Защита важных данных

Обновлено13 March 2024

Содержание

...Загрузка оглавления...

    Злоумышленники могут получить удаленный доступ к вашим устройствам и к информации на них. Лучше всего иметь несколько уровней защиты от такой угрозы. Важный уровень — шифрование самих устройств и отдельных файлов на них.

    Шифрование — программное преобразование данных с использованием продвинутых математических методов. Прочесть зашифрованную информацию можете только вы. Для расшифровки понадобится пароль или шифровальный ключ. Шифрование устройства чем-то похоже на хранение информации в закрытом сейфе, где комбинацию для замка знаете только вы.

    Мы предлагаем вам сделать несколько шагов, чтобы защитить данные на своих устройствах.

    Возможно, старые данные лучше удалять, а не хранить

    Почему мы советуем делать так

    Хранить конфиденциальные данные может быть рискованно для вас и ваших коллег. Шифрование снижает этот риск, но не обнуляет. Первый шаг на пути защиты важных данных — уменьшить их количество. Вам точно нужен этот файл или, скажем иначе, какие-либо данные внутри файла? Если нет, просто удалите его. Некоторые советы есть в главе о надежном удалении важных данных.

    Убедитесь, что шифрование в вашей стране законно и не вызывает подозрений

    Почему мы советуем делать так

    В некоторых странах шифрование незаконно. Если это про вашу страну, то скачивание, установку или использование шифровальных программ могут посчитать преступлением. Полиция, военные или спецслужбы могут использовать применение вами шифрования как повод расследовать, чем занимаетесь вы или ваша организация. Не так уж важно, что именно вы шифруете и законна ли эта информация. Сам факт шифрования провоцирует подозрения.

    Выясните, как правоохранительные органы вашей страны относятся к шифрованию. Подумайте, насколько рискованно в вашей ситуации иметь на своих устройствах шифровальные средства.

    О том, легально ли шифрование в вашей стране, можно узнать из материала Global Partners Digital World map of encryption laws and policies.

    Если шифрование незаконно в вашей стране или там, куда вы направляетесь, можете сразу перейти к главе о шифровании всего устройства.

    Если шифрование в вашей стране незаконно, подумайте о других вариантах

    Не храните особо важные (чувствительные) данные

    Храните данные в зашифрованном облаке

    • Возможно, с учетом вашей модели угроз вам подойдет зашифрованное облачное хранилище. Такие сервисы защищают ваши данные с помощью шифрования, а злоумышленникам сложнее получить доступ к серверам. Но если злоумышленникам это удалось, у них будет больше времени на попытки получить доступ к данным, к тому же их вторжение может пройти для вас незамеченным.

    Используйте систему кодовых слов

    • Сохраняйте файлы где обычно, но используйте кодовые слова для обозначения важных имен, мест, действий и т.д.

    Храните данные на зашифрованном носителе

    • Можно держать важные данные не на компьютере, а на зашифрованной флешке или внешнем жестком диске. О том, как шифровать устройства, рассказано ниже.

    • Внешние устройства уязвимы: их проще потерять, а еще их изымают при обыске. Поэтому рискованно хранить на них важные данные в открытом виде. При шифровании используйте надежные пароли, которые трудно угадать или взломать. См. главу нашего руководства о создании и хранении надежных паролей.

    Подумайте о шифровании всего устройства

    • Имейте в виду, что шифрование всего устройства защищает его только в выключенном состоянии, но не в режиме сна ("гибернации"). Если устройство не полностью выключено, тот, кто получит к нему физический доступ, может прочесть или изменить файлы и сообщения.

    Android

    • Большинство устройств на Android 10 и новее в обязательном порядке применяют шифрование на уровне файлов.

      Чтобы проверить, так ли это в вашем случае, выберите Настройки > Безопасность > Шифрование и доступ. Найдите там Шифрование или Шифрование телефона. Пожалуйста, имейте в виду, что названия пунктов меню могут отличаться на вашем устройстве.

    iOS

    • Устройства iOS шифруются по умолчанию, когда вы устанавливаете пароль доступа.

    Linux

    • Полнодисковое шифрование можно включить только при установке Linux. Если вы этого не сделали, придется выполнить переустановку.

      • Сначала сделайте резервные копии всех ваших данных. При установке все данные предыдущей операционной системы будут удалены.
      • Если у вас ноутбук, подключите его к сети, чтобы батарея не села в процессе установки.
      • Подключитесь к интернету, чтобы при установке Linux скачать последние обновления. Если вы не подключены к интернету по проводу, вам предложат выбрать беспроводную сеть (если такая найдется).

    • В случае с Ubuntu поможет инструкция по установке из официальной документации Ubuntu.

    • Для установки также придется создать загрузочный USB-носитель.

      • О том, как создавать загрузочную флешку, рассказывается в руководстве по Ubuntu:

    macOS

    Windows

    Зашифровать весь компьютер Windows можно с помощью BitLocker. Это встроенная система шифрования, доступна в Windows 10 и 11 (версии Pro, Enterprise и Education).

    • Чтобы зашифровать Windows-компьютер с помощью BitLocker, обратитесь к официальной документации Windows.
    • См. подробнее о шифровании более старых устройств.
      • Видите ошибку "Это устройство не может использовать доверенный платформенный модуль"? Значит, на вашем компьютере нет микросхемы Trusted Platform Module (TPM), которая используется для шифрования. Впрочем, с некоторыми настройками BitLocker можно использовать и на компьютере без чипа TPM.
        1. Нажмите кнопку Пуск. Наберите gpedit.msc, нажмите Enter. Выберите Конфигурация компьютера > Административные шаблоны > Шифрование диска Bitlocker > Диски операционной системы.
        2. В правом верхнем углу окна щелкните дважды по пункту Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске. Обратите внимание: рядом есть пункт с похожим названием, но с упоминанием Windows Server 2008 и Windows Vista; этот пункт нам не нужен.
        3. Выберите Включено. Убедитесь, что в поле Разрешить использование Bitlocker без совместимого TPM (необходим пароль или ключ запуска на USB-устройстве флэш-памяти стоит галочка. Нажмите ОК.
        4. Закройте окно редактора локальной групповой политики.
        5. В конце этого процесса можно включить шифрование устройства.
    Почему мы советуем делать так

    Предположим, ваше устройство потеряно, украдено или изъято людьми, которым интересны ваши файлы и коммуникации. Вы не пожалеете, что заранее включили защиту. С этой задачей справляется шифрование всего устройства с надежным паролем (кодом).

    Если компьютер не поддерживает полнодисковое шифрование или вы предпочитаете программы с открытым кодом, для шифрования устройства можно попробовать VeraCrypt.

    Подумайте о шифровании внешних носителей

    • Если злоумышленники доберутся до содержимого компьютера, вы не пожалеете, что сохранили важную информацию на зашифрованной флешке или зашифрованном внешнем жестком диске.
    • Не забывайте, что внешние устройства обычно более уязвимы, чем компьютеры. Их легче потерять, иногда их проще изъять. Поэтому такое устройство лучше зашифровать с хорошим паролем, стойким к угадыванию и взлому. См. главу нашего руководства о том, как создавать и хранить надежные пароли.
    • On desktops and laptops, your device may have built-in encryption options for external storage devices. Alternatively, you can use VeraCrypt to activate this additional layer of protection.

    Linux, macOS и Windows

    Какая бы операционная система ни была у вас установлена, можете воспользоваться VeraCrypt для защиты важных файлов на внешних носителях. Вам доступны опции создания зашифрованного раздела или шифрования всего носителя.

    macOS

    На macOS для шифрования внешних носителей данных можно использовать встроенную утилиту работы с дисками. Только не забудьте: зашифрованные таким образом данные можно будет расшифровать только на компьютере под управлением macOS.

    Windows

    В операционной системе Windows для шифрования внешних носителей данных можно использовать встроенный Bitlocker (доступен для Windows 10 и Windows 11 версий Pro, Enterprise и Education). Обратите внимание: зашифрованную таким образом информацию можно будет прочесть только на устройствах под управлением Windows.

    Tails

    Tails — операционная система, которую можно запустить на вашем компьютере прямо с флешки. Все интернет-соединения в Tails защищены Tor. При отключении компьютера история ваших действий стирается, никаких следов пребывания на компьютере не остается. Более того, можно создать на флешке зашифрованный раздел, в котором хранить важную информацию. Даже если злоумышленник получит доступ к потерянной/изъятой флешке и к Tails, он не сможет добраться до ваших файлов.

    Можно зашифровать только некоторые важные файлы

    On desktops and laptops, your device may have built-in encryption options that offer additional protection for specific files. Alternatively, you can use Cryptomator to activate this additional layer of protection on any operating system, including mobile devices. Another option to encrypt your sensitive data on computers is VeraCrypt, which also makes it possible to hide your encrypted folder.

    Почему мы советуем делать так

    Возможно, имеет смысл не шифровать файлы, которые не имеют большой ценности. Если ваше устройство изымут и осмотрят, оно не будет выглядеть подозрительно. Обычные файлы, обычные сообщения. Подумайте о том, чтобы зашифровать лишь некоторые из ваших файлов.

    Windows, macOS, Linux, Android, iOS

    Вам нужно зашифровать файлы на компьютере или на мобильном устройстве? Попробуйте Cryptomator, бесплатную программу с открытым кодом. Она создавалась для защиты файлов в облачных хранилищах, но позволяет шифровать файлы и на устройстве.

    О том, как работать с Cryptomator, рассказано в документации. Обратите внимание на раздел Getting Started guide for computers.

    Windows

    macOS

    Linux, macOS и Windows

    Можно держать файлы в скрытом хранилище

    Почему мы советуем делать так

    Если вы зашифровали информацию, ее не прочтут посторонние. Но кто-то может догадаться, что вы используете шифрование, и доберется до зашифрованных файлов. Тогда злоумышленник может прибегнуть к запугиванию, шантажу, допросу или пыткам с целью принудить вас расшифровать файлы.

    VeraCrypt позволяет решить эту проблему. Вы можете создать так называемый "скрытый том". Чтобы его открыть, понадобится другой пароль (чем первый, от внешнего том). Даже если у злоумышленника возникнут подозрения, что вы шифруете файлы, он не сможет обнаружить скрытый том.

    Таким образом VeraCrypt "прячет одни данные за другими": по-настоящему секретные зашифрованные данные за обычными (вроде музыкальных файлов и не конфиденциальных документов). Все выглядит естественно. Никакой анализ не позволяет установить наличие скрытого тома. Если злоумышленник добудет пароль с помощью судебных процедур или запугивания, вы "сдадите" ему пароль от внешнего тома. Злоумышленник увидит "маскировочные" файлы, а не то, что вы на самом деле хотите защитить.

    Это похоже на сейф с двойным дном. Только вы знаете о том, что двойное дно существует. А значит, вы можете отрицать наличие у вас каких-то секретов помимо тех, которые вам уже пришлось выложить злоумышленнику. Скрытый том даст вам дополнительную поддержку в ситуации, когда у вас требуют пароль. Возможно, вам удастся избежать неприятных последствий. Впрочем, двойное дно вряд ли поможет, если в вашей стране само по себе шифрование незаконно, или если использование шифрования — достаточный повод для подозрений.

    Злоумышленник может знать о том, что VeraCrypt умеет скрывать данные. Нет гарантии, что злоумышленник перестанет на вас давить, когда получит внешний пароль. Хотя на самом деле множество людей использует VeraCrypt без скрытых томов.

    Важно не допускать утечки пароля к скрытому тому. Также не позволяйте приложениям создавать ярлыки для файлов на скрытом томе.

    Защитите свою зашифрованную папку (том)

    Размонтируйте и отключите зашифрованную папку (том)

    • Есть такое понятие: "монтировать том". Это значит подключить его к системе и получить доступ к файлам. Когда том (папка) смонтирован, файлы уязвимы. Если вы не заняты работой с этими файлами — держите том (папку) размонтированным.
    • Зашифрованный том может быть и на обычной флешке или внешнем жестком диске. Если просто вынуть такую флешку из порта, смонтированный том необязательно вмиг исчезнет из системы. Кроме того, такое выдергивание внешнего носителя может повредить его зашифрованное содержимое. Нужно размонтировать папку (том), выбрать в операционной системе безопасное извлечение устройства и только потом отключать носитель от компьютера. Попрактикуйтесь, чтобы в экстренной ситуации выполнить эту процедуру легко и быстро.

    В каких случаях зашифрованный том (папку) нужно размонтировать и корректно извлекать?

    • Так следует поступать, если вы оставляете устройство без присмотра (на любое время). Поможет не дать злоумышленникам доступ к важным файлам, пока вас нет.
    • Это имеет смысл, если вы отправляете компьютер в режим сна ("гибернации"), будь то через меню или простым закрытием крышки ноутбука.
    • Стоит это делать до того, как давать кому-либо доступ к вашему компьютеру. Например, если вы проходите со своим ноутбуком через контроль на границе. Заранее отключите все зашифрованные тома и полностью выключите компьютер.
    • Это полезная процедура перед тем, как вставлять в USB-порт компьютера сомнительную флешку или другой такой же внешний носитель данных (даже те, что принадлежат друзьям и коллегам).

    Защитите устройство от вредоносного кода

    Шифрование может защитить файлы только в том случае, если никто не шпионит за вами, например, во время вода пароля расшифровки. Вредоносные программы разного толка способны снизить эффективность любых мер защиты файлов и коммуникаций. Старайтесь не допускать заражения ваших устройств. Вам поможет глава нашего руководства о защите от вредоносного кода.

    Не пользуйтесь зашифрованным носителем на сомнительном компьютере

    • Допустим, устройство находится не под вашим контролем. Скажем, это компьютер с общим доступом в интернет-кафе. Есть вероятность, что кто-то мог установить на нем шпионскую программу. Тогда злоумышленник получит шанс перехватывать ваши пароли. Он сможет добраться до содержимого зашифрованного диска или до иных важных файлов.
    Почему мы советуем делать так

    Если вернуться к аналогии с сейфом, то неважно, насколько прочны его стенки, если у вас есть привычка не запирать дверцу. Или если кто-то подсматривает вводимые вами цифры кода.

    Обращайтесь к продавцам и ремонтникам, которым доверяете

    • Если покупаете подержанное устройство, попросите того, кому доверяете, начисто стереть данные и проверить устройство на всякий вредоносный код.
    • Подозреваете, что кто-то может получить доступ к вашим данным или еще как-то вам напакостить? Опасаетесь предустановленных вредоносных программ? Тогда внимательно выбирайте продавца. Ищите того, кому сможете доверять.
    • Если нужно отнести устройство в ремонт, отдавайте его только в доверенный сервис (или доверенному посреднику).
    Почему мы советуем делать так

    Если покупаете подержанное устройство или отдаете устройство в ремонт, у ваших недоброжелателей появляется шанс добраться до ваших файлов. На подержанном устройстве могут быть вредоносные программы, так что, если есть возможность, лучше купить новое. Случалось, что ремонтные мастерские копировали данные клиентских устройств и торговали этой информацией. Обращайтесь к тем ремонтникам, которым доверяете.

    Если вы заметное публичное лицо, подумайте о том, чтобы не контактировать с сервисными мастерскими напрямую. Попросите доверенное лицо сходить и сделать все, чтобы не привлекать чрезмерно любопытных людей к данным на вашем устройстве.