Bagaimana profesional keamanan melindungi informasi pribadi

2024 Pengarang: Malcolm Clapton | [email protected]. Terakhir diubah: 2023-12-17 04:00

Apakah masuk akal untuk melepaskan Wi-Fi publik dan aplikasi perbankan dan mendapatkan kartu terpisah untuk pembelian online - pendapat spesialis keamanan informasi.

Setengah dari kolega saya di bidang keamanan informasi adalah paranoid profesional. Sampai 2012 saya sendiri seperti itu - saya dienkripsi secara penuh. Kemudian saya menyadari bahwa pertahanan yang tumpul seperti itu mengganggu pekerjaan dan kehidupan.

Dalam proses "keluar", saya mengembangkan kebiasaan seperti itu yang memungkinkan Anda untuk tidur nyenyak dan pada saat yang sama tidak membangun tembok Cina di sekitarnya. Saya memberi tahu Anda aturan keamanan apa yang sekarang saya perlakukan tanpa fanatisme, yang saya langgar dari waktu ke waktu, dan yang saya ikuti dengan serius.

Paranoid berlebihan

Jangan gunakan Wi-Fi publik

Saya menggunakan dan tidak takut dalam hal ini. Ya, ada ancaman saat menggunakan jaringan publik gratis. Tetapi risikonya diminimalkan dengan mengikuti aturan keselamatan sederhana.

1. Pastikan hotspot milik warnet dan bukan milik hacker. Titik hukum meminta nomor telepon dan mengirim SMS untuk masuk.
2. Gunakan koneksi VPN untuk mengakses Jaringan.
3. Jangan memasukkan nama pengguna / kata sandi di situs yang belum diverifikasi.

Baru-baru ini, browser Google Chrome bahkan mulai menandai halaman dengan koneksi tidak aman sebagai tidak aman. Sayangnya, situs phishing baru-baru ini mengadopsi praktik mendapatkan sertifikat untuk meniru yang asli.

Jadi, jika Anda ingin masuk ke beberapa layanan menggunakan Wi-Fi publik, saya sarankan Anda untuk memastikan bahwa situs tersebut asli seratus kali. Sebagai aturan, cukup menjalankan alamatnya melalui layanan whois, misalnya Reg.ru. Tanggal pendaftaran domain terbaru akan mengingatkan Anda - situs phishing tidak bertahan lama.

Jangan masuk ke akun Anda dari perangkat orang lain

Saya masuk, tetapi saya mengatur otentikasi dua langkah untuk jejaring sosial, surat, akun pribadi, situs web Layanan Negara. Ini juga merupakan metode perlindungan yang tidak sempurna, jadi Google, misalnya, mulai menggunakan token perangkat keras untuk memverifikasi identitas pengguna. Tetapi untuk saat ini, untuk "manusia biasa" cukup akun Anda akan meminta kode dari SMS atau dari Google Authenticator (dalam aplikasi ini, kode baru dibuat setiap menit di perangkat itu sendiri).

Namun demikian, saya mengakui sedikit paranoia: Saya secara teratur memeriksa riwayat penelusuran saya jika ada orang lain yang memasukkan email saya. Dan tentu saja, jika saya masuk ke akun saya dari perangkat orang lain, di akhir pekerjaan saya tidak lupa mengklik "Akhiri semua sesi".

Jangan instal aplikasi perbankan

Lebih aman menggunakan aplikasi mobile banking daripada online banking versi desktop. Sekalipun dirancang secara ideal dari sudut pandang keamanan, pertanyaannya tetap pada kerentanan browser itu sendiri (dan ada banyak di antaranya), serta kerentanan sistem operasi. Perangkat lunak berbahaya yang mencuri data dapat disuntikkan langsung ke dalamnya. Oleh karena itu, bahkan jika perbankan online benar-benar aman, risiko ini tetap lebih dari nyata.

Adapun aplikasi perbankan, keamanannya sepenuhnya pada hati nurani bank. Masing-masing dari mereka menjalani analisis menyeluruh tentang keamanan kode, seringkali pakar terkemuka eksternal terlibat. Bank dapat memblokir akses ke aplikasi jika Anda mengganti kartu SIM atau bahkan hanya memindahkannya ke slot lain di ponsel cerdas Anda.

Beberapa aplikasi yang paling aman bahkan tidak dijalankan sampai persyaratan keamanan terpenuhi, misalnya, telepon tidak dilindungi kata sandi. Karena itu, jika Anda, seperti saya, pada prinsipnya tidak siap untuk menyerah pada pembayaran online, lebih baik menggunakan aplikasi daripada perbankan online desktop.

Tentu saja, ini tidak berarti bahwa aplikasi 100% aman. Bahkan yang terbaik pun menunjukkan kerentanan, jadi pembaruan rutin diperlukan. Jika menurut Anda ini tidak cukup, baca publikasi khusus (Xaker.ru, Anti-malware.ru, Securitylab.ru): mereka akan menulis di sana jika bank Anda tidak cukup aman.

Gunakan kartu terpisah untuk pembelian online

Saya pribadi berpikir bahwa ini adalah masalah yang tidak perlu. Saya memiliki akun terpisah sehingga, jika perlu, mentransfer uang darinya ke kartu dan membayar pembelian di Internet. Tapi saya juga menolak ini - ini merugikan kenyamanan.

Lebih cepat dan lebih murah untuk mendapatkan kartu bank virtual. Saat Anda melakukan pembelian secara online menggunakannya, data kartu utama di Internet tidak menyala. Jika Anda berpikir bahwa ini tidak cukup untuk kepercayaan penuh, ambil asuransi. Layanan ini ditawarkan oleh bank-bank terkemuka. Rata-rata, dengan biaya 1.000 rubel per tahun, asuransi kartu akan menanggung kerusakan 100.000.

Jangan gunakan perangkat pintar

Internet of Things sangat besar, dan bahkan ada lebih banyak ancaman di dalamnya daripada yang tradisional. Perangkat pintar benar-benar penuh dengan peluang peretasan yang luar biasa.

Di Inggris, peretas meretas jaringan kasino lokal dengan data pelanggan VIP melalui termostat pintar! Jika kasino ternyata sangat tidak aman, apa yang harus dikatakan tentang orang biasa. Tapi saya menggunakan perangkat pintar dan tidak menempelkan kamera pada mereka. Jika TV dan menggabungkan informasi tentang saya - persetan dengan itu. Ini pasti akan menjadi sesuatu yang tidak berbahaya, karena saya menyimpan semua yang penting pada disk terenkripsi dan menyimpannya di rak - tanpa akses ke Internet.

Matikan telepon Anda di luar negeri jika terjadi penyadapan

Di luar negeri, kami paling sering menggunakan messenger yang mengenkripsi pesan teks dan audio dengan sempurna. Jika lalu lintas dicegat, itu hanya akan berisi "kekacauan" yang tidak dapat dibaca.

Operator seluler juga menggunakan enkripsi, tetapi masalahnya adalah mereka dapat mematikannya tanpa sepengetahuan pelanggan. Misalnya, atas permintaan layanan khusus: ini terjadi selama serangan teroris di Dubrovka sehingga layanan khusus dapat dengan cepat mendengarkan negosiasi teroris.

Selain itu, negosiasi dicegat oleh kompleks khusus. Harga untuk mereka mulai dari 10 ribu dolar. Mereka tidak tersedia untuk dijual, tetapi mereka tersedia untuk layanan khusus. Jadi jika tugasnya adalah mendengarkan Anda, mereka akan mendengarkan Anda. Apakah kamu takut? Kemudian matikan telepon Anda di mana-mana, dan di Rusia juga.

Ini agak masuk akal

Ubah kata sandi setiap minggu

Bahkan, sebulan sekali sudah cukup, asalkan kata sandinya panjang, rumit, dan terpisah untuk setiap layanan. Yang terbaik adalah mengindahkan saran bank karena mereka mengubah persyaratan kata sandi saat daya komputasi tumbuh. Sekarang kriptoalgoritma yang lemah diselesaikan secara paksa dalam sebulan, oleh karena itu persyaratan untuk frekuensi perubahan kata sandi.

Namun, saya akan membuat reservasi. Paradoksnya, persyaratan untuk mengubah kata sandi sebulan sekali mengandung ancaman: otak manusia dirancang sedemikian rupa sehingga, jika perlu terus-menerus mengingat kode baru, itu mulai keluar. Seperti yang telah diketahui oleh para ahli dunia maya, setiap kata sandi pengguna baru dalam situasi ini menjadi lebih lemah dari yang sebelumnya.

Solusinya adalah dengan menggunakan kata sandi yang rumit, ubah sebulan sekali, tetapi gunakan aplikasi khusus untuk penyimpanan. Dan pintu masuknya harus dilindungi dengan hati-hati: dalam kasus saya, itu adalah sandi 18 karakter. Ya, aplikasi memiliki dosa mengandung kerentanan (lihat paragraf tentang aplikasi di bawah). Anda harus memilih yang terbaik dan mengikuti berita tentang keandalannya. Saya belum melihat cara yang lebih aman untuk menyimpan lusinan kata sandi yang kuat di kepala saya.

Jangan gunakan layanan cloud

Kisah pengindeksan Google Documents dalam pencarian Yandex menunjukkan betapa banyak pengguna yang salah tentang keandalan metode penyimpanan informasi ini. Saya pribadi menggunakan server cloud perusahaan untuk berbagi karena saya tahu betapa amannya mereka. Ini tidak berarti bahwa cloud publik gratis adalah kejahatan mutlak. Tepat sebelum Anda mengunggah dokumen ke Google Drive, ambil masalah untuk mengenkripsinya dan memasukkan kata sandi untuk akses.

Tindakan yang diperlukan

Jangan tinggalkan nomor telepon Anda kepada siapa pun dan di mana pun

Tapi ini sama sekali bukan tindakan pencegahan ekstra. Mengetahui nomor telepon dan nama lengkap, penyerang dapat membuat salinan kartu SIM seharga sekitar 10 ribu rubel. Baru-baru ini, layanan semacam itu dapat diperoleh tidak hanya di darknet. Atau bahkan lebih mudah - untuk mendaftarkan ulang nomor telepon orang lain ke diri Anda sendiri menggunakan surat kuasa palsu di kantor operator telekomunikasi. Kemudian nomor tersebut dapat digunakan untuk mengakses layanan apa pun dari korban yang memerlukan otentikasi dua faktor.

Beginilah cara penjahat dunia maya mencuri akun Instagram dan Facebook (misalnya, untuk mengirim spam dari mereka atau menggunakannya untuk rekayasa sosial), mendapatkan akses ke aplikasi perbankan, dan membersihkan akun. Baru-baru ini, media menceritakan bagaimana dalam satu hari 26 juta rubel dicuri dari seorang pengusaha Moskow menggunakan skema ini.

Berhati-hatilah jika kartu SIM Anda berhenti bekerja tanpa alasan yang jelas. Lebih baik bermain aman dan memblokir kartu bank Anda, ini akan dibenarkan paranoia. Setelah itu, hubungi kantor operator untuk mengetahui apa yang terjadi.

Saya punya dua kartu SIM. Layanan dan aplikasi perbankan terikat pada satu nomor, yang tidak saya bagikan dengan siapa pun. Saya menggunakan kartu SIM lain untuk kebutuhan komunikasi dan rumah tangga. Saya meninggalkan nomor telepon ini untuk mendaftar webinar atau mendapatkan kartu diskon di toko. Kedua kartu dilindungi oleh PIN - ini adalah tindakan keamanan yang belum sempurna tetapi diabaikan.

Jangan unduh semuanya ke ponsel Anda

Aturan besi. Tidak mungkin untuk mengetahui dengan pasti bagaimana pengembang aplikasi akan menggunakan dan melindungi data pengguna. Namun ketika diketahui bagaimana pembuat aplikasi menggunakannya, itu sering berubah menjadi skandal.

Kasus terbaru termasuk kisah Polar Flow, di mana Anda dapat mengetahui keberadaan petugas intelijen di seluruh dunia. Atau contoh sebelumnya dengan Unroll.me, yang seharusnya melindungi pengguna dari langganan spam, tetapi pada saat yang sama menjual data yang diterima ke samping.

Aplikasi sering ingin tahu terlalu banyak. Contoh buku teks adalah aplikasi Senter, yang hanya membutuhkan bola lampu untuk bekerja, tetapi ingin mengetahui segala sesuatu tentang pengguna, sampai ke daftar kontak, melihat galeri foto dan di mana pengguna berada.

Yang lain bahkan menuntut lebih. UC Browser mengirimkan IMEI, Android ID, alamat MAC perangkat dan beberapa data pengguna lainnya ke server Umeng, yang mengumpulkan informasi untuk pasar Alibaba. Saya, seperti rekan-rekan saya, lebih suka menolak aplikasi semacam itu.

Bahkan orang paranoid profesional mengambil risiko, tetapi mereka sadar. Agar tidak takut pada setiap bayangan, putuskan apa yang publik dan apa yang pribadi dalam hidup Anda. Bangun tembok di sekitar informasi pribadi, dan jangan jatuh ke dalam fanatisme tentang keamanan informasi publik. Kemudian, jika suatu hari Anda menemukan informasi publik ini di domain publik, Anda tidak akan terluka parah.