«جعبه‌ی امنیت دیجیتال» چگونه کار می‌کند؟

جدول محتوا

...بارگزاری جدول محتوا...

    «جعبه‌ی امنیت دیجیتال» چگونه کار می‌کند؟

    «جعبه‌ی امنیت دیجیتال» یک منبعِ آزاد و متن‌باز است که بر روی Gitlab.com هاست می‌شود.

    «جعبه‌ی امنیت دیجیتال» به لطفِ نظراتِ «تیمِ حفاظتِ دیجیتالِ فرانت لاین دیفندرز» و همچنین کمک‌های بیرونی، به‌روزرسانی می‌شود. این به‌روزرسانی‌ها و تغییرات توسط سردبیرِ حفاظت دیجیتال فرانت لاین دیفندرز مدیریت می‌شود.

    تمامی محتوای «جعبه‌ی امنیت دیجیتال» به دقت بر مبنای معیارهای زیر انتخاب شده‌اند.

    چگونگی توسعه‌ی استراتژی‌هایی که پیشنهاد می‌دهیم

    «جعبه‌ی امنیت دیجیتال» منبعی است که در آن استراتژی‌های حفاظت دیجیتال بسیاری وجود دارد. شما پیشنهاداتی درباره‌ی چگونگی ایجاد و مدیریت رمزهای عبور قوی و چگونگی محافظت از حساب‌های کاربری، ارتباطات، دستگاه‌ها، اتصال اینترنتی و اطلاعات حساس را با مرور این وب‌سایت خواهید یافت.

    همه‌ی این استراتژی‌ها بر حفاظت از داشته‌های دیجیتالی متمرکز شده‌اند، اما به روشی جامع توسعه داده شده‌اند: حتی اگر چیزی که می‌خواهیم به شما در محافظت از آن کمک کنیم دیجیتالی باشد، می‌دانیم که نیاز به حفاظت در حوزه‌های مختلفی از جمله در زمینه‌ی حقوقی، روانی و اجتماعی و همچنین در محدوده‌ی فیزیکی نیز وجود دارد. برای اطلاعات بیشتر درباره‌ی آن چه که یک رویکرد جامع محافظتی را در بر می‌گیرد، خواندن رویکرد جامع در راهنمای امنیت جامع را پیشنهاد می‌دهیم.

    هدفِ «جعبه‌ی امنیت دیجیتال» در درجه‌ی اول کمک به مدافعان حقوق بشر است که کارشان آن‌ها را در معرض خطر قرار داده است. اما به صورت کلی، ما این منبع را تنها برای کمک به مدافعان حقوق بشر در نظر نمی‌گیریم، بلکه دیگر کاربرهایی که در معرض خطر حمله‌ی دیجیتالی قرار دارند نیز هدف قرار دارند، مثلِ فعالان، خبرنگاران و دیگر اعضای جامعه‌ی مدنی و همچنین زنان و افراد جامعه‌ی «ال‌جی‌بی‌تی‌کیو پلاس» که در معرض خشونت جنسیتی آنلاین قرار دارند.

    یکی از بخش‌های مرکزی رویکرد ما این است که کاربران هدف خود را قادر سازیم تا بتوانند خطرهایی را که با آن مواجه هستند ارزیابی کرده و خودشان نیازها را تعریف کنند. هدف ما این است که آسیبی متوجه مدافعان حقوق بشر، خانواده‌ها و جوامع آن‌ها و همچنین خوانندگان «جعبه‌ی امنیت دیجیتال» نشود. ما همچنین می‌دانیم که گوش دادنِ همدلانه به مدافعانِ حقوق بشر و دیگر کاربرانِ در معرض خطرِ خشونت آنلاین و همچنین فهمِ وضعیت‌های مختلفی که آن‌ها در آن قرار دارند، در ارائه‌ی حمایت‌های تأثیر گذار محافظتی، نقشِ کلیدی دارد. بنابراین، استراتژی‌هایی که در «جعبه‌ی امنیت دیجیتال» برشمرده شده‌اند، با رویکردی توسعه پیدا کرده‌اند که هدف آن توانمندسازی خوانندگان ما و بر اساس اهداف و نیازهای حقیقی کاربران ما و همسو با چشم‌انداز، مأموریت و ارزش‌های اصلیِ فرانت لاین دیفندرز است.

    چگونگیِ انتخابِ ابزار و سرویس‌هایی که پیشنهاد می‌کنیم

    نرم‌افزار، چیزی پیچیده است و وقتی خصوصیت‌های امنیتی و حفاظتی آن را در نظر می‌گیریم، متوجه می‌شویم که همه‌ی نرم‌افزارها مثل هم ساخته نشده‌اند. بستگی به این که در چه منطقه‌ای با چه قوانین و سیستم قضایی‌ای قرار دارید و با چه تهدیداتی مواجه هستید، ابزار و سرویس‌های مختلف می‌توانند اثرگذاری کم‌تر یا بیشتری داشته باشند.

    برای انتخاب ابزار و سرویس‌هایی که ما در «جعبه‌ی امنیت دیجیتال» پیشنهاد می‌دهیم، چندین عامل را در نظر می‌گیریم. هر یک از این عوامل به نوبه‌ی خود مهم هستند. چرا که قوانین حوزه‌ی فناوری و تهدیدهایی که با آن مواجه می‌شویم، در هر منطقه‌ای متفاوت است و بنابراین نمی‌توان به راحتی اهمیت هر عاملی را در سطحِ جهانی رتبه‌بندی کرد.

    در زیر لیستی از مهم‌ترین سؤال‌هایی را آورده‌ایم که وقتی ابزار و سرویس‌ها را معرفی می‌کنند، آن‌ها را در نظر می‌گیریم. زمانی که می‌خواهید ابزارهای ایمنی مرتبط را ارزیابی کنید که در «جعبه‌ی امنیت دیجیتال» نیستند، شما نیز می‌توانید از این معیارها استفاده کنید.

    آیا افرادی که این ابراز را توسعه داده یا این سرویس‌ها را اداره می‌کنند، قابل اعتماد هستند؟

    • سوابقِ توسعه و مالکیت این ابزار یا سرویس‌ها چیست؟ آیا توسط فعالان ایجاد شده است یا یک شرکت تجاری؟ آیا این گروه یک چهره‌ی عمومی دارد، پیشینه‌ی آن چیست؟
    • مأموریت و مدل کسب و کار (بیزینس مدل) نهادی که این ابزار یا سرویس را توسعه یا اداره می‌کند، چیست؟
    • آیا هیچ چالشِ امنیتی‌ای تا به حال داشته است؟ به طور مثال، درز داده‌ها یا درخواست برای دادن اطلاعات از طرف مقامات کشور رخ داده است؟ ارائه‌دهندگان سرویس/توسعه‌دهندگان ابزار چگونه با این چالش‌ها برخورد کرده‌اند؟ آیا آن‌ها به صورت شفاف به این مشکلات پرداخته‌اند یا به جای آن سعی در پنهان کردن‌شان داشته‌اند؟

    آیا این ابزار داده‌ها را رمزگذاری می‌کند؟ با چه فناوری رمزگذاری این کار را می‌کند؟

    • آیا این ابزار اتصال بین کاربرانی را که با یکدیگر در ارتباط هستند، «رمزگذاری سرتاسری» کرده و با این کار دسترسی به اطلاعات کاربران را برای ارائه دهندگان سرویس غیر ممکن می‌کند؟
    • اگر رمزگذاری سرتاسری در دسترس نباشد، ما ابزاری را اولویت می‌دهیم که داده‌ها بین دستگاه یک کاربر و زیرساخت یک سرویس را رمزگذاری می‌کند (رمزگذاری بین سرور). در موارد این چنینی، ما همیشه به خوانندگان خود یادآوری می‌کنیم که اگر داده‌ها در سرورها رمزگذاری نشده‌اند، آن‌ها باید به افرادی که این سرویس‌ها را مدیریت می‌کنند، اعتماد داشته باشند چرا که آن‌ها به صورت بالقوه دسترسی آزاد به اطلاعاتی دارند که در سرورها ذخیره شده‌اند.
    • آیا تنظیماتِ پیش‌فرضِ آن، حفاظت از حریم خصوصی و امنیت کاربران را فراهم می‌کند؟
    • اگر رمزگذاری سرتاسری در دسترس نیست، آیا این فناوری به کاربران اجازه می‌دهد که سرویس را در زیرساخت‌های خودشان میزبانی (هاست) کنند تا بتوانند کنترل این را که چه کسی به اطلاعاتشان دسترسی پیدا می‌کند، در اختیار داشته باشند؟

    آیا کد آن برای بررسی در دسترس است؟

    • به عبارتی دیگر، آیا متن‌باز است؟
    • آیا این ابزار یا سرویس توسط کارشناسانِ امنیتِ دیجیتال که مستقل از توسعه‌دهندگانِ آن پروژه‌‌یِ نرم‌افزار یا شرکت ارائه‌دهنده‌ی سرویس هستند، بازرسی شده است؟
    • آخرین بازرسی کی بوده است؟ آیا بازرسی‌های مداوم برنامه‌ریزی شده‌اند؟
    • آیا تمام بخش‌های آن ابزار یا سرویس، یا تنها بخش‌هایی از آن شامل بازرسی قرار گرفته است؟ اگر یک سرویس است، آیا سرور زیرساخت آن نیز مورد بازرسی قرار گرفته یا تنها «رابط کاربری» را شامل شده است؟
    • کارشناسان مستقل درباره‌ی این ابزار یا سرویس چه می‌گویند؟

    آیا این فناوری رشد کامل کرده است؟

    • چه مدت است که این فناوری راه افتاده است؟ آیا امتحان زمان را پس داده است؟
    • آیا دارای یک جامعه بزرگ از توسعه‌دهندگانی است که همچنان فعال در توسعه‌ی آن هستند؟
    • چه تعداد کاربر فعال از آن استفاده می‌کنند؟

    سرورهای آن در کجا قرار گرفته‌اند؟

    • این می‌تواند سؤال سختی برای پاسخ دادن باشد، چرا که همواره سرویس‌های بیشتری در فضای ابری (کلاد) قرار می‌گیرند. با این حال توسعه‌دهندگان و ارائه‌دهندگان سرویس که قابل اعتماد هستند، معمولاً این اطلاعات را در وب‌سایت خود منتشر می‌کنند یا آن‌ها را از طریق واسطه‌های قابل اطمینان در دسترس قرار می‌دهند.
    • همچنین به نتیجه رسیدن از طریق این بخش از اطلاعات می‌تواند سخت باشد چرا که سرورها ممکن است در یک کشوری قرار گرفته باشد که در برخی از ایالت‌های آن از مدافعان حقوق بشر و اعضای جامعه‌ی مدنی محافظت می‌شود و در برخی دیگر خیر.
    • به صورت کلی ما از خودمان این سؤال را می‌کنیم که آیا سرورها در کشوری قرار گرفته که از درخواست مقامات کشورهایی که در آن حکومت قانون برقرار نیست، پیروی می‌کند یا آن کشور از حقوق بشر و مصرف‌کنندگان محافظت می‌کند. به طور خلاصه، سؤال این است: آیا مقامات کشورهای غیردموکراتیک، حقِ قانونی ضبط داده‌ها یا دسترسی به اطلاعات را دارند یا می‌توانند سرویس‌هایی را به دلیل موقعیت مکانی سرورها مسدود کنند؟

    چه اطلاعات شخصی‌ای از کاربران می‌خواهد؟ اداره‌کنندگان/صاحبان آن به چه اطلاعاتی دسترسی دارند؟

    • آیا این ابزار یا سرویس از کاربران می‌خواهد شماره تلفن، ایمیل، نام مستعار یا سایر اطلاعات شخصیِ قابل شناسایی شدنِ خود را ارائه دهند؟
    • آیا آن‌ها می‌خواهند که یک برنامه/اپلیکیشنِ اختصاصی نصب شود که ممکن است به صورت بالقوه کاربران را ردیابی کند؟
    • سیاست حفظ حریم شخصی آن‌ها چه چیزی را اظهار می‌کند؟ آیا آن‌ها از حریم شخصی کاربران محافظت کرده و به قوانین حریم شخصی مانند «مقررات عمومی حفاظت از داده اتحادیه اروپا» پایبند هستند؟
    • چه بر روی سرورها ذخیره می‌شود؟ آیا شرایط و مقررات آن شرکت، این اجازه را به صاحب‌اش می‌دهد که به داده‌های کاربران دسترسی داشته باشد؟ برای چه اهدافی؟
    • این برنامه/اپلیکیشن به چه چیزی در یک دستگاه دسترسی خواهد داشت: دفترچه تلفن، موقعیت مکانی، میکروفون، دوربین یا غیره؟ آیا این مجوزها می‌توانند غیر فعال شوند، یا این برنامه/اپلیکیشن در این صورت دیگر کار نخواهد کرد؟

    هزینه‌ی آن چه قدر است؟ آیا قیمتِ آن مقرون به صرفه است؟

    • هنگام بررسی یک سرویس یا ابزار، هزینه آن را نیز در نظر می گیریم. آیا مقرون به صرفه است؟ مدل کسب و کار توسعه‌دهندگان یا ارائه‌دهندگان آن چیست؟
    • علاوه بر پرداخت اولیه، هزینه‌های میزبانی، مبالغ احتمالی که برای دریافت اشتراک باید پرداخت شود، هزینه‌ی یادگیری، چگونگی استفاده و مدیریت این ابزار یا سرویس، نیاز به پشتیبانی فنی و یا تجهیزات اضافی مورد نیاز و غیره را در نظر می‌گیریم.
    • اگر ابزار یا سرویس به صورت رایگان ارائه می‌شود، از خود چرایی آن را می‌پرسیم. اگر این ابزار/سرویس مجانی است، چه کسی هزینه‌ی پروژه را پرداخت می‌کند؟ آیا چون داوطلبانه کار آن انجام شده رایگان است یا بودجه‌ی آن توسط دولت‌ها یا شرکت‌ها تامین می شود، و یا این شرکت در واقع از طریق فروش داده‌های کاربران به گروه‌های ثالث کسب در آمد می‌کند؟

    آیا بر روی سیستم‌عامل‌ها و دستگاه‌های مختلف قابل دسترسی است؟

    • آیا این ابزار یا سرویس هم بر روی دستگاه‌های همراه هم کامپیوترها قابل اجراست؟ آیا تنها قابل دسترسی بر روی سیستم عامل‌های مالکیتی مانند مک‌او‌اس و آی‌اواس است یا بر روی لینوکس نیز اجرا می‌شود؟ اگر بر روی همه‌ی سیستم عامل‌ها قابل دسترسی نیست، آیا جایگزین قابل اطمینانی برای دیگر دستگاه‌ها نیز وجود دارد در جایی که این ابزار/سرویس قابل استفاده نیست؟

    آیا استفاده از آن برای کاربران ساده است؟ آیا برای افراد در معرض خطر کار می‌کند؟

    • آیا استفاده‌ی ایمن از این ابزار گیج‌کننده یا ناخوشایند است، یا توسعه‌دهندگان/ارائه‌دهندگان تلاش کرده‌اند تا استفاده از آن را ساده کنند؟
    • آیا مدافعان حقوق بشر و دیگر افراد در معرض خطر همچنان از این ابزار یا سرویس استفاده می‌کنند، یا آن‌ها معمولاً آن را رها می‌کنند؟
    • آیا «رابط کاربری» به شکلی است که بتوان به راحتی آن را فهمید و از آن استفاده کرد؟ یا به جای آن، متون آن طوری تنظیم شده که به روشنی چگونگی استفاده از ابزار یا سرویس توضیح داده شده است؟

    آیا به زبان‌های مختلف ترجمه شده است؟

    • آیا این ابزار یا سرویس بومی‌سازی شده است؟ به چند زبان؟
    • آیا بومی‌سازی به صورت مداوم به‌روزرسانی می‌شود؟
    • کیفیتِ بومی‌سازی چطور است؟
    • آیا متونِ چند زبانه نیز در دسترس است تا به کاربران برای درک چگونگی استفاده‌ی ایمن از آن کمک کند؟