О нас › Принципы "Безопасности-в-коробке"

Принципы "Безопасности-в-коробке"

"Безопасность-в-коробке" — бесплатный ресурс, и его открытый код размещен на Gitlab.com.

"Безопасность-в-коробке" постоянно обновляется стараниями экспертов по цифровой безопасности Front Line Defenders и других специалистов. Все изменения и дополнения осуществляются редактором материалов по цифровой безопасности Front Line Defenders.

Далее мы описываем критерии, по которым готовим материалы "Безопасности-в-коробке".

Откуда взялись именно эти рекомендуемые стратегии защиты

"Безопасность-в-коробке" включает много рекомендаций по цифровой безопасности. На страницах нашего сайта вы обнаружите советы о том, как создавать и хранить надежные пароли, как защищать аккаунты, коммуникации, устройства, интернет-подключение и ваши самые важные данные.

Хотя все эти стратегии относятся к цифровым ценностям, мы использовали комплексный подход. Даже если мы хотим защитить некую цифровую ценность, наши действия затронут несколько разных областей. Мы коснемся юридических, психо-социальных, физических аспектов. Подробнее о комплексном подходе к безопасности читайте в этой части Руководства по комплексной безопасности.

Главная задача "Безопасности-в-коробке" — помощь правозащитникам "из группы риска" по всему миру. Если смотреть шире, "Безопасность-в-коробке" может пригодиться не только правозащитникам, но и другим людям с высоким уровнем цифровых угроз: активистам, журналистам и другим членам гражданского общества, а также женщинам и ЛГБТ-людям, которые подвергаются онлайновым угрозам в связи с их гендером.

Сущность нашего подхода в том, что целевая аудитория должна иметь возможность взвесить свои риски и определить потребности. Мы стараемся не допустить ущерба для правозащитников, членов их семей и сообщества, как и для всех читателей SiaB. По нашему мнению, эффективная помощь зависит от того, можем ли мы с эмпатией выслушивать правозащитников и вообще людей с высоким уровнем цифровых рисков, способны ли мы понять их ситуацию. Стратегии, описанные в SiaB, разрабатывались ради укрепления безопасности наших читателей. Эти рекомендации основаны на их реальных нуждах и задачах в соответствии с разделом "Видение, миссия и основные ценности" на сайте Front Line Defenders.

Почему мы рекомендуем именно эти инструменты и сервисы

Компьютерные программы сложны. В них по-разному обеспечиваются безопасность и конфиденциальность. Эффективность инструментов и сервисов зависит от вашей юрисдикции, действующих законов, а также противников, с которыми вы можете столкнуться.

При отборе инструментов и сервисов для "Безопасности-в-коробке" мы учитываем целый ряд факторов. Каждый из них важен. В разных регионах существуют разные законодательные требования к технологиям, разные угрозы. Поэтому трудно оценить важность отдельного фактора в глобальном масштабе.

Далее следует список самых важных, на наш взгляд, вопросов, которые мы задаем при выборе рекомендуемых инструментов и сервисов. Можете использовать эти критерии также для тех инструментов, которых нет в "Безопасности-в-коробке".

Можно ли доверять разработчикам инструмента и тем, кто предоставляет сервис?

  • Какова история разработки и владения инструментом или сервисом? Кто его создавал — активисты или коммерческая компания? Есть ли у создателя свое публичное представительство? Какова его история?
  • Каковы миссия и бизнес-модель того, кто разработал и/или распоряжается инструментом (сервисом)?
  • Случались ли инциденты безопасности (например, утечки данных или эпизоды, когда правительство требовало какую-либо информацию)? Как провайдер сервиса (разработчик инструмента) реагировал на такое? Решали проблему, сохраняя прозрачность, или пытались замять историю?

Используется ли шифрование? Если да, то какое?

  • Поддерживается ли сквозное шифрование для безопасности отправителя и получателя? Позволяет ли инструмент скрыть данные от провайдера сервиса?
  • Если сквозное шифрование недоступно, мы обращаем внимание, чтобы шифровались данные между устройством и сервисом. В этом случае мы всегда напоминаем читателям, что данные не зашифрованы на серверах, и что им придется доверять операторам сервиса — ведь оператор в принципе может получить свободный доступ к хранимой там информации.
  • Позволяют ли настройки по умолчанию эффективно защищать приватность и обеспечивать безопасность?
  • Если сквозное шифрование недоступно, может ли пользователь установить сервис на собственный сервер, чтобы самому контролировать доступ к данным?

Доступен ли программный код для анализа?

  • Иными словами, открыт ли код?
  • Проводился ли аудит этого инструмента? (С привлечением экспертов по безопасности, которые не зависят от разработчика инструмента или провайдера сервиса)
  • Когда проводился последний аудит? Планируются ли регулярные аудиты в будущем?
  • Аудит касался всех компонентов инструмента/сервиса или только некоторых? Если речь о сервисе, проводился ли аудит инфраструктуры сервиса, или изучался только пользовательский интерфейс?
  • Что говорят об этом инструменте/сервисе независимые эксперты?

Насколько признана сама технология?

  • Как давно существует технология? Прошла ли она испытание временем?
  • Есть ли у проекта большое и активное сообщество разработчиков, которые трудятся над улучшениями?
  • Сколько у него активных пользователей?

Где находятся серверы?

  • По мере роста популярности облачных решений на этот вопрос становится ответить все сложнее. Однако надежные разработчики и провайдеры сервисов сами публикуют такую информацию на своих сайтах или делают ее доступной через своих доверенных лиц.
  • Делать однозначный вывод в этом случае может быть непросто. Серверы порой находятся в странах, где защита правозащитников и других членов гражданского общества варьируется от одного региона/штата к другому.
  • Обычно мы пробуем представить, что произойдет, если за информацией к владельцу сервиса обратится правительство страны, где нет верховенства закона. Пойдет ли провайдер навстречу? Есть ли в стране провайдера работающие механизмы защиты прав человека и прав потребителя? Смогут ли власти какой-нибудь недемократической страны на законных основаниях получить доступ к данным или прекратить работу серверов?

Какие персональные данные они от вас хотят? К чему (каким данным) имеет доступ владелец сервиса/оператор?

  • Спрашивает ли инструмент (сервис) у пользователей их телефонные номера, адреса email, никнеймы, прочую идентифицирующую информацию?
  • Нужно ли устанавливать ту или иную программу/приложение, которое потенциально может следить за пользователями?
  • Что написано в политике приватности? Собираются ли ее авторы защищать приватность пользователей? Соответствует ли политика основным документам в области приватности, таким как GDPR (Европейский союз)?
  • Что хранится на серверах? Дают ли корпоративные условия обработки данных владельцу право доступа к информации пользователей? С какими целями?
  • К чему на устройстве имеет доступ это приложение/программа? Адресная книга, местонахождение, микрофон, камера, что-то еще? Можно ли отключить эти разрешения, или программа/приложение из-за этого перестанет работать?

Насколько дорогой этот инструмент?

  • Когда мы рассматриваем сервис или инструмент, его стоимость имеет значение. По карману ли он пользователю? Какова бизнес-модель разработчика (провайдера сервиса)?
  • Помимо собственно платы за программу следует учесть расходы на хостинг, подписку (если распространяется по подписке), стоимость обучения тому, как настраивать и использовать программу (сервис). Сюда нужно добавить возможные расходы на техподдержку и/или дополнительное оборудование, и т.д.
  • Если инструмент (сервис) предлагаются бесплатно, мы спрашиваем себя "почему". Кто финансирует проект, если не потребитель? Задействован ли здесь труд волонтеров? Деньги приходят от государства? Коммерческих компаний? А может, разработчик (владелец) получает прибыль, продавая пользовательские данные третьим лицам?

Поддерживаются ли разные операционные системы и устройства?

  • Можно ли использовать инструмент (сервис) и на компьютерах, и на мобильных устройствах? Он доступен только для проприетарных операционных систем вроде macOS (iOS) или также будет работать в Linux? Если он не работает на всех операционных системах, существует ли надежная альтернатива для тех устройств, где этот инструмент/сервис не работает?

Он дружелюбный к пользователю? Как его воспримут люди из "группы риска"?

  • Этот инструмент запутанный и неудобный? Или разработчик/провайдер постарался сделать его дружелюбным?
  • Используют ли этот инструмент/сервис правозащитники и другие люди? Или они стараются избегать его?
  • Можно ли сказать, что пользовательский интерфейс интуитивный? А может быть, есть документация, которая четко объясняет, как использовать инструмент/сервис?

Он переведен на разные языки?

  • Локализован ли этот инструмент/сервис? На сколько языков?
  • Обновляется ли локализация?
  • Насколько хорош перевод?
  • Доступна ли документация на разных языках, которая помогает разобраться с безопасным использованием инструмента/сервиса?