Što je OPSEC i zašto vam je potreban?
Održavanje komunikacije jedan je od najtežih izazova. Bez obzira govorite li o poslovnim tajnama, komunicirate sa svojim odvjetnikom ili razmjenjujete privatne podatke, nevjerojatno je važno povjerljive podatke čuvati u tajnosti.
Šifriranje se smatra najboljim rješenjem za sve naše probleme s privatnošću – držanjem svih neželjenih špijuna uz moćnu, neprovjerljivu matematiku. Ali također vam treba dobra operativna sigurnost (OPSEC) kako biste holistički zaštitili svoje komunikacije i sebe od pada u pogrešne ruke.
Šifriranje je potrebno za privatnu komunikaciju
S javno revidiranim i profesionalno implementiranim tehnikama šifriranja više ne morate vjerovati tvrtkama ili sudovima da štite vaše osobne podatke – to su samo u vašim rukama.
OPSEC osigurava sigurnost
Nažalost, šifriranje nije čarobna sklopka koju jednostavno možete okrenuti da biste se zaštitili.
Imati dobar OPSEC znači razmišljati o tome od koga pokušavate zaštititi svoje podatke, s kime komunicirate i koje bi mogućnosti mogli imati vaši protivnici. Na primjer, ako se pokušavate zaštititi od organiziranog kriminala ili nacionalnih država, potreban vam je sasvim drugačiji OPSEC nego ako se štite od stalkera.
Važno je procijeniti na koji način se sigurnosne postavke mogu ugroziti i odmjeriti vrijedi li rizike ili izbjeći rizike.
Upravitelj zaporki omogućuje složene i sigurne lozinke, ali dobar OPSEC zahtijeva da ne sjedite ispod sigurnosne kamere kada koristite jednu.
postupak OPSEC-a, kako je opisala američka vojska, uključuje pet koraka. ExpressVPN je primijenio pet koraka sigurnosti na komunikaciju koju svi, vjerojatno svaki dan: digitalni chat.
1. Identifikacija kritičnih podataka
Što pokušavaš sakriti? U kontekstu digitalnog razgovora razotkrivat će vas uglavnom sadržaj i metapodaci. Sadržaj je sam razgovor, dok metapodaci opisuju podatke koji se odnose na te podatke. Metapodaci uključuju s kim razgovarate, kada, trajanje i učestalost razgovora.
Lako je sakriti sadržaj poruke, ali sakrivanje metapodataka ostaje teško. Aplikacije poput Signala obećavaju da neće zadržati metapodatke, ali da biste bili sigurni, možda ćete morati pokrenuti vlastiti OTR poslužitelj (ne trivijalni podvig i opterećen jedinstvenim vlastitim rizicima).
2. Analiza prijetnji
To uključuje i od koga pokušavate sakriti informacije. Ako samo sakrivate podatke od svog provalnika ili susjeda, procijenjeni rizik i ranjivosti vrlo su različiti nego ako se borite protiv moćne nacionalne države. Zamislite tko ste vi definitivno ne želim da posjedujem vaše podatke. Možda je to radni rival ili korumpirani vladin dužnosnik.
3. Analiza ranjivosti
Treći korak je daleko najteži dio svijesti OPSEC-a, jer su vaše ranjivosti potencijalno beskrajne. Morate imati mogućnost povjerenja u svoj uređaj, operativni sustav, aplikacije i sve programe koje ste instalirali. Pozadine bi obavještajnim agencijama mogle omogućiti pristup vašim podacima, a neuredno programiranje moglo bi procuriti informacije bez vašeg znanja.
Ranjivosti također mogu postojati duž komunikacijskog lanca ili s vašim partnerom za chat. Ovo je teško procijeniti jer možda ne znate koji sustavi rade između vas i njih.
Vaš partner za chat možda nema iste poticaje za čuvanje privatnih podataka. Možda su u zemlji u kojoj vlasti nisu manje represivne. Ili možda oni jednostavno ne brinu toliko o privatnosti kao i vi.
Važno je uključiti OPSEC ljudi s kojima komunicirate u svoj OPSEC model, čak i ako je težak i uključuje neizvjesnost. Postoji mnogo načina za ublažavanje ranjivosti, na primjer, možete se distancirati od svog partnera otkrivajući samo strogo potrebne podatke o sebi.
Nažalost, najizazovnije i problematične slabosti često leže izvan onoga što je moguće kroz tehnologiju. Napadači bi vam mogli osobno zaprijetiti da će vam odustati od lozinke ili vas suptilno prisiliti, možda uz izricanje zatvora.
4. Procjena rizika
Vaš popis ranjivosti vjerojatno će biti vrlo dugačak. No nisu sve prijetnje podjednako relevantne. Zapravo, neki možda uopće nisu relevantni.
U ovom koraku kombinirajte korak 2 sa korakom 3 da biste utvrdili prijetnje i procijenili kako mogu iskoristiti vaše ranjivosti.
Prijetnja može uključivati sofisticirani haker ili nekoga tko dijeli vaš dom. Svaka se adresa mora drugačije rješavati. Na primjer, zaporka napisana na komadu papira ima vrlo nizak rizik da će je haker otkriti, ali postoji veliki rizik da će ga pronaći pripadnik sobe koji nestaje.
Ugasite nepotrebne prijetnje s popisa, a zatim označite ostale kao visok, srednji ili niski rizik.
5. Primjena odgovarajućih OPSEC mjera
U posljednjem koraku planirajte svoje postupke. Prvo se riješite najvećih prijetnji, a zatim radite na njima. Neke su neizbježne, ali mogu se svesti na najmanju moguću mjeru.
OPSEC je značajan korak ka sigurnoj komunikaciji
Koristite Encryption i OPSEC zajedno za bolju sigurnost. Svoj odgovor prilagodite situaciji. Mjere OPSEC-a mogu se usredotočiti na korištenje snažnijeg šifriranja, ali mogu se usmjeriti i na potpuno izbjegavanje tehnologije.
Ostavljanje telefona kod kuće i korištenje javnog prijevoza za posjetu poštanskom sandučiću udaljenom nekoliko desetaka kilometara moglo bi biti bolja strategija od slanja dokumenata putem PGP šifrirane e-pošte putem Tor mreže.
17.04.2023 @ 17:43
igurnosne ranjivosti su one koje su izvan vaše kontrole, poput ranjivosti u aplikacijama koje koristite ili u operativnom sustavu vašeg uređaja. Stoga je važno redovito ažurirati svoje aplikacije i operativni sustav te koristiti pouzdane antivirusne programe kako biste smanjili rizik od napada.
4. Procjena rizika Nakon što ste identificirali kritične podatke, analizirali prijetnje i ranjivosti, sljedeći korak je procjena rizika. Ovaj korak uključuje procjenu vjerojatnosti da će se dogoditi neželjeni događaj i utjecaj koji bi to mogao imati na vas. Na primjer, ako se bavite osjetljivim poslovnim informacijama, rizik od hakiranja ili krađe podataka može biti vrlo visok, što bi moglo dovesti do financijskih gubitaka ili gubitka povjerenja klijenata.
5. Primjena odgovarajućih OPSEC mjera Nakon što ste procijenili rizik, sljedeći korak je primjena odgovarajućih OPSEC mjera. To može uključivati korištenje sigurnih aplikacija za razmjenu poruka, korištenje VPN-a za zaštitu vaše mrežne aktivnosti, korištenje jakih lozinki i dvofaktorske autentifikacije te redovito ažuriranje vašeg softvera i operativnog sustava. Važno je također educirati se o sigurnosnim praksama i biti svjestan potencijalnih prijetnji kako biste mogli pravovremeno reagirati.
OPSEC je značajan korak ka sigurnoj komunikaciji, ali nije dovoljan sam po sebi. Potrebno je kombinir