Моделирование угроз

О чем речь?

Иногда пользователи задают вопросы: "А что безопаснее, Signal или Telegram?" или "А безопасно ли пользоваться iPhone"? Специалистам по безопасности сложно на них отвечать, потому что не хватает контекста. Что мы защищаем? От кого и от чего мы это защищаем? Это и есть модель угроз - контекст ситуации, который помогает нам ответить на вопрос, безопасно ли что-нибудь. Или понять, имеет ли практический смысл вообще что-то делать.

Как научиться оценивать риски?

Вот базовая структура из четырех вопросов:

• Что в твоей жизни нуждается в защите?  (пример: переписка в мессенджере).
  От кого ты хочешь это защитить? (пример: ревнивый партнер).
  Что этот кто-то может сделать? (пример: лазить в твой телефон и читать чаты).
  Как от такого можно защититься? (пример: пользоваться исчезающими сообщениями).

Отвечая самому себе на эти вопросы, попробуй быть максимально точным. Например, "защита всей информации от доступа третьих лиц" - почти неразрешимая проблема, а защита денег в тумбочке от воров решается хорошей дверью с приличными замками.

Замечаешь? Как только появляется контекст, становится понятным и решение. И таких проблем может быть много, но у разных людей они - разные. Помни об этом, когда захочешь вступить в спор про самый безопасный мессенджер или браузер. Их просто не существует, как Деда Мороза.