Хранение информации и безопасность данных

Привет, друг. Сегодня про безопасность, а именно хранение информации и данных. Вряд ли есть смысл подробно рассказывать почему это значимая тема. Особенно хорошо это понимают те, кто когда-либо терял важную информацию. А даже если именно ты не терял, то наверняка есть что-то такое, что не хотелось бы утратить. Кроме того, у тебя, в зависимости от вида деятельности, может оказаться информация, хранить которую небезопасно, например с точки зрения закона. Это не означает, что ты злодей — ты можешь банально не знать всех нюансов законодательства. И если ты просто утратишь рабочую информация, например по техническим причинам, это, возможно, будет не слишком критично, скорее печально — осознавать, что время и усилия были потрачены впустую. А вот если какая-то чувствительная информация попадёт в чужие руки, это почти гарантированно нанесёт тебе ущерб, либо как минимум придётся прилагать какие-то усилия, чтобы этот ущерб предотвратить или минимизировать. В любом случае это не приятно.

Чтобы чего-то подобного не случилось лучше сразу продумать и организовать надёжное и безопасное хранение информации. При этом, что не менее важно, нужно ещё и обеспечить себе достаточно комфортный доступ к этой информации, особенно к той, которую планируется относительно часто использовать. Потому как если ты запишешь что-то на жесткий диск, запаяешь его в герметичный пакет, а его положишь в герметичный бокс и всё это закопаешь в только тебе известном месте — это, в каком-то смысле, надёжно. Вот только, если вдруг понадобится информация с этого диска, будет не слишком удобно её от туда брать. Это я утрирую конечно, но смысл именно такой.

Так что в этой статье я постараюсь максимально подробно и понятно разобрать вопрос хранения файлов, паролей и аккаунтов. Кстати про ведение и хранение записей и заметок, есть отдельная статья, потому здесь этой темы касаться не будем. Здесь в целом, про то как хранить важную информацию.

Оглавлениение

КАК ПРЯТАТЬ СЕКРЕТЫ. Полный ГАЙД по хранению информации. Часть 1

КАК ПРЯТАТЬ СЕКРЕТЫ. Схема хранения и выбор оборудования

Безопасность информации. Основные правила хранения

Для начала разберём основное, что точно делать не нужно. А исходя из этого станет понятно как делать правильно:

⨠ Не храни всё в единственном экземпляре в одном месте.

Понятное дело, что разные места и способы хранения могут отличатся по надёжности. Но всегда нужно помнить, что не существует ничего, что давало бы стопроцентную гарантию сохранности данных. Даже если у тебя супер надёжный жёсткий диск, с миллионами часов наработки на отказ и десятилетней гарантией — всегда есть шанс, что он сломается. И если сам диск по гарантии заменят, то вот восстановить информацию не факт что получится. Точно также, ты можешь купить дорогое и надёжное облако. Но никто не даст реальную стопроцентную гарантию безопасности хранимых данных. Ещё вариант — ты купил хороший NAS, поставили туда надёжные серверные диски, настроил RAID. А потом случился пожар и всё это сгорело. По такому принципу можно придумать негативный сценарий к любому варианту, когда данные хранятся в одном месте.

Исходя из этого, самым правильным решением будет иметь несколько копий наиболее важных данных, которые будут хранится отдельно друг от друга. Хороший вариант когда есть три копии. Одна это рабочий компьютер. Вторая — облако. И третья — жёсткий диск, не подключенный к компьютеру, а значит и к сети. И храниться он должен где-то не рядом с рабочим компьютером. Желательно даже не в одном помещении. Причём для этой оффлайн копии не подходит SSD. Потому как на них, при длительном отсутствии питания, происходит деградация ячеек. И как следствие — потеря данных.

⨠ Не используй флешки (карты памяти) в качестве способа долгосрочного хранения данных.

Флешка это способ переноса информации из одного места в другое, но никак не способ хранения данных. В первую очередь по причине ненадежности. И если состояние, например, жёсткого диска можно контролировать, периодически запуская тесты, то флешка может лежать на полке и в какой-то момент просто перестать открываться. Кроме того, вероятность успеха при восстановлении повреждённых данных с флешки, сильно меньше чем на жёстком диске. А в случае физических повреждений — почти нулевая. Тогда как при повреждении диска, если сам накопитель целый, можно попробовать перенести его в донор (диск такой же модели и производителя). Это конечно очень скиллозависимый процесс и вероятность успеха не большая, но шанс есть. С флешкой шансов нет.

⨠ Не надейся на облако.

Очень и очень часто я слышу мнение, что загрузить данные в облако — достаточно для надёжного хранения. В этом есть определённая логика, потому как современные облачные провайдеры действительно предлагают неплохой сервис. Но не смотря на это, я не стал бы рассчитывать на подобный способ хранения, как на абсолютно надёжный. Потому как некоторые риски всё-таки есть. Например, провайдера могут взломать и украсть / уничтожить все данные. Или, более банальный вариант — не знаю как, это довольно трудно, но не невозможно — ты можешь потерять доступ к своему аккаунту. Например забанят тебя по какой-то банальной причине. Ну и так далее, любой вариант нельзя исключать.

Потому облако лучше рассматривать как элемент удобства, позволяющий комфортно работать с информацией из разных мест и с разных устройств. И в качестве ещё одной резервной копии, но не единственной. Кроме того, если ты планируешь хранить в облаке какую-то чувствительную информацию, то она должна лежать в криптоконтейнере (о них ниже ↓). Тогда, даже если к данным кто-то получит доступ, сделать он ничего не сможет.

⨠ Не надейся на RAID.

Бывает что человек собирает собственное файлохранилище, это может быть NAS или просто комплект дисков на компьютере и, настроив там RAID, искренне считает, что его данные в безопасности. RAID это хорошо и правильно. Но он, во-первых, не защищает от внешнего физического воздействия. А во-вторых, он не защищает от нас самих — а это важно, потому что всегда есть шанс натупить и что-то удалить, перезаписать или как-то ещё просрать информацию. И вот в такой ситуации RAID уже ничем не поможет. А поможет бэкап. И отсюда следующий пункт.

⨠ Не пренебрегай бэкапами.

Даже если информация дублируется в облако, или у тебя есть свой NAS, будет очень правильным решением продублировать критически важную информацию, так чтобы она хранилась отдельно от рабочего места. Более того, очень желательно чтобы это было ещё и другое помещение.

Способ органицации бэкапов нужно заранее продумать, потому как это процесс требующий некоторого внимания и пунктуальности. И начать нужно с того, что ты будешь сохранять. Это довольно индивидуальный вопрос, но в целом стоит сохранить:

данные учётных записей и аккаунтов;
бэкапы профилей рабочих инструментов;
копии рабочих виртуалок и, если необходимо, бэкап основной операционной системы;
финальные версии подготовленных документов, в том числе расследований и файлов к ним;
всю рабочую документацию, в том числе базы данных и отчёты, если они делаются;
любые другие важные данные, утрата которых будет болезненной.

⨠ Не храни пароли вместе с данными.

Это не означает что копию базы паролей нельзя положить в зашифрованный контейнер с бэкапом. Можно и даже нужно. Но это должна быть не единственная копия. Способы хранения паролей мы разберем отдельно ниже, потому что это очень важный вопрос. По этой же причине копий базы паролей должно быть несколько. И одна из них должна хранится отдельно от всего. Также неплохим вариантом будет иметь цифровую и физическую копии базы паролей.

Где и как хранить информацию

После того как ты определился, что нужно сохранить, нужно решить как и где ты будешь это хранить. Оптимальный вариант, с точки зрения “цена — качество”, это серверный жёсткий диск. Это не очень дорого и достаточно надёжно, и, что важно, долговечно. Ещё один вариант — это внешний жёсткий диск. Они также есть очень надёжные и большого объёма. Лично мне больше нравится вариант с внешним диском, но тут дело вкуса. Гораздо более важный вопрос в том, что диск нужно куда положить. Это не должно быть место твоего повседневного пребывания т.е. это не может быть дом или работа. Также, очень желательно, чтобы место хранения вообще с тобой не ассоциировалось. Если с подбором такого места возникают сложности, а данные очень ценные, попроси кого-то, кому доверяешь, арендовать банковскую ячейку. Стоит она недорого, а надёжность достаточно высокая.

Вне зависимости от того насколько надёжное место хранения диска ты нашёл, данные на этом диске нужно хранить в зашифрованном виде. Самый простой вариант это складывать всё в криптоконтейнеры и уже их загружать на диск. Благодаря этому, даже если место хранения будет скомпрометировано, получить информацию всё равно не удастся.

Следующий элемент, который нужно учитывать, это то как организованы данные. Способ организации должен быть интуитивно понятен. Чтобы не было ситуации когда, через год ты откроешь свой диск и будешь долго и нудно разбираться и вспоминать где и что лежит. Или вообще — что это там такое и зачем ты это туда положил. Чтобы такого не произошло, нужно продумать понятные и логичные названия каталогов и файлов, добавить временные метки в названия и распределить всё это по категориям. Также хорошей привычкой будет добавлять в архив текстовый файл с пояснением: что в этом архиве, когда он создан и какую-то дополнительную информацию в зависимости от ситуации. Такой подход поможет быстро сориентироваться и найти то что нужно.

Чтобы ещё сильнее минимизировать вероятность путаницы нужно использовать единую структуру и названия каталогов. Т.е. будет очень удобно, если бэкапы и рабочие пространств будет однотипными. В таком случае, открыв бэкап спустя длительное время, ты сразу сориентируешься и поймёшь где и что там лежит.

Когда ты будешь настраивать софт и оборудование для резервного хранения и дублирования информации сразу продумай график копирования данных. В случае с облаком или собственным NAS этот процесс можно автоматизировать. Более того — это нужно сделать обязательно. В таких вопросах не стоит рассчитывать на собственную исключительную дисциплинированность. Потому что, даже если она у тебя есть, всегда может случится что-то, что отвлечет или помешает в самый неподходящий момент. Кроме того, когда этот процесс автоматизирован, это банально удобнее. Но автоматизировать создание локального бэкапа на отдельный жёсткий диск не получится. Потому есть смысл продумать график, записать в календарь и, что важно, придерживаться его. Например, это может быть обязательное копирование раз в месяц и внеплановое в случае появления каких-то ценных данных. В этом вопросе ориентируйся на свою ситуацию и задачи.

Регламент резервного копирования информации и обслуживания дисков

Также в графике нужно запланировать периодическую проверку и обслуживание оборудования. Потому как, серверные диски хоть и долго живут, но всё же не бесконечно, и периодически нужно проверять их состояние. При этом не стоит ориентироваться только на данные SMART жёсткого диска, потому как это не очень надёжно. Появление там ошибок, в большинстве случаев, говорит о том, что диск, уже, в принципе, можно отправлять в мусорку. И, в зависимости от проблемы, можно банально не успеть перенести данные, особенно если их много. Потому проверять диск лучше специальными утилитами. Например неплохо справляется программа «Victoria».

Теперь переходим к конкретным способам хранения данных.

Шифрование информации. VeraCrypt

И начнём мы с шифрования, потому как это отличный вариант для защиты информацию от несанкционированного доступа. Есть разные способы зашифровать информацию, в том числе встроенные в операционную систему, но самый удобный и простой это VeraCrypt.

VeraCrypt. Безопасность информации — Интерфейс VeraCrypt

VeraCrypt — это программа для шифрования дисков, разделов и каталогов. Кроме удобства и простоты, она ещё и обеспечивает достаточную степень надёжности, потому как использует асимметричные алгоритмы шифрования. VeraCrypt бесплатная и работает на любой операционной системе.

Качаем программу с официального сата: https://veracrypt.io/ru/Downloads.html и устанавливаем.

После установки, можно сразу приступать к созданию нашего зашифрованного контейнера. Контейнер, он же том, это файл-оболочка внутри которого хранятся, в зашифрованном виде, наши данные. Создавать такие контейнеры мы можем сколько угодно и где угодно хранить, подключая нужные тома по необходимости. Давай, для пример, создадим зашифрованный том.

Нажимаем «Создать том» и нам, на выбор, предложат три варианта:

«Создать зашифрованный файловый контейнер» — зашифрованный том будет размещен в файле. Самый распространённый вариант, подходит в большинстве случаев. В том числе в нашем т.к. мы рассматриваем вариант хранения бэкапов.
«Зашифровать раздел или диск без системы» — позволяет зашифровать отдельный раздел или весь жёсткий диск. Также можно зашифровать флешку или карту памяти.
«Зашифровать раздел или весь диск с системой» — тоже самое, что и предыдущий вариант только шифруется раздел с операционной системой. Это тоже иногда полезный вариант. Не зная пароля — компьютер даже не получится включить. Т.е. если кто-то имеет физический доступ к компьютеру, получить информацию он не сможет. Это намного надёжнее чем пароль от учетной записи системы или пароль от BIOS. Они вообще для защиты от честных людей придуманы. Более того, даже если зашифрованный диск достать из системника и вставить в другой — расшифровать данные всё равно не получиться.

Ко всем этим вариантам ещё прилагается возможность создать скрытый том или скрытую ОС. Т.е. будет два тома, с разными файлами. Каждому из них создаётся отдельный пароль, и открываться они будут в зависимости от того какой пароль введен. Соответственно, если вдруг, твои пальцы оказались зажаты в двери, ты, не дожидаясь пока дверь закроется, сообщаешь пароль от раздела с не очень важными данными.

Скрытая ОС создается по такому же принципу — одна настоящая, другая поддельная. Самое главное чтобы этот раздел или система выглядели как-то естественно, потому что чистая, как слеза младенца, система может вызвать ненужные подозрения или сомнения.

В нашем случае, так как мы рассматриваем вариант с шифрованием конкретных файлов, выбираем первый вариант т.е. создание контейнера. И нам предложат выбрать между обычным томом и скрытым. Выбираем обычный и после этого необходимо указать каталог, где будет находится наш контейнер и придумать ему имя.

Настройка шифрования в VeraCrypt — Настройка шифрования при создании контейнера VeraCrypt

Файл можно поместить куда угодно и задать ему любое название и расширение. Например kino.mp4. Важно помнить, что на данном этапе не нужно выбирать существующий файл, потому что мы не зашифруем его, а удалим. При этом на его месте появится контейнер с таким же именем. Также важно учитывать, что расширение файла должно выглядеть реалистично относительно его размера. Потому как, например, документы размером 50 Гб встречаются редко и могут привлекать ненужное внимание.

После указания названия, нужно выбрать алгоритмы шифрования и хеширования. По умолчанию будут стоять AES и SHA-512. Можно смело их оставлять, это вполне приемлемый вариант.

Следующим шагом нас спросят сколько места выделить под контейнер. Лучше добавить с небольшим запасом. Но без фанатизма — один гигантский файл намного заметнее, чем несколько среднего размера.

Следующий этап — создание пароля. Здесь правильный подход простой — чем сложнее тем лучше. Главное его потом не забыть или не потерять.

И финальным шагом нас попросят подергать мышью, пока полоска заполнится зеленым. Здесь же, если необходимо, можно изменить файловую систему и размер кластера. В этом же окне можно сделать том динамическим т.е. его размер будет увеличиваться по мере его наполнения. Это хороший выбор для тех контейнеров, с которыми предстоит часто работать. Но, при этом, нужно не забывать, что максимальный размер тома будет ограничен тем значением, которые мы указали при выделении места под контейнер.

После нажатия кнопки «Разместить» мы увидим сообщение, что том успешно создан и с ним можно работать. Но перед этим стоит зайти в Настройки > Параметры и настроить их под себя.

Обязательно стоит обратить внимание на параметры автоматического размонтирования томов. На мой взгляд, стоит включить автоматическое размонтирование при простое и очистку кэша паролей при выходе. Также добавит удобства параметр «Открывать проводник для успешно смонтированного тома». И есть смысл в окне настроек нажать «Ещё настройки» и выбрать «Горячие клавиши«. Там можно назначить комбинацию клавиш для экстренного размонтирования всех томов.

После всех этих манипуляций можно монтировать созданный нами контейнер. Для этого, в главном окне программы, выбираем букву диска — любую, которая нравится. Затем жмём «Выбрать файл» и находим созданный нами файл контейнера. После чего нажимаем «Смонтировать» — программа запросит пароль и, если он введён правильно, то смонтирует диск. После чего появится наш том, с которым можно работать как с обычным диском.

Как вывод по VeraCrypt, можно сказать, что несмотря на кажущуюся простоту в работе этой программы, что кстати скорее плюс, чем минус, она обеспечивает серьёзный уровень защиты информации, которого более чем достаточно практически любому пользователю. При этом, что важно, она не особо усложняет повседневную работу, оставляя файлы быстро доступными.

Tails

Tails (https://tails.net) это дистрибутив Linux основанный на Debian, появившийся в 2009 году вследствие эволюции дистрибутива Incognito. В его создании принимали участие The Tor Project, Debian и Mozilla. Широкую популярность он получил, когда Эдвард Сноуден рассказал, что использовал Tails для кражи данных АНБ и общения с журналистами, которым он эти самые данные сливал.

Это дистрибутив про которые многие слышали, но не все до конца понимают его целевое назначение. А потому пихают его туда, куда его пихать не нужно. Поэтому буквально пару слов про Tails, а также про то в каких ситуациях он может пригодится. Если хочется узнать больше информации, есть полноценный обзор Tails, его возможностей и утилит.

И тут можно отметить сильные стороны Tails. Почему именно он может быть полезен в некоторых ситуациях. Ключевые моменты:

он не оставляет никаких следов на компьютере на котором использовался. Ну, собственно, факт его использования не спалили в АНБ, а раз не спалили там, значит не спалят нигде ~~(наверно)~~;
всё устанавливается и работает с флешки. После выключения или просто выдергивания флешки из компьютера, система приобретает первоначальный вид, такой как после установки. Т.е. все изменения откатываются. При этом есть возможность создать специальный, зашифрованный секретный раздел в котором можно хранить файлы и устанавливать дополнительный софт — они никуда не денутся и с ними можно работать при каждом запуске;
весь трафик идет через сеть Тор. Попытки установить прямое соединение блокируются;
система имеет кучу предустановленного софта для шифрования всего на свете, от переписки до файлов.

Исходя из этого можно предположить ситуации в которых этот дистрибутив будет полезен, а также ситуации в которых его точно нет смысла использовать.

Нет смысла, в первую очередь, в качестве повседневной системы. Потому как это просто не удобно. Также плохой вариант — это использовать Tails для долгосрочного хранения информации. Потому что флешка это, как уже упоминалось, не надёжный способ хранения информации.

Когда же есть смысл? Например, если есть необходимость поработать с важной информацией на чужом компьютере, причем так, чтобы там точно не осталось следов. Ещё один вариант, это если нужно передать кому-то какую-то информацию. Хотя в этом случае криптоконтейнер всё равно выглядит более удачным решением.

Ну и наиболее удачный вариант использования Tails это когда необходимы именно возможности операционной системы, например для использования аккаунтов и профилей, программ и средств связи, переписок и так далее. Всего того что, не только нельзя использовать и хранить в обычной системе, а вообще показывать кому-либо не стоит.

Хранение паролей

Следующий особо важный вопрос — хранение паролей и других регистрационных данных. Это та информация которая, по понятным причинам, относится к категории особо чувствительной, а потому этот вопрос нужно решить сразу и надёжным способом.

Надёжность, в этом случае, обеспечивается существованием нескольких копий базы паролей. Программа минимум — это две цифровых копии, и одна физическая. Места хранения этих копий — максимально безопасные из доступных.

С учётом количества инструментов которые могут использоваться в работе, а также необходимости иметь некоторое количество аккаунтов в социальных сетях, мессенджерах и т.д. будет очень правильно организовать базу паролей так, что там, как минимум, можно было быстро ориентироваться и находить нужные записи. В том числе те которые были созданы давно. Именно поэтому самым удобным способом хранить пароли будет менеджер паролей. А так как вопрос безопасности критически важен, то мы сразу же забываем про все онлайн менеджеры паролей.

KeePassXC

Лучший, исходя из удобства и надёжности, менеджер паролей это KeePassXC. Самих keepass`ов существует довольно много, но версия XC активно поддерживается разработчиками и постоянно обновляется. в отличие от некоторых своих аналогов.

KeePassXC — это бесплатная утилита, с открытым исходным кодом. Она также может работать с базами более ранних версий или с созданными в других аналогичных программах.

Скачать его можно с официального сайта KeePassXC. Есть версии для Linux, Windows и MacOS. Интерфейс программы максимально прост и понятен.

При запуске мы можем либо импортировать уже существующую базу, либо создать новую, нажав кнопку «Создать новую базу данных».

Для создания новой — придумываем название и в следующем окне можно выбрать формат базы (лучше оставить значение по умолчанию). А в разделе дополнительных настроек, если есть желание, можно изменить алгоритм шифрования и параметры ключей (если нет понимания, какой выбрать — оставляем значения по умолчанию, они оптимальны).

Далее нужно придумать пароль к базе. Так как это, по сути, будет самый важный наш пароль, то, в идеале, его нужно запомнить, чтобы исключить вероятность случайной потери. Здесь же, в дополнительных настройках, можно добавить, или сгенерировать и добавить, ключевой файл, без которого не получится открыть базу. Кстати, в качества этого файла можно выбрать, не обязательно файл ключа, а вообще любой файл. Например какой-нибудь тестовый документ или видео. Но тут нужно быть осторожным. Если что-нибудь изменить в ключевом файле после назначения — открыть базу уже не получится. В этом же окне можно включить открытие базы с использованием YubiKey. Это такая флешка-ключ — есть разные версии, в зависимости от которой цена может быть от 30 до 200 долларов. Для личного использования какого-то значительного смысла в ней нет. Это скорее корпоративная история, связанная с политиками безопасности на предприятиях или в государственных органах.

Ключевой файл выбирать не обязательно. Но если это сделать, это создаст дополнительный уровень защиты. И, даже если пароль будет скомпрометирован, базу всё равно открыть не получится.

KeePassXC. Безопасность паролей — Создание новой записи в базе KeePassXC

После нажатия кнопки «Готово» мы попадём в основное окно программы. Следующим этапом можно немного изменить стандартные настройки. Во вкладке «Безопасность» выставляем такие параметры:

«Очищать буфер обмена через» – 10 секунд;
«Блокировать базу данных при отсутствии активности в течении» – 300 секунд т.е. 5 минут будет вполне нормально. Это параметр индивидуальный, главное не ставить большое значение, чтобы база паролей не висела в разблокированном виде, если ты, вдруг, отойдёшь от компьютера забыв её закрыть.

Для создания новой записи в базе, жмём кнопку «Создать запись». В открывшемся окне заполняем нужные поля. Кроме самих логина и пароля, можно добавить ссылку на страницу авторизации, чтобы можно было открывать эту страницу прямо отсюда. Особенно это полезно, если долго не пользовался каким-то сайтом и его нет в закладках. Все введённые логины оно запоминает и при создании следующей записи с таким же логином, достаточно ввести только первые символы и он сам появится.

Также можно добавить теги — если нужно как-то дополнительно помечать записи, и дополнительную информацию в заметки. Во вкладке «Дополнительно» можно прикрепить к записи файл (например ключа), если есть такая необходимость. Или добавить какие-то дополнительные атрибуты если стандартных не хватает — например контрольные вопросы для восстановления доступа.

Еще одна, очень удобная функция, которая есть в KeePassXC, это генератор паролей. Можно выбрать наборы и желаемое количество символов, затем нажимаем кнопку «Создать» и получаем пароль. Его можно скопировать в буфер, ввести где нужно, а потом сохранить в базу. Генератор паролей также можно использовать непосредственно при создании записей в базе.

Ну и как в любых подобных утилитах записи можно раскладывать по каталогам, чтоб было удобнее ориентироваться.

Ну и заканчивая тему паролей — пару слов о хранении базы паролей. Имеется в виду той её копии, которую мы будем повседневно использовать.

В принципе, базу можно хранить просто на жёстком диске, особо не заморачиваясь, потому как она уже зашифрована алгоритмом AES. Что само по себе обеспечивает неплохой уровень защиты. Если же хочется перестраховаться, то можно положить её в криптоконтейнер созданный VeraCrypt. А вот резервную копию, ту которую будем хранить, например, в облаке — обязательно нужно положить в такой контейнер. Целее будет.

Безопасность паролей. Оффлайн хранение

Как я уже упоминал, хорошим подходом будет иметь физическую копию базы паролей. На первый взгляд такая идея может показаться излишней. Но так как мы тут рассматриваем идеальный сценарий, то и подходы будем выбирать максималистские. Кстати, в KeePassXC есть возможность экспорта базы в html файл. Это как раз удобно именно для создания оффлайн копии базы. Не в ручную же переписывать.

С физической копией есть ровно одна проблема — её нельзя положить в криптоконтейнер. Можно, конечно, положить в сейф. Но во-первых хороший сейф не у всех есть, а во-вторых, он не во всех ситуациях обеспечивает надёжную защиту. Например сотрудники правоохранительных органов, проводя обыск, могут вежливо попросить сейф открыть. А если ты им вежливо откажешь, они притащат болгарку и сделают это сами. Ну и так далее. Можно придумать довольно много сценариев где твой блокнот с паролями окажется у кого-то постороннего.

По этой причине, вне зависимости от надёжности места хранения, в сами записи можно добавить элемент криптографии. Самый простой вариант это записывать пароли задом наперёд т.е. последний символ это первый и т.д. И хоть это, на первый взгляд, выглядит примитивно, но шанс, что посторонний человек это поймёт, крайне низкий.

Ещё один способ это придумать пароль, записать его, но при регистрации и последующем введении, добавлять в начало — номер строки, а в конец — номер страницы на которой он записан. Так, если наш пароль password, и он записан на 17 строке 11 листа блокнота, то мы вводить мы будем 17password11. Это тоже не сложная схема, но определить её будет крайне трудно.

Подобных несложных, но эффективных схем можно придумать достаточно много. Всё зависит от фантазии и креативности. При этом, использование любого подобного подхода, сильно увеличит безопасность данных.

Идеальная схема хранения

Всё, что было перечислено выше, это теория, опираясь на которую, можно разработать свою собственную схему хранения и резервирования информации. Такую которая будет идеально подходить именно под твои цели и задачи. Но чтобы было ещё понятнее и нагляднее мы рассмотрим конкретный вариант организации хранения информации и резервного копирования, с примерами конкретных устройств. Я предложу усредненный вариант, которого с запасом достаточно для индивидуального использования или даже небольшого офиса. Варианты комплектующих я выбирал те которые нравятся лично мне. Но тут, как говорится, дело вкуса.

Для начала сформулируем сами себе ТЗ:

общий объём рабочего пространства: 10-12 Тб. Важность: потеря или утечка крайне нежелательны, но не катастрофичны;
чувствительная информация: 100 Гб. Важность: строго конфиденциальная информация, потеря или утечка не допустимы;
вид данных: документы, фото, видео, бэкапы БД;
задача: повседневная работа и долгосрочное хранение;
количество копий: минимум три копии, на двух разных носителях, одна копия вне основного места работы;
бюджет: стараемся придерживаться принципа “цена-качество” и, по возможности, экономим.

Выбор оборудования

Исходя из этого ТЗ подбираем необходимое оборудование:

рабочий компьютер (его в бюджет не учитываем, потому как это слишком индивидуальный вопрос, более того, он наверняка у тебя уже есть. Потому что если нету — зачем ты вообще это читаешь?);

NAS: хороший вариант “Synology DiskStation DS425+”. Стоит на данный момент около 650$.

ИБП. Если его нет, то есть очень большой смысл приобрести источник бесперебойного питания. Потому как скачки напряжения, пропажа электричества и всё подобное, это очень нежелательные события при работе с данными. Особенно в моменты создания или загрузки бэкапов. В лучшем варианте придётся начинать с начала, в худшем можно потерять данные. Если выбирать ИБП, то стоит взять такой чтобы к нему подключить не только NAS, но и рабочий компьютер. Мне нравится CyberPower CP1600, для наших задач его достаточно. Соответственно добавляем к бюджету ещё 450$.

Диски для NAS: три штуки “Western Digital Red Pro NAS 8TB”. Именно три нужны чтобы сделать RAID5, это оптимальный вариант с точки зрения отказоустойчивости и доступной емкости дисков. Три диска по 8 Тб в RAID 5 в итоге дадут более 14 Тб рабочей ёмкости. А это, как раз, покрывает нашу исходную цель в 10-12Тб и оставляет небольшой резерв.
Цены: один такой диск стоит около 300$. Так же нам нужен хотя бы один M.2 NVMe на 500 Гб для кэша — это ещё 100$. Итого комплект дисков для NAS обойдётся нам где-то в 1000$.

Диски для бэкапов. Так как нам нужно делать оффлайн копию данных с NAS и отдельно копию нашей особо важной информации, то под это тоже нужно предусмотреть диски. А так как их нужно будет хранить отдельно, то лучше взять внешние. Для общего бэкапа данных с NAS берём “Western Digital My Book 14 TB” (это около 350$). А для чувствительной информации берём “Western Digital My Passport 1TB” это около 90$. Итого 440$.

Подписки на облачные сервисы:
- Google Drive — для повседневной работы с документами может хватить бесплатных 15 Гб, но так как мы рассматриваем оптимальный вариант, то берем подписку на 2Тб за 55$/год. Их мы будем использовать для синхронизации рабочих каталогов. Это, с одной стороны, дополнительный бэкап, с другой стороны обеспечивает быстрый доступ на разных устройствах.
- Backblaze B2 — будем использовать для облачного бэкапа данных с NAS. Backblaze выбран потому что оплачивать нужно только реально используемое пространство. При этом цена очень разумная. А так как бэкапить в облако весь NAS обычно смысла нет, то можем посчитать 6$ в месяц за 1Тб т.е. 72$ в год. Но с учётом того, что в этот бэкап мы будем добавлять только особо важные данные в архивированном и зашифрованном виде, то конечный объём, а значит и цена, будут сильно ниже.

Итоговая смета затрат на оборудование:

Название	Количество	Цена
Synology DiskStation DS425+	1	650$
Western Digital Red Pro NAS 8TB	3	900$
M.2 NVMe 500 Гб	1	100$
Western Digital My Book 14 TB	1	350$
Western Digital My Passport 1TB	1	90$
ИБП CyberPower CP1600	1	450$

Облачные сервисы:

Google Drive	55$/год
Backblaze B2	72$/год

Выбор оборудования для бэкапов и резервного копирования

Итого, мы имеем стартовый бюджет для запуска — 2667$. И годовые затраты на подписки до 127$в год.

Выглядит, конечно, не очень приятно, но это цена безопасности нашей информации. Ну и это примерный вариант. В зависимости от ситуации, бюджет может меняться в большую или меньшую сторону. Тут каждый сам должен решить что нужно, а что нет.

Одновременно с выбором оборудования, нужно предусмотреть график его обслуживания и замены. Для жёстких дисков это проведение тестов раз в пол года и замена, если видим сильное проседание скорости чтения / записи или появление проблемных секторов. NAS может прослужить очень долго, но я бы заменил на более новую модель где-то через 7 лет.

Правила хранения и график бэкапов

После того как мы определились с выбором оборудования, нужно продумать схему движения информации и график бэкапов. Это может выглядеть так:

Повседневная деятельность происходит в рабочих каталогах, которые синхронизированы с Google Drive. Если присутствует информация которую, по каким-то причинам, нельзя загружать в облако, то синхронизация происходит только с NAS. Такой подход позволяет дублировать рабочую информацию на случай проблем с компьютером и обеспечивает синхронизацию, если есть необходимость работать из разных мест.

Полезные материалы:

Далее мы распределяем что и где будет лежать:

рабочий компьютер — здесь находятся только те данные, которые нам нужны для повседневной работы;
NAS — здесь создаём несколько разделов:
- Рабочий раздел. Сюда синхронизируется вся рабочая информация с компьютера и других рабочих устройств. Например — дополнительного ноутбука;
- Архивный раздел. Сюда складываем всё то, что требует долгосрочного хранения, при этом не подразумевает необходимость ежедневного доступа. Например наши оконченные расследования и файлы к ним, какие-то подборки или что-то подобное. Если бюджет позволяет — этот раздел можно бэкапить в облако Backblaze B2. Но это не критично;
- Конфиденциальный раздел. Здесь, в криптоконтейнере, мы храним всю критически важную информацию. Например копию базы паролей, финансовую информацию, бэкапы баз данных и так далее. Этот раздел обязательно дублируется в облако Backblaze B2.
жёсткий диск для бэкапа NAS (Western Digital My Book 14 TB). Сюда мы, по расписанию, например в конце каждой недели, дублируем всю информацию, которая хранится на NAS. Сам диск тоже будет не лишним зашифровать и хранить в надёжном месте.
жёсткий диск для бэкапа конфиденциального раздела (Western Digital My Passport 1TB) — так как в подобную информацию не так часто вносятся значительные изменения, более того, она у нас есть на NAS и в облаке, а этот бэкап нужен в случае появления каких-то очень форс-мажорных обстоятельств, то делать его можно реже. Например раз в месяц. И напомню, что этот диск мы храним где-то в очень надёжном месте и, тоже, обязательно в зашифрованном виде. Потому как в таких вопросах нужно исходить из правила, что любое, даже самое надёжное место в мире, может перестать таковым быть. И происходит это всегда неожиданно.

Отдельно упомяну, на первый взгляд очевидные, но оттого, не менее важные правила. Ты наверняка слышал утверждение, что в любой, даже самой защищённой системе, самое слабое место это человек. Это утверждение появилось не просто так, и оно вполне обосновано. Для нас это означает то, что продумывая и организовывая систему хранения данных, мы должны минимизировать человеческий фактор. Соответственно:

там где можно настроить автоматическое создание бэкапов по расписанию — это нужно сделать;
также нужно везде, где это возможно, удалить стандартные или заводские учётные записи. Если удалить не возможно — заменить стандартные пароли;
если хранилищем будет пользоваться кто-то ещё — нужно точечно организовать права доступа. Здесь действует правило минимализма. Т.е. каждому пользователю выдаются минимально необходимые права. И, ни в коем случае, не стоит выдавать доступ “на всякий случай” — жене, бабушке, собаке или кому-то ещё. Потому что этот случай может сыграть против нас. Если не уверен, лучше сделать ещё один бэкап или ещё одну свою резервную учётную запись;
пароль от базы паролей очень желательно запомнить, чтобы его не существовало в записанном виде и он был только у тебя в голове;
все остальные пароли должны быть достаточно сложными т.е. хотя бы 12-15, а лучше 20 символов. С буквами нижнего и верхнего регистров, цифрами и спецсимволами. Также придерживайся правила: каждая учётная запись = уникальный пароль. Потому что его можешь потерять не ты, а тот сервис на котором ты зарегистрировался;
везде где можно включить двухфакторную аутентификацию, дополнительные проверки, ключи доступа и всё подобное — это нужно сделать.
продумывая какую-то ситуацию, всегда исходи из наихудшего сценария. Тогда менее критические происшествия повлекут минимальные последствия.

Ну, а на этом рассказ про безопасности данных можно заканчивать. Финальный совета: не тупи, не расслабляйся и не пренебрегай правилами. И тогда твои данные будут в безопасности.

Твой Pulse.