Принципы "Безопасности-в-коробке"

Содержание

...Загрузка оглавления...

    Принципы "Безопасности-в-коробке"

    "Безопасность-в-коробке" — бесплатный ресурс, и его открытый код размещен на Gitlab.com.

    "Безопасность-в-коробке" постоянно обновляется стараниями экспертов по цифровой безопасности Front Line Defenders и других специалистов. Все изменения и дополнения осуществляются редактором материалов по цифровой безопасности Front Line Defenders.

    Далее мы описываем критерии, по которым готовим материалы "Безопасности-в-коробке".

    Откуда взялись именно эти рекомендуемые стратегии защиты

    "Безопасность-в-коробке" включает много рекомендаций по цифровой безопасности. На страницах нашего сайта вы обнаружите советы о том, как создавать и хранить надежные пароли, как защищать аккаунты, коммуникации, устройства, интернет-подключение и ваши самые важные данные.

    Хотя все эти стратегии относятся к цифровым ценностям, мы использовали комплексный подход. Даже если мы хотим защитить некую цифровую ценность, наши действия затронут несколько разных областей. Мы коснемся юридических, психо-социальных, физических аспектов. Подробнее о комплексном подходе к безопасности читайте в этой части Руководства по комплексной безопасности.

    Security in a Box primarily aims to help a global community of human rights defenders whose work puts them at risk. In general, we consider this resource aimed at helping not only human rights defenders but all those who are at risk of digital attacks, for example activists, journalists, and other members of civil society, as well as women and LGBTQIA+ persons who are at risk of gender-based online violence.

    Сущность нашего подхода в том, что целевая аудитория должна иметь возможность взвесить свои риски и определить потребности. Мы стараемся не допустить ущерба для правозащитников, членов их семей и сообщества, как и для всех читателей SiaB. По нашему мнению, эффективная помощь зависит от того, можем ли мы с эмпатией выслушивать правозащитников и вообще людей с высоким уровнем цифровых рисков, способны ли мы понять их ситуацию. Стратегии, описанные в SiaB, разрабатывались ради укрепления безопасности наших читателей. Эти рекомендации основаны на их реальных нуждах и задачах в соответствии с разделом "Видение, миссия и основные ценности" на сайте Front Line Defenders.

    Почему мы рекомендуем именно эти инструменты и сервисы

    Компьютерные программы сложны. В них по-разному обеспечиваются безопасность и конфиденциальность. Эффективность инструментов и сервисов зависит от вашей юрисдикции, действующих законов, а также противников, с которыми вы можете столкнуться.

    При отборе инструментов и сервисов для "Безопасности-в-коробке" мы учитываем целый ряд факторов. Каждый из них важен. В разных регионах существуют разные законодательные требования к технологиям, разные угрозы. Поэтому трудно оценить важность отдельного фактора в глобальном масштабе.

    Далее следует список самых важных, на наш взгляд, вопросов, которые мы задаем при выборе рекомендуемых инструментов и сервисов. Можете использовать эти критерии также для тех инструментов, которых нет в "Безопасности-в-коробке".

    Можно ли доверять разработчикам инструмента и тем, кто предоставляет сервис?

    • Какова история разработки и владения инструментом или сервисом? Кто его создавал — активисты или коммерческая компания? Есть ли у создателя свое публичное представительство? Какова его история?
    • Каковы миссия и бизнес-модель того, кто разработал и/или распоряжается инструментом (сервисом)?
    • Случались ли инциденты безопасности (например, утечки данных или эпизоды, когда правительство требовало какую-либо информацию)? Как провайдер сервиса (разработчик инструмента) реагировал на такое? Решали проблему, сохраняя прозрачность, или пытались замять историю?

    Используется ли шифрование? Если да, то какое?

    • Поддерживается ли сквозное шифрование для безопасности отправителя и получателя? Позволяет ли инструмент скрыть данные от провайдера сервиса?
    • Если сквозное шифрование недоступно, мы обращаем внимание, чтобы шифровались данные между устройством и сервисом. В этом случае мы всегда напоминаем читателям, что данные не зашифрованы на серверах, и что им придется доверять операторам сервиса — ведь оператор в принципе может получить свободный доступ к хранимой там информации.
    • Позволяют ли настройки по умолчанию эффективно защищать приватность и обеспечивать безопасность?
    • Если сквозное шифрование недоступно, может ли пользователь установить сервис на собственный сервер, чтобы самому контролировать доступ к данным?

    Доступен ли программный код для анализа?

    • Иными словами, открыт ли код?
    • Проводился ли аудит этого инструмента? (С привлечением экспертов по безопасности, которые не зависят от разработчика инструмента или провайдера сервиса)
    • Когда проводился последний аудит? Планируются ли регулярные аудиты в будущем?
    • Аудит касался всех компонентов инструмента/сервиса или только некоторых? Если речь о сервисе, проводился ли аудит инфраструктуры сервиса, или изучался только пользовательский интерфейс?
    • Что говорят об этом инструменте/сервисе независимые эксперты?

    Насколько признана сама технология?

    • Как давно существует технология? Прошла ли она испытание временем?
    • Есть ли у проекта большое и активное сообщество разработчиков, которые трудятся над улучшениями?
    • Сколько у него активных пользователей?

    Где находятся серверы?

    • По мере роста популярности облачных решений на этот вопрос становится ответить все сложнее. Однако надежные разработчики и провайдеры сервисов сами публикуют такую информацию на своих сайтах или делают ее доступной через своих доверенных лиц.
    • Делать однозначный вывод в этом случае может быть непросто. Серверы порой находятся в странах, где защита правозащитников и других членов гражданского общества варьируется от одного региона/штата к другому.
    • Обычно мы пробуем представить, что произойдет, если за информацией к владельцу сервиса обратится правительство страны, где нет верховенства закона. Пойдет ли провайдер навстречу? Есть ли в стране провайдера работающие механизмы защиты прав человека и прав потребителя? Смогут ли власти какой-нибудь недемократической страны на законных основаниях получить доступ к данным или прекратить работу серверов?

    Какие персональные данные они от вас хотят? К чему (каким данным) имеет доступ владелец сервиса/оператор?

    • Спрашивает ли инструмент (сервис) у пользователей их телефонные номера, адреса email, никнеймы, прочую идентифицирующую информацию?
    • Нужно ли устанавливать ту или иную программу/приложение, которое потенциально может следить за пользователями?
    • Что написано в политике приватности? Собираются ли ее авторы защищать приватность пользователей? Соответствует ли политика основным документам в области приватности, таким как GDPR (Европейский союз)?
    • Что хранится на серверах? Дают ли корпоративные условия обработки данных владельцу право доступа к информации пользователей? С какими целями?
    • К чему на устройстве имеет доступ это приложение/программа? Адресная книга, местонахождение, микрофон, камера, что-то еще? Можно ли отключить эти разрешения, или программа/приложение из-за этого перестанет работать?

    Насколько дорогой этот инструмент?

    • Когда мы рассматриваем сервис или инструмент, его стоимость имеет значение. По карману ли он пользователю? Какова бизнес-модель разработчика (провайдера сервиса)?
    • Помимо собственно платы за программу следует учесть расходы на хостинг, подписку (если распространяется по подписке), стоимость обучения тому, как настраивать и использовать программу (сервис). Сюда нужно добавить возможные расходы на техподдержку и/или дополнительное оборудование, и т.д.
    • Если инструмент (сервис) предлагаются бесплатно, мы спрашиваем себя "почему". Кто финансирует проект, если не потребитель? Задействован ли здесь труд волонтеров? Деньги приходят от государства? Коммерческих компаний? А может, разработчик (владелец) получает прибыль, продавая пользовательские данные третьим лицам?

    Поддерживаются ли разные операционные системы и устройства?

    • Можно ли использовать инструмент (сервис) и на компьютерах, и на мобильных устройствах? Он доступен только для проприетарных операционных систем вроде macOS (iOS) или также будет работать в Linux? Если он не работает на всех операционных системах, существует ли надежная альтернатива для тех устройств, где этот инструмент/сервис не работает?

    Он дружелюбный к пользователю? Как его воспримут люди из "группы риска"?

    • Этот инструмент запутанный и неудобный? Или разработчик/провайдер постарался сделать его дружелюбным?
    • Используют ли этот инструмент/сервис правозащитники и другие люди? Или они стараются избегать его?
    • Is the user interface intuitive? Or, alternatively, has documentation been developed to clearly explain how to use the tool or service?

    Он переведен на разные языки?

    • Локализован ли этот инструмент/сервис? На сколько языков?
    • Обновляется ли локализация?
    • Насколько хорош перевод?
    • Доступна ли документация на разных языках, которая помогает разобраться с безопасным использованием инструмента/сервиса?