Цифровая безопасность журналистов

Журналистов настоятельно призывают защищать свои средства коммуникации и информацию от растущих угроз. Однако некоторые исследования показывают, что большинство работников СМИ, несмотря на веру в реальность этих опасностей, пренебрегают базовыми мерами защиты. В «Руководстве по цифровой безопасности» фонда Rory Peck Trust подчеркивается, что «даже маленькие шаги могут иметь большое значение».

Чтобы помочь журналистам защитить от цифровых угроз свои редакции, семьи, коллег и источники, GIJN публикует этот справочник.

«Нельзя быть уверенным в том, что человек защищен на 100%», — сказал в интервью PDNPulse исполнительный директор Фонда свободы прессы (Freedom of the Press Foundation) Тревор Тимм. «Однако, придерживаясь некоторые основных правил, каждый может сделать свою жизнь безопаснее, чем у 90-95% интернет-пользователей, и это действительно важно».

Мы начнем с кратких рекомендаций эксперта по цифровой безопасности Роберта Гуэрры. Большинство журналистов, отмечает он, не соблюдают даже самые элементарные меры предосторожности.

«Получив известность благодаря своим журналистским расследованиям, вы можете стать мишенью людей, которые попытаются отследить вас и ваши данные с помощью цифровых инструментов», — говорит Гуэрра, более десяти лет обучавший сотрудников НПО и журналистов безопасному управлению связями и данными в онлайн-среде. «Начните с базовых принципов. Изучите риски. И выполните всего несколько простых действий».

Гуэрра предлагает начать с таких шагов:

Электронная почта

• Отправляясь в страну, где активно шпионят за работниками СМИ, не полагайтесь на почтового провайдера, базирующегося в этом месте.
• Если вы работаете из дома, используйте услуги безопасного провайдера. Узнайте, защищена ли ваша электронная почта, проверив наличие протокола «https» в адресной строке. Сервис Gmail защищен по умолчанию, а в Yahoo и Facebook можно поменять базовые настройки. Если вы пользуетесь бесплатной беспроводной сетью WiFi, простое программное обеспечение позволит любому человеку получить доступ к вашему экрану. А если вы в этот момент будете говорить с информатором? Это можно сравнить с тем, как если бы вы находились в людном месте и во весь голос обсуждали конфиденциальную информацию с источником.
• Не полагайтесь на то, что работодатель обеспечит защиту вашей учётной записи. Если в вашей организации есть технический отдел, спросите, какие меры предосторожности соблюдаются. Также подумайте о том, чтобы завести личный аккаунт Google или Yahoo.

Пароли и двухфакторная аутентификация

Если у вас есть почта Gmail, ваше имя пользователя — больше ни для кого не секрет. Чтобы взломать вашу учётную запись, единственное, что понадобится хакеру — это ваш пароль. Поэтому, в первую очередь, придумайте сложный пароль. Ниже приведены руководства по созданию более надежных паролей. Кроме того, для обеспечения конфиденциальных взаимодействий, Gmail, Twitter и Facebook добавили дополнительный, но пока что необязательный уровень защиты — двухфакторную аутентификацию. Как только вы активируете её и введете пароль, с вашей учётной записи на телефон придет текстовое сообщение с уникальным кодом, который нужно будет ввести перед тем, как войти в аккаунт. (Примечание редактора. В некоторых странах злоумышленники или правоохранители могут получить дубликат вашей sim-карты, поэтому лучше использовать приложение Google Autentificator).

На YouTube-канале «Репортеров без границ» (Reporters Without Borders) есть 12-минутное видео (на английском) о создании безопасных паролей. На русском можно почитать рекомендации Google.

Настройки входа в учётную запись

Создайте несколько учётных записей на своем компьютере, в том числе как минимум одного пользователя в дополнение к учётной записи администратора. Используйте её для своей повседневной работы, но перед этим убедитесь, что у второй учётной записи нет прав администратора. Если какая-либо вредоносная программа попробует начать автоматическую установку, компьютер предупредит вас сообщением с требованием ввести пароль администратора.

Вредоносное ПО

• Остерегайтесь подозрительных вложений, регулярно обновляйте свои программы и установите хорошую антивирусную защиту. Обычно платные программы гарантируют более эффективную защиту.
• Следите за электронными письмами от групп или людей, которых вы, возможно, знаете, но которые могут показаться вам подозрительными — вдруг вы заметите какие-то небольшие грамматические отличия или странную пунктуацию.
• Владельцы Mac, не поддавайтесь ложному чувству безопасности.
• Устаревшие компьютеры без обновлений системы безопасности могут подвергнуть вас большему риску.

Здесь Гуэрра рассказал о некоторых полезных инструментах (на английском и испанском).

Когда что-то пошло не так

Поднимайте шум, если ваш компьютер начинает вести себя странно. Обратитесь в одну из некоммерческих групп, занимающихся обнаружением и отслеживанием атак и обучением пользователей. Среди них:

• В Access Now работает круглосуточная горячая линия цифровой безопасности, доступная на девяти языках: английском, испанском, французском, немецком, португальском, русском, тагальском, арабском и итальянском. На все запросы отвечают в течение двух часов.
• Комитет по защите журналистов (Committee to Protect Journalists), базирующийся в Нью-Йорке, защищает интересы журналистов по всему миру и обрабатывает запросы о помощи.
• Организация «Репортёры без границ» (Reporters Without Borders) занимается такой же правозащитной деятельностью, что и КЗЖ. «Репортёры без границ» имеют службу экстренной помощи для СМИ и цифровую справочную службу, призванную консультировать и поддерживать журналистов во всем мире по вопросам цифровой безопасности. Информация по таким темам, как шифрование, анонимизация, безопасность аккаунта и профессиональный подход к борьбе с разжиганием ненависти и фейковыми новостями, теперь доступна на странице helpdesk.rsf.org.
• Лаборатория Citizen Lab в Университете Торонто занимается исследованиями в области безопасности в Интернете и прав человека.

Ресурсы GIJN

GIJN в сотрудничестве с Фондом Форда разработала Инструмент оценки безопасности журналистов (JSAT) — уникальный ресурс, который поможет оценить риски и дать рекомендации СМИ или любой организации, ставшей на путь заботы о безопасности. Ответить на вопросы анкеты можно на русском языке и получить персонализированные советы по защите вашей редакции. Если при работе с инструментом возникнут вопросы, советуем посмотреть эту видеозапись обучающей сессии, которая поможет максимально эффективно заполнить опросник и применить полученные рекомендации.

Как защитить себя и свои гаджеты в 2022 году: Чеклист по физической и цифровой безопасности для журналистов. В этом пособии эксперты КЗЖ собрали ресурсы и советы по 5 основным направлениям: безопасность телефона во время поездок, угроза ареста, преследования в интернете, защита источников и правовая защита. Они помогут защитить себя, свои источники информации и персональные данные.

Как журналистам обезопасить себя от онлайн-преследований. Угроза физической расправы, доксинг, нарушение неприкосновенности частной, дезинформация и злонамеренные манипуляции с фотографиями из соцсетей. Как реагировать на подобные ситуации и предупреждать их — рассказал журналист-фактчекер Говард Харди на основе собственного опыта.

Как обезопасить себя от доксинга. В интернете разбросаны фрагменты информации о журналисте, как и о любом человеке. Собранные воедино вашими недругами, они могут быть опубликованы или использованы вам во вред другим способом. Эта инструкция поможет найти в сети конфиденциальные данные о себе и обезопасить свою частную информацию, прежде чем кто-то сможет создать вам проблемы.

Как реагировать на онлайн-атаки против журналистов: 6 советов для редакций. Любой журналист, подвергавшийся преследованиям, троллингу или другим нападкам в сети, хорошо знает, насколько это страшно. Редакции должны помочь своим сотрудникам, сталкивающимся с атаками в сети.

Советы по цифровой безопасности для журналистов: как защитить свою работу и источники информации: Заголовки медиа регулярно сообщают о взломах больших хранилищ данных. Журналисты, которые занимаются расследованиями, работают с уязвимыми источниками информации и «чувствительными» данными, должны особенно серьезно подойти к вопросу безопасного хранения информации.

Шпаргалка по цифровой безопасности: выбираем инструменты с открытым исходным кодом. Как лучше всего обезопасить себя и свои источники от коммерческих программ-шпионов? Когда обычные приложения не прозрачны и лишены действенных мер защиты, программы с открытым исходным кодом и шифрованием могут стать самой надёжной линией обороны для журналистов.

Как журналистам понять, ведется ли за ними электронная слежка: Электронный шпионаж связан с возможной угрозой безопасности самого журналиста и его источников — это атака на свободу прессы и свободу слова. Самый важный вопрос таков: если журналисты решают бороться с электронной слежкой, как им понять, что за ними следят?

Цифровая безопасность для журналистов: как адаптировать инструменты к конкретной ситуации. Двухфакторной аутентификации, надежного пароля и шифрования дисков может оказаться недостаточно, если вы станете объектом повышенного внимания. Двое коллег — хакер и специалист по безопасности из Nothing2Hide рассказывают, как адаптировать свои средства онлайн-защиты к враждебной среде.

Защита источников: Чеклист. Что необходимо проверить перед публикацией секретных документов. Попавшие в руки журналистов документы могут стать основой резонансной публикации — но также и привести к страшным проблемам для источников и уязвимых групп населения, если использовать документы без достаточной осмотрительности.

Профилактика, выявление и лечение викарной травмы у журналистов, работающих с открытыми источниками. Журналистам нередко приходится работать с неотредактированными фото- и видеоматериалами с мест событий, включая съемку последствий химических атак или взрывов. Эти шокирующее кадры могут вызвать психическое расстройство, если не принять мер предосторожности и не выявить вовремя признаки «викарной» травмы.

Другие ресурсы на русском

Комитет по защите журналистов (Committee to Protect Journalists) создал свой Цифровой комплект безопасности (на русском).

Конфиденциальность в сети интернет для журналистов. Русский перевод превосходного пособия Майкла Дегана, посвященного теме интернет-безопасности.

Меры по безопасности от Комитета по защите журналистов: Это руководство было разработано после того, как многие журналисты и активисты стали мишенями шпионского ПО Pegasus (2019). Содержит рекомендации, что делать, если вы тоже оказались среди объектов слежки.

Обучение цифровой безопасности от платформы онлайн-обучения для журналистов, активистов и правозащитников. Totem предлагает бесплатные экспресс-курсы в том числе и на русском языке.

Справочник по цифровой безопасности от Rory Peck Trust охватывает все: от обеспечения безопасности ваших основных учётных записей и паролей до оценки вашего цифрового риска и безопасного пересечения границ.

Data Detox Kit — это набор пошаговых рекомендаций для тех, кто хочет получить представление о различных аспектах своей жизни в интернете, чтобы сделать более осознанный выбор или же поменять некоторые привычки поведения в цифровом пространстве.

Список VPN для безопасного сёрфинга в сети и захода на заблокированные сайты можно найти на сайте Роскомсвободы вместе с Базовыми принципами информационной безопасности, советами и инструкциями, как сделать свои коммуникации защищенными.

Пособие «Самозащита от слежки» от Electronic Frontier Foundation содержит много полезной информации, в том числе «стартовый пакет безопасности», состоящий из семи шагов. Среди них:

• Правильное использование паролей: выбирайте надежные пароли с помощью игральной кости, воздержитесь от повторного применения паролей, рассмотрите возможность использования виртуального сейфа с шифрованием либо менеджера паролей, избегайте легких ответов на секретные вопросы, и включите двухэтапную аутентификацию. Если вы храните пароли на бумаге в кошельке, обязательно добавляйте ложные символы до и после настоящих паролей и не уточняйте каким именно учётным записям они принадлежат. Не используйте один и тот же пароль для нескольких учётных записей и регулярно меняйте их.
• Не уничтожайте доказательства, вместо этого придерживайтесь политики хранения, проводя очистку своих файлов. Убедитесь, что политика записана и соблюдается всеми в организации. «Это ваша лучшая защита от повестки в суд — они не смогут получить то, чего у вас нет».
• Основы защиты данных: включите логины для учётных записей и экранных заставок. Сделайте ваши пароли надежными. Убедитесь, что вы доверяете своему системному администратору.
• Шифрование данных: правительства могут получить доступ к данным, даже если они защищены паролем, а вот с хорошо зашифрованными данными это будет сложнее. Справочник включает еще одно базовое руководство о том, как работает шифрование.
• Защита от вредоносных программ: используйте антивирусное программное обеспечение, своевременно обновляйте системы безопасности и не переходите по подозрительным ссылкам и файлам.

Tactical Technology Collective (Коллектив тактических технологий) обновил брошюру «Безопасность в коробке» для правозащитников и журналистов. 

Мессенджеры: многие эксперты рекомендуют использовать Signal или WhatsApp. См. статью о мессенджере Signal на сайте Journalism.co.uk. В качестве бонуса рекомендуем эту статью First Draft об использовании WhatsApp для сбора новостей. Браузер для безопасного обмена файлами Mozilla — отличный способ получать файлы от людей, которые не умеют или не могут шифровать файлы самостоятельно или отправлять их, например, через Signal.

Организация «Конфиденциальность для журналистов» (Privacidade para Jornalistas) — это бразильская версия австралийского сайта, разработанная журналистом Рафаэлем Эрнандесом. На сайте представлены руководства и инструменты, такие как «анализ угроз». Вот пять основных инструментов:

• Шифрование жестких дисков и флэш-накопителей — шифрование устанавливает пароль на жесткие диски и USB-устройства, которые защищают исходные данные и личные файлы в случае потери или кражи оборудования.
• Двухэтапная аутентификация используется для доступа к вашим почтовым клиентам, аккаунтам в соцсетях, онлайн-банкингу, ее можно настроить в электронной почте и социальных сетях. Вход осуществляется с помощью того, что вы знаете (ваш пароль), и того, что у вас есть (например, код, отправленный на ваш смартфон). Это позволяет избежать проблем, даже если вы поставили под угрозу свои пароли.
• Signal — приложение шифрует сообщения на смартфонах. Если ваш телефон прослушивают, никто не сможет получить доступ к вашей переписке.
• Sync.com — бесплатный облачный сервис для хранения. Он использует «доказательство с нулевым разглашением», то есть хранит информацию, но не видит, какую именно. Как правило, веб-сайты, которые мы используем, обычно сканируют файлы и передают отчеты властям. Здесь же синхронизация зашифрована, более безопасна, и очень проста в использовании.
• PGP (Pretty Good Privacy) — это способ шифрования электронной почты. Что-то вроде сундука, но с двумя ключами: один для закрытия, а другой для открытия. Вы даете ключ, который закрывает сундук, чтобы кто-то смог отправить вам файлы и сообщения. При этом только у вас есть ключ, который открывает этот сундук.

В Facebook есть руководство по безопасности для журналистов на 20 языках, включая русский и украинский.

Больше ресурсов можно найти в постоянно обновляемом путеводителе GIJN по цифровой безопасности (на английском языке).