Люди в капелюхах крадуть ваші дані

Директор Агентства з кібербезпеки та безпеки інфраструктури США Джен Істерлі поширює допис свого колеги з рекомендаціями для посилення захисту власних комунікацій. Від керівників підприємств вимагає протягом 30 днів виконати 4 пункти рекомендацій. 

Далі наводимо переклад допису Джен Істерлі. Зауважимо, що це її персональний акаунт, а не акаунт Агентства.

Посилюю обов'язкові до прочитання рекомендації від мого чудового колеги по команді Боба Лорда: 

ВСІ МЕРЕЖІ ВОРОЖІ. Це вже не параноїдальна теорія, а критична реальність. Як приватні особи, так і підприємства повинні вжити негайних заходів для захисту своїх комунікацій.

ДЛЯ ПРИВАТНИХ ОСІБ: 

Зашифруйте всі повідомлення у вашій соціальній мережі. За замовчуванням використовуйте технологію, яка реалізує наскрізне шифрування (e2e). Я віддаю перевагу Signal, але є й інші варіанти. Уникайте рішень типу «точка-точка» (p2p). Вони часто маскуються під технології e2e, тому зважайте на це.

ДЛЯ КЕРІВНИКІВ ПІДПРИЄМСТВ:

З мого досвіду, дивовижна кількість керівників вважають, що їхній бізнес не стане мішенню для атаки. Однак, якщо ви працюєте з будь-яким урядом, провайдером критичної інфраструктури, є публічною компанією, постачальником фінансових послуг або приватною компанією з передовими технологіями, які можуть привабити іноземних конкурентів, вам слід дотримуватися цих порад. Зробіть ці кроки протягом наступних 30 днів: 

  • Оновіть Посібник з безпеки співробітників, щоб стандартизувати наскрізне шифрування для всіх ділових комунікацій.
  • Попросіть генерального директора наказати співробітникам використовувати для бізнес-комунікацій Signal (або вибране вами рішення) виключно.
  • Переконайтеся, що генеральний директор особисто підтримує цю практику в організації, роблячи її культурною нормою. Вони повинні згадувати про це на загальних зборах та в електронних листах до працівників. Повторення є ключовим.
  • Вивчайте нові технології, такі як протокол Matrix, який пропонує шифрування e2e для тексту, групових чатів, голосу та відео, а також положення для аудиту та збереження даних.

Якщо ваш генеральний директор та директор з інформаційних технологій ще не роблять цього, переконайте їх переглянути свою позицію у світлі подій, що відбуваються в новинах. На мою особисту думку, керівники, які ще не внесли ці зміни, не виконують свою роботу.

Стаття Боба Лорда «Безпека ваших комунікацій» на Medium.


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.