Vad är OPSEC och varför behöver du det?

[ware_item id=33][/ware_item]

OPSEC är en viktig del av säker kommunikation


Att hålla din kommunikation säker är en av de svåraste utmaningarna. Oavsett om du pratar om affärshemligheter, kommunicerar med din advokat eller utbyter privat information är det oerhört viktigt att hålla konfidentiell information konfidentiell.

Kryptering prövas som den ultimata lösningen på alla våra integritetsproblem - håller alla oönskade spioner i fjärr med kraftfull, otänkbar matte. Men du behöver också bra Operations Security (OPSEC) för att holistiskt skydda dina kommunikationer och dig själv från att falla i fel händer.

Kryptering är nödvändig för privat kommunikation

Med offentligt granskade och professionellt implementerade krypteringstekniker behöver du inte längre lita på företag eller domstolar för att skydda din personliga information - det är bara i dina händer.

OPSEC säkerställer säkerhet

Tyvärr är kryptering inte en magisk switch som du helt enkelt kan vända för att skydda dig själv.

Att ha bra OPSEC innebär att du tänker på vem du försöker skydda din information från, vem du kommunicerar med och vilka funktioner dina motståndare kan ha. Om du till exempel försöker skydda dig mot organiserad brottslighet eller nationstater, behöver du en helt annan OPSEC än om du skyddar dig från en stalker.

Det är viktigt att bedöma hur din säkerhetsinställning kan komprometteras och väga om riskerna är värda att ta eller undvika.

En lösenordshanterare tillåter komplexa och säkra lösenord, men bra OPSEC kräver att du inte sitter under en säkerhetskamera när du använder ett.

De process för OPSEC, som beskrivs av den amerikanska militären, inkluderar fem steg. ExpressVPN har tillämpat de fem säkerhetsstegen på kommunikationen som vi alla har, förmodligen varje dag: digital chatt.

Identifiera OPSEC-hot

1. Identifiering av kritisk information

Vad är det du försöker dölja? I samband med en digital konversation är det till stor del innehållet och metadata som kommer att avslöja dig. Innehållet är själva konversationen, medan metadata beskriver informationen som rör denna information. Metadata inkluderar vem du pratar med, när, varaktighet och frekvens för konversationerna.

Det är lätt att dölja innehållet i ett meddelande, men att dölja metadata är fortfarande svårt. Appar som Signal lovar att inte behålla några metadata, men för att vara säker, kanske du måste köra din egen OTR-server (inte en triviell prestation och besvärad med unika egna risker).

Analysera OPSEC-hot

2. Analys av hot

Detta inkluderar vem du försöker dölja information från. Om du bara döljer information från din förföljare eller granne, är bedömda risker och sårbarheter mycket annorlunda än om du står upp mot en mäktig nationalstat. Tänk på hot genom att föreställa dig vem du definitivt inte vill att vara i besittning av dina uppgifter. Kanske är det en arbetsrival eller en korrupt regeringsansvarig.

OPSEC-sårbarheter

3. Analys av sårbarheter

Steg tre är den överlägset svåraste delen av OPSECs medvetenhet, eftersom dina sårbarheter är potentiellt oändliga. Du måste kunna lita på din enhet, operativsystem, appar och alla program du har installerat. Bakdörrar kan tillåta underrättelsebyråer tillgång till dina data och slarvig programmering kan läcka information utan din vetskap.

Det kan också finnas sårbarheter längs kommunikationskedjan eller med din chattpartner. Detta är svårt att bedöma eftersom du kanske inte vet vilka system som kör mellan dig och dem.

Din chattpartner kanske inte har samma incitament för att hålla informationen privat. Kanske är de i ett land där myndigheterna är mindre repressiva. Eller kanske bryr de sig inte lika mycket om sekretess som du gör.

Det är viktigt att inkludera OPSEC för de personer du kommunicerar med i din egen OPSEC-modell, även om det är svårt och inkluderar osäkerhet. Det finns många sätt att mildra sårbarheter, du kan till exempel distansera dig från din partner genom att bara avslöja strikt nödvändig information om dig själv.

Tyvärr ligger de mest utmanande och besvärliga svagheterna ofta utanför vad som är möjligt genom teknik. Angripare kan personligen hota dig att ge upp lösenord eller tvinga dig subtilt, kanske med tanke på fängelsetid.

OPSEC riskbedömning

4. Bedömning av risk

Din lista över sårbarheter är troligen mycket lång. Men inte alla hot är lika relevanta. Faktum är att vissa kanske inte är relevanta alls.

I det här steget kombinerar du steg 2 med steg 3 för att fastställa hot och bedöma hur de kan utnyttja dina sårbarheter.

Ett hot kan inkludera en sofistikerad hackare eller någon som delar ditt hem. Var och en måste tas upp på olika sätt. Till exempel har ett lösenord skrivet på ett papper en mycket låg risk att upptäckas av en hacker, men det finns en hög risk att det kan hittas av en snooping rumskamrat.

Slå onödiga hot från din lista och markera sedan resten som hög, medellång eller låg risk.

Lämpliga OPSEC-åtgärder

5. Tillämpning av lämpliga OPSEC-åtgärder

I det sista steget, planera dina åtgärder. Ta först upp de högsta hoten och arbeta sedan mot lägre risker. Vissa är oundvikliga, men de kan minimeras.

OPSEC är ett viktigt steg mot säker kommunikation

Använd kryptering och OPSEC tillsammans för bättre säkerhet. Skräddarsy ditt svar för att passa situationen. OPSEC-åtgärder kan fokusera på att använda starkare kryptering men kan också fokusera på att helt undvika teknik.

Att lämna telefonen hemma och använda kollektivtrafik för att besöka en postlåda några dussin kilometer bort kan, beroende på din OPSEC-analys, vara en bättre strategi än att skicka dokument via PGP-krypterad e-post via Tor-nätverket.

Vad är OPSEC och varför behöver du det?
admin Author
Sorry! The Author has not filled his profile.