Теми

Міцна основа: захист облікових записів і пристроїв

Захищені пристрої

 

Окрім облікових записів, важливо надійно захищати всі пристрої – комп’ютери, телефони, USB, зовнішні жорсткі диски тощо. Такий захист починається з уважності до того, які типи пристроїв купує та використовує ваша організація та персонал. Постачальники або виробники, яких ви виберете, повинні мати докази дотримання світових стандартів щодо безпечного розроблення апаратних пристроїв (наприклад, телефонів і комп’ютерів). Пристрої, які ви купуєте, мають бути виготовлені надійними компаніями, які не мають стимулів передавати дані та інформацію потенційному супротивнику. Важливо зазначити, що уряд Китаю вимагає від китайських компаній надавати дані центральному уряду. Тому, незважаючи на всюдисущі та недорогі смартфони, такі як Huawei або ZTE, їх слід уникати. Незважаючи на те, що вартість дешевого апаратного забезпечення може бути дуже привабливою для організації, потенційні ризики для безпеки організацій, які виступають за демократію, права людини та підзвітність уряду, свідчать про необхідність вибору інших варіантів пристроїв, оскільки такий доступ до даних допомагає уряду Китаю та іншим урядам цілеспрямовано впливати на певних осіб і спільноти.

Ваші супротивники можуть поставити під загрозу безпеку ваших пристроїв — і все, що ви робите на цих пристроях — шляхом отримання фізичного або «віддаленого» доступу до пристроїв.

Безпека пристроїв і громадянське суспільство

cyber Photo

Деякі з найдосконаліших у світі зловмисних програм розроблено та розгорнуто по всьому світу, щоб націлити на депутатів, інших урядовців та їхніх співробітників. В Індії, наприклад, консорціум журналістів виявив, що шпигунське програмне забезпечення Pegasus, тип шкідливого програмного забезпечення, яке потрапило в газетні заголовки у 2020 році, стало мішенню кількох депутатів і міністрів уряду. Pegasus сумно відомий своєю здатністю заражати мобільні пристрої та давати зловмисникам можливість записувати аудіо, перехоплювати натискання клавіш і повідомлення, фактично ставлячи жертву під повне спостереження, не вимагаючи взаємодії з жертвою. Однак переважна більшість шпигунського програмного забезпечення досягає успіху завдяки поганим заходам безпеки пристрою, таким як неувага до фішингу або недостатнє дотримання політик, згаданих у цьому розділі Посібника.

Фізичний доступ до пристрою через втрату або крадіжку

Щоб запобігти фізичному доступу, важливо забезпечити фізичну безпеку своїх пристроїв. Коротше кажучи, не дозволяйте супротивникам вкрасти чи навіть тимчасово відібрати у вас ваш пристрій. Тримайте пристрої під замком, якщо залишаєте їх удома чи в офісі. Або, якщо ви вважаєте, що це безпечніше, тримайте їх при собі. Звісно, це означає, що частиною безпеки пристрою є фізична безпека ваших робочих місць (в офісі чи вдома). Вам потрібно буде встановити надійні замки, камери безпеки або інші системи моніторингу, особливо якщо ваша організація належить до групи високого ризику. Нагадайте персоналу поводитися з пристроями так само, як вони поводилися б із великою пачкою готівки – не залишайте їх лежати без нагляду чи без захисту.

Що робити, якщо пристрій вкрадуть?

Щоб обмежити шкоду, якщо комусь таки вдасться вкрасти пристрій, – або навіть якщо зловмисник отримає до нього доступ на короткий проміжок часу, – зобов’яжіть співробітників використовувати надійні паролі або коди доступу на всіх комп’ютерах і телефонах. Поради щодо паролів із розділу «Паролі» цього Довідника стосуються надійних паролів для комп’ютера чи ноутбука. Коли справа доходить до блокування телефону, використовуйте коди, що містять принаймні шість-вісім цифр. Уникайте використання «шаблонів», щоб розблокувати екран. Додаткові поради щодо блокування екрана містяться у Data Detox Kit від Tactical Tech Використання надійних паролів на пристрої значно ускладнює супротивникам швидкий доступ до інформації на ньому в разі крадіжки чи конфіскації.

Переконайтеся, що всі пристрої, видані парламентом, також зареєстровані в системі керування мобільними пристроями чи кінцевими точками. Незважаючи на те, що ці системи недешеві, ці системи дозволяють вашому парламенту застосовувати політику безпеки на всіх пристроях, знаходити один із них і видаляти його потенційно конфіскований вміст у разі його викрадення, втрати чи конфіскації. Хоча існує багато різних рішень для керування мобільними пристроями, кілька надійних варіантів, які працюють на різних платформах (iPhone, Android, Mac і Windows), включають Hexnode, Cisco Meraki Systems Manager, IBMs MDM і Керування мобільними пристроями вбудованого в Google Workspace a> функція. Якщо вартість є обмежувальним фактором, принаймні заохочуйте членів і персонал використовувати вбудовані функції «Знайти мій пристрій» на своїх виданих парламентом і особистих смартфонах, таких як «Знайти мій iPhone» для iPhone і «Знайти мій пристрій» для Android.

Як щодо шифрування пристрою?

Важливо використовувати шифрування або засекречування даних, щоб вони були нечитабельними та непридатними для використання на всіх пристроях, особливо на комп’ютерах і смартфонах. Вам слід налаштувати на всіх пристроях організації функцію під назвою «повнодискове шифрування» за можливості. Повнодискове шифрування означає, що весь пристрій буде зашифровано таким чином, що зловмисник, якщо він його фізично вкраде, не зможе отримати вміст пристрою, не знаючи пароля чи ключа, який ви використали для шифрування.

Багато сучасних смартфонів і комп’ютерів пропонують функцію повнодискового шифрування. На пристроях Apple, як-от iPhone та iPad, досить зручно вмикати повнодискове шифрування, коли ви встановлюєте звичайний пароль пристрою. Комп’ютери Apple із macOS мають функцію FileVault, яку можна ввімкнути для повнодискового шифрування.

На комп’ютерах із ОС Windows із ліцензіями Pro, Enterprise або Education пропонується функція BitLocker, яку можна ввімкнути для повнодискового шифрування. Ви можете ввімкнути BitLocker, виконавши ці інструкції від корпорації Microsoft, дозвіл на що, можливо, має спочатку надати адміністратор вашої організації. Якщо персонал має лише домашню ліцензію для своїх комп’ютерів на Windows, BitLocker буде недоступний. Однак співробітники все одно можуть увімкнути повнодискове шифрування, перейшовши на вкладку «Оновлення та безпека > Шифрування пристрою» в налаштуваннях ОС Windows.

Пристрої Android, починаючи з версії 9.0, постачаються з шифруванням на основі файлів, увімкненим за замовчуванням. Шифрування Android на основі файлів працює інакше, ніж повнодискове шифрування, але все одно забезпечує надійний захист. Якщо ви користуєтеся відносно новим телефоном Android і встановили пароль, слід увімкнути шифрування на основі файлів. Однак радимо перевірити налаштування, особливо якщо вашому телефону вже кілька років. Щоб перевірити, перейдіть до вкладки Налаштування > Безпека на вашому пристрої Android. У налаштуваннях безпеки ви повинні побачити підрозділ «шифрування» або «шифрування та облікові дані», у якому вказується, чи зашифровано ваш телефон, і, якщо ні, ви зможете ввімкнути шифрування.

Для комп’ютерів (на Windows або Mac) особливо важливо зберігати будь-які ключі шифрування (так звані ключі відновлення) у безпечному місці. Ці «ключі відновлення» в більшості випадків являють собою довгі паролі або парольні фрази. Якщо ви забудете звичайний пароль пристрою або трапиться щось несподіване (наприклад, збій пристрою), ключі відновлення є єдиним способом відновити зашифровані дані та, якщо необхідно, перемістити їх на новий пристрій. Тому, вмикаючи повнодискове шифрування, обов’язково збережіть ці ключі або паролі в безпечному місці, наприклад у захищеному хмарному обліковому записі або в менеджері паролів вашої організації.

Віддалений доступ до пристрою – також відомий як злом

Окрім фізичної безпеки пристроїв, важливо захистити їх від шкідливих програм. У довіднику Security-in-a-Box від Tactical Tech наведено корисний опис того, що таке шкідливі програми та чому важливо їх уникати. Цей опис наведено в адаптованій формі далі в цьому розділі.

Розуміння та уникнення шкідливих програм 

Існує багато способів класифікації шкідливих програм (цей термін означає «шкідливе програмне забезпечення»). Віруси, шпигунські програми, хробаки, трояни, руткіти, програми-вимагачі та криптоджекери — це все типи шкідливих програм. Деякі види шкідливих програм поширюються в інтернеті через електронну пошту, текстові повідомлення, шкідливі веб-сторінки та іншими способами. Деякі поширюються через такі пристрої, як USB-накопичувачі, що використовуються для обміну даними та крадіжки даних. Тоді як для деяких шкідливих програм треба, щоб людина, яка не підозрює нічого поганого, зробила помилку, інші можуть мовчки заражати вразливі системи без відома жертви. 

Окрім загальних шкідливих програм, які широко розповсюджуються та націлене на широку громадськість, цільові шкідливі програми зазвичай використовується для втручання у справи або шпигування за певною особою, організацією чи мережею. Ці методи використовують як звичайні злочинці, так і військові та розвідувальні служби, терористи, онлайн-переслідувачі, жорстокі партнери та тіньові політичні діячі.

Як би вони не називалися та як би вони не поширювалися, шкідливі програми можуть зіпсувати комп’ютери, викрадати та знищувати дані, довести до банкрутства організації, порушувати конфіденційність і наражати користувачів на небезпеку. Коротше кажучи, шкідливі програми дійсно небезпечні. Однак є кілька простих кроків, які ваша організація може зробити, щоб захиститися від цієї поширеної загрози.

Чи захистить нас інструмент захисту від шкідливих програм?

Інструменти захисту від шкідливих програм, на жаль, не є комплексним рішенням. Однак дуже доброю ідеєю буде використовувати деякі базові безкоштовні інструменти як основу. Шкідливі програми змінюються настільки швидко, а нові ризики в реальному світі виникають так часто, що покладатися на будь-який такий інструмент не має бути єдиним захистом.

Якщо ви використовуєте Windows, розгляньте можливість використання вбудованої програми Windows Defender. Комп’ютери Mac і Linux не мають вбудованого програмного забезпечення для захисту від шкідливих програм, як і пристрої на Android і iOS. Ви можете встановити надійний безкоштовний інструмент, наприклад Bitdefender або Malwarebytes для цих пристроїв (а також для комп’ютерів на Windows).  Але не покладайтеся на цей інструмент як на єдину лінію захисту, оскільки він точно пропустить деякі з найбільш цілеспрямованих, небезпечних нових атак.

Крім того, будьте дуже обережні, завантажуйте лише надійні засоби захисту від шкідливих програм та антивірусні засоби із законних джерел (наприклад, веб-сайтів, наведених вище). На жаль, існує багато підроблених або дефектних версій інструментів захисту від шкідливих програм, що приносять набагато більше шкоди, ніж користі.

Якщо ви використовуєте Bitdefender або інший інструмент захисту від шкідливих програм у вашій організації, переконайтеся, що не запускаєте два інструменти одночасно. Багато з них визнають поведінку іншого підозрілою та зупинять його роботу, через що обидва працюють неправильно. Bitdefender або інші визнані засоби захисту від шкідливих програм можна оновлювати безкоштовно, а вбудований Windows Defender оновлюється разом із вашим комп’ютером. Переконайтеся, що ваше програмне забезпечення для захисту від шкідливих програм регулярно оновлюється (деякі пробні версії комерційного програмного забезпечення, що постачається з комп’ютером, буде вимкнено після закінчення пробного періоду, що робить їх швидше небезпечними, ніж корисними). Нові шкідливі програми створюється та розповсюджується щодня, і ваш комп’ютер швидко стане ще вразливішим, якщо ви не будете встигати за новими визначеннями шкідливих програм та методами захисту від шкідливих програм. За можливості налаштуйте програмне забезпечення на автоматичне встановлення оновлень. Якщо ваш інструмент захисту від шкідливих програм має додаткову функцію «завжди ввімкнено», увімкніть її та час від часу скануйте всі файли на вашому комп’ютері. 

Тримайте пристрої в актуальному стані

Оновлення вкрай необхідні. Використовуйте останню версію будь-якої операційної системи, що працює на пристрої (Windows, Mac, Android, iOS тощо), й оновлюйте цю операційну систему регулярно. Також оновлюйте інше програмне забезпечення, вебоглядач і його плагіни. Встановлюйте оновлення, як тільки вони стануть доступними, в ідеалі шляхом увімкнення автоматичного оновлення. Чим новіша операційна система пристрою, тим менше у вас уразливостей. Уявіть собі, що оновлення — це накладення пластиру на відкритий поріз: він закриває вразливість і значно зменшує ймовірність того, що ви заразитеся. Також видаліть програмне забезпечення, яким ви більше не користуєтеся. Застаріле програмне забезпечення часто має проблеми з безпекою, і, можливо, ви встановили інструмент, який більше не оновлюється розробником, що робить його вразливим для хакерів.

Шкідливі програми в реальному світі: Оновлення вкрай необхідні

Malware photo

У 2017 році атаки програми-вимагача WannaCry заразили мільйони пристроїв по всьому світу, що призвело до закриття лікарень, державних установ, великих і малих організацій і підприємств в десятках країн. Чому атаки була настільки ефективними? Через застарілі, «непропатчені» операційні системи Windows, багато з яких були піратськими. Значної частини шкоди – для людей і фінансів – можна було б уникнути за допомогою кращих методів автоматизованого оновлення та використання законних операційних систем.

Будьте обережні з USB-накопичувачами

Будьте обережні, відкриваючи файли, надіслані вам як вкладення, через посилання для завантаження чи будь-яким іншим способом. Також подумайте двічі, перш ніж вставляти знімні носії, наприклад USB-накопичувачі, карти флеш-пам’яті, DVD-диски та компакт-диски у комп’ютер, оскільки вони можуть бути переносниками шкідливих програм. Дуже ймовірно, що на USB-накопичувачах, які використовувалися протягом деякого часу, є віруси. Щоб дізнатися про альтернативні варіанти безпечного обміну файлами у вашій організації, ознайомтеся з розділом «Обмін файлами» Довідника.

Також будьте обережні щодо інших пристроїв, до яких ви підключаєтеся через Bluetooth. Можна синхронізувати телефон або комп’ютер із відомим і надійним динаміком Bluetooth, щоб відтворювати улюблену музику, але будьте обережні, якщо підключаєтесь до будь-яких пристроїв, яких ви не впізнаєте, або приймайте запити від них. Дозволяйте підключення лише до надійних пристроїв і не забудьте вимкнути Bluetooth, коли він не використовується.

Будьте обережні під час перегляду сторінок в інтернеті

Ніколи не приймайте та не запускайте програми, що надходять із веб-сайтів, яких ви не знаєте та яким не довіряєте. Замість того, щоб приймати «оновлення», яке пропонується, наприклад, у спливаючому вікні вебоглядача, перевірте наявність оновлень на офіційному вебсайті відповідної програми. Як обговорювалося в розділі «Фішинг» Довідника, важливо бути уважним під час перегляду вебсайтів. Перевірте, куди веде посилання (навівши на нього курсор), перш ніж клацнути, подивіться на адресу вебсайту після переходу за посиланням і переконайтеся, що він виглядає належним чином, перш ніж вводити конфіденційну інформацію, як-от свій пароль. Не клацайте повідомлення про помилки чи попередження, стежте за вікнами вебоглядача, що з’являються автоматично, й уважно їх читайте, а не просто клацайте «Так» або «ОК». 

А як щодо смартфонів?

Як і у випадку з комп’ютерами, оновлюйте операційну систему й додатки телефону та ввімкніть автоматичне оновлення. Встановлюйте додатки лише з офіційних чи надійних джерел, як-от Google Play Store і Apple App Store (або F-droid, безкоштовний магазин додатків із відкритим кодом для Android). Додатки можуть мати вбудовані шкідливі програми і разом із тим працювати на вигляд нормально, тому ви не завжди дізнаєтеся, чи є додаток шкідливим. Також переконайтеся, що ви завантажуєте законну версію додатку. Особливо на Android існують «фальшиві» версії популярних додатків. Тому переконайтеся, що програма створена відповідною компанією чи розробником, має хороші відгуки й очікувану кількість завантажень (наприклад, підроблена версія WhatsApp може мати лише кілька тисяч завантажень, але справжня версія має понад п’ять мільярдів). Зверніть увагу на дозволи, які запитують додатки. Якщо вони здаються надмірними (наприклад, калькулятору потрібен доступ до вашої камери або Angry Birds запитує доступ до вашого місцезнаходження), відхиліть запит або видаліть додаток. Видалення додатків, якими ви більше не користуєтеся, також може допомогти захистити ваш смартфон або планшет. Розробники іноді продають право власності на свої додатки іншим людям. Ці нові власники можуть спробувати заробити гроші, додавши шкідливий код.

Шкідливі програми в реальному світі: Шкідливі мобільні додатки

iphone Screen

Хакери в багатьох країнах роками використовують підроблені додатки в магазині Google Play для розповсюдження шкідливих програм. Про один конкретний випадок, націлений на користувачів у В’єтнамі, стало відомо у квітні 2020 року. У цій шпигунській кампанії використовувалися підроблені додатки, які нібито допомагали користувачам знаходити сусідні паби або шукати інформацію про місцеві церкви. Після встановлення користувачами Android, які нічого про це не підозрювали, шкідливі програми збирали журнали викликів, дані про місцезнаходження й інформацію про контакти та текстові повідомлення. Це лише одна з багатьох причин бути обережними щодо додатків, які ви завантажуєте на свої пристрої.

Захист пристроїв

  • Навчіть персонал ризикам, пов’язаним із шкідливими програмами, та найкращим методам їх уникнення.
    • Запровадьте політику щодо підключення зовнішніх пристроїв, натискання посилань, завантаження файлів і додатків, а також перевірки програмного забезпечення та дозволів для додатків.
  • Зобов’язжіть співробітників регулярно оновлювати пристрої, програмне забезпечення та програми.
    • Увімкніть автоматичне оновлення, за можливості.
  • Переконайтеся, що всі пристрої використовують ліцензійне програмне забезпечення.
    • Якщо вартість непомірно висока, перейдіть на безкоштовну альтернативу.
  • Вимагайте захисту паролем усіх організаційних пристроїв, у тому числі персональних мобільних пристроїв, які використовуються для комунікації, пов’язаної з роботою.
  • Увімкніть шифрування всього диску на пристроях.
  • Часто нагадуйте співробітникам, щоб їхні пристрої були фізично захищені, – і забезпечте захист офісу за допомогою відповідних замків і способів захисту комп’ютерів.
  • Не передавайте файли за допомогою USB-накопичувачів і не підключайте USB-накопичувачі до своїх комп’ютерів.
    • Натомість використовуйте альтернативні безпечні варіанти обміну файлами.