Čo je to OPSEC a prečo to potrebujete?

OPSEC je dôležitou súčasťou zabezpečenej komunikácie

Zabezpečenie komunikácie je jednou z najťažších výziev. Bez ohľadu na to, či hovoríte o obchodnom tajomstve, komunikujete s právnikom alebo vymieňate súkromné ​​informácie, je nesmierne dôležité zachovávať dôvernosť dôverných informácií.

Šifrovanie je ponúkané ako konečné riešenie všetkých našich problémov s ochranou osobných údajov – udržanie všetkých nechcených špiónov na uzde pomocou výkonnej, neporaziteľnej matematiky. Potrebujete však aj dobrú bezpečnosť operácií (OPSEC), aby ste holisticky chránili svoju komunikáciu a seba pred padaním do nesprávnych rúk..

Pre súkromnú komunikáciu je potrebné šifrovanie

Pri verejne kontrolovaných a profesionálne implementovaných šifrovacích technikách už nemusíte dôverovať spoločnostiam alebo súdom v ochrane vašich osobných údajov – je to len vo vašich rukách.

OPSEC zaisťuje bezpečnosť

Je smutné, že šifrovanie nie je kúzelný prepínač, ktorý môžete jednoducho prevrátiť, aby ste sa chránili.

Mať dobrý OPSEC znamená premýšľať o tom, od koho sa snažíte chrániť svoje informácie, s kým komunikujete a aké možnosti môžu mať vaši protivníci. Ak sa napríklad snažíte chrániť pred organizovaným zločinom alebo národnými štátmi, potrebujete veľmi odlišný OPSEC, ako keby ste sa chránili pred prenasledovateľom.

Je dôležité posúdiť, ako môže byť ohrozené vaše nastavenie zabezpečenia, a zvážiť, či riziká stoja za to podstúpiť alebo sa im vyhnúť.

Správca hesiel umožňuje zložité a bezpečné heslá, ale dobré OPSEC vyžaduje, aby ste pri používaní jednej kamery nesedeli pod bezpečnostnou kamerou..

proces OPSEC, ako je opísané americkou armádou, zahŕňa päť krokov. ExpressVPN použil päť bezpečnostných krokov na komunikáciu, ktorú všetci máme, pravdepodobne každý deň: digitálny chat.

Identifikujte hrozby OPSEC

1. Identifikácia kritických informácií

Čo sa snažíte skryť? V kontexte digitálnej konverzácie vás odhalia predovšetkým obsah a metaúdaje. Obsah je samotná konverzácia, zatiaľ čo metadáta opisujú informácie týkajúce sa týchto informácií. Metadáta zahŕňajú, s kým hovoríte, kedy, trvanie a frekvenciu konverzácií.

Obsah správy je ľahké skryť, ale skrytie metadát je stále ťažké. Aplikácie ako Signal sľubujú, že nebudú uchovávať žiadne metadáta, ale je potrebné, aby ste si mohli byť istí, že budete musieť spustiť svoj vlastný server OTR (nie banálny výkon a zaťažený jedinečnými vlastnými rizikami)..

Analyzujte hrozby OPSEC

2. Analýza hrozieb

To sa týka aj toho, od koho sa snažíte informácie skryť. Ak skrývate iba informácie od svojho prenasledovateľa alebo suseda, posudzované riziká a zraniteľné miesta sa veľmi líšia, ako keby ste boli proti silnému národnému štátu. Premýšľajte o hrozbách tým, že si predstavíte, kto ste rozhodne nechcem mať vaše údaje. Možno je to pracovný rival alebo skorumpovaný vládny úradník.

Chyby zabezpečenia OPSEC

3. Analýza zraniteľností

Tretí krok je zďaleka najťažšia časť povedomia OPSEC, pretože vaše zraniteľné miesta sú potenciálne nekonečné. Musíte byť schopní veriť svojmu zariadeniu, operačnému systému, aplikáciám a všetkým nainštalovaným programom. Zadné vrátka by mohli spravodajským agentúram umožniť prístup k vašim údajom a nedbalé programovanie by mohlo únikom informácií bez vášho vedomia.

Zraniteľnosti môžu existovať aj v komunikačnom reťazci alebo u vášho chatového partnera. Toto je ťažké posúdiť, pretože možno neviete, aké systémy fungujú medzi vami a nimi.

Váš partner rozhovoru nemusí mať rovnaké stimuly na to, aby informácie uchovával v súkromí. Možno sú v krajine, kde sú orgány menej represívne. Alebo sa jednoducho nestarajú o toľko súkromia ako vy.

Je dôležité zahrnúť OPSEC ľudí, s ktorými komunikujete, do svojho vlastného modelu OPSEC, aj keď je to ťažké a zahŕňa neistotu. Existuje mnoho spôsobov, ako zmierniť zraniteľné miesta, mohli by ste sa napríklad distancovať od svojho partnera iba odhalením prísne potrebných informácií o sebe.

Bohužiaľ, najnáročnejšie a najťažšie slabosti často ležia mimo toho, čo je možné pomocou technológie. Útočníci by vás mohli osobne hroziť, že sa vzdáte hesiel, alebo vás jemne donútia, možno s perspektívou uväznenia..

Posúdenie rizika OPSEC

4. Posúdenie rizika

Váš zoznam zraniteľností bude pravdepodobne veľmi dlhý. Nie všetky hrozby sú však rovnako relevantné. V skutočnosti niektoré nemusia byť vôbec relevantné.

V tomto kroku skombinujte krok 2 s krokom 3, aby ste zistili hrozby a zhodnotili, ako by mohli zneužiť vaše zraniteľné miesta.

Hrozba môže zahŕňať sofistikovaného hackera alebo niekoho zdieľajúceho váš domov. Každý z nich musí byť riešený inak. Napríklad heslo napísané na kúsok papiera má veľmi nízke riziko, že ho hacker odhalí, ale existuje vysoké riziko, že ho nájde spolubývajúci spolubývajúci..

Zaškrtnite zbytočné hrozby zo zoznamu a zvyšok označte ako vysoké, stredné alebo nízke riziko.

Vhodné opatrenia OPSEC

5. Uplatňovanie vhodných opatrení OPSEC

V poslednom kroku naplánujte svoje akcie. Najprv sa zamerajte na najvyššie hrozby a potom sa snažte znížiť riziká. Niektoré z nich budú nevyhnutné, ale je ich možné minimalizovať.

OPSEC je významným krokom k zabezpečenej komunikácii

Používajte šifrovanie a OPSEC spolu pre lepšiu bezpečnosť. Prispôsobte svoju odpoveď tak, aby vyhovovala danej situácii. Opatrenia OPSEC by sa mohli zamerať na použitie silnejšieho šifrovania, ale mohli by sa tiež zamerať na úplné zamedzenie technológie.

Ponechanie telefónu doma a používanie verejnej dopravy na návštevu poštovej schránky vzdialenej niekoľko desiatok kilometrov môže byť v závislosti od vašej analýzy OPSEC lepšou stratégiou ako odosielanie dokumentov prostredníctvom e-mailu šifrovaného PGP cez sieť Tor.