Kategorie
Blog

Plan awaryjny

Ostatnio zaktualizowany

Żyjemy w czasach, gdzie informacja jest warta więcej niż pieniądze. Informacja, która może dla nas wydawać się nic niewarta (błaha), może okazać się kluczowa dla naszego bezpieczeństwa. Mowa tutaj o informacji w postaci elektronicznej, czyli nasz e-mail i hasła.

W pierwszej kolejności nasunie ci się odpowiedz – przecież mój e-mail jest nic niewarty. Przecież nikomu nic to nie da jak się na niego włamie. Co mu po moim mailu, przecież nie jestem jakimś biznesmenem, który obraca nie wiadomo to jakimi pieniędzmi i musi się martwić o bezpieczeństwo informacji. Jestem tylko szarym człowiekiem.

Mało jednak ludzi zdaje sobie sprawę jak bardzo, na początku tego, co twierdzą, mogą się mylić. Nasza informacja, tj. E-mail, służy nieraz do komunikacji z bankiem. Zaczynając od tego, chociażby, ktoś, kto dostanie się do naszej skrzynki, będzie drążył dalej. Zaczynając od pieniędzy, poprzez portale społecznościowe będzie drążył i drążył. Aż w pewnym momencie zrozumiemy, jak informacja o szarym człowieku jest ważna, gdyż może doprowadzić nas na skraj, od którego nie ma powrotu. Dlatego, nawet będąc szarym człowiekiem, musimy zadbać o bezpieczeństwo naszych informacji tak, jakby od tego zależało nasze i innych życie.

W dobie weryfikacji dwuetapowej (2FA) oraz managerów haseł (tj. 1Password czy LastPass) starym się zabezpieczyć nasze dane jak tylko się da. 

Jeżeli już jesteśmy na tym etapie, że włączamy uwierzytelnienie dwuetapowe (sami, z nieprzymuszonej woli), jesteśmy bardziej niż inni świadomi czyhającego niebezpieczeństwa. Jeżeli dodatkowo używamy managera haseł oraz do każdej ze stron, na których się logujemy, staramy się używać unikalnego hasła (z wykorzystaniem generatora haseł), stajemy się tym odsetkiem społeczności, który traktuje kwestie bezpieczeństwa bardzo poważnie.

Ale czy oby na pewno?

Ostatnio zadałem to pytanie sam sobie.

Otóż w moim przypadku odstawiłem wszystko na bok – telefon, komputer, smart zegarek i spojrzałem, co bym zrobił, gdybym miał zacząć wszystko od zera. Nie mając nic, chciałbym przywrócić wszystko tak, jak było i dostęp do wszystkiego, co jest dla mnie ważne.

I tak wyszczególniłem 10 usług, które są dla mnie krytyczne i od których bym zaczął przywracanie.

Dwie podstawowe usługi, do których potrzebowałbym odzyskać dostęp, jest mój numer telefonu oraz adres e-mail.

I tutaj zadałem sobie pytanie, jaki jest mój plan awaryjny.

Zaczynając od maila, zakładając, że znam hasło, nie mając dostępu do mojego numeru telefonu oraz fizycznie do samego telefonu, odpada poproszenie o hasło SMS, kodu z autentykatora czy potwierdzenie w aplikacji, że to my. I tak zaczynają się pierwsze schody.

Przypomniałem sobie jednocześnie, że przecież Gmail (bo tam mam moja podstawową pocztę), w opcjach bezpieczeństwa, gdy włączałem weryfikacje dwuetapowa, poprosił mnie o wygenerowanie haseł bezpieczeństwa na wypadek takie o sytuacji. I tutaj jest pierwsze pytanie, co z nimi zrobiłem?

Otóż Google, prosi, aby hasła zapisać lub wydrukować. A więc zapisałem…

Hasła zapisałem w (sic!) moim managerów haseł, do którego nie mam dostępu. Potrzebuje e-mail oraz hasło. Dodatkowo dobry manager haseł wymaga również dwuetapowej weryfikacji. Teraz, stojąc z pustymi rękoma, nie mamy nic. Hasła bezpieczeństwa, które pozwoliłyby nam odzyskać dostęp do maila, zamknęliśmy w sejfie, do którego nie mamy dostępu.

To tak jakby zamknąć samochód z kluczykami w środku, tyle ze w tym przypadku nie ma możliwości zbicia szyby jako ostateczność. 

Prosty przykład pokazuje, że mój plan bezpieczeństwa legł w gruzach. Dlatego ważne jest przemyślenie, gdzie zapisujemy hasła, a co jest jeszcze ważniejsze, jak uzyskamy do nich dostęp. Tutaj staromodne wydawałoby się metody, okażą się najlepsze. Zapisanie w bezpiecznym miejscu haseł lub tez wydrukowanie i schowanie gdzieś bezpiecznie na czarną godzinę okazuje się lepszym, mimo że, wydawać by się mogło, nie najbezpieczniejszym rozwiązaniem.

Wydrukowane hasła bezpieczeństwa, schowane gdzieś głęboko w szafie, na strychu, w skrytce bankowej, u rodziny, stają się kluczem do wszystkiego.

Nie mając dostępu do haseł oraz numeru telefonu, aby odebrać SMS z kodem, próbujesz innych metod, tj. Alternatywny adres e-mail podany dla właśnie takiej sytuacji alarmowej. A co najśmieszniejsze, e-mail awaryjny, który podałeś, jest zabezpieczony w ten sam sposób jak e-mail główny. I tak kolejny raz, bez fizycznie zapisanego lub wydrukowanego kodu bezpieczeństwa, nasz misterny plan legł w gruzach.

Zaczynasz myśleć dalej. Numer telefonu.

Otóż możesz poprosić operatora o wydanie karty zamiennej z naszym numerem oraz zablokowanie starej. Dzięki temu możesz, w ciągu kilku godzin do dni odzyskać jeden kluczowy element, aby przywrócić dostęp do twojego maila.

W moim przypadku, gdy korzystam z GiffGaff, mam możliwość przeniesienia mojego numeru ze starej karty (do której mógłbym stracić dostęp, jak bym stracił telefon), na nową kartę (zapasowa, która zawsze mam gdzieś pod ręką) be zbędnego kombinowania. Wystarczy, że zaloguje się na moje konto i rozpocznę odpowiedni proces..

Ha!

O ile mogę pamiętać nazwę użytkownika, dbając o swoje bezpieczeństwo, wygenerowaniem „bezpieczne” hasło, które mam zapisane w managerów haseł, do którego dostępu jeszcze nie mam. I tutaj mam kolejny przykład jak mój plan bezpieczeństwa lega w gruzach. A wystarczy, razem z hasłami do poczty, zapisać i to, aby w sytuacji awaryjnej mieć do tego dostęp. 

Kto by pomyślał, że staromodna, niebezpieczna metoda zapisywania haseł na kartce będzie kluczem do odzyskania przez nas kontroli nad naszymi danymi.

Oczywiście, nie chodzi tutaj o utworzenie notesika zatytułowanego Hasła, schowanego w pierwszą szufladę w domu. Tutaj potrzeba nieco finezji i przemyślenia. Stosowanie prostego szyfru w naszych notatkach może w tym pomoc. Jedynym problemem może okazać się nasza pamięć, ale na to aż tak bardzo nie mamy wpływu.

I tak wydawać się mogło, że „tylko e-mail” i „tylko numer telefony” to nic ważnego, ale zaczynając od nich, możemy odzyskać dostęp do naszych pieniędzy – banku; wspomnień – zdjęć czy też informacji publicznych tj. Media społecznościowe.

Wspomniałem wcześniej, że osobiście przygotowałem listę 10 usług, krytycznych dla mnie, a do których potrzebowałbym mieć dostęp awaryjny, gdybym musiał zaczynać wszystko od zera. W związku z tym, aby moja świadomość o zagrożeniu i tym stosowanie „zaawansowanych” narzędzi bezpieczeństwa nie spowodowała ze mój plan awaryjny runie w gruzach przy pierwszej próbie jego uruchomienia, warto przemyśleć cała sytuacje od początku. Osobiście, przygotowałem kartkę, która będzie moim planem awaryjnym na wypadek mojej katastrofy cyfrowej.

Można oczywiście pomyśleć o dodatkowych sposobach, na unikniecie zablokowania samego siebie przez wymyślne systemy bezpieczeństwa, które miały nas chronić. Tym sposobem jest dodanie dodatkowych numerów telefonów, adresów e-mail osób, którym możemy zaufać, a które, gdy będziemy w potrzebie, będą służyły pomocną dłonią.

Jak wszystko, nasz plan awaryjny jest unikalny. Nie ma metody, żeby go zrobić dobrze lub źle, w ten lub inny sposób. Ważne jest, że pewnego dnia, gdy siądziemy sobie w pustym pokoju, bez dostępu do wszystkiego tego, co mieliśmy na co dzień i przemyślimy, jak zacząć wszystko od nowa, a raczej, jak przywrócić wszystko tak jak było, zacząć działać i żeby nasz plan działał na naszą korzyść.

Pozdrawiam