Принципы "Безопасности-в-коробке"

Содержание

...Загрузка оглавления...

    Принципы "Безопасности-в-коробке"

    "Безопасность-в-коробке" — бесплатный ресурс, и его открытый код размещен на Gitlab.com.

    "Безопасность-в-коробке" постоянно обновляется стараниями экспертов по цифровой безопасности Front Line Defenders и других специалистов. Все изменения и дополнения осуществляются редактором материалов по цифровой безопасности Front Line Defenders.

    Далее мы описываем критерии, по которым готовим материалы "Безопасности-в-коробке".

    Откуда взялись именно эти рекомендуемые стратегии защиты

    "Безопасность-в-коробке" включает много рекомендаций по цифровой безопасности. На страницах нашего сайта вы обнаружите советы о том, как создавать и хранить надежные пароли, как защищать аккаунты, коммуникации, устройства, интернет-подключение и ваши самые важные данные.

    Хотя все эти стратегии относятся к цифровым ценностям, мы использовали комплексный подход. Даже если мы хотим защитить некую цифровую ценность, наши действия затронут несколько разных областей. Мы коснемся юридических, психо-социальных, физических аспектов. Подробнее о комплексном подходе к безопасности читайте в этой части Руководства по комплексной безопасности.

    Главная задача "Безопасности-в-коробке" — помощь правозащитникам "из группы риска" по всему миру. Если смотреть шире, "Безопасность-в-коробке" может пригодиться не только правозащитникам, но и другим людям с высоким уровнем цифровых угроз: активистам, журналистам и другим членам гражданского общества, а также женщинам и ЛГБТ-людям, которые подвергаются онлайновым угрозам в связи с их гендером.

    Сущность нашего подхода в том, что целевая аудитория должна иметь возможность взвесить свои риски и определить потребности. Мы стараемся не допустить ущерба для правозащитников, членов их семей и сообщества, как и для всех читателей SiaB. По нашему мнению, эффективная помощь зависит от того, можем ли мы с эмпатией выслушивать правозащитников и вообще людей с высоким уровнем цифровых рисков, способны ли мы понять их ситуацию. Стратегии, описанные в SiaB, разрабатывались ради укрепления безопасности наших читателей. Эти рекомендации основаны на их реальных нуждах и задачах в соответствии с разделом "Видение, миссия и основные ценности" на сайте Front Line Defenders.

    Почему мы рекомендуем именно эти инструменты и сервисы

    Компьютерные программы сложны. В них по-разному обеспечиваются безопасность и конфиденциальность. Эффективность инструментов и сервисов зависит от вашей юрисдикции, действующих законов, а также противников, с которыми вы можете столкнуться.

    При отборе инструментов и сервисов для "Безопасности-в-коробке" мы учитываем целый ряд факторов. Каждый из них важен. В разных регионах существуют разные законодательные требования к технологиям, разные угрозы. Поэтому трудно оценить важность отдельного фактора в глобальном масштабе.

    Далее следует список самых важных, на наш взгляд, вопросов, которые мы задаем при выборе рекомендуемых инструментов и сервисов. Можете использовать эти критерии также для тех инструментов, которых нет в "Безопасности-в-коробке".

    Можно ли доверять разработчикам инструмента и тем, кто предоставляет сервис?

    • Какова история разработки и владения инструментом или сервисом? Кто его создавал — активисты или коммерческая компания? Есть ли у создателя свое публичное представительство? Какова его история?
    • Каковы миссия и бизнес-модель того, кто разработал и/или распоряжается инструментом (сервисом)?
    • Случались ли инциденты безопасности (например, утечки данных или эпизоды, когда правительство требовало какую-либо информацию)? Как провайдер сервиса (разработчик инструмента) реагировал на такое? Решали проблему, сохраняя прозрачность, или пытались замять историю?

    Используется ли шифрование? Если да, то какое?

    • Поддерживается ли сквозное шифрование для безопасности отправителя и получателя? Позволяет ли инструмент скрыть данные от провайдера сервиса?
    • Если сквозное шифрование недоступно, мы обращаем внимание, чтобы шифровались данные между устройством и сервисом. В этом случае мы всегда напоминаем читателям, что данные не зашифрованы на серверах, и что им придется доверять операторам сервиса — ведь оператор в принципе может получить свободный доступ к хранимой там информации.
    • Позволяют ли настройки по умолчанию эффективно защищать приватность и обеспечивать безопасность?
    • Если сквозное шифрование недоступно, может ли пользователь установить сервис на собственный сервер, чтобы самому контролировать доступ к данным?

    Доступен ли программный код для анализа?

    • Иными словами, открыт ли код?
    • Проводился ли аудит этого инструмента? (С привлечением экспертов по безопасности, которые не зависят от разработчика инструмента или провайдера сервиса)
    • Когда проводился последний аудит? Планируются ли регулярные аудиты в будущем?
    • Аудит касался всех компонентов инструмента/сервиса или только некоторых? Если речь о сервисе, проводился ли аудит инфраструктуры сервиса, или изучался только пользовательский интерфейс?
    • Что говорят об этом инструменте/сервисе независимые эксперты?

    Насколько признана сама технология?

    • Как давно существует технология? Прошла ли она испытание временем?
    • Есть ли у проекта большое и активное сообщество разработчиков, которые трудятся над улучшениями?
    • Сколько у него активных пользователей?

    Где находятся серверы?

    • По мере роста популярности облачных решений на этот вопрос становится ответить все сложнее. Однако надежные разработчики и провайдеры сервисов сами публикуют такую информацию на своих сайтах или делают ее доступной через своих доверенных лиц.
    • Делать однозначный вывод в этом случае может быть непросто. Серверы порой находятся в странах, где защита правозащитников и других членов гражданского общества варьируется от одного региона/штата к другому.
    • Обычно мы пробуем представить, что произойдет, если за информацией к владельцу сервиса обратится правительство страны, где нет верховенства закона. Пойдет ли провайдер навстречу? Есть ли в стране провайдера работающие механизмы защиты прав человека и прав потребителя? Смогут ли власти какой-нибудь недемократической страны на законных основаниях получить доступ к данным или прекратить работу серверов?

    Какие персональные данные они от вас хотят? К чему (каким данным) имеет доступ владелец сервиса/оператор?

    • Спрашивает ли инструмент (сервис) у пользователей их телефонные номера, адреса email, никнеймы, прочую идентифицирующую информацию?
    • Нужно ли устанавливать ту или иную программу/приложение, которое потенциально может следить за пользователями?
    • Что написано в политике приватности? Собираются ли ее авторы защищать приватность пользователей? Соответствует ли политика основным документам в области приватности, таким как GDPR (Европейский союз)?
    • Что хранится на серверах? Дают ли корпоративные условия обработки данных владельцу право доступа к информации пользователей? С какими целями?
    • К чему на устройстве имеет доступ это приложение/программа? Адресная книга, местонахождение, микрофон, камера, что-то еще? Можно ли отключить эти разрешения, или программа/приложение из-за этого перестанет работать?

    Насколько дорогой этот инструмент?

    • Когда мы рассматриваем сервис или инструмент, его стоимость имеет значение. По карману ли он пользователю? Какова бизнес-модель разработчика (провайдера сервиса)?
    • Помимо собственно платы за программу следует учесть расходы на хостинг, подписку (если распространяется по подписке), стоимость обучения тому, как настраивать и использовать программу (сервис). Сюда нужно добавить возможные расходы на техподдержку и/или дополнительное оборудование, и т.д.
    • Если инструмент (сервис) предлагаются бесплатно, мы спрашиваем себя "почему". Кто финансирует проект, если не потребитель? Задействован ли здесь труд волонтеров? Деньги приходят от государства? Коммерческих компаний? А может, разработчик (владелец) получает прибыль, продавая пользовательские данные третьим лицам?

    Поддерживаются ли разные операционные системы и устройства?

    • Можно ли использовать инструмент (сервис) и на компьютерах, и на мобильных устройствах? Он доступен только для проприетарных операционных систем вроде macOS (iOS) или также будет работать в Linux? Если он не работает на всех операционных системах, существует ли надежная альтернатива для тех устройств, где этот инструмент/сервис не работает?

    Он дружелюбный к пользователю? Как его воспримут люди из "группы риска"?

    • Этот инструмент запутанный и неудобный? Или разработчик/провайдер постарался сделать его дружелюбным?
    • Используют ли этот инструмент/сервис правозащитники и другие люди? Или они стараются избегать его?
    • Можно ли сказать, что пользовательский интерфейс интуитивный? А может быть, есть документация, которая четко объясняет, как использовать инструмент/сервис?

    Он переведен на разные языки?

    • Локализован ли этот инструмент/сервис? На сколько языков?
    • Обновляется ли локализация?
    • Насколько хорош перевод?
    • Доступна ли документация на разных языках, которая помогает разобраться с безопасным использованием инструмента/сервиса?