Безбедносните клучеви се најдобрата опција, делумно затоа што тие се речиси целосно отпорни на „фишинг“. Овие „клучеви“ се хардверски токени (замислете си мини УСБ-дискови) кои може да се прикачат на вашиот приврзок со клучеви (или да останат во вашиот компјутер) за да ви бидат леснодостапни и лесни за чување. Кога треба да го искористите клучот за отклучување на одредена сметка, едноставно го вметнувате во вашиот уред и физички го активирате кога тоа ќе биде побарано за време на најавата. Има широк избор на модели кои можете да ги купите преку интернет (20-50 долари), вклучувајќи ги и високоценетите YubiKeys. Вајркатер (Wirecutter) на „Њујорк тајмс“ има корисен водич со неколку препораки за тоа кои клучеви да ги купите. Имајте предвид дека истиот безбедносен клуч може да се користи за онолку сметки колку што сакате.

 

Безбедносни клучеви во реалниот свет

A hand holding an actual key with a key ring attached to a 2 f a device

Со обезбедување физички безбедносни клучеви за автентикација со два фактора на сите 85.000+ вработени, „Гугл“(организација со многу висок ризик и висока цел на напади) ефективно ги елиминираше сите успешни „фишинг“ напади против организацијата. Овој случај покажува колку ефикасни може да бидат безбедносните клучеви дури и за организациите што се најмногу изложени на ризик.

 

апликациите за автентикација. 

Втората најдобра опција за 2FA се апликациите за автентикација. Овие услуги ви овозможуваат да добиете привремен код за најава со два фактора преку мобилна апликација или „пуш“ известување на вашиот паметен телефон. Некои популарни и доверливи опции се Google Authenticator, Authy и Duo Mobile. Апликациите за автентикација, исто така, се одлични бидејќи функционираат кога немате пристап до вашата мобилна мрежа и се бесплатни за користење за физички лица. Сепак, апликациите за автентикација се поподложни на „фишинг“ отколку безбедносните клучеви бидејќи корисниците може да бидат измамени за да внесат безбедносни кодови од апликација за автентикација во лажна веб-страница. Внимавајте да внесувате кодови за најава само на легитимни веб-страници. И не прифаќајте „пуш“ известувања за најава освен ако сте сигурни дека вие сте го направиле барањето за најава. Исто така, важно е кога користите апликација за автентикација да имате подготвено резервни кодови (за кои ќе се дискутира подолу) во случај вашиот телефон да биде изгубен или украден.

Кодови преку СМС

Најмалку безбедна, но, за жал, сепак најчеста форма на 2FA се кодовите испратени преку СМС. Бидејќи СМС-пораките може да се пресретнат, а телефонските броеви може да се фалсификуваат или хакираат преку вашиот мобилен оператор, СМС-пораките не се многу добри како метод за барање 2FA кодови. Тоа е подобро отколку само да користите лозинка, но се препорачува да се користат апликации за автентикација или физички безбедносен клуч доколку е можно. Одлучниот противник може да добие пристап до 2FA кодовите испратени преку СМС-порака, обично само со јавување во телефонската компанија и со замена на вашата СИМ-картичка.


Кога ќе бидете подготвени да почнете со овозможување на 2FA за сите различни сметки на вашиот парламент, искористете ја оваа веб-страница (https://2fa.directory/) за брзо да пребарате информации и упатства за одредени услуги (како Џимеил, Офис 365, Фејсбук, Твитер, итн.) и за да видите кои услуги какви видови на 2FA овозможуваат.

2FA и парламентите

Parliament chambers

Според извештаите објавени во 2020 година, хакери се инфилтрирале во парламентарниот систем за е-пошта на Норвешка и ги компромитирале сметките за е-пошта на неколку парламентарни службеници, па дури и преземале некои информации од парламентарните системи. Иако не беа објавени во јавност целосните детали за хакирањето, Норвешка ѝ го припиша упадот на APT28, хакерска група поврзана со руските безбедносни служби. Иако е многу софистицирана, APT28 и другите хакери често користат помалку сложени тактики, како што се „напади со брутална сила“ (при што напаѓачот користи алатки за да проба многу лозинки со надеж дека на крајот ќе ја погоди вистинската), за да добијат пристап до сметките. Оваа тактика им овозможува на хакерите да погодат дури и солидни лозинки – како што се сметаше дека е случај во Норвешка. Добрите вести? Овие видови напади имаат многу помала веројатност да успеат кога има соодветна автентикација со два фактора заснована на клуч или на апликација!

Што ако некој го изгуби уредот со 2FA?

Ако користите безбедносен клуч, постапувајте со него исто како што би постапиле со клучот од вашата куќа или стан, доколку го имате. Накратко, не губете го. Сепак, исто како и клучевите од вашата куќа, секогаш е добра идеја да имате регистриран резервен клуч на вашата сметка што ќе биде заклучен на безбедно место (како, на пример, во сеф дома или во сеф во банка) во случај на загуба или кражба.

Од друга страна, треба да креирате резервни кодови за сметките што го дозволуваат тоа. Треба да ги чувате овие кодови на многу безбедно место, какво што е вашата апликација за управување со лозинки или во физички сеф. Ваквите резервни кодови може да се креираат во поставките за 2FA на повеќето веб-страници (на истото место каде што првично ја овозможувате 2FA) и може да служат како резервен клуч при итни случаи.

Најчестиот проблем со 2FA се случува кога луѓето ќе ги заменат или изгубат телефоните што ги користат за апликации за автентикација. Ако користите Google Authenticator, нема да имате среќа ако ви биде украден телефонот, освен ако не ги зачувате резервните кодови што се креираат во моментот кога ќе ја поврзете сметката со Google Authenticator. Затоа, ако користите Google Authenticator како апликација за 2FA, погрижете се да ги зачувате на безбедно место резервните кодови за сите сметки што ги поврзувате со него. 

Ако користите Authy или Duo, двете апликации имаат вградени функции за креирање резервна копија со силни безбедносни поставки кои можете да ги вклучите. Ако изберете која било од тие апликации, можете да ги конфигурирате тие опции за креирање резервна копија во случај на кршење, губење или кражба на уредот. Видете ги упатствата на Authy овде, а на Duo овде.

Погрижете се сите да се запознаени со овие чекори кога ќе ја вклучат 2FA на сите нивни сметки.

Напредно ниво: Спроведување 2FA во рамките на вашиот парламент

Ако вашиот парламент обезбедува сметки за е-пошта за сите вработени преку Гугл воркспејс (Google Workspace, претходно познат како ЏиСјут (GSuite) или Мајкрософт 365 со користење сопствен домен (на пример, @ndi.org), можете да спроведете 2FA и силни безбедносни поставки за сите сметки. Нејзиното спроведување не само што помага да се заштитат овие сметки туку и функционира како начин за воведување и нормализирање на 2FA за вашите членови и вработени, така што ним ќе им биде полесно да ја прифатат и за нивните лични сметки. Како администратор на Гугл воркспејс, можете да ги следите овие упатства за да спроведете 2FA за вашиот домен. Можете да направите нешто слично во Мајкрософт 365 следејќи ги овие чекори како администратор на домен.


Размислете и за вклучување на сметките на вашиот парламент во Програмата за напредна заштита (Гугл) или AccountGuard (Мајкрософт) за да спроведете дополнителни безбедносни контроли и да барате физички безбедносни клучеви за автентикација со два фактора.

Безбедни сметки

  • Барајте силни лозинки за сите парламентарни сметки; поттикнете го истото за личните сметки на членовите, вработените и на волонтерите.
  • Поставете доверлива апликација за управување со лозинки за парламентот (и поттикнете ја нејзината употреба и во приватниот живот на вработените).
    • Барајте силна примарна лозинка и 2FA за сите сметки на апликацијата за управување со лозинки.
    • Потсетете ги сите да се одјават од апликацијата за управување со лозинки на заедничките уреди или кога се изложени на зголемен ризик од кражба или заплена на уредот.
  • Променете ги споделените лозинки кога вработени и членови ќе го напуштат парламентот.
  • Споделувајте ги лозинките само на безбеден начин, како, на пример, преку апликацијата за управување со лозинки на вашиот парламент или преку целосно, од крај до крај, шифрирани апликации. 
  • Барајте 2FA на сите сметки на парламентот и поттикнете ги вработените да постават 2FA и на сите лични сметки.
    • Доколку е можно, обезбедете физички безбедносни клучеви за сите членови и вработени.
    • Ако безбедносните клучеви не се предвидени во вашиот буџет, поттикнете ја употребата на апликации за автентикација наместо СМС-пораки или телефонски повици за 2FA.
  • Одржувајте редовна обука за да се осигурите дека сите ги знаат лозинката и најдобрите практики за 2FA, вклучително и што е потребно за една лозинка да биде силна и зошто е важно никогаш повторно да не се користат истите лозинки, само да се прифаќаат легитимни барања за 2FA и да се креираат резервни кодови за 2FA.