Как понять свои риски и подготовиться к ним заранее
Защита самого ценного
Что такое матрица рисков и зачем она нужна
Матрица рисков — визуальная модель индивидуальных угроз, которая помогает увидеть и проранжировать уязвимости. Ее активно используют в корпоративном мире для риск-менеджмента и принятия решений. Риск здесь понимается как вероятность того, что произойдет неблагоприятное событие, умноженная на тяжесть последствий этого события. Последствия можно спрогнозировать, опираясь на законодательные нормы и реальные потери (времени, финансов). Вероятность оценить сложнее, здесь полезно иметь базовое понимание того, как работает ваш носитель угроз. Итоговые риски тоже индивидуальны: для кого-то вероятность 2 из 5 и средняя тяжесть последствий — уже красный свет.
Например, вероятность из-за очередного шатдауна остаться без связи с близкими, проживающими в другом регионе, может быть высокой (потому что они не скачали себе P-SMS). Но последствия у этого события скорее всего не катастрофические. А вот вероятность быть допрошенным в аэропорту по возвращении из-за границы хоть и не так велика, но последствия имеет не самые приятные. После составления матрицы рисков намного проще понять, какие дыры в безопасности нужно закрывать прямо сейчас, а с чем можно не торопиться.
С чего начать
Первый и самый главный вопрос — что именно я хочу защитить? Что для меня ценно? Вопрос максимально практический, и ответ на него должен быть конкретным — не честь и свобода, а осязаемый актив. Например, для журналиста это могут быть контакты и переписки с источниками, а для донора благотворительной организации — доступ к банковской карте и истории переводов.
Второй вопрос — что мне угрожает? От чего или от кого я хочу защитить то, что для меня ценно? Иногда тревожность размывает образ носителя угроз, и начинает казаться, что все вокруг мечтают вам навредить. Но в реальности опасности легко конкретизировать и раскидать на две группы — общие и профессиональные. Усиление блокировки Telegram мешает людям получать информацию и общаться друг с другом вне зависимости от того, какой деятельностью они занимаются. Но для СМИ это означает еще и потерю диалога с аудиторией.
Третий вопрос — насколько в данный момент защищено то, что я боюсь потерять? Насколько сильные пароли стоят на аккаунтах в соцсетях? Не сохранена ли случайно банковская карта на каком-либо сайте? Защита в том числе подразумевает то, насколько просто что-либо отследить — пароль в аккаунте может быть отличным, но какой в этом смысл, если аккаунт Вконтакте.
Наконец, четвертый вопрос — что нужно сделать, чтобы уменьшить риск? Отвечая на этот вопрос, важно отталкиваться от имеющихся ресурсов. Риски редко можно убрать полностью, но почти всегда можно значительно уменьшить вероятность их наступления или сопутствующий ущерб.
Пример матрицы угроз
Попробуем составить матрицу для 31-летнего россиянина Никиты, который несколько раз с карты российского банка переводил деньги в организации, позднее признанные нежелательными. Также, однажды он перевел деньги украинскому фонду в криптовалюте.
По закону, ответственность не наступает за донат юрлицу, которое на момент перевода не было нежелательным. Точно неизвестно, обращаются ли силовики к истории банковских переводов в запрещенные организации, чтобы внести жертвователей в условный «список подозрительных лиц», но привлечь за это нельзя. Вероятность события — 2–3 балла, тяжесть последствий — 1. Итоговый риск в зеленом квадрате, значит, можно не переживать.
Перевод украинскому фонду законом расценивается как госизмена или финансирование терроризма. Поэтому последствия в виде тюремного заключения сразу можно оценить в 5 баллов. Дальше вопрос в вероятности обнаружения. Если Никита купил неанонимную крипту типа USDT на бирже (Bybit или любой, которая работает в России) — он засветил свой паспорт, так как эти биржи требуют официальные документы для регистрации. Если он еще и провел транзакцию с российской карты — он полностью деанонимизирован.
Если Никита купил крипту через P2P, перевел ее на свой криптокошелек и уже оттуда — фонду, то вычислить цифровыми методами его в разы сложнее. Риск обнаружения все еще остается, например, при использовании специального софта, но для этого человеком должны прицельно заинтересоваться спецслужбы. Итоговый риск будет умеренным (при условии, что Никита стер транзакцию из истории переводов на случай досмотра телефона).
А если Никита купил на бирже Monero, перевел монету на свой кошелек, затем — украинскому фонду, после чего кошелек удалил, вычислить его нереально.
Пример матрицы рисков
Комплексная безопасность
При оценке рисков и планировании действий важно учитывать два момента. Первый: безопасность только в одной области не сильно повысит вашу общую безопасность. Современные цифровые сервисы и устройства часто требуют привязки друг к другу и обмениваются между собой данными. Более того, одних лишь технических средств никогда не бывает достаточно. Какими бы продвинутыми инструменты ни были, именно человек контролирует их и принимает решения. Число и разнообразие фишинговых атак продолжает расти, несмотря на совершенствование спам-фильтров.
Второй: любые действия — выработка кризисного алгоритма, выбор мессенджера или облачного хранилища — должны обеспечить достижение конкретных целей. Если ваша модель угроз не предполагает, что за вами могут установить слежку или ворваться с обыском в пять часов утра (т.е. вы не передаете чувствительную информацию и не общаетесь с людьми, которым необходимо соблюдать осторожность), то можно не ставить таймер исчезающих сообщений. Конечно, сделать что-то на всякий случай лучше, чем не делать ничего, но от обилия цифровых инструментов легко запутаться или почувствовать себя полностью защищенным, что может не соответствовать реальности.
Про базовые правила можно почитать в разделе про цифровую безопасность, а еще пройтись по универсальному и удобному чек-листу и проверить, как поднять уровень вашей безопасности.
