Témák

Adatok biztonságos kommunikációja és tárolása

Kommunikáció és adatok megosztása

Ahhoz, hogy szervezete számára a legjobb döntéseket hozhassa a kommunikáció módjával kapcsolatban, alapvető fontosságú, hogy megértse a kommunikációnk különböző típusú védelmi rendszereit, és hogy miért fontos ez a védelem. A legtöbb kommunikációnál az egyik legfontosabb az üzenetek tartalmának titokban tartása – amiről a modern korban nagyrészt a titkosítás gondoskodik. Megfelelő titkosítás nélkül a privát kommunikációt tetszőleges számú ellenfél láthatja. A nem biztonságos kommunikáció érzékeny információkat és üzeneteket tárhat fel, jelszavakat vagy más személyes adatokat fedhet fel, és veszélybe sodorhatja a személyzetet és a szervezetet az Ön által megosztott kommunikáció és tartalom jellegétől függően.

Biztonságos kommunikáció és politikai pártok

A fehéroroszországi politikai tüntetők képe

A politikai pártok nap mint nap a biztonságos kommunikációra támaszkodnak a stratégiai beszélgetések titkosságának megőrzése érdekében. Ilyen biztonsági gyakorlatok nélkül az érzékeny üzeneteket elfoghatják és felhasználhatják külföldi vagy belföldi ellenfelek az Ön választási sikerének vagy célpárti tevékenységének befolyásolására. Ennek egyik kiemelkedő és jól dokumentált példája a 2010-es fehéroroszországi választások után történt. Az Amnesty International jelentésében leírtak szerint a telefonfelvételeket és más titkosítatlan kommunikációt a kormány lehallgatta, és a bíróságon felhasználta neves ellenzéki politikusok és aktivisták ellen, akik közül sokan éveket töltöttek börtönben. Az azóta eltelt évek során a felhasználóbarát, biztonságos üzenetküldő alkalmazások, amelyek 2010-ben nem voltak olyan könnyen elérhetők, fontos eszközzé váltak az érzékeny politikai kommunikáció védelmében, többek között a közelmúltban, 2020-ban lezajlott fehéroroszországi választásokon és azok környékén.

Mi a titkosítás és miért fontos?

A titkosítás egy matematikai folyamat, amellyel egy üzenetet vagy fájlt kódolnak úgy, hogy csak a kulccsal rendelkező személy vagy entitás tudja „dekódolni” és elolvasni.  A titkosítás nélkül üzeneteinket elolvashatják a lehetséges ellenfelek, beleértve az Ön távközlési vagy internetszolgáltatóját (ISP), barátságtalan kormányokat vagy hackereket az interneten. Az Electronic Frontier Foundation Surveillance Self Defense Guide gyakorlati magyarázatot ad (grafikával) a titkosítás jelentésére:

Titkosítatlan üzenetküldés

A továbbítás alatt lévő üzenethez nem használt titkosítás képe

Amint a fenti képen látható, egy okostelefon zöld, titkosítatlan szöveges üzenetet („helló”) küld egy másik okostelefonnak a jobb szélen. Útközben egy mobiltelefon-torony (vagy az interneten keresztül küldött üzenetek esetén az internetszolgáltató) továbbítja az üzenetet a vállalati szervereknek. Innen a hálózaton keresztül egy másik mobiltelefon-toronyhoz ugrik, amely látja a titkosítatlan „helló” üzenetet, és végül a célállomásra irányítja. Fontos megjegyezni, hogy mindenféle titkosítás nélkül mindenki, aki részt vesz az üzenet továbbításában, és bárki, aki találkozik vele, el tudja olvasni a tartalmát. Talán nem sokat számít, ha csak annyit mond, hogy „helló”, de nagy baj lehet, ha valami magánjellegűbb vagy kényesebb információt kommunikál, és nem szeretné, hogy a távközlési szolgáltatója, az internetszolgáltató, egy barátságtalan kormány vagy bármely más ellenfél látná azt. Emiatt elengedhetetlen kerülni a titkosítatlan eszközök használatát az érzékeny üzenetek (és ideális esetben bármilyen üzenetek) küldésére. Ne feledje, hogy a legnépszerűbb kommunikációs módok némelyike ​​– például SMS és telefonhívás – gyakorlatilag titkosítás nélkül működik (mint a fenti képen).

Kétféle módon titkosíthatóak az adatokat mozgás közben: szállítási rétegű titkosítás és végpontok közötti titkosítás. Fontos tudni, hogy a szolgáltató milyen típusú titkosítást támogat, mivel a szervezet a biztonságosabb kommunikációs gyakorlatok mellett dönt. Az ilyen különbségeket jól leírja a Surveillance Self Defense útmutató, amelyet ismét itt adaptálunk:

A szállítási rétegű titkosítás, más néven szállítási rétegbiztonság (TLS), megvédi az üzeneteket, amint azok az Ön eszközéről az üzenetküldő alkalmazás/szolgáltatás szervereire, majd onnan a címzett eszközére jutnak. Ez megvédi őket a hálózaton vagy az internet- vagy távközlési szolgáltatóknál ülő hackerek kíváncsi tekintetétől. Középen azonban az üzenetküldő/e-mail szolgáltató, a böngészett weboldal vagy az Ön által használt alkalmazás láthatja az üzeneteinek titkosítatlan másolatait. Mivel üzeneteit láthatják (és gyakran tárolják is) a vállalati szerverek, ki vannak téve a bűnüldözési kéréseknek vagy lopásnak, ha a vállalat szervereit feltörik.

Szállítási rétegű titkosítás 

Az üzenethez használt szállítási réteg titkosításának képe

A fenti kép egy példát mutat a szállítási rétegű titkosításra. A bal oldalon egy okostelefon zöld, titkosítatlan üzenetet küld: „Helló!" Ezt az üzenetet titkosítják, majd továbbítják egy mobiltelefon-toronyhoz. Középen a vállalati szerverek képesek visszafejteni az üzenetet, elolvasni a tartalmát, eldönteni, hogy hova küldjék, újratitkosítsák, majd elküldik a következő mobiltelefon-toronyba a cél felé. A végén a másik okostelefon megkapja a titkosított üzenetet, és visszafejti, hogy elolvassa a „Helló” szöveget.

A végpontok közötti titkosítás védi az üzeneteket a küldőtől a címzettig. Biztosítja, hogy az információt az eredeti feladó titkos üzenetté alakítsa (az első „vége”), és csak a végső címzettje dekódolja (a második „vége”). Senki, beleértve az Ön által használt alkalmazást vagy szolgáltatást, nem „hallgathatja meg” és nem hallgathatja le tevékenységét.

Végpontok közötti titkosítás

Egy üzenethez használt végpontok közötti titkosítás képe

A fenti kép egy példát mutat a végpontok közötti titkosításra. A bal oldalon egy okostelefon zöld, titkosítatlan üzenetet küld: „Helló!" Ezt az üzenetet titkosítják, majd továbbítják egy mobiltelefon-toronyhoz, majd az alkalmazás/szolgáltatás szervereihez, amelyek nem tudják elolvasni a tartalmat, de továbbítják a titkos üzenetet a célállomásnak. A végén a másik okostelefon megkapja a titkosított üzenetet, és visszafejti, hogy elolvassa a „Helló!” szöveget. A szállítási rétegű titkosítással ellentétben az internetszolgáltató vagy az üzenetküldő gazdagép nem tudja visszafejteni az üzenetet. Csak a végpontok (a titkosított üzeneteket küldő és fogadó eredeti eszközök) rendelkeznek az üzenet visszafejtéséhez és olvasásához szükséges kulcsokkal.

Milyen típusú titkosításra van szükségünk?

Amikor eldönti, hogy szervezetének szállítási rétegű titkosításra vagy végpontok közötti titkosításra van szüksége a kommunikációhoz, a nagy kérdések, amelyeket fel kell tennie, a bizalomra is vonatkoznak. Például megbízik az Ön által használt alkalmazásban vagy szolgáltatásban? Bízik a műszaki infrastruktúrájában? Aggasztja az a lehetőség, hogy egy barátságtalan kormány arra kényszerítheti a vállalatot, hogy átadja az Ön üzeneteit – és ha igen, bízik-e a cég irányelvében, amely megvédi a bűnüldözési kérelmektől?

Ha e kérdések bármelyikére nemmel válaszol, akkor végpontok közötti titkosításra van szüksége. Ha igennel válaszol rájuk, akkor elegendő lehet egy olyan szolgáltatás, amely csak a szállítási rétegű titkosítást támogatja – de általában jobb, ha lehetőség szerint olyan szolgáltatásokat választunk, amelyek támogatják a végpontok közötti titkosítást.

Amikor csoportokkal üzen, ne feledje, hogy üzenetei biztonsága csak annyira jó, mint mindenkié, aki megkapja az üzeneteket. Ezért a biztonságos alkalmazások gondos kiválasztásán túl fontos, hogy a csoport minden tagja kövesse a fiók- és eszközbiztonsággal kapcsolatos egyéb bevált módszereket. Csak egy rossz színész vagy egy fertőzött eszköz kell ahhoz, hogy egy teljes csoportos csevegés vagy hívás tartalma kiszivárogjon.

Milyen végpontok közti titkosított üzenetküldő eszközöket kell használnunk (2021-ben)?

Ha végpontok közötti titkosítást kell használnia, vagy csak a bevált gyakorlatot szeretné átvenni, függetlenül a szervezet fenyegetettségétől, íme néhány megbízható példa azokra a szolgáltatásokra, amelyek 2021-től végpontok közötti titkosítást kínálnak üzenetküldéshez és hívásokhoz. A Kézikönyv ezen részét rendszeresen frissítjük online, de kérjük, vegye figyelembe, hogy a dolgok gyorsan változnak a biztonságos üzenetküldés világában, ezért előfordulhat, hogy ezek az ajánlások már nem naprakészek, amikor ezt a részt olvassa. Ne feledje azt sem, hogy a kommunikációja csak annyira biztonságos, mint maga az eszköz. Tehát a biztonságos üzenetkezelési gyakorlatok mellett elengedhetetlen a jelen kézikönyv eszközbiztonsági részében leírt legjobb gyakorlatok alkalmazása.

Szöveges üzenet (egyéni vagy csoportos)
  • Signal
  • WhatsApp (csak az alább részletezett speciális beállításokkal)
Hang- és videóhívások:
  • Signal (max. 8 fő)
  • WhatsApp (max. 8 fő)
  • Duo (max. 32 fő)
Fájlmegosztás:
  • Signal
  • Keybase / Keybase Teams
  • OnionShare + egy végpontok közötti titkosított üzenetküldő alkalmazás, például a Signal

Mik a metaadatok és aggódnunk kell-e miattuk?

Az, hogy Ön és munkatársai kivel, mikor és hol beszélnek, gyakran ugyanolyan érzékeny lehet, mint az, amiről beszélnek. Fontos megjegyezni, hogy a végpontok közötti titkosítás csak a kommunikációtartalmát (a „mit”) védi. Itt jönnek képbe a metaadatok. Az EFF Surveillance Self Defense Guide áttekintést nyújt a metaadatokról és arról, hogy miért fontosak a szervezetek számára (beleértve a metaadatok kinézetének szemléltetését is):

A metaadatokat gyakran úgy írják le, mint minden, kivéve a kommunikáció tartalmát. A metaadatokat a boríték digitális megfelelőjének tekintheti. Csakúgy, mint egy boríték információkat tartalmaz az üzenet feladójáról, címzettjéről és célállomásáról, úgy a metaadatok is. A metaadatok az Ön által küldött és fogadott digitális kommunikációra vonatkozó információk. Néhány példa a metaadatokra:

  • akivel kommunikál
  • az e-mailek tárgysora
  • beszélgetéseinek hossza
  • az időpont, amikor a beszélgetés zajlott
  • tartózkodási helye kommunikáció közben

Még a metaadatok egy parányi mintája is bőséges adatokkal szolgálhat szervezete tevékenységeiről. Vessünk egy pillantást arra, hogy a metaadatok mennyire feltáróak a hackerek, kormányzati szervek és vállalatok számára, amelyek gyűjtik azokat:

  • Tudják, hogy felhívott egy újságírót, és egy órán keresztül beszélt velük, mielőtt az újságíró közzétett egy történetet egy névtelen idézettel. De nem tudják, miről beszéltek.
  • Tudják, hogy az Ön pártjának egyik jelöltje gyakran üzent egy helyi vállalkozásnak, amely rosszindulatú tevékenységéről híres. De az üzenetek témája továbbra is titok marad.
  • Tudják, hogy e-mailt kapott egy COVID-tesztelő szolgálattól, majd felhívta orvosát, majd ugyanabban az órában felkereste az Egészségügyi Világszervezet weboldalát. De nem tudják, mi volt az e-mailben, vagy miről beszélt telefonon.
  • Tudják, hogy egy nagy adományozótól kapott egy e-mailt, amelynek tárgya „Befektetésünk megtérülése a választások után”. De az e-mail tartalma láthatatlan számukra.

A metaadatokat nem védi a legtöbb üzenetszolgáltatás által biztosított titkosítás. Tehát, ha például a WhatsApp-on küld üzenetet, ne feledje, hogy bár az üzenet tartalma végpontokig titkosított, mások továbbra is tudják, hogy kivel, milyen gyakran és (a telefonhívások) mennyi ideig beszél. Emiatt szem előtt kell tartania, hogy milyen kockázatok állnak fenn (ha vannak ilyenek), ha bizonyos ellenfelek megtudhatják, kivel beszél a szervezete, mikor beszélt velük, és (e-mailek esetén) megtudhatják az Ön szervezete általános tárgysorait a szervezet kommunikációjából.

Az egyik oka annak, hogy a Signal olyan erősen ajánlott, hogy a végpontok közötti titkosításon túlmenően olyan funkciókat is bevezetett, és kötelezettségeket vállalt az általa rögzített és tárolt metaadatok mennyiségének csökkentésére. Például a Signal lezárt feladó funkciója titkosítja a metaadatokat arról, hogy ki kivel beszél, így a Signal csak az üzenet címzettjét ismeri, a feladót nem. Alapértelmezés szerint ez a funkció csak akkor működik, ha olyan meglévő névjegyekkel vagy profilokkal (személyekkel) kommunikál, akikkel már kommunikált, vagy akiket a névjegyzékében tárolt. Engedélyezheti azonban ezt a „Lezárt feladó” beállítást „Engedélyezés bárkitől” értékre, ha fontos az ilyen metaadatok eltávolítása az összes Signal beszélgetésből, még az Ön számára ismeretlen emberekkel folytatott beszélgetésekből is.

Szükségem van végpontok közötti titkosított e-mailre?

A legtöbb e-mail szolgáltató, például a Gmail, a Microsoft Outlook és a Yahoo Mail, szállítási rétegű titkosítást alkalmaz. Ha különösen érzékeny információkat kell közölnie, az e-mail nem a legjobb megoldás. Ehelyett válassza a biztonságos üzenetkezelési lehetőségeket, mint például a Signal. Még a végpontok között titkosított e-mail opciók is hagynak kívánnivalót maguk után biztonsági szempontból, például nem titkosítják az e-mailek tárgysorait és nem védik a metaadatokat. Ennek ellenére, ha kényes tartalmat kell közölnie e-mailben, és attól tart, hogy az e-mail szolgáltatója jogilag kötelezhető arra, hogy tájékoztatást adjon a kommunikációjáról egy kormánynak vagy más ellenfélnek, érdemes megfontolni egy végpontok között titkosított e-mail, például a ProtonMail vagy a Tutanota használatát.

Valóban bízhatunk a WhatsAppban?

A WhatsApp népszerű választás a biztonságos üzenetküldéshez, és a széleskörű elterjedtsége miatt jó választás lehet. Vannak, akik aggódnak amiatt, hogy a Facebook tulajdona és az irányítása alatt áll, amely azon dolgozik, hogy integrálja más rendszereivel. Az embereket az is aggasztja, hogy a WhatsApp mennyi metaadatot (azaz információt arról, hogy kivel és mikor kommunikál) gyűjt. Ha úgy dönt, hogy a WhatsApp-ot biztonságos üzenetküldési lehetőségként használja, feltétlenül olvassa el a fenti metaadatokról szóló részt. Van néhány beállítás is, amelyek megfelelő konfigurálásról gondoskodnia kell. A legkritikusabb, hogy kapcsolja ki a felhőalapú biztonsági mentéseket, jelenítse meg a biztonsági értesítéseket, és ellenőrizze a biztonsági kódokat. Itt talál egyszerű útmutatót ezen beállítások konfigurálásához Android telefonokhoz, iPhone készülékekhez pedig itt. Ha az alkalmazottak *és azok, akikkel mindannyian kommunikálnak*, nem konfigurálják megfelelően ezeket a beállításokat, akkor ne tekintse a WhatsApp-ot jó lehetőségnek a végpontok közötti titkosítást igénylő érzékeny kommunikációhoz. A Signal továbbra is a legjobb megoldás az ilyen végpontok közötti titkosított üzenetküldési igényekhez, tekintettel a biztonságos alapértelmezett beállításokra és a metaadatok védelmére.

Mi a helyzet a szöveges üzenetekkel?

Az alapvető szöveges üzenetek nagyon nem biztonságosak (a szabványos SMS-ek gyakorlatilag titkosítatlanok), ezért kerülni kell azokat minden olyan helyzetben, amely nem nyilvános. Míg az Apple iPhone-ról iPhone-ra küldött üzenetei (más néven iMessages) végpontok közötti titkosítással vannak ellátva, ha nem iPhone-os személy vesz részt a beszélgetésben, az üzenetek nincsenek biztonságban. A legjobb, ha biztonságban vagyunk, és kerüljük a bármilyen érzékeny, privát vagy bizalmas jellegű szöveges üzenetek távoli küldését.

Miért nem ajánlott a biztonságos csevegéshez a Facebook Messenger, vagy a Viber?

Egyes szolgáltatások, mint például a Facebook Messenger és a Telegram, csak akkor kínálnak végpontok közötti titkosítást, ha szándékosan bekapcsolja (és csak a személyes csevegésekhez), így ezek nem megfelelőek az érzékeny vagy privát üzenetek küldésére, különösen egy szervezet számára. Ne hagyatkozzon ezekre az eszközökre, ha végpontok közötti titkosítást kell használnia, mert nagyon könnyen elfelejtheti az alapértelmezett, kevésbé biztonságos beállításoktól való eltérést. A Viber azt állítja, hogy végpontok közötti titkosítást kínál, de nem tette elérhetővé a kódját külső biztonsági kutatók számára. A Telegram kódja szintén nem került nyilvános ellenőrzésre. Ennek eredményeként sok szakértő attól tart, hogy a Viber titkosítása (vagy a Telegram „titkos csevegései”) nem felel meg a szabványnak, és ezért nem alkalmas olyan kommunikációra, amely valódi végpontok közötti titkosítást igényel.

Ismerőseink és kollégáink más üzenetküldő appokat használnak - hogyan győzzük meg őket, hogy új alkalmazást töltsenek le a beszélgetéseinkhez?

Néha kompromisszumot kell kötni a biztonság és a kényelem között, de megér egy kis erőfeszítést az érzékeny kommunikáció esetén. Mutasson jó példát kapcsolatai számára. Ha más, kevésbé biztonságos rendszert kell használnia, legyen biztos abban, amit mond. Kerülje a kényes témák megbeszélését. Egyes szervezeteknél az egyik rendszert az általános csevegéshez, a másikat pedig vezetőikkel, a legbizalmasabb megbeszélésekhez használhatják. Természetesen a legegyszerűbb, ha minden mindig automatikusan titkosítva van – semmi emlékezni-való vagy gondolkodni-való.

Szerencsére a végpontok között titkosított alkalmazások, mint például a Signal, egyre népszerűbbek és felhasználóbarátabbak – nem is beszélve arról, hogy több tucat nyelvre lokalizálták őket globális használatra. Ha partnereinek vagy más kapcsolattartóinak segítségre van szüksége a kommunikációnak egy végpontok közötti titkosított opcióra, például a Signalra való átállásához, szánjon egy kis időt arra, hogy megbeszélje velük, miért olyan fontos a kommunikáció megfelelő védelme. Ha mindenki megérti ennek fontosságát, nem tűnik nagy ügynek az a néhány perc, ami egy új alkalmazás letöltéséhez szükséges, és az a néhány nap, amelybe beletelhet, hogy megszokja a használatát.

Vannak más olyan beállítások a végpontok között, amelyekkel tisztában kell lenni?

A Signal alkalmazásban a biztonsági kódok (amelyekre biztonsági számokként hivatkoznak) ellenőrzése is fontos. A biztonsági szám megtekintéséhez és a Signal alkalmazásban történő ellenőrzéséhez nyissa meg a csevegést egy partnerrel, koppintson a nevére a képernyő tetején, majd görgessen le a „Biztonsági szám megtekintése” elemre. Ha a biztonsági szám megegyezik a névjegyével, ugyanazon a képernyőn megjelölheti őt „ellenőrzöttként”. Különösen fontos odafigyelni ezekre a biztonsági számokra, és ellenőrizni az elérhetőségeit, ha chaten értesítést kap arról, hogy megváltozott a biztonsági szám egy adott kapcsolatnál. Ha Önnek vagy más alkalmazottaknak segítségre van szüksége a beállítások konfigurálásához, maga a Signal ad hasznos utasításokat.

Ha Signalt használ, amelyet széles körben a legjobb felhasználóbarát lehetőségnek tartanak a biztonságos üzenetküldéshez és a két fél közötti hívásokhoz, feltétlenül állítson be egy erős PIN-kódot is. Használjon legalább hat számjegyet, és ne olyan könnyen kitalálható dolgot, mint a születési dátuma. 

Ha további tippeket szeretne kapni a Signal és a WhatsApp megfelelő konfigurálásával kapcsolatban, tekintse meg az EFF által a Surveillance Self-Defense Guide című kiadványban található eszköz útmutatókat mindkettőhöz.

A csevegőalkalmazások használata a való világban

A telefon elvesztése, ellopása vagy elkobzása esetén keletkező károk korlátozása érdekében a legjobb gyakorlat a telefonra mentett üzenetek előzményeinek minimalizálása. Ennek egyik egyszerű módja az, hogy bekapcsolja az „eltűnő üzenetek” funkciót szervezete csoportos csevegéseiben, és a személyzetet a személyes csevegéseik során is erre ösztönzi.

A Signalban és más népszerű üzenetküldő alkalmazásokban beállíthat egy időzítőt, amellyel az üzenetek bizonyos számú perccel vagy órával az olvasás után eltűnnek. Ez a beállítás testreszabható az egyéni csevegés vagy csoport alapján. Legtöbbünk számára, ha egy hétre állítjuk be az eltűnő ablakot, bőven van időnk utánanézni a dolgoknak, miközben nem őrzünk meg olyan üzeneteket, amelyekre soha nem lesz szükségünk – de amelyeket a jövőben esetleg felhasználhatnak ellenünk. Ne feledje, ami nincs, azt nem lophatják el.

Az eltűnt üzenetek bekapcsolásához a Signal alkalmazásban nyisson meg egy csevegést, koppintson annak a személynek/csoportnak a nevére, akivel cseveg, koppintson az eltűnt üzenetekre, válasszon időzítőt, és koppintson az OK gombra. Hasonló beállítás létezik a WhatsApp-ban is.

Súlyosabb helyzetekben, amikor szükség van egy üzenet azonnali törlésére, esetleg azért, mert valakinek ellopták a telefonját, vagy rossz személynek küldött üzenetet, vegye figyelembe, hogy a Signal lehetővé teszi egy csoportnak vagy egyénnek küldött üzenetek törlését mindenki fiókjából az elküldésétől számított három órán belül csupán a csevegésből való törlésével. A Telegram továbbra is népszerű sok országban, annak ellenére, hogy titkosítási korlátai vannak egy hasonló funkciónak, amely lehetővé teszi a felhasználók számára, hogy korlátozások nélkül töröljék az üzeneteket az eszközökről.

Ezzel együtt, ha szervezete aggódik a személyzet biztonsága miatt a telefonjukon esetleg látható kommunikáció miatt, akkor valószínűleg a legegyszerűbb és legfenntarthatóbb megoldás az eltűnő üzenetek rövid időzítőkkel történő használata.

Mi a helyzet a nagyobb csoportos videóhívásokkal? Léteznek végpontok közötti titkosítási opciók?

A távmunka számának növekedésével fontos, hogy legyen biztonságos lehetőség a szervezet nagy, csoportos videohívásaihoz. Sajnos jelenleg nincs olyan nagyszerű lehetőség, amely az összes négyzetet bejelölné: felhasználóbarát, nagyszámú résztvevőt és együttműködési funkciókat támogat, és alapértelmezés szerint lehetővé teszi a végpontok közötti titkosítást.

Ha az értekezletek nem igényelnek együttműködési funkciókat, például képernyőmegosztást vagy szekciószobákat, akkor van néhány lehetőség. Legfeljebb nyolc fős csoportok számára a Signal erősen ajánlott. A Signal csoportos videohívásaihoz okostelefonról vagy számítógépen a Signal asztali alkalmazásból is csatlakozhat. Ne feledje azonban, hogy csak a Signalt használó kapcsolatai vehetők fel a Signal csoportba.

A Google Duo végpontok közötti titkosított videohívásokat biztosít akár 32 résztvevő számára, így jó választás lehet kicsit nagyobb megbeszélésekhez, amelyekhez nincs szükség képernyőmegosztásra vagy szekciószobákra. A Duót okostelefonos alkalmazáson keresztül vagy a számítógép webböngészőjéből használhatja. A résztvevőknek nem kell letölteniük a Duo alkalmazást, hogy számítógépükön csatlakozhassanak egy csoportos híváshoz, azonban be kell jelentkezniük egy Google-fiókba. Ez nem csak a használat gátja, hanem azt is jelenti, hogy a Duo sok metaadatot gyűjt arról, hogy ki kivel beszél. Tehát ha ez aggodalomra ad okot, akkor lehet, hogy a Duo nem a legjobb megoldás. Ha használja a Duót, ügyeljen arra, hogy biztonságosan ossza meg a csoport hivatkozásokat, és mindenki törölje a csoportot minden hívás után. 

Ha végpontok közötti titkosításra van szüksége nagyobb csoportos hívásokhoz vagy workshopokhoz, amelyekhez olyan funkciókra van szükség, mint a képernyőmegosztás és a szekciószobák, akkor van néhány lehetőség. De ne feledje, hogy ezek a beállítások egy kicsit nagyobb körültekintést igényelnek a teljes körű titkosítás engedélyezése és a biztonság fenntartása érdekében.

Az egyik platform, amely a közelmúltban egy végpontok közötti titkosítási lehetőséget adott hozzá, a Jitsi Meet. A Jitsi Meet egy webalapú hang- és videokonferencia-megoldás, amely nagy közönség számára (legfeljebb 75 fő) működik, és nem igényel alkalmazást vagy speciális szoftvert. A Jitsi 2020-ban kiadott egy kísérleti, végpontok közötti titkosítási lehetőséget, és e kézikönyv megjelenése óta a Jitsi aktívan dolgozik a javításán. Ha megbeszélést szeretne beállítani a Jitsi Meetben, menjen a meet.jit.si weboldalra, írja be a megbeszélés kódját, és megoszthatja a hivatkozást (biztonságos csatornán, például a Signal segítségével) a kívánt résztvevőkkel. A végpontok közötti titkosítás használatához tekintse meg ezeket a Jitsi által felvázolt utasításokat. Vegye figyelembe, hogy minden egyes felhasználónak magának kell engedélyeznie a végpontok közötti titkosítást, hogy az működjön. A Jitsi használatakor ügyeljen arra is, hogy véletlenszerű tárgyalótermi neveket hozzon létre, és erős jelkódokat használjon a hívások védelme érdekében.

Ha ez a lehetőség nem működik az Ön szervezetében, fontolóra veheti egy népszerű kereskedelmi lehetőség, például a WebEx vagy a Zoom használatát, engedélyezve a végpontok közötti titkosítást. A WebEx már régóta lehetővé teszi a végpontok közötti titkosítást, azonban ez a lehetőség alapértelmezés szerint nincs bekapcsolva, és a résztvevőknek le kell tölteniük a WebEx-et, hogy csatlakozhassanak az értekezlethez. A végpontok közötti titkosítás beállításához WebEx-fiókjához meg kell nyitnia egy WebEx támogatási csomagot, és követnie kell ezeket az utasításokat a végpontok közötti titkosítás konfigurálása érdekében. Csak a megbeszélés házigazdájának kell engedélyeznie a végpontok közötti titkosítást. Ha így tesznek, a teljes megbeszélés végpontok között titkosítva lesz. Ha a WebEx-et biztonságos csoportos értekezletekhez és workshopokhoz használja, ügyeljen arra, hogy az erős jelkódokat is engedélyezze hívásaiban.

Több hónapos negatív sajtó után a Zoom kifejlesztett egy végpontok közötti titkosítási lehetőséget a hívásaihoz. Ez az opció azonban alapértelmezés szerint nincs bekapcsolva, megköveteli, hogy a hívásgazda társítsa fiókját egy telefonszámhoz, és csak akkor működik, ha minden résztvevő a Zoom asztali vagy mobilalkalmazáson keresztül csatlakozik betárcsázás helyett. Mivel ezek a beállítások könnyen véletlenül rosszul konfigurálhatók, nem javasoljuk, hogy a Zoom-ot végpontok közötti titkosítási lehetőségként használja. Ha azonban végpontok közötti titkosítás szükséges, és a Zoom az egyetlen lehetőség, a Zoom utasításait követve konfigurálhatja. Csak győződjön meg róla, hogy minden hívás megkezdése előtt ellenőrizze, hogy valóban végpontok között titkosított-e. Ehhez kattintson a zöld zárra a Zoom képernyő bal felső sarkában, és figyelje meg a „végpontok” feliratot a Titkosítás beállítása mellett. Ezenkívül minden Zoom-találkozóhoz erős jelszót kell beállítania.

A fent említett eszközökön kívül ez a Frontline Defenders által kidolgozott folyamatábra rávilágít néhány videohívási és konferencia-lehetőségre, amelyek a kockázati kontextustól függően hasznosak lehetnek szervezete számára.

Mi van akkor, ha igazából nincs szükségünk minden kommunikációnk végpontok közötti titkosítására?

Ha a kockázatértékelés alapján nincs szükség végpontok közötti titkosításra a szervezet összes kommunikációjához, fontolóra veheti a szállítási rétegű titkosítással védett alkalmazások használatát. Ne feledje, hogy az ilyen típusú titkosításhoz meg kell bíznia a szolgáltatóban, például a Google for Gmailben, a Microsoft for Exchange-ben vagy a Facebook for Messengerben, mert ők (és bárki, akivel esetleg kénytelenek megosztani információkat) láthatják/hallhatják az Ön kommunikációját. A legjobb lehetőségek a fenyegetési modelltől függenek (például ha nem bízik a Google-ban, vagy ha az Egyesült Államok kormánya az ellenfél, akkor a Gmail nem jó választás), de néhány népszerű és általánosan megbízható lehetőség a következő:

e-mail
  • Gmail
  • Outlook (Office 365-ön keresztül)
    • Ne kezeljen gazdaként saját Microsoft Exchange-kiszolgálót szervezete e-mailjeinél. Ha jelenleg ezt teszi, akkor át kell térnie az Office 365-re.
Szöveges üzenet (egyéni vagy csoportos)
  • Google Hangouts
  • Slack
  • Microsoft Teams
  • Mattermost
  • Line
  • KaKao Talk
  • Telegram
Csoportos konferencia, hang- és videóhívások
  • Jitsi Meet
  • Google Meet
  • Microsoft Teams
  • WebEx
  • GotoMeeting
  • Zoom
Fájlmegosztás:
  • Google Drive
  • Microsoft Sharepoint
  • Dropbox
  • Slack

Megjegyzés a fájlmegosztásról

Az üzenetek biztonságos megosztása mellett a fájlok biztonságos megosztása valószínűleg fontos része szervezete biztonsági tervének. A legtöbb fájlmegosztási lehetőség be van építve olyan üzenetküldő alkalmazásokba vagy szolgáltatásokba, amelyeket esetleg már használ. Például a fájlok Signal segítségével történő megosztása nagyszerű lehetőség, ha végpontok közötti titkosításra van szükség. És ha elegendő a szállítási rétegű titkosítás, a Google Drive vagy a Microsoft Sharepoint használata jó választás lehet szervezete számára. Csak ügyeljen arra, hogy megfelelően konfigurálja a megosztási beállításokat, hogy csak a megfelelő személyek férhessenek hozzá az adott dokumentumhoz vagy mappához, és győződjön meg arról, hogy ezek a szolgáltatások csatlakoznak a személyzet szervezeti (nem személyes) e-mail fiókjához. Ha teheti, tiltsa le az érzékeny fájlok megosztását e-mail mellékleteken keresztül vagy fizikailag USB-n keresztül. Az olyan eszközök, mint például az USB-k használata a szervezeten belül nagymértékben megnöveli a rosszindulatú programok vagy a lopások valószínűségét, az e-mailekre vagy a csatolmányok egyéb formáira támaszkodva pedig gyengíti a szervezet védekezőképességét az adathalász támadásokkal szemben.

Szervezeti alternatívák a fájlmegosztáshoz

Ha olyan biztonságos fájlmegosztási lehetőséget keres szervezete számára, amely nincs közvetlenül beágyazva egy üzenetküldő platformba (vagy esetleg fájlméret-korlátokba ütközik nagy dokumentumok megosztása során), fontolja meg az OnionShare szolgáltatást. Az OnionShare egy nyílt forráskódú eszköz, amely lehetővé teszi bármilyen méretű fájlok biztonságos és névtelen megosztását. Ez úgy működik, hogy a feladó letölti az OnionShare alkalmazást (elérhető Mac, Windows és Linux számítógépeken), feltölti a megosztani kívánt fájl(oka)t, és létrehoz egy egyedi hivatkozást. Ezt a hivatkozást, amelyet csak a Tor böngészőben lehet feldolgozni, bármely biztonságos üzenetküldő csatornán (például a Signalon) keresztül megoszthatja a kívánt címzettel. A címzett ezután megnyithatja a hivatkozást a Tor Browserben, és letöltheti a fájl(oka)t a számítógépére. Ne feledje, hogy a fájlok csak annyira biztonságosak, mint a hivatkozás megosztásának módja. A Torról részletesebben a kézikönyv egy későbbi „haladó” részében lesz szó, de a szervezeten belüli fájlmegosztás céljából tartsa szem előtt az OnionShare-t, mint egy biztonságosabb alternatívát a nagy fájlok USB-n történő megosztására az irodában, ha nem megbízható felhőszolgáltató opcióval rendelkezik.


Ha vállalata már beruház egy jelszókezelőbe, amint azt jelen Kézikönyv jelszavakkal foglalkozó részében leírtuk, és a Bitwarden prémium vagy csapatfiókját választja, a Bitwarden Send funkció egy másik lehetőség a biztonságos fájlmegosztásra. Ez a funkció lehetővé teszi a felhasználók számára, hogy biztonságos hivatkozásokat hozzanak létre a titkosított fájlok megosztásához bármely biztonságos üzenetküldő csatornán (például Signal) keresztül. A fájl mérete 100 MB-ra van korlátozva, de a Bitwarden Send lehetővé teszi a hivatkozások lejárati dátumának beállítását, a megosztott fájlok hozzáférésének jelszóvédelmét, és korlátozza a hivatkozás megnyitásának számát.

Biztonságos kommunikáció és adatmegosztás

  • Követelje meg a megbízható, végpontok közötti titkosított üzenetküldő szolgáltatások használatát szervezete érzékeny kommunikációjához (és ideális esetben minden kommunikációhoz.)
    • Szánjon időt arra, hogy elmagyarázza a személyzetnek és a külső partnereknek, miért olyan fontos a biztonságos kommunikáció; ez növeli a terve sikerét.
  • o Állítson be egy szabályzatot arra vonatkozóan, hogy mennyi ideig fogja megőrizni az üzeneteket, amikor/ha használ a szervezet „eltűnő” kommunikációt.
  • Győződjön meg arról, hogy megfelelő beállítások vannak megadva a biztonságos kommunikációs alkalmazásokhoz, beleértve:
    • Győződjön meg arról, hogy a személyzet minden tagja odafigyel a biztonsági értesítésekre, és ha WhatsApp-ot használ, ne készítsen biztonsági másolatot a csevegésekről.
    • Ha olyan alkalmazást használ, ahol a végpontok közötti titkosítás alapértelmezés szerint nincs engedélyezve (pl. Zoom vagy Webex), győződjön meg arról, hogy a szükséges felhasználók bekapcsolták a megfelelő beállításokat minden hívás vagy megbeszélés elején.
  • Használjon felhő alapú e-mail szolgáltatásokat vállalata számára, például Office 365-öt vagy Gmailt.
    • Ne próbáljon meg saját e-mail kiszolgálót üzemeltetni.
    • Ne engedje meg a személyzetnek, hogy személyes e-mail fiókokat használjanak munkához.
  • Gyakran emlékeztesse a szervezetet a csoportos üzenetekkel és metaadatokkal kapcsolatos biztonsági bevált gyakorlatokra.
    • Ügyeljen arra, hogy kik szerepelnek a csoportos üzenetekben, csevegésekben és e-mail-szálakban.