Насправді сім замків — це геть багато і така потреба виникає не завжди. У більшості випадків звичайним користувачам варто почати із подвійної аутентифікації. Однак редакціям варто виробити власну політику і власну стратегію цифрової безпеки.

Багато редакцій не мають у підпорядкуванні IT-спеціалістів, які б забезпечували захист опублікованої інформації, джерел та особистих даних журналістів. Особливо це стосується невеликих медіа з малим бюджетом. Через це зловмисники легко можуть отримати доступ до бази контактів, заблокувати сайт, поширити дезінформацію від імені видання чи прочитати окремі листи журналістів.

Саме тому лише надійного пароля на вашій поштовій скриньці буде замало. Особливо якщо ви працюєте з унікальною інформацією та спілкуєтесь з великою кількістю людей з різних сфер.

Як редакціям захистити себе від цифрових загроз, пояснив Антон Кушнір, спеціаліст із цифрової безпеки та співзасновник Лабораторії цифрової безпеки.

Особливості цифрової безпеки в редакціях

Якщо ми говоримо про особисту цифрову безпеку, то наше завдання доволі просте: встановити надійний пароль, налаштувати двофакторну аутентифікацію, подивитися підключені додатки та способи скидання паролів.

Складних налаштувань ми не робимо. До того ж, налаштування, які ми можемо зробити, достатньо обмежені. Користуючись тим чи іншим поштовим сервісом, ми не обираємо розташування цієї пошти та не бачимо стан захисту серверів. При цьому у нашому підпорядкування лише кілька пристроїв.

Редакції мають більше цифрових активів. Попри зручні та прості конструктори, вебсайт має складнішу будову, що складається з багатьох компонентів: самого сервера, на якому все розташоване, бази даних, бекенду, різних з’єднань тощо.

Редакція також може мати якісь спеціальні пристрої. Наприклад, файлові сервери, де зберігає фото та відео. Такі сервери розташовані в локальній мережі організації й дуже важливо, щоб була людина, яка б підтримувала їх.

Загрози інформаційної безпеки

♦ Загроза конфіденційності. Я передбачаю, що лист, який пишу, прочитає лише я та людина, якій він адресований. Якщо це може зробити хтось інший — це загроза конфіденційності. Доступ до моєї інформації повинні мати лише ті люди, яких я визначаю.

До загрози конфіденційності належать і періодичні злами телеграм-акаунтів.

Загроза доступності. Доступ до інформації, яку маю я і яку надав визначеним людям, має зберігатися. Якщо у мене були якісь відеофайли, відзняті для ефіру на зовнішньому диску, а цей диск пошкодився — це також проблема з безпекою, оскільки доступ до цих файлів втратився.

Якщо я маю вебсайт, то хочу, щоб користувачі мали до нього постійний доступ. Якщо цей сайт стає недоступним на якийсь час — це загроза доступності.

♦ Загроза цілісності. Я маю сайт і не хочу, щоб незнайомі люди на ньому публікували матеріали, які не стосуються мого сайту. Така ситуація нещодавно сталася з «Детектор медіа». Зловмисники розмістили на сайті свою інформацію від імені видання.

Це стало можливим через доступ до одного з облікових записів працівника редакції. Якщо так змогли зробити — це загроза цілісності інформації, яка зберігається.

Зважаючи на це, можна говорити про інциденти, які найчастіше трапляються в редакціях. Це фішингові листи, намагання різними способами зламати облікові записи чи DoS-атака.

Час від часу сайти намагаються «задідосити» — позбавити користувачів доступу до нього. Тоді на сайт скеровується дуже багато запитів з різних джерел. Як наслідок, сервер не справляється з такою кількістю запитів, а тому інформацію на ньому неможливо прочитати.

Прикладом цього можна назвати атаку на сайт рівненської агенції журналістських розслідувань «Четверта влада», коли ті опублікували матеріал про вартість весільної вечірки депутата Рівненської міської ради.

Цьогоріч почали з’являтися «смс-бомбери» на окремих людей. У квітні колишня журналістка і керівниця відділу соцмереж «Крим.Реалії» Олена Дуб заявляла надходження великої кількості смс-повідомлень з кодами для входу в облікові записи.

Зловмисники вводять ваш номер телефону в мобільному додатку чи на певному сайті (служби таксі, сервісу знайомств, доставки піци тощо), а сервіс надсилає вам код для входу. Цей процес повторюють для багатьох сервісів, в результаті чого ви отримуєте велику кількість СМС із кодами.

Таким чином зловмисники намагаються викликати у вас паніку, хоча в цей час ваші облікові записи не ламають. Це насамперед психологічний тиск.

Хто відповідає за цифрову безпеку в редакції

Навіть базовими безпековими заходами має займатися окрема людина. В усіх організаціях є бухгалтер чи бухгалтерка. Ні в кого немає ідеї вести самостійно свою фопівську бухгалтерію та у вільний від роботи час додатково вести бухгалтерію редакції. Але з безпекою чомусь так роблять.

Якщо умовним системним чи вебадміністратором є хтось із працівників, хто на дозвіллі переглядає безпеку сайту, це навряд чи гарантуватиме стабільний захист.

Тому, якщо це складний ресурс на зразок вебсайту, то було б добре мати людину, яка має відповідну кваліфікацію і займається цим періодично: може щось оновити, ліквідувати вразливість, час від часу робити резервні копії інформації з сайту тощо. Це вебадміністратор чи вебадміністраторка. Якщо такого спеціаліста немає — проблеми будуть лише накопичуватись.

Невеликі медіа з малим бюджетом чи бюджетом в рамках гранту, або ж медіа, які оформлені як громадська організація, можуть знайти такого спеціаліста. Донори, якщо говорити про громадські організації, зазвичай розуміють необхідність цифрової підтримки й реагують відповідно.

Якщо коштів все ж немає, можна запрошувати людину на аутсорсинг чи на погодинну роботу, прописавши принаймні в договорі кількість годин чи кількість комп’ютерів, які підтримуватимуться.

Якісь речі можуть взяти на себе інші працівники, оскільки є окремі речі, які можуть робити люди без сильних технічних кваліфікацій. До прикладу, такі ентузіасти готові перевіряти раз на кілька місяців чи не має на сайті чи фейсбук-сторінці доступу в людей, які вже давно не працюють в редакції.

Але тоді потрібно зафіксувати, що ця людина має відповідне повноваження, витрачає на це свої робочі години та, відповідно, отримує за це зарплату. Пам’ятаймо, що люди швидко згорають, тримаючись на одному ентузіазмі.

Великі редакції, які вже мають для цього кваліфікованих працівників, часто можуть допускати помилки у підтримці цифрової безпеки. Ці вебадміністратори мають невеликий список завдань: підтримують мережу, налаштовують ІТ-телефонію.

І водночас жодним чином не працюють з особистими пристроями колег, не налаштовують месенджери на зразок Telegram чи Signal. Хоча це теж інструменти, які використовуються в роботі та які також необхідно підтримувати. Тоді виникає тіньова інфоструктура, у якій редакція вдає, що частина роботи не має значення і не стосується безпеки.

Корпоративне рішення

Більшість людей в українській журналістиці використовують особисті поштові скриньки, навіть змінюючи місця роботи. Редакції також важко вплинути на те, щоб кожен достатньо захищав всі свої облікові записи.

Попри те, що створення унікального пароля, налаштування двофакторного входу, перевірка підключених додатків й перегляд активних сесій — це базові речі, їх можуть не хотіти робити з різних міркувань. Мовляв, чому через те, що так сказали в редакції, я маю щось робити зі своєю поштою?

Рішенням може бути сервіс на кшталт Google Workspace. Візуально це та ж звична лоя нас пошта, але вона може адмініструватися однією чи кількома людьми. Системний адміністратор, який займатиметься цифровою безпекою в редакції, слідкуватиме, щоб кожен працював виключно у цьому середовищі.

Коли в редакцію приходитиме нова людина, то створюватиме свій обліковий запис для робочої комунікації саме там. Окрім того, обов’язково вмикатиме двофакторну аутентифікацію, налаштовуватиме спам-фільтри, фільтри для вірусів і так далі.

Цей сервіс дає і спільний робочий диск, де власником інформації залишатиметься реакція, а не окремий користувач.

Під час звільнення працівника цей обліковий запис заморожується. Відповідно всі згенеровані дані залишатимуться в організації. Це хороша практика, яка дає змогу розділяти особисте та неособисте, а також налаштовувати окремі облікові записи, що потребують додаткового захисту.

Сюди відносяться і корпоративні месенджери на зразок Slack для внутрішньоредакційного спілкування. Його також можна адмініструвати та налаштовувати за потребами.

Редакційна політика цифрової безпеки

Завжди мають існувати правила, які виконуватимуть. І саме тому гарною практикою може стати запровадження документу з описом технологій та посадових обов’язків на корпоративному рівні.

Формувати політику безпеки варто не безособово. Обов’язково має бути прописано, як все має відбуватися та хто за що відповідає, оскільки фрази «використовувати довгі складні паролі при реєстрації», «не клікати на підозрілі покликання» навряд добре подіють. Такі речі варто пояснювати персоналізовано, щоб не виникало додаткових запитань: де саме та як саме.

У документі тезово має бути прописано, що робить системний адміністратор. Мова йде, до прикладу, про те, що коли нова людина приходить в редакцію і її показують робоче місце та видають якийсь пристрій, системний адміністратор чи якась інша людина, в якої прописані ці зобов’язання, допомагає їй налаштувати облікові записи.

Також він роз’яснює політику безпеки щодо паролів. А коли людина звільняється, йому варто деактивувати робочий обліковий запис людини, прибрати доступ до сайту та до акаунтів.

З переліком запитань для формування політики цифрової безпеки організації можна ознайомитися тут.

Але правила не просто мають бути прописані, їх мають виконувати. Інакше — це документ з набором тез, який всі ігнорують і, відповідно, який не корелює з дійсністю. Тому спершу подумайте, чи всі готові виконувати ці правила.

Також важливо, щоб ця політика безпеки не була надмірною. Якщо вона стає дуже довгою та складною, то більш ймовірно, що людина її ігноруватиме.

Налаштовувати безпеку варто лише залежно від вашої моделі. Оскільки чим більше налаштувань безпеки, тим важче користуватися пристроєм. А відтак менше ресурсів залишається на саму роботу.

Превенція

Думати про захист даних вже після неприємних інцидентів — не найкраще розуміння цифрової безпеки. Більшість атак здійснюються саме через нехтування елементарних правил безпеки.

Превенція — це запобігання атак: налаштування двофакторності, шифрування, періодична зміна паролів тощо.

Час від часу у редакціях трапляються випадки зникнення інформації.

Від втрати доступу до інформації навіть у випадку фізичного зникнення сервера, на якому він розташований, захищають резервні копії.

Часто ці копії не роблять. Відповідно часто інформація втрачається. У таких випадках потрібно йти в спеціалізовані сервіси, які вміють відновлювати цю інформацію. Але слід пам’ятати, що це вдається не завжди.

Дедукція

Неприємних інцидентів траплятиметься в рази менше, якщо їх вчасно помічати. Приміром, розрізняти звичайний лист від сумнівного.

Коли фішинговий лист приходить на корпоративну, а не особисту пошту, то редакційні спроможності впоратися з цим стають обмеженими. Щоб запобігти цьому, існує велика кількість різних тренінгів та вебінарів, які можна (та потрібно) опанувати.

Редакція може сама пропонувати такі тренінги своїм співробітникам. Також важливо робити це на регулярній основі, оскільки технології несанкціонованого доступу до інформації постійно розвиваються.

Фішингові атаки постійно змінюються, набувають нових форм. Зі знаннями про те, які листи можуть бути підозрілими, редакція уникне багатьох пов’язаних з цим проблем.

Реакція на інцидент

Все, що ми робимо, необхідно для запобігання проблемам. Проте якщо халепа все ж сталася, важливо розуміти як правильно реагувати на інцидент (incident response).

У такому випадку потрібен добре продуманий план дій, оскільки тоді з ситуацією впоратися легше.

Всі процеси мають бути добре прописані в редакційній політиці цифрової безпеки: хто за що відповідає, до кого потрібно звертатися та якими мають бути дії.

До прикладу, якщо мені прийшли листи, які видаються підозрілими та схожими на фішингові, я можу написати системному адміністратору. А сайт став недоступним — вебадміністратору.

Цифрова безпека журналістів-розслідувачів

У журналістів-розслідувачів зазвичай вищі ризики, пов’язані з цифровою безпекою. Насамперед через те, що проти них виступають більш мотивовані та ресурсні опоненти.

Тому для них мають бути встановлені вищі безпекові стандарти, ніж для решти. Але чи є сенс запроваджувати це в межах політики безпеки для всієї редакції? Вочевидь, це залежить від специфіки редакцій.

Важливо попрацювати з експертами. Оскільки зараз сфера розслідувань підтримується донорами, то журналісти мають змогу працювати з консультантами із безпеки безплатно. Редакція також може попросити спеціаліста проконсультувати своїх журналістів-розслідувачів, який допоможе їм все правильно налаштувати.

Не менше ніж раз на місяць журналістам-розслідувачам регулярно пробують ламати месенджери, оскільки вони аутентифікують користувачів по мобільному номеру.

Якщо це Telegram, можна побачити всю історію листування, оскільки додаток не має наскрізного шифрування. Проблема також у тому, що мобільний зв’язок є вразливим.

До прикладу, одна із вразливостей (SS7) дає змогу перехоплювати смс-повідомлення та дізнаватися місце розташування телефону. Для цього потрібно мати спеціальне обладнання чи мати виходи до мобільних операторів.

Відповідно, якщо ви розумієте, що проводите розслідування щодо людей, які мають вихід на силові структури чи достатньо коштів, щоб дістатися до ваших месенджерів, то необхідно вмикати на них двофакторну аутентифікацію.

У такому разі той, хто, намагатиметься перехопити ваші смс-повідомлення, зобов’язаний вести ще додатковий пароль. Цей пароль повинен бути унікальним.

Якщо люди розуміють, що їм може загрожувати конфіскація девайсів, варто інвестувати гроші в пристрій, який підтримуватиме повнодискове шифрування. У такому випадку з, приміром, телефону, який у вас забрали, не зможуть витягнути інформацію.

Якщо журналісти працюють з джерелами з гарячих точок, де влада цілеспрямовано стежить за інтернет-активністю, то важливо приховати свою IP-адресу.

Це можна зробити, поставивши спеціальну галочку, яка вказує на те, що дзвінки ретранслюватимуться серверами сервісу. Таким чином провайдер лише бачитиме, що людина користується тим чи іншим месенджером, але не побачить конкретні IP-адреси адресата та адресанта.

Головне зображеня: Franck