Основы менеджмента для сына, часть пятая: безопасность и приватность

Поговорим о том, на что большинство плюёт, не обращает внимания, насчёт чего не хочет заморачиваться и что игнорирует, — о безопасности и приватности.

Статистика примерно такая: 50% об этом не слышало, 40% слышало, но это к ним не относится, 5% интересуется, 4% что-то предпринимает для своей безопасности, 1% — Джулиан Пол Ассанж и его кореша.

Содержание:

1. Безопасность и приватность.
2. Выбор сервисов.
   
3. Облачные хранилища.
   
4. Хранилище паролей.
   
5. Двухфакторная аутентификация.
   
6. Антивирусы.
   
7. Отдельные мысли по поводу безопасности и приватности.
   
8. Практические задания.

Первое, что нужно понять, — зачем и какие усилия стоит прилагать. Очевидно, что законопослушному гражданину, который платит налоги, и торговцу наркотиками нужен совершенно разный уровень приватности и анонимности.

Гражданину вообще анонимность не нужна. На этой мажорной ноте гражданин расслабляет булки, становится спокоен и радостен и больше не заботится ни о своей безопасности, ни о приватности. А зря.

О чём мы вообще? Давайте разберёмся с терминами:

• Анонимность — никто не знает кто ты, нет связи с физическим лицом.
• Приватность — мы знаем, что это Олег, но не можем почитать его почту и подзамочные записи в соцсетях, пока он нам не разрешит.
  
• Безопасность в интернете — злоумышленникам или спецслужбам очень трудно, дорого или невозможно получить доступ к вашей приватной информации.
  

Что может случиться с честным, законопослушным гражданином, если не заботиться о безопасности и приватности?

1. Его обокрадут.
2. Он потеряет аккаунты.
3. Слив чувствительной информации. Травля, потеря репутации. Знаю женщину, которая теперь судится за детей, «доброжелатели» решили «помочь».
4. Вирусы и блокировщики. В том числе и распространение запрещённых файлов.
5. Станет частью ботнета.
6. Устройство начнёт майнить криптовалюту.
7. В РФ можно получить уголовное дело за неосторожные слова или перепосты.

Да ещё массу всего неприятного можно получить. Если вы не заботитесь о своей безопасности и приватности, не мелочитесь, поставьте везде пароль 123456, дверь в квартиру не закрывайте, раздавайте друзьям интимные фото и видео, а деньги лучше всего носить в заднем кармане брюк, чтобы торчали.

Хорошо, угрозы неприятные, хотим безопасности, что же делать? Вот тут очень важно выбрать, от чего и как защищаемся. Ведь можно же сделать абсолютно анонимную систему?

Конечно, можно, я даже экспериментировал, ставил себе Whonix, всё приватно до ужаса и... очень неудобно, медленно, половина привычных вещей не работает (выбрать себе защищённую систему можно на DistroWatch).

Если вы занимаетесь поставками оружия повстанцам, будете это терпеть, в ином случае, конечно, нет. Ещё одна мысль: если ко мне придут бандиты и вставят в одно местечко паяльник, я сам расскажу все свои пароли, 100%.

Поэтому каждый должен определить нужный ему уровень безопасности. Мой такой:

1. Мне нужна защита в сети, мои почты и другие аккаунты не должны взламываться.
2. Мне не нужны вирусы и майнеры, не хочу быть частью ботнета.
3. Если я словлю шифровальщик, хочу, чтобы важные документы не пострадали (и фотографии!).
4. Российские силовые структуры не должны иметь доступа к моим приватным сведениям. Наверное, этот пункт требует пояснения: уголовные дела заводят за слова, мнения и по совсем странным поводам, мне этого не надо. Кроме того, доступ силовых структур к приватной информации стал слишком лёгким, какому криминалу и что сольёт недобросовестный сотрудник, неизвестно.
5. Я не должен тратить на это время, мне должно быть удобно, в идеале — не должен этого замечать.

Попробуем получить такой результат.

Не пользуемся российскими сервисами: пятый пункт нашего списка. Потому, что законодательство обязывает сервисы хранить информацию в РФ, выдавать информацию, вести запись разговоров и переписок за три года. Потому, что «ВКонтакте» выдаёт всё и вся «товарищу майору» (есть ощущение, что он там просто сразу всё видит), а «Яндекс» делает вид, что не выдаёт, но тоже выдаёт. В России стало плохо с законодательством о приватности. И постоянно всё становится хуже.

Это вещь! Очень хорошо вписывается в концепцию того, что рабочее место должно быть в онлайне, а не на компьютере. Неплохо защищает от шифровальщиков.

Облачные хранилища сейчас шифруются, и даже их создатели не могут посмотреть, что там лежит. У некоторых есть специальная область, которая не обновляется при синхронизации вроде сейфа, положил туда что-нибудь важное, и оно неприкосновенно.

Большинство дают некоторое количество места бесплатно: Google Drive — 15 ГБ, Mega — 50 ГБ, Sync — 6 ГБ (список облачных хранилищ разной степени надёжности).

На что обращать внимание при выборе:

• Есть ли двухфакторная аутентификация.
• Шифруются ли данные в хранилище.
• В какой юрисдикции компания.
• Большой ли сервис? Маленькие частенько закрываются.

У многих просто конкретная проблема с паролями, они используют «девичью фамилию мамы + кличку кота + год рождения» в разных комбинациях, через год пароль забывают, так как на самом деле нужно было «имя папиного друга + фамилию первой девушки + номер машины».

Это всё полная чушь! Хороший пароль выглядит так: U3tq1x3&&NC^fn5C5TK99U

Вы его не должны помнить. Хотя можно и попробовать выучить, это, наверное, разовьёт отделы мозга, которые люди не используют.

Теперь вопрос: у меня больше 2000 логинов и паролей, как же мне их запомнить? Тут нам и поможет продвинутая система тренировки памяти Фёдорова-Гройсмана! Шучу. Помогут нам системы хранения паролей.

Как это работает? Регистрируемся, придумываем один по-настоящему сложный пароль (мастер-пароль), ставим плагин для браузера и сервис генерирует, запоминает и заполняет пароли за нас.

На мой взгляд, есть два сервиса достойных внимания: LastPass и Bitwarden. Они очень похожи по функциям, но Bitwarden — открытое ПО, работает побыстрее и интерфейс попроще.

Некоторые предпочитают локальные хранилища паролей, хозяин-барин, но мне нравится всё онлайновое и таскать за собой базу паролей не хочется.

Будьте внимательны, если вы забудете мастер-пароль, то потеряете все пароли сразу! (Системы хранения паролей.)

Что это и как работает? Вы скачиваете приложение, которое генерирует одноразовые коды для сайта с привязкой ко времени; каждый код действует 30 секунд. При входе на сайт спрашивает не только логин и пароль, но ещё и одноразовый код.

Зачем это нужно? Украли у вас логин или пароль, а войти не могут, кода нет. Система достаточно надёжная и безопасности добавляет ощутимо.

Лучшее приложение для генерации кодов — Authy.

Где использовать двухфакторную аутентификацию (2FA)? Да везде, где предлагают, код ввести не сложно, а поддерживают её, обычно, сайты, которые хранят личные данные или деньги. (Cписок сайтов, где можно настроить 2FA.)

Практически все популярные современные антивирусы весьма эффективны. Отличнейший ресурс с обзорами, бесплатными раздачами программ, помощью при заражении и прочими плюшками — COMSS.

На что смотреть при выборе антивируса? Лично я смотрел, есть или нет защищённая папка, это от шифровальщиков. Указываешь папку на компьютере, и антивирус не даёт туда писать сторонним программам. На момент выбора такое было у двух антивирусов: Bitdefender и TrendMicro , один из них я и выбрал.

SMS — всегда дырка в безопасности, номер переоформляют, SMS приходят не туда. Если есть возможность, отвяжите телефон в сервисе.

Телефон легко потерять, лучше не держать там критичной информации, настроить удалённый поиск и управление, блокировать экран. На заставке оставить контактные данные и просьбу вернуть за вознаграждение.

1. Подобрать себе облачное хранилище и настроить синхронизацию. Может даже не одно.
2. Настроить в Gmail двухфакторную авторизацию и отвязать телефон.
3. Установить и настроить хранилище для паролей.
4. Поделиться с помощью хранилища для паролей логином или паролем с другом.
5. Установить и настроить антивирус. Защитить папку с документами от шифровальщиков.

Предыдущие материалы:

1. Что делать.
2. Подрядчики и работники.
3. Деньги.
4. Минимальный набор инструментов.

Следующая, шестая часть: этика и этикет

#безопасность