Цифрова безпека: поради

Останнє оновлення: 18 жовтня 2021

Журналісти повинні захищати себе та своїх інформаторів, тримаючи руку на пульсі актуальних новин стосовно цифрової безпеки та таких загроз, як хакерські атаки, фішинг і стеження. Журналістам слід подумати про інформацію, за яку вони відповідають, а також про можливі наслідки її потрапляння до сторонніх осіб, та вжити заходів для захисту своїх облікових записів, пристроїв, каналів зв’язку та активності онлайн. 

Зміст

• Захист облікових записів
• Фішинг
• Безпека пристроїв
• Шифрування каналів зв’язку
• Безпека користування Інтернетом
• Перетин кордону

Захист облікових записів

Журналісти мають цілий розмай облікових записів, створених онлайн, де вказано і їх особисті дані, і дані, пов’язані з роботою: інформація про власника обліківки, його чи її колег, сім’ю та інформаторів. Захист цих обліківок, регулярне резервне копіювання та видалення інформації допоможуть захистити ці дані.

Щоб захистити свої облікові записи:

• Подумайте, яку інформацію містить кожна з обліківок, і чим загрожує злам облікового запису вам, вашим родичам та інформаторам.
• Відокремлюйте обліківки для роботи та ті, що містять вашу приватну інформацію. Це обмежить доступ до вашої інформації на випадок зламу одної з обліківок.
• Перегляньте свої налаштування приватності та з’ясуйте, яку інформацію видно на широкий загал, особливо у соцмережах.
• Створіть резервні копії будь-якої інформації, яка є конфіденційною і яку ви не хотіли б поширювати на широкий загал (включно з приватними повідомленнями та електронними листами), а потім видаліть їх із свого облікового запису або пристрою. Можна скористатися інструментами від сторонніх розробників, які дадуть вам можливість зашифрувати окремі документи для їх подальшого зберігання на зовнішньому диску чи у хмарному сховищі. Також радимо вам зашифрувати вміст своїх зовнішніх жорстких дисків. Вивчіть нормативне регулювання шифрування даних у країні свого перебування.
• Видаліть усі облікові записи, якими більше не користуєтеся. Не забудьте здійснити резервне копіювання будь-якої інформації, яку бажаєте зберегти.
• Створюйте довгі паролі на 15 та більше символів. Не використовуйте однакові паролі на різних обліківках. Для кращого керування своїми паролями скористайтеся менеджером паролів.
• Увімкніть двофакторну автентифікацію (2FA). В ідеалі для підтвердження авторизації замість SMS використовуйте застосунок-автентифікатор.
• Якщо вас може бути затримано, або ж вас непокоїть можливість несанкціонованого доступу до ваших пристроїв, виходьте з усіх облікових записів та очищуйте історію браузера після кожного використання.
• Регулярно перевіряйте розділ «журнал активності» у кожній із своїх обліківок. Там можна побачити, чи не заходили до вашого облікового запису з невідомих вам пристроїв.
• Уникайте заходити у свої облікові записи із загальнодоступних комп’ютерів (наприклад, у інтернет кафе). Якщо ви змушені це зробити, після завершення роботи негайно вийдіть із обліківки та очистіть історію веб переглядів.

Фішинг

Журналісти нерідко мають відкриті профілі обліківок та діляться своїми контактними даними задля отримання інформації від широкого загалу. Зловмисники, що прагнуть отримати доступ до даних та пристроїв журналістів, можуть здійснювати на них (а також їхніх колег або родичів) фішингові атаки під виглядом електронного листа, SMS, службового повідомлення соцмережі чи повідомлення у чат, щоб обманом змусити одержувача поділитися конфіденційною інформацією або встановити шкідливе програмного забезпечення, перейшовши за посиланням або завантаживши файл. Існує багато видів шкідливого та шпигунського програмного забезпечення різного ступеню складності, але найдосконаліші з них можуть забезпечити зловмиснику доступ до пристрою та усього його вмісту.

Щоб захиститися від фішингових атак:

• Дізнайтеся про технічні можливості ваших недоброзичливців, щоб зрозуміти рівень загрози та вірогідність того, що ви самі чи хтось із вашого оточення станете мішенню такої атаки.
• Остерігайтеся повідомлень, які закликають вас зробити щось похапцем, або ж містять надто вже привабливі пропозиції — особливо якщо йдеться про перехід за посиланням чи завантаження доданого файлу.
• Уважно перегляньте дані облікового запису відправника та сам вміст повідомлення, щоб переконатися у їх правдоподібності. Незначні відхилення від звичної орфографії, граматики, розкладці клавіатури чи тоні відправника можуть свідчити про те, що це підроблена чи зламана обліківка.
• Перевірте факт надсилання повідомлення відправником через альтернативний канал зв’язку (на кшталт телефонного дзвінка), якщо бодай щось у повідомленні видається підозрілим або несподіваним.
• Добре подумайте, перш ніж перейти за посиланням — навіть якщо повідомлення отримано від когось із ваших знайомих. Перед тим, як перейти за посиланням, наведіть на нього курсор і подивіться, чи виглядає правдоподібною URL-адреса.
• Переглядайте будь-які файли, прикріплені до електронного листа, у режимі попереднього перегляду: доки ви не завантажили прикріплений файл, шкідливе програмне забезпечення вам не зашкодить. У разі виникнення сумніву передзвоніть відправнику та попросіть його/її скопіювати текст файлу у тіло електронного листа, або ж зробіть знімки екрану з документа у режимі попереднього перегляду, замість завантажити його.
• Будьте обережними з посиланнями та документами, надісланими через груповий чат. Серед учасників великого групового чату можуть бути представники влади або злочинних угруповань, що долучилися до них з метою стеження за учасниками.
• За можливості використовуйте для перегляду повідомлень та посилань десктопні версії застосунків. Більший екран полегшує перевірку отриманих повідомлень і дає змогу не входити у режим багатозадачності.
• Завантажуйте підозрілі посилання та документи до сервісу Virus Total, який перевірить їх на наявність шкідливого програмного забезпечення (але лише відомих версій такого ПЗ).
• Увімкніть автоматичні оновлення, щоб на ваших пристроях завжди стояли найсвіжіші версії усього програмного забезпечення. Це дозволить усунути виявлені вразливості до шкідливого ПЗ, які ставлять вашу безпеку під загрозу.
• Особливо ретельно пильнуйте спроби фішингу під час виборів, у період заворушень та коли жертвами таких атак стали ваші колеги чи учасники місцевих громадських об’єднань.

Безпека пристроїв

Для створення та зберігання контенту, а також зв’язку зі джерелами інформації, журналісти використовують широкий розмай пристроїв. Чимало журналістів (особливо фрілансери) використовують одні й ті самі пристрої вдома і на роботі, що є потенційною загрозою для значних обсягів інформації у випадку втрати, крадіжки чи вилучення силою. Зашифровуйте вміст жорстких дисків комп’ютера, телефонів, планшетів, зовнішніх накопичувачів — особливо якщо ви подорожуєте — щоб унеможливити сторонній доступ до інформації без пароля.

Щоб захистити свої пристрої:

• Заблокуйте свої пристрої за допомогою пароля, коду або PIN. Що довшим є пароль чи PIN, то важче розблокувати пристрій.
• Одразу встановлюйте запропоновані оновлення операційної системи, програм і браузерів. Застаріле програмне забезпечення має вразливості, якими зловмисники можуть скористатися для встановлення на ваші пристрої шкідливого ПЗ. Це набуває особливої ваги, якщо ви маєте підозру що проти вас задіють більш досконале шпигунське ПЗ.
• Перевірте інформацію, що міститься на ваших пристроях, та подумайте, яку загрозу вона може становити для вас чи ваших близьких.
• Регулярно створюйте резервні копії на випадок знищення, втрати чи викрадення пристрою. Зберігайте резервні копії у надійному місці, подалі від вашого звичайного робочого місця.
• Регулярно видаляйте конфіденційну інформацію, включно з повідомленнями у чатах. Щоб запобігти відновленню видалених файлів зловмисниками, за можливості скористайтеся програмами для безпечного видалення даних з пристрою, або ж скиньте налаштування пристрою до заводських та забийте його пам’ять сторонніми файлами та діями, щоб перезаписати інформацію у пам’яті пристрою (але спершу створіть резервні копію усіх файлів, які не хочете втратити).
• Не лишайте свої пристрої без нагляду у загальнодоступних місцях, зокрема на час заряджання, оскільки їх можуть вкрасти чи встановити на них засоби стеження.
• Не підключайте свої пристрої до загальнодоступних портів USB, не користуйтеся безкоштовними сувенірними флешками, які роздають на заходах: там може міститися шкідливе ПЗ, яке заразить ваш комп’ютер.
• Майте на увазі, що ваш пристрій може автоматично створювати резервні копії ваших даних у хмарному сховищі, прив’язаному до вашого телефона. Інформація, яке зберігається у хмарному сховищі, може бути незашифрованою. Можна вимкнути автоматичне резервне копіювання у налаштуваннях пристрою.
• Налаштуйте на своїх пристроях можливість віддаленого форматування; це можна зробити заздалегідь. Видалення даних можливе лише тоді, коли пристрій має доступ до інтернету чи перебуває у зоні покриття стільникового зв’язку.
• Ремонтуйте свої пристрої лише у перевірених сервісних центрах!

Щоб зашифрувати пристрій:

• Нові моделі смартфонів мають вбудовану функцію шифрування, тож просто переконайтеся, що вона увімкнена у налаштуваннях.
• Скористайтеся Bitlocker, щоб увімкнути повне шифрування диска з оперативною системою Windows, Firevault — для Mac, або безкоштовною програмою Veracrypt для шифрування жорстких дисків та зовнішніх накопичувачів.
• Основне у шифруванні даних — встановити довгий, унікальний пароль. На смартфоні можна додати можливість довшого, складнішого пароля, перейшовши до розділу «спеціальні налаштування».
• Майте на увазі, що зловмисник, який знає ваш пароль чи може змусити вас розблокувати пристрій, отримає можливість переглянути інформацію.
• Завжди досліджуйте нормативну базу, щоб переконатися, що шифрування є законним у країні вашого проживання чи призначення.

Шифрування каналів зв’язку

Журналісти можуть безпечніше комунікувати зі своїми інформаторами, користуючись застосунками-месенджерами, які мають функцію шифрування даних — щоб лише одержувач повідомлення міг його прочитати. Деякі інструменти є простішими у користуванні за аналоги. Шифрування захищає вміст повідомлень, але залучені організації все ще можуть бачити метадані, включно з часом відправки повідомлення, адресатом та іншими красномовними подробицями. Різні компанії мають різну політику стосовно типу даних, що збираються, способів їх зберігання та порядку реагування на інформаційні запити органів влади. 

Рекомендовані застосунки для обміну повідомленнями пропонують наскрізне шифрування, що означає, що інформація шифрується у процесі її пересилання від відправника до одержувача. Обидві сторони мусять мати обліковий запис у одному й тому самому застосунку. Такі повідомлення все ще може перехопити будь-яка людина, що має доступ до пристрою відправника чи одержувача, або знає пароль до облікового запису, прив’язаного до месенджера. Серед застосунків із наскрізним шифруванням даних, встановленим за замовчанням — Signal та WhatsApp. На інших застосунках може знадобитися увімкнути наскрізне шифрування у налаштуваннях.

Зашифровані електронні листи — ще один спосіб обміну даними з інформатором або контактом. Для відправки та отримання зашифрованих електронних листів обидві сторони мусять завантажити і встановити певне програмне забезпечення.

Щоб скористатися застосунками для обміну зашифрованими повідомленнями:

• Дізнайтеся, кому належить застосунок і чи можуть органи влади витребувати ваші дані у судовому порядку. Подивіться їх політику реагування на запити на отримання інформації про користувача. Технологічні компанії мусять щороку публікувати Звіт про прозорість, у якому зазначаються запити органів влади на видалення чи надання інформації.
• Якщо це можливо, встановіть на застосунок PIN чи пароль для захисту від відкривання застосунку людиною, що отримала фізичний доступ до вашого телефону.
• Активуйте блокування реєстрації, якщо застосунок має таку функцію. Це вимагатиме від людини, що встановлює собі застосунок з вашим номером телефону, ввести ваш PIN-код.
• Деякі застосунки, зокрема Signal та WhatsApp, пропонують додатковий захід безпеки, пропонуючи вам можливість перевірити особу людини, з ким ви спілкуєтеся у чаті, і унеможливити спілкування з вами самозванця з іншого пристрою. Шукайте опцію встановлення безпечного номера чи коду безпеки у налаштуваннях застосунку.
• Розберіться, де на вашому телефоні зберігається інформація, яку ви пересилаєте через застосунки-месенджери, зокрема світлини та документи.
• Усе, що ви завантажуєте (наприклад, світлини), буде збережено на вашому пристрої та зможе бути скопійовано на інші пристрої та у інші застосунки, особливо у ході створення резервних копій.
• Деякі застосунки, на кшталт WhatsApp, створюють резервні копії вмісту ваших повідомлень у хмарному сховищі, прив’язаному до вашого телефонного номера. Якщо ви використовуєте iOS, майте на увазі, що історія ваших дзвінків у Signal синхронізується з iCloud. Цю функцію можна відключити у налаштуваннях застосунка.
• Контакти, збережені у вашому телефоні, синхронізуються із застосунками для обміну повідомленнями та хмарними сховищами, тож номери, тож копії номерів, які ви намагаєтеся видалити з одного місця, можуть зберігатися деінде.
• Регулярно створюйте резервні копії та зберігайте якомога менше повідомлень на одному пристрої чи обліковому записі. Створіть процедуру для перегляду файлів, зокрема документів та повідомлень мультимедіа, та зберігайте завантажені файли та знімки екрану на зашифрованому зовнішньому накопичувачі.
• Функція автоматичного видалення повідомлень у Signal та WhatsApp дозволяє встановити строк, протягом якого повідомлення зберігатимуться. Увімкніть цю функцію, якщо вас непокоїть можливість конфіскації вашого телефона або доступу до ваших повідомлень.
• І Signal, і Whatsapp пропонують можливість автоматичного видалення світлин та відео після перегляду. Ця функція може стати у нагоді, якщо ви пересилаєте конфіденційні світлини.
• Signal та WhatsApp також пропонують наскрізне шифрування для відеодзвінків.

Щоб надіслати зашифрованого електронного листа:

• Попросіть допомоги у довіреної особи, що знається на технологіях: процес підключення шифрування електронної пошти може бути складним, якщо ви цим ніколи не займалися.
• Оберіть для шифрування електронної пошти надійне програмне забезпечення, перевірене експертами. Завжди встановлюйте оновлення для свого програмного забезпечення, щоб захиститися від вразливостей систем безпеки.
• Заздалегідь подбайте про створення довгого, унікального пароля для програмного забезпечення, яким ви шифруєте свою пошту.
• Регулярно відправляйте зашифровані електронні листи, щоб не втрачати навичок користування відповідним ПЗ.
• Супровідна інформація до електронних листів, зокрема тема листа й електронні адреси відправника і одержувача, не шифрується.

Безпека користування Інтернетом

Робота журналістів залежить від Інтернету, але вони можуть не бажати повідомляти про свою мережеву активність усіх провайдерів інтернет-сервісів, адміністраторів Інтернет-кафе чи готелів з відкритим доступом до WiFi. І прості злочинці, і серйозніші зловмисники можуть красти інформацію чи стежити за журналістами через незахищені вебсайти чи загальнодоступні точки WiFi.

Для безпечного користування Інтернетом:

• Погляньте, чи є на початку URL-адреси сайту https та зображення висного замка (наприклад, https://cpj.org), які означають, що трафік між вашим пристроєм і цим сайтом шифрується. Перевіряйте надійність сайтів, які ви відвідуєте, за допомогою розширення для браузера HTTPS Everywhere від Electronic Frontier Foundation.
• Переконайтеся, що це справжній сайт, а не його клон, перевіривши його адресу. URL-адреса має бути написана вірно і містити https.
• Встановіть блокування реклами для захисту від шкідливих програм, які часто ховаються у спливаючих рекламних оголошеннях. Блокувальники реклами (ad-blockers) дозволяють встановлювати винятки для певних сайтів, вміст яких не блокуватиметься.
• Встановіть Privacy Badger, щоб заблокувати вебсайтам і рекламодавцям можливість відстежувати, які сайти ви відвідуєте у Інтернеті.
• Вимикайте Bluetooth та інші застосунки для обміну файлами та сервісами, коли не користуєтеся ними.
• Для кращого захисту від фіксації вашого трафіку постачальником Інтернет-зв’язку використовуйте VPN. Дізнайтеся, кому належить цей VPN, чи зберігає він історію вашого браузера, і чи надає ця компанія інформацію органам влади.
• Уникайте користуватися загальнодоступними комп’ютерами, особливо у інтернет кафе та пресзалах. Якщо цього не уникнути, вийдіть зі свого облікового запису та видаліть історію браузера після завершення кожної сесії.
• Подумайте про встановлення безкоштовного пакета Tor Browser Bundle для анонімного користування Інтернетом, або операційної системи Tails, яка спрямовує увесь ваш інтернет трафік через Tor. Tor особливо радять журналістам, які займаються рослідуваннями стосовно таких чутливих тем, як от корупція на вищих рівнях державної влади у країнах з високим технологічним потенціалом. Перегляньте нормативне регулювання стосовно використання Tor у країні вашого перебування.

Перетин кордону

Чимало журналістів перетинають кордони, маючи при собі робочу й особисту інформацію, яку вони бажають убезпечити від стороннього доступу за допомогою електронних пристроїв. Якщо прикордонники забирають пристрій з вашого поля зору, вони мають можливість вивчити його вміст, увійти в облікові записи, скопіювати інформацію чи встановити шпигунське ПЗ. Журналістам, які перетинають кордон із США, варто переглянути поради з техніки безпеки «Не маю чого декларувати» («Nothing to Declare», англійською) від Комітету захисту журналістів (CPJ).

Перед поїздкою:

• Подивіться, яка інформація міститься на ваших пристроях і чим це може загрожувати вам або вашим контактам. Виходьте із припущення, що ваші електронні пристрої вивчатимуться так само ретельно, як записники й друковані матеріали у вашому багажі.
• Здійсніть резервне копіювання з усіх пристроїв на зовнішній жорсткий диск або у хмарне сховище, а потім видаліть зі своїх пристроїм усю інформацію, яку хочете убезпечити від доступу прикордонників.
• За можливості придбайте чисті пристрої суто для подорожей — особливо якщо ви займаєтеся надзвичайно чутливими темами. Якщо ви подорожуєте з особистим або робочим пристроєм, здійсніть безпечне резервне копіювання і відформатуйте пристрій, або ж скиньте налаштування до заводських.
• Увімкніть повне шифрування диска для всіх пристроїв, щоб убезпечити вашу інформацію від доступу без пароля. Дослідіть нормативне регулювання щодо шифрування даних у країні вашого призначення, та переконайтеся, що ви нічого не порушуєте. Майте на увазі, що служба безпеки може мати законне право вимагати від вас пароль до вашого пристрою. Якщо існує вірогідність, що вас зупинять на кордоні — проконсультуйтеся із своїм роботодавцем або юристом.
• Вийдіть з усіх облікових записів на вашому пристрої та видаліть застосунки, і не відновлюйте їх, аж доки не перетнете кордон і не дістанетеся місця із безпечним доступом до Інтернету.
• Видаліть історію браузерів на усіх своїх пристроях (інформація про відвідані вами сайти все одно зберігатиметься у вашого постачальника Інтернет зв’язку).
• Захистіть усі пристрої за допомогою PIN чи пароля замість біометричних даних, як-от розпізнавання обличчя чи відбиток пальця.
• Налаштуйте на своїх пристроях можливість віддаленого форматування, та лишіть довіреній особі чіткі вказівки стосовно віддаленого форматування ваших пристроїв на випадок вашого затримання.

На кордоні:

• Вимкніть свої пристрої для активації шифрування диска.
• Не спускайте очей зі своїх пристроїв, поки вони проходять перевірку безпеки.
• Не вмикайте телефон, аж доки не віддалитеся від аеропорту: будь-які дзвінки SMS-повідомлення буде маршрутизовано через місцевого постачальника послуг, який може збирати їх вміст або передавати його органам влади. Підключаючись до WiFi аеропорту, використовуйте VPN.

Якщо якийсь пристрій було вилучено на кордоні, або ж у нього щось вставляли — виходьте з припущення, що його зламано і що будь-яку інформацію з нього скопійовано.

Від редакції: Ці поради вперше опубліковано 30 липня 2019 року та перевірено на точність станом на дату, зазначену вгорі.