Szerző: Magas Bianka, NKE kiberbiztonsági mesterszakos hallgató
Előző cikkemben áttekintést nyújtottam a kiberhigiénia fogalmáról, fontosságáról és relevanciájáról, valamint a vállalati környezetben alkalmazható aspektusairól. A második részben szeretnék a felhasználóknak gyakorlati útmutatót adni, amellyel saját adataik és eszközeik biztonságának védelmét segítik elő.
Mit tehetünk mi a saját biztonságunkért?
Ahogy előző cikkemben kifejtettem, a kiberhigiénia olyan rendszeresen végzett gyakorlatok összessége, amelynek célja a felhasználók eszközök, hálózatok és adatok biztonságának fenntartása. Bár a kiberhigiénia gyakorlatának nincsenek kőbe vésett szabályai, a jó gyakorlatok között van átfedés. A következők betartásával például már sokat tehetünk biztonságunkért, hogy saját eszközeinket, adatainkat biztonságban tudhassuk.
Védjük személyes adatainkat!
Bár a kiberhigiénia célja adataink védelme, és a később felsorolt praktikák is ezt hivatottak védeni, fontos kiemelni, hogy a bűnözőknek sok esetben nem is szükséges feltörni eszközeinket, fiókjainkat vagy kártékony kódot telepíteniük. Adatainkat úgynevezett social engineering támadással is kicsalhatják tőlünk. A social engineering olyan manipulációs technika, amely az emberi hiszékenységet és segítő szándékot használják ki. Általában arra csábítják a gyanútlan felhasználókat, hogy adatokat osszanak meg, rosszindulatú fertőzéseket terjesszenek vagy hozzáférést adjanak korlátozott rendszerekhez. A támadások történhetnek online, személyesen és egyéb interakciók révén.
Éppen ezért óvatosan bánjunk minden ismeretlen forrásból érkező e-maillel, telefonhívással, sms-sel (például ha nem rendeltünk csomagot, mégis erről kapunk értesítést vagy nem vettünk részt szerencsejátékban, mégis arról értesítenek, hogy nyertünk.)
Közkedvelt technika például, hogy a támadók telefonon keresik meg a kiszemelt személyt, kiadva magukat egy banki alkalmazottnak vagy egy szolgáltató munkatársának, és bejelentkezési adatokat, kártyaszámot, pin kódot kérnek adategyeztetés vagy tranzakcióellenőrzés néven. Ilyen esetben soha ne adjuk meg adatainkat – több bank kiemelten jelezte, hogy sem SMS-ben, sem e-mailben, sem pedig telefonon nem kérnek ilyen jellegű bejelentkezési adatokat és kártyaadatokat. Fontos, hogy ne telepítsünk semmilyen alkalmazást, amire kérnek, és ne utaljunk pénzt ismeretlen számlájára – esetleges tartozásunkról a szolgáltatónál érdeklődjünk előtte.
Kétfaktoros hitelesítés beállítása
Ma már egyre több szolgáltató, közösségi média felület lehetővé teszi a kétfaktoros (vagy kétlépcsős) azonosítás beállítását. Ennek bekapcsolásával nem elengedő pusztán a jelszó beírása, a tetszőlegesen választott második hitelesítési faktort is teljesíteni kell. Ez leggyakrabban egy egyszer használatos jelszó, amelyet e-mailben, SMS-ben vagy hitelesítő alkalmazáson keresztül kapunk (pl.: Google Hitelesítő). Gyakori még a hitelesítő (push) e-mail küldése, ahol az e-mail fiókunkra küldött levélben kell kattintanunk egy linkre, bizonyítva, hogy valóban mi próbálunk belépni. Így hiába sikerül feltörni a támadóknak fiókunkat, a második faktor teljesítése hiányában nem férnek hozzá személyes adatainkhoz.
Ennek beállításához segítség a Facebook fiókhoz itt található. Külső hitelesítő alkalmazásként a Google Play Áruházból vagy az App Store-ból letölthető Google Hitelesítő ingyenes alkalmazás tökéletesen megfelelő. Google fiókunkhoz beállítható kétlépcsős azonosításhoz pedig itt találunk segítséget. Nemrég az ügyfélkapun is elérhetővé vált a kétfaktoros autentikáció, itt olvasható, hogyan állítható be.
Jelszókezelés
Ma már minden bejelentkezéshez szükséges jelszó. Nagyon gyakori, hogy a különböző fiókokhoz a felhasználók ugyanazokat a jelszavakat használják, ráadásul évek óta (esetleg egész életükben). Pont emiatt, hiába tartalmaznak komplex karaktereket, kis-és nagybetűt, számokat, könnyen lehet, hogy egy adatszivárgás következtében már néhány kattintással kideríthető a jelszavunk – különösen, ha évek óta nem változtattuk meg. Ha kíváncsiak vagyunk, vajon szerepelt-e e-mail címünk valamilyen adatszivárgás során kikerült fiókadatok között, érdemes ellátogatni a Have I been pwned? oldalára, ahol megnézhetjük, milyen adatszivárgások áldozata lettünk. Ezért érdemes (legalább a fontos fiókjaink esetében) rendszeresen, 2–3 havonta jelszót változtatni, megfelelő komplexitás mellett. Természetesen a bonyolult jelszó mellett a kétlépcsős azonosítás megléte is elengedhetetlen.
Amennyiben nehéznek találjuk megjegyezni jelszavainkat, a post-itekre való feljegyzés helyett érdemes jelszószéfet használni. Ezek az online jelszószéfek biztonságos(abb) módját jelentik a tárolásnak, böngésző bővítményébe is telepíthetők, így nemcsak egyszerűbbé és gyorsabbá, hanem biztonságosabbá is teszik a jelszókezelést, és a komplex jelszavak generálását egy kevés havidíj ellenében (erre jó példa a RoboForm). Természetesen léteznek ingyenesen elérhető jelszószéfek is, erre jó példa a Bitwarden. Az alkalmazások kapcsán jogos aggályként felmerülhet, hogy végső soron a széfekbe való bejelentkezéshez is kell jelszó, és ha ezt a fiókot feltörik, minden fiókadatunkhoz hozzáférhetnek a támadók. Az aggodalom jogos, azonban ebben az esetben csak egy bonyolult jelszóra kell emlékeznünk, ezen alkalmazások esetében is elérhető a kétlépcsős azonosítás és még mindig kevesebb veszélyt hordoz, mintha ugyanazt a 3 jelszóvariációt használnánk minden fiókunkhoz. Ezek kapcsán fontos kiemelnem, hogy a böngészőben nem kifejezetten biztonságos tárolni a jelszavainkat, így ezt érdemes mellőzni.
De hogy emlékezzünk a bonyolult jelszavainkra? Ahelyett, hogy gyermekeink vagy kisállatunk nevét adjuk meg, érdemes például egy versrészlet vagy mondás kezdőbetűit felhasználni (pl. Sem Utódja Sem Boldog Őse – SUSBŐ), felét nagybetűvel, felét kicsivel írni (SuSbŐ). Majd ehhez valamilyen logika szerint számokat, speciális karaktereket rendelni (például 2-vel kezdve kettesével növelni a számokat a betűk között, majd a végére illeszteni egy speciális karaktert – S2u4S6b8Ő10#). Példánkban e logika szerint képeztünk egy 12 karakterből álló, komplex jelszót, amire könnyű emkékezni. Egy másik módszer szerint úgy is képezhetünk bonyolult jelszót, ha fogunk egy szót (például „alma”) és a szó betűi helyett a billentyűzeten jobbra/balra lévő betűt pötyögjük be (az „alma” szó esetén ha a betűket jobbra toljuk „sé?s”-t kapunk), amelyet a már említett logika szerint bonyolítunk kis-és nagybetűkkel, számokkal, speciális karakterekkel.
Legyünk gyanakvóak az e-mailekkel és a weboldalakkal!
E-mail esetén minden esetben ellenőrizzük a feladó e-mail címét, ismeretlenektől kapott levelek csatolmányait ne nyissuk meg és ne kattintsunk a megadott linkekre. Csak megbízható weboldalról töltsünk le. Ellenőrizzük az URL sávban a „zöld kis lakatot”. Ez azt jelenti, hogy a weboldal tanúsítvánnyal rendelkezik, valóban az adott szervezethez tartozik.
Vírusirtó használata
A vírusirtók használatának legnagyobb előnye, hogy védelmet tudnak jelenteni többek között a legtöbb rosszindulatú program, kéretlen reklámprogram (adware), kémprogramok (spyware), vírusok és trójaiak ellen. Sokszor feltűnés nélkül kerülnek ezek a programok az eszközeinkre, és tevékenykednek a háttérben. Vírusirtók esetében az ingyenesen elérhető is jobb, mintha semmi nem védené az eszközeinket, de érdemes erre is egy kisebb összeget rászánni. Mindenképp győződjünk meg, hogy ismert gyártók valós oldaláról töltjük le a vírusirtót! Ez azért fontos, mert sok támadó vírusirtónak álcázza a rosszindulatú programját. Természetesen a vírusirtók kijátszása nem lehetetlen feladat, de így legalább az ismert kártevők ellen védve lehetünk.
Biztonsági mentések készítése
Adataink elvesztése egy eszközünk meghibásodása vagy rosszindulatú program miatt sok fejfájást tud okozni, különösen, ha személyes fényképeinkről, fontos dokumentumainkról van szó. Megelőzhető azonban ez, ha a dokumentumainkról biztonsági mentést készítünk. Erre kézenfekvő megoldást jelenthetnek a különböző felhőszolgáltatások, például a Google Drive vagy a Microsoft OneDrive-ja. A Google Drive esetében (amennyiben rendelkezünk Google fiókkal) 15 GB tárhely áll rendelkezésre ingyenesen, a OneDrive esetében pedig 5GB. Ezen felül néhány száz forintos havidíjért tovább bővíthető tárhelyet is vásárolhatunk.
Eszközök rendszeres frissítése
Ha elérhetővé válik telefonunkra, tabletünkre vagy számítógépünkre frissítés, minél előbb töltsük le! Sok támadás olyan sérülékenységet használ ki, amelyet a gyártók már befoltoztak, és kiadtak frissítés részeként, azonban a felhasználók nem töltötték le, így védtelenek ezekkel szemben.
A közösségi média tudatos használata
Talán már lerágott csontnak számít, de továbbra is fontos – ügyeljünk, mit osztunk meg a közösségimédia-felületen, és arra, ki próbál meg velünk kapcsolatba lépni. Legyünk gyanakvók, ha egy furcsa linket kapunk olyan ismerősünktől, akivel már régóta nem beszéltünk (esetleg olyan felirattal, hogy „ez tényleg te vagy?”). Inkább kérdezzünk rá, milyen tartalmat küldött, mielőtt rákattintunk. Facebook fiókunk esetében beállíthatjuk, hogy ismerőseink listáját csak mi láthassuk (ehhez segítséget itt lehet találni), valamint egy bejegyzés megosztásánál is beállíthatjuk, milyen körökben osszuk meg azt.