Какво е OPSEC и защо ви е необходим?

[ware_item id=33][/ware_item]

OPSEC е важна част от сигурните комуникации


Запазването на вашите комуникации е едно от най-трудните предизвикателства. Без значение дали говорите за бизнес тайни, общувате със своя адвокат или обменяте лична информация, е изключително важно да запазите поверителна информация.

Шифроването се рекламира като най-доброто решение на всички наши проблеми с поверителността - поддържане на всички нежелани шпиони в сила с мощна, непроменима математика. Но също така се нуждаете от добра оперативна сигурност (OPSEC), за да защитите целостно вашите комуникации и себе си от попадане в грешни ръце.

Шифроването е необходимо за частни комуникации

С публично одитирани и професионално внедрени техники за криптиране вече не е нужно да се доверявате на компании или съдилища при защита на личната ви информация - тя е само в ръцете ви.

OPSEC гарантира сигурност

За съжаление, криптирането не е магически превключвател, който можете просто да обърнете, за да се защитите.

Да имате добър OPSEC означава да мислите от кого се опитвате да защитите вашата информация, от кого общувате и какви възможности могат да имат вашите противници. Ако се опитвате да се защитите от организирана престъпност или национални държави, например, имате нужда от съвсем различен OPSEC, отколкото ако се предпазвате от сталкер.

Важно е да прецените как вашите настройки за сигурност могат да бъдат компрометирани и да прецените дали си струва да поемете или избягвате рискове.

Мениджърът на пароли позволява сложни и сигурни пароли, но добрият OPSEC изисква да не седите под камера за сигурност, когато използвате такава.

Най- процес на OPSEC, както е описано от американските военни, включва пет стъпки. ExpressVPN е приложил петте стъпки за сигурност към комуникациите, които всички имаме, вероятно всеки ден: цифров чат.

Идентифициране на OPSEC заплахи

1. Идентифициране на критичната информация

Какво се опитваш да скриеш? В контекста на дигитален разговор, те до голяма степен ще ви изложат съдържанието и метаданните. Съдържанието е самият разговор, докато метаданните описват информацията, свързана с тази информация. Метаданните включват с кого разговаряте, кога, продължителността и честотата на разговорите.

Лесно е да скриете съдържанието на съобщението, но скриването на метаданни остава трудно. Приложения като Signal обещават да не пазят метаданни, но за да сте сигурни, може да се наложи да стартирате свой собствен OTR сървър (не тривиален подвиг и обременен с уникални собствени рискове).

Анализирайте OPSEC заплахи

2. Анализ на заплахи

Това включва от кого се опитвате да скриете информация. Ако криете само информация от своя сталър или съсед, оценявания риск и уязвимости са много по-различни, отколкото ако сте против мощна национална държава. Помислете за заплахите като си представите кой сте определено не искам да притежавате вашите данни. Може би е съперник на работа или корумпиран държавен служител.

OPSEC уязвимости

3. Анализ на уязвимостите

Трета стъпка е най-трудната част от осведомеността на OPSEC, тъй като вашите уязвимости са потенциално безкрайни. Трябва да можете да се доверите на вашето устройство, операционна система, приложения и всички инсталирани от вас програми. На заден план биха могли да позволят на разузнавателните агенции достъп до вашите данни, а небрежното програмиране може да изтече информация без ваше знание.

Уязвимостите също могат да съществуват по веригата на комуникация или с вашия чат партньор. Това е трудно да прецените, тъй като може да не знаете какви системи работят между вас и тях.

Вашият партньор за чат може да няма същите стимули за запазване на информацията поверителна. Може би са в страна, в която властите са по-малко репресивни. Или може би просто не се интересуват толкова от личния живот, колкото вие.

Важно е да включите OPSEC на хората, с които общувате, в собствения си модел OPSEC, дори ако е трудно и включва несигурност. Има много начини за смекчаване на уязвимости, например можете да се дистанцирате от партньора си, като разкривате само строго необходима информация за себе си.

За съжаление, най-предизвикателните и проблемни слабости често се крият извън това, което е възможно чрез технологията. Нападателите биха могли лично да ви заплашат, че ще се откажете от пароли или ще ви принудят, може би с перспективата за затвор.

OPSEC оценка на риска

4. Оценка на риска

Списъкът ви с уязвимости вероятно ще бъде много дълъг. Но не всички заплахи са еднакво уместни. Всъщност някои може да не са от значение изобщо.

В тази стъпка комбинирайте стъпка 2 с стъпка 3, за да установите заплахите и да прецените как биха могли да използват вашите уязвимости.

Заплахата може да включва сложен хакер или някой, който споделя вашия дом. Всеки трябва да бъде разгледан по различен начин. Например, паролата, написана на лист хартия, има много малък риск да бъде открита от хакер, но има голям риск, че може да бъде намерен от събуждащия съквартирант.

Ударете ненужните заплахи от списъка си, след което маркирайте останалите като висок, среден или нисък риск.

Подходящи мерки на OPSEC

5. Прилагане на подходящи OPSEC мерки

В последната стъпка планирайте действията си. Първо адресирайте най-високите заплахи, а след това работете с по-ниските рискове. Някои ще бъдат неизбежни, но могат да бъдат сведени до минимум.

OPSEC е важна стъпка към сигурни комуникации

Използвайте Encryption и OPSEC заедно за по-добра сигурност. Съобразете отговора си, за да отговаря на ситуацията в момента. Мерките на OPSEC могат да се съсредоточат върху използването на по-силно криптиране, но могат да се съсредоточат и върху избягване на технологията.

Оставянето на телефона у дома и използването на обществен транспорт за посещение на пощенска кутия на няколко десетки километра може, в зависимост от вашия OPSEC анализ, би било по-добра стратегия от изпращане на документи чрез шифрован PGP имейл през мрежата на Tor.

Какво е OPSEC и защо ви е необходим?
admin Author
Sorry! The Author has not filled his profile.