Многие воспринимают чеклист как ясный и короткий путь к результату. Но в теме безопасности успешные чеклисты встречаются редко. Почему? С одной стороны, чем конкретнее такой список, тем плотнее он привязан к модели угроз отдельной команды или человека. Подробные инструкции по безопасности владельцу веб-сайта на WordPress — зачем они тому, у кого веб-сайта нет? А чересчур общие, декларативные советы типа «защищайте свою электронную почту» по большей части бесполезны. С другой стороны, чеклист постоянно нуждается в обновлении. Поддерживать актуальный список трудно. В этой статье мы расскажем о чеклисте, который Теплица оценивает как неплохой. А еще он бесплатный, красивый и переведен на русский язык.
Об авторе
Алисия Сайкс (Alicia Sykes) — талантливая программистка из Лондона. Сегодня она курирует разработку программного обеспечения в английской компании AND.Digital, участница хакатонов и компьютерных тусовок. До этого Алисия была фрилансером, училась в Оксфорде и даже служила в британской армии. Со времен студенчества она не просто старалась развивать профессиональные программистские знания, но и придумывала разные проекты, а потом делилась ими с публикой. «Я особенно интересуюсь программами для обеспечения приватности и безопасности», — пишет Алисия на своем сайте. Два ее крупнейших проекта — подборка полезных инструментов для защиты приватности Awesome Privacy (о нем в следующий раз) и чеклист Personal Security Checklist (на русском языке), о котором сегодня и пойдет речь.
Как работать с чеклистом
Начнем с того, что чеклист — интерактивный. Вы ставите галочки не мысленно, а на сайте. Тем самым вы зарабатываете себе баллы и можете с удовлетворением следить за собственным прогрессом. Чеклист разбит на двенадцать тем:
- аутентификация;
- веб-серфинг;
- email;
- мессенджеры;
- социальные сети;
- сети;
- мобильные устройства;
- компьютеры;
- умный дом;
- личные финансы;
- человеческий фактор;
- физическая безопасность.
В темах разное число пунктов. Самая скромная — финансы (10), самая насыщенная — веб-серфинг (39). Пункты, в свою очередь, делятся на три разноцветных категории:
- основные (зеленые);
- дополнительные (желтые);
- продвинутые (розовые).
Например, минимизацию числа приложений на смартфоне Алисия считает базовым требованием безопасности. Стирание данных после N неудачных попыток ввода пароля отнесено к разряду «дополнительных». А использовать Tor на смартфоне предлагается продвинутым пользователям.
Что еще нам понравилось
Полнота. Здесь рассмотрены самые разные пункты, включая физическую безопасность. Разумеется, никакой чеклист не может быть исчерпывающим, и всегда найдется яркий критик, который воскликнет «Вы забыли самое главное!» Но это действительно обширный чеклист.
- Простота. Чеклисты в принципе несложная в использовании штука, и здесь нет лишних наворотов.
- Возможность учесть модель угроз. Тот или иной пункт можно игнорировать (передвинуть соответствующий рычажок). Это позволяет пропустить пункты, которые не стыкуются с вашей моделью угроз, не подходят вам по контексту. Скажем, в обширной категории «Компьютеры» есть предложение отключить ненужные функции и службы Windows. Хороший совет, но бесполезный, если у вас macOS.
- Четкие и уместные пояснения. Если вас смущает вопрос, какие браузеры «уважают конфиденциальность», или вы забыли, что такое SSID, текстовые подсказки помогут разобраться.
- Ссылки на конкретные инструменты. Там, где написано «зашифруйте ваше устройство», вы можете сразу получить рекомендации «как это устройство защитить». Внизу каждой категории предложены гиперссылки на рекомендуемые программы проекта Awesome Privacy.
«Все разложено на темы, при этом любую тему можно отключить, — поделился своими впечатлениями Артем Тарасов, один из локализаторов проекта, консультант по информационной безопасности проекта GIF Internews. — Неплохое и относительно актуальное описание. Я видел, что оно составлялось сообществом коллег, все было открыто для обсуждения. Еще мне лично очень нравится визуальное отображение, паутина, которая наглядно показывает уровень безопасности. А еще это проект с открытым кодом, нет никаких сборов куки и регистрации, все, что мы любим в анонимности».