Co to jest OPSEC i dlaczego go potrzebujesz?
Zapewnienie bezpieczeństwa komunikacji jest jednym z najtrudniejszych wyzwań. Bez względu na to, czy mówisz o tajemnicach handlowych, komunikujesz się ze swoim prawnikiem, czy wymieniasz prywatne informacje, niezwykle ważne jest zachowanie poufności informacji poufnych.
Szyfrowanie jest reklamowane jako najlepsze rozwiązanie wszystkich naszych problemów związanych z prywatnością – trzymanie na dystans wszystkich niechcianych szpiegów dzięki potężnej, niezrównanej matematyce. Ale potrzebujesz również dobrego bezpieczeństwa operacyjnego (OPSEC), aby holistycznie chronić swoją komunikację i siebie przed wpadnięciem w niepowołane ręce.
Szyfrowanie jest niezbędne do prywatnej komunikacji
Dzięki publicznie kontrolowanym i profesjonalnie zaimplementowanym technikom szyfrowania nie musisz już ufać firmom ani sądom w zakresie ochrony danych osobowych – to tylko w twoich rękach.
OPSEC zapewnia bezpieczeństwo
Niestety szyfrowanie nie jest magicznym przełącznikiem, który można po prostu przerzucić, aby się zabezpieczyć.
Dobra OPSEC oznacza zastanowienie się przed tym, przed kim próbujesz chronić swoje informacje, z kim się komunikujesz i jakie możliwości mogą mieć twoi przeciwnicy. Na przykład, jeśli próbujesz uchronić się przed zorganizowaną przestępczością lub stanami narodowymi, potrzebujesz innego OPSEC niż w przypadku ochrony przed prześladowcą.
Ważne jest, aby ocenić, w jaki sposób można naruszyć konfigurację zabezpieczeń, i zastanowić się, czy warto podjąć ryzyko, czy go uniknąć.
Menedżer haseł pozwala na stosowanie skomplikowanych i bezpiecznych haseł, ale dobry OPSEC wymaga, abyś nie siedział pod kamerą bezpieczeństwa podczas korzystania z niej.
The proces OPSEC, zgodnie z opisem wojska USA obejmuje pięć kroków. ExpressVPN zastosował pięć kroków bezpieczeństwa do komunikacji, którą wszyscy mamy, prawdopodobnie codziennie: czat cyfrowy.
1. Identyfikacja kluczowych informacji
Co próbujesz ukryć? W kontekście cyfrowej rozmowy ujawniają Cię głównie treści i metadane. Treść jest samą rozmową, a metadane opisują informacje związane z tymi informacjami. Metadane obejmują z kim rozmawiasz, kiedy, czas trwania i częstotliwość rozmów.
Łatwo jest ukryć treść wiadomości, ale ukrywanie metadanych pozostaje trudne. Aplikacje takie jak Signal obiecują nie przechowywać metadanych, ale dla pewności może być konieczne uruchomienie własnego serwera OTR (nie jest to trywialny wyczyn i jest obciążony unikatowym ryzykiem).
2. Analiza zagrożeń
Obejmuje to, przed kim próbujesz ukryć informacje. Jeśli ukrywasz tylko informacje przed prześladowcą lub sąsiadem, ocenione ryzyko i słabe punkty są bardzo różne niż w przypadku silnego państwa narodowego. Pomyśl o zagrożeniach, wyobrażając sobie, kim jesteś zdecydowanie nie chcę być w posiadaniu twoich danych. Być może jest to rywal pracujący lub skorumpowany urzędnik państwowy.
3. Analiza słabych punktów
Krok trzeci jest zdecydowanie najtrudniejszą częścią świadomości OPSEC, ponieważ twoje podatności są potencjalnie nieograniczone. Musisz mieć zaufanie do swojego urządzenia, systemu operacyjnego, aplikacji i wszystkich zainstalowanych programów. Backdoory mogą umożliwić agencjom wywiadowczym dostęp do twoich danych, a niechlujne programowanie może wyciekać informacje bez twojej wiedzy.
Luki w zabezpieczeniach mogą również występować w łańcuchu komunikacji lub z Twoim partnerem na czacie. Trudno to ocenić, ponieważ możesz nie wiedzieć, jakie systemy działają między tobą a nimi.
Twój partner na czacie może nie mieć takich samych zachęt do zachowania poufności informacji. Być może są w kraju, w którym władze są mniej represyjne. A może po prostu nie dbają o prywatność tak jak Ty.
Ważne jest uwzględnienie OPSEC osób, z którymi się komunikujesz, we własnym modelu OPSEC, nawet jeśli jest to trudne i wiąże się z niepewnością. Istnieje wiele sposobów ograniczania luk w zabezpieczeniach, możesz na przykład zdystansować się od partnera, ujawniając jedynie ściśle niezbędne informacje o sobie.
Niestety najtrudniejsze i najbardziej kłopotliwe słabości często leżą poza tym, co jest możliwe dzięki technologii. Atakujący mogą osobiście zagrozić ci, że porzucisz hasła lub subtelnie przymuszą cię, być może z perspektywą więzienia.
4. Ocena ryzyka
Twoja lista luk może być bardzo długa. Ale nie wszystkie zagrożenia są równie istotne. W rzeczywistości niektóre mogą w ogóle nie mieć znaczenia.
W tym kroku połącz krok 2 z krokiem 3, aby ustalić zagrożenia i ocenić, w jaki sposób mogą wykorzystać twoje luki.
Zagrożenie może obejmować wyrafinowanego hakera lub kogoś, kto dzieli Twój dom. Każdą z nich należy rozwiązać inaczej. Na przykład hasło zapisane na kartce papieru ma bardzo niskie ryzyko wykrycia przez hakera, ale istnieje wysokie ryzyko, że może je znaleźć szpiegujący współlokator.
Usuń niepotrzebne zagrożenia z listy, a następnie oznacz pozostałe jako wysokie, średnie lub niskie ryzyko.
5. Zastosowanie odpowiednich środków OPSEC
W ostatnim kroku zaplanuj swoje działania. Najpierw należy zająć się najwyższymi zagrożeniami, a następnie dążyć do zmniejszenia ryzyka. Niektórych nie da się uniknąć, ale można je zminimalizować.
OPSEC to znaczący krok w kierunku bezpiecznej komunikacji
Używaj szyfrowania i OPSEC razem dla lepszego bezpieczeństwa. Dostosuj swoją reakcję do sytuacji. Środki OPSEC mogą koncentrować się na stosowaniu silniejszego szyfrowania, ale mogą również koncentrować się na całkowitym unikaniu technologii.
Pozostawienie telefonu w domu i korzystanie z transportu publicznego w celu odwiedzenia skrzynki pocztowej oddalonej o kilkadziesiąt kilometrów może, w zależności od analizy OPSEC, być lepszą strategią niż wysyłanie dokumentów za pośrednictwem zaszyfrowanej wiadomości e-mail za pośrednictwem sieci Tor.