Az európai intézmények, szervek és hivatalok számítógépes vészhelyzeteket elhárító csoportja (CERT-EU) nemrég a Signal alkalmazás biztonságos használatáról adott ki útmutatót vállalkozások számára, ugyanis a csevegőalkalmazások magáncélú használata mellett egyre jellemzőbb, hogy a felhasználók ezeket munkahelyi kapcsolattartásra, vagy egy-egy feladat gyors koordinálására is alkalmazzák.
| Az NBNSZ NKI felhívja a figyelmet arra, hogy az azonnali üzentküldő applikációk információbiztonsági szempontból kockázatot jelenthetnek, ezért semmiképp ne osszunk meg általuk szenzitív szervezeti információkat! Több alkalmazás esetén ismert, hogy a fényképek és videók szolgáltatói oldalon nem titkosítva kerülnek tárolásra, emellett a legtöbb alkalmazás nem nyílt forráskódú, azaz nem felmérhető, hogy valójában mennyire vannak biztonságban a felhasználói adatok. |
A CERT-EU Signal hardening útmutatója (az 1.0-ás verzió alapján) a következő főbb témákra fókuszál:
- A Signal alkalmazás letöltése ─ csak hivatalos alkalmazásboltból/weboldalról!
- Apple eszközre: App Store
- Android készülékre: Play Store
- Asztali alkalmazásként: Signal hivatalos weboldala
- Engedélyezzük az automatikus frissítést!
- iOS eszközön: Beállítások App Store és jelöljük be az Appfrissítéseket
- Android eszközön: Beállítások → Hálózati beállítások, és válasszuk az „Alkalmazások automatikus frissítése” lehetőséget. (Ezzel kapcsoltban bővebb információ a Google súgó oldalán érhető el.)
- Asztali számítógépen: Nyissuk meg az alkalmazást Beállítások → Általános és válasszuk a „Frissítések automatikus telepítése” opciót.
- Tegyük személyessé a profilunkat?
- A CERT-EU ajánlása szerint szervezeti használat során valódi nevünket is használhatjuk. Az NBSZ NKI ezt azzal egészítené ki, hogy minden esetben kövessük a szervezet erre vonatkozó biztonsági eljárásrendjét! A beállítás eléréséhez kattintsunk a bal felső sarokban lévő profil ikonra, majd a Beállítások lehetőségre.
- Ellenőrizzük a kontaktok hitelességét!
Amennyiben egy olyan személy veszi fel velünk a kapcsolatot Signalon, akinek a felhasználóneve ismerős, azonban a telefonszáma nem, tegyük a következőket:
- Jegyezzük fel a telefonszámát annak, aki megpróbált kapcsolatba lépni velünk!
- Vegyük fel vele a kapcsolatot egy másik megbízható kommunikációs csatornán (pl.: a céges chat felületen, e-mailen, vagy telefonon keresztül), és kérjük visszaigazolást arról, hogy valóban ő próbált kapcsolatba lépni velünk!
- Amennyiben nem ismerősünktől/munkatársunktól jött a megkeresés, blokkoljuk a kapcsolatot, és szervezeti jelentsük a szervezet IT biztonsági csapatának!
Egy másik fontos funkció a kapcsolatok biztonsági ellenőrzése, amely során egy QR kód vagy egy biztonsági számsor segítségével hitelesíthetjük csevegőpartnereinket. Ezt a kontakt profiljára koppintva, azonbelül a Biztonsági azonosító alatt érhető el.
- Használjuk a regisztrációs zárat!
Mivel a Signal alapvetően a telefonszámunkkal működik, annak birtokában könnyen megszemélyesíthetnek minket mások is. Hogy ezt elkerüljük, lépjünk be a profilunkba, majd a Beállítás → Fiók menüponton belül kapcsoljuk be a „Regisztrációs zár” lehetőséget, így egy plusz PIN kóddal lehet csak aktiválni Signalon a telefonszámunkat.
6. Milyen eszközök vannak társítva a fiókhoz?
A profilunkon belül ellenőrizhetjük a társított eszközeinket a Beállítás → Társított eszközök menüben. Amennyiben a listában szereplő eszközök között van, ami nem ismerős, szüntessük meg a párosítást, és jelezzük a cég IT biztonsági csapatának!
- Aktiváljuk a képernyőzárat!
A Beállítás → Adatvédelem menüben aktiválhatjuk a képernyőzár funkciót.
- Így kapcsolható ki az üzenetek megjelenítése zárolt képernyőn
A Beállítás → Értesítések menüben az „Értesítés tartalma” lehetőségek közül korlátozzuk minél jobban a megjelenített tartalmakat, így kisebb valószínűséggel szivárogtatunk érzékeny információkat.
- Eltűnő üzenetek beállítása
Lépjünk be egy csevegésbe, ahol ezt a funkciót aktiválni szeretnénk, majd a bal felső sarokban kattintsunk a profilra, majd aktiváljuk az „Eltűnő üzeneteket”, és válasszuk ki a számunkra megfelelő időtartamot az üzenetek láthatóságára vonatkozóan!
- Indítsuk újra időközönként az eszközeinket!
Érdemes időközönként – akár naponta – újraindítani okoseszközeinket, így egyes ideiglenes rosszindulatú programok, amelyek megfertőzhették eszközeinket eltávolításra kerülhetnek.
