15 KiB
meta_title, title, icon, description
| meta_title | title | icon | description |
|---|---|---|---|
| Моделювання загроз: Перший крок на шляху до конфіденційності - Privacy Guides | Моделювання загроз | material/target-account | Баланс між безпекою, конфіденційністю та зручністю використання - одне з перших і найскладніших завдань, з яким ви зіткнетеся на шляху до приватності. |
Баланс між безпекою, конфіденційністю та зручністю використання - одне з перших і найскладніших завдань, з яким ви зіткнетеся на шляху до приватності. У всьому є компроміс: чим безпечніше щось, тим більш обмежувальним або незручним воно є в цілому і т.д. Часто люди вважають, що проблема з рекомендованими інструментами полягає в тому, що їх занадто складно почати використовувати!
Якщо ви хочете використовувати найбільш безпечні інструменти, вам доведеться пожертвувати суттєвою зручністю використання. І навіть тоді, ==ніщо не буває повністю захищеним.== Існує висока безпека, але ніколи не повна безпека. Ось чому моделі загроз важливі.
Отже, що це за моделі загроз?
==Модель загроз - це перелік найбільш ймовірних загроз вашій безпеці та конфіденційності.== Оскільки неможливо захиститися від кожної атаки/атакуючого, вам слід зосередитися на найбільш ймовірних загрозах. У сфері комп'ютерної безпеки загроза — це подія, яка може підірвати ваші зусилля, спрямовані на збереження конфіденційності та безпеки.
Зосередження уваги на загрозах, які є важливими для вас, звужує ваше уявлення про необхідний захист, і ви можете вибрати інструменти, які найкраще підходять для цієї роботи.
Створення вашої моделі загроз
Щоб визначити, що може статися з речами, які ви цінуєте, і від кого їх потрібно захищати, вам слід відповісти на ці п'ять запитань:
- Що я хочу захистити?
- Від кого я хочу це захистити?
- Наскільки ймовірно, що мені доведеться це захищати?
- Наскільки поганими будуть наслідки, якщо я зазнаю невдачі?
- На які труднощі я готовий піти, щоб спробувати запобігти можливим наслідкам?
Що я хочу захистити?
"Актив" — це те, що ви цінуєте і хочете захистити. У контексті цифрової безпеки ==активом зазвичай є певна інформація.== Наприклад, ваші електронні листи, списки контактів, повідомлення в месенджері, місцезнаходження та файли — все це потенційні активи. Ваші пристрої також можуть бути активами.
Складіть список своїх активів: дані, які ви зберігаєте, де вони зберігаються, хто має до них доступ і що заважає іншим отримати до них доступ.
Від кого я хочу це захистити?
Щоб відповісти на це питання, важливо визначити, хто може захотіти отримати доступ до вас або вашої інформації. ==Фізична або юридична особа, яка становить загрозу для ваших активів, є "супротивником". Прикладами потенційних супротивників є ваш начальник, колишній партнер, бізнес-конкуренти, уряд або хакер у публічній мережі.
Складіть список ваших супротивників або тих, хто може захотіти заволодіти вашими активами. Ваш список може включати фізичних осіб, державні установи або корпорації.
Depending on who your adversaries are, this list might be something you want to destroy after you've finished developing your threat model.
Наскільки ймовірно, що мені доведеться це захищати?
==Ризик — це ймовірність того, що певна загроза для певного активу дійсно відбудеться. Ризик йде пліч-о-пліч з можливостями. Хоча ваш мобільний оператор має доступ до всіх ваших даних, ризик того, що він розмістить ваші особисті дані в Інтернеті, щоб зашкодити вашій репутації, є низьким.
Важливо розрізняти те, що може статися, і ймовірністю того, що це може статися. Наприклад, існує загроза, що ваш будинок може обвалитися, але ризик цього набагато вищий у Сан-Франциско (де землетруси є поширеним явищем), ніж у Стокгольмі (де вони не є поширеним явищем).
Оцінка ризиків - це особистий і суб'єктивний процес. Багато людей вважають певні загрози неприйнятними, незалежно від того, наскільки ймовірною є їхня реалізація, оскільки сама по собі наявність загрози не варта витрат. В інших випадках люди ігнорують високі ризики, тому що не вважають загрозу проблемою.
Запишіть, які загрози ви збираєтеся сприймати серйозно, а які можуть бути занадто рідкісними або занадто нешкідливими (або занадто складними для боротьби з ними), щоб про них турбуватися.
Наскільки поганими будуть наслідки, якщо я зазнаю невдачі?
Існує багато способів, за допомогою яких противник може отримати доступ до ваших даних. Наприклад, зловмисник може прочитати ваші приватні повідомлення, коли вони проходять через мережу, або видалити чи пошкодити ваші дані.
==Мотиви супротивників дуже різняться, так само як і їхня тактика. Уряд, який намагається запобігти поширенню відео, що демонструє насильство з боку поліції, може задовольнитися простим видаленням або обмеженням доступності цього відео. На противагу цьому, політичний опонент може захотіти отримати доступ до секретного контенту і опублікувати його без вашого відома.
Планування безпеки передбачає розуміння того, наскільки серйозними можуть бути наслідки, якщо противник успішно отримає доступ до одного з ваших активів. Щоб визначити це, слід врахувати можливості вашого супротивника. Наприклад, ваш мобільний оператор має доступ до всіх ваших телефонних записів. Хакер у відкритій мережі Wi-Fi може отримати доступ до ваших незашифрованих повідомлень. Ваш уряд може мати сильніші можливості.
Запишіть, що ваш супротивник може захотіти зробити з вашими особистими даними.
На які труднощі я готовий піти, щоб спробувати запобігти можливим наслідкам?
==Ідеального варіанту безпеки не існує.== Не всі мають однакові пріоритети, занепокоєння чи доступ до ресурсів. Ваша оцінка ризиків дозволить вам спланувати правильну стратегію, збалансувавши зручність, вартість і конфіденційність.
Наприклад, адвокат, який представляє клієнта у справі, що стосується національної безпеки, може бути готовий піти на більші заходи для захисту комунікації у цій справі, наприклад, використовувати зашифровану електронну пошту, ніж мати, яка регулярно надсилає своїй доньці кумедні відео з котиками.
Запишіть, які варіанти пом'якшення ваших унікальних загроз вам доступні. Зверніть увагу, чи є у вас будь-які фінансові, технічні або соціальні обмеження.
Спробуйте самі: захистіть те, що вам належить
Ці питання можуть стосуватися найрізноманітніших ситуацій, як онлайн, так і офлайн. Як загальну демонстрацію того, яким чином працюють ці питання, давайте розробимо план, як убезпечити ваш будинок і майно.
Що ви хочете захистити? (Або, що у вас є такого, що варто захищати?) :
Ваші активи можуть включати коштовності, електроніку, важливі документи або фотографії.
Від кого ви хочете це захистити? :
Вашими супротивниками можуть бути грабіжники, сусіди або гості.
Наскільки ймовірно, що вам доведеться це захищати? :
Чи були у вашому районі випадки крадіжок? Наскільки надійні ваші сусіди або гості? Які можливості у ваших супротивників? Які ризики ви повинні враховувати?
Наскільки серйозними будуть наслідки, якщо ви зазнаєте невдачі? :
Чи є у вас вдома щось, що ви не можете замінити? Чи є у вас час або гроші, щоб замінити ці речі? Чи є у вас страховка, яка покриває крадіжку речей з вашого будинку?
На які труднощі ви готові піти, щоб запобігти цим наслідкам? :
Чи готові ви купити сейф для конфіденційних документів? Чи можете ви дозволити собі купити якісний замок? У вас є час, щоб відкрити сейф у місцевому банку і зберігати там свої цінності?
Тільки після того, як ви поставите собі ці питання, ви зможете оцінити, яких заходів слід вжити. Якщо ваше майно цінне, але ймовірність злому низька, то, можливо, ви не захочете вкладати занадто багато грошей у замок. Але якщо ймовірність злому висока, ви захочете придбати найкращий замок на ринку і подумати про встановлення системи безпеки.
Складання плану безпеки допоможе вам зрозуміти загрози, характерні саме для вас, оцінити ваші активи, ваших супротивників та їх можливості, а також ймовірність ризиків, з якими ви стикаєтеся.
Додаткові джерела
Для людей, які хочуть підвищити рівень конфіденційності та безпеки в Інтернеті, ми склали список поширених загроз, з якими стикаються наші відвідувачі, або цілей, які переслідують наші відвідувачі, щоб дати вам натхнення і продемонструвати основу наших рекомендацій.