Bagaimana cara Security in a Box bekerja?

Bagaimana cara Security in a Box bekerja?

Security in a Box adalah sumberdaya bebas dan bersumber terbuka yang dihosting di Gitlab.com.

Security in a Box terus diperbarui berkat masukan dari Tim Proteksi Front Line Defenders dan kontribusi eksternal. Semua pembaruan dan perubahan dikoordinasikan oleh Editor Proteksi Front Line Defenders.

Semua konten yang ada di dalam Security in a Box secara akurat dipilih berdasarkan kriteria berikut.

Bagaimana kami mengembangkan strategi perlindungan yang kami rekomendasikan

Security in a Box adalah sumber daya yang berisi beberapa strategi perlindungan digital. Dengan menjelajahi situsweb ini, kamu akan menemukan rekomendasi tentang bagaimana membuat dan mengelola kata sandi yang kuat dan bagaimana melindungi akun, komunikasi, perangkat, koneksi internet, dan informasi sensitifmu.

Semua strategi ini difokuskan pada perlindungan aset digital, namun dikembangkan secara holistik: meskipun yang ingin kami bantu lindungi adalah aset digital, kami tahu bahwa perlindungan selalu mencakup berbagai bidang, termasuk konteks hukum dan psiko-sosial, serta kebutuhan di level fisik. Untuk informasi lebih lanjut tentang apa yang dimaksud dengan pendekatan holistik terhadap perlindungan, kami merekomendasikan untuk membaca tentang pendekatan holistik di Panduan Keamanan Holistik.

Security in a Box terutama bertujuan untuk membantu komunitas global pembela HAM yang pekerjaannya berisiko. Secara umum, kami menganggap sumber daya ini bertujuan membantu bukan hanya pembela HAM namun juga pengguna lain yang berisiko terkena serangan digital, seperti aktivis, jurnalis, dan anggota masyarakat madani lainnya, juga perempuan dan kelompok LGBTQIA+ yang berisiko terhadap kekerasan daring berbasis gender.

Bagian utama dari pendekatan kami adalah memungkinkan target pengguna kami untuk menilai risiko yang mereka hadapi dan menentukan kebutuhan mereka. Kami bertujuan untuk tidak membahayakan pembela HAM, anggota keluarga dan komunitasnya, juga pembaca SiaB lainnya. Kami juga menyadari bahwa mendengarkan pembela HAM dan pengguna lain dengan risiko kekerasan digital dengan empati dan mengerti situasi yang mereka hadapi adalah kunci untuk menyediakan bantuan perlindungan yang efektif. Jadi, strategi yang dijelaskan dalam SiaB dikembangkan dengan pendekatan yang bertujuan memberdayakan pembaca kami dan berdasarkan kebutuhan dan tujuan sesungguhnya para pengguna, sejalan dengan Visi, Misi & Nilai Utama Front Line Defenders .

Bagaimana kami memilih alat-alat dan layanan yang kami rekomendasikan

Perangkat lunak adalah sesuatu yang kompleks. dan tidak semua dibuat setara soal sifat keamanan, dan perlindungan privasinya. Alat dan layanan yang berbeda dapat dianggap lebih atau kurang efektif tergantung pada yurisdiksi tempatmu berada, undang-undangnya, dan musuh yang mungkin kamu hadapi.

Kami mempertimbangkan beberapa faktor saat memilih untuk merekomendasikan alat dan layanan dalam Security in a Box. Setiap faktor bersifat penting. Karena setiap area memiliki persyaratan hukum berbeda untuk teknologi dan menghadapi ancaman yang berbeda, menjadi sulit untuk menentukan tingkat kepentingan dari setiap faktor secara global.

Di bawah ini, kami membuat daftar apa yang kami anggap pertanyaan yang penting yang kami tanyakan saat kami mempertimbangkan alat dan layanan apa yang kami rekomendasikan. Kamu juga bisa menggunakan kriteria ini saat kamu butuh untuk menilai keamanan yang relatif dari alat yang tidak disebut dalam Security in a Box.

Apakah orang yang mengembangkan alat ini atau yang menjalankan layanan ini bisa dipercaya?

• Bagaimana sejarah pengembangan dan kepemilikan dari alat atau layanan tersebut? Apakah dibuat oleh aktivis atau perusahaan? Apakah grup ini memiliki informasi yang tersedia secara publik, dan bagaimana latar belakangnya?
• Apa misi dan model bisnis dari entitas yang mengembangkan atau menjalankan alat atau layanan ini?
• Apakah pernah ada tantangan keamanan, seperti kebocoran data atau permintaan informasi dari aparat pemerintahan? Bagaimana pengembang penyedia layanan/alat tersebut menanggapinya? Apakah mereka menangani masalah secara terbuka, atau mereka mencoba menyembunyikannya?

Apakah alat tersebut mengenkripsi data? Dengan teknologi enkripsi yang mana?

• Apakah alat ini mengenkripsi sambungan antara pengguna dan orang yang berkomunkasi dengannya dengan (enkripsi ujung ke ujung), yang membuat penyedia layanan tidak mungkin mengakses informasi mereka?
• Jika enkripsi ujung-ke-ujung tidak tersedia, kami mengutamakan alat yang mengenkripsi data antara perangkat pengguna dan infrastruktur layanannya (enkripsi-ke-peladen). Dalam kasus seperti itu kami selalu mengingatkan pembaca kami jika data tidak dienkripsi di peladen, mereka harus mempercayai orang yang mengelola layanan tersebut, karena mereka memiliki kemungkinan akses bebas ke informasi yang mereka simpan di sana.
• Apakah setelan bawaan melindungi privasi dan keamanan penggunanya?
• jika enkripsi ujung ke ujung tidak tersedia, apakah teknologinya memungkinkan pengguna untuk menjalankan layannya di infrastruktur mereka sendiri untuk bisa mengontrol siapa yang bisa mengakses data mereka?

Apakah kodenya tersedia untuk diperiksa?

• Dengan kata lain, apakah alat tersebut bersumber terbuka?
• Apakah alat atau layanan tersebut telah diaudit oleh ahli keamanan independen yang bukan bagian dari proyek pengembangan proyek atau perusahaan penyedia layanan?
• Kapan audit terakhir dilakukan? Apakah ada rencana audit rutin?
• Apakah audit mencakup semua bagian dari alat atau layanannya, atau hanya sebagian? Dalam hal sebuah layanan, apakah infrastruktur peladennya sudah diaudit, atau hanya tampilan penggunanya?
• Apakah yang dikatakan para ahli independen terkait alat atau layanan tersebut?

Apakah teknologi tersebut sempurna?

• Berapa lama teknologi ini telah beroperasi? Apa kah sudah mapan?
• Apakah alat tersebut memiliki komunitas pengembang yang besar, yang masih aktif bekerja dalam pengembangannya?
• Berapa banyak pengguna aktif yang dimiliki alat tersebut?

Di manakah peladennya berada?

• Hal tersebut bisa jadi pertanyaan yang sulit dijawab, dengan semakin banyaknya layanan awan, namun pengembang terpercaya dan penyedia layanan cenderung menerbitkan informasi tersebut di situsweb mereka atau menyediakannya melalui perantara terpercaya.
• Selain itu, menarik kesimpulan dari informasi ini bisa jadi sulit bagi kita, karena peladennya mungkin berada di negara yang akan melindungi pembela HAM dan anggota masyarakat sipil lainnya di beberapa daerah, namun tidak di daerah yang lain.
• Secara umum, klta bertanya pada diri sendiri apakah peladen berlokasi di negara yang akan mematuhi permintaan pihak berwenang dari negara yang tidak memiliki aturan hukum, dan apakah negara tersebut menegakkan hak asasi manusia dan perlindungan konsumen. Singkatnya, pertanyaannya adalah: apakah pihak berwenang di negara-negara non-demokratis memiliki hak hukum untuk menyita data atau mengakses informasi atau menutup layanan ini berdasarkan lokasi peladennya?

Informasi pribadi apa yang diperlukan alat tersebut dari penggunanya? Apa saja yang bisa diakses oleh pemilik/operator?

• Apakah alat atau layanan tersebut meminta penggunanya untuk memberikan nomor ponsel, surel, nama panggilan, atau informasi yang dapat mengidentifikasi secara personal?
• Apakah alat atau layanan tersebut mengharuskan untuk memasang aplikasi atau program tertentu yang berpotensi melacak pengguna?
• Apa yang dinyatakan oleh kebijakan privasi mereka? Apakah mereka melindungi privasi pengguna dan mematuhi undang-undang privasi seperti Peraturan Perlindungan Data Umum Uni Eropa?
• Apa yang disimpan di peladen? Apakah syarat dan ketentuan perusahaannya memberikan hak pemiliknya untuk mengakses data pengguna?Untuk kebutuhan apa?
• Akses apakah yang akan dimiliki aplikasi/program ini pada sebuah perangkat: buku kontak, lokasi, mikrofon, kamera, dll.? Dapatkah perizinan tersebut dimatikan, ataukah aplikasi/programnya akan berhenti berfungsi jika perizinannya dimatikan?

Bagaimana dengan harganya? Apakah terjangkau?

• Saat mempertimbangkan layanan atau alat, kami mempertimbangkan biayanya. Apakah terjangkau? Bagaimanakah model bisnis dari pengembang atau penyedia layanannya?
• Selain pembayaran di depan, kami mempertimbangkan juga biaya hosting, kemungkinan biaya langganan, biaya pembelajaran penggunaan dan pengelolaan alat atau layanan, dan kebutuhan dukungan TI dan/atau peralatan tambahan, dll.
• Jika alat atau layanan tersebut disediakan secara gratis, kami mempertanyakannya. Siapa yang membayar proyek tersebut jika alat/layanannya tidak berbayar? Apakah karena berbasis kerja sukarela atau karena didanai oleh pemerintah atau perusahaan, atau perusahaannya ternyata menghasilkan uang dari menjual data penggunanya ke pihak ketiga?

Apakah alat tersebut tersedia untuk beberapa sistem operasi dan perangkat?

• Apakah alat atau layanan tersebut bisa digunakan di komputr dan perangkat seluler? Jika hanya tersedia untuk sistem operasi dengan hak milik seperti macOS dan iOS, atau tersedia juga di Linux? Jika tidak tersedia untuk semua sistem operasi, adakah alternatif yang dapat diandalkan untuk perangkat lain yang tidak bisa menggunakan alat/layanan tersebut?

Apakah mudah digunakan? Apakah akan membantu orang dalam risiko?

• Apakah menggunakan alat ini dengan aman membingungkan dan membuat frustasi. ataukah pengembang/penyedia layanannya berusaha membuatnya mudah digunakan?
• Apakah pembela HAM dan orang lain yang berisiko tetap menggunakan alat atau layanan ini, atau cenderung meninggalkannya?
• Apakah tampilan antarmukanya intuitif? Atau, sebagai gantinya, apakah dokumentasinya telah dikembangkan untuk menjelaskan dengan gamblang tentang cara menggunakan alat atau layanan tersebut?

Apakah alat tersebut diterjemahkan ke beberapa bahasa?

• Apakah alat atau layanan tersebut sudah dilokalkan? Dalam berapa banyak bahasa?
• Apakah pelokalannya diperbarui secara berkelanjutan?
• Bagaimana kualitas pelokalannya?
• Apakah dokumentasi dalam beberapa bahasa juga tersedia untuk membantu pengguna memahami bagaimana menggunakannya secara aman?