×

Este ușor să-ți protejezi datele pe internet

pic-ioan-constantin-sq


Pe 28 ianuarie este World Data Protection Day. Siguranța în mediul online ne privește pe toți, mai ales că timpul pe care-l petrecem în acest mod este din ce în ce mai mare. Pentru a învăța cum să navigăm cât mai în siguranță pe internet l-am invitat pe colegul nostru Ioan Constantin, Cyber Security Expert, să ne răspundă la câteva întrebări.
Acesta este primul dintr - o miniserie de 3 interviuri, pe care vă invităm să le răsfoiți.

Ioan este un profesionist în domeniul securității informației, cu 15 ani de experiență inclusiv pe zona de securitate a rețelelor și a dispozitivelor utilizatorilor, de conformitate a securității informațiilor și managementul riscurilor și rezilienței. Este ISMS System Architect certificat BSI și lucrează la Orange din 2018 ca expert în securitate cibernetică în echipa de Dezvoltare și Inovare.

data-protection-gif

De aproape un an lucrăm de acasă, iar copiii au învățat mult timp online. Ce ne sfătuiești să facem ca să fim mai bine protejați de virusi și alte malware-uri?

"

Sunt câteva lucruri ce pot fi gestionate ușor și fără a avea cunoștințe tehnice deosebite în mediul de-acasă, ce pot îmbunătăți semnificativ nivelul de protecție împotriva amenințărilor curente:
U302044_small

  • În primul rând, dispozitivele conectate la internet și în rețelele de-acasă să fie actualizate cu cele mai recente versiuni software. Indiferent că-i vorba despre update-urile pentru Windows pe laptop-ul personal, de cele pentru Android pe telefonul mobil sau cele pentru firmware-ul de pe televizorul inteligent, cele mai recente versiuni de software vor oferi de regulă cea mai bună protecție împotriva amenințărilor cibernetice.
  • soluțiile anti-malware sunt deosebit de utile pe dispozitivele conectate la Internet și vor oferi un nivel de protecție bun împotriva unor amenințări din vectori comuni precum website-uri care downloadează viruși ori atașamente e-mail care conțin cod malițios.
  • o bună securitate a rețelelor wireless. Un sfat bun pentru cei care lucrează de-acasă este să se asigure cum că rețeaua wireless în care sunt conectați respectă un nivel optim de securitate – există criptare pentru fiecare conexiune, precum și autentificare cu o parolă complexă, iar firmware-ul de pe dispozitivele de rețea (router WiFi) este actualizat.
  • pentru lucrul în mediul corporate, respectarea tuturor politicilor de securitate pentru remote work este esențială.
  • folosirea unei soluții VPN pentru conectarea în rețelele office este, iarăși, nu doar recomandată ci strict necesară, de cele mai multe ori.

Cum ne protejăm copiii, care petrec acum mult timp în fața computerului sau a tabletei, de multe ori nesupravegheați? La ce să fim atenți?

U306818_small

"
Cred că un bun prim pas este să discutăm cu ei și să le explicăm care sunt riscurile la care pot fi expuși în Internet. Interacțiunile cu persoane necunoscute, accesarea de conținut nerecomandat copiilor, dar și compromiterea dispozitivelor cu malware de pe site-uri atragătoare pentru ei sunt subiecte importante ce-ar trebui să fie adresate înainte de a ajunge la restricții impuse cu tehnologie. Conștientizarea este primul și cel mai important pas.

Pentru următorul pas ne putem folosi de tehnologie: restricționarea conținutului, de exemplu, poate fi făcută la nivelul gateway-ului prin care ne conectăm la Internet (router) ori pe device-urile folosite de copii. Soluțiile de tip parental control sunt foarte utile, aici, pentru că permit monitorizarea utilizării unor resurse, precum și blocarea accesului la site-uri și aplicații cu conținut nerecomandat copiilor.

Eu aș fi deosebit de atent la timpul petrecut de copii în preajma device-urilor conectate la internet, precum și la aplicațiile de tip socializare / mesagerie instantanee. Există o afinitate crescută a copiilor pentru astfel de platforme, iar contextul actual în care distanța fizică și cea socială îi afectează și pe cei mici poate să îi împingă spre o socializare virtuală mai intensă. În lipsa unei bune conștientizări a riscurilor la care se expun, copiii pot fi expuși unor factori negativi.

Cum facem astfel încât să nu poată accesa jocuri cu taxă, de exemplu? De multe ori datele cardului rămân salvate în magazinele de aplicații și ne putem trezi cu sume mari cheltuite.

"

U303619_small
Majoritatea platformelor de tip parental control pot bloca accesul la in-app purchases. Mai mult, cele două sisteme de operare larg răspândite pe platformele mobile – Apple iOS și Alphabet Android au mecanisme disponibile pentru a limita ori bloca cu totul astfel de cumpărături. Pentru iOS pot fi activate funcțiile Screen Time, ce pot limita inclusiv timpul de expunere la anumite aplicații per device, iar pentru Android, Google Play Store permite un control generic, cu cod PIN, pentru toate aplicațiile care solicită plăți cu cardul atașat.

Funcționalitatea precum ”Family Sharing” din iOS le permite părinților să folosească un singur mijloc de plată pentru toate achizițiile făcute în App Store, de către toate dispozitivele folosite de întreaga familie, iar fiecare achiziție, indiferent de dispozitivul ce o solicită, va trebui aprobată de către unul dintre părinți.

O altă metodă, ceva mai laborioasă, este folosirea unui card bancar virtual cu limite de cheltuieli foarte scăzute, aflat sub controlul părinților. Majoritatea platformelor de e-banking moderne permit eliberarea de astfel de carduri din aplicațiile bancare.

Putem să folosim același laptop și pentru serviciu și pentru divertisment/ adrese de mail personale?

U301894_small

"
Deși din punct de vedere al ușurinței în utilizare un astfel de scenariu este atractiv pentru mulți dintre noi, recomandarea mea este să evitați acest lucru. Segregarea accesului la informații după scopul accesului reprezintă una dintre cele mai importante mecanisme pentru asigurarea securității informațiilor.

Sigur, este tentant să lucrăm de-acasă cu laptop-ul personal ori cu desktop-ul. Însă mai mult ca sigur că nivelul de securitate al acestora va fi unul (cu mult) mai scăzut decât cel de pe laptop-ul de la birou. Iar o posibilă compromitere a dispozitivului personal, prin infectare cu malware, spre exemplu, va putea duce la pierderi importante și în confidențialitatea, integritatea ori disponbilitatea unor informații de la serviciu.

În privința e-mail-ului, regula de bază este că adresa de e-mail office va fi folosită pentru comunicații office, iar cea personală pentru orice altceva. Majoritatea atacurilor de tip phishing, spre exemplu, sunt distribuite prin e-mail, iar cele oportuniste, ce țintesc un număr mare de utilizatori, vor folosi liste cu adrese de e-mail colectate din site-uri compromise.

Dar aceeași conexiune de net (wifi-ul din casă)?

"

U307445_small

Într-un mediu cu un nivel de securitate foarte ridicat, recomandarea este ca dispozitivele de serviciu să fie conectate printr-o rețea dedicată pentru acest scop, cu securitate optimă. De cele mai multe ori acest lucru nu-i posibil în mediul de-acasă, așa că utilizarea aceleiași conexiuni la internet, precum WiFi-ul de acasă poate fi una sigură atât timp cât configurația rețelei și a măsurilor de securitate este potrivită scopului, iar toate dispozitivele rețelei (de exemplu, routere wifi) funcționează cu cel mai recent firmware disponibil.

Dacă router-ul permite, este recomandată crearea a două rețele WiFi, una pentru serviciu și o a doua pentru uz personal, cu nume diferit (SSID) și cu funcții precum Guest Isolation activate. Mecanismele de criptare a comunicațiilor între dispozitive și router ar trebui să fie active și la cel mai ridicat nivel posibil, autentificarea făcută cu o cheie complexă, iar denumirea rețelelor (SSID) schimbată de la cea implicită ”din fabrică”. Pentru dispozitivele de la serviciu este importantă folosirea unei soluții VPN, ce va adăuga și un nivel suplimentar de protecție a informațiilor transmise.

Mulți dintre noi am început să folosim tot mai des aplicațiile de videoconferință și cele de cumpărături online , unde te poți loga cu datele de pe rețelele de socializare. E bine să facem asta sau să ne creăm conturi cu date separate? De asemenea, este bine să ne logam cu numărul de telefon?

U300709_small

"
Folosirea unei singure adrese de e-mail și a unei singure parole pentru mai multe aplicații și platforme este foarte, foarte, periculoasă. E un single point of failure. Va fi suficient ca una dintre acele aplicații ori platforme să fie compromise, iar datele de autentificare de-acolo vor putea fi folosite pentru a accesa și alte informații, din alte platforme ale aceluiași utilizator.

În privința folosirii numărului de telefon ca identificator pentru login, personal descurajez și această practică. Este mult mai ușor să creăm o adresă de e-mail nouă, dacă cea veche a fost compromisă, decât să schimbăm un număr de telefon compromis.

Bunele practici în materie de autentificare în siguranță au o dinamică deosebită, iar tehnologia ne ajută foarte mult să putem rămâne în siguranță:

  • folosiți mecanisme de login precum Sign In With Apple (sau echivalent) ce vor genera useri/parole complexe, unice pentru fiecare website și aplicație în parte.
  • folosiți un password manager de încredere pentru o diversitate mai mare a parolelor utilizate.
  • folosiți de fiecare dată parole diferite, complexe pentru fiecare aplicație și website în parte.
  • folosiți conturi de e-mail ce conțin informații personale importante. Logați-vă, întotdeauna de pe dispozitivele personale, ”de încredere”, țineți o evidență curentă a tuturor dispozitivelor pe care sunteți logați cu anumite conturi – aici vă pot fi de folos tool-urile puse la dispoziție de Google, Facebook, Apple ce permit vizualizarea și gestionarea tuturor login-urilor active.
  • poate cel mai important sfat pe care îl pot oferi: folosiți întotdeauna, fără excepție acolo unde este posibil, autentificare cu minimum 2 factori de securitate. Al doilea factor poate fi un banal cod primit prin SMS sau un cod generat de o aplicație dedicată (precum Google Authenticator ori token-uri fizice) sau poate fi un factor complex, biometric – amprentă digitală, scanarea retinei etc. Dacă aplicația, platforma ori website-ul pe care doriți să îl accesați nu vă permite să folosiți Multi Factor Authentication, recomandarea mea este să evitați să folosiți acea platformă.

Ce informații putem oferi și la ce date personale să avem grijă când folosim rețelele sociale?

"

U306786_small

Cred că în privința rețelelor de socializare putem aplica aceleași constrângeri aplicabile pentru oricare alte platforme digitale – oferim strict informațiile necesare scopului.

Sigur, astfel de rețele au o calitate intrinsecă ce ne determină în anumite momente să comunicăm informații intime către cercul de prieteni de-acolo, precum pozele dintr-o vacanță din care poate fi ușor extrapolată informația despre localizarea noastră, spre exemplu.

Dar sunt categorii de informații pe care nu ar trebui să le oferim sub nicio formă în astfel de medii, precum conturi bancare, nume de utilizator și parole, CNP, număr și serie de C.I., număr de pașaport, informații despre membrii familiei, informații medicale ori financiare. Aceste categorii de date sunt, de cele mai multe ori, comunicate și gestionate într-un registru special și în medii cu măsuri de securitate suplimentare.

În privința rețelelor de socializare cred că-i important să aplicăm un principiu derivat, cumva, dintr-o glumă ce încă circulă în online: tot ce punem pe Internet va rămâne în Internet pentru totdeauna.

Pentru că folosim intensiv mediile online pentru a lucra, a ne rezolva lucrurile administrative, a comunica și a ne distra, strângem foarte multe date în format electronic: facturi și alte documente importante, poze și conversații în aplicatiile de messaging. Cum le stocam în siguranță?

U307695_small

"
Stocarea sau arhivarea acestor informații importante trebuie să țină cont de persistența informațiilor și în alte medii decât cele personale. Dacă discutăm despre facturi și documente generate de către aplicațiile magazinelor on-line, spre exemplu, vom observa că unele dintre aceste magazine stochează în contul nostru de client copii ale acestor documente.

Confidențialitatea acestor informații, așadar, este influențată și de mediile externe în care aceste documente sunt stocate. Soluțiile de stocare in-cloud precum cele mai cunoscute – Google Drive, Apple iCloud, Microsoft OneDrive sunt susținute de tehnologii mature, sigure care oferă un nivel optim de securitate atât timp cât avem partea noastră de responsabilitate, iar autentificarea și accesul la conturi sunt realizate în siguranță. O copie locală a acestor documente, pe un dispozitiv extern precum un SSD / HDD extern sau un stick USB poate fi o soluție optimă de arhivare, atât timp cât aceste dispozitive sunt ținute într-un mediu sigur.

La capitolul ”așa nu” – stocarea documentelor pe dispozitive pe care le vom înstrăina reprezintă un risc major, indiferent că discutăm despre un laptop ori un telefon mobil. Aceste dispozitive vor trebui restaurate la configurația din fabrică, iar acolo unde există opțiunea de ștergere permanentă a datelor (secure erase), vă recomand să o folosiți.

Tot aici, legat de folosirea aceluiași dispozitiv pentru scopuri personale dar și pentru serviciu – este foarte, foarte important ca fișierele de la serviciu să nu fie stocate pe dispozitivele personale. Acolo unde nivelul de securitate al acestor device-uri este unul scăzut, o posibilă compromitere ar putea duce la compromiterea fișierelor de la serviciu.