Защита важных данных

Обновлено21 May 2021

Содержание

...Загрузка оглавления...

    Злоумышленники могут получить удаленный доступ к вашим устройствам и к информации на них. Они могут читать данные и вносить изменения. Всегда хорошо иметь несколько уровней защиты от таких угроз. Один из значимых уровней — шифрование файлов на устройствах.

    Шифрование — способ такого преобразования данных, когда прочесть информацию можете только вы и ваш собеседник. Для расшифровки ему понадобится пароль или ключ. Шифрование подразумевает использование продвинутых математических методов. Оно чем-то похоже на хранение информации в закрытом сейфе, где комбинацию для замка знаете только вы.

    Мы предлагаем вам сделать несколько шагов, чтобы защитить данные на своих устройствах.

    Возможно, старые данные лучше удалять, а не хранить

    Почему мы советуем делать так

    Хранить конфиденциальные данные может быть рискованно для вас и ваших коллег. Шифрование снижает этот риск, но не обнуляет. Первый шаг на пути защиты важных данных — уменьшить их количество. Вам точно нужен этот файл или, скажем точнее, информация внутри файла? Если нет, просто удалите его. Некоторые советы есть в главе об удалении важных данных.

    Убедитесь, что шифрование в вашей стране законно и не вызывает подозрений

    Почему мы советуем делать так

    В некоторых странах шифрование незаконно. Если это про вашу страну, то скачивание, установка или использование шифровальных программ могут посчитать преступлением. Полиция, военные или спецслужбы могут использовать применение вами шифрования как повод для расследования вашей работы или деятельности вашей организации. Бывает не так уж важно, что именно вы шифруете и законно ли это: сам факт шифрования провоцирует подозрения.

    Выясните, как правоохранительные органы вашей страны относятся к шифрованию. Подумайте, насколько рискованно в вашей ситуации иметь на своих устройствах шифровальные средства.

    If encryption is illegal in your region, consider the following alternatives

    Не храните особо важные (чувствительные) данные

    Используйте стеганографию

    • Стеганография — метод сокрытия важных данных, при котором эти данные выглядят как иная информация. Задача стеганографии — избежать ненужного внимания к данным. Есть соответствующие инструменты, но работа с ними требует тщательной подготовки. Сохраняется риск вызвать подозрения самим использованием инструмента.

    Use a system of code words

    • Это разновидность стеганографии. Сохраняйте ваши файлы где обычно, но используйте кодовые слова для обозначения важных имен, мест, действий и т.д.

    Храните данные на зашифрованном носителе

    • Вы можете держать важные данные не на компьютере, а на флешке или внешнем жестком диске. Правда, эти устройства тоже могут изъять, а еще их легко потерять. Так что хранить важные данные на них лучше в зашифрованном виде.

    Храните данные в зашифрованном облаке

    • Возможно, с учетом вашей модели угроз вам подойдет зашифрованное облачное хранилище вроде Tresorit. Такие сервисы защищают ваши данные с помощью шифрования, а злоумышленникам сложнее получить доступ к серверам. Но если злоумышленникам это удалось, у них будет больше времени на попытки получить доступ к данным, к тому же их вторжение может пройти для вас незамеченным.

    Consider encrypting your whole device

    • Имейте в виду, что шифрование устройства защищает его в выключенном состоянии, а не в режиме сна ("гибернации"). Если устройство включено, тот, кто получит к нему доступ, легко доберется до файлов и коммуникаций.

    Android

    • Большинство телефонов с Android 6 и новее поддерживает шифрование. В настройках безопасности смартфона можно увидеть пункт "Шифрование" или подобный ему. Пожалуйста, имейте в виду, что эти настройки могут отличаться на разных телефонах.

    iOS

    • Айфоны зашифрованы по умолчанию (когда вы устанавливаете пароль доступа).

    Linux

    • Можно воспользоваться встроенным в эту операционную систему шифрованием.

      • Полнодисковое шифрование можно включить только при установке Ubuntu. Если вы этого не сделали, то придется переустановить Ubuntu.
      • Сначала сделайте резервные копии ваших данных. При установке Ubuntu удалит все данные предыдущей операционной системы.
      • Если у вас ноутбук, подключите его к сети, чтобы батарея не села в процессе установки.
      • Подключитесь к интернету, чтобы при установке Ubuntu скачать последние обновления. Если вы не подключены к интернету, вам предложат выбрать беспроводную сеть (если такая найдется).
      • Создайте загрузочную флешку с Ubuntu. Инструкции:

    Mac

    Windows

    • В Windows шифрование возможно с помощью встроенного инструмента BitLocker.
      • См. подробнее о шифровании более старых устройств.
      • Видите ошибку "Это устройство не может использовать доверенный платформенный модуль"? Значит, на вашем компьютере нет микросхемы Trusted Platform Module (TPM), которая используется для шифрования. Впрочем, с некоторыми настройками BitLocker можно использовать и на компьютере без чипа TPM.
        • Шаг 1. Нажмите кнопку "Пуск". Наберите "gpedit.msc", нажмите кнопку "Enter". Выберите "Конфигурация компьютера > Административные шаблоны > Шифрование диска Bitlocker > Диски операционной системы".
        • Шаг 2. В правом верхнем углу окна щелкните дважды по пункту "Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске". Обратите внимание: рядом есть пункт с похожим названием, но с упоминанием Windows Server 2008 и Windows Vista; этот пункт нам не нужен.
        • Шаг 3. Выберите "Включено". Убедитесь, что в поле "Разрешить использование Bitlocker без совместимого TPM (необходим пароль или ключ запуска на USB-устройстве флэш-памяти" стоит галочка. Нажмите "ОК".
        • Шаг 4. Закройте окно редактора локальной групповой политики.
        • Шаг 5. Включите шифрование устройства.
    Почему мы советуем делать так

    Предположим, ваше устройство потеряно, украдено или изъято людьми, которым интересны ваши файлы и коммуникации. Вы не пожалеете, что заранее включили защиту. С этой задачей справляется шифрование всего устройства.

    На десктопах и ноутбуках иногда можно активировать встроенное шифрование. Альтернатива — программа VeraCrypt. С ее помощью можно защищать файлы, внешние диски, а при желании и весь компьютер.

    Можно зашифровать только некоторые файлы

    Linux, Mac и Windows

    Почему мы советуем делать так

    Возможно, имеет смысл не шифровать файлы, которые не имеют большой ценности. Если ваше устройство изымут и осмотрят, оно не будет выглядеть подозрительно. Обычные файлы, обычные коммуникации. Подумайте о том, чтобы зашифровать лишь некоторые из ваших файлов.

    Можно создать скрытый том

    Почему мы советуем делать так

    Если вы зашифровали информацию, ее не прочтут посторонние. Но кто-то может догадаться, что вы используете шифрование, и доберется до зашифрованных вами файлов. Тогда злоумышленник может прибегнуть к запугиванию, шантажу, допросу или пыткам с целью принудить вас расшифровать файлы.

    VeraCrypt позволяет решить эту проблему. Вы можете создать так называемый "скрытый том". Тогда при расшифровке вы можете использовать на выбор два пароля: один для обычного ("внешнего") тома, другой для скрытого. Даже если технически продвинутый злоумышленник доберется до вашего внешнего тома, он не сможет доказать существование скрытого тома.

    Таким образом VeraCrypt "прячет одни данные за другими": по-настоящему секретные зашифрованные данные за обычными (вроде музыкальных файлов и не конфиденциальных документов). Все выглядит естественно. Никакой анализ не позволяет установить наличие скрытого тома. Если злоумышленник украдет пароль или добудет его с помощью судебных процедур или запугивания, он увидит файлы "для маскировки", а не то, что вы на самом деле хотите защитить.

    Это похоже на сейф с двойным дном. Только вы знаете о том, что это двойное дно существует. А значит, вы можете отрицать наличие у вас каких-то секретов помимо тех, которые вам уже пришлось выложить злоумышленнику. Это даст вам дополнительную поддержку в ситуации, когда у вас требуют пароль. Возможно, вам удастся избежать неприятных последствий. Впрочем, двойное дно вряд ли поможет, если само наличие у вас сейфа — достаточный повод для подозрений.

    Злоумышленник может быть осведомлен о функциональности VeraCrypt. Если так, то нет гарантии, что злоумышленник остановтся, узнав внешний пароль. Как бы то не было, множество людей использует VeraCrypt без скрытых томов.

    Важно не допускать утечки пароля к скрытому тому и не позволять приложениям создавать ярлыки для файлов со скрытого тома.

    Защитите свой зашифрованный диск

    Unmount

    • У программы VeraCrypt есть понятия "монтировать диск". Это значит подключить его к системе, так что вы получаете доступ к файлам на диске. В таком состоянии файлы уязвимы. Если вы не заняты работой с файлами на зашифрованном диске — держите его размонтированным.
    • Зашифрованный том может быть и на обычной флешке. Помните: если просто вынуть такую флешку из USB-порта, смонтированный том необязательно вмиг исчезнет из системы. Кроме того, такое выдергивание флешки может повредить зашифрованный файл на ней. Нужно сначала закрыть все файлы на флешке, с которыми шла работа, размонтировать флешку, выбрать в операционной системе безопасное извлечение устройства и только потом вынимать из USB-порта. Попрактикуйтесь, чтобы в экстренной ситуации выполнить эту процедуру легко и быстро.

    Disconnect the drive

    • Так следует поступать, если вы оставляете устройство без присмотра (на любое время). Поможет не дать злоумышленникам доступ к важным файлам, пока вас нет.
    • Это имеет смысл, если вы отправляете компьютер в режим сна ("гибернации"), будь то через меню или простым закрытием крышки ноутбука.
    • Стоит это делать до того, как давать кому-либо доступ к вашему компьютеру. Например, если вы проходите со своим ноутбуком через контроль на границе. Заранее отключите все зашифрованные тома и полностью выключите компьютер.
    • Это также полезно делать перед тем, как вставлять в USB-порт флешку или внешний жесткий диск с неизвестной надежностью (включая носители данных от друзей и коллег).

    Don’t access your encrypted drive on a device you don’t trust

    • Если устройство находится не под вашим контролем, например, в интернет-кафе, есть вероятность, что кто-то мог установить на нем шпионскую программу. Тогда злоумышленник сможет перехватывать пароли, которые вы вводите, и получит доступ к шифрованному диску или иным важным файлам.
    Почему мы советуем делать так

    Если вернуться к аналогии с сейфом, то неважно, насколько прочны его стенки, если у вас есть привычка не запирать его дверцу. Следуйте нашим советам, чтобы защитить свой зашифрованный диск.

    Обращайтесь к продавцам и ремонтникам, которым доверяете

    • Если покупаете подержанное устройство, попросите того, кому доверяете, начисто стереть данные и проверить устройство на всякий вредоносный код.
    • Подозреваете, что кто-то может получить доступ к вашим данным или еще как-то вам навредить, установив вредоносную программу на устройство перед покупкой? Тогда выбирайте продавца случайным образом.
    Почему мы советуем делать так

    Если вы приобретаете подержанное устройство или отдаете его в ремонт, возникает уязвимость, которой могут воспользоваться злоумышленники. На подержанном устройстве могут быть вредоносные программы, так что, возможно, лучше купить новое. Случалось, что ремонтные мастерские приторговывали данными клиентских устройств. Обращайтесь к тем ремонтникам, которым доверяете.