Мохаммад Навид, журналист из западного Афганистана, скрыл свою личность по соображениям безопасности во время интервью Ассошиэйтед Пресс в Кабуле (Афганистан) 3 февраля 2021 года.
Заметки по безопасности

Цифровая и физическая безопасность: защита конфиденциальных источников

Защита конфиденциальных источников – фундаментальный элемент этического репортажа. Когда журналисты соглашаются защитить чью-либо личность, они должны приложить все усилия для этого, особенно в обстоятельствах, когда источник может быть арестован или ему может быть причинен вред.

Сохранение конфиденциальности стало более сложной задачей из-за увеличения уровня цифрового наблюдение и мониторинга со стороны властей и общественности. Поэтому журналисты должны учитывать следующие советы по безопасности в целях защиты личности своих конфиденциальных источников.

Однако имейте в виду, что медиа-организации могут придерживаться политики, требующей от журналистов сообщать своим редакторам данные об источниках. В некоторых странах организации также могут иметь законное право передавать записные книжки или оборудование журналиста в суд или властям, если те считаются имуществом организации. Прежде чем давать какие-либо обещания своим источникам, изучите все существующие правила.

Обратите внимание, что это общие рекомендации, написанные для глобальной аудитории. Вам может потребоваться дополнительная консультация по вопросам, характерным для конкретной страны.

СОДЕРЖАНИЕ

  • Планирование
  • Оценка риска в сравнении с вознаграждением
  • Лучшие практики цифровой безопасности
  • Сбор сведений о вашем источнике
  • Общение с источниками
  • Получение и управление документами
  • Встречи с источниками
  • Анонимизация источников
  • Публикация информации
  • Соблюдение конфиденциальности

Планирование

Подготовка перед первым взаимодействием с конфиденциальными источниками критически важна, как и постоянное сотрудничество с ними, безопасное общение и доверие.

  • Никогда не предполагайте, что источник готов быть упомянутым по имени. Обязательно получите его согласие на использование его имени.
  • Изучите любые юридические обязательства относительно работы с конфиденциальными источниками. Информация может разнится в зависимости от страны и работодателя.
  • Постарайтесь выяснить, общался ли источник с другими журналистами ранее или пытались ли другие организации связаться с ним.
  • Есть ли риск того, что источник находится под наблюдением или в бегах? Если власти или враждебно настроенные стороны ведут слежку за ними, взаимодействие с ними может подвергнуть вас опасности.
  • Разработайте метод проверки друг друга, например необычную фразу или вопрос, на который нужно ответить, и используйте его каждый раз, когда разговариваете с источником.
  • В зависимости от степени риска вам может потребоваться найти место, куда они могут временно переехать из соображений безопасности.

Оценка рисков в сравнении с вознаграждением

Всегда учитывайте деликатность истории и информации об источнике, а также их личность.

  • Существует ли значительный риск для вас или вашего источника при взаимодействии друг с другом? Использование секретной или украденной информации может иметь серьезные последствия для вас, а также для вашей новостной организации.
  • Насколько полезна и надежна их информация? Подумайте об их мотивах и о том, могут ли они представлять риск для вас или вашей организации.
  • Учитывайте их личность, включая такие факторы, как этническую принадлежность, пол, профиль, половую принадлежность, религию и судимость. Если их личность скомпрометирована, могут ли такие факторы использоваться для дискредитации истории или увеличения риска причинения им вреда или ареста?

Лучшие практики цифровой безопасности

Существует несколько способов доступа к данным, включая, помимо прочего, судебные повестки в суд, физический доступ к устройствам, взлом и шпионское ПО. Если вы не знаете, как защитить личность источника, проконсультируйтесь со специалистом по цифровой безопасности.

  • Следуйте передовой практике, когда речь идет о цифровой безопасности, и ознакомьтесь с инструментами и услугами, которые могут вам понадобиться для обеспечения максимальной безопасности вашего источника.
  • Сделайте цифровую оценку рисков. Это поможет вам оценить и, по возможности, снизить риск как для вас, так и для ваших источников. Общественная организация Rory Peck Trust предлагает комплексный шаблон цифровой оценки рисков для журналистов.
  • Подумайте о том, для кого можете стать мишенью вы или ваш источник, и какими полномочиями, деньгами и технологическими возможностями может обладать эта сторона.
  • По возможности не используйте свои личные или рабочие устройства для связи с конфиденциальными источниками. Покупайте устройства специально для связи с ними и храните свои рабочие и личные данные отдельно. Если возможно, оплачивайте такие устройства и SIM-карты наличными и избегайте привязки их к чему-либо, что может идентифицировать вас, например, к кредитной карте или удостоверению личности. (Учтите, что это не всегда возможно в зависимости от того, где вы живете и работаете.)
  • Включите двухфакторную аутентификацию для всех учетных записей и используйте длинные уникальные пароли и менеджер паролей. Просмотрите руководство КЗЖ по защите учетных записей для получения дополнительной информации.
  • Регулярно обновляйте свои устройства, приложения и браузеры до последней версии, чтобы лучше защититься от вредоносного и шпионского ПО.
  • Сообщите источнику информации о передовых цифровых возможностях и потенциальных рисках, чтобы они могли связаться с вами наиболее безопасным способом.
  • Максимально ограничьте контакт с источником.

Сбор сведений о вашем источнике

  • Помните, что ваш интернет-провайдер хранит копию вашей истории просмотров, которая может быть запрошена правительством или стать доступной людям в вашей организации.
  • Изучите интернет-провайдеров в вашей стране, чтобы узнать, кому они принадлежат, и получает ли правительство доступ к данным пользователей законными или другими способами.
  • Используйте VPN, чтобы лучше защитить вашу историю посещений сайтов от учета вашим интернет-провайдером или платформами, такими как поисковые системы. Выберите службу VPN, которая не ведет журнал вашей поисковой истории и не имеет опыта обмена данными с правительствами и другими лицами. Правительства могут создавать утвержденные VPN-компании или управлять ими, либо требовать от провайдеров таких услуг раскрытия пользовательских данных.
  • Если вас задержали и на ваших устройствах производят обыск, имейте в виду, что история браузера может дать подробную информацию о ваших поисковых запросах в Интернете. Регулярно очищайте историю своего браузера, но имейте в виду, что правительства по-прежнему могут запрашивать соответствующие данные у компаний, таких как службы VPN или оператора поисковой системы.

Общение с источниками

  • Используйте псевдоним при сохранении контактных данных вместо настоящего имени источника и рекомендуйте им делать то же самое в отношении вас. Вы оба должны удалить контактные данные друг друга со своих устройств и в онлайн-аккаунтах после завершения общения.
  • Имейте в виду, что компании сотовой связи и поставщики интернет-услуг собирают данные о своих пользователях, включая данные, которые могут быть использованы для идентификации и определения вашего местонахождения или ваших контактов.
  • SMS-сообщения и звонки на стационарные или сотовые телефоны, сделанные через телекоммуникационную компанию, не шифруются, что означает, что правительства и другие лица могут получить доступ к данной информации.
  • Ваш сотовый телефон может быть использован для определения местонахождения вас и вашего источника. На личную встречу вы оба должны являться без телефонов. Личная встреча может быть безопаснее, чем общение в Интернете. (См. раздел «Встречи с источниками» ниже.)
  • Изучите любые онлайн-сервисы, которыми вы пользуетесь, например приложения для обмена сообщениями или провайдеров электронной почты, чтобы узнать, были ли данные пользователей когда-либо запрошены со стороны правительства. Большинство технологических компаний публикуют годовой отчет о прозрачности, в котором подробно описываются запросы на предоставление пользовательских данных и выполнение таких запросов.
  • По возможности общайтесь с источниками, только используя приложения для обмена сообщениями со сквозным шифрованием, например Signal, WhatsApp или Wire. При использовании Signal и WhatsApp включите функцию исчезающих сообщений. Когда дело доходит до безопасности, у этих сервисов есть важные отличия – более подробно в Руководстве КЗЖ по шифрованию связи.
  • Если источник обращается к вам через приложение или сайт, которые не имеют сквозного шифрования, как можно скорее переместите разговор в систему со сквозным шифрованием. По возможности сотрите исходное сообщение и предложите своему источнику сделать то же самое. Это действие удалит сообщение только из учетной записи, копия, вероятно, все еще будет существовать на сервере компании.
  • Если вам действительно нужно связаться с источником по электронной почте, создайте новую учетную запись электронной почты, которая будет использоваться только для этой цели. Учетная запись не должна содержать никаких личных данных, таких как ваше настоящее имя, и не должна быть связана с вашим номером телефона или какой-либо учетной записью на ваше имя. Подробнее о том, как создать учетную запись электронной почты, читайте в руководстве по цифровой безопасности общественной организации Rory Peck Trust.

Получение и управление документами

  • Имейте в виду, что почти все, что вы делаете на своих устройствах, может оставить след даже после того, как вы его удалили. ИТ-специалисты могут восстановить удаленный контент, даже если вы использовали специализированное программное обеспечение для очистки компьютера.
  • Храните конфиденциальные документы на компьютере, отключенном от сети, который был модифицирован так, чтобы он не мог подключиться к Интернету. Это снизит вероятность того, что кто-либо посторонний сможет получить к ним доступ.
  • Для критической информации рассмотрите возможность использования Tails, портативной безопасной операционной системы для использования на любом компьютере. Обратитесь за помощью к специалисту по безопасности, чтобы настроить ее.
  • Отправляйте конфиденциальные документы через платформу SecureDrop с помощью браузера TOR, если он установлен в вашей новостной редакции или организации. Для этого вам понадобится специалист по цифровой безопасности.
  • Журналисты без платформы SecureDrop должны запросить получение документов размером менее 100 МБ через Signal или другую службу со сквозным шифрованием. Документы размером более 100 МБ можно отправлять с помощью OnionShare.
  • Имейте в виду, что метаданные, содержащиеся в документах, файлах и приложениях для обмена сообщениями, такие как время и дата отправки документа, не всегда зашифрованы и могут помочь кому-то идентифицировать ваш источник.
  • Наладьте процесс резервного копирования и удаления содержимого, хранящегося в приложениях для обмена сообщениями. Поговорите со своим источником о том, как они могут лучше управлять данными, хранящимися в их приложениях и на их устройствах. Проконсультируйтесь со специалистом по цифровой безопасности о том, как лучше всего управлять этими данными.
  • Регулярно проверяйте устройства на предмет документов и данных, которые могут поставить под угрозу вас или других, особенно если вы пересекаете границы или контрольно-пропускные пункты.
  • По возможности зашифруйте свои устройства, документы и внешние диски и убедитесь, что вы используете длинный и уникальный пароль. Помните о законах о шифровании в странах, в которых вы живете, работаете и путешествуете. Вас могут попросить разблокировать зашифрованные устройства. Сделаете вы это или нет – это ваш личный выбор.

Встречи с источниками

  • Оцените преимущества и недостатки личной встречи по сравнению с общением через защищенную цифровую платформу.
  • Решите, кто отвечает за встречу и за изменение планов в этот день.
  • Встречайтесь в нейтральном месте, которое никак не связано с домашним или рабочим адресом вашего источника. Убедитесь, что в здании имеется несколько выходов.
  • Следите за любыми признаками слежки во время встречи. Рекомендуется иметь поблизости надежное лицо, которое при необходимости поднимет тревогу.
  • Определите, как вы можете в защищенной манере донести конфиденциальную информацию со встречи обратно до рабочего места, особенно если эта информация может быть использована в разоблачении источника. 
  • Предусмотрите варианты перемещения, учитывая систему видеонаблюдения:
  • Если вы пользуетесь общественным транспортом, платите наличными, а не банковской картой, которую можно отследить.
  • Снимите наличные по крайней мере за день до встречи, чтобы уменьшить вероятность совпадения любых видеозаписей в банкоматах с днем вашей встречи с источником.
  • Номерные знаки частных транспортных средств можно отслеживать с помощью камер. Постарайтесь припарковать автомобиль вне поля зрения в безопасном месте и всегда парковать лицом в сторону эвакуации.
  • Если вы подозреваете, что за вами наблюдают, развернитесь и отмените встречу.

Анонимизация источников

При фотографировании или съемке источника учитывайте следующее:

  • Какое озвучивание вы будете использовать – механическое или голос постороннего человека? 
  • Скроете ли вы их лицо или же вообще не будете показывать его?
  • Как вы будете к ним обращаться? Даже закодированный псевдоним может помочь кому-то идентифицировать ваш источник. 
  • Имейте в виду, что все нижеприведенное дает подсказки относительно того, кем может быть ваш источник и где он живет:
    • Отличительные отметины на теле, такие как татуировка, родинка, шрам или родимое пятно;
    • Определенные предметы одежды или драгоценности;
    • Узнаваемые объекты на заднем плане, например достопримечательности, здания или горы;
    • Уникальные предметы на заднем плане, такие как фотографии, награды, мебель, автомобиль или обои.

Публикация информации

  • Удалите метаданные из файлов, включая фотографии, перед отправкой другим пользователям. Метаданные файла могут содержать информацию о человеке, который его создал или отправил, и могут включать информацию о местоположении, дате и времени, а также о марке и модели фотографировавшего устройства.
  • Снимки экрана или фотографии экрана компьютера или телефона источника могут содержать информацию, которая может быть использована для их распознавания, включая недостатки экрана, такие как битые пиксели, или цвет и стиль значка мыши.
  • Напечатанные документы могут содержать встроенную информацию, такую как время, когда были напечатаны страницы, а также сведения о принтере, с которого они были напечатаны.
  • Отредактированный или размытый контент в документах можно увидеть с помощью специализированного программного обеспечения.

Сохранение конфиденциальности

  • Не сообщайте никому кто является вашим источником, за исключением случаев крайней необходимости. Чем больше людей знает о нем, тем выше риск.
  • Избегайте записывания и распечатки любой информации, которая может раскрыть их личность. Их можно идентифицировать даже по мелким деталям, таким как инициалы источника или название места.
  • Следите за социальными сетями. Если есть какие-либо признаки того, что источник может быть обнаружен, рассмотрите возможность временного перемещения их в безопасное место в зависимости от уровня риска.
More On:
Заметки по безопасности