Ezt gondold át!
A bankkártya PIN kódját egy lapra leírni biztonságos? A személyi igazolványod, lakcímkártyád scannelt verzióját digitálisan tárolni veszélyes?
A jelszavaidat egy papírfecnin a fiókban, vagy esetleg digitálisan tárolni biztonságos, vagy veszélyes? Ezeket a dolgokat valakinek „odaadni” mert náluk nagyobb biztonságban vannak ezek a dolgok – az mégis milyen?
Gondolatébresztőnek szántam a fenti kérdéseket, mert a mai világban az adattárolásnak, lényegében 3 fő formája van és (itt most vegyük egy csoportba számos dolgot: személyes adatok, igazolványok, jelszavak, lakáskulcsok, banki információk, vagy nyaralós fotók)
Offline tárolás – a tradicionális verzió
Nem digitális formában: plasztikkártya, kézzel írt papír, fizikai lakáskulcs, nyomtatott fotóalbum és dokumentumok.
Offline tárolás – tradicionalitás v1.1
Az előzőeket vagy másodpéldányukat nem tartjuk magunknál, hanem inkább egy biztonságos helyre tesszük. (széf , párna alá, irodafiók, egy megbízható családtagnál, ismerősnél, vagy egy trezorban)
Offline, de digitalizált tárolás
Az előző pontban sorolt, nem feltetlen digitális dolgoknak léteznek digitalizált másodpéldányai, ezeket viszont offline tároljuk. Pl.:
- fizikai bankkártya, aminek a számát elmentjuk valahova a könnyebb hozzáférhetőség érdekében
- személyes adatainat tartalmazó iratok, kártyák, anyakönyvi kivonataink scannelt változtata, hogy igény esetén könnyen tudjuk mondjuk e-mailhez csatolni őket
- jelszavaink listája – kicsillagozva, egy erre a célra kialakított fájlban, akár egy pendriveon, a fiókban
- lakáskulcs helyett proxy-kulcsos történő beléptetés
- nyaralós fotóink cd-re kiírjuk, vagy egy merevlemezen tároljuk, nem pedig papír fotóalbumban
Analóg vs. Digitális
Biztonságosak az eddigiek? Hellyel-közzel, némelyik jobban, némelyik kevésbé. Ha betörnek hozzám, nem biztonságosak. Ha elhagyom a dolgaimat, szintén nem. Évekig nem nyúlok a régen kiírt cdkhez? Hát, ott lehetnek gondok. Leejtem a merevlemezt, amint a családi fotók vannak? Ajjaj.
Rokonok, ismerősök – ergo tároljuk a dolgokat más párnája alatt, más széfjében a tuti kedvéért, adjunk kulcsot a szomszédnak, arra az esetre ha kizárnánk magunkat… Biztonságosak ezek? Hááát….
Egy trezorról amit fegyveres őrök biztosítanak egy mindenki által ismeretlen helyen… Erről viszont elhiszem, hogy biztonságos.
Száz szónak is egy a vége, ha figyelembe vesszük a különböző rossz dolgok előfordulásának esélyét, valószínűségét, akkor éppen még rá is foghatjuk hogy a felsorolt példák nagyrészt biztonságosak. (Átlagos emberek esetén)
A mai világban viszont az egyik legnagyobb kincsünk az időnk. Az a 24 rövidke óra ami rendelkezésre áll. Minél inkább le tudjuk csökkenteni hétköznapjainkban a „non-value-added” (azaz értéket hozzá nem adó) tevékenységeket, annál több időnk marad értelmes, hasznos, tevékenységekre, annál hatékonyabbak lehetünk, és annál nagyobb esélyünk van arra, hogy olyan dolgokkal foglalkozzunk, amivel igazán szeretnénk (jelentsen ez bármit).
A fent leírt három esettel kapcsolatban megállapítható, hogy minél inkább effektíven (azaz kényelmesen és egyszerűen) szeretnénk hozzáférni a dolgainkhoz, annál inkább fogjuk csökkenteni a biztonságosságunkat. Tehát 100% biztonság esetén beköszönt a totális kényelmetlenség, míg 100% kényelem esetén kitesszük magunkat a világ veszélyeinek.
Értem ezalatt, hogy totálisan körülményes a fenti szisztémákban tárolt dolgainkhoz való hozzáférés (ha fokozzuk a biztonságot). Némely adatainkhoz rendszeresen, másokhoz ritkábban kell hozzáférnünk viszont minél sűrűbben van valamire szükségünk, annál nagyobb a potenciálja annak, hogy körülményes lesz a hozzáférés.
Túlzott példa: a bankkártya PIN-kódod egy trezorban tartod egy papíron. Vagy a pénzed magát… vs. a PIN-kódod megjegyzed vs. a PIN-kódod egy papíron felírva tartod a bankkártyád mellett.
Na de ha neked 4 bankkártyád van, 4 különböző PIN-kóddal, akkor mit csinálsz?
Offline digitális kontra Online
Én azt mondom, hogy a mai digitális ökoszisztémában mindenkinek megvan a lehetősége arra, hogy digitalizáljon, hogy a tech által forradalmasított eszközöket és szolgáltatásokat igénybe vegye, ezáltal a személyes hatékonyságnövekedés témájában igenis előre tartó lépéseket érjen el. De mint minden más, ez is veszélyeket hordoz magában. Kényelem és hatékonyság vs. Adatbiztonság. Nem fogok itt a GDPR jellegű témákba belemenni, de a fenti három pont után képzeljünk el egy negyediket:
- Személyes iratainknak egy példányát scannelve tartjuk az internetre csatlakoztatott számítógépünkön, vagy egy erre a célra fenntartott cloud tárhelyen (google drive például)
- jelszómenedzser applikációt használunk, felhő alapút (pl. Google Passwords, Kaspersky, Lastpass), itt tároljuk a bankkártya adatainkat is…
- Okoszárunk van a lakáson, amit egy ujjlenyomatos mobilos azonosítást követően nyithatunk, vagy akár nyílik magától, ha megérkezünk.
- Nyaralós fotóinkat szintén egy olyan, netre kapcsolt eszközön tartjuk, vagy egy webes tárhelyen, ahol mindig és mindenkor hozzáférünk ezekhez.
Gondoljuk át ezeket a példákat! Lehet azt mondani, hogy rémisztő, és meg is értem, ha ezt gondolod. Lehet azt mondani, hogy biztonságos? Attól függ, hogy honnan nézzük! Ha a fiókban tárolt merevlemezed elromlik mert leejted, és odalesznek a fotók, akkor ehhez képest egy felhőben történő tárolás igenis biztonságos! Ez az elmélet az összes felsorolt dologra vonatkozik.
Mikor legutóbb hallottam egy olyan storyt, hogy valaki kizárta magát a házából, és lakatost kellett hívni, hogy a zár felfúrásra kerüljön… Mi volt az első gondolatom? De jó lett volna neki egy smart lock! Mobiltelefonnal, Ujjlenyomattal, vagy számos más módon be lehetne jutni a házba, megfelelően beállított hozzáférés esetén. Szóval azt kell mondani, hogy
a biztonság oltárán kell áldoznunk a kényelem érdekében
a kérdés csak az, hogy mennyit, és ezalatt milyen kompromisszumokra van lehetőségünk, másként
a kényelem oltárán áldozunk a biztonságunk érdekében
Miért bíznánk az adatainkat másra?
De ha már ennyire digitalizálunk – rakjuk az összes fotónkat Google drive-ba, vagy icouldra, és tároljuk „másnál”?! Az offline példákban sem adunk oda szívesen másnak bizalmas dolgokat – persze kivéve ha fegyveres őrökkel biztosított objektumról van szó.
Mindazonáltal ha a digitális világban egyszerűen tudjuk a „fegyveres őreinket” felfogadni adatbiztonságunk érdekében, akkor miért is mennénk máshoz? Csak akkor, ha olyan specifikus szolgáltatást tud adni, amit mi nem tudunk magunknak biztosítani. Ebből fog megszületni a tökéletes elegy, ezáltal fogunk tudni az adatbiztonságunkban is diverzifikálni.
Létezik a 100% biztonság?
2020-ban, a mai digitális világban nem létezik 100%-ig biztonságos megoldás. Cégek sokaságai foglalkoznak azzal, hogy a tartalmakat, adatokat védjék az illetéktelen hozzáférésektől, védjék felhasználóikat, de én azt szoktam mondani, hogy amint egy billentyű leütésre kerül, annak nyoma lehet, és nyoma is van. Digitális nyom.
Már tizen-huszon évvel ezelőtt léteztek alap felhasználásra letölthető keylogger szoftverek – keylogger, azaz billentyűleütés-rögzítő. A jobbak képernyőmentéseket, és mindenféle adatokat is tudtak küldeni, természetesen a leütött jelszavakkal egyetemben – midezt a felhasználó tudta nélkül.
A világ fejlődik, de semmi sem feltörhetetlen. Amit valaki le tud programozni, mint egy védelmet, azt valaki más, majd fel tudja oldani, a kérdés csak az, hogy ez a két dolog időben milyen közel történik egymáshoz.
Minden valaha létezett fizetős szoftverhez létezett már egy „ingyenesen” használható módosítás utólag, sok féle wifi-titkosítás-protokoll ellen megtalálták már az ellenszert, sok weboldalon történtek már adatlopások, a sor végtelen. Mennyi storyt hallunk nap mint nap adatlopásokról, data breachekről, háttérben adatokat továbbító szoftverekről?
A tech fejlődés
De tudod mi következik ebből? Frissítések, új verziók. Ez előre viszi a világot! Az „új” funkciók a kényelem mellett új biztonsági rések lehetőségeit hozzák, ezek mit hoznak magukkal kesőbb? Új, ezek megoldását célzó javításokat, ezek ismét új funkciókat hoznak maguk után, és így tovább: A digitális világ egyre-egyre kényelmesebb és biztonságosabb lesz.
Visszakanyarodva azonban lehet itt azt mondani (cégektől hallani) hogy persze mi nem tárolunk személyes adatokat, vagy mi csak kódolt jelszavakat tárolunk, de a big data korában minden egyes egérkattintás, minden egyes billentyűleütés potenciális veszélyforrás – SOHA ismétlem SOHA nem tudhatjuk, hogy az adat a háttérben hova szökik.
Csak az a jelszó van totális, kompromisszumokat nem tűrő biztonságban, ami sehol máshol nem létezik, csak a fejünkben. (Sőt van, hogy még ott sem :D)
Ki az, aki kódra/DLL-re meg tudja mondani, hogy éppen milyen procedúrák és programok futnak adott eszközén háttérben? Ki az, aki tudja, hogy milyen kódok vannak „becsempészve” az ártalmatlannak tűő szoftverünkbe? Ki az, aki tudja hogy miután netes vásárláskor megadtad az adataid, kik azok, akik potenciálisan valamilyen úton módon valahogy mégis hozzá tudnak majd férni az adatokhoz?
Sosem tudhatjuk. Csak reméljük, hogy amit használunk, amit telepítettünk, ahol megadjuk az adatainkat biztonságos. Bízhatunk benne, és megválogathatjuk, hogy milyen digitális megoldásokkal állunk szóba, és miként alkalmazzuk őket.
Szóval mit tehetünk?
Mit tehetünk azért, hogy hasznos és kényelmes funkciók használatával életünk hatékonyabban élhessünk, kiaknázva a digitális világ és a technológia teremtette előnyöket, mindezidő alatt viszont ne tegyük ki magunkat az ezzel előálló veszélyforrásoknak? Két dolgot tehetünk.
Reménykedhetünk. Reménykedésünk általi vélt biztonságunk szintje attól függ, hogy milyen jól adják el nekünk, hogy valami (egy szoftver, egy megoldás) biztonságos. Nem lesz hatékony reménykedni.
Vagy választhatjuk azt, hogy
saját és mások legjobb tudása szerint minimalizálhatjuk a biztonsági kockázatot. Ez már inkább hangzik egy értelmes dolognak.
Adatbiztonság – Mit tegyünk az arany középút érdekében?
Évekkel ezelőtt mikor számítógépeket hordtak hozzám „rendbetételre”, volt egy nagyon jól körülírható kategória: Azok a PC-k, amelyeket Kaspersky Antivirus telepítésével néhány óra alatt simán gatyába lehetett rázni. Mit jelent ez?
Hogy a gyanútlan felhasználó akarva vagy akaratlanul olyan dolgot hozott össze a számítógépén, mobiljén ami nem volt kívánatos. Ész nélkül „számítógépezni”, és minden gyanús vagy kevésbé gyanús de veszélyes dologra ész nélkül klikkelni bizony probléma.
Hova akarok kilyukadni… Bankban tartani a pénzünket… Nem biztonságos. Képet tölteni facebookra, nem biztonságos. E-mailben mellékelni a személyinket, nem biztonságos. Mennyire vitathatóak ezek a dolgok? Tudom hogy sarkítok, de nagyon fontos hogy megértsd, hogy 2020-ban, már tokkal-vonóval a részét képezzük egy olyan világnak, ahol a végletektől eltávolodtunk, és valahol a skála közepén mosódnak össze a dolgok. Az Analog vs. Digitális és a Kényelmes vs. Biztonságos skáláin.
Az offline hozzáállás már nem kivitelezhető
Az olyan lenne, mintha a 90-es években auto helyett lovaskocsit akartunk volna venni azért, hogy nemzetközi árufuvarozással kezdjünk foglalkozni. De mi van a skála másik végén? Az újdonságok, a felfedezések, az innováció, a „veszély” és annak a lehetősége, hogy az innovációt felhasználva hatékonyabbak legyünk mindennapi életünk folyamán.
Meg kell találnunk tehát az arany középutat. Ha az adattárolásról beszélünk, a cikk elejéén említett harmadik és egyedik példámat összemosva: miért akarnánk mindent egy idegen szerverre feltölteni, ha ezt mi magunknál is tarthatjuk? (Saját szerver).
Persze vannak olyanok, akiknek ez nem probléma, és mindent feltolnak google szerverekre. Vagy icloudba. (Frappening megvan?) Miért tartanánk egy fiókban a merevlemezünket, ha ennél jóval kényelmesebb dolgokra is van lehetőségünk? (Mi az a NAS). Miért írnánk egy papírra a jelsavainkat? Miért ne tartanánk a bankszámlánkon pénzt a megfelelő biztonsági intézkedések mellett? Hisz már tesszük!
Minden erről szól – a megfelelő biztonsági intézkedésekről. Ez az arany középút. Élni a technika, és a jövő által elhozott, forradalmi technikai lehetőségekkel, de annyira konzervatívnak maradni, amennyire szükséges ahhoz, hogy biztonságban érezzük magunkat a digitális éterben, ezáltal megtenni mindent, amit tudunk ahhoz, hogy a digitalizáció által életre keltett ránk leselkedő veszélyeket minimalizálhassuk.
Megfelelő biztonsági intézkedések?
Dunát lehetne rekeszteni velük. Bonyolult, és rendszeresen cserélésre kerülő jelszavak, két faktoros azonosítás, ujjlenyomat, tűzfalak és biztonsági szoftverek, inkognitómódban böngészés, VPN-használata internetezéshez, nem megbízható források elkerülése… Estig lehetne sorolhatni a listát! (Beugrott egy indexes cikk korábbról, gondoltam belinkelem, hátha érdekel a téma, ezenkívül egy Androiddal kapcsolatos cikk linkjével is készültem)
Hiszem azt, hogy ha az ember ésszel működik a digitális éterben, odafigyel, tájékozódik, nem hanyag, akkor igenis, megéri kihasználni a kényelmi előnyöket. És akkor arról még nem is beszéltünk, hogy miért pont Te, Átlag Béla lennél az a felhasználó, akit a gonosz kínai hackerek térdre kényszerítenek.
Mert igenis számít az, hogy ha kell az anyakönyvi kivonatunk gyorsban, és nincs nálunk csak telefon, akkor gyors lehúzzuk a szerverünkről és nyomtathatjuk vagy küldhetjük tovább. Ha legfontosabb családi képeink olyan tárolón vannak elhelyezve (akár egy saját szerveren, akár egy távoli cloud szerveren), hogy biztonsági mentéssel rendelkezünk.
Hogy bármikor bármilyen múltbeli élményről mesélek, bárhol is legyek, azonnal tudom mutatni a fotókat amik akkor készültek. Számít az, hogy online sokkal kényelmesebben fizethetek kártyával vagy paypallal bármiért, és nem kell baciterjesztő készpénzt fogdosnom, meg 2 havonta aprót hurcolni a bankba beváltani. Igenis számíthat az, hogy be tudok menni a lakásomba ha kizártam magam, és nincs nálam kulcs.
Számít az, hogy nem papírra jegyzetelek, hanem a telefonom egy megfelelő applikációjába, és ha otthon bekapcsolom a számítógépem, akkor már látom is, hogy mit jegyzeteltem!
Számít az, hogy rádumálhatom a Google Asszisztensnek, vagy Alexának, miközben a konyhában állok, hogy mit akarok bevásárolni, amikor a boltba megérkezek minden ott lesz listázva! Példák végeláthatatlan sorát tudnám felsorakoztatni.
A lényeg, hogy
- Be kell fejeznünk az aggódást!
- Meg kell tennünk lehetőségeinkhez mérten a szükséges biztonsági intézkedéseket
- Bíznunk kell az innováció és technológiai fejlődés adta előnyökben és élnünk kell velük, amennyire tudunk.
Én így látom, ez persze csak egy vélemény a sokból. Blogunk, az envisioner.hu sokat fog emlegetni innovatív, és technológiai fejlődés által biztosított megoldásokat, (3-as pont), és ennek megfelelően fogunk arról is írni a későbbiekben, hogy adott eszközök használata esetén mit tehetsz meg a saját, adatbiztonságodért (2-es pont).
Arról nem fogunk írni, hogy hogyan tudnád befejezni az aggódást. 🙂