8.5 KiB
| title | icon | description |
|---|---|---|
| Czym są modele zagrożeń | material/target-account | Osiągnięcie kompromisu pomiędzy bezpieczeństwem, prywatnością oraz łatwością korzystania jest pierwszym, a zarazem najtrudniejszym zadaniem z jakim przyjdzie Ci się zmierzyć na swojej drodze do prywatności. |
Osiągnięcie kompromisu pomiędzy bezpieczeństwem, prywatnością oraz łatwością korzystania jest pierwszym, a zarazem najtrudniejszym zadaniem z jakim przyjdzie Ci się zmierzyć na swojej drodze do prywatności. Everything is a trade-off: The more secure something is, the more restricting or inconvenient it generally is, etc. Often, people find that the problem with the tools they see recommended is that they're just too hard to start using!
Chcąc korzystać z najbezpieczniejszych narzędzi należy poświęcić ogromną ilość funkcji. And, even then, ==nothing is ever fully secure.== There's high security, but never full security. Z tego powodu, modele zagrożeń są ważne.
So, what are these threat models, anyway?
==A threat model is a list of the most probable threats to your security and privacy endeavors.== Since it's impossible to protect yourself against every attack(er), you should focus on the most probable threats. In computer security, a threat is an event that could undermine your efforts to stay private and secure.
Focusing on the threats that matter to you narrows down your thinking about the protection you need, so you can choose the tools that are right for the job.
Creating Your Threat Model
To identify what could happen to the things you value and determine from whom you need to protect them, you should answer these five questions:
- Co chcę chronić?
- Przed kim chcę to chronić?
- Na ile prawdopodobne jest to, że zajdzie potrzeba to chronić?
- Jak poważne będą konsekwencje, jeśli mi się nie uda?
- Co jestem w stanie znieść, aby zapobiec potencjalnym konsekwencjom?
Co chcę chronić?
"Zasobem" jest wszystko, co jest dla Ciebie cenne i chcesz to chronić. In the context of digital security, ==an asset is usually some kind of information.== For example, your emails, contact lists, instant messages, location, and files are all possible assets. Twoje urządzenia również mogą stanowić zasoby.
Sporządź listę swoich zasobów: przechowywanych danych, gdzie są one przechowywane, kto ma do nich dostęp oraz co zapobiega uzyskaniu do nich dostępu przez inne osoby.
Przed kim chcę to chronić?
Przed odpowiedzeniem na te pytania warto ustalić, kto może chcieć próbować dotrzeć do Ciebie lub Twoich danych. ==A person or entity that poses a threat to your assets is an “adversary”.== Examples of potential adversaries are your boss, your former partner, your business competition, your government, or a hacker on a public network.
Make a list of your adversaries or those who might want to get ahold of your assets. Twoja lista może zawierać osoby fizyczne, agencje rządowe lub korporacje.
Depending on who your adversaries are, under some circumstances, this list might be something you want to destroy after you're done security planning.
Na ile prawdopodobne jest to, że zajdzie potrzeba to chronić?
==Risk is the likelihood that a particular threat against a particular asset will actually occur.== It goes hand-in-hand with capability. Mimo tego, że Twój dostawca usług mobilnych posiada możliwości dostępu do wszystkich Twoich danych to ryzyko, że opublikują Twoje prywatne dane w sieci w celu zaszkodzenia Twojej reputacji jest niskie.
Ważne jest, aby rozróżnić to, co może się wydarzyć i to, jak prawdopodobne jest, że się wydarzy. Na przykład istnieje zagrożenie, że Twój budynek ulegnie zawaleniu, ale ryzyko wystąpienia tego jest o wiele większe w San Francisco (gdzie trzęsienia ziemi są częste) niż w Sztokholmie (gdzie nie są).
Assessing risks is both a personal and subjective process. Many people find certain threats unacceptable, no matter the likelihood they will occur, because the mere presence of the threat is not worth the cost. W innych przypadkach osoby lekceważą wysokie ryzyko, ponieważ nie postrzegają zagrożenia jako problemu.
Zapisz, które zagrożenia zamierzasz traktować poważnie, a które mogą być zbyt rzadkie lub zbyt mało szkodliwe (lub zbyt trudne do zwalczenia), by się nimi przejmować.
Jak poważne będą konsekwencje, jeśli mi się nie uda?
Twój przeciwnik może uzyskać dostęp do Twoich danych na wiele sposobów. Na przykład: przeciwnik może czytać Twoją prywatną komunikację w trakcie jej podróży poprzez sieć lub usunąć oraz uszkodzić Twoje dane.
==The motives of adversaries differ widely, as do their tactics.== A government trying to prevent the spread of a video showing police violence may be content to simply delete or reduce the availability of that video. In contrast, a political opponent may wish to gain access to secret content and publish that content without you knowing.
Security planning involves understanding how bad the consequences could be if an adversary successfully gains access to one of your assets. To determine this, you should consider the capability of your adversary. For example, your mobile phone provider has access to all of your phone records. Haker może uzyskać dostęp do Twojej nieszyfrowanej komunikacji, gdy korzystasz z otwartej sieci Wi-Fi. Twój rząd może mieć większe możliwości.
Zapisz, co Twój przeciwnik może chcieć zrobić z Twoimi danymi.
Co jestem w stanie znieść, aby zapobiec potencjalnym konsekwencjom?
==There is no perfect option for security.== Not everyone has the same priorities, concerns, or access to resources. Your risk assessment will allow you to plan the right strategy for you, balancing convenience, cost, and privacy.
For example, an attorney representing a client in a national security case may be willing to go to greater lengths to protect communications about that case, such as using encrypted email, than a mother who regularly emails her daughter funny cat videos.
Write down what options you have available to you to help mitigate your unique threats. Note if you have any financial constraints, technical constraints, or social constraints.
Try it yourself: Protecting Your Belongings
These questions can apply to a wide variety of situations, online and offline. As a generic demonstration of how these questions work, let's build a plan to keep your house and possessions safe.
Co chcesz chronić? (lub co w Twoim posiadaniu jest warte ochrony?) :
Twoim mieniem mogą być biżuteria, elektronika, ważne dokumenty oraz zdjęcia.
Przed kim chcesz to chronić? :
Twoimi przeciwnikami mogą być włamywacze, współlokatorzy oraz goście.
Na ile prawdopodobne jest to, że będziesz musieć to chronić? :
Czy w Twojej dzielnicy mają miejsce włamania? How trustworthy are your roommates or guests? Co są w stanie zrobić Twoi przeciwnicy? Jakie zagrożenia należy wziąć pod uwagę?
Jak poważne będą konsekwencję, jeśli Ci się nie uda? :
Czy posiadasz w swoim domu coś, czego nie da się zastąpić? Do you have the time or money to replace those things? Czy posiadasz ubezpieczenie, które obejmuje ochronę Twojego mienia od kradzieży?
Ile czasu jesteś w stanie poświęcić, aby zapobiec tym konsekwencjom? :
Czy jesteś w stanie kupić sejf na wrażliwe dokumenty? Czy możesz sobie pozwolić na zakup wysokiej jakości kłódki? Czy masz czas na założenie skrytki bankowej w swoim lokalnym banku, aby przechowywać tam swoje kosztowności?
Dopiero po odpowiedzeniu sobie na te pytania, będziesz mieć możliwość oceny, jakie działania należy podjąć. Jeśli Twoja własność jest cenna, ale prawdopodobieństwo włamania jest niskie, nie warto inwestować zbyt wiele pieniędzy w zamek. But, if the probability of a break-in is high, you'll want to get the best lock on the market and consider adding a security system.
Stworzenie planu bezpieczeństwa pomoże Ci zrozumieć zagrożenia, które są unikalne dla Twojej osoby oraz oszacować Twoje zasoby, przeciwników, ich możliwości oraz prawdopodobieństwo wystąpienia ryzyka.
Further Reading
For people looking to increase their privacy and security online, we've compiled a list of common threats our visitors face or goals our visitors have, to give you some inspiration and demonstrate the basis of our recommendations.